Teensy Boards sind ein beliebtes Hilfsmittel für Hacker. Sie werden als Maus oder Tastatur erkannt, imitieren diese Eingabegeräte und platzieren Schadsoftware auf dem jeweiligen Rechner. Kürzlich kam mit dem Teensy++ 2.0 ein neues Produkt dieser Familie auf den Markt.

Der Mikrocontroller wird per USB Kabel an einen gewöhnlichen USB Port angeschlossen. CoSoSys, Hersteller von Sicherheitslösungen für Computerschnittstellen, bietet mit dem Endpoint Protector 4 ein Produkt an, welches Teensy Boards (Teensy 2.0 und Teensy++ 2.0) als eigene Geräteklasse identifiziert. Das erlaubt eine gezielte Steuerung der Verwendung von Teensy Boards, wie aus einem Newsletter von CoSoSys hervorgeht

Die ARD berichtete gestern in den “Tagesthemen” unter dem Titel “Deutsche Spionage-Software für Diktatoren” über die Spionage-Software aus Deutschland. (siehe Blog-Eintrag vom 5. Dezember: Spionage-Software: Installation per gefälschtem iTunes Update)

Das Video zum Beitrag finden Sie hier.

Eine deutsche Firma mit Sitz in München bietet “Einbruch-Software” für Regierungsbehörden an. Die Software kann unter Anderem per gefälschtem iTunes-Update auf die Rechner von verdächtigen Personen geladen werden. So sollen Probleme bei der Überwachung umgangen werden, die beispielsweise durch verschlüsselte Kommunikation über das Internet entstehen. Wie schon beim Staatstrojaner ist auch hier nicht ganz klar, inwiefern solche Methoden gesetzeskonform sind. Die Hersteller der Spionage-Software verweisen darauf, sich an britisches Recht zu halten.

Es wird auch darüber informiert, wie die Software am besten auf dem Rechner eines Verdächtigten platziert wird. Der einfachste Weg führt über die USB-Schnittstellen des Rechners und ist äusserst einfach: Es genügt, einen USB-Stick mit der entsprechenden Software darauf an einem USB-Port anzuschliessen. Auch ohne Anmeldung am entsprechenden Rechner kann die Software darauf platziert werden.

Apple hat mittlerweile auf die Sicherheitslücke bei i Tunes reagiert und ein Update herausgegeben (iTunes Version 10.5.1). Damit soll es nicht mehr möglich sein, gefälschte Updates per “Man in the Middle”-Methoden anzubieten.

Spiegel Online berichtete über dieses Thema.

Lebhafte Diskussionen haben die Verbreitung (USB Port) der Trojaner Duqu und Stuxnet begleitet. Doch die Ratschläge der Experten beziehen sich fast ausschliesslich auf schon bestehende Gefahren. Es bleibt die Frage: Wie kann man sich vorbeugend vor Cyber-Kriminalität schützen?

Um mit den zweifelsohne gezielt vorgehenden Malware Entwicklern Schritt zu halten sind neue Strategien gefragt. Denn bei Duqu und Co. geht es nicht einfach um eine Handvoll gehackter Privatcomputer sondern um Trojaner, die ganze Konzerne und Behörden ruinieren können. Folglich ist es auch nicht ausreichend, nachwirkend die Sicherheitsrichtlinien zu verschärfen, die sich als unzureichend herausgestellt haben. Entsprechende Sicherheitslösungen sind verfügbar. Sie müssen nur am richtigen Ort eingesetzt werden.

SearchSecurity.de hat dem Thema einen Artikel gewidmet, den Sie hier finden.

Mittelstanddirekt berichtet über die sieben grössten Risiken für Unternehmen beim Umgang mit IT. Zuoberst auf der Liste: der USB Stick.

Daten können schnell und in grossen Mengen vom Server auf den Stick gezogen werden. Gehackte Sticks (z.B. Trojaner, Keylogger) richten grosse Schäden an, die nicht nur teuer werden können sondern auch am Image kratzen.

“Schutz bietet ein so genanntes Antileak-Programm: Es kann jeden Zugriff auf den Server blocken bzw. kontrollieren. Die Software kann USB-Ports sperren – ebenso das Ausdrucken bestimmter Excel-Dateien oder das Brennen von Daten auf CDs.” (Quelle: Mittelstanddirekt)

Hier gehts zum Artikel.

