Rückblick auf die Aktivitäten von CERT.at und GovCERT 2014

Die Internet-Feuerwehr ist nicht nur dann zur Stelle, wenn IT-sicherheitstechnisch Feuer am Dach ist. Neben Soforthilfe bei Angriffen aus dem Netz leisten CERT.at und GovCERT Austria zusätzlich auch wichtige Aufklärungs- und Präventionsarbeit.

Das Karussell der Schadenshöhen dreht sich

Die Fakten sprechen eine deutliche Sprache: Eine Studie des Antivirensoftware-Herstellers McAffee hat erhoben, dass Cyber Angriffe weltweit jährlich Schäden in der Höhe von rund 445 Milliarden US-Dollar (umgerechnet rund 330 Milliarden Euro) anrichten. Davon sind 160 Milliarden US-Dollar auf den Diebstahl persönlicher Informationen zurückzuführen. Alleine in der EU kosten Cyber Angriffe rund 150.000 Arbeitsplätze pro Jahr. In den USA sind rund 200.000 Jobs davon betroffen. Glaubt man anderen Berechnungen, wie etwa dem unabhängigen Center for Strategic and International Studies (CSIS), so ist die Schadenshöhe mit weltweit bis zu 575 Milliarden US-Dollar (rund 459,1 Milliarden Euro) sogar noch größer.

Bedrohungen kennen keine Ländergrenzen

Das CSIS hat außerdem festgestellt, dass gemessen an der Wirtschaftsleistung der Schaden durch Angriffe aus dem Netz in Deutschland am größten ist. So belaufen sich die Auswirkungen durch Cyber Angriffe im Nachbarland Österreichs auf rund 1,6% des Bruttoinlandsprodukts (BIP). Damit liegt Deutschland vor den Niederlanden (1,5%), den USA und Norwegen (je 0,64%) und China (0,63%). Allein in den USA, in China, Japan und Deutschland erreichten die Schäden eine Summe von etwa 200 Millionen US-Dollar. EU-weit macht der Schaden 0,41 Prozent des BIP aus.

Fast jedes Unternehmen betroffen

Die Intensität von Cyber Angriffen nimmt ständig zu. Wie stark dieses Ausmaß ist, hat vor kurzem die Deutsche Telekom auf den Punkt gebracht: IT-SicherheitsexpertInnen haben im Rahmen des Cyber Security Summit 2014 in Bonn bekanntgegeben, dass alleine die Deutsche Telekom täglich bis zu eine Million Attacken auf ihr Netz zählt. Das sind natürlich nicht alles gezielte Angriffe, sondern zeigt vielmehr, wie hoch das Hintergrundrauschen im Netz geworden ist. Laut dem Telekom-Report zur Cyber Kriminalität haben im Jahr 2014 neun von zehn deutschen Firmen Angriffe von außen registriert. Eine Studie des Beratungsunternehmens KPMG weist darüber hinaus auch Zahlen für Österreich aus. Laut dieser Erhebung war in den vergangenen zwei Jahren jedes vierte Unternehmen in Österreich von Cyber Angriffen betroffen. Die durchschnittliche Schadenshöhe beläuft sich dabei auf fast 400.000 Euro.

Cyber Angriffe fordern IT-Sicherheitsexperten

Die Zunahme an Angriffen aus dem Internet fordern auch IT-SicherheitsexpertInnen weltweit und in Österreich heraus. So hatte die Internet-Feuerwehr CERT.at und GovCERT Austria im Jahr 2014 alle Hände voll zu tun, um die Sicherheit österreichischer Behörden, Unternehmen und PrivatanwenderInnen zu verbessern. Denn eines steht zweifelsohne fest: Österreich ist längst keine Insel der Seligen mehr, wie CERT.at und GovCERT Austria im Rahmen ihrer täglichen Arbeit erleben.

