Endpoint Protector Appliance: Datenklau verhindern fur Windows und Mac

 

Flame: wie funktioniert das Virus?

Laut Experten der Sicherheitsfirma BitDefender verbreitet sich das Flame-Virus über mobile Speichergeräte wie z.B. USB-Sticks. Sobald an einem infizierten Computer mit Internetverbindung ein Speicherträger angeschlossen wird, kopiert sich die Malware auf das Gerät. Wird der Stick an einem anderen Endpunkt (z.B. einem Rechner mit höchst sensiblen Daten und ohne Internetverbindung) wieder verwendet, zieht sich Flame die Daten und kann sie bei erneuter Verbindung zum Internet an seine Entwickler bzw. den Kommando- und Kontroll-Server übermitteln. Unverdächtige Angestellte werden also unwissentlich für Datentransporte missbraucht und ermöglichen Datendiebstahl aus geschützten und unzugänglichen Umgebungen. Diese Vorgehensweise erinnert an den Drogenschmuggel, wo sogenannte „Drogen-Maultieren“ einsetzt werden um Zölle oder ähnliches zu passieren.

Flame wurde so konfiguriert, dass Word-, PowerPoint- und Excel-Dateien zuerst auf den „Maultier-Datenträger“ kopiert werden. Wenn anschliessend noch genügend Speicherplatz vorhanden ist kommen CAD- und JPEG-Dateien an die Reihe.

 

Zum Artikel auf infoworld.com: http://www.infoworld.com/t/malware/flame-stashes-secrets-in-usb-drives-195455

USB-Ports als Sicherheitslücke?

Ein auf all-about.security.de veröffentlichter Artikel von Detlef Weidenhammer (GAI NetConsult GmbH) beschäftigt sich mit dem Thema Sicherheit an USB-Schnittstellen.

Dank den USB-Geräten sei es in den letzten Jahren immer einfacher geworden immer größere Datenmengen schnell zu verschieben. Und das bei immerzu fallenden Preisen. Risiken für die Sicherheit (Daten schmuggeln, Datendiebstahl etc.) sind da vorprogrammiert. Doch was tun: USB-Geräte im Unternehmen gänzlich verbieten? Strenge Richtlinien definieren?

Detlef Weidenhammer nennt folgende (technische) Alternativen (Quelle: http://www.all-about-security.de/security-artikel/endpoint-sicherheit/dlp-data-loss-prevention/artikel/13758-usb-universal-security-backdoor/?type=98):

  • Physisches Sperren der USB-Ports
  • USB-Ports im BIOS deaktivieren
  • Zugriff auf die USB-Treiber sperren
  • USB-Ports nur ReadOnly zulassen
  • USB-Ports in den Gruppen Policies sperren
  • Autorun unterbinden
  • USB-Geräte generell mit AV-Scannern prüfen
  • Data Leakage Protection Tools einsetzen
  • Verschlüsselungslösungen einsetzen
  • Endpoint-Security Lösungen einsetzen

Hier finden Sie den Originalartikel.

Ex-Mitarbeiter klauen SunPower hochsensible Daten per USB-Stick

SunPower, Hersteller von Solarpaneelen mit Hauptsitz im Silicon Valley, wurden fehlende Sicherheitvorkehrungen bei der Verwendung tragbarer Speichergeräte zum Verhängnis: abtretende Mitarbeiter stahlen dem Unternehmen per USB-Stick sensible und äusserst wertvolle Daten aus dem Intranet. Bei den Dieben handelte es sich um Angestellte, die vor einem Wechsel zum Konkurrenten SolarCity standen und  Unternehmensstrategien, Vertriebsinformationen sowie Markt- und Finanzanalysen vom alten Arbeitsplatz entwendeten. Damit verstiessen Sie gegen von ihnen unterzeichnete Vertragsbestimmungen. SunPower leitete gegen die mutmasslichen Täter rechtliche Schritte ein.

