2012 war ein Katastrophenjahr: der Mythos Mac platzte, ihr privates Smartphone wurde ferngesteuert und Öl-Plattformen gerieten ins Wanken. Lessons learnt: Was droht uns 2013?
Cyberkriminelle suchen sich attraktive Ziele für ihre Attacken. Sonst lohnt sich, so die Logik der Hacker, der ganze Aufwand nicht. Das Jahr 2012 war demnach durch drei Trends gekennzeichnet: (i) erste mobile Botnetze tauchten auf, (ii) verstärkte Angriffe auf Mac OS (unter anderem über Oracle Java) und (iii) extrem clevere Spionage-Malware, die Kraftwerke und Öl-Plattformen attackierten.
Mythos Mac - auf immer perdu
Im Jahr 2012 wurden alle Mythen über die Unangreifbarkeit des Apple Macintosh gründlich zerstört, resümiert derSicherheitsspezialist Kasperski. Anfang des Jahres flog das Botnetz Flashfake auf, das ausschliesslich aus Mac-Computern (Mac OS X) bestand. Insgesamt 700.000 Rechner sollen infiziert worden sein. Eine Schlüsselrolle spielten dabei infizierte WordPress-Blogs, denen Cyberkriminelle ein sogenanntes Script-Redirect - also falschen Code - untergeschmuggelt hatten. Script-Redirect heisst: Beim Besuch der infizierten Webseite lädt der Browser des Besuchers, versteckt im Hintergrund, Schadcode von einer Drittseite, die durch die eingeschmuggelte Codezeile kontaktiert wird. in Fall Flashfake bestand der Schadcode aus JavaScript und Java-Applets. Script-Redirect (Beispiel), das auf Sites der Domain rr.nu umleitet, von denen dann Malware geladen wird: Oracle - die Firma ist seit der Akquise von Sun Microsystems in Besitz der Java-Lizensierungsrechte - kam recht schnell mit einem Java-Patch heraus, um die Lücke zu stopfen. Der hätte eigentlich völlig ausgereicht, um die mit Flashfake infizierten Macs zu schützen. Pikanterweise benutzt Apple jedoch prinzipiell und nie Oracle-Patches. Die infizierten Mac-Rechner mussten deshalb noch zwei lange Monate warten, bis Apple dann endlich mit einem eigenen Java-Patch aufwartete. Diese lasche Praxis, Patches zwei Monate später zu bringen, sei typisch für Apples, rügen die Virenjäger von Kasperski.
Die scheinbar unangreifbare Sicherheitsfestung Apple ist gefallen. Das liegt in erster Linie daran, dass Apple-Produkte bei vielen einflussreichen Politikern, Geschäftsleuten und Top-Managern sehr beliebt sind, und sich ein bestimmter Typus von Cyberkriminellen sehr für die auf den Geräten diese Leute gespeicherten Informationen interessiert. Apple gilt denmach in der Kriminellenszene als attraktives und lohnendes Ziel. Auch die Schweiz ist als Apple-Land. Nächste Seite: Extrem unsicheres Java
Java-Attacken: 50 Prozent
Kasperski bezeichnet 2012 als das Jahr der Java-Sicherheitslücken. Denn die Hälfte aller unter Verwendung von Exploits registrierten Attacken richtete sich gegen Sicherheitslücken in Oracle Java. Für Cyberkriminelle ist das eine sehr attraktive Zielgruppe, denn Java ist auf mehr als 3 Milliarden Geräten - unter unterschiedlichen Betriebssystemen - installiert. Java führt daher die Risiko-Hitparade 2012 an. Auf dem zweiten Platz landete Adobes Acrobat Reader, gegen den sich 28 Prozent aller Angriffe richteten.
Dann folgen, mit deutlichem Abstand, Windows und der Internet Explorer (3 Prozent). Die mobile Plattform Android wurde bislang von 2 Prozent der Cyberkriminellen ins Visier genommen. Trotzdem ist Malware für mobile Devices auf dem Vormarsch. Einen "Meilenstein" markiert der Anfang des Jahres entdeckte IRC-Bot (Internet Relay Chat) für Android namens Foncy. Foncy übernahm nach der Infektion die Kontrolle über das Smartphone-Opfer. Der auf dem Android-Device installierte Bot konnte, nachdem er sich mit dem Steuerungsrechner (Master-Server) verbunden hatte, sogenannten Shell-Befehle - also Unix-Befehle auf Kommandozeilenebene - entgegennehmen und ausführen.
