loading...
Warum criminal thinking?
Überall dort, wo es um Sicherheit und den Schutz von Systemen geht, wird gerne ein Aphorismus zitiert: ›Think like a burglar.‹ Die Motivation für dieses Kapitels leitet sich daraus ab.
Eine der grundlegenden Die Idee, dass es genügt, Systeme gut, fehlerfrei und wohldurchdacht zu implementieren, wird durch so eine Sichtweise in Frage gestellt.
Das findet sich dann auch in einem späteren Artikel auch entsprechend formuliert: ›How to think like a hacker‹ als ein wesentliches Prinzip, das hilft, Security-Probleme zu antizipieren und damit zu vermeiden.
Wer denkt in der Informatik kriminell?
Für unterschiedliche Herangehensweisen von Hacker_innen hat sich in der kurzen Geschichte der Informatik die Konvention herausgebildet, sie nach der Farbe imaginärer Hüte zu kategorisieren.
Für eine genaue Bedeutung der Farben siehe nebenstehende Artikel; wir können hier festhalten, dass Criminal Thinking im wesentlichen von Black Hat Hacker_innen betrieben wird; die hier dunkelblau dargestellten für ›Revenge‹ Hacker_innen sind eine relativ unbedeutende Gruppe, ich würde sie definitiv zu Criminal Thinking zählen; die gelben Hüte für Social Media Hacker_innen sind eine neu eingeführte und mmn. überflüssige Ergänzung für Black Hats.
…und falls sie sich an dieser Stelle fragen, ob ›Hacker‹ wirklich als ›Hacker_in‹ geschrieben werden muss, dann schlagen Sie mal die folgenden Namen nach: Susan Headley, Ying Cracke, Kristina Vladimirovna Svechinskaya, Gigabyte, Adeanna Cooke.
Ein Beispiel zu Beginn
Ein Beispiel: Skimmer. Im Grunde sind Bankomat-Systeme öffentliche Safes. Es ist wirklich schwierig, einen Bankomat zu ›knacken‹, dazu muss zu rabiaten Mitteln gegriffen werden (was manchmal auch passiert – siehe nebenstehenden Artikel).
Es ist vergleichsweise einfach, an die Daten der Bankomat-Kund_innen heranzukommen, indem die interaktionsgeräte - Tastatur und Kartenleser - um eigene Lesegeräte ›ergänzt‹ werden.
Interessantes Detail am Rande: wir müssen den PIN nicht per Touchscreen, sondern über eine eigene Tastatur eingeben, um zu verhindern, dass er per Software (oder durch die Fettspuren auf dem Touchscreen) abgegriffen werden kann. Die Authentifikation des Vorgangs erfolgt hier direkt auf der Karte, ohne dass der PIN irgendwo gespeichert wird. Weil es eine eigene Tastatur ist, wird aber die hier gezeigte Manipulation möglich – auf einem Touchscreen wäre das nicht ohne weiteres machbar!
Wenn wir gerade von 10er-Tastaturen reden: die können auch ganz ohne Skimmer ein Sicherheitsrisiko darstellen. In den beiden hier gezeigten Beispielen ist der PIN recht klar kompromittiert; im rechten Bild ist er sogar nahezu zweifelsfrei ablesbar (Raucher-Finger…)
Ein recht bekanntes Bespiel für einen Skimmer zeigt dieses Video, das von Ben Tedesco hochgeladen wurde. Er hat am Stephansplatz in Wien einen Skimmer an einem Bankomaten gefunden.
Interessanterweise hat er den zweiten Teil des Skimming-Devices, eine versteckte Kamera (o.ä.) über der Zehnertastatur übersehen. Damit können von diesem System sowohl Kartendaten als auch der PIN erfasst werden - die Angreifer_innen haben hier gründlich gearbeitet!
Einen noch wesentlich frecheren Hack ist im hier verlinkten Video zu sehen, quasi der potemkinsche Bankomat.
In einem im Wechsenspiel zwischen Criminal Thinking und Security typischen Muster werden immer wieder neue Sicherheitsmaßnahmen eingeführt (Beispiel: Chip statt Magnetstreifen), die bestimmte Formen des Angriffs unmöglich machen; es dauert dann immer ein wenig, bis Angriffe auch auf so abgesicherte Infrastruktur möglich wird – vlg. den hier verlinkten Artikel von Brian Krebs.
