15. Dezember 2009
Vor einiger Zeit wurde bekannt, dass Microsoft eine Toolsammlung namens „Computer Online Forensic Evidence Extractor“ (COFEE) entwickelt hat. Und sie bereits seit längerem an Strafverfolgungsbehörden zur Sammlung forensischer Informationen abgibt. Das Tool fand rasch seinen Weg in die Community und wurde dort analysiert.
Inzwischen gibt es ein erstes Programm, das den Einsatz von Cofee behindern soll. So nutzten Hacker die Gunst der Stunde und entwickelten mit „Decaf“ (Detect and Eliminate Computer Assisted Forensics) ein Abwehrprogramm, dass beim Einstecken eines mit COFEE bestückten USB-Sticks automatisch Gegenmaßnahmen ergreifen und Beweise verschleiern soll, indem es etwa temporäre Dateien löscht, die von COFEE generierten Logdaten manipuliert oder gleich den USB-Port abschaltet. Auch wurde eine Art „Lockdown“-Modus implementiert, mit dem es möglich sein soll, einen gerade ausgespähten Rechner intern zu verriegeln, forensisch verwertbare Datenspuren zu beseitigen und das System nach dem Deaktivieren von USB-Ports, Disketten- und CD-Laufwerken, Drucker- und Netzwerkanschlüssen „verschlossen“ herunterzufahren.
„Wir wollen einen gesunden, ungehinderten freien Fluss von Daten im Internet fördern und zeigen, wieso die Ermittlungsbehörden sich nicht allein auf Microsoft verlassen sollen, um ihre Beweissicherung zu automatisieren“ so einer der Decaf-Entwickler.
Ob das Tool hält, was es verspricht, wurde bislang noch nicht umfassend untersucht – der Ansatz jedenfalls ist für einige interessant, für manch Andere eher beunruhigend. Allerdings ist es wohl nur eine Frage der Zeit, bis das geklärt ist. Herunterladen und testen kann man Decaf u.a. unter decafme.org.
Allerdings legten die Entwickler den Quellcode von Decaf nicht offen, so dass das genaue Tun des Programms nicht per Codereview analysiert werden kann. Zudem untersagen sie in der Lizenzvereinbarung des kostenfrei verbreiteten Programms explizit die Disassemblierung und das Reengineering der Software. Nach Aussagen der Entwickler sollen so die im Programm verwendeten Signaturen geschützt werden, mit deren Hilfe das Tool beim Einsatz wohl die Rechnerumgebung analysiert.
Kommentar schreiben » | 
Allgemeines, Angriff & Abwehr, IT-Sicherheit, Informationssicherheit, Tools | Mit Tag(s) versehen: Angriff & Abwehr, Computerforensik, Cyber-Crime, Data Leakage, Datendiebstahl, Datenleck, Ermittlung, Exploits, Fahndung, Filesharing, Hacker, Hackertools, IT-Forensik, IT-Revision, IT-Risiken, Malware, Microsoft, Patches, Rootkit, Schadcode, Schadsoftware, Sicherheitslücken, Sicherheitspraxis, Spyware, Tauschbörsen, Tools | 
Permalink
Verfasst von Guido Strunck
3. Dezember 2009
Zugangsdaten zu kostenpflichtigen Online-Spielen wie World of Warcraft entwickeln sich zunehmend zum begehrten Beuteziel für Cyber-Kriminelle. Das berichtete kürzlich der Antiviren-Softwarehersteller Sophos in einer Pressemeldung zu einer Malware, die den Klassifizierungscode Troj/Agent-LVF erhielt.
Dabei geht es um einen Angriff auf WoW-Spieler, der Social Engineering mit dem Einsatz von Spyware und Trojanern kombiniert.
Ausgewählte Angriffsziele erhalten dabei zunächst eine Mail mit dem Betreff „Do you like to find a girlfriend like me?“ und einem einladenden Text wie diesem:
„Wish to have a boyfriend
Be able to protect me, take care of me
Intolerable lonely night and would like to have your care.
Do you Willing?“
Dazu einige recht ansprechende Bildchen sowie zwei Videoclips einer asiatischen Porno-Schönheit als Dateianhang „my photos.rar“. Die Bildchen sollen offenbar Lust auf mehr machen und zum Starten der Videoclips verleiten. Diese enthalten den bereits erwähnten Trojaner, der dann den Rechner gezielt nach Zugangsdaten zu WoW durchsucht während der PC-Besitzer noch von schönen Zeiten mit großäugigen süßen Asiatinnen träumt.
Die Entwickler des Trojaners sind dabei auf bedeutend mehr aus, als einen kostenlosen Zugang zu dem beliebten Spiel. Sie streben danach, die virtuellen Besitztümer der WoW-Charaktere im Spiel auf andere Avatare zu übertragen und an Dritte weiter zu veräußern. Denn für seltene oder scher zu beschaffende Objekte werden in der realen Welt durchaus ordentliche Preise mit echtem Geld bezahlt. Eine virtuelle Version des Straßenraubs also. Auch Auftragsdiebstahl wäre denkbar, wenn die Diebe auf diesem Weg z.B. gezielt ein bestimmtes Artefakt finden und an ihren Kunden liefern sollen.
