von Joachim Jakobs

Das seman­ti­sche Netz, Jäger und Bots

Das “Institut für Reformatorische Theologie” weiß: “Sex sells!”. In einer Predigt prä­zi­siert der Geschäftsführer Bernhard Kaiser: “Wenn die Werbung Triebbefriedigung sug­ge­riert, spricht sie die emo­tio­na­len Bedürfnisse der Menschen an und hat mehr Erfolg als eine Werbung, die sach­lich über das Produkt, das bewor­ben wird, infor­miert.”

Dass die Mitglieder der orga­ni­sier­ten Kriminalität beson­ders fromm sind, ist zu bezwei­feln. Kaisers Botschaft jeden­falls scheint sich bis in die digi­tale Unterwelt her­um­ge­spro­chen zu haben.

Das BSI über die Speerfischer

Anfang Januar hat das BSI ein “Register aktu­el­ler Cyber-Gefährdungen und -Angriffsformen” auf sei­ner Internetseite zusam­men­ge­stellt. Unter “Spear-Phishing/Whaling” schrei­ben die Experten vom Amt:

Spear-Phishing ist eine Spezialform eines Phishing-Angriffs, bei dem nicht breit­flä­chig, son­dern nur ein klei­ner Empfängerkreis (häu­fig Führungskräfte oder Wissensträger auf Leitungsebene) atta­ckiert wird.

Das Wissen allein führt aber nicht immer zu einer Verhaltensänderung: Der Vorstandsvorsitzende von Nortel Networks wusste, dass er einen Trojaner auf sei­nem Rechner hatte, glaubte aber nicht, dass es eine ernst­hafte Angelegenheit sei. Inzwischen ist der Laden pleite. Ein Sicherheitsberater ist davon über­zeugt, dass der Angriff maß­geb­lich zum Fall des Unternehmens beige­tra­gen hat.
Doch zurück zu den Empfehlungen des BSI:

Voraussetzung für einen erfolg­rei­chen Angriff ist eine gute Vorbereitung und die Einbettung des Angriffs in einen für das Opfer glaub­wür­di­gen Kontext. Spear-Phishing rich­tet sich in der Regel nicht gegen all­ge­mein nutz­bare Dienste wie Online-Banking, son­dern gegen Dienste, die für Angreifer einen beson­de­ren Wert haben.

Identitätsdiebstahl bedroht unser Wirtschaftsleben

Wie das in der Praxis funk­tio­niert, hat kürz­lich ein Mitarbeiter von Digital Bond, einem Sicherheitsberater für indus­tri­elle Steuerungen, zu spü­ren bekom­men: Er erhielt schein­bar eine Mail sei­nes Chefs, des­sen Anhängsel sich mit aktu­el­len tech­ni­schen Entwicklungen beschäf­ti­gen sollte. Tatsächlich war der Anhang mit einem Trojaner infi­ziert. Der Sicherheitsberater jubelt begeis­tert über die Umsichtigkeit sei­nes Mitarbeiters (“Paranoia zahlt sich aus!”) fragt sich aber, wes­halb er mit sei­nem Schwerpunkt auf indus­tri­elle Steuerungen Ziel einer sol­chen Attacke ist. Es wäre zumin­dest attrak­tiv, Schadsoftware in die Systeme sei­ner Kunden ein­zu­schleu­sen. Stuxnet läßt grü­ßen!

Ebenfalls einem trick­rei­chen Angriff war McAfee-Chef Dave de Walt aus­ge­setzt. Er war im Sommerurlaub 2009 in Europa und wurde aus die­sem Grund per Mail – schein­bar von sei­ner Bank – auf­ge­for­dert, seine Kreditkartendaten zu bestä­ti­gen. Noch Monate spä­ter war es für den Sicherheitsexperten uner­klär­lich, woher die Angreifer wuss­ten, dass er sich zu die­sem Zeitpunkt nicht in den USA auf­hielt.

Die Schufa ist davon über­zeugt, dass der Identitätsdiebstahl eine “Bedrohung für das Bestehen des zukünf­ti­gen Wirtschaftslebens” dar­stellt. Wohlgemerkt: Bis hier­hin geht es nur um Delikte, die von Menschen aus­ge­führt wer­den.
Nicht alle Computerbenutzer sind der­art para­noid wie der Chef von McAfee. Der Sicherheitsberater IO Active hat viel­mehr vol­les Vertrauen in die mensch­li­che “Dummheit”:

Es ist egal, wie sicher Du einen Computer machst, Du kannst Dich drauf ver­las­sen, einen Menschen zu fin­den, der die­sen Computer kom­pro­mit­tiert.

