TED-Talk: “Hack more”

Chris Nickerson ist Digital Intrusion Specialist … ein Hacker. Heutzutage wird dieser Begriff umgangssprachlich unglücklicherweise oft darauf reduziert, (illegal) in Computersysteme einzudringen. Dies führt dazu, dass Menschen wie Nickerson sich zunächst gezwungen sehen, Mythen und Phantasien zu Hackern richtigzustellen: Sein Job ist es, die Datensicherheit und Informationssysteme von Firmen zu testen und zu schützen – denn beim Hacken geht es primär darum, kreativ und enthusiastisch die Grenzen des technisch Machbaren zu erkunden. Und sie in der Folge neu zu definieren.

In seinem TED-Talk erfahren wir daher zunächst einige augenzwinkernde Geschichten, warum reale Hacker im Gegensatz zur Darstellung von Hackern in populären Filmen oder Symbolfotos von Hackern in der Presse weder Skimasken, noch hochgeschlagene Hoodies bevorzugen (zumindest während sie hacken). Dann kommt Nickerson zum Kern seines Vortrags: zur Steigerung von Security Awareness.

Auch wenn die Verbesserung der Sicherheitskultur und mithin der Informationssicherheit längst in unser aller Bewusstsein sein sollte, zeigt die Praxis beständig und übergreifend einen gravierenden Mangel an Sicherheitsbewusstsein – und in der Folge einen gravierenden Mangel an Sicherheit – in Bezug auf die Minimierung von Risiken der Informationstechnologie.
Vielleicht kann Nickersons erfrischender Vortragsstil ein wenig zur dringend notwendigen Sensibilisierung beitragen. Auch für IT-Profis ist sein 18-minütiger Vortrag unterhaltsam.

Das Erkennen von Zombies mit Wasserzeichen

Nachdem Stefan Mertinatsch am letzten Freitag unsere Reihe von Blogbeiträgen durch Studierende der FHPolBB mit einem grundlegenden Beitrag über Zombierechner und Botnetze gestartet hat, vertieft PKA Mark Le Corre dieses Thema heute und schreibt auf einer stärker technischen Ebene darüber, wie man Botnetze mit Hilfe von so genannten Wasserzeichen kennzeichnen und in der Folge identifizieren kann.

(Ganz besonders erfreulich ist dabei, dass Mark Le Corre unser Bloggerteam auch fortlaufend verstärken wird. Wir freuen uns schon jetzt auf weitere Beiträge von ihm und heißen ihn herzlich willkommen.)

Amir Houmansadr und Nikita Borisov haben kürzlich an der Universität Illinois eine Möglichkeit entwickelt, Zombies („Bots“) mithilfe von sogenannten Wasserzeichen erkennbar zu machen. Diese Verwendung von derartigen Wasserzeichen ist eine wichtige Entwicklung in der IT-Sicherheit und wird in den nächsten Jahren vielfältige Einsatzmöglichkeiten erfahren – Grund genug, sie in diesem Blogbeitrag genauer zu betrachten.

Um die Relevanz dieser Wasserzeichen angemessen verstehen zu können, sollten wir uns zunächst einige Grundlagen vergegenwärtigen: Ein Zombie ist ein mit Schadsoftware infizierter Rechner, der durch den Angreifer ferngesteuert werden kann. Ein Zusammenschluss von mehreren Bots wird Botnetz und der Betreiber eines Botnetzes wird Botmaster genannt. Botnetze gehören derzeit zu den größten Gefahren im Internet und verursachen jährlich immense Schäden (siehe ausführlich im Beitrag von Stefan Mertinatsch).

Die Kontrolle über solche Botnetze kann in zwei grundlegenden Kommunikationsstrukturen durchgeführt werden. Zum einen über eine zentralisierte zum anderen über eine dezentralisierte Architektur.

Abbildung der Serverstrukturen von Mark Le Corre
Kommunikationsstrukturen von Botnetzen

Bei einer dezentralisierten Architektur sendet der Botmaster seine Anweisung an einen Zombie, der diesen Befehl dann an andere Zombies weiterverbreitet. Der Vorgang wird solange wiederholt bis alle Zombies im Botnetz diese Anweisung erhalten haben. Eine solche Verbreitungsmethode ist vergleichbar mit einem Schneeball-System, in dem jeder Zombie die Anweisung über einen gewissen Zeitraum verteilt erhält.
Weiterlesen

Zombies, Spione und Terroristen: PCs außer Kontrolle

Das Cybercrime_Blog wird nicht nur durch Forscher und Lehrende unserer Hochschule getragen. In den nächsten Wochen werden wir auch eine Reihe von Beiträgen unserer Studenten veröffentlichen. Den Anfang macht heute PKA Stefan Mertinatsch mit seinem Beitrag zu Bot-Netzwerken:

