Montag, 10. November 2014

Versprechen & Wahrheit - Cloud Services und die Sicherheit von Onlinediensten


Teil 1 - E-Mail Marketing, Newsletter and Bulk SMS Dienste

Jeder von uns gibt fast täglich direkt oder indirekt persönliche Daten an alle möglichen
Onlinedienste weiter. Diese Dienste sind zum Beispiel soziale Netzwerke, Webmail
Plattformen, Online-Kalender und Dokumentablagen, Internet Chats, Smartphone Apps,
private und persönliche Cloud Dienste. Personenbezogene Daten (oder engl. PII - Personal Identifiable Information) in Formularen im Internetbrowser einzutippen ist heutzutage fast schon zur Routine geworden. Unter den Begriff PII fallen Daten, wie Name, Adresse, E-Mail Adresse, Geburtsdatum, Handynummer und noch vieles mehr. Hoch sensible persönliche Daten, wie Kreditkartendaten, Passwörter, Versicherungs- oder Bankdaten zählen ebenfalls zu dieser Kategorie. Im Falle eines Datendiebstahls oder -missbrauchs, können die entwendeten Daten der betreffenden Person starke Kopfschmerzen verursachen und ihr sogar finanziell oder im sozialen oder beruflichen Umfeld schwer schaden. Aus diesem Grund sind solche Informationen auch vom Gesetzgeber besonders geschützt.

Sicher ist diese Tatsache vielen von uns bewusst und die Daten werden oft nur eingegeben,
weil es notwendig erscheint. Außerdem handelt es sich meist um renommierte Firmen,
denen man seine PII überlässt. Ein gängiges Beispiel ist ein Onlinedienst, über den man eine Reise oder einen Flug buchen möchte. Die Kreditkartendaten zur Abbuchung überlässt man gerne, wenn man dafür günstig und unkompliziert verreisen kann. Wenn die Aufforderung zur Eingabe der persönlichen Daten legitim erscheint und dem persönlichen Ziel dient, sind die meisten Menschen zur Herausgabe Ihrer Daten unverzüglich bereit, besonders, wenn die Webseite des Unternehmens mit Tausenden oder gar Millionen glücklicher Kunden wirbt.

In der kommenden Blogartikel-Serie, wollen wir Ihnen einen Einblick hinter die Kulissen der
Sicherheitsversprechen in unserer digitalen Welt und dem Cloud-Zeitalter des Internets
geben. 

Der erste Teil unserer Artikelreihe dreht sich um E-Mail Marketing, Newsletter und Bulk SMS
Service Provider. Da wir für unser eigenes Unternehmen schon seit Monaten nach einem
guten und sicheren Newsletter-Tool suchen, um unsere Kunden und Partner über
Neuigkeiten auf dem Laufenden zu halten, haben wir uns 3 solcher Onlinedienste genauer
angesehen. Die meisten Unternehmen, ob klein oder groß, versenden ihren Newsletter auf
diese Art und Weise. Jedes dieser Unternehmen hat wiederum hunderte, tausende oder
hunderttausende eigene Kunden und Partner, welche natürlich mit allen verfügbaren Daten
in diesen Systemen abgespeichert werden, um die entsprechenden Email-Newsletter zu
erhalten.

Als IT-Sicherheitsexperten sind wir quasi dazu verpflichtet uns neue Software, neue
Technologien und alles was mit dem Internet zu tun hat, sehr genau anzusehen. 
Bei näherer Betrachtung von diesen 3 Newsletter-Systemen sind uns in allen kritische
Schwachstellen aufgefallen, die es uns erlaubt hätten auf fremde Daten zuzugreifen. Wir
waren innerhalb kürzester Zeit in der Lage, beliebigen Programmcode einzuschleusen, die
Datenbanken auszulesen und Kreditkartendaten zu stehlen.

Die gefundenen Schwachstellen wurden von uns, in Koordination mit dem Bundesamt für
Sicherheit in der Informationstechnik (BSI) und dem US-Cert (Computer Emergency Resonse Team), an die Unternehmen gemeldet. Die gefundenen Schwachstellen wurden laut der Unternehmen beseitigt.