Graham Cluley, Technologieberater bei Sophos, erläutert dazu: „Eine überaschende hohe Anzahl an Schadprogrammen wurde entwickelt, um Registrierschlüssel, Passwörter und Spieldaten von Computerspielen zu stehlen. Es geht dabei nicht darum, in einem Spiel besser voranzukommen. Kriminelle stehlen virtuelle Besitztümer wie Rüstungen, Geld und Waffen um sie gegen bares Geld in der realen Welt verkaufen zu können. Hacker machen sich gerne menschliche Schwächen zunutze, um in Computersysteme eindringen zu können. Und Bilder von nackten Frauen können für manchen Nutzer eine Einladung darstellen, der sie nur schwer widerstehen können“.
Während es rechtlich noch nicht wirklich klar ist, ob virtuelle Güter überhaupt gestohlen werden können, schaffen die WoW-Datendiebe Fakten. Künftig wird man wohl noch häufiger gezielte Angriffe mit einer Kombination von Methoden auf klar umgrenzte Zielgruppen erleben können, denen ein ebenso klar erkennbares ökonomisches, kriminelles oder terroristisches Motiv zugrunde liegt.
Und in der Spieleindustrie dürfte man zunehmend auch über Sicherheitsarchitekturen und Schutzmaßnahmen für Online-Spiele nachdenken. Da könnte sich mittelfristig ein neues Marktsegment für Produkte und Technologien rund um Informationssicherheit und sichere Software auftun.
Kommentar schreiben » | 
Angriff & Abwehr, Informationssicherheit | Mit Tag(s) versehen: Angriff & Abwehr, Computerspiele, Cyber-Crime, Datendiebstahl, Datenhandel, E-Mail, Exploits, Hacker, Identitätsdiebstahl, Internet, IT-Risiken, Malware, Passwörter, Schadcode, Schadsoftware, Sicherheitslücken, Social Engineering, Spieleindustrie, Spyware, Trojaner, World oft Warcraft, WoW | 
Permalink
Verfasst von Guido Strunck
26. November 2009
Manche Methoden IT-Systeme anzugreifen haben kuriose Namen und seltsame Hintergründe, die geeignet erscheinen, gute Geschichten zu liefern. Dazu zählt auch die Dienstmädchen-Attacke („evil maid attack“). Sie wurde erdacht, um mobile Rechner mit aktivierter Festplattenverschlüsselung stehlen und an die Daten herankommen zu können. Und um die Angreifbarkeit von Festplattenverschlüsselungstools wie Truecrypt oder Bitlocker zu prüfen.
Die Vorgehensweise:
Jemand nimmt einen Laptop mit sensiblen Informationen mit auf Geschäftsreise. Um die Informationen zu schützen, hat er eine Festplattenverschlüsselung auf dem Gerät installiert, welche die Daten durch Passwort und starke Verschlüsselung schützt. Unterwegs kommt es vor, dass er den Laptop im Hotelzimmer unbeaufsichtigt zurücklässt (ggf. per Schloss vor Entwendung geschützt).
Zu Hotelzimmern hat das Haus- und Reinigungspersonal jederzeit Zugangsmöglichkeiten. Ein Dienstmädchen, das vom eigentlichen Datendieb dazu beauftragt wurde, steckt einen präparierten bootfähigen USB-Stick an den Rechner und fährt ihn damit hoch. Auf dem Stick befindet sich ein Trojaner mit Sniffer- oder Keylogger-Funktion, der nun installiert wurde. Der Rechner wird wieder heruntergefahren und der USB-Stick wieder mitgenommen. Der ganze Vorgang dauert nur wenige Minuten und erfordert seitens des Durchführenden keinerlei tiefere technische Kenntnisse.
Später als der Geschäftsreisende wieder mit dem Laptop arbeitet, gibt er u.a. das Passwort zur Entschlüsselung der geschützten Daten ein, meldet sich am Firmenintranet an und tätigt andere mit Login geschützte Arbeiten. Der im Hintergrund mitlaufende Schnüffeltrojaner zeichnet alles auf.
Einige Tage später wird der Laptop tatsächlich gestohlen. Und da der Dieb sich durch den zuvor installierten Keylogger die Passwörter für den Zugriff auf die verschlüsselten Daten beschafft hat, kann er nun alle auf dem Rechner vorhandenen Informationen entwenden.
Eine linuxbasierte Referenzimplementation für die Evil Maid-Attacke per USB-Stick kann man vom The Invisible Things Lab’s blog herunterladen. Was für Zwecke des Selbststudiums und des Experimentierens mit eigenen Geräten noch legal ist, dürfte spätestens beim Einsatz „in the wild“ die Kriterien des sog. „Hackerparagraphen“ erfüllen.
