Wenn Programmierer sich zum Affen machen

„Easter Eggs“ sind kleine Überraschungen, die Programmierer in den Code ihrer Programme einbauen. Oftmals schwer zugänglich, z.B. durch exotische Tastenkombinationen, die nur in bestimmten Situationen funktionieren, erzeugen sie oft unerwartete und meistens witzige Effekte. So enthielt Microsofts weit verbreitete Tabellenkalkulation Excel lange Zeit einen kleinen Flugsimulator. Diese „Ostereier“ im Programmcode stellen aber auch ein Sicherheitsrisiko dar, da sie ja versteckt und an jeder Form von Qualitätskontrolle durch Testen, Reviews usw. vorbei implementiert wurden.

Wer daher nach potentiellen Schwachstellen in Programmen sucht, hält meist auch nach solchen Ostereiern Ausschau. Das taten wohl auch die Stuxnet-Entwickler sowie andere, an den programmtechnischen Innereien von Prozessrechnern aus dem Hause Siemens interessierte Leute. Die Siemens-Geräte rückten ins Blickfeld, nachdem bekannt wurde, dass man über Manipulationen dieser i.d.R. eher schlecht gesicherten Rechner teure Technik in Kraftwerken oder Produktionsanlagen über gezielte Veränderung der zulässigen Betriebsparameter angreifen kann.

So stellten experimentierfreudige Hacker auf der letzten Black-Hat-Konferenz in Las Vegas ihre Erkenntnisse beim Hacken von Industriesteuerungsanlagen von Siemens vor. In Geräten der Serie Simatic S7-300 fanden sie sogar hartcodierte Nutzer und Passwörter. „Ich konnte mich per telnet und http einloggen, den Speicher auslesen, Dateien löschen und Befehle geben“, so Dillon Beresford, der dieses Sicherheitsleck entdeckte.

Wie viele der Anlagen von Sicherheitsproblemen betroffen sind, ist kaum abzuschätzen. Die Simatic-Anlagen gelten weltweit als Standard für die Steuerung industrieller Prozesse aller Art. Neben den fest vergebenen Passwörtern hat Beresford allerdings noch ein Dutzend weiterer Sicherheitslücken in den Siemens-Kontrollanlagen entdeckt. Er konnte zeigen, wie sich die Systeme so manipulieren lassen, dass sie falsche Kommandos ausführen oder verfälschte Daten an ihre Leitstellen schicken.

Aus Sicht von Siemens wären nur bestimmte, ältere Geräte mit einer nicht mehr aktuellen Firmware betroffen. Allerdings werden solche Prozesssteuerungsanlagen nicht wie PCs in kurzen Abständen gepatcht, wenn ein Leck auftaucht. Stattdessen werden an die Software generell höhere Ansprüche hinsichtlich Qualitätseigenschaften gestellt. Ansonsten wäre ihr Betrieb im hochregulierten Industrieumfeld auch gar nicht genehmigungsfähig.

Neben den Sicherheitslücken fand Beresford allerdings noch ein klassisches „Easter Egg“ in der Siemens-Software. Programmierer hatten darin eine rote Website untergebracht, auf der Zeichnungen von spielenden Affen zu sehen sind und der Satz „Nix hören, nix arbeite, einfach nur…“. Ein Zeichen davon, was sie von der Siemens-Kultur in dem von Shareholder-Value und managerialer Übersteuerung geprägten Konzern hielten?

Ob sich dieser Programmierscherz aufgrund darin enthaltener Schwachstellen dazu benutzen lässt, um Schadcode in die Maschinen einzuschmuggeln, ist noch unklar. Das Siemens-Management allerdings habe sehr aufgeregt reagiert, als Beresford dem Unternehmen von seinem kuriosen Fund berichtete, wie er in einem Wired-Interview erklärte: „Sie waren nicht gerade glücklich.“

Sind Polizeicomputer wirklich sicher?

Die Anzahl bekannt gewordener erfolgreicher Angriffe auf die IT großer Unternehmen und staatlicher Institutionen hat seit Jahresanfang „gefühlt“ deutlich zugenommen. Kürzlich hat es auch die Bundespolizei erwischt. Im Juli waren Hacker, die sich selbst der „No Name Group“ zurechnen, in einen Server des Zolls eingedrungen, der als Software-Downloadrechner zur behördeninternen Verteilung von Software-Updates eingesetzt wurde. So konnten sie durch die Einspeisung manipulierter Updates ein verteiltes System zur Ermittlungsunterstützung und Zielverfolgung angreifen und daraus Daten kopieren. Dazu zählten u.a. Bewegungsprofile und Positionsdaten von GPS-Peilsendern an den Fahrzeugen überwachter Personen. Die Hacker stellten diese Daten anschließend ins Internet, die Polizei musste die Nutzung der betroffenen Systeme vorübergehend einstellen und einen außerplanmäßigen Sicherheitsaudit durchführen.

Unklar ist, ob es sich dabei tatsächlich um Daten aus Ermittlungsverfahren handelt, bei denen ein Richter die Überwachung Verdächtiger erlaubt hat. Denkbar wäre zum Beispiel auch, dass die Behörden eine neue Software zur Analyse von Bewegungsprofilen in einem Feldversuch getestet haben, wie Spiegel Online vermutete.

Zwischenzeitlich konnten die intensiv ermittelnden Ordnungshüter mehrere Verdächtige festnehmen, darunter auch der Hacker „Darkhammer“, der sich in der Hacktivistenszene bereits im Zusammenhang mit Hackerangriffen auf NPD-Websites einen Namen machte.

Das wirft die Frage auf, wie sicher die IT-Systeme von Behörden eigentlich sind, die als Folge der Versicherheitsstaatlichung Deutschland immer mehr und immer sensiblere Daten der Bürger beinhalten. So hatten bereits 2010 Hacker Systeme des Zolls angegriffen und mit Trojanern infiziert, was trotz vorhandener Virenschutzsoftware erst Mitte 2011 bemerkt wurde.

