Angriff

ψ² = Ps(i)²

Neues vom Mariposa Botnet

Bereits am 23. Dezember vergangenen Jahres wurde Mariposa vom Netz genommen. Die spanische Polizei hat jetzt bekannt gegeben, das zu dem Botnet 12,7 Millionen PCs in 190 Ländern gehörten. Bei den drei Festgenommenen Spaniern beschlagnahmten die Behörden den Angaben zufolge Zugangsdaten zu Unternehmensnetzen, Online-Banking-Accounts und E-Mail-Konten von mehr als 800.000 Nutzern! Die gekaperten Windows-Rechner hatten sich Schadprogrammen wie z.B. Key-Logger nachgeladen. Die Infektion verlief über manipulierte Webseiten, die eine Sicherheitslücke im Internet Explorer ausnutzten.

Lesen Sie mehr →

ψ² = Ps(i)²

Secunia 2009 Report – Internet Explorer belegt erste Plätze?!

Secunia hat seinen Jahresbericht 2009 zum Download bereitgestellt. Er enthält Berichte und Informationen zu 0-Day-Schwachstellen, Ergebnisse zu Softwaretests, die Sicherheit von Webapplikationen und einen Überblick über die Schwachstellen des letzten Jahres. Wer den Bericht haben möchte, muss die Seite http://secunia.com/company/annual_report besuchen. Dort bekommt er die folgende Eingabemaske angezeigt:

(Screenshot: secunia.com)

Wenn man alle Felder ausgefüllt hat, öffnet sich die Seite http://secunia.com/company/annual_report/sent mit dem Downloadlink:

(Screenshot: secunia.com)

Raten Sie mal, ob der zweite Link auch funktioniert, wenn man ihn als erstes anklickt, also bevor man seine Daten eingegeben hat.

Mit 16 Seiten ist der in englisch geschriebene Bericht schnell gelesen. Er enthält einige schöne Grafiken und Informationen. Sehr interessant ist die Liste der 10 “sichersten Produkte 2009″. Sieben davon sind nämlich Microsoft Produkte! Darunter auch der Microsoft Internet Explorer. Die Grafiken basieren auf den Zahlen von Secunia’s Online Software Inspector (OSI) aus dem Jahr 2009. Weiter geht das Microsoft Lob in einer Grafik, die zeigen soll, welche Browser im Schnitt am seltensten ungepatcht sind. Auf den Positionen 1 und 2 erscheinen der Internet Explorer 8 und 7. Der OSI prüft dabei nur auf Schwachstellen, für die es bereits ein Patch gibt.

Secunia zeichnet damit ein Bild von Microsoft-Produkten, das mir so bisher nicht bekannt war: Microsoft ist Security-Sieger in allen Klassen! Stellt sich mir die Frage, warum ein so erfahrener Security-Anbieter gegen den Strom schwimmt? Warum sehen die Grafiken auf der Mozilla-Homepage so vollkommen anders aus (siehe Beitrag vom 09.08.2009 Zertifikate – nichts ist wie es scheint). Hier ging es um die Zeit, die Patches auf sich warten lassen:

Tage

(Screenshot: mozilla-europe.org)

Lesen Sie mehr →

ψ² = Ps(i)²

TYPO3 Sicherheitsupdates

Am 23.02.2010 hatte Typo3.org in einem Bulletin auf mehrere Sicherheitslücken in den Versionen 4.2.11 und niedriger und 4.3.1 und niedriger hingewiesen. Dabei handelte es sich um zwei Cross-Site-Scripting-Schwachstellen, ein Datenleck und eine Authentication-Bypass-Schwachstelle. Es wird empfohlen auf die Versionen 4.2.12 und 4.3.2 upzudaten.

Lesen Sie mehr →

ψ² = Ps(i)²

Alles nur ein Hoax? Firefox 3.6 Schwachstelle

Begonnen hat alles mit einem Eintrag im IMMUNITY-Forum. Evgeny Legerov hatte dort gepostet, dass es ein neues, kommerzielles Exploit für Firefox 3.6 gibt. Laut Forum am 01.02.2010. Am 03.02.2010 postete Mario23:

“Ich habe mir VulnDisco 9.0 gekauft und das FireFox 0-day-exploit getestet. Es hat NICHT (!!!) funktioniert…”*

Seine Vermutung war, dass es sich um einen Hoax handele, dem auch Secunia in einem Advisory aufgesessen sei. Das Advisory datiert aber auf den 18.02.2010. Die Daten aus dem zitierten Forum können also nicht ganz stimmen.