Diesen Blogbeitrag hat ein Mensch geschrieben. Mit den eigenen Händen auf einer Tastatur. So selbstverständlich wie sich das zunächst liest, ist es gar nicht: Haben Sie schon E-Mails erhalten, in denen Sie aufgefordert wurden, eine nicht zuzuordnende Rechnung zu bezahlen oder einen Link anzuklicken, um ein sensationelles Angebot zu erhalten, das ganz speziell für Sie gemacht wird? Glauben Sie nicht, dass Ihnen derlei Aufforderungen immer ein Mensch geschickt hat. Zumindest nicht direkt. Der Absender war zumeist ein Zombie.
Wenn Sie sich jetzt ein hirnlos dahintaumelndes, menschenähnliches Wesen mit entstellten Gesichtszügen und Hunger auf Fleisch vorstellen; sorry, ich muss Sie enttäuschen. Es handelt sich vielmehr um einen ferngesteuerten Computer, den man im Fachjargon auch Bot oder Zombie nennt. Solche unter fremder Kontrolle stehenden Computer können riesige Netzwerke bilden. Man spricht dann von Botnets bzw. Bot-Netzen. Allein in Deutschland waren im Jahr 2010 nach Angaben des Internet Security Threat Report von Symantec bereits ca. 470.000 Rechner Teil eines solchen Bot-Netzwerkes. Botnetze können dabei aus nur wenigen Tausend oder auch aus mehreren Millionen Rechnern bestehen. Die generelle Relevanz von Bots für das Internet kann man anhand des Bot Traffic Reports von Incapsula erahnen. Hieraus geht hervor, dass Bots im Dezember 2013 bereits für ca. 61,5% des Datenaufkommens im Internet verantwortlich waren. Direkt von Menschen gesteuert ist nur ein gutes Drittel des Internetverkehrs. Allerdings zählt Incapsula nicht nur Zombie-Botnetze, sondern auch Suchmaschinen – doch immerhin gut 30% der Bots haben gemäß Incapsula die Absicht, Schaden anzurichten.

Doch wie wird ein Computer zu so einem Zombie? PCs laufen ja in der Regel nicht durch die Gegend und beißen sich gegenseitig in die Netzteile. Ein PC wird durch einen Zombie auf die gleiche Art und Weise infiziert, wie bei herkömmlicher Malware: Die Bot-Software steckt z.B. in infizierten Raubkopien beliebter Programme, wird über Sicherheitslücken im Browser eingeschleust, als vermeintlich nutzbringendes Programm zum Download angeboten oder auch unter einem Vorwand als Mail-Anhang verschickt.

Weiterlesen

„Lost in Translation“? Internationale Phishing-Versuche

Konrad Keck ging gestern in einem Beitrag für den Blog Criminologia der Frage nach, inwieweit kulturelle Faktoren Einfluss auf die Wahrscheinlichkeit haben, Opfer von Cybercrime-Delikten zu werden. Er fand in seinen Studien heraus, dass es „bei Populationen mit erhöhten Englisch, Deutsch oder Französisch sprechenden Bevölkerungsanteilen“ vermehrt zu Phishing-Attacken kommt. Keck kann damit empirisch belegen, dass Sprachen „als Grenzregime kultureller Räume auch das Internet aufteilen.

Mit anderen Worten: Besonders weit verbreitete Sprachen zu sprechen, steigert das Risiko, Ziel eines Phishing-Angriffs zu werden. Das ist vom Standpunkt der Kosten-Nutzen-Überlegung sinnvoll, denn es erscheint unlogisch, Phishing Attacken auf eine Zielgruppe zuzuschneiden, die seltene Sprachen spricht. Wollte man etwa die schottisch-gälisch sprechenden Menschen anvisieren, so wäre diese Zielgruppe nur knapp 60.000 Personen groß – und noch dazu vermutlich nicht komplett im Internet vertreten. Im Gegensatz dazu beherrschen aber geschätzte 1.5 Milliarden Menschen die englische Sprache. Für eine Straftat wie Phishing (die nicht auf gezielte Einzelpersonen abzielt, sondern mit massenhaft versandten Betrugsversuchen arbeitet) erhöht sich daher die Erfolgswahrscheinlichkeit der kriminellen Absicht bei Nutzung einer weit verbreiteten Sprache erheblich.

Die schnelle Veränderung von Tatvorgehensweisen im Internet lässt jedoch zweifeln, ob diese Erkenntnis lange Bestand haben wird. So äußerte sich gestern noch ein weiterer Cybercrime-Spezialist zu diesem Thema: Auf einer Sicherheitskonferenz in Amsterdam wies Raj Samani (Chief Technology Officer bei McAfee) darauf hin, dass sich Straftäter zur „Maximierung ihrer Erfolgschancen“ seit neuestem auch professioneller Hilfe bedienen und ihre Betrugsversuche übersetzen lassen. Dieser neue Modus ist bereits so weit fortgeschritten, dass gemäß Samani auf einschlägigen Online-Marktplätzen gezielt Übersetzungshilfen für Cybercrime-Straftaten angeboten werden, bei denen die entsprechend beherrschten Zielsprachen aufgelistet sind und ein „Kunden“-Bewertungssystem für den jeweiligen Übersetzer integriert ist.

Es dürfte wohl weiterhin recht sicher sein, sich online der schottisch-gälischen Sprache zu bedienen – insofern man noch jemanden findet, der dies ebenfalls tun kann. Nutzer von gängigeren Sprachen werden sich jedoch in Zukunft stärker als bislang vor international vorgehenden Phishing-Versuchen in ihrer eigenen Sprache in Acht nehmen müssen.