|
|
25.02.2012
  Unlängst
ist von McAfee der beachtliche Bericht über die Bedrohungen 2012
erschienen
 (1),
den ich erst im zweiten Anlauf angemessen würdigen konnte
(2).
Jetzt habe ich einige weitere
Berichte und Studien aus jüngerer Zeit entdeckt, die das Interesse
verdienen. Sie behandeln einzelne Aspekte der IT-Sicherheit und sind
deshalb wichtig, weil sie auf die konkreten Erscheinungsformen der
Bedrohungen für dem IT-Betrieb eingehen.
|
|
Auch der Bedrohungsbericht für das vierte Quartal 2011 ist inzwischen
erschienen
(2a).
Zuletzt habe ich über den Bericht zum dritten Quartal 2011 berichtet
(3).
Dort wird auch auf den Schutz mobiler Geräte
(4)
und die
 Tarnung der modernen Crimeware eingegangen
(5).
Diese beiden Berichte aus 2011 läuten sozusagen die Serie ein, die jetzt
mit einer einzigen Ausnahme in deutscher Sprache erschienen ist.
McAfee hat eine mir unverständliche Veröffentlichungspolitik. Für die
von mir behandelten Berichte und Studien wird keine Werbung betrieben
und deshalb finden sie in den Meldungsdiensten auch keine Resonanz. Das
ist unverdient. Sie sind auch Werbung und ohne sie ließe sich ihre
Herstellung steuerlich nicht rechtfertigen. Im Vordergrund stehen aber
immer tiefe fachliche Auseinandersetzungen mit der IT-Sicherheit und
ihren einzelnen Aspekten.
Auch unter einem anderen Gesichtspunkt behandelt McAfee seine Studien
stiefmütterlich. Ganz wichtige ältere Werke wie die Länderstudien
(6)
und jene über die Internetkriminalität
(7)
sind nicht mehr verfügbar. Das ist schade.
zum nächsten Kapitel
 (1)
 ,
Bedrohungsprognosen für 2012, McAfee 20.12.2011
(2)
: Bedrohungen
2012, 15.01.2012;
Bedrohungen 2012, 28.01.2012.
(2a)
Bedrohungen im 4. Quartal 2011, 03.03.2012;
Threat-Report: Viertes Quartal 2011, McAfee 09.02.2012.
(3)
: Bedrohungen
im dritten Quartal, 18.12.2011;
Threat-Report: Drittes Quartal 2011, McAfee 18.11.2011
Threat-Report: Zweites Quartal 2011, McAfee 16.08.2011
Threat-Report: Erstes Quartal 2011, McAfee 19.05.2011
(4)
Igor Muttik, Schutz mobiler Geräte: Gegenwart und
Zukunft, McAfee 18.11.2011
(5)
Dave Marcus, Thom Sawicki, Die neue
Stealth-Crimeware, Mc Afee 20.09.2011
(6)
globale Sicherheitsbedrohungen, 27.07.2008
(7)
Zweite große europäische Studie über das Organisierte Verbrechen und das
Internet, 27.07.2008
|
 |
Datenbanken |
|
|
25.02.2012
Wegen
des Schutzes von Datenbanken
(8)
stellt das Unternehmen vor allem seine Produkte vor. Dieser "Technology
Blueprint" fußt auf einem Vorläufer aus 2011
(9).
Datenbanken
sind nicht einfach nur Datensammlungen, sondern strukturierte Umgebungen
zur Verwaltung von streng definierten Daten und freien Formaten. Eine
Datenbank nach klassischer Vorstellung besteht aus Datensätzen, Tabellen
und Verarbeitungsinstrumenten. Ein Datensatz besteht aus Feldern, denen
genau bestimmte Dateninhalte zugewiesen sind: <Name>, <Vorname>, <Straße>,
<Hausnummer>, <Postleitzahl>, <Ort> ... Den Feldern können Formate wie
"Text", "Zahl" und andere, Größen, Werte ("Null") und Variablen
zugewiesen werden.
