Forensic Investigations / Fi Blog

Fi Blog

BlackHat Las Vegas 2011 - Embedding Security

BlackHat Las Vegas 2011 - Embedding Security

Jerome "Jay" Radcliffe ist Diabetiker und Hacker. Er trägt eine fest implantierte Insulinpumpe, die per Funk von einem Blutzucker-Messgerät Dosisvorgaben bekommt. Das Messgerät bekommt seine Daten von einem Sensor ("Kontinuierlich messender Glukosesensor "), der ebenfalls im Körper sitzt. Als Hacker interessierte ihn natürlich die Frage, ob es ihm gelingen würde, dieses "menschliche SCADA-System" auszutricksen.

Die richtige Dosierung des Insulins sei durchaus nicht trivial, da der Blutzuckerspiegel einen gewissen Korridor nicht verlassen sollte. Ein zu hoher Blutzuckerspiegel führe zu Kopfschmerzen, verschwommenem Sehen und Schädigung der Nieren. Zu niedriger Blutzuckerspiegel wiederum könne zu Betrunkenheitsgefühl, Ohnmacht, Atem- oder Herzstillstand führen. Eine hohe Insulingabe kann also lebensgefährliche Konsequenzen haben.

Durch Reverse Engineering der Hardware, öffentliche Dokumentation und Patentschriften konnte er die Frequenzen herausfinden, auf denen die Geräte kommunizieren. Mit einer selbst gebauten Arduino-basierten Lösung gelang es ihm, Signale aufzufangen und zu senden. Seine Theorie hat sich voll bestätigt, dass das System in keinster Weise gesichert ist, lediglich eine leicht zu ermittelnde individuelle Gerätenummer muss bekannt sein, um manipulierte Signale abzusetzen.

Im Moment müsse der Patient die Insulindosis noch "manuell" bestätigen. In Zukunft solle die Insulingabe vollkommen automatisch geschehen. Neuere Geräte würden auch teilweise mit Bluetooth arbeiten, was Vor- und Nachteil zugleich seien könne. Bleibt zu hoffen, dass bis dahin auch entsprechende Sicherheit in die Geräte integriert wird.


Mittlerweile sei die Version 3 des bekannten Banking-Trojaners Zbot/ZeuS in der freien Wildbahn erschienen, berichten CA in ihrem Community Blog . Die neue Version betreibt gezielt Treibjagd auf die am häufigsten mit Trojanern infizierten, wohlhabenden Länder wie USA, Spanien, das Vereinigte Königreich und auch Deutschland und erschwere die Analyse durch Sicherheitsspezialisten weiter.

Unter den betroffenen deutschen Banken befänden sich u.a. die Commerzbank, die Deutsche Bank, und das Finanzportal des IT-Sicherheitsdienstlers Fiducia IT AG aus dem Volksbanken-Reiffeisenbanken Verbund. Eine kurze Überprüfung der betroffenen deutschen Sites hat nebenbei ergeben, das die u.a. betroffene Website commerzbanking.de nicht einmal die PCI-DSS Richtlinien für die Bankensicherheit zu erfüllen scheint und auch als schwach bekannte Verschlüsselungsverfahren zulässt.

Das TAN, iTAN und HBCI -Verfahren konnte der Trojaner bereits in den vorigen Versionen überwinden .

Das iTANplus-Verfahren muss ebenfalls als gebrochen angesehen werden. Beim iTANplus-Verfahren werden die Transaktionsdaten vor der Eingabe der TAN nochmals in einem CAPTCHA zusammen mit dem Geburtsdatum des Kontoinhabers dargestellt. Das Verfahren ist (nahezu) so leicht zu brechen wie das iTAN-Verfahren, lediglich die Information des Geburtsdatums muss der Angreifer erfassen und dem Konto zuordnen. Dies kann entweder über automatische Texterkennung , über Datenbanken mit Geburtsdaten, oder einmalig manuell geschehen. In den Entwicklungs- und Schwellenländern hat sich jedoch bereits eine regelrechte Industrie gebildet, um CAPTCHAs zu brechen . Anschließend ist es ebenso wie die anderen Verfahren per Man-in-the-Middle-Angriff zu überwinden.

Das mTAN-Verfahren , bei dem der Kontoinhaber TAN und ggf. Transaktionsdaten per SMS auf sein Handy bekommt, bietet hier aufgrund des Medienbruchs zwar etwas mehr Sicherheit, ist aber auch zu brechen, wenn die Telefonnummer des Handys online mit Hilfe der PIN geändert werden kann (bad idea™). Werden die Transaktionsdaten gar nicht mitgesendet, hat der Kontoinhaber trotz größter Sorgfalt keine Möglichkeit, einen MITM-Angriff durch einen Trojaner zu erkennen.

