30 Jun 2014
Cyber-News von der dunklen Seite: 30. Juni 2014
Börsen-Hacks für Verzögerungen im Mikrosekundenbereich.
Cyberkriminalität findet man überall. Auch an der Börse. Aber zuerst ein Rückblick…
Der Beruf des Börsenmaklers war einst nicht nur respektiert und ehrenwert, sondern auch extrem hart. Die Aktienhändler mühten sich auf dem vollen Parkett der Börsen ab und arbeiteten fast Tag und Nacht, und waren durch den dauernden Druck, Entscheidungen treffen zu müssen, hochgestresst. Sie kauften und verkauften Sicherheiten, Aktien, Anleihen, Derivate oder wie immer man das nennt. Und sie mussten das immer zum richtigen Zeitpunkt tun, abhängig von Wechselkursen und Preisen, während sie dem Herzinfarkt oder einem Burn-Out immer näher kamen. Manchmal sind sie auch einfach aus dem Fenster gesprungen, um all dem ein Ende zu machen – nicht gerade der schönste Job der Welt.
Wie auch immer – das war vor langer Zeit. Die ganze harte Handarbeit wurde durch automatische Systeme ersetzt. Heute muss man nicht mehr genau Nachdenken, hat keinen Stress und schwitzt nicht mehr: Ein Großteil der Arbeit wird heute von Robotern gemacht – speziellen Programmen, die automatisch den besten Zeitpunkt für den Kauf oder Verkauf festlegen. Mit anderen Worten, der Beruf des Börsenmaklers dreht sich heute in großen Teilen um das Training eines Bots. Und für diese Bots sind die Reaktionszeiten – im Mikrosekundenbereich – lebenswichtig, um die ein oder andere Marktentwicklung vorteilshaft zu nutzen. Und die Geschwindigkeit hängt von der Qualität einer Internetverbindung zur elektronischen Börse ab. Je näher ein solcher Roboter also der Börse ist, desto höher sind seine Chancen, mit seinem Angebot der erste zu sein. Umgekehrt gilt das auch – Roboter in Außenbezirken, werden immer Außenseiter bleiben, genau wie alle, die nicht die aktuellsten progressiven Algorithmen einsetzen.
Diese kritischen Reaktionszeiten haben unbekannte Cyber-Angreifer kürzlich manipuliert. Das System eines Hedge-Fonds wurde mit einem Schadprogramm infiziert, um die Handelsmöglichkeiten um einige hundert Mikrosekunden zu verzögern. Und das kann einen großen Unterschied machen, zwischen dem Abschluß oder Verlust eines Geschäfts – und diesen Unteschied hat es wahrscheinlich auch gemacht.
Dein Passwort im Tausch für ein Twix?
Vielleicht inspirierte sie eine Pseudo-Forschungsarbeit, bei der vor einigen Jahren in London 45 Prozent (!) der befragten Frauen Ihr E-Mail-Passwort für einen Schokoriegel verraten haben, auf jeden Fall wollten einige Amerikaner nun herausfinden, wie leicht Computernutzer zu verführen sind, wenn harte Währung im Spiel ist.
Es zeigte sich, dass die Hälfte der Umfrageteilnehmer bereit waren, eine unbekannte Datei aus einer unbekannten Quelle zu öffnen – und das für nur einen Cent! Für 50 Cent stieg die Bereitschaft sogar auf 58 Prozent. Und für einen Dollar stieg der Anteil derer, die die Grundregeln der Computerhygiene missachteten, auf 64 Prozent!
Was ist eigentlich lost mit den Menschen?
Es ist wahr, dass die Computersauberkeit generell leider nicht sehr gepflegt wird, obwohl wir seit Jahren versuchen, den Leuten die Grundregeln beizubringen. Aber trotzdem kann ich die Zahl der Menschen, die Ihr Passwort für ein bisschen Schokolade verraten, einfach nicht glauben!
Lassen Sie uns das etwas näher betrachten: Hat jemand überprüft, ob die verratenen Passwörter wirklich echt sind? Vielleicht war das ganz anders und die Londonerinnen haben einfach geflunkert, um ein Snickers zu bekommen? Das klingt schon glaubhafter :).
Die Hälfte der Nutzer ist bereit, für einen Cent eine unbekannte Datei aus einer unbekannten Quelle zu öffnenTweet
Also, alles nicht ganz so wörtlich nehmen, und genau hingesehen… und vergessen wir nicht die „Lügen, die verdammten Lügen und die Statistiken„.
Ich habe es schon oft gesagt, dass es so etwas wie absolut sichere Software nicht gibt – vor allem nicht bei so komplexen Dingen wie Betriebssystemen. Man nehme zum Beispiel Sicherheitslücken: Da ist nicht die Frage, ob es sie gibt oder nicht, sondern, wann sie auftauchen – früher oder später.
Zudem gibt es eine direkte Verbindung zwischen der Popularität einer Software und ihrer Löchrigkeit – eine nicht-lineare Verbindung. Warum sollten die Cyber-Täter schwitzen und den relativ gesehenen Nischenmarkt von Mac OS angreifen, wenn es Hunderte Millionen anfälliger Windows-Computer gibt, die direkt für ein Botnetz eingespannt werden können? Und je mehr anfällige Windows-Computer es gibt, desto unattraktiver werden andere, weniger populäre Plattformen für den kriminellen Untergrund. Aber das befreit einen nicht davor, wachsam zu sein.
