USB-Geräte und andere Gefahren
Der Software-Hersteller Adnovum hat an einem Event über aktuelle E-Security-Themen informiert. Während eines praxisnahen Vortrags kamen die Zuschauer in den Genuss eines Live-Hacks.
Adnovum hat am 31. März 2015 zu einer Info-Veranstaltung über aktuelle E-Security Bedrohungen geladen. Dabei lag der Schwerpunkt vor allem auf Gefahren, die im Zusammenhang mit dem Internet of Things (IoT) stehen. Eine dieser Gefahren gehe, laut René Rehmann, Security Officer bei Adnovum, von der Firmware von USB-Geräten aus.
Ausserdem gingen die Referenten auch auf typische Vorgehensweisen von Hackern ein. Grossfirmen wie Banken stünden genau so im Visier, wie Einzelpersonen, sagte Rehmann. Wenn sich auch die Angriffsmethode mit der Grösse des Ziels ändere, bleibe der Schlüssel für einen erfolgreichen Angriff derselbe, nämlich Informationen über das Opfer zu sammeln.
Bei Angriffen auf Einzelpersonen, etwa durch Phishing, sei der Angriff mit dem Diebstahl der Kreditkarteninformationen jedoch schon zu Ende. Angriffe auf grosse Einrichtungen begännen da erst, betonte Rehmann. Anhand aktueller Beispiele, wie dem Bankraub 2.0 lässt sich diese Vorgehensweise gut illustrieren. Der weitaus grösste Teil dieses Angriffs habe in der Vorbereitung bestanden, also darin umfassende und präzise Informationen über firmeninterne Abläufe zu sammeln. Informationen über aktuelle Geschäfte waren dabei genauso wertvoll wie organisatorische Details und Zugangscodes.
Adnovum und Security
Zunächst beantwortete CTO Tom Sprenger zur Einleitung die Frage, was Adnovum zu Aussagen über E-Security qualifiziere. Erstens sei das Unternehmen in seiner Tätigkeit als Software-Hersteller ständig mit Cyber-Risiken konfrontiert und hat dadurch entsprechendes Sicherheits-Know-how erworben.
Zweitens beschäftigt sich Adnovum unter anderem als Hersteller der Nevis Security Suite, auch im operativen Geschäft intensiv mit E-Security-Themen.
Angriff auf Apple Pay
Bevor Senior IT-Consultant Aldo Rodenhäuser die Zuschauer mit einem Live-Hack seines Macs durch einen bearbeiteten USB-Stick vom Gefahrenpotenzial von USB-Geräten überzeugte, führte Marcel Vinzens, Head of Security Engineering anhand zweier typischer Beispiele von Cyberattacken in die Welt der grossen Hacks ein.
Am 9. März 2015 titelte der Tages Anzeiger: "Betrüger knacken das mobile Zahlsystem von Apple". Dieser Vorfall warf weltweit grosse Wellen, zumal die Anwendung zuvor von Apple als absolut sicher verkauft worden war. In gewissem Sinne behielten sie damit auch Recht, denn der wunde Punkt war tatsächlich nicht die App an sich.
Der Angriff setzte an den Verifizierungsmethoden der Banken. Diese waren zum Teil schlicht ungenügend und ermöglichten es Datendieben allein durch die Angabe der Versicherungsnummern eine gestohlene Kreditkarte (oder gestohlene Kreditkarteninformationen) mit der Apple-Pay-App dauerhaft zu koppeln, sagte Vinzens. Da die Versicherungsnummern nicht geheim sind, sei der Aufwand an diese ranzukommen minimal gewesen. Ist eine Kreditkarte schliesslich verifiziert, kann ohne weitere Hürden mit der App bezahlt werden.
Heartbleed
Im nächsten Beispiel das Vinzens anführte konnte das Sicherheitsleck auf der technischen Seite ausgemacht werden. Jedoch waren auch hier im Voraus menschliche Entscheidungen massgebend für den Erfolg der Hacker-Aktion. Die Rede kam dabei auf den sogenannten Heartbleed-Exploit. Dabei konnten über eine Erweiterung des OpenSSL-Protokolls TLS Informationen direkt an der Quelle abgesogen werden. Die Wahl des Namens Heartbleed wird verständlich wenn man den Namen dieser Erweiterung liest: Heartbeat.
Tragweite und Bedeutung dieser Aktion werden ersichtlich, wenn die grosse Zahl der OpenSSL-Nutzer betrachtet wird. Als wäre dieser Angriff somit nicht schon gross genug, blieb er auch noch über zwei Jahre hinweg unbemerkt. Das ganze Ausmass der Verwüstung sei daher nicht mehr rekonstruierbar. Rehmann vermute, dass dieses Leck eine wichtige Informationsquelle für Hacker war, um Angriffe vorzubereiten oder sich direkt Zugang zu privaten Rechnern zu verschaffen.
