29. April 2012
Verbraucherschützer fordern sie schon länger: Die Ampel aus deren Rot-Gelb-Grün-Schema man leicht nachvollziehen kann, wie es um die Inhaltsstoffe von Lebensmitteln, das Hygieneverständnis von Gastronomen usw. bestellt ist. Und Wirtschaftslobbyisten arbeiteten in der Vergangenheit ebenso vehement wie erfolgreich dagegen an. Die Ampel sei zu einfach, zu grob und überhaupt schade zu viel Transparenz dem Geschäft und würde Verbraucher nur verunsichern.
Währenddessen hat kürzlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein solches Ampelsystem zur Bewertung von Schwachstellen in verbreiteten Softwareprodukten veröffentlicht. Im Rahmen der sog. „BSI-Analysen zur Cyber-Sicherheit“ soll dieser Ampel-Indikator einen raschen Überblick über Sicherheit und Qualität der so gerateten Softwareprodukte geben. Derzeit werden für die Schwachstellenampel Sicherheitslücken in Produkten dieser Hersteller berücksichtigt:
• Adobe Systems (Adobe Reader, Adobe Acrobat und Adobe Flash Player)
• Apple Inc. (OS X, Safari und Quicktime)
• Google Inc. (Google Chrome)
• der Linux-Kernel
• Microsoft Corporation (Windows, Office und Internet Explorer)
• Mozilla Foundation (Firefox und Thunderbird)
• Oracle Corporation (Java Development Kit (JDK) und Java Runtime Environment (JRE))
Das BSI ist der wohl zutreffenden Ansicht, dass Mängel in diesen Produkten aufgrund deren weiten Verbreitung in Unternehmen, Behörden sowie bei Privatanwendern potenziell schwerwiegende und flächendeckende IT-Sicherheitsvorfälle nach sich ziehen können. Die Behörde verfolgt daher u.a. auch den Lebenszyklus von Schwachstellen von der Entdeckung bis zur Beseitigung mit.
Daher bewertet es im Rahmen einer regelmäßig aktualisierten Schwachstellenampel offene Schwachstellen sowie deren Schweregrad auf einer 10er-Skala und visualisiert das entsprechend. Die Schwachstellenampel wird vom BSI regelmäßig aktualisiert. Die Termine der Aktualisierungen orientieren sich dabei hauptsächlich an den Patchdays und Aktualisierungszyklen der Anbieter. Zusätzlich werden Links auf weiterführende Sicherheitshinweise der Hersteller angeboten.
In dieser Form bietet die BSI-Schwachstellenampel einen guten ersten Überblick zur Sicherheits- und Qualitätslage von verbreiteter Standardsoftware. Wobei auffällt, wie gut vor allem quelloffene Open-Source-Produkte wie der Linux-Kernel oder Firefox und Thunderbird abschneiden. In jedem Fall kann so Druck auf die Hersteller entstehen, verstärkt auf die Sicherheit und die generelle Qualität ihrer Softwareprodukte zu achten.
Kommentar schreiben » | 
Angriff & Abwehr, Informationssicherheit, Softwarequalität, Technische Regulierung | Mit Tag(s) versehen: Angriff & Abwehr, BSI, Cyber-Abwehr, Exploits, Funktionalität, IT-Grundschutz, IT-Risiken, Open Source, Patches, Produkttest, Qualitätsmanagement, Qualitätsprüfung, Schadcode, Schadsoftware, Schwachstelle, Sicherheitslücken, Software, Softwarequalität, Softwarequalitätssicherung, Softwaretest | 
Permalink
Verfasst von Guido Strunck
15. Januar 2012
Im November letzten Jahres konnte das amerikanische FBI einen großen Ermittlungserfolg verzeichnen. Im Rahmen der multinational koordinierten Operation „Ghost Click“ gelang es ein Bot-Netz mit ca. vier Millionen von zusammengeräuberten Rechnern verteilt auf ca. 100 Ländern durch Einnahme der C&C-Server in New York stillzulegen.
Über einen Trojaner namens „DNS-Changer“ wurden die Rückmeldungen aus DNS-Abfragen auf den betroffenen Rechnern so manipuliert, dass sie zu den C&C-Servern des Botnetzes statt auf reguläre DNS-Server führten. Im Code von DNS-Changer fand man u.a. eine IP-Adresse, die zum Netzwerk des estnischen Providers Esthost gehörte. Esthost ist ein Tochterunternehmen von Rove Digital. Unter den vom FBI im November verhafteten Personen befand sich auch eine Führungskraft von Rove Digital. Laut der IT-Sicherheitsfirma Trend Micro sei bereits 2008 bekannt gewesen, dass das Unternehmen diverse kriminelle Kunden habe. Man habe diese Informationen aber vor der Öffentlichkeit zurückgehalten, um die Arbeit der Ermittlungsbehörden nicht zu stören.
Die gut Hundert vom FBI in New York in einem Rechenzentrum sichergestellten Server wurden zunächst weiter betrieben, auch wenn keine Botnetz-Aktivitäten mehr darüber abgewickelt werden. Doch am 8. März sollen die noch verbliebenen Botnetz-Server endgültig vom Netz gehen. Damit den infizierten Bots dadurch mangels korrekter DNS-Serververbindung nicht dasselbe wiederfährt, wäre es für deren Besitzer inzwischen an der Zeit, zu klären ob sie mit „DNS-Changer“ infizierte Rechner haben oder nicht.
Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit der Telekom unter www.dns-ok.de eine Schnelltest-Website eingerichtet, mit der man prüfen kann, ob der eigene Rechner befallen ist oder nicht. Dabei wird keine Software gestartet oder heruntergeladen. Die Seite überprüft nur, ob der eigene Rechner über einen der DNS-Server des Bot-Netzes geleitet wird oder nicht.
Ist das aber der Fall werden die Dinge schwierig. Zwar können viele Antivirenprogramme wie z.B. der kostenlose DE-Cleaner des Anti-Botnet-Beratungszentrums den DNS-Changer deaktivieren. Da sich dieser Trojaner jedoch per Rootkit-Funktionen sehr tief im befallenen System verankert, kann er oftmals nicht mehr rückstandsfrei entsorgt werden. Die verbleibenden Schadcodereste stellen jedoch ein Sicherheitsrisiko dar, das man nur noch durch ein komplettes Neuinstallieren des betroffenen Systems wieder los wird.
