Was ist ein Virenscanner?

, , , , , , , ,

Schadsoftware und heimtückische Websites erkennen Sie nicht mit dem bloßen Auge. Auch Angriffe von Hackern können nicht einfach so und ohne eine im Hintergrund laufende Unterstützung abgewehrt werden. Hier kommt der Virenscanner ins Spiel, der sich auf jedem PC und Smartphone befinden und neben der Firewall zusätzlich vor Eindringlingen auf einem Computer oder dem Server schützen soll.

Definition Virenscanner

Grundsätzlich werden Virenscanner in drei verschiedene Arten, abhängig von ihrer Funktion unterteilt. Es gibt manuelle Scanner, Echtzeitscanner und Onlineprogramme zur Aufspürung und Unschädlichmachung von Schadware. Jeder Virenscanner dient unabhängig seiner häufig implementierten Zusatzfunktionen dazu, Würmer, Trojaner und Viren aufzuspüren und diese in die Quarantäne zu verschieben oder durch Löschung unschädlich zu machen. Antivirus-Programme sperren Hacker aus und sind neben der Firewall essenzielle Schutzmechanismen für die sensiblen Daten auf Servern und Computern. Der Begriff Virenscanner ergibt sich aus der Funktion des Programms, das bestenfalls automatisch im Hintergrund läuft und den PC kontinuierlich nach Schadware scannt.

Anwendungsbereiche von Virus-Scannern

Ein Antivirus-Programm ist für Heimanwender ebenso wichtig wie für Firmen. Viren oder Mal- und Spyware gefährden die Funktionalität Ihres Computers und stellen die digitale Sicherheit durch das Ausspähen und Abgreifen von Daten in Frage. In den letzten Jahren haben sich immer mehr Virenscanner-Hersteller darauf konzentriert, künstliche Intelligenz einzubauen und auf diesem Weg die Entdeckung und Unschädlichmachung von Schadware zu beschleunigen. Noch vor einigen Jahren brauchte ein Virenprogramm bis zur Lösungsfindung meist einige Tage, was in der heutigen schnelllebigen Zeit unverhältnismäßig wäre. Ältere Scanner beschäftigten sich mit der Suche nach bekannten „Verhaltensmustern“ von Websites und nahmen die Einordnung in sicher und unsicher anhand dieser Faktoren vor.

Heute arbeitet der Virenscanner mit Analysen, die sich nicht auf bekannte Muster, sondern auf das tatsächliche Verhalten einer Website oder Software in Echtzeit beziehen. Schadware, aber auch Sicherheitslücken und Bugs werden aufgespürt und können nach der Verschiebung ins Quarantäneverzeichnis entfernt werden.

Die verschiedenen Begrifflichkeiten im Zusammenhang mit Virenscannern

Wenn Sie sich intensiv mit Virenscannern beschäftigen, wird Ihnen der Begriff Vulnerability häufiger vor Augen geführt. Die Bezeichnung wird in verschiedenen Bereichen verwendet und steht für die Wunde, beziehungsweise die Verwundbarkeit. PC-Technik und Serverschutz mit geringer Vulnerabilität, also mit einem minimalen Verwundungsrisiko bieten Ihnen die beste und der Datenschutzgrundverordnung entsprechende Sicherheit. Im Kontext zu Sicherheitslücken taucht der Begriff Exploit auf. Exploits sind kleine Programme von Hackern. Sie spüren Schwachstellen in Software und auf Computern auf. Für einen effektiven Rundumschutz sollte Ihr Antivirus-Programm daher nicht nur konventionelle Schadware aufspüren, sondern sich vollumfänglich für die Sicherheit im Internet und die Sicherheit Ihrer Daten einsetzen lassen. Beim effektiven Schutz für Unternehmen muss man auf komplexere und geräteübergreifende Lösungen setzen.

Antivirus-Lösungen für Firmen

Zwei essenzielle Faktoren spielen bei der Entscheidung für einen Virenscanner eine übergeordnete Rolle. In größeren Firmen werden Programme bevorzugt, die man unkompliziert zentral installieren und auf gleichem Weg verwaltet. Dabei sollte der Virenscanner kostenlos und äußerst effektiv sein. Die Einzelinstallation und Updates über jeden einzelnen Computer wären zu aufwendig. Sie würden obendrein innerhalb des Systems Lücken und damit die Gefahr von Eindringlichen von außen begünstigen. Zentrale Lösungen mit Management-Option sind für Firmenkunden die beste Lösung. Es gibt verschiedene renommierte Hersteller von Antivirus-Software, die kostenlose Komplettlösungen für Unternehmen anbieten.

Bei ESET nennt sich die Lösung ESET Remote Administrator (kurz ERA) und ist eine kostenlose Möglichkeit für Firmen, sich umfassend vor Schadware und den damit verbundenen Sicherheitsrisiken und Kosten zu schützen. Die Ausrichtung des Managements hängt davon ab, wie viele Geräte Sie mit einem Virenscanner überwachen und von Sicherheitsrisiken befreien möchten.

