Cyber-Kriminalität ist heute zur Normalität geworden · 2016-02-09 · Panda Labs gibt in ihrem Phishing-Report für die 2. Hälfte 2008 an, dass im Q3 22.1% der untersuchten PCs

Cyber-Kriminalität ist heute zur Normalität

geworden

Whitepaper: Heutige Situation, Angriffsvarianten und mögliche Schutzmassnahmen

Robert Weiss Consulting "The WEISSBUCH-Company"

Robert Weiss

September 2009

Whitepaper: Cyber-Kriminalität ist heute zur Normalität geworden

September 2009 Robert Weiss Consulting © 2

Es ist heute leider eine Tatsache, dass das Internet zu einem Tummelfeld der Cyber-Mafia geworden ist. Attackiert werden der Browser die Kommunikationsverbindung

und der PC selber. Die Cyber-Mafia bedient sich dabei immer besser getarnten Verfahren, sie führen die Attacken kombiniert mit unterschiedlichen Angriffsverfahren

aus, welche alle bisher bekannten Abwehrmechanismen wie Firewalls, Anit-Virus-, Anti-Spam- oder Anti-Malware-Schutz aber auch die Authentisierungsverfahren

problemlos aushebeln. Die angewendeten Attackenvarianten, meist über automatisch installierte Trojaner

(sogenannte "Drive-by-Attacken") kontrolliert, lassen sich generell in drei Kategorien unterteilen: Man-in-the-Middle (MITM-Attacken, Beeinflussung der Kommunikation), Man-in-the-PC (MITPC- Attacken, Beeinflussung der PC-Funktionen) und Man-in-the-

Browser (MITB- Attacken, Beeinflussung der Browser-Funktionen). Als besonders interessantes Tummelfeld für Angriffe durch die Cybermafia zeigt sich das E-Banking, da hier mit hohen Erlösen gerechnet werden kann. Aber auch Transaktionen im Online-Shopping oder Online-Auktionen gehören zu den attraktiven Angriffszielen. Eine neue Welle von Malware (Malicious Software) ist dabei in der Lage, Transaktionen zu überwachen und "on-the-fly" zu modifizieren. Die Veränderungen von dargestellten Inhalten und browserspezifischen Interface-Elementen öffnen dem Angreifer Tür und Tor für systematische Transaktionsbeeinflussungen und -manipulationen. Umfassende Abwehrmechanismen wie Firewalls, Anit-Virus- oder Anti-Malware-Schutz sind nicht mehr in der Lage, die ständig neuen Attacken effektiv zu bewältigen, welche täglich gegen Millionen von unwissenden Benutzern weltweit gefahren werden. Die Sicherheitsfirma PandaLabs stellte beispielsweise Ende 2007 fest, dass täglich 4'000 neue Abarten von Malware im Internet feststellbar waren und dass diese auch durch die neusten Anti-Tools nicht erkannt werden können, bzw. dass die Anbieter von Sicherheitsprodukten der Aktualisierung ihrer Produkte ständig hinterher rennen. Das permanente Updaten der Anti-Tools (Viren, Malware, Phishig, Spam usw.), der Betriebssysteme, des Browsers und allen installierten Plug-Ins, das ständige Absichern und Schützen von Benutzerdaten, das allfällige Reinstallieren der Clients kostet heute die Unternehmungen weltweit Beträge in zweistelliger Milliarden Höhe. Ganz abgesehen vom Frust der Benutzer von PCs zu Hause oder in der Unternehmung. Als treibende Faktoren für die Angreifer gelten die weltweiten steigenden Erfolge der Hacker-Aktivitäten und der extrem hohe ROI (Return on Investment). Beängstigendes Zustandsbild: Man schweigt lieber darüber Diverse Reports von weltweit tätigen Sicherheitsfirmen wie Websense, Finjan, Aladdin, F-Secure, Panda, Compass Security, Symantec, BitDefender aber auch die Anlaufstelle MELANI (Melde- und Analysestelle Informationssicherung) des Bundes welche die Internet-Aktivitäten ständig überwachen und nach Sicherheitslöchern durchforschen, zeigen ein erschreckendes aktuelles Zustandsbild.



So stellt beispielsweise Websense Security Labs in dem soeben veröffentlichten Halbjahresbericht 2009 (15. September 2009) folgendes fest: - 95 % aller Kommentare in Blogs, Chat-Rooms und auf Message-Boards enthalten Spam oder Malware. - In den ersten sechs Monaten des Jahres kamen 77% der Malware von bekannten Websites, die von Cyberkriminellen kurzzeitig für ihre Zwecke genutzt wurden. Paradebeispiel war die offizielle Seite der Euro08. - Von Januar bis Juni 2009 ist die Zahl der Websites mit Malware um 233% angestiegen, über einen Zeitraum von zwölf Monaten gar um 671%. - Das „dirty“ Web wird immer schmuddeliger: 69% aller bereits bekannten und 78% neuer Websites der Kategorien Pornografie, Glücksspiel und Drogen enthielten mindestens einen Link zu bösartigen Websites. - Bei 37% aller Web-Angriffe ging es um den Diebstahl sensibler Daten wie Passwörter oder Kreditkarteninformationen. - Das Web ist einer der wichtigsten Ausgangspunkte für den Diebstahl persönlicher Daten. 57% aller derartigen Delikte erfolgten über das Web. - 85.6% aller unerwünschten Mails enthielten Spam oder Links zu bösartigen Websites. - Im Juni gab es im Vergleich zum Juni 2008 eine Zunahme bei virenverseuchten E-Mails um 600%.

Rangliste der Länder in denen die meisten Attacken mit Malware feststellbar sind: Woche 39 2009. USA, China, Polen, Russland und GB.

Quelle: Websense



F-Secure registrierte in seinen "Security Threat Summary Q4 2008" im letzten Jahr über 1.5 Millionen Malware-Software, wobei sich die Zahl gegenüber 2007 um einen Faktor drei

erhöht hat. Symantec seinerseits stellt fest, dass 2008 pro Monat 28.7 Millionen neue Schadcode-Varianten entdeckt wurden und dass 60 % aller bereits erfassten Varianten aus dem Jahr 2008 stammen. Die USA (34%), China (28%), Brasilien (17%) und Russland zählten im Juni 2009 zu den Ländern mit den meisten Servern, ab welchen Malware verbreitet wird.

Quelle: Websense

Dass die USA an erster Stelle steht, ist nicht verwunderlich. Der Anteil am Phishing- und MITM-Attacken ist da besonders hoch, da in den USA der Zugang zu Bankinformationen meist nur durch Username und Password geschützt wird und so ein sehr attraktives Angriffsfeld bietet. 2008 spielten sich weltweit 23% der gesamten Malware-Aktivita ̈ten in den USA ab. China folgt mit 9% auf dem zweiten Platz und Deutschland mit 6% auf Platz 3. Brasilien als wichtigster Spam-Verbreiter liegt bei den Aktivitäten mit 4%-Anteil nur auf Rang 5. Die Schweiz liegt auf Platz 28 (1% Anteil), Österreich auf Position 45.