Fiducias Pressemitteilung zur kürzlich im Rahmen der InitiativeD21 (N)Onliner-Atlas2010 erschienen Sonderstudie "Online-Banking - mit Sicherheit! " liest sich mit Aussagen wie "Online-Banking wird immer beliebter" sehr positiv. Etwas unter den Tisch fällt dabei, dass obwohl die Kunden lt. der Studie Sicherheit und Datenschutz als die wichtigsten Kriterien überhaupt ansehen, sich der Anteil der Menschen, die Online-Banking aus diesen Gründen kategorisch ablehnen, von 4,3% in 2009 auf 20,2% in 2010 nahezu verfünffacht habe (u.a. Heise Online berichtete ).

Dies ist auch völlig berechtigt, meldet der Sicherheitsdienstleister Secunia doch in seinem Halbjahresbericht 2010 , dass allein in der ersten Jahreshälfte 2010 fast so viele Sicherheitslücken in PC-Software gefunden worden wären, die das Eindringen von Trojanern ermöglichen, wie im ganzen Jahr 2009. Die ohnehin schon höchste Bedrohungslage aller Zeiten wird durch den vermehrten Einsatz von Smartphones, die ebenfalls durch Trojaner und Viren infiziert werden können, zusätzlich angeheizt.

Interessant für die Online-Banking Studie wäre gewesen zu ermitteln, welcher Anteil unter den tatsächlichen Nutzern Bedenken beim Online-Banking hat, und welche.

Nebenbei fiel mir noch zufällig auf, dass die Studie ohne Quellenangabe teilweise wortwörtlich von Wikipedia abzuschreiben scheint (vgl. S. 15 der Studie unten mit "SmartTAN " und "SmartTANplus "), jedenfalls wenn man dem Changelog von Wikipedia glauben darf.

Da die Kunden, wie der Studie ebenfalls zu entnehmen ist, kaum selbst bereit seien, etwas für die Sicherheit zu tun, oder gar dafür zu bezahlen, und Datenschutz und Sicherheit als Selbstverständlichkeit sähen, liegt hier m.E. dringend Handlungsbedarf auf Seiten der Banken, die unsicheren Verfahren auszutauschen.

Ebenfalls Handlungsbedarf sehe ich im Bereich der Politik und der Rechtssprechung, hier für mehr Verbraucherschutz zu sorgen, und zumindest bei Einsatz bekanntermaßen unsicherer Verfahren die Haftung in Richtung der Banken zu verlagern.

Bankkunden, Banken, Bankenaufsicht, Politiker oder Organe der Rechtspflege können sich gerne jederzeit für prophylaktische Beratung, Schulung oder forensische Beweisführung vertrauensvoll an uns wenden .

UPDATE 29.07.2010: Gemäß der von Verizon Business veröffentlichten Studie "Data Breach Report 2010 " sei die Finanzbranche das Angriffsziel Nummer 1 von Online-Kriminellen, berichtet Heise Online.

UPDATE 29.07.2010:McAfee berichteten in Ihrem Blog, dass Zbot/ZeuS mittlerweile den im Zusammenhang mit den Angriffen auf die SIEMENS Simatic WinCC und PCS 7 SCADA -Systeme bekannt gewordenen, hochkritischen 'LNK Bug' (CVE-2010-2568 ) aktiv ausnutzt.

UPDATE 03.09.2010: Die Deutscher Bank Research, GfK und Google hätten eine Studie veröffentlicht, dass der Anteil der Online-Finanzgeschäfte immer höher würde , was den Handlungsdruck m.E. verstärkt oder wenigstens verstärken sollte.

UPDATE 27.09.2010: Die neuste Version von ZeuS nehme nun auch SMS-TAN (auch mobile TAN, mTAN genannt) ins Visier , berichtet heise online unter Bezug auf eine Veröffentlichung von S21sec . Die Malware versuche dabei, dem Opfer ein angebliches Sicherheitsupdate für das Handy unterzujubeln, welches ebenfalls einen Man-in-the-middle Angriff ausführe. Die ZeuS-Handy-Malware sei bisher auf die Infektion von Symbian und BlackBerry SmartPhones ausgerichtet.

UPDATE 09.10.2010:16-jähriger demonstriert Sicherheitslücken bei 17 Banken , er nutzte hierbei XSS -Lücken, die sich auch für Man-in-the-middle Angriffe nutzen lassen. Das bestätigt meinen Eindruck weiter, dass hier nie oder nicht regelmäßig nach Änderungen professionelle Audits stattfinden und selbst triviale Methoden ausreichend sind, die meisten Websites zu überlisten.