Der menschliche Fehler hierbei lag darin, die Heartbeat-Erweiterung überhaupt einzubauen. Zumindest wäre es sinnvoll gewesen deren Funktionen auf ein Minimum zu reduzieren. Denn grundsätzlich lasse sich sagen, dass je grösser und komplexer ein Programm ist, desto mehr Angriffsstellen bietet es. Das ärgerliche an dieser Geschichte war, dass der Angriff über eine Funktion möglich wurde, auf die man leicht hätte verzichten könen. Der Grundsatz hier laute also: "Reduce to the max."
Sicherheitslücke Firmware
Der eigentliche Schwerpunkt der Präsentation war das Gefahrenpotential von USB-Geräten und deren Firmware. Auf den ersten Blick mag diese Bedrohung im Vergleich zu den oben genannten Beispielen eher unbedeutend erscheinen. Weiter trägt zu dieser Unterschätzung bei, dass das Problem schon länger existiert und Rezipienten sich bereits an die latente Gefahr gewöhnt haben.
Die Gefahr wird dadurch jedoch nicht weniger brisant, sagte Rodenhäuser. Im Gegenteil tragen verschiedene Entwicklungen momentan zu einer Verschärfung des Problems bei. Einerseits steigt die schiere Zahl der Geräte die per USB an den Rechner angeschlossen werden können. Darunter fallen nicht nur solche Geräte die mit dem PC direkten Kontakt aufnehmen, sondern auch solche die nur zwecks Akkuladung an den Rechner angeschlossen werden. Weiter verfügen alle Geräte die auch nur über eine so unscheinbare Funktion wie ein an- und ausgehendes Lämpchen verfügen, über einen internen Prozessor und eine Firmware. Das bedeutet, dass auch schon ein Ladekabel mit Anzeige zu einem virtuellen Akteur werden könne.
Wie Rodenhäuser veranschaulichte, läuft ein Angriff mittels USB-Gerät über die Firmware. Diese ist die Schnittstelle zwischen dem angeschlossenen Gerät und dem Computer. Die Firmware informiert also den PC über die Art des verbundenen Geräts und darüber, wie der Computer es am besten ansteuern und verwenden sollte.
Die Firmware liesse sich meist beliebig umschreiben und mit Viren und Trojanern versehen. Eine kleine Ausnahme bilden einzig vereinzelte Anbieter welche die Sicherheitslücke bereits erkannt und geschlossen haben. Die Lücke kommt dadurch zustande, dass die Firmwares heute standardmässig nicht mehr im ROM (geschützter Bereich) gespeichert werden. Zudem kommt, dass Virenscanner keinen Zugriff auf die Firmware haben, sagte Rodenhäuser weiter.
Die Möglichkeiten die einem Infizierten USB-Stick offenstehen sind praktisch unbegrenzt. "Einmal eingesteckt, hat der Stick dieselben Möglichkeiten wie der PC", sagt Rodenhäuser während er den infizierten Stick an seinen Mac anschloss. Nur Sekunden später konnten Klicks und Tastatureingaben auf dem Bildschirm beobachtet werden. "Die Firmware gibt sich nun als Tastatur aus" erklärt Rodenhäuser. Genau so gut könnte sie sich als jedes Beliebige andere USB-Gerät ausgeben. In der Regel spielen sich solche Angriffe meist unbemerkt im Hintergrund ab.
Die Methode kommt in den meisten Fälle als Mittel zum Zweck eines grösseren Vorhabens zum Einsatz, also beispielsweise in der vorbereitenden Informationsbeschaffung, betonte Rodenhäuser.
Lösungsansätze
Wie lassen sich nun die genannten Sicherheitslücken schliessen, oder lassen sie sich überhaupt schliessen? Je nach Angriffsart gibt es unterschiedliche Antworten. Einige grundsätzliche Vorgehensweisen, die im grösseren Kontext Sinn machen, lassen sich jedoch allgemein nennen.
Ein wichtiges Schlagwort lautet Adaptive Security, sagt Sprenger. Diese trägt dem Umstand Rechnung, dass ein vollständiger Schutz über reine Technik einer Utopie sei, oder nicht mit sinnvollem Aufwand bewerkstelligt werden könne. Mittels Adaptive Security begegnet mit der Analyse von Nutzerverhalten kann ein Anwenderprofil der Arbeiter erstellt werden. Abweichende Verhaltensweisen, die möglicherweise auf einen externen Angreifer zurückgehen, fallen dann auf und können automatisch blockiert werden.
Da ein vollständiger Schutz kaum möglich ist, gilt es laut Rodenhäuser als CSO auch immer abzuwägen, wie viel Schutz noch rentabel ist und vorauf man vielleicht verzichten muss. Neben vielen Situations- und Angriffsbedingten Lösungsansätzen, sei die Sensibilisierung und Aufklärung der User zentral, sagte Rodenhäuser. Genau dieses Ziel verfolgte Adnovum mit der Veranstaltung.