2 Kommentare | Angriff & Abwehr, Informationssicherheit | Mit Tag(s) versehen: Angriff & Abwehr, Botnetz, BSI, C&C-Server, Computerforensik, Cyber-Abwehr, Datensicherheit, DNS, DNS-Problem, DNS-Server, DNS-Spoofing, Ermittlung, Fahndung, Internet, IT-Forensik, IT-Risiken, Malware, Man-in-the-middle-attack, Provider, Rootkit, Schadcode, Schadsoftware, Sicherheitslücken, Sicherheitspraxis, Trojaner | Permalink
Verfasst von Guido Strunck
23. Oktober 2011
Der Grad an relativer Sicherheit bzgl. Gefahren durch Schadsoftware auf dem eigenen PC hängt stark damit zusammen, in wie weit man dafür sorgt, dass das verwendete Betriebssystem sowie die installierte Software jeweils auf dem aktuellsten Stand ist.
Hersteller verbreiteter Softwareprodukte werden laufend auf Schwachstellen, Fehler u.ä. ihrer Programme hingewiesen. Manche davon so gravierend, dass rasche Updates ausgeliefert werden müssen.
Am besten stehen da die Nutzer von Linux da. Linux bringt eine Paketverwaltung mit, die ohne weitere Aktivität des Anwenders Buch darüber führt, ob alle installierten Pakete aktuell sind, ob Updates vorliegen und eingespielt werden müssen und ob das Austauschen einzelner Komponenten währen eines Aktualisierungslaufs andere Programme in ihrer Funktionsweise beeinträchtigt (Abhängigkeitsauflösung).
Das fehlt bei Windows. Windows kann zwar so konfiguriert werden, dass es die regelmäßig veröffentlichten Updates für Microsoft-Produkte selbsttätig findet, herunterlädt und installiert – für die diversen sonstigen auf dem Rechner installierten Anwendungen leistet es das jedoch nicht. Darum hätte sich der Nutzer selbst zu kümmern (bzw. den hoffentlich vorhandenen und aktivierten Auto-Update-Funktionen seiner Programme zu vertrauen). Abhängigkeitsauflösungen und Kompatibilitätstest auf Verträglichkeit einzelner Updates mit anderen, bereits vorhandenen Programmen gibt es erst recht nicht.
Doch gerade aus der Sicherheitsperspektive betrachtet, ist es sehr wichtig, dass veraltete oder als mit bekannten Schwachstellen belastete Software zügig ersetzt wird. Für die Programmierer von Schadsoftware sind speziell Browser und verbreitete Anzeigeprogramme für Mediendateien ein beliebtes Angriffsziel. Sie sind auf fast allen Rechnern vorhanden, arbeiten überall in gleicher Weise und können so Schadcode den Zugriff auf den vollen Rechner eröffnen. Ein Großteil aller entdeckten Schwachstellen entfällt dabei auf nur wenige, dafür aber sehr weit verbreitete Softwareprodukte.
In Unternehmen mit zahlreichen windowsbasierten Arbeitsplatzrechnern werden daher kommerzielle Softwareverteil- und -paketiersysteme eingesetzt und die genutzten Softwarebestände im Rahmen von geregelten Release- & Rollout-Management-Prozessen verwaltet und aktuell gehalten.
Für Privatanwender bietet die Firma Secunia mit dem kostenlosem Personal Software Inspector (PSI) ein meiner Ansicht nach sehr nützliches Programm zum Download an. Der PSI inventarisiert nach dem ersten Start die auf dem PC vorhandenen Programme und gleich deren Versionsstände mit seiner Versionsdatenbank ab. Auf diese Weise entdeckt er schon rasch veraltete Programme, mehrere parallel installierte Versionen und andere potentielle Sicherheitsdefizite. Für die meisten bietet er auch gleich Links an, um Updates für die betroffenen Programme von den Webseiten der jeweiligen Anbieter herunterzuladen. Manche kann PSI sogar selbsttätig finden und einspielen. Auf diese Weise kann das im Hintergrund laufende Programm dazu genutzt werden, den Rechner automatisch mit Updates der gängigsten Programme versorgen zu lassen, sobald diese veröffentlicht werden. Ein manuelles Nachführen ist dann nicht mehr notwendig.
Leider bringt nicht jedes obsolet gewordene Programm einen eigenen Uninstaller mit. Und die Softwareverwaltung von Windows ist beim „Aufräumen“ nicht immer allzu gründlich. Oft bleiben auch nach einer Deinstallation noch Dateien, Verzeichnisse und Registrierdateneinträge übrig. Das ist zwar im Zeitalter der Terabyte-Festplatten bzgl. des belegten Plattenspeichers kein echtes Platzproblem. Allerdings kann jedes auf dem Rechner vorhandenes Stück Software ein potenzielles Einfallstor für Angriffe per Schadcode werden.
Wer die PC-Hygiene daher sorgfältiger betreiben will, kann dazu auf die ebenfalls kostenlosen Tool Revo Uninstaller (kostenlose Basisversion, deinstalliert Programme) und CCleaner (findet und beseitigt Datenmüll) einsetzen. Für Schadsoftware wird es auf einem solchermaßen aktuell gehaltenen Rechner deutlich schwieriger, sich festzusetzen.
Kommentar schreiben » | Angriff & Abwehr, GABAL, Informationssicherheit, Tools | Mit Tag(s) versehen: Angriff & Abwehr, Exploits, GABAL, IT-Risiken, IT-Sicherheit, Linux, Malware, Patches, Schadcode, Schadsoftware, Schwachstelle, Sicherheitslücken, Sicherheitspraxis, Software, Tools, Windows | Permalink
Verfasst von Guido Strunck
11. September 2011
Fast jeder kennt sie – die „Gefällt mir“-Buttons auf immer mehr Webseiten, mit denen man seinen Facebook-Kontakten ein Fundstück beim Surfen signalisieren kann. Wer seine Facebook-Kontakte entsprechend auswählt, bekommt dadurch einen interessensgerecht vorsortieren Nachrichtenfeed generiert und kann seinerseits anderen signalisieren, was ihn interessiert.
Wie genau funktioniert das?
Sobald man eine Website aufruft, die Facebook-Buttons enthält, werden Daten wie z.B. IP-Adresse, Referer und statistische Informationen an Facebook übermittelt. Ist man Facebook-Nutzer und am System angemeldet (dazu muss man es nicht mal offen haben) kann Facebook so recht genau mitverfolgen wo sich Facebook-Nutzer im Internet bewegen und was sie interessiert. Mit der Zeit kommen so relativ präzise und über den Inhalt des eigenen Profils weit hinausgehende Nutzerprofile zusammen. Dies lassen sich in aggregierter Form zum Zwecke von Reichweitenanalysen gut zu Geld machen.