Sobald die Rolle des Internets dank mehr Bandbreite in bestimmten La ̈ndern wa ̈chst, steigt auch deren Anteil bei der Malware-Aktivita ̈t.

Malware-Aktivitäten 2008 aufgeteilt nach Länder.

Quelle: Symantec

Panda Labs gibt in ihrem Phishing-Report für die 2. Hälfte 2008 an, dass im Q3 22.1% der untersuchten PCs mit Malware verseucht waren und im Q4 bereits 35.0%. Von der installierten Malware entfielen dabei 3.1% auf Banking Trojaner und Password Stealers und 2.7% auf Downloaders. Würde man aufgrund dieser Angaben eine Hochrechnung auf die Ende 2008 weltweit installierten PCs (1.2 Milliarden PCs Ende 2008, Quelle: IDC, eTForecasts) anstellen, so müssten rund 37 Millionen Rechner mit Banking Trojanern verseucht sein. Für die Schweiz lässt sich so auf der gleichen Basis ein Wert von 217'000 Systemen ermitteln. Würde man weiter davon ausgehen, dass pro PC ein Betrag von 1'000 Franken von der Cyber-Mafia abgezweigt wird, so läge die Schadensumme bei über 200 Millionen CHF. BitDefender sagt aus, dass von Januar bis Juni 2009 die Phishing-Nachrichten im Umfeld der weltweit verschickten Spam-Mails einen alarmierenden Anteil in der Höhe von 7% erreicht haben. Dies zeigt der aktuelle E-Threat-Report (14. September 2009) für das erste Halbjahr 2009. Dabei spekulieren die Angreifer vor allem auf die Unwissenheit und Naivität unter den Benutzern. Erwartungsgemäss handelte es sich bei den für Phishing empfänglichsten Staaten um die USA, Kanada und Grossbritannien – drei englischsprachige Länder. Zu den bedeutendsten Quellen dieser Art Nachrichten gehört dagegen Russland. Der Grund dafür liegt in den nachlässigen Rechtsvorschriften im Bereich der Cyberkriminalität sowie in der aktuellen Arbeitslosenquote des Landes. BitDefender schätzt weiter, dass monatlich mehr als 55'000 Menschen Opfer von Phishing-Betrügereien werden. Für das erste Halbjahr 2009 ergibt sich dadurch die beeindruckende Gesamtzahl von 330'000 Opfern. Um diese erfolgreich zu täuschen, muss der Phisher die Originalseite so präzise wie möglich kopieren (sogenanntes „Spoofing“, unterschieden wird dabei zwischen Link-, Frame- und Content-Spoofing). Die Top-Liste im ersten Halbjahr 2009 der gefälschten Unternehmensidentität wird von "Bank of America" angeführt, gefolgt von "Paypal".



Symantec meldet im neusten IST-Report (Internet Security Threat Report vom 15.4.09), dass vertrauliche Anwenderdaten wie Finanzinformationen die bevorzugte Beute der Kriminellen bleiben. 2008 zielten 78% der Malware-Aktivitäten in EMEA auf vertrauliche Nutzerdaten ab - ein Anstieg um 4% im Vergleich zu 2007. Auch beim Phishing haben die Cybercrime-Organisationen ihre Aktivitäten weiter intensiviert. Symantec hat weltweit 55'389 Website-Hosts verzeichnet, auf denen im vergangenen Jahr illegale Phishing-Seiten platziert waren. Das ist ein Anstieg von 66% im Vergleich zu 2007. Dabei sind es professionelle Banden welche sich auf die Verbreitung von Schadcode und das Bereitstellen von kriminellen Webseiten spezialisiert haben. "2008 spürte Symantec durchschnittlich 136'000 Schädlinge auf - pro Monat. Damit sind vergangenes Jahr beispielsweise im Januar mehr Varianten entdeckt worden als im gesamten Jahr 2006," so Candid Wüest, Analyst und Virenforscher im Bereich Security Response bei Symantec. "Der Bericht zeigt deutlich, dass persönliche Informationen und Daten besonders stark im Fokus von Cyberkriminellen und Hackern stehen", erläutert der Virenexperte. In 2008 ist die Menge der Schadcodes auf insgesamt mehr als 1.6 Millionen Varianten gewachsen. Das ist eine Steigerung von 265% zum Vorjahr.

Erfasster Schadcode weltweit: Total 2008 1.656 Millionen Schadstoffvarianten

Quelle: Symantec

Was den Sicherheitsleuten aber vor allem Sorgen bereitet, sind nicht die neuen Bedrohungen sondern das vermehrte Verschleiern, Tarnen und Verstecken von bekannten Attackenverfahren wie Trojaner, Backdoors, Rootkits u.a.m., was einerseits das Treffen von Notmassnahmen erschwert und anderseits zeigt, dass die Cyber-Community immer professioneller agiert. Der neuste Meldung von Compass Security vom 23. September 2009 unter dem Titel "Cyberterrorismus: BRD-Infrastruktur (Strom, Internet und Telefonie) leicht angreifbar" lässt ebenfalls aufhorchen und zeigt wo Ursachen der Problematik zu suchen sind: In der Tendenz zur Monokultur. "Es ist nur eine Frage der Zeit, bis Kriminelle die Schwachstellen der BRD-Infrastruktur ausnutzen. Mit entsprechendem Know-how, das sich Terroristen beispielsweise einfach aus dem Internet ziehen könnten, ist es bereits ohne allzu grosse finanzielle Mittel möglich, die