Der Virenscanner muss zum Risiko passen

Bei der Auswahl eines Virenscanners sollten Sie als gewerblicher Anwender mit Kompetenz und einer realistischen Einschätzung Ihrer Risiken vorgehen. Fakt ist, dass ein Scanner für Trojaner und Würmer heute nicht mehr ausreicht und mehr Schadware durchlässt als stoppt. Da die Kombination von Scanner häufig zu Kompatibilitätsproblemen führt, sollten Sie sich für eine Software entscheiden. Arbeiten Sie mit sensiblen Daten im Kundenverkehr, ist ein besonders umfangreicher Schutz notwendig. Wenn Sie sich für einen Virenscanner entscheiden, prüfen Sie vorab die Updates für die stetige Aktualisierung und Anpassung auf neue Risiken.

/von

Wie arbeitet ein Hacker?

, , , , , , ,

Die 2010er Jahre werden wohl in die Annalen der Geschichte als das Jahrzehnt der Cyberangriffe  von Hackern auf Behörden, Organisationen und Netzwerke eingehen. Beinahe wöchentlich werden neue Hacking Attacken auf Unternehmensnetze gemeldet. Doch wer sind diese Hacker und wie gehen sie bei ihren Angriffen auf fremde Systeme vor?

Was ist ein Hack?

Hacken bedeutet so viel, wie die Grenzen des Möglichen auszutesten. Mit dieser Beschreibung versuchte der US-amerikanische Informatiker und Sicherheitsforscher Richard Stallman, die Vorgehensweise von Hackern zu beschreiben. Aus seiner Sicht ist das ein äußerst kompliziertes Unterfangen, denn Hacker sind so vielfältig wie die von ihnen eingesetzten Tools und Attacken. Während Hacker in vielen Filmen nur einige Sekunden benötigen, um in ein Computernetzwerk einzudringen, sieht die Realität wesentlich anders aus. Oft steckt hinter einem erfolgreichen Hack-Angriff wochen- oder monatelange Detailarbeit. Computersysteme sind nur eins von vielen Angriffszielen, die Hacker heutzutage ins Visier nehmen. So lassen sich zum Beispiel smarte Fernseher und Kühlschränke und internetfähige Automobile manipulieren.

Wie dringen Hacker in Computersysteme ein?

Gute Hacker kennen sich nicht nur mit Computersystemen aus, sondern können auch Menschen verleiten, ihnen Informationen zu verraten. Eine der ältesten und heute noch aktiv genutzten Methoden ist deshalb eine, die kaum technische Kenntnisse voraussetzt: das sogenannte „Social Engineering“. Bei dieser Methode tischt der Angreifer dem Opfer Lügengeschichten auf und bittet ihn um Hilfe. Mit diesen Geschichten verführen Hacker Nutzer dazu, ihnen Log-in-Daten preiszugeben, infizierte Dateien auszuführen oder ihnen Geld zu überweisen.

Auch sogenannte „Phishing-Angriffe“ sind traditionelle Manipulationstricks, mit denen Hacker versuchen, an Privatdaten von Nutzern zu gelangen. Die kriminellen Angreifer geben sich dabei in vielen Fällen als Mitarbeiter von Banken, Firmen oder Online-Anbietern wie Ebay, Amazon und PayPal aus. Sie fälschen E-Mails und Webauftritte bekannter Unternehmen und setzen darauf, dass die Opfer ihrer Angriffe ihre Log-in-Daten in gefälschte Formulare eintragen, die dem Original ähneln.

Bei der sogenannten „Man-in-the-Middle-Attacke“ zapft der Angreife einen Kommunikationsweg zwischen zwei Geräten an, die miteinander kommunizieren. Betreibt das Opfer etwa Onlinebanking auf seinem Smartphone in einem öffentlichen WLAN-Netzwerk, kann der Angreifer die Daten manipulieren.

Eine andere Methode, um an Log-in-Daten zu kommen, ist das sogenannte „Brute-Force-Verfahren“, das als Brechstange im Arsenal moderner Hacker-Tools bezeichnet wird. Anstatt die Zugangsdaten der Opfer auszuspähen, probieren Hacker auf Log-in-Seiten mit automatisierten Tools alle möglichen Passwörter. Diese Methode klappt vor allem Dann, wenn sich Nutzer für simple und kurze Passwörter entscheiden und die Log-in-Seite beliebig viele Versuche zulässt.

Ein weiterer Weg, um Schadsoftware zu verteilen, sind sogenannte „Drive-by-Downloads“. So wird das unbewusste und unbeabsichtigte Herunterladen von Dateien bezeichnet. Eine Webpräsenz oder eine Werbeanzeige kann so manipuliert werden, dass bereits der Abruf der Webseite dazu führen kann, dass Schadsoftware automatisch auf den Rechner des Opfers heruntergeladen und installiert wird.

Wie nutzen Hacker DDoS-Attacken?