Die Tabellen fassen die Datensätze zusammen und
sind in aller Regel einzelne Dateien, die nach Maßgabe des
Datenbankprogramms formatiert sind. Es stellt Masken und Schnittstellen
zur Dateneingabe zur Verfügung und Instrumente, um einzelne Datensätze
zu selektieren oder verschiedene Datensätze zu gruppieren (sortierte
Listen, Verknüpfungen zwischen Tabellen, Berechnungen und andere
logische Funktionen). Die führende Datenbanksprache ist SQL
(10)
und in der Praxis ist sie verbunden mit zwei Namen: Oracle und MySQL.
SQL-basierte
Datenbanken sind aus der Wirtschaft und der Verwaltung nicht mehr
wegzudenken. Mit ihnen werden Bankkonten und Strafregister verwaltet,
Redaktionssysteme, Webshops und sogar kleinere Webauftritte und CMS
(11)
mit PHP betrieben
(12).
Wenn
es um die Sicherheit von Datenbanken geht, dann kommen mehrere Aspekte
zum Tragen: Die Datenverwaltung als solche muss funktionieren, Abfragen
und schreibende Zugriffe müssen zumindest überwacht werden (Revisionssicherheit),
die Dateneingaben müssen womöglich auf ihre Plausibilität überprüft
werden, und die Daten müssen verfügbar sein, auch wenn gleichzeitig
Monatsauswertungen, andere leistungsschluckende Prozesse,
Datensicherungen (Backup) oder Updates laufen. Das sind erst noch die
Anforderungen, die der übliche Betrieb erfordert.
Viele Datenbanken werden in gekapselten
Umgebungen betrieben, noch mehr aber mit Schnittstellen, die sie mit dem
Internet oder anderen Netzen verbinden. Das gilt für Webshops, das
Homebanking und andere gewerbliche Dienste, die per Internet verfügbar
sind. Sie müssen zudem gegen Hacker, leichtfertige Schutzlücken und
automatische Angriffe (DDoS, SQL-Injection, Buffer Overflow) geschützt
werden.
Ungeachtet
des Werbewirbels, den McAfee beim Schutz von Datenbanken veranstaltet,
sind es diese vielgestaltigen Anforderungen, die der "Blueprint"
anspricht und damit ihre zusammenhängende Bedeutung hervorhebt. Dagegen
ist nichts zu sagen.
zum nächsten Kapitel
(8)
, Schutz von
Datenbanken, McAfee 06.02.2012
(9)
, Absicherung
von Datenbanken, McAfee 18.07.2011
(10)
SQL (Structured Query Language)
(11)
Content-Management-System - CMS
(12)
PHP: Hypertext Preprocessor
|
|
|
Netzwerkperipherie |
 |
25.02.2012
Die Außengrenze des Netzwerks stellt das Gesicht Ihres Unternehmens dar.
Der Datenverkehr, den Sie durch
Ihre Grenze passieren lassen, kann nützlich oder böswillig sein und hat
direkte Auswirkungen auf den Erfolg
oder mögliche Schäden für Ihr Unternehmen. Die Schwierigkeit besteht
darin, die Effektivität des Netzwerks
sowie die Kontrolle zu verbessern und parallel dazu die Schwachstellen
zu schließen.
Im
zentralen Blickpunkt des Schutzes der Netzwerkperipherie
(13)
stehen die Firewalls, die am Knotenpunkt zu einem anderen Netz
installiert sind, und die entmilitarisierten Zonen
(14),
die dem lokalen Netz
(15)
vorgeschaltet sind.
Das lokale
Netz kann aus einem einzelnen PC bestehen, der - mit welcher
Zugangstechnik auch immer - an ein
Verbindungsnetz angeschlossen ist, einem kleinen Hausnetz, bei dem
an einen Router mehrere Endgeräte angeschlossen sind, einem Funknetz
(16),
einem Netz mit allen Rechnern in einem Firmengebäude oder sogar eines
räumlich ausgedehnten Konzerns. Es steht unter der Hoheit eines
verantwortlichen Betreibers, der die Rechte aller Beteiligten und der
Außenkontakte steuert. Es ist ein Endnutzer im Sinne von
§ 3
Nr. 8 TKG, der in aller Regel keine
öffentlichen Netze oder Dienste betreibt.
