„Predator“-Drohnen mit Kaufsoftware gehackt und angezapft

Drohnen, d.h. unbemanntes, fern gesteuertes oder autonom funktionierendes, meist fliegendes Gerät, werden bei den technologieorientierten Streitkräften vieler Länder immer beliebter. Führend beim Einsatz unbemannter Kampfmaschinen ist die USA, obwohl auch die Bundeswehr zunehmend in Entwicklung und Einsatz von Drohnen investiert. Damit soll dem Umstand Rechnung getragen werden, dass die potentiell gesundheitsschädlichen Folgen von Kampfeinsätzen für das daran beteiligte Personal möglichst reduziert werden sollen.

Drohnen wurden zunächst primär zur Aufklärung und Ausspähung von Gegnern eingesetzt. Mit ihrer Weiterentwicklung und Verbreitung kam dann auch die gezielte Ausschaltung militärischer Anführer hinzu. Schließlich kann eine halbautonom operierende Drohne wie die amerikanische „Predator“ z.B. im afghanischen Bergland per Satellitenverbindung aus einem Einsatzzentrum in einer US-Vorstadt zum gezielten „Bejagen und Ausdünnen“ von Talibankämpfern verwendet werden, ohne dass sich der Drohnenlenker auch nur annähernd in ein echtes Gefecht hineinbegeben müsste.

Allerdings sind Drohnen auch ein hochinteressantes Angriffsziel für Cyber-Krieger aller Seiten. Das musste erst kürzlich auch die US-Army erfahren, als bekannt wurde, dass es iranisch-schiitischen Milizverbänden im Irak im Sommer 2009 gelungen war, Videodaten von Predator-Drohnen, die über eine ungeschützte (!) Schnittstelle übertragen wurden, abzufangen und mitzuschneiden. Dabei sollen unter anderem Informationen über US-Truppenbewegungen und Stützpunkte in die Hände der gegnerischen Kämpfer gefallen sein. Besonders spaßig: Die Irakis verwendeten dazu die Kaufsoftware „SkyGrabber“, die es für knapp 26 $ im Internet direkt beim Hersteller zu kaufen gibt und mit der man Satellitenübertragungen aller Art abhören und aufzeichnen kann.

Besonders heikel dabei ist, dass das US-Militär von diesem Sicherheitsproblem in den Predatoren wohl bereits seit den 1990ern wusste, die Lücke aber als unkritisch einstufte, solange sie nicht bekannt werden würde. Man ging naiverweise davon aus, dass Dritte nur solche Lücken ausnutzen würden, die offiziell bekannt sind, anstatt kreativ nach neuen, noch nicht entdeckten Schwächen im Design der gegnerischen Waffen zu suchen (security by obscurity). Und das, obwohl sich in fast jeder Armee der Welt Spezialisten mit der Beschaffenheit von Waffensystemen der Gegner beschäftigen.

Natürlich bestreiten die US-Militärs, dass zu irgendeinem Zeitpunkt die Möglichkeit oder die Gefahr bestanden hätte, dass die Drohnen übernommen wurden oder Dritte die Flüge manipuliert haben könnten. Trotzdem dürfte so – zumindest inoffiziell – eine fachliche Debatte über Schachstellen in Drohnen und anderem militärischen Gerät entstehen. Schließlich wird der Einsatz dieser teuren Geräte politisch vor allem mit der Möglichkeit zur Senkung und Vermeidung von Verlusten an Soldaten begründet. Das aber wäre hinfällig, wenn Hacker die Drohnen mit einfachen Methoden und preiswerten Tools angreifen oder gar ganz außer Gefecht setzen könnten.

Lt. Gen. David Deptula, der das US Air Force-Programm für unbemannte Fluggeräte leitet, erklärte dem Wall Street Journal, es sollen schon in absehbarer Zukunft neue Technologien und Verbesserungen eingesetzt werden. Wahrscheinlich wird man die Predatoren also mit verbesserter Hardware nachbessern. So ist etwa ein neues Kamerasystem namens „Gorgon Stare“ geplant, das es der Drohne ermöglichen soll, zeitgleich bis zu zehn Videofeeds aufzuzeichnen. Zudem sollen bessere Verschlüsselungstechnologien mehr Sicherheit bringen.

Nichtsdestotrotz dürfte das Hacken von Militär-Equipment längst eröffnet sein. Und solch naive Äußerungen wie die zur Schwachstelle, die aufgrund ihrer Unbekanntheit nicht ausgenutzt würde, machen deutlich, dass es für Freunde kreativer Techniknutzung in den Waffenkammern der US-Army noch viel zu entdecken gibt.

Wer sich für die Drohnentechnologie an sich interessiert, kann aber auch ganz ohne militärischen Bezug und völlig legal daran arbeiten. Beispielsweise beim Bau privater Mikrokopter, also ferngesteuerter oder teilautonom fliegender Mini-Hubschauer, die man z.B. mit Kameras bestücken und zu fliegenden Spähern ausbauen kann. So wird z.B. beim Chaos Computer Club bereits erwägt, der Polizeiüberwachung von Demonstrationen eine eigene Kameraüberwachung der Polizeitruppen entgegenzusetzen, um ggf. gewalttätige Übergriffe durch die Polizei dokumentieren zu können. Auch gibt es bereits Wettbewerbe für Drohnenbastler wie den Motodrone.