Bei DDoS-Attacken (Distributet-Denial-of-Service-Attacken) handelt es sich um Überlastungsangriffe, durch deren Einsatz Server und Webdienste zeitweise unbrauchbar gemacht werden. Hacker versuchen mit dieser Methode u. a. Schutzgeld von Unternehmen zu erpressen, deren Online-Angebote durch einen längeren Ausfall einen Imageschaden erleiden würden, sodass dadurch die Nutzerzahlen ihrer Online-Dienste auf dem Spiel stehen könnten. Damit eine DDoS-Attacke erfolgreich verläuft, muss der Angreifer genügend infizierte Computer zur Verfügung haben, um einen ausreichend großen Traffic generieren zu können. Deshalb setzen Hacker bei einer Überlastungsattacke in der Regel ein Botnetz ein. Diese digitale Zombie-Armee setzt sich aus infizierten Geräten zusammen, die mit dem Internet verbunden sind. Deren Besitzer bekommen in den meisten Fällen gar nicht mit, dass ihr Computer oder Tablet-PC für DDoS-Attacken missbraucht wird.

Die Lieblingstools

Hacker bedienen sich einer Vielzahl unterschiedlicher Schadsoftware-Programme, um in Computernetzwerke einzudringen und Daten zu stehlen. Als Schadsoftware (Malware) werden alle Computerprogramme und Codefragmente bezeichnet, die unerwünschte oder schädliche Handlungen auf einem Computersystem ausführen, wie beispielsweise Ausspähen von Nutzerverhalten. Traditionelle Antiviren-Lösungen sollen solche Programme erkennen und automatisch entfernen können. In den meisten Fällen reicht ein einfaches Antivirenprogramm aus, um gängige Schadsoftware vom Rechner fernzuhalten.

Problematisch wird es jedoch bei den sogenannten „Zero-Day-Lücken“. Hierbei handelt es sich um Sicherheitslücken, die dem Hersteller noch nicht bekannt sind und somit auch noch nicht gepatcht werden konnten. Hackertools, die sich Zero-Day-Schwachstellen zunutze machen, werden „Zero-Day-Exploits“ genannt. Diese Art der Exploits ist in der IT-Branche sehr wertvoll. Denn Hersteller möchten von Schwachstellen in ihren Systemen zuerst erfahren, weshalb Belohnungen für Hinweise angeboten werden. Auf dem Schwarzmarkt können Zero-Days Cyberkriminellen jedoch viel mehr Geld einbringen.

Wie gefährlich Zero-Day-Exploits wirklich sind, zeigte WannaCry im Jahr 2017. Der Erpressungstrojaner nutzte einen Zero-Day-Exploit namens „Eternal Blue“, um sich rasend schnell zu verbreiten und weltweit Millionen von Rechnern zu infizieren.

Kann man sich schützen?

Die schlechte Nachricht lautet, dass prinzipiell jedes System gehackt werden kann. Die entscheidende Frage ist jedoch, wie schnell und wie leicht ist es für den Hacker, Zugang zu einem bestimmten Computersystem zu erlangen. Es sind unterschiedliche Tools, wie beispielsweise OpenVAS erhältlich, die Ihnen dabei helfen können, eine Vulnerability-Analyse Ihres Computersystems oder Netzwerks durchzuführen.

/von

Was ist RSA?

, , , ,

Bei der Versendung von Daten über das Internet besteht vermehrt der Bedarf, eine verschlüsselte Verbindung zu verwenden. Je sensibler die Inhalte sind, desto sicherer muss ausgeschlossen werden, dass Dritte diese mitlesen oder verändern können. Auch ist es vor der Übertragung wichtig, dass man gewiss sein kann, überhaupt mit dem richtigen Empfänger zu kommunizieren. Verschlüsselung und das daraus abgeleitete Prinzip der Zertifikate, sind ein probates Mittel. Doch bei der Kommunikation mit externen Stellen muss zunächst einmal der Schlüssel geschützt ausgetauscht werden. Hierfür sind asymmetrische Verschlüsselungsverfahren wie RSA geeignet.

Herkunft und Entwicklung von RSA

Die Bezeichnung RSA stammt von den Anfangsbuchstaben der Erfinder: Rivest, Shamir und Adleman. Das Verfahren wurde bereits 1977 entwickelt und ist, mit leichten Modifizierungen und Verlängerungen der empfohlenen Schlüssellänge, bis heute im Einsatz. Ursprünglich wollten die drei Mathematiker nur beweisen, dass das ein Jahr zuvor vorgestellte Diffie-Hellman-Verfahren zum Schlüsseltausch Angriffspunkte aufweist. Dabei entdeckten sie eine darauf basierende Methode, für die sie keine Schwachstelle fanden und veröffentlichten sie als RSA. Zwischen 1983 und 2000 bestand ein Patent dafür.

Symmetrische und asymmetrische Verschlüsselung

Verschlüsselung beschreibt grundsätzlich die Kodierung von klartextlichen Daten. Diese können ihrerseits auch binär vorliegen. Die Transformation muss nach festgeschriebenen Operationen, dem Algorithmus, und anhand eines festgelegten Schlüssels erfolgen. Dies haben alle Verschlüsselungsverfahren gemeinsam.
Bei einem symmetrischen Verfahren wird derselbe Schlüssel für die Ver- und Entschlüsselung verwendet. Dies bringt das Problem mit sich, dass er auf beiden Seiten vorliegen muss. Eine unverschlüsselte Übertragung, vor Aufbau der verschlüsselten Verbindung, verbietet sich natürlich. Ein Angreifer könnte den Schlüssel ebenfalls abfangen und seinerseits alle Daten en- und dekodieren.