Der Fall wirft die Frage auf, wie sich Unternehmen vor internen Gefahren für die Datensicherheit schützen können. Eine Lösung zur Steuerung und Überwachung der Geräteaktivität an Computerschnittstellen hätte Abhilfe schaffen können.

Justia.com, ein US-Portal für Rechtsfragen und aktuelle Gerichtsprozesse, widmete dem Vorfall einen Artikel:

http://techlaw.justia.com/2012/02/14/sunpower-sues-solarcity-and-ex-employees-over-trade-secrets-alleging-theft-of-ten-of-thousands-of-files/

Lösung für Schnittstellensicherheit verhindert Hackerangriffe durch Teensy Boards

Teensy Boards sind ein beliebtes Hilfsmittel für Hacker. Sie werden als Maus oder Tastatur erkannt, imitieren diese Eingabegeräte und platzieren Schadsoftware auf dem jeweiligen Rechner. Kürzlich kam mit dem Teensy++ 2.0 ein neues Produkt dieser Familie auf den Markt.

Der Mikrocontroller wird per USB Kabel an einen gewöhnlichen USB Port angeschlossen. CoSoSys, Hersteller von Sicherheitslösungen für Computerschnittstellen, bietet mit dem Endpoint Protector 4 ein Produkt an, welches Teensy Boards (Teensy 2.0 und Teensy++ 2.0) als eigene Geräteklasse identifiziert. Das erlaubt eine gezielte Steuerung der Verwendung von Teensy Boards, wie aus einem Newsletter von CoSoSys hervorgeht

USB Sticks in schweizer Firmen werden nur selten vor Missbrauch geschützt

Nur gerade 4 von 10 schweizer Unternehmen haben eine Sicherheitslösung zum Schutz der firmeneigenen USB Sticks im Einsatz. Obwohl das Thema Sicherheit in der Schweiz traditionell einen hohen Stellenwert besitzt bleibt also noch Verbesserungspotenzial. Dies geht aus einer Studie von Kingston und Ponemon Research hervor.

Zum Umgang mit mobilen Speichergeräten in ihren Firmen wurden fast 3000 in der IT Branche tätige Personen aus mehreren europäischen Ländern befragt. Richtlinien, die den Gebrauch von USB Sticks regeln, fehlen häufig. So besteht die Gefahr, dass sensible Daten durch Diebstahl oder Verlust von Datenträgern an Unberechtigte gelangen. Klassenbester bei der Studie war Deutschland mit einem Anteil geschützter Geräte von gut 60%. Doch nicht überall sind Technologien wie die Verschlüsselung von Daten auf mobilen Speichergeräten so weit verbreitet: In Grossbritannien, Frankreich und Polen liegt die Quote bei lediglich 15% bis 27%.

Das schweizer Onlineportal „Inside-IT“ berichtete über das Thema:

http://www.inside-it.ch/articles/27575

USB-Sicherheit? Für australische Zugfahrer ein Fremdwort

Dezember 21st, 2011 by Dutchman (0) Datenverlust,USB-Sicherheit,Viren

www.USB-Sicherheit.com – australische Zugfahrer zählen wohl nicht zu den Lesern dieses Blogs. Anlässliche einer Auktion von in Zügen liegen gebliebenen USB-Sticks hat Software-Hersteller Sophos 50 der Geräte erworben und untersucht. Die Resultate zeigen: sorgfältig sind die einstigen Besitzer mit Ihren Daten nicht gerade umgegangen.

Auf keinem einzigen der Speichergeräte wurde eine Verschlüsselungssoftware verwendet. Auf 2 von 3 Sticks befand sich dagegen Malware, teilweise sogar verschiedene Viren oder Schadsoftware gleichzeitig.

Die auf den USB-Sticks abgelegten Daten waren sowohl privater als auch geschäftlicher Natur. Musik-, Video- und CAD- Dateien waren ebenfalls darunter.