Wie kann man sich nun vor dem „bösen Dienstmädchen“ schützen?
Joanna Rutkowska, CEO bei Invisible Things Lab und Erfinderin dieses Angriffs sowie Graham Cluley von Sophos schlagen dazu in ihren Blogs Folgendes vor:
Um zu vermeiden, dass in Abwesenheit des Besitzers andere unbemerkt mit dem Laptop arbeiten, sollte der Rechner nicht nur softwareseitig sondern auch physisch geschützt sein. Beispielsweise indem er in einem Hoteltresor verwahrt wird.
Besteht allerdings auch nur die Wahrscheinlichkeit, dass zwischenzeitlich jemand unberechtigten Zugriff auf den Rechner hatte, so hätte seine weitere Nutzung an sich zu unterbleiben, bis er einer sorgfältigen technischen Überprüfung (auf Veränderung der Hardware) und einer anschließenden Neuinstallation des Systems sowie der Software unterzogen wurde. Ein Aufwand der in der Praxis vieler Geschäftsleute auf Reisen wohl nicht betrieben werden dürfte.
Denkbar wäre auch der Einsatz von Laptops, die weder über USB-Anschlüsse noch bootfähige Medien (z.B. DVD-Laufwerke) verfügen, was aber in der Praxis oftmals schwer durchzusetzen sein dürfte.
Viele Attacken der „Evil Maid“-Machart können durch Trusted Computing Architekturen und einem entsprechend geschützten Bootprozess durch ein sicheres Betriebssystem verhindert oder zumindest technisch deutlich aufwändiger gestaltet werden, so dass die meisten in Frage kommenden Angreifer ausscheiden.
Auch der Einsatz einer Zweifaktoren-Authentifizierung (z.B. Passwort + biometrisches Merkmal oder Token) beim Zugriff auf die verschlüsselten Daten kann von Keyloggern nicht so ohne Weiteres überwunden werden, da sie nur das Passwort, nicht aber das biometrische Merkmal oder den Token abgreifen können.
Zudem sollte das Booten von USB-Sticks im BIOS des Rechners deaktiviert werden. Allerdings macht das eine Dienstmädchen-Attacke nicht unmöglich sondern nur aufwendiger. Das Dienstmädchen (oder ihr Auftraggeber) hätten nun die Festplatte des Laptops auszubauen und in einen mitgebrachten Netbook einzustecken, um von dort per USB-Boot den Trojaner aufzuspielen. Und sie anschließend wieder in den ursprünglichen Rechner einzubauen. Ein darin geübter Angreifer schafft das in etwa 10-15 Minuten. Auch das BIOS selbst sollte passwortgeschützt sein, so dass ein Angreifer vor Ort die USB-Deaktivierung nicht rückgängig machen kann.
2 Kommentare | 
Angriff & Abwehr, Informationssicherheit | Mit Tag(s) versehen: Angriff & Abwehr, Cyber-Crime, Data Leakage, Datendiebstahl, Datenhandel, Datenleck, Datensicherheit, Hacker, Hackerparagraph, Hackertools, Identitätsdiebstahl, IT-Risiken, Keylogger, Kryptografie, Linux, Malware, Passwörter, Schadcode, Schadsoftware, Sicherheitspraxis, Sniffing, Spyware, Trojaner, Truecrypt, Trusted Computing, Verschlüsselung | 
Permalink
Verfasst von Guido Strunck
22. November 2009
Das Metasploit-Projekt hat die neue Version 3.3 seiner gleichnamigen Plattform für Pen-Tests bereit gestellt. Das aktuelle Release enthält mehr als 440 neue Exploit-Module, 216 weitere Hilfsmodule und ermöglicht die Fernsteuerung von Rechnern über einen eingebauten VNC-Dienst. Außerdem unterstützt die neue Version nun auch IPv6 und kann zur Prüfung von Sicherheitslücken in Microsofts neuem Flaggschiff Windows 7 eingesetzt werden.
Seit der letzten, vor etwa einem Jahr veröffentlichten, Version wurden etwa 180 bekannte Fehler korrigiert, so das Sicherheitsforscher H.D. Moore darin eine der am intensivsten getesteten Versionen des bekannten Tools sieht. Moore hatte das Metasploit-Projekt 2003 ins Leben gerufen und seine Firma Rapid7 hatte kürzlich die Betreuung des Open-Source–Projektes (BSD-Lizenz) übernommen.
Auf Bugtraq wurde dazu von H.D.Moore eine Mail veröffentlicht, in der er die verschiedenen systemspezifischen Erweiterungen und Verbesserungen der Metasploit-Plattform ausführlich erläutert.
