Duqu: Neuer Stuxnet-Virus erschreckt Sicherheitsprofis

Wie der Spiegel berichtet hat Stuxnet einen erschreckenden Nachfolger gefunden. Auch Wired.com berichtet über den Nachfolger von Stuxnet.

Er ist kleiner, gemeiner als sein Vorgänger und hat ein bisher unbekanntes Angriffsziel: Sicherheitsforscher haben eine neue Variante des Computerschädlings Stuxnet entdeckt. Bisher habe die Software keinen Schaden angerichtet – allerdings wurden schon potentielle Ziele ausgespäht.

Das ist der Wegbereiter des nächsten Stuxnet-Angriffs – so fassen Forscher des Antivirus-Dienstleisters Symantec ihre Analyse einer neuen Schadsoftware zusammen. Stuxnet war vor einem Jahr als Vorbote einer neuen Form von Computerschädlingen bekannt geworden: Das Programm war mit enormem Aufwand gestaltet worden, um Industrieanlagen zu sabotieren.

Der Stuxnet-Nachfolger Duqu scheint den nächsten derartigen Angriff vorzubereiten. Duqu sucht nach Insider-Informationen zu Steuerungssystemen von Industrieanlagen, berichtet Symantec.

Mysteriöse Quellen
Woher Symantec die Duqu-Dateien erhalten hat, verschweigen die Autoren der Analyse. Am 14. Oktober habe ein Forschungslabor mit “vielen internationalen Verbindungen” Symantec auf den neuen Trojaner hingewiesen und Dateien zur Analyse eingeschickt. Diese Daten sollen von Rechnern in Europa stammen.

Die mysteriöse Forschungsinstitution habe Symantec auch eine eigene, 46-seitige Analyse des Schädlings übermittelt – die Autoren bezeichnen sich als Forscher, die Schadsoftware analysieren. Am 17. Oktober habe eine weitere Organisation aus Europa andere Duqu-Varianten an Symantec gesendet.

Wegbereiter eines neuen Angriffs
Die Symantec-Forscher bezeichnen Duqu auf Basis ihrer Analyse als Wegbereiter eines neuen Angriffs im Stuxnet-Stil. Als Belege für diese These führen die Autoren diese Details auf:

Die Schöpfer von Duqu hatten offenbar Zugriff auf den Quellcode des Schädlings Stuxnet.
Die Software habe keine Funktion zur autonomen Weiterverbreitung gehabt. Sie sei stattdessen sehr zielgerichtet eingesetzt worden – in Rechnersystemen, wo “Hintergrundinformationen” zum Aufbau von Kontrollsystemen in Industrieanlagen zu finden sind.

Den Symantec-Forschern zufolge unterscheidet sich Duqu signifikant von Stuxnet, weil er kein Wurm ist und sich nicht selbst replizieren kann. Man könnte ihn als Aufklärungsdrohne bezeichnen, deren Zweck es ist, möglichst viele Informationen über potentielle Angriffsziele zu sammeln, heißt es.

Stuxnet wurde in Steuerungsrechner iranischer Atomaufbereitungsanlagen eingeschleust und manipulierte offenbar monatelang unentdeckt die Drehzahlen der zur Urananreicherung benutzten Zentrifugen, welche durch die Unregelmäßigkeiten schadhaft wurden, ausfielen und ersetzt werden mussten.

“Was uns erstaunt, ist, dass diese Leute immer noch aktiv sind”, sagt Symantec-Experte O’Murchu gegenüber “Wired”. Wir dachten, sie hätten sich nach all der Publicity um Stuxnet zurückgezogen. Aber das ist offensichtlich nicht der Fall. Sie waren im vergangenen Jahr eindeutig aktiv.” Es liege nahe, dass die Informationen, welche die Autoren mit ihrer Schadsoftware jetzt sammeln, für einen neuen Angriff genutzt werden sollen.

