Betroffen ist der Standard RFC-5961, der im Linux-Kernel ab Version 3.6 eingebaut wurde. In der aktuellen Version 4.7 besteht das Problem nicht mehr. Da aber zahlreiche Linux-Webserver, Android-Devices und Desktop-Distributionen nach wie vor die älteren Versionen verwenden, stellt die Schwachstelle eine ernsthafte Bedrohung für sehr viele Internet-Nutzer dar. Entdeckt wurde die Sicherheitslücke im Rahmen einer Forschungsarbeit an der University of California at Riverside (UCR), die auf der IT-Security-Konferenz Usenix vorgestellt werden soll.
TCP-Sicherheitslücke in Linux-Systemen
Die Schwachstelle erlaubt Cyberkriminellen und Hackern dann über das Transportprotokoll TCP, den kompletten Internetverkehr der Nutzer zu kontrollieren - und zwar per Remote-Zugriff. Cyber-Unholde könnten so beispielsweise gezielte Angriffe zur Überwachung der Online-Aktivitäten fahren, Kommunikationsinhalte verfälschen oder anonyme Netzwerke wie Tor durch erzwungene Umleitungen kompromittieren. Auch verschlüsselte https-Verbindungen sind betroffen: Sie könnten auf diesem Weg ferngesteuert unterbrochen werden.
Linux und andere Betriebssysteme nutzen TCP, um Datenpakete zu transferieren. Wenn zum Beispiel zwei Personen via E-Mail kommunizieren, verpackt TCP jede Nachricht in kleine Datenpakete, die übermittelt, empfangen und wieder zusammengesetzt werden. Jedes der Datenpakete wird dabei mit einer einzigartigen Ziffernfolge versehen. Dieser Zahlencode ist für Hacker durchaus interessant, kann normalerweise aber wegen der Unzahl an Kombinationsmöglichkeiten nicht einfach erraten werden. Zumindest unter normalen Umständen. Die subtile Sicherheitslücke, die die Forscher aufgedeckt haben, nutzt sogenannte "side channels" innerhalb der Linux-Software und ermöglicht Angreifern so, Rückschlüsse auf die TCP-Zahlencodes zu schließen. So ließe sich die Kommunikation zwischen zwei Parteien mit nicht viel mehr als deren IP-Adressen abgreifen. Das Angriffsmuster ist laut den Security-Forschern äußerst schnell und verlässlich: Rund eine Minute dauert ein solcher Angriff, die Erfolgsquote liegt bei 90 Prozent.
"Im Grunde kann diesen Angriff jeder durchführen"
"Das einzigartige an der Attacke die wir gezeigt haben", so Zhiyun Qian, Assistenz-Professor an der UCR, "sind die wirklich geringen Anforderungen, die zur Ausführung notwendig sind. Im Grunde kann diesen Angriff jeder durchführen, wenn der angreifende Rechner in einem Netzwerk sitzt, das IP-Spoofing erlaubt. Die einzige Information die Angreifer für den Hack benötigen, sind die IP-Adressen von Client und Server. Und die sind relativ einfach herauszufinden."
Qians Team hat die Linux-Community bereits über die Sicherheitslücke informiert - die nächste Linux-Version ist bereits gepatcht. Bis es soweit ist, empfiehlt Qian einen temporären Patch für Client- und Server-Hosts. Die vollständigen Ergebnisse der Untersuchungen sind bereits online veröffentlicht.