Die bereits erwähne Revision der Zollsystem ergab jedenfalls gravierende Mängel, wie es in einem vertraulichen Bericht heißt, der seinen Weg in die Spiegel-Redaktion fand. Veraltete Hardware und Software, nicht vorhandene oder unzureichend ausgelegte Sicherheitssysteme, Mängel im technischen Datenschutz – und das in einem System, welches sensible Daten über verdeckte Ermittler, V-Leute und geheime Operationen enthält.

Neben der Technik fehlt es der Bundespolizei aber wohl auch am qualifizierten Personal. So fehlten an Schlüsselpositionen geeignete Mitarbeiter, die Fehler feststellen und beheben könnten. Dazu aber wären sie, dem Revisionsbericht zufolge aber wegen mangelhafter Systemdokumentation ohnehin kaum in der Lage. Hinzu kämen Defizite im Konfigurations- und Rechtemanagement, in der Zugriffsprotokollierung, in der Handhabung mobiler Datenträger sowie beim Fernzugriff, der über unverschlüsselte Klartextprotokolle abgewickelt würde.

Und so kamen die Prüfer zu dem vernichtenden Ergebnis, dass Hacker nach wie vor in das Polizeinetz eindringen könnten, um dort relativ einfach an geheime Daten gelangen, die Software manipulieren und systemrelevante Einstellungen verändern zu können.

Doch warum ist das so?

Der Kern des Problems dürfte schlicht darin bestehen, dass es der Bundespolizei am Budget für angemessene Ausstattung auf aktuellem Stand der Technik fehlt. Und dass entsprechend qualifizierte Sicherheitsexperten gehaltstechnisch kaum noch in die Tarif- und Besoldungssysteme des öffentlichen Dienstes einzupassen sind, während gleichzeitig Personaleinsparungen und Haushaltskonsolidierungen laufen. Ein Zielkonflikt, der künftig häufiger zu Kollateralschäden in Form gehackter Rechner und abhanden gekommender Behördendaten führen dürfte.

Cyber-War und Cyber-Abwehr

In den letzten Monaten nahm die medial gefühlte Aktivität von Hackergruppen weltweit zu. Allerdings sagen die Jahresberichte diverser mit Fragen der IT-Sicherheit befassten Institutionen ebenfalls seit Längerem solche Entwicklungen voraus. Das macht IT-Sicherheit zunehmend zu einem politischen Thema, so dass Staaten Institutionen aufbauen, die sich mit dem Schutz kritischer Infrastrukturen sowie möglichen Krisenreaktions- und Gefahrenabwehrstrategien befassen sollen.

Dazu zählt auch das in Deutschland von Bundesinnenminister Friedrich kürzlich eingeweihte Nationale Cyber-Abwehrzentrum (NCAZ), das bundesweit Informationen über IT-Sicherheitsvorfälle zu bewerten und abgestimmte Handlungsempfehlungen entwickeln soll und mit zunächst zehn Beschäftigten startet. Es wird vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit direkter Beteiligung des Bundesamtes für Verfassungsschutz (BfV) und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie dem Bundeskriminalamt (BKA), der Bundespolizei (BPol), dem Zollkriminalamt (ZKA), der Bundesnachrichtendienst (BND) sowie der Bundeswehr als assoziierte (zuarbeitende) Behörden gebildet.

Wobei die Bundeswehr bereits seit 2009 eine in der Tomburg-Kaserne in Rheinbach nahe Bonn stationierte Einheit „Informations- und Computernetzwerkoperationen“ unterhält, in der Soldaten für  digitale Angriffs- und Abwehroperationen vorbereitet werden. Sie wurden meist aus den Fachbereichen für Informatik an den Bundeswehruniversitäten rekrutiert und sollen der Armee operative Handlungsfähigkeit für kommende Internet-Konflikte geben, wie sie z.B. Estland bereits 2007 mit massiven dDOS-Attacken auf die Webserver öffentlicher Einrichtungen erlebte.

Hinzu kommt das CERTBw, eine Einheit die für die zentrale Überwachung der IT-Sicherheit der Bundeswehr zuständig ist und die ebenfalls mit etlichen anderen Behörden des zivilen Bereichs wie der Bundespolizei und dem BSI kooperiert. Zumindest informationstechnisch ist die Trennung zwischen Armee und Zivilsektor sowie die relative Inaktivität der Bundeswehr im Inneren längst Geschichte. Auch international haben sich die Streitkräfte bereits vor Jahren vernetzt und führen auch gemeinsame „Cyber-Manöver“ durch.

Kernaufgabe der nationalen Cyber-Abwehr soll der Schutz kritischer Infrastrukturen sein, also Dinge wie Energieversorgung, Finanzwesen, Verkehrsleittechnik, Flugverkehr, medizinische Versorgung usw., deren Beeinträchtigung durch informationstechnische Attacken schwerwiegende Folgen für die Bevölkerung haben kann.

Allerdings werden diese Aktivitäten durchaus auch kritisch gesehen. Macht- und Informationsbündelungen beim Staat haben selten positive Folgen – zu sehr locken Missbrauchsmöglichkeiten die stets nach Zugang zu Macht und Mitteln strebenden politischen Eliten. Und gerade die deutschen Innenminister der letzten fünfzehn Jahre haben bekanntlich mehr grundgesetzwidrige Vorhaben von echter Bedeutung losgetreten als alle, im jährlich erscheinenden Verfassungsschutzbericht genannten Organisationen zusammengenommen.

Wenn dann noch Dinge hinzukommen, wie die „Kriegserklärung“ der fast-schon-pleitegegangenen US-Regierung, die kürzlich ankündigte, auf Cyber-Attacken ggf. mit dem Einsatz konventioneller Waffen zu reagieren, trägt das nicht eben dazu bei, an Vernunft und Maß in den Köpfen ohnehin oft mit netzpolitischen Themen überforderter Politiker zu glauben. Sahen doch schon in den 80ern die Macher des Spielfilms „War-Games“ voraus, dass jugendlicher Spieltrieb und lose sitzendes Schießgerät in den Händen von Politikern und Militärs ohne wirksame öffentliche Kontrolle keine allzu gute Idee sind (im Film konnte der dritte Weltkrieg eben noch so verhindert werden).