Netze zu manipulieren bzw. lahm zu legen. Alles würde zusammenbrechen" meint Marco Di Filippo, Regional Director Germany bei Compass dazu. Und wie gefährdet ist Deutschland? Die Fakten (diese basieren auf Studien der KoSiB eG, dem Kompetenzzentrum für Sicherheit in Deutschland) lauten wie folgt: - 79% des deutschen Telefonfestnetzes sind in fester Hand eines Anbieters - 81% der Virenangriffe haben mit der Monokultur unserer Clients zu tun - 99% der Anwender unterschätzen Trojaner und Spyware - Fast 100% Abhängigkeit von USA und Monopolisten wie Intel, IBM, Cisco, HP, Microsoft - Selbst der Staat fördert die Ausweitung von Monokulturen, denn schon eine Vielfalt an Betriebssystemen würde die Gefahr eines Dominoeffektes erheblich mindern Die obigen Aussagen gelten mit gewissen Einschränkungen auch für die Schweiz. Und wenn Präsident Obama "stolz" verkündete (29. Mai 2009, Ankündigung des neuen sicheren "White House Office"), dass Cyber-Kriminalität allein die USA in den letzten beiden Jahren 8 Milliarden $ gekostet hat, Millionen von Amerikanern ihrer Identität übers Netz beraubt wurden und dies nur die Spitze des Eisbergs sei, so kann das auch nicht gerade beruhigend wirken. Dazu passen Meldungen wie "130 Millionen Kreditkartendaten in den USA gestohlen" (Compass Security, 21.8.2009) oder der sehr erfolgreiche Angriff auf die "CheckFree Website" (CheckFree ist einer der wichtigsten Online-Bill-Pay Provider mit 24 Millionen Benutzern und beherrscht das US Online-Bill-Paying mit 70 bis 80% Marktanteil), welche die Benutzer zu verseuchten Webseiten in die Ukraine umleiteten. Auch hier wieder eine einfache Rechnung: In den USA, mit 272 Millionen PCs (Ende 2008, Quelle eTForecasts), sind mit Cyberangriffen im letzten Jahr Kosten in der Höhe von 4.5 Milliarden $ entstanden, d.h. pro PC ca. 16$ oder ca. 17 CHF. Mit einer installierten Basis von 7.36 Millionen PCs in der Schweiz (1.1.09, WEISSBUCH 2009) wäre der Schweiz durch Cyberkriminalität mit den gleichen Grundlagen eine Schadenhöhe von knapp 130 Millionen CHF entstanden. Man kann es drehen und wenden wie man will. Die Schadenhöhe in der Schweiz liegt jährlich zwischen 100 und 200 Millionen CHF, mit steigender Tendenz und belastet mit einer sehr hohen Dunkelziffer. Der effektive Schaden dürfte um einen Faktor 2 bis 3 höher liegen. Vor allem Social Networks wie Facebook und Twitter, welche mit hohen Zuwachsraten an Benutzern aufwarten, werden immer beliebter für Cyberattacken, da die Benutzer mit ihren Daten sehr leichtsinnig umgehen. Sie verwenden beispielsweise Informationen zu sogenannten "Second Passwords" (geht das effektive Passwort vergessen, so kann man mit der Beantwortung eine vorher definierten Frage wie "Mädchenname der Mutter", "Name der ersten Strasse in der man gelebt hat, "Name des ersten Haustiers" oder "Geburtsort" usw. ein neues erstes Passwort bekommen) in ihren Profilen oder geben auf gefälschte Anfragen aus dem Social Network auf solche Fragen Auskunft. Ein Cyberkrimineller, der über diese Antworten und den Benutzernamen einer Person verfügt, kann auf einfache Weise ein Passwort abfragen und so auf das Benutzerkonto des jeweiligen Opfers zugreifen, um darüber Spam-Nachrichten zu versenden, Zugang zu Transaktionen zu erhalten oder das Konto anderweitig zu missbrauchen. Für „gekidnappte“ Benutzerkonten wurde sogar schon Lösegeld gefordert.



Diese "Social Engineering Angriffe" nutzen die Hilfsbereitschaft, Gutgläubigkeit oder die Unsicherheit von Personen aus, um an vertrauliche Daten zu gelangen oder die Opfer zu bestimmten Aktionen zu bewegen. Neben allen Angriffsmöglichkeiten ist dies nach wie vor eine der erfolgreichsten. Low-Budget-Cyber-Kriminalität: Jeder kann mitmachen Selbst mit einfachen und billigen Cybertools (Anschaffungspreis: 100$ bis 200$), welche überall frei erhältlich sind, gelingt es heute ohne grosses spezifisches Know-How weltweit Systeme zu attackieren, mit Würmern, Viren und Trojaner zu besetzen, zu manipulieren und auch zu kontrollieren. Man spricht deshalb von der "Low-Budget-Cyber-Kriminalität". Mit dem Einsatz solcher Tools wird ein privater PC leicht zu einem sogenannten Zombie oder Bot-Rechner umgebaut und dieser kann man unter anderem dazu nutzen, Spam-Mails zu verbreiten, Angriffe im Internet zu koordinieren, weitere Zombies zu erschaffen oder als Tarnung für Angriffe zu fungieren. Werden solche Computer schlussendlich im Verbund eingesetzt, so spricht man von „Zombie-Farmen“, „Zombie-Netzen“ oder „Bot-Netzen". Zombie-Netze werden häufig für Denial of Service-Attacken (DoS) benutzt, wobei ein Server solange von möglichst vielen Rechnern angegriffen wird, bis er seinen eigentlichen Bestimmungszweck nicht mehr erfüllen kann (Erfolgslisten solcher DoS sind im Internet unschwer zu finden). Die Cybermafia bietet heute bestens etablierte Bot-Netze zur kurzfristigen Miete oder zum Verkauf an, damit man grosse Spam-Mails verbreiten oder mit einem DoS-Angriff beispielsweise Systeme eines Konkurrenten lahmlegen kann. Schätzungen über die Zahlen aktiver Zombiesysteme gehen konservativ von rund 100 Millionen aus, andere Zahlen belegen das Mehrfache. Auch der Verseuchungsgrad mit Malware liegt zwischen 500 und 700 Millionen PCs weltweit, was ungefähr der Hälfte der im Internet täglich browsender PCs entsprechen dürfte, mit der unbefriedigenden Tendenz im Laufe eines Jahres gegen 80% an zu steigen.

Aktive Bot-Computer Weltweit und EMEA: 2008 wurde in der Region EMEA 4.78 Millionen Bot-

Computer entdeckt. Zunahme 9% gegenüber 2007. Spitzenreiter ist Spanien mit 15% gefolgt von Deutschland und Italien.

