Betrüger halten Industrie in Atem
Die Schattenwirtschaft wächst rasant
Die RSA-Konferenz in London bot Ende Oktober 2008 etwa 1.400 Teilnehmern über 100 Vorträge zu einem breit gestreuten Spektrum in Sachen Datensicherheit. Geradezu erschreckend waren Erkenntnisse zur Professionalisierung der Angriffe im Web.
Die europäische RSA-Konferenz war im vergangenen Jahr Alan Turing gewidmet, der nicht nur als Begründer der modernen Informatik gilt, sondern sich zusätzlich durch die Krypto-Analyse der Enigma-Chiffrierung im Zweiten Weltkrieg große Verdienste erwarb. Passend dazu war im Foyer des Events eine Sammlung originaler Chiffriermaschinen zu bewundern - von der Enigma selbst bis hin zu Weiterentwicklungen, die sogar von den USA im Vietnamkrieg und in der DDR der 80er-Jahre eingesetzt wurden (Fialka). Erstaunlich ist, dass man noch mit mechanischen Geräten und Großbuchstaben hantierte, als es längst schon moderne Elektronik gab.
In der Gegenwart wiederum rennt der technische Fortschritt unseren Vorstellungen von Datensicherheit offenbar immer schneller davon. Längst hat man die Vergeblichkeit einer Absicherung nach außen erkannt ("Perimeter Security"). In einer globalisierten, vernetzten Welt muss sie durch andere Konzepte ersetzt werden. Art Coviello, Präsident von RSA, sprach in seiner Eröffnungsrede von "datenzentrierter Sicherheit": Der Zugriff auf Daten selbst muss protokolliert und, wo nötig, beschränkt werden. Dies ist ein redlicher Vorsatz - ebenso wie Coviellos Forderung, dass man sich mehr mit Geschäftsprozessen statt mit Reglementierungen beschäftigen solle.
Zum angesprochenen Themenkreis gehört auch die "Data Loss Prevention" (DLP), über die Todd Graham von RSA referierte. Dabei geht es nicht etwa um verlorene Daten, sondern um die Kontrolle ihrer Verbreitung durch automatische Inhaltsanalyse, Netzwerk-Monitoring, Verhaltensanalyse und so weiter. All dies sind sinnvolle Ergänzungsmaßnahmen zu bisherigen Sicherheitskonzepten, wobei von vornherein klar ist, dass sie heuristisch arbeiten und für sich allein genommen unzuverlässig sind. Außerdem ist es fraglich, wie lange eine Unterscheidung in sensible und weniger wichtige Daten greift. Zwar spricht man von dynamischer Anpassung, doch einmal breit gestreute Daten lassen sich nicht mehr zurückholen.
Zumindest wurden offensichtlich einige wichtige Probleme erkannt, denn noch 2006 investierte man im Mittel drei Prozent der IT-Budgets in Sicherheit, für 2009 werden bereits fünf Prozent erwartet.
Das professionalisierte Böse
Die Praxis der IT-Sicherheit wird derweil immer rauer. Dazu gab es einige hochinteressante Beiträge, die durchaus Angst machen können. Allen voran stand der Beitrag "Neues aus der Unterwelt" von Uri Rivner, Mitglied des Anti-Fraud Command Centers von RSA (AFCC). Der Vortrag lief außerhalb des normalen Programms speziell für die Presse. Im AFCC werden die Kommunikation professioneller Hacker und ihrer Hintermänner verfolgt und ihre Organisationsstrukturen analysiert. Dass Kreditkartennummern gestohlen werden, ist mittlerweile mehr als bekannt, doch der Grad der Organisation, mit der dies inklusive der Datenverwertung inzwischen geschieht, ist immer noch erschreckend.
