Gefährdungen der Informationssicherheit

Transcription

Gefährdungen der Informationssicherheit
Gefährdungen der Informationssicherheit
Gefahren lauern überall !
Technische Ereignisse
Software: Trojaner - Viren - Würmer
Hacker / Cracker / Crasher
Verlust / Gefährdungen / Bedrohungen / Störungen
Technik-Gläubigkeit und ihre Folgen
Pfui! So ein Ungeziefer
Was sind das nur für Menschen?
der Grundwerte
durch
unbefugte bzw. unerwünschte
Informationsgewinnung (Vertraulichkeitsverlust),
Modifikation/Manipulation (Integritätsverlust),
Beeinträchtigung der Funktionalität (Verfügbarkeitsverlust),
z. B. Datenverlust (Ursachen:
ca. 40 % Hardware/Systemfehler, 32 % Anwenderfehler, 7 % Viren, 4 % Softwarefehler,
3 % Naturkatastrophen, 10 % andere),
Jahr-2000-Problem bei Geldautomaten / Wettervorhersage (schlimmer 29. 2. 2000!)
2013 werden umfassende Abhörmaßnahmen der NSA durch deren untergetauchten Mitarbeiter Snowden offen ge
legt (auch das Handy der Bundeskanzlerin betroffen!)
Die Krypto-Schlüssel der SIM-Karten des weltgrößten Herstellers Gemalto sind ebenfalls ausgespäht worden.
Information Warfare: Einwirkung auf Computersysteme, z. B. durch übermäßige Beanspruchung (denial of service).
Cyber-Krieg:
1982 bringt die CIA durch Schadcode eine sowjetische Gaspipeline zur Explosion
1991 wird bei der irakischen Luftabwehr ein Virus eingeschleust (2. Golfkrieg)
2007: massive DoS-Attacken der russischen Jugendorganisation „Naschi“ legen wegen Verlegung eines Sowjet-Denkmals viele Regierungs- und Bankencomputer Estlands lahm
2007: Spionageprogramme (vermutlich des chinesischen Militärs) greifen Pentagon und deutsche Regierungsstellen an
und behaupten, das Navigationssystem GPS lahm legen zu können
Verstärkt Cyber-Angriffe seit 2010: der „Stuxnet“-Wurm (USA/Israel) nutzt schwächen in Reglersoftware der Fa. Siemens
und im Betriebssystem Windows aus und zerstört iranische Zentrifugen zur Uran-Anreicherung, befällt fast 100 000
Rechner; später kommt Duqu dazu.
2011 wird von Kapersky Lab die hochkomplexe Schadsoftware „Flame“ entdeckt: 20 Mbyte groß, überwacht den Datenverkehr, nimmt Bildschirm-Fotos auf, protokolliert Tastatureingaben, zeichnet Gespräche als Audio-Dateien auf; Verbreitung über infizierte USB-Sticks, E-Mails, Websites, LAN; vor allem im Nahen Osten aktiv.
März 2011: Zugriff auf 24 000 Pentagon-Dokumente.
Abwehreinheiten in führenden Industriestaaten, z. B. 80 Personen bei der Bundeswehr, 30 Sicherheitsexperten aus NATO-Ländern in Tallin, 3 Cyber-Einheiten in USA.
Verursacher:
höhere Gewalt (Blitz, Feuer, Wasser, Sturm: relativ selten)
Technik (Strom/Hardware-Ausfall)
Software (Fehler, Schadenprogramme)
Mensch:
(größte Gefahr!)
- fahrlässige Handlungen: Fehler (z. B. versehentliches Löschen), menschliches Versagen,
Leichtsinn, Unvermögen, Spielen, auch Mobbing gegen Computer
- vorsätzliche Handlungen: Computerkriminalität (meist Bereicherung oder Rache),
aber auch Geheimdienste
a) „passive“ Angriffe (Ausspähen / Hacking)
b) „aktive“ Angriffe (Manipulation / Verfälschen)
Technische Ereignisse:
Netzstörungen (im 220-V-Netz oder im Datenkabel): führen zu 45 % aller Datenverluste!
9 Störungen: 1) Netzausfall (Nullspannungsbedingung) von mehr als 20 msec
2) Verzerrung der Grundschwingung (Sinus) durch hochfrequente harmonische Oberwellen
3) Überspannungen > 230 V
4) Unterspannungen (kontinuierlich reduzierter Spannungszustand)
5) Spannungsspitzen (durch Blitz oder Netzstromzuschaltung)
6) Schaltspitzen bis 20000 V bei 10 – 100 Mikrosekunden Dauer
7) Spannungseinbrüche unter 85 % des Normalwertes
8) Frequenzabweichungen gegen 50 Hz (führt z. B. zum Bluescreen bei Windows)
9) Leitungsrauschen (elektromagnetische/HF-Störung) verzerrt die glatte sin-Welle
Kabelbrüche, schlechte Kontakte, falsche Steckerverbindgungen, Kurzschluß
EMP (electromagnetic pulses = Störimpulse): Über/Unterspannungen, Stromunterbrechungen im Mikrosek.-Bereich,
längere Stromausfälle, Ein/Ausschalten elektrischer Geräte u. a.
Überlagerungen in Datenkabeln ("elektrische Verseuchung")
durch elektrische Leitungen, Radar, Funk, Maschinen, nicht entstörte Geräte/Autos
elektrostatische Aufladung (des Menschen)
brennende Akkus
Hoch-Energie-Radio-Frequenz (HERF-Waffe) stört Computerteile
Geräteausfälle:
am häufigsten: Plattencrash (24 %), Motherboard (16), CD-Laufwerke (meist Controller, 10), Netzteil
[FP-Fehler häufen sich nach 3 Jahren, auch bei weniger benutzten]
weniger häufig: Lüfter, Steckkarten der unterschiedlichsten Art
seltener: Halbleiterspeicher, Prozessoren, Kabel, Steckverbindungen, Batterie
begrenzte Haltbarkeit von Datenträgern („digitale Demenz“):
ca. 5 Jahre:
Flash-Speicher
ca. 10 Jahre:
FP
bis 12 Jahre:
CD
bis 15 Jahre:
DVD
10 – 15 “ :
Streamer-MB (VHS, Mini-DV-Band
20 – 30 “ :
MB, DVD-RAM
FP vor allem mechanisch sensibel
Flash abhängig von Schreib/Lösch-Zugriffen
MB vorteilhaft, weil Medium und Gerät separat sind
kompromittierende elektromagnet. Abstrahlg.
Beispiele: Auf Fernseher in Wohnung erscheinen PC-Bildschirm-Inhalte
Richtfunk-Antennen + Signalverstärker am Rande des Betriebsgeländes
aus 20 m Entfernung können Tastaureingaben ausgespäht werden (Schweiz 2008)
Software PROMIS (NSA + Fa. INSLAW) strahlt vermutlich Hintertür zur Entschlüsselung ab
(weltweit verbreitet, Mossad/Israel, Verdacht: Journalist Casolaro 1991 ermordet).
Kabel zwischen Grafikkarte und Monitor sendet besonders stark.
Auch Chipkarten strahlen!
