Forensic Investigations / Fi Blog

Fi Blog

BlackHat Las Vegas 2011 - Embedding Security

BlackHat Las Vegas 2011 - Embedding Security

USB-Angriffe sind nicht neu. Prominente Beispiele sind der 'LNK-Bug ' oder der im Frühjahr auf der BlackHat DC gezeigte Angriff per simulierter Tastatur . Auf noch niedriger Ebene ging Andy Davis von NGSSecure vor.

Mit einem Testgerät, das mit einem selbstgeschriebenen Programm instrumentiert wurde, gelang es ihm nach eigener Aussage, Schwachstellen u.a. in Windows 7, der Xbox 360, Solaris 11 Express, Apple OS X und diversen Embedded-Systemen zu finden. Dies ermögliche "Jailbreaks", Entsperren gesperrter Arbeitsstationen, heimliche Installation von Schadsoftware oder Diebstahl sensitiver Daten.

Da Endpoint Protection Lösungen meist auf höherer Ebene arbeiteten, seien Sie gegen solche Angriffe und Sicherheitslücken in USB-Treibern oft wirkungslos. Der einzig effektive Schutz sei das Abschalten der USB-Schnittstellen im BIOS des Systems oder deren Versiegelung mit Epoxidharz.


Mittlerweile sei die Version 3 des bekannten Banking-Trojaners Zbot/ZeuS in der freien Wildbahn erschienen, berichten CA in ihrem Community Blog . Die neue Version betreibt gezielt Treibjagd auf die am häufigsten mit Trojanern infizierten, wohlhabenden Länder wie USA, Spanien, das Vereinigte Königreich und auch Deutschland und erschwere die Analyse durch Sicherheitsspezialisten weiter.

Unter den betroffenen deutschen Banken befänden sich u.a. die Commerzbank, die Deutsche Bank, und das Finanzportal des IT-Sicherheitsdienstlers Fiducia IT AG aus dem Volksbanken-Reiffeisenbanken Verbund. Eine kurze Überprüfung der betroffenen deutschen Sites hat nebenbei ergeben, das die u.a. betroffene Website commerzbanking.de nicht einmal die PCI-DSS Richtlinien für die Bankensicherheit zu erfüllen scheint und auch als schwach bekannte Verschlüsselungsverfahren zulässt.

Das TAN, iTAN und HBCI -Verfahren konnte der Trojaner bereits in den vorigen Versionen überwinden .

Das iTANplus-Verfahren muss ebenfalls als gebrochen angesehen werden. Beim iTANplus-Verfahren werden die Transaktionsdaten vor der Eingabe der TAN nochmals in einem CAPTCHA zusammen mit dem Geburtsdatum des Kontoinhabers dargestellt. Das Verfahren ist (nahezu) so leicht zu brechen wie das iTAN-Verfahren, lediglich die Information des Geburtsdatums muss der Angreifer erfassen und dem Konto zuordnen. Dies kann entweder über automatische Texterkennung , über Datenbanken mit Geburtsdaten, oder einmalig manuell geschehen. In den Entwicklungs- und Schwellenländern hat sich jedoch bereits eine regelrechte Industrie gebildet, um CAPTCHAs zu brechen . Anschließend ist es ebenso wie die anderen Verfahren per Man-in-the-Middle-Angriff zu überwinden.

Das mTAN-Verfahren , bei dem der Kontoinhaber TAN und ggf. Transaktionsdaten per SMS auf sein Handy bekommt, bietet hier aufgrund des Medienbruchs zwar etwas mehr Sicherheit, ist aber auch zu brechen, wenn die Telefonnummer des Handys online mit Hilfe der PIN geändert werden kann (bad idea™). Werden die Transaktionsdaten gar nicht mitgesendet, hat der Kontoinhaber trotz größter Sorgfalt keine Möglichkeit, einen MITM-Angriff durch einen Trojaner zu erkennen.