Saure Milch im Kaffee – Wie Hacker Microsofts Forensik-Tool auskontern

Vor einiger Zeit wurde bekannt, dass Microsoft eine Toolsammlung namens „Computer Online Forensic Evidence Extractor“ (COFEE) entwickelt hat. Und sie bereits seit längerem an Strafverfolgungsbehörden zur Sammlung forensischer Informationen abgibt. Das Tool fand rasch seinen Weg in die Community und wurde dort analysiert.

Inzwischen gibt es ein erstes Programm, das den Einsatz von Cofee behindern soll. So nutzten Hacker die Gunst der Stunde und entwickelten mit „Decaf“ (Detect and Eliminate Computer Assisted Forensics) ein Abwehrprogramm, dass beim Einstecken eines mit COFEE bestückten USB-Sticks automatisch Gegenmaßnahmen ergreifen und Beweise verschleiern soll, indem es etwa temporäre Dateien löscht,  die von COFEE generierten Logdaten manipuliert oder gleich den USB-Port abschaltet. Auch wurde eine Art „Lockdown“-Modus implementiert, mit dem es möglich sein soll, einen gerade ausgespähten Rechner intern zu verriegeln, forensisch verwertbare Datenspuren zu beseitigen und das System nach dem Deaktivieren  von USB-Ports, Disketten- und CD-Laufwerken, Drucker- und Netzwerkanschlüssen  „verschlossen“ herunterzufahren.

„Wir wollen einen gesunden, ungehinderten freien Fluss von Daten im Internet fördern und zeigen, wieso die Ermittlungsbehörden sich nicht allein auf Microsoft verlassen sollen, um ihre Beweissicherung zu automatisieren“ so einer der Decaf-Entwickler.

Ob das Tool hält, was es verspricht, wurde bislang noch nicht umfassend untersucht – der Ansatz jedenfalls ist für einige  interessant, für manch Andere eher beunruhigend. Allerdings ist es wohl nur eine Frage der Zeit, bis das geklärt ist. Herunterladen und testen kann man Decaf u.a. unter decafme.org.

Allerdings legten die Entwickler den Quellcode von Decaf nicht offen, so dass das genaue Tun des Programms nicht per Codereview analysiert werden kann. Zudem untersagen sie in der Lizenzvereinbarung des kostenfrei verbreiteten Programms explizit die Disassemblierung und das Reengineering der Software. Nach Aussagen der Entwickler sollen so die im Programm  verwendeten Signaturen geschützt werden, mit deren Hilfe das Tool beim Einsatz wohl die Rechnerumgebung analysiert.

Kommt die staatliche Zwangsimpfung für PCs?

Bei Landwirten ist die staatliche Zwangsimpfung für Kälber gegen Blauzungenkrankheit aufgrund der Nebenwirkungen durchaus umstritten. Daher sorgte auch ein Vorschlag des eco – Verband der deutschen Internetwirtschaft e.V. auf dem IT-Gipfel kürzlich in Stuttgart für Diskussionsstoff.  Der eco schlug dort vor, unter dem Label „Deutsche Anti-Botnetz-Initiative“ eine Art Beratungs- und Unterstützungsangebot für Benutzer einzurichten, deren PCs von Schadsoftware befallen wurden.

Der eco dazu in einer Pressemeldung:

Ziel der Initiative ist, dass Kunden der teilnehmenden Internet Service Provider, deren PC ohne ihr Wissen Teil eines Bot-Netzes wurde, von ihrem Provider hierüber informiert werden und zugleich kompetente Unterstützung bei Beseitigung der Schadsoftware erhalten.

Die Unterstützung erfolgt in gestufter Form: Zunächst kann der betroffene Kunde eine Webseite besuchen, auf der er Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt bekommt. Die zweite Stufe des Unterstützungsangebots stellt ein anbieterübergreifendes Beratungszentrum dar, das Kunden mit weitergehendem Beratungsbedarf telefonisch durch die erforderlichen Schritte zur Beseitigung des Schadprogramms sowie zur nachhaltigen Absicherung des PCs führt. Die Benachrichtigung der betroffenen Kunden soll nach Möglichkeit auf mehreren Kanälen erfolgen, sodass ein zuverlässiger Eingang beim Empfänger sichergestellt ist, etwa durch eine Vorschaltwebsite beim Öffnen des Browsers sowie zusätzlich per Post.

An sich eine gute Idee. Die sich aber rasch zu einen Problem für Datenschutz und Bürgerrechte entwickeln könnte. Denn Internetprovider wollen dazu den Datenverkehr ihrer Kunden analysieren, um diese dann zu kontakten und zu warnen. Und diesen Kunden ggf. den Internetzugang zu sperren, wenn sie nicht zusehen, dass sie mit Hilfe der angebotenen Unterstützung (0900-Nummer?) das Problem loswerden. Da ist sie also wieder: Die Internetsperre als Disziplinierungsinstrument. Kein Wunder, dass Vertreter der Regierung die Idee rasch als „gelungenes Beispiel privatwirtschaftlicher Verantwortungsübernahme für die Gesamtgesellschaft“ lobten.

