Forensic Investigations / Fi Blog

Fi Blog

Die Hackercommunity "Anonymous" geriet im Zusammenhang mit den Angriffen auf Paypal , Visa, MasterCard und andere erstmals in den Fokus der Medien. Diese Angriffe erfolgten als Reaktion auf die Einstellung der Transaktionen für die Enthüllungsplattform WikiLeaks durch diese Unternehmen.

Die der US-Regierung nahestehende Sicherheitsfirma HBGary kündigte die angebliche Veröffentlichung der Klarnamen der Mitglieder der Hackercommunity an und wurde daraufhin selbst angegriffen . Dabei wurde die Website des Unternehmens Ziel eines sogenannten Defacements , über das gehackte Twitter-Konto von HBGary's CEO Aaron Barr wurden kompromitierende Nachrichten sowie das Dokument mit den angeblichen Mitgliedern verbreitet . Sämtliche Server des Unternehmens seien abkopiert und anschließend gelöscht worden.

Unter den entwendeten Daten befanden sich auch über 75.000 Emails, die zwei Schritten veröffentlicht wurden. Einige Quellen berichten, aus diesen Emails ginge hervor, HBGary sei unter anderem an der Vermietung von Botnetzen und der Entwicklung eines geheimen Rootkits mit dem Codenamen "Magenta" beteiligt, und habe versucht, die Untersuchung des Stuxnet Wurms zu behindern.

HBGary sei inzwischen 'untergetaucht' und habe seine Beteiligung an der RSA-Konferenz abgesagt . Die ehemaligen Kooperationspartner Palantir und Berico haben sich inzwischen von HBGary und den weiteren Plänen zur 'Unschädlichmachung' von WikiLeaks distanziert. Weitere Hintergründe bei heise online.

Als weitere Drohung hat Anonymous nun den Quellcode des Stuxnet Wurms für jedermann frei zugänglich ins Netz gestellt . Es ist damit leichter denn je, eine Neuauflage des Wurms in den Umlauf zu bringen. Die Veröffentlichung ist diesmal real und kein bloßes Gerücht .

Neue Sicherheitslücken, die zur Infektion von Systemen verwendet werden können, werden immer wieder bekannt, jüngst beispielsweise der bisher unbehobene Fehler in Windows-Dateifreigaben . Zudem sind alle SIEMENS PCS7 und WinCC Systeme unseres Wissens nach wie vor über die von uns entdeckten Sicherheitslücken angreifbar, mehr als ein halbes Jahr nach dem wir SIEMENS davon berichteten. Weitere Sicherheitsmängel wollte man sich bis heute nicht einmal anhören. Dennoch sind viele Kunden in der Industrie augenscheinlich erstaunlich entspannt.


BlackHat DC 2011 - "Master Offense"

Das sich Schadsoftware über Wechseldatenträger verbreiten kann, dürfte spätestens seit Stuxnet bekannt sein. Auch unter Linux war es möglich –entsprechende Fehlkonfiguration vorausgesetzt – Rechner durch bloßes Verbinden von USB-Geräten zu hacken .

Die Autostart-Funktion von Betriebssystemen wie Windows zu unterbinden ist nur die offensichtlichste und weithin bekannte Methode zur Linderung des Problems. Microsoft hat dem Problem inzwischen auch Rechnung getragen und die Autostart-Funktion teilweise zu Grabe getragen .

Im Falle des von Stuxnet bekannten 'LNK-Bugs' war auch das Deaktivieren der Autostart-Funktion nicht ausreichend. Zu viele Prozesse laufen implizit im System ab, die der normale Anwender nicht mitbekommt.

Nun haben Angelos Stavrou und Zhaohui Wang auf der BlackHat DC 2011 eine weitere Methode gezeigt, wie sich Rechner durch ein SmartPhone hacken lassen. Das SmartPhone gibt sich gegenüber dem Rechner als Tastatur (USB HID ) aus und kann so Kontrolle über den Rechner erlangen, ohne das der Benutzer eine Möglichkeit zum Eingriff hätte. Statt eines SmartPhones ließe sich auch ein winziges USB-Gerät bauen, das die gleiche Funktion erfüllen könnte.

Selbst eine Endpoint Protection Lösung verhindert diesen Angriff in der Regel nicht, da die Geräteklasse USB-HID normalerweise standardmäßig von allen Beschränkungen ausgenommen ist.

In sensitiven Umgebungen empfiehlt es sich deshalb wenn möglich USB oder andere Hot-Plug Schnittstellen generell abzuschalten. Alternativ lassen sich bei einigen Endpoint Security Lösungen – genauso wie für Wechseldatenträger – Seriennummern für erlaubte USB-HID-Geräte hinterlegen. Jedoch stellen leider nicht alle USB-Tastaturen Seriennummern zu Verfügung um dies zu ermöglichen. Eine Beschränkung auf Hersteller-ID und Typ-ID wird ohne jeden Wert sein, da ein Angreifer mit physikalischem Zugang sicher auch Hersteller und Typ der Tastaturen erkennen wird und somit alle nötigen Daten besitzt.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28