Forensic Investigations / Fi Blog

Fi Blog

TrendMicro hat das Stuxnet Scanner Tool herausgegeben , des es ermöglicht, mit dem Wurm infizierte Rechner im Netzwerk aufzuspüren. Es täuscht dazu einen Stuxnet-infizierten Rechner vor und verwendet reproduzierte Remote Procedure Call Anfragen, wie sie Stuxnet normalerweise nutzt, um andere Rechner im Netz mit aktualisiertem Schadcode zu versorgen. Ein infizierter Rechner antwortet auf diese Anfragen und kann dadurch entlarvt werden.

Finally still not really 0wning Stuxnet

Optimal ist diese Vorgehensweise dennoch nicht, da eine manuelle Entfernung des Virus nach wie vor nötig ist. Unter dem Arbeitstitel "0wning Stuxnet" haben wir hier schon länger ein Konzept erdacht, dass Stuxnet im Netzwerk ein Update zu dessen Konfigurationsblock schicken sollte, der neue Command & Control Server beinhaltet, die unter Kontrolle des betroffenen Anwenders stehen.

Über diese Command & Control Infrastruktur wäre es dann möglich gewesen, Stuxnet infizierten Rechnern im Netzwerk direkt einen Code-Block zu schicken, der Stuxnets interne Deinstallationsroutine aufruft. Dadurch hätte man Stuxnet quasi mit seinen eigenen Waffen geschlagen und eine Selbstzerstörung des Botnets ausgelöst.

Aufgrund mangelnder Ressourcen haben wir das jedoch nie realisiert, da wir als neutrale, unabhängige und objektive Sicherheitsforscher keinerlei Unterstützung durch den betroffenen Hersteller SIEMENS AG erhalten.

Kollektives Versagen oder mangelnde Koordination?

Unklar bleibt, warum die großen AV-Hersteller oder SIEMENS nicht etwas derartiges realisiert haben, Ressourcenmangel kann hier ja wohl kaum der Grund sein.

Symantec gar hat hier die Command & Control Server schon seit mindestens Juli in der Hand, da ich aber die Kollegen nicht ungerechtfertigt kritisieren will, werfe ich lediglich die Frage auf, ob die auf einem solchen Server generierten Daten nicht der Allgemeinheit gehören und allen Sicherheitsforschern zu Verfügung stehen sollten, statt einem einzigen Wirtschaftsunternehmen zum alleinigen Vorteil zu dienen. In jedem Fall stellt sich aber die Frage, ob die Bekämpfung einer solchen Seuche nicht generell besser koordiniert werden sollte; an dieser Stelle sind wohl internationale Anstrengungen erforderlich.

Letzlich lassen sich Stuxnet-infizierte Rechner auch aufspüren, in dem man die DNS-Auflösung mitprotokolliert. Infizierte Rechner versuchen früher oder später, die Domains www.mypremierfutbol.com und/oder www.todaysfutbol.com aufzulösen und eine Verbindung zur entsprechenden IP herzustellen.


Da ich in letzter Zeit zum Thema Sicherheit so oft höre, "wir haben doch Virusscanner und Firewalls", möchte ich hier einmal grob auf den Themenkomplex Netzwerksicherheit/Firewalls eingehen und mit ein paar Mythen aufräumen. Zum Thema Virenscanner hatte ich ja bereits hier berichtet.

Das Hype-Thema der diesjährigen it-sa schlechthin waren die sogenannten "Advanced Evasion Techniques " (AETs), die in der Lage sind, fast alle Firewalls und Intrusion Detection Systeme auszuhebeln. Hype deshalb, weil viele dieser Techniken in Security-Kreisen längst bekannt sind, wie auch heise online im Artikel "Alarmanlagen fürs Netz weitgehend nutzlos " zu Recht anmerkt.

Dennoch ist die Kernaussage wahr, viele dieser Systeme lassen sich durch verschiedenste Tricks überlisten. Längst gibt es entsprechende Frameworks, die solche Techniken auf TCP/IP Ebene umsetzen und einfach nutzbar machen. Ist das verwendete System einem Angreifer zudem bekannt, kann dieser bequem vorher ausprobieren, ob es Alarm schlägt und wie das umgangen werden kann.