Ähnlich: Kreditkarten-Terminals, bei denen man die Karte hineinstecken muss, waren eine Zeit lang im Fokus solcher Angriffe, kontaktloses Zahlen ist wiederrum besser gesichert – bis eben auch dort eigene Angriffe entwickelt und verbreitet werden: siehe verlinkten ›Hacker News‹-Artikel.
Hinweis am Rande: wenn Sie so etwas bemerken, sollten Sie das keinesfalls selbst entfernen; es kann gut sein, dass diejenigen, die das installiert haben, in der Nähe sind und recht allergisch darauf reagieren. Vor allem, wenn Sie alleine sind, ist die richtige Reaktion, die Polizei zu verständigen.
Begriffe und Kategorien
Das sind einige Begriffe, um im Bereich Cybersecurity/Criminal thinking zu einer gemeinsamen Sprache zu finden.
Es gibt unterschiedliche Arten von Attacken, die auch unterschiedliche Gegenstrategien und Reaktionen erfordern.
Eine weitere Einteilung kann nach unterschiedlichen Dimensionen der Angriffsquelle erfolgen, wodurch wiederum andere Aspekte sichtbar werden.
Interessant an dieser Stelle zu erwähnen, dass momentan scheinbar überlegt wird, einen (mehr oder weniger) aktuellen (vermutlich) staatlich organisierten Angriff (der SolarWind-Hack) vor allem diplomatisch zu bekämpfen, weil es keine brauchbare technische Lösung gibt.
Schliesslich eine Gruppe von Angriffen, die oft übersehen wird: Angriffe auf Menschen, oder, wie Bruce Schneier sagt: ›Amateurs tend to attack machines, whereas professionals target people.‹
Beispiel: Professionals Target People
Social Engineering ist ein Begriff dafür, wenn Menschen manipuliert werden und dadurch zur Schwachstelle in komplexen Sicherheitssystemen werden.
Bei Social Engineering muss die angegriffene Person nicht einmal direkt involviert sein. Informationen werden oft durch Eindringen in die Privat- oder Berufssphäre erlangt. In Filmen und Serien ist das inzwischen ein Stereotyp geworden: Das Password/der Sperrcode sind Name oder Geburtsjahr einer geliebten Person.
Social Engineering ist aber auch viel mehr: Menschen dazu zu bringen, ein Sicherheitssystem auszuhebeln. Zur richtigen Zeit an einer versperrten Tür zu sein, wenn jemand anderer sie gerade aufsperrt, kann dabei schon genug sein, um unauthorisierten Zugang zu bekommen. Oft hilft auch ›ich habe meinen Schlüssel gerade vergessen, würden Sie mir diese Tür aufsperren?‹.
Entsprechend gehören solche Strategien zum Starter-Werkzeugkasten von Hacker_innen, aber auch von Penetration Tester_innen, deren Job es ist, solche Schwachstellen zu finden und zu dokumentieren.
Ein Meister dieses Jobs ist Jason E. Street, der auf mehreren DevCon-Konferenzen sehr unterhaltsame Talks gegeben hat, die diese Strategien schön zeigen (siehe Link)
Das ebenfalls hier verlinkte Video von Max Fosh zeigt, dass sogar die sogenannten Security-Expert_innen wirklich anfällig für solche Angriffe sind – also dieselben, die gerne geringschätzung sagen, Menschen wären das schwächste Glied in der Sicherheitskette, und damit alle ausser sich selbst meinen.
Foto: ›Social Engineering: The one and only Eric Corley works the phones. The founder of 2600 magazine performed some live, unrehearsed social engineering: obtaining phone numbers, electric meter and basement access, and other information from McDonald's franchises in Queens.During this session in years past, he's gotten Taco Bell to turn off all of their registers for 5 minutes, and KMart to patch him through to the store-wide PA system ('Attention Customers: Everything in Aisle 6 is now Free!')‹
Die Studien kommen zu dem Schluss, dass hier nicht nur Wissenslücken vorhanden sind, durch die Security in vielen Fällen beeinträchtigt wird, sondern auch, dass viele Produkte, mit denen sichere Systeme umgesetzt werden sollen, grundlegende Usability-Probleme haben, wodurch wiederum die Security kompromitiiert wird.
