Web-Sicherheit

April 29, 2011

Wiederverwenden von Zugangsdaten – die unterschätzte Gefahr

Filed under: Allgemein — sebastiankuebeck @ 15:38
Tags: , , , ,

Wie sich nun offenbar herausstellte, waren die Kreditkartendaten bei Sony doch verschlüsselt. Das muss natürlich nicht bedeuten, dass keine Kreditkartendaten abhanden gekommen sind. 2006 installierten Hacker eine Software im Netzwerk des Eintelhändlers TJX, welche Kreditkartendaten an die Hacker weiterleitete, bevor sie verschlüsselt in der Datenbank landeten.

Auf jeden Fall haben gestohlene Kreditkartendaten weit weniger negative Konsequenzen für Benutzer, wie das Abhandenkommen von Zugangsdaten. Kreditkartentransaktion kann man ja beeinspruchen, wie ich in meinem letzten Beitrag erörtert habe. Das Problem mit den Zugangsdaten ist, dass sie meistens auch für andere Zugänge verwendet werden.

So kann man davon ausgehen, dass die meisten Benutzer ihre Zugangsdaten für das Sonys PlayStation Network auch bei Facebook, GMail und anderen Online-Diensten, manche gar für ihren Telebanking-Zugang verwenden. Im Februar dieses Jahres untersuchte der englischen Forscher Joseph Bonneau Übereinstimmungen zwischen den „unabsichtlich“ veröffentlichten Zugangsdaten von rootkit.com und Gawker, mit dem Ergebnis, dass 76% der Benutzer, die auf beiden Seiten registriert waren, auf beiden Seiten die selben Passwörter verwendeten. Zusätzliche 6% verwendeten Passwörter mit Abweichungen von nur einem Zeichen, die leicht zu erraten waren.

Das Benutzer Zugangsdaten mehrfach verwenden ist naheliegend, da sich niemand zig komplexe Passwörter merken kann. Deshalb gibt es inzwischen unterschiedliche Werkzeuge und Dienste, die die Verwaltung von Passwörtern erleichtern und sicherer gestalten sollen. Im Folgenden werde ich PasswordSafe und Lastpass kurz vorstellen.

PasswortSafe

PasswordSafe ist ein kleines Programm, welches Zugangsdaten verschlüsselt abspeichert. Mit einem Master-Passwort bekommt man Zugang zu seinen Zugangsdaten und kann diese von dort kopieren und mittels Strg-V in der jeweiligen Anwendung einfügen. Eine Integration in Anwendungen wie Web-Browser ist nicht vorhanden, man kann dass Passwort allerdings zusätzlich vom Browser speichern lassen. Ein besonders praktisches Feature ist, dass PasswortSafe selbst zufällige Passwörter für die jeweilige Anwendung generieren kann. Die Bedienung ist also sehr einfach, man sollte allerdings beachten, dass man die Datei mit den Zugangsdaten regelmäßig sichert, damit nach einem Festplatten-Crash nicht alle Zugangsdaten unwiederbringlich im Datennirvana verschwinden. Auch ist PasswortSafe problematisch, wenn man Dienste von unterschiedlichen Geräten aus nutzt, denn erstens läuft PasswordSafe nicht auf Smartphones oder dem iPad und zweiten ist die Passwortdatei nicht überall vorhanden. Letzteres kann allerdings auch als nützliche Selbstbeschränkung dienen, da Telebanking in einem Internet-Café möglicherweise nicht die sicherste Angelegenheit ist…

Lastpass

Update vom 6.5.2011: Bei Lastpass ist möglicherweise eingebrochen worden! Aufgrund der gegenwärigen Informationen kann ich von der Verwendung von Lastpass nur dringend abraten!