Quelle Bild: http://www.gulli.com

Was der US-Geheimdienst letzte Woche veröffentlicht hat, wurde beim deutschen Verfassungsschutz schon vor über einem Jahr festgestellt:
Unternehmen sind zunehmenden Bedrohungen aus dem Cyberspace ausgesetzt.

Anlässlich der Vorstellung des verfassungsschutzberichts 2009 im Juni 2010 teilte der damalige Innenminister Thomas de Maizière die Absicht mit, das Thema Wirtschaftsspionage künftig besonders intensiv zu behandeln. Wie letzte Woche die Amerikaner, vermutete man auch in Deutschland den Ursprung der Gefahren hauptsächlich in Russland und China. Spionage werde in diesen Ländern von Nachrichtendiensten besonders intensiv betrieben.De Maizière forderte besonders die Chefetagen der deutschen Unternehmen zu mehr Sorgfalt beim Datenschutz auf:

„Informationsschutz … muss Chefsache sein für deutsche Wirtschaftsunternehmen.“ – Thomas de Maizière

 

Im Zusammenhang mit dem Trojaner Stuxnet hat der deutsche Verfassungsschutz 2010 auf die besonderen Gefahren von Computer Schnittstellen (insbesondere USB) hingewiesen.

Hier finden Sie den Artikel der “Wirtschafts Woche” vom 22. Juni 2010.
Die Verfassungsschutzberichte der letzten Jahre lesen Sie hier.

Mitte des Jahres berichtetet der Spiegel Online über den Maus Trojaner: http://www.spiegel.de/netzwelt/web/0,1518,772462,00.html

Der Sicherheitsspezialist CoSoSys hat mit Endpoint Protector 4 eine Lösung auf den Markt gebracht mit der die Gefahr der Angriffe via “Teensy Board” abgewehrt werden.

Endpoint Protector steht als virtuelle Appliance hier kostenlos zum Download und Test bereit.

Mit Duqu ist ein Trojaner entdeckt worden, der zum einen ein Spion ist, zum andern via USB Port Zielrechner befällt und während der Laufzeit Code nachladen kann.

Experten von Searchsecurity.de bestätigen zum einen die Code-Verwandtschaft mit Stuxnet und zum anderen den Auftrag: Industriespionage.
Link zur Quelle: Artikel Searchsecurity.de http://www.searchsecurity.de/index.cfm?pid=4597&pk=336201&print=true&printtype=article

Noch pikanter ist die Duqu Warnung vom BSI. Dort wird dem Trojaner eine Staatliche Herkunft zur Industriespionage bestätigt.
Mehr zum Thema: http://staseve.wordpress.com/2011/10/24/bsi-ruft-zu-wachsamkeit-auf-auch-duqu-ist-ein-staatsdiener
Oder beim Nachrichten Sender n-tv: “BSI ruft zu Wachsamkeit auf Auch Duqu ist ein Staatsdiener” http://www.n-tv.de/technik/Auch-Duqu-ist-ein-Staatsdiener-article4600531.html

Er soll noch potenter sein als die bayerische Schnüffelsoftware: Hacker vom Chaos Computer Club haben einen zweiten Staatstrojaner der Firma DigiTask geortet. Die Spähsoftware ermöglicht die weitgehende Überwachung eines Verdächtigen – auch ihr Einsatz könnte illegal sein.

Hamburg – Der Anti-Viren-Software-Hersteller Kaspersky hat nach eigenen Angaben eine weitere Version des Staatstrojaners analysiert – und dabei eine bedenkliche Entdeckung gemacht. Das offenbar von der Firma DigiTask entwickelte Programm kann mehr Programme abhören, als der vom Chaos Computer Club identifizierte Bayern-Trojaner. Auch neuere Betriebssysteme soll der Schädling infizieren können. Der Anwalt von DigiTask sagte SPIEGEL ONLINE, es handele sich offenbar um Software der Firma – wann und an wen der Trojaner geliefert wurde, sagte er nicht.