Fiducias Pressemitteilung zur kürzlich im Rahmen der InitiativeD21 (N)Onliner-Atlas2010 erschienen Sonderstudie "Online-Banking - mit Sicherheit! " liest sich mit Aussagen wie "Online-Banking wird immer beliebter" sehr positiv. Etwas unter den Tisch fällt dabei, dass obwohl die Kunden lt. der Studie Sicherheit und Datenschutz als die wichtigsten Kriterien überhaupt ansehen, sich der Anteil der Menschen, die Online-Banking aus diesen Gründen kategorisch ablehnen, von 4,3% in 2009 auf 20,2% in 2010 nahezu verfünffacht habe (u.a. Heise Online berichtete ).

Dies ist auch völlig berechtigt, meldet der Sicherheitsdienstleister Secunia doch in seinem Halbjahresbericht 2010 , dass allein in der ersten Jahreshälfte 2010 fast so viele Sicherheitslücken in PC-Software gefunden worden wären, die das Eindringen von Trojanern ermöglichen, wie im ganzen Jahr 2009. Die ohnehin schon höchste Bedrohungslage aller Zeiten wird durch den vermehrten Einsatz von Smartphones, die ebenfalls durch Trojaner und Viren infiziert werden können, zusätzlich angeheizt.

Interessant für die Online-Banking Studie wäre gewesen zu ermitteln, welcher Anteil unter den tatsächlichen Nutzern Bedenken beim Online-Banking hat, und welche.

Nebenbei fiel mir noch zufällig auf, dass die Studie ohne Quellenangabe teilweise wortwörtlich von Wikipedia abzuschreiben scheint (vgl. S. 15 der Studie unten mit "SmartTAN " und "SmartTANplus "), jedenfalls wenn man dem Changelog von Wikipedia glauben darf.

Da die Kunden, wie der Studie ebenfalls zu entnehmen ist, kaum selbst bereit seien, etwas für die Sicherheit zu tun, oder gar dafür zu bezahlen, und Datenschutz und Sicherheit als Selbstverständlichkeit sähen, liegt hier m.E. dringend Handlungsbedarf auf Seiten der Banken, die unsicheren Verfahren auszutauschen.

Ebenfalls Handlungsbedarf sehe ich im Bereich der Politik und der Rechtssprechung, hier für mehr Verbraucherschutz zu sorgen, und zumindest bei Einsatz bekanntermaßen unsicherer Verfahren die Haftung in Richtung der Banken zu verlagern.

Bankkunden, Banken, Bankenaufsicht, Politiker oder Organe der Rechtspflege können sich gerne jederzeit für prophylaktische Beratung, Schulung oder forensische Beweisführung vertrauensvoll an uns wenden .

UPDATE 29.07.2010: Gemäß der von Verizon Business veröffentlichten Studie "Data Breach Report 2010 " sei die Finanzbranche das Angriffsziel Nummer 1 von Online-Kriminellen, berichtet Heise Online.

UPDATE 29.07.2010:McAfee berichteten in Ihrem Blog, dass Zbot/ZeuS mittlerweile den im Zusammenhang mit den Angriffen auf die SIEMENS Simatic WinCC und PCS 7 SCADA -Systeme bekannt gewordenen, hochkritischen 'LNK Bug' (CVE-2010-2568 ) aktiv ausnutzt.

UPDATE 03.09.2010: Die Deutscher Bank Research, GfK und Google hätten eine Studie veröffentlicht, dass der Anteil der Online-Finanzgeschäfte immer höher würde , was den Handlungsdruck m.E. verstärkt oder wenigstens verstärken sollte.

UPDATE 27.09.2010: Die neuste Version von ZeuS nehme nun auch SMS-TAN (auch mobile TAN, mTAN genannt) ins Visier , berichtet heise online unter Bezug auf eine Veröffentlichung von S21sec . Die Malware versuche dabei, dem Opfer ein angebliches Sicherheitsupdate für das Handy unterzujubeln, welches ebenfalls einen Man-in-the-middle Angriff ausführe. Die ZeuS-Handy-Malware sei bisher auf die Infektion von Symbian und BlackBerry SmartPhones ausgerichtet.