Im Gegensatz zu PasswordSafe ist Lastpass ein Internet-Dienst, der sich in letzter Zeit stark wachsender Beliebtheit erfreut. Lastpass speichert also die Zugangsdaten verschlüsselt auf deren Servern ab, dadurch ist der Dienst von überall her verfügbar und die Zugangsdaten werden automatisch zwischen verschiedenen Geräten synchronisiert. Dazu gibt es ein Browser-Plugin, welches die Authentifizierung auf Wunsch automatisch durchführt. Besonders sicherheitsbewußte Naturen haben Probleme damit, wenn sie so etwas sensibles wie Zugangsdaten an ein externes Unternehmen weiterleiten. Schließlich könnte ja auch Lastpass gehackt werden und wer garantiert einem da, dass die Zugangsdaten nicht in falsche Hände geraten. Rein von der Wahrscheinlichkeit her ist aber Lastpass sicherer als wenn man dieselben Zugangsdaten für unterschiedliche Anwendungen und Dienste verwendet, schließlich genügt es einem Hacker, wenn er den unsichersten unter diesen Diensten angreift, um an die Zugangsdaten zu gelangen. Hat Lastpass ein höheres Sicherheitniveau wie dieser unsicherste Dienstleister, ist also Lastpass sicherer (ja, hier greift wieder das Prinzip des schwächsten Gliedes, dass ich im ersten Teil meines Buches ausführlich erörtere). Allerdings wird so ein Dienst mit zunehmender Beliebtheit ein immer attraktiveres Ziel für Hacker, was einen klaren Nachteil dieses Systems darstellt (oberflächliche Verteidigung, da ein Angriff auf ein System Zugangsdaten für alle Systeme zugänglich macht, Details dazu finden sich ebenfalls im ersten Teil meines Buches).

Zusammenfassend ist also zu sagen, dass sich der Einsatz dieser Werkzeuge auszahlt, auch wenn diese nicht so bequem sind, wie einheitliche Zugangsdaten für alle Dienste. Sind sie Mitglied des Sonys PlayStation Network, würde ich auf jeden Fall die Zugangsdaten, die Sie auch anderswo verwenden, überall ändern. Im Zuge dessen könnten Sie gleich eines der zuvor beschriebenen Werkzeuge verwenden, damit Sie sich nicht nocheinmal einem solchen Risiko aussetzten.

Update: Inzwischen teilt Joseph Bonneau meine Ansicht, dass von den gestohlenen Benutzerdaten die größte Gefahr für Mitglieder des Sonys PlayStation Network ausgeht.  Sony schreibt hierzu in ihrem FAQ zu diesem Thema:

Q: Was kann ich zu diesem Zeitpunkt unternehmen, um meine persönlichen Daten zu schützen?
A: […] Wenn PlayStation Network und Qriocity wieder online sind, empfehlen wir dringend, das Passwort zu ändern. Wenn Sie Ihren PlayStation Network oder Qriocity Benutzernamen oder das Passwort für Dienste oder Benutzerkonten verwenden, die mit den zuvor genannten Diensten nicht in Verbindung stehen, empfehlen wir dringend, diese Zugangsdaten zu ändern.

Update 2: Laut diesem Artikel sollen erste Nutzer bereits über angebliche illegale Kontoabbuchungen klagen. Auch behaupten Hacker, im Besitz von 2.2 Millionen Kreditkartendaten zu sein.

Ob die Angaben in den Foren stimmen, konnte von den Experten allerdings nicht überprüft werden. Laut einem Sony-Sprecher sei der Konzern nicht von den Hackern kontaktiert worden. Es gebe keine konkreten Hinweise darauf, dass tatsächlich Kreditkartendaten gestohlen worden seien. Man könne es jedoch auch nicht ausschließen, erklärte der Konzern in einem Blog-Eintrag. Die Datenbank sei verschlüsselt gewesen. n-tv berichtet, dass einige Nutzer bereits illegale Kontoabbuchungen bemerkt hätten, konkrete Angaben woher diese Berichte stammen gibt es jedoch nicht. Laut Sony gebe es bislang keinen Hinweis auf Missbrauch.

