Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)
man auch sicherstellen, dass ein Benutzer überhaupt berechtigt ist, eine Verbindung aufzubauen. Dazu muss er sich an dem Computer über eine vorgegebene Methode authentisieren. Dies kann auf unterschiedlichen Wegen über Wissen (Passwörter), Besitz (Schlüsselkarten, Zugangskarten) oder biometrische Merkmale (Iriserkennung, Fingerabdruck) erfolgen. Will man die Sicherheit erhöhen, wählt man zwei Merkmale zur Erkennung. Zwei-Faktor-Authentisierung wird das genannt. Der Nutzer muss dann nicht nur ein Kennwort wissen, sondern beispielsweise auch noch im Besitz einer SmartCard sein. Dem Angreifer reichen dann Benutzername und Kennwort nicht aus, um in ein System einzubrechen, er würde noch die Chipkarte des jeweiligen Nutzers benötigen. Bekannt ist dieses Verfahren ebenfalls aus dem Bereich des Online-Banking oder in Unternehmen, wenn sich Mitarbeiter mit ihrem Firmenausweis oder einer speziellen Hardware-Komponente (Security-Token) am Computer anmelden müssen.
Die amerikanische Sicherheitsfirma RSA ist einer der weltweit führenden Anbieter solcher Login-Schlüssel und wurde – Beispiel zwei – im Frühjahr 2011 selbst gehackt. Ihr Sicherheitssystem Secure ID generiert über eine bestimmte Formel Zugangspasswörter, die einzig für sechzig Sekunden gültig sind. Den Angreifern gelang es dennoch, in die Netzwerke des Sicherheitskonzerns einzudringen und die Formel zu stehlen, die für die Berechnung des nächsten Codes verantwortlich ist. In Sicherheitskreisen hält sich hartnäckig das Gerücht, dass der Angriff auf das Unternehmen RSA nur der erste Schritt war, um sich anschließend den Zugang zum US -Rüstungskonzern Lockheed Martin zu verschaffen. Lockheed Martin entwickelt gemeinsam mit anderen, darunter auch mit dem britischen Rüstungskonzern BAE Systems, das Kampfflugzeug F- 35 . Offiziell wurde ein Einbruch bei Lockheed Martin über den RSA -Token zwar schon bestätigt, allerdings sollen nach Auskunft der Firma keine Daten gestohlen worden sein. Das
Wall Street Journal
behauptete aufgrund eigener Zugänge hartnäckig etwas anderes. «Noch nie hätte es einen derartigen Angriff gegeben», wurde ein Insider zitiert. [25] Wie ein Angestellter aus den oberen Etagen gegenüber IT -Sicherheitsexperten im Frühjahr 2012 zugab, war auch BAE über achtzehn Monate lang Opfer von Hackern gewesen.
Es dauerte übrigens mehre Monate, bis RSA anfing, die Geräte bei Kunden auszutauschen. Der Vorfall kostete das Unternehmen nicht nur Millionen, sondern erschütterte ebenso wie im Fall von DigiNotar die Internetgemeinde und das entgegengebrachte Vertrauen in Sicherheitsprodukte.
Kampfflugzeuge wie die F- 35 sind heutzutage selbst Computer, nur fliegende eben. Sie bestehen aus mehreren Millionen Zeilen Programmcode und dürften ähnlich anfällig für Viren, Würmer und Trojaner sein wie andere komplexe Systeme auch. Systeme, die eigentlich für mehr Sicherheit sorgen sollen und dann selbst zur Lücke im System werden, sind der Albtraum aufseiten der Verteidiger. In Bezug auf Flugzeuge bekommen diese Gedanken völlig neue Dimensionen.
Ein weitaus weniger martialisches, dafür sehr alltagstaugliches Beispiel ist die Einführung einer Zwei-Faktor-Authentisierung des Online-Dienstes Twitter am 23 . Mai 2013 . Nur vier Tage später, also am 27 . Mai, wurde sie bereits wieder ausgehebelt. Twitter verknüpft das eigene Konto mit einer Mobilfunknummer, an die ein Code gesendet wird, der bei der Anmeldung eingegeben werden muss. Um hohe Verbindungsgebühren während des Urlaubs im Ausland zu sparen, lässt sich dieses Sicherheitsfeature mit einer SMS deaktivieren, in der « STOPP » steht. Kennt allerdings ein Angreifer die Mobilfunknummer, lässt sich dieses Feature leicht ausnutzen.
Wie SMS -Spoofing funktioniert, habe ich ja bereits beschrieben (siehe hier ), ebenso habe ich von Herrn Klein von der Is AG berichtet, der mir davon erzählte, wie vermutlich chinesische Hacker mehrstufig in die Netzwerke des Konzerns einbrachen. Zur Erinnerung: Mit einem gleichsam chirurgisch präzisen Angriff tauchten sie innerhalb von zwanzig Minuten in die Tiefen des internen Netzes hinab, klauten sämtliche Benutzernamen und Passwörter und verschwanden ebenso schnell, wie sie aufgetaucht waren. Und sie kamen wieder. Bei dem zweiten Angriff wurde aber nicht irgendeine Lücke eines x-beliebigen Systems gehackt, sondern die erste Verteidigungslinie, die zuverlässig dafür sorgen sollte, dass Hacker keine Chance haben. «Forefront»
Weitere Kostenlose Bücher