Internet of Threats, Tipps gegen Malware und Live-Hacking

Digicomp hat nach Zürich zum Hacking Day 2017 geladen. Die Veranstaltung war mit fast 140 Leuten ausgebucht. Es gab 21 Sessions zum Thema Cybersecurity.

Werbung im Web ist ein Sicherheitsproblem

Die Keynote hielt Max Moser, Mitgründer von Modzero. Er sprach über ein in der IT-Security vernachlässigtes Thema: Onlinewerbung. Vor ein paar Jahren hätten Unternehmen ihre Werbung im Web noch auf einfache Art und Weise ausgeliefert. Heute gebe es ein komplexes System mit Ad-Brokern, Ad-Providern, Ad-Netzwerken und Tracking-Diensten. "Es ist ein riesiger Börsenmarkt für Onlinewerbung entstanden", sagte Moser. Das schaffe neue Sicherheitsprobleme.

Heute sei es etwa mühsam zu kontrollieren, wie Websites ihre Inhalte ausliefern. Welche Daten kommen vom Unternehmen, das die Website hostet? Und welche Daten kommen von Drittpersonen? Das sei oft unklar.

Youporn ist sicherer als der Blick

Moser illustrierte das Problem mit Zahlen. Admin.ch beziehe seine Inhalte von 5 Hosts. 4 davon seien eigene, ein externer mache das Tracking. Die Website ubs.com arbeite mit 13 Hosts zusammen, davon seien nur 3 klar der Bank zuweisbar.

Schlimm seien Medien: Auf blick.ch sind 71 von 77 Hoster fremde, auf 20min.ch 56 von 60, auf thesun.co.uk 119 von 121. Sogar Youporn sei mit 26 von 29 fremden Hosts sicherer, sagte Moser. Playboy.com habe 115 Hoster, 113 davon seien extern.

Mehr als bloss graue Theorie

Warum ist das ein Problem? Weil die Inhalte von fremden Hostern fast nicht kontrollierbar sind. Onlinewerbung erlaube es, Inhalte über ein vererbtes Vertrauensverhältnis einem Konsumenten zuzutragen – auch Schadsoftware. Nur vertrauenswürdige Websites zu besuchen, helfe nur beschränkt. Die Websites etablierter Medien seien vertrauenswürdig – und trotzdem ein Sicherheitsrisiko.

Dass die Ausführungen von Moser nicht nur graue Theorie sind, zeigte sich im März des letzten Jahres. Es gab damals eine Malvertising-Attacke auf BBC und die New York Times. Auch Spotify und answers.com verteilten bereits Ransomware.

Tipps für Endnutzer

Moser wies noch auf weitere Probleme hin. Jeder Webbrowser habe Schwachstellen, und Third-Party-Plug-ins wie Flash, Java und PDF-Reader seien Einfallstore für Angreifer. Auch Voice Commands seien heikel. Alexa erkenne zum Beispiel nicht, ob eine Spracheingabe vom Besitzer des Geräts komme oder nicht.

Internetnutzer sollten werbefreie Angebote bevorzugen und auch bereit sein, dafür zu bezahlen, sagte Moser. Er riet zudem, möglichst wenige Browser-Plug-ins zu nutzen. Wer eine App installiere, sollte sich ihre Berechtigungen genau anschauen. Und Adblocker sollten Standard werden, sagte Moser.

So schützt man sich vor Malware

Andreas Wisler, CSMO beim IT-Sicherheitsunternehmen Gosecurity, referierte ebenfalls. Er zeigte zehn Möglicheiten zum Schutz vor Malware auf:

1. Betriebssystem und Software aktuell halten

2. Antivirenprogramm verwenden

3. Firewall einsetzen

4. Regelmässig Back-ups machen

5. Spamfilter nutzen

6. Nicht mit Adminrechten arbeiten

7. Links überprüfen, bevor man drauf klickt

8. Skript- und Ad-Blocker nutzen

9. Sich über aktuelle Bedrohungen informieren

10. Den gesunden Menschenverstand einsetzen

Laut Wisler führen Angreifer täglich durchschnittlich 24 Millionen Attacken durch. Er präsentierte auch Zahlen für die Schweiz. Es gebe jeden Tag rund 516 infizierte Werbebanner, 3519 infizierte Websites, 21’624 Netzwerkattacken und 64 Onlinebanking-Trojaner. 2016 habe es etwa 352’000 neue Schädlinge pro Tag gegeben. Wisler meinte damit Viren, Würmer, Spyware/Adware und trojanische Pferde.

Einen Virus zu schreiben, sei nicht schwierig. "Jeder hier im Saal kann in einem halben Tag einen Virus schreiben, den ein Anti-Virus-Programm nicht erkennt", sagte Wisler. Es gebe dafür Frameworks und Anleitungen im Netz, etwa auf Youtube.