Noch ein paar Begriffe
›The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. […] The Heartbleed Bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software.‹
Fixed OpenSSL has been released and now it has to be deployed.‹
Dieses ›Now it has to be deployed‹ sollte sich als schwieriger herausstellen, als man erst mal meinen mag…
Während das Problem technisch sehr schnell behoben war, dauerte es bzgl. der Umsetzung dieses Fixes auf allen möglichen Servern leider recht lange. Ein Jahr (!) nach dem Aufdecken von Heartbleed war sogar in Deutschland nicht einmal die Hälfte der Server gegen solche Angriffe abgesichert.
Noch zwei Jahre später. Hier wird deutlich sichtbar, wie lausig Sicherheits-Management (oft genug) ist! Das sind meist Informatiker_innen, die das machen - oder?
2022 habe ich noch einmal versucht, aktuelle Daten zu finden; die letzte Information war rund um 90.000, aber seitdem hat es eine weitere OpenSSL vulnerability gegeben, die offenbar dazu geführt hat, dass weitere Systeme gepatcht wurden.
Meltdown und Spectre
Diese beiden Schwachstellen wurden beide erst kürzlich (Okt/Nov 2024) gepatcht. Insofern ist es inzwischen kein echter Zero-Day, sondern einer, der bis zu diesem Patch ein Zero-Day war. Entdeckt wurde er gestern, wie lange davor er aktiv war, ist unbekannt.
Die Wichtigkeit von Zero-days sollte nicht überbewertet werden: die wesentlichste Quelle von Verletzlichkeit im Internet sind nicht Zero-day exploits, sondern die Millionen Systeme mit veralteter Software, schlechter Sicherheit und ungeschulten Nutzer/innen. Das scheint sich allerdings langsam zu ändern, wie dieses Beispiel zeigt; Cybercrime wird schneller, nicht zuletzt deswegen, weil mehr Geld zur Verfügung steht. s.u.
Mit diesem Beispiel kann man auch gut die Formel Verletzlichkeit = Schadenswahrscheinlichkeit Schadenshöhe illustrieren: Nachdem die Schadenshöhe sich durch aktuelle gesetzliche Regelungen wie DSGVO gewaltig erhöht hat, muss man jetzt eher daran arbeiten, die Schadenswahrscheinlichkeit zu senken.
Gerade hier wird klar, wie wichtig es ist, immer alle Software auf aktuellem Stand zu haben - trotz des Risiko des Ausfalls oder von Inkompatibilitäten, die in einzelnen Fällen vorkommen können. Das Risiko, einem der sich immer schneller verbreitenden Angriffe zum Opfer zu fallen, ist zwar nicht viel höher, der Schaden aber bedeutend größer.
Nicht zuletzt deswegen startet in solchen Fällen heute oft ein ›Race to exploit‹, bei dem Malicious Hacker_innen versuchen, diesen Zero-day möglichst schnell zu ›weaponizen‹.
Trotzdem sind Millionen Systeme mit veralteter Software, schlechter Sicherheit und ungeschulten Nutzer/innen nach wie vor das einfachere und lukrativere Thema
In einem Artikel von 2007 wird der Chef-Security-Verantwortliche von Sony in folgendem Kontext zitiert:
The cost to harden the legacy database against a possible intrusion could come to $10 million, he says. The cost to notify customers in case of a breach might be $1 million. With those figures, [...] it’s a valid business decision to accept the risk of a security breach. I will not invest $10 million to avoid a possible $1 million loss, he suggests.
Inzwischen sind die zu erwartenden Kosten für solche Probleme allerdings astronomisch gewachsen. Neben den Kosten für den eigentlichen Schaden kommen Strafen durch neuere Gesetze wie die DSGVO dazu, eventuelle Klagen auf Schäden durch publik-gewordene Daten, und die PR-Abteilungen reagieren inzwischen auch sehr empfindlich auf den Image-Verlust, weil Vertrauen am Technologiemarkt eine eigene Währung geworden ist.