“Wir kennen diese Version”, sagte Frank Rieger vom Chaos Computer Club (CCC). “Bisher haben wir aber keine konkreten Anhaltspunkte, wo dieser Trojaner womöglich eingesetzt wurde und uns deshalb mit einer Veröffentlichung zurückgehalten.” Weil der entdeckte Trojaner laut CCC unsicher ist und prinzipiell die komplette Überwachung eines Computers ermöglicht, beschäftigt sich der Bundestag am Mittwoch gleich dreimal mit dem Thema.

Der neue Schädling wurde von Unbekannten offenbar mehrfach zwischen Dezember 2010 und Oktober 2011 auf die Plattform virustotal.com hochgeladen. Dort können verdächtige Dateien auf Virenbefall gescannt werden – und Hersteller von Anti-Viren-Software beziehen von dort Informationen über neue Gefahren. Die Firma F-Secure hatte zuerst einen Zusammenhang zwischen den Dateien und dem Staatstrojaner hergestellt.

Auch neuer Trojaner kann Webbrowser überwachen
Die Verbindung macht F-Secure unter anderem am Namen der Installationsdatei fest: “scuinst.exe” – das stehe für “Skype Capture Unit Installer”. So heißt ein Überwachungsprogamm, das in einem Schreiben auftaucht, das wohl aus dem bayerischen Justizministerium stammt. In dem Dokument wird aufgelistet, wie die Kosten für Spähsoftware aufzuteilen sind. Das bayerische Justizministerium bestätigte die Echtheit des Schreibens damals nicht, bezeichnete es aber auch nicht klar als Fälschung.

Außerdem nutzt die von Kaspersky untersuchte Software denselben Code, um die Kommunikation mit dem Steuerungsserver zu verschlüsseln. “Es ist derselbe fest eingebaute Schlüssel wie beim Bayern-Trojaner”, sagte Frank Rieger. In dem Bundesland wurde in den vergangenen drei Jahren 25 Mal ein Trojaner eingesetzt, bundesweit soll es rund hundert Einsätze gegeben haben – laut Behörden wird die Software jeweils entsprechend richterlichen Vorgaben angepasst.

Die Kaspersky-Techniker gehen davon aus, dass es sich um den “großen Bruder” des vom CCC untersuchten Staatstrojaners handelt. Von der CCC-Version, die bei einer laut dem Landgericht Landshut rechtswidrigen Überwachung in Bayern eingesetzt worden sein soll, unterscheidet sich die neue Variante in diesen Punkten:

Der von Kaspersky untersuchte Staatstrojaner kann auch 64-Bit-Versionen von Windows-Systemen befallen. Anders als die vom CCC untersuchte Variante ist der “große Bruder” signiert.
Die neue Version überwacht laut Kaspersky mehr Programme als der vom CCC analysierte Trojaner.

Staatstrojaner zielt auch auf Browser ab
Nach der Analyse von Kaspersky werden insgesamt 15 Programme von dem Trojaner ausgespäht, darunter:

die Browser Opera, Firefox und Internet Explorer;
das Verschlüsselungsprogramme Simppro für Chat-Clients;
die Internettelefonie-Programme X-Lite, Voipbuster, Lowratevoip, Skype, Sipgatexlite;
Chat-Clients für Dienste wie ICQ, MSN, Yahoo Messenger.

Insbesondere die Überwachung von Browser-Aktivitäten könnte den Einsatz dieser Software rechtswidrig machen. Denn im Rahmen der sogenannten Quellen-Telekommnikationsüberwachung (Quellen-TKÜ) dürfen Ermittler nur laufende Telekommunikation belauschen. Wenn jemand zum Beispiel eine E-Mail in ein Browserfenster tippt und der Staatstrojaner diesen Arbeitsvorgang mit etlichen Bildschirmfotos aufzeichnet, ist das wohl illegal: Solange eine E-Mail nicht abgeschickt wurde, hat der Überwachte nicht kommuniziert.

Online-Durchsuchung nur in Ausnahmefällen
In solchen Fällen kann eine Überwachung leicht zu einer Online-Durchsuchung ausarten – und das darf sie laut dem Urteil des Bundesverfassungsgerichts zum sogenannten Computer-Grundrecht nicht. Online-Durchsuchungen dürfen das Bundeskriminalamt und Ermittler in Rheinland-Pfalz und Bayern nur unter hohen Auflagen durchführen.