Metasploit Framework ist ein Werkzeug für Penetrationstester, die im Auftrag von Unternehmen oder Prüfgesellschaften die Sicherheit von Netzwerken oder Anwendungen prüfen. Es enthält eine umfangreiche Sammlung von Exploits in Form geskripteter Module, die bekannte Sicherheitslücken in Programmen und Rechnersystemen ausnutzen. So kann ein Penetrationstester fehlende Sicherheitspatches und unzureichende Schutzvorkehrungen finden sowie die Angreifbarkeit von Systemen dokumentieren.
Die offene Verfügbarkeit macht die Exploit-Sammlung auch für privat am Thema Exploits und Security Interessierte sowie für Admins und IT-Experten in Unternehmen interessant. Schon um sich mit dem Stand der Technik beim Thema Pen-Testing und Exploits zu befassen.
Nützlich ist Metasploit vor allem, wenn man einen Rechner „härten“ und das auch austesten will. Metasploit ist auch nützlich, um die Güte eines heuristischen Malware-Scanners zu prüfen. Ein guter Scanner sollte zumindest einige Teile des Pakets als „potentiell gefährlichen Code“ identifizieren können. Erfahrungsgemäß gibt es bei Viren- und sonstigen Scannern große Qualitätsunterschiede bei der heuristischen Schadcode-Erkennung.
Kommentar schreiben » | Angriff & Abwehr, IT-Sicherheit, Informationssicherheit, Tools | Mit Tag(s) versehen: Angriff & Abwehr, Exploits, Hacker, Hackertools, Malware, Metasploit, Open Source, Patches, Pen-Test, Prüfgesellschaft, Qualitätsprüfung, Schadcode, Schadsoftware, Sicherheitslücken, Sicherheitspraxis, Softwaretest, Tester, Tools | Permalink
Verfasst von Guido Strunck
18. September 2009
Vor einigen Tagen erschien das diesjährige ct-Sonderheft Security. Es bietet ein sattes Paket an Informationen, Anwendungen und Hilfestellungen zum Thema IT-Sicherheit. Thematisiert werden u.a. der Kampf gegen Viren, bedrohte Privatsphäre, Verschlüsselung, sicheres Surfen, gefahrloses Online-Banking und die Suche nach Schwachstellen in der IT-Infrastruktur.
Für letzteres liegt eine DVD bei, die unter anderem eine bootbare Version von Backtrack 4 enthält. Dabei handelt es sich um das BackTrack 4 Pre Final Kernel Update, das auf remote-exploit schon seit einiger Zeit als Pre Release in der Fassung pwnsauce Pentesting and Auditing Verrszum Download bereitsteht. Technisch steckt ein Ubuntu-8.10-Linux als Basis dahinter. Enthalten sind etwa 300 Tools für Sicherheitsexperten und Datenforscher. Sie sind im Backtrack-System als Menüstruktur angelegt, die sich am Arbeitsablauf eines IT-Sicherheitsexperten orientiert.
Die zahlreichen Werkzeuge erfordern zum Teil profundes Security-Fachwissen, so dass ich mich in manches erst einarbeiten muss. Dafür aber ist die bootbare CD (oder ein aus dem Internet gezogenes ISO-Image) bestens geeignet. Man kann mit dem System herumexperimentieren ohne eine bestehende Systeminstallation zu gefährden. Faszinierend, dass eine so umfangreiche und mächtige Werkzeugsammlung legal kostenlos zu haben ist.
Ein entsprechend angepasstes Repository an Software ermöglicht es, vorhandene Applikationen zu aktualisieren oder neue nachzuinstallieren. Freilich erst dann, wenn man das System tatsächlich auf einem Rechner installiert.
Warum hat eigentlich noch niemand ein Backtrack-Buch geschrieben? Wo doch sonst jede Linux-Distribution mit (mindestens) einem eigenen Fachbuch bedacht wird.
Kommentar schreiben » | Angriff & Abwehr, IT-Sicherheit, Informationssicherheit, Tools | Mit Tag(s) versehen: Angriff & Abwehr, Audit, Backtrack, CISO, Computerforensik, ct, Hacker, Hackertools, Informationssicherheit, IT-Forensik, IT-Grundschutz, IT-Sicherheit, IT-Sicherheitsmanager, Linux, Open Source, Pen-Test, Sicherheitslücken, Sicherheitspraxis, Software, Tools | Permalink
Verfasst von Guido Strunck
21. August 2009
Datenbanken in Unternehmen sind attraktive Angriffsziele für professionelle Datenräuber. Die in ihnen enthaltenen Informationen lassen sich nicht nur an Wettbewerber verkaufen. Sie sind auch für Phishing und Pharming von Interesse, da man mit genauerer Kenntnis über Unternehmensinterna stark personalisierte Phishing-Mails generieren kann.