Quelle: Symantec



Wie kann man sich schützen? Will sich die Internet-Gemeinde weltweit gegen die Malware-Epidemie erfolgreich wehren, so sind grundlegende Änderungen in den Abwehrtechnologien, in den Client-Anwendungen für Internet-Transaktionen wie auch bei den globalen Abwehrstrategien gefordert. Weltweit sind heute Sicherheitsfirmen dabei, Produkte und Lösungen zu entwickeln um vor allem bei den transaktionsorientierten Anwendungen der Cyber-Kriminalität Stirn bieten zu können. Dabei geht es aber beim browserbasierten Internet-Banking um viel mehr als nur die Sicherheit auf dem Transportweg zu erhöhen, die Verfahren der Authentisierung zu verbessern oder den Client besser zu kontrollieren. Um der Problematik Herr zu werden, ist in der weltweiten Sicherheitsdiskussion ein Paradigmenwechsel notwendig. Im Kampf gegen die Malware-Epidemie wandert der Fokus weg von der defensiven Verbesserung der Authentisierung (alte Sicherheit) hin zu proaktiven Sicherung der gesamten PC-Umgebung (neue Sicherheit). Denn nur dies zwingt Hacker für jeden neuen Angriff auch neu arbeiten zu müssen, denn er kann nicht einfach "Copy/Paste"-Attacken fahren. Bei der Sicherung des Transportweges vollzieht man den Schritt vom SSL- zum TLS-Protokoll um die Sicherheit zu verbessern. Bei der Authentisierung ist man von der Abgabe einer elektronischen Unterschrift wie PIN (Persönliche Identifikationsnummer) übergegangen zu den OTP Token, (One-time Password, Einmalkennwörter), wie: - TAN (fortlaufende Transaktionsnummer, Strichliste) - iTAN (indizierte Transaktionsnummer, Bank gibt Position bekannt) - iTANplus (indizierte Transaktionsnummer mit Kontrollbild, sogenanntes CAPTCHA "Completely Automated Public Turing test to tell Computers and Humans Apart", eine Möglichkeit zu unterscheiden ob das Gegenüber ein Mensch oder eine Maschine ist). Verbesserte Sicherheiten bieten OTPs wie: - SMS-Tan bzw mTAN (mobiles TAN, Einsatz eines 2. Kommunikationskanals, z.B. ZKB) - STP Tokens (Short-time Password, welche nur eine gewisse Zeit gelten) wie: - sm@rt-TAN Generator (z.B.: CS RSA SecurID) - chipTAN (Einsatz einer Chip-Karte) gefolgt von den biometrischen Sensoren und den Challenge Response (z.B: PostFinance oder UBS mit einem PC-unabhängigen Chipkartenleser mit Tastatur und Kleindisplay, 2. Schutz mit Karten-PIN). Diese Verfahren werden zu den Standard Credentials gezählt im Gegensatz zu Verfahren mit Hardware basierenden Login-Verfahren auf dem Client, welche dedizierte Applikationen wie Java Client Applikationen oder Java Applikationen erfordern. In der heutigen Gefahrensituation nützen alle diese Vorkehrungen leider überhaupt nichts, da der Angriff erst nach erfolgter Authentifizierung oder Autorisierung stattfindet. OTP Tokens sind zwar ein Schutz gegen passive Angriffe wie das Mithören oder gegen Replay-Attacken (Kryptoanalytische Angriffsform auf die Authentizität von Daten in einem Kommunikationsprotokoll, wobei der Angreifer zuvor aufgezeichnete Daten sendet, um eine fremde Identität vorzutäuschen). Aber bereits bei MITM-Attacken versagen die meisten dieser Verfahren.



So berichtete beispielsweise Jörg Ziercke, Präsident des Bundeskriminalamtes (BKA) am 12. Juni 2009, dass trotz des Deutschen iTAN-Verfahrens im vergangenen Jahr 1'800 neue Fälle von manipulierten Überweisungen durch den Einsatz von drei Trojanerfamilien in Deutschland festgestellt worden sind. Allerdings muss hier berücksichtigt werden, dass es sich dabei nur um die gemeldeten Fälle handelt. Die Geldinstitute werden sich hüten, ihre Verluste durch solche Angriffe publik zu machen. Die effektive Zahl der gelungenen Angriffe dürfte um ein Mehrfaches höher sein. In der Schweiz wird seitens der Banken über dieses Thema nur sehr ungern berichtet. Geschädigte müssen sich schriftlich verpflichten, nicht über den ihnen entstandenen und von den Banken rückerstatten Schaden öffentlich zu berichten. Dass man sehr ungern über Angriffe im Zahlungsverkehr berichtet, hat auch seine Gründe, denn würde man vom elektronischen Zahlungsverkehr wieder auf das Einsenden von Einzahlungsscheinen per Post zurück kommen, so könnte der Zusammenbruch unserer Geldinstitute unter zusätzlicher Arbeitslast nur sehr schwer verhindert werden. Eine Studie im Auftrag des UVEK (Juli 2008) zeigt, dass die über Swiss Interbank Clearing (SIC, privatrechtliche Gesellschaft im Besitz der Banken und PostFinance) abgewickelten Zahlungen von 56 Millionen Transaktionen im Jahr 1989 auf 317 Millionen Transaktionen im Jahr 2006 zugenommen haben. Dies entspricht einem wertmässigen Umsatz von 44ʼ883 Milliarden CHF (2006) oder 178 Milliarden CHF pro Tag. Gemäss der Schweizerischen Nationalbank wurden 2006 total rund 646 Millionen Überweisungen getätigt. Dagegen stehen 54 Millionen Transaktionen über Direct Debit, 1 Million über Checks und 405 Millionen über Kreditkarten (Total aller Transaktionsarten 2006: 1.125 Milliarden). Mehr als 2 Millionen Kunden in der Schweiz sind heute in der Lage das Online-Banking zu nutzen, sie generieren dabei über 350 Millionen elektronische Transaktionen, wobei rund ein Drittel, d.h. gegen 110 Millionen Transaktionen über das E-Banking am PC getätigt werden. Wie hat sich die Cyber-Kriminalität entwickelt? Der Wunsch auf fremde Rechnersysteme zuzugreifen und diese auszuspionieren ist wahrscheinlich so alt wie die Möglichkeit Computer unter einander zu vernetzen. Am Anfang wurden die Viren mittels Datenträgern von System zu System transportiert. Bekannt war der Virus Michelangelo (Systemzeit 6.3.1992, Löschen von Daten). Dann kamen die Makroviren auf, wie beispielsweise Melissa (März 1999). Aber erst mit dem Internet, bzw. dem browserorientierten Internet wurde es möglich Angriffe weltweit zu fahren. Interessant wurde es für die Cyber-Mafia zu testen wie man Viren und Würmer möglichst schnell und umfassend verbreiten kann. Kaum war die Y2K-Panik überstanden, da begannen die Attacken. So gelang es im Jahr 2000 mit dem "I love you"-Virus (4.5.2000), verborgen in einem Massenmail (Anhang VBS-Datei) , rund 90 % aller weltweiter Unternehmen zu infizieren, wobei Sicherheitslücken im Mailprogramm Outlook gnadenlos ausgenutzt wurden und Schäden in Milliardenhöhe entstanden. Dann kamen die Würmer wie Code Red (19.7.2001), SQL-Slammer (Januar 2003), Blaster und Sobig (August 2003). Alle richteten enorme Schäden an und nutzten Sicherheitslücken bei Microsoftprodukten aus. Die Cyber-Mafia hat dann wohl eingesehen, dass man mit den Würmern zwar hohen Kosten beim Angegriffenen verursachen kann aber selber nicht allzu viel daran verdient, im Gegensatz zu den Anbietern von Anti-Viren-Programmen und Firmen welche die PCs wieder "reinigen" müssen. So begann man mit den Phishing-Attacken und nutzte dabei die Gutgläubigkeit der Benutzer schamlos aus. Weiter wurden die ersten Bot-Netze aufgebaut und mit dem Storm-Wurm wurde die Effektivität von Peer-to-Peer-Netzwerken bestens



demonstriert. Storm steht stellvertretend für die neue Geldmaschine Malware. Die Macher wollen nicht mehr vernichten, sondern nutzen die Computer-Power für andere Zwecke, die deutlich lukrativer sind. Beispiele sind etwa Spam-Aussendungen oder Phishing-Attacken auf Konto- oder Kreditkartendaten, die anschliessend im Netz verkauft werden. Laut IBM verdienen allein die Betreiber von Storm täglich Millionen von Dollars. Heute liegt das Schwergewicht auf der Verbreitung von Trojanern (E-Banking und andere Transaktionen), auf der Installation von Keyloggern (Tastatureingabekontrolle) und auf Drive-by-Downloads, also der Systeminfizierung durch den Besuch einer völlig normalen Webseite ohne dass ein Mausklick notwendig wäre.