„Zentrale Frage für uns ist, ab wann dürfen wir Internetnutzer sperren?“, so Sven Karge, Fachbereichsleiter beim eco daher auch zu Journalisten von Welt online. Im Eco sind schließlich viele Provider vertreten. Denn zu dieser Sanktion würden die Provider gerne greifen, wenn ihre Kunden sich auch nach Hinweisen durch die Unternehmen weigern, etwas gegen Schadsoftware auf ihren Rechnern zu unternehmen.

Um die Idee umzusetzen, müssten die Provider jedoch zunächst einmal Geld in die Hand nehmen. Weshalb ihnen auch das Innenministerium bereits eine Anschubfinanzierung und das Bundesamt für Informationstechnik (BSI) technische Unterstützung zusagten. Zudem müsste man an Verträge und AGBs ran. Denn bislang sind Internetprovider genau dafür zuständig, dem zahlenden Kunden eine funktionierende Internetverbindung in vereinbarter Qualität zur Verfügung zu stellen. Nicht mehr. Doch schon länger streben die Bitschieber nach neuen Aufgabenfeldern, da die reine Datenspedition eine recht austauschbare und daher dem Preiswettbewerb voll ausgesetzte Leistung ist. Beratungsdienste (zunächst kostenlos, später kostenpflichtig oder gleich per 0900-Nummer), die der Kunde in bestimmten Situationen in Anspruch nehmen muss, könnte da ein interessantes Zusatzangebot sein.

Technisch wäre das Überwachen von Kundenrechnern auf Auffälligkeiten für die Provider kein echtes Problem. Man könnte z.B. nach, für bestimmte Formen von Schadsoftware charakteristischen, Veränderungen im Lastprofil von Kunden suchen (vermehrter Traffic auf bestimmten Ports, Nutzung unüblicher Dienste / Protokolle …). Oder auch per Deep-Packet-Inspection (DPI) die Inhalte von Datenpaketen auffällig gewordener Rechner z.B. nach Befehlssequenzen zur Botnet-Steuerung durchsuchen, die zwischen Kontrollrechner und Bot hin und hergehen. DPI ist eine aus Gründen des Datenschutzes umstrittene Technik, die neben der Bespitzelung der Kunden auch zur Aufweichung der Netzneutralität durch das Wegfiltern oder Verzögern bestimmter Dienste (z.B. P2P-Datenverkehr oder unerwünschte Sprachtelefoniedienste) missbraucht werden kann.

Andererseits haben solche Ansätze auch ihre technischen Grenzen. Veränderungen im Nutzungsverhalten und im Inhalt von Datenpaketen können schließlich auch durch Installation neuer Programme, dem Einsatz von Zweitrechnern mit anderem Betriebssystem oder dem Teilen des Internetzugangs per WLAN in einer WG zustandekommen.

Und so sah sich der eco inzwischen zu einer Klarstellung genötigt. Zumal sich bereits etliche Stimmen aus der Politik kritisch zu den bürgerrechts- und datenschutzbezogenen Folgen des  Vorhabens geäußert hatten. Was auch zeigt, wie skeptisch und dünnhäutig die Menschen nach fortwährenden internetpolitischen Angriffen auf ihre Freiheiten im Netz inzwischen geworden sind.

So erläuterte Gisela Piltz (FDP) Heise online: „Natürlich ist es richtig und notwendig, die IT-Sicherheit zu verbessern, Spam zu bekämpfen und Malware aufzuspüren. Allerdings muss man sich schon einmal fragen dürfen, ob es eine staatliche Aufgabe ist, Steuergelder für ein Call-Center zum IT-Support bereitzustellen“. Es gebe ja auch keine staatlich finanzierte Hotline für Probleme mit dem eigenen Auto.

Stefan Krempl von Heise online weiter über Frau Piltz:

Die Innenpolitikerin machte zudem deutlich, dass auch im Kampf gegen infizierte Computer von Heimanwender der Datenschutz gewahrt bleiben müsse. „Eine generelle Überwachung des Internet-Datenverkehrs darf es nicht geben, dies ist auch im Koalitionsvertrag vereinbart“, betonte Piltz. Das mögliche Kappen von Netzzugängen oder eine Beschränkung des Internetzugangs allein auf eine Warnseite sei ein gravierender Grundrechtseingriff, der für die Liberalen nicht denkbar sei. Es sei rechtlich auch höchst fragwürdig, ob derartige Eingriffe über die Allgemeinen Geschäftsbedingungen verhältnismäßig wären. Eine potenzielle Pflicht zum Schutz gegen PC-Viren hält Piltz zudem genauso für unmöglich wie ein Kino- und Theater-Verbot für Menschen mit Erkältung.

Daher forderte die Piratenpartei die Regierung bereits dazu auf, bei dem geplanten Projekt auf gesetzliche Sanktionen zu verzichten.

Es ist daher gut möglich, dass die „Deutsche Anti-Botnetz-Initiative“ rasch wieder dorthin verschwindet, wohin bereits zahlreiche netzpolitische Vorhaben der Kategorie „gut gemeint – nichts dabei gedacht“ hin verschwunden sind: Ins politische dev0-Device bzw. die Rundablage.