UPDATE 09.10.2010:16-jähriger demonstriert Sicherheitslücken bei 17 Banken , er nutzte hierbei XSS -Lücken, die sich auch für Man-in-the-middle Angriffe nutzen lassen. Das bestätigt meinen Eindruck weiter, dass hier nie oder nicht regelmäßig nach Änderungen professionelle Audits stattfinden und selbst triviale Methoden ausreichend sind, die meisten Websites zu überlisten.


Hier mein Bericht vom Workshop "Forensik und Internetkriminalität " des CAST e.V. (Competence Center for Applied Security Technology), der heute am Fraunhofer Institut für Graphische Datenverarbeitung in Darmstadt abgehalten wurde, Forensic Investigations war natürlich dabei.

Prof. Dr. Harald Baier von der Hochschule Darmstadt und Prof. Dr. Felix Freiling von der Universität Mannheim führten durch die Veranstaltung und sorgten und für eine sehr gelöste Atmosphäre. Alles in Allem fand ich die Veranstaltung sehr gelungen, die überwiegende Zahl der Vorträge hatte ein gutes bis sehr gutes Niveau. Die Teller beim Mittagessen waren nicht so optimal sauber gespült, das ist wohl schon fast das Negativste, dass ich anmerken könnte.

Alexander Geschonnek referierte über die forensische Praxis bei der KPMG, insbesondere über Aspekte des Datenschutzes sowie organisatorische und rechtliche Probleme und Risiken, die sich bei der Arbeit ergäben. Hier waren insbesondere die Probleme rund um die informelle Selbstbestimmung und des Schutzes des Persönlichkeitsrechts der Mitarbeiter eines Unternehmens Thema, die bei fehlendem Verbot der privaten Internetnutzung am Arbeitsplatz greift. Auch in unserer Praxis führt dies regelmäßig zu Beweisverwertungsverboten vor Gericht oder wir dürfen erst gar nicht alle vorhandenen Daten in die forensische Akquise und Untersuchung einbeziehen. Dadurch geht ggf. belastendes Material verloren, falls der Mitarbeiter einer Untersuchung nicht zustimmt, was zu Recht Beschuldigte in der Regel nicht tun werden. Ich kann deshalb allen Unternehmen als vorbeugende Maßnahme nur dringend anraten, jegliche private Nutzung der Unternehmens-PCs, insbesondere Nutzung des Internets und Versenden privater E-Mails vertraglich zu untersagen.

Im semi-interessanten Vortrag von Stefan Müller von Symantec Deutschland wurde der "Threat Report 2009 " vorgestellt. Jedoch berichteten andere Referenten und Besucher, dass die Bedrohungslage technologisch weiter fortgeschritten sei, als der Report wiedergäbe. Stefan Müller erläuterte unter anderem, dass die AntiViren-Hersteller dem "Hase & Igel"-Spiel per Pattern-Updates kaum mehr folgen könnten und hier neue, intelligente(re) Techniken zur Erkennung entwickelten, die zumindest in den Consumer-Produkten des Hauses bereits eingesetzt würden. Warum man jedoch die neue Technologie ausgerechnet bei den Consumer-Produkten zuerst einsetze, blieb offen.