Alle 8,6 Sekunden betritt ein neuer Schädling die digitale Bühne

Die verwendeten Techniken und Schadprogramme von Internet-Angreifern sind vielfältig und komplex – und entwickeln sich mit rasender Geschwindigkeit weiter. ExpertInnen von G DATA Security Labs haben im Rahmen des Malware Reports für das erste Halbjahr 2014 ermittelt, dass alle 8,6 Sekunden ein neuer Computerschädling für Windows PCs und Notebooks die digitale Bühne betritt. Die Prognose für das gesamte Jahr 2014 ist eindeutig: Die Marke von 3,5 Millionen neuer Schadprogrammtypen wird erstmalig übertroffen werden.

Boomende Schattenwirtschaft: Die Zahl der Malware-Programme nimmt stetig zu (Bild: G Data)

Abbildung 4: Anzahl neuer Schadprogrammtypen im Zeitverlauf, Quelle: G DATA SecurityLabs

Besonders starke Zuwächse gibt es insbesondere im Bereich der Banking-Trojaner, die 2014 ein neues Allzeithoch erreicht haben. Die Analyse der Top 25 Banking-Angriffsziele zeigt, dass KundInnen amerikanischer Banken und Bezahldienste mit 48% am stärksten ins Visier genommen werden. Nicht weiter verwunderlich, verfügen Cyber Angreifer mit diesen Trojanern doch über ein sehr profitables "Geschäftsmodell" in der Untergrundökonomie.

https://www.gdata.de/fileadmin/_processed_/csm_diagram_banking_countries_H1_2014_v1_DE_HL_lowres_RGB_9922dedd74.png

Abbildung 5: Länderverteilung der Top 25 Banking-Trojaner-Ziele (H1/2014), Quelle: G DATA SecurityLabs

Neben den Banking-Trojanern setzte auch Adware ihren Höhenflug fort. Seit dem 2. Halbjahr 2012 haben die Zahlen neuer Schadprogrammtypen dieser Kategorie um das 16-fache zugenommen. 14% aller neuen Signaturvarianten entfallen aktuell auf Adware. Diese "potentiell unerwünschten Programme" (PUP) sind keine Malware im klassischen Sinn. AnwenderInnen empfinden diese aber als durchaus störend. Vor allem, da einmal eingefangen, Adware oft schwer wieder zu deinstallieren ist.

Sammelbegriff "Malware"

Das breite Spektrum der Schadsoftware wird unter dem Begriff "Malware" zusammengefasst und umfasst eine Fülle an verschiedenen Bedrohungsformen. Dazu gehören Computerviren und -würmer, Trojaner, Spyware, Ransomware, Adware, Exploit-Packs und viele mehr. CERT.at beobachtet intensiv die Entwicklung von Malware und anderen Bedrohungsformen im Internet und gibt im Anlassfall proaktiv Sicherheitswarnungen heraus. Zusätzlich unterstützt die Internet-Feuerwehr IT-Verantwortliche durch die Weitergabe von Know-how und leistet auch wichtige Präventions- und Aufklärungsarbeit in der Öffentlichkeit. Dadurch tragen CERT.at und GovCERT Austria bei, das Internet in Österreich sicherer zu machen.

Die Internet-Sicherheitslage Österreichs 2014

CERT.at und GovCERT Austria führen umfangreiche Statistiken, mit denen sich ein aussagekräftiges Bild über die aktuelle Internet-Sicherheitslage Österreichs geben lässt. Wichtige Kennzahlen dafür sind Reports, Incidents und Investigations.

"Reports" bezeichnen eingehende Meldungen an CERT.at. Nicht alle davon beschreiben einen Sachverhalt, der von CERT.at als relevanter Vorfall (Incident) eingestuft wird und eine aktive Behandlung erfordert. Typische Gründe für eine Beurteilung als irrelevanter Vorfall sind etwa:

·       Meldungen zu Problemen, die bereits bereinigt wurden

·       Falschmeldungen von einfachen Suchalgorithmen

·       mangelnde Zuständigkeit von CERT.at

·       generische Anfragen

·       oder andere E-Mail-Irrläufer/Spam

Als "Incidents" werden jene Fälle eingestuft, die tatsächlich ein Sicherheitsrisiko darstellen. Bei diesen schreitet CERT.at ein und informiert beispielsweise betroffene Unternehmen, Organisationen oder PrivatanwenderInnen über IT-Sicherheitsbedrohungen und unterstützt bei Bedarf bei der Problemlösung. Diese Kontaktaufnahme wird im CERT.at Ticketsystem als "Investigation" bezeichnet.