Besonderheiten

Die Besonderheit bei asymmetrischen Verfahren hingegen ist, dass zwei unterschiedliche Schlüssel verwendet werden. Es gibt einen privaten und einen öffentlichen Schlüssel. Es ist möglich, den mit einem der beiden verschlüsselte Datenbestand mit dem jeweils anderen zu entschlüsseln. Dies bringt zwei sinnvolle Anwendungszwecke mit sich. Der Absender kann seine Inhalte mit dem öffentlichen Schlüssel enkodieren und sich sicher sein, dass nur der Besitzer des privaten Schlüssels in der Lage ist, sie wieder zu dekodieren.

Sichere Verbindungen

Da der Inhalt auch ein Schlüssel für ein symmetrisches Kodierungsverfahren (im Gegenssatz zum RSA)  sein kann, ist dies gut geeignet, um eine sichere Verbindung aufzubauen. Steht diese Verbindung, sind beide Seiten im Besitz des korrekten Schlüssels und können verschlüsselt kommunizieren.
Die zweite Variante besteht darin, dass der Absender den versendeten Inhalt mit seinem privaten Schlüssel enkodiert. Der Empfänger kann sich den korrekten öffentlichen Schlüssel gefahrlos vom Absender herunterladen und damit den Datenbestand dekodieren. Ist der Inhalt lesbar, steht fest, dass er vom korrekten Absender stammt.

Details zu RSA

Dem Verfahren liegt das Prinzip einer Einwegfunktion zugrunde. Also einer Funktion, die nicht ohne Weiteres umkehrbar ist, wenn bestimmte Parameter nicht bekannt sind. RSA macht sich die Schwierigkeit bei der Faktorisierung von Primzahlen zunutze. Wird aus zwei ausreichend großen Primzahlen durch Multiplikation ein sehr großes Produkt erzeugt, ist es nur mit hohem Aufwand möglich, die verwendeten Faktoren zu errechnen. Beide erzeugten Schlüssel werden zudem noch mittels der Modulo-Operation, der Bestimmung des Rests einer ganzzahligen Division, bearbeitet. Die verwendeten Primzahlen werden gelöscht oder beim privaten Schlüssel verwahrt. Danach ist es möglich, durch eine sogenannte Falltür-Funktion, mit nur einem der beiden Schlüssel Inhalte zu entschlüsseln, die mit dem anderen Schlüssel verschlüsselt wurden.


Die Sicherheit des Systems hängt allerdings von der Länge der Schlüssel ab. Erst ab einer Größe von 2048 Bit kann zur Zeit von einer Komplexität ausgegangen werden, die mit der verfügbaren Rechenleistung in absehbarer Zeit nicht zu knacken ist. Dies ist nicht unerheblich, da die Dauer der Rechenoperationen bei der Kodierung sich mit zunehmender Schlüssellänge entsprechend verlängert.

Welche Anwendungen nutzen RSA?

Aufgrund des notwendigen Rechenaufwands ist das Verfahren nicht zweckdienlich, wo schnell große Datenmengen auszutauschen sind. Daher eignet es sich vorrangig für die Authentifizierung und, wie bereits erwähnt, für den Schlüsseltausch.
Dies ist allerdings bei sehr vielen bekannten Anwendungen der Fall. Das Webprotokoll HTTPS nutzt RSA zu diesem Zweck. Auch die Authentifizierung des Webservers, über dessen X.509-Zertifikat, läuft mit diesem Verfahren. Es findet zudem Verwendung bei TLS und damit bei der gesicherten Übertragung von E-Mails. Auch die Verschlüsselung von Mails mittels OpenPGP und S/MIME wird mittels RSA durchgeführt.
Bei der Verschlüsselung von Smartcards und RFID-Chips wird die Methode ebenfalls verwendet.

Welche Schwächen hat RSA?

RSA ist gegenüber symmetrischen Methoden wie AES etwa um das Hundertfache langsamer. Weiterhin ist es theoretisch angreifbar und nur eine ausreichend große Schlüssellänge schützt praktisch davor, die Schlüssel errechnen zu können. Da sich die Hardwareleistung immer noch erheblich in Richtung leistungsfähigerer Komponenten entwickelt, muss dies bei der Auswahl der Schlüssellänge berücksichtigt werden. Ansonsten kann eine Hard- oder Software, die RSA verwendet, mit der Zeit unsicher werden.

Alternative Verschlüsselungsmöglichkeiten

Es wurden weitere asymmetrische Verfahren wie Rabin, Chor-Rivest und Elgamal vorgestellt, die zum Teil auch einen ähnlichen Ansatz wie RSA haben. Jedoch hat sich bislang keines als ernsthafte Alternative durchsetzen können.
Da der Schlüsseltausch zur Initiierung einer schnelleren symmetrischen Methode nur eine sehr begrenzte Zeit beansprucht, können zudem bislang problemlos ausreichend lange Schlüssel verwendet werden.

/von

Was ist MD5?