Online-Spieler im Fadenkreuz von Kriminellen

Zugangsdaten zu kostenpflichtigen Online-Spielen wie World of Warcraft entwickeln sich zunehmend zum begehrten Beuteziel für Cyber-Kriminelle. Das berichtete kürzlich der Antiviren-Softwarehersteller Sophos in einer Pressemeldung zu einer Malware, die den Klassifizierungscode Troj/Agent-LVF erhielt.

Dabei geht es um einen Angriff auf WoW-Spieler, der Social Engineering mit dem Einsatz von Spyware und Trojanern kombiniert.

Ausgewählte Angriffsziele erhalten dabei zunächst eine Mail mit dem Betreff „Do you like to find a girlfriend like me?“ und einem einladenden Text wie diesem:

„Wish to have a boyfriend
Be able to protect me, take care of me
Intolerable lonely night and would like to have your care.
Do you Willing?“

Dazu einige recht ansprechende Bildchen sowie zwei Videoclips einer asiatischen Porno-Schönheit als Dateianhang „my photos.rar“. Die Bildchen sollen offenbar Lust auf mehr machen und zum Starten der Videoclips verleiten. Diese enthalten den bereits erwähnten Trojaner, der dann den Rechner gezielt nach Zugangsdaten zu WoW durchsucht während der PC-Besitzer noch von schönen Zeiten mit großäugigen süßen Asiatinnen träumt.

Die Entwickler des Trojaners sind dabei auf bedeutend mehr aus, als einen kostenlosen Zugang zu dem beliebten Spiel. Sie streben danach, die virtuellen Besitztümer der WoW-Charaktere im Spiel auf andere Avatare zu übertragen und an Dritte weiter zu veräußern. Denn für seltene oder scher zu beschaffende Objekte werden in der realen  Welt durchaus ordentliche Preise mit echtem Geld bezahlt. Eine virtuelle Version des Straßenraubs also. Auch Auftragsdiebstahl wäre denkbar, wenn die Diebe auf diesem Weg z.B. gezielt ein bestimmtes Artefakt finden und an ihren Kunden liefern sollen.

Graham Cluley, Technologieberater bei Sophos, erläutert dazu: „Eine überaschende hohe Anzahl an Schadprogrammen wurde entwickelt, um Registrierschlüssel, Passwörter und Spieldaten von Computerspielen zu stehlen. Es geht dabei nicht darum, in einem Spiel besser voranzukommen. Kriminelle stehlen virtuelle Besitztümer wie Rüstungen, Geld und Waffen um sie gegen bares Geld in der realen Welt verkaufen zu können. Hacker machen sich gerne menschliche Schwächen zunutze, um in Computersysteme eindringen zu können. Und Bilder von nackten Frauen können für manchen Nutzer eine Einladung darstellen, der sie nur schwer widerstehen können“.

Während es rechtlich noch nicht wirklich klar ist, ob virtuelle Güter überhaupt gestohlen werden können, schaffen die WoW-Datendiebe Fakten. Künftig wird man wohl noch häufiger gezielte Angriffe mit einer Kombination von Methoden auf klar umgrenzte Zielgruppen erleben können, denen ein ebenso klar erkennbares ökonomisches, kriminelles oder terroristisches Motiv zugrunde liegt.

Und in der Spieleindustrie dürfte man zunehmend auch über Sicherheitsarchitekturen und Schutzmaßnahmen für Online-Spiele nachdenken. Da könnte sich mittelfristig ein neues Marktsegment für Produkte und Technologien rund um Informationssicherheit und sichere Software auftun.

Die Dienstmädchen-Attacke

Manche Methoden IT-Systeme anzugreifen haben kuriose Namen und seltsame Hintergründe, die geeignet erscheinen, gute Geschichten zu liefern. Dazu zählt auch die Dienstmädchen-Attacke („evil maid attack“). Sie wurde erdacht, um mobile Rechner mit aktivierter Festplattenverschlüsselung stehlen und an die Daten herankommen zu können. Und um die Angreifbarkeit von Festplattenverschlüsselungstools wie Truecrypt oder Bitlocker zu prüfen.

Die Vorgehensweise:

Jemand nimmt einen Laptop mit sensiblen Informationen mit auf Geschäftsreise. Um die Informationen zu schützen, hat er eine Festplattenverschlüsselung auf dem Gerät installiert, welche die Daten durch Passwort und starke Verschlüsselung schützt. Unterwegs kommt es vor, dass er den Laptop im Hotelzimmer unbeaufsichtigt zurücklässt (ggf. per Schloss vor Entwendung geschützt).

Zu Hotelzimmern hat das Haus- und Reinigungspersonal jederzeit Zugangsmöglichkeiten. Ein Dienstmädchen, das vom eigentlichen Datendieb dazu beauftragt wurde, steckt einen präparierten bootfähigen USB-Stick an den Rechner und fährt ihn damit hoch. Auf dem Stick befindet sich ein Trojaner mit Sniffer- oder Keylogger-Funktion, der nun installiert wurde. Der Rechner wird wieder heruntergefahren und der USB-Stick wieder mitgenommen. Der ganze Vorgang dauert nur wenige Minuten und erfordert seitens des Durchführenden keinerlei tiefere technische Kenntnisse.

