Aufrufe
vor 2 Jahren

Netzwoche 15/2017

28 Web Titelgeschichte

28 Web Titelgeschichte «Kriminelle registrieren Domains mit gefälschten oder gestohlenen Identitäten» Michael Hausding von Switch ist Experte für Domain-Namen-Missbrauch und Mitglied des 14-köpfigen Sicherheitsteams Switch-Cert. Im Interview erklärt er, wie Switch mit den Schweizer Behörden und Registraren zusammenarbeitet. Er spricht zudem über Cyberkriminelle, Domain-Löschungen und dubiose Webshops. Interview: Marcel Urech Switch hat dieses Jahr bereits über 5000 betrügerische .ch-Webshops gelöscht. 2016 waren es rund 700. Warum die Zunahme? Michael Hausding: Dafür gibt es verschiedene Gründe. Einer davon ist, dass die Internetkriminalität weltweit stark zugenommen hat. Davon ist auch die Schweiz betroffen. Domain-Namen mit .ch-Endung haben einen guten Ruf und sind für Internetkriminelle sehr attraktiv. Sie nutzen sie gezielt für betrügerische Webshops. Die Domains sind zudem günstig und immer verfügbar. « Die Spuren führen nach China und Hongkong, aber wer hinter den dubiosen Webshops steht, können wir nicht sagen. » Michael Hausding, Mitglied des 14-köpfigen Sicherheitsteams Switch-Cert. Switch kooperiert mit Behörden. Sind die Meldungen an Switch und die Benachrichtigung der Domain-Halter automatisiert? Der Prozess ist seit Februar halbautomatisiert. Die steigende Zahl der Fälle machte das notwendig. Die von den Behörden gemeldeten Domain-Namen landen in einem Domain-Abuse-Tool. Nach einem Plausibilitätscheck können wir mit einem Klick die Benachrichtigungen versenden. In den seltenen Fällen, in denen Switch eine Antwort erhält, melden wir die Halterdaten mit Schweizer Korrespondenzadresse den anfragenden Behörden. Wie lief die Löschung der Webshops genau ab? Am Anfang steht oft der Bürger, der wegen eines Internetbetrugs die Polizei kontaktiert. Das Bundesamt für Polizei sammelt diese Meldungen und informiert Switch. Im Falle der 5000 Webshops forderte uns das Fedpol dazu auf, mit den Domain-Haltern in Kontakt zu treten und eine Schweizer Korrespondenzadresse ausfindig zu machen. Dabei gab es nur einen einzigen Fehlalarm. Der Domain-Halter kontaktierte Switch und wir konnten den Fall schnell klären. Alle anderen antworteten nicht. Switch löschte die Domains nach einer Frist von 30 Tagen. Wer stand hinter den dubiosen Webshops? Schwierig zu sagen, da hinter den Domains meist gefälschte Identitäten stehen. Switch erkannte das Muster, mit dem die Domains registriert wurden. Bei der aktuellen Löschung gab es viele Halter-Adressen aus Deutschland. Das heisst aber nicht, dass die Cyberkriminellen in Deutschland sitzen. Die Spuren führen nach China und Hongkong, aber wer dahintersteht, können wir nicht sagen. So oder so ist Switch nicht für die Strafverfolgung zuständig. Wir beurteilen auch nicht, ob ein Webshop legitim ist oder nicht. Das sind Aufgaben der Schweizer Behörden. Was passiert eigentlich mit all den gelöschten Domains? Sie werden 40 Tage nach Löschung wieder freigegeben ... … und von den gleichen Cyberkriminellen erneut registriert. Das ist möglich. Gelöschte Domains sind wegen des oft schon guten Suchmaschinenrankings beliebt. Mit der revidierten Verordnung über Internet-Domains wird Switch die Möglichkeit haben, dagegen vorzugehen. Sie fordert von uns, ab November betrügerische Domain-Registrierungen durch den gleichen Gesuchsteller zu verhindern. Kriminelle nutzen aber für jede Registrierung eine individuelle gefälschte oder gestohlene Identität. Darum ist es für Switch schwierig, mit ausreichender Zuverlässigkeit festzustellen, ob es der gleiche Gesuchsteller ist oder einer, der mit seiner Wunsch-Domain legitime Zwecke verfolgt. Gibt es denn keine Prüfung der Adressen der Domain-Halter? Switch hat keinen Kontakt mit dem Domain-Halter, eine Prüfung ist also nicht möglich. Es ist die Aufgabe der Registrare, für die Korrektheit der Halterdaten zu sorgen. Artikel online auf www.netzwoche.ch Webcode DPF8_59360 15 / 2017 www.netzwoche.ch © netzmedien ag

