Ali Baba und die vierzig Cybergefahren

Für uns sind Märchen verschleierte Weisheiten der IT-Sicherheit. Und es waren nicht nur die europäischen Märchenerzähler, die versuchten, ihre Nachkommen vor Cyberbedrohungen zu warnen. Im Osten waren sie nämlich genauso vorausschauend. So führte beispielsweise Scheherazade, die Protagonistin des Klassikers 1001 Nacht, einen täglichen Infosec-Blog mit Video-Podcasts. Zwar hatte sie dafür einen Hintergedanken…

… aber heute werfen wir einen Blick auf eine Geschichte, die viel später, um genau zu sein im 18. Jahrhundert, in Scheherazades Blog veröffentlicht wurde. Sie lautet „Ali Baba und die vierzig Diebe.“ Selbst diejenigen, die die Geschichte nicht kennen, haben sicherlich schon den magischen Satz: „Sesam öffne dich!“ gehört.

In der Tat basiert die gesamte Handlung auf der Idee, dass man sich durch ein Passwort vor unbefugtem Zugriff zu schützen kann. Aber das ist bei weitem nicht der einzige IT-Sicherheitstipp im Märchen. Es ist nur der offensichtlichste.

Passwortübertragung über einen unsicheren Kanal

Hier eine kurze Zusammenfassung der Geschichte: Eine Räuberbande versteckt ihre Beute in einer Höhle, die nur mit dem Passwort „Sesam öffne dich“ zugänglich ist. Der Schutzmechanismus birgt jedoch eine Reihe schwerwiegender Mängel.

Gleich zu Beginn der Geschichte steht der Anführer der Diebe am Eingang der Höhle und schreit laut: „Sesam öffne dich!“ Mehrere Probleme werden sofort deutlich. Erstens ist das Passwort zu einfach. Zweitens gibt es keine Zwei-Faktor-Authentifizierung oder gar einen Benutzernamen!

Schlimmer noch, das Passwort wird über einen offenen Kanal übertragen. Ali Baba, der in der Nähe Brennholz sammelt, belauscht versehentlich den Räuber. Tatsächlich probiert er später nur aus Neugierde und ohne böswillige Absicht das Passwort aus. Als sich die Höhle jedoch öffnet, betritt er die Höhle und entnimmt einen Teil des sich darin befindlichen Schatzes.

Spyware-Module

Nach seiner Rückkehr übergibt Ali Baba die Goldmünzen seiner Frau, um diese zu zählen. Sie versucht die Münzen von Hand zu zählen, aber es sind so viele, dass sie sich verrechnet und sich stattdessen ein Messinstrument von ihrer Schwägerin, der Frau von Ali Babas Bruder Kasim, ausleiht.

Manche Übersetzungen beschreiben das Instrument als Küchenwaage, andere als eine Art Topf. Was genau es nun war, ist eher unwichtig. Wichtig ist jedoch, dass die neugierige Gattin von Kasim den Boden des Instruments mit Honig (in manchen Übersetzungen mit Talg) bestreicht, um herauszufinden, warum ihre Verwandten ihn plötzlich so dringend benötigen. Als sie den Topf zurückbekommt, siehe da, klebt eine Goldmünze im Topfboden.  Sie erfährt also, dass ihre Schwägerin damit Gold gezählt hat!

Selbst ein Cyberanfänger sieht, dass der Autor hier ein Spyware-Modul beschreibt, das in ein legitimes Produkt integriert ist. Kasims Frau stellt ein Gerät zur Verfügung (hier eine Messdienstleistung) und spioniert die Aktivität der Familie Ali Babas aus. Die Quintessenz hier lautet: Verwenden Sie Tools aus vertrauenswürdigen Quellen und überprüfen Sie sie auf Schwachstellen und bösartige Funktionen.