Mit konventionellen Schutzansätzen wie Zugriffs- und Rechtekonzepten oder Datenverschlüsselung auf Feldebene kommt man rasch an Grenzen, wenn z.B. die (relativ hochprivilegiert auf die Daten zugreifende) webbasierte Client-Applikation per SQL-Injection oder Cross-Site-Scripting angegriffen wird. Oder ein Innentäter mit entsprechenden Berechtigungen tätig wird. Klassische Möglichkeiten, eine Datenbank mit systemeigenen Mitteln zu schützen, können vor allem durch Schwachstellen in den Applikationen umgangen werden, welche die Datenbank nutzen.
Auf dieses Problem wies Oliver Karow kürzlich in der Fachzeitschrift „IT-Sicherheit“ (2/2009) sowie bereits 2007 auf Computerworld.ch hin.
Mit Database Attack Detection wird seit einiger Zeit ein neuer und zusätzlicher Schutz für die Unternehmensdatenbanken empfohlen. Oft greifen nur wenige, meist größere Systeme auf die Datenbank zu. Etwa ein CRM-System, das ERP-System und ein SAP-HR-Modul sowie eine Onlineshop-Bestellabwicklung. Die von diesen Applikationen verwendeten SQL-Zugriffe bilden meist nur einen kleinen Teil der Möglichkeiten von SQL ab und sind leicht typisierbar, da sie nur eine begrenzte Anzahl von verschiedenen SQL-Befehlen verwenden.
Jede SQL-Anfrage, die außerhalb dieser Grenzen legitimer und üblicher Anfragen liegt, kann als verdächtig angesehen und weiter geprüft werden. Bei der Database Attack Detection wird daher jeder einzelne SQL-Befehl, der an eine Datenbank geschickt wird, auf potentiell gefährlichen Code hin untersucht. Im Prinzip also ein zusätzlicher unabhängiger SQL-Interpreter, der im SQL-Code nach ungewöhnlichen Codefragmenten sucht. Beispielsweise wenn der Onlineshop als Folge einer SQL-Injection nach Personalstammdaten fragt, was im Verlauf einer regulären Bestellabwicklung nicht vorgesehen ist.
Damit diese Untersuchung in Echtzeit oder Quasi-Echtzeit erfolgen kann, wird eine Kopie sämtlicher Datenanfragen an das Database Attack Detection-System weitergegeben. Dieses nimmt die Unterscheidung zwischen legitimen und bösartigen Anfragen durch Formen des maschinellen Lernens wie Real-World-Training vor und laufende Konditionierung während des Einsatzes vor. Ähnlich wie es z.B. auch Bayes-Filter bei der Spambekämpfung tun.
Tritt ein Alarmfall ein, können dann vorgesehene Gegenmaßnahmen ergriffen werden. Beispielweise eine verzögerte Bearbeitung nachdem ein Systemadministrator die Anfrage geprüft hat. Oder ein Transaktionsabbruch mit oder ohne Fehlermeldung.
So erhalten neben Rechnern (Virenschutz), Netzen (Intrusion Detection / Prevention Systeme), Mailserver (Spamfilter) und Internet-Gateways (Content Filter) jetzt auch Datenbanken ihr spezielles „Datenschutz- und Sicherheitskondom“.
Kommentar schreiben » | Angriff & Abwehr, IT-Sicherheit, Informationssicherheit | Mit Tag(s) versehen: Access, Access Control, Angriff & Abwehr, Database Attack Detection, Datendiebstahl, Datenhandel, Datenleck, E-Mail, Hacker, Informatik, Informationssicherheit, Innentäter, IT-Sicherheit, Kryptografie, Pharming, Phishing, Sicherheitslücken, Sicherheitspraxis, SQL, SQL-Injection, Verschlüsselung, Wirtschaftsspionage | Permalink
Verfasst von Guido Strunck
16. August 2009
Heute geht in den Niederlanden das viertägige Hacker-Sommerfestival „Hacking at Random“ (HAR) zuende. Es war bereits vor Wochen ausverkauft. Auch aus Deutschland nahmen viele Hacker, Netzaktivisten und digital Natives daran teil.
Zumal eines der Kernthemen dieses Jahr der digitale Selbstschutz vor Privacy-Gefahren durch Staat und Wirtschaft war. Dazu wurden Projekte wie die „Surveillance Self-Defense“ der Electronic Frontier Foundation (EFF), das Portal für geleakte Geheimdokumente aller Art Wikileaks aber auch selbstgebaute Geräte zum Detektieren von RFID-Lauschern oder eine Demonstration des CCC, wie sich NEDAP-Wahlcomputer anhand kompromittierender Abstrahlung ausspähen lassen. Denn auch Wahlcomputer senden elektromagnetische Strahlen aus, die mit einer entsprechenden Antenne noch aus einigen Metern Entfernung gemessen werden können. Offen ist allerdings noch, welche Informationen sich aus diesen Daten gewinnen lassen.