, , , ,

Bei MD5 (Message-Digest Algorithm 5) handelt es sich um eine komplexe Hashfunktion, die in erster Linie eingesetzt wird, um aus einer bestimmten Nachricht oder Zeichenkette einen stets gleichen Hashwert zu erzeugen. Der Message-Digest Algorithm 5 kommt bei verschiedenen Anwendungen zum Einsatz, wie beispielsweise bei der Validierung von Download-Dateien oder beim Speichern von Passwörtern.

Message-Digest Algorithm 5 im Überblick

Die Abkürzung MD5 ist englischen Ursprungs und steht für „Message-Digest Algorithm 5“. Hierbei handelt es sich um eine Hashfunktion aus der Kryptografie, die aus einer beliebigen Zeichenkette einen einzigartigen Hashwert erzeugt. Im Gegensatz zu gängigen Verschlüsselungsverfahren ist die Funktion nicht umkehrbar, womit verhindert wird, dass sich aus dem Hashwert die ursprüngliche Zeichenkette rekonstruieren lässt.
MD5 wurde von dem amerikanischen Mathematiker und Kryptologen Ronald L. Rivest im Jahr 1991 am Massachusetts Institute of Technology entwickelt. Message-Digest Algorithm 5 wurde als der direkte Nachfolger des als unsicher geltenden MD4-Hashfunktion konzipiert. Typische Einsatzszenarien von MD5 sind die Validierung von Download-Dateien und das Speichern von Passwörtern. Der Message-Digest Algorithm 5 gilt heute jedoch nicht mehr als ausreichend sicher. Es wurden verschiedene Angriffsmethoden, wie beispielsweise Kollisionsangriffe, entwickelt und erfolgreich eingesetzt, mit denen es möglich ist, die passende Ausgangszeichenkette zu einem bestimmten Hashwert mit vertretbarem Aufwand zu erzeugen.

Die grundsätzlichen Kriterien einer MD5-Hashfunktion

Eine MD5-Hashfunktion muss wie alle anderen Hashfunktionen mehrere Kriterien erfüllen. So muss beispielsweise die identische Zeichenkette immer den gleichen Hashwert erzeugen. Darüber hinaus muss verhindert werden, dass sich aus einem Hashwert die ursprüngliche Zeichenkette ermitteln lässt. Mit MD5 lassen sich jedoch nicht alle Anforderungen ganzheitlich erfüllen. So ist es beispielsweise bekannt, dass unterschiedliche Zeichenketten durchaus einen identischen Hashwert liefern können. In solchen Fällen spricht man von einer Kollision. Die Sicherheit und Integrität einer MD5-Anwendung sind direkt von der Einhaltung dieser Kriterien abhängig.


Der Message-Digest Algorithm 5 basiert auf der sogenannten „Merkle-Damgard-Konstruktion“. Dieser hochkomplexe Algorithmus füllt die Ausgangszeichenfolge bis zu einer bestimmten Länge mit Nullen und Einsen auf und setzt danach blockweise Komprimierungsfunktionen an. Es werden mehrere Durchgänge mit mathematischen Funktionen durchlaufen, bis ein 128-Bit-Wert erreicht und als Ergebnis präsentiert wird.

Einsatzbereiche

Message-Digest Algorithm 5 kommt in zahlreichen Anwendungen zum Einsatz. Ein häufiger Anwendungsfall ist die Validierung einer aus dem World Wide Web heruntergeladenen Datei auf ihre Vollständigkeit. Die Validierung soll Übertragungsfehler des Netzwerks, die bis zu einem gewissen Grad ausgeglichen werden können, ausschließen. Um diese Funktionalität sicherstellen zu können, wird auf Basis der Ausgangsdatei zunächst eine MD5-Prüfsumme berechnet und gemeinsam mit der Datei übertragen. Im nächsten Schritt berechnet der Empfänger eine Prüfsumme anhand der empfangenen Datei und gleicht diese mit der mitgesendeten Prüfsumme ab. Falls die Signaturen beider Hashwerte miteinander übereinstimmen, war die Übertragung erfolgreich und die Integrität der Datei ist validiert. Diverse Angriffsmethoden, wie beispielsweise Man-in-the-Middle-Angriffe lassen sich durch die Prüfmethode jedoch nicht völlig ausschließen, da Angreifer die Hashsignatur nach Veränderung der Datei wieder neu erzeugen können.
Ein weiterer beliebter Einsatzbereich ist das sichere Speichern von Passwörtern. Passwörter werden nicht im Klartext, sondern als MD5-Hashwerte lokal gespeichert. Dadurch werden die Passwörter in der gespeicherten Datei für unbefugte Personen unlesbar, auch dann, wenn diese vollen Zugriff auf die Passwort-Datei haben sollten. Da bei dem Message-Digest Algorithm 5 das Zurücksetzen der Hashsignatur unmöglich ist, kann auch das ursprüngliche Passwort nicht einfach rekonstruiert werden.

Weitere Anwendungsbereiche von MD5 sind:

– Generierung von Passwörtern und Zufallszahlen
– Erstellen digitaler Signaturen
– Ableiten von Schlüsseln

Wie sicher ist MD5?