Die Schnittstelle zu einem anderen Netz ist der Gateway und damit
erstmal nichts anderes als ein Übergangspunkt, an dem Daten aufgenommen
und verteilt werden (Routing). Der Gateway zu einem LAN führt in aller
Regel bestimmte Sicherheitsprüfungen durch, indem er kritische
Datenzugriffe unterbindet
(17).
Eine Firewall leistet mehr. Sie durchleuchtet die Datenpakete im
einzelnen und prüft ihre Gefährlichkeit.
So sinnvoll das sein mag: Wie tief geht die Überwachung? Das Stichwort
lautet "Deep Data Protection". Der Iran ist jüngst damit bekannt
geworden, dass er an seinen (nationalen) Netzgrenzen den Datenverkehr
überwacht und blockt
(18).
Prinzipiell kann die Datenstromüberwachung auch die Inhalte umfassen
(19).
Unter dem Blickwinkel der Netzwerksicherheit ist eine Ende-zu-Ende- oder
jede Verschlüsselung, die durch das Gateway durchgelassen wird, ein
Graus. Vor Allem Virenscanner bleiben wirkungslos, weil sie die
Heuristik der durchgehenden, besonders der von außen kommenden Dateien
nicht überprüfen und notfalls blocken können. Deshalb setzt auch McAfee
auf eine Entschlüsselung am Gateway, die Durchleuchtung der Datenpakete
und ihre Weiterleitung mit neuer Verschlüsselung.
Mit anderen Worten: Das ist ein Man-in-the-Middle, der natürlich auch
allen anderen Unfug mit den durchgehenden Daten machen kann. Er kann sie
nicht nur auf Schadfunktionen untersuchen, sondern auch auf Inhalte und
schließlich auch manipulieren.
Waren es
früher ungenehmigte Modems, die unbedacht betrieben wurden, oder
Fernwartungs-Accounts, die von Hackern als Nebeneingang zum fremden LAN
genutzt wurden
(20),
sind das jetzt auch Telefonanlagen, Funknetze und schließlich auch der
Nahfunk per Bluetooth, RFID und andere kabellose Techniken, die
als Schnittstellen zur Peripherie des schutzwürdigen Netzes dienen.
WLAN und Bluetooth können auch die modernen Mobiltelefone. Die Klassiker
der Schnittstellenzugänge sind CDs, DVDs und USB-Sticks (und andere
Speicherkarten). Sie alle sind Peripherie und Gateways ins lokale Netz,
was die Sicherheitsmaßnahmen nicht einfacher macht.
Die von
McAfee beschriebene und beworbene Technik beschränkt sich auf den
Datenverkehr am Gateway und zeigt auch die Grenzen auf, die die
gesetzlichen Vorgaben zum Datenschutz setzen. Die Broschüre beschränkt
sich auf einen (definierten) Teil der Bedrohungen und setzt sich mit ihm
recht tief auseinander. Das ist vernünftig.
zum nächsten Kapitel
(13)
, Schutz der
Netzwerkperipherie, McAfee 03.02.2012
(14)
Demilitarisierte Zone - DMZ, 2007
(15)
Local Area Network - LAN
(16)
Wireless Local Area Network - WLAN
(17)
Das sind vor allem die
Ports. Sie bestimmen im Rahmen des Internet-Protokolls (
TCP-IP) die zugelassenen Protokolle für die wechselseitige
Netzkommunikation. Dadurch, dass der Gateway nur ausgewählte Protokolle
für die Kommunikation zulässt, werden kritische (Fernwartung) oder frei
definierte unterdrückt. Das schafft aber nur eine bedingte Sicherheit,
weil zum Beispiel alle üblichen Internetverbindungen das HTTP (
Hypertext Transfer Protocol) verwenden und damit alle üblichen
Schadprogramme untergeschoben werden können.