Vor allem bei der Beeinflussung von E-Banking-Transaktionen setzt man auf Trojaner. Bis vor kurzem waren es Spam-Mails über welche diese durch das Anklicken eines Anhangs eingeschleust wurden. Heute stellt man fest, dass die Verbreitung der Trojaner über infizierte Webseiten (Drive-by-Downloads) immer populärer wird. So berichtet MELANI, die Melde- und Analysestelle Informationssicherung des Bundes, dass Anfangs 2008 der Trojaner WSNPoem bei uns aktiv wurde, welcher vorgab, dass ein Paket der Firma UPS nicht geliefert werden konnte. Man solle die Rechnung im angehängten Dokument ausdrucken, um das Paket abzuholen. Allerdings handelte es sich bei diesem Dokument im Anhang nicht um die erwartete PDF-Datei, sondern um eine ausfu ̈hrbare exe-Datei. Im Dezember versuchten Cyberkriminelle mit der neuen Trojanerfamilie Gozi alias Infostea-ler.Snifula in der Schweiz Fuss zu fassen. Mit einer Spam-Mail zweideutigen Inhalts wurde versucht, potentielle Opfer auf verschiedene präparierte pornografische Internetseiten zu locken. In den Domänennamen dieser Seiten war dabei meist das Wort «Switzerland» enthalten, was zeigt, dass die Welle speziell auf die Schweiz ausgerichtet war. Auf der Internetseite wurde der Benutzer dann aufgefordert, ein so genanntes Flash Plug-In herunterzuladen und zu installieren, um die visuellen Inhalte auf der Internetseite betrachten zu können. Dahinter versteckte sich der E-Banking-Trojaner. Aktuell ist gerade eine Meldung vom Sicherheitsdienstleister Trusteer (18.9.09): "Ein neuer, gefährlicher Trojaner trickst problemlos auch aktuell gehaltene Antivirus-Software aus. Der Trojaner Zeus, der sich auf das Ausspionieren von Online-Banking-Daten spezialisiert hat, trickst Sicherheitsprogramme in drei Vierteln aller Fälle aus und setzt sich unbemerkt auf dem Computer fest. Genau bei 77% aller beobachteten Computer durchbrach der auf den Namen Zeus getaufte Trojaner sämtliche Sicherheitsbarrieren – und das bei PC, deren Antivirus-Software neu und



deren Viren-Informationen auf dem jeweils aktuellen Stand waren. Insgesamt 10'000 Computer hatten die Sicherheitsspezialisten für ihre Studie unter die Lupe genommen, die sich mit Zeus infiziert hatten. Dass auch die besten erhältlichen Gegenmassnahmen gegen den Schädling nur wenig helfen, ist äusserst besorgniserregend, denn Zeus ist ein brandgefährlicher Schädling." Wo sind die wichtigsten Angriffsstellen? Schadcodes werden vor allem dazu eingesetzt um vertrauliche Informationen auszuspionieren. 80% aller Bedrohungen zielen auf diese Informationen.

Quelle: Symantec

61% der Attacken auf vertrauliche Daten versuchen dabei Mailadressen zu exportieren, 65% lesen Systemdaten heraus, 76% sind Keystroke Logger und übermitteln die Tastatureingaben, 78% exportieren Benutzerdaten und 83% erlauben den Fernzugriff auf das System. Wo sind nun die Angriffsmöglichkeiten um Malware ins System zu schleusen oder aber das System zu beeinflussen? Will man eine Transaktionen übers Internet realisieren, so setzt man normalerweise einen Standardbrowser (Internet Explorer, Firefox, Opera, Safari oder Chrom) auf einem Client (Desktop oder mobiler Client) ein und baut eine Kommunikationsverbindung zu einem Server auf. Es sind also drei unterschiedliche Komponenten im Spiel, der PC (Client), der Browser und die Kommunikationsstrecke. Jede dieser drei Komponenten bietet nun einer Cyberattacke eine Angriffsfläche, welche mit unterschiedlichen Sicherheitsmassnahmen geschützt werden sollte. Leider ist dabei der Anwender oft auf sich selber angewiesen bzw. auch überfordert. Zudem lässt er es nur sehr ungern zu, dass seine Benutzungsfreiheiten durch die zu treffenden Abwehrmassnahmen eingeschränkt werden. Will man verhindern, dass eine Nachricht während des Transports einer Web-Transaktion gelesen oder verändert werden kann, so erhöht man die Transportsicherheit mit dem Einsatz des SSL-Protokolls (Secure Socket Layer) bzw. die standardisierte Weiterentwicklung TLS (Transport Layer Security). Technisch realisiert man eine solche SSL/TLS-Sicherheit mit der



Verwendung einer symmetrischen Verschlüsselung des kompletten Kommunikationskanals. Dabei handeln im Vorfeld der HTTP-Client und der HTTP-Server mit einer wechselseitigen Authentisierung einen gemeinsamen Schlüssel aus. Mit Angriffsmethoden welche zu den Man-in-the-Middle-Attacken (MITM-Angriff) gezählt werden, versuchen Cyber-Kriminelle schon seit einigen Jahren, vielfach sehr erfolgreich, die Kontrolle über die Verbindung zwischen Client und Server zu übernehmen und zu manipulieren. Der nächste Punkt ist der Browser. Und das ist sehr interessant, denn man kann von einem Angriffspotential von gegen 700 Millionen Clients ausgehen. Ein Browser ist prinzipiell so aufgebaut, dass er einerseits statische Webseiten (HTML-Seiten) anzeigen kann, daneben ist er aber auch in der Lage andere Dokumenttypen wie Grafiken, Musik, Video, Radio, Fotos u.a.m. darzustellen. Um diese Dateien anzeigen zu können, verfügt der Browser über nicht sichtbare Funktionen, die oft als Plug-Ins bezeichnet werden. Solche versteckten Programmteile oder Skripte werden als "Aktive Inhalte" bezeichnet. Die bekanntesten sind: Java-Applets, ActiveX-Controls (Konkurrenzprodukt zu Java von Microsoft), JavaScript und VBScript.

Im Jahr 2008 wurden 415 unbekannte Schwachstellen in Browser Plug-ins gefunden.

Quelle: Symantec

Problematisch wird es beim Einsatz dieser Skripts, denn der Benutzer hat keinerlei Kontrolle darüber, wer auf seinen Rechner zugreift und was die aktiven Inhalte eigentlich alles auf dem PC anstellen. Über "Aktive Inhalte" lässt sich sehr einfach Malware auf jedem Client installieren. Hat sich die Malware mal eingeschleust, so ist sie in der Lage, jederzeit eine Man-in-the-Browser-Attacke (MITB-Angriff) zu fahren. Nach Symantec ist die am ha ̈ufigsten angegriffene Schwachstelle die ADODB Stream Object File Installation im Internet Explorer. 30 % aller Web-Attacken zielten auf diese Lu ̈cke ab. Der letzte Punkt bezieht sich auf den Client selber. Hier erfolgen die Angriffe auf der Ebene des Betriebssystems und der unterschiedlichen Hardwarekomponenten. Das Angriffspotential ist hier noch höher und umfasst die ganze weltweit installierte Basis von rund 1.2 Milliarden PCs (Desktop, Notebook und Netbook). Dazu kommen prinzipiell auch noch die Handys mit Internetfunktionen. Installierte Malware führen hier Angriffsvarianten aus, welche den Man-in-the-PC-Attacken (MITPC-Angriff) zugeordnet werden.