Auch Methoden zur Umsetzung sowie zur Umgehung von Internetzensur waren ein heiß diskutiertes Thema auf der HAR. Ebenso wie „traditionelle“ Themen aus dem Umfeld der IT-Sicherheit und des kreativen Umgangs mit Technik.
Natürlich durften auch echte Hacker-Wettbewerbe nicht fehlen, bei denen zu diesem Zweck speziell vorbereitete Systeme gehackt werden mussten.
Fast alles was auf der HAR vorgetragen wurde kann im HAR-Wiki nachgelesen oder heruntergeladen werden. Schließlich sollen solche Informationen ja im Sinne der Veranstalter möglichst frei fließen …
Kommentar schreiben » | Allgemeines, Netzkultur | Mit Tag(s) versehen: Access Control, Bürgerrechte, CCC, Datenschutz, Electronic Frontier Foundation, Hacker, kompromittierende Abstrahlung, Kongress, Netzkultur, Netzsperren, Netzzensur, Open Access, Polithacker, Privacy, Seitenkanalangriff, Wahlcomputer | Permalink
Verfasst von Guido Strunck
8. August 2009
Das ist eine berechtigte Frage, zumal IT-Sicherheitsexperte kein geregelter Beruf ist und es von daher auch kein klares Berufsbild gibt. Aufgrund dieser Unverbindlichkeit fühlt sich „irgendwie“ auch niemand für die Ausbildung dieser Leute zuständig, weshalb sie auch relativ knapp sind, obwohl an IT-Fachleuten an sich kein Mangel besteht.
Ein Weg führt über die Belegung entsprechender Fächer und Kurse während eines IT-bezogenen Studiums. Zunehmend bieten Informatik-Fakultäten auch „akademisches Hackertraining“, d.h. Seminare an, in denen Techniken des Angriffs und der Abwehr von Attacken auf Computersysteme vermittelt werden.
Viele derzeit am Markt tätige IT-Sicherheitsexperten haben sich dagegen ihr Know-how studien- und berufsbegleitend mit sehr viel autodidaktischer Praxis angeeignet – als Hacker, Coder und Hardwarebastler. Wobei das früher ungefährlicher war als heute. Denn was vor einigen Jahren noch als jugendlicher Spaß galt, ist heute dank „Hackerparagraph“ und anderer entsprechender Strafnormen bereits eine potentielle Straftat deren Aburteilung das sichere Ende in der IT-Branche bedeuten kann.
Das kürzlich überarbeitete und auf 14 Spezialistenprofile halbierte sog. „arbeitsprozessorientierte“ (APO) IT-Weiterbildungssystem enthält ebenfalls zwei Profile (den Security Technician und den IT Security Coordinator) mit Schwerpunkt IT-Sicherheit. Das von Gewerkschaften, Arbeitgeberverbänden und der Fraunhofer-Gesellschaft entwickelte IT-Weiterbildungssystem funktioniert allerdings nur, wenn Unternehmen bereit sind, selbst und über längere Zeit beträchtlich in die Fortbildung ihres Personals zu investieren. Weshalb es in der Praxis auch eine nur geringe Bedeutung erlangt hat.
Daneben kann man inzwischen sogar per Fernstudium an der privaten isits AG International School of IT Security den „Master in Applied IT Security“ (master of science) erwerben, wenn man bereit ist, dafür etwa 17.000 € auszugeben und berufsbegleitend einige Jahre Zeit aufzubringen.
Für den grundsätzlichen Einstieg ins Thema kann man aber auch ein Angebot der Fernuni Hagen, den Kurs „IT-Sicherheit Konzepte, Standards, Verfahren und Anwendungen“ belegen. Er wird einem als DVD zugeschickt und bietet die Möglichkeit der Prüfung zur Erlangung eines Zertifikates.
Und natürlich gibt es eine Fülle von Hersteller- und Verbandszertifikaten mit sehr unterschiedlichen, meist auf bestimmte Technologien und Verfahren zugeschnittenen Inhalten. Ebenso Kurzschulungen und Kongresse im Tagesbereich, meist zu irgendeinem operativen Teilaspekt aktueller Sicherheitsprobleme in Unternehmen.
Beginnen kann man allerdings auch mit (möglichst aktiver) praktischer Mitarbeit in Organisationen wie dem Chaos Computer Club, dessen Vereinsorgan „Die Datenschleuder“ auch als PDF heruntergeladen werden kann.
Alles in allem gibt es sehr vielfältige Möglichkeiten des Einstiegs in das Thema der IT-Sicherheit. Wobei ich eine der wichtigsten noch gar nicht erwähnt habe: Das Thema fällt einem „artverwandt“ beschäftigten ITler (Systemadministration, Softwareentwicklung, Softwarequalität etc.) im Unternehmen zu und er arbeitet sich irgendwie rein, bis er einen entsprechenden Grad von Expertise erreicht hat. So dürfte es in der Praxis häufig laufen.
