scip AG Labs http://www.scip.ch/ Entwicklungen aus den scip Labs de Thu, 11 Feb 2016 04:00:00 +0100 60 Saturday Sunday 0 1 2 3 4 5 6 20 21 22 23 (c) 2002-2016 by scip AG scip AG Labs http://www.scip.ch/_thm/rss-icon.png http://www.scip.ch/ Nicht nur Terroristen haben etwas zu verstecken http://www.scip.ch/?labs.20160204 http://www.scip.ch/?labs.20160204 Thu, 04 Feb 2016 00:00:00 +0100 Stefan Friedli Die Angriffe in Paris im vergangenen November haben ihre Spuren hinterlassen: Nicht nur die Angehörigen der Getöteten und die Überlebenden der tödlichen Angriffe, sondern die ganze westliche Gesellschaft hinterfragt zum wiederholten Mal, wie Extremismus und dem damit verbundenen Terrorismus die Stirn zu bieten ist. Gleichzeitig wird Ursachenforschung betrieben: Wie konnten diese Angriffe geplant und ausgeführt werden? Hätte man sie verhindern können? Und wenn ja, warum wurden die entsprechenden Massnahmen nicht ergriffen?

Nach den Angriffen in Paris rufen viele nach mehr Überwachung
Nach den Angriffen in Paris rufen viele nach mehr Überwachung

Diese Fragen sind wichtig und ihre sorgfältige und sachgemässe Beantwortung umso mehr. Trotzdem dauerte es nur wenige Stunden, bis erste Politiker und andere Interessensvertreter nach mehr Überwachung riefen und verschlüsselte Kommunikationskanäle dafür verantwortlich machten, dass hier einmal mehr sinnlos Blut vergossen wurde. Zahlreiche Experten hatten verschlüsselte Messaging-Systeme bereits als mitschuldig identifiziert, bevor die genutzten Kommunikationskanäle überhaupt ermittelt waren.

Nach den Enthüllungen, die Edward Snowdens Dokumente mit sich brachten, beklagte sich der Direktor des amerikanischen CIA, John Brennan jüngst über das Händeringen, das den Auftrag der Geheimdienste in dieser Sache erschwere. ArsTechnica berichtet über einen von der New York Times entfernten Artikel und dessen Annahme, dass Snowdens geleakte Informationen dazu geführt haben, dass Organisationen mit terroristischem Hintergrund ihre eigenen operativen Sicherheitsmassnahmen deutlich erhöht hätten.

Inwiefern dies der Fall ist, lässt sich in Frage stellen. Bereits bei der Jagd auf Osama Bin Laden durch die US-Regierung wurde bekannt, dass dieser vor seinem Tod ausschliesslich auf Kuriere und komplett vom Internet getrennte Computer setzte. Erst die ungefähr 100 USB-Flashdrives, die nach seiner Eliminierung von der amerikanischen Spezialeinheit SEAL Team Six der US Navy gefunden wurden, gaben Einblick in die Kommunikation zwischen Bin Laden und seinen Kontakten, die über den ganzen Erdball verstreut waren. Es mutet daher naiv an, zu glauben, dass andere Organisationen wie auch der Islamische Staat (IS), die sich auch durch ihren routinierten Umgang mit Technologie hervortun, sich vor Snowdens Enthüllungen nicht bewusst gewesen wären, dass Mobiltelefone und unverschlüsselte E-Mails abgehört respektive mitgelesen werden können.

Ganz im Gegensatz zu einer breiten Öffentlichkeit, die bis zu eben jenen Enthüllungen nicht wusste, in welcher Breite und Tiefe die Überwachung durch die NSA technisch umgesetzt wurde. Und während kaum einer Einwände gegen die gezielte Überwachung von potenziellen Terroristen hat, so gibt die flächendeckende Überwachung ganzer Bevölkerungen durchaus Anlass zur Diskussion.

Sätze wie “Ich habe nichts zu verbergen”, oftmals gekoppelt mit Zusätzen wie “Wenn dafür solche Ereignisse wie Paris verhindert werden können” hört man oft. Und gerade in dieser spezifischen Kombination ist diese Haltung nachvollziehbar. Doch hinterfragt man den effektiven Nutzen einer flächendeckenden Überwachung und stellt sie den damit verbundenen Risiken eines Missbrauchs gegenüber, wird die Sache kompliziert.

In einem Artikel von The Intercept, verfasst von Jenna McLaughlin, wird ein internes, unklassifiziertes Dokument des Department for Homeland Security zitiert, in dem die Verhaftungen von 64 Personen in den USA basierend auf Tatbeständen im Zusammenhang mit dem IS dokumentiert werden. In keinem einzigen Fall existieren Beweise, die darauf hindeuten würden, dass die umfassenden Überwachungsmittel der NSA dazu beigetragen hätten, dass diese Verhaftungen möglich wurden. Vielmehr wurden die entsprechenden Personen durch klassische Kontrollinstanzen, wie Grenzkontrollen oder durch reguläre Verdachtsmomente erhaltene Durchsuchungsbefehle aufgegriffen. Diese Informationen decken sich in ihrer grundsätzlichen Aussage mit den früheren Daten, die Journalist und Autor Glenn Greenwald in seinem Buch No Place to Hide: Edward Snowden, the NSA, and the U.S. Surveillance State zusammengetragen hat und die ebenfalls darauf hindeuten, dass sämtliche effektiv verhinderten Bedrohungen ausschliesslich durch traditionelle Methoden der Ermittlung eliminiert wurden.

Die Bedingung “Wenn dafür solche Ereignisse wie Paris verhindert werden können” ist daher nur sehr bedingt gegeben. Was bleibt, ist das klassische Argument “Ich habe nichts zu verbergen”. Und während diese Aussage im Ermessen des Sprechers korrekt sein mag, ist sie hochgradig kontextabhängig. Kardinal Richelieu, ein französischer Aristokrat, Staatsmann und Kirchenfürst (1585-1642), wird oft wie folgt zitiert:

Gebt mir sechs Zeilen von der Hand des ehrlichsten Mannes, so werde ich etwas finden, um ihn an den Galgen zu bringen.