Zumal es im Internet kaum verlässlich festzustellen ist, woher ein Angreifer kommt und ob er im Dienste eines Staates oder für private Klienten tätig ist. So wäre es z.B. für chinesische Hacker problemlos möglich, über Rechner in Russland in deutsche Rechenzentren einzudringen und darüber Ziele in den USA oder sonstwo anzugreifen (was auch häufiger geschieht). Für Abwehrkräfte wird es da schwierig, klar zu erkennen wer der Feind ist und von wo aus er womit angreift. Militärische Denkschemata kommen da rasch an ihr Ende.

So wie es inzwischen private Söldnerfirma gibt, die Armeen mit Soldaten aufstocken, deren Tod auf dem Schlachtfeld für die Politiker zuhause keine negativen Konsequenzen hat, so ist es wohl auch nur eine Frage der Zeit, bis private „Cyber-Söldner-Unternehmen“ von Hackern und Wirtschaftsspionen bedrohten Firmen informationstechnische Feuerkraft für verdeckte Operationen mit nicht immer ganz legaler Zielsetzung anbieten werden. Zumal wir ja auch in Deutschland bereits Datenmissbrauchsskandale wie z.B. 2008 bei der Telekom oder 2009 bei der Deutschen Bahn hatten, bei denen freidrehende interne Sicherheitsabteilungen eine gewichtige Rolle spielten.

Realweltlich beschäftigt sich die Cyber-Abwehr im öffentlichen Sektor aber mit gewöhnlicheren Problemen. So hat z.B. die Polizei, die bereits seit Jahren hart am Auf- und Ausbau ihrer IT-forensischen Aufklärung arbeitet, schlicht damit zu kämpfen, dass die benötigten IT-Spezialisten kaum sinnvoll in die öffentlich-rechtlichen Besoldungsschemata und Entgeltordnungen einzupassen sind. Denn deren Gehaltsansätze wurden lange Zeit nicht angemessen fortgeschrieben, so dass staatliche Institutionen auf Personalsuche immer häufiger von den Firmen überboten werden, von denen sie sich anschließend teure externe Berater einkaufen müssen, um ihre Projektteams aufzustocken. Ein Problem mit dem sich auch das neue Cyber-Abwehrzentrum bald herumschlagen dürfte.

Auch sich in der Asservatenkammer stapelnde, beschlagnahmte Festplatten aus Hausdurchsuchungen nach Kinderpornografie oder Urheberrechtsverletzungen durchzusehen, ist nicht unbedingt die Traumvorstellung eines Informatikers mit Hacker-Know-how, der vom Kampf gegen weltbedrohende Cyberkrieger träumt. Aber Drecksjobs und Tagesgeschäft gibt es eben überall.

Es bleibt also abzuwarten, wohin sich das Thema Cyber-Abwehr noch entwickelt. Festzuhalten bleibt, dass Deutschland mit seinem Cyber-Abwehrzentrum lediglich eine Entwicklung nachvollzieht, die in zahlreichen anderen Staaten bereits stattgefunden hat.

Landgericht Düsseldorf verurteilt dDOS-Angreifer zu Haftstrafe

Wer durch dDoS-Angriffe (distributed Denial of Service) kommerzielle Websites anderer Leute lahmlegt, macht sich damit nach § 303b StGB (Computersabotage) strafbar. Dies entschied das Landgericht Düsseldorf laut dem kürzlich veröffentlichten Urteil vom 22. März 2011 (Az.: 3 KLs 1/11).

Inhaltlich ging es um einen Fall von teilweise versuchter, teilweise tatsächlich erfolgter  Erpressung. Der Angeklagte hatte im Laufe des vergangenen Jahres mehrere Betreiber von Sportwettenportalen damit bedroht, ihre Webseiten lahmzulegen, wenn sie ihm nicht eine geforderte Summe bezahlen würden. Um seiner Forderung Nachdruck zu verleihen, griff er die Firmen mit einem Botnetz an, worauf einige bezahlten, andere wiederum nicht. Deren Websites griff er einige Tage später erneut an, was nach Ansicht der Betreiber zu massiven Störungen ihrer Geschäfte sowie einem sechsstelligen Umsatzausfall und beträchtlichen Reparatur- und Wiederanlaufkosten führte.

Die Art und Weise der Lösegeldzahlung über eine ausländische Zahlungsabwicklungsgesellschaft ermöglichte aufgrund günstiger Umstände eine Rückverfolgung bis zum Täter, so dass Ermittlungen zu einer Anklage und schließlich zu einer Verurteilung wegen gewerbsmäßiger Erpressung in Tateinheit mit Computersabotage in mehreren Fällen und damit zu einer Freiheitsstrafe von zwei Jahren und zehn Monaten Haft führten.

Bei der Entscheidung dürfte es sich um eines der ersten Urteile eines deutschen Gerichts zur strafrechtlichen Wertung von dDOS-Angriffen handeln. Hinsichtlich der juristischen Beurteilung dieser Attacken folgt das Gericht Überlegungen in der juristischen Literatur, in der diese Thematik bereits seit einiger Zeit diskutiert wird.

Unabhängig davon können die Geschädigten natürlich auch noch zivilrechtlich Schadensersatzansprüche geltend machen. Auf den Täter dürfte damit zusätzlich zu den bereits aufgelaufenen Verfahrenskosten des Strafprozesses noch eine höhere Rechnung sowie (mindestens) ein Zivilprozess zukommen.