Sichtbare Abstrahlung: offen zugängliche Bildschirme/Rechner/Arbeitsräume,
weggeworfenes Altpapier, Kohlepapier, Druckerfarbbänder
Microbrobing: Ausforschen / Anzapfen / Manipulieren der Sicherheitschips (z. B. TPM = trusted platform module).
Abwehr: Sicherheits-Reset, wenn Sensoren ungewöhnliche Veränderungen bemerken;
Lagrande-Technologie von Intel (Integration des TPM in Hauptprozessor).
Skimming: Ausspähen von Kredit/Bankkartendaten, meist durch Manipulation von Geldautomaten,
2010 ca. 190 000 Opfer und 60 Mio. € Schaden in Deutschland;
Magnetkopf liest Magnetstreifen aus, Videokamera filmt PIN; die Daten werden auf gefälschte Karten kopiert.
In Deutschland wird zusätzliches Sicherheitsmerkmal auf Karte (nicht auf Magnetsreifen!) abgefragt.
Elektronische Datenspionage:
- Anzapfen von Kabeln (bei Kupfer kann z. B. mit Nadeln der elektrische Impuls abgegriffen werden, bei Glasfaser tritt durch Verbiegen mit einem bestimmten Radius die Information aus)
- Abhörsystem Echelon für Satelliten, Internet, Funk- und Kabelverkehr
(z. T. in „weißen Ballons“, die auch die Antennenrichtung verbergen,
betrieben durch den Staatenverbund UKUSA: USA, Großbritannien, Kanada, Australien, Neuseeland).
- Verwanzen von Büros
Traffic Analysis: Auswertung von Informationen über Absender / Empfänger
Topic Analysis: Zuordnung von Nachrichten zu Themenkreisen, z. B. System N-gram der NSA (1994)
Datendiebstahl, z. B. zur Erstellung digitaler Persönlichkeitsprofile.
Quellen: Gewinnspiele, Bonusprogramme, Persönlichkeitstests, soziale Netzwerke (Facebook verfügt über fast 850
Mill. Profile),
aber auch staatliche (?) Operationen (z. B. seit 2006 „Shady RAT“ = „zwielichtige Ratte“ [bzw. „Remote Access
Tool“]).
RFID (Funkchips): Risiken durch vollständige „Verchippung“, Verwendung als „Schnüffelchips“,
werden evtl. durch Strahlung unwirksam.
Gegenmaßnahmen: Verschlüsselung (in verschieden. Stufen bzw. Nutzermodi), Möglichkeiten der „Ruhigstellung“,
Clipped Tags (IBM, mit abreißbarer Antenne)
Manipulierte USB-Sticks
Software (indirekte Ursache immer der Mensch):
a) unbeabsichtigte Fehler (Bugs) durch
unzulängliche Aufgabenstellung, Programmierfehler, Schnittstellen;
unzureichende Reaktion auf Bedien- und Eingabefehler, schlechte Dokumentation;
Fahrlässigkeit
Systemfehler nicht auszuschließen, z. B. Erlangen von root-Rechten
Beisp.: login: root auf Systemkonsole /dev/console bei richtigem Kennwort abgewiesen und bei falschem ausgeführt
[in älteren UNIX-Systemen, aber auch zunehmend Lücken in Linux]
Falsche Konfiguration (häufig!): unsichere Moduln (nicht benutzt, aber konfiguriert),
z. B. Netzwerkdrucker, von dessen Installation niemand weiß;
besonders kritisch bei Firewalls (Beispiel: USA-Justizministerium)
Heap bzw. Buffer-Overflow (Speicherüberlauf) in Software wird oft ausgenutzt.
Slackspace: ungenutzte Bereiche in Filesystem-Clustern als Versteck für Hackerdaten
Verdeckte Kanäle: Systemobjekte, die eigentlich nicht zur Informationsspeicherung/übertragung gedacht sind.
(Oft sind Sicherheitsmoduln installiert, die niemand benutzt, z. B. Windows NT)
b) Vorsätzliche Fehler (programmierte Gefahren, „Kuckuckseier“):
Bösartige Software (Software-Anomalien, Störprogramme, malicious code bzw. Malware, „digitales Ungeziefer“);
1995: ca. 5000 Schädlinge in Umlauf; 2007: 5½ Mio. neue Schädlinge, 2008: 40 Mio. in Umlauf, 2009: 22 Mio. neu
(täglich 63000)
57000 neue Malware-Websites pro Woche
Malware oft mit Dateiverschleierung: z. B. durch Zufallszahlen oder nutzlosem Code,
in verschlüsselter Form mit dynamischem Code (wird sofort nach Infektion durch zufällige Daten ergänzt)
Quellen vor allem China, USA, Frankreich, 45 % über Mails
Spoofing (Namensvettern): Schwindelprogramme statt definierter Programme (täuschen Funktionen vor, die aber nicht
ausgeführt werden);
z. B. login-Prozedur fordert zu login-Wiederholung auf und speichert dabei Kennwort,
oder:
statt exit ein Programm, das login simuliert und erst nach Abspeichern des Kennworts ins echte login wechselt.
Trojanische Pferde (Trojaner): Software, die (vorgeblich oder tatsächlich) nützliche Funktionen und
zusätzlich schädliche/illegale ausführt (Hintertür/Trapdoor);
ca. 33% der Schädlinge, ca. 30 % der Rechner befallen.
Z. B. auch Warnungen vor Schädlingen (dabei aber selber Schädling): Hoaxes (= Zeitungsenten).
Bekanntes UNIX-Beispiel:
gefälschtes su - Kommando im aktuellen Verzeichnis „.“ übermittelt Kennwort und user-Name und löscht sich
dann selbst
su nutzername
[intern im Kommando enthält die Variable $1 dann den Nutzernamen]
Gefahr noch höher bei ungünstigem PATH-Wert:
.:/bin:/usr/bin:... gefährlicher als
/bin:/usr/bin:...:
Beispiele meist in Rechnernetzen:
o T-Online-Attacke: zwei 17-Jährige holen sich mittels Tools Zugangskennwörter, die im Klartext gespeichert sind (ca.