Mit gestohlenen Kreditkartendaten und PINs von EC-Karten allein lässt sich wenig anfangen. Erst einmal müssen damit Einkäufe oder Abhebungen durchgeführt und anschließend gegebenenfalls das Geld gewaschen werden. Auf dem Schwarzmarkt herrscht zu diesem Zweck Arbeitsteilung: Es gibt "Data Harvester", die die Daten mittels spezieller Angriffssoftware ausspähen lassen, "Tool Designer", die die nötigen Programme entwickeln, Geldwäsche in mehreren Stufen, Verwalter von Bot-Netzen (Gruppen gehackter Rechner), Hersteller und Anbieter von Hardware zur Manipulation von Geldautomaten und so weiter. Im Unterschied zur traditionellen Mafia, bei der ein Pate alles weiß, ist die Struktur allerdings horizontal geordnet: In Chat Groups werden Daten angeboten und verkauft, Bot-Netze und Angriffssoftware vermietet und gehandelt. In Foren werden Wirksamkeit und Bedienfreundlichkeit von Malware beurteilt. Auch Beurteilungen des Malware-Supports inklusive Häufigkeit der Updates sind dort zu lesen - so wie in der "richtigen" Welt. Da gibt es Monatsmieten von zum Beispiel 23 Dollar für 1.000 infizierte Rechner, wobei der Preis erheblich steigt, wenn die Gruppe der Opfer enger gefasst werden soll. So kosten deutsche Rechner etwa 200 Dollar im Monat. Für 299 Dollar pro Monat bekommt man bereits ein Rundum-Sorglos-Paket, Geldwäsche offenbar gleich mit eingeschlossen.
Es verwundert nicht, dass die Szene internationalisiert und nur schwer greifbar ist. Die meisten Beutezüge im Finanzsektor beruhen nach wie vor auf Phishing. Diese Technik ist so primitiv wie wirksam. Beispielsweise erweitert die clevere Malware "Zeus" (die käuflich ist) eine Homebanking-Seite um eine Phishing-Eingabe für Kontonummer und PIN. Es reicht, wenn jeder zwanzigste Nutzer dort die Daten einträgt. Gegen diese Methode hilft auch kein SSL, denn die Seite selbst wird lokal auf dem Rechner des Anwenders modifiziert.
Führend beim Phishing ist die russische Gruppe "Rock Phish", auf deren Konto derzeit vermutlich die Hälfte aller Angriffe geht. Die Ermittler müssen jedoch nicht nur Russisch beherrschen, sondern auch Portugiesisch und Englisch, denn die besten Tools werden inzwischen in Brasilien entwickelt und in Australien getestet. Zwar wurden in einer aktuellen Aktion etwa 60 Hacker in Großbritannien verhaftet, aber damit dürfte man nur einen winzigen Anteil der Betrüger aus dem Verkehr gezogen haben. Und was kann man nun dagegen tun? "Den Nutzer schützen", kam als Antwort.
Aber es gibt wohl nichts, was nur negative Seiten hat. Dies wurde beim überaus humorvollen Vortrag des Security-Experten Herbert Thomson deutlich: Weil die Angreifer nun nicht mehr einfach "böse Menschen" sind, die marodierende Viren und Würmer in Umlauf setzen oder Personen gezielt attackieren, sondern weil sie Daten suchen, die Gewinn versprechen - etwa beim Homebanking oder auch beim Ausspähen von Firmengeheimnissen - werden die Bösen auch berechenbarer. Außerdem protokolliert man relevante Aktionen inzwischen mit einiger Wahrscheinlichkeit mit, was die Situation erheblich verändert.