Nicht die Frage, ob jemand etwas zu verstecken hat, ist relevant – sondern das Recht, etwas nicht Öffentlichkeit preisgeben zu müssen sollte gewahrt werden. Wer fordert, dass niemand ein Recht auf Geheimnisse besitzen darf, öffnet Tür und Tor für die Diskriminierung von Minderheiten und die Verfolgung von unangenehmen politischen oder kulturellen Zeitgenossen. Nicht nur durch den Staat, sondern potentiell auch durch andere Organisationen, die durch Datenleaks, unberechtigte Zugriffe oder korrupte Funktionsträger in den Besitz von kompromittierenden Daten kommen können.

Das Recht auf Geheimnisse muss gewahrt sein - Screenshot: 1984 / 20th Century Fox
Das Recht auf Geheimnisse muss gewahrt sein – Screenshot: 1984 / 20th Century Fox

Es bleibt die Frage bestehen, welche Wahl eine moderne Gesellschaft in dieser Hinsicht treffen sollte: Sicherheit oder Privatsphäre. Oder wie Kryptograph Bruce Schneier sie umformte: Kontrolle oder Freiheit.

Unser Bedürfnis nach Sicherheit ist durch die jüngsten Angriffe auf unsere Gesellschaft so hoch wie selten zuvor. Doch ist sie das Opfer der Privatsphäre im Hinblick auf die fragwürdige Wirksamkeit der Überwachungsmethoden wert? Diese Diskussion muss noch geführt werden. Aber nicht im Schatten von Angst und Unsicherheit, sondern sachlich und zielorientiert. Denn während die Bedrohung durch Extremisten wie den IS vermutlich schwinden wird, wird diese Entscheidung uns permanent begleiten.

Those who would give up essential liberty to purchase a little temporary safety, deserve neither liberty nor safety. (Benjamin Franklin)

]]>
Blog Digest Januar 2016 http://www.scip.ch/?labs.20160128 http://www.scip.ch/?labs.20160128 Thu, 28 Jan 2016 00:00:00 +0100 Marc Ruef
  • A Look Inside Cybercriminal Call Centers (krebsonsecurity.com)
  • Artificial Intelligence, Real Security Problems? (securityintelligence.com)
  • As New York looks to ban encrypted smartphones, here’s what you can do (zdnet.com)
  • CVE-2015-4400 : Backdoorbot, Network Configuration Leak (blog.fortinet.com)
  • Darknet Hacking Forum returns after Shutdown (deepdotweb.com)
  • Fraudsters Automate Russian Dating Scams (krebsonsecurity.com)
  • In a Driverless Future, What Happens to Today’s Drivers? (singularityhub.com)
  • Indexing HTTPS pages by default (googleonlinesecurity.blogspot.com)
  • Israeli Drone Feeds Hacked By British and American Intelligence (theintercept.com)
  • Metadata Investigation – Inside Hacking Team (labs.rs)
  • NSA suspected in Juniper firewall backdoor mystery (zdnet.com)
  • The impact of ‘Have I been pwned’ on the data breach marketplace (troyhunt.com)
  • Unsupported Operating Systems And Applications (pciguru.wordpress.com)
  • Using your phone as a hotel room key unlocks possibilities (androidcentral.com)
  • When coding style survives compilation: De-anonymizing programmers (freedom-to-tinker.com)
  • Zerodium offers $100,000 for Adobe Flash mitigation exploit (zdnet.com)
  • ]]>
    Hintergrundbericht zum Labs Buch http://www.scip.ch/?labs.20160125 http://www.scip.ch/?labs.20160125 Mon, 25 Jan 2016 00:00:00 +0100 Marc Ruef Vorsprung durch Forschung
    Vorsprung durch Forschung

    Das alte Jahr 2015 ist vergangen und das neue Jahr 2016 hat begonnen. Mit der Präzision eines Uhrwerks findet der Jahreswechsel statt. Und mit ihm die Veröffentlichung der neuesten Ausgabe unserer Buchreihe. Das Buch scip Labs 7 liegt sowohl als deutsche als auch als englische Ausgabe vor und kann online bezogen werden. In diesem Artikel möchten wir die Hintergründe des Buchs und der zugrundeliegenden Forschungungen vorstellen.

    Unser Unternehmen existiert seit 13 Jahren und ebenso lange treiben wir unsere Forschung voran. Seit 7 Jahren veröffentlichen wir mindestens einmal pro Woche einen Fachartikel auf unserem Firmenblog. Die besten Veröffentlichungen werden alljährlich in einem Buch zusammengefasst.

    Oft werden wir gefragt, wieso wir den Aufwand auf uns nehmen, jährlich ein Buch herauszugeben. Schliesslich gehört das Schreiben von Büchern nicht zu unserem Kerngeschäft. Dem müssen wir zu einem gewissen Grad widersprechen. Der Austausch unter Fachleuten ist vital für den Erfolg unseres Unternehmens. Unsere Mitarbeiter werden motiviert, sich mit den neuesten Entwicklungen auseinanderzusetzen. Diese Unterstützung geht so weit, dass wir nicht selten gar dazu beitragen, neue Entwicklungen zu erdenken oder umzusetzen. Nur so können wir zu den Besten unseres Fachs zählen.

    Forschung ist also seit der Gründung der scip AG ein wichtiger Bestandteil, um in der hektischen und schnellebigen Zeit von Hacker, Exploits und Malware erfolgreich sein zu können. Aus diesem Grund haben wir eine eigene Forschungsabteilung etabliert. Diese stellt Entwicklungen für unsere Arbeit zur Verfügung: So werden Tools geschrieben, Exploits optimiert und Malware umgesetzt. Wir führen aber auch konkrete Forschungsaufträge für Kunden aus: Dazu zählt zum Beispiel Zukunftsprognosen bezüglich Drohnen oder das Anstellen einer Studie zum Datenhandel im Darknet. Auszüge davon veröffentlichen wir dann in der Labs-Reihe, halten Vorträge und geben Interviews dazu.

