Sicherheitswoche 38: Angriff auf Cisco-Router, Fehler in AirDrop, Festnahme der CoinVault-Täter

Unser Wochenrückblick bringt diesmal Geschichten über die Fehler, die Programmierer bei der Entwicklung von Robotern machen, wie solche Fehler ausgenutzt werden und die Abrechnung.

„Drei Milliarden Menschenleben endeten am 29. August 1997. Die Überlebenden des nuklearen Feuers nannten den Krieg Judgement Day. Sie standen vor einem neuen Alptraum: dem Krieg gegen die Maschinen.“

Naja, nicht ganz. In der realen Welt wurde im Jahr 1997 die erste WLAN-Spezifikation (802.11b) standardisiert, Steve Jobs kam zurück zu Apple, das Bildformat PNG wurde entwickelt und ein Computer schlug einen Menschen im Schach. Der Judgement Day passierte nicht. Die Maschinen hatten sich nicht so weit entwickelt, um die Apocalypse starten zu können. Echte Künstliche Intelligenz, die die Menschheit auslöschen könnte, ist weiterhin nicht in Sicht – aber das bedeutet nicht, dass in den letzten 18 Jahren keine Entwicklung stattfand.

Und die Entwicklung ist ganz enorm: Sobald die Definition eines „Roboters“ über das von Hollywood bestimmte Bild hinausgeht, erkennen wir, dass Roboter bereits überall um uns herum zu finden sind und laufend lokale Apocalypsen stattfinden. Wir haben die Roboter für unsere Bequemlichkeit entwickelt, allerdings geraten sie regelmäßig und immer häufiger außer Kontrolle. Das hat nichts mit deren freiem Willen zu tun, der Grund ist einfacher: Irgendjemand hat bei der Entwicklung schlecht gearbeitet.

Unser Wochenrückblick bringt diesmal Geschichten über die Fehler, die Programmierer bei der Entwicklung von Robotern machen, wie solche Fehler ausgenutzt werden und die Abrechnung. Ich würde das nicht gleich als Ende der Welt bezeichnen, aber es ist zumindest ein „Code hellrot“. Wie immer, hier noch die Regeln der Sicherheits-News: Das Threatpost-Team wählt jede Woche drei wichtige Neuigkeiten aus, die ich hier ganz rücksichtslos kommentiere.

In meinem letzten Beitrag habe ich gefragt, wie viele Menschen Passwort-Manager verwenden, hier das Ergebnis: Über die Hälfte der Teilnehmer (62 Prozent) halten Passwort-Manager für wichtig, alle einzigartigen Passwörter zu verwalten. Die Hälfte verwendet solche Passwort-Manager – wobei man dazusagen muss, dass diese Zahl bei Menschen im IT-Bereich immer höher ist, während bei sie bei allgemeinen Umfragen eher bei 7 Prozent liegt.

Eine permanente Backdoor in Cisco-Routern

Der Artikel. Die Forschungsarbeit von FireEye.

Ich habe es sicher schon einmal gesagt, dass ein moderner Router eine Black Box ist, die die meiste Zeit leise in einer staubigen Ecke steht und um die sich nie jemand kümmert. Und das gilt sowohl für Router zu Hause, als auch für Firmen-Router: Forscher haben nun eine Möglichkeit entdeckt, auf mindestens drei Modellen der Firmen-Router von Cisco Backdoors zu installieren. Wenn man die übliche Behandlung von Routern bedenkt, könnte das für lange Zeit unentdeckt bleiben.

Das Konzept der Attacke sieht zwar einfach aus, ist in Wirklichkeit aber recht komplex: Wenn der Täter Zugriff auf einen anfälligen Router erlangt, kann er eine modifizierte Firmware hochladen und sobald er Remote-Zugriff auf das Gerät bekommt, kann er Plugins installieren und das Gerät weiter kompromittieren.

Aber das Ganz ist nicht so schlimm: Die Forscher haben nur drei für den Angriff anfällige Modelle gefunden: Cisco 1841, 2811 und 3825. Soweit ich weiß, sind diese bereits älter und werden wahrscheinlich bald nicht mehr durch den Hersteller unterstützt. Der eigentliche Angriffsvektor nutzt zudem keine Sicherheitslücke in den Routern aus, denn die Firmware kann nur modifiziert werden, wenn man Zugriff auf das Gerät hat, entweder über Standard-Login-Daten oder indem man das geänderte Passwort dafür herausfindet.

