Schlüsselwort-Archiv: Cyberkriminelle\

Cyber-News: Infizieren eines Freundes, Neustarten von Boeings, Löcher ohne Authentifizierung und vieles mehr

Hallo Leute!

Hier kommt mein nächster Beitrag in meiner Kolumne „Cyber-Schreckensnachrichten“ – die, in der ich Sie über das Grauen aus der digitalen Welt auf dem Laufenden halte.

Seit den letzten „Schreckensnachrichten“ ist viel passiert, das Aufmerksamkeit verdient. Ganz genau, der Fluss der Schrecken ist von einem Bergrinnsal zu einem Niagara geworden. Und sie werden immer mehr…

Als Veteran der Cyberabwehr kann ich Ihnen sagen, dass in vergangenen Zeiten globale Katastrophen vielleicht über ein halbes Jahr diskutiert wurden. Während der Fluss der Nachrichten jetzt einem Lachs in Laichzeit gleicht: Overload! Es sind so viele, dass es sich gar nicht erst lohnt, sie zu erwähnen, da sie so schnell zu den Nachrichten von gestern gehören, bevor man „digitaler Over-DDoSe“ sagen kann. Ich hörte, wie sie letztens Mega-Corporation X hackten und alles stahlen; selbst der Hamster vom Chef wurde von einer Drohne entführt…

Jedenfalls steigt der Fluss der Cyberskandale immer weiter an, und daher sind auch meine Beiträge zu solchen Skandalen mehr geworden. In der Vergangenheit waren es drei von vier Blogbeiträgen. Heute: sieben!

Stehen Popcorn/Kaffee/Bier bereit? Dann kann´s ja losgehen…

1) Infizieren Sie einen Freund und erhalten Sie Ihre blockierten Dateien kostenlos zurück.

Read on: Cyber-News: Infizieren eines Freundes, Neustarten von Boeings, Löcher ohne Authentifizierung und vieles mehr

Faulheit, Cybersicherheit und Maschinelles Lernen

Es ist wie es ist: der Mensch ist ein faules Wesen. Ist es möglich, nichts zu tun, dann tut er auch nichts. Jedoch ist das paradoxerweise eine gute Sache, da Faulheit… der Motor des Fortschritts ist! Was? Wie das? Nun, gilt ein Job als zu hart oder langwierig oder komplex für Menschen, geben bestimmte faule (aber gewissenhafte) Menschen (Homo Bequemis? 😀 ) den Job einer Maschine! In der Cybersicherheit nennen wir das Optimierung.

Analyse von Millionen von schädlichen Dateien und Webseiten jeden Tag, „Impfungen“ gegen zukünftige Bedrohungen entwickeln, für immer proaktiven Schutz verbessern und dutzende anderer kritischer Aufgaben lösen – all das ist ohne Automation einfach unmöglich. Und maschinelles Lernen ist eins der Hauptkonzepte in der Automation.

Maschinelles Lernen wurde in der Cybersicherheit über mehr als ein Jahrzehnt angewandt – nur ohne Marketingfanfaren.

Automation gibt es in der Cybersicherheit schon seit Beginn (der Cybersicherheit an sich). Ich erinnere mich z. B. daran, wie ich in den frühen 2000ern einen Code für einen Roboter schrieb, um eingehende Malwarebeispiele zu analysieren: der Roboter schiebt die entdeckten Dateien in die entsprechenden Ordner unserer wachsenden Malware-Sammlung, die auf seinem (des Roboters) Urteil bezüglich ihrer (die Dateien!) Eigenschaften basiert. Es war schwer, sich vorzustellen – selbst damals – dass ich das manuell machen musste!

Heutzutage ist es nicht genug, Robotern präzise Anweisungen für Aufgaben zu geben, die sie verrichten sollen. Stattdessen müssen die Anweisungen für Aufgaben ungenau gegeben werden. Ja, ganz genau!