Jpeg-Bilder tarnen die Datenübertragung
Wohl auch, weil er keine Schäden anrichten soll, ist Duqu mit 300 Kilobyte kleiner als Stuxnet. Die Daten, die er abgreift, sendet der Aufklärungsschädling an einen Kommando- und Steuerungs-Server, von dem er auch neue Programmbestandteile nachladen kann. Um seine Datenübertragungen zu tarnen, damit sie von Schutzprogrammen nicht erkannt wird, versendet er seine Datenpakete getarnt als Jpeg-Bilder.

Wer auch immer Duqu kontrollierte, hat laut Symantec auf infizierten Systemen ein weiteres Programm nachgeladen, einen sogenannten Keylogger. Der protokolliere Tastatureingaben, um so Logins und Passworte in Rechnernetzen auszuspähen.

Symantec berichtet, man habe im eigenen Archiv von Kunden eingeschickter Schädlinge eine Duqu-Variante entdeckt, die am 1. September gemeldet wurde. Eine Analyse der Dateien deute darauf hin, dass Duqu schon im Dezember 2010 eingesetzt worden sein könnte.

Die Symantec-Forscher warnen in ihrem Bericht: “Es ist möglich, dass derzeit weitere Angriffe gegen andere Organisationen mit bislang unentdeckten Varianten laufen.”

Quelle: Spiegel.de

Angriff per Maus

Virulente Emails sind den meisten wohlbekannt aber ein Hacker Angriff per Maus davon haben bislang die wenigsten gehört. Der Spiegel Online beschreibt wie einfach mit einer auf den ersten Blick gewöhnlichen Maus ein Computer Netzwerk angegriffen werden kann…


Hier geht es zur Artikel bei Spiegel Online (Klick)


Quelle: Spiegel Online

Security-Guru kritisiert Arroganz gegenüber Usern

Winfuture.de berichtet, das der renommierte Sicherheits-Experte Bruce Schneier Kritik daran äußert, dass einige seiner Kollegen den normalen Computer-Nutzer als dumm hinstellen. Als Beispiel führt er die Berichterstattung über eine Studie an, laut der Anwender gefundene USB-Sticks und andere Datenträger unbedacht am eigenen Rechner öffnen.

Die Untersuchung hatte gezeigt, dass 60 Prozent aller USB-Sticks, die testweise in Parkhäusern weggeworfen wurden, später an einem Rechner aktiviert waren. Bei CDs mit einem professionell aussehenden Aufdruck wurde die darauf enthaltene Software sogar in 90 Prozent der Fälle installiert.

Daraus schlossen verschiedene Experten, dass die einfachen Nutzer zu dumm sind, das daraus entstehende Sicherheitsrisiko zu erkennen. Schließlich könnten Angreifer gezielt Datenträger mit Malware platzieren, um ihre Schadcodes in die Netzwerke bestimmter Unternehmen einzuschleusen. “Die Menschheit kennt eben kein Gerät, dass die Leute davon abhalten wird, Idioten zu sein”, erklärte beispielsweise Mark Rasch, Leiter der Security-Beratung bei Computer Sciences.

Schneier kritisierte hingegen in seinem Blog schon die Untersuchung an sich. “Natürlich aktivieren die Menschen USB-Sticks und CDs an ihrem Gerät. Das ist, als würde man zu der Erkenntnis kommen: ’75 Prozent der Menschen, die eine liegengelassene Zeitung im Bus finden, lesen diese.’ Was sollen sie denn auch sonst damit tun?”, so Schneier.

Entsprechend geht er auch mit der Äußerung Raschs ins Gericht, die nur stellvertretend für eine recht verbreitete Haltung in der Security-Szene ist. Als Idioten könnte man die Nutzer vielleicht bezeichnen, wenn die versuchen würden, einen gefundenen USB-Stick wie eine Okarina zu spielen oder aus den CDs ein Omelett zu braten. “Aber nicht, weil sie sie in ihren Computer stecken. Dafür sind sie schließlich gemacht”, so Schneier.

Das Problem liege seiner Ansicht nach nicht darin, dass die Nutzer nicht danach unterscheiden würden, dass ein gefundener USB-Stick schlecht und ein entsprechendes Geschenk auf einer Messe gut ist. Schneier macht er die Software-Hersteller verantwortlich, deren Betriebssysteme jedem beliebigen Datenträger automatisch mit Vertrauen gegenübertreten und beispielsweise automatisch enthalten Programme starten, die Malware enthalten können. Der Nutzer sei hier das Opfer, dass nicht noch zusätzlich verhöhnt werden sollte, so Schneier.