Wenn der Angriff aber funktioniert, entsteht dadurch ein riesiges Loch in der IT-Sicherheit eines Unternehmens. Der Diebstahl von Login-Daten an sich wäre gar nicht so interessant, doch die Modifikation der Router-Firmware ist nicht zu unterschätzen: Damit bekommt der Angreifer permanenten Zugriff auf das Gerät und somit auch auf das gesamte Firmennetzwerk. Vorsicht ist auch hier immer besser als Nachsicht. Übrigens überstieg die Gesamtzahl der infizierten Router (zumindest in deren IPv4-Teil) kaum mehrere Dutzend.

Ernster Fehler im Datenaustauschsystem AirDrop

Der Artikel.

Wo war ich… Ach ja, der Aufstand der Maschinen. Im Universum von Terminator II (ich mag Terminator III und alle weiteren Teile nicht) entwickelt die Menschheit zuerst Maschinen, die sich dann gegen ihre Herren richten. Der eigentliche Antrieb, die Maschinen zu entwickeln, war, das Leben für die Menschen (na gut, für das Militär) einfacher zu machen. Die Roboter wurden entwickelt, um bestimmte Gegenden anzugreifen oder Cyber-Angriffe abzuwehren usw.

Diese Fiktion passiert gerade im echten Leben, allerdings etwas vereinfacht. Es ist lange her, dass Menschen einfach nur einen Knopf drückten, um Geräte zu benutzen, sich mit Netzwerken zu verbinden oder Informationen auszutauschen. Wenn ein Anwender eine Frage stellt (oder sogar noch vorher), ist die Antwort bereits programmiert und steht zur Verfügung.

So sollte die ideale Nutzererfahrung aussehen

Nun, das nennen wir „Fortschritt“, aber dieses Modell hat einen fundamentalen Fehler: Wir haben keine Kontrolle über die Interaktion zwischen unseren Geräten und dem Netzwerk. Nehmen Sie zum Beispiel die tolle AirDrop-Funktion. Sie kann zahllose Probleme selbst lösen. Der Anwender muss sich nicht um das „Pairing“ oder die „Verbindung mit einem Zugangspunkt“ oder die „Autorisierung“ kümmern. Er muss nur den Empfänger in der Nähe auswählen und die Daten schicken. Da war klar, dass irgendwann eine Sicherheitslücke in diesem so perfekten Modell gefunden werden würde.

Der australische Forscher Mike Dowd führte einen Angriff vor, der es aus der Ferne erlaubt, mithilfe von AirDrop Daten auf dem Gerät des Opfers zu überschreiben. Dazu wird einfach ein spezieller Link an ein Mobilgerät (oder sogar einen MacOS-X-Computer) geschickt. Sobald dieser auf dem Gerät ankommt, wird der Nutzer aufgefordert, die Daten anzunehmen oder abzulehnen, aber da ist es bereits zu spät: Der Exploit hat seine Arbeit bereits erledigt (ganz ähnlich wie StageFright bei Android).

Das Ganze hat nur einen Einschränkung: Der Anwender muss die Daten aller Geräte in seiner Nähe per AirDrop annehmen. Aber der Bequemlichkeit (!) halber kann das sogar auf einem gesperrten Gerät gemacht werden. Wenn ein Angreifer also für ein paar Sekunden physikalischen Zugriff auf ein Handy bekommt, hat er es schon geschafft. Nun kann er aus der Ferne Apps auf dem iPhone installieren. Natürlich haben solche schädlichen Apps nur grundlegende Privilegien und können nicht sofort etwas stehlen, aber das kommt dann mit anderen Exploits, die normalerweise für das Jailbreaking von Geräten verwendet werden.

Der Fehler wurde in iOS 9 übrigens bereits gepatched.

CoinVault-Täter verhaftet

Der Artikel. Die Forschungsarbeit von Kaspersky Lab. Eine weitere Studie zu CoinVault, inklusive Konzept zur Entschlüsselung ohne Lösegeldzahlung.

Während Maschinen nicht intelligent genug sind, um Böses zu tun, ist das bei Menschen ganz anders. Leider hört man nur selten davon, dass jemand verhaftet wurde, nachdem er jemanden gehackt hat. Nehmen Sie nur die oben beschriebene Router-Geschichte: Forscher haben eine modifizierte Router-Firmware entdeckt, die eine Backdoor enthält. Aber wer hat die Firmware modifiziert? Keine Ahnung.

Manchmal machen Anonymisierungstechnologien die Strafverfolgung im Internet recht schwer. Ransomware ist dafür ein gutes Beispiel. Tor wird zur Anonymisierung der C&C-Server verwendet und das Lösegeld wird per Bitcoin bezahlt – da scheint man nichts machen zu können.