IT-Sicherheit ist Change Management

Sascha Maier, Chief Information Security Officer beim Luxusuhren-Hersteller IWC Schaffhausen, sprach über das grösste Problem in der IT-Sicherheit: Menschen. IT-Security sei auch Change Management. Man müsse mit den Mitarbeitern reden und sie immer wieder auf die Gefahren hinweisen.

Bei IWC läuft intern die Security-Awareness-Kampagne «Top Secure». Es gebe einen Newsletter, und die Infoseite zur Kampagne sei die meistbesuchte im Intranet. IWC führe auch Lunch- und Learn-Veranstaltungen mit den Mitarbeitern durch. Der Hersteller lade dafür auch gerne mal Hacker ein.

Maier gab folgende Tipps mit auf den Weg:

• Wer mit Mitarbeitern über IT-Sicherheit spricht, darf gerne auch einen Link zum Privaten machen. Das wecke Interessse. Denn die Sicherheitsherausforderungen seien zu Hause nämlich oft die gleichen wie im Business.

• Wenn es Mitarbeiteranlässe gibt, ist im Idealfall auch Informationssicherheit in irgendeiner Form ein Thema.

• Es kann hilfreich sein, den Mitarbeitern einfache Security-Guidelines für die Hosentasche auszudrucken.

• Unternehmen sollten Mitarbeiter über Angriffe auf ihre IT informieren. Schweigen sei falsch. Man müsse den Mitarbeitern aufzeigen, wieso IT-Sicherheit wichtig sei.

• Es kann sich für Firmen lohnen, ein Security-Awareness-Team zu gründen. Dieses sollte nicht nur aus ITlern, sondern auch aus Leuten aus dem Business bestehen.

• Gutes Storytelling hilft, IT-Sicherheit zu vermitteln.

• Nicht jede Massnahme funktioniert in jedem Unternehmen. Was passt und was nicht, sei ein Lernprozess. Bei IWC hätten zum Beispiel Poster- und Roll-up-Banners nicht gut funktioniert.

• Bei Messen sei es wichtig, das Standpersonal vor der Veranstaltung auch zum Thema IT-Sicherheit zu briefen.

• Wettbewerbe, Gadgets oder sogar Spielzeugfiguren können helfen, Interesse für IT-Sicherheit zu wecken.

Vielen Unternehmen würde es gut tun, mutiger zu kommunizieren. Sie sollten den angestrebten Wandel aktiv begleiten und sich etwas zutrauen, sagte Maier.

IoT – Internet of Threats

Pascal C. Kocher vom IT-Sicherheitsanbieter Auditron sprach über das Internet of Things, das er Internet of Threats nannte. Das Internet der Dinge sei ein riesiges Sicherheitsproblem. Ein Beispiel dafür sei das Mirai-Botnetz, das Kameras und Router attackierte. Über Telnet und Standard-Passwörter.

Kocher ging von folgender Prämisse aus: Jede Software hat mindestens einen Programmierfehler – und es gibt immer Benutzer, die schadhafte Links anklicken. Die Hersteller von Geräten für das Internet der Dinge würden oft die gleichen Fehler wie vor 15 Jahren machen. Die Authentifizierung von Nutzern und Geräten sei immer noch ein Problem, die Verschlüsselung oft mangelhaft, Updates seien zum Teil unmöglich und Standard-Passwörter nicht änderbar.

Live-Hacking

Yves Kraft von Oneconsult leitete die Session "Switzerland’s next Bug Bounty Hacker". Hier konnten sich die Teilnehmer am Live-Hacking versuchen. Es galt, Schwachstellen auf einer Website zu finden und diese per E-Mail an Kraft zu melden.

Die gefundenen Fehler mussten reproduzierbar sein, und die Nutzung von Laptops und Mobiltelefonen war untersagt. Die Zeit war mit 45 Minuten knapp bemessen. Als Werkzeug stand unter anderem ein virtualisiertes Kali Linux zur Verfügung.

Wie sicher ist die Cloud?

Auch Rinon Belegu, Senior Systems Engineer von UMB, referierte. Der AWS-, Microsoft- und Veeam-Trainer erklärte am Beispiel AWS, was IT-Sicherheit in der Cloud von IT-Sicherheit On-premise unterscheidet. Fazit: Die Cloud ist meistens sicherer als ein privat betriebenes Rechenzentrum.

Die wenigsten In-House-Rechenzentren hätten eine 24/7-Überwachung und Zutrittskontrolle. Wer etwa bei AWS Zugriff auf die Software oder Admin-Rechte habe, dürfe nicht in das Rechenzentrum rein. Die physische Sicherheit sei bei AWS viel höher als bei den meisten privaten Firmen.

Auch die Monitoring-Tools und die Möglichkeiten für die Automatisierung seien in der Cloud mächtiger. Bei AWS sei jeder Konfigurationszugriff verschlüsselt, und jede virtuelle Maschine habe eine eigene Firewall. Amazons Cloud zeige zudem Warnungen an, wenn etwas nicht sicher sei. Mit diesen Funktionen könnten kleinere Rechenzentren meist nicht mithalten, sagte Belegu.