Was fehlt den australischen Passagieren? Der zeitgemässe und durchaus zutreffende Begriff dafür: „Datenhygiene“. (Quelle: Paul Ducklin, Leiter der Abteilung Technology bei Sophos in der Asia-Pazifik Region)

Hier geht es zum Originalartikel von crn.de: http://www.crn.de/hardware/artikel-93472.html

USB Stick rangiert unter Top-7 der IT-Sicherheitslücken

Mittelstanddirekt berichtet über die sieben grössten Risiken für Unternehmen beim Umgang mit IT. Zuoberst auf der Liste: der USB Stick.

Daten können schnell und in grossen Mengen vom Server auf den Stick gezogen werden. Gehackte Sticks (z.B. Trojaner, Keylogger) richten grosse Schäden an, die nicht nur teuer werden können sondern auch am Image kratzen.

„Schutz bietet ein so genanntes Antileak-Programm: Es kann jeden Zugriff auf den Server blocken bzw. kontrollieren. Die Software kann USB-Ports sperren – ebenso das Ausdrucken bestimmter Excel-Dateien oder das Brennen von Daten auf CDs.“ (Quelle: Mittelstanddirekt)

Hier gehts zum Artikel.

Industriespionage kostet jedes Jahr hunderte Milliarden

Quelle: Office of the National Counterintelligence Executive

Eine Studie des Office of the National Counterintelligence Executive (ONCIX) im Auftrag des US Kongresses beschäftigte sich von 2009 bis 2011 mit Industriespionage in den USA. Die Gründe seien vor allem in Russland und China anzusiedeln. Öffentlich bekanntgewordene Hackerangriffe wie die Attacke auf Google im Jahr 2010 stellen wohl nur die Spitze des Eisbergs dar. Allgemein nehmen die Bedrohungen mit der wachsenden Nutzung des Cyberspace stetig zu. Einem Mitarbeiter mit den nötigen Zugangsrechten ist es ein Leichtes, unbemerkt riesige Datenmengen in kürzester Zeit auf CDs, USB Sticks und Co. zu kopieren. Für vergleichbare Handlungen waren früher grosse Mengen Papier nötig. Mangelhafte Sorgfalt der verantwortlichen Manager erleichtern Angriffe von Innen oftmals.

Die Schäden genau zu beziffern ist äusserst heikel. Das Bundesamt für Verfassungsschutz (BfV) geht in seiner Schätzung von Verlusten bis zu 71 Milliarden Dollar und von 30.000 bis 70.000 verlorenen Arbeitsplätzen pro Jahr aus.

In den USA liegt ein Gesetzesentwurf vor, der von Hackerangriffen betroffene Unternehmen zur Bekanntmachung verpflichtet. Ein vergleichbares Gesetz in Deutschland zwingt seit einigen Jahren Firmen bei Datenpannen ab einer bestimmten Schadensgrösse zu ganzseitigen Publikationen in bundesweit erscheinenden Tageszeitungen.

Den Spegel-Artikel „Amerikas Spionageabwehr warnt vor Attacken aus dem Cyberspace“ finden Sie hier: http://www.spiegel.de/netzwelt/web/0,1518,795749,00.html

Unter http://www.ncix.gov/publications/reports/fecie_all/index.html finden Sie den englischen Artikel des Office of the National Counterintelligence Executive zum Thema.

 

Duqu: Staatlicher Angriff auf die Industrie

Mit Duqu ist ein Trojaner entdeckt worden, der zum einen ein Spion ist, zum andern via USB Port Zielrechner befällt und während der Laufzeit Code nachladen kann.