Darüber sollten auch jene Leute nachdenken, die sich überlegen, ob sie an einer Art „Flashmob mit dDOS-Anteil im Internet“ teilnehmen wollen, indem sie sich Tools wie etwa die quelloffene Lasttest-Software „Low Orbit Ion Cannon (LOIC)“ herunterladen, mit der sich Freiwillige im sog. „Hive-Mode“ zu einer Art Botnetz zusammenschließen und ein Ziel im Internet gemeinsam per dDOS angreifen können. Da die LOIC nicht mal die IP-Adressen der Beteiligten verfälscht oder maskiert, ist deren Rückverfolgung durch die damit Angegriffenen sogar besonders einfach.

dDOS-Attacken zählen zu den einfacheren Hackerangriffen, da man sich die dafür erforderlichen Tools (i.W. leistungsstarke Botnetze) einfach mieten kann und deren Bedienung dann keinerlei tiefergehendes technisches Wissen über Schadsoftware, Exploits oder Netzwerkprotokolle mehr erfordert. Aber rechtlich ist damit inzwischen nicht mehr zu spaßen.

Wurde die Schufa gehackt?

In den letzten Wochen gab es alle paar Tage Berichte in der Tagespresse über spektakuläre Hacks auf die Rechner von Unternehmen. Kürzlich musste sogar der Weltwährungsfonds eingestehen, unerwünschte „Gäste“ in seinen Systemen gehabt zu haben.

Und jetzt scheint die Schufa dran zu sein. Auf Gulli.com wurde über einen Angriff auf die Webserver der Wirtschaftsauskunftei berichtet, bei dem über Local File Inclusion Zugriffe auf dort vorhandene, aber nicht direkt zum Webangebot gehörende Daten möglich waren. Solche Attacken auf Webserver gehen üblicherweise Angriffen auf Systeme „weiter im Inneren“ einer Organisation voraus. Gleichzeitig sind sie aber auch Gradmesser für die Ernsthaftigkeit mit der eine Organisation IT-Sicherheit betreibt. Denn Webserver, die über leicht auffindbare Sicherheitslücken wie SQL Injection, File Inclusion und Cross-Site Scripting angegriffen werden können, deuten i.d.R. auf mangelndes operatives IT-Risikomanagement und fehlende Routinen zur sicherheitstechnischen Aktualisierung von außen erreichbarer Systeme hin. Der Hinweis an die Gulli-com-Redaktion kam von einer ungenannten Quelle und wurde von Sicherheitsexperten per Proof-of-Concept bestätigt. Auch Tagesschau.de griff das Thema auf und wies auf die Problematik der Kombination aus Massendatenspeicherung, fragwürdiger “Freiwilligkeit” der faktisch erzwungenen Datenabgabe durch Verbraucher und scheinbar laxe Sicherheitsstandards bei der Schufa hin.

„Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein und zeigt erneut, dass jede Form der personenbezogenen Datensammlung ein Sicherheitsproblem darstellt“, so Sebastian Nerz, angehender Informatiker und Bundesvorsitzender der Piratenpartei Deutschland in einer Pressemeldung. „Ob SCHUFA oder andere große Datenbestände wie die deutschen Zensusdaten, die digitalen Steuerdaten oder die Arbeitnehmer-Datenbank ELENA: Nur wenn Daten erst gar nicht gespeichert werden, sind sie vor unbefugten Zugriffen sicher. Datensparsamkeit muss daher oberstes Gebot sein. Leider ist diese Erkenntnis immer noch nicht in der Politik angekommen. Große Datenhalden werden nach wie vor als eine Lösung und nicht als Teil des Problems gesehen.“

Und die Daten der Schufa dürften in der Tat einen beträchtlichen Wert am Datenschwarzmarkt darstellen, falls es Hackern mit wirtschaftskriminellen Motiven gelänge sie zu erbeuten. Hat doch die Schufa eine monopolartige Position erreicht, die es Verbrauchern fast unmöglich macht, am täglichen Geschäftsverkehr teilzunehmen, ohne laufend standardisierte Schufa-Einwilligungsklauseln zu unterschreiben. Eine Praxis, die z.B. im Arbeitsrecht bereits dazu geführt hat, dass dort datenschutzrechtliche Einwilligungen aufgrund des Machtungleichgewichts zwischen Arbeitnehmern und Arbeitgebern als rechtlich unbeachtlich angesehen werden, da die „Freiwilligkeit“ ihres Zustandekommens bezweifelt wird. Die Schufa dürfte über einen deutschlandweit wohl einzigartigen Bestand an Finanzdaten fast aller Inhaber von Bankkonten, Handynutzern, Kreditnehmern oder Kartenzahlern besitzen. Die enormen Vorratsdatenbestände der privatwirtschaftlichen Schufa kamen nur durch die oligopolartige Stellung der Wirtschaftsauskunfteien zustande, die es Verbrauchern nahezu unmöglich macht, an ihnen vorbei Bankgeschäfte oder bargeldlose Zahlungen zu tätigen.

Eine solche Organisation ist aufgrund vieler Gründe ein herausforderndes Ziel für Hacker. Sei es als Versuch zu Ruhm und Anerkennung innerhalb der Szene zu kommen, sei es aus räuberischen Motiven, sei es im Rahmen eines Vergeltungsschlages gegen eine, ihrer Ansicht nach zu mächtig gewordene Organisation.

Die in der Überschrift gestellte Frage kann  man mittlerweile als bereits beantwortet ansehen. Denn David Vieira-Kurz, der Gulli-com den Proof-of-Concept geliefert sowie die Schufa-Verantwortlichen gewarnt hat, berichtet auf seinem Blog Secalert.net dass die Schufa-Verantwortlichen ihm als Dank eine Flasche Sekt versprochen hatten, nachdem sie die Lücke im Webserver geschlossen hatten.

Unklar ist allerdings noch, ob nicht zwischenzeitlich auch Dritte die Lücke ausnutzen und sich Schufa-Daten beschaffen konnten.

