Banking
Der zweite Tag des Security Analysts Summit von Kaspersky Lab war in drei Bereiche eingeteilt. Praktisch für die Konferenzteilnehmer, allerdings muss ich daher in diesem Artikel einige interessante Themen und Präsentatoren auslassen. Daher hier die Highlights des zweiten Konferenztages:
Begonnen wurde der Tag mit dem Vortrag „After Zeus Banking Malware“ von Sergey Golovanov, einem der Experten des Global Research and Analysis Teams von Kaspersky Lab. Jahrelang war Zeus der gefährlichste Vertreter von Banking-Schädlingen. Und in vielerlei Hinsicht ist das auch nach wie vor so. Es gibt zwar andere Bedrohungen, doch angesichts der Langlebigkeit, der breiten Verteilung und der hohen Effektivität von Zeus, verblassen diese etwas. Doch wie Golovanov sagte, könnte sich das bald ändern. Hacker entwickeln neue Arten, um die Bankdaten der Anwender zu stehlen und Trojaner wie Carberp 2.0, Neverquest, Lurk und Shiz könnten Zeus bald vom Thron stroßen.
Gleichzeitig präsentierten Charlie Miller von Twitter und Chris Valasek von IOActive im Nebenzimmer ihre bekannte Auto-Hacking-Vorführung. Die Vorführung war – wie immer – erstaunlich, doch darüber haben wir bereits berichtet. Neu daran war der Vorschlag, dass Antivirus-ähnliche Module Anomalien in der Netzwerkkommunikation zwischen den einzelnen Onboard-Computern des Autos entdecken könnten. Der Datenverkehr ist dabei recht vorhersehbar, wie die beiden Forscher ausführten. Um die gehackten Autos irgendwelche Befehle ausführen zu lassen, mussten die Forscher sie mit mehr Datenpaketen überfluten, als normalerweise in einem Auto gesendet werden. Deshalb könnte das Entdecken dieser Abweichung von der Norm in der Zukunft einen robusten Schutz vor dem Hacken von Autos bieten. Weitere Informationen dazu finden Sie in einem kurzen Podcast mit Miller und Valasek oder in diesem ausführlichen Artikel bei unseren Freunden von Threatpost.
Die Kaspersky-Experten Fabio Assolini und Santiago Pontiroli stellten einen Bankbetrug vor, der so hervorragend ist, dass er sogar Geld offline von den Anwendern stiehlt. Das Experten-Duo erklärte, dass Boletos zu den beliebtesten Zahlungsmethoden in Brasilien gehören. Dabei handelt es sich um spezielle Rechnungsdokumente, die von Banken und Geschäften ausgestellt werden, und mit denen man nicht nur Rechnungen zahlen, sondern auch Güter und Dienstleistungen erwerben kann. Mit ein wenig Hacking und viel Social Engineering finden brasilianische Cyberkriminelle Möglichkeiten, die Strichcodes und andere einzigartige Kennzeichen, die einen Boleto an eine Person oder ein Bankkonto binden, zu stehlen. Haben sie diese Boletos einmal, die sie dann einfach ausdrucken können, können sie das Geld vom Konto des Opfers auf ihr eigenes transferieren. Im Grunde ist dieser Angriff, der Kunden online und offline beeinträchtigt, jahrhundertealten Fälschungen und gleichzeitig jedem modernen Online-Diebstahl ähnlich.
Billy Rios, Director of Vulnerability Research and Threat Intelligence bei Qualys, zeigte, wie er Code in Flughafen-Sicherheitssysteme injizieren und deren Datenausgabe nachahmen kann. Dabei hat er im Grunde die Systeme der Transportation Security Agency und anderer Flughafen-Sicherheitsfirmen nachgeahmt, die normalerweise verbotene Gegenstände finden sollen. Er hat dies als beschämend einfach beschrieben. Zu der Forschungsarbeit wird es demnächst einen vollständigen Bericht geben.
Sergey Golovanov kam anschließend mit Virenanalyst Kirill Kruglov auf die Bühne. In ihrer Vorführung zeigten sie, wie anfällig Geldautomaten und Kassen-Terminals für Angriffe sind. Das Problem bei diesen Geräten ist, dass unter dem Plastikgehäuse und dem Tastenfeld alte, unmoderne und oft ungepatchte Betriebssysteme stecken. Der Hauptverdächtige ist – wie immer – Windows XP, das unzählige bekannte und ausnutzbare Sicherheitslücken enthält. Tillman Werner von CrowdStroke sagte in seinem Vortrag dazu, dass Cyberkriminelle das Ausrauben von Geldautomaten durch eine Kombination aus speziellen Schadprogrammen und Insider-Wissen in ein Multimillionen-Dollar-Geschäft verwandelt haben.
Billy Rios und sein Kollege Terry McCorkle hielten dann noch den Vortrag „Owning Buildings for Fun and Profit“, ein fast perfekter Mikrokosmos des Vortragsbereichs zur Sicherheit und Unsicherheit kritischer Infrastrukturen. Sie zeigten wie digitale Sicherheitslücken ausgenutzt werden können, um Schaden in der realen Welt anzurichten. Die beiden Qualys-Forscher zeigten, wie Gebäude-Sicherheitssysteme und andere Endpoint-Maschinen übernommen werden können, um die Videoüberwachung und Zugangskontrollsysteme (sprich: Türschlösser) zu manipulieren, sowie Schäden an Industrieanlagen zu verursachen.
