Honig verführt Hacker

Wenn die Wespenzeit gekommen ist, flüchten viele Menschen selbst bei bestem Wetter ins Haus. Wer die Sonne trotzdem genießen will, lockt die lästigen Insekten mit Süßem weg vom Tisch in die Falle. Auf dieses Prinzip setzen auch die Security-Experten bei der Deutschen Telekom (DTAG), wenn sie Cyberkrieger auf die falsche Fährte führen wollen. Sie simulieren Schwachstellen in IT-Anwendungen, ohne dabei das System zu gefährden. "Wir lenken Hacker von ihrem eigentlichen Ziel ab oder leiten sie in speziell vorbereitete Bereiche weiter, wo sie keinen Schaden anrichten können. Vor allem sind sie aber für uns eine Säule in unserem Frühwarnsystem", erklärt Markus Schmall, Leiter Sicherheit von IT-Diensten und Anwendungen bei der DTAG.

Die Aufgabe der Fallensteller gewinnt an Bedeutung, denn täglich tauchen weltweit mehrere Zehntausend neue Computerviren, Würmer, Trojaner oder Varianten auf. Diese Bedrohung ist kaum noch beherrschbar. Inzwischen ist es üblich geworden, individuelle Angriffswerkzeuge zu entwickeln und mittels sogenannter Advanced Persistent Threats (APTs) nur noch die IT-Infrastrukturen ausgewählter Unternehmen über einen längeren Zeitraum anzugreifen. Diese Attacken bleiben zudem sehr lange unbemerkt, da die Systeme oftmals zunächst nur nach möglichen Einfallstoren ausgekundschaftet und kritische Daten anschließend ohne nachweisbare Spuren kopiert werden. Weil die Angriffe sehr gezielt und jedes Mal komplett anders verlaufen, hilft hier auch kein noch so guter Malware-Schutz mehr weiter.

Fallensteller im WWW

Eine mögliche Lösung für das Problem sind Honeypots. Damit könnten Unternehmen die Angreifer mit deren eigenen Mitteln schlagen und ihr Vorgehen schon während der Auskundschaftungsphase kennen lernen. Die Telekom betreibt schon mehr als 40 solche Honeypot-Systeme, einen Großteil davon als Web Application Honeypots. Augenscheinlich ganz normale Websites - häufig mit frei füllbaren Formularfeldern beispielsweise für Login-Prozesse ausgestattet - werden mit für den normalen Besucher im Frontend zunächst unsichtbarem, weil auskommentiertem PHP-Quellcode ergänzt, der automatisierten Angriffsskripten Sicherheitslücken auf dem Server verspricht. Entdeckt ein Skript diesen Quellcode, versucht es, die vermeintlichen Lücken beispielsweise über die Formularfelder mithilfe gängiger Lese- und Schreib-Kommandos auf http-Basis wie GET und POST auszunutzen und liefert dem Honeypot-Betreiber währenddessen wertvolle Informationen über die Art des Angriffs.

Das System lernt mit

Bei der DTAG fließen diese Erkenntnisse unter anderem in die Weiterentwicklung der eigenen Systeme ein. So lassen sich Sicherheitslücken gezielt schließen oder neue Systeme schon in der Entwicklung gegen die bekannten Gefahren schützen. Schmall: "Unsere Web-Honeypot-Systeme sind selbstlernend. Sie identifizieren Angriffe von unbekannter Seite, analysieren sie und integrieren deren Schema in den eigenen Erkenntnisprozess." Der erwähnte unsichtbare Quellcode wird also mit jeder zuvor unbekannten Angriffsart länger.

Besonders stolz ist Schmall darauf, dass die Aufzeichnung und die Analyse der Attacken komplett über Open-Source-Tools wie beispielsweise Glastopf und Kippo ablaufen. Die gewonnenen Erkenntnisse werden den IT und Sicherheitsabteilungen im Konzern zur Verfügung gestellt. Weiterhin besteht eine Zusammenarbeit mit der Sicherheitscommunity und anderen ISPs. Die Telekom informiert zudem Hersteller von Antivirussoftware, damit diese bei Auftauchen eines neuen Virus' oder Trojaners in den Honeypots ihre Software möglichst zeitnah aktualisieren können.

Auf der folgenden Seite lesen Sie, was sich täglich so alles in den Honigtöpfen der Telekom verfängt...

Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).

Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)

Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).

Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).

Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).

Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)

Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).

Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).

Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)

Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)

Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).

Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).

Erschreckende Fallzahlen

Auch in seinen internationalen Netzen baut der Konzern die Systeme kontinuierlich aus, um neue Formen von Hackerangriffen auf breiterer Ebene zu erkennen. Dass sich der Aufwand für den Aufbau und Betrieb der Locksysteme lohnt, zeigt allein die Zahl der Attacken auf die Honeypots der Telekom. Stündlich bis zu 1400 Mal klingelten so zum Beispiel im Januar deren Alarmsysteme. Bis zu 900 verschiedene Angreifer täglich und knapp 13.000 über den Monat verteilt versuchten dabei unerlaubt am Honig zu lecken; insgesamt registrierten die Systeme des Konzerns im gleichen Zeitraum 11.300 verschiedene Angriffsmuster. Die Zahl der insgesamt von den Honeypots registrieren Angriffsversuche stieg in den vergangenen zwölf Monaten von knapp 300.000 auf über 700.000 pro Monat an.