1996)
o angebliches Säuberungstool für Späher-Software BO (BackOrifice, Windows 95/8),
z. B. in Datei „Geschenk.exe“ (schenkt z. T. Getränkehalter für den PC: CD-Schublade wird ausgefahren),
installiert BO-Server, entfernter Client liest (z. B. über Telnet) Dateien und zeichnet Tastenanschläge (uid + Kennwort !) auf
o TCP-Wrapper Tcpd mit Administrator-Zugriffsrechten
o Y2KCount als Jahr-2000-Tool (späht aber Netzarbeit aus)
o die interne Seriennummer des Pentium könnte als Trojanisches Pferd gedeutet werden!
o Programme TFN (tribe flood network) und „Stacheldraht“ ermöglichen Beschießen von Webservern mit Datenmüll
(mehrfach von Unix-Rechnern aus)
o 2004 „MyDoom“ (wird mit Schaden von 38,5 Mrd. $ zum kostspieligsten Schädling)
o Bizex-E spioniert PIN / TAN aus
o Root-Kits: systemnahe Programme (z. B. Treiber), die Root-Rechte erlangen; tauschen z. B. APIs gegen eigene aus,
filtern damit eigenen Namen aus der System-Antwort des Virenscanners, bleiben also unsichtbar,
protokollieren z. B. Kennwörter/Tastatureingaben
o ZeuS: Basis für andere Malware ( ntos.exe lädt zeus.exe und zupa.exe und gliedert sich in Botnetz ein,
enthält Verschlüsselungstool gpcode.ai [string „_SYSTEM_64ADO625_“ ], Entschlüsselung erfolgt dann nur gegen
Geldzahlung); Varianten, z. B. über infizierte Mails, die Link empfehlen, durch den die Schadsoftware herunter geladen wird
o Banking-Trojaner Sinowal alias Torpig: sendet Daten an eine Datenbank, dringt über infizierte Website ein,
setzt sich mittels Root-Kit im Master-Boot-Record fest
o Bundes- bzw. Staatstrojaner: Nach vielen Vermutungen wurde
2011 ein Trojaner der Hessischen Fa. „DigiTask“ vom CCC enttarnt,
der u. a. vom bayrischen Zoll 2009 für Ermittlungen eingesetzt und bei der Kontrolle auf dem Laptop installiert wurde;
er ermöglicht Übertragungen von Screenshots, Tastatur-Eingaben, Webcam-Aufnahmen (weitgehend illegal!);
schlecht programmiert (leicht von kriminellen Hackern nachnutzbar;
hinterlässt Backdoor zum Einschleusen weiterer Schadsoftware)
o 2012 verstärkt Mac-Trojaner, am „erfolgreichsten“ Flashback
Duqu-Trojaner in unbekannter Programmiersprache geschrieben [von Kaspersky erkannt]
Kennwort für die Datenübertragung: C3PO-r2d2-POE (nach 3 Robotern aus den Starwar-Filmen: C-3PO, POE, R2-D2)
Vorsicht bei automatischen Software-Updates!
Viren: befallen Programme, Schäden und Verbreitung bei Ausführung der Wirtsprogramme, können auch mit Mails übertragen werden;
Dropper schleusen Viren ein (z. B. über DEBUG).
Symptome: langsamere Programmausführung, häufige Systemabstürze, Veränderung von Dateigröße und Zugriffsdatum,
unerklärlicher Speicher- bzw. Festplatten-Platzmangel.
Bedingungen für Verbreitung:
1) Wirt muß ausführbares Programm sein
2) Wirt muß ausgeführt werden
Bestandteile: Erkennungsteil (erkennt Viren-"fingerprint")
Wirkteil
Reproduktionsteil (Replikation)
oft auch Tarnfunktion
Grundarten:
Link/Dateiviren in normalen Programmen (z. B. .EXE, .Computer, .DLL, .VBS), klassische Form:
Spezialfall: Makro-Viren: auch in Daten (in Text-Dokumenten, WORD), z. Zt. ca. 50 %, da leicht herstellbar
(Makros meist in VisualBasic for Applications geschrieben), oft im Makro AutoOpen versteckt (wird automatisch
abgearbeitet!), infizieren jedes geladene Dokument sowie Vorlage NORMAL.DOT;
Verbreitung jetzt oft über Mails (und damit auch über UNIX-Server!)
Fast-Infektoren arbeiten sofort nach Programm-Aufruf
Slow- "
setzen sich erst im HS fest
residente Viren bleiben nach ihrer Arbeit im HS und arbeiten von dort aus weiter (Joshi-Virus steht sogar noch nach
Warmstart dort)
überschreibende Viren hängen sich nicht an den Programmcode an
Stealth(Tarnkappen)-Viren verbiegen DOS/BIOS-Interrupts (lenken z. B. Anti-Viren-Programme auf unkritische Festplatten-Bereiche um): beim Öffnen der Datei durch Virenscanner wird Datei desinfiziert (Tarnfunktion! interrupt interception method) und beim Schließen wieder infiziert, verändern oft die Prüfsumme nicht,
verschlüsseln Viren-Programmcode (zum Glück immer gleiches Verfahren)
polymorphe Viren durch Umstellung des Viren-Programmcodes oder Verwendung anderer Befehle gleicher Funktionalität
(junk-Anweisungen)
Systemviren (in Systemprogrammen), z. B. Bootsektor- bzw. master-boot-record (MBR)-Viren:
befallen Bootsektor der Festplatte bzw. Diskette, zerstören oder verschieben bei FAT32 / NT / Linux
oft Bootsektor / Partitionstabelle (d. h. Bootfehler, d. h. keine Verbreitung mehr),
vor Betriebssystem aktiv und nur beim Booten von Systemdatenträger aus (einstellbar, d. h. vermeidbar),
oft lange unbemerkt; nur 5% der Viren, aber zeitweise 30% der Infektionen
HTML-Viren
Skriptviren benutzen Skriptsprache (z. B. VBS-Skripts in Mails)
ITW- (in the wild, bei Anwendern verbreitet) oder Labor-Viren (praktisch noch nicht aufgetreten).
Es gibt eine ständig aktualisierte „In-the-Wild“- und eine „Common-Infector“-Liste.
Multipartiter Virus: Kombination verschiedener Verbreitungsarten
Cross-Infektoren können auf andere Anwendungen bzw. sogar Betriebssysteme wechseln
Immer raffiniertere Maskierung, z. B. in ganz normalen Websites versteckt oder
Rootkit-Technik über Prozessinjektion (wird nicht im Taskmanager angezeigt).
Heute oft Hybride (zugleich Würmer/Trojaner); nur noch 4 % der Schädlinge sind reine Viren.
Zero-Day-Angriff: Angriffe, von denen die Code-Muster noch nicht bekannt sind
Universeller Assembler-Virus: Virus.Linux.Bi.a bzw. Virus.Windows.Bi.a
Handy-Viren, speziell in Appsvor allem in Android-Smartphones über Apps (Apple kaum betroffen, da der Appstore
gut kontrolliert wird),
Geschichte:
1949 J. von Neumann hat Vision sich selbst vermehrender Programme (erstmals künstliches Leben!?)
1984 Promotion von Fred Cohen löst Lawine aus (10. 11. 83 erste Vorführung)
1986/87 erste Viren, z. B. Brain (Boot-Virus, von Cohen nicht vorausgesagt), Pakistani
1988 Makroviren überspringen Barriere zwischen Programmen und Daten
1989 verstärktes Auftreten (62 Viren bekannt, Verbreitung noch gering, meist über Disketten, aber Schaden groß),
aber auch oft Scherzviren, z. B. "Laubfall"; dann auch Werte verändernde Viren (z. B. In EXCEL):
Beschädigung der Integrität!