(18)
Berichte: Iran kappt sichere Internet-Verbindungen, Heise online
18.02.2012
(19)
Wolfgang Stieler, Mein Job beim Big Brother,
Technology Review 29.03.2010
(20)
Einen interessanten Anwendungsfall für das Phishing habe ich vor einem
halben Jahr erfahren: Es geht um Abrechnungssysteme in Hotel-Konzernen
und -Verbünden, bei denen die Netzkommunikation untereinander
unüberwacht und ungehindert abgewickelt wird. Man gehört ja demselben
Verbund an und vertraut einander. Hacker oder ungetreue Mitarbeiter am
Standort A müssen gar nicht hier auf Datensuche gehen, sondern tunneln
sich zum Standort B und saugen dort zum Beispiel die Kartendaten der
Kunden aus der Abrechnungsdatenbank ab. Und wenn die PINs eigentlich gar
nicht gespeichert werden, so kann man doch - man gehört ja zum
vertrauenswürdigen Verbund - einfach einen Keylogger installieren.
|
|
|
Bewertung von Schwachstellen |
 |
05.03.2012
McAfee's
Betrachtung von Schwachstellen enttäuscht etwas
(21).
Im Vordergrund stehen hier die Schwachstellen in den Softwareprodukten
selber, wie sie unlängst vom BSI bewertet wurden
(22),
ihr Zusammenspiel - immerhin - und das Ressourcenmanagement. Das
vorgestellte Konzept geht über die klassische Server- und
Netzwerküberwachung hinaus, überwacht auch die technischen Ressourcen
und warnt vor Engpässen. Die Leistung darin besteht in der Kombination
der gleichzeitigen Überwachung verschiedener Plattformen, Programme und
Prozesse. Die Datensicherheit obliegt dem konzeptionellem Einsatz von
Datenbanken und dem
Schutz der Netzwerkperipherie und das hatten wir schon.
Die
Bewertung von Schwachstellen geht nach meinem Verständnis noch weiter.
Dazu gehört zunächst auch eine strukturelle Analyse der
Unternehmensorganisation, die Bewertung kritischer und weniger
kritischer Produktions- und Entscheidungsprozesse sowie die Bewertung
von Informationen (Geschäfts- und Betriebsgeheimnisse, Schutzrechte,
Interna). Darauf baut ein organisatorisches und technisches Konzept über
den Schutz des Unternehmens als Ganzes auf, wozu auch die Fragen nach
der technischen und der Netz-Infrastruktur gehören, aber auch ein
Risikomangement in Bezug auf das Auskunftsverhalten am Telefon, beim
Kundenkontakt per E-Mail und schlichten Zugangsrechten (verschlossene
Türen, Zugangskontrollen, Passwörter, Grenzen der Öffentlichkeitsarbeit).
Ich vermute, dass sich die Aspekte des Katastrophen- und Brandschutzes,
der allgemeine Betriebsschutz, der vor Korruption und schließlich die
IT-Sicherheit auf wenige Aspekte zusammenführen lassen: Sei wachsam und
melde Ungewöhnliches!
Diese Vereinfachung funktioniert aber nur, wenn die Meldestelle
funktioniert und positive Signale zurück meldet: Danke, dass sie uns
informiert haben! Wir kümmern uns!
Ich bin mir
sicher, dass McAfee das sehr ähnlich sehen wird. Hier haben wir es aber
mit einem werbenden "Blueprint" zu tun und der muss Lösungen anbieten,
die man kaufen kann. Für das Ummodeln der unternehmerischen Struktur
sind dann die Consultants zuständig, die Wolken auf Flip-Charts malen,
Kärtchen auf Tafeln pinnen und die Unternehmensleitung auf den
Hubschrauberblick von oben aufs Ganze trimmen.
Das ist
gehässig und ich weiß das. Die umfassende Bewertung und Überwachung von
Schwachstellen halte ich für besonders wichtig, weil sie auch vor der
Scheinsicherheit rein technischer Lösungen warnen muss, so intelligent
sie Inseln isolierter Überwachungen auch zusammen führen mag. Von einem
sowjetischen (meine ich) Kernkraftwerk ist überliefert, dass die
Kontrollleuchte neben einem Schalter einfach nur anzeigte, dass der
Schalter umgelegt wurde, und nicht auch, dass die Pumpe, die damit in
Betrieb gesetzt werden sollte, tatsächlich in Betrieb ging. Das ist
die Scheinsicherheit, die ich meine: Das blinde Vertrauen auf leuchtende
Lämpchen ohne Verständnis dafür, was sie tatsächlich bedeuten. Im
Zusammenhang mit den Fragen nach der Sicherheit von Organisationen und
Prozessen wird es vorerst noch immer auf das intelektuelle Begreifen und
Steuern der Prozesse ankommen. Gute Software kann das unterstützen, aber
nicht ersetzen.