Zum Beispiel: „Finde die menschlichen Gesichter auf diesem Foto“. Hierfür beschreiben Sie nicht, wie menschliche Gesichter ausgesucht werden und wie man menschliche Gesichter von denen von Hunden unterscheidet. Stattdessen zeigen Sie dem Roboter mehrere Fotos und fügen hinzu: ‚Diese Dinge hier sind Menschen und das hier sind Hunde; und jetzt mach deine Arbeit‘! Und das ist kurz gesagt die ‚Freiheit der Kreativität‘, die sich selbst maschinelles Lernen nennt.

25ccd2f400000578-2958597-image-a-27_1424270103152

Read on: Faulheit, Cybersicherheit und Maschinelles Lernen

Cyber-Schreckensnachrichten: Infizierte Kernkraftwerke, Cyberbankräuber und Stauanlagenhacker

Ein kurzer Blick auf die Nachrichten der letzten Tage und man möchte geradezu nach einem Geigerzähler greifen. Einige der letzten neuen Vorfälle sind einfach sehr besorgniserregend. Oder reagiere ich über? Also eins nach dem anderen …

Schreckensnachricht Nummer 1: Apokalypse verhindert — fürs Erste.

inews-1Foto mit freundlicher Genehmigung von Wikipedia

Berichten zufolge, wurde das IT-System der B-Einheit des Kernkraftwerks Gundremmingen in Schwaben, Bayern — genau zum dreißigsten Jahrestag der Tschernobylkatastrophe! — mit Malware infiziert. Allerdings wurde auch berichtet, dass es keinen Grund zur Besorgnis gibt, da zu keiner Zeit Gefahr bestand. Alles in Ordnung, wir können ruhig schlafen, alles ist unter Kontrolle, das Gefährdungsniveau könnte nicht niedriger sein.

Nachdem Sie sich den Schweiß von der Stirn gewischt und einmal tief durchgeatmet haben, lesen Sie weiter …

… und hier bekommen Sie noch ein paar Details zum Zwischenfall. Es scheint so, als wäre alles in Ordnung: die Strahlung in der Umgebung stieg schließlich nicht an — das ist das Wichtigste, oder? Wenn Sie weiter lesen …

… dann werden Sie herausfinden, dass das infizierte System (das nicht mit dem Internet verbunden war) dazu dient, um den Antriebsmechanismus der Kernbrennstäbe zu kontrollieren. Hier müssen Sie sich die Augen reiben und das nochmal langsam lesen …

WIE BITTE?

Read on: Cyber-Schreckensnachrichten: Infizierte Kernkraftwerke, Cyberbankräuber und Stauanlagenhacker

Jenseits von Gut und Böse?

Vor ein paar Tagen kündigte Microsoft eine großangelegte Razzia von No-IP an, einem Dynamic-DNS-Service, in dessen Folge 22 Domains beschlagnahmt wurden. Die Jungs aus Redmond sagten aus, gute Gründe dafür zu haben: No-IP habe auf den Seiten alle möglichen unerwünschten Schadprogramme; No-IP sei eine Brutstätte für Cyberkriminelle; No-IP sei ein Epizentrum für zielgerichtete Attacken; und No-IP arbeite nie mit anderen zusammen, um das ganze Übel auszumerzen.

Wie bei den meisten Konflikten, haben beide Seiten die üblichen widersprüchlichen Mitteilungen veröffentlicht: „Es ist sein Fehler – nein, sie hat angefangen“.

No-IP sagte, der Service sei sauber und immer bereit, beim Kampf gegen Cyberangriffe zu kooperieren, während die Kunden der Firma sehr verärgert über die Razzia seien und sie für einen illegalen Angriff auf ein legales Unternehmen hielten – vor allem, da es möglich sei, praktisch überall Schadprogramme zu finden, so dass die gerichtliche Störung eines Dienstes einfach nicht gerechtfertigt sei.