Vergessene Passwörter

Was als nächstes passiert, erscheint mir etwas weit hergeholt. Ali Baba gesteht Kasim das Geheimnis der Höhle und verrät ihm das Passwort. Dieser macht sich auf den Weg und siehe da: auch er kann die Höhle betreten. Doch ausgerechnet im Inneren vergisst er aus heiterem Himmel das Passwort (das er natürlich auch braucht, um die Höhle wieder zu verlassen), fällt in eine Falle und wird einen Kopf kürzer, als die Diebe ihn dort finden. Die Marketingbotschaft ist klar: „Verlieren Sie nicht den Kopf wegen eines vergessenen Passworts“, oder so ähnlich.

Ich vermute, dass dieser Teil der Geschichte früher ein Produktangebot für irgendeinen alten Passwortmanager enthielt, der von den Sassaniden-Technikern benutzt wurde, aber die ursprüngliche Botschaft ging durch endlose Nacherzählungen verloren. Um der Geschichte und den Sassaniden gerecht zu werden, verweisen wir auf unseren Kaspersky Password Manager, der Passwörter und andere vertrauliche Informationen sicher speichert.

Keine Passwortaktualisierungen

Aber kommen wir zurück zur Geschichte. Nachdem Kasim nicht nach Hause kommt, machen sich seine Verwandten auf die Suche nach ihm. Ali Baba geht zurück in die Höhle, findet dort die Leiche seines Bruders und bringt ihn nach Hause, um ihn dort zu beerdigen.

Dabei wird dem Leser ein weiteres Beispiel für eine klägliche Passwort-Richtlinie gezeigt: Die Räuber haben das Passwort nach dem Vorfall, aus welchem Grund auch immer, nicht geändert. Es könnte schlichte Nachlässigkeit sein, oder die anfänglich schlecht durchdachte Architektur des Authentifizierungssystems.

Gleichzeitig ist es möglich, dass sie einfach keine Administratorrechte haben. Wenn sie die Höhle gekapert haben (sie sind schließlich Diebe), haben sie wahrscheinlich nur ein Kennwort. Der wirkliche Besitzer hätte seine Admin-Zugangsdaten wahrscheinlich mit ins Grab genommen.

Angriff durch einen Vertragspartner

Da Ali Baba die Geschichte geheim halten will, kann er die Leiche seines Bruders nicht einfach mit abgetrenntem Kopf begraben. Also tun er, die Witwe seines Bruders und ihre Magd Mardschana alles, was sie können, um zu verschleiern, was vor sich geht. Mardschana besorgt mehrere Medikamente bei einem Apotheker, um den Anschein zu erwecken, dass Kasim immer kränker wird. Schließlich berichtet die Familie, dass er eines natürlichen Todes gestorben ist.

In der Zwischenzeit bringt sie einen Schneider ins Haus, der Kasims Kopf wieder an die Leiche näht. Doch zuvor verbindet sie dem Schuster die Augen und führt ihn über einen Umweg ins Haus, sodass dieser nicht feststellen kann, wo er sich genau befindet.

Die Räuber, die natürlich versuchen, das Informationsleck zu finden, wenden sich ebenfalls an den Schneider. Auch ihm versprechen sie Gold, wenn er Sie zum Haus bringt. Also verbinden sie dem alten Mann die Augen und zwingen ihn, seine Schritte bis zum Haus zurückzuverfolgen.

Dieses Beispiel zeigt, dass selbst dann, wenn Sie mit Vertragspartnern oder Auftragsgebern über einen sicheren verschlüsselten Kanal arbeiten, sensible Informationen trotzdem an Eindringlinge durchsickern können. Vielleicht hätte Mardschana eine Geheimhaltungsvereinbarung mit dem Schuster unterschreiben sollen.

Honeypot

Eines der Gangmitglieder markiert das Tor von Kasims Haus, in dem Ali Baba jetzt lebt und kehrt in dieser Nacht mit seinen Komplizen zurück, um die Bewohner zu ermorden. Die gerissene Mardschana erkennt jedoch das Symbol und markiert die Tore aller anderen Häuser in der Straße auf genau dieselbe Weise und vereitelt so den Angriff.