Quelle: Winfuture.de

60% von gefunden USB Sticks werden an PCs angeschlossen.

Die US-Regierung hat eine Studie durchgeführt, wonach 60% der absichtlich verloren gegangener USB-Sticks von den Findern mit einem PC verbunden wurden. Die sich auf den USB-Flash Drives befindliche Schadsoftware wurde dann automatisch ausgeführt und der PC infiziert.

Damit ist es Angreifern faktisch möglich danach den infizierten PC bzw. das Netzwerk in dem sich der PC befindet zu missbrauchen oder auszuspionieren.

Einen ausführlichen Artikel gibt es hierzu in Englisch bei Bloomberg.com

Die Sicherheitslücken der Unternehmen – WirtschaftsWoche

Der Bericht der Wirtschafts Woche stellt die Frage “Wann Ihr Unternehmen ein Wikileak hat”
Wie technische Lücken und Mitarbeiter Firmengeheimnisse in Gefahr bringen – und wie Sie sich schützen.

Daniel Domscheit-Berg packt seinen Laptop aus und startet ihn auf dem Tisch eines Cafés am Potsdamer Platz in Berlin. An diesem kalten Herbsttag im Oktober 2009 hat der 32-jährige Sprecher von Wikileaks in Deutschland Brisantes im Gepäck: Ein Informant hatte ihm eine staatsanwaltschaftliche Geheimakte zugespielt, aus der hervorgeht, mit welch unredlichen Methoden der Arzneihersteller Ratiopharm den Umsatz nach oben getrieben hat. Wikileaks bringt das Dokument ins Netz, die WirtschaftsWoche berichtet, und Ratiopharm gerät in Erklärungsnot.

Inzwischen hat Wikileaks angekündigt, weitere Geheimnisse aus der Wirtschaft ins Netz stellen zu wollen. Im Januar sollen zunächst Enthüllungsdokumente einer Großbank folgen, Dokumente anderer Unternehmen seien bereits eingegangen. Und schon gibt es Berichte von weiteren Plattformen, die wie Wikileaks geheime Informationen ins Netz bringen wollen.

Lange wollten es Unternehmen nicht wahrhaben: Die Zeiten, in denen geheime Akten nächtelang kopiert werden mussten, sind vorbei. Mit einem Mausklick lassen sich Firmengeheimnisse auf USB-Sticks kopieren, die in Sekunden in die falschen Hände gelangen können. Das muss nicht nur Manager alarmieren, die gegen Gesetze verstoßen. Ob Mittelständler oder Dax-Konzern: Alle lagern vertrauliche Daten digital. Und trotz Firewalls und Passwörtern kommen Wirtschaftsspione immer wieder an diese Informationen heran.

Auf bis zu 50 Milliarden Euro taxiert eine Studie der Universität Lüneburg das jährliche Gefährdungspotenzial durch Wirtschaftsspionage in Deutschland. Da ist es geradezu fahrlässig, wie manche Betriebe mit ihren Geheimnissen umgehen: Sie lassen Fremde unkontrolliert ins Firmengebäude, Serverräume bleiben unverschlossen, und Praktikanten haben Zugang zum gesamten Computernetzwerk.

Wo aber liegen die größten Sicherheitslücken? Und wie schützen sich Unternehmen dagegen?

Risiko Spionageprogramme

Der größte Datenschatz der Unternehmen liegt auf Servern. Diese Großrechner werden daher mit Firewalls vor Angriffen aus dem Netz geschützt. Doch mithilfe von USB-Sticks beispielsweise können Mittelsmänner Schnüffel-Programme in das Netzwerk einschleusen. Anbringen kann den kleinen Speicherstick jede Putzhilfe.

