Nichts ist sicher, aber hier ganz besonders nicht: Wir stellen zehn Angriffe vor, die die Grenzen des Möglichen ausreizen.
Alles, was einen Chip hat, lässt sich hacken - aber nicht alle Hacks sehen gleich aus, wenn auch die Grundmuster meist identisch sind. Denn bei Millionen von infizierten Rechnern und Unternehmensnetzen jeden Tag bleiben innovative Angriffe Mangelware. Deshalb ist es nicht schwer, die wirklich neuartigen Angriffe zu entdecken. Die hier vorgestellten Extrem-Hacks der vergangenen Jahre heben sich wegen ihrer Angriffsziele oder wegen komplett neuer Methoden aus der Masse heraus. Sie reizen die Grenzen dessen aus, was Security-Profis zuvor als möglich erachtet haben und öffnen uns die Augen für neue Schwachstellen und Risiken.
Meist ist gar keine physische Gewalt nötig, um Systeme zu hacken - mal schnell, mal langsam dringen die Angreifer tief ein, um Zerstörung anzurichten und Menschen zu betrügen. Foto: Miki Simankevicius - www.shutterstock.com
Geldautomaten
Die meisten Geldautomaten sind mit einem Embedded OS ausgestattet und entsprechend angreifbar. Meist handelt es sich um Windows-Versionen, selten um Linux. Hinzukommt, dass diese eingebetteten Betriebssysteme häufig noch Java implementiert haben und auch so gut wie nie gepatcht werden. Und wenn es Updates gibt, dann garantiert nicht jeden Monat, sondern eher sporadisch. Die Geldautomaten-Software, die noch auf das OS aufgesetzt wird, enthält zusätzliche Sicherheitslücken, die sehr leicht auszunutzen sind. Die Automatenhersteller setzen einfache Default-Passwörter, bevor sie die Maschinen verschicken, damit die Banken diese schneller einrichten können - auch per Fernzugriff. Die wenigsten ändern die Voreinstellungen später dann noch ab. Die Folgen dieser Fehlerkette: Geldautomaten werden gerne gehackt, gerade dann, wenn sie einmal wieder frisch aufgefüllt wurden.
Der berüchtigste Geldautomaten-Hacker war "Barnaby Jack", gestorben 2013. Er begeisterte sein Publikum auf Sicherheitskonferenzen damit, ein oder zwei übliche Geldautomaten auf der Bühne aufzubauen und sie wenige Minuten später Falschgeld auszahlen zu lassen. Dafür setzte er eine Vielzahl von Tricks ein - seine bewährteste Methode war, einen Malware-verseuchten USB-Stick in den fast immer vorhandenen USB-Port des Geldautomaten zu stecken - dieser ist häufig nicht gut genug versteckt, geschweige denn abgesichert. Die Malware verband sich dann über einen bekannten Netzwerkport mit der Fernzugriff-Konsole und nutzte darüber eine öffentlich bekannte Schwachstelle aus, was den Automaten komplett kompromittierte. Nun konnte Jack Administrationsbefehle ausführen und sich das Geld auszahlen lassen. Dieser Angriff wurde als "Jackpotting" bekannt und seine Demonstration auf Veranstaltungen löste recht häufig Jubelstürme unter den Zuschauern aus, wie das folgende Video zeigt:
Herzschrittmacher und Insulinspritzen
Barnaby Jacks Geldautomaten-Angriff führte immerhin dazu, dass sich die Hersteller Gedanken machten und die simpelsten Angriffsvektoren später abzuwehren wussten. Jack wendete sich deshalb einer anderen Branche zu, um diese mit seinem Hackerwissen zu beglücken - der Gesundheitsbranche. Er lernte unter anderem sehr schnell, Herzschrittmacher und Insulinspritzen aus der Ferne anzugreifen. Die meisten medizinischen Geräte benötigen fünf bis zehn Jahre an Entwicklungs-, Test- und Zertifizierungszeit, bevor sie am lebenden Objekt eingesetzt werden. Was sich erst einmal gut anhört, hat eine Schattenseite: Sämtliche Software hat zum Zeitpunkt ihres Praxiseinsatzes bereits mindestens fünf Jahre auf dem Buckel und ist entsprechend unsicher. Schlimm ist zudem, dass sich die Entwickler häufig auf die Intransparenz ihrer Hard- und Software verlassen, was die Gerätesicherheit angeht. Getreu dem Motto "Security by Obscurity": Weil niemand außer dem Hersteller Quellcode und Bauplan bekommt, wird das Ganze schon sicher sein.
Es wird nicht besser. Im April 2014 veröffentlichte "Wired" einen Artikel darüber, wie einfach Krankenhaus-Equipment zu hacken ist - meistens deshalb, weil Standard-Passwörter fest eingebaut werden und sich nicht nachträglich ändern lassen. Natürlich müssen medizinische Geräte leicht zu bedienen sein und sie müssen auch dann noch funktionieren, wenn vorhandene Sicherheitsmaßnahmen ausgehebelt wurden. Das macht ihren Schutz so herausfordernd. Lange, komplexe und sich ständig ändernde Passwörter stehen der leichten Bedienung entgegen, darum kommen sie kaum zur Anwendung. Darüber hinaus ist nahezu sämtliche Kommunikation zwischen diesen Devices unautorisiert und unverschlüsselt.
