Woche 5: Starke Verschlüsselung, schwaches Passwort

Im vergangenen Jahr war mehr als jeder zweite Besucher auf einer Website kein Mensch, sondern ein Bot. Dies geht aus dem jüngsten Incapsula Bot Traffic Report von Imperva hervor.

Im Vergleich zum Vorjahr legte der Bot-Traffic um 3,3 Prozentpunkte zu. Ein Grund, Alarm zu schlagen, ist dies jedoch nicht. Die Zunahme führen die Analysten auf eine verstärkte Aktivität gutartiger Bots zurück. Dabei handelt es sich um Bots,

• die Websites durchforsten, um diese auf mobile Anwendungen zu transportieren.

• die Informationen für Suchmaschinen oder für Marketingzwecke sammeln.

• die die Verfügbarkeit von Websites und Onlinediensten überwachen.

Der aktivste Bot gehörte in die erste Kategorie. Er bereitet Daten für die Mobile-App von Facebook auf.

Der Anteil bösartiger Bots am Web-Traffic blieb gemäss den Analysten in den letzten fünf Jahren relativ konstant. Der Wert pendelte jeweils zwischen 29 und 31 Prozent. Mit 28,9 Prozent erreichten bösartige Bots im vergangenen Jahr einen Tiefstwert.

Bösartige Bots imitieren zum Teil das browserverhalten menschlicher Surfer im Internet. Dazu zählt gemäss dem Bericht etwa auch die Fähigkeit, Cookies zu erfassen oder Javascript zu parsen. Derartige Bots können nur schwer von menschlichen Besuchern unterschieden werden. Dies macht sie besonders interessant für Cyberkriminelle, die DDoS-Attacken lancieren wollen.

Für den Bericht analysierte das Unternehmen nach eigenen Angaben 16,7 Milliarden Besuche auf 100'000 zufällig ausgewählten Domains im Incapsula-Netzwerk. Den vollständigen Bericht publizierte Imperva online.

Router können keine Passwörter für sich behalten

Was macht ein Sicherheitsforscher, wenn der Router morgens hängenbleibt und er einfach keine Lust hat, aus dem Bett zu klettern, weil es da so viel wärmer und angenehmer ist und es ohnehin regnet und kalt ist?

In so einem Fall versucht der gewiefte Experte natürlich, seinen Router über den Webzugriff neu zu starten. Aber was macht er, wenn er sein Passwort vergessen hat? Er hackt sich selbst. Just diesen Fall schildert Simon Kenin, Sicherheitsforscher beim amerikanischen Security-Dienstleister Trustwave, auf dem Unternehmensblog.

Der Aufwand war minimal, wie er feststellte. Er brach den Anmeldeprozess bei seinem Netgear-Router ab, ohne zum Passwort-Recovery-Fenster zu wechseln. Stattdessen leitete ihn die Weboberfläche auf eine neue Seite um, die ihm das Recovery-Token präsentierte. Dieses konnte er anschliessend der Benutzeroberfläche zurückspeisen und erhielt so sein Passwort zurück.

Ermutigt von diesem Erfolg, experimentierte Kenin weiter. So stiess er auf einen Bug, der sich in verschiedenen Modellen des Herstellers versteckt. Dem Webzugang ist es relativ egal, was für ein Token man ihm sendet. Als Antwort wird er bei jeder Anfrage das gesuchte Passwort anzeigen.

Damit ein Fremder diesen Bug ausnützen kann, muss bei dem Router allerdings das Remote-Management-Feature aktiviert sein. Dieses ist bei Netgear-Geräten standardmässig deaktiviert. Somit ist das Potenzial für Cyberkriminelle relativ gering. Dennoch: Gemäss Kenin könnten eine Million Geräte oder mehr betroffen sein.

Deutschland – das Versuchslabor für Ransomware

Malwarebytes hat seinen State of Malware Report 2017 veröffentlicht. Darin publiziert der Sicherheitsanbieter diverse Statistiken zu den jüngsten Entwicklungen im Bereich Cybercrime. Zu den Fokusthemen der aktuellen Ausgabe zählt Ransomware.

Zwischen Januar 2016 und November 2016 nahm die Verbreitung derartiger Erpressersoftware um 267 Prozent zu. Die häufigsten Ransomware-Familien waren 2016 gemäss dem Bericht Teslacrypt, Locky und Cerber.

Die meisten Attacken richteten sich auf Ziele in den USA. Das zweithäufigste Zielland war Deutschland. Die Analysten von Malwarebytes haben dafür auch eine Erklärung: Deutschland soll das Versuchslabor für Cyberkriminelle sein.

Die Autoren von Ransomware würden ihre Produkte demnach zunächst an deutschen Zielen testen. Ist die Malware im grossen Kanton erfolgreich, beginnen die Cyberkriminellen mit der breiten Distribution.

Und ein schwaches Passwort für eine starke Verschlüsselung

Glaubt man den Sicherheitsexperten, ist jede Datei auf jedem Rechner ein potenzielles Ziel für einen Hacker. Antivirenprogramme oder eine starke Firewall sind nicht immer Schutz genug. Einige greifen daher zurück auf Verschlüsselungstools.

So sollen die privaten Informationen sicher bleiben, selbst wenn die Dateien gestohlen werden. Denn wer sich unberechtigt Zugriff verschafft, kann mit den verschlüsselten Daten nichts anfangen. Um sie zu entschlüsseln und zu lesen, benötigt man das korrekte Passwort.

Zu diesen Verschlüsselungstools gehört auch die Linux-Software Cryptkeeper. Diese ist für verschiedene Linux-Distributionen erhältlich. Auch für Debian 9, das sich noch im Entwicklungsstatus befindet. In der Cryptkeeper-Version für Debian 9 steckt jedoch ein Bug, wie The Register berichtet.

Der Bug stellt ein universelles Passwort für alle verschlüsselten Ordner und Dateien ein. Dieses macht es dem Hacker ziemlich leicht. Denn das vollständige Passwort lautet: "p".