Obwohl diese Newsletter-Systeme nun abgesichert wurden, gehen wir davon aus, dass
ähnliche kritische Schwachstellen in den Newsletter-Tools zahlreicher anderer Anbieter
ebenfalls zu finden sind. Wir raten Unternehmen, die derartige Tools nutzen wollen, einen
Herstellernachweis über durchgeführte Sicherheitstests (Penetration Tests) der Software
anzufordern oder zu einem anderen, getesteten, Anbieter zu wechseln.

Ob und in welchem Umfang PII von Cyberkriminellen gestohlen wurden, lässt sich schwer
sagen, jedoch muss man anhand der Sachlage davon ausgehen.

Um Ihnen die Möglichkeiten eines Hackers nach einem solchen Einbruch in eines der
erwähnten Systeme zu veranschaulichen, haben wir im Folgenden ein realistisches
Angriffsszenario skizziert:


Angriffsszenario: Großangelegter Online-Banking-Betrug

Trojaner für Online-Banking werden als kommerzielle Produkte ab einem vierstelligen
Eurobereich auf dem Schwarzmarkt vertrieben und häufig verwendet. Oft wird die Infizierung der Opfer von den Softwareherstellern oder von Partnerunternehmen zusätzlich angeboten. In diesem Szenario wird davon ausgegangen, dass Cyber-Kriminelle diesen Teil selbst erledigen.

Ein Cyber-Krimineller, der seine Opfer über Online-Banking betrügen möchte, besorgt sich
eine derartige Software. Sein Ziel: möglichst viele Personen mit dem gekauften Trojaner zu
infizieren. Ist die Software beschafft, muss diese demnach großflächig unter die potentiellen
Opfer gestreut werden.

Auf der Suche nach einer Liste möglicher Opfer mit gültigen Emailadressen kommen
unserem Hacker sofort in der Cloud angebotene Newsletter-Systeme in den Sinn. Dort
sammeln Unternehmen unterschiedlicher Größe personenbezogene Daten ihrer Kunden wie Emailadressen und häufig Mobilfunknummern (unternehmensintern und privat). Der Hacker wählt einen vielversprechenden Kunden des Newsletters aus und versucht an die
hinterlegten Kundendaten heranzukommen.

Die Anbieter der cloudbasierten Newsletter-Lösungen bieten fast immer kostenlose Demo-
Zugänge zu den Systemen an, um potentielle Neukunden zu gewinnen. Dieses Angebot
nimmt der Angreifer gerne an und durchsucht mit seinem Demo-Zugang den Dienst nach
Schwachstellen, die er verwenden kann, um an die Kundendaten einer Zielfirma zu gelangen.

Schnell stellt er fest, dass ein Abonnent bei der Registrierung zu einem Newsletter über die
Pflichtangaben hinaus Adressinformationen mit angeben kann, die das Newsletter-System
ungefiltert entgegennimmt. Er gibt anstatt der Adressinformationen Programmcode ein, der
später ausgeführt werden soll. Dieser wird vom Newsletter-System gespeichert. Betrachtet
ein Mitarbeiter der Zielfirma die Liste der neuen Abonnenten, werden die vermeintlichen
Adressdaten ungefiltert ausgegeben, wodurch der dort versteckte Programmcode im
Browser des Mitarbeiters der Zielfirma zur Ausführung kommt. Ab diesem Zeitpunkt kann
der Hacker genau wie der Mitarbeiter der Zielfirma im Newsletter-System agieren.

Nun erstellt der Hacker einen neuen Newsletter und versendet diesen an alle Abonnenten
und damit an alle Kunden der Zielfirma. In den Newsletter baut der Hacker einen Link auf
einen augenscheinlich interessanten Artikel oder ein attraktives Gewinnspiel ein. Tatsächlich
zeigt der Link auf eine Webseite unter Kontrolle des Hackers. Die Abonnenten vertrauen dem bekannten Newsletter und folgen dem Link auf die vom Hacker kontrollierte Webseite. Mit dem Besuch der Seite wird der Rechner des Opfers ohne sein Wissen mit einem Trojaner infiziert. Der Hacker hat den Trojaner vorab so manipuliert, dass er selbst von Anti-Viren-Software nicht erkannt wird. Sobald der Trojaner installiert wurde, meldet er sich beim Hacker und informiert diesen über die erfolgreiche Kompromittierung. Der Angreifer hat jetzt den für das Online-Banking benutzten PC des Opfers unter seiner Kontrolle und kann beginnen Online-Banking Passwörter auszulesen und die Konten zu leeren.

