Arbeitsspeicher kann Passwörter verraten

Unsere Reihe von Blogbeiträgen durch Studierende der FHPolBB wird heute mit einem Beitrag von Florian Weizenfeld fortgesetzt. Herr Weizenfeld ist PKA und zudem Informatiker. So liegt es nahe, dass er in seinem Beitrag eine Frage der technischen Sicherheit im Internet analysiert. Dass einzelne Arbeitsschritte seines im Folgenden skizzierten Experiments nicht zu detailliert ausgeführt werden, liegt an der Intention dieses Blogs: Wir wollen Internetnutzer schützen und keine Blaupausen für kriminelle Aktivitäten liefern. Reflektieren wir also gemeinsam mit Herrn Weizenfeld riskante Aspekte der Nutzung öffentlicher Rechner:

(Herr Weizenfeld wird unser Bloggerteam in Zukunft mit weiteren Beiträgen unterstützen. Wir freuen uns schon jetzt darauf: Herzlich willkommen!)

Die heutige Zeit ist davon geprägt, immer und überall Online zu sein. E-Mails und Facebook-Benachrichtigungen werden zur jeder Zeit, an jedem Ort auf dem Smartphone empfangen. Falls kein Smartphone zur Hand ist oder ein größerer Bildschirm zum Surfen benötigt wird, geht man in das nächste Internet Cafe, nutzt öffentliche Rechner der Schule, Universitäten oder Bibliotheken oder den Rechner am Arbeitsplatz. Einmal im Internet, werden u.a. E-Mails gecheckt, der Facebook-Status aktualisiert und einige Fotos in die Dropbox gelegt. Wer die Ratschläge der Profis befolgt, der besitzt für alle Zugänge ein gesondertes Passwort, loggt sich nach jeder Internetnutzung aus und sorgt dafür, dass die beim Surfen entstandenen Cookies wieder gelöscht werden.

Selbst auf Fremdrechnern, die nicht mit Schadsoftware verseucht sind und auf denen man diese Sicherheitsmaßnahmen beachtet, können jedoch riskante Spuren hinterlassen werden. Zum Beweis habe ich einen Selbstversuch durchgeführt, um Ihnen zu illustrieren, welche persönlichen Daten man unbeabsichtigt hinterlassen kann. Dazu habe ich mit dem Pseudonym „Christoph Baumann“ einen kostenlosen E-Mail-Account bei einem der großen Anbieter geschaffen, ihn mit dem Passwort „19WaldBaum!84“ gesichert und zusätzlich einen begleitenden Facebook-Account eröffnet (was natürlich auch mit anderen sozialen Netzwerken, wie etwa Google+ möglich gewesen wäre). Mein Ziel war es zu testen, ob das Passwort nach der Internetnutzung und unter Beachtung der genannten Sicherheitsregeln unverschlüsselt auf einem benutzten Rechner wiederzufinden ist.

Dazu begab ich mich an einen öffentlichen Rechner mit Internetzugriff und loggte mich in die neu erschaffenen Accounts ein. Nach ausgiebiger Internetnutzung als Christoph Baumann habe ich meine E-Mails abgerufen, meine Erlebnisse bei Facebook geteilt und in einem Text-Editor eine E-Mail verfasst, die ich anschließend doch verworfen und dazu die ungespeicherte (!) Datei geschlossen habe. Ich loggte mich schließlich überall ordnungsgemäß aus, löschte alle Cookies, schloss den Browser und ging so davon aus, durch Nutzung der Sicherheitsrichtlinien keine nennenswerten Spuren hinterlassen zu haben. Lassen Sie uns nun gemeinsam prüfen, ob das tatsächlich der Fall war:

Weiterlesen

Das Erkennen von Zombies mit Wasserzeichen

Nachdem Stefan Mertinatsch am letzten Freitag unsere Reihe von Blogbeiträgen durch Studierende der FHPolBB mit einem grundlegenden Beitrag über Zombierechner und Botnetze gestartet hat, vertieft PKA Mark Le Corre dieses Thema heute und schreibt auf einer stärker technischen Ebene darüber, wie man Botnetze mit Hilfe von so genannten Wasserzeichen kennzeichnen und in der Folge identifizieren kann.

(Ganz besonders erfreulich ist dabei, dass Mark Le Corre unser Bloggerteam auch fortlaufend verstärken wird. Wir freuen uns schon jetzt auf weitere Beiträge von ihm und heißen ihn herzlich willkommen.)