Aber auch ohne eigenes Facebook-Profil kann die Firma ohne Einwilligung der Nutzer und ohne dass diese einen „Gefällt mir“-Button angeklickt hätten, unbemerkt Daten speichern und so beträchtliche Vorratsdatenbanken aufbauen.
Da es sich dabei zum Teil um personenbezogene bzw. personenbeziehbare Daten i.S.d. Bundesdatenschutzgesetzes handelt, wäre hierfür eine Einwilligung des Betroffenen einzuholen. Dabei wäre den Nutzern rechtsverbindlich mitzuteilen, worin sie einwilligen und zu welchen abschließend aufgeführten Zwecken ihre Daten verwendet werden Das fordern Datenschützer schon länger von Facebook. Doch die Firma, deren europäischer Hauptsitz in Dublin liegt, hatte diese Forderungen bislang ignoriert, da sie rechtlich von Deutschland aus nur schwer zu greifen ist. Auf diese Weise erzielt sie Konkurrenten mit Sitz in Deutschland gegenüber aus Sicht von Datenschützern unlautere Wettbewerbsvorteile. So hat Facebook allein im ersten Halbjahr 2011 weltweit etwa eine halbe Milliarde Euro Gewinn erzielt.
Das Kieler Unabhängige Landeszentrum für Datenschutz (ULD) beschloss daher das Problem vom anderen Ende her anzugehen und statt Facebook die in Deutschland rechtlich greifbareren Betreiber von .de-Websites, die Facebook-Buttons einbinden, rechtlich unter Druck zu setzen. Indirekt sollte so auch Facebook selber zum Handeln bewegt werden, da ansonsten vermehrt Websites angesichts möglicher fünfstelliger Geldbußen für Verstöße gegen das Datenschutzrecht die Buttons aus dem Netz nehmen und Facebooks Datenzuflüsse abklemmen würden. Eine umstrittene aber wirksame Vorgehensweise, da das Problem erst auf diesem Wege überhaupt einer breiteren Netzöffentlichkeit bewusst wurde. Bislang wurde es eher in der datenschutzrechtlichen Fachliteratur diskutiert.
Kürzlich schlugen Programmierer von Heise.de eine technische Lösung des Problems vor: den +2-Button. Dabei erscheinen Buttons sozialer Netzwerke wie Facebook oder Twitter zunächst inaktiv auf der Website und übermitteln keine Daten. Erst wenn der Nutzer sie anklickt werden sie aktiviert (erkennbar am Farbwechsel des Buttons) und ein zweiter Klick startet dann die damit verbundene Funktion. Doch auch das ist keine Einwilligung i.S.d. § 4a BDSG, da die rechtsverbindliche Mitteilung über Art, Umfang und Zweck der Datenübermittlung fehlt und auch unklar bleibt, wohin Daten übermittelt werden (z.B. auf Facebook-Server in den USA). Da die Entwickler den Quellcode freigaben, wurde die Idee rasch aufgegriffen und z.B. als Plugin für verbreitete Content-Management-Systeme wie WordPress umgesetzt.
Tatsächlich ist das Thema derzeit noch ungeklärt. Es gilt daher, die Entwicklung bei den technischen und rechtlichen Rahmenbedingungen für den Einsatz solcher „aktiven Codeelemente“ in Webauftritten speziell von Unternehmen im Blick zu behalten und sich ergebenden Compliance-Risiken konsequent entgegenzutreten.
Generell sollten sich Betreiber von Webauftritten zudem vergegenwärtigen, dass jedes Element, mit dem sie Code anderer Websites oder Dienste einbinden, ein potentielles Sicherheitsrisiko darstellt, Schließlich wissen sie nicht, was da im Einzelfall auf die Rechner ihrer Besucher und Kunden übertragen wird. Die Mehrzahl aller webbasierten Schadcodeverteilmechanismen macht sich solche Lücken zunutze und infiziert so ahnungslose Besucher von gut frequentierten Websites mit Schadsoftware.
Kommentar schreiben » | Compliance, Datenschutz, GABAL, Informationssicherheit, IT-Recht, Netzkultur, Privacy | Mit Tag(s) versehen: Browser, Compliance, Data Leakage, Datenhandel, Datenschutz, e-Business, Facebook, Funktionalität, GABAL, Internet, IP-Adresse, IT-Recht, Kundendaten, Malware, Monetarisierung, Netzpolitik, Open Source, Privacy, Quellcode, Schadcode, Schadsoftware, Schwachstelle, Sicherheitslücken, Sicherheitspraxis, Unternehmen, Verbindungsdaten, Verbraucherschutz, Vorratsdatenspeicherung, Web 2.0, Webanwendung, Webapplikation | Permalink
Verfasst von Guido Strunck
4. September 2011
Die Anzahl bekannt gewordener erfolgreicher Angriffe auf die IT großer Unternehmen und staatlicher Institutionen hat seit Jahresanfang „gefühlt“ deutlich zugenommen. Kürzlich hat es auch die Bundespolizei erwischt. Im Juli waren Hacker, die sich selbst der „No Name Group“ zurechnen, in einen Server des Zolls eingedrungen, der als Software-Downloadrechner zur behördeninternen Verteilung von Software-Updates eingesetzt wurde. So konnten sie durch die Einspeisung manipulierter Updates ein verteiltes System zur Ermittlungsunterstützung und Zielverfolgung angreifen und daraus Daten kopieren. Dazu zählten u.a. Bewegungsprofile und Positionsdaten von GPS-Peilsendern an den Fahrzeugen überwachter Personen. Die Hacker stellten diese Daten anschließend ins Internet, die Polizei musste die Nutzung der betroffenen Systeme vorübergehend einstellen und einen außerplanmäßigen Sicherheitsaudit durchführen.
Unklar ist, ob es sich dabei tatsächlich um Daten aus Ermittlungsverfahren handelt, bei denen ein Richter die Überwachung Verdächtiger erlaubt hat. Denkbar wäre zum Beispiel auch, dass die Behörden eine neue Software zur Analyse von Bewegungsprofilen in einem Feldversuch getestet haben, wie Spiegel Online vermutete.
Zwischenzeitlich konnten die intensiv ermittelnden Ordnungshüter mehrere Verdächtige festnehmen, darunter auch der Hacker „Darkhammer“, der sich in der Hacktivistenszene bereits im Zusammenhang mit Hackerangriffen auf NPD-Websites einen Namen machte.