Kommentar schreiben » | IT-Sicherheit, Informationssicherheit | Mit Tag(s) versehen: CCC, CISO, Fortbildung, Hacker, Hackerparagraph, Informationssicherheit, IT-Security, IT-Sicherheit, IT-Sicherheitsmanager, Qualifizierung, Softwareentwicklung, Softwarequalität, Weiterbildung | Permalink
Verfasst von Guido Strunck
22. Juli 2009
Autos werden bereits seit Jahren informationstechnisch immer weiter getunt. Elektronische Stabilitätsprogramme (ESP), Drive-by-Wire, Chip-Tuning – das Auto wird zu einem fahrenden Computer mit diversen Schnittstellen zur Außenwelt. In jedem Mittelklasse-PKW steckt bereits ein kleineres Netzwerk, bestehend aus mehreren Embedded Systems zur Steuerung diverser Fahrzeugfunktionen, verbunden durch ein genormtes Bussystem (das Control Area Network, auch CAN-Bus genannt).
Zudem sollen Fahrzeuge bald auch untereinander und mit ihrer Umgebung telematische Daten austauschen, um so z.B. ortsbasierte Dienste wie Staualarm, Navigation unter Einbeziehung der Verkehrslage oder Bestimmung der optimalen Geschwindigkeit für flüssiges Vorankommen zu ermöglichen.
Das aber lässt Hacker und IT-Sicherheitsspezialisten aufhorchen. Denn alles, was programmgesteuert rechnet und kommuniziert, kann auch gehackt werden.
Das beginnt bei nachgemachten Datenfunkgeräten, um Wegfahrsperren ausschalten oder verschlossene Fahrzeuge per Knopfdruck öffnen und starten zu können. Es geht weiter beim Zugriff per Laptop auf das Bordnetz eines Autos, um z.B. elektronisch gespeicherte Servicedaten und Funktionsparameter zu verändern oder veränderte Steuersoftware einzuspielen.
Sicherheitsexperte Marko Wolf hierzu in einem Heise-Interview:
Was bereits massenhaft gemacht wird, ist Chip-Tuning, wodurch andere Parameter eingestellt werden, um mehr PS zu bekommen und etwa die Abgasreinigung zu deaktivieren, weil die eben Leistung kostet. Wenn das schief geht, spielen viele dieser Nutzer die ursprüngliche Version wieder auf und sagen zum Hersteller: „Mein Motor ist schon nach 40.000 Kilometern kaputt gegangen, das ist ein Garantiefall!“ Ziemlich oft wird der Kilometerstand manipuliert, entweder nach unten, um den Wagen dann teurer verkaufen zu können, oder nach oben, um die Steuer zu betrügen.
So hatten Hacker auf der kanadischen Sicherheitskonferenz „CanSecWest“ bereits 2007 gezeigt, wie leicht Autofahrer über Navigationssysteme mit Meldungen über angebliche Unfälle oder Baustellen in die Irre geleitet werden können. Dazu nutzten sie Schwächen im Traffic Message Channel (TMC) aus, mit dem sich per Funk Telematikinformationen verbreiten lassen, die im Auto verarbeitet werden.
Diagnosesysteme zum Auslesen von KFZ-Systemdaten, zum Verändern von Parametern oder zum Neueinspiele modifizierter Steuersoftware kann man heute problemlos kaufen. Hilfe bei deren Nutzung bieten Autobastler-Foren und Tuning-Comunities.
Daher gewinnt das Thema IT-Sicherheit auch für die Bordnetze von Fahrzeugen zunehmend an Bedeutung. Denn wo andere IT-Systeme Sicherheitslücke haben, gibt es im Auto bislang noch so gut wie gar keine Sicherheitsarchitekturen in der KFZ-IT.
Typische Sicherheitsziele dafür formuliert Wolf in einem Arbeitspapier (PDF, 380 Kb):
• Schutz gegen unautorisierte Manipulationen durch externe und interne Angreifer.
• Erhöhung der Fahr- und Betriebssicherheit sowie der Zuverlässigkeit von Fahrzeugen.
• Sicherstellung der Vertrauenswürdigkeit und Vertraulichkeit im Umgang mit Fahrzeugdaten.
• Schutz vor unberechtigten Forderungen im Rahmen der Produkthaftung und Gewährleistung.
• Schutz vor Produktfälschungen und Sicherung von gewerblichen Schutz- und Urheberrechten.
• Schutz vor unberechtigten Eingriffen an Anwendungen, Daten und Geschäftsmodellen von Herstellern, Zulieferern, Gesetzgeber, Behörden und Drittanbietern.
Wichtige Bereiche sind dabei die Absicherung der Steuergeräte-Software, die Verschlüsselung von Fahrzeug-Speichern sowie die Absicherung der Kommunikation innerhalb und außerhalb des Fahrzeugs.