Arten von Malware
Leider gibts keine einheitlichen Begriffe. Ganz klar hingegen ist der Trend der letzten Jahre: stark steigend. Malware wird mehr.
Bei dieser Grafik, die irgendeine der Maleware-Dynamiken beschreibt, ist es ehrlich egal, woher sie kommt - sie steht stellvertretend für alle Trends. Damit müssen wir leben, und die offene Technologie des Internets tut wenig dazu, dass es besser werden kann.
Malware wird mehr, und damit werden auch Angriffe immer häufiger. Die wachsende Komplexität von informatisch-technischer Systeme - eigentlich ist ja inzwischen fast überall ein Computer drin - schafft immer mehr Angriffsflächen; die Zahl von Code-Zeilen in jeder beliebigen Technologie ist tendenziell am wachsen (Windows: 50 Millionen Codezeilen), und damit auch die Zahl der Fehler. Jeder Fehler ist potentiell auch eine Verletzlichkeit. Wir haben zwar gelernt, auf Security by Design mehr Wert zu legen - siehe verlinktes Memo von Bill Gates - was nichts daran ändert, dass viele Trends gegen Security arbeiten.
Internet Background Radiation
Eine der indikatoren für diese Probleme ist Internet background radiation (IBR).
IBR ist ein Begriff, der ›non-produktive Traffic‹ zusammenfasst, also zb. Pakete, die an nicht genutzte Adressen geschickt werden (zB. wegen Konfigurationsfehler), oder auch Portscans, die einfach der Reihe nach IP-Adressen nach offenen Ports (für Angriffe) abfragen. aber auch ›Geister‹ und Gerüchte (beispielsweise ein fake file sharing server) sorgen für solchen Traffic.
In der Grafik deutlich zu sehen: 2006 und 2010 hat IBR stetig zugenommen. In dieser Grafik ist zu beachten, dass die vertikale Skala logarithmisch ist.
Das Internet-Wachstum pro jahr liegt in der Gegend von 50%, das IBR-Wachstum ist im beobachteten Zeitraum pro Jahr eher in der Gegend einer verdoppelung, also 100% Zuwachs!
Businessmodell Malware
Beispiel DDoS
Vor etwa 15 Jahren ist diese Timeline von DDoS-Angriffen entstanden. Es war zu beobachten, dass sich die Motivation für DDoS-Angriffe stetig verändert hat: ging es zu Beginn noch darum, auszuprobieren und zu schauen, was so alles geht – solche Angriffe zeichneten sich dadurch aus, dass unklar ist, warum sie passieren – änderten sich die Motive langsam zu Erpressung und später zu politischen Hintergründen. Mehr Information dazu siehe im untenstehenden Video zu DDoS.
Als nächstes:
Danach weiter mit Criminal Thinking: Teil
Die Entwicklung kann etwa so fortgesetzt werden:
: : Die Größenordnung von DDoS-Attacken hat sich seit 2008 etwa ver-30-facht
: : Die Zahl der Attacken wird nicht mehr pro Tag, sondern pro Stunde gemessen. Die Zahlen hier sind nur von einem der vielen Serviceleister, die bei DDoS-Angriffen helfen.
: : Die Angriffe sind wohl oft politisch motiviert; ich würde auch die Angriffe gegen Games-Firmen also politisch motiviert einordnen – es ist zu vermuten, dass diese Angriffe auf gesellschaftspolitische Meinungsverschiedenheiten zurückgehen, auch wenn ich das im Moment nicht belegen kann.
: : Schließlich brauchen DDoS-Attacken nur noch einen Bruchteil der Ressourcen als noch vor wenigen Jahren (50.000 Bots vs. 1.000.000 Bots). Das geht zumindest zum Teil darauf zurück, dass generative AI dabei hilft, effektivere und komplexere Attacken zu fahren.
Inzwischen gibt es hier ein Wechselspiel: nicht nur, dass AI aktiv bei der Ausnutzung von Schwachstellen hilft, es hilft auch passiv dadurch, dass Code mit Sicherheitsschwachsstellen generiert wird.
