Zum Inhalt springen
Galerie: Hacks und ihre Konsequenzen

Galerie: Die Top-5-Hacks auf Anwendungsebene

Galerie: Wer Sonys Hacking-Alptraum und dessen Nachwirkungen in den Nachrichten verfolgt hat – und die Hintergründe sind es wert, ganz genau betrachtet zu werden – der konnte eine der wichtigsten Lektionen in Unternehmenssicherheit lernen, vorgeführt in Überlebensgröße: es gibt keine unbedeutenden Daten. In unserem Zeitalter der Information ist digitale Sicherheit so wichtig wie nie zuvor.

Autor:Arved Graf von Stackelberg, Director Central Europe, Veracode • 12.10.2015

1
Zwar ist der in der iOS-App von Starbucks entdeckte Fehler keine biblische Plage, dennoch lassen sich hier zwei wichtige Sicherheitskonzepte deutlich machen: Verschlüsselung und Zugangskontrolle. Vor dem Sicherheitspatch konnten Hacker mit einem direkten Zugang zu einem iPhone oder iPad theoretisch auf jede Information zu User-Namen, Passwörtern und Kreditkarten zugreifen, die in Zusammenhang mit Starbucks auf dem Gerät gespeichert war. Was sie dafür tun mussten? Das Gerät an einen Computer anschließen und die unverschlüsselte Textdatei lesen. Die Lektion: diese Art von Informationen müssen selbst auf dem Level des individuellen Nutzers zuverlässig geschützt werden– alles andere ist fahrlässig. Ein spezifischer Nutzername und ein dazugehörendes Passwort innerhalb der App würden schon einen Teil des Schadens vom Nutzer abwenden. Doch Kreditkarteninformationen sind offensichtlich universeller und fordern ordentliche Verschlüsselung und strikte Regeln für den Datenzugriff. Zu Starbucks Gunsten ist vorzubringen, dass sie sehr schnell reagiert und den Fehler behoben haben, was den möglichen Schaden deutlich reduziert. Damit kann man diese Schwachstelle als einen der besten App-Fehler ansehen – denn er war am Ende mehr eine Lektion in mobiler Sicherheit als ein wirkliches Problem. (Bild: tomeng - iStock)
2
Wer sich für Snapchat oder auch nur für Sicherheit allgemein interessiert, wird von den 4,6 Millionen Nutzern gehört haben, deren Telefonnummern und Nutzernamen wegen eines Fehlers veröffentlicht wurden. Vor allem das darauffolgende Debakel war schwer zu übersehen, als Sicherheitsforscher, Nutzer und Zuschauer Snapchat gleichermaßen wegen seiner fehlenden Sicherheitsvorkehrungen mit Spott und Schande überzogen. Es geht hier nicht darum, Snapchat zu kritisieren. Es geht vielmehr um den Leitsatz „Alle Daten sind wichtig“, der unbedingt beherzigt werden muss; vor allem, wenn sie den Nutzern gehören. Der Schaden durch die Veröffentlichung von Daten ist oft größer als die Probleme, die Hacker selbst verursachen. Ob man seinen Nutzernamen und seine Telefonnummer nun als großes Geheimnis ansieht oder nicht – ein motivierter Angreifer wie ein Stalker oder jemand, der sich Identitäten anderer aneignet, könnte mit diesen Daten Übles anrichten. Wenn man die öffentlichen Ohrfeigen dazurechnet, die Snapchat seither kassiert hat, kann man wohl davon ausgehen, dass die Entwickler diesen Sicherheitsfehler gerne vor seiner Entdeckung gefunden hätten. (Bild: visualspace - iStock)
3
Die nächste Sicherheitslücke hat nun bereits zum zweiten Mal zugeschlagen. Es handelt sich hierbei um Stagefright – eine von außen angreifbare Schwachstelle, von der Millionen Android-basierter Smartphones und Tablets betroffen waren und bis heute sind. Bereits beim ersten Mal hat der Bug 95 Prozent aller Android-User angreifbar gemacht. Er existiert in einer Medienbibliothek, die von Android genutzt wird, um gängige Dateiformate anzuzeigen und zu lesen. Die Schwachstelle kann mithilfe von Multimedia-Dateien, also etwa MP3- und MP4-Dateien, ausgenutzt werden. Angreifer können durch die Dateien Schad-Software einschleusen, Daten einsehen und sogar Gespräche abhören – und das ohne das Zutun des Nutzers. Solche Bugs sind äußerst selten und stellen ernsthafte Sicherheitslücken für die Anwender dar. Es gibt zahlreiche