Hacker-Linux Backtrack 5 – Die neu bestückte Werkzeugkiste des IT-Sicherheitsexperten

Es ist immer wieder erstaunlich, was die weltweite Open-Source-Community so möglich macht. Programmierumgebungen, Tools und andere Software, die noch vor wenigen Jahren nur für viel Geld (oder als illegale Kopie) erhältlich war, ist heute kostenlos für Jedermann verfügbar. Dazu zählt „Backtrack“, eine auf Ubuntu basierende Linux-Distribution speziell für Sicherheitsexperten, Pen-Tester und anderweitig an Security- und Hacker-Tools interessierten Leuten. Das bekannte Hacker-Linux ist kürzlich in der Version 5 „Revolution“ erschienen. Zahlreiche darin enthaltene Tools wurden runderneuert und auch Linux-Kernel (2.6.38) und sonstige Komponenten wurden auf den aktuellen Stand gebracht. Große Teile des zugrunde liegenden Systems wurden sogar komplett neu entwickelt und zusammengestellt, so dass ein Upgrade von Backtrack 4 zu Backtrack 5 nicht möglich ist. Zuviel hat sich „unter der Motorhaube“ getan, so dass man um eine Neuinstallation nicht herumkommt.

Auf www.backtrack-linux.org wird Backtrack 5 als ISO-Datei oder VMWare-Image für 32- und 64bit-Systeme angeboten. Wahlweise mit vorkonfigurierter KDE- oder Gnome-Oberfläche. Einmal auf DVD gebrannt, kann man Backtrack 5 als Live-System einsetzen oder auch direkt auf einem Rechner installieren. Oder Backtrack als virtualisierte Umgebung nutzen. Ein Blog, ein Wiki, ein Forum sowie ein Tutorials-Bereich bieten Tipps und Infos für den Einstieg an.

Backtrack 5 kann wie auch die vorherigen Versionen per Shell oder GUI bedient werden. In letzterer sind die zahlreichen Tools geordnet nach Kategorien abrufbar.

Die Backtrack-Entwicklergemeinde bezeichnet Backtrack als „das am weitesten verbreitete Framework für Penetrationstests, das weltweit von der Security-Community eingesetzt wird“. Was aufgrund der gut 350 darin enthaltenen Tools, darunter Spezialwerkzeuge zum Finden von Systemschwachstellen sowie für forensische Netzwerkanalysen, auch nicht verwundert.

Wie aber finanzieren die Backtrack-Entwickler ihr Dasein, wenn sie dieses dicke Softwarepaket einfach so verschenken? Die meisten sind selbst als IT-Sicherheitsberater tätig. Sie setzen ihr eigenes Werkzeug ein und gewinnen mit der weiteren Verbreitung der Backtrack-Distribution an fachlicher Reputation. Andere haben entdeckt, dass das Arbeiten mit Backtrack sowie der Einsatz aktueller Hackertechniken durchaus auch Gegenstand von Schulungen sein kann, die sie unter dem Label „Offensive Security“ anbieten.

Auch hier gilt wieder: Nicht alles was kostenlos erhältlich ist, darf auch überall ausprobiert werden! In Deutschland bewegt man sich damit dank des „Hackerparagraphen“ in einer rechtlichen Grauzone. Verwenden Sie die Werkzeuge von Backtrack daher nur im Zusammenhang mit Ihren eigenen Rechnern.

Für Hobbyhacker und Einsteiger in das Thema technische IT-Sicherheit empfiehlt sich daher zunächst ein rechtlich sicheres „Übungsgelände“. Auch dafür gibt es die passende Linux-Distro: Damn Vulnerable Linux (DVL). Mit der Distribution ist es möglich, ein System mit unterschiedlichsten Sicherheitslücken zu simulieren, mittels diverser Testprogramme zu überprüfen und letztendlich zu schließen. Sie wird üblicherweise im Umfeld von Schulungen für Sicherheitsexperten eingesetzt, kann aber auch zum Privatgebrauch verwendet werden. Für Sommer 2011 ist eine runderneuerte Version 2.0 von DVL angekündigt.

Erneuter Hackerangriff auf NPD-Websites

Hacker haben in den letzten Tagen etliche Websites der Nationaldemokratischen Partei Deutschlands (NPD) gehackt sowie sich Zugang zu parteiinternen Daten verschafft und diese veröffentlicht.

Die diversen Websites der NPD zählen zu den Lieblingszielen der hackenden Besucher des alljährlich zu Jahresende in Berlin stattfindenden Chaos Communication Congress. Fast jedes Jahr werden beträchtliche Mengen an Arbeitszeit der freischaffenden Sicherheitsexperten der NPD „gespendet“ um deren Systeme durch kreatives Penetration Testing u.ä. auf Sicherheitslücken durchzuprüfen. Daher sollten die NPD-Rechner inzwischen eigentlich zu den bestgeprüftesten und gehärtesten Parteiservern in Deutschland zählen.

Das dem wohl eher nicht so zu sein scheint, stellte kürzlich die Hackergruppe „No Name Crew“ unter Beweis. Sie drang in Dutzende Websites der NPD ein und konnte sogar parteiinterne Datenbanken kopieren und diese zusammen mit etlichen anderen NPD-Dokumenten auf ihrer eigenen Website zur gefälligen Begutachtung bereitstellen.

Besonders heikel: Die Hacker der „No Name Crew“ haben eine Liste von angeblichen NPD-Spendern veröffentlicht. Darin werden über 400 Personen mit Namen und Adresse aufgelistet, die der rechtsextremen Partei in einem allerdings nicht genannten Zeitraum Geld gespendet haben sollen.

Allerdings distanzierte sich die Hackergruppe von der Antifa und den Aktivisten der Gruppe „Anonymous“, nachdem zunächst vermutet wurde, dass die Angreifer aus dem Umfeld antifaschistisch geprägter Polithacker kommen würden. Publicity ist den Hackern der „No Name Crew“ jedoch gewiss – berichteten doch neben Insiderseiten wie Gulli.com auch u.a. Spiegel Online, die Sueddeutsche oder auch Welt Online über den NPD-Hack. „Ich weiß, dass ich mit meiner Aktion auf ein breites Interesse der Öffentlichkeit stoßen werde“, so der Anführer der Truppe, der sich selbst „Darkhammer“ nennt.

