Dipl.-Inform. Carsten Eilers

Apple konnte sehr schnell Entwarnung geben: Nicht die iCloud wurde angegriffen, sondern nur die Benutzer. Oder um Apple zu zitieren:

"After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet."

Na, dann ist das ja alles kein Problem. Die Server sind sicher, wen interessieren schon die Benutzer, nicht war?

Aber... Sicherheitsfrage, Apple, iCloud - war da nicht was? Vielleicht sollte Apple mal Mat Honan fragen, was der dazu zu sagen hat. Denn der hat da 2012 ganz eigene Erfahrungen mit gemacht. Ebenfalls keine Guten.

Zu Sicherheitsfragen allgemein habe ich schon 2009 etwas geschrieben. Die taugen im Allgemeinen wenig bis nichts, da sich die Antworten zu leicht ermitteln oder auch erraten lassen. An einer Zwei-Faktor-Authentifizierung (die Apple ja teilweise schon verwendet) führt kein Weg mehr vorbei, wenn man halbwegs sicher sein will, die Kontrolle über seinen Account zu behalten. Halbwegs, da für die Cyberkriminellen mitunter eben doch ein Weg an der Authentifizierung vorbei führt, trotz zweitem Faktor. In diesem Sinne ist das "führt kein Weg vorbei" ja auch nicht gemeint. Eine Zwei-Faktor-Authentifizierung ist nicht unüberwindlich, die Hürde liegt aber sehr hoch.

Und das ist auch nötig, denn es gibt schon wieder Phishing-Angriffe auf die Apple ID. Diesmal vom Botnet Kelihos/Waledac. Der Köder ist eine E-Mail mit der Information über einen angeblichen iTunes-Kauf von einem nicht mit der Apple ID verknüpften Gerät. Wenn man den Kauf nicht getätigt hat, soll man seine Apple ID prüfen - und dabei landet man dann auf der Phishing-Seite. Apple macht es den Phishern in diesem Fall besonders leicht, da man selbst angekündigt hat, mehr Warn-/Info-Mails zu verschicken.

Was macht man dagegen? Am besten nicht auf die Phisher hereinfallen. Und sicherheitshalber keinen Links in E-Mails folgen, sondern die entsprechenden Seiten aus den Bookmarks oder von der Startseite der betreffenden Website her aufrufen. Ach ja: Und bitte nicht auf die Idee kommen, den Link aus der E-Mail nicht an zu klicken, sondern ab zu tippen - das führt im Ernstfall genau so zuverlässig auf die Phishing-Seite wie ein Klick.

Keine großen Heartbleed-Angriffe vor Veröffentlichung der Schwachstelle!?

Die Frage, ob es im großen Maßstab Angriffe auf die Heartbleed-Schwachstelle in OpenSSL vor ihrer Veröffentlichung gab, zum Beispiel durch die NSA, oder nicht wird sich wohl nie mit Sicherheit beantworten lassen. Zumindest ein Botnet scheint die Schwachstelle ja vor ihrer Veröffentlichung ausgenutzt zu haben.

Forscher der University of Michigan, der University of Illinois, der University of California at Berkeley, der Purdue University und des International Computer Science Institute haben nun eine Untersuchung der Heartbleed-Schwachstelle und ihrer Folgen (PDF) veröffentlicht. Der zu Folge wurden in den zur Verfügung stehenden Daten keine Hinweise auf Angriffe vor dem Veröffentlichungstermin gefunden.

Dafür kann es natürlich mehrere Gründe geben. Erst mal kann es wirklich sein, dass die Schwachstelle nicht ausgenutzt wurde - und das Internetweit. Das passt aber nicht zu den beobachteten Botnet-Angriffen. Genau so gut könnten zwar die untersuchten Netze wirklich nicht angegriffen worden sein, andere dagegen schon. Das würde zu den Botnet-Angriffen passen, die die untersuchten Netze nicht betroffen haben. Das sind US-Institute, die wird zum Beispiel die NSA kaum angreifen, an deren Daten kommen die auch ohne einen Angriff. Im Notfall droht man US-Unternehmen mit hohen Strafen, US-Unis wahrscheinlich eher mit dem Zudrehen von Geldhähnen.