Risiko: Handy-Botnetze
Faktisch bildeten alle mit dem IRC-Bot Foncy infizierten Smartphones ein vollwertiges Botnetz und waren in der Lage, auf Befehl ihres Masters jede beliebige Aktion auszuführen. Bisher galten Bot-Netze, etwa zum Zwecke des SPAM-Versandes, unter Fest-PCs als gebräuchliche kriminelle Methode. Jetzt schwappt die Desktop-Technologie aufs mobile Lager über. Ein beliebter Trick besteht zum Beispiel darin, den Schädling (Bot) als legales Programm zu tarnen und auf der Website eines zwar nicht offiziellen, aber populären App-Shops für Android feilzubieten. Nächste Seite: LinkedIn gehackt
LinkedIn-Passwörter gehackt
Am 5. Juni 2012 nahmen sich Hacker das soziale Business-Netzwerk LinkedIn zur Brust und erbeuteten die Passwort-Hashes von etwa 6,4 Millionen Mitglieder. Die Passwörter wanderten prompt ins Internet. Passwort-Hashes sind noch keine Passwörter im Klartext, und Kasperski hält LinkedIn zugute, dass das Kontakt-Netzwerk die Passwörter seiner Mitglieder immerhin als SHA1-Hashes gespeichert habe. Dieser Hash sei besser, das heisst sicherer, als der populäre MD5-Hash. Aber Sicherheit ist relativ, moderne Grafikkarten seien in der Lage, auch SHA1-Hashes in unglaublicher Geschwindigkeit zu knacken, so Kasperski in seinem Security Bulletin 2012. Eine gebräuchliche Grafikkarte vom Typ Radion 7970 - die etwa 380 Euro kostet - liest fast zwei Milliarden SHA1-Passwort-Hashes in einer Sekunde. In Kombination mit kryptografischen Algorithmen, also Passwort-Knackern, lassen sich damit sogenannte Brute-Force-Attacken fahren, die alle möglichen Passwörter einfach der Reihe nach durchprobieren.
Staatlicher Auftrag: Wirtschaftsspionage
Ein sehr besorgniserregender Trend ist ausserdem die durch Staaten quasi legal subventionierte Industriespionage. Mitte April 2012 zerstörte eine Reihe von Cyberattacken die Computersysteme auf Öl-Plattformen im Mittleren Osten. Die dafür verantwortliche Malware "Wiper" wurde zwar nie gefunden. Die Virenjäger von Kasperski stiessen wärend der Recherchen aber auf eine Cyberspionage-Kampagne, die heute unter dem Namen "Flame" bekannt ist. Kasperski bezeichnet Flame als einen der "raffiniertesten Schädlinge, der jemals entwickelt wurde". Vollständig installiert enthält er über 20 MByte an Modulen, die ein breites Spektrum an Funktionen ausführen können: eine Audio-Abfangschaltung aufbauen, Bluetooth-Geräte scannen, Dokumentendiebstahl oder Screenshots auf dem infizierten Rechner erstellen. Am eindrucksvollsten, so die Virenjäger, sei der Einsatz eines gefälschten Microsoft-Zertifikates gewesen, um so eine sogenannte "Man-in-the-Middle-Attacke gegen den Windows-Update-Dienst zu fahren. Die Komplexität der Angriffe, resümiert Kasperski, lasse keinen Zweifel daran, dass sie von einem Staat gedeckt worden seien. Nächste Seite: Länder-Hitparade und Prognose 2013 Die Schweiz kann sich punkto Cyberattacken noch relativ sicher fühlen, darf sich aber nicht in falscher Sicherheit wiegen. Unter den Ländern, auf deren Web-Servern Schadcode eingeschmuggelt wurde, führen die USA mit einem Anteil von 25,5 Prozent. Dann folgen Russland (19,6 Prozent), die Niederlande (16,8 Prozent), Deutschland (11,4 Prozent) und Grossbritannien (5,6 Prozent). Auf der negativen Top-20-Liste der am stärksten betroffenen Länder taucht die Schweiz gar nicht auf. Die Liste basiert auf einer statistischen Auswertung der Alarme von Kasperski Web-Antivirus. Auf der Top-10-Positivliste der Länder mit der geringsten Computer-Infektionsrate liegt die Schweiz nach Ländern wie Dänemark, Japan, Finnland oder Schweden auf Platz 10 (siehe Grafik).
Prognosen 2013
Kasperski wagt sich anhand der Risikoszenarien des laufenden Jahres an eine Sicherheitsprognose 2013: Zielgerichtete Attacken auf Unternehmen und Cyber-Spionage werden zunehmen, prophezeien die Virenjäger. Ausserdem sehen die Sicherheitsexperten den sogenannten Hacktivismus auf dem Vormarsch, und erinnern an die DDoS-Attacken von Anonymous auf polnische Regierungswebseiten. Die Attacken folgten als Reaktion auf die Erklärung der polnischen Regierung, das ACTA (Anti-Counterfeiting Trade Agreement) unterstützen zu wollen. Nicht nur Geld und der Einbruch in Bankkonten motiviert die Cyberkrinimellen, viele Attacken haben einen sozialen oder politischen Hintergrund. Zudem werden Regierungsbehörden verstärkt legale Überwachungstools sozusagen als Präventivmassnahme einsetzen. Das wird Debatten über Datenschutz und Bürgerrechten notwendig machen. Mit dem Vormarsch des Cloud Computing wachse nach Ansicht der Security-Spezialisten auch das Malware-Risiko. Die Diskussion um die Sicherheit der Daten in der Cloud wird seit Jahren, unter ganz unterschiedlichen Perspektiven, sehr leidenschaftlich geführt.
Cloud birgt hohes Malware-Risiko
Die Konzentration der Cloud-Services auf einige wenige Mega-Rechenzentren mache diese Datenzentren zu einem sehr attraktiven Ziel für Cyberkriminelle. Sie seien aus Sicht der Kriminellen sozusagen ein potenzieller "Single Point of Failure". Ausserdem erweitert die omnipräsente Cloud und der ortsunabhängige Zugriff von jedem beliebigen mobilen Device nicht nur die Flexibilität der Unternehmen, sondern auch die Handlungsspielräume der Angreifer, befürchten die Sicherheitsspezialisten.