Passwort-Manager: Das sollten Sie wissen
Tipp 1: Varianz ist wichtig Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices.
Tipp 2: Komplexität wahren Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere".
Tipp 3: On- oder offline? Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt.
Tipp 4: Nicht nur einen Master Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden.
Tipp 5: Möglichkeiten nutzen Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
Angreifer, die die richtigen Ports finden, können die Daten der Devices auslesen und abändern, ohne die geringste Störung im Betriebsablauf hervorzurufen - weder das Gerät selbst, noch die Steuerungssoftware oder andere beteiligte Systeme wie beispielsweise verknüpfte Patientendatenbanken bekommen etwas mit. Die meisten medizinischen Geräte verzichten nämlich auf eine grundlegende Integritätsprüfung, die die meisten solcher schadhaften Änderungen sofort aufdecken würde.
Medizinische Geräte werden nun schon seit knapp zehn Jahren von Hackern angegriffen. White Hats nehmen sich auf beliebten Hackerkonferenzen oft medizinische Geräte vor, ihre Verwundbarkeit ist also gut bekannt. Die Entwickler dieser Geräte arbeiten zwar daran, die größten Sicherheitslücken zu schließen, die langen Entwicklungszyklen machen eine zeitnahe Lösung jedoch schwierig. Aber allein der Fakt, dass es Kriminelle nicht viel Aufwand kosten würde, über Medical IT Menschen zu töten, zeigt, dass es höchste Zeit ist, sich um den Schutz vor allem von Herzschrittmachern und Insulinspritzen, aber auch anderem medizinischen Equipment zu kümmern.
Card Skimming
Etwas weniger lebensgefährlich agieren Card Skimmer, die aber immerhin Ihre Finanzen gewaltig aufmischen können. Der zugrundeliegende Hack ist relativ simpel: Der Angreifer platziert einen sogenannten Skimmer auf einem Gerät mit Eingabetastatur - wie Geldautomaten, Zapfsäulen oder Bezahlterminals - um Debit- und Kreditkartendaten samt PIN schon beim Eintippen abzugreifen.
Skimmer haben ihre Methoden weitgehend professionalisiert - arbeiteten sie zunächst noch mit zumindest für Experten schnell als solche erkennbaren Skimmern, sind ihre heutigen Geräte derart versteckt und immer häufiger auch ins Automateninnere hinein verbaut, dass sie nicht entdeckt werden können. Einige arbeiten bereits mit Bluetooth, sodass sich die Skimmer einige Meter entfernt aufhalten und die gestohlenen Daten gleich abgreifen können - früher musste sie die Skimmer immer erst wieder abbauen, um die Informationen auslesen zu können.
Skimmer setzen ihre Instrumente oft zu Dutzenden in einer geografisch begrenzten Gegend ein - häufig in der Nähe von Autobahnen, um schnell verschwinden zu können - und verwenden die gestohlenen Daten für die Produktion neuer, gefälschter Karten. Im nächsten Schritt heuern sie eine ganze Schar von Komplizen an, die mit den gefälschten Karten Geld abheben oder die Karten anderweitig benutzen - beispielsweise, indem sie unter fremdem Namen teure Waren verkaufen, die sie gar nicht besitzen. Das geschieht alles sehr schnell, meist innerhalb weniger Stunden - wenn der Betrug auffliegt, sind die Skimmer mit ihrer Beute schon über alle Berge.
Technikjournalist Brian Krebs, der sich eingehend mit dem Thema Skimming beschäftigt hat, berichtete kürzlich über einen Erfolg gegen das Card Skimming - so habe die Polizei GPS-Tracker in entdeckten Skimmern, die noch aktiv waren, installiert. Dadurch habe man die Hintermänner ausfindig machen und verhaften können. Diese Methode hilft aber natürlich nur bei Skimmern, die noch wieder abgebaut werden müssen, nicht bei Bluetooth-gestützten Operationen.
Wireless Card Hacking
Wenn Sie mit einer Kredit- oder Debitkarte unterwegs sind, die "kontaktloses Bezahlen" per RFID unterstützt - wie beispielsweise MasterCard PayPass oder American Express ExpressPay - können Sie schnell Opfer eines Hackers werden, der nur kurz einmal an Ihnen und Ihrer Geldbörse in der Hosentasche vorbeiläuft. Ungeschützte RFID-Sensoren lassen sich hacken - das gilt auch für Pässe, Zugangskarten zu Gebäuden und Tracking-Aufkleber auf Produkten. Mit Niederspannungs-Radiowellen aufgeladene RFID-Transmitter geben die auf ihnen vorgehaltenen Daten nämlich ohne Probleme frei. Magnetstreifen von Kreditkarten sind ähnlich unsicher - jedes Magnetstreifen-Lesegerät, das sich für unter 20 Euro in Webshops findet, kann sie auslesen. Einziger Unterschied: RFID-Chips lassen sich auslesen, ohne dass der Angreifer jemals im Besitz der Karte sein muss.
Für einen kontaktlosen RFID-Angriff genügt bereits ein Abstand von rund einem Meter zum RFID-Sensor. Und es ist anzunehmen, dass dieser Abstand bald steigen wird - dann sollte es möglich sein, auf Hundert Meter Entfernung oder mehr einen RFID-Hack vorzunehmen. Eine Horrorvorstellung: Der Angreifer setzt sich in eine Hotellobby, ein Restaurant oder eine stark befahrene Straßenkreuzung und greift Tausende Karten- und Passdaten binnen Minuten ab.