    Eine der Grundgedanken unserer Forschung ist, dass daraus ein greifbares Resultat entstehen soll. Unsere Spezialisten können deshalb eine Vielzahl an veröffentlichten Fachartikeln und Vorträgen ausweisen. Dabei versuchen wir sowohl zeitlose Grundlagenforschung als auch tagesaktuelle Beobachtungen anzugehen. Nachhaltigkeit und Aktualität sind uns auch in dieser Hinsicht wichtig.

    Im Rahmen von regelmässigen Redaktionssitzungen werden die anstehenden oder sich abzeichnenden Forschungsaufträge diskutiert und vergeben. Dabei wird nach Möglichkeiten Rücksicht auf das Vorwissen und die Präferenzen eines Analysten gelegt. Durch die Bildung von Teams können erfahrene Analysten neue Mitarbeiter einarbeiten und so ihr Wissen weitergeben. Und durch interdisziplinäre Forschungsarbeiten können spannende sowie neue Ansätze ausprobiert werden.

    Die durch uns veröffentlichten Fachbeiträge werden jeweils auf Deutsch und Englisch herausgegeben. Die Internationalisierung und Globalisierung unserer Kunden führt dazu, dass beide Ausgaben gefragt sind. Dabei ist es interessant zu sehen, dass gewisse Themen im deutschsprachigen Raum ein höheres Gewicht beigemessen bekommen. Und dass andere Themen im angelsächsischen Raum eine höhere Brisanz erfahren. Unseren Mitarbeitern steht es dabei frei, in welcher Sprache sie schreiben. Es wird dann in die jeweils andere Sprache übersetzt.

    Nach dem Lektorieren (Korrektur, Redaktion, Layout) geht das Buch in den Druck. In den bisherigen Ausgaben haben wir Druckereien aus der Schweiz bevorzugt, um möglichst hohe Qualität und Flexibilität garantiert zu kriegen. Typischerweise dauert es rund einen Monat von der Finalisierung des Buchs, bis wir es in gedruckter Form in den Händen halten.

    Ursprünglich war das Buch als Weihnachtsgeschenk für unsere langjährigen Kunden gedacht. Anstatt eines vergänglichen Weins oder Kuchens wollten wir mit langlebiger Substanz in Erinnerung bleiben. Die Nachfrage der jährlichen Titel ist jedoch mittlerweile so gross, dass wir die Auflage erhöhen mussten und ein gewisses Kontingent auch zum Kauf anbieten. Die Rückmeldung unserer Leserschaft motiviert uns, auch in Zukunft die erfolgreiche Buchreihe weiterzuführen. Die Bücher können über unsere Webseite bezogen werden.

    Dementsprechend wünschen wir viel Spass beim Lesen!

    ]]>
    Inglorious Headers http://www.scip.ch/?labs.20160121 http://www.scip.ch/?labs.20160121 Thu, 21 Jan 2016 00:00:00 +0100 Veit Hailperin Schutz braucht nicht viel zu kosten. Weder Zeit noch Geld. Für Privatpersonen dokumentiere ich das in der Reihe Gesunde Paranoia. Aber auch für Serverbetreiber gibt es Tricks, mit denen man mit wenig Aufwand seine Sicherheit massgeblich verbessern kann. In diesem Artikel geht es in erster Linie um die Header, die in der http-Antwort mitgeschickt werden, um das Browserverhalten beeinzuflussen um u.a. Cross-Site-Scripting (XSS) Angriffe zu verhindern.

    Bei XSS-Angriffen wird Javascript-Code in Webseiten eingeschleust. Es gibt verschiedene Klassen von XSS. Sogenannte Reflected XSS, bei denen eine Benutzereingabe ungefiltert zurückgegeben wird in einer darauf folgenden Antwort. Es ist die am häufigsten gefundenen XSS Schwachstelle. Stored oder Persistent XSS, bei denen zusätzlich die Eingabe auf der Webseite gespeichert wird, zum Beispiel bei Gästeforen. DOM-based XSS, bei denen Browser-seitiger, aktiver Code (z.B. Javascript) Benutzereingaben unsicher verwendet und Mutation-Based XSS, bei denen der Browser die Eingabe leicht verändert und dadurch nicht funktionierenden Code in Code verändert. Andere, obskure XSS werden nicht berücksichtigt.

    Content-Type

    Während der Browser-Kriege, bei denen Browser um die Vormacht im Web stritten, wurden viele Browserfunktionen eingeführt um möglichst alle Webseiten korrekt anzuzeigen. Abgesehen davon, dass dies schlechtes Design förderte, sind auch die Folgen in Bezug auf die Sicherheit bis heute spürbar. Eines davon ist das Erraten des Zeichensatzes eines Dokumentes.
    Das Problem ist mehrschichtig. XSS-Filter sind häufig nur in einem Zeichensatz (charset) definiert. Das heisst, dass diese Filter leicht umgangen werden können, wenn der bösartige Javascript-Code in einer anderen Kodierung daherkommt. Ein klassisches Beispiel hierfür ist UTF-7.

    UTF-7 ist eine Kodierung, welche ursprünglich für SMTP Gateways entwickelt wurde, da manche Gateways nicht mit 8-bit-Zeichen umgehen konnten. UTF-7 ist allerdings auch eine Kodierung, welche sehr leicht zu erkennen ist. Damit konnte ein Filter, welcher ein reguläres XSS wie

    <script>alert(1)</script>

    erkennt, aber der Browser die Funktion zum Zeichensatzerraten aktiviert hat umgangen werden mit

    +ADw-script+AD4-alert(1)+ADw-/script+AD4-

    da der Browser +ADw- als kodierte UTF-7 kodiertes < erkannte, und das Charset zur Darstellung anpasst. Mehr Details bezüglich UTF-7 Angriffen bietet OWASP in ihrem XXS-Filter-Evasion Cheat-Sheet. Die Anzahl existierender Kodierungen ist riesig. Hackvertor bietet eine Auswahl verschiedener Charsets und hilft während Web Application Penetration Tests.