Yankee Doodle von Prevalsky (Bulg.) in UNO, analysiert von Christoph Fischer (Uni Köln, später Leiter des
Virencenters der Uni Karlsruhe);
fast-infector-Viren (hochgradig virulent) von Dark Avenger (Sofia, Pseudonym, mit Copyright)
1990 mehr Datei-Viren, erste Virenbörse in Sofia (Student Todorow, Aufnahmegebühr: ein neuer Virus);
Visual-Basic- und W32-Viren
1991 Bulgare Bontchew Aspirant bei Brunnstein (Hamburg), später bulgarische Akademie der Wissenschaften
1992 "mutation engine" von Dark Avenger verändert Virus nach jeder Infektion (4 Milliarden Formen = Instanzen)
1995 Gipfel der Makrovirenverbreitung; Mail-Viren (d. h. Würmer, Verbreitung als Mail-Sturm); HTML-Viren
nach 2000 weniger Datei-Viren, mehr Würmer (starke Verbreitung, meist weniger Schaden)
ab 2004 auch Handy-Viren: vor allem bei Smartphones mit Symbian OS und bei Bluetooth (verbreiten sich
hauptsächlich bei Massenansammlungen und über SMS: Veranstaltungen, Bahnhöfe;
¼ der Viren, aber ¾ der Infektionen, auch über präparierte Webseiten);
meist ist eine Installationsroutine nötig, die abgelehnt werden kann (es wird 3 x gefragt);
Schadfunktion oft Versenden von SMS an teure Nummern.
Beispiele: Commwarrior über MMS (keine Schadfunktion), Cabir,
PBSender versendet viele Einträge, Bloover,
Flexispy.A späht Handy-Aktivitäten aus, Skulls zeigt nur noch Totenschädel,
CardTrap und OneJump können mit MMCardaf PC übertragen werden.
ab 2011 verstärkt Handy-Viren, ca. 2 – 3 neue pro Tag
2007 ca. 320 000 Viren-Signaturen, 2008 schon 7 Mio., Ende 2009 33 Mio., jetzt täglich 2 – 5 000 neue
RFID-Viren könnten Preise verändern (Vermutung von Tanenbaum)
Hunderte Mio. DM Schaden pro Jahr (2000: 17,1 Mrd. $, insgesamt bisher 330 Mrd. DM; meist sekundär durch Zeit /
Personal / Software-Aufwand für Beseitigung, zerstörerische Nebeneffekte durch Programmfehler)
Viren auch als Hintergrundprogramme
Mail-Viren werden meist erst durch Öfnen des Anhangs aktiviert (Vorsicht!), z. T. aber bereits beim Lesen (?)
In UNIX-Systemen Viren weniger wahrscheinlich (wegen getrennter Nutzerbereiche), aber Mails kommen meist über
UNIX-Server und Gefahr bei root-Arbeiten!
Warnungen im Internet, aber auch bewußte Falschmeldungen (Hoaxes, oft als Kettenbriefe), z. B. über Jesus-Virus!
Scareware („Angstmacher-Software“) behauptet, Viren im Computer gefunden zu haben, und verlangt,
Antiviren-Software zu kaufen, die (meist) selbst Schad-Software ist.
Beispiel: „Open Cloud Antivirus“ imitiert „Panda Cloud Antivirus“, meldet vermeintliche Infektion und fordert zum
Kauf einer nutzlosen Vollversion auf (2011).
Gerücht: auch Antivirensoftware-Firmen verbreiten Viren.
Beispiele aus dem Virenzoo:
o
Hersbtlaub (Cascade)
o
Pingpong (tanzender Ball)
o
Vienna infiziert 8 Programme, würfelt eines aus und zerstört es
o
Tremor (Bildschirmzittern, Stop) über Satellit und Decoder
o
Israeli-Virus (in Hebron entdeckt): verbreitet sich bei jedem Aufruf,
Wirkteil arbeitet aber nur abhängig von Bedingungen (z. B. Freitag dem 13.)
o
1990 Bootsektor-Virus PARITY.B im MBR, startet also vor BS, setzt sich im RAM fest,
lenkt Interrupts auf sich und verbreitet sich so auf Bootsektoren aller eingelegten Datenträger
[also Virenschutz schon im BIOS aktivieren!]
o
Media-Markt-Virus von "The Wizard" (Zauberer): löscht am 9. 9. (1995) alle Daten, danach Totenkopf
o
"Michelangelo", 6. März, formatiert Festplatte, leicht erkennbar (verkleinert HS: MEM zeigt 638 statt 640 Kbyte),
leicht zu umgehen (Datum vom 5. auf den 7. März umstellen)
o
"Honnis letzte Rache", 13. 8., Bild, DDR-Hymne, AUTOEXEC.BAT "wurde auf Anw. d. DDR-Ministerrats gelöscht"
o
WORD-Makrovirus "Tredious", wird in Word-Anhängen von Mails verbreitet, infiziert Normal.dot und zerstört alle Dateien auf C:
o
„Melissa“ (Nackttänzerin): gleicher Typ, zuerst 26.3.1999, verursacht mittels MS-Mail-Software Kettenbriefe
(50 Kopien der letzten Mail) an Empfänger aus Mail-Adreßbuch
(„important message from ...“, erscheinen dadurch unbedenklich, versprechen Sex-Sites),
schaltet zuerst WORD-Warnung vor Makro-Viren u. a. aus;
am 30.3. sind 100000 Systeme befallen (viele abgeschaltet), 1,24 Mrd. € Schaden;
Entwickler David Smith (Alt-F11, New Jersey, 30 Jahre, zerstört nach Verdacht eigenen PC,
hat schon einmal bei AOL gehackt, am 2.4. verhaftetet, 20 Monate Gefängnis, 5000 $ Strafe)
bis dahin „erfolgreichster“ Makro-Virus [trotz Signaturen in Active-X]
EXCEL-Varianten, z. B. „Papa“
o
"remote explorer": Ende '98, installiert sich als Dienst bei lokalen admin-Arbeiten, verbreitet sich bei Domän-admin
(neuartige Verbreitung!), 1,15 Mrd. € Schaden
o
HTML-Virus (HTML-Internal, HTML worm) Nov. '98 im Internet Explorer: Visual Basic Code geht an HTML-Dateien,
durchsucht das lokale System, verändert Zieldateien
o
CIH (Student Chen Ing Hau, Taiwan): Tschernobyl-Virus, am 26. 4. aktiv (seit ‘98), mit Mails, Raubkopien und dem
Spiel „Moorhuhn“ verbreitet,
zerstört Festplatte und BIOS auf neueren Flash-ROMs, die schon bei 5 statt 12 Volt beschreibbar sind und größere
Kapazität haben, und damit im Grunde den PC; Schäden vor allem in Ostasien;
reuiger Autor zuerst verhaftet, erhält später viele Stellenangebote
o
Linux-Virus LINUX.SNOOPY.B benennt ausführbare Dateien name in name.X21 um und
gibt sich selbst den Namen name (wird also beim Aufruf ausgeführt). Also: Dateien name.X21 suchen!
o
W32/Perrun erster Virus in einer JPEG-Bilddatei (2002, Code muss von Trägervirus auf FP erst aktiviert werden)
o
Klez häufigster Virus 2002/03 (Wurm-Virus-Kombination)
o
BigF am häufigsten 2003
o
Netsky als Mail-Anhang, sendet sich an Mail-Adressen
o
MyTob sendet sich an Outlook-Adressen, 2006 häufigster Virus
o
Zafi ändert Registrierungen; Stratio-Zip
o
Handy-Virus Jailbreak überwindet iOS-Schutzwall
z. Zt. > 100 000 registrierte Viren bekannt (2001 z. B. 10000 neue, pro Monat ca. 500, täglich 5-10),
95 % der Verbreitung erfolgt über das Internet, Zahl neuer Viren geht zurück
(zunehmend sind dagegen Adware / Spyware / Bots), heute täglich 6000 neue (inkl. Varianten)
Viren-Bausätze im Internet.
