Virus

All posts tagged Virus

attack_cc-by-nc-sa_from_marsmet_tallahasseeZugegeben die Geschichte kling unglaublich und wie aus einem schlechten Hollywoodfilm, die der Sicherheitsberater Dragos Ruiu bei Arstechnika beschreibt. Rechner ohne Netwerkanschluss, die ganz frisch installiert wurden mit verschiedenen Betriebssystem infizieren sich mit einer mysteriösen Maleware scheinbar über die Luft.

Die Hintergrundgeschichte kurz zusammengefasst:

Dragos Ruiu stellt ungewöhnliches auf den Rechnern in seinem Netzwerk fest. Konfigurationen ändern sich wie von Geisterhand. Er ergreift die üblichen Sicherheitsmaßnahmen und setzt Virenscanner ein. Als das nicht hilft installiert er das Betriebssystem neu und weil die Rechner weiterhin Probleme machen tauscht er auch das Bios aus. Nichts hilft und die Rechner arbeiten alle mit unterschiedlichen Betriebssystemen. Schließlich isoliert er einen der betroffenen Rechner aus dem Netzwerk. Der Rechner wird ganz frisch installiert von einer CD ohne Netzwerkanschluss. Trotzdem wird der Rechner nach kurzer Zeit, scheinbar aus dem Nichts, infiziert und ändert seine Konfiguration.

Die Analyse / die üblichen verdächtigen Infektionsmöglichkeiten:

Spätestens seit Stuxnet wissen wir Alle, dass ein Rechner nicht am Netzwerk hängen muss, um ihn zu infizieren. Rechner die aus Sicherheitsgründen nicht am Netzwerk hängen brauchen Updates. Diese bekommen sie üblicherweise über eine unsichere USB-Schnittstelle, die Stuxnet unter Windows für die Infektion genutzt hat. Stuxnet war sicherlich das genialste, was Cyberkrieger bis jetzt hervorgebracht haben, aber der Angriff funktionierte nur unter Windows aufgrund einer Schwachstelle, die inzwischen behoben ist. Im hier vorliegenden Fall funktionierte die Infektion aber auch unter Linux, OS-X und BSD.

Die abgefahrene Theorie, eine Infektion per Ultraschall über das Mikrofon:

Alle neuwertigen Laptops verfügen inzwischen über eine eingebaute Webcam und ein Mikrofon für Videokonferenzen. Dass die Webcam ein Sicherheitsrisiko sein kann, wenn sie ferngesteuert eingeschaltet wird, sollte inzwischen bekannt sein. Am einfachsten schützt man sich mit einem Klebestreifen über der Webcam. Mit dem eingeschalteten Mikrofon kann man den Laptop natürlich leicht in eine Abhörwanze umfunktionieren. Ob das Mikrofon eingeschaltet ist merkt man als Nutzer nicht, da es im Gegensatz zur Webcam keine optische Anzeige dafür gibt.
Die Theorie ist jetzt aber, dass per Ultraschall Netzwerkpakete von einem Rechner an den anderen übertragen werden. Eine Infektion über das Mikrofon der Sound-Karte also über die Luft. Unmöglich ist dies nicht, zumal früher im Analogen-Zeitalter der Internetverkehr akustisch über Modems funktionierte. Im Grunde genommen verwenden wir immer noch die gleiche Technik mit DSL-Modems, die allerdings eine höhere Bandbreite als früher verwenden und dadurch schneller sind, da sie auch im nicht hörbaren Frequenzbereich Daten übertragen können.
Daten per Ultraschall zu übertragen ist also nichts Außergewöhnliches. Allerdings muss die Gegenseite das Mikrofon eingeschaltet haben und in der Lage sein, die übertragenen Netzwerkpakete zu dekodieren und zu verarbeiten. Dies könnte über ein manipuliertes BIOS passieren, das unabhängig vom jeweiligen Betriebssystem arbeitet.

Zu dem Schluss, dass der beschriebene Vorgang vom technischen Standpunkt aus machbar und glaubwürdig ist, kommt auch Robert Graham in seinem Sicherheitsblog.

Wozu der ganze Aufwand?

Computer kann man viel einfacher infizieren. Es gibt riesige Botnetze, die mit Malware erschaffen werden, die im Gegensatz, zu dem hier beschriebenen komplexen Angriffsszenario, primitiv sind. Einfache Cyberkriminelle würden einen solchen Aufwand niemals betreiben, da sie viel leichter an Geld rankommen können.