Dr. Thorsten Holz von der TU Wien zeigte Teile aus seinen Forschungsarbeiten, in denen er bekannte Botnetze analysierte. Er konnte hier Erkenntnisse über Botnetze, Anzahl der infizierten Rechner und eingesetzte Technologien wie Fast Flux und Double Fast Flux vorstellen. Aus diesen Daten hat er u.a. mittels der bekannten Preise für eBay-Accounts, gestohlene Kreditkartennummern und Identitäten u.ä. mögliche Umsätze der Schattenwirtschaft hochgerechnet. Auch Techniken der modernsten Trojaner aus dem Banking-Bereich stellte er in seinem sehr interessanten und gelungenem Beitrag vor. Phishing -Emails mit der Aufforderung zur TAN -Eingabe auf gefälschten Seiten mit ähnlichen lautenden Adressen dürften inzwischen allgemein bekannt sein. Neueste Banking-Trojaner sind jedoch in der Lage, Transaktionen mittels "Man-in-the-middle" Attacke beim Online-Banking auf den Original-Seiten der Bank so zu manipulieren, dass es selbst dem aufmerksamen Benutzer nicht auffallen kann. Sogar die sonst an dieser Stelle angeratene Überprüfung des Sicherheitszertifikats der Internet-Seite greift hier nicht. Auch Systeme mit Smartcard -Unterstützung (HBCI ) sind für solche Attacken anfällig. Hier bleibt nur der Rat, neben den üblichen Vorkehrungsmaßnahmen wie aktuelle Virenschutzsoftware zu verwenden, Sicherheitsupdates von Internet-Browsern und Betriebssystem zeitnah durchzuführen vor allem die Kontoauszüge regelmäßig zu überprüfen (am Kontoauszugdrucker, NICHT online!) bzw. gar ganz auf Online-Banking zu verzichten. Selbst beim Starten eines Browsers von einem nicht-beschreibaren Medium wie z.B. einer Knoppix-CD gibt es keine vollkommene Sicherheit.

Der Beitrag von Holger Morgenstern zum Thema "Forensik auf Smart-Phones - Möglichkeiten und Probleme", an dem ich eigentlich auch sehr interessiert war, fiel leider aufgrund Erkrankung des Referenten aus. Gute Besserung an dieser Stelle.

Etwas kompensiert wurde dieser Verlust dadruch, das ein Vetreter von Cellebrite , einem Hersteller forensicher Systeme für mobile Geräte, direkt neben mir saß und mir über die neuesten Entwicklungen in diesem Bereich berichtete und mir die Geräte kurz demonstrierte. Danke & Grüße von hier aus Patrick!

Dietmar Breitling von der SEB AG berichtete über IuK-Kriminalität aus Sicht eines Bankers. Durch diesen Beitrag konnte ich erstmals ansatzweise nachvollziehen, welche Gründe hinter der m.E. schneckenlangsamen sicherheitstechnischen IT-Entwicklung im Bankensektor stecken, und warum hier noch Technologien aus der "IT-Steinzeit" wie Magnetstreifen eingesetzt werden, die bekanntermaßen sicherheitstechnisch extrem anfällig sind (mit 10€ Einsatz im Elektronik-Bastlerladen ohne großes Know-How zu knacken). Man will wohl primär die Kunden nicht verunsichern und Schwierigkeiten mit der Bafin vermeiden, gewisse "Streuverluste" durch Betrugsfälle sind offensichtlich einkalkuliert und preisgünstiger als der flächendeckende Einsatz neuer Systeme. Aus betriebswirtschaftlicher Sicht ist Kapital in der Zukunft natürlich billiger als Kapital in der Gegenwart, weshalb sich die Situation ohne regulatorische Auflagen sicher nicht so schnell maßgeblich bessern wird, zudem man ja auch immer bequem argumentieren kann, das alles sei so "branchenüblich". Bleibt der Fairness halber noch anzumerken, das Dietmar Breitling dies in dieser Form und Deutlichkeit nicht oder allenfalls sehr verklausuliert berichtete, dies ist lediglich meine (subjektive) Interpretation.

Herr D. (Name bek.) von einem deutschen Landeskriminalamt brachte äußerst interessante Fakten und die m.E. verlässlichsten Zahlen über die Schattenwirtschaft zutage. Dies ging jedoch derart in die Tiefe der organisatorischen Strukturen und Methoden, dass ich hier nur die dort gegebene Warnung wiederholen möchte: dem LKA lägen Informationen vor, dass die noch nicht geschlossene Sicherheitslücke in Adobe Acrobat 9.2 und Adobe Reader 9.2 bereits von bekannten Botnetzen eingesetzt würde, um weitere Rechner unter Kontrolle der Täter zu bringen. Auch andere Quellen hatten zwischenzeitlich berichtet, das bereits ein Exploit für das Metasploit Framework vorliegt, sodaß von praktischen Angriffen gegen diese Sicherheitslücke auf breiter Front auszugehen war. Ich kann deshalb nur dringend anraten, JavaScript in Adobe Acrobat und Reader auszuschalten , bzw. unter Windows ein Registry-File einzuspielen, dass die betroffene JavaScript-Funktion deaktiviert. Ein offizieller Patch für diese Sicherheitslücke soll lt. Hersteller erst am 12. Janauar 2010 erscheinen. Dies wird den Internetkriminellen sicher ein "frohes Fest" bescheren.