Und in der Tat: Der Hack dürfte die NPD wie der sprichwörtliche Hammer aus der Dunkelheit getroffen haben. Denn derzeit scheint der Provider der NPD („naweko – Agentur für Neue Medien“, eine Firma, die dem Landesvorsitzenden der NPD Saarland, Frank Lanz gehört) immer noch mit Schadensbegrenzung beschäftigt zu sein. Die Defacements der gehackten Seiten wurden vom Netz genommen und etliche der betroffenen NPD-Domains sind nicht mehr erreichbar. Ob die NPD sicherheitstechnisch nachbessert, werden wir wohl spätestens im Dezember erfahren, wenn der nächste Chaos Communication Congress stattfindet.

Allerdings weiß man bei allen Skandalen und Aufregerthemen, welche die NPD betreffen ja letztlich nie so genau, was davon auf die braune Truppe selbst zurückführbar ist und wo der Verfassungsschutz die Hände mit drin hatte. Zudem bleibt abzuwarten, ob die NPD Strafanzeige erstatten und staatsanwaltliche Ermittlungen in der Sache anstreben wird.

Wenn Daten zum Problem werden

Die letzten zwei Wochen waren wieder sehr „gehaltreich“ für Leute, die sich mit Fragen der Informationssicherheit beschäftigen.

Zunächst entdeckten zwei Softwareentwickler, dass Apples Flaggschiffe iPad und iPhone vom Benutzer unbemerkt nahezu ständig Positionsdaten in einer lokalen Datenbank auf dem Gerät mitloggen und diese auch auf einen mit dem Gerät synchronisierten PC sowie über den Umweg von WLAN-Positionsabfragen auch auf Apple-Server hochladen. Und zwar auch dann, wenn der Benutzer entsprechende Funktionen in den Geräten deaktiviert hat. So entsteht eine Datenbank, welche zwar kein vollständiges Bewegungsprofil des Anwenders, jedoch die Koordinaten von WLAN-Routern und Mobilfunkzellen in seiner Nähe zusammen mit einem Zeitstempel enthält. Sie entwickelten daraufhin eine App namens iPhone Tracker, mit der sich diese Daten auslesen und auf einer Karte grafisch darstellen lassen.

Parallel kämpft Sony derzeit mit wiederholten Hackerangriffen und Datendiebstählen. Zunächst drangen Hacker in die Datenbanken des Playstation-Networks (PSN) und des Musik- und Filmedienstes Qriocity ein und konnten Datensätze von etwa 77 Millionen Nutzerkonten kopieren. Inhaltlich können diese Daten am Schwarzmarkt verkauft und später für gezieltes Spear-Phishing oder Kreditkartenbetrug verwendet werden. Einige Tage später wurde bekannt, dass auch 25 Millionen Nutzerdatensätze des kommerziellen Spiele-Netzwerks Sony Online Entertainment (SOE) abhanden kamen. Wohl bei demselben Raubzug. Schon vor Wochen hatte Sony aus der Szene Hinweise auf bestehende Sicherheitslücken erhalten. Der Konzern hatte diese jedoch ignoriert bzw. war sogar gerichtlich gegen einen Hacker und Homebrew-Programmierer vorgegangen, der es geschafft hatte, sicherheitskritische Teile seiner eigenen Playstation-3-Spielekonsole zu hacken und der dies öffentlich gemacht hatte. Statt den Mann einzustellen und zur weiteren Verbesserung der betreffenden Systemkomponenten einzusetzen, hatte Sony eine einstweilige Verfügung erwirkt, um ihm das Verbreiten seiner Erkenntnisse zu erschweren. Das haben andere Hackergruppen dem Konzern wohl nachhaltig verübelt.

Dann wurde bekannt, dass TomTom, ein Anbieter von Navigationssystemen, gespeicherte Verkehrsdaten der Nutzer an die niederländische Regierung verkauft hatte. So wertet Tomtoms Verkehrsinformationsdienst HD Traffic beispielsweise anonymisierte Bewegungsprofile von Navigationsgeräten mit Internetanbindung sowie von Smartphones mit Tomtom-App aus, um Staus möglichst früh zu erkennen und in die Navigation miteinzubeziehen. Dabei werden auch Daten wie Fahrgeschwindigkeitswerte übermittelt bzw. können durch Zeit/Ort-Differenzabgleich errechnet werden. Mit diesen Daten lassen sich Stellen im Straßennetz finden, wo besonders häufig gegen Geschwindigkeitsbegrenzungen verstoßen wird und wo es daher lukrativ sein kann, „Blitzer“ aufzustellen. Obwohl aus Tomtoms Sicht legal und in verallgemeinerter Form sogar Bestandteil der Nutzungsbedingungen, zeigt diese „Zweitverwertung“ von Nutzerdaten doch, dass Daten auch ganz ohne Zutun von Hackern in falsche Hände gelangen können um dann den Nutzern zu schaden. Kürzlich wurde zudem bekannt, dass Tomtom auch mit der australischen Regierung über solche „Datenzweitverwertungen“ verhandelt. Aus dem ersten Fehler wurde wohl nichts gelernt.

Vor kurzem musste Amazons Cloud-Service EC2 seinen Kunden gegenüber eingestehen, dass es nach einem mehrstündigen Systemausfall zu einem größeren, nicht mehr wiederherstellbaren Datenverlust gekommen ist. Der Dienst, der von Amazon mit dem Motto „Die Cloud, auf die Sie sich verlassen können“ beworben wird, hatte beim Wiederanlaufen mit nicht mehr behebbaren Inkonsistenzen in seinen Datensicherungen zu kämpfen. Wohl dem, der Alternativen in der Hinterhand hatte.