Das seman­ti­sche Netz ver­steht seine Inhalte – und lie­fert Informationen an die Jäger

Das Sammeln per­sön­li­cher Informationen für einen mög­lichst effek­ti­ven Angriff auf Führungskräfte, Politiker, Journalisten, und Großkopferte aller Art ist auf­wen­dig. Doch das Internet bie­tet auch hier eine Lösung an – es trans­for­miert sich näm­lich der­zeit zum “Semantischen Web”. Wikipedia erläu­tert:

All die in mensch­li­cher Sprache aus­ge­drück­ten Informationen im Internet sol­len mit einer ein­deu­ti­gen Beschreibung ihrer Bedeutung (Semantik) ver­se­hen wer­den, die auch von Computern “ver­stan­den” oder zumin­dest ver­ar­bei­tet wer­den kann. Die maschi­nelle Verwendung der Daten aus dem von Menschen gefloch­te­nen Netz der Daten ist nur mög­lich, wenn die Maschinen deren Bedeutung ein­deu­tig zuord­nen kön­nen. Nur dann stel­len sie Informationen dar.

Zum Beispiel:

Dresden (Stadt) liegt an der Elbe (Fluss). Paul Schuster (Familienname) wurde 1950 (Geburtsdatum) in Dresden (Geburtsort) gebo­ren. (im Orginal ste­hen spitze Klammern statt runde, Anm. d. Red.)

Mit ähnli­chen Spuren las­sen sich die Such-Begriffe auf Google, die besuch­ten Webseiten, die Aufenthaltsorte von Handys und vie­les mehr ana­ly­sie­ren. Kommerzielle Anwendungen dazu ver­mark­tet etwa das SAS Institute unter dem Begriff “Social Media Analytics”.

Verständlich, dass sich die Agentur für Arbeit, Arbeitgeber, Einzelhändler, Facebook, Google, Krankenkassen, Steuerfahnder, Strafverfolger und Versicherungen aller Art fürs ver­ste­hende Internet inter­es­sie­ren. Was für ein Jammer, dass die Schufa ihr Forschungsprojekt absa­gen (Facebook als digi­tale Schuldnerkartei – Schufa-Forschungsprojekt im Zeitraffer geschei­tert) musste. Hier hätte tat­säch­lich eine frucht­bare Debatte statt­fin­den kön­nen, wer was tun darf – oder eben auch nicht.

Roboter-Diebe im Anmarsch

Genauso klä­ren eben auch die Kriminellen elek­tro­nisch auf: IO Active emp­fiehlt eine ganze Reihe von Werkzeugen, um Suchmaschinen, “Soziale” Netze und eine Reihe wei­te­rer Dienste zu durch­pflü­gen. Die Firma emp­fiehlt als geheim­dienst­li­ches Aufklärungsmittel für Jedermann ESearchy – das Teil soll bis zu zehn Dateiformate wie .pdf oder .doc ver­ar­bei­ten kön­nen.

Nach einer Installationsanleitung für GNU/Linux-Anwender nennt der Sicherheitsspezialist Kommandos, um etwa an alle Nutzer der Verschlüsselungssoftware PGP einer bestimm­ten Firma – wie zum Beispiel dem Kreditkartenunternehmen Visa – her­an­zu­kom­men. Genauso ein­fach scheint es zu sein, die Mitglieder des Geschäftsnetzes Linkedin zen­tral ein­zu­sam­meln, die bei die­ser Firma beschäf­tigt sind. In dem Video rau­schen hun­derte Namen von Mitgliedern des Netzes über den Bildschirm. Eines davon – das von Javier Vazquez – öffnen die Autoren im Video.

Im drit­ten Schritt geht’s IOActive darum, eine so gute Lüge zu erfin­den, dass die Zielperson dar­auf her­ein­fällt. Diese Lüge soll mög­lichst auto­ma­tisch auf Basis von Bedürfnissen, Ideen, Vorlieben und Abneigungen, Ängs­ten und Wünschen basie­ren. Darauf folgt eine Beschreibung, wie die tech­ni­sche Infrastruktur samt ihren Schwachstellen vom Angreifer ana­ly­siert wer­den kön­nen. Als Beute erwar­ten die Autoren Ausstiegsregeln für die Firewall, Betriebssystem-Name und Version, Internetbrowser, Mailclient-Name und -Version und die Handy-Nummer der Zielperson.

