Die Zukunft der Cyber-Kriminalität

1 gtr | April 2007 gtr | April 2007 1
„Spyware“ ist sowohl IT-Sicherheitsgurus als
auch der breiten Öffentlichkeit ein Begriff. Er ist
uns so geläufig geworden, dass es erschreckend
ist, wenn man bedenkt, wie massiv sich
diese neue technologische Bedrohung in den
vergangenen fünf Jahren ausgebreitet hat.
Ursprünglich war es eine primitive und eher
harmlose Methode, mehr Kontextinformationen
zu den Aktivitäten eines Internetsurfers zu
erlangen. Heute jedoch umfasst Spyware eine
Unmenge von Softwaretechnologien, mit
denen sich unerlaubterweise Daten sammeln
lassen – und immer neue Softwareprogramme
kommen täglich hinzu. Für den Endbenutzer
bedeutet das leider, dass diese raschen
Veränderungen viele neue Möglichkeiten für
Missbrauch und Ausnutzung mit sich bringen.
Je mehr wir uns von all diesen neuen mobilen
Geräte und Onlinediensten verbinden und
abhängig machen lassen, desto größer wird
das Risiko, dass unser Sicherheitsbewusstsein
hinter der Realität zurückbleibt. Außerdem
übertreffen neue Spyware-Technologien
oftmals die beste Planung selbst der
sorgfältigsten Ingenieure bei weitem, so dass
sich neue Fronten für Angriffe bilden.
Es wird wohl niemanden
überraschen, dass es für Handys
bereits kommerzielle Spyware gibt.
In Anbetracht der weltweiten massenhaften
Zunahme neuer mobiler Computer-
und Kommunikationstechniken (sowie
immer mehr neuen Technologien zu
ihrer drahtlosen Verknüpfung) sagen wir
voraus, dass Spyware-Entwickler mehr als
genügend Möglichkeiten haben werden,
ihre Programme weiterzuentwickeln.
Kann man mich jetzt ausspionieren?
Innerhalb weniger Jahre hat das Handy unseren
Alltag und im Allgemeinen auch unsere
Ansichten über Kommunikation ungeheuer
verändert. Dieses kleine Gerät hat es – wie zuvor
schon Brieftasche und Schlüsselbund – auf
die Checkliste der wichtigen Gegenstände
geschafft, von deren Vorhandensein wir uns
lieber zweimal überzeugen, bevor wir das
Haus verlassen. Nimmt man noch hinzu, dass
neue Handys immer leistungsfähiger werden
und immer mehr Funktionen enthalten, bildet
der stets präsente kleine Helfer einen idealen
Kandidaten für die Ausnutzung durch Spyware.
Es wird wohl niemanden überraschen, dass
es für Handys bereits kommerzielle Spyware
gibt. Einige dieser zugegebenermaßen erst
im Anfangsstadium befindlichen Produkte
leiten Anrufprotokolle an einen Remoteserver
weiter, zeichnen Textnachrichten (SMS) auf
und leiten diese weiter, warten auf Anrufe
oder wandeln sogar das Gerät remote in eine
Echtzeit-Abhörmöglichkeit um, ohne dass
der Handybenutzer dies weiß oder damit
einverstanden ist. Häufig verstecken oder tarnen
sich diese Anwendungen nach der Installation,
so dass es keine oder kaum Anzeichen dafür
gibt, dass sich auf dem Gerät Spyware befindet.
Mit zunehmender Reife werden diese Produkte
ihre Überwachung auch auf eingebaute
Kameras, E-Mail-, GPS-, Bluetooth ® - und
andere Funktionen ausdehnen, die es derzeit
auf den Handys gibt. Ein kommerzielles
Exemplar, das einige dieser Funktionen anbietet,
haben wir bereits gefunden: FlexiSpy. 1
Ein großes Problem bei der Bluetooth-
Technologie besteht darin, dass viele
Benutzer nicht wissen, wie man sie
sicher nutzt.
Bluetooth erfreut sich immer größerer Beliebtheit.
Es bringt aber auch neue Risiken mit sich.