Web Security 29 APT, Botnetz und Creepware – das kleine IT-Security-ABC Spätestens seit Wannacry und Mirai sind Cyberbedrohungen in aller Munde und jeder spricht von Ransomware, DDoS und Trojanern. Aber was war schon wieder was? Das kleine IT-Security-ABC soll einen schnellen Überblick ohne Anspruch auf Vollständigkeit über die gängigsten Begriffe verschaffen. Autor: Coen Kaat DAS IT-SECURITY-ABC Adware APT Booter/ Stresser Botnetz Brute- Force- Angriff Carding Command & Control Server Creepware DDoS Exploit Honeypot Keylogger Man in the Middle Nematode Pharming Eine Bezeichnung für Malware, die dem Nutzer unerwünschte Werbung anzeigt. Die Werbung wird in der Regel in Form von Pop-up-Fenstern dargestellt. Obwohl lästig, ist Adware allein keine Bedrohung für den infizierten Rechner. Die Abkürzung steht für Advanced Persistent Threat. Dabei handelt es sich um komplexe, zielgerichtete und äusserst effektive Angriffe auf kritische Infrastrukturen und Daten. Zeugt von hohem Aufwand seitens der Angreifer. Software-Tools wie Booter und Stresser sind eigentlich legale Werkzeuge, um Belastungstest für Websites durchzuführen. Da mit solchen Tools Websites komplett lahmgelegt werden können, werden sie oft auch für DDoS-Dienstleistungen genutzt. Ein Botnetz ist ein zusammenhängendes Netzwerk von infizierten Rechnern – genannt Bots. Derartige Netzwerke können durchaus aus Millionen von Geräten bestehen. Der Angreifer kann diese kontrollieren und so DDoS-Attacken lancieren oder Spam-Kampagnen starten. Was brutal klingt, bezeichnet eigentlich nur blosses Ausprobieren aller Möglichkeiten, bis man die richtige gefunden hat. Gewisse Tools nutzen die Methode, um Log-in-Daten zu erraten. Dabei klappern sie sämtliche gängigen Wörter und Passwörter ab. Die digitale Variante des Kreditkartenbetrugs wird auch als Carding bezeichnet. Die Kreditkartendaten werden durch Datenlecks etwa bei Onlineshops oder durch Skimming oder Phishing gestohlen. Die meisten Datensets landen auf dem Schwarzmarkt. Die einzelnen infizierten Rechner in einem Botnetz werden durch einen zentralen Server gesteuert: den Command & Control Server – kurz: C&C-Server. Dieser befindet sich für gewöhnlich unter direkter Kontrolle der verantwortlichen Cyberkriminellen. Als Creepware bezeichnet man Softwaretools, die genutzt werden, um nichtsahnende Nutzer zu bespitzeln. Sie greifen dabei auf Kamera und Mikrofon zu. Viele Programme – insbesondere mobile Creepware – bleiben unentdeckt. Eine Möglichkeit, eine Website oder einen Onlinedienst vom Netz zu fegen, sind DDoS-Attacken – Distributed Denial of Service. Dabei wird eine Website mit so vielen Anfragen überhäuft, dass sie unter der Last zusammenbricht. Niemand ist perfekt – auch keine Software. Wenn sich kleine unabsichtliche Fehler oder Sicherheitslücken in einem Programm ausnutzen lassen, um auf dem Rechner des Nutzers Schaden anzurichten, spricht man von einem Exploit. Wenn man potenzielle Angreifer auf eine falsche Fährte locken will, kann man Honeypots in seinem Netzwerk verteilen. Diese Server sollen auf Angreifer möglichst attraktiv wirken, ohne tatsächlich wichtig zu sein oder bedeutende Informationen zu haben. Keylogger zeichnen sämtliche Tastaturbefehle eines infizierten Rechners auf. So können Hacker etwa Passwörter oder Kreditkartendaten von nichtsahnenden Nutzern stehlen. Keylogger kommen als Hard- und auch als Software vor. Bei sogenannten Man-in-the-Middle-Attacken versucht der Angreifer zwischen zwei Kommunikationspartner in einem Netwerk zu kommen. So läuft der gesamte Datenverkehr über den Angreifer. Auf diese Weise kann er den Datenstrom auch beeinflussen. Wer Feuer mit Feuer bekämpfen will, greift auf Nematoden zurück. Dabei handelt es sich um Viren oder Computer, die in Rechner eindringen. Allerdings nicht, um diesen zu infizieren, sondern um andere Schadprogramme zu beseitigen. Die