Auf pure Neugier setzt ein anderer Trick der Cyber-Spione: Sie lassen USB-Sticks mit Trojaner-Software auf einem Firmenparkplatz fallen. Die Hoffnung: Ein Mitarbeiter findet ihn und öffnet den Datenträger auf seinem Firmencomputer. Sobald er den Stick anschließt, wird die Schadsoftware aktiv und verschickt die gewünschten Daten wochenlang häppchenweise über das Internet. „Das fällt in keiner Netzwerk-Statistik auf“, sagt Henrik Becker, IT-Experte bei der Düsseldorfer Unternehmensberatung RölfsPartner.

Ebenfalls via USB-Stick gelangen sogenannte Keylogger auf die Rechner von Managern. Die versteckten Programme zeichnen wie eine kleine Kamera sämtliche Tastaturbefehle auf – einschließlich Nutzernamen und Passwörtern – und übermitteln die Informationen ebenfalls via Internet an den Auftraggeber.

Schutz gegen derlei Angriffe bieten Anti-Leak-Programme, sozusagen der militärische Abschirmdienst der IT-Sicherheitsabteilung. Die Software kann, vom Eindringen Unbefugter in den Rechner bis zur Kopie von Dokumenten, jeden Zugriff blocken oder kontrollieren. Dabei protokolliert der elektronische Türsteher alle Datenbewegungen – und damit jeden möglichen Diebstahl. Dabei kann die Software sogar die Verarbeitung von Daten in Excel gestatten, aber unterbinden, dass die Tabelle ausgedruckt oder auf eine CD gebrannt wird. Sie kann auch USB-Ports sperren, um schädlichen Zugriff über Speichersticks zu verhindern.

Doch längst nicht jeder nutzt die Technik: Laut einer Studie des amerikanischen Marktforschers Forrester Research hat 2010 zwar jedes fünfte große Unternehmen aus den USA, Kanada, Großbritannien und Deutschland Anti-Leak-Software eingeführt. Bei kleinen und mittelständischen Unternehmen aber ist die Rate deutlich geringer: Nur zehn Prozent besitzen derartige Schutzsysteme.

US-Militär verbietet Soldaten Speichermedien zum eigenen Schutz vor weiteren WikiLeaks

Wie der Spiegel berichtet und nach Informationen von Wired wird die Verwendung von USB-Sticks und anderen Wechseldatenträgern jetzt bei US Behörden unter Strafe gestellt.

Diese neuen Richtlinien sind in Wirklichkeit nichts neues. Das unautorisierte kopieren von Daten auf USB-Sticks war schon zuvor nicht erlaubt. Eine Änderung ist es daher nicht, nur die Androhung von Strafen wurde verschärft. Wir sind der Meinung das es mit diese verschärften Strafen nur einen geringen Effekt zeigen wird. Es ist wie im Straßenverkehr, so lange nicht an jeder Straßenecke geblitzt und überwacht wird, ändern Autofahrer Ihr verhalten nicht. Den wahren Schutz vor weiteren Wikileaks liefert nur mehr Überwachung und Absicherung von Schnittstellen an Behörden und Unternehmenscomputern mit Schnittstellensicherheit-Software wie der Endpoint Protector Appliance.

Der Spiegel Berichtet:
Nie wieder so eine Blamage: Das US-Militär hat eine “Cyber Control Order” verhängt. Ihr zufolge kann schon ein US-Soldat, der Informationen auf Datenträgern speichert, vor ein Kriegsgericht gestellt werden – genau das hatte der mutmaßliche WikiLeaks-Informant Bradley Manning getan.

Die US-Streitkräfte wollen mit einer verschärften Order für Soldaten neue Indiskretionen verhindern. Der Blog Danger Room des US-Magazins “Wired” berichtet, schon seit dem 3. Oktober sei die “Cyber Control Order” der US-Airforce in Kraft. Andere Waffengattungen hätten ähnliche Regelungen erlassen. Demnach ist der Gebrauch jeglicher portabler Speichermedien strikt verboten. Zuwiderhandelnde setzen sich dem Risiko eines Kriegsgerichtsverfahrens aus.