Die Einzigen, denen jeder Aufwand recht ist weil sie über eine fast unbegrenztes Budget verfügen sind die Geheimdienste, wie die NSA oder das GCHQ. Bei nähere Betrachtung ist die Idee einer Datenübertragung über die Sound-Karte genial. Das Netzwerk wird üblicherweise überwacht, sodass eine unkontrollierte Datenübertragung auffallen würde. Noch besser wird das WLan überwacht, weil es häufigen Cyberangriffen ausgesetzt ist. Bleibt noch Bluetooth, welches häufig übersehen wird und genauso anfällig wie WLan ist. Allerdings reagieren viele Handys auf Bluetooth-Übertragungen. Wenn also viele unkontrollierte Bluetooth-Übertragungen stattfinden, werden die eher früher als später bemerkt, weil die Handys dauernd melden: „StationXY sendet – verbinden?“

big-office_cc-by-nc-nd_from_redteam

Typisches amerikanisches Großraumbüro.

Eine Übertragung per Ultraschall ist nicht hörbar und läuft nicht über die üblichen Netzwerk-Schnittstellen, die protokolliert werden können. Natürlich geht das Ganze nur über kurze Strecken, aber diese reichen aus, wenn es sich um Großraumbüros handelt, die in Amerika üblich sind. Dort gibt es in einem großen Raum häufig nur dünne Trennwände zwischen den Arbeitsplätzen. Somit können alle Rechner per Ultraschall ihre gesammelten Daten übertragen und nur ein einzelner Rechner muss diese dann geschickt durch das Netzwerk an den Geheimdienst zurücktunneln.
Genauso würde die NSA arbeiten, von der bekannt ist, dass sie Wirtschaftsspionage betreibt und strategische Rechner überall auf der Welt vorsätzlich für ihre Zwecke infiziert.

Fazit:

waorl-war-web_cc-by-nc-sa_from_watchingfrogsboilWenn die geschilderte Überwachung und die Auswertung von Dragos Ruiu zutreffend ist, wovon zum jetzigen Zeitpunkt auszugehen ist, dann halte ich es für das Wahrscheinlichste, dass er zufällig über einen neuartigen Cyberangriff der NSA gestolpert ist. Technisch ist das Beschriebene alles möglich und keine übermäßige Herausforderung. Allerdings ist die ganze Idee recht ungewöhnlich und Standard-IT-Experten würden wahrscheinlich niemals auf die Idee kommen, dass ein solcher Cyberangriff überhaupt machbar ist.

Das Internet kann gefährlich sein ...Ein moderner Laptop bzw. ein Netbook kommt mit eingebauter Webcam und Mikrofon daher. Dies ist praktisch für Videokonferenzschaltungen aber lässt sich auch zur illegalen Überwachung missbrauchen. Ob das Mikrofon gerade mitlauscht kann man gar nicht feststellen; die Aktivität der Webcam wird optisch durch eine Leuchtdiode angezeigt.
Leider beschäftigen sich unerfahrene Anwender kaum mit ihrer Hardware. Junge Menschen finden es anscheinend nicht verdächtig, wenn die Webcam dauernd eingeschaltet ist, wie die folgenden Überwachungsskandale zeigen.
In einem Fall hatte eine us-amerikanische Schule mit den Webcams der Schul-Laptops regelmäßig Screenshots angefertigt, um die Schüler zu überwachen. Bei einem anderen Fall hatte ein Hacker mehrere Schülerinnen über ihre Laptops ausspioniert.

Der folgende Filmausschnitt zeigt (natürlich hollywood-mäßig übertrieben) wie schnell man über die Webcam ausspioniert werden kann.

Webcam-Hack

Im Chat sollte man niemals unbekannten gegenüber persönliche Informationen geben. Inzwischen sollte es sich auch rumgesprochen haben, dass man seine Identität in einem Chat leicht verfälschen kann.

VideoüberwachungÜber die IP kann man den Standort auf die Stadt eingrenzen, wo sich der Surfer gerade aufhält. Dies wird von Google z.B. dafür genutzt, wenn man nach Pizza sucht nur Pizzalieferanten in der Umgebung anzuzeigen. Das ist praktisch. Wenn Kriminelle herausfinden, wo man wohnt nicht. Wie das geht mit der Lokalisierung von Internetnutzern zeigen zahlreiche Dienste im Web [1] [2] [3].
Beim Zugriff auf die Webseite wurden die beiden Teenager im Film wahrscheinlich mit einem Trojaner verseucht. Dieser ermöglicht den Zugriff auf den Rechner und aktiviert die Webcam und das Mikrofon. Ein Handy kann man auch zum Abhören umfunktionieren. Die Daten können dann schnell in Echtzeit rund um den Globus und über mobile Endgeräte überallhin verteilt werden.

Wie schützt man sich?

Webcam zukleben ...In diesem Fall ist der Schutz so einfach wie simpel. Immer wenn die Webcam nicht benutzt wird zukleben mit einem Stück einer Haftnotiz zum Beispiel. Wer gerne Selbstgespräche führt oder wichtige Unterhaltungen an seinem Notebook sollte auch den Mikrofoneingang überkleben.
Ansonsten hilft auch ein gesundes Misstrauen gegen merkwürdige Links, Fragen über die Privatsphäre und alle Dienste, die mehr Daten abfragen, als für ihren Betrieb notwendig sind …

Vorsicht beim Datenaustausch mit sich wechselnden Partnern! - cc-by-nc-nd von Domenico Kiuz

Vorsicht beim Datenaustausch mit sich wechselnden Partnern!