Bei der Interpretation der nun folgenden Grafiken und Statistiken muss man folgende Einschränkungen beachten:

1.     Eine Verbesserung in der Sensorik besitzt oft viel mehr Einfluss auf die Kurve, als eine Veränderung der dahinterliegenden Vorfälle. Wenn etwa durch eine Polizeiaktion in den USA plötzlich Daten zu einem Botnet verfügbar werden, dann bedeutet dies einen plötzlichen und großen Sprung in den CERT.at Statistiken. In Wirklichkeit wurde das Botnet aber über eine längere Zeit hinweg aufgebaut.

2.     Diese Zahlen spiegeln daher stärker die Arbeit von CERT.at wider, als dass sie eine genaue Aussage über die Sicherheitslage in Österreich abgeben.

3.     Nicht alle Vorfälle sind gleichwertig relevant: Ein Incident kann sowohl ein fehlkonfigurierter Surf-PC in einer Jugendherberge sein, als auch ein Einbruch in einen Webshop mit dem Verlust tausender KundInnendaten.

4.     Viele der Incidents behandeln bereits aggregierte Informationen. So etwa generiert die Sensorik zu falsch konfigurierten Nameservern einen Report pro Tag, unabhängig wie viele einzelne IP-Adressen enthalten sind. Die ausgehenden Mails an die Netzbetreiber können ebenfalls von einem einzelnen Vorfall bis hin zu einer langen Liste an betroffenen KundInnen reichen.

Abbildung 6: CERT.at Jahresstatistik mit Übersicht über Reports, Incidents und Investigations im Zeitverlauf, Quelle: CERT.at

Abbildung 7: Klassifizierung der relevanten Reports nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at

Abbildung 8: Klassifizierung von Incidents nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at

Abbildung 9: Klassifizierung der von CERT.at durchgeführten Investigations nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at

Kategorien

Vorfälle werden in diversen Kategorien klassifiziert, die im Folgenden näher beschrieben werden.

System Compromises

Unter "System Compromise" wird verstanden, dass ein Angreifer die Kontrolle über einen Computer erlangt hat. Die Mehrzahl dieser Fälle ist Schadsoftware auf Windows PCs: der betroffene PC ist Teil eines Botnetzes geworden. Was die Malware auf dem PC anrichtet, kann stark variieren. Dies reicht von fast nichts (bestes Beispiel: Conficker) über Spamversand, den Diebstahl von Passwörtern, Manipulationen beim Onlinebanking bis hin zur Erpressung.

Da CERT.at diese Kategorie über die ISPs behandelt, fließt die Zahle der betroffenen Systeme nur bedingt in die Zahl der Vorfälle ein: Ob die tägliche Mail an einen Internet Service Provider jetzt zehn oder zehntausend IP-Adressen enthält, geht in diese Statistik nicht ein.

Heartbleed

Danach folgt mit Heartbleed bereits jenes Thema, das IT-SicherheitsexpertInnen und Medien – weltweit wie auch in Österreich – in diesem Jahr besonders intensiv beschäftigt hat. Bei der unter der Bezeichnung Heartbleed im April 2014 erstmals bekannt gewordenen Schwachstelle im Programmcode des Sicherheitsprotokolls OpenSSL handelt es sich um einen trivialen Programmierfehler, der jedoch weitreichende Folgen hatte. Durch gezieltes Ausnützen der Sicherheitslücke war es Angreifern möglich, völlig unbemerkt Passwörter und andere, eigentlich geschützte Informationen von Web-Diensten auszulesen. Das Besondere bei Heartbleed war nicht die Sicherheitslücke an sich, sondern die große Anzahl der Betroffenen. Die Unterwanderung des bislang als sicher geltenden Internetprotokolls SSL hat dazu geführt, dass sich Heartbleed binnen kürzester Zeit nach dessen Bekanntwerden zu einem der weltweit größten IT-Sicherheitsvorfälle entwickelt hat