Was Insidern längst bekannt ist, sickert nun in immer mehr Meldungen auch an die Breite Öffentlichkeit . Geheimdienste, Ermittler und Personalchefs benutzen die sozialen Netzwerke, um Meinungen, Beziehungsgeflechte und Aufenthaltsorte bestimmter Zielpersonen zu verfolgen.

Unter dem Stichwort "Open Source Intelligence" verdienen auch immer mehr Hersteller sehr gut an Auswertungssoftware, die mit einem Mausklick sämtliche offen verfügbaren Informationen aus Personensuchmaschinen, sozialen Netzwerken, Twitter, Newsgroups, IRC-Kanälen und vielen anderen frei verfügbaren Quellen grafisch aufbereitet und entsprechende Verknüpfungen herstellt.

Populäre Software zur Herstellung von Phantombildern kann längst mit der Google Bildersuche oder Facebook kombiniert werden, um Verdächtige aufzufinden, selbst frei verfügbare Handy-Software kann Personen vor der Kamera identifizieren .

Nicht zuletzt ist ja auch über die von Cryptome.org veröffentlichten Dokumente genau bekannt, welche Daten die sozialen Netzwerke verarbeiten, und welche Schnittstellen sie den Ermittlern dafür anbieten. Wenn sich also ein verdächtiger Mafiosi per Facebook-Tracking erwischt wird, ist er wohl wahrscheinlich im sprichwörtlichen Sinn dümmer als die Polizei erlaubt.


Adobe Reader wäre nun die meistausgenutzte Software mit Sicherheitslücken und hätte damit nun Microsoft Word abgelöst, berichtet TheRegister unter Bezug auf Zahlen des AntiVirus-Herstellers F-Secure.

Als Grund nennt F-Secure, der Adobe Reader habe einfach mehr Sicherheitslücken als Word.

Adobe Reader belgt laut deren Zahlen mit rund 49% Anteil vor Word mit rund 39% den unrühmlichen ersten Platz.

Die Microsoft Office Applikationen PowerPoint und Excel seien von noch rund 20% bzw. 17% Anteil an ausgenutzten Lücken in 2008 im letzten Jahr jeweils in den einstelligen Prozentbereich zurückgegangen.

Dennoch stellen an E-Mails angehängte oder heruntergeladene PDF- und Office-Dokumente neben Adobe Flash, das in der Untersuchung offenbar nicht berücksichtigt wurde, wohl noch eine der gefährlichsten Bedrohungen bei der Internetnutzung dar.

Ein anderer Grund für die hohe Infektionsrate durch PDFs könnte meines Erachtens nach sein, dass es sich für Office-Dokumente bereits herumgesprochen hat, dass diese gefährliche Schadsoftware in Form von Makros enthalten können, während dies für JavaScripte in PDF-Dateien noch relativ unbekannt zu sein scheint.

Abschalten von JavaScript in Adobe Reader kann Risiken senken, wenn auch nicht gänzlich ausschließen. Eine Funktion, JavaScript lediglich in vertrauenswürdig signierten Dokumenten zuzulassen gibt es leider nicht.


Prof. Dr. Thomas Hoeren vom Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster hat eine aktualisierte Fassung seines Skripts Internet-Recht veröffentlicht.

Auf über 500 Seiten widmet er sich den Themen Namensrechte, Urheberrecht, Werbung und Vertragsabschluss, Datenschutzrecht, Haftung von Online-Diensten und Strafrecht im Internet inklusive Formulierungsvorschlägen, Gestaltungshinweisen und Musterverträgen.

Gegenüber der vorigen Fassung seien 300 Urteile und Literaturfundstellen ergänzt worden sowie die Novellierungen des Bundesdatenschutzgesetzes eingeflossen, berichtete Heise Online.

UPDATE 09.10.2010: Die aktualisierte September-Fassung des Skripts Internet-Recht liegt nun vor und bietet Überarbeitungen im Hinblick auf die neuen Rom-I- und Rom-II-Verordnungen sowie zu De-Mail . Neu aufgenommen wurden u.a. Themen wie Zugangserschwerungsgesetz , Vorratsdatenspeicherung und Leistungsschutzrecht .


Die spanische Guardia Civil habe ein gigantisches Botnetz mit 12,7 Millionen infizierten PCs, mit sogenannten 'Zombie '-Rechnern vom Netz genommen und die Hintermänner verhaftet, berichteten Heise Online und TheRegister.

Damit dürfte mit Hilfe des spanischen Anti-Viren-Softwareherstellers Panda Software , dem FBI, der kanadischen Sicherheitsfirma Defence Intelligence und anderen einer der empfindlichsten Schläge gegen die organisierte Kriminalität im Internet der letzten Jahre gelungen sein.