Welches sind die wichtigsten Angriffsverfahren? Die Angriffsmöglichkeiten sind sehr vielfältig und erfolgen meist in Kombination unterschiedlichster Verfahren. Dabei geht es um das Vortäuschen eines Kommunikationspartners, um das Erfassen aller Tasten- und Mausbewegungen (Keystroke und Mouse Logging), um das Auslesen oder Verändern der Inhalte des Bildschirms (Screen Capturing, Windows Overlay usw.), des Arbeitsspeichers (Memory Dumping/Patching) und von Benutzerprofilen, um die Beeinflussung der System- und Browser-Resourcen, um die Veränderung und Einschleusung von Programmcodes im Betriebssystem und in der Anwendung oder einfach um die Ausnutzung von Benutzerschwächen (Social Engineering). Fachleute bezeichnen die wichtigsten Angriffsvektoren wie folgt: - Transparent Web-Proxy - DNS Spoofing/Poisoning - Screen Capturing - Window Overlay - Keystroke Logging - Application Steering - Session Hijacking - Runtime Debugging - Dynamic Memory Dumping/Patching - Code Injection/Interception - Static Code Dumping/Patching - System Resources Manipulation - Browser Resources Manipulation Diese Vektoren lassen sich dann den unterschiedlichen Angriffskategorien zuordnen.

Unterscheidbare Angriffskategorien Man-in-the-Middle (MITM) Eine Man-in-the-Middle-Attacke ist eine Angriffsform, die in Netzwerken ihre Anwendung findet. Der Angreifer steht dabei entweder physikalisch oder – heute meist – logisch zwischen den beiden Kommunikationspartnern und hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern, kann die Informationen nach Belieben einsehen und sogar manipulieren. Der Angreifer täuscht den Kommunikationspartnern das jeweilige Gegenüber vor, ohne dass sie es merken. Die Sonderstellung zwischen den Kommunikationspartnern kann vom MITM beispielsweise auf folgende Arten erreicht, ausgenutzt und verändert werden: - Verschleierung der eigenen Identität wie Spoofing und Phishing wie: Content Spoofing Link-Spoofing Frame Spoofing Certificate Spoofing DNS Poisoning/Spoofing



ARP-Spoofing DHCP-Spoofing IP-Spoofing MAC-Spoofing Mail-Spoofing URL-Spoofing Phishing (online und Offline) Pharming (Phishing bei dem ein DNS-Server manipuliert wurde) Weitere Möglichkeiten sind: - IP Routing - Channel Breaking - Social Engineering - User Profile Data Attack



Phishing

- User receives email with URL or clicks on link on blog, social network etc. - User is motivated to connect to a spoofed eBanking web page

Offline Attack (Die Attacke kann irgend wann erfolgen)

- Hacker captures login information - An error page is displayed to the user (eBanking out of service) - Hacker uses login information to login to the real eBanking

Online Attack (Der Hacker ist hier direkt zeitgleich aktiv)

- The traffic between the user and the eBanking is redirected over the proxy of the hacker - The hacker waits until the user logs in to the eBanking - The hacker modifies the data transferred or - The hacker copies the session information to another browser

Quelle: Compass Security AG Trojanerangriffe Angriffsmöglichkeiten mittels Trojaner werden in die beiden Kategorien Man-in-the-PC (MITPC) und Man-in-the-Browser (MITB) aufgeteilt. Moderne Trojaner wurden früher vor allem über Spam verteilt, wobei der Benutzer bewusst eine infizierte Seite ansteuern und eine bestimmt Aktivität ausführen musste oder er öffnete einen infizierten Anhang und erlaubte damit dem Trojaner ins System einzudringen. Heute gelangen moderne Trojaner unbemerkt ins System, sobald der Benutzer eine seriöse Seite ansteuert, welche aber von den Cyberkriminellen für ihre Zwecke gehackt wurde. Bei einem solchen "Drive-by-Downloads"- Angriff reicht es, dass der Benutzer nur schon die Seite öffnet, es ist nicht mal ein Mausklick notwendig und schon ist der Trojaner installiert. Diese Methode wird immer populärer und löst die Verbreitung über Spam langsam ab.



Simple Trojans

- Limited to a handful of eBanking applications - Steal username, password and one time password - Steals session information and URL and sends it to attacker - Attacker imports information into his browser to access the same account

Generic Trojans

- In the wild since 2007, but still in development - Can attack any eBanking (and any web application) - New configuration is downloaded continously

Targeted Trojans

- May attack new security features like SMS Authentication, USB Sticks, SmartCards - Not yet seen in the wild

Quelle: Compass Security AG Wie werden aber die MITB- und MITPC-Attacken ausgeführt? Man-in-the-PC (MITPC) Diese Attacken nutzen Schwachstellen im Betriebssystem und in der Hardwareumgebung aus und beeinflussen Systemfunktionen welche vom Betriebssystem gesteuert werden. Bekannt sind das "Abhören" der Tasteneingaben und der Mauspositionierung, das Herauslesen und Verändern des Arbeitsspeichers, das Übermitteln von Bildschirminhalten oder das Maskieren mit transparenten Vorlagen auf dem Bildschirm. Weiter werden auch die vielfältig vorhandenen Bibliotheken im Betriebssystem sehr gerne verändert, da hier der Benutzer kaum Kenntnisse oder Zugriff hat. Die Angriffsvarianten lassen sich wie folgt aufteilen: - IP Rerouting - Hosts File Manipulation - Interface Manipulation - Keystroke Logging - Mouse Logging - Keystroke and Mouse Event Emulation - Dynamic Memory Dumping - Dynamic Memory Patching - Operating System Certificate Store Attack - Operating System DNS Library Attack - Operating System SSL Library Attack - Screen Capturing - Windows Overlay - Session Hijacking - Social Engineering - User Profile Data Attack