Die von WikiLeaks veröffentlichten Dokumente zum Afghanistan-Krieg, zum Irak-Krieg und aus dem US-Diplomatennetz sind mutmaßlich von dem Soldaten Bradley Manning kopiert worden. 2,5 Millionen Soldaten und Regierungsangestellte haben darauf Zugriff – der 23-Jährige brannte die Datensätze laut Ermittlern auf eine Daten-CD, die er mit “Lady Gaga” beschriftete, um sie rudimentär zu tarnen.

Wegen mit Hilfe von USB-Sticks übertragener Viren hatte das Militär früher schon kurzzeitig den Gebrauch solcher Speichermedien verboten. Im Februar 2010 erlaubte es den Gebrauch von CDs, DVDs und USB-Sticks aber wieder, weil es feststellen musste, dass gerade in Afghanistan und im Irak die Datenübertragung sonst kaum zu bewerkstelligen ist. Denn Netzinfrastrukturen fehlen vielerorten.

Schadensabwägungen: Besser erschwertes Arbeiten als erneuter Skandal

Das neue Verbot soll trotzdem strikt eingehalten werden – auch wenn es die tägliche Arbeit erschweren wird. Wörtlich steht laut “Wired” im Befehl der US-Airforce vom 3. Dezember: “Nutzer werden Probleme beim Transport von Daten erfahren, was die zeitgerechte Durchführung operationeller Notwendigkeiten behindern könnte.” Trotzdem setzten sich Zuwiderhandelnde einem Verfahren nach “Artikel 92 des Uniformed Code” der Militärgerichtsbarkeit aus, also einem Kriegsgerichtsverfahren.

Wie mit dem offenkundigen Risiko weiterer Leaks aus dem Datenbestand umgegangen werden sollte, darüber soll seit Sommer beraten worden sein:

* In den vergangenen Monaten stellten die US-Streitkräfte offenbar schon einen großen Teil ihrer IT-Netze, über die man Zugriff auf Geheiminformationen bekommen kann, auf eine Host-Client-Architektur um. Dabei überwacht ein Zentralrechner die angeschlossenen Arbeitsplatzrechner auf ungewöhnliche Vorgänge.
* Seit längerem stellt das Militär sein System außerdem auf USB-Schnittstellen um, die nur noch Speicher annehmen, die identifiziert und zur Nutzung freigegeben sind.

Beide Strukturveränderungen laufen aber noch und sind wohl auch nicht überall durchführbar.

“Wired” gibt an, den Befehl an die Streitkräfte im vollen Wortlaut vorliegen zu haben – nicht aber, woher und auf welchem Wege die Information weitergegeben wurde.

Wikileaks, das Thema der letzten Woche. Vermutlich Größter Datenskandal aller Zeiten

Kaum ein Thema um gestohlene Daten hat jemals für so viel Aufsehen gesorgt wie die Enthüllungen von Wikileaks in der vergangenen Woche.
Während jetzt der Kampf der Regierungen gegen die Enthüllungsplatform mit Entzug von DNS und Verbannung von Amazon Servern in vollem Gange ist, geht es uns mehr um die frage wie die Daten gestohlen wurden.
Es gibt zwar die Vermutung wer die Daten gestohlen hat, aber wie diese gestohlen wurden ist noch nicht bekannt.
Wir werden hierzu bestimmt noch mehr in kürze erfahren und dann in diesem Blog mitteilen.

Wie das Handelsblatt berichtet fürchten jetzt nicht nur Staaten die Enthüllungen von Wikileaks sonder auch Unternehmen.

Auch deutsche Firmen fürchten Wikileaks.

Ohne eigenes Risiko kann jeder, der Zugang zu vertraulicher Information besitzt, diese auf einen USB-Stick laden und vom nächsten Starbucks-Shop auf die Server von Wikileaks senden.

Die Aufregung um die Veröffentlichung der geheimen Dokumente der US-Diplomaten hat sich noch nicht gelegt, da kündigt Wikileaks-Gründer Julian Assange schon den nächsten Schlag an. Anfang nächsten Jahres solle eine amerikanische Großbank zum Ziel werden, sagte er in einem Interview mit dem US-Magazin „Forbes“. „Es geht um zehntausende oder hunderttausende Dokumente, je nach Definition.“ Es handle sich dabei um ein „Megaleak“.