Sichergestellt wurden u.a. gestohlene private Daten und Kennwörter von über 800.000 Personen , unter den Opfern sollen auch mehr als 500 der 'Fortune 1000 Companies' gewesen sein . Wer bisher noch glaubte, Datendiebstahl beträfe ihn nicht, wird damit jäh eines Besseren belehrt.

UPDATE 10.03.2010: Vodafone Smartphone ab Werk mit Bot Mariposa , laut Vodafone ein Einzelfall mit einem vom Kunden infizierten und umgetauschtem Telefon

UPDATE 17.03.2010: Nächster 'Einzelfall' mit Mariposa bei Vodafone

UPDATE 19.03.2010: Und noch 2998 'Einzelfälle' – nein jetzt wohl nicht mehr – Vodafone Spanien gesteht ein, 3000 SmartPhones mit Bot Mariposa geliefert zu haben

UPDATE 03.09.2010: Der geistige Vater des Mariposa Botnets, ein 23-jähriger Hacker mit dem Spitznamen "Iserdo", sei im Juli in Maribor, Slovenien verhaftet worden berichtete The Register .


Microsoft ließe die Whistleblower -Website Cryptome.org über den sogenannten "DMCA Takedown Request" (Unterlassungsersuchen gegen den Provider eines Urheberrechtsverletzers) vom Netz nehmen, berichtete Heise Online.

Der Grund wäre die Veröffentlichung des 'Microsoft Online Services Global Criminal Compliance Handbook', sowie einiger Dokumente zur Forensik von Windows 7, die eigentlich polizeilichen Ermittlern und Geheimdiensten vorbehalten bleiben sollten.

Während die Dokumente zu Windows 7 keine besonderen Informationen liefern, die man nicht auch sonst öffentlich bei Microsoft einsehen könnte, wird im 'Global Criminal Compliance Handbook' erstmals genau dokumentiert, welche Daten seiner Nutzer Microsoft über seine Online-Dienste wie den Email-Dienst MSN Hotmail, den Authentifizierungsdienst Windows Live ID, den Online-Festplatten Office Live Workspace & Windows Live SkyDrive sowie den Online-Gaming-Dienst Xbox Live überhaupt erhebt und wie lange das Unternehmen sie speichert. Ähnliche Dokumente waren auch zu anderen Online-Diensten durchgesickert, darunter Facebook, MySpace, Skype und PayPal, um nur die in Deutschland populärsten zu nennen.

Noch ein paar Informationen zum Hintergrund: Cryptome.org ist eine seit 1996 aktive Whistleblower-Website des Aktivisten John Young, die bereits 1999 in die Schlagzeilen geriet, als sie 100 Namen angeblicher Agenten des britischen Geheimdiensts MI6 veröffentlicht hatte. Sie wurde 2003 Opfer eines Defacements und 2007 vom ihrem damaligen Hostprovider Verio wegen angeblicher Verletzung der Nutzungsbedingungen hinausgeworfen .

Bereits im November 2009 hatte Cryptome.org Ärger mit Microsoft wegen der Veröffentlichung des Ermittler-Tools Microsoft COFEE , wie ich berichtet hatte.

UPDATE 26.02.2010: Microsoft habe es sich offenbar kurzfristig anders überlegt und zöge die Beschwerde zurück

UPDATE 08.03.2010: PayPal schlüge auch zu und fröre den Account von Cryptome.org ein

UPDATE 10.03.2010: Obwohl PayPal öffentlich bekannt gegeben habe, der Account sei wieder geöffnet worden, habe John Young weiterhin keinen Zugriff darauf. Er habe PayPal daraufhin als "Lügner, Betrüger und Verbrecher" bezeichnet .

UPDATE 11.03.2010: PayPal habe den Account nun wirklich wieder geöffnet

UPDATE 16.03.2010: PayPal habe sich nun entschuldigt


Die Bundesregierung unterstütze die Botnetz-Bekämpfung der "Anti-Botnet-Initiative" des eco-Verbands der deutschen Internetwirtschaft e.V. mit 2 Millionen Euro, berichtet Heise Online. Man wolle dazu "in der ersten Jahreshälfte 2010" eine "Beratungsstelle einrichten, die Anwender dabei unterstützen soll, ihren Rechner von Viren und Bots zu befreien".

Dafür, dass das ganze bereits seit Ende 2009 am Laufen ist, gibt die Suche auf der eco-Website noch erstaunlich wenig Substanz her. Es bleibt abzuwarten, ob dieses Geld einen Nutzen bringt, oder sinnlos in den Rachen eines Lobbyisten-Verbandes geworfen wird.