Amir Houmansadr und Nikita Borisov haben kürzlich an der Universität Illinois eine Möglichkeit entwickelt, Zombies („Bots“) mithilfe von sogenannten Wasserzeichen erkennbar zu machen. Diese Verwendung von derartigen Wasserzeichen ist eine wichtige Entwicklung in der IT-Sicherheit und wird in den nächsten Jahren vielfältige Einsatzmöglichkeiten erfahren – Grund genug, sie in diesem Blogbeitrag genauer zu betrachten.

Um die Relevanz dieser Wasserzeichen angemessen verstehen zu können, sollten wir uns zunächst einige Grundlagen vergegenwärtigen: Ein Zombie ist ein mit Schadsoftware infizierter Rechner, der durch den Angreifer ferngesteuert werden kann. Ein Zusammenschluss von mehreren Bots wird Botnetz und der Betreiber eines Botnetzes wird Botmaster genannt. Botnetze gehören derzeit zu den größten Gefahren im Internet und verursachen jährlich immense Schäden (siehe ausführlich im Beitrag von Stefan Mertinatsch).

Die Kontrolle über solche Botnetze kann in zwei grundlegenden Kommunikationsstrukturen durchgeführt werden. Zum einen über eine zentralisierte zum anderen über eine dezentralisierte Architektur.

Abbildung der Serverstrukturen von Mark Le Corre
Kommunikationsstrukturen von Botnetzen

Bei einer dezentralisierten Architektur sendet der Botmaster seine Anweisung an einen Zombie, der diesen Befehl dann an andere Zombies weiterverbreitet. Der Vorgang wird solange wiederholt bis alle Zombies im Botnetz diese Anweisung erhalten haben. Eine solche Verbreitungsmethode ist vergleichbar mit einem Schneeball-System, in dem jeder Zombie die Anweisung über einen gewissen Zeitraum verteilt erhält.
Weiterlesen

Zombies, Spione und Terroristen: PCs außer Kontrolle

Das Cybercrime_Blog wird nicht nur durch Forscher und Lehrende unserer Hochschule getragen. In den nächsten Wochen werden wir auch eine Reihe von Beiträgen unserer Studenten veröffentlichen. Den Anfang macht heute PKA Stefan Mertinatsch mit seinem Beitrag zu Bot-Netzwerken:

Diesen Blogbeitrag hat ein Mensch geschrieben. Mit den eigenen Händen auf einer Tastatur. So selbstverständlich wie sich das zunächst liest, ist es gar nicht: Haben Sie schon E-Mails erhalten, in denen Sie aufgefordert wurden, eine nicht zuzuordnende Rechnung zu bezahlen oder einen Link anzuklicken, um ein sensationelles Angebot zu erhalten, das ganz speziell für Sie gemacht wird? Glauben Sie nicht, dass Ihnen derlei Aufforderungen immer ein Mensch geschickt hat. Zumindest nicht direkt. Der Absender war zumeist ein Zombie.
Wenn Sie sich jetzt ein hirnlos dahintaumelndes, menschenähnliches Wesen mit entstellten Gesichtszügen und Hunger auf Fleisch vorstellen; sorry, ich muss Sie enttäuschen. Es handelt sich vielmehr um einen ferngesteuerten Computer, den man im Fachjargon auch Bot oder Zombie nennt. Solche unter fremder Kontrolle stehenden Computer können riesige Netzwerke bilden. Man spricht dann von Botnets bzw. Bot-Netzen. Allein in Deutschland waren im Jahr 2010 nach Angaben des Internet Security Threat Report von Symantec bereits ca. 470.000 Rechner Teil eines solchen Bot-Netzwerkes. Botnetze können dabei aus nur wenigen Tausend oder auch aus mehreren Millionen Rechnern bestehen. Die generelle Relevanz von Bots für das Internet kann man anhand des Bot Traffic Reports von Incapsula erahnen. Hieraus geht hervor, dass Bots im Dezember 2013 bereits für ca. 61,5% des Datenaufkommens im Internet verantwortlich waren. Direkt von Menschen gesteuert ist nur ein gutes Drittel des Internetverkehrs. Allerdings zählt Incapsula nicht nur Zombie-Botnetze, sondern auch Suchmaschinen – doch immerhin gut 30% der Bots haben gemäß Incapsula die Absicht, Schaden anzurichten.

Doch wie wird ein Computer zu so einem Zombie? PCs laufen ja in der Regel nicht durch die Gegend und beißen sich gegenseitig in die Netzteile. Ein PC wird durch einen Zombie auf die gleiche Art und Weise infiziert, wie bei herkömmlicher Malware: Die Bot-Software steckt z.B. in infizierten Raubkopien beliebter Programme, wird über Sicherheitslücken im Browser eingeschleust, als vermeintlich nutzbringendes Programm zum Download angeboten oder auch unter einem Vorwand als Mail-Anhang verschickt.

Weiterlesen