Roboter Diebe kom­mu­ni­zie­ren mit mensch­li­chen Opfern

Wissenschaftler der Universitäten Wien und Stockholm zei­gen in einem Aufsatz, wie der anschlie­ßende Angriff auto­ma­ti­siert aus­ge­führt wer­den kann: Zunächst defi­niert der Nutzer des “Automated Social Engineering Bot” (ASE Bot) die Ausgangsparameter sei­ner Attacke – Facebook-Profil-Informationen, die Organisation, die ange­grif­fen wer­den wer­den soll, Selektionskriterien künf­ti­ger Angriffe, das Verbindungsziel, die Chat-Logik, die aus­zu­füh­rende Attacke und die sich daran anschlie­ßen­den Aktivitäten.
In der zwei­ten Phase des Angriffs wer­den alle Informationen gesam­melt, die es in Facebook über die anzu­grei­fende Organisation gibt. Sobald eine aus­rei­chende Zahl Opfer in die­ser Organisation iden­ti­fi­ziert ist, beginnt der Bot mit der Kommunikation ent­spre­chend der zuvor defi­nier­ten Chat-Logik.

In der Ausführungsphase ver­sucht der Bot, sein Opfer dazu zu brin­gen, schad­hafte Dateien oder ver­seuchte Webseiten zu öffnen. Außerdem könnte der Bot ver­su­chen, sein Opfer dazu zu brin­gen, ver­trau­li­che Firmenunterlagen her­aus­zu­ge­ben.

Je nach Wunsch des Angreifers ver­nich­tet der Bot sein Facebook-Konto oder führt wei­tere Angriffe gegen die Freunde des Opfers aus. Dabei wer­den die zuvor gewon­ne­nen Erkenntnisse gewinn­brin­gend ein­ge­setzt. Sollte der Angriff nicht erfolg­reich gewe­sen sein, geht der Bot zu einer ein­fa­che­ren Angriffsvariante über, falls diese zuvor defi­niert wurde.

Schließlich wurde der Bot dem Ablaufplan ent­spre­chend pro­gram­miert und an fünf Testorganisationen samt deren Mitarbeitern aus­pro­biert.

In ihrer Zusammenfassung kom­men die Wissenschaftler zu dem Ergebnis, dass das auto­ma­ti­sierte Ausnutzen mensch­li­cher Schwächen eine bil­lige und attrak­tive Angriffsvariante dar­stellt. Obwohl Facebook prin­zi­pi­ell Maßnahmen habe, um auf auto­ma­ti­sierte Angriffe zu rea­gie­ren, sei der Bot nicht erkannt wor­den. Dies sei für Facebook auch des­halb nahezu unmög­lich, weil der Bot der Wissenschaftler – anders wie ein gewöhn­li­cher Spam-Roboter – keine Massennachrichten ver­schickt, son­dern sich wie ein nor­ma­ler Anwender ver­halte. Weiterhin seien die Größe des Netzes und die von den Anwendern geteil­ten Inhalte für Facebook unver­zicht­bar. Restriktive Sicherheitsmaßnahmen könn­ten sich inso­fern nega­tiv auf die Profitabilität des Netzes aus­wir­ken. Facebooks schwa­che Sicherheitseinstellungen hät­ten den ASE Bot ermög­licht.

Ein Diebes-Netz könnte ver­schie­dene Quellen zusam­men­füh­ren

Für die Zukunft den­ken die Wissenschaftler dar­über nach, wie ein “ASE Botnet” Informationen über die anzu­grei­fende Organisation quer über ver­schie­dene Soziale Netze zusam­men­fas­sen könnte. Die Entwicklung von Verteidigungsstrategien seien not­wen­dig.

Eine andere Strategie besteht womög­lich darin, zu beten, dass die Angreifer sich ein ande­res Opfer suchen mögen, um ihren Beute-Trieb zu befrie­di­gen. Doch dazu muss man wohl schon sehr gläu­big sein.

[Erstveröffentlichung: Telepolis - dort mit Links]