Für die Abwehr kontaktloser RFID-Hacks gibt es spezielle Geldbörsen mit RFID-Schutz für unter 50 Euro. Glücklicherweise ist RFID-Hacking derzeit meist noch auf die Demonstration möglicher Angriffe durch sogenannte White Hats, also "gutartige Hacker", beschränkt. Sicherheitsexperten gehen aber davon aus, dass mit den oben erwähnten steigenden Distanzen zwischen Angreifer und Sensor die Zahl der Attacken zunehmen wird.
BadUSB
Im vergangenen Jahr zeigten Forscher, dass sich rund die Hälfte aller USB-Ports an Computern mit einem präparierten USB-Gerät kompromittieren lassen. Es genügt, einen USB-Stick an einen Rechner zu stecken - schon werden vorkonfigurierte Befehle ausgeführt, die jegliche Sicherheitsmechanismen, Firewalls oder Anti-Malware-Software aushebeln.
Gegen den "BadUSB" genannten Exploit gibt es kein einfaches Gegenmittel - da hilft nur, den USB-Port physisch zu zerstören oder jeden unerlaubten physikalischen Zugriff zu verbieten. Es gibt auch keine Möglichkeit, festzustellen, ob ein USB-Gerät, das an den Computer angesteckt wurde, BadUSB enthält, und ob ein infizierter USB-Stick absichtlich von einem Bekannten oder Kollegen dort angesteckt oder ohne Wissen des Besitzers infiziert wurde. Alles in allem ein sehr fieser Hack.
BadUSB - Die Gefahr und Schutzmöglichkeiten
USB Rubber Ducky Ein „Ahnvater“ der jetzt vorgeführten BadUSB-Angriffe: Hier kommt allerdings eine spezielle Hardwarelösung zum Einsatz, die dann einen USB-Stick modifiziert, so dass er unbemerkt Malware verbreiten kann.
SafeToGo Könnte eine Lösung für die Zukunft sein: Verschlüsselte, zertifizierte USB-Medien (hier die Software des USB-Sticks „SafeToGo“), bei denen auch die Firmware zertifiziert ist und bei denen ausschließlich digital signierte Firmware-Updates möglich sind.
Das BadUSB-Problem Diese Übersicht zeigt das grundsätzliche Problem: Jeder USB-Stick besitzt einen eigenen Controller und Firmware in einem Bereich, der für den normalen Nutzer und das Betriebssystem so nicht sichtbar ist.
Windows-Bordmittel als Schutz Grundsätzliche Möglichkeiten zur Kontrolle von Endgeräten mit Wechselmedien bieten bereits die Windows-Bordmittel: So können Administratoren mittels Gruppenrichtlinien auch Whitelists für USB-Geräte anlegen.
USB-Geräte und ihre Identität Ein weiterer gewichtiger Faktor: USB-Geräte können sich mit unterschiedlichen Identitäten gegenüber den Host-Geräten ausweisen. So kann sich ein Gerät auch ab- und mit einer anderen Identität über die verschiedenen Schritte wieder anmelden.
Bad DNS-Stick Ein Beispiel, das ebenfalls auf der Black Hat Konferenz gezeigt wurde: Ein „BAD DNS Stick“, der die DNS-Einstellung „verbiegt“, indem er einen USB Ethernet Adapter emuliert.
Kontrolle externer Devices Kontrolle der externen Geräte mittels Software: Wie hier, bei der Lösung von Trend Micro müssen Administratoren sicherstellen, dass diese Kontrollfunktion für alle Geräte eingeschaltet ist.
Regel-Editor als Schutz Wie soll das System auf die Verbindung mit externen Datenspeichern reagieren: Viele Sicherheitslösung stellen dazu – wie hier die Software von Eset – einen Regel-Editor bereit
DriveLock Eine Möglichkeit, die von fast allen Hersteller als ein gewisser aber leider nicht vollständiger Schutz auch gegen Angriffe mittels der BadUSB-Techniken angesehen wird, sind die sogenannten Whitelists: Hier ein Beispiel aus der Software „DriveLock“.
Bedingte Kontrolle Könnte eine Lösung für die Zukunft sein: Verschlüsselte, zertifizierte USB-Medien (hier die Software des USB-Sticks „SafeToGo“), bei denen auch die Firmware zertifiziert ist und bei denen ausschließlich digital signierte Firmware-Updates möglich sind.
Stuxnet
Damit kommen wir zum raffiniertesten Cyberangriff, den die Welt bislang gesehen hat: Stuxnet. Die fortschrittlichste und fehlerfreiste Malware, die je geschrieben wurde, setzte zwar nicht auf BadUSB, verteilte sich aber mutmaßlich in Teilen über USB-Sticks und einer Kombination aus einer vormals der Öffentlichkeit unbekannten USB-Ausführungsmethode und drei weiteren Zero-Day-Angriffen. Security-Forscher von Kaspersky fanden später aber heraus, dass einige iranische Unternehmen, die mit den Atomkraftwerkbetreibern kooperierten, direkt mit Stuxnet infiziert worden waren und den Wurm dann wohl unwissentlich an diese weitergaben. Im Juni 2010 wurde Stuxnet allgemein bekannt und sorgte dafür, dass die zuvor nur abstrakt geführten "Cyberkrieg"-Diskussionen nun eine reale Komponente bekamen - virtuelle Werkzeuge konnten tatsächlich physischen Schaden anrichten. Was viele nicht wussten: Bereits drei Jahre zuvor war Stuxnet im Einsatz gewesen, wenn auch in anderer Form.
