US-Geheimdienst schnappt Super-Hacker Jonny Hell

Spiegel-Online berichtet, dass der estnische Hacker Aleksandr Suvorov alias “Jonny Hell”, einer der angeblich Großen im gewerblichen Cyber-Crime, kürzlich am Frankfurter Flughafen festgenommen wurde.

Ihm werden Datendiebstahl mit Hilfe von Trojanern, Kreditkartendatendiebstahl im großen Stil sowie ein Angriff per Computer-Spähprogramm auf die Restaurantkette Dave & Buster’s zur Last gelegt.

Dumm nur dass US-Geheimagenten in Deutschland keine hoheitliche Befugnisse haben und daher auch niemanden festnehmen dürfen. Dumm auch dass gegen Suvorov in Deutschland nichts vorliegt und die USA in ihrer Selbstherrlichkeit auch vergaßen, einen Antrag auf Amtshilfe beim deutschen BKA zu stellen.

Aktuell sitzt Suvorov in deutscher U-Haft, während unsere Schupos und die US-Agenten überlegen, wie sie ihren Fang nachträglich „legalisieren“ und in die Staaten mitnehmen können.

“Die Vermutung liegt nahe, dass die US-Behörden Deutschland gezielt ausgesucht haben, um eine möglichst reibungslose Festnahme zu erreichen”, kritisiert Suvorovs Anwalt Oliver Wallasch. Und hat auch schon mal Strafanzeige wegen Freiheitsberaubung erstattet.

Ob am Ende Jonny Hell von dannen zieht, während die mit diplomatischer Immunität ausgestattete CIA mit leeren Händen nach Hause fliegt?

Das „innere Bankgeheimnis“ – Wie Banken ihre Beschäftigten ausspähen

Das Bankgeheimnis hat in Deutschland einen hohen Stellenwert. Und das, obwohl es bei genauerem Hinsehen eigentlich gar nicht existiert. Legt doch § 31a der Abgabenordnung verbindlich fest, dass der Fiskus an sich geschützte Bankdaten (und noch so manches andere) abgreifen darf

„soweit sie für die Durchführung eines Strafverfahrens, eines Bußgeldverfahrens oder eines anderen gerichtlichen oder Verwaltungsverfahrens mit dem Ziel der Bekämpfung von illegaler Beschäftigung oder Schwarzarbeit oder der Entscheidung über Erteilung, Rücknahme oder Widerruf einer Erlaubnis nach dem Arbeitnehmerüberlassungsgesetz oder über Bewilligung, Gewährung, Rückforderung, Erstattung, Weitergewährung oder Belassen einer Leistung aus öffentlichen Mitteln oder für die Geltendmachung eines Anspruchs auf Rückgewähr einer Leistung aus öffentlichen Mitteln erforderlich ist“. (§ 31a AO)

Das nennt man das „äußere Bankgeheimnis“. Es gilt besonders stark gegenüber anderen Privaten und nur in stark abgeschwächter Form dem Staat gegenüber.

Aus ihm lässt sich das „innere Bankgeheimnis“ ableiten, dass speziell die Beschäftigten des Finanzdienstleistungssektors angeht.

Wer für eine Bank arbeitet, der führt oft auch beim Arbeitgeber sein Konto. Sei es aufgrund eines Mitarbeiterrabatts oder schlicht „weil es gern so gesehen wird“. Banken haben grundsätzlich verschärfte gesetzliche Anforderungen und Aufsichtspflichten hinsichtlich der finanziellen Zuverlässigkeit ihrer Beschäftigten zu erfüllen.

Das kann aber im Einzelfall gründlich ins Auge gehen, da man es in manchen Banken mit dem Datenschutz nicht ganz so genau nimmt.

Wie die Fachzeitschrift „Arbeitsrecht im Betrieb“ in ihrer Mai-Ausgabe anhand mehrerer Fallbeispiele berichtet, zeigen Banken als Arbeitgeber ein verstärktes Interesse für das Ausgabeverhalten seiner bei ihm angestellten Bankkunden. Und spähten dazu dessen Kontendaten illegal aus, um so personelle Maßnahmen wie z.B. Abmahnungen, Kündigungen oder Nichtübernahmen von Azubis zu begründen.

Dort wo dieses „Geschäftsgebaren“ zu Klagen vor Arbeitsgerichten führten, verloren die Banken durchwegs. Die dem Bankgeheimnis unterliegenden Daten ihrer Arbeitnehmer-Kunden hätten sie als Arbeitgeber nichts anzugehen, lautete der Tenor. Zumal illegal erlangte „Beweismittel“ von Gerichten verworfen werden können. Kurz: Was der Kreditsachbearbeiter wissen muss, um die Kreditwürdigkeit prüfen zu können, muss deswegen die Personalabteilung oder der Vorgesetzte noch lange nicht wissen.