Experten von Searchsecurity.de bestätigen zum einen die Code-Verwandtschaft mit Stuxnet und zum anderen den Auftrag: Industriespionage.
Link zur Quelle: Artikel Searchsecurity.de http://www.searchsecurity.de/index.cfm?pid=4597&pk=336201&print=true&printtype=article

Noch pikanter ist die Duqu Warnung vom BSI. Dort wird dem Trojaner eine Staatliche Herkunft zur Industriespionage bestätigt.
Mehr zum Thema: http://staseve.wordpress.com/2011/10/24/bsi-ruft-zu-wachsamkeit-auf-auch-duqu-ist-ein-staatsdiener
Oder beim Nachrichten Sender n-tv: „BSI ruft zu Wachsamkeit auf Auch Duqu ist ein Staatsdiener“ http://www.n-tv.de/technik/Auch-Duqu-ist-ein-Staatsdiener-article4600531.html

Stuxnet-Virus könnte tausend Uran-Zentrifugen zerstört haben laut Bericht des Spiegels

Neue Erkenntnisse über den hinterhältigen Stuxnet-Wurm: Möglicherweise hat die Schad-Software in der iranischen Anreicherungsanlage Natans größere Schäden angerichtet, als das Regime in Teheran eingestehen will. Bis zu tausend Uran-Zentrifugen hat der Virus womöglich auf dem Gewissen.

Sollten diese Berichte stimmen hat mit dem Stuxnet Wurm eine der bisher größten modernen Cyber-Angriffe sein Ziel erreicht.

Das Institute for Science and International Security (ISIS) ist eine renommierte Organisation. Sie wird von diversen Stiftungen und sogar der Internationalen Atomenergiebehörde IAEA gefördert. Nun sind drei ISIS-Forscher zu einem Schluss gekommen, der dabei helfen könnte, das Rätsel um den geheimnisvollen Stuxnet-Virus zu lösen. Stuxnet, schreiben die Wissenschaftler David Albright, Paul Brannan und Christina Walrond in ihrem Bericht, hat womöglich tausend oder noch mehr iranische Uran-Zentrifugen in der Anreicherungsanlage Natans, gut 300 Kilometer südlich von Teheran, zerstört.

Die Autoren des Forschungsberichts formulieren vorsichtig: „Wenn das Ziel von Stuxnet war, alle Zentrifugen in der Anreicherungsanlage zu zerstören, ist Stuxnet gescheitert. Wenn das Ziel jedoch war, eine begrenzte Anzahl von Zentrifugen zu zerstören und Irans Fortschritte beim Betrieb der Anlage zu hemmen und gleichzeitig die eigene Entdeckung zu erschweren, war die Malware möglicherweise erfolgreich, jedenfalls eine zeitlang.“

Dass Stuxnet in Natans Probleme verursacht hatte, gestand Ende November sogar Irans Präsident Mahmud Ahmadinedschad ein. Bei einer Pressekonferenz erklärte er: „Sie haben es geschafft, Probleme mit einer begrenzten Anzahl unserer Zentrifugen zu verursachen, mit einer Software, die sie in elektronischen Bauteilen installiert hatten“, sagte Ahmadinedschad Reuters zufolge. Stimmt die ISIS-Einschätzung jedoch, waren die Schäden durchaus umfangreich.

Andere Ursachen für die Ausfälle: unwahrscheinlich
Atomkraft und vor allem die Verbreitung von Nuklearwaffen sind das Spezialgebiet des ISIS-Instituts. In ihrem Bericht stützen sich die drei Autoren auf das Gutachten, das die IT-Sicherheitsfachleute von Symantec über Stuxnet angefertigt haben – und auf Daten aus den Beständen der Atomenergieaufsicht IAEA. Die Behörde veröffentlicht regelmäßig Berichte über Kennzahlen in Nuklearanlagen, über eingesetzte Rohmaterialien, installierte, betriebsbereite und tatsächlich arbeitende Zentrifugen.