Einmal ausgeführt, bahnte sich der Schädling seinen Weg durch die Windows-basierten Reaktor-Management-Computer hin zu den programmierbaren Kontrollern der Zentrifugen. Dort zeichnete die Malware reguläre Betriebsvorgänge auf und spielte diese anschließend erneut ab. Durch diese zum jeweiligen Zeitpunkt allerdings unvorhergesehenen Operationen wurden viele Zentrifugen und das Kontrollzubehör zerstört.
Eine Quellcodeprüfung von Stuxnet ergab, dass es diverse Entwicklerteams mit Dutzenden Mitgliedern und mindestens ein Jahr Arbeit bedurft hatte, die Malware zu schreiben. Es hieß deshalb, dass Stuxnet eine Zusammenarbeit zwischen den USA und Israel darstellte, um Irans Nuklearwaffenprogramm zu durchkreuzen. Eine offizielle Bestätigung dafür hat es aber nie gegeben.
Seit dem Stuxnet-Vorfall wurden verschiedene andere Computerwürmer ähnlicher Qualität entdeckt. So futuristisch Stuxnet auch war, die meisten Experten sehen in diesem Angriff die Grundlage aller künftiger Cyberkriegshandlugen.
Die Geschichte des Computer-Virus
1986: Brain Mehr als ein Jahrzehnt, bevor Napster für irgendjemanden ein Begriff war, wurde der erste Computervirus entwickelt - um Softwarepiraterie zu bekämpfen. Der Autor, der das Wort "Cyber" in die Welt setzte, war William Gibson - genannt "Brain". Basit und Amjad Alvi entwickelten und vermarkteten medizinische Software im pakistanischen Lahore. Sie interessierten sich für zwei Dinge. Zuerst wollten sie die Multitasking-Funktionalität der neuen DOS-Betriebssysteme (sogenannte "TSR"-Systeme) testen. Zweitens wollten sie sehen, ob es im Vergleich zu anderen Betriebssystemen wie Unix Sicherheitslücken in DOS gibt.<br /><br />Als sie bemerkten, dass DOS recht anfällig war, hatten sie die Idee, ein Stück Software zu schreiben, das überwacht, wie die Software und die Disketten sich bewegen. Brain verbreitete sich viral über 3,25-Zoll-Disketten und innerhalb weniger Wochen mussten die Alvis ihre Telefonnummern ändern. Das hat Ihnen allerdings wenig genützt, denn 25 Jahre nach der Entwicklung des ersten PC-Virus machte sich Mikko Hypponen von F-Secure im Frühjahr 2011 auf die Reise nach Lahore. Sein Ziel: die Adresse, die im Code zu finden war. Tatsächlich fand er die Alvi-Brüder dort vor und bekam die Gelegenheit, mit ihnen das erste Video-Interview über Brain zu führen.
1987: Stoned Erstellt durch einen Gymnasiasten in Neuseeland, wurde Stoned zunächst als harmlos angesehen. Zunächst machte er sich auch lediglich mit der Meldung "Your PC is now Stoned" bemerkbar. Doch als erster Virus, der den Bootsektor eines PCs infizierte, zeigte Stoned, dass Viren die Funktion eines Computers steuern können - und zwar von dem Moment an, in dem er eingeschaltet wird. Bob Dylan wäre stolz gewesen.
1990: Form Form wurde zu einem der meistverbreiteten Viren überhaupt. Am 18. eines jeden Monats entlockte er den PC-Lautsprechern ein klickendes Geräusch - jedes Mal, wenn eine Taste gedrückt wurde. Das war zwar durchaus ärgerlich, aber harmlos.
1992: Michelangelo Michelangelo wurde dazu genutzt, alle Daten auf einer Festplatte zu bestimmten Terminen zu überschreiben. Als eine Variante von Stoned - nur deutlich bösartiger - war Michelangelo wohl der erste Computervirus, der es auf internationaler Ebene in die Nachrichten geschafft hat.
1992: VCL Das Virus Creation Laboratory (VCL) machte es kinderleicht, ein bösartiges kleines Programm zu basteln – durch die Automatisierung der Virenerstellung über eine einfache grafische Schnittstelle.
1993: Monkey Monkey - ebenfalls ein entfernter Verwandter von Stoned - integrierte sich heimlich in Dateien und verbreitete sich anschließend nahtlos. Damit war Monkey ein früher Vorfahre des Rootkits: Ein selbstverbergendes Programm, das den Bootvorgang per Diskette verhindern konnte. Wenn es nicht korrekt entfernt wurde, verhinderte Monkey gar jegliche Art des Bootens.
1995: Concept Als erster Virus, der Microsoft Word-Dateien infizierte, wurde Concept zu einem der häufigsten Computer-Schädlinge. Schließlich war er in der Lage, jedes Betriebssystem, das Word ausführen konnte, zu infizieren. Achja und: Wurde die Datei geteilt, wurde auch der Virus geteilt.
1999: Happy99 Happy99 war der erste E-Mail-Virus. Er begrüßte User mit den Worten "Happy New Year 1999" und verbreitete die frohe Botschaft per E-Mail auch gleich an alle Kontakte im Adressbuch. Wie die frühen PC-Viren richtete Happy99 keinen wirklichen Schaden an, schaffte es aber dennoch, sich auf Millionen von PCs auf der ganzen Welt auszubreiten.