Allerdings haben nun die Guten wieder einmal gewonnen: Zwei Männer wurden in den Niederlanden verhaftet, da sie die Ransomware CoinVault entwickelt haben sollen. Auch die Kaspersky-Experten haben bei der Verhaftung geholfen, indem sie die Technologie hinter dem Schädling analysiert haben.

CoinVault ist zwar nicht der am weitesten verbreitete Erpresser-Schädling, dafür aber ein Beispiel für ein komplexes, schwer zu analysierendes Schadprogramm. Der Forschungsbericht aus dem letzten Jahr zeigte bereits, wie aktiv sich das Schadprogramm gegen seine Analyse wehrt: Wenn man den Trojaner auf einer virtuellen Maschine oder einem Computer mit WireShark oder ähnlicher Software startet, wird seine schädliche Ladung blockiert.

Nachdem dieser Bericht im November 2014 veröffentlicht worden war, schienen sich die Täter hinter CoinVault für einige Zeit ruhig zu verhalten. Doch dann entdeckten die Forscher von Panda Security neue Exemplare des Schädlings. Durch die Sammlung indirekter „Beweise“, schafften es die Kaspersky-Experten, die von CoinVault bei den Opfern verschlüsselten Daten ohne Lösegeldzahlung wieder zu entschlüsseln.

Eine genaue Analyse des schädlichen Codes half dann, die Täter zu fassen. Zunächst entdeckten die Experten Zeilen in „perfektem Holländisch“ im Code, wobei Text in Schadprogrammen meist in schlechtem Englisch geschrieben ist, was das Aufspüren von Tätern schwer macht. Mithilfe des National Hi-Tech Crime Unit der niederländischen Polizei wurde dann der C&C-Server gefunden und die Täter wurden verhaftet.

Die Moral der Geschichte ist also, dass keine Anonymisierungstechnologie hundertprozentig vor dem Arm des Gesetzes schützt. Denn zum einen wird für jede neue Technologie immer auch eine Gegenmethode entwickelt werden, zum anderen war es auch hier wieder kein Fehler in der Technologie, der zur Verhaftung führt, sondern der menschliche Faktor.

Was sonst noch passiert ist:

Eine Handvoll Fehler wurden in PayPal und anderen Diensten entdeckt, mit denen die Authentifizierung (sogar die Zwei-Faktoren-Authentifizierung) übergangen werden kann. Bei PayPal ist die mobile API daran schuld, die unsicherer ist als erwartet.

Die Initiative „Let’s encrypt“ startete nun: Webseitenbetreiber haben damit die Möglichkeit, HTTPS-Zertifikate mit relativ wenig Aufwand zu bekommen.

Google hat einen Fehler in Android gepatched, der es ermöglichte, den Sperrbildschirm zu umgehen, indem man ein seeeeeeeeeeeeeeehr_laaaaaaaaaaaaaaaaaaanges_paaaaaaaaaaaasswooooooooooort eingibt.

Oldies:

Die Familien „Invader“ und „Plastique“

Residente Viren, sehr gefährlich. Sie infizieren .COM- und .EXE-Dateien (außer COMMAND.COM) wie im „Jerusalem“-Algorithmus, aber auch Boot-Sektoren von Floppy-Disketten und Festplatten. Sie formatieren einen zusätzlichen Track auf der Disk und schreiben sich selbst in Sektoren neben dem MBR auf Festplatten. Abhängig von ihrem Zähler können sie einen Nulldurchlauf starten, wenn sie je nach Timer abgebrochen werden (int 8), Daten auf Laufwerken löschen, Musik abspielen oder die folgenden Texte anzeigen:

„Invader“ — „by Invader, Feng Chia U., Warning: Don’t run ACAD.EXE!“

„Plastique“ — „PLASTIQUE 5.21 (plastic bomb) Copyright 1988-1990 by ABT Group (in association with Hammer LAB.) WARNING: DON’T RUN ACAD.EXE!“

Sie enthalten auch den Text: „ACAD.EXECOMMAND.COM.COM.EXE“. Sie befallen Int 8, 9, 13h, 21h.infosec-digest-32-book1

Zitat aus „MS-DOS-Computerviren“ von Eugene Kaspersky, 1992, Seite 104.

Hinweis: Diese Kolumne spiegelt die persönliche Meinung des Autors wider. Diese kann, muss aber nicht mit der Position von Kaspersky Lab übereinstimmen. Das ist Glücksache.

Tipps