Man-in-the-Browser (MITB) Bei diesen Attacken, die vom befallenen Browser ausgelöst und überwacht werden, modifiziert man Seiten, Transaktionsinhalte werden verändert oder zusätzliche Transaktionen ausgelöst, ohne dass dies der Benutzer und sein gegenüber, meist eine Host-Anwendung, erkennen kann. Damit lassen sich alle Sicherheitsmechanismen wie SSL oder alle üblichen Authentifizierungsverfahren aushebeln. Auch hier verfügt die Cybermafia über ganz unterschiedliche Instrumente um erfolgreich zu sein, wie: - Components Manipulation - Browser Certificate Store Attack - Browser DNS Library Attack - Browser SSL Library Attack - DOM Data Capturing/Patching - Interface Manipulation - Script-based Attack - Debugging - Static Code Dumping - Static Code Patching - Resource Patching - Resource Replacing - Function Intercept - Keystroke Logging - Social Engineering - User Profile Data Attack Abwehrmassnahmen Da die Gefahren schon länger bekannt sind und die Benutzer von E-Banking sich langsam der Malware-Epidemie bewusst werden, haben sich Sicherheitsexperten weltweit an die Entwicklung von brauchbaren Abwehrmassnahmen gemacht. Wurde sehr lange auf die modernen Methoden der Authentifizierung vor allem in Europa vertraut, so zeigen die MITB-Attacken deutlich auf, dass sich diese elegant aushebeln lassen. Ein Lösungsansatz ist in der Transaktionsverifizierung zu sehen, wobei hier ein zweiter unabhängiger Kommunikationskanal wie beispielsweise das Handy eingesetzt wird. Bei Transaktionen die nicht in das normale Schema passen (z.B. erstmalige Zahlung an einen unbekannten Empfänger), wird von der Bank ein SMS auf das Handy des E-Banking Benutzers gesendet, welcher die Transaktion überprüfen und bestätigen muss. U.a. setzt die ZKB diese Methode ein. Vor kurzem wurde in den Medien bekannt, dass es gelungen ist, dieses Verfahren zu umgehen, indem vertrauliche Informationen seitens des involvierten Telefonproviders weiter gegeben wurden. Beim Verfahren von IBM wird ein USB-Token mit einem kleinen Display eingesetzt. Sowohl die Authentifizierung, wie auch die Verifizierung werden ausserhalb des Browsers abgewickelt. Dabei muss der Benutzer jede Transaktion in Realtime auf dem kleinen Display überprüfen und per Knopfdruck am Token bestätigen. Als ein Nachteil dieses Produktes erweist sich die Tatsache, dass keine remotemässige Update-Möglichkeit vorliegt. Beide Produkte erhöhen die theoretische Sicherheit sehr stark. Eine „theoretische Sicherheit“ ist aber wenig wert, wenn der Benutzer zur Sicherstellung dieser "Sicherheit" Angaben



zusätzlich überprüfen, verifizieren oder bestätigen muss. Er wird es einfach nicht tun. Dies zeigen Usabilitytests leider sehr deutlich auf. Andere Ansätze basieren auf dem sogenannten gehärteten Browser, ein Zusatzbrowser, welcher unabhängig vom PC-Browser betrieben wird und welcher das automatische Installieren von Zusatzmodulen, wie beispielsweise ein Trojaner, verhindert. Dieses Verfahren wird beispielsweise von der Migros Bank eingesetzt. Der Schwachpunkt liegt aber darin, dass dabei nicht ein spezieller Browser auf dem Stick zum Einsatz kommt, sondern eine Variante von Firefox und da sind doch einige Lücken bekannt. Was etwas erstaunt ist die Tatsache, dass für diese Lösung, produziert von Kobil Systems GmbH, noch nie ein Testzertifikat präsentiert wurde. Die hier aufgezeigten Massnahmen verhindern vor allem Attackenvarianten der Kategorien MITM und MITB aber gegen die Angriffe der Kategorie Man-in-the-PC nützen sie nur sehr bedingt. MITPC-Angriffe installieren Logger, welche jeden Tastendruck oder Mausklick weiterleiten, welche alle Bildschirminhalte an den "Auftraggeber" zurücksenden oder den Arbeitsspeicher auslesen und verändern können. Mit diesen Angriffsvarianten sitzt dem PC-Benutzer immer ein Kumpel auf der Schulter, welcher alles genau beobachtet und vertraulichste Informationen wie Kontostände, Bankguthaben usw. weiterleitet. Aber wer will denn das schon. Um auch hier der Cyberkriminalität einen Riegel vorschieben zu können, ist es notwendig auch die wichtigsten und sensiblen PC-Vorgänge auf einen externen und bestens geschützten Datenträger zu bringen. In Kombination mit einem wirklich gehärteten und nicht angreifbaren Browser entsteht so ein Sicherheitssystem, welches sicheres E-Banking ermöglicht. Die CLX.Sentinel-Lösung von Crealogix ist nun in der Lage, diese Forderungen vollauf zu erfüllen, unterstützt das neue Sicherheits-Paradigma, verlangt vom Benutzer keine zusätzlichen Eingaben, Kontrollen oder Installationen, kann jederzeit auf den neusten Stand gebracht werden und hat die strengsten Sicherheitsprüfungen durch Compass Security problemlos überstanden. Damit ist es möglich geworden, die heute gefahrenen Attacken gegen das E-Banking zu verhindern. Was ist speziell an der CLX.Sentinel-Lösung? Der CLX.Sentinel basiert auf dem USB-Interface und ist dadurch in der Lage unterschiedliche Betriebssysteme zu unterstützen. Die verwendete Software beruht auf dem "Zero-Footprint-Prinzip", weshalb die Installationen von Treibern und Zusatzsoftware oder Konfigurationen auf der Client-Seite entfallen. Zero-Footprint-Software bietet eine vielversprechende Lösung in Situationen, wo Anwendungen Sicherheitsfunktionalität benötigen, welche die heutigen Web-Browser nicht bieten und wo gleichzeitig die Installation von zusätzlicher Software nicht durchführbar ist. Eine Web-basierende Sicherheitssoftware muss grundsätzlich folgende Aufgaben übernehmen können: - Identifizierung / Authentisierung - Nicht-Ablehnbarkeit / Integrität - Vertraulichkeit / Datenschutz - Sicherheitsmanagement Die Sicherstellung dieser Aufgaben wird beim CLX.Sentinel mittels einer eigenen Sicherheitsapplikation mit integriertem gehärteten Browser bewerkstelligt. Der hier eingesetzte gehärtete Browser erlaubt keine Extensionen (aktiven Inhalte) wie Plugins, Java-Applets, Active-X oder Browser Helper Objects (BHO's) und verhindert externe Zugriffe (externe DOMs - Document Object Model - sind nicht verfügbar).