Manche Unternehmen sparen bei der IT-Sicherheit und werden daher Opfer von Hackerattacken, da es leicht ist, bei ihnen Daten abzugreifen. Andere hingegen praktizieren quasi-militärische Hochsicherheitsstandards – und werden ebenfalls Opfer von Hackern, die sich technologisch herausgefordert fühlen. Wieder andere versuchen wie Sony gegen kleinere Ärgernisse aus der Hackerszene gerichtlich vorzugehen. Mit der Konsequenz, dass sich daraus sehr große und rechtlich nicht mehr in den Griff zu bekommende Probleme entwickeln können. Und auch dort wo es aus der Perspektive der Informationssicherheit zu keinen nennenswerten Vorfällen kam, machen sich Probleme mit der Softwarequalität bemerkbar. So gab z.B. Apple bekannt, dass das Geodatenlogging im iPhone letztlich ein Programmierfehler gewesen sein soll. Auch wenn Apple bereits 2009 für etwas von der Idee her sehr Ähnliches ein US-Patent beantragt hat. Patentierte Fehler?

Was ist nun die gemeinsame Konsequenz all dieser Dinge?

Unternehmen nutzen (zu) viele Daten und betreiben (zu) datenintensive Geschäftsmodelle. Wer aber viele Daten nutzt, muss auch umfangreiche, teure und wegen ihrer Komplexität fehleranfällige Maßnahmen zu ihrer Absicherung mit einplanen. Und wird oftmals gleich vom Gesetzgeber zu entsprechender Vorsorge verpflichtet.

Daten haben in Unternehmen also nicht nur den Charakter eines wertvollen Besitzes oder eines notwendigen Produktionsfaktors. Sie werden auch zum Risiko und zum Kostenfaktor. Daher sollten sie nach Möglichkeit sehr sparsam verwendet werden. Geschäftsprozesse sollten den Prinzipien der Datensparsamkeit und Datenvermeidung Rechnung tragen, wie es das Bundesdatenschutzgesetz im §3a für personenbezogene Daten ohnehin fordert.

Es ist ein Stück weit ähnlich wie mit produktionsbezogenem Problemmüll. Er ist oft in hohem Maße giftig oder anderweitig schädlich, so dass er auf spezielle Art und Weise gesichert und entsorgt werden muss. Mehr Müll bedeutet dann höhere Kosten. Vermeidet man Müll, indem man im Produktionsprozess sparsamer und effizienter mit Rohstoffen umgeht, senkt das unmittelbar die Entsorgungskosten sowie die Prozesskosten für die Behandlung und Lagerung der giftigen oder strahlenden Abfälle.

Ähnlich verhält es sich mit den Datenvolumina, der Kritikalität von Daten sowie den Kosten zu ihrer informationstechnischen Absicherung. Auch hier bedeutet ein Weniger an Daten auch ein Weniger an Kosten. Gleichzeitig gehen Unternehmen, die schlampig mit Daten umgehen oder diese sehr einseitig zu ihren Gunsten nutzen, ähnliche Risiken für ihr Ansehen in der Öffentlichkeit ein, wie Firmen, die hochgiftige Abfälle einfach in den Fluss kippen oder auf dem Meer verklappen lassen.

Scareware – Mit Nervsoftware abkassieren

Es gibt viele Möglichkeiten, mit Schadsoftware Geld zu verdienen. Eine, die eher auf Trickbetrug, als auf Diebstahl von Daten oder Rechnerkapazitäten hinausläuft, ist sog. „Scareware“. Das ist Software, die den Nutzer verängstigen und verwirren soll, um ihn so zu Handlungen zu verleiten, von denen der Autor profitiert. Wenn man will also automatisiertes Social Engineering.

Das Prinzip ist einfach: Dem surfenden PC-Nutzer wird beispielsweise eine kostenlose Analyse seines Rechners auf Viren angeboten. Kostenlose und gute Virenkiller gibt es ja von mehreren Anbietern. Dazu muss er lediglich ein Programm aus dem Internet herunterladen, installieren und starten. Tut er dieses, so generiert das Programm rasch und mit zunehmender Häufigkeit und Penetranz Warnmeldungen, dass dieser oder jener Virus im System sei und das man möglichst rasch eine kostenpflichtige Sicherheitslösung kaufen, runterladen und einspielen möge. Bis hin zur Unbenutzbarkeit des Rechners, weil fast jeder Vorgang mit diesen Warnmeldungen unterbrochen wird. Folgt man den Hinweisen und lädt das zu bezahlende Update herunter, ist für einige Zeit Ruhe bis es erneut losgeht.

Nur: Es war zu keiner Zeit echte Schadsoftware auf dem Rechner. Dem Nutzer wurde lediglich vorgegaukelt, er hätte ein Problem. Das Problem kam erst mit dieser Art von Trickbetrug auf seine Festplatte. Das Prinzip der Scareware setzt auf den eher unmündigen, arglosen und neugierigen Nutzer, der viel ausprobiert und die oft eher kryptischen Meldungen inhaltlich nicht hinterfragt. Im schlimmsten Fall hat der Nutzer durch das Installieren der Scareware auf seinem Rechner erst vormals noch nicht vorhandene Sicherheitslücken aufgerissen. Schließlich läuft das Programm in aller Regel mit den (meist recht weitreichenden) Rechten des Benutzers und hat vollen Zugriff auf seine Daten.

Das Prinzip ist nicht wirklich neu. Heise Security berichtete bereits 2008 darüber.

Linux-Anwender sind hier, wie oftmals bei Schadsoftware außen vor, da sich deren Entwickler meist auf das deutlich verbreitetere Windows-Ökosystem konzentrieren.

Ein typischer Vertreter dieser Gattung von Nervsoftware ist „System Tool 2011“, eine Art Trojaner, der sogar als Drive-by-Download allein durch ungeschütztes Surfen im Internet seinen Weg auf die lokale Festplatte finden kann. Der aber auch von interessierten Nutzern oftmals gezielt runtergeladen und installiert wird.