April 27, 2011

Hacker stehlen Sony Millionen Kundendaten

Filed under: Allgemein — sebastiankuebeck @ 06:13
Tags: , ,

So schnell kann es gehen: Vor ein paar Tagen verkündete Verizon noch, dass 2010 keine spektakulären Fälle von Identitätsdiebstahl zu verzeichnen waren. Heute nun der große Knall: Hacker haben offenbar Millionen Kundendaten von Sonys PlayStation Network entwendet. Das auch Kreditkartendaten entwendet wurden, kann von Sony nicht ausgeschlossen werden.

Vorerst einmal zur Beruhigung der Benutzer des PlayStation Network: Ist Ihre Kreditkarte betroffen, wird sie so rasch als möglich von Ihrer Kreditkartengesellschaft gesperrt und Sie bekommen automatisch eine neue. Sollten die Hacker mit Ihrer Karte einkaufen gehen, müssen Sie das natürlich nicht bezahlen. In der Praxis ist das allerdings relativ unwahrscheinlich – weniger als ein Prozent der gestohlenen Kreditkartendaten werden tatsächlich missbräuchlich verwendet. Trotzdem ist es ratsam, regelmäßig die Kreditkartenabrechnung zu überprüfen – egal ob Sie Kunde des PlayStatin Network sind, oder nicht. Beeinspruchen Sie gegebenfalls Zahlungen, die nicht von Ihnen getätigt worden sind, so rasch wie möglich.

Beeinspruchungen werden in der Regel anstandslos akzeptiert, wenn…

  1. der Händler die Karte nicht physisch gesehen hat und keinen unterschriebenen Zahlungsbeleg vorweisen kann.
  2. die Zahlung online ohne 3D-Secure (Verified by Visa, MasterCard SecureCode) durchgeführt wurde.

Und selbst wenn eine Zahlung beispielsweise mit 3D-Secure durchgeführt wurde, heißt dass nicht zwangsläufig, dass man auch bezahlen muss. Es besteht also überhaupt kein Grund, in Panik zu verfallen.

Naja, außer für Sony, denn das wird für Sony wohl ziemlich teuer werden…

Das PlayStation Network ist zur Zeit offline. Wann es wieder erreichbar sein wird, ist noch nicht klar.

Update: Laut The Register wurden Kundendaten wie Kreditkartennummern und deren Ablaufdaten unverschlüsselt gespeichert. Ist das wirklich der Fall, wird es wirklich teuer, denn das wiederspricht den Sicherheitsbestimmungen der Kreditkartengesellschaften (genannt PCI DSS). Das würde im schlimmsten Fall für bedeuten, dass Sony die Neuausstellung von über 75 Millionen Karten bezahlen muss. Das kostet je nach Bank und Land ein paar Euro pro Karte. Zusätzlich muss Sony eventuell auch Kunden entschädigen, wenn die Hacker mit den Karten einkaufen. Dazu kommen noch Kosten für die forensische Untersuchung, etc., etc. Es wird also wirklich teuer…

April 20, 2011

Automatisierte Einbrüche im Vormarsch

Filed under: Allgemein — sebastiankuebeck @ 11:39
Tags: , , , ,

Schon seit einigen Jahren sammelt Verizon Daten über Sicherheitsvorfälle, die Kunden dieses Unternehmens wiederfahren, und fasst diese in einem Bericht zusammen. Der diesjährige Bericht Verizon 2011 Data Breach Investigations Report beinhaltet dazu erstmals auch Daten von amerikanischen Geheimdiensten.

Das wäre natürlich nichts außergewöhnliches, würden sich nicht die Zahlen in diesem Bericht ganz
Grundsätzlich von denen der letzten Jahre unterscheiden. Wie es aussieht haben wir es also mit einem Umbruch in der Szene zu tun, deren Auswirkungen im Moment noch gar nicht abgeschätzt werden können. Klar ist allerdings schon jetzt, dass dadurch beliebte Klischees über die IT-Sicherheit nun endgültig ins Reich der Phantasie gehören.