Laut Bundesverfassungsgericht ist der Einsatz nur zulässig, wenn tatsächliche Anhaltspunkte für eine konkrete Gefahr für Leib, Leben und Freiheit einer Person bestehen – oder für solche “Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt”.

Die nun von Kaspersky analysierte Software deutet daraufhin, dass Staatstrojaner mit Funktionen, die über die Quellen-TKÜ hinausgehen, weiter verbreitet sind als bislang angenommen. Dafür gibt es mehrere mögliche Erklärungen. Die von Kaspersky untersuchte Software wurde von Ermittlern im Rahmen einer Online-Durchsuchung eingesetzt. wurde bei einer Quellen-TKÜ eingesetzt, konnte aber mehr als bei einer solchen Überwachungen zulässig ist – so wie schon der in Bayern eingesetzte Staatstrojaner. war nicht bei deutschen Ermittlern im Einsatz und ist aus bislang unbekannten Beweggründen bei virustotal.com hochgeladen worden. Die Firma DigiTask hat Trojaner-Technik nicht nur an deutsche Bundes- und Landesbehörden geliefert, sondern auch an Österreich, die Schweiz und die Niederlande.

Sollte die untersuchte Software bei einer Quellen-TKÜ eingesetzt worden sein, stellt das die bisherigen Erklärungsversuche des Vorfalls in Bayern in Frage. Bislang haben Landespolitiker und Ermittlungsbehörden erklärt, es gäbe keinen einheitlichen Staatstrojaner. Die Software würde von Fall zu Fall neu bestellt – auf Basis der Vorgaben des Gerichts dazu, was überwacht werden darf.

Können Staatstrojaner standardmäßig mehr als erlaubt?
Wenn nun weitere Staatstrojaner auftauchen, die standardmäßig mehr überwachen als sie dürfen, ist die Einzelfall-Erklärung nicht mehr haltbar. Wie Ermittler und Späh-Lieferanten zusammenarbeiten, ist bisher nicht aufgeklärt. In einer nicht öffentlichen Sitzung des Innenausschusses hieß es nach Informationen von SPIEGEL ONLINE lediglich, dass die Bundesbehörden keinen Einblick in den Quellcode der von ihnen eingesetzten Trojaner hätten. Der bayerische Fall sei nicht eigens erörtert worden.

Der Geheimdienstkoordinator im Kanzleramt, Günter Heiß, sagte vor einer Woche den “Stuttgarter Nachrichten”, die Landeskriminalämter würden “multifunktionale Rohlinge” bei einschlägigen Anbietern einkaufen. Diese Rohlinge hätten weit mehr Fähigkeiten als rechtlich zugelassen. “Jedes Spähprogramm wird dem System angepasst, welches die Behörden penetrieren wollen”, sagte Heiß. “Es gibt also nicht diesen einen Trojaner, der immer zum Einsatz kommt, alles kann und deshalb rechtswidrig ist.”

Eine Anfrage dazu, auf welche Ermittlungsbehörden sich diese Aussagen beziehen, beantwortet das Bundeskanzleramt so: “Den Ausführungen von Herrn Heiß gibt es nichts hinzuzufügen.”

Quelle: Der Spiegel

Wie der Spiegel berichtet hat Stuxnet einen erschreckenden Nachfolger gefunden. Auch Wired.com berichtet über den Nachfolger von Stuxnet.

Er ist kleiner, gemeiner als sein Vorgänger und hat ein bisher unbekanntes Angriffsziel: Sicherheitsforscher haben eine neue Variante des Computerschädlings Stuxnet entdeckt. Bisher habe die Software keinen Schaden angerichtet – allerdings wurden schon potentielle Ziele ausgespäht.

Das ist der Wegbereiter des nächsten Stuxnet-Angriffs – so fassen Forscher des Antivirus-Dienstleisters Symantec ihre Analyse einer neuen Schadsoftware zusammen. Stuxnet war vor einem Jahr als Vorbote einer neuen Form von Computerschädlingen bekannt geworden: Das Programm war mit enormem Aufwand gestaltet worden, um Industrieanlagen zu sabotieren.