Wer daher als Bankangestellter Herr seiner Daten bleiben will, sollte seine Bankverbindungen diversifizieren und nicht alles (Girokonto, Kreditkarten, Wertpapierdepot, Bausparvertrag, VL-Vertrag etc.) über ein und dasselbe Institut abwickeln. Zwar läuft am Ende vieles bei der Schufa wieder zusammen. Doch dort sind die Zugangshürden etwas höher und die Schufa zeichnet zudem keine Einzeltransaktionen oder Kontenstände auf. Zudem dürften Personalabteilungen von Banken keinen legalen Zugang zu Schufadaten haben.

Kryptografie zum Ausprobieren: Das Cryptool-Projekt

Wer sich mit Kryptografie beschäftigt, merkt schnell dass die einschlägigen Lehrbücher doch gewissen Anforderungen an die mathematische Vorbildung des Lesers stellen. Kein Wunder – ist doch die Lehre vom Verschlüsseln und Entschlüsseln nichts anderes als angewandte Mathematik. Da werden die Dinge rasch für manchen zu theoretisch. So was wie ein Chemie-Baukasten zum Experimentieren wäre da nicht schlecht. Diesen Krypto-Baukasten gibt es kostenlos im Internet auf http://www.cryptool.org/.

Cryptool ist ein quelloffenes Lehr- und Lernprogramm, dass es ermöglicht, zahlreiche kryptografische Verfahren praktisch nachvollziehen zu können. Ursprünglich wurde  Cryptool für IT-Sicherheitsschulungen im Unternehmen entwickelt. Inzwischen aber hat es sich zu einem bedeutenden Open-Source-Projekt im Bereich Kryptografie entwickelt. Auch ich habe es im Rahmen meines Studiums durch den Hinweis eines Dozenten entdeckt.

Implementiert wurden u.a.:

•    Zahlreiche klassische und moderne kryptographische Algorithmen (Ver- und Entschlüsselung, Schlüsselerzeugung, sichere Passworte, Authentisieren, sichere Protokolle, …)
•    Visualisierung einiger Verfahren (z.B. Caesar, Enigma, RSA, Diffie-Hellman, Digitale Signaturen, AES)
•    Kryptoanalyse gegen ausgewählte Algorithmen (z.B. Vigenère, RSA, AES)
•    Kryptoanalytische Messverfahren (z.B. Entropie, N-Gramme, Autokorrelation)
•    Unterstützende Verfahren (z.B. Primzahltest, Faktorisierung, Base64-Kodierung)
•    Lernprogramm zur Zahlentheorie
•    Umfangreiche Online-Hilfe
•    Begleitendes Skript mit weiterführenden Informationen über Kryptografie

Wichtig: Cryptool ist ungeeignet, wenn Sie ein Krypto-Programm für den praktischen Einsatz (Verschlüsselung von Mails, Dateien, Festplatten etc.) benötigen. Es wurde rein für Lehr- und Demonstrationszwecke entwickelt.Artikelvorschau

Inhaltlich verwandt zu Cryptool ist auch das an Lehrer in Schulen gerichtete Infoportal https://www.cryptoportal.org/. Man findet dort zahlreiche Unterrichtsmaterialien über Teilbereiche der Krypografie.

Die gehackte Kaffeemaschine

An Hackerangriffe auf Computer, Geldautomaten, Websites oder Rechenzentren hat man sich ja (fast) schon gewöhnt. Jetzt aber berichtet der aktuelle Bürger-CERT-Newsletter erstmals von einer gehackten Kaffeemaschine.

Der Kaffeemaschinenhersteller Jura hat mit der „Jura Impressa F90“ ein Modell mit Internet-Anbindung entwickelt, über die man Kaffeerezepte, Konfigurationsdaten etc. in das Gerät einspielen kann.

Alles was man ans Netz anschließen oder programmieren kann, zieht früher oder später die Aufmerksamkeit kreativer Leute auf sich, die sich fragen, was man mit dem Ding so alles anstellen kann.

Auf SecurityFocus.com wird ebenfalls berichtet, dass man die Kaffeemaschine so manipulieren kann, dass sie beim Zubereiten des Kaffees zu viel Pulver oder zu wenig Wasser einsetzt oder eine notwendige Wartung durch Techniker vor Ort meldet.