Dem schnellen Eingreifen der Experten von CERT.at und der Vernetzung der IT-Sicherheitscommunity in Österreich ist es zu verdanken, dass von Heartbleed Betroffene rasch kontaktiert und Unterstützung bei der Beseitigung der Schachstelle erhalten haben – beispielsweise durch das Einspielen von Patches, mit denen das Leck relativ unkompliziert geschlossen werden konnte. Dadurch war es möglich, der Heartbleed-Lücke in Österreich rasch und vor allem signifikant entgegenzuwirken. Nichtsdestotrotz gibt es Ende 2014 noch immer einen – wenn auch verhältnismäßig – kleinen Teil vernachlässigter oder schlecht gewarteter Server, die anfällig für Heartbleed-Attacken sind. Diese stellen dadurch noch immer ein veritables Sicherheitsrisiko dar.

Im August 2014 hat CERT.at den Status von Heartbleed in Österreich in einem Bericht zusammengefasst. Inzwischen haben sich die Zahlen weiter verbessert:

Abbildung 10: Anzahl der von Heartbleed betroffenen Server, Quelle: CERT.at

Gut sichtbar ist die Abnahme in der Zahl der verwundbaren Server Mitte Mai nachdem CERT.at begonnen hat, die Provider über Heartbleed-Probleme mit .at Domains zu informieren. Die Zacken nach oben (am 4.7.2014 und 18.9.2014) entstanden durch eine Aktualisierung der Domainliste und der Zuordnung auf IP-Adressen.

Windows Proxy Auto-Detection (WPAD)

Microsoft hat ein Protokoll spezifiziert, nachdem ein Webbrowser den richtigen Webproxy für das lokale Netz erkennen kann. Diese nutzt den speziellen Hostnamen "wpad", um sich von dort ein Konfigurationsfile zu holen. Aufgrund eines Konfigurationsfehlers greifen manche Windows-Clients aber auf wpad.co.at, wpad.or.at oder wpad.at zu. Zugriffe auf diese Domains werden von CERT.at als Sensorik für diese Konfigurationsprobleme benutzt.

Exploit-Packs, Defacements, Searchengine Ranking / Fake Pharmacy Hacks

Bei diesen Kategorien handelt es sich um manipulierte Webserver. Ein Defacement ("Verunstaltung") ist einfach zu erkennen: Der Angreifer verändert das Aussehen der Webseite radikal, um zu beweisen, dass er einbrechen konnte. Typisch sind hier martialische Bilder auf schwarzem Hintergrund, gespickt mit Schmähungen, Slogans und Grüßen an andere Hackergruppen.

Exploit-Packs sind deutlich subtiler: In die Webseiten wird ein Code (oder auch nur ein Verweis darauf) eingebaut, der den Browser des Besuchers auf Schwachstellen abklopft. Findet das Exploit-Pack etwa ein veraltetes Java-Plugin, dann werden dessen Lücken genutzt, um Schadsoftware am PC des Besuchers zu installieren.

Manchmal fügt ein Webeinbrecher auch nur gezielt Links in den Inhalt der Webseite ein, um so das Google-Ranking für seine zwielichtigen Seiten zu manipulieren.

Noch trickreicher sind Fake Pharmacy Hacks: Hier wird ein Code in das Webveraltungssystem des Opfers eingeschleust, der den Google-Rank der Seite nutzt, um beispielsweise die Suche nach Potenzpillen auf die Webshops des Angreifers zu lenken.