Das wirft die Frage auf, wie sicher die IT-Systeme von Behörden eigentlich sind, die als Folge der Versicherheitsstaatlichung Deutschland immer mehr und immer sensiblere Daten der Bürger beinhalten. So hatten bereits 2010 Hacker Systeme des Zolls angegriffen und mit Trojanern infiziert, was trotz vorhandener Virenschutzsoftware erst Mitte 2011 bemerkt wurde.
Die bereits erwähne Revision der Zollsystem ergab jedenfalls gravierende Mängel, wie es in einem vertraulichen Bericht heißt, der seinen Weg in die Spiegel-Redaktion fand. Veraltete Hardware und Software, nicht vorhandene oder unzureichend ausgelegte Sicherheitssysteme, Mängel im technischen Datenschutz – und das in einem System, welches sensible Daten über verdeckte Ermittler, V-Leute und geheime Operationen enthält.
Neben der Technik fehlt es der Bundespolizei aber wohl auch am qualifizierten Personal. So fehlten an Schlüsselpositionen geeignete Mitarbeiter, die Fehler feststellen und beheben könnten. Dazu aber wären sie, dem Revisionsbericht zufolge aber wegen mangelhafter Systemdokumentation ohnehin kaum in der Lage. Hinzu kämen Defizite im Konfigurations- und Rechtemanagement, in der Zugriffsprotokollierung, in der Handhabung mobiler Datenträger sowie beim Fernzugriff, der über unverschlüsselte Klartextprotokolle abgewickelt würde.
Und so kamen die Prüfer zu dem vernichtenden Ergebnis, dass Hacker nach wie vor in das Polizeinetz eindringen könnten, um dort relativ einfach an geheime Daten gelangen, die Software manipulieren und systemrelevante Einstellungen verändern zu können.
Doch warum ist das so?
Der Kern des Problems dürfte schlicht darin bestehen, dass es der Bundespolizei am Budget für angemessene Ausstattung auf aktuellem Stand der Technik fehlt. Und dass entsprechend qualifizierte Sicherheitsexperten gehaltstechnisch kaum noch in die Tarif- und Besoldungssysteme des öffentlichen Dienstes einzupassen sind, während gleichzeitig Personaleinsparungen und Haushaltskonsolidierungen laufen. Ein Zielkonflikt, der künftig häufiger zu Kollateralschäden in Form gehackter Rechner und abhanden gekommender Behördendaten führen dürfte.
Kommentar schreiben » | Allgemeines, Angriff & Abwehr, Informationssicherheit, IT-Sicherheit, Privacy | Mit Tag(s) versehen: Angriff & Abwehr, Audit, Öffentlicher Dienst, Bürgerrechte, Computerforensik, Computersabotage, Cyber-Abwehr, Data Leakage, Daten, Datendiebstahl, Datenleck, Datenschutz, Datensicherheit, e-Government, Ermittlung, Exploits, Fachkräftemangel, Fahndung, Geoinformationsdienste, Hacker, Hacktivist, IT-Forensik, IT-Infrastruktur, IT-Risiken, Malware, Polithacker, Polizei, Schadcode, Schadsoftware, Schwachstelle, Sicherheitslücken, Staat, Trojaner, Vorratsdatenspeicherung | Permalink
Verfasst von Guido Strunck
10. April 2011
Dieses von Sebastian Kübeck verfasste Buch aus dem mitp-Verlag befasst sich mit den Methoden sicherer Softwareentwicklung speziell für webbasierte Anwendungen. Die zugrunde liegenden Überlegungen sind aber größtenteils auch auf andere Bereiche der Softwareentwicklung übertragbar. Das Buch richtet sich an Softwareentwickler, die sich noch nicht intensiver mit Informationssicherheit und dem Schreiben sicheren Codes befasst haben. Und die somit einen Einstieg in die Themen Informationssicherheit sowie Methoden sicherer Webentwicklung suchen. Aber auch Administratoren webbasierter Systeme können davon profitieren.
Das Buchh ist in drei Teile gegliedert. Im ersten Teil werden nach einer kurzen Einführung in die Geschichte der Informationssicherheit Grundkonzepte der IT-Sicherheit speziell aus der Sicht des Softwareentwicklers erläutert. Dazu zählen Dinge wie die Prinzipien sicherer Softwareentwicklung, Authentisierungsverfahren oder sichere Datenübermittlung durch den Einsatz kryptografischer Verfahren.
Teil zwei befasst sich mit häufig auftretenden Schwachstellen in Softwareprodukten sowie Wegen zu deren Vermeidung. Dazu zählen Filterung und Aufbereitung nahezu jeder Form von Eingabe durch Anwender, um z.B. Code-Injection- und Scripting-Angriffen vorzubeugen. Oder die Vermeidung von Webserver-Konfigurationen durch die Teile der Systemkonfiguration per Suchmaschine erfassbar (Google Hacking) oder durch manuelles Suchen (Path Traversal) erreichbar werden.
Oftmals beginnen Probleme mit der Applikationssicherheit jedoch bereits bei der Verwendung von altbewährten und weit verbreiteten Bibliotheksfunktionen gerade der C-Sprachen, welche direkte Speicherzugriffe ermöglichen und die aufgrund von Implementationsfehlern zu Sicherheitsproblemen wie Pufferüberläufen, Code Injection-Schwachstellen u.ä. führen und daher nicht mehr verwendet werden sollten.
Webanwendungen können auch anfällig für DDOS-Attacken werden, wenn sich in ihnen Code aufspüren lässt, der zu Speicherlecks, Endlosschleifen, Rekursionen mit fehlerhafter Abbruchbedingung führt oder der Wartezeiten auf (schwächere) nachgelagerte Systeme wie z.B. entfernte Datenbanken generiert.
Schließlich gibt Teil drei konkrete Tipps und Hinweise wie man durch qualitätssichernde Maßnahmen wie Pen-Tests, Code Reviews, Softwaretests sowie der Berücksichtigung von Prinzipien sicherer Entwicklung von Webapplikationen seine Software sicherer macht. Hier wird z.B. auch auf (meist quelloffene) Testing-Tools wie Schwachstellen-Scanner, Mustersucher für die Quellcodeanalyse oder Tools zur Testautomation eingegangen.
Stets werden die Erläuterungen im Buch von entsprechenden Codebeispielen (meist in Java oder Javascript sowie in SQL für Datenbankzugriffe) begleitet, in denen die problematischen Stellen nachvollziehbar erläutert werden.
Alles in allem ein sehr lesenswertes Buch speziell für Softwareentwickler aber auch für generell am Thema sicherer Software interessierter IT-Fachleute. Wobei das Thema Entwicklung sicherer webbasierter Anwendungen gerade im Zeitalter von Cloud Computing und mobiler Apps drastisch an Bedeutung gewinnen dürfte.