    Der Content-Type Header kann folgendermassen gesetzt werden:

    Content-Type: text/html; charset=UTF-8

    Damit wird der Browser angewiesen, den Zeichensatz nicht zu erraten und verbessert dadurch den Schutz vor diesen Angriffen.

    X-Content-Type-Options

    Ein weiteres Kind der Browser-Kriege ist die Funktion zum Erraten des Inhalts. Wenn ein Browser auf Basis von Content-Type-Guessing annimmt, dass eine Datei heruntergeladen werden soll, kann dies zum Beispiel durch Drive-By-Download-Angriffe ausgenutzt werden. Auch Chrome ist dem gegenüber nicht gefeit. Grössere Auswirkung haben sogenannte Cross-Site Script Inclusion-Angriffe (XSSI), bei denen z.b. CSV und JSON abfliessen können, indem sie in einer bösartigen Seite per script-Tag eingebunden werden. Dadurch, dass sie als Script eingebunden werden, unterliegen sie nicht mehr der Same-Origin Policy und obwohl sie nicht dann nicht als Script ausgeführt werden können – da sie keine Script sind – können die Daten mittels Error Message geleakt werden. Diverse CVEs sind diesbezüglich veröffentlicht worden.

    Dies stark einzugrenzen ist simpel und steht bereits im Titel. Der empfohlene Wert ist:

    X-Content-Type-Options: nosniff

    Die Klasse der XSSI-Verwundbarkeiten ist damit nicht komplett verhindert, wie aktuelle Forschung zeigt, aber der Header deckt den Grossteil der XSSI ab.

    X-XSS-Protection

    Dem Namen nach würde man annehmen, dass dieser Header gegen XSS schützt. Bei korrekter Verwendung korrigiert er allerdings maximal zurück auf den Schutz, den Browser Internet Explorer (IE) sowie Google Chrome ohnehin bieten. Beide Browser geben dem Benutzer die Möglichkeit, ihren XSS-Schutz zu deaktivieren. Der Header korrigiert diese Einstellung für die Webseite zurück. Der empfohlene Wert ist:

    X-XSS-Protection: 1; mode=block

    ; mode=block verhindert, dass der Browser auf die Idee kommt, Sachen zu korrigieren und anschliessend korrigiert darzustellen. Falls ; mode=block nicht gesetzt ist, bietet der XSS-Filter damit perfiderweise eine neue Angriffsfläche. Jeglicher Header, welcher als Schutz per Meta-Tag definiert wird, wie z.B. der folgende Content-Security-Policy Header

    <meta http-equiv="Content-Security-Policy" content="super-sichere-csp" />

    kann ausgehebelt werden. Das liegt wieder mal an Internet Explorer und seinem Nachfolger Microsoft Edge. Im Gegensatz zu anderen Browsern wie Firefox und Chrome durchläuft Internet Explorer zuerst die komplette Seite, um nach Meta-Tags zu suchen. “Dank” seines XSS Filters, erkennt er, wenn als Parameter

    ?a=<meta http-equiv="

    mitgeschickt wird, dieser auch im Body der Webseite vorkommt und wertet es deshalb als Angriff. Standardmässig ersetzt IE einfach eines der Zeichen und hebelt somit den Schutz aus.

    Wenn ; mode=block fehlt, können damit allerdings nicht nur Schutzmechanismen umgangen werden. Es können sogar neue Schwachstellen eingeführt werden! Lesenswert dazu ist Security Researcher Masato Kinugawas Paper X-XSS-Nightmare.

    X-Frame-Options

    Der X-Frame-Options Header ist bekannt, weil er erstellt wurde um Click-Jacking Angriffe abzuwehren. Allerdings schützt der Header auch gegen eine Reihe von speziellen XSS, wie dem Docmode-Problem der Krücke des Internets, Microsoft Internet Explorer, Drag’n‘Drop XSS, Copy&Paste XSS, Invisible Site-Wide XSS, und sogar gegen Unterlaufen der Content-Security-Policy. Security Engineer Frederik Braun und Security Researcher Mario Heiderich haben ein sehr ausführliches und empfehlenswertes Paper geschrieben, welches diese und weitere Schwachstellen beschreibt, die durch den X-Frame-Options Header geschützt sind.

    Das Docmode-Problem ist besonders und verdient seinen eigenen Absatz. Internet Explorer versucht auf Biegen und Brechen alte und kaputte Webseiten zu unterstützen. Manche dieser Webseite laufen allerdings nur in alten Versionen des Browsers. Um diese korrekt anzuzeigen kann Internet Explorer 11 dazu veranlasst werden sich zu verhalten als sei er Internet Explorer 8. Dies kann erreicht werden mit folgendem Header:

    X-UA-Compatible: IE=8
    

    Das führt allerdings auch dazu, dass der Browser wieder durch alle alte Schwachstellen verwundbar ist. Da der Docmode vom Parent-Frame vererbt wird, kann Internet Explorer dazu veranlasst werden, eine aktuelle Seite durch framen in einem alten Docmode anzuzeigen. Ein Beispiel einer geframten Seite mit altem, verwundbarem Docmode:

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
      <head>
    <html xmlns="http://www.w3.org/1999/xhtml">
        <title>Test Layout</title>
    	<meta http-equiv="X-UA-Compatible" content="IE=8" />
        <style type="text/css">
          body, html
    	    {
              margin: 0; padding: 0; height: 100%; overflow: hidden;
            }
    		#content
            {
              position:absolute; left: 0; right: 0; bottom: 0; top: 0px;
            }
      </style>
      </head>
      <body>
        <div id="content">
          <iframe width="100%" height="100%" frameborder="0" src="http://domain-without-xfo-header.tld" />
        </div>
      </body>
    </html>
    

    Dadurch wird der X-Frame-Options zu einem der wichtigsten, momentan existierenden Security Header. Für diejenigen, die sich fragen, ob dieses Problem in Edge weiterhin besteht ist die Antwort eindeutig Jain. Auf der einen Seite unterstützt Edge alte Docmodes nicht mehr, was gut ist. Aber es wäre nicht Microsoft, wenn die Lösung nicht einen Haken hätte. Edge schlägt in dem Fall eines alten Docmode Headers dem Benutzer nämlich vor, die Seite in Internet Explorer zu öffnen.