Bluetooth war ursprünglich als Technologie
gedacht, die Leitungen ersetzen sollte, und
setzte sich nur langsam durch. Nun jedoch ist es
allgegenwärtig und dient als Bindeglied zwischen
vielen Technologien für Verbraucherelektronik
– vor allem aus dem Umfeld von Handys.
Es sind bereits Bedrohungen im Umlauf, die
von Bluetooth Gebrauch machen oder sich
über Bluetooth verbreiten. Spyware-spezifische
Anwendungen haben wir bisher noch nicht
gesehen, erwarten dies aber demnächst. Ein
großes Problem bei der Bluetooth-Technologie
besteht darin, dass viele Benutzer nicht wissen,
wie man sie sicher nutzt. Infolgedessen werden
viele Bluetooth-Geräte in einem „sichtbaren“
Zustand gelassen, wodurch sich das Risiko
erhöht, dass heutige Methoden ebenso wie
zukünftige Schwachstellen dies ausnutzen.
F-Secure und Secure Network haben eine
Studie durchgeführt, bei der sie an öffentlich
zugänglichen Orten nach Bluetooth-
Geräten scannten. 2 Das Ergebnis zeigte
auf, dass es bei den meisten Benutzern von
Bluetooth-Geräten einen alarmierenden
Mangel an Sicherheitsbewusstsein gibt.
Aufgrund der Rolle, die es im Gesamtbild aller
Kommunikationstechnologien spielt, steht
Bluetooth bei illegalen Informationssammlern
ganz oben auf der Liste. So bietet zum Beispiel
ein Laptop, das sich über ein DFÜ-Netzwerk mit
einem Handy verbindet und auf diese Weise auf
das Internet zugreift, ein attraktives Ziel für PCbasierte
Spionageprogramme, die per Bluetooth
Daten aus dem Handy abrufen. Da Handys
http://www.flexispy.com/products_flexispy_pro.htm
2 http://www.securenetwork.it/bluebag_brochure.pdf
immer leistungsfähiger und multifunktionaler
werden, können Angreifer andererseits auch
die entgegengesetzte Methode verwenden:
Handybasierte Spyware-Anwendungen könnten
die Bluetooth-Verbindungen nahe gelegener
PCs ausnutzen und auf diese Weise Daten
abfangen und per E-Mail oder SMS an den
Autor der Spyware senden. Schwachstellen im
Adressbuch und in der Zugriffsplanung von
Bluetooth-Handys können leicht zu einer Quelle
für gültige E-Mail-Adressen und Telefonnummern
werden, mit denen Spyware-Autoren E-Mail- und
SMS-Spam-Listen erstellen (und anschließend
verkaufen) können. Einige Geräte sind derzeit
anfällig für solche Bluesnarfing-Angriffe.
Selbst relativ harmlose Produkt-
ID-Anwendungen könnten als
Plattformen zum Verteilen von
Spyware verwendet werden.
Ein anderer Typ von Bedrohung ist „Bluebugging“,
bei der ein Handy so manipuliert wird, dass es
selbstständig Telefonnummern wählt (z. B. um
eine teure Servicenummer anzurufen, die zuvor
eingerichtet wurde). Manche Schwachstellen,
wie „Bluejacking“, sind relativ harmlos. Dabei
wird Spam mit einem erfundenen Kontakt an
andere Handybesitzer gesendet, meist um eine
obszöne Nachricht zu übermitteln. Andere
Schwachstellen, wie „Bluestabbing“, richten schon
mehr Schaden an. Hierbei nutzt ein Angreifer
ein anfälliges Gerät aus, indem er für seinen
Gerätenamen eine spezielle Zeichenfolge festlegt.
Wenn ein angreifbares Gerät beim Scannen
der Umgebung nach anderen verfügbaren
Geräten auf den „Stabber“ trifft und dessen
speziell präparierten Namen liest, stürzt es ab.
Funk-Spion: RFID
Die RFID-Technologie (Radio Frequency
Identification, Funkfrequenz-ID) wird sich
in den nächsten Jahren massiv ausbreiten.