Weiter bietet er eine enge Verknüpfung mit den internen und externen kryptografischen Subsystemen sowie einem zusätzlichen Binär-Schutzmechanismus (verschlüsselte Ausführdatei). Damit lassen sich sowohl der "Man-in-the-Middle" wie auch der "Man-in-the-Browser" völlig eliminieren, da die Installation von den dazu notwendigen Trojanern verunmöglicht wird. Alle diese Funktionalitäten werden vom CLX.Sentinel mit einer innovativen und speziell entwickelter Hard- und Software-Lösung übernommen und der Benutzer selber spürt nichts davon. Und gerade dies ist aus Sicht der Benutzerfreundlichkeit eneorm wichtig. Bei der Variante ohne Zertifikat steckt er den CLX.Sentinel in einen freien USB-Port und startet den Browser. Eine "White List" im Stick gibt dabei vor, mit welchen Bankinstituten (über 220 Eintragungen) Kontakt aufgenommen werden kann. Nun beginnt für den Benutzer sein gewohntes Login mit Passwort, Streichliste, Matrix-Karte, Digipass oder auch SecureID. Wir der CLX.Sentinel mit einem Zertifikat einer Bank verbunden (Die Bank gibt dabei einen speziellen Stick seinen Kunden ab) so muss der Benutzer nach dem Einstecken nur noch einen PIN eingeben und die sicherer Verbindung zur Bank steht. Der grosse Vorteil bei beiden Varianten besteht darin, dass der Benutzer nicht neues dazu lernen muss, sein gewohnter Ablauf wird nicht tangiert. Einfachheit und Benutzerfreundlichkeit sind die wichtigsten Voraussetzungen, damit ein neues Sicherheitssystem auch in der ganzen Breite akzeptiert wird. Die innovative Lösung mit den CLX.Sentinel bietet dies in allen Belangen. Was hat nun Compass Security in diesem speziellen Fall geprüft? Hier die wichtigsten Testprozeduren: - Static Reverse Engineering - Dynamic Reverse Engineering - Memory Dumping - Sniffing communication (USB/Network) - Binary manipulation - Process Injection Techniques - Sending KeyStroke - Screen Capturing - Keystroke Capturing - Access Certificate directly - Man in the Middle Attacks - DNS spoofing - Redirection/Cross Site Scripting Attacks - Plugins/Extensions Tests - Zero Footprint Tests - Session Hijacking



Und so sind die erzielten Resultate: General The specified security features have been implemented and a very good protection level could be reached Protection against Man in the Middle/Phishing - Mutual Authentication with Smart Card Certificate - Access Control List prevents connection to fake webservers/proxies - Server Certificate and IP-Address Verification Protection against Trojan - SSL Stack implemented in Binary - Checksums and Signatures - Binary and Memory Encryption - Anti Reverse Engineering and Anti Debugging Techniques used - Detects malicious activity on system Other Protection Features - Anti DNS Spoofing - Anti Screen Capturing - Anti Keystroke Logging - Disable Application Steering - Prevents Resource Manipulation - PIN/PUK Hashing - Limited Browser functionality Secure Updates - Only signed updates possible - Improve protection / address new threats Und das ist die wichtigste Aussage aus dem Compass Zertifikat: To the best of its knowledge, Compass is not aware to this date of alternative solutions and products which can match the range and strength of the CLX.Sentinel protection mechanisms implemented to safeguard Internet-based e-banking transactions.

Nähere Informationen: sentinel.crealogix.com/



Anhang 1: Cyberkriminalität und Schadsoftware (Malware):

Wichtige Webadressen für weitere Infos und Reports Finjan Vital Security (www.finjan.com) - Web Security Survey Report – H1/08 - Web Security Trends Report - Q4/2008 Websense Security Labs (www.websens.com) - Websense Security Labs report - State of Internet Security, Q1-Q2 2009 (securitylabs.websense.com/content/Alerts/3475.aspx) OECD Ministraial Background Report (www.oecd.org) - Malicious Software (Malware): A Security Threat to the Internet Economy (www.oecd.org/dataoecd/53/34/40724457.pdf) CLOUDMARK (www.cloudmark.com) - CSI (Cloudmark Sender Intelligence) Aladdin (www.aladdin.org) - Attack Intelligence Research Center (www.aladdin.com/airc/default.aspx) - Software Piracy: Causes, Effects and Prevention (ftp.ealaddin.com/pub/marketing/HASP/HASP_SRM/WhitePapers/WP_HASP_Software_Piracy.pdf) BSA Business Software Alliance (global.bsa.org) - Sixth Annual BSA and IDC Global Software Piracy Study (global.bsa.org/globalpiracy2008/studies/globalpiracy2008.pdf) - Pressemitteilung Schweiz: " Ein Viertel aller Software in der Schweiz ist illegal, Umsatzausfall fu ̈r Hersteller steigt auf 369 Mio. Franken" (global.bsa.org/globalpiracy2008/pr/pr_switzerland.pdf) F-Secure (www.f-secure.com) - Q2 2009 Security Threat Summary (www.f-secure.com/en_EMEA/security/security-lab/latest-threats/security-threat-summaries/2009-2.html) MELANI: Melde- und Analysestelle Informationssicherung (Bundesverwaltung) (www.melani.admin.ch) - Informationssicherung Lage in der Schweiz und international Halbjahresbericht 2008/II (Juli – Dezember) (www.melani.admin.ch/dokumentation/00123/00124/01085/index.html?lang=de&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCDdIF2hGym162epYbg2c_JjKbNoKSn6A--) BSI: Bundesamt für Sicherheit in der Informationstechnik (Deutschland)



(www.bsi-fuer-buerger.de/cln_174/BSIFB/DE/Home/home_node.html) security4kids: Online-Sicherheit für Kinder und Jugendliche (www.security4kids.ch/de/Default.aspx) Panda Security (www.pandasecurity.com/switzerland-de/) - KIDS ON THE WEB CHILD'S play? (www.pandasecurity.com/about/social-responsibility/children-internet/) Informationsseite zum Thema Sicherheit im E-Banking (Fachhochschule Luzern) (www.ebankingabersicher.ch) Technicalinfo (www.technicalinfo.net) - CONTINUING BUSINESS WITH MALWARE INFECTED CUSTOMERS (www.technicalinfo.net/papers/PDF/BestPractices_BusinessWithInfectedHosts.pdf) Compass Security AG (www.csnc.ch) - Cyberterrorismus: BRD-Infrastruktur leicht angreifbar (23. September 2009) www.csnc.ch/de/modules/news/news_0041.html_2032533206.html - 130 Millionen Kreditkartendaten in den USA gestohlen: Compass Security AG zeigt Schutzmöglichkeiten auf (21. August 2009) (www.csnc.ch/misc/files/press/2009/013_Kreditkartenbetrug.pdf) BitDefender (www.bitdefender.de) - Threat-Report für das erste Halbjahr 2009 (14.9.09) (www.bitdefender.de/NW1135-de--bitdefender-warnt-vor-raffinierteren--phishing-methoden-im-web-2.0.html) Symantec (www.symantec.com) - IST-Report (Internet Security Threat Reort, 15.4.09) (www.symantec.com/de/de/about/theme.jsp?themeid=smpr_20090415&depthpath=0) UVEK (Eidgenössischen Departements für Umwelt, Verkehr, Energie und Kommunikation) (www.uvek.admin.ch) - Umfang und Bedeutung des durch die Postabgewickelten Zahlungsverkehrs in der Schweiz (31.7.08) (www.uvek.admin.ch/dokumentation/00655/00895/01551/index.html?lang=de)

Documents

Cyber-Kriminalität ist heute zur Normalität geworden · 2016-02-09 · Panda Labs gibt in ihrem Phishing-Report für die 2. Hälfte 2008 an, dass im Q3 22.1% der untersuchten PCs