Mehr substantielles hat man von dem Exploit bisher nicht gehört. Zunächst hatten verschiedene Webseiten berichtet, dass es eine neue Schwachstelle gibt, vor der man sich hüten solle. Jetzt taucht gehäuft der Begriff Hoax auf. Auch im Mozilla Security Blog wird die Schwachstelle bisher nicht bestätigt und der Verdacht, es könne sich um eine Falschmeldung handeln, wurde im IMMUNITY-Forum bereits zwei Tage nach dem ersten Posting geäußert. Aber auch dieser Verdacht ist noch nicht bestätigt. Ist also der Hoax-Verdacht auch nur ein Hoax? Die große Frage lautet im Moment: Wer “hoaxt” hier wen?

Klar: Unseriöse Käufer des Exploits berichten nicht, ob sie damit erfolgreich waren und seriöse Leute kaufen das Exploit nicht. Soweit ich das sehe, gibt es bisher nur das Forum und einen Twitter-Account als Quellen. Beide Male postete Evgeny Legerov. So unklar können Schwachstellen sein. Secunia CSO Thomas Kristensen hatte mir jedenfalls mitgeteilt, dass “Schwachstellen von dieser Firma / Person bisher verlässlich waren”*.

* Keine offiziellen Übersetzungen aus dem Englischen. Die Original-Zitate finden Sie über die angegebenen Links oder in der englischen Version.

Lesen Sie mehr →

ψ² = Ps(i)²

Fast 2500 Unternehmen von Kneber-Botnet befallen

Sicherheitsexperten der Firma NetWitness haben ermittelt, dass ein einzelnes ZeuS-Botnet (Das Kneber-Botnet) mehr als 74.000 Computer von 2500 Firmen zu Spionage-Zombies gemacht hat. Sie fanden ebenfalls heraus, das 50% der infizierten Maschinen in diesem Fall auf Waledac-Funktionalitäten zurückgreifen. The Register hatte darüber berichtet. NetWitness beobachtet dieses Botnet seit 18 Monaten. Hauptziel der Angriffe sind dabei vertrauliche Informationen von Firmen und Regierungseinrichtungen und deren E-Mail- und Login-Passwörter.

Viele der betroffenen Firmen gehörten zu den Fortune 500 der Finanz-, Energie und Technologie-Branche.

“Das Botnet ist immer noch aktiv und wird auch weiterhin mit krimineller Energie gemanagt”, sagte NetWitness CTO Tim Belcher gegenüber The Register. “Im letzten Monat haben wir beobachtet, wie die Opfer ein halbes Duzend Mal nach unterschiedlichen Informationen durchsucht wurden.”*

Belcher sagte, dass für den Angriff Server in Deutschland und den Niederlanden verwendet werden, während die Domains in den meisten Fällen in China registriert seien. The Wall Street Journal berichtete, das Firmen wie der Pharma-Riese Merck der Gesundheitsdienstleister von den Angriffen bedroht seien. Beide hätten die Angriffe gegenüber der Zeitung bestätigt. Nach nicht genannten Quellen zählten zusätzlich die Firmen Paramount Pictures und Juniper Networks zu den Opfern.

“Die Untersuchungsergebnisse sind die neuesten aus einer Reihe, die infrage stellen, ob die Fortune 500 Unternehmen und Regierungseinrichtungen in der Lage sind, ihre Netzwerke gegenüber immer mehr gut-finanzierte Hacker abzusichern, die von Staaten und kriminellen Vereinigungen unterstützt werden.” So lautet das Fazit des Artikels von The Register. Und Belcher wird abschließend zitiert: “Das sagt mir, dass unser Security-Ansatz auf ganzer Linie versagt.”*

Nach der Berichterstattung in den letzten Tagen hatten die Verantwortlichen bei NetWitness jedoch einige Punkte klarzustellen. Zunächst wiesen sie in ihrem Blog darauf hin, das Kneber kein synonym für ZeuS sei. ZeuS sei nur ein Tool, mit dem man Botnets aufbauen und steuern kann. Es gibt also eigentlich kein Botnet mit dem Namen “ZeuS Botnet”.