Ich persönlich halte das Unterfangen Rechner von Viren oder Bots zu befreien für nahezu aussichtslos, da erhältliche Anti-Viren-Produkte kaum in der Lage sein dürften, die im Umlauf befindlichen hochresistenten Schädlinge automatisch zu desinfizieren. Man hat ja schon Glück, wenn die Schädlinge überhaupt erkannt werden (siehe z.B. Erkennungsquote hier unter "AV detection" oder mal akutuelle Bedrohungen aus einschlägigen Researchblogs auf VirusTotal mitverfolgen). Technisch ist es auch kein Problem, unerkennbare, polymorphe und hochresistente Schädlinge in beliebigen Mengen herzustellen. Underground-Dienste wie hxxp://virtest.com/ erlauben es zudem, die Erkennungsquote der im Handel befindlichen Anti-Viren-Produkte abzufragen und die Erkennungsquote auf Null herunterzutreiben. VirTest funktioniert analog zu VirusTotal, leitet die hochgeladenen Dateien aber im Gegensatz zu diesem nicht an Sicherheitshersteller weiter, wie u.a. hier berichtet wurde.

Es ist geplant, per Call-Center telefonische Hilfestellung zu geben, wenn die automatische Desinfektion scheitert. Es dürfte selbst für die besten Experten eine große Herausforderung und eine tagfüllende Angelegenheit werden, dies mit einem Laien am anderen Ende der Leitung zu bewerkstelligen. Wird lediglich ein einzelner kleiner Registrierungseintrag oder irgendwo eine infizierte EXE- oder PDF-Datei (unter tausenden von Einträgen und Dateien) vergessen, installieren die meisten aktuellen Schadprogramme ihren ganzen Plunder wieder von Neuem.

Einem so einmal kompromitierten Windows-System kann man zudem nie wieder vertrauen. Bei jedem Aufruf des Online-Banking kommt das ungute Gefühl auf, es versteckt sich doch noch irgendwo etwas, das berühmte "Restrisiko", dass einem wie bekannt leicht den Rest geben kann.

Aber die Problematik geht schon vor der Bekämpfung los, nämlich mit der Erkennung. Die verwendete passive Erkennung über Honeypots , Spamtraps und die Auswertung von Denial-of-Service -Attacken und externe Beschwerden zusammengetragen werden. Während man sich an anderer Stelle nicht scheut, tiefe Grundrechtseingriffe mit zweifelhaftem Nutzen zu tätigen , die Millionen Kosten und von Menschen mit entsprechenden bösartigen Absichten in weniger als einer Minute umgangen werden können , wird ausgerechnet hier, wo es dem Schutz der Bürger vor einer echten Bedrohung dient, nicht aktiv eingegriffen. Nicht einmal eine Gesetzesänderung wäre hierfür nötig, §100 TKG erlaubt den Eingriff in Verbindungs- und Verkehrsdaten und sogar die Speicherung dieser Daten unter bestimmten Auflagen, wenn "tatsächliche Anhaltspunkte den Verdacht der rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und -diensten begründen", was ich für solche Fälle klar bejahen würde. Aus der Speicherung könnte man ebenfalls wertvolle Erkenntnisse für die Aufklärung von Straftaten gewinnen, die Speicherung ist schon jetzt auf die "bösen" Verbindungen beschränkt und sieht bereits die pseudonymisierte Speicherung von Bestandsdaten des Betroffenen vor, die für die Kriminalitätsbekämpfung auch ohnehin nicht gebraucht werden. Eine so perfekte Symbiose aus effizienter Kriminalitätsbekämpfung und vorbildlichem Datenschutz habe ich persönlich selten gesehen.

Ein aktiver Eingriff erlaubt zudem die sofortige Eliminierung der Gefahr. Immerhin "begehen" kompromitierte Rechner i.d.R. direkt Straftaten nach §202c "Vorbereiten des Ausspähens und Abfangens von Daten" und §303b "Computersabotage" StGB an Dritten, was ihre Besitzer u.U. schnell in Erklärungsnot bringt. Auch ein Opt-In oder -meiner Meinung nach besser- ein Opt-Out Verfahren wären hier sicherlich leicht möglich, wenn mir dies auch allenfalls für uns Sicherheitsforscher sinnvoll erscheint.