Statt Alarme zu vermeiden könnten diese ebenso auch in großer Zahl gezielt ausgelöst werden, damit der eigentliche Angriff durch all diese 'Nebelkerzen' nicht mehr oder nur noch schwer erkennbar ist.

Die Krux für Firewalls mit Content Filtern oder Intrusion Detection Systeme ist grundsätzlich, dass diese lediglich auf nicht zugelassene Protokolle/Quellen/Destinationen oder bekannte Signaturen reagieren und entsprechend einen Angriff melden können. Dies ist analog zu Antivirus-Produkten , die auch nur auf Signaturen bekannter Bedrohungen zuverlässig reagieren können. Heuristiken existieren zwar in den meisten Produkten, aber diese können schwerlich alle möglichen Varianten abdecken – zumal sie keine zu großen Auswirkungen auf das Laufzeitverhalten der Systeme haben dürfen und nicht zu viele Fehlalarme auslösen dürfen. Durch vorherige Tests und entsprechende Abwandlung lassen sie sich meist zuverlässig umschiffen.

Beispielsweise verwenden die meisten Botnetze oder Trojaner von Haus aus HTTP zur Steuerung, das in fast allen Umgebungen als legitimer Datenverkehr betrachtet wird, und sich so auch meist nicht ohne Weiteres blocken oder als bößartig einstufen läßt.

Firewalls verhindern Angriffe nicht, sie vermindern lediglich die Angriffsfläche. Zwar können sie einige Dienste von der Außenwelt abschotten, dennoch verbleiben immer mindestens die unverzichtbaren Dienste wie beispielsweise Web oder Email als Angriffsfläche. Sicherheitslücken in der entsprechenden Software werden dort auch durch Firewalls nicht kompensiert. Solche Lücken bleiben immer wieder , wenn dies auch teilweise nur für ein relativ kurzes Zeitfenster zutrifft. Ein SQL-Server wird zwar normalerweise nicht vom Internet aus zugänglich sein, könnte aber dennoch kompromitiert werden, wenn eine Schadsoftware auf anderem Wege ins interne Netz gelangt, populäres Beispiel war 2003 der SQL Slammer .

Auf die weiteren Fakten, beispielsweise dass Firewalls meistens nicht ausreichend parametriert sind, und i.d.R. alle ausgehenden Verbindungen zulassen, sowie die Tatsache, dass auf kompromitierten Hosts befindliche Firewalls von üblicher Malware neutralisiert werden, will ich hier – um nicht wieder völlig den Rahmen zu sprengen – gar nicht mehr im Detail eingehen.


Eine neue Studie (PDF /Kurzfassung PDF )der Messaging Anti-Abuse Working Group (MAAWG) zum Anwenderverhalten bei Spam-Emails belegt einmal mehr, dass die Risiken von Spam-Emails von Anwendern nach wie vor unterschätzt werden.

43% gaben laut der Studie an, Emails zu öffnen, die sie für Spam hielten, 11% klickten enthaltene Links an, 8% öffneten die enthaltenen Anhänge, 4% antworteten auf die Emails. Die Zahlen nahmen mit dem Alter der Befragten jeweils minimal ab.

Alle oben angegebenen Verhaltensweisen sind jedoch falsch. Bereits das Öffnen einer solchen Spam-Nachricht kann zur Infektion des Rechners führen, wenn Sicherheitslücken in der verwendeten Email-Software vorhanden sind.

Die Anhänge zu öffnen ist besonders gefährlich, selbst vermeintlich harmlose PDFs können zu Infektionen führen. Das Anklicken von Links öffnet sehr häufig Webseiten die Schadcode (sog. Exploits ) ausführen und den Rechner infizieren.