Der Message-Digest Algorithm 5 ist weit verbreitet und galt ursprünglich als kryptografisch sicher. Er wird heutzutage jedoch als nicht mehr ausreichend sicher angesehen. Schwächen, wie beispielsweise das gezielte Errechnen von Kollisionen, sind schon seit 1994 bekannt. Die grundlegende Arbeit, um diese Schwachstelle auszunutzen, leistete der deutsche Mathematiker und Kryptologe Hans Dobbertin, der einige Jahre zuvor einen erfolgreichen Angriff auf MD4 entwickelt hatte und die eingesetzten Methoden und Techniken auf MD5 übertrug. Mit aktuellen Computern lässt sich eine zum Hashwert passende Zeichenkette in der Regel binnen weniger Minuten errechnen.
Aus diesem Grund sollte der Message-Digest Algorithm 5 für kryptografische Anwendungen nicht mehr verwendet werden. Eine weitere beliebte und äußerst effiziente Angriffsmethode für MD5 sind Angriffe mit sogenannten „Regenbogentabellen“. In solchen Tabellen befinden sich Zeichenketten mit den zugehörigen Hashwerten. Hacker die einen Hashwert knacken wollen, müssen diesen einfach mit den in der Regenbogentabelle gespeicherten Hashwerten abgleichen. Mit ein wenig Glück lässt sich so unter Umständen die passende Zeichenkette ermitteln. Im Internet gibt es gigantische Regenbogentabellen mit Millionen von Einträgen, die für Angriffe genutzt werden können.

/von

Was ist ein Exploit?

, , , , , , , , ,

Bei einem Exploit handelt es sich um ein Computerprogramm, das Sicherheitslücken von Software-Produkten aufzeigt und deren Ausnutzung ermöglicht. Sie stellen potente Werkzeuge für Hacker und Cyberkriminelle dar, um in geschützte Computersysteme einzudringen, um Datendiebstahl und ähnliche illegale Aktivitäten zu begehen. Exploits können jedoch auch bei der Beseitigung von Schwachstellen genutzt werden.

Allgemeine Informationen

Exploits stellen systematische Wege dar, um aufgrund von Schwachstellen in Form von Programmierfehlern der Software in Computersysteme und Netzwerke einzudringen. Dabei kann es sich sowohl um rein theoretische Beschreibungen der Sicherheitslücke (Proof of Concept), als auch um ausführbare Programme zur direkten Ausnutzung der jeweiligen Sicherheitslücke handeln. Für Hacker und andere Cyberkriminelle sind sie wichtige Tools, um unbefugten Zugriff auf ein Computersystem zu erlangen und dieses nach persönlichen Wünschen zu manipulieren. Darüber hinaus werden Exploits eingesetzt, um Sicherheitsschwachstellen genau zu dokumentieren und für deren Beseitigung mittels Software-Updates und -Patches zu sorgen. In vielen Fällen machen sich Exploits sogenannte „Pufferüberläufe“ (Buffer Overflow) zunutze. Dabei handelt es sich um Programmierfehler, die es ermöglichen, Programmcode in einem nicht dafür vorgesehenen Bereich des Arbeitsspeichers auszuführen, um beispielsweise Adminrechte oder Zugriff auf geschützte Dateien und Ordner zu erhalten. Viele nutzen zudem schlecht programmierte Schnittstellen aus, mit denen eigene Codefragmente zur Ausführung gebracht werden können.

Bedeutung für Netzwerk- und Systemsicherheit

Durch den Einsatz gängiger Exploits können Computersysteme und Netzwerke auf Schwachstellen geprüft werden. Falls bereits Patches und Updates für bekannte Sicherheitslücken installiert sind, kann mit den entsprechenden Exploits die Wirksamkeit dieser Updates verifiziert werden. Neben einzelnen gibt es auch sogenannte „Exploit-Pakete“, die eine Vielzahl unterschiedlicher Schwachstellen in einem einzelnen Programm sammeln. Ein System lässt sich auf diese Weise auf eine Großzahl verschiedener Lücken prüfen. Für den Cyberkriminellen erhöht sich jedoch durch den Einsatz solcher Pakete die Wahrscheinlichkeit, dass er in ein System eindringt und dieses manipuliert.

Einteilung von Exploits nach Angriffsart und zeitlichen Aspekten

Abhängig von der eingesetzten Angriffsart und den zeitlichen Aspekten lassen sich Exploits in folgende Kategorien einteilen.