“Wenn wir von Bedrohungen sprechen, dann beziehen wir uns weniger auf die benutzten Tools als auf die Organisation, die dahinter steht”, schreiben Tim Belcher und Alex Cox.*

Weiterhin reagieren sie in dem Posting auf ein Symantec-Zitat, dass von The Guardian, KrebsOnSecurity und anderen berichtet wurde:

“Dieses Zitat ist besonders problematisch, weil es die Bedrohung scheinbar bestreitet und verwirft. Darüber hinaus konnten Symantec-Scanner diese Botnet-Variante bei der Analyse Ende Januar noch nicht erkennen (verschiedene Versionen wurden getestet). Der Fairness halber muss gesagt werden, dass McAfee, Trend Micro, AVG und die meisten anderen verbreiteten Anti-Viren-Scanner ebenfalls bei der Erkennung scheiterten. In den letzten drei Wochen hat Symantec die Signaturen aktualisiert, so dass diese Variante als “Trojanisches Pferd” erkannt wird.”*

* Keine offiziellen Übersetzungen aus dem Englischen. Die Original-Zitate finden Sie über die angegebenen Links oder in der englischen Version.

Lesen Sie mehr →

ψ² = Ps(i)²

Weitere Kommerzialisierung mit Firefox Schwachstelle

Der Sicherheitsdienstleister Secunia hat vor zwei Tagen ein Advisory herausgegeben. Ganz normale Geschichte eigentlich. Das Advisory trägt den Namen “Mozilla Firefox Unspecified Code Execution Vulnerability”. Unspecified? Warum das? Sonst ist Secunia wirklich gut informiert. Warum diesmal nicht?

“Die Schwachstelle hängt mit einem nicht genau bekannten Fehler zusammen und kann ausgenutzt werden um bösartigen Code einzuschleusen. Die Schwachstelle wurde für Version 3.6 bekannt gegeben. Andere Versionen könnten aber auch betroffen sein”, heißt es in dem Advisory.

Das Advisory verweist auf einen Forumsbeitrag, der von einem Update für die Exploitation-Software VulnDisco 9.0 berichtet. Update meint hier jedoch “neues Exploit” – nicht neues Patch Der Beitrag spricht von zwei 0-Day-Exploits: Eins für Firefox 3.6 und eins für Lotus Notes, jeweils für XP und Vista Plattformen. Die Exploits kann man auf der Website von VulnDisco käuflich erwerben – Preis auf Anfrage. Das ist eigentlich das erste Mal, dass ich einen so “offenherzigen” Umgang mit dem Verkauf von Exploits erlebe. Die Kommerzialisierung der Hacker schreitet also weiter voran…

Lesen Sie mehr →

ψ² = Ps(i)²

Chinesische Schule und Uni unter Verdacht

Eine chinesische Schule und eine Universität sind unter Verdacht geraten, an den Aurora-Angriffen beteiligt zu sein, über die ich bereits mehrfach berichtet hatte. Zu den mindestens 33 Opfern gehörte auch Google. Die jetzt verdächtigten Schulen heben nach Informationen von The Register Verbindungen zum chinesischen Militär.

Nach Informationen der New York Times waren die Angriffe bereits im April bei einigen Experten bekannt, unter anderem auch bei der NSA. Google hatte nach bekannt werden der Angriffe die Hilfe der NSA gesucht. Besonders die Beteiligung der Chinesischen Regierung war immer wieder vermutet worden, auch wenn man die Angriffe ebenso von außerhalb Chinas hätte durchführen können.

Die New York Times berichtet nun, dass die Shanghai Jiaotong Universität und die Lanxiang Berufsschule mit den Angriffen in Zusammenhang stehen. Einer ungenannten Quelle zufolge unterrichtet die Lanxiang Berufsschule Computerfachleute für das chinesische Militär. Einem Professor zufolge würden die Studenten schon manchmal westliche Websites hacken!

Ein detaillierter Bericht zu den Angriffen findet sich in einem Bericht der Sicherheitsfirma HBGary.

Lesen Sie mehr →

ψ² = Ps(i)²

Deutsche Kredit- und ec-Karten “nicht betroffen”

Das zumindest sagt der Zentrale Kreditausschuss (ZKA) der deutschen Kreditwirtschaft in einer Pressemitteilung und bestätigt sich damit selbst den uneingeschränkt hohen Schutz des Chip- und PIN-Systems auf deutschen girocards und Kreditkarten.

“Bei der Untersuchung des Angriffsszenarios stellte der ZKA fest, dass dieser mit girocard-Karten an Geldautomaten und an POS-Terminals des girocard-Systems in Deutschland nicht möglich ist”, stellt die Pressemitteilung in Bezug auf eine neue Angriffsvariante fest, die an der Universität Cambridge erarbeitet wurde.