1999: Melissa Angeblich benannt nach einer exotischen Tänzerin, stellte Melissa eine Kombination aus klassischem Virus und E-Mail-Virus dar. Er (beziehungsweise sie) infizierte eine Word-Datei, verschickte sich dann selbst per E-Mail an alle Kontakte im Adressbuch und wurde so zum ersten Virus, der innerhalb weniger Stunden zu weltweiter Verbreitung brachte.<br />Melissa kombinierte das "Spaß-Motiv" der frühen Virenautoren mit der Zerstörungskraft der neuen Ära: Der Virus integrierte unter anderem Kommentare von "The Simpsons" in Dokumente der Benutzer, konnte aber auch vertrauliche Informationen verschicken, ohne dass Betroffene dies bemerkten. Nicht lange nach Melissa wurden Makroviren praktisch eliminiert, indem Microsoft die Arbeitsweise der Visual-Basic-Makro-Sprache in Office-Anwendungen änderte.
2000: Loveletter Dieser Loveletter hat Millionen von Herzen gebrochen und gilt noch heute als einer der größten Ausbrüche aller Zeiten. Loveletter verbreitete sich via E-Mail-Anhang und überschrieb viele wichtige Dateien auf infizierten PCs. Gleichzeitig ist es einer der erfolgreichsten Social-Engineering-Attacken überhaupt. Millionen von Internet-Nutzern fielen dem Versprechen von der großen Liebe zum Opfer und öffneten den infizierten E-Mail-Anhang. Der geschätzte, weltweite Gesamtschaden betrug Schätzungen zufolge 5,5 Milliarden Dollar.
2001: Code Red Der erste Wurm, der sich ohne jegliche Benutzerinteraktion innerhalb von Minuten verbreitete, trug den Namen Code Red. Er führte verschiedene Aktionen in einem Monatszyklus aus: An den Tagen eins bis 19 verbreitete er sich - von Tag 20 bis 27 startete er Denial-of-Service-Attacken auf diverse Webseiten - beispielsweise die des Weißen Hauses. Von Tag 28 bis zum Ende des Monats war übrigens auch bei Code Red Siesta angesagt.
2003: Slammer Netzwerk-Würmer benötigen nur ein paar Zeilen Code und eine Schwachstelle - schon können sie für ernste Probleme sorgen. Slammer brachte auf diese Weise das Geldautomaten-Netz der Bank of America und die Notrufdienste in Seattle zum Absturz. Sogar das Flugverkehrskontrollsystem war nicht gegen den agilen Bösewicht immun.
2003: Fizzer Fizzer war der erste Virus, der gezielt entwickelt wurde, um Geld zu verdienen. In Gestalt eines infizierten E-Mail-Anhangs kam er auf die Rechner seiner Opfer. Wurde die Datei geöffnet, übernahm Fizzer den Rechner und benutzte diesen, um Spam zu versenden.
2003: Cabir Cabir war der erste Handy-Virus der IT-Geschichte und hatte es gezielt auf Nokia-Telefone mit Symbian OS abgesehen. Cabir wurde über Bluetooth verbreitet und bewies, dass der technologische Fortschritt alleine kein wirksames Mittel gegen Hacker und Cyberkriminelle ist.
2003: SDBot SDBot war ein Trojanisches Pferd, das die üblichen Sicherheitsmaßnahmen eines PCs umging, um heimlich die Kontrolle zu übernehmen. Er erstellte eine Backdoor, die es dem Autor unter anderem ermöglichte, Passwörter und Registrierungscodes von Spielen wie "Half-Life" und "Need for Speed 2" auszuspionieren.
2003: Sobig Sobig war eine Optimierung von Fizzer. Die Besonderheit: Einige Versionen warteten zunächst ein paar Tage nach der Infektion eines Rechners, bevor die betroffenen Rechner als E-Mail-Proxy-Server benutzt wurden. Das Ergebnis? Eine massive Spam-Attacke. Alleine AOL musste mehr als 20 Millionen infizierte Nachrichten pro Tag abfangen.
2004: Sasser Sasser verschaffte sich über gefährdete Netzwerk-Ports Zugang zum System, verlangsamte dieses dramatisch oder brachte gleich ganze Netzwerke zum Absturz – von Australien über Hongkong bis nach Großbritannien.
2005: Haxdoor Haxdoor war ein weiterer Trojaner, der nach Passwörtern und anderen privaten Daten schnüffelte. Spätere Varianten hatten zudem Rootkit-Fähigkeiten. Im Vergleich zu früheren Viren setzte Haxdoor weitaus komplexere Methoden ein, um seine Existenz auf dem System zu verschleiern. Ein modernes Rootkit kann einen Computer in einen Zombie-Computer verwandeln, der ohne das Wissen des Benutzers fremdgesteuert werden kann - unter Umständen jahrelang.
2005: Sony DRM Rootkit Im Jahr 2005 hatte eine der größten Plattenfirmen der Welt die gleiche Idee, die schon die Alvi-Brüder im Jahr 1986 hatten: Ein Virus sollte Piraterie verhindern. Auf den betroffenen Audio-CDs war nicht nur eine Musik-Player-Software, sondern auch ein Rootkit enthalten. Dieses kontrollierte, wie der Besitzer auf die Audio-Tracks der Disc zugreift. Das Ergebnis: ein medialer Shitstorm und eine Sammelklage. Letzterer konnte sich Sony nur durch großzügige Vergleichszahlungen und kostenlose Downloads außergerichtlich erwehren.