Später als der Geschäftsreisende wieder mit dem Laptop arbeitet, gibt er u.a. das Passwort zur Entschlüsselung der geschützten Daten ein, meldet sich am Firmenintranet an und tätigt andere mit Login geschützte Arbeiten. Der im Hintergrund mitlaufende Schnüffeltrojaner zeichnet alles auf.

Einige Tage später wird der Laptop tatsächlich gestohlen. Und da der Dieb sich durch den zuvor installierten Keylogger die Passwörter für den Zugriff auf die verschlüsselten Daten beschafft hat, kann er nun alle auf dem Rechner vorhandenen Informationen entwenden.

Eine linuxbasierte Referenzimplementation für die Evil Maid-Attacke per USB-Stick kann man vom The Invisible Things Lab’s blog herunterladen. Was für Zwecke des Selbststudiums und des Experimentierens mit eigenen Geräten noch legal ist, dürfte spätestens beim Einsatz „in the wild“ die Kriterien des sog. „Hackerparagraphen“ erfüllen.

Wie kann man sich nun vor dem „bösen Dienstmädchen“ schützen?
Joanna Rutkowska, CEO bei Invisible Things Lab und Erfinderin dieses Angriffs sowie Graham Cluley von Sophos schlagen dazu in ihren Blogs Folgendes vor:

Um zu vermeiden, dass in Abwesenheit des Besitzers andere unbemerkt mit dem Laptop arbeiten, sollte der Rechner nicht nur softwareseitig sondern auch physisch geschützt sein. Beispielsweise indem er in einem Hoteltresor verwahrt wird.

Besteht allerdings auch nur die Wahrscheinlichkeit, dass zwischenzeitlich jemand unberechtigten Zugriff auf den Rechner hatte, so hätte seine weitere Nutzung an sich zu unterbleiben, bis er einer sorgfältigen technischen Überprüfung (auf Veränderung der Hardware) und einer anschließenden Neuinstallation des Systems sowie der Software unterzogen wurde. Ein Aufwand der in der Praxis vieler Geschäftsleute auf Reisen wohl nicht betrieben werden dürfte.

Denkbar wäre auch der Einsatz von Laptops, die weder über USB-Anschlüsse noch bootfähige Medien (z.B. DVD-Laufwerke) verfügen, was aber in der Praxis oftmals schwer durchzusetzen sein dürfte.

Viele Attacken der „Evil Maid“-Machart können durch Trusted Computing Architekturen und einem entsprechend geschützten Bootprozess durch ein sicheres Betriebssystem verhindert oder zumindest technisch deutlich aufwändiger gestaltet werden, so dass die meisten  in Frage kommenden Angreifer ausscheiden.

Auch der Einsatz einer Zweifaktoren-Authentifizierung (z.B. Passwort + biometrisches Merkmal oder Token) beim Zugriff auf die verschlüsselten Daten kann von Keyloggern nicht so ohne Weiteres überwunden werden, da sie nur das Passwort, nicht aber das biometrische Merkmal oder den Token abgreifen können.

Zudem sollte das Booten von USB-Sticks im BIOS des Rechners deaktiviert werden. Allerdings macht das eine Dienstmädchen-Attacke nicht unmöglich sondern nur aufwendiger. Das Dienstmädchen (oder ihr Auftraggeber) hätten nun die Festplatte des Laptops auszubauen und in einen mitgebrachten Netbook einzustecken, um von dort per USB-Boot den Trojaner aufzuspielen. Und sie anschließend wieder in den ursprünglichen Rechner einzubauen. Ein darin geübter Angreifer schafft das in etwa 10-15 Minuten. Auch das BIOS selbst sollte passwortgeschützt sein, so dass ein Angreifer vor Ort die USB-Deaktivierung nicht rückgängig machen kann.

Metasploit Framework in neuer Version 3.3 erschienen

Das Metasploit-Projekt hat die neue Version 3.3 seiner gleichnamigen Plattform für Pen-Tests bereit gestellt. Das aktuelle Release enthält mehr als 440 neue Exploit-Module, 216 weitere Hilfsmodule und ermöglicht die Fernsteuerung von Rechnern über einen eingebauten VNC-Dienst. Außerdem unterstützt die neue Version nun auch IPv6 und kann zur Prüfung von Sicherheitslücken in Microsofts neuem Flaggschiff Windows 7 eingesetzt werden.

Seit der letzten, vor etwa einem Jahr veröffentlichten, Version wurden etwa 180 bekannte Fehler korrigiert, so das Sicherheitsforscher H.D. Moore darin eine der am intensivsten getesteten Versionen des bekannten Tools sieht. Moore hatte das Metasploit-Projekt 2003 ins Leben gerufen und seine Firma Rapid7 hatte kürzlich die Betreuung des Open-Source–Projektes (BSD-Lizenz) übernommen.

Auf Bugtraq wurde dazu von H.D.Moore eine Mail veröffentlicht, in der er die verschiedenen systemspezifischen Erweiterungen und Verbesserungen der Metasploit-Plattform ausführlich erläutert.