Mit der genannten passiven Methode, die eco dagegen plant, wird lediglich darauf gehofft, das eine kompromitierte Maschine irgendwann mal hoffentlich zufällig an einen dieser Honeypots gerät. Das "Prinzip Hoffnung" ist mir an dieser Stelle jedoch etwas zu wenig, zumal auch Cyberkriminelle wohl mitgekriegt haben, dass es Honeypots gibt. Es gibt auch diverse Methoden zuverlässig festzustellen, ob es sich bei dem vermeintlichen Opfer um einen Honeypot handelt, auf die ich hier jedoch nicht eingehen möchte.

Sobald die Millionen vom BMI eingetroffen sind, werden wir das mal nachhaltig regeln ;)

UPDATE 05.03.2010: Auch andere Spezialisten sehen die Honeypots deshalb bereits vor dem Aus oder zumindest bedroht .


Google bläst zum Angriff auf Chrome berichtete Heise Online heute. Wer ein Sichheitsleck in Google Chrome entdecke, bekäme 500 US-Dollar, in Einzelfällen 1337 Dollar. Google tut es damit der Mozilla Foundation gleich, die im Rahmen des "Security Bug Bounty Program" bereits seit 2004 Belohnungen an Entdecker von Sicherheitslücken bezahlt .

Was auf den ersten Blick wie eine gute Initiative aussieht, ist dennoch eine absolute Farce aus meiner Sicht. Mag dies für Skript-Kiddies neben der Schule eine schöne Aufstockung des Taschengelds darstellen, ist dies für professionelle Sicherheitsforscher wohl einfach zu wenig. Als professionelle Sicherheitsforscher könnten wir für diesen Betrag nur eine oberflächliche Begutachtung durchführen.

Hinzu kommt, das es nur ein Trick der Industrie ist, sich billig an der wesentlich gelungeneren Zero Day Initiative vorbeizumogeln, die verantwortungsbewußten "White Hat " Hackern mehrere tausend Euro pro gefundenem Sicherheitsleck bezahlt und sich durch die Zusammenarbeit mit den Herstellern refinanziert. Erst recht, wenn man jetzt noch in Betracht zieht, das für solche exklusiven "0day " Lücken in Untergrundkreisen z.T. sechsstellige Beträge bezahlt werden.

Die Cyberkriminellen benutzen diese Sicherheitslücken dann, um weltweit Rechner mit Schadsoftware zu infizieren um Bankdaten auszuspähen oder/und andere Betrügereien über andere Dienste wie ebay, Skype etc. zu begehen. Im Durchschnitt wurde JEDES der Opfer dabei nach Angaben des "FBI Internet Crime Report 2008 " um 1000 US-Dollar erleichtert, JEDES Opfer hatte also DOPPELT so viel Schaden, wie es dem Browser-Hersteller wert ist, ALLE Anwender WELTWEIT zu schützen. In Anbetracht dieser Zahlen kann man das wohl nur als Marketing-Gag bezeichnen, der nicht einmal lustig ist.

Bei einer [auch schon millionenschweren] Non-Profit Organisation wie der Mozilla Foundation kann man das ja vielleicht gerade noch verstehen, aber beim Kontostand des Suchmaschinenriesen wäre mir persönlich die Sicherheit und das Vertrauen meiner Anwender mehr wert. Auch in Hinblick darauf, dass Chrome noch ein vergleichsweise sehr junges Produkt ist, und eine entsprechende Anwenderschaft erst noch überzeugen muss.

UPDATE 03.09.2010: Man hat hier doch etwas nachgebessert, Mozilla zahlt jetzt immerhin 3000 US$ , auch Google hat nachgelegt und zahlt nun ebenfalls 3000 US$ (englischer Artikel bei The Register, Heise online scheint die Meldung irgendwie verpasst zu haben).


Hier mein Bericht vom Workshop "Forensik und Internetkriminalität " des CAST e.V. (Competence Center for Applied Security Technology), der heute am Fraunhofer Institut für Graphische Datenverarbeitung in Darmstadt abgehalten wurde, Forensic Investigations war natürlich dabei.

Prof. Dr. Harald Baier von der Hochschule Darmstadt und Prof. Dr. Felix Freiling von der Universität Mannheim führten durch die Veranstaltung und sorgten und für eine sehr gelöste Atmosphäre. Alles in Allem fand ich die Veranstaltung sehr gelungen, die überwiegende Zahl der Vorträge hatte ein gutes bis sehr gutes Niveau. Die Teller beim Mittagessen waren nicht so optimal sauber gespült, das ist wohl schon fast das Negativste, dass ich anmerken könnte.