"Die Zahlen allein sagen natürlich nicht aus, ob beispielsweise unsere Web-Produkte wie etwa Portale in gleichem Ausmaß attackiert werden", erklärt Schmall. "Deswegen ergänzen wir unser Frühwarnsystem zunehmend um Messpunkte auf Produktionsservern." Allein die Zahl der Angriffe zu registrieren oder die Angreifer abzulenken, sei aber nicht entscheidend für das Sicherheitsteam. "Wir simulieren zum Beispiel SSH-Server, zeichnen die Folgen eines erfolgreichen Angriffs auf und analysieren dabei auch den böswilligen Code." Im Detail läuft es so ab: Das System lässt den Angriff zunächst zu und loggt die Angriffsvektoren und -muster mit. Eigener ausführbarer Code kann zu keinem Zeitpunkt von dem Angreifer tatsächlich ausgeführt werden. Die nachgeladenen Schadcodes werden in einen Quarantäne-Bereich verschoben, sodass der Angreifer seine Spuren nicht mehr verwischen kann und eine spätere Analyse der Vektoren durch die Sicherheitsexperten möglich bleibt.

Gefährdungspotenzial verschieden

Wichtigste Erkenntnis der Untersuchungen: Die Schadprogramme, die sich in den Honeypots verfangen, dienen unterschiedlichsten Zwecken. So sollten sie beispielsweise den Zugriff auf Administratorenrechte in Linux ermöglichen, Scannerprogramme zum Auffinden anderer verwundbarer Systeme im Internet oder in lokalen Applikationen installieren oder mittels Brute Force Authentifizierungstechniken weiterer Systeme angreifen. Dieses letztgenannte Vorgehen, das auf Wörterbuchbasis versucht, Passwörter zu knacken, war in einem Fall sogar recht schnell erfolgreich: Lediglich vier Stunden benötigte ein Hacker, um in den Honeypot einzudringen und Malware hochzuladen. "Wir haben dann das bestehende achtstellige Passwort eines SSH-Honeypots durch ein komplexeres ersetzt. Danach gab es in zwei Monaten ganze zwei erfolgreiche Attacken", berichtet Schmall.

Ähnliche Größenordnungen herrschen auch in den ganz frischen MySQL-Honeypots vor: Hier werden binärprotokoll-kompatible MySQL-Datenbanken emuliert, in denen sich sensible Daten befinden. "Diese Datenbanken werden aber so gut wie gar nicht attackiert, weil es wohl zu ungewöhnlich ist, dass eine solche Datenbank frei im Netz steht", erklärt Schmall. Da die meisten Schwachstellenscans nach wie vor automatisch passierten, bewegten sich die Angebote ganz einfach unter dem Radar der Angreifer. Dennoch plane die Telekom, die MySQL-Honeypots weiterhin aktiv zu lassen und bald auch für Microsoft SQL Server ähnliche Szenarien aufzubauen.

Trends: Mobile, Industrieanlagen

Die nächste große Baustelle sind die mobilen Endgeräte - und inzwischen hat das Sicherheitsteam auch für diese eine Honeypot-Lösung entwickelt. Ziel war es, Smartphones mit den Betriebssystemen iOS und Android und Zugriff auf mobile Netzwerke zu simulieren und Hackerattacken gegen sie zu erfassen. Noch gebe es keine dezidierten Attacken auf mobile Geräte, was mit der fehlenden Inter-Client-Kommunikation zusammenhänge, vermutet Schmall. Mobile Endgeräte könnten über die gängigen Funkstandards bei den meisten Providern, darunter auch der Telekom, wegen der zu kleinen Adressblöcke bisher nicht via IP untereinander kommunizieren und seien daher nicht über eine öffentliche Adresse ansteuer- und angreifbar. "Ich glaube, dass sich das mit LTE nach und nach ändern wird, da sind wir einfach noch ein halbes Jahr zu früh", sagt Schmall.

In den kommenden Monaten möchte sich sein Team zudem verstärkt um Industriesteuerungssysteme kümmern, die zunehmend ins Blickfeld der Angreifer geraten. Schmall blickt voraus: "Wir wollen nicht mehr nur die klassischen Endkundenportale im Web simulieren, sondern auch Energiesteuerungsanlagen a la Scada, um noch einmal eine ganz andere Honeypot-Sensorik zu ermöglichen."

