Die Liste der verwendeten Angriffstechniken ist lang. Täglich wird sie länger und erschreckend gefährlicher. Es gibt viele Möglichkeiten und Maßnahmen die verschiedenartigsten Cybergefahren abzuwehren. In manchen Fällen wird aber genau diese Lösung umgekehrt gegen Opfer angewendet, wie das erste Beispiel Ransomware zeigt.

Ransomware

Die gegen Firmen und Privatpersonen eingesetzte Ransomware richtet derzeit weltweit unglaublichen wirtschaftlichen Schaden an. Die Vorgehensweise der Kriminellen, die diese Angriffsmethode einsetzen, wird nicht nur immer dreister, sondern auch effektiver. Neuerdings wird sogar die Verschlüsselungstechnik, die eigentlich Schutz vor Datendiebstahl bieten soll, für kriminelle Zwecke eingesetzt. Praktischerweise wird für die Lösegeldzahlung sogenannte Kryto-Währung verwendet.

Internet der Dinge: immer mehr, immer größere Angriffe

Jedes Jahr gibt es mehr Geräte, die sich mit dem Internet verbinden lassen. Das Internet der Dinge liste mittlerweile eine unglaubliche Anzahl an solchen Geräten auf. Darunter Kühlschränke, Backöfen und Glühbirnen. Immer öfter schaffen Angreifer es, diese Dinge zu kapern und für ihre Zwecke einzusetzen. Dabei ist es nicht ihr Ziel diese Dinge zu zerstören, sondern sie zweckentfremdet einzusetzen als effektive unsichtbare Armee die eine beachtenswerte Kraft hat. Open-Source-Würmer wie die Linux-Schadsoftware Mirai werden großflächig eingesetzt und breiten sich auf viele Millionen IoT-Geräte aus. Die schiere Masse der dadurch ausführbaren DoS-Angriffe kann massive Attacken gegen Unternehmen durchführen oder in kleiner angelegten Operationen zum gezielten, effektiven Datendiebstahl oder Passwortknacken eingesetzt werden.

Zusammenspiel: Ransomware und IoT

Mit dem Einsatz von Ransomware wird derzeit sehr viel Geld verdient. Es geht um, dass die Cyberkriminelle die Gewinne teilweise reinvestieren in bessere Angriffstechniken. Es liegt also nahe, dass wer IoT-Geräte kapern kann, sie auch sperren und Kapital daraus schlagen kann. Ein ganzes Smart-Home mal eben stillzulegen und gegen Lösegeld wieder freizuschalten erscheint so ziemlich machbar. Bedrohlich kann es allerdings werden, wenn wichtige industrielle Anlagen, die auch ein Teil des IoT sind, gekapert und stillgelegt werden.

Angriffe auf Steuerungssysteme: Strom weg und Wiederherstellung deaktiviert.

Angriffe gegen industrielle Steuerungssysteme werden immer skrupelloser. Lebenswichtige Infrastrukturen wie der Energiesektor können angegriffen und stillgelegt werden, wie die Vorfälle in der Ukraine zuletzt gezeigt haben. Gleichzeitig wird sichergestellt, dass sich die gekaperten Steuerungssysteme nicht mehr von den diversen Angriffen erholen können. Die geschieht durch die Einschleusung von Malware, die Wiederherstellungsversuche unmöglich machen. Die Folgen solcher Angriffe wären desaströs für die Zivilbevölkerung, insbesondere in extremen Wintern oder anderen Notsituationen. Dagegen bietet es der Industrie gleichwohl die Chance, die generelle Funktionsweise ihrer Systeme neu zu überdenken und losgelöst vom Internet zu arbeiten.

Zufallszahlengeneratoren – zu schwach, um Sicherheit zu bieten

Gute, das heißt sichere Zufallszahlen zu generieren, ist ein gar nicht so einfach und oft ein großes Problem. Insbesondere bei kleineren Geräten ist es schwierig, genügend Zufallsereignisse zu sammeln, um Algorithmen zu initialisieren, die wiederum dazu verwendet werden, um die Zufallszahlen zu generieren. IT-Forscher haben herausgefunden, dass damit die WPA2-Verschlüsselung geknackt werden kann. Aber das bestehende Problem unsicherer Verschlüsselung ohne gute Zufallszahlen gefährdet tatsächlich viele sicherheitsrelevante Algorithmen und macht die Verbindungen unsicher.

Vertrauen auf Webdienste als Softwarekomponenten

Mittlerweile ist bekannt, dass unsichere Softwarekomponenten der Software eher gefährlich werden können als ihr dienen. Insbesondere Entwicklern sollte es wichtig sein, genau aufzupassen, welche Bibliotheken sie verwenden und sie stets aktuell gepatched zu halten. Doch Entwickler verwenden heutzutage nicht mehr nur heruntergeladene und installierte Bibliotheken, sondern greifen auch vermehrt auf Webdienste zurück. Möglich machen dies die Serverfreien Clouddienste, die nur existieren wenn sie genutzt werden. Wenn Software von der Fernwartung abhängig ist, bringt das neue Risiken mit sich. Die empfangenen Daten müssten immer validiert und sorgfältig authentifiziert werden. Insbesondere mobile Anwendungen verlassen sich sehr stark auf Netzwerkdienste, was die Geräte zunehmen gefährdet.

NoSQL Datenbanken bedroht

Sicherheitsbewusste Entwickler wissen seit Jahren von den Bedrohungen, was traditionelle SQL-Datenbanken angeht und konnten diese so weit in Schach halten. Ordnungsgemäße Konfiguration von Benutzerkonten half ihnen bisher dabei. Für neuere NoSQL-Datenbanken wie beispielsweise MongoDB oder Elastic Search gibt es einige dieser Optionen nicht und teilweise stehen sie völlig neuen Bedrohungen gegenüber. Komplexe Datentypen wie JSON und XML kommen mit einem Preis: Neue Deserialisierungsbedrohungen sowie auch Entwickler und Systemadministratoren, die meistens noch nicht qualifiziert genug sind, diese neuen Datenbanken adäquat zu sichern und Daten sicher zu übermitteln. Das Internet Storm Center DShield Sensornetzwerk, berichtet über einen von mehr als einer Million aktiven IP-Adressen empfangenen Datenverkehr. Kontinuierlich wird auch Ausschau gehalten nach für anfälligen „nosql“ -Datenbanken. Mehrere Tausend nosql-Datenbanken wurden bereits kompromittiert oder gelöscht. Eine anfällige Instanz einer nosql-Datenbank wird innerhalb von Stunden nach dem Kontakt mit dem Internet entdeckt.

Keynote von RSA 2017, February 15, 2017: The Seven Most Dangerous New Attack Techniques