Sollte das Opfer aus Sicherheitsgründen mTAN verwenden, liest der Hacker nun die
Mobilfunknummer des passenden Opfers aus dem Newsletter-System aus. Er sendet einen
passenden Smartphone-Trojaner direkt an die Mobilfunknummer des Opfers oder fährt
selbst in eine Filiale des Mobilfunkanbieters und lässt sich eine SIM-Karte zur selben
Nummer ausstellen. Dass dies in vielen Fällen möglich ist, haben zahlreiche erfolgreiche
Angriffe z.B. auf Postbankkunden mit Mobilverträgen bei O2 in den letzten Monaten gezeigt.

Der Hacker kontrolliert jetzt nicht nur den PC des Opfers, sondern kann zusätzlich
eingehende Kurznachrichten lesen. Das reicht aus, um per Online-Banking Geld vom Konto
zu stehlen, wenn das Opfer mTAN als Sicherheitsmechanismus benutzt. Gelegenheit macht
Diebe und so kopiert sich der Hacker zusätzlich alle auf dem Rechner gespeicherten
Kontaktdaten und Passwörter, um diese auf dem Schwarzmarkt zu verkaufen.

Bei einem Opfer hat der Hacker besonders Glück. Es handelt sich um den Arbeitsplatz eines Ingenieurs eines mittelständischen Maschinenbauers. Die dort gespeicherten
Konstruktionspläne erzielen bei konkurrierenden Unternehmen einen hohen Preis.

Wer agiert hier fahrlässig? Der Hacker alleine, oder auch das Unternehmen, das seine
Kundendaten unzureichend absichert? Der Gesetzgeber wegen zu lascher Gesetze? Gar der Benutzer selbst, weil er seine Daten zur Verfügung gestellt hat? Aus zahlreichen Projekten bei Unternehmen unterschiedlichster Größe (Mittelstand - DAX 30) wissen wir, dass es oft am nötigen technischen Knowhow und dem Bewusstsein der Mitarbeiter mangelt. Weitere Ursache vieler Probleme ist ein zu niedriges Budget für IT-Sicherheit. Hinzu kommt, dass die weit verbreitete Mentalität vorherrscht, sich erst um die IT-Sicherheit kümmern zu müssen, wenn es einen "Business-kritischen" Vorfall gab. Diese Denkweise kann sowohl für die Kunden, als auch  für das Unternehmen im Ernstfall einen enormen Schaden verursachen, der vorab meist einfach abzuwenden gewesen wäre. Wir sehen hier vor allem die Wirtschaft in der Pflicht, zukünftig verstärkt zu investieren, um alle Bürger vor digitalen Angriffen bestmöglich zu schützen.

Blog-Autor Sascha Herzog ist Geschäftsführer und Mitbegründer der NISDE ATTACK LOGIC GmbH. Er arbeitet seit über 10 Jahren in der IT-Security und als Penetration Tester. Er führte Penetration Tests und simulierte Angriffe bei zahlreichen Unternehmen in Europa durch. Herr Herzog leitete Projekte bei namhaften Kunden wie globalen Finanzinstitutionen (u.a. im Bereich Geldautomaten-Hacking), Versicherungen, internationalen Medienkonzernen, Regierungseinrichtungen, Pharma- und Energieunternehmen, sowie zahlreichen Kunden aus dem Mittelstand. 

Die NSIDE ATTACK LOGIC GmbH ist spezialisiert auf hochwertige technische Penetration-
Tests und realitätsnahe Simulationen von IT-gestützter Betriebsspionage. Des Weiteren
bieten wir Live-Hacking Workshops und Mitarbeiterschulungen an.

Disclaimer:
Die NSIDE ATTACK LOGIC GmbH hat nach der Bestätigung, dass alle gemeldeten Schwachstellen entfernt wurden keine weiteren Tests an den Anwendungen durchgeführt und kann somit nicht für die finale Sicherheit der Anwendungen garantieren.

Keine Kommentare:

Kommentar veröffentlichen