Der Browser als Haupteinfallstor
Viele Beiträge befassten sich damit, wie Rechner angegriffen werden. Phishing zählt hier nicht mit, denn damit täuscht man Anwender und infiziert keine Computer. Das Haupteinfallstor für Schadsoftware sind heute die Browser. Diese verhalten sich bereits wie kleine, aber weitgehend ungesicherte Betriebssysteme. Immer neue Plug-ins hebeln jede gut gemeinte Sicherheitsvorkehrung aus und erlauben es, Virenschutzprogramme geschickt auszutricksen. Dies funktioniert in zwei Richtungen: Angriffe gelten Web-Seiten wie Browsern. So führte Prajakta Jagdale von Hewlett-Packard vor, wie leicht man mit Flash Actionscript Server ausspähen und kompromittieren kann. Nach den Recherchen der Referentin überprüfen nur neun Prozent der Webseiten die Eingaben der Nutzer, der Rest verwendet sie blind weiter. Dies gilt ebenso für PHP-Skripte, und 120 von 200 per Google recherchierte Seiten waren anfällig für Cross-Site-Scripting. Technisch anspruchsvoll, aber beeindruckend war das Paket "Jinx", das Itzik Kotler von Radware vorführte: Nur auf der Basis von Javascript und Ajax ließ sich ein Browser ferngesteuert und betriebssystemübergreifend dazu verleiten, fast beliebige Dateien an den Server zu schicken, auf die der Browser eigentlich gar keinen Zugriff haben sollte. Bei Firefox 3 funktioniert dies derzeit zwar nicht, doch schließlich handelt es sich auch nur um ein Forschungsprojekt.
Neben aktivem Code - also Skripten, die von der Webseite im System des Surfers ausgeführt werden - und Phishing und Trojanern ist auch "Piggybacking" ein wichtiges Einfallstor für Schadsoftware geworden, also der unbemerkte Download von Malware. Dise Methode kann per Skript im Hintergrund automatisiert werden oder durch Modifizierung von Programmpaketen auf gehackten Webseiten geschehen - und schließlich auch durch Irreführung des Nutzers: "Um dieses Video anzusehen, benötigen Sie eine aktuellere Version Ihres Flash-Players. Bitte klicken Sie hier …" - wer kontrolliert in diesem Fall schon die angegebene URL?
Der Anteil bösartiger Web-Seiten im Internet wird auf 1,3 Prozent geschätzt. Dies ist keine Erbsenzählerei, denn mittlerweile werden bis zu 200 bis 300 Exploits pro Seite gebündelt und auf dem Rechner des Surfers getestet. Man ahnt, dass der Ratschlag, immer die Patches auf dem neuesten Stand zu halten, zwar richtig ist, aber allein nicht ausreicht.
Folgen der Unsicherheit
Die Folgen der beschriebenen Unsicherheiten sind fatal. Viren und Würmer spielen nach Einschätzung der Experten eine immer kleinere Rolle, denn sie greifen blind alle Anwender an und werden daher rasch entdeckt. In seinem faszinierenden Vortrag "The State of Spyware" zeigte Gerhard Eschelbeck von Webroot, wo heutzutage die Gefahren liegen. Spyware versteckt sich und wird nicht zufällig gefunden; man muss sie regelrecht jagen und braucht manchmal einige tausend Routinen, um sie zu entfernen. In einem Gespräch mit einem Vertreter von Webroot hielt dieser es für möglich, dass möglicherweise 80 Prozent aller Windows-Rechner von Spyware in irgendeiner Form befallen sein könnten. Eine britische Studie hatte vor Jahren 75 Prozent in einer Stichprobe gefunden.
Der technische Stand der Spyware ist beeindruckend. Einzelne Teile installieren sich gegenseitig wieder, falls sie entdeckt und gelöscht werden, Updates werden automatisch nachgeladen. Kryptografie wird ebenso eingesetzt - dies erlaubt Polymorphismus, womit man der Entdeckung durch Virenscanner entgeht, deren Routinen oft nur auf regulären Ausdrücken basieren. Rootkits modifizieren unentdeckt das sich scheinbar normal verhaltende System, und mittels "Alternate Data Streams" beim NTFS-Dateisystem von Windows versteckt man sich effektiv vor dem Anwender.
Aber auch die klassischen Würmer entwickeln sich weiter: Amichai Shulman von Imperva stellte das Prinzip der "Google-Würmer" vor, die mittels Google-Suche zielgerichtet Rechner mit bestimmten Schwachstellen suchen und nur diese angreifen. Damit sinkt die Wahrscheinlichkeit ihrer Entdeckung drastisch.