RA Niels Hoffmann (VBB Rechtsanwälte, Düsseldorf ) vertiefte die auch schon von Alexander Geschonnek angeschnittenen Risiken privater forensischer Ermittlungen aus juristischer Sicht sehr praxiskompetent unter dem Thema "Strafbarkeitsrisiken von computerforensischen Dienstleistungsanbietern und Beweisverwertungsprobleme im Zusammenhang mit computerforensischen Datenerhebungen".

Er beklagte u.a., dass die Rechtssprechung in weiten Teilen Interpretationssache und somit, auch aufgrund des technischen Informationsstands der Justiz, eine Art Glücksspiel sei und auch viele Bestimmungen im Strafrecht nicht den praktischen Anforderungen genügen würden. Insbesondere das Urteil des Bundesverfassungsgerichts zum Thema "Dual Use" Software (BVerfG, 2 BvR 2233/07 vom 18.5.2009) sei nicht so glücklich ausgefallen, da auch hier schwammige Begrifflichkeiten wie "Schadprogramme, deren objektiver Zweck in der Begehung von Computerstraftaten liegt" oder "bestimmungsgemäße Wartung und Pflege" vorkämen.

Eine Differenzierung zwischen "Dual Use" Sicherheitsprogrammen und "Malware" ist auch m.E. wenn überhaupt nur in Einzelfällen möglich, da letztendlich auch jede Malware geeignet ist, die Anfälligkeit -oder im Umkehrschluss Sicherheit- von Systemen zu testen, womit sich meist automatisch ein möglicher "Dual Use" ergibt, sei es nur um die Erkennung einer Malware durch AntiViren-Software zu verifizieren. Lediglich das schwer zu belegende Motiv des Einsatzes bliebt als Unterscheidungskriterium übrig, was m.E. auch das Urteil so wiedergibt. Der Verkauf von Software wie Passwort-Crackern bleibt damit aber nach wie vor ein gewisses Risiko, wenn dieser auch an Personen erfolgt "von deren Vertrauenswürdigkeit nicht ausgegangen werden kann". Überspitzt gesehen müßten analog auch Baumärkte angehalten werden, Schaufeln auch nur an "vertrauenswürdige Personen" zu verkaufen, damit möglichst niemand damit erschlagen wird.


"Ermittler-Software entschlüpft - MicrosoftsSchnüffel-Stick für jedermann" schreibt Spiegel Online heute. Die Software namens Computer Online Forensic Evidence Extractor (COFEE) wurde von Spezialisten des US-Softwaregiganten Microsoft entwickelt, um Ermittlern die Arbeit zu erleichtern und war jetzt in einer Tauschbörse aufgetaucht.

Installiert man COFEE auf einem USB-Stick und steckt diesen in einen Rechner mit dem Betriebssystem der Redmonder, sammelt eine Reihe von Programmen Online-Systeminformationen wie Prozessortyp, Arbeitsspeicher, Betriebssystem, Netzwerkeinstellungen, aktuell am System angemeldete Benutzer und laufende Prozesse. Zweck des ganzen ist es, Daten einzusammeln, die bei Beschlagnahmen durch Abschaltung des Systems evtl. verloren gehen würden, die sog. Online-Forensik.