Würmer: eigenständige Programme, erzeugen und verbreiten Wurmsegmente als Prozesse in Netzen, ohne Programme
zu infizieren,
konsumieren aber Speicherplatz und Rechenzeit, provozieren Buffer-Überlauf (i. allg. um eigenen Code ausführen
zu können) oder
müssen explizit gestartet werden; „Skriptviren“.
Zuerst 1982 von Xerox zum automatischen Einbinden von Rechnern in ein Netz programmiert,
jetzt ca. 20 % der Schädlinge.
o
Internet-Wurm: R. T. Morris (Informatik-Student, heute Professor am MIT) legt am 3. 11. 1988 an einem Tag
2-6000 SunOS-Rechner lahm (überlaufende Plattenspeicher: "denial of service"); es dauert mehrere Tage,
bis Netz wieder läuft; Ursachen: sendmail, fingerd, rsh, suid; Grundprinzip heute noch üblich;
3-jährige Bewährungsstrafe., 10000 $, 400 h wohltätige Arbeit
o
1989 WANK („worms against nuclear killers“) bei der Nasa
zum Start der kernkraftgetriebenen Raumsonde Galileo zum Jupiter (Urheber: Gruppe mit „Mendax“ alias
Assange),
erster Wurm mit politischer Botschaft
o
Mailwürmer („Mehlwürmer“) versenden mail-Attachments an alle im Adressbuch des Mail-Systems stehenden Empfänger,
häufig falsch als Virus bezeichnet (infizieren keine Programme!). Beispiele:
o
Clausthaler Weihnachtsbaum: elektronischer Kettenbrief mit Weihnachtsgrüßen.
o
„happy 99“: Happy99.exe wird über mail-Attachments verbreitet, verringert Performance und bringt evtl. mail-Server
zum Absturz
o
„Bubbleboy“ (in Visual Basic Script, nutzt ActiveX) in Mail (erstmals nicht in Attachment!):
ändert Nutzernamen in „BubbleBoy“, Firma in „Vandelay Industries“, sendet sich an alle Adressbucheinträge.
o
„Wurm“: 1999, zuerst in Israel, kommt als reply auf angeblich gesendete Mail mit Attache „zipped_file.exe“,
Verbreitung über Windows-Mail-Systeme, löscht alle Word-/Excel-Dokumente u. a.
o
Jahr 2000 (Verbreitung ähnlich): Fix2001 (überschreibt FP), „Mypics“ (formatiert C: und D:)
o
Loveletter: „I-love-you“-Mail-Attachm. (philippinischer Informatik-Student Onel de Guzman = Virus-Lover,
jetzt in staatlichem Rechenzentrum tätig) am 4.5.2000 über Outlook verbreitet, befiel 45 Mio. Rechner, 10 Mrd. $
Schaden (Variante auch bei Handies in SMS-Nachrichten, z. T. mit CMOS-Zerstörung)
o
„code red“ (Cola wie „red bull“, seit 19. Juli 2001, Autor: Cen Ing-Hau, Schaden: 2,96 Mrd. €)
setzt sich um 0 Uhr jeden 1. im Monat auf Server mit Win NT/2000 fort, die dann zur gleichen Zeit das Weiße Haus
mit Datenmüll beschießen.
(Gegenmaßnahme: Rechner vor unbefugten Nutzern schützen)
o
Sircam (W32.Sircam, SirC32.exe o. ä., 1,89 Mrd. € Schaden) hat eigenen Mail-Server, versteckt sich im Papierkorb,
ändert autoexec.bat und Registry, setzt sich über Adressbuch fort (mit Datei aus „Eigene Dateien“), vor allem in
Deutschland
o
„Nimda“ (Sept. 2001): sehr komplex (in Assembler geschrieben!, richtet über Hintertür Nutzungsrechte für Angreifer
ein,
verbreitet sich auch durch Surfen, selbstaktivierend), 0,67 Mrd. € Schaden
o
„Badtrans.B“ kopiert Backdoor in Systemdateien (Dateien HKSDLL.DLL und KDL.DLL löschen!),
späht Kennwörter und Kreditkartennummern aus, hängt sich an ungelesene Mails und verschickt sie;
schon das Lesen der Mail aktiviert ihn
o
„Kakworm“
o
„Goner-A“ (5. 12. 01 von 4 Israelis im Wettbewerb mit einer rivalisierenden Hackergruppe verbreitet):
in Mails „Hi“ als Bildschirmschoner „gone.scr“ getarnt, verschickt sich an Adressbuch-Adressen und versucht,
Antivirenprogramme zu zerstören
o
FBI entwickelt Spionagewurm/Trojaner, der Kennwörter/Programme bei Verdächtigen ausspioniert (ab 2002 im Einsatz)
o
„Zacker“ (Betr. „ZaCker“, Anhang ZaCker.exe) nistet sich als win.exe in \windows ein und
löscht Dateien ( .exe, .doc, .jpg) und Antivirus-Software
o
„Yarner“ warnt vor Trojanern (Hoax), verbreitet sich über Outlook-Adressbuch (Anhang „yawsetup.exe“ nicht ausführen!)
o
2001 erster PDF-Wurm („Peach“ = Pfirsich / Hintern)
o
befürchtet werden „Flash“-/“Warhol“-Würmer, die nicht nach zufälligen Adresslisten sondern gezielt
die meist frequentierten Server angreifen (kritische Menge für das gesamte Internet: 50000)
o
Juli 2003 “Blaster“-Wurm von 18-jährigem Amerikaner
o
Aug. 2003 „Lovesan“: echter Wurm mittels Port-Scan
o
Sept. 2003: chinesische Website richtet Account „e“ mit festem Password ein, über den Angreifer in den Computer
eindringen
o
Wurm des Jahres 2003: „Sobig“ (Schaden von 37 Mrd. $)
o
Jan. 2004: Mydoom („Verhängnis“) / Novarg / Mimail.r mit Betreff Test / Hi / Hallo / Server Report / Status / Error :
versendet sich unter falschem Absender an Adressbuch-Adressen und späht Computer aus
o
16. 2. 2004: „Netsky“, seitdem 28 Varianten und weite Verbreitung, Wurm des Jahres
o
Mai 2004: „Sasser “ von 18-jährigem Schüler Sven J. aus Niedersachsen [auch für alle ca. 30 Netsky-Varianten zuständig]:
6 Varianten, über offene Ports verbreitet, befällt 2 Mio. PCs, fährt BS Windows XP/2000 herunter und versucht 128
mal, weitere Computer zu finden, legte Postbank und viele private PCs lahm. Wird beseitigt durch Service-Pack 2.