Ging es bisher um die Blamage einer politischen Großmacht, sind jetzt schlagartig auch zahlreiche Unternehmen in Alarmstimmung – und das nicht nur in Amerika.

Die Veröffentlichung geheimer US-Dokumente zeige, wie notwendig ein “radikales Umdenken” sei, warnt bereits der Bundesbeauftragte für Datenschutz, Peter Schaar. “Wir brauchen nicht immer mehr, sondern weniger Daten, und die Daten müssen ordentlich geschützt werden”, sagte er der Neuen Osnabrücker Zeitung. Sonst sei zu befürchten, dass demnächst nicht nur diplomatische Korrespondenz, sondern ärztliche Diagnosen, Strafakten oder andere sensible Informationen ihren Weg in das Internet fänden, warnte Schaar.

Seit heute ist die Offenlegung von vertraulichem Material auch die Horrorvision jedes Firmenchefs. Im Dienstleistungszeitalter steckt in den Datenbanken der Unternehmen so ziemlich alles, was den Wert einer Firma ausmacht: Kundendaten, vertrauliche E-Mails, Vertragsdetails, Preis- und Rabatttabellen und nicht zuletzt Designerstudien und technische Details der Produkte von morgen.

Das Thema Datensicherheit rückt damit ganz nach oben in die Prioritätenliste der Manager. Ein Datenklau, wie ihn die US-Regierung nun erlebt, kann für viele Firmen den Abstieg bedeuten. Die Interna nutzen nicht nur der Konkurrenz, sie wirken auch nach innen wie ein Giftcocktail. Indiskretion zerstört Vertrauen.

Wikileaks-Chef Assange hat es sich ausdrücklich zum Ziel gemacht, „Tippgebern in großen Unternehmen und in der US-Regierung ein geschütztes Forum“ zu bieten, wenn intern strittige Tatsachen vor der Presse vertuscht zu werden drohten. Einen ersten Vorgeschmack gab es bereits im Jahr 2008, als Wikileaks vertrauliche Dokumente der Schweizer Bank Julius Bär veröffentlichte.

Unzufriedene Mitarbeiter haben mit Wikileaks erstmals eine äußerst sichere und öffentlichkeitswirksame Plattform, über die sie auf Missstände in ihrem Unternehmen hinweisen können – aus welchen Motiven auch immer.

Das IT-Unternehmen Wincor-Nixdorf rät allen Firmen, den Ehrgeiz von Wikileaks nicht zu unterschätzen. „Wikileaks hat den selbst gesetzten Anspruch, gegen unethisches Verhalten vorzugehen. Deshalb werden die Compliance-Richtlinien immer wichtiger. Es gilt, diese Richtlinien auch beim Einkauf einzuhalten, um zum Beispiel nicht gegen das Verbot von Kinderarbeit zu verstoßen“, sagte ein Unternehmenssprecher.

Ohne eigenes Risiko kann jeder, der Zugang zu vertraulicher Information besitzt, diese auf einen USB-Stick laden und vom nächsten Starbucks-Shop auf die Server von Wikileaks senden. Dort durchläuft sie mehrere Klärstufen, bis jede Spurensuche unmöglich wird. Selbst wenn das FBI morgen in den Wikileaks-Rechner eindränge, käme es der Quelle nicht näher.

Auch Wikileaks-Mitgründer Assange ist für die US-Ermittlungsbehörden nicht greifbar. Sein Aufenthaltsort ist unbekannt. Reisen in die USA meidet er seit Monaten. Er weiß: Dort droht die sofortige Inhaftierung. Selbst in seinem Heimatland Australien werde es keinen sicheren Hafen mehr geben, sagte Generalstaatsanwalt Robert McClelland in Canberra. Ermittlungen seien bereits eingeleitet worden.

Spektakuläre Virus-Analyse: Stuxnet sollte Irans Uran-Anreicherung stören

Wie bereits seit längerem vermutet bestätigt sich langsam der Verdacht das Stuxnet eine Attacke auf die Iranischen Atomanlagen mit einem wohl durchdachten, gut finanzierten und eindrucksvoll durchgeführte Attacke mit Hilfe von USB Sticks handelt. Bleibt nur noch offen welcher, oder welche Geheimdienste oder andere Interessengruppen dahinter stecken.