Bis zu 100 Infektionen meldet das Tool bereits nach dem ersten Prüflauf. Allerdings existiert davon keine tatsächlich. Dafür wird man von System Tool rasch zum Bezahl-Dialog geführt, um die fiktiven Schädlinge sowie sein reales Geld loszuwerden. Mit ca. 50 $ für eine 24-Monatslizenz ist man dabei.

Richtig dreist wird die Scareware, wenn sie zur „Ransomware“  (ransom: Lösegeld) mutiert und Teile der Datenbestände des Benutzers löscht, verschlüsselt oder auf andere Art unbrauchbar macht – bis er diese durch Bezahlung einer Gebühr per Kreditkarte ins Ausland wieder auslöst.

Letztlich hilft da nur die Installation eines „richtigen“ Schutzprogramms gegen Schadsoftware aller Art. Es bringt i.d.R. Filter und Signaturen mit, die solche, auch PUPS („possibly unpopular software“) genannten Programme, erkennen und entfernen können.

Außerdem lohnt es sich, sich an die „12 Geboten der sicheren Computernutzung“ zu erinnern und nichts, das zum Ausprobieren aus dem Internet runtergeladen wurde, auf seinem Arbeits-PC zu installieren. Wer es sich gar nicht verkneifen kann, sollte hierfür einen isolierten Testrechner oder eine virtuelle Maschine innerhalb einer gesicherten Virtualisierungsumgebung verwenden.

Sicherheit in sozialen Netzwerken fördern – Das Social Network Security Portal

Soziale Netzwerke haben sich in den letzten Jahren zunehmend zu einem Massenphänomen entwickelt. Ihre Nutzerzahl sowie das in ihnen gelagerte und täglich neu hinzukommende Datenvolumen wachsen nahezu exponentiell. Menschen nutzen solche Dienste zunehmend, um damit ihr Leben zu organisieren, sich zu unterhalten, sich mit anderen auszutauschen oder gemeinsame Projekte zu planen.

Die so entstehenden Datenbestände sind nicht nur für die Betreiber dieser Systeme von  Interesse sondern auch für Dritte. Firmeninterna lassen sich so zusammenrecherchieren, die Abwerbung von Schlüsselpersonal vorbereiten, die Hobbys von Bewerbern und Geschäftspartnern ausspähen. Fälle von Cyberstalking, Cybermobbing oder sexueller Belästigung sind nicht nur aktenkundig sondern füllen bereits etliche Regalmeter in den Lagern der Ermittlungsbehörden.

Es „menschelt“ eben überall, wo Menschen einander begegnen.

Kürzlich riefen daher einige IT-Sicherheitsexperten die Seite socialnetworksecurity.org ins Leben. Sie wollen damit auf Sicherheitslücken in sozialen Netzwerken hinweisen und so Druck auf deren Betreiber ausüben. Bislang listen sie bereits 46 entdeckte Schwachstellen in 28 Netzwerkplattformen auf und weisen auch darauf hin, was bereits behoben wurde und was noch nicht.

Zudem gibt es Sicherheitstipps für Nutzer und Betreiber sozialer Netzwerke.

Es sind meist diese Sicherheitslücken und Schwachstellen, durch die Daten abfließen können. Dabei sind grundsätzlich zwei Arten von Lücken möglich.

Unzureichend, unüberlegt oder falsch gesetzte Einstellungen der Benutzer zum Schutz ihrer Daten.
Dagegen anzugehen erfordert entsprechende Handhabungskenntnisse der Nutzer sowie deren wohlüberlegte Nutzung auf den jeweiligen Plattformen. Aber auch Einstellmöglichkeiten, die sowohl übersichtlich und selbsterklärend als auch ausreichend und sicher sind. So hat z.B. Facebook mit seinen über den ganzen Account verteilten Einstelloptionen hat da noch viel Verbesserungspotential.

Schwachstellen, technische Defekte und Qualitätsmängel der Systemplattformen.
Soziale Netzwerke sind im Grunde genommen nichts anderes als webbasierte Server-Applikationen, die ihre Daten in Datenbanken ablegen. Sie lassen sich mit den gleichen Methoden angreifen wie Webanwendungen und Webserver generell. Beliebte Angriffsformen sind dabei immer wieder Code-Injection, Cross-Site Scripting (XSS) oder Cross-Site Request Forgery (CSRF).

Nutzer und Hacker können entdeckte Schwachstellen an die Betreiber von socialnetworksecurity.org (anonym wenn gewünscht) melden. Diese nehmen aber nur solche Schwachstellen an, für die ihnen
präzise Beschreibungen oder andere Nachweisformen des tatsächlichen und reproduzierbaren Bestehens mitgeschickt werden.

Allerdings haben sich Schwachstellen mittlerweile zu einem Wirtschaftsfaktor entwickelt, wie z.B. die ct‘ zuletzt in der Ausgabe 5/2011 unter dem Titel „Das Geschäft mit den Bugs“ berichtete. Man kann sie legal an Firmen wie Zero Day Initiative (ZDI) oder iDefense Security Intelligence Services verkaufen. Diese betreiben kostenpflichtige Informationsdienste für Softwareanbieter, in denen sie diese Schwachstellen z.T. mit ausführlichen Hinweisen zur Eindämmung darstellen. Andererseits werden gerade für „frische“ Schwachstellen (Zero Day Exploits) in verbreiteten Softwareprodukten und Systemen durchaus 5-6stellige Beträge auf Hackerschwarzmärkten im Cyber-Untergrund bezahlt.

Es bleibt abzuwarten, in wie weit Projekte wie socialnetworksecurity.org für mehr Sicherheitsbewusstsein bei den Entwicklern und Betreibern sozialer Netzwerke zu sorgen vermögen. Bzw. wo dies der Schwarzmarkthandel mit Exploits tun wird.