Metasploit Framework ist ein Werkzeug für Penetrationstester, die im Auftrag von Unternehmen oder Prüfgesellschaften die Sicherheit von Netzwerken oder Anwendungen prüfen. Es enthält eine umfangreiche Sammlung von Exploits in Form geskripteter Module, die bekannte Sicherheitslücken in Programmen und Rechnersystemen ausnutzen. So kann ein Penetrationstester fehlende Sicherheitspatches und unzureichende Schutzvorkehrungen finden sowie die Angreifbarkeit von Systemen dokumentieren.

Die offene Verfügbarkeit macht die Exploit-Sammlung auch für privat am Thema Exploits und Security Interessierte sowie für Admins und IT-Experten in Unternehmen interessant. Schon um sich mit dem Stand der Technik beim Thema Pen-Testing und Exploits zu befassen.

Nützlich ist Metasploit vor allem, wenn man einen Rechner „härten“ und das auch austesten will. Metasploit ist auch nützlich, um die Güte eines heuristischen Malware-Scanners zu prüfen. Ein guter Scanner sollte zumindest einige Teile des Pakets als „potentiell gefährlichen Code“ identifizieren können. Erfahrungsgemäß gibt es bei Viren- und sonstigen Scannern große Qualitätsunterschiede bei der heuristischen Schadcode-Erkennung.

Ein Kaffee von Microsoft

Microsoft unterstützt Ermittlungsbehörden bei der Bekämpfung von Computerkriminalität. Beispielsweise durch die Entwicklung von Analysewerkzeugen für forensische Untersuchungen an beschlagnahmten Rechnern. Im Idealfall soll ein Ermittler nur noch einen USB-Stick mit vorinstallierter Software an einen zu untersuchenden PC anstecken und automatisch werden wichtige Systemdaten zusammengesucht, aufbereitet und auf dem Stick gespeichert – Bundestrojaner zum Mitnehmen für den Einsatz vor Ort gewissermaßen.

Genau das leistet ein Produkt von Microsoft, das offiziell nur an Strafverfolgungsbehörden abgegeben wird und für diese kostenlos ist: Der „Computer Online Forensic Evidence Extractor“ (COFEE).

Damit soll die Lücke zwischen den Kenntnissen krimineller Anwender und denen ermittelnder Beamter vor Ort geschlossen werden. Wenn Computer beschlagnahmt werden, müssen sie dazu meistens ausgeschaltet, abgebaut und zur forensischen Laboruntersuchung mitgenommen werden. Dadurch geht aber bereits wertvolles Beweismaterial verloren, wenn Speicherstände verschwinden, temporäre Dateien geschlossen und Verbindungen zurückgesetzt werden. Cofee soll es Ermittlern ohne IT-Fachwissen ermöglichen, diese Beweise direkt vor Ort am laufenden Rechner zu sichern.

Naturgemäß hatte die weltweite Hacker-Community ein großes  Interesse an dem Tool, schon um seine tatsächliche Leistung experimentell ausloten zu können. Daher war es auch nur eine Frage der Zeit, bis es durch undichte Stellen in eine Tauschbörse hineinleakte.

Dort fischten es die stets neugierigen Tester von Heise Security heraus und untersuchten es gründlich. Das Ergebnis war eher ernüchternd, zumal Cofee auch nur mit Windows-Versionen bis XP läuft und aus Linux-Rechnern gar nichts herausbekommt:

COFEE startet via Autorun direkt beim Anstecken des USB-Sticks und führt dabei ein Kommandozeilenskript aus. Tools wie whoami, autoruns und so weiter erstellen dabei einen Schnappschuss mit Basisinformationen, die danach für den Web-Browser hübsch aufbereitet werden. Raffinierte Tools, um etwa gelöschte Dateien oder anderweitig versteckte Informationen wiederherzustellen fanden sich nicht in der Sammlung. Der eigentliche Mehrwert liegt in der einfachen Bedienbarkeit und dem Schwerpunkt darauf, Beweise zu erheben, die auch vor Gericht stand halten.

Tatsächlich ist die Software in erster Linie eine besonders bequeme Möglichkeit, etliche zum Teil betriebssystemeigene Analyse-Werkzeuge direkt hintereinander ablaufen zu lassen und ihre Ergebnisse gesammelt in eine Datei auf dem USB-Stick zu schreiben. Allerdings könnte die Toolsammlung jederzeit erweitert und verbessert werden. So wie es die Heise-Autoren ja regelmäßig mit ihrer frei verfügbaren Version des ct‘-Helpers tun, mit dem jeder interessierte PC-Nutzer ganz ähnliche Dinge tun kann, wie es den Forensikern mit Cofee versprochen wird.

Und darin steckt auch das größte Risiko von Cofee. Wer es sich der Neugier halber aus einer Tauschbörse zieht und ausprobiert, kann nicht wissen, was die Verbreiter daran verändert und an Schadcode eingebaut haben. Jederzeit könnten ein paar zusätzliche Dinge eingebaut, Hintertüren geöffnet und Rootkits reingeschmuggelt worden sein, die tatsächlich Daten vom Rechner saugen. Allerdings nicht für die Polizei sondern für kriminelle Datendiebe im Internet. Und da Microsoft dieses Tool für Privatnutzer offiziell gar nicht anbietet, sind von dort auch weder Hilfen noch Sicherheitspatches zu erwarten.