Remote-Exploits sind in erster Linie darauf ausgelegt, Schwachstellen in Netzwerksoftware auszunutzen. Sie basieren auf dem Einsatz manipulierter Datenpakete. Ein lokaler Exploit hingegen wird direkt auf dem Computersystem des Opfers ausgeführt. Eine auf den ersten Blick harmlos wirkende Datei kann beispielsweise mit einem bösartigen Codefragment versehen sein, der beim Ausführen der Datei eine Schwachstelle des Systems ausnutzt. Bei Denial-of-Service-Exploits (DoS-Exploits) wird kein eigener Programmcode auf den angegriffenen Computersystemen ausgeführt, sondern ein solcher Exploit verursacht eine Überlastung der Anwendung. Webanwendungen, die SQL-Datenbanken als Datastore verwenden, sind unter Umständen für Injection-Exploits anfällig. Ein Zero-Day-Exploit ist eine Sicherheitslücke, die erst kürzlich entdeckt wurde und die dem Hersteller des Computersystems noch nicht bekannt ist. Diese Art  ist besonders tückisch. Da sie frühestens beim ersten Angriff auf ein System entdeckt werden kann und für die kein entsprechendes Sicherheitsupdate existiert. Da die Hersteller erst einen Patch für den Exploit entwickeln müssen, erhalten die Angreifer mehr Zeit, um eine größere Zahl von Systemen zu infiltrieren und großen Schaden anzurichten.

Exploits als Hacker Tools

Exploits werden in vielen Fällen zusammengepackt, sodass der Hacker ein System auf eine große Zahl von Sicherheitslücken prüfen kann. Sollten eine oder mehrere Sicherheitslücken entdeckt werden, kommen die entsprechenden Exploits zum Einsatz. Solche Pakete verwenden zudem clevere Verschlüsselungsverfahren wie die sogenannte „Code-Obfuskation“, um es Sicherheitsforschern zu erschweren, ihre Funktionsweise nachzuvollziehen. Zu den bekanntesten und meistgenutzten Paketen gehören:

–     Neutrino: Hierbei handelt es sich um ein russisches Kit, das einige für die Java-Plattform enthält.

–     Nuclear Pack: Dieser  befällt seine Opfer mit PDF– und Java-Exploits und infiziert befallene Computer auch mit dem tückischen Bank-Trojaner „Caphaw“.

–     Blackhole Kit: Hierbei handelt es sich um eine der größten Gefahren des Jahres 2012, die ältere Browser-Versionen von Chrome, Firefox, Safari und Internet Explorer  Millionen von Rechnern infiziert hat.

–     Angler: Bei diesem handelt es sich um eines der hoch entwickelsten Kits, die auf dem Underground-Markt erhältlich sind.

Schutzmaßnahmen

Um sich  zu schützen, sollten regelmäßig veröffentlichte Patches und Updates auf das Computersystem installiert werden. So können Sie sicherstellen, dass der Rechner vor bereits bekannten Exploits geschützt ist und dass Sicherheitslücken geschlossen sind. Es können Firewalls, leistungsstarke Virenscanner, oder Intrusion Detection und Intrusion Prevention Systeme eingesetzt werden, die Hacker-Angriffe rechtzeitig erkennen und ungewollten Datenverkehr aus dem Internet automatisch unterbinden. Das Ausnutzen bisher unbekannter Sicherheitsprobleme durch Zero-Day-Exploits lässt sich jedoch kaum verhindern. Diese Hacker-Angriffe lassen sich nur dann abwehren, wenn bei der Programmierung der Anwendungen hohe Qualitätskriterien beachtet wurden. Durch durchdachte Testverfahren und ein hohes Maß an Sorgfalt können Design- und Programmierfehler bereits während der Entwicklungsphase entdeckt und behoben werden.

/von

Was ist Vulnerability?

, , , , , , ,

Unter Vulnerability versteht man in der Informationstechnik eine Verwundbarkeit der Hard- oder Software. Immer wieder tauchen Meldungen über neue Vulnerabilitäten auf. Sogar in als unverwundbar geltenden Architekturen, wie der des iPhone von Apple, hat ein Hacker mit dem Checkm8-Exploit kürzlich eine mächtige Sicherheitslücke aufgetan. Kann man also davon ausgehen, dass in jedem Programm und in jeder Hardware-Architektur unbekannte Fehler schlummern?

Der Exploit, des Hackers Werkzeug

Eine Vulnerability wird dadurch gefährlich, dass jemand herausfindet, wie er sie ausnutzen kann. Das Programm, mit dem die Sicherheitslücke für einen bestimmten Zweck „ausgebeutet“ werden kann, ist der . Im günstigsten Fall ist der Hacker ein Sicherheitsforscher, der mit einem Proof-of-concept (PoC) nur den Beweis der Verwundbarkeit antreten will. Dann wird er vor der Veröffentlichung das betroffene Unternehmen in Kenntnis setzen. Kriminelle Hacker hingegen, nutzen die Vulnerability aus, um größtmöglichen Profit zu erzielen oder hohen Schaden anzurichten.

Bekannte Hardware-Sicherheitslücken

Rowhammer (2015): Verwendet eine Vulnerability in der Architektur von Arbeitsspeicher. Hier wird ausgenutzt, dass der Speicher mittels elektrischer Spannung beschrieben wird. Werden viele Schreib- und Leseoperationen in einem Bereich ausgeführt, kann das auch nicht betroffene Bits verändern. Eine Cache-Funktion, die genau diesen Umstand verhindern soll, kann vom Angreifer gezielt ausgehebelt werden.