Spiegel Online wirft die Frage auf, ob man nun Angst haben müsse vor dem USB-Stick des Reinigungspersonals ("Evil Maid Szenario"). Dies stellt durchaus nichts besonderes dar, da eine Reihe solcher Programme existieren, häufig mit größerem Funktionsumfang. Zudem sind die hier ausgelesenen Angaben größtenteils mit den Bordmitteln eines Windows-Betriebssystems per simplem Batch-File zu bekommen, und so funktioniert COFEE auch tatsächlich. Einziger Unterschied bei COFEE ist, dass es diese Tools auf USB-Stick mitbringt, um evtl. kompromitierte Programmversionen auf dem untersuchten System selbst zu umgehen und zusätzlich entsprechende Checksummen schreibt, um die Integrität der Daten zu belegen. Diese Vorgehensweise ist bei forensischen Untersuchungen Standard.

Zu Recht erklärt Microsoft-Sprecher Baumgärtner deshalb auch, das durch Entschlüpfen von COFEE "keine zusätzliche Bedrohung" entstünde und "spezialisierte Hacker auch sonst Zugriff auf diese Tools (und noch auf vieles mehr, Anm. d. Verf.)" hätten.

Nach dem etwas reißerischen Titel folgt am Schluß die Entwarnung: COFEE umgeht keine Sicherheitsmechanismen des Betriebssystems, es zieht noch nicht einmal alle verfügbaren Informationen ab. Bei ähnlichen Untersuchungen können wir bei Fi weit mehr tun als COFEE: komplettes Abziehen des RAM-Speichers eines Rechners ist möglich, in vielen Fällen auch ohne Zugriff auf Passwörter. Aus dem RAM-Speicher können nicht nur die o.g. Informationen extrahiert werden, sondern u.U. auch Passwörter, Verschlüsselungs-Zertifikate und versteckte Daten wiederhergestellt werden. Also doch mal wieder alles nur kalter Kaffee...

UPDATE 24.11.2009: Für kalten Kaffee wird dennoch hart gekämpft, obwohl die weltweite Verbreitung des Tools wohl kaum mehr aufzuhalten ist, bedroht der Redmonder Riese die Seite Cryptome.org , die das Tool zum Download angeboten hatte, und beantragt die Löschung von deren Domain.

UPDATE 14.12.2009: Ein Anti-Forensic Tool names DECAF (Detect and Eliminate Computer Assisted Forensics) soll COFEE kampfunfähig machen. Wie TheRegister berichtet, wollten die Autoren die Sicherheitswelt aufrütteln, sich nicht alleine auf Microsoft zu verlassen, wenn Sie digitale Beweismittel sammelten. Ein 'One-Click-Tool' könne Experten nicht ersetzen. In der Tat kann die Online-Forensik sehr problematisch sein, da Schadsoftware wie Rootkits Programmen -inklusive Forensik-Tools- alles mögliche vorgaukeln können, und von einem kompromitierten System gesammelte Informationen bei dieser Akquise-Methode nicht verläßlich sind. Dies ist auch nicht der erste Versuch, forensische Tools ins Leere laufen zu lassen.

UPDATE 18.12.2009: decafme.org erklärt, DECAF soll lediglich ein PR-Gag gewesen sein.

UPDATE 22.12.2009: Nun wieder Kehrtwende, decafme.org veröffentlicht Erklärung, DECAF sei echt gewesen und kein Hoax. Wird wohl Zeit, das Ding bei Gelegenheit mal unter die Lupe zu nehmen. COFEE ist immer noch im Netz verfügbar, Microsoft scheint nun aber andere Probleme zu haben.

UPDATE 20.01.2010: decafme 1.0 enthielt wohl eine "Phone Home " Funktion und eine Zeitbombe, hebelt COFEE aber (welch Wunder) leicht aus. Inzwischen ist Version 2 erschienen, das auch Forensik-Tools anderer Hersteller ins Nirvana schickt. Microsoft versucht nun offensichtlich, decafme.org ebenfalls mittels "DMCA Takedown Request" (Unterlassungsersuchen gegen den Provider eines Urheberrechtsverletzers) vom Netz zu kriegen, was in diesem Fall wohl kaum Aussicht auf Erfolg haben dürfte.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30