Alexander Geschonnek referierte über die forensische Praxis bei der KPMG, insbesondere über Aspekte des Datenschutzes sowie organisatorische und rechtliche Probleme und Risiken, die sich bei der Arbeit ergäben. Hier waren insbesondere die Probleme rund um die informelle Selbstbestimmung und des Schutzes des Persönlichkeitsrechts der Mitarbeiter eines Unternehmens Thema, die bei fehlendem Verbot der privaten Internetnutzung am Arbeitsplatz greift. Auch in unserer Praxis führt dies regelmäßig zu Beweisverwertungsverboten vor Gericht oder wir dürfen erst gar nicht alle vorhandenen Daten in die forensische Akquise und Untersuchung einbeziehen. Dadurch geht ggf. belastendes Material verloren, falls der Mitarbeiter einer Untersuchung nicht zustimmt, was zu Recht Beschuldigte in der Regel nicht tun werden. Ich kann deshalb allen Unternehmen als vorbeugende Maßnahme nur dringend anraten, jegliche private Nutzung der Unternehmens-PCs, insbesondere Nutzung des Internets und Versenden privater E-Mails vertraglich zu untersagen.

Im semi-interessanten Vortrag von Stefan Müller von Symantec Deutschland wurde der "Threat Report 2009 " vorgestellt. Jedoch berichteten andere Referenten und Besucher, dass die Bedrohungslage technologisch weiter fortgeschritten sei, als der Report wiedergäbe. Stefan Müller erläuterte unter anderem, dass die AntiViren-Hersteller dem "Hase & Igel"-Spiel per Pattern-Updates kaum mehr folgen könnten und hier neue, intelligente(re) Techniken zur Erkennung entwickelten, die zumindest in den Consumer-Produkten des Hauses bereits eingesetzt würden. Warum man jedoch die neue Technologie ausgerechnet bei den Consumer-Produkten zuerst einsetze, blieb offen.

Dr. Thorsten Holz von der TU Wien zeigte Teile aus seinen Forschungsarbeiten, in denen er bekannte Botnetze analysierte. Er konnte hier Erkenntnisse über Botnetze, Anzahl der infizierten Rechner und eingesetzte Technologien wie Fast Flux und Double Fast Flux vorstellen. Aus diesen Daten hat er u.a. mittels der bekannten Preise für eBay-Accounts, gestohlene Kreditkartennummern und Identitäten u.ä. mögliche Umsätze der Schattenwirtschaft hochgerechnet. Auch Techniken der modernsten Trojaner aus dem Banking-Bereich stellte er in seinem sehr interessanten und gelungenem Beitrag vor. Phishing -Emails mit der Aufforderung zur TAN -Eingabe auf gefälschten Seiten mit ähnlichen lautenden Adressen dürften inzwischen allgemein bekannt sein. Neueste Banking-Trojaner sind jedoch in der Lage, Transaktionen mittels "Man-in-the-middle" Attacke beim Online-Banking auf den Original-Seiten der Bank so zu manipulieren, dass es selbst dem aufmerksamen Benutzer nicht auffallen kann. Sogar die sonst an dieser Stelle angeratene Überprüfung des Sicherheitszertifikats der Internet-Seite greift hier nicht. Auch Systeme mit Smartcard -Unterstützung (HBCI ) sind für solche Attacken anfällig. Hier bleibt nur der Rat, neben den üblichen Vorkehrungsmaßnahmen wie aktuelle Virenschutzsoftware zu verwenden, Sicherheitsupdates von Internet-Browsern und Betriebssystem zeitnah durchzuführen vor allem die Kontoauszüge regelmäßig zu überprüfen (am Kontoauszugdrucker, NICHT online!) bzw. gar ganz auf Online-Banking zu verzichten. Selbst beim Starten eines Browsers von einem nicht-beschreibaren Medium wie z.B. einer Knoppix-CD gibt es keine vollkommene Sicherheit.

Der Beitrag von Holger Morgenstern zum Thema "Forensik auf Smart-Phones - Möglichkeiten und Probleme", an dem ich eigentlich auch sehr interessiert war, fiel leider aufgrund Erkrankung des Referenten aus. Gute Besserung an dieser Stelle.

Etwas kompensiert wurde dieser Verlust dadruch, das ein Vetreter von Cellebrite , einem Hersteller forensicher Systeme für mobile Geräte, direkt neben mir saß und mir über die neuesten Entwicklungen in diesem Bereich berichtete und mir die Geräte kurz demonstrierte. Danke & Grüße von hier aus Patrick!

