Jahresrückblick 2015: Die wichtigsten Sicherheitsvorfälle

Der Kaspersky-Experte Konstantin Goncharov blickt zurück auf die wichtigsten Sicherheitsvorfälle des vergangenen Jahres.

Im vergangenen Jahr gab es eine Menge Nachrichten über Sicherheitsvorfälle. Diese Masse auf die Top 10 zu reduzieren ist gar nicht so leicht, und um die Neutralität zu wahren, habe ich mich entschlossen, die zehn meistgelesenen Artikel von Threatpost als Grundlage zu nehmen. Natürlich hat jeder ganz eigene Favoriten, aber ich habe so gut wie möglich versucht, objektiv zu bleiben – immerhin habe nicht ich die Artikel ausgesucht, sondern die Leser. Aber falls Sie mit der Auswahl nicht ganz einverstanden sind oder einen Vorfall hinzufügen möchten, können Sie das gerne in den Kommentaren unten machen. Doch jetzt kommt unsere Auswahl der wichtigsten Sicherheitsvorfälle des vergangenen Jahres:

Die Top-10-Liste ist in fünf Hauptkategorien eingeteilt:

  • Bedrohungen für Heimanwender
  • Am wenigsten erwartete Sicherheitslücken: Internet der Dinge, Haushaltsgeräte und industrielle Netzwerkgeräte
  • Verschlüsselung
  • Allgemein bekannte Sicherheitslücken in wichtigen Plattformen und hochentwickelte Bedrohungen
  • Übliche, aber gefährliche Fehler in Software

Bedrohungen für Heimanwender

#10 Ein Trojaner in Facebook, der im Januar entdeckt wurde (Artikel). Über 110.000 Facebook-Nutzer wurden davon infiziert, indem sie auf einen schädlichen Link klickten.

Leider werden nach wie vor viele Anwender zu Opfern solcher Schadprogramme, die sich zum Beispiel als Adobe Flash Update tarnen und heimlich einen Keylogger auf dem Computer installieren. Wir entdecken diese Schädlinge zwar, aber sie werden meist nicht allzu publik, da sie für Sicherheits-Experten nicht gerade aufregend sind. Doch diese „traditionellen“ Bedrohungen werden weiterhin ein großes Problem bleiben – sowohl für Heimanwender als auch für Firmen.

Die Schutzmaßnahmen sind direkt und offensichtlich, und können solche Bedrohungen gut abwehren. Doch leider werden von Schädlingen wie dem Facebook-Trojaner nach wie vor zahlreiche Anwender infiziert, so dass noch mehr Aufklärung nötig ist.

Am wenigsten erwartete Sicherheitslücken: Internet der Dinge, Haushaltsgeräte und industrielle Netzwerkgeräte

Was haben eine Garagentor-Fernbedienung und Netzwerk-Software von Cisco gemeinsam? Sie sind beide schlecht geschützt. Während Anwender und Hersteller den Schutz für traditionelle Computer und Geräte sehr ernst nehmen, sind sie bei vernetzten „Smart“-Geräten nachlässiger. Denn häufig wird übersehen, dass die Geräte des Internet der Dinge ebenfalls leistungsfähige Computer sind, die ungeschützt bleiben und zu Datendiebstählen und noch Schlimmerem führen können. Und natürlich werden diese Geräte bereits angegriffen.

#9 Schon im Jahr 2014 entdeckten die Forscher von Check Point eine Sicherheitslücke, die in 12 Millionen Heimanwender-Routern zu finden ist (Artikel ). Ein spezielles Datenpaket wurde verwendet, um das Web-Interface der Router öffentlich zu machen.

#8 Und im Juni 2015 wurden fest einprogrammierte SSH-Keys in Ciscos Security-Geräten gefunden (Artikel). Das war nur einer der vielen Fälle, in denen solche Fehler in Netzwerk-Geräten und -Software entdeckt wurden.

#7 Etwa zur gleichen Zeit entdeckte der renommierte Sicherheitsforscher Samy Kamkar, dass Fernbedienungen für Garagentore ebenfalls nur schlecht geschützt sind (Artikel). Es braucht nur 30 Minuten, um den Schlüssel mit einer Bruteforce-Attacke zu knacken, doch aufgrund einiger Fehler schaffte Kamkar das sogar in 10 Sekunden.

Und wir sollten auch die Sicherheitslücken in Autos nicht vergessen. Im Sommer 2015 veröffentlichte Fiat Chrysler nach der bahnbrechenden Forschungsarbeit von Charlie Miller und Chris Valasek zum ersten Mal einen Security-Patch für ein Auto: Die entdeckte Sicherheitslücke kann missbraucht werden, um sich über das Multimedia-System in das Management des Autos einzuhacken und sogar die Lenkung zu übernehmen. In Software und Computern gibt es Fehler, warum also sollten solche Fehler nicht auch in Autos zu finden sein? Dazu muss ich einfach einen berühmten, mittlerweile gelöschten Tweet bringen:

Wenn eine Aufgabe von Computern übernommen wird, machen diese meist weniger Fehler als Menschen. Allerdings werden sie von Menschen programmiert und Computersysteme werden immer wichtiger und übernehmen immer mehr kritische Aufgaben – von der Steuerung von Atomkraftwerken bis zur Kontrolle des Verkehrs in großen Städten. Willkommen in der schönen, neuen Welt!