Die Pressemitteilung lässt bei mir mehr Fragen offen, als sie schließt. Die Frage, ob z.B. der Angriff in Deutschland mit englischen Karten funktioniert, oder umgekehrt mit deutschen Karten in England bleibt offen. Ob die Aussage für alle in Deutschland im Umlauf befindlichen Karten gilt, wird ausgeklammert. Meine Kreditkarten sind jedenfalls vier Jahre gültig. Leider kenne ich mich bei diesem Thema nur begrenzt aus. In solchen Fällen bleibt nur gesundes Misstrauen gegenüber “Alles-ist-gut”-Pressemitteilungen:

“Die deutschen ec-Karten des girocard-Systems sind so konstruiert, dass die dargestellten Manipulationen effektiv verhindert werden. Das gilt ebenfalls für Kreditkarten mit dem vom ZKA freigegebenen Chipkarten-Betriebssystem SECCOS.”

Dass es bei der Implementierung der Kartensoftware doch den einen oder anderen Unterschied gibt und die Freigabe durch den ZKA auch nicht viel bringt, hat man ja Anfang des Jahres gesehen:

“SECCOS erlangte Anfang 2010 traurige Berühmtheit als die auf Gemplus (heute Gemalto) Chips installierte Version SECCOS 5 einen grossen Teil der in Deutschland eingesetzten EC- und Kreditkarten ausser Gefecht setzte”, ist die kurze Zusammenfassung aus dem Wikipedia-Artikel zu SECCOS.

Auch Heise-Security sieht die Sache kritisch: “Die Antwort der Banken, “Spezifikation verhindert den Angriff”, hatte Ross Anderson, Mitglied des Forscherteams, bereits vergangene Woche vorausgesagt. Auch die britischen Banken würden diese Antwort geben, obwohl Anderson und seine Kollegen den Angriff ja bereits praktisch demonstriert hätten. Daher müssten praktische Tests bei deutschen Banken zeigen, ob die Spezifikation auch korrekt umgesetzt wurde und der Angriff nicht nur theoretisch unmöglich sei. Anderson bezweifelt in einer Mail an heise Security, dass (durchschnittliche) deutsche Banken diese Tests durchgeführt haben. “Dafür fehlt ihnen vermutlich das Ingenieurswissen”, schreibt Anderson weiter.”

Mit dieser Aussage widersprechen sich die Wissenschaftler natürlich selbst: Sie hatten in dem BBC-Bericht gesagt, das der Angriff relativ leicht nachzuvollziehen sei.

Lesen Sie mehr →

ψ² = Ps(i)²

BKK-Fall: Endgültig kriminalisiert

Der aktuelle Fall der Erpressung der BKK Gesundheitskasse zeigt es überdeutlich: Die Szene hat sich endgültig kriminalisiert.

“Nach Recherchen des TV-Magazins (Kontraste) hatte die Krankenkasse eine externe Firma mit der Betreuung ihrer Telefon-Hotline betraut. Diese habe einen Subunternehmer angeheuert, der ungelernte Hilfskräfte beauftragte. Die Hilfskräfte hätten mit privaten Computern oder Laptops Daten wie medizinische Diagnosen abrufen und speichern können. Der Datenschutzbeauftragte Schaar sagte dem Magazin, bei der Krankenkasse sei offensichtlich beim Schutz personenbezogener Daten vieles versäumt worden. Ein so leichtfertiger Umgang mit Sozialdaten sei ihm noch nicht untergekommen. Schaar bezeichnete den Vorgang als skandalös”, berichtet Spiegel-Online.

“Haufenweise sensible medizinische Daten von Versicherten sollen entwendet worden sein”, berichtet die heute-Redaktion.

Die Pressemitteilung der BKK hat jedenfalls kein Profi geschrieben. Die schönste Passage:

“Unsere Kunden können sich also darauf verlassen, dass ein verantwortungsvoller Umgang mit den Kundendaten für die BKK Gesundheit oberste Priorität hat und wir selbst bei den kleinsten Verdachtsmomenten tätig werden.”

Dann ist ja alles gut… In meinem Buch heißt es im Kapitel über Krisen-PR: “Was in der ersten Meldung zu einem Sicherheitsvorfall wirklich nichts verloren hat, ist die Aussage, man hätte alles im Griff und das Ausmaß des Schadens sei bekannt!.”