Besonders beliebt ist immer noch das Anklicken von "Unsubscribe"-Links zum angeblichen Austragen aus Listen. Aber Spammer sind Spammer und bleiben Spammer, sie nutzen diese "Unsubscribe" Funktion lediglich, um sich bestätigen zu lassen, dass die Email-Adresse des Anwenders existiert und gelesen wird, um die Adresse mit höherem Erlös weiterverkaufen zu können oder/und Infizieren sie auf dieser Seite mit Schadcode.

Das Gleiche passiert durch antworten auf die Email. Hier wüste Beschimpfungen reinzuschreiben, mag zwar innerlich befriedigend sein, ist aber dennoch nicht wirksam, da auf solchen Konten eh nur automatisierte Systeme laufen, und ist zudem wie schon gesagt sogar kontraproduktiv.

Als Gründe für ihr Verhalten gaben 57% an, sich nicht sicher gewesen zu sein, ob die Nachricht Spam ist, 33% klickten aus Versehen auf die Nachricht, aber immerhin noch 46% öffneten Spam-Nachrichten mit Absicht (25% um sich von der Liste abzumelden oder sich zu beschweren , 18% um zu sehen was passiert, und 15% aus Interesse an den angebotenen Produkten).

Zu große Neugier kann nicht selten ins Auge gehen. Öffnen Sie nur Nachrichten, die in jeder Hinsicht unverdächtig erscheinen, löschen Sie Spams direkt oder verschieben Sie in Ihren Spam-Ordner, und ignorieren Sie sie ansonsten vollständig.

Als in der Verantwortung stehend nannten 65% ihren Internet Service Provider, der i.d.R. gar nichts tut, Anti-Virus-Hersteller mit 54%, die der Bedrohungslage wohl ebenfalls nicht mehr gewachsen sind , und erst auf Platz 3 mit 48% sich selbst.

Während in Spanien und Kanada noch 69% bzw. 68% Angaben, Opfer von Virenbefall geworden zu sein, steht Deutschland hier mit 45% am hintersten Platz der untersuchten Länder. Weniger als ein Drittel der Deutschen (30%) hielten eine Infektion mit einem Bot für wahrscheinlich und bildet damit auch hier zusammen mit dem Vereinigten Köngreich (29%) das Schlusslicht in puncto Awareness. Angeführt wird die Liste von den Deutschen jedoch, dass sich hier mit 83% die meisten Anwender für wenigstens einigermaßen erfahren halten.

Die Praxis spricht jedoch eine andere Sprache, mit den tatsächlichen Infektionen liegt Deutschland selbst bevölkerungsbereinigt weit vor Kanada, Spanien und dem Vereinigten Königreich. Die Deutschen scheinen Infektionen also lediglich weniger zu bemerken. Dies ist auch kein Wunder, waren die genannten Methoden, wie Anwender Viren oder Botnetze erkennen, allesamt höchstens für zufällige Entdeckung in Einzelfällen geeignet. Die Ausnahme stellte die Benachrichtigung von Dritten wie der Kredikartenfirma/Bank (in diesem Fall ist dann wohl bereits Schaden entstanden) bzw. dem installierten Antivirusprogramm dar, auf das aber auch kein wirklicher Verlass ist. Es ist wohl an der Zeit, besonders die Deutschen Anwender einmal mehr an die Hacker-Regel Nummer 1 zu erinnern:

"Don't think you are smart, you are NOT"

(Glaube nicht, dass Du pfiffig bist, Du bist es NICHT)


Die spanische Guardia Civil habe ein gigantisches Botnetz mit 12,7 Millionen infizierten PCs, mit sogenannten 'Zombie '-Rechnern vom Netz genommen und die Hintermänner verhaftet, berichteten Heise Online und TheRegister.

Damit dürfte mit Hilfe des spanischen Anti-Viren-Softwareherstellers Panda Software , dem FBI, der kanadischen Sicherheitsfirma Defence Intelligence und anderen einer der empfindlichsten Schläge gegen die organisierte Kriminalität im Internet der letzten Jahre gelungen sein.