Im Wesentlichen verwandelt Mardschana die Straße in eine Art Netzwerk aus Honeypot-Hacker-Fallen. Theoretisch funktioniert es folgendermaßen: Eindringlinge im Netzwerk verwechseln einen der Honeypots mit einem angreifbaren Rechner. Beim Angriff enthüllen sie so ihre Absichten und Methoden. In der Zeit, die sie benötigen, um zu erkennen, dass sie in eine Falle getappt sind, stürzen sich die Experten der Cyberkriminalitätsabteilung der Regierung auf den Angreifer und stoppen den Angriff.

Bleibt nur noch die Frage, wie ethisch es ist, die Wohnungen unschuldiger Nutzer als Honeypots zu nutzen. In jedem Fall wird kein wirklicher Schaden angerichtet; die Räuber erkennen die List rechtzeitig und brechen den Angriff ab.

Containerisierung

Der Kopf der Diebesbande beschließt, den Angriff persönlich in die Hand zu nehmen. Er besorgt sich 40 riesige Krüge (ein möglicher Verweis auf .JAR – das Java ARchive-Dateiformat, da jar die englische Übersetzung für Krug ist), von denen zwei mit Öl gefüllt sind. Die restlichen Krüge sind leer. Die mit Öl gefüllten Krüge werden als Täuschungsattrappe gegen einen oberflächlichen Scan verwendet. In den leeren Krügen verstecken sich die restlichen Mitglieder der Räuberbande.

Mit dieser Ladung taucht er vor Ali Babas Haus auf. Der Plan der Räuber sieht folgendermaßen aus: Der Räuberhauptmann, verkleidet als Ölverkäufer, mogelt sich ins Haus hinein, um später, tief in der Nacht die Räuber freizulassen.

Im Großen und Ganzen handelt es sich hierbei um die Beschreibung eines Infrastrukturangriffs mit Malware, die in Containern versteckt sind. Da die Scanner am Eingang das Innere der Container nicht überprüfen, schleicht sich die Bedrohung durch den Sicherheitsbereich. Der Insider aktiviert dann die Malware.

Doch Mardschana rettet erneut die Lage, indem sie einen Dieb in einem der Kruggefäße belauscht. Sie überprüft jeden Behälter und stellt fest, dass in einigen der Gefäße Banditen versteckt sind. Indem Sie kochendes Öl über die Eindringlinge gießt, beseitigt Mardschana die unmittelbare Bedrohung. Andersgesagt hatte man schon damals ein Werkzeug, mit dem man den Inhalt der Behälter scannen konnte. Unsere Kaspersky Hybrid Cloud Security-Lösung verfügt über die gleiche Technologie – nur 1.500 Jahre aktueller.

Am Ende siegt wie immer das Gute. Der Anführer der Diebe kommt ums Leben, Mardschana heiratet den Sohn von Ali Baba (der am Ende der Geschichte aus dem Nichts auftaucht), und Ali Baba bleibt der einzige mit dem Passwort zu der mit Schätzen gefüllten Höhle.

Und die Moral von der Geschicht‘

• Denken Sie beim Entwurf eines Authentifizierungssystems an die Sicherheit. Die Verwendung eines hartcodierten Passworts, das über einen unverschlüsselten Kanal ohne Multifaktor-Authentifizierung übertragen wird, ist gefahrenanfällig.
• Wählen Sie Ihre Zulieferer sorgfältig aus. Wenn möglich, überprüfen Sie deren Tools und Dienstleistungen auf Schwachstellen und böswillige Funktionen. Vergessen Sie nicht, sich von allen Parteien eine Verschwiegenheitsvereinbarung unterschreiben zu lassen.
• Verwenden Sie eine Sicherheitslösung, die den Inhalt von Containern beim Laden scannt, um zu verhindern, dass bösartige Codes aus einem kompromittierten Repository in Ihr Projekt gelangt.