Angesichts dieses Stands fragt man sich, was man überhaupt noch zum eigenen Schutz tun kann. Neben den üblichen Tipps warnte Eschelbeck vor dem unkontrollieren Einsatz freier Software. Dies sollte offenbar kein Seitenhieb gegen Open Source sein, denn als nächster Punkt kam gleich: "Nutzen Sie Firefox, nicht den Internet Explorer!" Der interessanteste Denkanstoß jedoch war sein Vorschlag, SaaS (Software as a Service) zu nutzen, um Sicherheit zentraler zu administrieren und nicht jeden einzelnen Computer überwachen zu müssen. In einen Unternehmen kann dies sicherlich ein Fortschritt sein, doch es gibt dabei neue Probleme wie die Verfügbarkeit und Vertraulichkeit zu lösen.
Was in den besuchten Vorträgen nicht zur Sprache kam, war, dass man Browser auch in ein "Gefängnis" einsperren kann: Unter VMware auf einem Snapshot surfen oder noch einfacher unter Unix oder Linux mit der ID eines Nutzers ohne gefährliche Rechte, insbesondere ohne Lesezugriff auf sensible Daten. Die fast nicht vorhandene Browser-Sicherheit wird so durch bewährte Konzepte ersetzt. Problematisch sind allerdings die Übertragung heruntergeladener Daten und die Schulung der Anwender.
Man kann sich des Eindrucks nicht erwehren, dass die technische Entwicklung der Sicherheit immer mehr davonläuft und dass die IT-Welt immer "offener" wird, und zwar im bösen Sinne des Wortes. E-Mail-Chiffrierung war beispielsweise kein Thema mehr auf der Konferenz. Herbert Thomson forderte in seinem Vortrag, dass sicheres Handeln naheliegender sein müsse als unsicheres. Er erzählte dazu eine Anekdote, in der ein Systemadministrator im Katastrophenfall das Backup von seinen 5,25-Zoll-Disketten nicht mehr lesen konnte und schlaflose Nächte erlebte. Später stellte sich heraus, dass die Sekretärin, wie angeordnet, die Disketten mit Labeln versehen und beschriftet hatte - allerdings mit Schreibmaschine. Auch Software setzt oft genug voraus, dass der Anwender weiß, wie er sich richtig zu verhalten hat. "Einfach so" ergibt sich dies allerdings nicht. Allerdings: 3,5-Zoll-Disketten hätte die Sekretärin wohl nicht mit der Maschine beschriftet…
Sicherheitskonzepte sind vorhanden
Es werden durchaus sinnvolle Produkte angeboten, die praktikabel sind und die Sicherheit deutlich verbessern, etwa gegen den immer häufiger werdenden Identitätsdiebstahl. Ken Silva, CTO von Verisign, stellte im Rahmen des VIP-Programms (Verisign Identity Protection) die scheckkartengroße VIP Credential ID vor. Das Prinzip ist ähnlich wie beim Secur-ID-Token von RSA: Die Karte erzeugt der Basis des OATH-Standards bei jedem Druck auf einen Knopf ein neues Einmalpasswort auf, das zusammen mit einer PIN der Authentifizierung dient. Die Besonderheit dabei ist jedoch, dass nur Verisign den geheimen "Seed" in der Karte kennt und nicht erfährt, wer diese Karte besitzt und wo er damit kauft. Der Anbieter, zum Beispiel Ebay, fragt bei Verisign jedes Mal an, ob das eingegebene Einmalpasswort zur fraglichen Karten-ID gehören kann. Das Konzept enthält die Möglichkeit des Widerrufs bei Diebstahl - man erhält einen neuen Seed mit der alten ID - und verlangt ein Netzwerk von sich synchronisierenden Rechnern. Dieser Ansatz ist so interessant, weil er nicht nur technisch einfach und wirksam ist, sondern auf die Interessenlage der Beteiligten Rücksicht nimmt und dabei den Datenschutz fördert. Vor allem aber ist man mit seiner Karte nicht mehr an einen festen Partner gebunden. Es sind sogar konkurrierende Kartenanbieter denkbar. Dennoch wird es noch ein langer Weg sein, bis ein solches Token Alltag wird. Den Kerngedanken wiederholte Silva nach dem Vortrag bei Tisch: "Verisign hat die geheime Nummer, nicht Ihre Bank". Die Einführung der heute selbstverständlichen Bankkarten habe ja immerhin auch etwa 20 Jahre gedauert, meinte er außerdem.