In gewisser Weise der ›Startschuss‹ zu dieser Entwicklung war das aufkommen von Ransomware: Schadsoftware, die Daten auf dem befallenen Rechner verschlüsselt und nur gegen Zahlung eines Geldbetrags wieder entschlüsselt.
Hier entsteht eine kriminelle Mafia mit fast unbegrenzten Ressourcen, die diese Mittel dazu verwenden, um (a) noch reicher zu werden und (b) unantastbar zu werden.
Um 2016 herum wurden mit solchen Angriffen vor allem Spitäler/Krankenhäuser angegriffen, die leichte Beute waren.
Why hospitals are the perfect targets for ransomware
Das ist der Grund, warum Krankenhäuser sich für diese art von Angriffen geradezu angeboten haben.
Randmbemerkung: hier zeigt sich meiner Meinung nach sehr deutlich, wie schädlich langfristig der Versuch ist, öffentliche Infrastruktur mit minimalen Kosten zu betreiben.
2019 wurden auch schon öffentliche Verwaltungen zum Teil mit großem Erfolg angegriffen, wie im hier verlinkten Artikel von Forbes dokumentiert.
›According to her last update on Sunday, a slew of services remain impacted including the police department, emergency medical services, the courts, sanitation, the tax office, health department and neighborhood engagement office‹ (Infosecurity Magazine)
Ein Fall aus 2020, wo eine Schadsoftware-Angriff dazu beigetragen hat (aber vermutlich nicht alleine dafür verantwortlich war), dass eine Notfallpatientin gestorben ist.
Internet of things Malware + Botnets
Der aktuelle Trend im Bereich Malware ist jedoch IoT-Malware.
Internet-of-things Devices sind im Falle von Vulnerabilities wesentlich gefährdeter als die always-on-remote-managed-devices Google home oder Amazon echo, weil die Geräte großer Hersteller üblicherweise gewartet werden und Updates erhalten. Das gilt für billige IoT-Devices normalerweise nicht.
›[…] the problem is getting worse, thanks to a flood of cheap webcams, digital video recorders, and other gadgets in the Internet of things. Because these devices typically have little or no security, hackers can take them over with little effort. And that makes it easier than ever to build huge botnets that take down much more than one site at a time.‹
Und weil diese Dinge immer einfacher herzustellen sind und immer billiger verkauft werden, wird dieses Problem wiederum einfach immer größer werden. Eine Chance, wie wir das in den Griff bekommen könnten: wir regeln gesetzlich, dass Technologie mit Update-versprechen kommen muss, für die gesamte Lebensdauer. Für diese (und ähnliche) Diskussionen siehe Kapitel ›Policy thinking‹.
Billig-Geräte
Die meisten dieser Billig-Kameras (vermutlich alle) bekommen nämlich niemals ein Software-Update, weil von den Herstellern niemals geplant war, eines herauszugegeben. Oft genug sind diese Firmen ›Eintagsfliegen‹, die schon wenige Jahre später nicht mehr existieren. Jede Schwachstelle, die da drin ist, wird damit niemals behoben. Damit sind sie das ideale Ziel für Angreifer.
Dazu kommt noch, dass solche Dinger meistens von Menschen gekauft und/oder verwendet werden, die von Security nichts verstehen – schon alleine deswegen, weil die meisten Menschen von Cybersecurity nichts verstehen.
Nicht nur deswegen, sondern vor allem wegen eines (durchaus berechtigten) Misstrauens erleben wir aber gleichzeitig, dass immer mehr Menschen ihre ›Smart Devices‹ nicht mit dem Internet verbinden. Geschichten über Fernseher, die zusätzliche Werbung zeigen, ermutigen noch dabei. Wie schon weiter oben gesagt: Vertrauen ist zu einer der wesentlichen Währungen im Rennen um ›User‹ geworden. Manche Firmen werben mit Privacy, andere mit
Relevantes Zitat:
Regular people — and, increasingly, legislators and regulators — have reasonably been made skeptical by recent transgressions against individuals’ privacy, calcification of corporate or individual biases into life-altering algorithms, constant threats that new tech erodes their ability to make a living, and beta testing unsecured or faulty connected devices or vehicles on an unsuspecting populace. Looking at the near future, with generative AI and virtual worlds being implemented faster than we can track, the trust problem is only getting worse.