    Framing sollte verboten werden mittels

    X-Frame-Options: DENY

    oder maximal sich selbst erlauben durch folgenden Header:

    X-Frame-Options: SAMEORIGIN

    Dieser Header wird abgelöst durch die CSP Policy frame-ancestors. Bis dies allerdings tatsächlich geschehen ist, wird empfohlen beides zu setzen.

    Content-Security-Policy

    Etwas komplizierter, dafür umso mächtiger, ist der Content-Security-Policy (CSP) Header. In ihm lässt sich mittels Richtlinie definieren, welche Quellen verwendet werden dürfen. Das heisst, wenn man Skripte einbindet, nur vom eigenen Server oder auch von extern oder nur von spezifischen externen Hosts. Momentan wird an der Content Security Policy 2.0 W3C Candidate Recommendation gearbeitet.

    Experimentelle Implementationen benutzten die Namen X-WebKit-CSP und X-Content-Security-Policy. Microsoft Internet Explorer hat den Sprung nicht geschafft und benutzt immer noch X-Content-Security-Policy, im Gegensatz zu allen anderen Browsern. Glücklicherweise hat Microsoft immerhin bei ihrem neuen Browser Edge eingesehen, dass Standards einen Sinn haben, und unterstützt dort den regulären CSP Header. Laut Can I use wird der CSP Header von knapp 80 Prozent aller Browser weltweit unterstützt.

    Die möglichen Optionen sind:

    • base-uri
    • block-all-mixed-content
    • child-src
    • connect-src
    • default-src
    • font-src
    • form-action
    • frame-ancestors
    • frame-src
    • img-src
    • manifest-src
    • media-src
    • object-src
    • plugin-types
    • referrer
    • reflected-xss
    • report-uri
    • sandbox
    • script-src
    • style-src
    • upgrade-insecure-requests

    Es gibt insbesondere zwei Optionen, denen man sich anfangs widmen sollte, nämlich default-src und report-uri. Grundsätzlich sollte default-src so restriktiv wie möglich konfiguriert sein.

    Schlüsselwörter dazu sind

    • *
    • ‘none’
    • ‘self’
    • ‘unsafe-inline’
    • ‘unsafe-eval’

    Es ist eigentlich selbsterklärend, dass unsafe-inline und unsafe-eval unsicher sind, und deshalb nicht verwendet werden sollten.

    report-uri gibt an, wohin Verletzungen der Richtlinie geschickt werden, damit man evaluieren kann, wo sie bricht. Damit es während der Richtlinienerstellung und dem eventuellen Anpassen von unsicheren Webseitenelementen nicht zu einem Ausfall kommt, empfiehlt es sich mit Content-Security-Policy-Report-Only anzufangen.

    Content-Security-Policy-Report-Only: default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'; frame-ancestors 'none'

    Falls man bei anfänglichen Experimenten noch nicht seine eigene report-uri zur Verfügung stellen möchte, so kann man dies auf der Seite REPORT URI.

    Von hier aus kann dann die Richtlinie entweder notwendigerweise gelockert, oder die Webseite korrigiert werden. Twitter, als einer der frühen Umsetzer von CSP auf ihrer Webseite, hat einen Erfahrungsbericht online gestellt.

    CSP Bypasses und Header Injections sind in den letzten sechs Jahren einiges rarer geworden, sodass sich der Aufwand der Konfiguration von CSP lohnt. Empfehlenswert ist ein Blick auf den Content Security Policy Quick Reference Guide. Hier finden sich weitere Informationen zum Header und dessen Konfiguration. Auch lesenswert ist das CSP Cheat Sheet von Security Consultant Scott Helme.

    Aktueller Stand

    Die Situation im Internet (Daten erhoben mit Shodan) sieht folgendermassen aus im Bezug auf Security Header:

    Die Werte sind jeweils prozentuale Angaben auf den kompletten Verkehr der sich aus der Reihe ergibt. Die erste Datenzelle sagt also, dass 0.95% Weltweit aller Webseiten auf Port 443 den Strict-Transport-Security Header gesetzt haben.

    Country and Port Strict-Transport-Security XFO Deny XFO Sameorigin Public-Key-Pinning Content-Type X-Xss-Protection X-Content-Type-Options Content-Security-Policy
    80/tcp   0.1769 1.7509   25.1515 0.7283 0.4058 0.0233
    443/tcp 0.9522 0.4432 3.5970 0.0107 24.5087 0.6700 0.8695 0.1250
    80/tcp   0.1654 1.1788   36.8349 0.5155 0.6362 0.1272
    443/tcp 2.6932 0.6924 5.9377 0.0483 35.2941 1.0118 1.5181 0.4765
    80/tcp   0.1157 2.2089   32.3021 0.8162 0.5067 0.0553
    443/tcp 2.1714 1.2078 9.7615 0.0142 30.8704 1.0014 1.6120 0.2550

    Es gibt insgesamt zwei Hauptaussagen die man daraus leicht ziehen kann.

    1. Kaum jemand scheint sich um Security Header zu kümmern und das obwohl einige davon wirklich leicht zu setzen sind. Die positive Ausnahme dazu bildet Content-Type mit Charset. Der wird auf über einem Viertel aller Seiten gesetzt.
    2. Die Schweiz als auch Deutschland stehen im weltweiten Vergleich gut da.

    Home Sweet Home

    Seine eigenen Header zu überprüfen ist noch einfacher als sie zu setzen. Eine Webseite, welche diese für einen überprüft ist zum Beispiel SecurityHeaders.io. Hierbei kann diese Seite als guter Indikator verwendet werden, bei der Content-Security-Policy gilt es allerdings darauf zu achten, dass die Seite keine vollständige Analyse des CSP Headers liefern kann. Was passieren kann, wenn man die CSP Konfiguration nicht richtig macht, beschreibt @fildedescriptor hier.

    Es gibt noch weitere relevante Security Header. Dazu gibt es mehr im Artikel Big Brother oder: Wie ich lernte, Verschlüsselung zu lieben.