Identitätsdiebstahl ist ein Problem, verlorene oder gestohlene Notebooks und Speichermedien mit kritischen Datenbeständen sind ein anderes. Auch dagegen gibt es Mittel, die sich immer weiter entwickeln: Die Full-Disk Encryption von Winmagic etwa nutzt den eingebauten TPM nicht zur Reglementierung des Anwenders wie bei DRM, sondern zum Schutz des Schlüssels. Sandisk bietet FIPS-zertifizierte, nicht ganz billige USB-Sticks mit integrierter Hardwareverschlüsselung an. Sichere Schlüsselverwaltung und die Möglichkeit zur Wiederherstellung bei Schlüsselverlust sind für den professionellen Einsatz eine Selbstverständlichkeit. In der Praxis jedoch verliert selbst der britische Geheimdienst Notebooks mit unchiffrierten sensiblen Daten.
Die Privatsphäre schwindet immer schneller
Mit Spannung erwartet wurde der Vortrag zur Zukunft der Privatsphäre vom "Rockstar der Sicherheitsszene", Bruce Schneier. In der Tat hatte er neuartige Gedanken vorzubringen, über die noch ein gesonderter Artikel erscheinen wird: Die Privatsphäre wird im heutigen Sinne nicht mehr zu halten sein. Zum ersten wird unsere Datenspur immer breiter, und wir werden uns dessen immer weniger bewusst sein. "Noch sehen wir die Überwachungskameras", warnte Schneier. Zum zweiten sei es billiger, Daten aufzuheben, statt unwichtige zu erkennen und wegzuwerfen. "Daten sind das Müllproblem der Informationsgesellschaft", so eine von Schneiers Thesen. Die Frage laute jedoch nicht "Privatsphäre kontra Sicherheit", wie häufig angenommen, sondern "Freiheit kontra Kontrolle".
Die Privatsphäre soll uns vor einem willkürlichen Staat schützen. Wenn die Privatsphäre nicht mehr zu halten ist, muss der Schutz mit anderen Mitteln geschehen. Schneier glaubt, das wir gerade am Beginn einer neuen Ära stehen. Denkt man an die unzähligen ungelösten Probleme, die auf der Konferenz wieder einmal sichtbar wurden, so kann man ihm schon allein deswegen zustimmen.
Full Disclosure mit Bedacht einsetzen
Interessant waren auch die Gedanken von Ira Winkler, Autor von "Spies among Us", zum Thema "Full Disclosure", erläutert anhand der DNS-Caching-Attacke. Seine Argument gegen das bedingungslose Offenlegen von Schwachstellen waren nicht von der Hand zu weisen: Es können nicht alle Nutzer sofort patchen, weil sie sich damit Kompatibilitätsprobleme einhandeln und der Patch selbst Kosten verursacht, beispielsweise durch notwendige Tests. Ohnehin wird in manchen Firmen aus eben diesen Gründen nur in gewissen Abständen gepatcht. Abgesehen davon, dass man nicht allen Anwendern vorschreiben kann, wann sie ein Update einzuspielen haben, hilft ein Patch auch nicht immer - wie bei der beschriebenen Attacke, die die Server betraf. Der Anwender konnte dabei nichts ausrichten. Schließlich und keineswegs unbedeutend ist der Umstand, dass niemals alle Anwender patchen und diese nach Offenlegung einer Schwachstelle erst recht angegriffen werden.
Allerdings, sagte Winkler, ist Full Disclosure dennoch in manchen Fällen nötig: dann nämlich, wenn Anbieter von Software viel zu spät oder überhaupt nicht reagieren. Dann kann man sie mit der Veröffentlichung von Sicherheitslücken zwingen, Maßnahmen zu ergreifen.
Lesen Sie mehr zum Thema