Meltdown/Spectre (2017): Sind Exploits, die Schwachstellen in Prozessoren der drei großen Anbieter Intel, AMD und ARM ausnutzen. Sie erlauben Zugriffe auf privilegierte Speicherbereiche. In einem Szenario greifen dafür vorgesehene Sicherheitsmechanismen nicht schnell genug, da aus Performance-Gründen unkontrolliert Befehle vorab in internen Registern ausgeführt werden dürfen.

Bekannte Software-Vulnerabilitäten

Heartbleed (2014): Nutzt die Schwäche in einer älteren Version von SSL aus. In dieser kontrolliert SSL das Bestehen der Verbindung regelmäßig durch das Senden von Kontrollbits. Dieselbe Menge wird als Bestätigung zurückgesandt. Jedoch ist es möglich, die vorgesehene Größe zu überschreiten. Die zurückgesandten Bits werden dann mit zufällig im Speicher befindlichen Inhalten aufgefüllt. Dies können auch sensible Daten sein.

-KRACK (2016): Benennt einen Angriff auf die bis dahin als sicher geltende WPA2-Verschlüsselung in WLANs. Bei diesem werden im Authentifizierungsprozess (Handshake) übersandte Pakete abgefangen und Wiederholungen der Versendungen erzwungen. Ein zum Schutz vorgesehener, temporärer Zufallswert (Nonce) wird angreifbar, da er dadurch erneut verwendet wird.

DirtyCow (2016): Benutzt eine Vulnerability, die den Linux-Kernel betrifft. Daher sind auch Android-Geräte betroffen. Namensgebend ist die Ursache, der sogenannte Copy-on-write-Mechanismus. Durch geschickte Mehrfachöffnung einer virtuellen Datei in parallelen Threads, gelingt es dem Exploit, sich nicht vorgesehene Rechte zu verschaffen.

-BlueBorne (2017): Basiert auf einer Vulnerability bei der Implementierung von Bluetooth in nahezu allen Betriebssystemen. Der Angreifer muss sich im Funkbereich der aktivierten Schnittstelle befinden. Dann kann er sich als Man-in-the-Middle betätigen und den Netzwerkverkehr mitlesen. Unter Linux ist es ihm möglich, Schadcode mit den Rechten des Bluetooth-Prozesses auszuführen.

Der Zero-Day-Exploit und CVE

Verwendet der Hacker einen Exploit, bevor er dem betroffenen Entwickler mitgeteilt wurde, spricht man von einem Zero-Day-Exploit. Teilweise wird dieser über einen längeren Zeitraum genutzt, bevor der Hersteller davon erfährt.

Das Gegenstück dazu sind die Common Vulnerabilities and Exposures (CVE). Hierbei handelt es sich um eine Sammlung veröffentlichter Sicherheitslücken. Den Entwicklern wird vor der Bekanntgabe Zeit zur Beseitigung des Fehlers gegeben. Die Veröffentlichung erfolgt, damit Forscher und Hersteller sich damit beschäftigten können. Die CVE erhalten eindeutige Nummern, die es Herstellern von Schutzsoftware ermöglichen, die Vulnerability konkret zu benennen.

Warum gibt es so viele Vulnerabilitäten?

Es gilt auch hier die Weisheit: Wo Menschen arbeiten, werden Fehler gemacht. Allerdings sind Betriebssysteme und viele Programme heutzutage derart komplex, dass Fehler niemals völlig ausgeschlossen werden können. Zudem steht es nicht immer in der Macht eines Entwicklers, derartige Probleme zu vermeiden. Vielmehr muss er sich oftmals auf Module anderer Anbieter verlassen. So wird TLS/SSL in Mailprogrammen und auch im HTTPS-Protokoll genutzt. In vielen Betriebssystemen ist es als Bibliothek fest implementiert. Daher sind durch eine Vulnerability in SSL, die durch den Heartbleed-Exploit ausgenutzt wurde, eine derart hohe Anzahl an Endgeräten und Software-Produkten betroffen. Bei der KRACK-Attacke wiederum wurde ein Hinweis im WPA2-Standard in einem unter Linux und Android gebräuchlichen Treiber fehlerhaft implementiert, so dass nach Durchführung des Angriffs der verwendete Schlüssel nur noch aus Nullen bestand.

Schutz und Gegenmaßnahmen

Um sich vor Vulnerabilitäten zu schützen, sollten Sie als Anwender oder Verantwortlicher auf mehrere Maßnahmen setzen.

Viele Exploits werden von Virenscannern erkannt. Voraussetzung sind tagesaktuelle Signaturen und leistungsfähige Schutzsoftware. Eine Firewall kann verhindern, dass Daten zugänglich werden oder abfließen.

Essentiell sind Sicherheitsupdates für Hard- und Software. Für den Großteil der aufgeführten Exploits haben die Hersteller Sicherheitsupdates veröffentlicht.

Nicht zu vergessen bleibt eine vernünftige Backup-Strategie, da Exploits auch Daten korrumpieren können. Schließlich sollten Sie als Verantwortlicher die aktuelle Bedrohungslage im Auge behalten. Dies können Sie anhand öffentlich zugänglicher CVE-Datenbanken. Im Zweifel macht es möglicherweise Sinn, auf bestimmte Hard- oder Software zu verzichten, bis die Vulnerability geschlossen ist.

/von