- Security-Trends 2016
Viren, Cyberkrime, Erpressung, Kreditkartenbetrug - die Liste der digitalen Gefahren im Internet ist mittlerweile langgeworden. Wir haben die Top-10-Bedrohungen für 2016 zusammengestellt. - Malware
Bewährte und bekannte Malware-Technologien werden sich weiter entwickeln. Social-Engineering-Methoden, vor allem Tricks und Täuschungsmanöver, die sich wie bei Ransomware bereits erfolgreich bewährt haben, werden Unternehmen weiter terrorisieren. Es mag sein, dass Cyberkriminelle sich in Zukunft mit weniger Beute begnügen müssen. Einfach weil das Bewusstsein für diese Art von Angriffen deutlich gestiegen ist und die Backup-Prozesse sich bei den anvisierten Zielfirmen verbessert haben. Nichtsdestotrotz wird es weiterhin ausreichend ahnungslose Opfer geben, deren Daten einem hohen Risiko ausgesetzt sind. Und mit den Daten unter Umständen ganze Geschäftsmodelle und Firmen. - Datenschutzverletzungen
Die Flut an Datenschutzverletzungen wie wir sie 2015 erlebt haben und die damit verbundenen Verluste an Kreditkartendaten und persönlichen Informationen werden auch in diesem Jahr die Zahl der Spear-Phishing-Angriffe und der zielgerichteten Attacken rasant ansteigen lassen. Mittlerweile kursieren derart viele vertrauliche und sensible Informationen im Untergrund, dass Cyberkriminelle anhand dieser Informationen in der Lage sind, spezifische individuelle Profile zu erstellen. - Cyberkrieg
Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungsinfrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht einmal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken. - Internet of Things
Heutzutage ist praktisch jeder mobil unterwegs und wickelt Arbeitsprozesse und Transaktionen entweder über sein Smartphone oder ein WLAN-fähiges Tablet ab. Der überwiegende Teil der Malware, die sich gegen mobile Endgeräte richtet, hat Android im Visier. Das Betriebssystem hat schlicht und ergreifend die weltweit meisten User. Zudem ist die Plattform besonders offen konzipiert. Internetkriminelle gehen traditionsgemäß dahin, wo zahlenmäßig am meisten zu erwarten ist. - BYOD
Keine Liste potenzieller Bedrohungen wäre komplett ohne BYOD. BYOD wird propagiert, weil es Kosten spart und Mitarbeiter produktiver und effizienter arbeiten. Allerdings bringt BYOD gerade für die IT-Abteilungen Herausforderungen mit sich, die zu bewältigen der Quadratur des Kreises ähnelt. Unternehmen müssen eine Strategie entwickeln und Richtlinien umsetzen, die zum jeweiligen Anforderungsprofil passen. Zu den zu berücksichtigenden Sicherheitsaspekten gehören: starke Passwortrichtlinien, Verschlüsselung, Geräte-Management, Zugriffskontrollen und so weiter. - Wearables
Dann sind da noch die Wearables. Und es werden immer mehr. Aber sie werden genauer unter die Lupe genommen. Die Benutzer fragen sich zunehmend, wo eigentlich alle die Daten landen, die sie übermitteln. Der Markt für Gesundheits- und Fitness-Apps boomt. Genauso wie der für Wearables aller Art. Mit ihrer steigenden Popularität steigt aber das Sicherheitsrisiko für hoch vertrauliche und sensible Daten. Unter Umständen verursacht durch simple Fehler bei den Privatsphäre-Einstellungen. - TOR
Auch als "Dark" oder "Deep Web" bezeichnet, hat TOR an Attraktivität gewonnen. Das Versprechen der Anonymität zieht dabei legitime Nutzer genauso an wie Kriminelle. Neben guten Gründen, die für ein anonymes Netzwerk sprechen, gibt es eine ganze Reihe illegaler Aktivitäten, die sich diesen Schutz ebenfalls zunutze machen. Dazu gehören Verstöße gegen Handelsabkommen, Urheberrechts- und andere Gesetzesverstöße, Foren, in denen mit gestohlenen Kreditkartennummern gehandelt wird, Hacking-Dienstleistungen und Malware aller Art. - Unbekannte Schwachstellen
Bisher nicht veröffentlichte Schwachstellen in beliebten Plattformen und gängigen Protokollen werden weiterhin das Ziel von Angreifern sein. Die letzten Jahre haben uns mit einigen Beispielen für solche schwerwiegende Sicherheitslücken in der Kommunikation konfrontiert. - Mobile Zahlungssysteme
Mobile Zahlungssysteme arbeiten intensiv daran, digitale Zahlungen sicherer zu machen. Dazu tragen Dienste wie ApplePay, Google Wallet und CurrentC bei. Anbieter versuchen seit einer geraumen Zeit das Verbraucherverhalten in Bezug auf mobile finanzielle Transaktionen durch Technologien wie die Nahfeld-Kommunikation NFC oder das "virtuelle Portemonnaie" zu verändern. Die Early Adopter-Phase verlief nicht allzu glücklich und ließ noch einiges zu wünschen übrig. - Cloud-Speicher
Die private Nutzung von Dropbox, OneDrive, Box, Google Drive oder anderen Speicherlösungen in der Cloud führt automatisch zu einem höheren Risiko. Und das für private Daten genauso wie für Unternehmensdaten und Dateien, die in solchen Cloud-Lösungen gemeinsam abgespeichert werden. Dabei sollte nicht unerwähnt bleiben, dass Cloud-basierte Backup-Lösungen nicht vor Ransomware schützen. Eher ist es sogar so, dass etliche Ransomware-Angriffe (wie CryptoLocker) sich auf kostenfreie Dienste wie Dropbox verlassen haben, um ihre schädliche Fracht zu verbreiten.