Ein Dossier zur Analyse der Stuxnet Attacke gibt es im Detail von Symantec zum Download.

Wired hat einen Umfangreichen Artikel zum Thema veröffentlicht.

Der Spiegel gibt in seinem Artikel ebenfalls weitere Aufschlüsse zum Thema.

Der Stuxnet-Wurm scheint endlich enträtselt. Virenforscher sind jetzt überzeugt: Die mysteriöse Software ist eine Art Undercover-Agent, der die iranischen Uranzentrifugen sabotieren sollte – gezielt, subtil und hinterhältig.

Welches Ziel verfolgt Stuxnet? Über diese Frage rätseln Experten, seit die ungewöhnliche Schadsoftware im Juli entdeckt wurde. Schnell war klar, dass sie Industriesteuerungsanlagen der Firma Siemens angreift. Wie sie das tut und vor allem, was sie dort anrichtet, war allerdings selbst Virenforschern ein Rätsel. Jetzt haben Schadsoftware-Spezialisten die Arbeitsweise des Angreifers analysiert und sind zu dem Schluss gekommen: Stuxnet ist noch viel hinterhältiger als gedacht, soll seine Ziele über Jahre manipulieren, ohne dabei Spuren zu hinterlassen. Der Schädling hatte wohl wirklich iranische Atomanlagen zum Ziel, sollte Irans Atomprogramm unbemerkt langfristig sabotieren.

Befürchtungen, Stuxnet habe dort katastrophale Schäden, den Austritt von radioaktivem Material oder gar eine Kernschmelze auslösen sollen, konnten die Experten des IT-Sicherheitsunternehmens Symantec aber nicht bestätigen. Stattdessen fanden sie heraus, dass Stuxnets Einsatz auf eine lange Verweildauer ausgerichtet war. Er sollte die Anlagen ganz subtil manipulieren, die Prozesse der Uran-Anreicherung kaum spürbar aber wirkungsvoll unterwandern. Das Ergebnis wäre minderwertiges Uran gewesen.

Diskreter Schädling

Dass es so lange gedauert hat, zu diesem Schluss zu kommen, liegt an der Komplexität der Software. Stuxnet, da sind sich alle Beobachter einig, ist eine ausgesprochen ungewöhnliche Software. Die Entwicklungskosten werden auf Millionen Dollar geschätzt, das Programmierer-Team muss groß gewesen sein. Alleine die Kosten für den Erwerb von Wissen um bis dahin unbekannte Windows-Sicherheitslücken dürften siebenstellig gewesen sein. Sie haben es ermöglicht, Stuxnet selbst an aktueller Schutzsoftware vorbei unbemerkt auf Rechner einzuschleusen.

Wie der Wurm das schaffte und was er auf den befallenen Systemen tun sollte, haben Symantecs Forscher jetzt in dem Bericht “W32.Stuxnet Dossier” ( PDF) auf 63 Seiten zusammengefasst. Eine leichte Lektüre ist das nicht, eine spannende schon.

Bei der Sabotage des iranischen Atomprogramms sollte die Schadsoftware ausgesprochen subtil vorgehen. Zwar hat sich Stuxnet laut Symantec auf mehr als 100.000 Systemen eingenistet, aktiv wird er aber nur, wenn er ganz bestimmte Bedingungen vorfindet. Demnach ist er darauf ausgerichtet, bestimmte Siemens-Industriecomputer anzugreifen, die über Steuerungsmodule sogenannte Frequenzumrichter regeln. Symantec zufolge geht die Software dabei nur auf Umrichter los, die entweder vom finnischen Hersteller Vacon oder von der iranischen Fararo Paya stammen. Das mag kein Beweis sein, immerhin jedoch ein Indiz dafür, dass Stuxnets Ziel die iranische Kernbrennstoff-Anreicherungsanlage in Natans ist.