1 Kommentar | Angriff & Abwehr, IT-Sicherheit, Rezensionen, Softwarequalität | Mit Tag(s) versehen: Angriff & Abwehr, App, Buffer Overflow, Clean Code Development, Clickjacking, Cloud Computing, Code-Injection, Codeanalyse, Codeoptimierung, Data Leakage, Datenleck, Exploits, Fehlersuche, Google Hacking, Hackertools, HTML, Informationssicherheit, Internet, Intrusion Detection System, IT-Risiken, IT-Sicherheit, Kryptografie, Open Source, Path Traversal, Pen-Test, Pufferüberlauf, Quellcode, Reverse Engineering, Schadcode, Schwachstelle, Security by Design, Sicherheitslücken, Software, Softwareentwicklung, Softwarequalität, Softwarequalitätssicherung, Softwaretest, SQL, SQL-Injection, SSL-Verschlüsselung, Verschlüsselung, Web 2.0, Webanwendung, Webapplikation, Webserver, Webservice, XSS | Permalink
Verfasst von Guido Strunck
14. März 2011
Es gibt viele Möglichkeiten, mit Schadsoftware Geld zu verdienen. Eine, die eher auf Trickbetrug, als auf Diebstahl von Daten oder Rechnerkapazitäten hinausläuft, ist sog. „Scareware“. Das ist Software, die den Nutzer verängstigen und verwirren soll, um ihn so zu Handlungen zu verleiten, von denen der Autor profitiert. Wenn man will also automatisiertes Social Engineering.
Das Prinzip ist einfach: Dem surfenden PC-Nutzer wird beispielsweise eine kostenlose Analyse seines Rechners auf Viren angeboten. Kostenlose und gute Virenkiller gibt es ja von mehreren Anbietern. Dazu muss er lediglich ein Programm aus dem Internet herunterladen, installieren und starten. Tut er dieses, so generiert das Programm rasch und mit zunehmender Häufigkeit und Penetranz Warnmeldungen, dass dieser oder jener Virus im System sei und das man möglichst rasch eine kostenpflichtige Sicherheitslösung kaufen, runterladen und einspielen möge. Bis hin zur Unbenutzbarkeit des Rechners, weil fast jeder Vorgang mit diesen Warnmeldungen unterbrochen wird. Folgt man den Hinweisen und lädt das zu bezahlende Update herunter, ist für einige Zeit Ruhe bis es erneut losgeht.
Nur: Es war zu keiner Zeit echte Schadsoftware auf dem Rechner. Dem Nutzer wurde lediglich vorgegaukelt, er hätte ein Problem. Das Problem kam erst mit dieser Art von Trickbetrug auf seine Festplatte. Das Prinzip der Scareware setzt auf den eher unmündigen, arglosen und neugierigen Nutzer, der viel ausprobiert und die oft eher kryptischen Meldungen inhaltlich nicht hinterfragt. Im schlimmsten Fall hat der Nutzer durch das Installieren der Scareware auf seinem Rechner erst vormals noch nicht vorhandene Sicherheitslücken aufgerissen. Schließlich läuft das Programm in aller Regel mit den (meist recht weitreichenden) Rechten des Benutzers und hat vollen Zugriff auf seine Daten.
Das Prinzip ist nicht wirklich neu. Heise Security berichtete bereits 2008 darüber.
Linux-Anwender sind hier, wie oftmals bei Schadsoftware außen vor, da sich deren Entwickler meist auf das deutlich verbreitetere Windows-Ökosystem konzentrieren.
Ein typischer Vertreter dieser Gattung von Nervsoftware ist „System Tool 2011“, eine Art Trojaner, der sogar als Drive-by-Download allein durch ungeschütztes Surfen im Internet seinen Weg auf die lokale Festplatte finden kann. Der aber auch von interessierten Nutzern oftmals gezielt runtergeladen und installiert wird.
Bis zu 100 Infektionen meldet das Tool bereits nach dem ersten Prüflauf. Allerdings existiert davon keine tatsächlich. Dafür wird man von System Tool rasch zum Bezahl-Dialog geführt, um die fiktiven Schädlinge sowie sein reales Geld loszuwerden. Mit ca. 50 $ für eine 24-Monatslizenz ist man dabei.
Richtig dreist wird die Scareware, wenn sie zur „Ransomware“ (ransom: Lösegeld) mutiert und Teile der Datenbestände des Benutzers löscht, verschlüsselt oder auf andere Art unbrauchbar macht – bis er diese durch Bezahlung einer Gebühr per Kreditkarte ins Ausland wieder auslöst.
Letztlich hilft da nur die Installation eines „richtigen“ Schutzprogramms gegen Schadsoftware aller Art. Es bringt i.d.R. Filter und Signaturen mit, die solche, auch PUPS („possibly unpopular software“) genannten Programme, erkennen und entfernen können.
Außerdem lohnt es sich, sich an die „12 Geboten der sicheren Computernutzung“ zu erinnern und nichts, das zum Ausprobieren aus dem Internet runtergeladen wurde, auf seinem Arbeits-PC zu installieren. Wer es sich gar nicht verkneifen kann, sollte hierfür einen isolierten Testrechner oder eine virtuelle Maschine innerhalb einer gesicherten Virtualisierungsumgebung verwenden.
Kommentar schreiben » | Angriff & Abwehr, GABAL, IT-Sicherheit | Mit Tag(s) versehen: Data Leakage, Datenschutz, Datenleck, Windows, Schadsoftware, Viren, Trojaner, Exploits, Linux, Sicherheitslücken, Hacker, Cyber-Crime, Datendiebstahl, Browser, Sicherheitspraxis, Internet, Angriff & Abwehr, Schadcode, IT-Risiken, Daten, Malware, Access Control, Social Engineering, Virtualisierung, GABAL, Internetbetrug, Datensicherheit, Abofalle, Schwachstelle, Ransomware, Scareware | Permalink
Verfasst von Guido Strunck
24. Oktober 2010
Ein Virenschutzprogramm gehört gerade bei Windowsrechnern zur Grundausstattung, die keinesfalls fehlen darf. Zu den etablierten Anbietern, deren Produkte in den regelmäßigen Tests von Fachzeitschriften (z.B. c’t 12/10, S. 90) häufiger gute Wertungen erreichen, zählt Kaspersky Anti-Virus. Ein Grund es mal genauer zu betrachten. Das Kaspersky-Tool wird in einer giftgrünen Schachtel ausgeliefert und ist in zwei Varianten erhältlich: „Anti-Virus“ mit Schutz vor Schadsoftware, egal ob diese den Rechner als Datei, per Browser oder in Mails erreicht. Und „Internet Security“ für Nutzer, die ihrem Rechner auch noch eine geschützte Umgebung für den Start verdächtiger Anwendungen oder Webseiten, einen verbesserten Spamschutz oder eine Kindersicherung angedeihen lassen wollen. Anti-Virus kann auch später noch auf Internet-Security upgegradet werden.