(21)
, Bewertung
von Schwachstellen, McAfee 18.01.2012
(22)
Schwachstellenampel vom BSI, 03.03.2012
|
|
|
Abwehr von Denial-of-Service-Angriffen |
 |
05.03.2012
Ein Unternehmen wird zum Ziel eines Denial-of-Service-Angriffs. Hunderte
oder
sogar Tausende Hosts werden von böswilligen Programmierern dazu
missbraucht,
gegen ein einzelnes Ziel loszuschlagen. Der Dienst des Unternehmens ist
für seine
Kunden nicht erreichbar.
(23)
Beim
Abschalten der Verfügbarkeit geht es eigentlich zu wie im
Schulkindergarten und betrifft die Macht des Wortes. Das renitente Kind
fragt immer nur "Warum?" und der beflissene Pädagoge kommt gar nicht
mehr hinterher, in seiner Reihung von Argumenten die immer feineren
Aspekte herauszuarbeiten und zu erläutern. Darauf kommt es dem Kind aber
nicht an. Beim DoS ruft der Angreifer einfach nur immer wieder "Hallo!"
und erwartet keine ernsthafte Antwort. Der angerufene Webserver ist aber
dienstbeflissen und will ein ernsthaftes Gespräch eröffnen: "Ich freue
mich, dass du mich anrufst! Lass uns die Hände schütteln und darüber
sprechen, wie wir uns am besten verständigen können! - <Pause für die
Antwort>" Ihm geht es um den Handshake, die Vereinbarung eines
gemeinsamen Protokolls und um die vernünftige Verständigung. Als Antwort
bekommt er aber nur ein tumbes "Hallo!". Genervte Lehrer würden
irgendwann einfach nur abschalten, auflegen und Unflat äußern. Das
können Webserver aber nicht. Sie bleiben immer dienstbeflissen: "Ich
freue mich, dass du mich anrufst! Lass uns die Hände schütteln und
darüber sprechen, wie wir uns am besten verständigen können! - <Pause
für die Antwort>"
Beim
verteilten DoS ruft nicht nur ein renitentes Gör "Hallo!", sondern
Hunderte, Tausende oder mehr und der dienstbeflissene Webserver kann die
vielen Stimmen und Fragen nicht mehr verarbeiten. Er ist überlastet und
schaltet ab.
Am häufigsten sind heutzutage Angriffe von Botnets, die aus
Tausenden – oder in einigen Fällen Millionen – Hosts bestehen. Diese
Botnets können gemietet werden und stehen Einzelpersonen oder Gruppen
zur Verfügung, die die Dienste Ihres Unternehmens unterbrechen wollen.
Beim
einfachen DoS kann man die Ausgangsadresse der Anfragen sperren, so dass
der Webserver nur noch die ernsthaften Kontakte wahrnimmt und bearbeiten
muss. Gegen verteilte Angriffe aus Botnetzen hilft das nichts. Die
Ausgangsadressen sind vielzahlig und könnten auch ernsthafte
Interessenten betreffen. Hier hilft nur eine andere Strategie: Auf das
"Hallo!" müssen andere Webserver reagieren und nur die Anfragen
durchlassen, die ein ernsthaftes Händeschütteln wollen.
McAfee schlägt genau eine solche Zwischenschicht
mit Wächter-Servern vor. Sie überprüfen die eingehenden Anfragen,
sperren tumbe Anfragen und lassen nur die durch, die ernst gemeint
scheinen. Auch dabei können noch tumbe sein, aber eben nur wenige, die
das produktive System verkraften kann. Außerdem meldet es die tumben
Anfragen an seine Türsteher, die deshalb immer effizienter rufen können:
"Du kummst hier net nei!"