2007: Storm Worm Laut Machiavelli ist es besser, gefürchtet als geliebt zu werden. Sieben Jahre nach Loveletter, machte sich der Schädling Storm Worm unsere kollektive Angst vor Wetterkapriolen zu Nutze. Dazu benutzte er eine E-Mail mit der Betreffzeile "230 Tote durch Sturm in Europa". Sobald der Dateianhang geöffnet wurde, zwangen eine Trojaner- Backdoor und ein Rootkit den betroffenen Rechner, sich einem Botnetz anzuschließen. Botnetze sind Armeen von Zombie-Computern, die verwendet werden können, um unter anderem Tonnen von Spam zu verbreiten. Storm Worm kaperte zehn Millionen Rechner.
2008: Mebroot Mebroot war ein Rootkit, dass gezielt konstruiert wurde, um die gerade aufkommenden Rootkit-Detektoren auszutricksen. Dabei war der Schädling so fortschrittlich, dass er einen Diagnosebericht an den Virenschreiber sendete, sobald er einen PC zum Absturz gebracht hatte.
2008: Conficker Conficker verbreitete sich rasend schnell auf Millionen von Computern weltweit. Er nutzte sowohl Schwachstellen in Windows, als auch schwache Passwörter. Kombiniert mit einigen fortschrittlichen Techniken, konnte Conficker weitere Malware installieren. Eine - besonders fiese - Folge: die Benutzer wurden durch den Virus vom Besuch der Website der meisten Anbieter von Security-Software gehindert. Mehr als zwei Jahre nachdem Conficker erstmals gesichtet wurde, waren immer noch täglich mehr Rechner infiziert.
2010: 3D Anti Terrorist Dieses "trojanisierte" Game zielte auf Windows-Telefone ab und wurde über Freeware-Websites verteilt. Einmal installiert, startete der Trojaner Anrufe zu besonders teuren Sondernummern und bescherte den Nutzern überaus saftige Rechnungen. Diese Strategie bei Apps ist immer noch neu - wird sich aber vermutlich zu einer der gängigsten Methoden entwickeln, mit denen Hacker und Cyberkriminelle künftig mobile Endgeräte angreifen.
2010: Stuxnet Wie schon gesehen, haben Computer-Viren schon seit Jahrzehnten Auswirkungen auf die reale Welt - doch im Jahr 2010 hat ein Virus auch den Lauf der Geschichte verändert: Stuxnet. Als ungewöhnlich großer Windows-Wurm (Stuxnet ist mehr als 1000 Prozent größer als der typische Computerwurm) verbreitete sich Stuxnet wahrscheinlich über USB-Geräte. Der Wurm infizierte ein System, versteckte sich mit einem Rootkit und erkannte dann, ob der infizierte Computer sich mit dem Automatisierungssystem Siemens Simatic verbindet. Wenn Stuxnet eine Verbindung feststellte, veränderte er die Befehle, die der Windows-Rechner an die PLC/SPS-programmierbaren Logik-Controller sendet - also die Boxen zur Steuerung der Maschinen.<br /><br /> Läuft er auf PLC/SPS, sucht er nach einer bestimmten Fabrikumgebung. Wenn diese nicht gefunden wird, bleibt Stuxnet inaktiv. Nach Schätzungen der F-Secure Labs, kostete die Umsetzung von Stuxnet mehr als zehn Mannjahre Arbeit. Immerhin zeigt das, dass ein Virus, der offensichtlich eine Zentrifuge zur Urananreicherung manipulieren kann, nicht im Handumdrehen von Jedermann erschaffen werden kann. Die Komplexität von Stuxnet und die Tatsache, dass der Einsatz dieses Virus nicht auf finanziellen Interessen beruhte, legt den Verdacht nahe, dass Stuxnet im Auftrag einer Regierung entwickelt wurde.
Verkehrsschilder
Elektronische Verkehrsschilder zu hacken, ist illegal und kann Sie in ernste Schwierigkeiten bringen. Auch wenn es schwer ist, sich ein Lachen zu verkneifen, wenn ein sonst immer ungenutztes Schild in der Tempo-60-Zone der Autobahn "Achtung, Zombies! Direkt voraus!" warnt. Auch wenn einige der "Schildhacker" bestimmt (ehemalige) Mitarbeiter von Straßenbaufirmen sind, die Verkehrszeichen professionell programmieren - die Handbücher der Elektronikschilder gibt es öffentlich im Internet, und jeder Interessierte kann sie sich dort zu Gemüte führen.
Es zeigt sich: Das Problem der Default-Passwörter "password", "guest", "public" oder "DOTS" besteht auch hier - und wer das richtige Modell kennt, hat theoretisch kein Problem damit, sich in ein Schild zu hacken. Praktisch sieht es etwas schwieriger aus: Fast immer ist ein physischer Zugriff auf eine eigentlich nicht frei zugängliche Steuerkonsole vonnöten, die das Schild mit den Anzeigetexten versorgt - aus Bequemlichkeitsgründen kommt es aber häufig vor, dass diese Steuereinheiten eben doch frei zugänglich sind.