Die richtigen Frequenzen

So explizit ist das Symantecs Bericht zwar nicht zu entnehmen, zwischen den Zeilen aber doch deutlich zu lesen. Denn dort wird darauf hingewiesen, dass Stuxnet nur Frequenzumrichter beeinflusst, die mit Frequenzen zwischen 807 Hz und 1210 Hz arbeiten. Darauf folgt im Bericht der Hinweis, dass der Export von Umrichtern, die Frequenzen oberhalb von 600 Hz unterstützen, aus den USA verboten ist – weil solche Geräte in Urananreicherungsanlagen verwendet werden.

Eben diese Frequenzumrichter sind dringend nötig, um die Drehzahl jener Zentrifugen zu regeln, die für die Anreicherung von Kernbrennstoffen so wichtig sind. Eine konstante Drehzahl ist für den Erfolg des Prozesses essentiell, erklärt Symatec-Forscher Eric Chien im Firmenblog. Deshalb sind die Umrichter so wichtig. Werde die Umdrehungszahl der Zentrifugen verändert, würde die Konzentration der schweren Uran-Isotope unterbrochen. Das Resultat wäre minderwertiges Uran.

Genau an dieser Stelle setzt Stuxnet dem Bericht zufolge an. Über einen Zeitraum von Monaten sollte er die Frequenz der Umrichter wieder und wieder in unterschiedlichen Schritten variieren. In einem Beispiel zeigen die Virenforscher, dass er in einem Beispielsystem die Frequenz zunächst nach 13 Tagen auf 1410 Hz erhöht, um sie 27 Tage später zunächst auf 2 Hz zu senken und gleich danach auf 1064 Hz hochzufahren. In dieser Art geht es über Monate weiter.

Ein großer Erfolg – und dennoch gescheitert

Darüber ob Stuxnet seine Mission schon begonnen hat, herrscht bis heute Unklarheit. Iranische Behörden widersprechen Annahmen, wonach die Software bereits zu Unfällen und Unregelmäßigkeiten im iranischen Atomprogramm geführt habe. Die Entwicklung von Stuxnet lässt sich laut Symantec aber bis mindestens Juni 2009 zurückverfolgen.

Netter Laptop Dieb gibt Daten auf USB Stick zurück, aber nicht den Laptop

Netter Dieb gibt Daten zurück aber nicht den Laptop, auf denen die Daten gespeichert waren. Das ist die kurze Version einer Nachricht aus Schweden, die gerade in Blogs die Runde macht. Ein Professor der Umeå University im Norden Schwedens ging auf die Toilette, ließ seinen Rucksack samt Computer, Kalender und Kreditkarten im Flur stehen und machte damit, wenig überraschend, einem Dieb eine große Freude.

Der fand eine warme Ecke im kalten Herz und stellte erst den Rucksack samt Kalender und Kreditkarten zurück an den Tatort – und schickte kurz darauf dem Professor einen USB-Stick mit einem Backup aller wichtigen Dokumente und persönlichen Dateien nach Hause. Seltsamerweise behielt der Dieb nicht nur den Laptop, sondern auch den Bibliotheksausweis des Professors: “Vielleicht will der Dieb sich ja weiterbilden,” mutmaßt der Professor.

Quelle ist Spiegel Online.de

it-sa Nürnberg 2010: Optimal System-Beratung präsentiert Appliance für Endpunkt-Sicherheit

Neues von der it-sa in Nürnberg.

Die Optimal System-Beratung zeigt vom 19. – 21. Oktober 2010 auf der it-sa 2010 in Nürnberg (Halle 12, Stand 529) die “Endpoint Protector Appliance”: ein pro-aktiver, direkt einsatzbereiter Schnittstellenschutz für PC und Mac, der Unternehmen Endpunkt-Sicherheit bietet. Das Gerät regelt die Verwendung von mobilen Datenträgern (wie USB-Sticks), indem sie diese in die Sicherheitspolitik des Unternehmens einbezieht. So regelt Endpoint Protector den Umgang mit Endgeräten innerhalb weniger Minuten, ohne die Produktivität einzuschränken.

Mehr info zur Endpoint Protector Appliance gibt bei hier.