Dagegen wehren sich gerissene Angreifer mit
Anfragen, die tatsächlich zunächst ernsthaft auf den Handshake eingehen
und erst im automatisierten Kommunikationsprozess mit Unsinn agieren.
Das macht eine tiefere Prüfung durch die Türsteher nötig, die dann den
Handshake selber abwickeln und erst die ernsthafte Anfrage zu dem
produktiven Web- oder Datenbankserver durchlassen. Mit dieser Strategie
schützen Botnetze schon seit Jahren ihre zentralen Command &
Control-Server - C & C - und die Türsteher heißen dort Flux-Server.
Man mag mir
die Beschreibung nach Art der "Sendung mit der Maus" nachsehen. Deren
Macher können komplexe Probleme sehr gut beschreiben und ihre Methode
ist auch diesem Thema angemessen.
(23)
, Abwehr von
Denial-of-Service-Angriffen, McAfee 18.01.2012
|
|
|
mobile Geräte |
 |
10.03.2012
Über
die Sicherheit und Schwachstellen mobiler Geräte hat Muttik bereits 2011
ausführlich berichtet
(24).
Diebstahl und Verlust sind nur ein Aspekt, der betrachtet werden muss.
Sie verlangen zur Schadenbegrenzung nach durchdachten Zugangsregeln und
Datensicherung. Mobile Geräte sind aber immer häufiger auch
Schnittstellen zur IT im Unternehmen und können von Angreifern als
Einstieg in das Firmennetz missbraucht werden. Die steigende Zahl der
Malware für mobile Geräte, von Phishing-Attacken und Missbräuchen (selbsttätige
Anwahl teurer Nummern, Ausspähen von Geodaten und Inhalten) sprechen ein
beredtes Bild.
Der Angriff
gegen mobile Geräte muss nicht zwingend über das mobile Funknetz oder
eine Nahfunk-Schnittstelle erfolgen. Bei dem groß angelegte Angriff von 2009
- Night Dragon
(25)
- drangen die wahrscheinlich aus China stammenden Hacker zunächst über
die
Netzwerkperipherie
in die Firmennetze von Öl-, Energie- und petrochemische
Unternehmen ein. Dort verschafften sie sich Zugang zur Verwaltung der
Zugriffsrechte (wahrscheinlich zum Active Directory), konnten dann von
innen heraus durch die nach außen abgesicherten Verbindungen
(VPN-Tunnel) auf die Laptops leitender Mitarbeiter gelangen und dort
unternehmenswichtige Daten stehlen.
Mobile
Geräte wie Smartphones und Tablets sind inzwischen vollwertige Computer
mit hoher Leistungsfähigkeit. Wenn mit ihnen auf interne Daten,
Terminkalender, Adressen und andere zugegriffen werden darf, dann müssen
sie auch in das Sicherheitskonzept des Unternehmens eingebunden werden
(26).
McAfee behandelt deshalb die mobilen Geräte wie die andere
Netzwerkperipherie auch
(27).
Man lässt sie nicht unmittelbar mit den Mail-Servern, Datenbanken und
anderen Komponenten im Unternehmen kommunizieren, sondern gewährt ihnen
zunächst nur den Zugang zu einer demilitarisierten Zone - DMZ. Hier
werden die eingehenden Daten auf Malware und andere Auffälligkeiten
untersucht und nur kontrolliert an das innere Netzwerk weiter gegeben.
Umgekehrt werden auch die ausgehenden Daten überwacht und besonders
darauf geachtet, ob die vorgegebenen Zugriffsrecht bewahrt werden. Das
Untermehmen fasst zusammen <S. 6>:
• Absicherung privat genutzter Geräte im Unternehmensnetzwerk
• Schutz vor Datenverlust und Malware-Infektion
• Automatische Durchsetzung von Richtlinien-Compliance unabhängig vom
Besitzer des Geräts
• Sperrung und -löschung abhanden gekommener Geräte aus der Ferne,
wodurch sich das Risiko von Datenverlust verringert
• Gewährleistung, dass alle zwischen Mobilgeräten und Servern
übertragenen Daten verschlüsselt sind
(24)
Igor Muttik, Schutz mobiler Geräte: Gegenwart und
Zukunft, McAfee 18.11.2011.
 Siehe
auch:
Gabriel Acevedo, Michael Price, Die
Hintergründe des Apple iPad-Hacks auf der FOCUS 11,
02.03.2012
(25)
Night Dragon, 13.02.2011
(26)
Siehe jetzt auch:
Gabriel Acevedo, Michael Price, Die
Hintergründe des Apple iPad-Hacks auf der FOCUS 11,
02.03.2012
(27)
, Umsetzung
des Schutzes für Smartphones und Tablets. Schutz des Unternehmens beim
Zugriff privater Geräte auf das Netzwerk, McAfee 16.01.2012
|
|
|
Sicherheit von Captchas |
 |
10.03.2012
 Außerhalb
der Reihe und nur in englischer Sprache verfügbar ist die Studie von
Gursev Singh Kalra über die Angriffe gegen Captchas erschienen
(28).
Dabei handelt es sich um Grafiken, die Ziffern und andere Zeichen in
gebrochener und gewandelter Form zeigen. Sie sind für das menschliche
Auge erkennbar, nicht aber maschinenlesbar, glaubte man bislang.
Kalra untersuchte mit einer
selbst gebauten OCR-Engine (Schrifterkennung) rund 200
frequentierte Webseiten, die ihre Zugänge mit Captchas sichern
(29).
Die Software hat er darauf optimiert, das Hintergrundrauschen
der Bilder zu entfernen. Diese automatische Erkennung
funktionierte bei der Wikipedia in 20 bis 30 % der Fälle und bei
mehreren anderen Webseiten fast immer.
Captchas sollen vor allem gegen automatische Scans schützen, mit denen
Angreifer Webanwendungen auf Schwachstellen untersuchen. |
|
Webseite |
Genauigkeit |
Anzahl |
|
wikipedia |
20-30% |
7 |
|
ebay |
20-30% |
11 |
|
reddit.com |
20-30% |
68 |
|
CNBC |
50 +% |
121 |
|
foodnetwork.com |
80-90% |
160 |
|
dailymail.co.uk |
30 +% |
245 |
|
megaupload.com |
80 +% |
1.000 |
|
pastebin.com |
70-80% |
32.534 |
|
cavenue.com |
80 +% |
149.645 |
|
Der Gedanke
dabei ist, dass tatsächlich nur ein Mensch die Zeichnenfolge entziffern und
korrekt eingeben kann.
|
 |
Zu unterscheiden ist zunächst zwischen
statischen und dynamischen Captchas. Statische Captchas werden aus einem
überschaubaren Bestand von Prüfziffern gewonnen und in wechselnder
Reihenfolge verwendet. Singh Kalra berichtet davon, dass es bei vielen
Webseiten gelungen sei, Captchas in großer Anzahl herunterzuladen und
mit der optischen Zeichererkennung (OCR) zu entziffern. Diese
Erkenntnisse wurden in eine Rainbow-Tabelle eingegeben, mit deren
Einträgen jedenfalls in Webseiten mit statischen Captchas schnell und
automatisch eingedrungen werden konnte, weil von der angreifenden
Automatik nur die Prüfziffern (Hashwerte) der Grafiken geprüft werden
musste <S. 7>.
Schwieriger ist das bei dynamischen Captchas. Hierbei wird von der
Webanwendung immer eine eindeutige Session-ID erstellt, sozusagen eine
eindeutige Vorgangsnummer für den einzelnen Zugang, die die Grundlage
für die angezeigten Captchas bilden. Auch sie lassen sich unter dem
Einsatz verschiedener OCR-Verfahren automatisch erkennen, wie das
Schaubild links verdeutlicht.
(28)
Gursev
Singh Kalra, Attacking CAPTCHAs for Fun and Profit,
24.01.2012
(29)
Gursev Kalra, Open Security Research: CAPTCHA Hax with
TesserCap, blog.opensecurityresearch.com 15.11.2011
|
|
Fazit |
|
|
10.03.2012
Die
meisten der hier vorgestellten Berichte und Studien sind "Blueprints",
also Werbeschriften nach dem Schema: Das und das ist das Problem und wir
haben diese Lösung, die Sie kaufen können. Das ändert nichts daran, dass
die angesprochenen Probleme nicht herbeigeredet sind, sondern real
bestehen.
Die Lösungen sind vom Prinzip her nicht neu. Ihr
wesentlicher Bestandteil ist eine DMZ die sowohl zum offenen Netz hin
eine Firewall hat und eine weitere zum Schutz des sensiblen IT-Innenlebens
der Organisation
(30)
( Netzwerkperipherie).
Die dabei angewendeten Techniken zur Durchleuchtung von Daten und Abwehr
von Angriffen sind immer mehr verfeinert worden. Auch die produktiven
Webserver, die zur Werbung und zum Verkauf zwingend von außen erreichbar
sein müssen, gehören in den geschützten Bereich einer DMZ. Für sie
stellt sich nicht nur das Problem der Sicherheit, sondern vor allem der
Verfügbarkeit und dazu gehört nicht nur die Erreichbarkeit, sondern auch
die Performance, also die zügige Datenverarbeitung ( Datenbanken).
Das kann man dadurch erreichen, dass dem produktiven Server mehrere "Türsteher"
vorangestellt werden, die nicht nur dazu da sind, verteilte Angriffe
abzupolstern ( Abwehr von Denial-of-Service-Angriffen),
sondern auch die Datenverarbeitungsvorgänge vorbereiten und erleichtern
können.
Entstanden
sind dadurch sieben kleine Beiträge, die zueinander nur in lockerer
Verbindung stehen, aber insgesamt die wesentlichen aktuellen Fragen nach
der technischen Sicherheit der IT abdecken. Die von McAfee angebotenen
Lösungen richten sich vor allem an große Organisationen und Unternehmen.
Dagegen sind die angesprochenen Probleme allgemeiner Art.
Für die privaten Anwender werden immer häufiger
einfache Lösungen propagiert, die keine Hochsicherheit garantieren, aber
die meisten Gefahren abwehren können. Gute Beispiele dafür liefert das
Bundesamt für Sicherheit in der Informationstechnik - BSI, das sich
nicht mehr nur dem Grundschutz großer Systeme widmet
(31),
sondern auch analytische Instrumenten zum Erkennen aktueller
Gefährdungen
(32)
sowie eine Schwachstellenampel zur Bewertung aktueller Betriebssysteme
und Anwenderprogramme anbietet
(33)
und schließlich praktikable Sicherheitstipps gibt
(34):
Antiviren-Software
– durchaus auch kostenlose –, Backups, Sicherheitsaktualisierungen, ein
alternativer Browser wie Googles Chrome und "stets ein gesundes
Misstrauen" sind die Eckpunkte des Konzepts.
Das
Bewusstsein, etwas zum Schutz seines PCs machen zu müssen, nicht jedem
verheißungsvollem Link zu folgen und sparsam mit Zugangscodes, PIN und
persönlichen Daten umzugehen, hat sich bereits breiter durchgesetzt.
Dieses Bewusstsein fehlt noch vielfach im Zusammenhang mit bequemen
Funk-Schnittstellen (Bluetooth, RFID) und im Umgang mit mobilen
Endgeräten ( mobile Geräte)
und in sozialen Netzen. Deren Nutzer werden immer jünger und deshalb
leichte Opfer böswilliger Angriffe. Insoweit sind Eltern und Lehrer
gefordert
(35).
(30)
Siehe auch:
jedem
Hacker sein eigener Honigtopf, 03.03.2012
(31)
BSI, IT-Grundschutz-Kataloge, 12. Erg.lieferung,
September 2011 (51 MB).
Onlineversion:
BSI, IT-Grundschutz-Kataloge.
(32)
aktuelle
Gefährdungen, 28.01.2012;
BSI, Register aktueller Cyber-Gefährdungen und -Angriffsformen,
16.01.2012.
(33)
Schwachstellenampel vom BSI, 03.03.2012;
Schwachstellenampel vom BSI.
(34)
BSI gibt
Sicherheits-Tipps für den PC, 04.02.2012
(35)
Hilfreiches und gutes Projekt:
CyberLicence - Der Medienführerschein.
|
Februar 2012