weiterentwickelte Form des Phishing. Der Internetnutzer wird dabei aktiv auf gefälschte Websites umgeleitet. Die DNS-Anfragen eines Webbrowsers wird hierfür etwa durch einen Virus oder Trojaner manipuliert. Phishing Ransomware Rogue Security Rootkit Scareware Shuabang Skimming Sniffer Social Engineering Spyware Trojaner Virus Wurm Zero Day Exploit Beim Phishing werden Internetnutzer über gefälschte Websites betrogen. Oftmals imitieren die Websites bekannte Webauftritte namhafter Unternehmen. Ziel des Phishing ist es, an die Kontodaten der Betrogenen zu gelangen. Eine der fieseren Varianten von Malware. Ransomware nistet sich auf einem Rechner ein, verschlüsselt die Dateien und zeigt dem Opfer nur noch einen Sperrbildschirm. Dieser fordert das Opfer auf, Lösegeld für die Freigabe der Daten zu zahlen. Derartige Programme werden auch als Rogueware bezeichnet. Es handelt sich um vermeintliche Antivirus-Lösungen, die den Rechner gar nicht schützen. Stattdessen infizieren sie den PC mit weiteren Schadprogrammen. Eine Sammlung von Tools, die dem Angreifer Zugriff auf die Administratorenrechte eines PCs gewähren. Die Tools verschleiern die weiteren Log-ins des Angreifers. Ziel eines Rootkits ist es, die Installation weiterer Malware zu ermöglichen. Schadprogramme wie Scareware sollen das Opfer etwa durch gefälschte Fehlermeldungen einschüchtern und ihn dazu bewegen, auf eine bestimmte Weise zu handeln. Betreiber von Support Scams nutzen zum Teil solche Tools, um ihre Täuschung legitimer wirken zu lassen. Die Bezeichnung kommt aus China und beschreibt eine bestimmte Form bösartiger Werbekampagnen. Eine Malware lädt bestimmte Apps herunter und bewertet diese positiv. Diese steigen so auf in den Rankings der App-Stores. Skimming gehört zu den Man-in-the-Middle-Attacken und zielt darauf ab, Kreditkartendaten zu stehlen. Dabei werden Geldautomaten mit unauffälligen Vorrichtungen manipuliert, welche die Magnetstreifen der eingeführten Karten auslesen. Sniffer sind Softwaretools, die den Datenverkehr in einem Netzwerk untersuchen. Die Tools dienen eigentlich der Analyse von Netzwerken, können aber auch zum Bespitzeln der Nutzer eines Netzwerks genutzt werden. Beim Social Engineering werden dem Opfer falsche Tatsachen vorgegaukelt, um dessen Vertrauen zu gewinnen. Die Falschmeldungen werden bewusst so gestreut, dass das Opfer zu einer bestimmten Handlung motiviert wird – etwa zur Herausgabe von Daten. Tools, die unter die Kategorie Spyware fallen, zielen darauf ab, möglichst viele Informationen zu sammeln. Passwörter, Kreditkartendaten, Surfverhalten. Der Überbegriff umfasst unter anderem auch Keylogger. Nach aussen hin wirken trojanische Pferde beziehungsweise Trojaner wie nützliche Anwendungen. Im Hintergrund jedoch führt das Programm ganz andere Aufgaben durch und lädt etwa weitere Malware herunter oder zerstört Dateien. Ein sich selbst verbreitendes Computerprogramm wird gemeinhin als Computervirus bezeichnet. Zu diesem Zweck schleust es sich in andere Programme oder Dateien ein. Ist der Rechner infiziert, kann der Virus Veränderungen am Betriebssystem oder an anderer Software vornehmen. Ein Computerwurm ist ein Schadprogramm, das sich selbst vervielfältigen kann. Anders als ein Virus verbreitet sich ein Wurm, ohne Dateien oder Bootsektoren zu infizieren. Harmlos sind sie aber nicht: Sie belasten die Ressourcen des infizierten Rechners und können Änderungen am System vornehmen. Eine besonders schwerwiegende Form des Exploits sind die sogenannten Zero Day Exploits. Dabei werden Schwachstellen bereits aktiv genutzt, bevor der Hersteller diese mit einem Patch beheben kann. Ihm bleiben folglich «Zero Days» – also «null Tage» –, um die Lücken zu schliessen. Die komplette und laufend aktualisierte Liste online auf www.netzwoche.ch ▸ Webcode: SecurityABC www.netzwoche.ch © netzmedien ag 15 / 2017

Archiv