    ]]>
    Darknet - Einsicht in den virtuellen Schwarzmarkt http://www.scip.ch/?labs.20160114 http://www.scip.ch/?labs.20160114 Thu, 14 Jan 2016 00:00:00 +0100 Marc Ruef Das Darknet ist ein verborgener Bereich des Internets. Er ist nur mit zusätzlicher Software und Vertrauensbeziehungen zugänglich. Im Rahmen einer aufwändigen Forschungsarbeit sind verschiedene Bereiche des Darknets untersucht worden. Ein Teil der Resultate wird in diesem Beitrag diskutiert.

    Was ist das Darknet

    Beim Begriff Darknet taucht ein Problem auf, das man im IT-Bereich öfter antrifft: Es ist ein Schlagwort, das oft genutzt aber wenig verstanden wird. Die Begründung dafür ist vielschichtig. Grundsätzlich haben bisher nur wenige Personen den Weg ins Darknet gefunden und sind bereit, über ihre Erfahrungen zu berichten. Journalisten schreiben lieber voneinander ab, ohne Aussagen zu verifizieren. Dadurch hat sich über die Jahre eine Masse an Fehlinformationen angesammelt, die zu entwirren sehr aufwendig ist.

    Dazu beigetragen hat ebenfalls eine Infografik, die eigentlich Satire ist, aber durch Aussenstehende nicht so verstanden werden kann. Spätestens wenn berichtet wird, dass man in den tiefsten Bereichen des Darknets nur mit Quantencomputer agieren kann, weiss man, dass einmal mehr ein Journalist über etwas schreibt, das er nicht versteht. Artikel, die auf diesen Fehlinformationen fussen, werden monatlich veröffentlicht. Nachfolgende Illustration korrigiert dieses Bild.

    So sieht das Darknet wirklich aus
    So sieht das Darknet wirklich aus

    Im Rahmen unserer Analyse teilen wir das Internet in Bereiche auf. Allgemein bezeichnen wir Bereiche als Net (also Darknet), wenn Dienste jeglicher Art gemeint sind. In vielen Publikationen wird der Suffix Web gebraucht (z.B. Darkweb), wobei damit ausschliesslich Darknet-Ressourcen gemeint sind, die durch einen Webserver angeboten und von einem Webbrowser genutzt werden. Das Freenet oder Visible Net (Visinet) ist das Internet, wie wir es kennen. In erster Linie frei zugängliche Webseiten, die durch Suchmaschinen indexiert werden.

    Sobald Suchmaschinen keinen direkten Zugriff mehr auf Informationen erhalten, sprechen wir vom Deepnet oder Invisible Net. Dies ist zum Beispiel dann gegeben, wenn im Deepweb eine Webseite eine Authentisierung erfordert, sie auf einem unüblichen Port betrieben wird oder nur einer kleinen Gruppe bekannt ist. Oder wenn alternative Netzwerkprotokolle und Topologien eingesetzt werden, die eine Indexierung erschweren. Letzteres ist bei Peer-to-Peer-Netzen (P2P) der Fall, die den Download einer speziellen Software erfordern. Hier spricht man also zwangsweise nicht mehr vom Deepweb, da nicht mehr die im Web üblichen Mechanismen herangezogen werden.

    Geht man noch einen Schritt weiter, dringen wir ins Darknet vor. Hier werden unter anderem spezielle Peer-2-Peer-Netze betrieben. Bei den Friend-to-Friend-Netzen (F2F) werden Daten nur noch dezentral unter ausgewählten Freunden ausgetauscht. Man muss sich also zuerst einen Bekanntenkreis aufbauen, bis man dort Daten tauschen kann. Des Weiteren gibt es auch private Foren, die man nur nach Einladung und Freigabe betreten kann. Solange man niemanden kennt, der für einen bürgt, wird der Zugriff verunmöglicht.

    Schlussendlich gibt es noch temporäre Chat-Server, die kurzfristig aufgebaut und nach einer Transaktion wieder abgeschaltet werden. Diese werden für hochgradig illegale Aktivitäten, oftmals die Orchestrierung oder Abwicklung einer Transaktion, eingesetzt. Als Technologien kommen üblicherweise IRC und Jabber/XMPP zum Tragen. Die Kommunikation wird vollständig verschlüsselt und auf das Anlegen von Logs wird verzichtet.

    Die Komplexität und der Aufwand für das Bewegen in den tieferen Ebenen des Darknets steigen an. Dabei wird Komfort zu Gunsten der Sicherheit aufgegeben. Darum sind diese Bereiche für normale Aktivitäten unattraktiv und werden bevorzugt von dubiosen Akteuren herangezogen.

    Struktur des Darknet

    Ein Grossteil der Darknet-Aktivitäten spielt sich auf Webseiten ab, die nur über Tor erreichbar sind. Diese Darkweb-Seiten werden als Hidden Services bezeichnet, da sie den Suchmaschinen theoretisch verborgen bleiben. Es gibt jedoch ein paar Index-Suchmaschinen im Darknet. Effizienz, Qualität und Abdeckung der Suche ist aber nicht vergleichbar mit dem, was man von Google und seinen Konkurrenten gewohnt ist.

    Es gibt verschiedene Auswertungen von Hidden Services. Die erste umfangreiche Auswertung wurde durch den Sicherheitsspezialisten Gareth Owen durchgeführt. Genaue Zahlen nannte er aber in seinem Vortrag Tor: Hidden Services and Deanonymisation nicht. Dennoch wurde diese vage Datenlage als Grundlage für die Auswertung der viel zitierten Liste auf Wikipedia verwendet. Das Problem hierbei ist, dass die Summe der Prozentangaben die 100% übersteigt und damit die gesamte Liste unbrauchbar ist.

    Deshalb haben wir eine erweiterte Auswertung der Hidden Services vorgenommen und sind zum unten gezeigten Resultat gekommen. Die Kategorisierung zeigte zugleich auf, dass fast die Hälfte der Hidden Services einen kommerziellen Hintergrund hat. Es werden also Daten, Informationen oder Produkte gegen Geld gehandelt, um Profit zu machen. Damit kann der Haupttreiber des Darknets als solcher identifiziert werden.