Sichergestellt wurden u.a. gestohlene private Daten und Kennwörter von über 800.000 Personen , unter den Opfern sollen auch mehr als 500 der 'Fortune 1000 Companies' gewesen sein . Wer bisher noch glaubte, Datendiebstahl beträfe ihn nicht, wird damit jäh eines Besseren belehrt.

UPDATE 10.03.2010: Vodafone Smartphone ab Werk mit Bot Mariposa , laut Vodafone ein Einzelfall mit einem vom Kunden infizierten und umgetauschtem Telefon

UPDATE 17.03.2010: Nächster 'Einzelfall' mit Mariposa bei Vodafone

UPDATE 19.03.2010: Und noch 2998 'Einzelfälle' – nein jetzt wohl nicht mehr – Vodafone Spanien gesteht ein, 3000 SmartPhones mit Bot Mariposa geliefert zu haben

UPDATE 03.09.2010: Der geistige Vater des Mariposa Botnets, ein 23-jähriger Hacker mit dem Spitznamen "Iserdo", sei im Juli in Maribor, Slovenien verhaftet worden berichtete The Register .


Die Bundesregierung unterstütze die Botnetz-Bekämpfung der "Anti-Botnet-Initiative" des eco-Verbands der deutschen Internetwirtschaft e.V. mit 2 Millionen Euro, berichtet Heise Online. Man wolle dazu "in der ersten Jahreshälfte 2010" eine "Beratungsstelle einrichten, die Anwender dabei unterstützen soll, ihren Rechner von Viren und Bots zu befreien".

Dafür, dass das ganze bereits seit Ende 2009 am Laufen ist, gibt die Suche auf der eco-Website noch erstaunlich wenig Substanz her. Es bleibt abzuwarten, ob dieses Geld einen Nutzen bringt, oder sinnlos in den Rachen eines Lobbyisten-Verbandes geworfen wird.

Ich persönlich halte das Unterfangen Rechner von Viren oder Bots zu befreien für nahezu aussichtslos, da erhältliche Anti-Viren-Produkte kaum in der Lage sein dürften, die im Umlauf befindlichen hochresistenten Schädlinge automatisch zu desinfizieren. Man hat ja schon Glück, wenn die Schädlinge überhaupt erkannt werden (siehe z.B. Erkennungsquote hier unter "AV detection" oder mal akutuelle Bedrohungen aus einschlägigen Researchblogs auf VirusTotal mitverfolgen). Technisch ist es auch kein Problem, unerkennbare, polymorphe und hochresistente Schädlinge in beliebigen Mengen herzustellen. Underground-Dienste wie hxxp://virtest.com/ erlauben es zudem, die Erkennungsquote der im Handel befindlichen Anti-Viren-Produkte abzufragen und die Erkennungsquote auf Null herunterzutreiben. VirTest funktioniert analog zu VirusTotal, leitet die hochgeladenen Dateien aber im Gegensatz zu diesem nicht an Sicherheitshersteller weiter, wie u.a. hier berichtet wurde.

Es ist geplant, per Call-Center telefonische Hilfestellung zu geben, wenn die automatische Desinfektion scheitert. Es dürfte selbst für die besten Experten eine große Herausforderung und eine tagfüllende Angelegenheit werden, dies mit einem Laien am anderen Ende der Leitung zu bewerkstelligen. Wird lediglich ein einzelner kleiner Registrierungseintrag oder irgendwo eine infizierte EXE- oder PDF-Datei (unter tausenden von Einträgen und Dateien) vergessen, installieren die meisten aktuellen Schadprogramme ihren ganzen Plunder wieder von Neuem.

Einem so einmal kompromitierten Windows-System kann man zudem nie wieder vertrauen. Bei jedem Aufruf des Online-Banking kommt das ungute Gefühl auf, es versteckt sich doch noch irgendwo etwas, das berühmte "Restrisiko", dass einem wie bekannt leicht den Rest geben kann.