Sven bekommt Bewährungsstrafe, lernt dann in Fa. für Computersicherheit, kaum Schadenersatzansprüche.
o
o
o
o
o
o
o
„Phatbot“ (Beispiel für Virus aus Bausteinen, Abkömmling der Trojaner-Familie Gaobot, die aus 500 Mitgliedern besteht)
auf Sasser-verseuchten PC durch „Wormwriding“
Juni 2004: „Zafi-B“-Wurm aus Ungarn
1. Handy-Wurm EPOC.Cabir über Bluetooth
2005: Wurm “Sober” verspricht Fußball-WM-Tickets, trägt sich in Registry ein und sammelt Adressen, sonst kein
Schaden;
Variante „Klassentreffen“ (Foto enthält Schadfunktion)
Wurm des Jahres 2005: „Mytob“ (103 Varianten)
angebliche Drohung des BKA: „Sie besitzen Raubkopien“
Linux-Wurm Lupper / Plupii
2006: MMS-Wurm CommWarrior.A; WORM_NYXEM.E (löscht Daten und sperrt PC); Fizzer weit verbreitet.
Conficker-Wurm wurde zum 1. April 2009 erwartet, sehr infektiös
Facebook-Wurm Koobface (Juni 2009 fast 1000 Varianten, Verbreitung über Anwender-Konten und Freundeslisten,
befällt auch andere soziale Netwerke; versendet Kommentare und Nachrichten mit Link zu gefälschter YouTubeSeite,
die zum Download eines Flash-Players verleitet, der tatsächlich Koobface lädt
greift 2010 Kontrollsysteme in Atomanlagen des Iran an, übermittelt Daten ins Ausland,
wird am Anfang über USB-Stick eingeschleust, hochkomplex (nur bei wenigen Geheimdiensten zugänglich).
Aufbau und Funktionen: Dropper schleust Malware Payload ein;
Modul 1 fängt Systemfunktionen ab; Modul 2 manipuliert Maschinen
Bakterien vermehren sich, ohne Programme zu infizieren
Dropper infizieren PC, ohne Virus zu sein (ca. 20 % der Schädlinge)
Exploits: kleine Programme zum Erkunden von Sicherheitslücken (können aber auch Schadprogramme sein)
Keylogger greifen Tastatur-Anschläge ab (Gegenmittel: virtuelle Tastaturen)
Sniffer / Paßwortcracker spähen Kennwörter aus (erst seit 1994 bekannt), z. B. "Crack" (UNIX), "John the Ripper"
(Windows für UNIX/NT), L0phtcrack (Gruppe L0pht, WinNT).
Hinter/Falltüren (trapdoors): Programmteile zum Software-Test, für Nutzer funktionslos, aber u. U. Nebeneffekte
(z. B. Erlangung von Privilegien, meist unbeabsichtigt, eine Ursache beim Internet-Wurm), auch Bestandteil von
Trojanern.
Zeit- bzw. Logik-Bomben sind in Programmen versteckt und werden bei bestimmten Bedingungen
(z. B. datumsabhängig) ausgelöst.
Zip-Bomben: Gepackte Dateien mit sinnlosen bit-Mustern, die beim Entpacken Ressourcen (Speicher, CPU-Zeit) verbrauchen.
Zoo-Malware: Schädlinge mit geringer Verbreitung
plug & play („plug & plague“): es können u. U. unkontolliert Geräte über USB angeschlossen werden,
speziell auch durch WLAN, Bluetooth, Hotspots o. ä. (sogar von Handys, Digitalkameras, PDAs aus).
Software-Spione (Lauschprogramme) übermitteln interne Informationen an Hacker:
RFS (remote forensic software): Schnüffelsoftware, z. B. „Bundestrojaner“.
Toolkits FTK und EnCase, die i. a. nach forensischem Backup (vollständiger identischer Festplatten-Clon) eingesetzt
werden.
0-Day-Exploits nutzen noch unbekannte Sicherheitslücken aus, z. B. kann Exploit für WMF (Windows media file) Trojaner
installieren
Ransomware verschlüsselt z. B. die Festplatte und fordert Lösegeld für die Entschlüsselung.
Beispiel: Trojan.Winlock (russisch) oder AIDS.trojan
Crapware: (meist) unsinnige Demonstrationsprogramme.
Fälschung digitaler Fotos
Illegaler Datenhandel
Schadsoftware auch auf Flash-Speicherbausteinen (z. B. auf Netzwerkkarten, die außerhalb des Betriebssystems arbeiten, so dass Virenschutz-Software keinen Zugriff hat)
Hacker / Cracker / Crasher: (Menschen mit unmittelbarer Beteiligung)
Hacker:
Ausspäher, um Informationsgewinn zu erzielen (oft gutartig: white hats)
Cracker:
Hacker, um zu manipulieren (bösartig: black hats)
Crasher:
Cracker, um zu zerstören
(Phreaker:
Hacker in Telekommunikationseinrichtungen)
Cheater: Betrüger
Hacktivisten: politisch motivierte Hacker
Haecksen: weibliche Hacker
Date-Cracker stellen Systemzeit zurück, um z. B. Demo-Versionen länger nutzen zu können
Webspider greifen auf geschützte Websites zu, z. B. IntelliTamper
Whistleblower liefern Quellen für Wikileaks (Geheimnisverräter?) – „geleakte“ Dokumentationen
Hacker und Virenentwickler nicht zu trennen
Wardriver fahren Straßen ab und suchen ungeschützte WLAN
Script-Kids benutzen fertige verfügbare Schad-Software
[Chapman]: Joyrider (Vergnügungsreisende), Vandalen (Zerstörer), Punktejäger (Sportler), Spione (Kundschafter)
Tätergruppen: Insider, Studis/Teenies (meist wenig erfolgreich), Konkurrenten,
Underground (freaks), Mafia, Profis (Spione/Cyber-Krieger) oder
- fahrlässige Gefährdungen (Verspieltheit, Neugier, Ehrgeiz von Freaks, Geltungsdrang, Robin-Hood-Mentalität) oder
- bewußte Gefährdungen / vorsätzliche Handlungen durch Unbefugte (Rächer, Hacktivisten, Spione, Terroristen)
Oft persönliche Motive (Gewinn/Geltungssucht), aber auch Industriespionage und Geheimdienst-Tätigkeit
(Überwachung durch big brother, staatlich geförderte Wirtschaftsspionage, z. B. Clipperchips),
Filtern von Mails nach Schlagwörtern, z. T. mit Unterstützung der Software-Firmen).
Hacker geben als Motiv z. T. eine bestimmte Ethik vor:
Oft angeblich zur Aufdeckung von Sicherheitslücken („white Hacker“);
CIA unterhält „Kindergarten“ mit Halbwüchsigen, werden übertariflich bezahlt;
Schnüffelsoftware „Carnivore“ von US-Senat nach 11. 9. 2001 genehmigt;
Hacker-Kompanien beim chinesischen Militär;
virtuelle Demos von Globalisierungsgegnern in Quebec 2002.
Schwierige Balance zwischen nötigen Sicherheitsmaßnahmen und undemokratischer Überwachung
(Sicherheitsideologie).
Seit etwa 2011 hat die Piratenpartei ein beachtliches politisches Gewicht.