    Aufteilung der Hidden Services im Darknet
    Aufteilung der Hidden Services im Darknet

    Marktanalysen

    Unter Berücksichtigung der Gesetzeslage nehmen wir an ausgewählten Aktivitäten im Darknet teil, um die Struktur der Märkte und das Verhalten der Marktteilnehmer verstehen zu können. Im Folgenden werden die Hauptmärkte vorgestellt und die Erkenntnisse der Betrachtungen zusammengefasst. Dabei wird sich sowohl auf allgemeine Märkte (ähnlich eBay) als auch auf dedizierte Fachseiten konzentriert. Um Quellenschutz zu gewährleisten und die Identität unserer Analysten zu schützen, werden keine personenidentifizierenden Daten festgehalten.

    Drogenhandel

    Ein Grossteil der im Darknet gehandelten Waren sind Drogen und Medikamente. Der Global Drug Survey 2015 konnte durch systematische Befragung von Drogen-Händlern und -Konsumenten im Darknet viele spannende Erkenntnisse gewinnen. So ist der Hauptgrund, warum auf den Handel im Darknet ausgewichen wird, die Erhöhung der persönlichen Sicherheit. Das Umfeld um Ross Ulbricht alias Dread Pirate Roberts, der mit Silk Road einen der grössten Drogenumschlagsplätze im Darknet betrieben hat, führt an, dass damit ein Gewinn für alle Parteien erreicht werden kann. Dass die eigene Identität verborgen bleibt und der Drogenmissbrauch vor dem Umfeld versteckt werden kann, sind weitere Treiber.

    Grundsätzlich werden praktisch alle Drogen im Darknet gehandelt. Besonders populär sind dabei natürlich Cannabis (Weed und Haschisch), MDMA, Kokain und Heroin.

    Die Preisspanne der verschiedenen Drogen ist sehr unterschiedlich. So kosten ein Gramm Kratom zwischen USD 0.06 und USD 0.12. Bei Opium ist eine bedeutend höhere Spannbreite von USD 1.30 bis USD 6 zu beobachten. Die grössten Abweichungen sind bei Xanax zu sehen, das zwischen USD 35.50 und USD 330 gehandelt wird. Preise für LSD fangen bei USD 3.265 an.

    Aktuelle Drogenpreise im Darknet
    Aktuelle Drogenpreise im Darknet

    Diese enormen Abweichungen haben mehrere Gründe. Als Faustregel kann man sagen, dass die meisten Händler Mengenrabatt gewähren. Will man nur ein Sample, also eine Probe, bestellen, sind die Kosten meist überproportional hoch. Kauft man Kokain im Kilogramm-Bereich, kann man weitaus günstiger ins Geschäft kommen. Eine systematische Analyse zeigt, dass sich gewisse Händler bei der Definition des Mengenrabatts verrechnen. Ab und an kommt es vor, dass man beim Kauf von zwei Kilogramm Opium weniger pro Gramm bezahlt, als bei fünf Kilogramm. Automatisierte Auswertungen von Transaktionen lassen vermuten, dass Fehler dieser Art durch andere Händler nicht systematisch wahrgenommen und ausgenutzt werden (günstiger Ankauf, teurer Weiterverkauf).

    Des Weiteren ist natürlich die Qualität des Produkts entscheidend. Möglichst reines Crystal Meth ist auf dem Markt natürlich mehr wert, als ein unsauberes Produkt. Manche Händler preisen ihre Produkte mit Reinheitsangaben an. Typischerweise sind diese geschönt, um höhere Verkaufspreise rechtfertigen zu können. Gerade dieser Faktor macht es sehr schwierig, vermeintlich gleiche Produkte miteinander zu vergleichen. Die meisten professionalisierten Märkte bieten Bewertungs- und Kommentarfunktionen für Käufer, anhand derer die Qualität abgeschätzt werden kann.

    Kommentarfunktionen lassen Händler und Produkte bewerten
    Kommentarfunktionen lassen Händler und Produkte bewerten

    Schlussendlich sind die Versandgegebenheiten mitentscheidend für den Preis eines Produkts. Je nach Herkunft und Destination einer Bestellung können unterschiedliche Risiken anfallen, die ihrerseits einen direkten Einfluss auf den Preis eines Produkts haben werden. Ein Effekt, der auch beim Waffenhandel zu beobachten ist.

    Auftragsmorde

    Ein ganz spezieller Markt sind Auftragsmorde. Traditionell können Assassins, Killer oder Guns for Hire beauftragt werden, eine oder mehrere Personen gegen ein Entgelt umzubringen. Die Bezahlung erfolgt dabei meist entweder ganz im Vorfeld oder als Teilzahlung vor und nach Abschluss des Auftrags.

    Eine spezielle Form von Auftragsmorden wird durch ein Bidding-Verfahren angeboten. Dabei kann man nach Belieben eine Zielperson auf eine Liste setzen lassen. Personen haben dann die Möglichkeit, Bitcoins auf diesen Mordauftrag einzuzahlen. Derjenige Killer, der die Person umbringt, erhält das angehäufte Geld. Auf dieser Liste finden sich hauptsächlich bekannte Personen wie Barack Obama.

    In den Assassin-Netzwerken bieten die Auftragsmörder ihre Dienste in einem Profil an. Dort werden typischerweise die folgenden Modalitäten festgehalten:

    • Region/Land für Auftrag
    • Minimales Alter von Zielpersonen
    • Herangehensweise
    • Preis

    Unsere Recherche lässt vermuten, dass viele der angebotenen Dienstleistungen nicht echt sind. Die Profile und Preisstrukturen widersprechen teilweise dem, wie in solchen Kreisen operiert wird. Hier geht es wohl oftmals um Provokation und Trolling.