Hier ein aktuelles Beispiel aus der Linux-Welt:
Selten – aber regelmäßig – erhaschen wir einen Hauch Schadprogramme für dieses Betriebssystem. Und normalerweise sind diese recht hochentwickelt, da Linux-Programmierung meist von echten Profis gemacht wird. Wir haben zum Beispiel vor Kurzem eine Analyse einer Trojaner-Familie für Linux veröffentlicht – echte Schwergewichte, die DDoS-Attacken mit DNS-Amplification durchführen können. Die Trojaner waren mit limiterten Ressourcen wirklich effektiv und könnten es sogar schaffen, das Internet lahmzulegen!
Und drüben bei Apple ist iOS im Bereich der Sicherheit immer noch stark, abgesehen von gelegentlichen Problemen. Dank seiner sicheren Architektur und der Freigabe von Apps, gibt es bisher keine Schadprogramme für iOS (ich hoffe, wir haben nichts übersehen).
Nichtsdestotrotz muss auch Apple vorbereitet und hundertprozentig offen und ehrlich mit den Anwendern sein – den glücklichen Besitzern von iGeräten, die allen möglichen plattformübergreifenden Angriffen, inklusive Man-in-the-Middle-Attacken und Phishing ausgesetzt sind. So sollte man beim momentanen Stand der Sicherheit mobiler Bank-Apps das mobile Online-Banking nur im Notfall nutzen, selbst wenn man das auf einem iPhone macht. Lassen sie mich mehr dazu erzählen…
…denn manche sind gefährlicher als andere.
Nehmen wir an, Sie möchten in der Abflughalle eines Flughafens Ihren Kontostand mit einer iApp prüfen. Was sehen Sie nach der Passkontrolle? „Kostenloses WLAN“! Und da sich die Ausgaben für 3G-Verbindungen mit der Zeit aufaddieren und das Ganze manchmal auch recht langsam sein kann, wollen Sie den Kontostand noch schnell am Flughafen prüfen, damit Ihnen nicht wieder erpresserische Roaming-Gebühren entstehen. Schnell mal das kostenlose WLAN nutzen kann ja nicht schaden, oder?
Doch was passiert? Der ganze Datenverkehr wird von den Kapuzenpullover-Jungs, die mit ihren Laptops in der Ecke sitzen, abgehört…
Sie müssen sich selbst fragen: Wie gut ist die Verbindung zu Ihrer Bank verschlüsselt (wenn sie überhaupt verschlüsselt ist)? Und gibt es da vielleicht ein paar alte Fehler, für die bisher keine Updates veröffentlicht wurden? Wollen Sie das auf so eine risikoreiche Art herausfinden? Ja, das ist eine rhetorische Frage.
Und zum Thema WLAN…
Da gerade die Fußball-WM in Brasilien läuft, haben einige unserer Top-Experten beschlossen, die WLAN-Zugangspunkte in und um Sao Paulo zu überprüfen, denn diese werden gerade jetzt von Fußballfans aus aller Welt reichlich genutzt.
Wie sicher der Internetzugang ist und auf was man aufpassen sollte, lesen Sie hier.
Und ich bin sicher, dass sich die Schlussfolgerungen dieses Berichts mehr oder weniger auf alle Länder anwenden lassen – nicht nur auf Brasilien. Also zurück zu iOS, das zwar sicher ist, aber eben auch anfällig – denken Sie einfach daran: Vertrauen Sie nicht blind der Undurchlässigkeit Ihrer iGeräte. Benutzen Sie stattdessen Ihren Verstand.
Spam – immer noch da.
Es ist einige Zeit her, dass ich über Spam gesprochen habe. Vielleicht funktionieren unsere Filter einfach so gut, dass wir das Phänomen gar nicht mehr wahrnehmen?
Es stimmt, dass der Schutz vor Spams in den letzten Jahren superschlau wurde und die Menge der Spam-Mails verringert werden konnte; allerdings ist das Problem immer noch da, und nach wie vor in erheblicher Quantität. So macht der Anteil dieser nervigen Nachrichten im E-Mail-Verkehr nach wie vor etwa 70 Prozent aus.
Und lassen Sie uns nicht vergessen, dass Spam oft auch als Liefermechanismus für Schadprogramme und Phishing genutzt wird – vor allem wird dabei auf bestimmte Nachrichten und saisonale Ereignisse eingegangen. Um besser verstehen zu können, wie und warum das Ganze immer noch so gut funktioniert, empfehle ich diese große Forschungsarbeit, die das Wirtschaftssystem des Datenmülls analyisert.
Und auch wenn man mit E-Mail-Spam mittlerweile ganz gut umgehen kann (ich sehe zum Beispiel selten Spam-Mails in meinem Posteingang), gibt es immer noch dessen jüngeren Cousin: Telefon- und Kaltakquise-Spam, der in vielen Teilen der Welt immer noch Kopfzerbrechen verursacht – vor allem auf dem amerikanischen Kontinent.
Die Federal Trade Commission (FTC) hat sogar die Teilnehmer der kommenden DEFCON-Hackerkonferenz um Hilfe bei der Lösung des Problems gebeten! Ich habe immer schon gesagt, dass es nicht richtig ist, Hacker um Hilfe bei irgendetwas zu bitten, aber immerhin zeigt das, wie verzweifelt man werden kann. BTW: Das ist bereits der zweite Versuch der FTC. Beim ersten Mal brachte sogar ein Preisgeld von 50.000 Dollar keine Ergebnisse.
Doch das sind genug Cyber-News für heute. Bis bald!…