Kurz zusammengefasst, ergeben sich folgende Veränderungen:

Spektakuläre Einbrüche, bei denen besonders viele personenbezogene Daten gestohlen wurden, blieben 2010 nahezu aus!

Die spektakulärsten Einbrüche dieser Art waren zum Beispiel der Fall des amerikanischen Einzelhändlers TJX (2007)
und dem ebenfalls amerikanischen Finanzdienstleister Hartland (2008). Wer jetzt allerdings denkt, dass das Internet dadurch sicherer geworden ist, irrt, denn Massenangriffe, bei denen jeweils nur eine beschränkte Anzahl an persönliche Daten gestohlen wurden, legten beträchtlich zu. Die beliebte Annahme…

Wir sind zu kein und unbedeutend, als dass es sich lohnen würde, uns anzugreifen

…ist damit also endgültig hinfällig.

Insiderangriffe gehen gegenüber Angriffen von außen stark zurück

Ganze 92% der beobachteten Sicherheitsvorfälle wurden von externen Personen durchgeführt. Damit ist also der verbreitete Irrglaube, von den eigenen Mitarbeitern ginge die größte Gefahr aus, ebenfalls hinfällig.

Physische Angriffe sind stark im Vormarsch

Seitdem man Geräte zum Duplizieren von Kreditkarten und Manipulieren von Geldausgabeautomaten fix und fertig im Internet bekommt, nehmen diese Art Angriffe stark zu. Das ist einleuchtend, wenn man bedenkt, dass man von einem Geldausgabeautomaten sofort Geld ausbezahlt bekommt, während es Aufwändig ist, beispielsweise Kreditkartendaten im Internet in bare Münze umzuwandeln.

Hacken und Schadsoftware sind die populärsten Angriffsmethoden

Bei 80% aller Sicherheitsvorfälle, bei denen personenbezogene Daten entwendet werden, waren Hackerangriffe oder Schadsoftware im Spiel. Am häufigsten versendet Schadsoftware personenbezogene Daten selbsttätig an den Angreifer, öffnet eine Hinertüre (Backdoor), damit sich der Autor frei bedienen kann, oder installiert einen Keylogger, der alle Tastendrücke des Benutzers an den Angreifer sendet.

Gestohlene Zugangsdaten sind außer Kontrolle

Schwache und gestohlene Passwörter sind nach wie vor weit verbreitet und verursachen erhebliche Schäden in Organisationen jeglicher Branche, besonders Unternehmen im Finanzsektor, Einzelhändler und Tourismusbetriebe sind von diesen Problemen betroffen. Nach wie vor sind Werkseinstellungen (voreingestellte Passwörter des Herstellers), die vom Betreiber nicht geändert werden, ein Problem.

Physische Angriffe sind im Vormarsch, beispielsweise durch Skimmer, das sind Geräte, die vor dem Schlitz für die Karte platziert werden, um die Daten von der Karte zu lesen (Bild links). Um den PIN-Code zu erfassen, wird oft eine versteckte Kamera verwendet (Bild rechts).

April 14, 2011

Zwei weitere Rezensionen

Filed under: Allgemein — sebastiankuebeck @ 15:59
Tags: , , , ,

Kürzlich sind zwei weitere Rezensionen erschienen, eine von Guido Strunck und eine weitere von Frank Große im Magazin it-administrator.

Herr Strunk spricht unter anderem den wichtigsten Grund an, warum ich das Buch geschrieben habe:

Das Buch richtet sich an Softwareentwickler, die sich noch nicht intensiver mit Informationssicherheit und dem Schreiben sicheren Codes befasst haben. Und die somit einen Einstieg in die Themen Informationssicherheit sowie Methoden sicherer Webentwicklung suchen.