„Hacker-Linux“ neu erschienen – Die Werkzeugkiste des IT-Sicherheitsexperten

Es gibt unter dem Namen „Backtrack“ (Rückverfolgung) bereits seit längerem eine frei verfügbare Linux-Distribution, die aus zahlreichen Werkzeugen zur Analyse und Bewertung von Maßnahmen zur IT-Sicherheit besteht. Man könnte auch von einem „Hacker-Linux“ sprechen, da Hacker oft genug genau diese Open-Source-Tools verwenden.

Gerade Unternehmen, die sich vor ebendiesen Zeitgenossen schützen wollen, brauchen daher Leute auf der Payroll, die mit solchen Tools vernünftig umgehen können. Oder – im Zeitalter des Outsourcings – Firmen, die das für sie tun.

Jetzt ist Backtrack frisch in der Version 3 erschienen, wie Searchsecurity.de berichtet.

Backtrack 3 enthält hunderte von Werkzeugen für Sicherheitsexperten und ist als ISO-Image für CDs, als erweiterte Version für USB-Sticks sowie als virtuelle Maschine für VMware verfügbar. Man kann es unter http://www.remote-exploit.org/ herunterladen.

Auch hier gilt wieder: Nicht alles was kostenlos erhältlich ist, darf auch überall ausprobiert werden! In Deutschland bewegen Sie sich damit in einer rechtlichen Grauzone. Verwenden Sie die Werkzeuge von Backtrack daher nur im Zusammenhang mit Ihren eigenen Rechnern.

Und für den Systemverwalter im Unternehmen noch eine kleiner sicherheitstechnischer Hinweis: In vielen Firmen sind USB-Ports ungesichert. USB-Sticks und Mp3-Player sind nicht größer als Schlüsselanhänger. Man kann so leicht eigene Software rein- und Firmendaten rauschmuggeln. So wäre es einfach ein komplettes Backtrack auf dem Stick in die Firma mitzubringen und es dort – als „Stresstest für den Sysadmin“ – mal auszuprobieren…

(eine dieser Ideen, von der die Fachleute sagen, man solle sie nicht selber nachmachen…)

Wer also als „IT-Sicherheitler“ immer wieder Probleme hat, beim Management die erforderlichen Gelder loszueisen, kann ja mal im Rahmen eines Meetings den Entscheidern demonstrieren, was schon für 0 Euro so geht. Und sie dann fragen was sie täten, wenn nicht der IT-Chef sondern Nachbars verzogene Gören diese 0 Euro für’s Backtrack ausgegeben hätten. Und  es nicht doch angebracht wäre, die ein oder andere Investition in die Sicherheit der Firmendaten zu tätigen (gefolgt von konkreten und einfach formulierten Vorschlägen was zu tun ist).

Sophos-Feldtest entdeckt Schwachstellen und fehlende Patches auf Unternehmensrechnern

In vielen Firmen hält man die Unternehmens-IT für sicher. In der Tat haben manche Unternehmen ja quasi-militärischere Sicherheitsstandards etabliert. Am „anderen Ende der Leitung“ sprich beim Endbenutzer-Rechner auf dem Schreibtisch sieht es aber oft mager aus. Man fühlt sich hinter Proxy-Server und Firewall offenbar so sicher, dass man es am PC schleifen lässt.

So entdeckte der Antivirensoftware-Anbieter Sophos bei einer Feldstudie mit ca. 580 Firmen-PCs, dass gut vier Fünftel der Systeme erhebliche Sicherheitslücken aufwiesen. Aktuelle Microsoft-Security-Patches fehlten, lokale Firewalls oder aktuelle Sicherheitssoftware waren nicht installiert oder aktiviert. Bei etwa 60% der Rechner fehlten ein oder mehrere Patches und bei etwa der Hälfte gab es keine aktivierte Firewall (die bei Windows an sich mit zu Lieferumfang gehört).

http://www.sophos.de/pressoffice/news/articles/2008/06/endpoint-vulnerability-results.html

John Shaw, Director of Endpoint Security and Control von Sophos, kommentiert das Testergebnis so: „Die Sicherheitsprobleme betreffen keineswegs nur kleine Unternehmen. Bei einem Viertel der gestesteten PCs handelte es sich um Rechner von Firmen mit mehr als 1.000 Mitarbeitern. Weitere 36 Prozent gehörten Betrieben mit 100 bis 1.000 Anwendern“