Ist es legal, einen Dienst zu schließen, wenn dort #Schadprogramme gefunden werden?… Wenn man die überall finden kann?…

Und die Razzia war sehr weitreichend: Über vier Millionen Seiten wurden aus dem Web genommen, neben schädlichen allerdings auch harmlose Seiten. Insgesamt waren 1,8 Millionen Anwender davon betroffen. Microsoft versucht, die Spreu vom Weizen zu trennen und die sauberen Seiten wieder online zu bringen; allerdings beschweren sich nach wie vor viele Anwender über Störungen.

Herauszufinden, wer Schuld an dem Ganzen hat, ist eine undankbare und wahrscheinlich hoffnungslose Aufgabe. Solch investigativen Journalismus überlasse ich… den Journalisten. Stattdessen möchte ich Ihnen einige Denkanstöße geben: trockene, rohe Fakten und Zahlen – und vielleicht/hoffentlich kommen Sie dann zu Ihren eigenen Schlussfolgerungen bezüglich der Legalität und Sittlichkeit der Microsoft-Aktion…

1) Die Schließung der 22 No-IP-Domains betraf die Operationen von etwa 25 Prozent der zielgerichteten Attacken, die wir beobachten. Das sind Tausende Spionageaktionen und cyberkriminelle Angriffe der letzten drei Jahre. Ungefähr ein Viertel davon hat mindestens ein Command-and-Control-Center (C&C) bei diesem Hosting-Anbieter. So nutzen zum Beispiel Hackergruppen wie die Syrian Electronic Army und Gaza Team ausschließlich No-IP, während die Gruppe Turla den Anbieter für 90 Prozent seiner Seiten nutzt.

2) Wir können bestätigen, dass No-IP von allen großen Anbietern am schlechtesten kooperiert. So hat die Firma zum Beispiel all unsere E-Mails zu einem Botnetz-Sinkholing ignoriert.

3) Unsere Analyse aktueller Schadprogramme zeigt, dass No-IP oft von Cyberkriminellen für Bontetz-Control-Center genutzt wird. Eine einfache Suche über Virustotal bestätigt das mit harten Zahlen: Insgesamt stammen 4,5 Millionen einzigartige Schadprogramm-Samples von No-IP.

4) Allerdings zeigen die aktuellen Zahlen unserer Security-Cloud (KSN) weniger eindeutige Ergebnisse. Hier eine Tabelle mit entdeckten Cyberattacken von Dutzenden der größten Anbieter dynamischer DNS-Dienste:

Service Prozentsatz der schädlichen Angebote Zahl der Entdeckungen innerhalb einer Woche
000webhost.com 89,47% 18.163
changeip.com 39,47% 89.742
dnsdynamic.org 37,04% 756
sitelutions.com 36,84% 199
no-ip.com 27,50% 29.382
dtdns.com 17,65% 14
dyn.com 11,51% 2.321
smartdots.com 0,00% 0
oray.com 0,00% 0
dnserver.com 0,00% 0

Read on: Jenseits von Gut und Böse?

Cyberkriminelle aufgepasst: CYBERPOL kommt…

Wer sind diese Menschen? Ein Tipp: Schauen Sie einmal, was die häufigste Krawattenfarbe ist – das könnte Ihnen helfen…

INTERPOL - Global Center for Innovation

Diese Menschen werden nie mit Ihnen zu tun haben, und Sie werden nichts mit ihnen zu tun haben. Hoffentlich.

Doch die Mitglieder der Internet-Minderheit, die Geld von Online-Banken stehlen, E-Mail-Konten mit Spams verstopfen, Webseiten hacken, gefälschte Kreditkarten mit gestohlenen Kartennummern produzieren usw. – diese Personen sollten diese Hoffnung nicht haben. Denn diese Anzugträger haben ein bestimmtes, brennendes… fast schon besessenes, berufliches Interesse an genau dieser Internet-Minderheit.

Diese Damen und Herrennahmen am ersten eurasischen INTERPOL-Treffen teil – einem Forum, bei dem es ausschließlich um den Kampf gegen Cyberverbrechen ging. Die Teilnehmer sind diejenigen, die genau festlegen werden, wie die europäischen und asiatischen Abteilungen von INTERPOL zunächst Cyber-Betrüger und kurz darauf dann auch die kleineren Fische (die Cyber-Betrüger von Morgen) fassen werden.