Tatsächlich wird man in den meisten Büchern erst einmal mit technischen Details erschlagen und wenn man sich mit der Materie noch nicht näher beschäftigt hat, ist es äußerst schwierig, sich da zurecht zu finden.
Daher habe ich erst einmal versucht, ein grundlegendes Verständnis für das Thema Sicherheit zu schaffen und dabei gleich einmal mit den häufigsten Mißverständnissen aufzuräumen, nämlich das es sich bei der Web-Sicherheit um ein rein technisches Thema handelt und dass es prinzipiell nicht möglich ist, eine Webanwendung zu erstellen, die hundertprozentig sicher ist.

Herr Große findet den Titel „Web-Sicherheit“ und den Untertitel „Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen“ irreführend. Möglicherweise hat er sich eher Informationen darüber erwartet, wie man Webapplikationen durch eine sichere Konfiguration des Webservers absichert. Leider funktioniert das nicht! Um Webanwendungen sicher zu bekommen müssen die Anwendung UND der Server sicher sein, wie beispielsweise folgende Statistik des WASC zeigt:

Die Wahrscheinlichkeit, Schwachstellen zu finden, bezogen auf ihren Ursprung, also Fehlkonfiguration oder Programmierfehler. Erster Balken: 43% der Schwachstelln ergaben sich durch Fehler in der Administration und 57% durch Programmierfehler. 85% der überprüften Seiten waren verwundbar durch Fehlkonfigurationen und 58% durch Programmierfehler. Eine sichere Konfiguration hätte die Seiten mit Programmierfehlern also auch nicht sich gemacht.

Und da Webanwendungen im Gegensatz zu Standardsoftware in der Praxis eine extrem hohe Diversität aufweisen (zahlreiche Unternehmen verwenden individuell erstellte Anwendungen) ist es unmöglich, etwas brauchbares über Web-Sicherheit zu schreiben, ohne auf die Programmierung von Webanwendungen einzugehen.

April 5, 2011

Flash Player war schuld an Einbruch bei RSA

Filed under: Allgemein — sebastiankuebeck @ 06:59
Tags: , , ,

Ein E-Mail-Attachement mit einem manipulierten Excel-Spreadsheet, welches eine Zero-Day-Schwachstelle in Adobes Flash ausnützte, um einen Trojaner auf dem PC eines Mitarbeiters zu installieren, war also schuld am Einbruch bei RSA. Die E-Mail wurde zwar vom Spamfilter in die Quarantäne verschoben, doch hat sie ein unvorsichtiger Mitarbeiter doch geöffnet und sich so mit dem Trojaner infiziert.

Zero-Day-Schwachstellen sind solche, die dem Hersteller noch nicht bekannt sind und für die es keinen Patch gibt. Virenscanner erkennen Angriffe auf diese Schwachstellen erst, wenn sie dafür eine Signatur angefertigt haben und diese über den Update-Mechanismus des Virusscanners verteilt haben. Bist letzteres der Fall ist, hat man praktisch keine Möglichkeit, sich vor dem Angriff wirksam zu schützen. Klar hätte der Mitarbeiter das Attachement nicht öffnen müssen, aber Mitarbeiter sind Menschen und Fehler passieren.

Letztendlich hilft nur die Einsicht, dass es keine perfekte Sicherheit gibt und dass man kritische Infrastruktur nur schützen kann, wenn man eine tiefgreifende Verteidigung zur Verfügung hat, wie das in Kapitel 4 meines Buches beschrieben ist. Eine tiefgreifende Verteidigung bietet auch dann noch Schutz, wenn ein oder mehrere Verteidigungsmechanismen versagen. Sicherheitsbewusste Unternehmen sind für Sicherheitsvorfälle vorbereitet und wissen auch wie man Auswirkungen derselben eindämmt.

Graz um 1600. Tiefgreifende Verteidigung bis ins 19. Jahrhundert: Wer die Stadtmauer überwand
musste auch noch die Festung am Schlossberg erobern, um Graz wirklich einzunehmen.
Das gelang erst Napoleon, indem er im Friedensvertrag von Schönbrunn (1809) durchsetzte,
dass die Burg zerstört wurde.

Bloggen auf WordPress.com.