In wohl nicht ganz unberechtigter Erwartung zusätzlicher Umsätze hat Sophos ein Onlinetool bereitgestellt, mit dem man den Sicherheitsstatus einzelner Rechner selbst prüfen kann.

http://www.sophos.de/products/free-tools/sophos-endpoint-assessment-test.html

Webanwendungen hacken lernen – Das WebGoat-Projekt

Das Open Web Application Security Project (OWASP) ist eine weltweite Community, die sich mit der Entwicklung sicherer Webapplikationen befasst. Sie haben dazu umfängliche Materialien (in englisch) sowie selbstentwickelte Open-Source-Software ins Netz gestellt, mit der man sich autodidaktisch die nötigen Kenntnisse über sichere Webanwendungen erarbeiten kann.

Eines dieser Werkzeuge ist WebGoat. Dabei handelt es sich um eine J2EE-Webanwendung, die man sich runterladen und lokal installieren kann. In ihr wurden bewusst zahlreiche Sicherheitslücken eingebaut. WebGoat ist als Lernprogramm in Kapitel gegliedert, die sich mit gängigen Sicherheitslücken befassen. In jedem Kapitel gibt es praktische Übungen, in denen man versuchen kann, eine Sicherheitslücke auszunutzen und so eine bestimmte Angriffsart selber praktisch nachzuvollziehen. Auch der Quellcode von WebGoat ist verfügbar, so dass Entwickler die Applikation selbst zur Analyse auseinandernehmen können.

Der Name Goat („Bock“) wurde der Anwendung angeblich deshalb gegeben, da auch Entwickler gerne dazu neigen, bei Schwierigkeiten einen Sündenbock zu suchen. Hier ist einer.

Zu den mit WebGoat praktisch nachvollziehbaren Angriffsmethoden und Schwachstellen in Webanwendungen zählen:

•    Cross Site Scripting
•    Access Control
•    Thread Safety
•    Hidden Form Field Manipulation
•    Parameter Manipulation
•    Weak Session Cookies
•    Blind SQL Injection
•    Numeric SQL Injection
•    String SQL Injection
•    Web Services
•    Fail Open Authentication
•    Dangers of HTML Comments

Etliche der seit einiger Zeit von Bildungsträgern vermehrt und für vierstellige Beträge angebotenen „Hackerkurse“ benutzen u.a. WebGoat als Trainingsumgebung für Angriffe auf Webanwendungen. Auch ich habe das Tool auf diese Weise entdeckt. OWASP stellt es kostenfrei für die interessierte Fachwelt zur Verfügung, so dass man auch zuhause und ohne teures Seminar damit experimentieren kann.

Das Metasploit-Projekt – selber mit Exploits experimentieren

Exploits (egl. „to exploit“ – ausbeuten, ausnutzen) sind kleine Softwarekomponenten, mit denen entdecke Sicherheitslücken in anderen Programmen ausgenutzt werden können. Meist mit dem Ziel sich unerlaubt Zugänge zu anderen Rechnern zu verschaffen.

s.a. http://de.wikipedia.org/wiki/Exploit

„Das Metasploit-Projekt ist ein freies Open-Source-Projekt zur Computersicherheit, das Informationen über Sicherheitslücken bietet und bei Penetrationstests sowie der Entwicklung von IDS-Signaturen eingesetzt werden kann. Das bekannteste Teilprojekt ist das Metasploit Framework, ein Werkzeug zur Entwicklung und Ausführung von Exploits gegen verteilte Zielrechner. Andere wichtige Teilprojekte sind die Opcode-Datenbank, das Shellcode-Archiv und Forschung im Bereich der IT-Sicherheit.“  (http://de.wikipedia.org/wiki/Metasploit)

Metasploit kann unter http://metasploit.com/ heruntergeladen werden.

Nützlich ist diese Sammlung vor allem, wenn Sie einen Rechner „härten“ wollen. D.h. wenn Sie mit besonders restriktiv gewählten Rechten, Rollen, Diensten und sonstigen Einstellungen den Rechner gegen unzulässige Zugriffe von außen absichern wollen. Mit Hilfe von Metasploit können Sie anschließend die Wirksamkeit Ihrer Einstellungen testen, indem Sie gewissermaßen Ihren gehärteten PC zu „hacken“ versuchen und solange nachbessern, bis er „dicht“ ist.

Metasploit ist auch nützlich, um die Güte eines heuristischen Malware-Scanners zu prüfen. Ein guter Scanner sollte zumindest einige Teile des Pakets als „potentiell gefährlichen Code“ identifizieren können. Erfahrungsgemäß gibt es bei Viren- und sonstigen Scannern große Qualitätsunterschiede bei der heuristischen Schadcode-Erkennung.