Wege, die präparierten Multimedia-Dateien auf das Gerät zu bringen, zum Beispiel indem einfach eine MMS an das entsprechende Gerät des Nutzers gesendet wird. Dann heißt es abwarten, denn die Malware übernimmt alles Weitere und der Bug wird ohne Klick auf einen Link oder ähnlichem ausgeführt. Mittlerweile hat Google die neueste „Stagefright 2.0“-Sicherheitslücke durch ein Update für Google-Smartphones behoben. Auch die neue Android-Version 6.0 Marshmallow ist geschützt. Allerdings werden zukünftig immer noch Millionen von Android-Nutzern betroffen sein, da weder die Smartphone-Hersteller noch die Provider bisher entsprechende Updates an die Nutzer weitergeben. (Bild: hocus-focus - iStock)
4
Nach einem Hackerangriff von „The Impact Team“ auf das Seitensprungportal Ashley Madison lagen Teile des Seitenquellcodes sowie interne E-Mails der Betreiber offen – doch nicht nur das: auch die Nutzerdaten von Seitensprungwilligen, inklusive Anschriften, Mail-Adressen, Kreditkartennummern und sexuellen Vorlieben von circa 40 Millionen Personen waren verfügbar. Dies bestätigt, dass Ashley Madison persönliche Informationen nicht gegen Gebühr löschte, wie den Nutzern eigentlich versprochen wurde. Das 30-Gigabyte-Paket beinhaltete insgesamt 32 Millionen Datensätze, darunter ebenfalls 15.000 Regierungs- und Militäradressen von Nutzern. Die geheimnisvolle Natur von Ashley Madison und die intimen Nutzerdaten machen diesen Hackerangriff zu einem besonders heiklen Fall. Obwohl der Service, die persönlichen Daten auf Wunsch zu vernichten, angeboten wurde, ist dies nicht geschehen. Dies zeigt das Problem von Unternehmen, die personenbezogene Daten auf verschiedene Systeme verteilt verarbeiten. Solche Unternehmen haben die Pflicht, diese Informationen gegen Gefahren zu schützen – egal, ob die Gefahr von einem böswilligen Insider ausgeht, von externen Hackern oder zufälligen Datenverlusten. Unternehmen müssen einen breiten, strategischen Ansatz fahren, der verschiedene funktionelle Bereiche vereint, um Daten zu schützen. (Bild: triocean - iStock)
5
Erst kürzlich wurde bekannt, dass zahlreiche Apps in Apples App-Store von Hackern mit Malware infiziert wurden. Die Hacker nutzten hierzu die Software "XcodeGhost", die diversen App-Entwicklern als offizielles Entwickler-Tool von Apple verkauft wurde. Hierdurch fand schadhafte Software unbemerkt ihren Weg in teilweise bekannte Apps. Mittlerweile hat Apple mehr als 300 verseuchte Anwendungen aus dem App-Store entfernt. Von den infizierten Geräten sollen folgende Informationen gehackt worden sein: Name, Version der Anwendung, Systemversion, eingestellte Sprache, Land, Identität des Entwicklers, Installationszeit der App, Gerätename und –typ. Persönliche Daten des Nutzers wurden hierbei nicht gestohlen, der Schaden hätte also viel größer ausfallen können. Jedoch ist erschreckend, dass mit solch banalen Methoden Geräte infiziert werden können, zumal Apple dafür bekannt ist, jede App ausgiebig zu prüfen. Dieser Hack deckt auf brutale Art und Weise ein Problem auf, dessen sich viele App-Nutzer überhaupt nicht bewusst sind. Im Grunde wird deutlich sichtbar, welche App-Anbieter sich die Mühe gemacht haben, ihre eigenen Anwendungen vor Veröffentlichung im App-Store auf Sicherheit zu testen und welche nicht. Es ist die Pflicht eines jeden Entwicklers, mehr Aufmerksamkeit auf Sicherheit zu legen. Egal, wie gut der entwickelte Code auch funktioniert – das sagt noch lange nichts über die Sicherheit der daraus resultierenden App aus. Es ist wichtig, dass Entwickler das fertige Produkt ausgiebig testen, bevor sie es der Welt der App-Stores bereitstellen. Wäre der gesammelte Code mit Hilfe von binären und statischen Analysen sowie App-Reputation-Testing erneut auf Sicherheitslücken und Malware untersucht worden, wären solche gefahrenbehafteten Apps gar nicht erst veröffentlicht worden. (Bild: bedo - iStock)
Weiter zur Startseite