Der Stuxnet-Nachfolger Duqu scheint den nächsten derartigen Angriff vorzubereiten. Duqu sucht nach Insider-Informationen zu Steuerungssystemen von Industrieanlagen, berichtet Symantec.

Mysteriöse Quellen
Woher Symantec die Duqu-Dateien erhalten hat, verschweigen die Autoren der Analyse. Am 14. Oktober habe ein Forschungslabor mit “vielen internationalen Verbindungen” Symantec auf den neuen Trojaner hingewiesen und Dateien zur Analyse eingeschickt. Diese Daten sollen von Rechnern in Europa stammen.

Die mysteriöse Forschungsinstitution habe Symantec auch eine eigene, 46-seitige Analyse des Schädlings übermittelt – die Autoren bezeichnen sich als Forscher, die Schadsoftware analysieren. Am 17. Oktober habe eine weitere Organisation aus Europa andere Duqu-Varianten an Symantec gesendet.

Wegbereiter eines neuen Angriffs
Die Symantec-Forscher bezeichnen Duqu auf Basis ihrer Analyse als Wegbereiter eines neuen Angriffs im Stuxnet-Stil. Als Belege für diese These führen die Autoren diese Details auf:

Die Schöpfer von Duqu hatten offenbar Zugriff auf den Quellcode des Schädlings Stuxnet.
Die Software habe keine Funktion zur autonomen Weiterverbreitung gehabt. Sie sei stattdessen sehr zielgerichtet eingesetzt worden – in Rechnersystemen, wo “Hintergrundinformationen” zum Aufbau von Kontrollsystemen in Industrieanlagen zu finden sind.

Den Symantec-Forschern zufolge unterscheidet sich Duqu signifikant von Stuxnet, weil er kein Wurm ist und sich nicht selbst replizieren kann. Man könnte ihn als Aufklärungsdrohne bezeichnen, deren Zweck es ist, möglichst viele Informationen über potentielle Angriffsziele zu sammeln, heißt es.

Stuxnet wurde in Steuerungsrechner iranischer Atomaufbereitungsanlagen eingeschleust und manipulierte offenbar monatelang unentdeckt die Drehzahlen der zur Urananreicherung benutzten Zentrifugen, welche durch die Unregelmäßigkeiten schadhaft wurden, ausfielen und ersetzt werden mussten.

“Was uns erstaunt, ist, dass diese Leute immer noch aktiv sind”, sagt Symantec-Experte O’Murchu gegenüber “Wired”. Wir dachten, sie hätten sich nach all der Publicity um Stuxnet zurückgezogen. Aber das ist offensichtlich nicht der Fall. Sie waren im vergangenen Jahr eindeutig aktiv.” Es liege nahe, dass die Informationen, welche die Autoren mit ihrer Schadsoftware jetzt sammeln, für einen neuen Angriff genutzt werden sollen.

Jpeg-Bilder tarnen die Datenübertragung
Wohl auch, weil er keine Schäden anrichten soll, ist Duqu mit 300 Kilobyte kleiner als Stuxnet. Die Daten, die er abgreift, sendet der Aufklärungsschädling an einen Kommando- und Steuerungs-Server, von dem er auch neue Programmbestandteile nachladen kann. Um seine Datenübertragungen zu tarnen, damit sie von Schutzprogrammen nicht erkannt wird, versendet er seine Datenpakete getarnt als Jpeg-Bilder.

Wer auch immer Duqu kontrollierte, hat laut Symantec auf infizierten Systemen ein weiteres Programm nachgeladen, einen sogenannten Keylogger. Der protokolliere Tastatureingaben, um so Logins und Passworte in Rechnernetzen auszuspähen.

Symantec berichtet, man habe im eigenen Archiv von Kunden eingeschickter Schädlinge eine Duqu-Variante entdeckt, die am 1. September gemeldet wurde. Eine Analyse der Dateien deute darauf hin, dass Duqu schon im Dezember 2010 eingesetzt worden sein könnte.

Die Symantec-Forscher warnen in ihrem Bericht: “Es ist möglich, dass derzeit weitere Angriffe gegen andere Organisationen mit bislang unentdeckten Varianten laufen.”

Quelle: Spiegel.de