Bewusstsein für Verschlüsselung steigt

Im Zuge des Heartbleed-Vorfalls hat CERT.at im Jahresverlauf 2014 weitere Aktivitäten gesetzt, um auf die Wichtigkeit von Privacy und Verschlüsselung hinzuweisen. Vorfälle wie zuletzt Heartbleed oder der anhaltende öffentliche Diskurs rund um die Enthüllungen von Edward Snowden haben aus Sicht der ExpertInnen auch ihre positiven Seiten: Im Umgang mit Privacy und Verschlüsselung kommt es anwender- wie auch anbieterseitig zu Bewegung. Der Schutz eigener Daten und der Privatsphäre im Internet haben für viele NutzerInnen zunehmende Priorität. Auch verschlüsseln immer mehr E-Mail-Anbieter mittlerweile Nachrichten während der Übertragung. Laut Google Transparenzbericht werden mit Stand Dezember 2014 bereits über drei Viertel (77%) aller ausgehenden Nachrichten von Gmail an andere Anbieter verschlüsselt übermittelt. Eingehend ist dies bereits fast bei sechs von zehn Mails (58%) der Fall.

Um Betreiber von Mail- und Webservern beim richtigen Set-up ihrer IT-Systeme zu unterstützen hat sich eine Gruppe engagierter IT-SicherheitsexpertInnen zusammengeschlossen und ein White Paper zu Kryptografie verfasst. Die BetterCrypto-Expertengruppe gibt darin einen Überblick über den aktuellen Stand der Technik in Sachen Verschlüsselung und will vor allem weniger erfahrene Systemadministratoren durch vorgeschlagene Einstellungen dabei unterstützten, ihre Systeme mit einfachen Mitteln sicherer zu machen. Das White Paper aus Österreich wurde bereits auf internationalen Sicherheitskonferenzen vorgestellt und wird mittlerweile weltweit referenziert.

Immer noch wirkungsvoll: Denial-of-Service-Attacken

Denial-of-Service (DoS) Attacken zählen zum Standard-Repertoire der Angreifer – und kommen selbst nach langer Zeit nicht aus der Mode. Die Idee des Angreifers ist eine einfache: Wenn ich schon nicht bei meinem Opfer einbrechen kann, so kann ich wenigstens seine Systeme so stören, dass sie nicht mehr von legitimen AnwenderInnen genutzt werden können. Dazu dient eine Flut von Anfragen an die Server, um diese – oder die Leitungen dorthin – zu überlasten.

Im Unterschied zu DoS (einer direkten Angriffsform, bei dem der Verursacher relativ einfach erkennbar wäre) bedienen sich Angreifer bei Distributed Denial of Service (DDoS) Attacken verteilter Ressourcen im weltweiten Netz. Dadurch lässt sich die Intensität von Angriffen verstärken und größerer, zumeist zielgerichteter Schaden verursachen. Sehr häufig bedienen sich Angreifer dabei vorhandener Botnetze. Das müssen aber nicht notwendigerweise infizierte Windows-PCs in Privathaushalten sein, auch Server oder manipulierte Router können dafür benutzt werden. Ein anderes Beispiel für ein solches Netz an infiltrierten Rechnern ist Brobot. Dieses Botnetz wurde beispielsweise von Herbst 2012 bis Mitte 2013 für eine große Attacke auf US-Finanzunternehmen eingesetzt. Dabei wurden nicht wie sonst üblich Heim-PCs, sondern Webserver benutzt, was zu einer immensen Steigerung der Brandbreiter der Angriffe führte. Gehackte Websites gab und gibt es auch in Österreich noch immer, wodurch österreichische Systeme quasi indirekt zu Mittätern wurden.

Reflection Angriffe als gefährliche Sonderform

CERT.at war 2014 auch mit einer Sonderform von DoS-Angriffen konfrontiert – nämlich so genannten Reflection Attacks. Diese Angriffe nutzen legitime Protokolle, die auf Basis von UDP (User Datagram Protocol) arbeiten, und bei denen daher der Absender einer Anfrage nicht verifiziert wird. Dazu gehören etwa DNS (Namensauflösung), NTP (Zeitserver), SSDP (Simple Service Discovery, ein Teil des Universal Plug and Play Standards), SNMP (Netzwerk Management). Angreifer nutzen dabei bereitwillig antwortende Server und unsicher konfigurierte Netzwerke aus, indem sie diesen Anfragen schicken. Die IP-Adresse des Opfers ist dabei als Absender-IP-Adresse eingetragen. Die meist kleinen Anfragen lösen von den Servern große Antworten aus, die alle an das Opfer geschickt werden. Dieses "Spiel über die Bande" verstärkt den Datenverkehr um den Faktor 50 bis 1.000, was dazu führt, dass das Zielobjekt (zB der Server einer Bank oder eines kritischen Infrastrukturbetreibers) mit enormem Netzwerk-Traffic bombardiert wird. Als Resultat ist der angegriffene Server (oder die Leitung zu ihm) überlastet und nicht mehr ansprechbar. Besonders heimtückisch bei dieser Angriffsform ist, dass das Opfer nur die Pakete vom Reflektor (und nicht vom Angreifer selbst) wahrnimmt und der Reflektor seinerseits davon ausgeht, dass er legitime Anfragen beantwortet. Dies ist auch der Grund, warum Reflection Attacks nur schwer abzustellen sind.