Ein großes Problem hierbei sind derzeit die geschlossenen proprietären Systemarchitekturen der Autohersteller. Über deren Reifegrad und Eigenschaften lässt sich mangels offener Quellen und freier Plattformen nur das sagen, was die Autobauer selbst bekanntgeben. Oder was Dritte durch Reverse Engineering herausgefunden haben. Andererseits könnte genau das eine Herausforderung für die Homebrew-Bewegung unter den Hackern und Entwicklern werden.
So forderte die Technology Review bereits 2005 in einem Artikel „Plug’n Drive“ (PDF, 840 Kb) offene Standards für automobile Informationsysteme.
Daran wird sich leider mittelfristig auch wenig ändern, da die Hersteller ihre KFZ-Informationstechnik als wettbewerbsrelevant ansehen und lieber bei jeder Modellreihe erneut das Rad neu erfinden anstatt standardisierte Softwaresysteme zur Steuerung ebenso standardisierter Hardwarekomponenten zu verwenden.
Wahrscheinlich werden daher Transparenz- und Compliance-Auflagen deutlich nachgeschärft werden müssen, um Willkür und Wildwuchs in den Bordcomputern der Autos einzudämmen.
Kommentar schreiben » | Angriff & Abwehr, IT-Sicherheit, Informationssicherheit | Mit Tag(s) versehen: Data Leakage, Informationssicherheit, IT-Sicherheit, Compliance, Hackertools, Datenleck, Schadsoftware, Open Source, Sicherheitslücken, Hacker, Netzwerk, Schadcode, Betrug, Patches, Daten, IuK, Homebrew-Programmierer, Datensicherheit, Softwarequalität, Standard, Telematik | Permalink
Verfasst von Guido Strunck
21. Juni 2009
Der § 202c des Strafgesetzbuches, allgemein auch als „Hackerparagraph“ bezeichnet, war einmal mehr Gegenstand einer juristischen Entscheidung. Mehrere in der IT-Sicherheit beruflich Tätige hatten Verfassungsbeschwerden eingelegt, weil sie sich durch die recht allgemein und weit auslegbar gefasste Rechtsnorm in ihrer Berufsfreiheit bedroht sahen.
Nun befand das Bundesverfassungsgericht diese Ansinnen allesamt für unzulässig und verwarf sie (Az: 2 BvR 2233/07, 1151/08 und 1524/08). Denn nach Ansicht der Richter in Karlsruhe gelten die Vorschriften des § 202c StGBs nur für Programme, die mit illegaler Absicht entwickelt wurden. Die bloße Eignung eines Programms zur Verwendung für einen Hackerangriff mache dessen Einsatz noch nicht strafbar. Die Richter begründeten dies damit, dass der Bundestag mit der Rechtsnorm ausdrücklich nur Software erfassen wollte, die für einen kriminellen Zweck hergestellt worden sind. Sogenannte „Dual Use“-Produkte, die im Dienste der Computersicherheit genutzt werden aber eben auch für Hackerangriffe taugen, sind laut Gericht nicht davon erfasst, weil sie einem legalen Zweck dienten. Zumindest aber fehle jedem Anwender, der solche Programme zu erlaubten Tätigkeiten nutze, der für eine Strafbarkeit notwendige Vorsatz.
Diese Klarstellung des BVerfG schränkt die Auslegungsmöglichkeiten des Paragraphs durch Instanzgerichte deutlich ein und reduziert nun die von Experten kritisierte Möglichkeit für Willkürentscheidungen. Somit war das Beschwerdeverfahren trotz seiner Ablehnung erfolgreich. Trägt es doch zur Klarstellung der Normanwendung in künftigen Rechtskonflikten zum Hackerparagraphen deutlich bei.
Gleichzeitig macht dies einmal mehr deutlich, wie wichtig durchdachte vertragliche Vereinbarungen und Protokolle der Leistungserbringung für kommerziell tätige Sicherheitsexperten sind, die IT-Systeme ihrer Kunden auf Sicherheitsprobleme hin testen. Aber auch festangestellte Administratoren und IT-Koordinatoren, die ihre Systeme mit Hackertools austesten, sollten hierfür auf klare Regelungen achten, da für sie im Falle von selbst verursachten Problemen die Regeln der Arbeitnehmerhaftung greifen. Das bedeutet konkret, dass sie im Falle des unbefugten oder ungeregelten Testens der Systeme ihres Arbeitgebers ohne dessen Zustimmung bei Schäden mit einer vollen Haftung wegen grober Fahrlässigkeit rechnen müssen.
Heise.de: Verfassungsbeschwerden gegen Hackerparagraphen unzulässig
4 Kommentare | Compliance, IT-Recht | Mit Tag(s) versehen: Arbeitnehmerhaftung, Arbeitsrecht, Compliance, Hacker, Hackerparagraph, Hackertools, Informationssicherheit, IT-Recht, IT-Sicherheit, Pen-Test, Risikomanagement | Permalink
Verfasst von Guido Strunck