Aber die Problematik geht schon vor der Bekämpfung los, nämlich mit der Erkennung. Die verwendete passive Erkennung über Honeypots , Spamtraps und die Auswertung von Denial-of-Service -Attacken und externe Beschwerden zusammengetragen werden. Während man sich an anderer Stelle nicht scheut, tiefe Grundrechtseingriffe mit zweifelhaftem Nutzen zu tätigen , die Millionen Kosten und von Menschen mit entsprechenden bösartigen Absichten in weniger als einer Minute umgangen werden können , wird ausgerechnet hier, wo es dem Schutz der Bürger vor einer echten Bedrohung dient, nicht aktiv eingegriffen. Nicht einmal eine Gesetzesänderung wäre hierfür nötig, §100 TKG erlaubt den Eingriff in Verbindungs- und Verkehrsdaten und sogar die Speicherung dieser Daten unter bestimmten Auflagen, wenn "tatsächliche Anhaltspunkte den Verdacht der rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und -diensten begründen", was ich für solche Fälle klar bejahen würde. Aus der Speicherung könnte man ebenfalls wertvolle Erkenntnisse für die Aufklärung von Straftaten gewinnen, die Speicherung ist schon jetzt auf die "bösen" Verbindungen beschränkt und sieht bereits die pseudonymisierte Speicherung von Bestandsdaten des Betroffenen vor, die für die Kriminalitätsbekämpfung auch ohnehin nicht gebraucht werden. Eine so perfekte Symbiose aus effizienter Kriminalitätsbekämpfung und vorbildlichem Datenschutz habe ich persönlich selten gesehen.

Ein aktiver Eingriff erlaubt zudem die sofortige Eliminierung der Gefahr. Immerhin "begehen" kompromitierte Rechner i.d.R. direkt Straftaten nach §202c "Vorbereiten des Ausspähens und Abfangens von Daten" und §303b "Computersabotage" StGB an Dritten, was ihre Besitzer u.U. schnell in Erklärungsnot bringt. Auch ein Opt-In oder -meiner Meinung nach besser- ein Opt-Out Verfahren wären hier sicherlich leicht möglich, wenn mir dies auch allenfalls für uns Sicherheitsforscher sinnvoll erscheint.

Mit der genannten passiven Methode, die eco dagegen plant, wird lediglich darauf gehofft, das eine kompromitierte Maschine irgendwann mal hoffentlich zufällig an einen dieser Honeypots gerät. Das "Prinzip Hoffnung" ist mir an dieser Stelle jedoch etwas zu wenig, zumal auch Cyberkriminelle wohl mitgekriegt haben, dass es Honeypots gibt. Es gibt auch diverse Methoden zuverlässig festzustellen, ob es sich bei dem vermeintlichen Opfer um einen Honeypot handelt, auf die ich hier jedoch nicht eingehen möchte.

Sobald die Millionen vom BMI eingetroffen sind, werden wir das mal nachhaltig regeln ;)

UPDATE 05.03.2010: Auch andere Spezialisten sehen die Honeypots deshalb bereits vor dem Aus oder zumindest bedroht .


Google bläst zum Angriff auf Chrome berichtete Heise Online heute. Wer ein Sichheitsleck in Google Chrome entdecke, bekäme 500 US-Dollar, in Einzelfällen 1337 Dollar. Google tut es damit der Mozilla Foundation gleich, die im Rahmen des "Security Bug Bounty Program" bereits seit 2004 Belohnungen an Entdecker von Sicherheitslücken bezahlt .

Was auf den ersten Blick wie eine gute Initiative aussieht, ist dennoch eine absolute Farce aus meiner Sicht. Mag dies für Skript-Kiddies neben der Schule eine schöne Aufstockung des Taschengelds darstellen, ist dies für professionelle Sicherheitsforscher wohl einfach zu wenig. Als professionelle Sicherheitsforscher könnten wir für diesen Betrag nur eine oberflächliche Begutachtung durchführen.

Hinzu kommt, das es nur ein Trick der Industrie ist, sich billig an der wesentlich gelungeneren Zero Day Initiative vorbeizumogeln, die verantwortungsbewußten "White Hat " Hackern mehrere tausend Euro pro gefundenem Sicherheitsleck bezahlt und sich durch die Zusammenarbeit mit den Herstellern refinanziert. Erst recht, wenn man jetzt noch in Betracht zieht, das für solche exklusiven "0day " Lücken in Untergrundkreisen z.T. sechsstellige Beträge bezahlt werden.