Few things are harder to earn and easier to lose than trust
Noch ein Beispiel (creeeeepy!)
›…the camera is installed in a far corner, looking down on the children’s beds and dressers while they play. The hacker is heard playing the song Tiptoe Through the Tulips through the device’s speakers, and when one of the daughters, who is eight years old, stops and asks who’s there?, the hacker says, It’s Santa. It’s your best friend.‹
Das Problem ist schon soweit gewachsen, dass das FBI bereits die Menschen dazu aufruft, doch hier für mehr Sicherheit zu sorgen, um zu vermeiden, dass diese Devices (im konkreten im Kontext von Swatting-Angriffen) verwendet werden können, weil sie in private Wohnungen schauen und hören.
Most Malware is IoT Botnets!
Kein Wunder also, dass heute die meiste Malware-Aktivität von solchen IoT-Botnets ausgeht!
Update 2023: › Number of IoT devices (bots) engaged in botnet-driven DDoS attacks rose from around 200,000 a year ago to approximately 1 million devices.‹
Nochmals die generelle Malware-Dynamik
…und das wird nicht weniger werden!
Botnetze werden auch immer mehr von den zentralen Ressourcen unabhängig, die sie steuern. Aktuellere Botnetze haben eine Mesh-artige Struktur, sodass der Ausfall oder die Entfernung des zentralen Servers das Botnetz nicht mehr zum Erliegen bringt.
Stellen sie sich darauf ein, dass sie ihr gesamtes berufliches Leben hindurch mit Security-Problemen zu tun – und in den meisten Fällen zu kämpfen – haben werden! Security ist niemals fertig, sie bleibt ein Prozess des aktiven Kampfs gegen Eindringen und Missbrauch.
Warum haben wir diese Probleme?
Im wesentlichen sind vier Faktoren dafür verantwortlich. Dazu gibt es ein eigenes kleines Video.
Ein fünfter Grund kommt seit 2021 dazu: weil mittels genAI generierter Code ungefähr die Statistik von Open Source Code in Bezug auf Security-Probleme spiegelt – die Systeme sind zu einem großen Teil mit Open Source Code trainiert worden – entsteht in ahnungsloser Selbstüberschätzung gerade sehr viel Software, die mit denselben 40% Wahrscheinlichkeit (siehe verlinkter Artikel) Sicherheitsprobleme haben wird. In zahllosen Firmen, wo die Policies entsprechendes Vorgehen nicht untersagen (können oder wollen), und vermutlich noch mehr für freie Dienstleister_innen, Berater_innen etc. wird ohne viel Zurückhaltung Software mit Hilfe von genAI-Systemen erzeugt, die mittelfristig riesige Probleme schaffen.
Als nächstes:
Danach weiter mit Criminal Thinking: Teil
Ua-parser-js ist eine ›JavaScript library to detect Browser, Engine, OS, CPU, and Device type/model from User-Agent data with relatively small footprint‹.
Anregung: »Disease prevention and control«
In einer Diskussion auf TWiT wurde der Vorschlag gemacht, Cybersecurity ähnlich wie Hygiene Mitte des 19. Jhdt durch die Einrichtung entsprechender Zentren zum öffentlichen Thema zu machen. Solche Zentren wie das ECDC, das amerikanische CDC usw. würden sich zur Aufgabe machen, Cybersecurity systematisch zu untersuchen, aufzubereiten, und darauf aufbauend die Menschen zu informieren. Da wäre dann beispielsweise eine Warnung vor Billig-Kameras
Weitere Services eines solchen Zentrums könnten das Untersuchen mitgebrachter Geräte, das Ausstellen von Zertifikaten für neue Hardware, und das Anbieten von Schulungen für Security sein. Schließlich hätte so ein Zentrum eine zentrale Rolle dabei in der Gestaltung von Policies rund um Technologien – womit wir auch eine Brücke zum nächsten Kapitel gebaut haben: Policy Thinking.
Literaturliste
Primärquellen
Weiterführende Literatur & Materialien
Weiterführende Literatur & Materialien