Die Zukunft der Cyber-Kriminalität
Die Zukunft der Cyber-Kriminalität
Die Zukunft der Cyber-Kriminalität
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
1 gtr | April 2007 gtr | April 2007 1<br />
„Spyware“ ist sowohl IT-Sicherheitsgurus als<br />
auch <strong>der</strong> breiten Öffentlichkeit ein Begriff. Er ist<br />
uns so geläufig geworden, dass es erschreckend<br />
ist, wenn man bedenkt, wie massiv sich<br />
diese neue technologische Bedrohung in den<br />
vergangenen fünf Jahren ausgebreitet hat.<br />
Ursprünglich war es eine primitive und eher<br />
harmlose Methode, mehr Kontextinformationen<br />
zu den Aktivitäten eines Internetsurfers zu<br />
erlangen. Heute jedoch umfasst Spyware eine<br />
Unmenge von Softwaretechnologien, mit<br />
denen sich unerlaubterweise Daten sammeln<br />
lassen – und immer neue Softwareprogramme<br />
kommen täglich hinzu. Für den Endbenutzer<br />
bedeutet das lei<strong>der</strong>, dass diese raschen<br />
Verän<strong>der</strong>ungen viele neue Möglichkeiten für<br />
Missbrauch und Ausnutzung mit sich bringen.<br />
Je mehr wir uns von all diesen neuen mobilen<br />
Geräte und Onlinediensten verbinden und<br />
abhängig machen lassen, desto größer wird<br />
das Risiko, dass unser Sicherheitsbewusstsein<br />
hinter <strong>der</strong> Realität zurückbleibt. Außerdem<br />
übertreffen neue Spyware-Technologien<br />
oftmals die beste Planung selbst <strong>der</strong><br />
sorgfältigsten Ingenieure bei weitem, so dass<br />
sich neue Fronten für Angriffe bilden.<br />
Es wird wohl niemanden<br />
überraschen, dass es für Handys<br />
bereits kommerzielle Spyware gibt.<br />
In Anbetracht <strong>der</strong> weltweiten massenhaften<br />
Zunahme neuer mobiler Computer-<br />
und Kommunikationstechniken (sowie<br />
immer mehr neuen Technologien zu<br />
ihrer drahtlosen Verknüpfung) sagen wir<br />
voraus, dass Spyware-Entwickler mehr als<br />
genügend Möglichkeiten haben werden,<br />
ihre Programme weiterzuentwickeln.<br />
Kann man mich jetzt ausspionieren?<br />
Innerhalb weniger Jahre hat das Handy unseren<br />
Alltag und im Allgemeinen auch unsere<br />
Ansichten über Kommunikation ungeheuer<br />
verän<strong>der</strong>t. <strong>Die</strong>ses kleine Gerät hat es – wie zuvor<br />
schon Brieftasche und Schlüsselbund – auf<br />
die Checkliste <strong>der</strong> wichtigen Gegenstände<br />
geschafft, von <strong>der</strong>en Vorhandensein wir uns<br />
lieber zweimal überzeugen, bevor wir das<br />
Haus verlassen. Nimmt man noch hinzu, dass<br />
neue Handys immer leistungsfähiger werden<br />
und immer mehr Funktionen enthalten, bildet<br />
<strong>der</strong> stets präsente kleine Helfer einen idealen<br />
Kandidaten für die Ausnutzung durch Spyware.<br />
Es wird wohl niemanden überraschen, dass<br />
es für Handys bereits kommerzielle Spyware<br />
gibt. Einige dieser zugegebenermaßen erst<br />
im Anfangsstadium befindlichen Produkte<br />
leiten Anrufprotokolle an einen Remoteserver<br />
weiter, zeichnen Textnachrichten (SMS) auf<br />
und leiten diese weiter, warten auf Anrufe<br />
o<strong>der</strong> wandeln sogar das Gerät remote in eine<br />
Echtzeit-Abhörmöglichkeit um, ohne dass<br />
<strong>der</strong> Handybenutzer dies weiß o<strong>der</strong> damit<br />
einverstanden ist. Häufig verstecken o<strong>der</strong> tarnen<br />
sich diese Anwendungen nach <strong>der</strong> Installation,<br />
so dass es keine o<strong>der</strong> kaum Anzeichen dafür<br />
gibt, dass sich auf dem Gerät Spyware befindet.<br />
Mit zunehmen<strong>der</strong> Reife werden diese Produkte<br />
ihre Überwachung auch auf eingebaute<br />
Kameras, E-Mail-, GPS-, Bluetooth ® - und<br />
an<strong>der</strong>e Funktionen ausdehnen, die es <strong>der</strong>zeit<br />
auf den Handys gibt. Ein kommerzielles<br />
Exemplar, das einige dieser Funktionen anbietet,<br />
haben wir bereits gefunden: FlexiSpy. 1<br />
Ein großes Problem bei <strong>der</strong> Bluetooth-<br />