Hacker-Zeitschriften:
YIPL (youth international party line, Telefon-Hacker), später:
TAP (technological american party bzw. assistance program)
"Datenschleuder" (CCC, veröffentlicht 2008 Schäubles Fingerabdruck in 4000 Kopien); Hackerbibeln 1/2
"2600: The Hacker Quarterly" (Auflage: 20 000)
“Phrack”
EFF (electronic frontier foundation, im Internet)
Hacker-Konferenzen:
„Chaos communication conference“ (2009: 9.000 Kongressteilnehmer in Berlin);
„DefCon“ (nach nuklearer Geheimhaltungstufe des Pentagon); Messe CONFidence;
„Black Hat“; „ShmooCon“;
“HOPE” (Hackers on Planet Earth, USA)
Hacker-Vereinigungen (seit 1984):
Chaos-Computer-Club (CCC): 1981 in Hamburg (bei der TAZ) gegründet von Wau Holland [zuletzt Alterspräsident, 2001
gestorben],
Steffen Wernery u. a., „Galaktische Gemeinschaft für Lebewesen“, moderne Störtebeker mit Hacker-Ethik,
später Erfa-Kreise zum Erfahrungsaustausch in anderen Städten, 2800 Mitglieder, (nur 100 Frauen [Haecksen]),
10 € Aufnahmegebühr, 72 € Jahresbeitrag, z. T. Ermäßigung;
Organ “Datenschleuder”, jährlich Kongress CCC;
hackten 1984 das Btx-System der Bundespost und überwiesen sich als Beweis 135 000 DM;
umgehen durch Vereinsgründung den Anti-Hacker-Paragraphen;
Tron (Boris F.), eines der genialsten Mitglieder, „simulierte“ Telefon- und Smartcards sowie Bezahl-Fernsehen,
wurde 1998 erhängt in Berliner Park gefunden;
Heute gesellschaftsfähig („Netzaktivisten“, „Kontrolle von unten“,
2010 tritt die CCC-Sprecherin Constanze Kurz u. a. vor dem Bundesverfassungsgericht im Prozess zur Vorratsdatenspeicherung als Sachverständige auf.).
Legion of Dome (LoD, Lex Luthors),
LOpht
Masters of Downloading (international, 1998 NASA-Einbruch),
Bios (binary outlaws = Gesetzlose),
Cult Of The Dead Cow (1998 BackOrifice)
etoy gegen eToys: etoy-Hacker treiben Spielefirma eToys nach Streit um Webnamen 2001 in den Konkurs
(massenhafte elektronische Bestellungen ohne Auftrag)
anonymous: locker strukturierte Internet-Guerilla ohne Zentrale, protestiert gegen „freiheitsfeindliche Organisationen“;
Symbol ist die Maske des britischen Königsgegners Guy Fawkes (1570 – 1606) aus Comic;
„Wir sind Anonymous. Wir sind viele. Wir verzeihen nicht. Erwartet uns!“
2008 Proteste gegen Scientology;
2010 Rache-Attacken (DoS) gegen Kredit-Unternehmen, die Konten von Wikileaks sperrten;
2011 Zugriff auf 90000 E-Mail-Konten der US-Army; im Juli 2011 Razzien und Festnahmen in USA;
Enthüllungsportal nazi-leaks.net gegen Neonazis.
Weitere bekannte Hacker (Pseudonyme, oft auch von anderen benutzt):
Kevin D. Mitnick: „berüchtigster Hacker“ im Guiness-Buch, lange gesucht, mit 18 in Computer der USA-Luftwaffe,
später in Geheimdienste eingedrungen, 20000 Kreditkartennummern aus Speicher geklaut;
1995 mit 31 verhaftet, 1999 zu 68 Monaten Haft verurteilt, Jan. 2000 Bewährung,
dann Mitarbeit an Gesetz zum Aufbau von Hacker-Schutz-Systemen in Behörden; Film "War Games".
Mudge, Mafiaboy, Jacky Qwerty [Tastatur links oben] (Makroviren),
Coolio (17 Jahre, hat auf RSA-Webseite Link zum Text „Vertraut uns eure Daten an und preist Allah“ eingerichtet),
Mixter: 1998 in Unternehmen eingebrochen, um kostenlos zu surfen; hatte in Mathematik die Note 4; 1999 zu 15 Tagen
Sozialarbeit verurteilt;
Störprogramm TFN = tribe flood network, hat mit Mittel gegen TFN den Sicherheitspreis einer US-Firma gewonnen.
Random („Stacheldraht“, neue Version „Blitzkrieg“, analog TFN)
cOmrade (gEnosse, drang in NASA und Pentagon ein, stahl Mails und Passwörter, System musste 3 Wochen abgeschaltet werden;
als erster jugendlicher Hacker zu Gefängnis verurteilt)
Luis alias VirusBuster (Spanien) hat Sammlung von 35000 Viren
Arvi (Ilja Wassilljew) richtete in Moskau Hackerschule ein
Albert Gonzales wird 2003 wegen millionenfachen Datendiebstahl (Kartendaten von online-Händlern) gefasst,
arbeitet danach zeitweilig für USA-Geheimdienst (um Hacker aufzuspüren), knackt und verkauft mit 2 Komplizen 130
Mio. Kreditkarten,
wird 2010 zu 20 Jahren Gefängnis verurteilt
John Draper hackte Telefonsysteme (mittels einer Pfeife)
Serge Humpich hackte EC-Karten (erhielt Bewährungsstrafe)
Kevin Poulsen wollte mit Telefon-Hack Porsche gewinnen, landete für 3 Jahre im Knast
Bekannte Spammer: Leo K. (Russland), Michael L. (USA), Alexej P. (Dtschl.) [installieren Bot-Netze]
Cajun-Spammer schickte täglich bis zu 180 Mio. Mails
Phishing-Gang Rock-Fis-Group
Hacker-Sprache Leet: einfache Verschlüsselung einzelner Buchstaben
a 4
C c
e 3
d <l
g 9
k l<
l l
t 7
w //
z. B.
Warez = Raubkopien = //4r3z
Dude = (Profi, Elite-Hacker) = <loo<l3
Looser = Anfänger = loos3r
Phreak = Cracker = phr34<l
passive Angriffe / Ausspähen: um Informationsgewinn zu erzielen
Ermittlung von Teilnehmer-Identitäten, Daten und Verkehrsfluß,
Abhören/Diebstahl und Ausnutzen/Mißbrauch von Informationen (zunächst ohne Manipulation), z. B. Kopierschutz
knacken
Offenlegen geheimer Informationen (bei "Entdeckungsreisen" gefundene Geheimnisse
werden publiziert), z. B. Aushang von Gehalts/Zensurenlisten, Viren.
Unbefugte Nutzung von Daten/Ressourcen. Datenerpressung.
Unerlaubter Zugang / Eindringen
Hacking: durch Probieren / Kombinieren / Penetrieren Kennwörter ermitteln:
Knackprogramme mit Wörterbüchern, Vornamen; bis 1000 Verschlüsslungen/sec),
Wörterbücher beliebter Kennwörter
Besonders gefährlich: Administrator-Kennwörter enttarnen (oft infolge fehlerhafter Software möglich);
Erlangung von Administrator-Rechten.