Verschlüsselung

Jetzt wird es kompliziert. Nur sehr wissenschaftlich orientierte Forscher können die Effizienz einer Verschlüsselungsmethode bewerten. Ein gutes Beispiel dafür ist der beliebte Hashing-Algorithmus SHA-1, den man vor fünf Jahren noch für absolut zuverlässig gehalten hat, der sich im vergangenen Jahr aber als „theoretisch angreifbar“ herausstellte.
Die NSA zweifelte bereits die Zuverlässigkeit von elliptischen Verschlüsselungsalgorithmen an und arbeitet an Verschlüsselungstechniken (oder gibt vor, daran zu arbeiten), die nicht einmal mit Quantencomputern geknackt werden können.

#6 Aber das ist nicht das einzige Problem bei der Verschlüsselung. Eine schwache Verschlüsselung ist eine ernste Gefahr für das Open-Smart-Grid-Protokoll (OSGP) (Artikel). Das OSGP ist ein elektrisches Netz des Internet der Dinge, ein Versuch, alle Zähler und Managementsysteme in einem einzigen Netzwerk zusammen zu fassen. Das bedeutet, dass potenzielle Sicherheitsprobleme die komplette Stromversorgung betreffen würden. Aufgrund der Komplexität des Netzwerks muss man der Verschlüsselung absolut vertrauen können.
#4 Verschlüsselung ist ein schweres Geschäft, und so stellten sogar die Entwickler der beliebten Verschlüsselungslösung TrueCrypt im Jahr 2014 die Entwicklung ein. Daraufhin gab es mehrere unabhängige Quellcode-Audits und es tauchten interessante Nachahmer auf: VeraCrypt und CipherShed (Artikel). Und erst kürzlich wurde eine Backdoor in Juniper-Geräten entdeckt, wobei auch die Verschlüsselung eine wichtige Rolle spielte.

Allgemein bekannte Sicherheitslücken in wichtigen Plattformen und hochentwickelte Bedrohungen

#5 Im Jahr 2014 waren Shellshock und Heartbleed die Stars der Sicherheitslücken, im vergangenen Jahr kann man diesen Titel der Stagefright-Sicherheitslücke in Android geben (Artikel ), aber auch…
#3 …dem Fehler in der Standard-GLIBC-Library-Funktion in Linux (Artikel).

Linux-Fehlerjäger. Künstlerische Interpretation

Jede bekannte Sicherheitslücke wird entweder über eine „theoretische“ oder eine „praktische“ Entdeckung gefunden. In manchen Fällen erstellen die Forscher zunächst einen Proof-of-Concept, doch oft genug wird eine Sicherheitslücke erst gefunden, nachdem bereits Angriffe darauf durchgeführt wurden.

Zwei der von Kaspersky Lab entdeckten Angriffe waren Carbanak und The Equation. Während die erstgenannte Attacke vor allem beim den Opfern zugefügten Schaden (eine Milliarde Dollar) beeindruckt, ist die zweite vor allem wegen ihrer fortschrittlichen Tools etwas Besonderes, denn sie brachte die Kontrolle über infizierte PCs über eine modifizierte Festplatten-Firmware an sich. Zudem lief diese Angriffswelle sehr lange – jahrzehntelang.

Übliche, aber gefährliche Fehler in Software

Adobe Flash ist das Paradebeispiel für diese Kategorie: Unter anderem gab es Meldungen zu verschiedenen Sicherheitslücken in Flash am 14., 24. und 28. Januar, im März, Juni, Juli, September und Dezember. Und nach wie vor ist Flash eine unglaublich angreifbare Software. Die gute Nachricht ist aber, dass massenhaft Patches (zumindest von Adobe) veröffentlicht werden und mit jedem dieser Updates eine ganze Handvoll Fehler behoben werden. Diese Patches bedeuten zwar nicht, dass die Software viel sicherer wird, doch der Trend ist positiv: Die Adobe-Entwickler nehmen die Sicherheit mittlerweile ernster.

Flash ist auf wahnsinnig vielen Systemen installiert, inklusive den meisten Web-Browsern, und bekommt daher eine Menge Aufmerksamkeit von Seiten der Cyberkriminellen. Browser-Entwickler dagegen sind gezwungen, Ihre eigene Software zu überwachen und die Anwender vor Gefahren auf Webseiten zu schützen (was oftmals nur durch die Beschränkung bestimmter Möglichkeiten zu schaffen ist, wie etwa bei Flash in Chrome).
#2 Die Teilnehmer des pwn2own-Hackathon im März schafften es, alle großen Browser zu hacken: Erst Firefox und Internet Explorer, dann auch Chrome und Safari (Artikel).

White-Hat-Hacker nach einem erfolgreichen Hack auf der pwn2own.

#1 Eine veraltete NPAPI-Erweiterung wurde im April in Chrome blockiert (Artikel). Dies führte zu einer Fehlfunktion verschiedener Plugins, von Java bis Silverlight, was den Entwicklern zahlreiche Probleme bescherte. Alten Code zu löschen, wird in letzter Zeit immer mehr zu einem Trend.

Ich bezweifle, dass es im Jahr 2016 weniger ernste Sicherheitsvorfälle geben wird und bin mir sicher dass schließlich auch neue Methoden für den Kampf gegen Cyber-Bedrohungen auftauchen werden. Also werden uns die Themen nicht ausgehen. Wenn Sie mehr zur IT-Sicherheit lesen möchten, empfehle ich Ihnen das Kaspersky Security Bulletin 2015/2016, den speziellen Bulletin-Artikel zu Bedrohungen für Unternehmen und die Vorhersagen für das Jahr 2016.

Tipps