Oder die Angriffe fanden in Zeiträumen statt, von denen es keine Aufzeichnungen gibt. Oder es gab gezielte Angriffe, und die dann nicht auf die untersuchten Netze.

Gezielte Angriffe sind meines Erachtens sowieso viel wahrscheinlicher. Warum sollte ein Geheimdienst (oder wer auch immer) einen 0-Day-Exploit wie mit der Schrotflinte einsetzen und dabei riskieren, dass er entdeckt wird? Würde man den nicht viel eher sehr gezielt einsetzen, im Fall der NSA dann eben vor allen gegen Server außerhalb der USA? Und da dann vor allem gegen Server, an deren private Schlüssel man nicht auf anderen Wegen gelangen kann? Vermutlich also die, die ihre Zertifikate nicht von US-Unternehmen gekauft haben. Denn wie lange würde ein US-Unternehmen wohl zögern, einen privaten Schlüssel oder ein MitM-Zertifikat zu liefern, wenn mit entsprechend hohen Strafzahlungen gedroht wird?

Neues zur bösartigen Werbung

Werbeanzeige, die Drive-by-Infektionen verbreiten, sind an sich nichts Neues. Neu ist, dass jetzt sowohl Windows als auch Mac OS X von der bösartigen Werbung angegriffen werden. Dafür allerdings (noch) nicht als Drive-by-Infektion, sondern tatsächlich als "Drive-by-Download", denn es wird nur automatisch eine Datei herunter geladen, die das Opfer dann noch manuell installieren muss, bevor der Schadcode aktiv wird. Was mittels Social Engineering in die Wege geleitet wird. Unschön, aber für aufmerksame Benutzer kein Problem - man installiert nun mal nichts, was man nicht absichtlich herunter geladen hat.

Dieser "Drive-by-Download" ist aber ein schönes Beispiel dafür, warum man Drive-by-Infektionen auch als solche bezeichnen und nicht als "Download" verharmlosen sollte, wie es immer wieder mal passiert. Bei einer Drive-by-Infektion wird der Schadcode über Schwachstellen im Browser etc. eingeschleust, ohne dass der Benutzer irgend etwas dazu tun muss (außer die präparierte Seite aufzurufen und eine anfällige Software zu verwenden). Dieser "Drive-by-Download" sorgt nur dafür, dass eine Datei auf dem Rechner des Opfers gespeichert wird. So lange der diese unerwünschte Datei nicht installiert sondern einfach löscht, passiert nichts Schlimmes.

Für Schadsoftware verbreitende Werbung wurde die Bezeichnung "Malvertising" gebildet. Im allgemeinen wird man die ebenso wie alle andere Werbung durch Adblocker los, jedenfalls im Browser. Trotzdem sind diese Anzeigen angeblich für Unternehmensnetze zur Gefahr geworden. Meinen zumindest Kirill Kruglov und Evgeny Kuskov von Kaspersky: "Gaps in corporate network security: ad networks". Unter anderem, weil darüber ja auch gezielte Angriffe ähnlich "umgekehrten" Wasserloch-Angriffen durchgeführt werden können: Statt eine für die potentiellen Opfer interessante Website zu präparieren wird Werbung so geschaltet, dass sie möglichst den gewünschten Opfern präsentiert wird.

Nur: Wieso sollte bösartige Werbung eine Problem für Unternehmensnetze sein, die doch sowieso vor Drive-by-Infektionen geschützt sind? Bösartige Werbung ist nur ein Weg zur Verbreitung von Drive-by-Infektionen. Und was vor denen schützt, schützt auch vor Malvertising. Zusätzlich kommen noch die doch weit verbreiteten Adblocker ins Spiel, denn die schützen zumindest im Browser zuverlässig vor jeder Werbung, egal ob nur lästig oder auch bösartig.

Der Adblocker schützt zwar nicht vor zum Beispiel in E-Mails eingebetteter bösartiger Werbung, dafür greifen aber die allgemeinen Schutzmaßnahmen vor bösartigen E-Mails. Und das gilt genauso für alle anderen Wege, auf denen Werbung auf den Rechner kommt. Also irgendwie sehe ich da kein Problem. Aber ich will ja auch keine Anti-Malware-Lösung verkaufen.

Carsten Eilers