Bei der Installation von Kaspersky Anti-Virus (KAV) sollte man darauf achten, dass das Tool Probleme mit Personal Firewalls wie z.B. der beliebten Ashampoo Firewall hat und zusammen mit dieser nicht eingesetzt werden kann. Ein Problem das schon mein letzter Virenschutz von AVG hatte.
Einmal in Betrieb genommen, läuft KAV im Hintergrund und kann per Klick auf ein Taskleistensymbol aufgerufen werden. Es erscheint ein übersichtliches Menü in einer der Verpackung entsprechenden giftgrünen Optik, in dem alle Funktionen rasch, übersichtlich und ohne langes Suchen verfügbar sind. Dennoch kann man durch Einsteigen in weitere Menüs und Funktionsebenen auch Details der Einstellungen der AV-Komponenten einsehen und ändern, falls hierfür Bedarf besteht.
Als Erstes ließ ich KAV nach einem Signatur-Update ein größeres Software-Archiv scannen, dass sein Vorgänger von AVG für makellos befunden hatte und in dem es u.a. Futter in Form diverser Hackertools für die Heuristik-Komponente des Scanners (den sog. „Proaktiven Schutz“) gab. Heuristik-Algorithmen versuchen im Gegensatz zu signaturbasierten Virenscannern Schadsoftware anhand charakteristischer Merkmale im Code zu identifizieren.
Wie erwartet identifizierte die Heuristik Tools wie Cain & Abel oder Goolag Scan als potentiell problematische Software und fragte nach, was damit zu tun sein (in Ruhe lassen). Aber sie fand auch einen echten Trojaner sowie einen Virus, der dem Vorgänger wohl „durchgerutscht“ war. Einmal mehr ein Zeichen, dass sich einerseits die AV-Programme stetig verbessern. Das man andererseits ihren Meldungen nicht immer 100%ig vertrauen sollte. Nur weil nichts gefunden wurde, bedeutet das nicht, dass nichts da ist.
Schließt man ein externes Speichermedium an oder mountet man einen Truecrypt-Container, erkennt KAV das und fragt nach, was es tun soll (schnell bzw. ausführlich scannen oder in Ruhe lassen).
KAV kann man auch gut im Hintergrund scannen lassen, ohne dass es den Rechner weitgehend lahmlegt. Das ist insbesondere für einen Komplettscan des Rechners wichtig, der bei meiner schon etwas angejahrten XP-Kiste etwa 2 Stunden dauert.
Ergebnisse können in Form automatisch generierter und grafisch aufbereiteter Berichte nachvollzogen werden.
Eine nützliche Komponente in KAV ist der Aktivitätsmonitor. Nutzt man diese Funktion, so werden von KAV Programmaktivitäten überwacht und man kann durch unentdeckt gebliebene und daher aktive Schadsoftware vorgenommene Änderungen am System rückgängig zu machen (und nebenbei das Malwareprogramm in flagrant zu erwischen).
Im laufenden Betrieb lässt KAV ab und zu kleine Fenster in der Taskleiste erscheinen, wenn der Aktivitätsmonitor ein Programmverhalten entdeckt hat, das auch von Malware verursacht sein könnte. Der Inhalt dieser Meldungen erschließt sich dem Laien nicht immer sofort. Bislang
Weitere Schutzfunktionen, sind beispielsweise die Schwachstellensuche mit der sich Einstellungen des Betriebssystems und des Browsers nach Anomalien und Beschädigungen prüfen lassen. Oder die Erstellung einer Notfall-CD falls einem Malware das System so zerlegt, das man es von CD booten muss, um ggf. Datensicherungen vornehmen zu können. Oder auch der Assistent zur Systemwiederherstellung, mit dem sich bestimmte sicherheits- und stabilitätsrelevante Windows-Einstellungen prüfen und korrigieren lassen. So kann man nachträglich die Folgen einer bereits bereinigten Infektion mit Schadsoftware oder eines Herumexperimentierens mit Optimierungssoftware zurücksetzen lassen. Außerdem gibt es einen Assistenten zum Löschen von Aktivitätsspuren der die allfälligen Gebrauchsspuren bei der Computerbenutzung beseitigt. Sozusagen die datentechnische Waschanlage, durch die jeder PC hin und wieder mal „gefahren“ werden sollte. Wer seine Passwörter vor Keyloggern schützen will, kann sie zudem über eine einblendbare virtuelle Bildschirmtastatur per Mausklick eingeben. Alles in allem eine runde Zusammenstellung von Werkzeugen zur Absicherung des eigenen Computers.
Auch an den heutigen mobilen Mehrfachnutzer von Computern, der neben seinem PC auch einen Laptop und/oder Netbook besitzt, wurde von den Produktentwicklern gedacht. Die Lizenz lässt eine Installation auf bis zu 3 Geräten parallel zu und ist für etwa 30 € zu haben.
Von Kaspersky Anti-Virus gibt es zwar keine kostenlose Basisversion wie für etliche Produkte von Wettbewerbern. Allerdings können alle Kaspersky-Produkte als 30-Tage-Testversion heruntergeladen werden. So lassen sich z.B. Hakeligkeiten im Installationsprozess sowie Unverträglichkeiten mit bestehender Software wie z.B. die bereits erwähnte Ashampo Firewall vorab klären.
30-Tage-Testversion von Kaspersky Anti-Virus 2011
5 Kommentare | Angriff & Abwehr, Rezensionen, Tools | Mit Tag(s) versehen: Angriff & Abwehr, Browser, Cain & Abel, Codeanalyse, ct, E-Mail, Exploits, Firewall, Goolag Scan, Hackertools, Keylogger, Malware, Produkttest, Rootkit, Schadcode, Schadsoftware, Schwachstelle, Sicherheitslücken, Software, Spyware, Tools, Trojaner, Viren | Permalink
Verfasst von Guido Strunck
14. Oktober 2010
Die Zeit als Mobiltelefone hauptsächlich zum Telefonieren benutzt wurden, ist bereits seit Längerem vorbei. Heute sind Handys Hilfsmittel zur Verwaltung des eigenen Lebens. Dementsprechend sind Handys technisch gesehen spätestens ab der Gerätegeneration der sog. „Smartphones“ schlicht vollwertige Computer mit funktionell reduzierten Ein- und Ausgabemöglichkeiten. Das Smart im Phone steht dabei für die erweiterten und verbesserten Einsatzmöglichkeiten dank flexibler Technologie.