Read on: Cyberkriminelle aufgepasst: CYBERPOL kommt…

Emulieren, um zu löschen

Beginnen wir erst einmal mit einer kurzen Rückblende…:

Es gibt keinen hundertprozentigen Schutz. Das wissen Sie wahrscheinlich mittlerweile. Tatsache ist, dass sogar die zuverlässigste Antiviren-Lösung manchmal von professionellen Angriffen ausgetrickst wird. Das alleine ist schlimm genug, noch schlimmer ist, dass weniger gute Antiviren-Lösungen regelmäßig von den Schädlingen ausgebootet werden.

Wenn sie es möchten, können sich wirklich professionelle Kriminelle in so ziemlich alles einhacken; zum Glück gibt es nicht viele solcher Cyber-Moriartys. In den meisten Fällen werden Cyber-Übergriffe von stinknormalen Programmieren ausgeführt, die anscheinend Richtig und Falsch verwechseln – verführt von ihrer eigenen Habgier denken sie, dass sie damit schon durchkommen werden (falsch gedacht!). Diese risikobereiten Jungs haben keine umfassenden kriminellen Cyber-Erfahrungen, um die besten Verteidigungsanlagen zu hacken, doch sie können sehr gut in Computer eindringen, die entweder gar nicht geschützt sind oder einen Schutz wie ein Küchensieb haben. Und leider gibt es weltweit nicht gerade wenige solcher Computer.

Die Logik hinter all dem ist eigentlich ganz einfach:

Je besser der Schutz, desto besser ist natürlich auch die Verteidigung. Gleichzeitig gilt aber auch: Je professioneller der Angriff, desto eher wird eine bessere Verteidigung durchbrochen.

Mit den mittlerweile 2,5 Milliarden Internet-Anwendern potenziellen Opfern, kommt diese Logik zu folgendem einfachen Ergebnis:

Kriminelle benötigen heute keine Super-Mega-Nachschlüssel mehr, um in gut gesicherte Tresore einzudringen (vor allem, wenn in solchen Tresoren oft recht gruseliges/seltsames/gefährliches Zeug liegt, von dem man besser nichts weiß). Es ist viel einfacher – und günstiger –, in etwas viel Unkomplizierteres einzudringen (etwa das Netzwerk des Nachbarn), denn dort sind die Verteidigungsanlagen viel, viel leichter zu umgehen, und die Lagerstätten besser auszukundschaften.

Sie sehen schon, wohin das führt: Für den durchschnittlichen Hacker ist es sinnlos, den ganzen Ärger auf sich zu nehmen, und mega-professionelle Attacken zu planen und durchzuführen. Auch wird er sich kaum von Windows auf Mac verlegen. Es ist viel effektiver, ein Flächenbombardement zu starten, bei dem man ohne zielgerichtete Angriffe so viele Opfer wie möglich erreicht. Dazu braucht es nicht viel Vorbereitung oder Gehirnschmalz.

Je besser der Schutz, desto uninteressanter ist etwas für die bösen Jungs. Sie werden nicht extra versuchen, einzubrechen, wenn sie auch woanders – viel angreifbarere – Opfer finden.

Nun möchte ich Ihnen etwas vorstellen, das Cyberkriminelle davon abhält, Ihren Computer anzugreifen und lieber nach anderen potenziellen Opfern zu suchen, bei denen so etwas nicht zu finden ist. Ja, es ist mal wieder Zeit für einen interessanten Blick unter die Motorhaube unserer Antiviren-Lösungen, bei dem Sie mehr darüber erfahren, wie das K in Ihrer Taskleiste die Cyberkriminellen abhält – und zwar über die Emulation, die Sie vor zukünftigen Bedrohungen schützt.

Read on: Emulieren, um zu löschen