banner-foto-b.jpg
Dem ISIS-Bericht zufolge wird in der zweiten Hälfte des Jahres 2009 eine ziemliche Delle in der Ausstattung von Natans deutlich: Etwa 1000 Zentrifugen, etwa zehn Prozent aller dort eingesetzten Geräte, wurden in den Monaten vor dem Januar des Jahres 2010 offenbar außer Dienst gestellt. Möglicherweise weil Stuxnet sein diskretes Zerstörungswerk verrichtet hatte. Die Autoren weisen allerdings explizit darauf hin, dass der massenweise Ausfall auch andere Ursachen haben könnte – schadhafte Bauteile oder ganze Lieferungen fehlerhaft zusammengesetzter Zentrifugen zum Beispiel. Doch das erscheine eher unwahrscheinlich, heißt es in dem Bericht. Die Ausfälle verschleierte Iran dadurch, dass parallel massenweise neue Zentrifugen installiert wurden.

Viel zu viel Uranhexafluorid verbraucht

Das komplexe Schadprogramm, so viel ist mittlerweile klar, hatte mindestens eine konkrete Aufgabe: Die Frequenzen, mit denen die Zentrifugen rotieren, zu manipulieren. Normalerweise müssen die Uranschleudern mit möglichst genau 1064 Hertz laufen, doch Stuxnet schraubte die Umdrehungszahl zunächst auf bis zu 1410 Hertz hinauf und anschließend auf bis zu zwei Hertz hinunter. Wieder und wieder, jeweils im Abstand eines knappen Monats.

Die höchsten Frequenzen, notieren die ISIS-Autoren, liegen sehr nahe an der absoluten Belastungsgrenze dieser Zentrifugen. Würden solche Geschwindigkeiten tatsächlich erreicht, würden die Rotoren der Zentrifugen „vermutlich auseinanderfliegen“. Gleichzeitig habe Stuxnet sein zerstörerisches Werk verschleiert: „Jede Angriffssequenz sendet auch Kommandos aus, um die Warn- und Sicherheitskontrollen der Frequenzumrichter abzuschalten, die das Bedienpersonal bei Steigerung oder Reduktion der Geschwindigkeit warnen sollen.“

Möglicherweise war das Ziel auch gar nicht, die Zentrifugen sofort zu zerstören, sondern langsam, über einen längeren Zeitraum hinweg, um die Quelle der ständigen Pannen zu verschleiern. In der 15-minütigen Phase, in der die Geschwindigkeit Richtung 1410 Hertz gesteigert werden sollte, sei dieser zerstörerische Zielwert womöglich gar nicht erreicht worden, so die ISIS-Autoren. Dieses Vorgehen sollte die Zentrifugen womöglich nach und nach beschädigen. Diskret.

Ein weiteres Indiz spricht für eine möglicherweise zweigleisige Wirkungsweise: In der zweiten Jahreshälfte 2010 setzte Iran in Natans wesentlich mehr von dem Grundstoff Uranhexafluorid ein, produzierte im Verhältnis zur Menge dieses Rohmaterials aber weniger niedrig angereichertes Uran. Schlussfolgerung der ISIS-Autoren: „Dies könnte darauf hindeuten, dass Irans Zentrifugen in diesem langen Zeitraum nicht effizient anreicherten.“ Verschwendeten die leiernden Zentrifugen Uranhexafluorid?

Die Tatsache, dass die Entwickler der Schad-Software überhaupt so gezielt auf die Eigenheiten der Hardware eingehen konnten, spreche für detaillierte Vorinformation, so die ISIS-Forscher. Denn zumindest bei der IAEA wisse man gar nicht, welche Frequenzumrichter in Natans eingesetzt werden: „Wenn Stuxnet auf die Anreicherungsanlage zielte, haben seine Autoren Informationen benutzt, die der IAEA nicht vorlagen.“ Ein weiterer deutlicher Hinweis darauf, dass Stuxnet tatsächlich ein Werk westlicher Geheimdienste sein könnte.

Quelle: Spiegel.de