In der Umsetzung bedienen sich Angreifer dabei verschiedener Protokolle. In Österreich wurden 2014 vor allem die Protokolle DNS, NTP und SSDP dafür benutzt. Es ist daher essentiell, dass die entsprechenden Server nicht jede beliebige Anfrage beantworten, sondern nur jene von ihren legitimen Klienten.

CERT.at informiert seit 2014 alle österreichischen Netzbetreiber basierend auf Daten von Shadowserver, welche Server in deren Netzen für solche Angriffe missbraucht werden können: Dieser Dialog mit den ISPs zeigt erste Wirkung, bei manchen dieser Protokolle gibt es messbare Verbesserungen (etwa bei ntp-version, wo CERT.at in KW32 zu warnen begonnen hat), es bleibt aber für 2015 noch viel zu tun.

Abbildung 11: Überblick über die Entwicklung von Reflection Attacks im Jahr 2014, Quelle: CERT.at

Weitere Dauerbrenner: Ransomware, Spam, Phishing & Co.

Die Arbeit der IT-Sicherheitsexperten von CERT.at war auch 2014 durch den Kampf gegen bereits bekannte, aber sehr hartnäckige Bedrohungsformen gekennzeichnet. So ist Ransomware noch immer ein Dauerbrenner, der regelmäßig in neuen Ausprägungsformen AnwenderInnen das Leben schwer macht, indem Festplatten durch Schadsoftware verschlüsselt und "Lösegeld" für die Freigabe verlangt wird. Die früheren Versionen von Ransomware ließen sich noch austricksen, inzwischen ist die Evolution soweit fortgeschritten, dass die Daten ohne Hilfe der Erpresser nicht mehr wiederherstellbar sind. Ransomware ist daher ein weiterer Grund für eine seriöse Backup-Strategie. Es reicht jedoch dabei nicht, die Daten einfach nur auf eine angesteckte USB-Festplatte zu sichern, da diese ebenfalls von der Ransomware verschlüsselt wird. Es ist egal, ob der Datenverlust durch Hardwaredefekte, Blitzeinschläge, Brand, Erpresser oder einfach nur durch Bedienungsfehler passiert, ein gutes Backup kann alle diese Fälle abfangen. Wie so oft, ist der erste Schritt zur IT-Sicherheit eine sorgfältige Betriebsführung.

Ebenfalls ein Dauerbrenner ist Phishing, also das Ausspähen von Zugangsdaten über gefälschte Webseiten und E-Mails. Generell gibt es auch dabei einen Trend zur persönlichen Kontaktaufnahme. Unter anderem haben sich 2014 mehrmals Angreifer als Microsoft Support MitarbeiterInnen ausgegeben, um Schadsoftware auf Rechnern installieren zu können. Angriffe über den Umweg via Social Media und Spam gehören leider auch weiterhin zum Alltag.

Auch die Manipulation und Veränderung von Webseiten, so genannte Defacements, haben sich in den letzten Jahren zu einem ernstzunehmenden Problem entwickelt. Besonders beliebt waren 2014 Angriffe über Erweiterungen wie beispielsweise Add-ons, Vorlagen, Designs udgl. von frei erhältlichen CMS Systemen. Vor allem die Installation von manipulierten Erweiterungen zu Webservern hat sich 2014 als neuer Trend herauskristallisiert.





<< Vorige Nächste >>