Die Cyberkriminellen benutzen diese Sicherheitslücken dann, um weltweit Rechner mit Schadsoftware zu infizieren um Bankdaten auszuspähen oder/und andere Betrügereien über andere Dienste wie ebay, Skype etc. zu begehen. Im Durchschnitt wurde JEDES der Opfer dabei nach Angaben des "FBI Internet Crime Report 2008 " um 1000 US-Dollar erleichtert, JEDES Opfer hatte also DOPPELT so viel Schaden, wie es dem Browser-Hersteller wert ist, ALLE Anwender WELTWEIT zu schützen. In Anbetracht dieser Zahlen kann man das wohl nur als Marketing-Gag bezeichnen, der nicht einmal lustig ist.

Bei einer [auch schon millionenschweren] Non-Profit Organisation wie der Mozilla Foundation kann man das ja vielleicht gerade noch verstehen, aber beim Kontostand des Suchmaschinenriesen wäre mir persönlich die Sicherheit und das Vertrauen meiner Anwender mehr wert. Auch in Hinblick darauf, dass Chrome noch ein vergleichsweise sehr junges Produkt ist, und eine entsprechende Anwenderschaft erst noch überzeugen muss.

UPDATE 03.09.2010: Man hat hier doch etwas nachgebessert, Mozilla zahlt jetzt immerhin 3000 US$ , auch Google hat nachgelegt und zahlt nun ebenfalls 3000 US$ (englischer Artikel bei The Register, Heise online scheint die Meldung irgendwie verpasst zu haben).


Hier mein Bericht vom Workshop "Forensik und Internetkriminalität " des CAST e.V. (Competence Center for Applied Security Technology), der heute am Fraunhofer Institut für Graphische Datenverarbeitung in Darmstadt abgehalten wurde, Forensic Investigations war natürlich dabei.

Prof. Dr. Harald Baier von der Hochschule Darmstadt und Prof. Dr. Felix Freiling von der Universität Mannheim führten durch die Veranstaltung und sorgten und für eine sehr gelöste Atmosphäre. Alles in Allem fand ich die Veranstaltung sehr gelungen, die überwiegende Zahl der Vorträge hatte ein gutes bis sehr gutes Niveau. Die Teller beim Mittagessen waren nicht so optimal sauber gespült, das ist wohl schon fast das Negativste, dass ich anmerken könnte.

Alexander Geschonnek referierte über die forensische Praxis bei der KPMG, insbesondere über Aspekte des Datenschutzes sowie organisatorische und rechtliche Probleme und Risiken, die sich bei der Arbeit ergäben. Hier waren insbesondere die Probleme rund um die informelle Selbstbestimmung und des Schutzes des Persönlichkeitsrechts der Mitarbeiter eines Unternehmens Thema, die bei fehlendem Verbot der privaten Internetnutzung am Arbeitsplatz greift. Auch in unserer Praxis führt dies regelmäßig zu Beweisverwertungsverboten vor Gericht oder wir dürfen erst gar nicht alle vorhandenen Daten in die forensische Akquise und Untersuchung einbeziehen. Dadurch geht ggf. belastendes Material verloren, falls der Mitarbeiter einer Untersuchung nicht zustimmt, was zu Recht Beschuldigte in der Regel nicht tun werden. Ich kann deshalb allen Unternehmen als vorbeugende Maßnahme nur dringend anraten, jegliche private Nutzung der Unternehmens-PCs, insbesondere Nutzung des Internets und Versenden privater E-Mails vertraglich zu untersagen.