Von diesem „Käffchen“ sollte man daher besser die Finger lassen.

Zur Befriedigung von experimenteller Neugier sind freie Toolsammlungen wie der ct-Helper allemal besser geeignet.

40% aller WLAN-Netze in Deutschland sind schlecht gesichert

Zu diesem Ergebnis kam die „PC-Feuerwehr“ eine als Franchise-System bundesweit tätige Firma, die u.a. einen PC-Notdienst für Privat- und Geschäftskunden anbietet. Techniker der Firma waren bundesweit in Wohn- und Gewerbegebieten unterwegs und prüften dort den Verschlüsselungsstatus erreichbarer WLAN-Funknetze (Wardriving). Dabei fanden sie im Durchschnitt etwa 11% komplett offene (unverschlüsselte) WLAN-Netze sowie weitere gut 30%, die lediglich mit dem veralteten und bereits seit Jahren als unsicher geltenden Verschlüsselungsstandard WEP „geschützt“ waren.

Sein WLAN gar nicht oder nur zum Anschein zu schützen kann unangenehme Folgen haben.  So ist die Privatsphäre aller Benutzer gefährdet, weil über das unsichere drahtlose Netz ihr gesamter unverschlüsselter Datenverkehr komplett mitgelesen werden kann. Aber auch wenn andere über das Netz Illegales treiben steht der Betreiber des WLAN-Routers über die sog. „Störerhaftung“ mit in der Verantwortung und muss für juristische Konsequenzen geradestehen.

Bei der Absicherung der Netze gibt es den PC-Feuerwehrlern zufolge beträchtliche regionale Unterschiede. So sollen in Bad Schwartau um die 40% der WLANs unverschlüsselt sein. Zu den sichersten Städten zählt dagegen Darmstadt mit nur rund 5% unverschlüsselten Netzen. Was auf Gulli.com zu der Vermutung führte, dass die in dieser Region stark durch Unternehmen, Forschung und Lehre vertretene IT-Sicherheit sich dort positiv auf die allgemeine Awareness der Betreiber und Nutzer auswirkt. Die „rote Laterne“ hinsichtlich WLAN-Sicherheit trägt die Stadt Bad Schwartau davon. Dort fanden die Techniker 40 Prozent aller WLANs ungesichert vor.

Nichtsdestotrotz nimmt das Bewusstsein für Sicherheit in Deutschland weiter zu. Denn die PC-Feuerwehr führt diese Überprüfung der Sicherheitsstandards bereits seit fünf Jahren jährlich durch. Vor vier Jahren fand man noch 36 Prozent aller WLANs ungeschützt vor.

Und inzwischen werden WLAN-Router für den privaten Internetzugang meist mit voreingestellter starker Verschlüsselung ausgeliefert, sodass diese nicht erst manuell aktiviert werden muss (was manchem Nutzer gar nicht klar ist).

„Trotzdem spüren wir in der täglichen Arbeit immer noch Unsicherheiten bei unseren Kunden, wie sie sich und ihren Computer gegen ungewollten Missbrauch schützen können“, weiß Geschäftsführer Michael Kittlitz aus der Praxis seines bundesweit tätigen PC-Notdienstes zu berichten.

Dazu hat die PC-Feuerwehr eine Checkliste mit folgenden Empfehlungen erstellt:

1. Im WLAN-Router überprüfen, was als Verschlüsselungsprotokoll voreingestellt ist. Falls da WEP oder gar nichts drinsteht, die bessere Verschlüsselung WPA2 (oder eine andere verfügbare) einstellen.
2. Bei einem neuen WLAN-Router sollte das voreingestellte Passwort sofort geändert werden und aus mindestens acht (besser noch mehr) Zeichen – Zahlen, Buchstaben sowie Sonderzeichen – bestehen. Man sollte dieses Passwort regelmäßig ändern. Es ist der Generalschlüssel zum eigenen Netz.Die Stärke des Passwortes, gemessen an allgemeinen Gütekriterien, kann man auf http://passwortcheck.pc-feuerwehr.de/ testen lassen.
3. Die Fernkonfiguration der WLAN-Einstellungen sollte man möglichst deaktivieren. Dadurch entledigt man sich einer potentiellen Sicherheitslücke, ohne auf täglich benötigte Funktionalität zu verzichten.
4. Das Funknetz kann ohne Bedenken abgeschaltet werden, wenn es gerade nicht benötigt wird, z.B. über eine Steckerleiste. Problematisch wird das allerdings, wenn z.B. auch die Telefonanlage mit dranhängt (Kombigeräte) oder der WLAN-Zugang dauerhaft online sein soll (z.B. in Wohngemeinschaften).
5. Die Techniker der PC-Feuerwehr fanden heraus, dass 26 % der WLANs auf Funkkanal sechs, 24% auf Kanal elf und 18% auf Kanal eins liegen. Diese starke gemeinsame Nutzung weniger Kanäle führt in dicht besiedelten Gegenden oft zu langsamen Internetverbindungen oder Störungen. Deshalb empfehlen sie Kanal zehn, vier oder fünf zu nutzen. Diese werden nur von knapp zwei Prozent der Betreiber genutzt.