Technologie besteht darin, dass viele<br />
Benutzer nicht wissen, wie man sie<br />
sicher nutzt.<br />
Bluetooth erfreut sich immer größerer Beliebtheit.<br />
Es bringt aber auch neue Risiken mit sich.<br />
Bluetooth war ursprünglich als Technologie<br />
gedacht, die Leitungen ersetzen sollte, und<br />
setzte sich nur langsam durch. Nun jedoch ist es<br />
allgegenwärtig und dient als Bindeglied zwischen<br />
vielen Technologien für Verbraucherelektronik<br />
– vor allem aus dem Umfeld von Handys.<br />
Es sind bereits Bedrohungen im Umlauf, die<br />
von Bluetooth Gebrauch machen o<strong>der</strong> sich<br />
über Bluetooth verbreiten. Spyware-spezifische<br />
Anwendungen haben wir bisher noch nicht<br />
gesehen, erwarten dies aber demnächst. Ein<br />
großes Problem bei <strong>der</strong> Bluetooth-Technologie<br />
besteht darin, dass viele Benutzer nicht wissen,<br />
wie man sie sicher nutzt. Infolgedessen werden<br />
viele Bluetooth-Geräte in einem „sichtbaren“<br />
Zustand gelassen, wodurch sich das Risiko<br />
erhöht, dass heutige Methoden ebenso wie<br />
zukünftige Schwachstellen dies ausnutzen.<br />
F-Secure und Secure Network haben eine<br />
Studie durchgeführt, bei <strong>der</strong> sie an öffentlich<br />
zugänglichen Orten nach Bluetooth-<br />
Geräten scannten. 2 Das Ergebnis zeigte<br />
auf, dass es bei den meisten Benutzern von<br />
Bluetooth-Geräten einen alarmierenden<br />
Mangel an Sicherheitsbewusstsein gibt.<br />
Aufgrund <strong>der</strong> Rolle, die es im Gesamtbild aller<br />
Kommunikationstechnologien spielt, steht<br />
Bluetooth bei illegalen Informationssammlern<br />
ganz oben auf <strong>der</strong> Liste. So bietet zum Beispiel<br />
ein Laptop, das sich über ein DFÜ-Netzwerk mit<br />
einem Handy verbindet und auf diese Weise auf<br />
das Internet zugreift, ein attraktives Ziel für PCbasierte<br />
Spionageprogramme, die per Bluetooth<br />
Daten aus dem Handy abrufen. Da Handys<br />
http://www.flexispy.com/products_flexispy_pro.htm<br />
2 http://www.securenetwork.it/bluebag_brochure.pdf<br />
immer leistungsfähiger und multifunktionaler<br />
werden, können Angreifer an<strong>der</strong>erseits auch<br />
die entgegengesetzte Methode verwenden:<br />
Handybasierte Spyware-Anwendungen könnten<br />
die Bluetooth-Verbindungen nahe gelegener<br />
PCs ausnutzen und auf diese Weise Daten<br />
abfangen und per E-Mail o<strong>der</strong> SMS an den<br />
Autor <strong>der</strong> Spyware senden. Schwachstellen im<br />
Adressbuch und in <strong>der</strong> Zugriffsplanung von<br />
Bluetooth-Handys können leicht zu einer Quelle<br />
für gültige E-Mail-Adressen und Telefonnummern<br />
werden, mit denen Spyware-Autoren E-Mail- und<br />
SMS-Spam-Listen erstellen (und anschließend<br />
verkaufen) können. Einige Geräte sind <strong>der</strong>zeit<br />
anfällig für solche Bluesnarfing-Angriffe.<br />
Selbst relativ harmlose Produkt-<br />
ID-Anwendungen könnten als<br />
Plattformen zum Verteilen von<br />
Spyware verwendet werden.<br />
Ein an<strong>der</strong>er Typ von Bedrohung ist „Bluebugging“,<br />
bei <strong>der</strong> ein Handy so manipuliert wird, dass es<br />
selbstständig Telefonnummern wählt (z. B. um<br />
eine teure Servicenummer anzurufen, die zuvor<br />
eingerichtet wurde). Manche Schwachstellen,<br />
wie „Bluejacking“, sind relativ harmlos. Dabei<br />
wird Spam mit einem erfundenen Kontakt an<br />
an<strong>der</strong>e Handybesitzer gesendet, meist um eine<br />
obszöne Nachricht zu übermitteln. An<strong>der</strong>e<br />
Schwachstellen, wie „Bluestabbing“, richten schon<br />
mehr Schaden an. Hierbei nutzt ein Angreifer<br />
ein anfälliges Gerät aus, indem er für seinen<br />
Gerätenamen eine spezielle Zeichenfolge festlegt.<br />
Wenn ein angreifbares Gerät beim Scannen<br />
<strong>der</strong> Umgebung nach an<strong>der</strong>en verfügbaren<br />
Geräten auf den „Stabber“ trifft und dessen<br />
speziell präparierten Namen liest, stürzt es ab.<br />