Im semi-interessanten Vortrag von Stefan Müller von Symantec Deutschland wurde der "Threat Report 2009 " vorgestellt. Jedoch berichteten andere Referenten und Besucher, dass die Bedrohungslage technologisch weiter fortgeschritten sei, als der Report wiedergäbe. Stefan Müller erläuterte unter anderem, dass die AntiViren-Hersteller dem "Hase & Igel"-Spiel per Pattern-Updates kaum mehr folgen könnten und hier neue, intelligente(re) Techniken zur Erkennung entwickelten, die zumindest in den Consumer-Produkten des Hauses bereits eingesetzt würden. Warum man jedoch die neue Technologie ausgerechnet bei den Consumer-Produkten zuerst einsetze, blieb offen.

Dr. Thorsten Holz von der TU Wien zeigte Teile aus seinen Forschungsarbeiten, in denen er bekannte Botnetze analysierte. Er konnte hier Erkenntnisse über Botnetze, Anzahl der infizierten Rechner und eingesetzte Technologien wie Fast Flux und Double Fast Flux vorstellen. Aus diesen Daten hat er u.a. mittels der bekannten Preise für eBay-Accounts, gestohlene Kreditkartennummern und Identitäten u.ä. mögliche Umsätze der Schattenwirtschaft hochgerechnet. Auch Techniken der modernsten Trojaner aus dem Banking-Bereich stellte er in seinem sehr interessanten und gelungenem Beitrag vor. Phishing -Emails mit der Aufforderung zur TAN -Eingabe auf gefälschten Seiten mit ähnlichen lautenden Adressen dürften inzwischen allgemein bekannt sein. Neueste Banking-Trojaner sind jedoch in der Lage, Transaktionen mittels "Man-in-the-middle" Attacke beim Online-Banking auf den Original-Seiten der Bank so zu manipulieren, dass es selbst dem aufmerksamen Benutzer nicht auffallen kann. Sogar die sonst an dieser Stelle angeratene Überprüfung des Sicherheitszertifikats der Internet-Seite greift hier nicht. Auch Systeme mit Smartcard -Unterstützung (HBCI ) sind für solche Attacken anfällig. Hier bleibt nur der Rat, neben den üblichen Vorkehrungsmaßnahmen wie aktuelle Virenschutzsoftware zu verwenden, Sicherheitsupdates von Internet-Browsern und Betriebssystem zeitnah durchzuführen vor allem die Kontoauszüge regelmäßig zu überprüfen (am Kontoauszugdrucker, NICHT online!) bzw. gar ganz auf Online-Banking zu verzichten. Selbst beim Starten eines Browsers von einem nicht-beschreibaren Medium wie z.B. einer Knoppix-CD gibt es keine vollkommene Sicherheit.

Der Beitrag von Holger Morgenstern zum Thema "Forensik auf Smart-Phones - Möglichkeiten und Probleme", an dem ich eigentlich auch sehr interessiert war, fiel leider aufgrund Erkrankung des Referenten aus. Gute Besserung an dieser Stelle.

Etwas kompensiert wurde dieser Verlust dadruch, das ein Vetreter von Cellebrite , einem Hersteller forensicher Systeme für mobile Geräte, direkt neben mir saß und mir über die neuesten Entwicklungen in diesem Bereich berichtete und mir die Geräte kurz demonstrierte. Danke & Grüße von hier aus Patrick!

Dietmar Breitling von der SEB AG berichtete über IuK-Kriminalität aus Sicht eines Bankers. Durch diesen Beitrag konnte ich erstmals ansatzweise nachvollziehen, welche Gründe hinter der m.E. schneckenlangsamen sicherheitstechnischen IT-Entwicklung im Bankensektor stecken, und warum hier noch Technologien aus der "IT-Steinzeit" wie Magnetstreifen eingesetzt werden, die bekanntermaßen sicherheitstechnisch extrem anfällig sind (mit 10€ Einsatz im Elektronik-Bastlerladen ohne großes Know-How zu knacken). Man will wohl primär die Kunden nicht verunsichern und Schwierigkeiten mit der Bafin vermeiden, gewisse "Streuverluste" durch Betrugsfälle sind offensichtlich einkalkuliert und preisgünstiger als der flächendeckende Einsatz neuer Systeme. Aus betriebswirtschaftlicher Sicht ist Kapital in der Zukunft natürlich billiger als Kapital in der Gegenwart, weshalb sich die Situation ohne regulatorische Auflagen sicher nicht so schnell maßgeblich bessern wird, zudem man ja auch immer bequem argumentieren kann, das alles sei so "branchenüblich". Bleibt der Fairness halber noch anzumerken, das Dietmar Breitling dies in dieser Form und Deutlichkeit nicht oder allenfalls sehr verklausuliert berichtete, dies ist lediglich meine (subjektive) Interpretation.