Sobald der Angreifer die Konsole vor sich hat, genügt ein Login mit dem vorher ermittelten oder schnell zu erratenden Passwort. Klappt das nicht, lässt sich der Steuerungscomputer immer noch neu starten (die Tastenkombination dazu findet sich im Handbuch) und das Verkehrsschild damit in den ursprünglichen Zustand samt Default-Passwort zurückversetzen. Selbst wenn ein elektronisches Verkehrsschild verschiedene Zugänge für Admin und User hat - ein Abändern der angezeigten Nachricht ist fast immer mit einfachen Nutzerrechten möglich.
NSA: Hacking auf Bestellung
Wer die Enthüllungen von Ex-NSA-Agent Edward Snowden verfolgt hat, weiß, dass der amerikanische Geheimdienst einen "Bestellkatalog" für Profi-Hacks für seine Mitarbeiter herausgibt. Dieser Katalog ist quasi die Definition von Extrem-Hacks und bietet alles, was das Agentenherz begehrt. Ein Beispiel ist "Quantum Insert" - hier werden Packet-Injection-Werkzeuge genutzt, um Zielpersonen zu Geheimdienst-Seiten umzuleiten. Die überwachte Person bekommt davon nichts mit, weil die manipulierte Website, auf die sie umgeleitet wird, genauso aussieht wie die, die eigentlich augerufen werden sollte. Diese perfide Methode der Überwachung ist bereits seit 2005 im Einsatz. Schützen kann man sich (zumindest bis jetzt) nur mittels HTTPS-Verbindung - die meisten Websites sehen den verschlüsselten Transport der Datenpakete aber nicht vor und die meisten Browser schalten SSL auch nur dann ein, wenn es von der Zielseite vorgesehen ist.
Weitere Hacks, die die NSA ihren Mitarbeitern auf Bestellung anbietet:
verseuchte Monitorkabel für 30 Dollar, die die Daten, die zwischen Rechner und Monitor ausgetauscht werden, überwacht und aufzeichnet;
BIOS- und Firmware-Hacking, um Malware ins System zu bekommen, die eine Formatierung der Festplatte, ein neues Betriebssystem und selbst einen Austausch der Festplatte überlebt;
Fake-Handymasten für 40.000 Dollar, die Telefonate so umleiten, dass sie abgehört werden können;
Malware, die Festplatte-Firmware unterwandert;
Software, die Firewalls umgeht;
Raumüberwachungsgeräte;
Malware, um WLANs nach dem 802.11-Standard zu überwachen;
Hardware-Keylogger, die sich direkt an das Tastaturkabel anschließen lassen.
Fazit: NSA und andere Geheimdienste können so ziemlich alles ausspionieren - und wir können nichts dagegen tun, zumindest solange nicht, wie sich die Spionage in einem rechtlich sauberen Rahmen bewegt. Viele der erwähnten Tools und Devices werden übrigens gar nicht von den Behörden selbst gebaut, sondern von Privatunternehmen angeboten und können von jedem Interessenten käuflich erworben werden.
Krytografie-Experte Bruce Schneier hat sich näher mit den staatlichen Spionage-Aktivitäten beschäftigt und seine Erfahrungen hier zusammengetragen.
Krypto-Angriffe
Gary Kenworthy von Cryptography Research fühlt Verschlüsselungsalgorithmen auf den Zahn, die als unknackbar gelten. So kann er beispielsweise Funkfrequenzen und elektromagnetische Strahlungen von beliebigen Geräten aus der Ferne überwachen und die Einsen und Nullen ermitteln, aus denen sich der jeweilige Algorithmus zusammensetzt. Kenworthy hat das in den vergangenen Jahren bereits diverse Male demonstriert. Er schafft es auch, den privaten Schlüssel eines Mobiltelefons nur dadurch herauszufinden, dass er dessen elektromagnetischen Schwankungen misst. Kenworthys Forschungen zeigen, dass viele Verschlüsselungsalgorithmen längst nicht so sicher sind, wie es scheint.
Auto-Hacking
Automobilhersteller bauen so viel IT wie möglich in die Fahrzeuge - da verwundert es nicht, dass diese "fahrenden Computer" unfassbar angreifbar sind. Schnell fanden Angreifer heraus, wie sich Autos mit nachgebauten Fernbedienungen öffnen lassen und im Gegenzug die eigentlichen Besitzer aussperrten.
Einer der besten Autohacker ist Dr. Charlie Miller, der mit Apple-Hacks begonnen und schon viele Hackerwettbewerbe gewonnen hat. Im Jahr 2013 demonstrierte er gemeinsam mit Chris Valasek, wie sich Bremsen und Lenkung eines Toyota Prius und eines Ford Escape - beide Baujahr 2010 - manipulieren ließen: über eine physische Attacke auf die elektronische Fahrzeugsteuerung und die Onboard-Bus-Systeme. Zum Glück für alle Autofahrer klappte der Hack nicht aus der Ferne, sondern nur im Auto selbst.