Ein guter Weg zum sicheren Passwort
Wer sein Passwort nach dieser Vorgehensweise anlegt, kann sicher sein, ein schwer zu knackendes und starkes Passwort zu besitzen (nach Anregungen aus dem Microsoft Safety & Security Center).

Das Safety & Security Center von Microsoft bietet auch die Möglichkeit, ein Passwort auf seine Verschlüsselungsstärke zu testen
Hier wurde ein Passwort eingegeben, dass nach der Tabelle in Bild 1 erstellt wurde.

Warum manuell ein Passwort erstellen, wenn es auch dafür Software gibt?
Mit der freien Software PWGen werden wirklich sichere und sehr komplexe Passworte erstellt.

Nach einmal die Überprüfung
Hier wurde ein Passwort eingegeben, das zuvor mittels des Programms PWGen erstellt worden ist. Allerdings ist der Hinweis wichtig, dass diese Überprüfung allein kein sicheres Passwort garantieren kann.

Die Anmeldung an die Passwort-Datenbank
Hier sind alle wichtigen Passworte versammelt und können übersichtlich verwaltet werden.

Wer mit wirklich komplexen unterschiedlichen Passworten arbeitet, kommt um den Einsatz eines Passwort-Managers nicht herum
Hier die Open-Source-Lösung KeePass, die durch ihre vielfältigen Möglichkeiten auch sehr gut in Unternehmensnetzwerken eingesetzt werden kann.

Professionelle Lösungen wie die hier gezeigte Lösung Passwort-Depot bieten natürlich noch viel mehr Möglichkeiten
Hier steht beispielsweise auch eine umfangreiche Suchmöglichkeit in der Datenbank zur Verfügung.

Vielfältige Möglichkeiten
Das Passwort-Depot ermöglicht es, die gesicherten und verschlüsselten Daten auch auf externe Medien auszulagern.

Integration ist wichtig
Sollen die Anwender leicht und schnell mit den komplexen Passworten umgehen können, so ist wie hier eine direkte Einbindung in den Browser sinnvoll: Die Nutzer geben dann die Passworte direkt aus dem „Safe“ in die Webseite ein.

Enge Integration in den jeweiligen Browser
Die Lösung Robo kann ebenfalls Passworte verwalten, ist aber primär darauf ausgerichtet, den Anwender beim sicheren Ausfüllen von Web-Formularen zu unterstützen.

Master-Passwort
Das Master-Passwort wird bei Installation von RoboForm auch daraufhin untersucht, ob es entsprechend sicher und komplex genug ist.

Nach der Installation
Roboform kommt auch ins Spiel, wenn sich der Anwender über Web auf einem anderen Windows-System anmelden will.

Direkte Erinnerung
Das Programm wird direkt in den Browser integriert – die funktioniert neben dem Internet-Explorer auch im Firefox und unter Opera.

Zusatzfunktionen
Das eigentliche RoboForm-Programm stellt dem Anwender neben der reinen Verwaltung von Passworten noch andere Funktionen zur Verfügung, so auch die Möglichkeit Notizen sicher abzuspeichern.

Auf der folgenden Seite stellen wir Ihnen noch weitere Analysewerkzeuge vor, mit denen deutsche Unternehmen versuchen, den Cybergangstern beizukommen...

Weitere Analysemethoden

Neben Honeypots setzen deutsche Unternehmen, insbesondere die Zugangsprovider, weitere Verfahren ein, um Cyberattacken zu erkennen und zu analysieren. Bei der 1&1 Internet AG sind das beispielhaft die folgenden fünf:

• Spamtraps: Das gezielte Einsammeln von Spam-Mails und der anschließende Abgleich der Absender-IP-Adressen sowie der Zeitstempel ermöglicht die Identifizierung von DSL-Systemen aus den 1&1-Netzbereichen, die möglicherweise als Spamschleudern missbraucht werden;

• Auswertung von DDoS-Attacken: Durch die Analyse von DDoS-Angriffe lassen sich neben dem "verursachenden" Schädling auch die am Angriff beteiligten Systeme herausfinden;

• Externe Beschwerden: 1&1 betreibt eine Abuse-Abteilung, die Hinweise aus Drittquellen auswertet, unter anderem aus den Landeskriminalämtern und dem Bundesamt für Sicherheit in der Informationstechnik;

• Sinkholes: Das Unternehmen registriert gezielt Domains, die als Command & Control-Server für Botnetze missbraucht werden könnten. Sobald ein Malware-Algorithmus bekannt ist, lassen sich diese Domains nämlich identifizieren - wie einst beim "Conficker"-Virus. Die Zahl der Zugriffe auf die Domains gibt Rückschluss auf die Größe des Botnetzes;

• Kooperationen: Projekte wie ProjectHoneyPot, Zeus-Tracker oder die ShadowServer Foundation analysieren neue Malware und unterwandern diese durch gezieltes Platzieren von Dronen. 1&1 unterstützt diese Projekte und erhält dafür im Gegenzug die Analysedaten zur internen Verwendung.