Raubkopien: 20 –30 % der Software sind Raubkopien (in einigen Ländern [Bulgarien, Georgien] bis 95 %)
aktive Angriffe mit Modifikationen/Verfälschungen:
Manipulation, Zerstörung von Informationen/Ressourcen,
gezielte Veränderung (Modifizieren, Entfernen, Einfügen),
Unterbrechung/Verweigerung/Behinderung von Diensten/Funktionen;
Wiederholungen, Verzögerungen,
Systemzusammenbrüche durch zu viele Änderungen
Vortäuschen einer falschen Identität
Entführung: Umleitung von Verbindungen
gezielte Überlastungen, Ressourcenverbrauch (DoS = denial of service)
Basis oft Buffer-Overflow, z. B. Überschreiben des Programm-Stacks (z. B. Rücksprung-Adresse auf Schadprogramm
lenken)
2 Angriffsmethoden:
o
technisch/informatisch: Ausnutzen von Software-Fehlern, Missbrauch legaler Tools, schlechte System-Wartung, fehlende Überwachung
o
persönliche Kontakte (social hacking/engineering,): mit Detailwissen (z. B. aus Websites/Logfiles zugänglichem) Vertrauen erlangen
und dann das Profil des Opfers abfragen („der Risikofaktor Mensch“), z. B. Kennwort einfach direkt abfragen,
phishing mails (als seriöse Nachricht bekannter Einrichtungen getarnte Abfrage von PIN usw.),
spear phishing (Chef-Mails: Kombination aus social hacking und spoofing).
Auch Angriffe auf Windows-PC von Linux aus.
Computer-Mißbrauch /-Kriminalität / Cyberkriminalität:
Gesetzwidrige Handlungen, für die ein Computer das Werkzeug oder das Ziel ist
(nicht der Computer wird kriminell, hohe Gewinne bei kleinem Risiko, erster Fall 1956, erstes Urteil 1966).
Nur 10 – 15 % der Fälle werden bemerkt, davon werden nur 10 % angezeigt!
1997: 37 % aller Fälle von Wirtschaftskriminalität sind Computerkriminalität, 10 Mrd. € Schaden, 2009 über 50000
Fälle.
1998: 46000 erfasste Fälle von Computer-Kriminalität.
2001: 79000 Fälle (61 % Geld/Kassenautomaten, 22 % Betrug, 10 % Zugangsrechte, 3 % Softwarepiraterie, 2 %
Ausspähen,
1 % Datenmanipulation).
2009 starke Zunahme von Straftaten mit Mitteln des Internet (167451 Fälle).
Einteilung der Straftaten in Computerbetrug, Ausspähen/Abfangen von Daten, Betrug mit Zugangsdaten, Datenfälschung, Datenveränderung/Computersabotage, Verbreitung von Kinderpornografie, Schutzgelderpressung über Cyberattacken.
Weitere Beispiele:
- KGB-Hacker: 1986 dringen 5 Hannoveraner in Pentagon-Netz ein und melden die gesammelten
(aber weitgehend wertlosen) Informationen an Moskauer KGB;
von Clifford Stoll (Systemprogrammierer) entdeckt (durch Abrechnungsdifferenz von 75 Cents),
schreibt Buch "Das Kuckucksei" [verboten]);
Bewährungsstrafen, drogenabhängiger und psychisch kranker Karl Koch wird tot im Wald gefunden,
Film "23 - Nichts ist so wie es scheint"
- täglich 50 Eindringversuche im Pentagon
- Großbank: 60 Mio. halbe Pfennige aus Zinsberechnungensummieren sich zu 300 TM u. ä. (Salami-Attacken!)
- Deutsch-Russe Alexander S. schreibt 2005 Kreditkarten-Daten, die aus „elektronischem Einbruch“ stammen,
auf Magnetstreifen von Kundenkarten des Handels und hebt 23000 Euro in Dresden bei der Sparkasse ab
(4 ½ Jahre Gefängnis)
- „Bundestrojaner“: Bundesregierung plant 2007, Schnüffelsoftware („remote forensic Software“) in Computer Verdächtiger einzuschleusen
(müsste zunächst mit Geheimdienst-Methoden nichtautomatisch installiert werden).
- 2009 Fake nach Amoklauf von Winnenden: angebliche Ankündigung von Tim K. im Internet
(vermutlich wurde Screenshot einer Bilddatei des Image-Boards krautchan modifiziert), von Polizei nicht erkannt
(auch für anonym bleiben wollende Teilnehmer allgemein üblicher Name „Bernd“, angeblich Freund von Tim,
erregte keinen Verdacht)
- 2010 Aktionen des Enthüllungsportals Wikileaks (2006 gegründet von chinesischen Dissidenten),
bekanntester Repräsentant ist J. Assange (Australien, begann in einer politisch motivierten Hacker-Gruppe) / “The
SUNSHINE Press”;
stellt ungefiltert aber geprüft geheime Dokumente aus anonymen Quellen über weltweit verteilte Server ins Netz);
Verhaftung Assanges führte zu „Datenkrieg“, bei dem z. B. ein 16-jähriges niederländisches „Script-Kid“ wegen Angriffen auf Finanz-Firmen verhaftet wurde; bekanntester Whistleblower: US-Obergefreiter Bradley Manning (2013
verurteilt); durch Datenpannen (Passwort-Preisgabe u. a.) konnten Informanten enttarnt werden.
- 2013 enthüllt Ex-Geheimdienst-Mitarbeiter Edward Snowden das anlasslose Sammeln riesiger Mengen (Yottabyte = Billionen Terabyte) von Internet-Daten in Servern und Leitungen und auch im Dark Net (auch deep / invisible / hidden
Net genannt) auf Basis der Suchmaschine TOR (the onion router, verbirgt den Absender durch Weiterleiten der Anfrage über 3 Zwischenstationen),
in USA (NSA mit Programm PRISM) und England (GCHQ = government communications headquarters: Software
Tempora zapft Glasfaser-Seekabel an); Auswerte-Software Xkeyscore sucht nach Mail-Adressen, Telefonnummern
und Stichworten (auch von deutschen Geheimdiensten benutzt);
auch Handys führende Politiker befreundeter Staaten (z. B. Merkel) werden abgehört, auch UNO, EU und Botschaften (Abhörprogramm „Special Collection Service“).
Auch Daten bei Google und Yahoo werden gesammelt (mit Programm Muscular über Netzpunkt DS-2000B).
Abwehr: Infrastruktur für eigenes deutsches bzw. europäisches Internet aufbauen, sodass die Daten die Region nicht
verlassen müssen:
„Schengen-Routing“; Ansätze im Projekt „E-Mail made in Germany“ (Telekom, Web.de, GMX) bereits vorhanden!
Schlußfolgerungen:
Verdunklung = Sicherheit ? Oder besser Aufklärung, z. B. durch positive Hacker/Whistleblower bzw. Tools?
Schäden auch durch Gesichtsverlust (hohe Dunkelziffer).
© kd rieck
febr. 2015