Neue TCP-Hijacking-Welle in Sicht?
Die Folgen einer solchen Sicherheitslücke schätzt auch Craig Young, Security-Experte bei Tripwire, als gravierend ein: "Eine side-channel-Attacke, die in der Lage ist, TCP-Sequenzen ‚vorherzusagen‘ ist ein ziemlich ernstes Problem", teilte er auf Anfrage per E-Mail mit. Eine Folge dieser Entwicklung, so Young, könnte das Wiedererstarken der in den 1990er Jahren populär gewordenen TCP-Hijacking-Angriffe begünstigen. Auch Ex-Hacker-König Kevin Mitnick gelangte in dieser Zeit mit Hijacking via TCP-Schwachstellen zu zweifelhaftem Ruhm.
- Der Vater des Blackholing
Der auch als „Paunch“ bekannte Dmitry Fedotov ist weniger als Hacker, denn als Entwickler des Hacker-Tools Blackhole berühmt. Bei Blackhole handelt es sich um eine Art Webanwendung für die Verbreitung von Malware- und Spyware, die Hacker gegen eine Abo-Gebühr von 1500 US-Dollar pro Jahre mieten können - und bis zur Festnahme laufend mit Updates über neue Schwachstellen von Java, Flash oder des Internet Explorer aktualisiert wurde. Der im Oktober 2012 von den russischen Behörden verhaftete Programmierer aus Togliatti soll auch Autor des Cool Exploit-Kits und von Crypt.AM sein. - Der Herrscher der Kreditkarten
Der Juni 2012 in den Niederlanden zusammen mit Vladimir Drinkman verhaftete russische Hacker soll laut Anklageschrift von August 2005 bis Juli 2012 als Mitglied einer Gruppe von fünf Cyberkriminellen im Laufe der Jahre riesige Mengen an Kreditkartendaten gestohlen haben. Zusammen mit Aleksandr Kalinin, Roman Kotov, Mikhail Rytikov und Vladimir Drinkman soll Smilianets vor allem durch SQL Injection Hacks Firmen wie Nasdaq, 7-Eleven Carrefour und J.C. Penny gehackt haben. Insgesamt 160 Millionen Kreditkarten- und Guthabendaten wurden gestohlen und für Finanzbetrug benutzt. Der Schaden für die Firmen soll bei 300 Millionen US-Dollar liegen. Der Prozess in den USA ist noch nicht abgeschlossen. - FBI's most wanted
Evgniy Mikhailovich Bogachev, auch bekannt als lucky12345 und slavik schaffte es 2014 auf den ersten Platz der so genannte „Cyber Most Wanted“-Liste des FBI. Die amerikanischen Behören sehen in ihm den Hintermann des Botnetzes „Gameover Zeus“. Mit Hilfe der gleichnamigen Malware soll er für ein Botnetz von bis zu einer Million Computern verantwortlich sein, das zum Ausspähen von Bank-Passwörtern und Verbreiten von Malware benutzt wurde. Der Schaden betrage etwa hundert Millionen US-Dollar betragen. Bogachev hält sich nach Vermutungen der amerikanischen Behörden in Russland auf. - Der Phishing-Experte
Der Lette Alexey Belan soll zwischen Januar 2012 und April 2013 die Nutzerdaten von einigen Millionen Kunden dreier US-Unternehmen gestohlen haben. Er ist auf der Liste der meistgesuchten Hacker des FBI, der Name der geschädigten Unternehmen ist aber ebenso wenig bekannt, wie die Höhe des Schadens. Es soll sich um drei nicht genannte E-Commerce-Unternehmen aus Nevada und Kalifornien handeln. Da die Belohnung 100.000 US-Dollar beträgt, sollte der Schaden beträchtlich sein.
Mit Material von IDG News Services.