Funk-Spion: RFID<br />
<strong>Die</strong> RFID-Technologie (Radio Frequency<br />
Identification, Funkfrequenz-ID) wird sich<br />
in den nächsten Jahren massiv ausbreiten.<br />
Als wahrscheinlicher Nachfolger für den<br />
allgegenwärtigen UPC-Barcode bieten<br />
diese winzigen Transceiver die noch nie<br />
da gewesene Möglichkeit, praktisch alles<br />
verfolgen zu können. <strong>Die</strong> passiven Versionen –<br />
die wahrscheinlich am gebräuchlichsten<br />
sein werden – haben eine begrenzte<br />
Reichweite (einige Meter), dafür ist jedoch<br />
ihre Lebensdauer faktisch unbegrenzt.<br />
Wenn diese Tags einen Funkimpuls<br />
„lesen“, strahlen sie ein kurzes Signal mit<br />
Informationen zurück. Für Hersteller und<br />
Verkäufer ist diese Technologie ein Segen.<br />
Damit lassen sich Artikel in <strong>der</strong> Lieferkette<br />
verfolgen und <strong>der</strong> gesamte Bestand eines<br />
Marktes überprüfen. Allerdings kann diese<br />
Technologie auch ausgenutzt werden. Derzeit<br />
werden RFID-Chips gerade in ID-Dokumente<br />
(wie Pässen) integriert. Weitere neue<br />
Einsatzmöglichkeiten sind berührungsfreie<br />
Kreditkarten-/Kundenkartensysteme. Selbst<br />
relativ harmlose Produkt-ID-Anwendungen<br />
könnten als Plattformen zum Verteilen<br />
von Spyware verwendet werden.<br />
Passive Tags werden wahrscheinlich das<br />
Ziel sein – ihre kleinen Abmaße und zu<br />
erwartende große Verbreitung werden ihre<br />
Anziehungskraft noch erhöhen. Aktive<br />
Tags besitzen eine viel größere Reichweite<br />
(100 Meter o<strong>der</strong> mehr), benötigen jedoch eine<br />
eigene Stromversorgung und sind deshalb<br />
weitaus größer und teuer. <strong>Die</strong>se technische<br />
Form von Telepathie mag uns <strong>der</strong> <strong>Zukunft</strong>,<br />
wie wir sie aus Science-Fiction-Romanen<br />
kennen, einen Schritt näher bringen, jedoch<br />
sind die Auswirkungen bezüglich Datenschutz<br />
und -sicherheit noch viel gravieren<strong>der</strong>.<br />
Im Jahr 2003 kündigte die große USamerikanische<br />
Supermarktkette Wal-Mart an,<br />
die RFID-Technologie zur Bestandsverwaltung<br />
in seinen Warenhäusern einzusetzen. 3 „Bis<br />
Ende 2005 rechnet [Wal-Mart] damit, sämtliche<br />
Paletten und Kästen <strong>der</strong> 100 wichtigsten US-<br />
Lieferanten zu überwachen. Bis Ende des<br />
folgenden Jahres möchten wir alle Paletten und<br />
Kästen sämtlicher US-Lieferanten per RFID<br />
nachverfolgen. Anschließend beginnt Wal-<br />
Mart, die Technologie weltweit einzuführen.“<br />
Befürworter des Einsatzes von RFID im<br />
Einzelhandel sagen, dass sich dadurch Geld<br />
und Zeit sparen lässt, da man per RFID stets<br />
über aktuelle Bestandszahlen verfügt und<br />
Regale gefüllt halten kann, während bei den<br />
Zulieferern die teure Überproduktion entfällt.<br />
Verbraucherschutzanwälte jedoch sagen, dass<br />
die Auswirkungen auf den Datenschutz zu<br />
gefährlich sind, als dass man sie ignorieren<br />
könnte. Stellen Sie sich nur einmal eine Welt<br />
vor, in <strong>der</strong> in jedem Artikel, den Sie kaufen, ein<br />
RFID-Tag eingebettet ist. Alles, was Sie kaufen,<br />
kann in einer zentralen Datenbank gespeichert<br />
werden. Firmen aus <strong>der</strong> Werbebranche könnten<br />
Ihre Kaufgewohnheiten ermitteln. Wenn Sie<br />
Kleidungsstücke mit RFID-Tags tragen und an<br />
Scannern vorbeigehen, die an strategischen<br />
Stellen aufgestellt sind, können Sie analysiert<br />
und in eine Kundengruppe eingeordnet werden.<br />
Aus diesem Grund sind die Gesetzgeber vieler<br />
Staaten (darunter die US-Bundesstaaten Utah<br />
und Kalifornien) eifrig darum bemüht, Gesetze<br />
zu verabschieden, die den Einsatz von RFID<br />
verbieten, damit gar nicht erst die Möglichkeit<br />
besteht, dass Konsumenten ausspioniert werden. 4<br />
http://www.rfidjournal.com/article/articleview/6 2/ / /<br />
http://www.wired.com/news/privacy/0, ,62 ,00.html