Herr D. (Name bek.) von einem deutschen Landeskriminalamt brachte äußerst interessante Fakten und die m.E. verlässlichsten Zahlen über die Schattenwirtschaft zutage. Dies ging jedoch derart in die Tiefe der organisatorischen Strukturen und Methoden, dass ich hier nur die dort gegebene Warnung wiederholen möchte: dem LKA lägen Informationen vor, dass die noch nicht geschlossene Sicherheitslücke in Adobe Acrobat 9.2 und Adobe Reader 9.2 bereits von bekannten Botnetzen eingesetzt würde, um weitere Rechner unter Kontrolle der Täter zu bringen. Auch andere Quellen hatten zwischenzeitlich berichtet, das bereits ein Exploit für das Metasploit Framework vorliegt, sodaß von praktischen Angriffen gegen diese Sicherheitslücke auf breiter Front auszugehen war. Ich kann deshalb nur dringend anraten, JavaScript in Adobe Acrobat und Reader auszuschalten , bzw. unter Windows ein Registry-File einzuspielen, dass die betroffene JavaScript-Funktion deaktiviert. Ein offizieller Patch für diese Sicherheitslücke soll lt. Hersteller erst am 12. Janauar 2010 erscheinen. Dies wird den Internetkriminellen sicher ein "frohes Fest" bescheren.

RA Niels Hoffmann (VBB Rechtsanwälte, Düsseldorf ) vertiefte die auch schon von Alexander Geschonnek angeschnittenen Risiken privater forensischer Ermittlungen aus juristischer Sicht sehr praxiskompetent unter dem Thema "Strafbarkeitsrisiken von computerforensischen Dienstleistungsanbietern und Beweisverwertungsprobleme im Zusammenhang mit computerforensischen Datenerhebungen".

Er beklagte u.a., dass die Rechtssprechung in weiten Teilen Interpretationssache und somit, auch aufgrund des technischen Informationsstands der Justiz, eine Art Glücksspiel sei und auch viele Bestimmungen im Strafrecht nicht den praktischen Anforderungen genügen würden. Insbesondere das Urteil des Bundesverfassungsgerichts zum Thema "Dual Use" Software (BVerfG, 2 BvR 2233/07 vom 18.5.2009) sei nicht so glücklich ausgefallen, da auch hier schwammige Begrifflichkeiten wie "Schadprogramme, deren objektiver Zweck in der Begehung von Computerstraftaten liegt" oder "bestimmungsgemäße Wartung und Pflege" vorkämen.

Eine Differenzierung zwischen "Dual Use" Sicherheitsprogrammen und "Malware" ist auch m.E. wenn überhaupt nur in Einzelfällen möglich, da letztendlich auch jede Malware geeignet ist, die Anfälligkeit -oder im Umkehrschluss Sicherheit- von Systemen zu testen, womit sich meist automatisch ein möglicher "Dual Use" ergibt, sei es nur um die Erkennung einer Malware durch AntiViren-Software zu verifizieren. Lediglich das schwer zu belegende Motiv des Einsatzes bliebt als Unterscheidungskriterium übrig, was m.E. auch das Urteil so wiedergibt. Der Verkauf von Software wie Passwort-Crackern bleibt damit aber nach wie vor ein gewisses Risiko, wenn dieser auch an Personen erfolgt "von deren Vertrauenswürdigkeit nicht ausgegangen werden kann". Überspitzt gesehen müßten analog auch Baumärkte angehalten werden, Schaufeln auch nur an "vertrauenswürdige Personen" zu verkaufen, damit möglichst niemand damit erschlagen wird.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31