Jeder Computer ist aber programmierbar, d.h. er kann Anweisungen in Programmform ausführen und tun, was ihm vorgegeben wird. Jeder Computer kann dementsprechend so programmiert werden, dass er Schadcode ausführt und den nichtsahnenden Benutzer „hintergeht“. Viren, Trojaner und co. gibt es auch für Smartphones.
Lange Zeit aber war Schadsoftware für Mobiltelefone ein eher akademisches Thema. Die grundsätzliche Machbarkeit („proof of concept“) war nachgewiesen, trotzdem spielte das Thema in der Praxis kaum eine Rolle. Denn jeder Handyhersteller gab seinem Gerät ein eigenes Betriebssystem und eigene herstellerspezifische Software mit. Das machte es aufwendig und zugleich uninteressant, für jedes Handy eigene Varianten von Schadsoftware zu entwickeln. Außerdem funktionierten gefundene Schwachstellen und Sicherheitslücken der Software nur eben auf dem jeweiligen Gerätetyp. Zudem war das Spektrum an Möglichkeiten der so gehackten Geräte überschaubar.
Heute stecken in einem Smartphone oftmals mehr persönliche Daten als in einer Geldbörse voller Ausweise und Kreditkarten. Man kann es dazu benutzen, um auf Kosten des Simkartenbesitzers Daten zu übermitteln oder kostenpflichtige Dienstleistungen in Anspruch zu nehmen. Oder ihm Verträge über Abzockaboabrufseiten unterzujubeln. So berichtet z.B. die aktuelle ct‘ über Abofallen in Smartphone-Apps, die durch das ahnungslose Berühren von Werbeeinblendungen ausgelöst werden. Ein Vorgang der sich ebenfalls per Schadsoftware automatisieren lässt.
Und heute basieren auch nahezu alle aktuellen Smartphones auf einer von nur wenigen Betriebssystemplattformen. Apples iOS, das quelloffene Android-System von Google, das ebenfalls quelloffene MeeGo sowie (mit abnehmender Bedeutung) Symbian und Windows Mobile. Für jedes der Betriebsysteme gibt es zahlreiche funktionell sehr ähnliche Geräte mit im Wesentlichen gleichartigen Systeminterna und Schwachstellen. Auch werden zunehmend herstellerübergreifende Standards für Inhalte wie Flash und Java eingesetzt.
In Summe nimmt so die Attraktivität der Smartphone-Welt für Schadcodeautoren rasch zu, da eine Version eines Trojaners auf vielen Geräten lauffähig ist. So sind z.B. für das aktuelle Edelphone von Apple sowie dessen „großen Bruder“ das i-Pad gleich mehrere Sicherheitslücken aktenkundig, vor denen etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits warnt.
Das lässt die Bedeutung von Virenschutzsoftware für Handys zunehmen. Noch wichtiger aber ist die bewusste und überlegte Nutzung der Geräte. So muss ein Handy im Normalfall keine Bluetooth-Verbindung offen halten (kann man abschalten) – es wird dadurch aber für Mobilfunkhacker leicht aus der Entfernung identifizierbar. Und wer seinem i-Phone eine neue App spendiert (d.h. aus dem App-Store im Internet runterlädt), sollte sich im Anschluss daran fragen, ob z.B. wirklich alle angeforderten Rechte für eine einwandfreie Funktion erforderlich sind. Nicht jede Spiel-App benötigt Vollzugriff auf alle privaten Daten im Gerät oder die Möglichkeit im Hintergrund Datentransfers von und nach sonstwohin abzuwickeln. Passen angeforderte Rechte nicht zum eigentlichen Verwendungszweck der App sollte man ruhig auch mal beim Hersteller anfragen. Unbefriedigende oder ausweichende Antworten sollten zu einem Aussortieren der Software führen.
Ein eigenes Thema wäre zudem der Schutz der Daten auf verloren gegangenen oder gestohlenen Geräten. Auch hierfür bilden sich am Markt zunehmend Lösungen in Form spezieller Software heraus. Schließlich kann man ein Smartphone durchaus auch aus der Ferne orten oder dazu bringen, sich zu sperren und gespeicherte Daten zu verschlüsseln oder zu löschen.
Auch sollte man sich bezgl. Neuigkeiten zum Betriebssystem und der Software des verwendeten Smartphones auf den Laufenden halten. Das Thema Handyviren und Smartphonetrojaner ist erst noch im Kommen. Die Berichterstattung in den Medien dürfte dazu in den nächsten Monaten deutlich zunehmen, wenn sich auch Tablet-PCs basierend auf Smartphone-Plattformen weiter ausbreiten.
Viele Smartphone-Nutzer, sind bisher zwar beim Arbeiten am PC halbwegs sicherheitssensibel, achten auf den Einsatz aktueller Software und Patches für ihren PC, setzen Virenschutz und Firewall ein oder arbeiten gleich mit einer gehärteten Linux-Distribution. Aber ihr Handy benutzen sie wie einen Haarfön: Einschalten und loslegen ohne weitere Hintergedanken. Ist doch die Technik praktisch kinderleicht, wartungsfrei und ausfallsicher gestaltet. Das wird sich ändern (müssen). Spätestens wen Handyviren in größerem Umfang damit beginnen kostenpflichtige Mehrwertdienste anzurufen (wie zu Zeiten des Einwahlinternets im Gebührentakt die Dialerprogramme), Abofallen auszulösen, wichtige Daten zu stehlen oder das Gerät gleich unbrauchbar zu machen, bis man es mit Hilfe eines vom Virenautor gegen „Lösegeld“ zu kaufenden Entsperrcodes wieder aktiviert (sog. „Ransomware“).