Metasploit ist ein nützlicher Werkzeugkasten. Trotzdem sollten Sie einige Dinge beachten:

1. Vor Software-Experimenten jeglicher Art am PC wird ein Backup gemacht!
2. Ihr produktiv genutzer Heim-PC ist kein guter Platz für autodidaktische Fortbildung im Gebrauch von IT-Sicherheitswerkzeugen. Ein Zweitrechner fürs Rumexperimentieren ist da besser.
3. Der PC Ihres Arbeitgebers ist ein noch weniger geeigneter Ort dafür! Ungefragt daran herumzuspielen, kann Ihnen nicht nur die fristlose Kündigung sondern auch noch eine Strafanzeige wegen Computersabotage o.ä. einbringen.
4. Metasploit zählt zu den „Hackertools“ i.S.d. § 202c StGB. Sie bewegen sich mit dem Gebrauch in einer rechtlichen Grauzone. Es versteht sich von selbst, dass Sie das Tool nur auf Rechnern einsetzen, die Ihnen gehören.

Microsoft warnt vor großflächigen SQL-Injection-Angriffen

Webshops, Wikis, Forensysteme, Groupware- und Content-Management-Systeme setzen Datenbanken ein, um darin ihre Daten und Inhalte abzulegen. Oft trifft der Besucher solcher Seiten dabei auf Kombinationen von Microsoft-Produkten wie Windows-2000-Server, Internet Information Server, MS-SQL-Server, Active Server Pages. Manchmal auch zusammen mit Open-Source-Systemen wie Apache, mySQL und PHP oder Perl.

Die Anzahl von gehackten Websites mit ASP und ASP.NET-Technologie in den dazugehörigen Datenbanken scheint beträchtlich zuzunehmen und mittlerweile sechsstellige Größenordnungen anzunehmen. Das beunruhigt auch Microsoft, so dass sie ein Security Advisory dazu rausgegeben haben.

Demnach beruhen die Probleme nicht auf spezifischen Sicherheitslücken in den Microsoft-Komponenten. Sondern auf allgemeiner Nachlässigkeit im Umgang mit Benutzereingaben.

In der Tat ist es bei schlecht gesicherten Webanwendungen möglich, durch bestimmte Formen von Eingaben die im Hintergrund werkelnden Datenbanken dazu zu bringen, diese als ausführbaren SQL-Befehl zu betrachten und dem Nutzer so direkten Zugriff auf die Datenbank zu geben.

s.a. http://www.heise.de/security/Giftspritze–/artikel/43175 und http://de.wikipedia.org/wiki/SQL-Injection

Geschlossen wird dieses Einfallstor durch eine Filterung von Benutzereingaben, um daraus bestimmte Steuerzeichen und SQL-Ausdrücke als unzulässige Eingabe zu entfernen. Dazu gibt Microsoft in seinem Advisory konkrete Hinweise. Zugleich werden Administratoren einige kostenlose Tools bereitgestellt, mit denen sie die Anfälligkeit ihrer Webanwendungen prüfen und ggf. verringern können.

Fundstücke bei Microsoft – Das Malware Protection Center

Schon seit längerem zählt der Windows Defender sowie das (bei aktiviertem Patch-Download) Malicious Software Removal Tool (MSRT) zur Grundausstattung von WinXP-Systemen, was den Schutz vor Schadsoftware angeht. Man sollte sich nicht allein auf diese beiden Tools verlassen. Aber einen pflegeleichten Grundschutz auch für Laien bieten sie allemal.

Im täglichen Betrieb bekommt man kaum etwas vom Werkeln dieser Windows-Komponenten mit. Daher ist es umso interessanter, was diese Software weltweit so „unterm Teppich“ hervorholt. Im Microsoft Malware Protection Center (MMPC) findet man ein umfängliches Archiv mit Beschreibungen zu aktuellen Schädlingen. Sie wurden allesamt vom MSRT irgendwo mal aufgestöbert und mit Korrekturen der Microsoft-Entwickler aus dem infizierten System beseitigt. Vorausgesetzt der Benutzer hatte die beiden Tools aktiviert und so eingestellt, dass sie regelmäßig Schädlingssignaturen von Microsoft beziehen können.

Zusätzlich hat Microsoft ein Threat Research & Response Blog eingerichtet, in dem die Entwickler des MSRT sich regelmäßig zu aktuellen Trends bei der Malware-Bekämpfung äußern.