Die USB-Schnittstelle eignet sich hervorragend zur Sabotage und Industriespionage, dies hat Stuxnet eindrucksvoll gezeigt. Das Problem ist nun, dass die USB-Schnittstelle über keinerlei Sicherheitsmechanismen verfügt. Ein unbekannter USB-Stick kann ausreichen, um ein System zu infiltrieren. Über die USB-Schnittstelle kann man die gesamte Hardware ansteuern und auf alle Daten zugreifen, ohne dass es der Anwender bemerkt.
Das tolle an USB ist, dass man auch an besonders gesicherte offline Systeme herankommt, denn auch diese müssen ja irgendwie konfiguriert werden oder Updates erhalten.
Wie Stuxnet nun gezeigt hat, kann man selbst in hochgesicherte Bereiche problemlos per USB eindringen. Ein normaler Anwender kann die daraus resultierenden Gefahren gar nicht mehr überblicken oder auch nur einschätzen.
Virus auf dem PC - cc-by-nc-sa von Mylla

Der Schaden kann schlimm sein, wenn der PC mit Viren verseucht ist.

Ein gefundener USB-Stick reicht aus. Sobald dieser an den PC angeschlossen wird, kann alles vorbei sein. Die Autostartfunktion von Windows ist dafür nicht notwendig, sollte aus Sicherheitsgründen aber dennoch immer deaktiviert sein. Ein manipulierter USB-Stick könnte sich als USB-Tastatur am Rechner anmelden und beliebige Kommandos an ihn senden, ganz wie eine Tastatur. Der Anwender bekommt davon nichts mit, wenn diese Kommandos geschickt ausgeführt werden. Man könnte auch per Werbegeschenk USB-Mäuse an bestimmte Schlüsselpositionen in Firmen versenden. Diese USB-Mäuse installieren dann beim Anschluss an den PC ihre Trojaner und ermöglichen den Zugriff von außen auf das gesicherte Firmennetzwerk.

Aber inzwischen hat ja fast alles eine USB-Schnittstelle. Wer kommt schon auf die Idee, dass der Fernseher verseucht sein könnte. Ein Film den man per USB am Fernseher gesehen hat kann unbemerkt dort Schadsoftware installieren. Diese verbreitet sich dann weiter über jeden weiteren USB-Stick, der am Fernseher angeschlossen wird.
Jedes Handy hat inzwischen eine USB-Schnittstelle. Ein manipuliertes USB-Ladegerät kann problemlos alle Daten vom Handy runterladen und einen Trojaner auf dem Handy installieren. Das Ladegerät kann dann auch gleich unbemerkt über das Stromnetz angesteuert werden und die erbeuteten Daten versenden.
Oder es wird ein teures Handy zum Testen zugesendet. Sobald es am PC angeschlossen wird, um das Adressbuch oder Termine abzugleichen, kann das Handys den PC übernehmen.

hacker inside

Keine Panik, die Hacker sind die Guten!

Die Komplexität eines PC kann schon lange nicht mehr von einem normalen Anwender überblickt werden. Es wäre sehr naiv zu glauben, dass ein normaler Anwender alle sich ständig ändernden Sicherheitslücken kennt und weiß wie er auf sie reagieren muss. Selbst das Betriebssystem auf dem neusten Stand zu halten, kann über die Auto-Update-Funktion zur Gefahr werden, denn wer weiß schon was da alles von wo nachinstalliert wird. Die Banken wissen dies längst. Wer aber beim Homebanking Probleme hat muss der Bank erst einmal nachweisen, dass er alles richtig gemacht hat. Dies ist unmöglich bei heutigen Systemen und die Homebanking-Software müsste ganz anders konstruiert sein, um auf diese Gefahren reagieren zu können. Statt dessen stellen viele Banken ihr Verfahren so um, dass sie die Transaktionscodes über das Mobilfunknetz senden. Wohl wissend, dass diese Übertragung nicht abhörsicher ist und das Handy auch eine sehr unsichere Plattform ist.

Auch der elektronische Personalausweis, kann nur so sicher sein, wie sein Lesegerät, das per USB angeschlossen wird. Von der Regierung ist es mehr als naiv zu erwarten, der Bürger könne ein sicheres System betreiben, auf dem er dann den neuen Personalausweis einsetzt. Identitätsdiebstahl wird, sobald das System verbreiteter und damit lohnender für Kriminelle ist, ein großes Problem werden.

Da Sicherheit auch immer eine Kostenfrage ist und Profit die einzige Antriebskraft im Kapitalismus ist, stehen uns unsichere Zeiten bevor.