Kommentar schreiben » | Angriff & Abwehr, Datenschutz, GABAL, Informationssicherheit, Privacy | Mit Tag(s) versehen: Datenschutz, Datenleck, Microsoft, Schadsoftware, Viren, Trojaner, Exploits, Open Source, Sicherheitslücken, Hacker, Datendiebstahl, Sicherheitspraxis, ct, BSI, Angriff & Abwehr, Schadcode, IT-Risiken, Daten, Malware, Access Control, GABAL, Internetbetrug, Datensicherheit, Access Blocking, Abofalle, Mobilfunk, Bluetooth, iPhone, iPad, Apple, Smartphone, Android, MeeGo, Symbian, Schwachstelle, Java, App, Dialer, Ransomware | Permalink
Verfasst von Guido Strunck
26. September 2010
IT-Sicherheit gewinnt als Thema zunehmend auch an politischer Bedeutung. Zwar gibt es im Rahmen von e-Government-Initiativen oder beim Thema Schutz kritischer Infrastrukturen bereits seit längerem Schnittstellen zwischen IT-Sicherheit und staatlicher Tätigkeit. Und dass Schadsoftware als Waffe in Strategien informationeller Kriegsführung gilt, wird auch bereits seit längerem im militärischen Schrifttum diskutiert. Zumal speziell Hacker aus dem chinesischen und russischem Raum immer mal wieder ungefragt die Güte der Sicherheitsmaßnahmen interessanter Regierungs-IT in westlichen Staaten antesten.
Aber dass ein Computervirus es bis auf die diplomatische Ebene schafft, das gab es bisher noch nicht. Stuxnet schaffte das in den letzten Tagen. Stuxnet ist ein Virus, der es vor allem auf Prozessleittechnik von Siemens abgesehen hat, wie sie in Fabriken, Kraftwerken u.ä. eingesetzt wird und der sich vor allem im sonnigen Klima des Irans und in Indien wohlzufühlen scheint, wie das bisherige Verbreitungsschema zeigt.
Analysen des Stuxnet-Codes brachten Erstaunliches zutage. Die Programmierer der Software hatten offenbar sehr gute Kenntnisse in spezifischer Siemens-Technologie. Etwas das nicht unbedingt zum Standard-Repertoire von Schadsoftware-Autoren gehört. Zudem verbauten sie darin mehrere noch unbekannte Ansätze zum Ausnutzen von Sicherheitslücken (zero day exploits). Solche Exploits sind rar und daher auch sehr wertvoll. Sie können am Datenschwarzmarkt durchaus 5-6stellige Summen pro Stück einbringen. Wer immer Stuxnet gebaut hatte – er war bereit viel Geld dafür aufzuwenden (durch Kauf oder den Verzicht auf den Verkauf der Exploits). Die Stuxnet-Schöpfer haben anscheinend bereits länger an der Schadsoftware gearbeitet und dabei exklusives Wissen genutzt.
Die Sicherheitsfirma Kaspersky Lab erklärte, es handele sich um einen bisher einzigartigen und sehr ausgefeilten Malware-Angriff, der mit fundiertem Wissen um die Industrieanlagensteuerung mit SCADA-Technologie (Supervisory Control and Data Acquisition) durchgeführt wurde. Kaspersky geht deshalb davon aus, dass es sich um einen staatlich unterstützten Angriff handelt.
„Das Verhaltensmuster von Stuxnet deutet darauf hin, dass der Virus offenbar nur in Anlagen mit einer speziellen Konfiguration aktiv wird“, so ein Sprecher von Siemens. Handelt es sich also um einen gezielten Akt von Cyber-Terrorismus, ausgehend von einem Geheimdienst oder einer militärischen Einrichtung? Diese Ansicht wird jedenfalls von der iranischen Regierung vertreten, die sich einer sich rasch ausbreitenden Virenplage auf einer inzwischen fünfstelligen Anzahl Rechnern gegenübersieht. Und zwar nicht auf den Chatbooks burkatragender Facebook-Nutzerinnen sondern auf für das Land wichtigen Prozessrechnern bis hin zur Atomanlage in Buschehr. Vertreter der iranischen Atomenergiebehörde arbeiten daran, den Wurm wieder aus den Rechnern zu entfernen.
Der Beauftragte für Informationstechnologie im iranischen Industrieministerium, Mahmud Liaji äußerte gegenüber der Presse, dass Stuxnet vor allem von Siemens entwickelte Kontrollsysteme angegriffen habe. Demnach knackt Stuxnet Systeme, die Industrieanlagen, Kraftwerke und auch Ölpipelines und -plattformen steuern, und liefert deren Informationen an noch unbekannte externe Empfänger weiter.
Stuxnet scheint demnach eher aufs Spionieren denn aufs Sabotieren ausgelegt worden zu sein. Gut möglich, dass sich da eine ernstzunehmende diplomatische Krise anbahnt. Zumal die iranische Führung aufgrund des weltweiten Drucks auf ihr Atomprogramm ohnehin etwas zur Paranoia neigt.
Noch offen ist, woher Stuxnet kam und wer ihn entwickelt hat. Klassische Motive zum Bau von Schadsoftware wie Internetbetrug, Spamverteilung oder Datendiebstahl zu kommerziellen Zwecken waren offensichtlich nicht Ziel der Entwickler. Und so vermuten auch Experten von Kaspersky, dass Stuxnet der Auftakt zu einem neuen Zeitalter ist: Die Zeit des Cyberterrorismus, der Cyberwaffen und der Cyberkriege, wie es Eugene Kaspersky, Chef und Mitgründer des Unternehmens formulierte. Kaspersky Lab geht daher davon aus, dass Stuxnet ein Prototyp künftiger Cyberwaffen sein könnte und ein inforationelles Wettrüsten in Gang setzen wird.
Ein Wettrüsten, das die Anbieter von IT-Sicherheitslösungen sowie Methoden zu deren Überwindung oder Umgehung zu den Waffenschmieden der informationellen Kriegsführung machen könnte.
Und so fordert General Michael Hayden, ehemaliger Direktor der Geheimdienste CIA und National Security Agency (NSA) bereits eine Ächtung des Cyber-Kriegs. Wahrscheinlich mehr als nur gut informiert darüber, was in den Waffenkammern und Laboren der Welt dazu entwickelt wird. Und wohl wissend, wie locker die US-Regierung sich Waffenächtungen (z.B. der von Landminen oder Streumunition) gegenüber sonst so verhält.
Kommentar schreiben » | Angriff & Abwehr, Informationssicherheit | Mit Tag(s) versehen: Angriff & Abwehr, Cyber-Crime, Cyber-Krieg, e-Government, Exploits, Geheimdienste, Hacker, Informationssicherheit, IT-Risiken, kritische Infrastruktur, Malware, Militär, Polithacker, Prozessleittechnik, Rüstungsindustrie, Schadcode, Schadsoftware, Sicherheitslücken, Trojaner, Viren, Wirtschaftsspionage, Zombie-PC | Permalink
Verfasst von Guido Strunck
