2013 - Die Zukunft hat schon begonnen!
Traditionell werden zum Jahresende Prognosen für das Folgejahr veröffentlicht. Das ist im Bereich der IT-Sicherheit eigentlich ganz einfach, man muss nur den Grundsatz von Bernd dem Brot abwandeln: "Alles wird wie immer, nur schlimmer" Der Beweis: Es geht schon los! Ich habe drei "Standpunkt"-Texte dieses Jahres aufgegriffen und auf ihre Aktualität untersucht.
Onlinebanking-Trojaner werden mobil
Der erste Text ist der "Standpunkt" der vorigen Woche:
"Eurograbber beweist: mTANs gefährden Ihr Bankkonto!".
Dass das natürlich auch 2013 so sein wird, erkennt man sogar ganz ohne
Kristallkugel oder Kaffeesatz. Und es geht schon los: Kaspersky hat eine
Mobil-Version des Onlinebanking-Trojaners Carberp
gefunden
und Trojan-Spy.AndroidOS.Citmo
bzw. Carberp-in-the-Mobile
getauft. Damit ist nach Zeus und SpyEye nun der letzte der verbreiteten
Onlinebanking-Trojaner mobil. Außerdem wurde Carberp um ein Rootkit
erweitert.
Die Cyberkriminellen haben ihr Arsenal also aufgestockt, jetzt müssen die
Banken kontern. Wenn man bedenkt, wie langsam die bisher immer reagiert
haben, wage ich mal eine Prognose: Neue Schutzmaßnahmen wird es irgendwann
im Frühjahr geben. Aber fragen Sie nicht nach dem Jahr...
Von F-Secure gibt es übrigens eine schöne Grafik zum Thema: "How to Rob a Bank in the 21st Century".
0-Day-Exploit für Adobe Reader X unterwegs?
Beim nächsten "Standpunkt" ist die Kapitel-Überschrift gleichzeitig der Titel des zugehörigen "Standpunkt": "0-Day-Exploit für Adobe Reader X unterwegs?" Seit Anfang November untersucht Adobe die angebliche 0-Day-Schwachstelle, inzwischen war der letzte reguläre Patchday für dieses Jahr mit Updates für ColdFusion und Flash Player, aber zur angeblichen Schwachstelle äußert man sich immer noch nicht.
Es gibt weder eine Bestätigung der Schwachstelle, noch eine Entwarnung. Und das kann ja eigentlich nur das Schlimmste bedeuten. Wenn die Schwachstelle eindeutig nicht vorhanden wäre und der Exploit nicht funktioniert, hätte Adobe ja wohl längst Entwarnung gegeben. Hat Adobe die Schwachstelle also immer noch nicht ausreichend untersucht, um ihr Vorhandensein zu bestätigen oder zu widerlegen? Das kann ich mir eigentlich nicht vorstellen. Wahrscheinlicher ist, dass die Schwachstelle existiert und Adobe erst einen Patch dafür entwickeln will, bevor sie bestätigt wird. Und das ist dann gar nicht gut. Denn nur weil keiner drüber spricht bedeutet das ja nicht, dass keiner sie ausnutzt. Vielleicht nur im Rahmen gezielter Angriffe, um nicht aufzufallen.
Ich bin gespannt, wann sich Adobe endlich äußert. Und was man dann zu sagen hat. Schließlich hat man Anfang des Jahres noch verkündet, lieber Exploit verteuern zu wollen als alle Schwachstellen zu finden und zu beheben. Da passt ein Exploit, der aus der Sandbox ausbricht, ja nun überhaupt nicht in Konzept.
SHA-3 wird gebraucht!
Kommen wir zum "Standpunkt" vom 8. Oktober: "Wer braucht SHA-3?" Die Angriffe auf den veralteten Standard SHA-1 wurden erneut verbessert, und zwar um beachtliche 21,1% (Präsentation von Jens Steube als PDF). Mit anderen Worten: Mit SHA-1 gehashte Passwörter lassen sich per Brute-Force deutlich schneller brechen als zuvor.
Das betrifft zwar die aktuell verwendeten Algorithmen der SHA-2-Familie nicht, zeigt aber, dass Verschlüsselung und Hashberechnung immer nur ein Zeitschloss sind. Irgendwann ist der Schlüssel nicht mehr lang genug oder der Algorithmus nicht mehr sicher genug, und eine Alternative wird benötigt. Im Fall von SHA-2 steht die mit SHA-3 als offizieller Standard zur Verfügung. Zwingend benötigt wird sie 2013 kaum, aber ist es nicht gut zu wissen, dass man notfalls auf einen anderen, sicheren Algorithmus ausweichen kann und nicht erst unter Zeitdruck einen entwickeln muss?
Die Cyberwar-Schädlinge
Kommen wir zum Schluss noch zu den ganzen Schädlingen, die im Rahmen des Cyberwar der USA und Israels gegen den Iran eingesetzt wurde. "Standpunkte" dazu habe ich gar nicht erst raus gesucht, es sind so viele, da benutzen Sie besser die Suchfunktion.
Generell dürften uns da noch einige Überraschungen erwarten. Und selbst wenn keine neuen Schädlinge mehr entdeckt werden sollten, gibt es bei den bereits bekannten ja genug offene Fragen. Zum Beispiel, wozu der von Gauss installierte Font benötigt wird, oder wie Flame und Gauss auf den infizierten Rechnern eingeschleust wurden. Vielleicht bekommen wir ja 2013 ein paar Antworten.
Weihnachtspause!
Sofern nichts außergewöhnliches mehr passiert, ist dies der letzte "Standpunkt" für dieses Jahr.
Ich wünsche Ihnen ein frohes Fest, einen guten Rutsch ins neue Jahr und ein erfolgreiches 2013!
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 1.2015 - SSL/TLS im Jahr 2014: Herzbluten, ein bissiger Poodle und Co.
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: "Websecurity - Jahresrückblick 2014"
Vorschau anzeigen