IT-Security in Connected Cars: Auto-Hacks 2015 im Video
Jeep Cherokee: Willenlos und ferngesteuert
BMW "ConnectedDrive": Auto hacken leicht gemacht
General Motors "OnStar": Das Infotainment-Einfallstor
Corvette: Sportwagen-SMS-Hacking
Volkswagen: Das Tauziehen um den Motorola-Wegfahrsperren-Hack https://www.usenix.org/sites/default/files/sec15_supplement.pdf
Tesla Model S: Nichts ist unmöglich
Im vergangenen Jahr dann aber stellten Miller und Valasek Remote-Hacks Hacks für 24 verschiedene Modelle vor - die drei gefährdetsten waren demnach der Cadillac Escalade, der Jeep Cherokee und der Infiniti Q50. Die Security-Forscher konnten nachweisen, dass die aus der Ferne erreichbaren Autoradio-Einstellungen direkt oder indirekt mit den kritischen Kontrollsystemen des Fahrzeugs in Verbindung standen.
In einem diesem Nachweis folgenden Bericht des US-Senats hieß es dann wenig später, dass fast jedes heute hergestellte Auto angreifbar sei. Autobauer beginnen deshalb genau wie Softwarehersteller zunehmend, Hacker einzustellen, um die IT-Sicherheit ihrer Fahrzeuge zu verbessern.
Wenn Sie also das nächste Mal beim Autohändler Ihres Vertrauens vorbeischauen, denken Sie daran: Das Modell mit dem besten WLAN ist vielleicht nicht gerade das sicherste…
Diese Autos wurden 2015 gehackt
Auto-Hacks 2015 Das Jahr 2015 ist das Jahr der Auto-Hacks. In den ersten acht Monaten des Jahres werden gleich sechs gravierende IT-Security-Schwachstellen in Fahrzeugen verschiedener Hersteller bekannt. Wir haben die aufsehenerregendsten - wissenschaftlich motivierten - Hackerangriffe auf Connected Cars für Sie in unserer Bildergalerie zusammengefasst.
BMW "ConnectedDrive" Der ADAC deckt Anfang des Jahres eine massive Sicherheitslücke innerhalb des BMW „Connected Drive“-Systems auf, über die sich Angreifer via Mobilfunknetz Zugang zum Fahrzeug verschaffen können. Das Problem wird schließlich per Software-Update behoben – weltweit sind über zwei Millionen Fahrzeuge quer durch alle Konzern-Marken und -Baureihen betroffen.
Jeep Cherokee Enormes Medienecho verursacht im Mai 2015 der Remote-Hack eines Jeep Cherokee – bei voller Fahrt. Den Sicherheitsforschern Chris Valasek und Charlie Miller gelingt es, einen Jeep Cherokee über Funk fremdzusteuern. Das Infotainment-System im Fahrzeug dient den Security-Experten als Einfallstor – kurz darauf sind sie in der Lage, sämtliche Fahrfunktionen des SUV fremd zu steuern. Der Fiat-Chrysler-Konzern muss in der Folge in den USA circa 1,4 Millionen Fahrzeuge zu einem Software-Update in die Werkstätten rufen.
General Motors "OnStar" Hacker Samy Kamkar gelingt es, eine Schwachstelle im General-Motors-Infotainment-System „OnStar“ auszunutzen. Das System ermöglicht den Auto-Besitzern, ihr Fahrzeug per Smartphone zu öffnen und zu schließen. Mit Hilfe eines Toolkits fängt Kamkar die Kommunikation zwischen Smartphone und Automobil ab. So kann er nicht nur den Aufenthaltsort des Fahrzeugs bestimmen, sondern es auch nach Lust und Laune öffnen und schließen sowie den Motor aus der Ferne starten.
Corvette-SMS-Hack Die Sicherheitsforscher Karl Koscher und Ian Foster gelangen über manipulierte SMS-Nachrichten in das CAN-BUS-System einer Corvette. Als Zugangspunkt dient ihnen ein Telematik-System eines Kfz-Versicherers. So erhalten sie Zugriff auf essentielle Fahrsicherheits-Komponenten wie Bremsen, Gas und Lenkung. Das Telematik-System des US-Versicherers Metromile kommt in den USA unter anderem auch beim Fahrdienstleister Uber zum Einsatz. Metromile zufolge sind die Security-Löcher inzwischen gestopft.
Der VW-Motorola-Hack Bis zum August 2015 versucht der Volkswagen-Konzern - offensichtlich aus Angst vor Reputationsschäden - die Veröffentlichung von technischen Details zu einem Hack zu verhindern, der Wissenschaftlern der Universitäten Nijmegen und Birmingham bereits 2012 gelungen ist. Als Zugangspunkt dient den Forschern das Transponder-System einer Wegfahrsperre von Zulieferer Motorola. Nachdem sich Volkswagen außergerichtlich mit den Forschern einigt, werden die technischen Details auf der Usenix-Konferenz 2015 öffentlich gemacht.
Tesla Model S Der jüngste Auto-Hack-Fall in diesem Jahr betrifft das Tesla Model S. Die Security-Spezialisten Kevin Mahaffey und Marc Rogers wollen beweisen, dass auch Teslas Elektro-Limousine nicht unhackbar ist. Letztendlich finden die beiden tatsächlich einen Weg, Kontrolle über das Model S zu erlangen. Auf der Defcon-Konferenz 2015 präsentieren sie ihre Erkenntnisse. Fazit: Auch wenn der Hack des Tesla nur unter immensem Aufwand und über einen physischen Zugang zu den Systemen möglich war – unhackbar ist auch dieses Auto nicht. Immerhin erweist sich die Architektur der Tesla-Systeme laut Mahaffey und Rogers als „relativ sicher“ und „gut durchdacht“.