Als wahrscheinlicher Nachfolger für den
allgegenwärtigen UPC-Barcode bieten
diese winzigen Transceiver die noch nie
da gewesene Möglichkeit, praktisch alles
verfolgen zu können. Die passiven Versionen –
die wahrscheinlich am gebräuchlichsten
sein werden – haben eine begrenzte
Reichweite (einige Meter), dafür ist jedoch
ihre Lebensdauer faktisch unbegrenzt.
Wenn diese Tags einen Funkimpuls
„lesen“, strahlen sie ein kurzes Signal mit
Informationen zurück. Für Hersteller und
Verkäufer ist diese Technologie ein Segen.
Damit lassen sich Artikel in der Lieferkette
verfolgen und der gesamte Bestand eines
Marktes überprüfen. Allerdings kann diese
Technologie auch ausgenutzt werden. Derzeit
werden RFID-Chips gerade in ID-Dokumente
(wie Pässen) integriert. Weitere neue
Einsatzmöglichkeiten sind berührungsfreie
Kreditkarten-/Kundenkartensysteme. Selbst
relativ harmlose Produkt-ID-Anwendungen
könnten als Plattformen zum Verteilen
von Spyware verwendet werden.
Passive Tags werden wahrscheinlich das
Ziel sein – ihre kleinen Abmaße und zu
erwartende große Verbreitung werden ihre
Anziehungskraft noch erhöhen. Aktive
Tags besitzen eine viel größere Reichweite
(100 Meter oder mehr), benötigen jedoch eine
eigene Stromversorgung und sind deshalb
weitaus größer und teuer. Diese technische
Form von Telepathie mag uns der Zukunft,
wie wir sie aus Science-Fiction-Romanen
kennen, einen Schritt näher bringen, jedoch
sind die Auswirkungen bezüglich Datenschutz
und -sicherheit noch viel gravierender.
Im Jahr 2003 kündigte die große USamerikanische
Supermarktkette Wal-Mart an,
die RFID-Technologie zur Bestandsverwaltung
in seinen Warenhäusern einzusetzen. 3 „Bis
Ende 2005 rechnet [Wal-Mart] damit, sämtliche
Paletten und Kästen der 100 wichtigsten US-
Lieferanten zu überwachen. Bis Ende des
folgenden Jahres möchten wir alle Paletten und
Kästen sämtlicher US-Lieferanten per RFID
nachverfolgen. Anschließend beginnt Wal-
Mart, die Technologie weltweit einzuführen.“
Befürworter des Einsatzes von RFID im
Einzelhandel sagen, dass sich dadurch Geld
und Zeit sparen lässt, da man per RFID stets
über aktuelle Bestandszahlen verfügt und
Regale gefüllt halten kann, während bei den
Zulieferern die teure Überproduktion entfällt.
Verbraucherschutzanwälte jedoch sagen, dass
die Auswirkungen auf den Datenschutz zu
gefährlich sind, als dass man sie ignorieren
könnte. Stellen Sie sich nur einmal eine Welt
vor, in der in jedem Artikel, den Sie kaufen, ein
RFID-Tag eingebettet ist. Alles, was Sie kaufen,
kann in einer zentralen Datenbank gespeichert
werden. Firmen aus der Werbebranche könnten
Ihre Kaufgewohnheiten ermitteln. Wenn Sie
Kleidungsstücke mit RFID-Tags tragen und an
Scannern vorbeigehen, die an strategischen
Stellen aufgestellt sind, können Sie analysiert
und in eine Kundengruppe eingeordnet werden.
Aus diesem Grund sind die Gesetzgeber vieler
Staaten (darunter die US-Bundesstaaten Utah
und Kalifornien) eifrig darum bemüht, Gesetze
zu verabschieden, die den Einsatz von RFID
verbieten, damit gar nicht erst die Möglichkeit
besteht, dass Konsumenten ausspioniert werden. 4
http://www.rfidjournal.com/article/articleview/6 2/ / /
http://www.wired.com/news/privacy/0, ,62 ,00.html