Microsoft Security Essentials – essenzieller Schutz für Windowsrechner?

Vor kurzem gab Microsoft bekannt, mit Microsoft Security Essentials (MSE) ein weiteres kostenloses Ergänzungsprodukt für Windows bereitzustellen. Dabei handelt es sich um einen signaturbasierten On-Access-Scanner, der ständig Dateizugriffe im Hintergrund überwacht, sowie einen On-Demand-Scanner, der vom Anwender gesteuert den gesamten Rechner oder ausgewählte Bereiche auf Schädlinge untersucht. Antiviren-Engine und Signaturen stammen wie schon bei Windows Live OneCare von Microsofts serverbasiertem Business-Produkt Forefront Client Security.

Ziel ist es, einen grundlegenden Basisschutz für Windows-PCs privater Anwender bereitzustellen, so Microsoft. Analysten von AV-Comparatives kamen bei Tests zu dem Ergebnis, dass der Microsoft-Scanner dabei durchaus ordentliche Ergebnisse erreicht. Er fand in Tests mit Wildlist-Virenmaterial etwa 98% der geprüften Schadsoftware. Bei der Erkennung von Adware und Spyware kam MSE immerhin noch auf gut 90 %. Und auch Rootkits werden gut erkannt und entfernt.

Eine Option, Schädlinge anhand ihrer Programmaktivität durch Ausführung in einer sicheren Umgebung zu erkennen (verhaltensbasierte Virenidentifikation) besitzt MSE nicht. Die bekommt man aber auch bei anderen Herstellern nur in kommerziellen Vollprodukten.

Und diese Wettbewerber im Bereich Virenschutz äußerten sich bereits kritisch zu MSE. Denn MSE bietet nur einen Grundschutz und längst nicht so viele Optionen wie ein kommerzielles Sicherheitsprodukt. Allerdings hat Microsoft das auch nie behauptet. Und man befürchtet, der Software-Riese aus Redmont könnte MSE einfach per Auto-Update an Windows-Nutzer ausliefern. Viele Antivirensoftwarehersteller sehen darin eine mögliche Wettbewerbsverzerrung. Denn was ein  Nutzer schon hat, wird er nicht mehr separat erwerben wollen. Und ob das Microsoft-Produkt nun im Detail besser oder schlechter ist, als eines von AVG oder Norton, erschließt sich dem Normalanwender ohnehin nicht.

Zudem könnte ein per Auto-Update weit verbreitetes Sicherheitsprodukt auch Sicherheitslücken beinhalten, die dann ebenso weit verbreitet wären. Sollte die Zahl der Nutzer von MSE durch die Auslieferung als Update schnell rapide ansteigen, könne so eine neue Bedrohung entstehen, weil die Software für mehr Virenautoren zu einem lohnenswerten Angriffsziel werden könnte – so ein Sprecher von AVG.

Nichtsdestotrotz wäre ein MSE-geschützter Rechner wahrscheinlich besser geschützt als einer ohne Schutz vor Schadsoftware.

Download von Microsoft Security Essentials  (XP, Vista, Windows 7)

Testbericht auf Chip.de

Backtrack 4 – Das Hacker-Linux auf der Heise-CD

Vor einigen Tagen erschien das diesjährige ct-Sonderheft Security. Es bietet ein sattes Paket an Informationen, Anwendungen und Hilfestellungen zum Thema IT-Sicherheit. Thematisiert werden u.a. der Kampf gegen Viren, bedrohte Privatsphäre, Verschlüsselung, sicheres Surfen, gefahrloses Online-Banking und die Suche nach Schwachstellen in der IT-Infrastruktur.

Für letzteres liegt eine DVD bei, die unter anderem eine bootbare Version von Backtrack 4 enthält.  Dabei handelt es sich um das BackTrack 4 Pre Final Kernel Update, das auf remote-exploit schon seit einiger Zeit als Pre Release in der Fassung pwnsauce Pentesting and Auditing Verrszum Download bereitsteht. Technisch steckt ein Ubuntu-8.10-Linux als Basis dahinter. Enthalten sind etwa 300 Tools für Sicherheitsexperten und Datenforscher. Sie sind im Backtrack-System als Menüstruktur angelegt, die sich am Arbeitsablauf eines IT-Sicherheitsexperten orientiert.

Die zahlreichen Werkzeuge erfordern zum Teil profundes Security-Fachwissen, so dass ich mich in manches erst einarbeiten muss. Dafür aber ist die bootbare CD (oder ein aus dem Internet gezogenes ISO-Image) bestens geeignet. Man kann mit dem System herumexperimentieren ohne eine bestehende Systeminstallation zu gefährden. Faszinierend, dass eine so umfangreiche und mächtige Werkzeugsammlung legal kostenlos zu haben ist.

Ein entsprechend angepasstes Repository an Software ermöglicht es, vorhandene Applikationen zu aktualisieren oder neue nachzuinstallieren. Freilich erst dann, wenn man das System tatsächlich auf einem Rechner installiert.

Warum hat eigentlich noch niemand ein Backtrack-Buch geschrieben? Wo doch sonst jede Linux-Distribution mit (mindestens) einem eigenen Fachbuch bedacht wird.