Wie sollen sie’s wissen? Das Buch erscheint ja erst im März

Was mich wundert: Herr Schaar meint, die Verantwortlichen müssten erst gefunden werden. Die Verantwortlichen stehen glücklicherweise namentlich im Impressum der BKK-Website: Es ist der BKK-Vorstand. So wie ich das sehe, lässt sich die Verantwortung für den Datenschutz nicht delegieren. Aber – ach so – der Schutz der Kundendaten ist ja laut Pressemitteilung der BKK gar nicht gefährdet.

Freilich sollen nicht die Opfer einer Erpressung zu Tätern gemacht werden. Für die Erpressung ist der Vorstand sicher nicht verantwortlich! Wohl aber für den Datenschutz. Erpressung und Datenschutzvorfall müssen also getrennt betrachtet werden. Und ja: Was den Datenschutz angeht, wäre es jetzt der Vorstand, der sich erklären müsste. Wenn man die Pressemitteilung gelesen hat, fragt man sich jedoch, ob der die richtigen Berater hat.

Lesen Sie mehr →

ψ² = Ps(i)²

Neues für den Business-Case

In den Briefings der diesjährigen BlackHat habe ich wieder neue Zahlen für den Business-Case Information Security gefunden. Ich hatte in der Vergangenheit bereits mehrfach zu wirtschaftlichen Fragestellungen geschrieben. Heise.de hatte über einen Vortrag auf der BlackHat berichtet und dabei Christopher Tarnovsky zitiert:

“Tarnovsky nennt rund 200.000 US-Dollar als erforderliche Investition in Laborgeräte – was aber für ein neues Geschäftsmodell sicherlich keine unüberwindbare Hürde bedeuten dürfte.”

Bei der Investition handelt es sich um Equipment für einen sehr aufwändigen Angriff auf TPM-Chips. Er musste dazu in einem Labor den Chip aus dem Gehäuse extrahieren (chemisch!) und sich durch die verschiedenen Ebenen des Chips arbeiten (offenbar nicht ganz so einfach). Nach einer Analyse der Signalverläufe auf dem Chip konnte er schon sechs(!) Monate später Zugriff auf den Datenbus des Prozessors erhalten. Nach diesem Forschungsaufwand habe das Auslesen eines Lizenzschlüssels aus einer XBox 360 jedoch nur noch sechs Stunden gedauert.

Wir nehmen für eine Beispielrechnung das ROISI-Modell von Adrian Mizzi, als Teil eines Business-Case Information Security:

200.000$ (CTB)
>
5000$ für Laptop mit BitLocker und TPM-Chip (B+F)
< (nicht mehr wie 1/3)
5000$ bei gestohlenem Laptop (R) + 250.000$ Wert der geschützten Information (L)

CTB = Cost To Break
B   = Cost To Build
F   = Cost To Fix
R   = Cost To Rebuild
L   = Loss

Im ersten Ansatz sind die ROISI-Ungleichungen erfüllt. Das bedeutet, dass die gewählte Schutzmaßnahme wirtschaftlich ist. Ist sie aber auch sicher?

200.000$ (CTB)
<
250.000$ Wert der mit TPM-Chip geschützten Information (L)

Das schließt den Kreis und es wird klar, dass ein Angriff lohnenswert ist. Die Schutzmaßnahme ist also nicht sicher. Der Angreifer spart sich durch den Angriff 50.000$ und das Labor kann danach für weitere Angriffe eingesetzt werden und weiteren Profit liefern. Sie können das Rechenspiel gerne für einen Geheimdienst durchgehen, der sich über die Steuereinnahmen finanziert, die entstehen, wenn er die gestohlenen Informationen an die einheimische Wirtschaft weiter gibt.

Das ROISI-Modell liefert damit auch einen Hinweis darauf, dass das bedrohte Unternehmen ca. 80.000$ für die Absicherung (B+F) der Information (L) investieren kann, ohne dabei unwirtschaftlich zu werden. Dieser Hinweis impliziert jedoch, dass der Angriff ein Mal in drei Jahren durchgeführt wird und 80.000$ die Summe aller Schutzmaßnahmen darstellt. Ab diesem Punkt wird der Business-Case schnell komplizierter. Er funktioniert jedoch wunderbar, wenn die weiteren Schutzmaßnahmen die CTB nach oben treiben und sich der Angriff einfach nicht mehr lohnt.

Die Analysergebnisse nach der ROISI-Methode ergänzen damit andere Techniken zur Wirtschaftlichkeitsbetrachtung. Gemeinsam können sie als Business-Case dargestellt werden: