security extra schutz gefragt - heise online › ix › downloads › 05 › 7 › 2 › 2 › 4 ›...
TRANSCRIPT
Moderne Schadsoftwareund die treibenden Kräf-
te dahinter zeichnen sich durcheine zunehmende Professiona-lisierung aus. Während sich ty-pische Auswirkungen noch vor10 bis 15 Jahren als grafischansprechende Spielereien oderdestruktives Löschen mit Proof-of-Concept-Charakter zeigten,prägen heute ausgeklügeltekriminelle Geschäftsmodelledas Bild. Die Vermietung vonBot-Netzen für massenhaftenSpamversand oder DDoS-Angriffe, Vorgaukeln von In fektionen zum Verkauf vonPseudo-Schutzprodukten(Scareware) und trojanischePferde zum Abfangen und Um-leiten verschlüsselter Finanz-transaktionen sind nur einigebekannte Beispiele.
KomplexeGefährdungenIn dem fortwährenden Hase-und-Igel-Spiel zwischen An-greifern und Herstellern kön-nen Letztere bereits heute nurschwer mithalten. Web 2.0,Smartphones, Cloud Computing– angesichts der aktuellenTrends zeichnen sich völligneue Herausforderungen für dieIT-Sicherheit ab. Individuelle,
zuvor unbekannte Gefährdun-gen werden nur sporadisch be-kannt und erscheinen oftmalswie aus dem Nichts.
Eines der neuen Problemfel-der bildet das Web 2.0 mit sei-nen komplexen, global aktivenSocial Networks. Neben techni-schen Lücken, etwa beginnendmit Cross-Site Scripting, die inder Vergangenheit beispiels-weise eine massenhafte Ver-breitung von Schadsoftwareund Falschmeldungen, das Än-dern von Kennwörtern fremderAccounts oder das Mitlesenfremder Chats ermöglichten,geht es um Datenschutzproble-me. Im Fall Facebook zeigtedies etwa der kürzlich publikgewordene Fall der Geburtstags-einladung von „Thessa“, dieungewollt ein großes öffentli-ches Echo auf sich zog, aberauch die Einführung der auto-matisierten Gesichtserkennungbei hochgeladenen Fotos. Auchdie – aus datenschutzrechtli-cher Sicht offenbar bewusstlose gewählten – Standardein-stellungen der Betreiber mah-nen einen sensiblen Umgangmit diesen neuen Medien an.
Auch beim Cloud Computinggeraten Datenschutzaspekte inden Blick. Vieles ist noch unge-klärt, etwa wem man die Daten
I
Security
KomplexerSchutz gefragtMalware-Trends bei Jägern und Gejagten
Die Bedrohungslage durch Malware nimmt stetig anKomplexität zu. Schutz kann nur eine Kombination ausTechnik und Methodik bieten, die auch den FaktorMensch einbezieht.
Securityextra
Malware-TrendsMalware-Trends bei Jägern und Gejagten
Komplexer Schutz gefragt Seite I
Neue Gefahren im Web 2.0
Kriminelle Dienstleistung Seite V
Smartphones im Visier der Cyberkriminellen
Malware mit Ansage Seite X
Vorschau
Embedded SystemsIndustrietauglicheI/O-Komponenten Seite XII
Veranstaltungen20. – 21. September 2011, OldenburgDACH Securitywww.syssec.at/dachsecurity2011
20. – 22. September 2011, StuttgartIT & Businesswww.messe-stuttgart.de/cms/business11_blick0000.0.html
18. – 20. Oktober 2011, KopenhagenVMWorld Europe 2011www.vmworld.com
22. – 23./28. – 29. November 2011, München/HannoverKerberos – Single Sign-On im gemischten Linux- undWindows-Umfeldwww.ix-konferenz.de
28. September 2011, KölnHyper-V sicher und sauber
iX extra
Security zum Nachschlagen:
www.heise.de/ix/extra/security.shtml
Ein
Ver
lags
bei
heft
er d
er H
eise
Zei
tsch
rifte
n Ve
rlag
Gm
bH
& C
o. K
G
sponsored by:
eigentlich anvertraut und wel-che Kontrolle darüber besteht.Mit einer Schwachstelle in derSOAP-Schnittstelle der quellof-fenen Cloud-Computing-Infra-struktur Eucalyptus haben Experten bereits eine Sicher-heitslücke nachgewiesen, beider Angreifer über die Wieder-verwendung mitgelesener Sig-naturen beliebige Befehle imNamen anderer Nutzer in derCloud ausführen konnten. Da-rüber, ob und welche zukünfti-gen Gefahren von potenziell auf die Cloud zugeschnittenerSchadsoftware ausgehen, lässtsich derzeit allenfalls spekulie-ren. Beispielsweise darüber, obdie Betreiber von Bot-Netz-Ver-bünden in Zukunft auch Cloud-Infrastrukturen, die von vielenOpfern genutzt werden, zumAufbau einer neuen Generationvon Angriffswerkzeugen miss-brauchen könnten.
EinfallstorSmartphoneAuch mobile Endgeräte wie dieallseits beliebten Smartphoneszeichnen sich zurzeit durchimmer mehr öffentliche Sicher-heitslücken aus. Zuletzt belegtedies nicht nur der iPhone-Geo-datenskandal. Auch eine gleichin mehreren Android-Apps ge-fundene Lücke unterstreichtdiesen Trend: Von den Google-Servern vertraulich erhalteneAuthentifizierungs-Token wur-den unverschlüsselt weiterge-reicht und ließen sich so vonmitlesenden Angreifern fürIdentitätsübernahmen einset-zen. Die Zahl der Schadsoft warefür Smartphones, die unter an-derem in regulären Apps auf-taucht, steigt überdurchschnitt-lich stark an. So erwartet bei-spielsweise Kaspersky für 2011eine Verdopplung der Virensig-naturen für mobile Endgeräte.
Zählte man 2005 noch 1,7Millionen verschiedene Schad-programme, so war man Ende2010 bei über 55 Millionen an-gelangt. Beide Entwicklungenhaben sich in letzter Zeit etwas
verlangsamt und das Wachstumflacht ab. Dies liegt allerdingsnicht am Aussterben vonSchadsoftware, sondern zumeinen an wesentlich diversifi-zierteren Verbreitungswegenwie über Smartphones oder soziale Netzwerke und an derAbkehr von dateibasierendenAngriffen. So ist beispielsweisebei direkten Angriffen auf dieDienste-Server kein Einschleu-sen von Schadprogrammen aufdie Endbenutzersysteme nötig,sodass diese Angriffe nichtmehr in die klassischen Statisti-ken fallen. Zum anderen habensich die Reaktionsmöglichkeitender Sicherheitssoftware starkausgeweitet, sodass Signatu-renerkennung nur noch einenkleinen Teil der Fähigkeiten ab-deckt und immer mehr Schad-software mit anderen Verfahren,wie verhaltensbasierenden Heu-ristiken oder Reputationsabfra-gen, zu erkennen sind. Auch dieorganisierte Kriminalität hatdiese modernen IT-Infrastruktu-ren längst für sich entdeckt. Sotauchten bereits trojanischePferde auf, die auf Mobiltelefo-nen Transaktionsnummern desmTAN-Verfahrens abfangen,das über den vermeintlich si-cheren Weg SMS die im PC-Be-reich verbreitete Banking-Mal-ware zu meiden sucht.
Zudem eröffnen die beiSmartphones und Spielekonso-len beliebten Jailbreaks (diedas Installieren und Ausführenbeliebiger, vom Systemherstel-ler nicht freigegebener Soft-ware erlauben) neue Angriffs-möglichkeiten, die obendrein inder Regel völlig freiwillig durchdie Benutzer selbst auf die Geräte gelangen. Es ist keines-wegs nur eine Schutzbehaup-tung der Hersteller, unauto -risierte Veränderungen am Betriebssystem als Hauptur -sache für Instabilität, Dienststö-rungen und andere Problemeanzuprangern. Erst kürzlichzeigten koreanische Forscher,dass sich den Nutzern derar -tiger Software unbemerktSchadcode unterschieben lässt
– und in der Folge Spielekon -sole oder Smartphone zu einermöglicherweise längerfristigunerkannten Angriffsquelle imeigenen LAN mutieren.
Wie eine Reihe akademi-scher Nachweise der letztenZeit zeigen, könnte zukünftigsogar die in modernen Automo-bilen verbaute Informations-technik völlig neuartige Bedro-hungen mit sich bringen – imschlimmsten Fall sogar Gefah-ren für Leib und Leben. Sohaben Forscher gezeigt, dassAngreifer durch Einspielen ma-nipulierter Datenkommunikationin die internen Kommunikati-onsleitungen moderner Fahr-zeuge (etwa durch Anklemmeneiner günstigen Schaltung) eineteure Reparatur eines defektenAirbagsystems gegenüber Fah-rer und Werkstattpersonal über-zeugend vortäuschen könntenoder sich sogar die Bremsennach Belieben aktivieren oderdeaktivieren lassen.
Angesichts dieser Bedro-hungslage muss ein Sicherheits-konzept grundsätzlich aus einerabgestimmten Kombi na tionnicht nur technischer, sondernauch rechtlicher und organisato-rischer Maßnahmen bestehen.Ein wichtiges Beispiel für dennichttechnischen Bereich ist die Benutzersensibilisierung.
Zudem sollte man beim Ent-wurf technischer Schutzmecha-nismen nicht ausschließlich aufPrävention setzen – denn diewirkt nie 100-prozentig. Viel-mehr sollten frühzeitig Konzep-te der Entdeckung von Sicher-heitsvorfällen und der Reaktionauf diese einbezogen sein. Inletztere Kategorie gehörenneben Bestrebungen zur Wie-derherstellung eines sicherenSystemzustands durchaus auchIT-forensische Untersuchungen,um den Hergang der Vorfälle zurekonstruieren und die Sicher-heitslücken zu identifizierenund zu schließen.
Bereits vor einer Infektiondes Zielsystems lassen sichinsbesondere auf Ebene dertechnischen Infrastruktur (Pro-
vider, Betreiber von Mobiltele-fonnetzen, Cloud Services, So-cial Networks etc.) Maßnahmentreffen, um Phänomene wiemanipulierte oder sich massen-haft ausbreitende Nachrichtenaufzudecken, zu überprüfenund bei Bedarf präventiv zusperren. Beispiele sind ein kon-sequentes betreiberseitigesPatch-Management oder WebApplication Firewalls. Aber auchSchadsoftware, die an öffentli-chen Kommunikationsinfra-strukturen vorbei – mittels phy-sischer Zugriffe – eingebrachtwird, ist einzubeziehen.
Strategien der VerbreitungBesonders für Endsysteme inmodernen IT-Infrastrukturensollte das Installieren neuerSoftware wirksam reglemen-tiert sein. Hier sind die Herstel-ler gefragt, deren Anzahl über-schaubar zu halten, auch vordem Hintergrund der Vielzahlan Möglichkeiten, über die sichpotenzielle Schadsoftware aufPC-Betriebssystemen startenlassen kann. Im Spannungsfeldzwischen maximaler Kontrolleder Anbieter und der Möglich-keit der Endnutzer für eine fle-xible Nutzung der Geräte undDienste (auch abseits von Jail-breaks) stellt dies jedoch einegroße Herausforderung dar. Ge-fragt ist ein gesunder Kompro-miss zwischen Sicherheit aufder einen und Komfort auf deranderen Seite.
Für die Nutzer gelten die be-kannten Ratschläge wie dasPflegen eines aktuellen Patch-Stands für Betriebssystem undAnwendersoftware oder der Ein-satz von Firewalls auch weiter-hin. Da präventive Maßnahmenallein angesichts des hohenEntwicklungsgrads modernerSchadsoftware und Angriffsstra-tegien keinen ausreichendenSchutz bieten, gewinnen wieerwähnt zunehmend Detektionund Reaktion an Relevanz. Ne -ben den klassischen Fea turesvon Anti-Viren- und Desktop-
II iX extra 10/2011
Security
Sicher zu sein ist von Vorteil.Sicher zu sein bedeutet Profit.Sicher zu sein ist geradezu befreiend.
Aber sicher zu sein ist nicht einfach.Besonders wenn dunkle Mächte Tag und Nacht Verschwörungen aushecken.
Es bedarf der feinfühligen Kombination von Intelligenz und Hartnäckigkeit eines extrem effektiven globalen Teams, das Gefahren erkennt, bevor sie Schaden anrichten.
Das ist McAfee - das weltweit größte dedizierte IT-Sicherheitsunternehmen.
Digitale Sicherheit ist unser Lebenselixier. Unser Job ist es, stets einen Schritt voraus zu sein.
Effektive Sicherheit beschränkt sich heutzutage nicht auf das “wo” - es ist überall.Jedes Endgerät, jede Verbindung, an jedem Ort, zu jeder Sekunde.
Weil wir niemals schlafen, können Sie besser schlafen.
©2011 McAfee, Inc. All rights reserved. www.mcafee.com/de/safe
auf bereits eingetretene Vorfälleauf Endbenutzersystemen zuerkennen, sind durch aktuelleDesktop-Security-Suites etwain Form heuristischer Verhal-tensanalysealgorithmen umge-setzt, die sowohl statische(aus Dateieigenschaften ableit-bare) als auch dynamischeMerkmale (Verhaltensmuster)einbeziehen.
Da sich die Angriffs- undEinfallsvektoren von Schadpro-grammen in den letzten Jahrendeutlich erweitert haben, wares unumgänglich, dass sichauch Sicherheitssoftware vonrein dateibasierenden Schutz-techniken zu umfassendenSchutzkonzepten entwickelte.
genug, weil sie auf die relevan-ten Objekte gar nicht anwend-bar sind.
Ein gutes Beispiel sind Web-seiten mit bösartigem Inhalt, dieklassische Dateiscanner nichtanalysieren können. Dafür exis-tieren wiederum andere Ansatz-punkte zum Schutz. Eine URL istohne Inhaltsanalyse als bösartigmarkierbar, und der Zugriff da-rauf lässt sich verhindern, wennbekannt ist, dass sie Schadsoft-ware verteilt. Auch der Inhalt iststatisch wie dynamisch aus-wertbar, um Exploits zu erken-nen. Schließlich lassen sich dieverschiedenen Techniken unddas Wissen über einzelne Objek-te (URLs, E-Mails, Dateien) in
moderne Security-Produkte Da-tenschutzrisiken untersuchen.Analog zu ersten Ansätzen ausdem Firmenumfeld (zum Bei-spiel Data Leakage Prevention)sollten entsprechende Funktio-nen auch auf Endbenutzer zu-geschnitten sein. Warnungenbei bedenklichen Default-Para-metern bei verbreiteten SocialNetworks oder Cloud-Anwen-dungen wären hier ein wichti-ger erster Schritt. Intelligente-re, Content-sensitive Lösungenkönnten zudem die Parametereinzelner Transaktionen be-werten, etwa bei Postings inSocial Networks mit der Kom-bination von Keywords wie„Einladung“ oder „Party“ und
bei der Konzeption von Warn-meldungen zu berücksichtigen.Diese sollten zwar informieren,aber unnötige Stresssymptomeminimieren und die Benutzeraktiv im Umgang mit dem Vorfall unterstützen. Zudemempfehlen sich organisato -rische Maßnahmen zur Nutzersensibilisierung, insbe-sondere wenn es um Daten-schutz geht. (JS)
Tobias Hoppe, Jana Dittmann beschäftigen sich an der
Otto-von-Guericke-Universität,Magdeburg, mit Sicherheits -
problemen.Maik Morgenstern
ist Mitarbeiter des AV-TEST-Instituts.
IV iX extra 10/2011
Security-Produkten bieten die Hersteller darum zuneh-mend integrierbare Intru sion-De tection-Module an.
Schutzprodukte können zurIdentifizierung von Schadsoft-ware vor allem folgende Aspek-te einbeziehen: typische Orteihrer Unterbringung auf demZielsystem, bekannte technischeWirkungsweisen, um innerhalbdieser zu agieren, typischeSelbstschutzmechanismen, ty-pische Kommunikation mit derAußenwelt (vor allem mit demAngreifer) und die durch sie fürdie Zwecke des Angreifers um-gesetzten Funktionen. Techni-sche Verfahren, um Hinweise
Obwohl Dateierkennung (sta -tische Signaturen und Heuris -tiken) auch heute noch dasRückgrat vieler Sicherheits -konzepte bildet, haben schonlängst andere Verfahren Einzuggehalten. Denn die signaturba-sierenden Erkennungsansätzekonnten mit den neuen Metho-den und der schieren Anzahlder Schadsoftware nicht mehrmithalten. In der Folge entstan-den statische und dynamischeHeuristiken, um ohne konkreteSignatur Schutz bieten zu kön-nen. Allerdings sind auch dieseProzeduren nicht ausreichend,um auf viele moderne Bedro-hungen zu reagieren – oft
einer Reputations-Cloud verei-nen. Dieser Ansatz erlaubt es,auch ohne Kenntnisse über daseigentliche Objekt, anhand derVerbindungen zu anderen Ob-jekten (Wo kommt es her? Mitwem kommuniziert es? Wel-che/Wie viele Nutzer kennen dasObjekt?), Aussagen über dasGefahrenpotenzial zu treffen.
Eine Schutzsoftware mussheutzutage also in der Lagesein, mit verschiedenen Objek-ten, die Schadpotenziale ber-gen können, umzugehen undsie mit unterschiedlichen Tech-niken zu untersuchen.
Neben schadcodespezi fi-schen Funktionen sollten
öffentlichem Adressatenkreis,und dem Nutzer so bei BedarfHinweise liefern.
Datenschutz nicht vergessenViele Herausforderungen undungelöste Fragen betreffennicht nur die technischenSchutzmaßnahmen, sondernrechtliche und organisatori-sche Aspekte. Und auch aufdie Gefahr hin, zu langweilen:Besonders der Faktor Menschsollte zukünftig noch mehr inden Vordergrund rücken. Diemeisten Benutzer sind keineIT-Fachleute – und das ist
Security
ix1011_x_00_mit_Anz.indd 4 06.09.2011 10:51:12 Uhr
57Millionen Deutschehaben derzeit einen
Internetanschluss. Mehr als 20 Millionen sind in Online-Communities vernetzt. Das Web 2.0 revolutionierte das In-ternet und führte zum Aufstiegsozialer Netzwerke. Und sobringen heute auch KriminelleSchadsoftware auf vielen ver-schiedenen Wegen in Umlauf.
Anders als noch vor ein paarJahren sind infizierte E-Mailsdabei nur noch vergleichsweise
wenig beteiligt. Laut Bundes-amt für Sicherheit in der Infor-mationstechnik stellen Spam-Mails mit einem Anteil von rund96 Prozent zwar immer nochdas überragende Gros des ge-samten E-Mail-Aufkommensdar, sie sind jedoch längst nichtmehr so effektiv wie noch voreinigen Jahren. Die Qualität derSpamfilter sowie das Gefahren-bewusstsein der IT-Anwenderhaben sich verbessert – einkleiner Teilerfolg.
Doch wo eine Gefahren -quelle langsam versiegt, tutsich eine neue, gefährlichereauf. Das Web 2.0 eröffnete vieleneue Möglichkeiten – leiderauch für Kriminelle. Hackingleicht gemacht: Audio- und Vi-deomitschnitt direkt vom infi-zierten PC, Desktop-Streamingin Echtzeit oder die Aufzeich-nung der Tastatureingaben zumZweck des Passwortdiebstahls– mit nur wenigen Mausklickslassen sich Trojaner für unter-schiedliche kriminelle Absich-ten zusammenstellen. Möglichmachen dies Trojaner-Baukäs-ten, die selbst ungeübten An-greifern zu kriminellen Ma-chenschaften verhelfen und soim Handumdrehen Tür und Tor zu sensiblen Daten Dritteröffnen. Zwischen 600 und 2000 Dollar kostet ein effek -tiver Baukasten in Untergrund-foren, teilweise sogar inklusive24-Stunden-Service und unbe-grenzter Update-Garantie durchden „Hersteller“.
Witziges Video nicht immer lustigDerzeit beruhen viele Hacking-Angriffe im Web 2.0 auf demso genannten Clickjacking.
Dabei locken Kriminelle, bei-spielsweise in sozialen Netz-werken wie Facebook und Twit-ter, mit Verlinkungen, die sichals normale Video-Posts tarnen.Diese Posts sind inhaltlich soausgerichtet, dass sie auf einhohes allgemeines Interessestoßen. Im Glauben, etwasSpektakuläres wie den plötzli-chen Tod von Osama bin Ladenoder die Verhaftung von Christi-na Aguilera zu sehen, klickenzahlreiche Nutzer auf präpa -rierte News-Meldungen. Diesegeben sich gern als unverfäng-liche Video-Posts aus, die Ab-sender sind in der Regel ge-fälscht. Opfer von Clickjacking-Attacken fragen sich im Nach-hinein, wieso diese Video-Postsausgerechnet die eigenenFreunde verbreitet haben.
Gewöhnlich sind bei Verlin-kungen auf sozialen Netzwer-ken wie Twitter und Facebooknicht die eigentlichen Links,sondern verkürzte Adressenwie http://bit.ly/jdj7TK ver-schickt worden. Der Empfängerkann nicht auf den ersten Blickerkennen, ob sich hinter demURL das tatsächliche Angebotoder eine betrügerische Web-seite verbirgt. Das nutzen Kri-minelle aus. Klickt ein Nutzer
Security
KriminelleDienstleistungNeue Gefahren im Web 2.0
Der riesige Informationspool der vernetzten Welt ist gleichzeitig Quelle für die wichtigstenWirtschaftsressourcen des neuen Jahrtausends:personenbezogene Nutzerdaten. Diese profitableGeldquelle aber lockt Kriminelle wie nie zuvor. Den besten Schutz vor Angriffen wie Clickjacking bietet immer noch die Vorsicht der Nutzer.
Geben Sie Hackern keine Chance!Wenn es um den Schutz von Webapplikationen geht, ist Airlock Ihre beste Verteidigung. Unsere Web Application Firewall schützt Ihre Daten vor unbefugtem Zugriff. www.ergon.ch/airlock
ix1011_x_00_mit_Anz.indd 5 06.09.2011 10:50:58 Uhr
auf die Video-URL, gelangt derNutzer nicht auf ein Videoportalwie YouTube, sondern auf einepräparierte Seite. Diese Seitesieht zum Beispiel YouTube zumVerwechseln ähnlich, oder diereale Internetseite ist einfach1:1 eingebunden. Klickt der ah-nungslose Nutzer nun auf dasscheinbar harmlose Video, umes abzuspielen, betätigt er au-tomatisch den „Gefällt mir“-But-ton“ von Facebook und wird sozur Spam-Schleuder, denn die-ser Klick verbreitet den betrüge-rischen Link an alle Freunde.
Die Betrüger machen dabeivom sogenannten ClickjackingGebrauch. Sie legen über denAbspiel-Button des Videos eineunsichtbare Ebene. Klickt derahnungslose Betrachter nun aufden sichtbaren Button, spielt ernicht das Video der gezeigtenWebseite ab, sondern klickt, daer sich zuvor beim sozialenNetzwerk eingeloggt hat, auf
den darübergelegten, jedochunsichtbaren Button „Gefälltmir“. Ist der Rechner nicht mitaktuellen Sicherheits-Updatesausreichend geschützt, reichtdas Aufrufen einer betrügeri-schen Webseite bereits aus,damit sich Schadsoftware wieein Trojaner unbemerkt instal-liert. In diesem Falle sprichtman auch vom Drive-by-Download.
Serverseitig besteht dieMöglichkeit, dass Webanwen-dungen im Header das Flag „X-Frame-Options“ senden.Mit der damit verbundenenEinstellung DENY lässt sichverhindern, dass Elemente
einer Seite wie Facebook aufeiner anderen Webseite einge-bunden werden. Doch damitdieser Schutzmechanismusgreift, muss ihn auch derBrowser unterstützen. Alle aktuellen außer Konqueror berücksichtigen dies derzeit.Doch gerade eine Webanwen-dung wie Facebook lebt vonder Einbindung des „Gefälltmir“-Buttons auf anderen Sei-ten und würde daher das FlagX-Frame-Options nicht nutzen.
Abgesehen von server -seitigen Schutzmaßnahmen,wenn sie denn in das Konzeptdes Unternehmens passen,bietet bislang nur das Plug-in
NoScript für Firefox den Nut-zern Schutz vor Clickjacking.Ist die darin integrierte Clear-Click-Funktion aktiviert, zeigtder Browser alle verborgenenInhalte einer Website an.Zudem sollte ein Nutzer stetshinterfragen, ob es sich umeine seriöse Verlinkung inner-halb des Newsfeed handelt.Fehlende Kommentierung undobszöne Titel der Videos kön-nen als Indizien für bösartigeLinks dienen.
Mafia-Strukturen in der Phishing-SzeneIn Zeiten, in denen ein sozialesNetzwerk wie Facebook inDeutschland fast 20 MillionenNutzer verzeichnet, boomt na-türlich auch der Handel mitpersönlichen Daten. Die Indus-trie investiert Millionen inMarktanalysen und erhofft sichmöglichst genaue Profile der
VI iX extra 10/2011
Security
Eine unsichtbare Ebeneversteckt bei Clickjacking-Angriffen die tatsächliche
Oberfläche der Seite (Abb. 2).
Quel
le: I
nstit
ut fü
r Int
erne
t-Si
cher
heit
Firefox-Plug-in NoScriptschützt über eine Warnungvor Clickjacking (Abb. 1)
Quel
le: I
nstit
ut fü
r Int
erne
t-Si
cher
heit
ESET SMART SECURITY 5INTERNET SECURITYDie neueste Kreation der Hersteller des legendären ESET NOD32 Antivirus
Intelligente Internet-Security für umfassenden Schutz vor:
www.eset.de
BesuchenSie uns! Halle 12, Stand 415
ANTIVIRUSANTISPYWAREFIREWALLANTISPAMKINDERSICHERUNG
Konsumenten. Personalisierte Werbungist das Zauberwort, das die Herzen der Marke tingleute höher schlagen lässt.Von hohen Gewinnmargen angelockt,verkaufen viele dubiose Unternehmenauf ille galem Wege beschaffte Nutzer -informationen.
Datenklau wird immerprofessionellerDas Beispiel der Trojaner-Baukästenzeigt: Der Datenklau im Internet nimmtan Professionalität zu. Längst sind esnicht mehr nur die Computergenies, dieim stillen Kämmerlein an einer komple-xen Spionagesoftware tüfteln. Phishing-Angriffe finden nun im großen Stil statt.Experten sprechen gar von einem wach-senden Malware-Dienstleistungssektor.Kriminelle schließen sich zu Organisatio-nen zusammen und agieren miteinander.Ganze Netzwerke Tausender infizierterPCs entstehen und breiten sich aus.
Diese Bot-Netze instrumen talisierendie Drahtzieher als Ressourcen für weite-re illegale Aktivitäten wie die Verbreitungvon Spam oder dem nahezu zeitgleichenAufrufen einer bestimmten Internetseite,um diese lahmzulegen. Jeder PC einesBot-Netzes – im Slang als Zombie be-zeichnet – führt ferngesteuert die Aktio-nen aus, die ihm ein sogenannter Bot-Operator übermittelt. Dabei dienen infi-zierte PCs beispielsweise nicht nur alsSpammer, sondern auch zum Auslesenvon Daten und Kennwörtern oder als Ver-teiler von Schadsoftware.
Damit der eigene PC nicht Opfer einesBot-Netzes wird, ist neben dem Einsatzeines aktuellen Virenschutzprogrammsund einer Personal Firewall das zeitnaheInstallieren von Sicherheits-Updates nachdem Erscheinen essenziell. Damit PC-An-wender wissen, welche Sicherheits-Up-dates wann zur Verfügung stehen undwie sie installiert werden müssen, hatdas Institut für Internet-Sicherheit derFachhochschule Gelsenkirchen, bei demdie Autoren beschäftigt sind, den kos-tenlosen Warnservice „securityNews“ [1]entwickelt. Abonnenten erhalten dort kos-tenfrei via E-Mail oder App Informationenzum Erscheinen von Sicherheits-Updatesund praktische Handlungsempfehlungen,um den akuten Gefahren bestmöglichentgegenzuwirken.
Der Wunsch nach technischem Fort-schritt ist häufig größer als das Bedürfnisnach Sicherheit – eine Binsenweisheit,
die sich auf dem Sektor der mobilen Endgeräte erneut bestätigt. Der Smart -phone-Markt boomt. Für 2011 prognosti-ziert der Bundesverband Informations-wirtschaft, Telekommunikation und neueMedien (BITKOM) einen Absatz von zehnMillionen verkaufter Geräte. Dies würdeein Absatzwachstum von knapp 40 Pro-zent bedeuten. Konsumenten wünschensich vor allem eines: grenzenlose Mobili-tät. Sie verstehen sich als Teil der ver-netzten Welt und bewegen sich im mobi-len Internet ihrer Handys genauso frei,wie sie es von heimischen Desktop-PCsher gewohnt sind: E-Mail-Datentransfer,Online-Video-Streaming und regelmäßi-ge Statusmeldungen in sozialen Netz-werken gehören zum Alltag mobiler In-ternetnutzer. Dabei vergessen sie, dassdie derzeitige Technik längst noch nichtso ausgereift ist, dass sie bei der Ver-wendung der zahl reichen Funktionensolcher Minicomputer ausreichend ge-schützt sind. Ein schlechter Basisschutzmacht Smartphones zu leichten Angriffs-zielen.
Zehn Millionen leichte Angriffszieleim Web – das klingt nach einem Hacker-Eldorado. Um dies zu verhindern, solltenAnwender einige Sicherheitstipps be-achten:–ˇBetriebssystem und Anti -Viren-Soft -ware sollten wie die installierten Appsstets auf aktuellem Stand sein.–ˇSensible Daten wie die Kontaktdatenund E-Mail-Korrespondenz sollten mit -hilfe spezieller Verschlüsselungs softwarevor dem Aus lesen geschützt sein.–ˇVor dem Installieren fremder Applika-tionen sollte zunächst sichergestellt wer-den, dass es sich um eine vertrauens -wür dige Software einer sicheren Quellehandelt.
Schon jetzt bieten Smartphones ge-eignete Schlupflöcher für Angriffe auf so-ziale Netzwerke, indem scheinbar nütz -liche Apps die Daten sozialer Netzwerkeausspionieren.
Sicherheit kommt vor HöflichkeitGroße Gefahrenherde sind außerdem die drahtlosen Schnittstellen der Geräte.WLAN, Bluetooth und Infrarot sollten ausdiesem Grund nur bei tatsächlichem Be-darf aktiviert sein. Eine Verschlüsselungmittels WPA-2 und einem stark gewähl-ten WLAN-Passwort [2] sind notwendig,sobald Nutzer eine Internetverbindung
iX extra 10/2011
Security
ix1011_x_00_mit_Anz.indd 8 06.09.2011 10:50:46 Uhr
über WLAN herstellen. Bitten wie „Könnteich mal kurz Ihr Handy zum Telefonierenbenutzen“ sollten die Smartphone-Besit-zer generell nicht nachkommen, vor allemnicht, wenn sie das Handy beruflich ver-wenden. Andernfalls könnte es passieren,dass sich anschließend eine Spyware aufdem Smartphone befindet. Denn Kriminel-le nutzen immer häufiger die Gutgläubig-keit der Helfer aus, um dreisten Daten-diebstahl zu begehen.
Doch nicht nur der persönliche Kontaktmit Opfern eignet sich aus Sicht der An-greifer für das sogenannte Social Enginee-ring, das gezielte Auslesen sensiblerDaten unter einem scheinbar anderen Vor-wand. In sozialen Netzwerken kommenzahlreiche Kontakte zustande. MangelndesSicherheitsbewusstsein einerseits undgroße Kontaktfreude andererseits führenoft zu fahrlässigem Umgang mit personen-bezogenen Daten. Die Angreifer freundensich mit Mitarbeitern eines Unternehmensan und erhoffen sich einen Informations-gewinn, der ihnen den Zugang zum Fir-mennetz ermöglicht. Nutzer sollten sichstets darüber im Klaren sein, welchenAdressaten sie Informationen zur Verfü-gung stellen. Offenherzigkeit erhöht zwar
die Aufmerksamkeit, die dem Nutzer in derSocial Community entgegengebracht wird,macht ihn jedoch auch leichter angreifbar.
Reden ist nicht einmal Silber,Schweigen besser als GoldInformationen über laufende Projekteeines Mitarbeiters oder Fotos von den Büroräumen sollten nicht für Außenste-hende ersichtlich sein. Hat ein Angreiferviele Detailkenntnisse über Betriebsinternaerlangt, kann er sich beispielsweise beieinem Identitätenschwindel überzeugen-der als Vorgesetzter gegenüber einem Mit-arbeiter ausgeben und so weitere sensibleInformationen erschleichen. In jedem Fallsollten Nutzer zwischen Privatem und Beruflichem trennen. Eine Einteilung derKontakte in verschiedene Listen, wofürneuerdings Google mit seinem neuenNetzwerk Google+ wirbt, gewährleistet,dass bestimmte Inhalte nur für ausge-wählte Personen sichtbar sind.
Die Anpassung der eigenen Privat -sphäre-Einstellungen ist unabdingbar, umpersonenbezogene Nutzerdaten auch ge-genüber der Weiterverwendung durch denAnbieter der jeweiligen Social Community
zu schützen. Es gilt, stets die Motivationdes Anbieters kritisch zu hinterfragen.Letztendlich läuft alles auf die Frage derFinanzierung hinaus, denn auch kosten -lose Services sollen Gewinn abwerfen. Wieentstehen also Milliardenumsätze im drei-stelligen Bereich bei einem kostenlosenNetzwerk wie Facebook? Millionen vonNutzern müssen finanziert werden. Siezahlen mit ihren persönlichen Daten. Beiallem Enthusiasmus über die rasante Ent-wicklung im Web 2.0 darf die IT-Sicherheitnicht auf der Strecke bleiben. PersönlicheDaten sind ein hohes Gut, das es zu schüt-zen gilt. (JS)
Malte G. Schmidt (Diplom-Inform. FH) und
Sebastian Spoorensind am Institut für Internet-
Sicherheit der FachhochschuleGelsenkirchen beschäftigt.
Onlinequellen[1]ˇWarnservice des Instituts für Internet-
Sicherheit der Fachhochschule Gelsen-kirchen: www.it-sicherheit.de
[2]ˇHinweise zur Sicherheit in KMU:www.kmu-sicherheit.de
iX extra 10/2011 IX
Nur für Profis:
Positivliste erwünschter Software
4 s s . d eUnd jeglicher unerwünschter Code ist kein Thema mehr.SecuSurf stellt sicher, dass nur noch Code ausgeführt werden kann, der von der Administration als vertrauens-würdig eingestuft wurde. Ein Virenscanner erlaubt alles außer bekannter Schadsoftware. SecuSurf blockiert alles außer vertrauenswürdiger beruflich benötigter Software. Auch jegliche Malware wird blockiert, sogar unbekannte. Geringer Integrationsaufwand (Bsp.: 3-5 Mann-Tage bei >5.000 PCs). Zusätzlicher Aufwand im laufenden Betrieb: Nahe Null. Webinar und Teststellung kostenlos. Muss man gesehen haben, sonst glaubt man es nicht.
Anzeige
ix1011_x_00_mit_Anz.indd 9 06.09.2011 13:58:58 Uhr
A lles hatte so harmlos an-gefangen: ein Gerät, das
Sprache und SMS übertragenkonnte, dazu ein paar Telefon-nummern speichern und häss -liche Geräusche als Klingeltonvon sich geben. Und selbstdiese aus heutiger Sicht sehreingeschränkten Funktionenwurden bereits missbraucht. Sogab es für ein weitverbreitetesTelefon die Möglichkeit, perSMS Funktionen zu installieren,die es zur Wanze umbauten.Bei Anruf einer bestimmtenNummer nahm das Telefon denAnruf an und aktivierte die Frei-sprecheinrichtung. So konnteder Anrufer alles hören, was inder näheren Umgebung ge-
sprochen wurde. Bis heute er-freut sich genau diese Funktionungebrochener Beliebtheit inSpyware-Apps.
Spion versus Spion
Denn der Wunsch zu lauschenund die Daten zu lesen, ist nachwie vor ungebrochen. Wo frühereigentlich nur Regierungen mit-mischen konnten, steht heuteSpyware allen zur Verfügung:Der misstrauische Lebenspart-ner genauso wie der Chef ohneSkrupel und der anonyme An-greifer aus den Weiten des In-ternets bedienen sich dieserApps, um an die gewünschtenDaten zu kommen. Mit jeder
neuen Funktion der Smart -phones wachsen die Begehr-lichkeiten. Früher waren es nurGespräche, heute sind es fastalle Details des täglichen Le-bens, die sich der Interessierteper Spyware vom Telefon sau-gen kann, seien es der Stand-ort, Kurznachrichten, Mails,Passwörter, Autorisierungs-Token, Suchbegriffe, Tastatur-eingaben, Social-Networking-Beiträge, Termine, Fotos, Videosund andere Mediendaten, Do-kumente auf dem Gerät und soweiter. So zentral das Smart -phone für die Nutzer im Alltaggeworden ist, so zentral bietetes dem Neugierigen den Zu-gang zu allen Aspekten des Lebens.
Reine Neugier ist leider nichtimmer die Motivation. Zu wert-voll sind die Personendaten imweltweiten Datenhandel. Per-sönliche Zahlungsinformationenbringen bis zu zweistellige Dol-lar-Beträge. Auch Mail-Ac-counts, eBay-, Amazon- undSocial-Media-Profile spülenGeld in die Kasse. Diese vonden PCs bekannten Methoden,Geld zu verdienen, erweitertdas Smartphone um kosten-pflichtige Service-Nummernund SMS-Dienste. So kommtdas ausgerottet geglaubte Dialer-Unwesen mit denSmartphones zurück und fülltdie Kassen der teilweise gut organisierten Kriminellen durchAnrufe bei diesen Nummern
oder durch Senden von SMS aneigens eingerichtete Services.
2004, fast zehn Jahre nachder ersten Malware per SMS,hat Cabir als erster Handy-Wurm das Feld neu eröffnet. AlsProof-of-Concept fragte er aufden Symbian-Telefonen, wo derBenutzer ihn selbst installierenmusste, brav nach, ob er sichverbreiten dürfe.
Wer nun denkt, diese Zeitenseien vorbei, irrt. Auch heutenoch fragen die meisten Mal-ware-Programme den Benutzerum Erlaubnis. Das Sicherheits-modell von Android und Win -dows Phone 7 sieht vor, dassder Anwender den Apps die Berechtigungen, die sie brau-chen, ausdrücklich zuweisenmuss. Wer heute Malware aufSmartphones verteilen möchte,geht zumeist den Weg desklassischen trojanischen Pfer-des. Eine bekannte und belieb-te, eventuell kostenpflichtigeApp wird um die Malware er-weitert und erneut im Marketoder auf anderen Download-Seiten angeboten. Besonderskostenpflichtige Apps taugengut als Vehikel, da man demAnwender vorgaukeln kann, erkönne eine Schwarzmarkt-Ver-sion kostenfrei nutzen. Manch-mal ist auch nur der Name soverändert, dass es dem Benut-zer nicht auffällt.
Wenn der Anwender sie in-stalliert hat, wird er gefragt,welche Berechtigungen die Apphaben solle. Wer sich jetzt nichtwundert, dass das „lustige klei-ne Spiel“ alle Kontakte lesen,unbegrenzt auf das Internet, dieKamera, den Standort und dieSD-Karte zugreifen und sichmit den persönlichen Daten inder Cloud anmelden möchte,hat etwas später einen Trojanerinstalliert. Schon jetzt haben die Android-Malware „DroidDream“ und ihre Pendants aufden anderen Betriebssystemendies mehrere Millionen Malegetan. Genaue Zahlen stehenkaum zur Verfügung. Die überden Market heruntergeladenenTrojaner stellen einen erhebli-
X iX extra 10/2011
Security
Malware mit AnsageSmartphones im Visier der Cyberkriminellen
Die Offenheit von Android- und Symbian-Systemenbeim Akzeptieren von Apps aus beliebigen Quellen kannzum Fluch werden – denn sie gilt genauso für Malware.Doch auch geschlossene Systeme sind angreifbar.Anwender sollten deshalb bestimmte Regeln beachtenund auf spezielle Sicherheitssoftware zurückgreifen.
ANBIETERÜBERSICHT: SICHERHEIT FÜR MOBILE GERÄTEAnbieter Produkt WebsiteAbsolute Computrace Mobile www.absolute.com/deBitdefender Mobile Security www.bitdefender.deBullGuard Mobile Security www.bullguard.com/deCA Mobile Security shop.ca.com/main/indexsca.aspF-Secure Mobile Security www.f-secure.com/de/web/home_deG Data MobileSecurity www.gdata.deitWatch DeviceWatch www.itwatch.deKaspersky Mobile Security 9 www.kaspersky.com/deMcAfee Enterprise Mobility Management www.mcafee.comSecusmart SecuSUITE www.secusmart.comSymantec Mobile Security www.symantec.com/deTREND MICRO Mobile Security de.trendmicro.com/de
Auswahl ohne Anspruch auf Vollständigkeit
chen Anteil. Zudem ist es vielzu einfach, unter Android Soft-ware aus Nicht-Market-Quellenzu installieren.
Märkte und Sicherheit
Die Offenheit von Android- undSymbian-Systemen, wenn esdarum geht, Apps aus beliebi-gen Quellen zu akzeptieren, isteinerseits ein großer Vorteil beider Entwicklung und fördert dieVerbreitung. Andererseitsmacht man es so Anbietern vonMalware sehr viel einfacher.Microsoft und Apple entschie-
ellem Fetisch oder seiner Dar-stellung, teilweise aber auchpolitische Cartoons nicht erwünscht, und die Herstellerverbieten diese in den Nut-zungsbedingungen.
Nun steht es jedem Kaufwil-ligen frei, sich entweder für diegeschlossene Welt von Appleoder Microsoft zu entscheidenoder im teilweise etwas anar-chischen Chaos der Selbstregu-lierung bei Google sein Glückzu finden. Die geschlosseneWelt bietet allerdings einigeVorzüge. So schützen sich dieGeräte vor Infektionen mit Mal-
kannten Schlüssel, sodass Forensik wie auch Backup nurüber Zune möglich sind.
Wer nun ganz vorsichtig istund nur Apps installiert, die vonbekannten Entwicklern mit vie-len Downloads und guten Be-wertungen stammen, ist den-noch nicht auf der sicherenSeite. So kann ein Angreiferüber einen gehackten Entwick-ler-PC eine riesige AnzahlSmartphones infizieren, indemer die automatischen Updatesder App um eine Malware er-gänzt. Da hilft nur ein Anti -Viren-Produkt, ohne das ein
ist auch schnell ein Angreiferda, der sie ausnutzt. Früherwaren für solche Attacken Te-lefonbücher beliebt, die überBluetooth auszulesen waren.Heute ist das nicht mehr inte-ressant, weil nur die Geräte inReichweite angreifbar sind. Dasind Webseiten, die Schwach-stellen im Browser oder ineiner der installierten Anwen-dungen ausnutzen, schon ef-fektiver, da man sie weltweiterreichen kann und die Zahlder potenziellen Opfer riesigist. Und tatsächlich verbreitensich Drive-By-Down loads, also
Security
aihl
993y
kdfa
lwid
a ihr
flwai
hl99
3ykd
falw
idai
hrflw
aihl99
3ykdfalwidaihrflwaihl993ykdfalwidaihrflwaihl993cbvkskfb,jjdvjv 69g95jgfm
fvnmdyc
j654wgshd
shcbd
vdhh3321bvdjdvkr556ur8f8vxlfvsjfb4kfköfkbjöjrööxdvöodjösejavhvhjj
VS
-VE
RT
RA
ULI
CH V
S-V
ER
TR
AU
LICH
fgs
hdsh
cbdv
dhh3
321bvd
dvkr556ur8f8vxlfvsjfb4kfköfkbjöjrööxdvöodjösejavhvhjzjzju6dthtjfzkvlkr67
kü3äüaoefjffjf0ldkk,jjxxclaehhflfleeaahfi477zzggeeuuggkuuvvyyyyyyykkddffaallwiiddaa
idai
hrflw
alw
idai
hrflw
aihl99
3ykdfalwidaihrflwaih hl993cbvkskfb,jjdvj69g95jgfm
fvnmdyc
j654wgshd
shcbd
vdhh3321bvdjdvkr556ur8f8vxlfvsjfb4kfköfkbjöjrööxdvöo
GEHEIM
GEHEIM
ST
RE
NG
GE
HE
IM
ST
RE
NG
GE
HE
IM
STRE
NGGE
HEIM
TOPSECRE
T
gge
STRENG
GEHEIM xxcl
TOP
SECRET
gggggg99995555jjjjjj
g
GEHEIM
dcccc
jjjjjj666555444
wwg
GEHEIM
ff
jgggggfffmmmm
ffffvvv
MMMMMMMIMI EI EHE
nnnmmmddd
yyyyyyccccnnn
GGTO
PSECRET
re.ddkknnn..666777
GEHEIM
pppppppppaaaaaaüüüüüüppppppppeeeeeqqqqüGEH
EIM
78i87kj777888iii88887777kkkk
M
kkkkjjjjjjkkkkeeeee55555öööööäääääpppppppkkkk
GGGGGGGEGEEEEEHHTO
PSECRET
xlfvsjjöxdv
vdjdv
56ur8kbj
djöse
h332
vhjz
VSNFD
TOPSECRETSTREN
G
GEHEIM
VSNFD
IT-Sicherheitspartner der Bundesrepublik Deutschland
Vertrauen Sie auf die einzigartige Leistungsvielfalt von SINA. Das einzigeIPsec basierte Kryptosystem mit BSI-Zulassung bis STRENG GEHEIM.
SINA (Sichere Inter-Netzwerk Architektur) ist die ganzheitliche Systemarchitekturere Inter-Netzwerk Architektur) ist die ganzheitliche Systemarchitektur füfür moderne KKryptosysteme. Entwickelt mit dem BSI für die höchsten Sicherheitsan-forderungeen von Behörden, Bundeswehr und geheimschutzbetreuten Unternehmen. SINA überzzeugt in nationalen und internationalen Einsatzszenarien mit anspruchs-vollen Sicherheitsanforderungen. Mit SINA arbeiten Sie immer sicher und effektiv: imBüro oder unterwegs.
www.secunet.com/sina
Die Kunst, sensible Datenzu schützen: SINA.
aaiihhhhrrrrrrrrrflflflflflfl
SEaaaaaalllllwwwwww
i
wwwwiiiiiiddddddddd
aaaaaaiihhr
flwai
hl9
fffbbbbbbb,,jjjjjjjjjjjj
ddddddddvvvvvv
wwwwwid
a
vvvvvvvvjjjjjjj v666669999
gggggg
rrrrrrrflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflflwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaiiiiiiiiiiiiiiiiiiiiiiiiiihhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhllllllllllllllllllllllll999
dddddddddddddddddddddddddddddddddddddddffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaalllllllllllllllllllllllllll
wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwiiiii kkkkkkkkkkkkkkkkssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb
aiiiiiihhhhhhhhhhhhhhhhhh
TOP TOPP TOP TOPOP TOOPOTOOTOP TOTOTOPPPPP TOPPPOPOTOPOPOP TOP TOPOP TOPPPPP TOPOOTPPOPPOPOTPPPOPOOTOTTOP TOPPOOTOPPPOTOTOTOTOP TOTOTPPPP TOTOTTPP TOTTOTTTTOTTOTTTRETETETE ECREREET RCRE ECRCCCECECE ECTEET ECRE ECRR ECRCECRETET RETEEEERE CRRREEEERERERET RE ECEETETEEERER ECR ECR EETERE CECECRTETET CR ECR EETETETERE ECECRE ECTETETER ECR ECECTET RERRET R ECREEER ECECECC
888888888888888888888888888888888888iiiiiiiiiiiiiiiiii----------
hhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyykkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkdddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd
ffffffffffffffffffffffffaaa hhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhcccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkssssssssssssssssssssssssssssss
hhhhhhhhhhhhhhhhhlllllllllllllllllllllllll9999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999993333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333uuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuurrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwfffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkaaaaaaaaaaaaaaaaaaaaaaaaffffffffffffuuuuuuuuuuuuuuuuuuueeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
aafffffffuuuuuuuuuuuuuuuuuuuuuueeeeeeeeeeeeeeeeeeeeeeeeeeee
NGGGGG
STRE
NGGG
SS
GGGGNG
SS
GNGG
STRE
NGGGGGNGG
TRN
STRE
NG
S
GGGGGGGGGR
NGGGGGGG EGGGGGGGGGGGGNGGGGGNGNGNGNGNGNG
STRE
NNGNGGNGNGNGNNGGNGNST
RENNENG
STRE
NGGNGNG
TRENNNN
GGGNGNGNGNG
STRE
NSTST
NGGNNTRR
ENEN REST
RENRE
NRE
NNNST
RENRE
NEST
RRENRE
NST
RENTR
EN RENENTR
ENST
RENNE
STRERE
NRE TRENTRR
ENETR
EST
REN
STSTRE TR STREST
RSTSTST
REST
REEEREREREREREST
RESTST
RESTST
EST
REEREREST
RS
RTREEEREEE TRERE TREREST
RSSTST
RST
RRRST
RTRRRRTRTSTRST
RRTR STSTRST
RRRTRTR STRTRTRTRTRTR STSTSSTSTSTSSTSSTSSSSS
GEHE
IMMMMMEH
EIM HIM
GH
M
GEHE
IMM
GEH
MMMEH
M
GHEHEHHEIMMMMMMEHHEH
EM
GEHE
IMMHHHHE
IMEHHEH GEHE
IM
GEHE
IM
GEHE
IMMMMMMEIMM HHEGE
HEHMMMMMMEIM
GGEHEGEGEHE
IMM
GEHE
IMMMMMMMEHEHH
EMEH
EIMM
GEHE
IMMMMHE
IMMEIM HEIM
GEHEH
MMMMMMHE
IMEIMEIMIMMMIMIM HEIMIIM
GEHE
IM
GEHE
MMIHE
IMHE
IMEI EEH
EIM HEIMMHE
IMEIMEI EI EIMEIMEI
GEHE
I EHEGE
MEIMEIMEIMEI EI EEHG
HEHEI EI EI EI EI EEEHEEI EI EI EI EEEEHEHEHHEEEEHEHH
GEEEEEEHEHEHEHHH
GEEEHEHEHEHEHHHHEHE EHEHHHHHHHHHHHHEHHH GEHHHEHEHEHEGEGEGHEHEEGGEGEGEGEGEGEHEHEHEHEHEEEEEGEGEHGE
HHEHEHEHEEEEGEGEGHEHEHEH GEHEGEGGGEHEHEH GEHGEGEGEGEGEGEGEGEGEGEGGGGGEGG
TTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTT
den sich für einen anderenWeg. Jede App muss über ihrenMarket gehen. Um eine Appüberhaupt dem Market hinzu-zufügen, muss sich der Ent-wickler als Person oder Firmaauthentifizieren. Erst dann darfer seine Eigenentwicklung zumBegutachten vorlegen. DieHersteller kontrollieren dann,ob die App sich an die Regelnhält, und zwar nicht nur be-züglich der Codequalität undder Berechtigungen, sondernauch inhaltliche Vorgaben be-treffend. So sind üblicherweisePornografie, jede Art von sexu-
ware durch ein nicht zugängli-ches Dateisystem. Datentrans-fer ist nur über Zune und beiApple bis iOS 5 nur über iTunesmöglich. Wer sein Android perUSB an einen Rechner an-schließt, sieht den externenSpeicher als Wechselplatteund kann beliebig Daten jederArt hin und her kopieren, alsosein Telefon wie einen 16-GB-USB-Stick verwenden, oderApps erst speichern und späterinstallieren. Microsoft Phone 7verschlüsselt eine im Telefongefundene SD-Karte mit einemnur dem Betriebssystem be-
Smart phone heute genausowenig komplett ist wie ein PC.Diese Produkte bieten natürlichauch keinen hundertprozenti-gen Schutz, dennoch werdenbekannte und weitverbreiteteAngriffe recht zuverlässig blo-ckiert. Wer ein Komplettpaketinstalliert, hat dann auch gleichBackup und Remote-Wipe mitdabei.
Neben Trojanern gibt esmittlerweile auch immer mehr direkte Angriffe, sei es über Bluetooth, SMS oderden Browser. Sobald eineSchwachstelle bekannt wird,
das Installieren von Malwaredurch das Ausnutzen vonSchwachstellen im oder umden Browser herum, auch immobilen Umfeld immer mehr.
Spam und Phishing
Auch der Mail-Eingang auf demSmartphone ist vor diesen An-griffen nicht sicher. Spam aufdem Smartphone stellt andersals Phishing-Angriffe keine zusätzliche Gefahr dar. NachAuswertungen eines Phishing-Servers durch den Anbieter für sicheren Webzugang Trus-
iX extra 10/2011 XI
ix1011_x_00_mit_Anz.indd 11 06.09.2011 11:00:00 Uhr
teer klicken Benutzer vonSmartphones dreimal so häufigwie PC-Benutzer auf Phishing-Seiten. Dies kann unter ande-rem daran liegen, dass die klei-nen Displays von Smartphonesweniger Informationen anzei-gen, der Benutzer also wenigerChancen hat, eine echte Mailseiner Bank von einer Phishing-Mail zu unterscheiden. So wirdmeist nur der Name des Absen-ders angezeigt statt Name und E-Mail-Adresse, und derBrowser zeigt nur den Titel derSeite, nicht die URL inklusiveHost-Namen und Gültigkeit desZertifikats.
Umsonst ist keinSchutz zu habenAuch hier hilft die zusätzlicheSicherheitssoftware, die miteiner Funktion für sicheresBrowsen ausgestattet ist.Diese filtert alle bekanntenPhishing- und Malware-URLsund warnt den Benutzer beimBesuch einer solchen. Mit eini-gen Maßnahmen kann derNutzer selbst sein Gerät schüt-zen. Das kostet allerdings Ge-schwindigkeit, Akkulaufzeit,Arbeit und meist auch Geld.Dennoch lohnt es sich, da jedeMaßnahme zur Absicherung es einem Angreifer schwerer
macht, an die Daten heran -zukommen. Folgendes sollteberücksichtigt werden:–ˇKomplexes Passwort verge-ben,–ˇVerschlüsseln des Geräts, so-fern möglich,–ˇDisplay-Sperre nach einergewissen inaktiven Zeit,–ˇnur Anwendungen aus be-kannten und überprüften Quel-len installieren,
–ˇdie angeforderten Berech -tigun gen sehr genau kontrol-lieren – auch bei Updateseiner App,–ˇUpdates für das Betriebs -system und die Anwendungensofort installieren,–ˇSicherheitssoftware instal -lieren, die jede Anwendung vorder Installation scannt, verlore-ne Telefone klingeln lässt unddiese löschen kann, jede URL
vor dem Zugriff gegen eineListe bekannter Malware-URLs vergleicht und Backupsermöglicht.
Fazit
Smartphones sind vielen Risi-ken ausgesetzt und enthaltenviele Daten, die für Angreifer in-teressant sind. Bei pfleglichemUmgang kann man die Funktio-nen der Helferlein im Alltag zuseinem Vorteil ausnutzen unddie Wahrscheinlichkeit, gehacktoder elektronisch beraubt zuwerden, stark reduzieren. Den-noch gilt: keine vertraulichenInformationen, keine Ver-schlusssachen oder sonstigenGeheimnisse von Firmen oderStaaten oder gefährdeten Pri-vatpersonen sollten auf einemSmartphone lagern. Generellsollte sich jeder überlegen,seine privaten Daten zusätzlichdurch eine vertrauenswürdigeVerschlüsselungslösung zuschützen. (JS)
Christoph Puppeist Managing Consultant und
Product Manager technicalAudits bei der HiSolutions AG
in Berlin.
XII iX extra 10/2011
Security
Sensoren und Aktoren spielenin der Industrie eine großeRolle: Sie messen Umgebungs-bedingungen wie Temperatur,Bewegung oder Beschleuni-gung und liefern so Eingabe -daten für die Maschine oderdie Produktionssteuerung – seies für die Automobilindustrie,
Automatisierungs- und Medi-zintechnik oder Windkraftan -lagen.
Dabei kommen immer neueAnforderungen auf die Systemezu: Sensoren werden so klein,dass sie gemeinsam mit Akto-ren und Steuerungselektronikauf einen Chip passen.
iX extra gibt einen Überblicküber den Markt sowie die ver-wendeten Anschluss- und Kom-munikationstechniken. Ein Aus-flug in die Welt der Forschungzeigt, wohin die Reise geht.
Erscheinungstermin:13.ˇ10.ˇ2011
In iX extra 11/2011: Embedded Systems: I/O-Komponenten für die Industrie
DIE WEITEREN IX EXTRAS:
Ausgabe Thema Erscheinungstermin
12/11 Storage Speicher im Netz – von iSCSI bis FCoE 17. 11. 11
01/12 Networking Managed IT in der Cloud 22. 12. 11
02/12 Embedded Systems Funktionale Systemsicherheit 26. 01. 12
Trojaner-Baukasten ZeuSBuilder: Oft wirdden Nutzernsolcher Softwareeine benutzer -freundlicheBedienoberflächegeboten.Keylogger- undScreen viewing-Funktion sind hier perMausklickkombinierbar.
Quel
le: P
uppe