Dietmar Breitling von der SEB AG berichtete über IuK-Kriminalität aus Sicht eines Bankers. Durch diesen Beitrag konnte ich erstmals ansatzweise nachvollziehen, welche Gründe hinter der m.E. schneckenlangsamen sicherheitstechnischen IT-Entwicklung im Bankensektor stecken, und warum hier noch Technologien aus der "IT-Steinzeit" wie Magnetstreifen eingesetzt werden, die bekanntermaßen sicherheitstechnisch extrem anfällig sind (mit 10€ Einsatz im Elektronik-Bastlerladen ohne großes Know-How zu knacken). Man will wohl primär die Kunden nicht verunsichern und Schwierigkeiten mit der Bafin vermeiden, gewisse "Streuverluste" durch Betrugsfälle sind offensichtlich einkalkuliert und preisgünstiger als der flächendeckende Einsatz neuer Systeme. Aus betriebswirtschaftlicher Sicht ist Kapital in der Zukunft natürlich billiger als Kapital in der Gegenwart, weshalb sich die Situation ohne regulatorische Auflagen sicher nicht so schnell maßgeblich bessern wird, zudem man ja auch immer bequem argumentieren kann, das alles sei so "branchenüblich". Bleibt der Fairness halber noch anzumerken, das Dietmar Breitling dies in dieser Form und Deutlichkeit nicht oder allenfalls sehr verklausuliert berichtete, dies ist lediglich meine (subjektive) Interpretation.

Herr D. (Name bek.) von einem deutschen Landeskriminalamt brachte äußerst interessante Fakten und die m.E. verlässlichsten Zahlen über die Schattenwirtschaft zutage. Dies ging jedoch derart in die Tiefe der organisatorischen Strukturen und Methoden, dass ich hier nur die dort gegebene Warnung wiederholen möchte: dem LKA lägen Informationen vor, dass die noch nicht geschlossene Sicherheitslücke in Adobe Acrobat 9.2 und Adobe Reader 9.2 bereits von bekannten Botnetzen eingesetzt würde, um weitere Rechner unter Kontrolle der Täter zu bringen. Auch andere Quellen hatten zwischenzeitlich berichtet, das bereits ein Exploit für das Metasploit Framework vorliegt, sodaß von praktischen Angriffen gegen diese Sicherheitslücke auf breiter Front auszugehen war. Ich kann deshalb nur dringend anraten, JavaScript in Adobe Acrobat und Reader auszuschalten , bzw. unter Windows ein Registry-File einzuspielen, dass die betroffene JavaScript-Funktion deaktiviert. Ein offizieller Patch für diese Sicherheitslücke soll lt. Hersteller erst am 12. Janauar 2010 erscheinen. Dies wird den Internetkriminellen sicher ein "frohes Fest" bescheren.

RA Niels Hoffmann (VBB Rechtsanwälte, Düsseldorf ) vertiefte die auch schon von Alexander Geschonnek angeschnittenen Risiken privater forensischer Ermittlungen aus juristischer Sicht sehr praxiskompetent unter dem Thema "Strafbarkeitsrisiken von computerforensischen Dienstleistungsanbietern und Beweisverwertungsprobleme im Zusammenhang mit computerforensischen Datenerhebungen".

Er beklagte u.a., dass die Rechtssprechung in weiten Teilen Interpretationssache und somit, auch aufgrund des technischen Informationsstands der Justiz, eine Art Glücksspiel sei und auch viele Bestimmungen im Strafrecht nicht den praktischen Anforderungen genügen würden. Insbesondere das Urteil des Bundesverfassungsgerichts zum Thema "Dual Use" Software (BVerfG, 2 BvR 2233/07 vom 18.5.2009) sei nicht so glücklich ausgefallen, da auch hier schwammige Begrifflichkeiten wie "Schadprogramme, deren objektiver Zweck in der Begehung von Computerstraftaten liegt" oder "bestimmungsgemäße Wartung und Pflege" vorkämen.

Eine Differenzierung zwischen "Dual Use" Sicherheitsprogrammen und "Malware" ist auch m.E. wenn überhaupt nur in Einzelfällen möglich, da letztendlich auch jede Malware geeignet ist, die Anfälligkeit -oder im Umkehrschluss Sicherheit- von Systemen zu testen, womit sich meist automatisch ein möglicher "Dual Use" ergibt, sei es nur um die Erkennung einer Malware durch AntiViren-Software zu verifizieren. Lediglich das schwer zu belegende Motiv des Einsatzes bliebt als Unterscheidungskriterium übrig, was m.E. auch das Urteil so wiedergibt. Der Verkauf von Software wie Passwort-Crackern bleibt damit aber nach wie vor ein gewisses Risiko, wenn dieser auch an Personen erfolgt "von deren Vertrauenswürdigkeit nicht ausgegangen werden kann". Überspitzt gesehen müßten analog auch Baumärkte angehalten werden, Schaufeln auch nur an "vertrauenswürdige Personen" zu verkaufen, damit möglichst niemand damit erschlagen wird.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30