    Wir haben mehrere Quellen verglichen, um unter anderem die Preisspanne für Auftragsmorde pro Land zu ermitteln. Hierbei haben wir in einem ersten Schritt ausschliesslich verifizierte Preise berücksichtigt. Ein Preis gilt als verifiziert, wenn nachweislich ein Geldtransfer stattgefunden hat oder Auftraggeber bzw. Mörder nach einer Festnahme die Preisstruktur kommuniziert haben. Zudem wurden lediglich professionelle Mörder berücksichtigt. Gelegenheitstäter, die aus einer Situation heraus und einmalig agiert haben, wurden ausgelassen.

    David Wilson, Professor an der Birmingham City University, hat die Morde in den Jahren 1974 bis 2014 in Grossbritannien analysiert, um statistische Merkmale zu identifizieren. Dabei konnte er ebenfalls Preisstrukturen und Auftragsverhältnisse von Auftragsmorden bestimmen. Die von uns zusammengetragenen Daten wurden dementsprechend mit den Angeboten im Darknet verglichen, um Authentizität und Preisbereiche erkennen zu können.

    Preise für professionelle Auftragsmorde pro Land
    Preise für professionelle Auftragsmorde pro Land

    Wie nicht anders zu erwarten war, fangen Eintrittspreise bei Entwicklungs- und Schwellenländern deutlich tiefer an als in Industriestaaten. Ebenso werden in letztgenannten viel höhere Maximalpreise bezahlt. Dies hat zwei Gründe:

    1. Das Lohnniveau der Täter
    2. Der kommerzielle Wert (Net Worth) des Opfers

    Diese und ähnliche Informationen werden von uns benutzt, um Risikoprofile für hochkarätige Mitarbeiter unserer Kunden zu erstellen. Dadurch kann von bestimmten Aktivitäten oder Reisen abgeraten oder bei Bedarf das Sicherheitsdispositiv vor Ort erhöht werden.

    Waffenhandel

    Der Waffenhandel im Internet, allem voran im Darknet, befindet sich im Wachstum. Es gibt verschiedene Quellen, aus denen diese Waffen stammen. Oftmals sind es private Sammler und Händler, die Waffen und Munition verkaufen oder tauschen wollen. Die Szene in Deutschland und Österreich zeigt sich da auffällig motiviert.

    In diesen Kreisen finden sich in erster Linie alte und modifizierte Schusswaffen. Oftmals sind es Enthusiasten, die einfach nur Freude an den Geräten haben. Unsere Kontaktaufnahme zu verschiedenen Exponenten hat aufgezeigt, dass man da eher leichtfertig mit dem Thema umgeht. Eine Waffe wird als Sportgerät oder Werkzeug angesehen. Dass damit Menschen getötet werden können, wird entweder ausgeblendet oder die Verantwortung hierfür vollumfänglich auf den Käufer übertragen.

    Die Terroranschläge vom 13. November 2015 in Paris haben dennoch zu unmittelbaren Effekten im Darknet geführt. Die beiden populären Märkte Agora und Nucleus haben im Zuge dessen den ungehinderten Verkauf von Waffen eingestellt. Es erstaunt, dass auf diesen Plattformen doch ein gewisser moralischer Kompass vorhanden ist.

    Grosse Kaliber und Sprengstoff, die zum Kauf oder Tausch angeboten werden, stammen vorwiegend aus Krisengebieten und Bürgerkriegen. Hier können sowohl sehr alte Waffen aber auch neue Versionen – und dies jeweils in grossen Mengen – bezogen werden.

    Viele Händler liefern bevorzugt innerhalb des Ziellands. Im europäischen Raum werden in den Inseraten oftmals Hinweise untergebracht, dass nicht ausserhalb dieses Gebiets geliefert wird. Dadurch möchte man die kostspielige und gefährliche Zollabfertigung verhindern. Ein Verhalten, das auch im Drogenmarkt – wenn nicht so extrem – beobachtet werden kann.

    Der bekannte Waffenmarkt EuroGuns
    Der bekannte Waffenmarkt EuroGuns

    Datenhandel

    Im Informationszeitalter spielt der Datenhandel eine zunehmend wichtige Rolle. Es gibt eine Vielzahl an Informationen, die gehandelt werden. Für verschiedene Unternehmen und Behörden führen wir tagesaktuelle Preislisten, um Bewegungen im Markt erkennen zu können. Zum Beispiel, wenn sich Preise für Kreditkarteninformationen im grossen Stil ändern, wird voraussichtlich irgendwo ein grösseres Datenleck ausgenutzt worden sein. Dadurch kann quasi eine seismographische Beobachtung des Markts stattfinden. Die folgende Tabelle zeigt einige Richtwerte für Daten.

    Datentyp Details Preis USD
    Email Kontoinformationen 1’000 Stück, zufällig, nicht verifiziert 0.50
    Email Kontoinformationen 1 Stück, pro definierbarer Domain, verifiziert 5
    Kreditkarte nur Nummer, keine Personendaten, nicht verifiziert 0.60
    Kreditkarte nur Nummer, keine Personendaten, verifiziert 7.50
    Kreditkarte Plastik, inkl. PIN, verifiziert, garantierte Deckung 80
    Pass Frankreich, nur Scan 7
    Pass Schweiz, nur Scan 38
    Pass USA, vollumfängliche Fälschung 160
    Ausweis Generierung anhand von Templates 34
    Ausweis Australien, Führerschein, Scan 20
    Ausweis UK, Führerschein, modifizierte Kopie 10
    Ausweis Kanada, Ausweisdokumente, Scan 5
    Ausweis USA, Social Security Card, Scan 20

    Kreditkarten werden seit eh und je im Untergrund gehandelt. Dies hat in den letzten Jahren nur marginal zugenommen. Auffällig dabei ist jedoch, dass beim Kreditkartenhandel eine Professionalisierung stattgefunden hat: Die Anbieter bereiten die Daten besser auf. Marktführer in Bezug auf Einfachheit, Komfort und Angebot ist zur Zeit der CC Autoshop von AlphaBay: Hier kann mit Filtern nach spezifischen Karten gesucht werden (Ablaufdatum, Herkunft, Geburtsdatum).

    Auf AlphaBay angebotene Kreditkarten
    Auf AlphaBay angebotene Kreditkarten

    Gesundheitsdaten rücken immer mehr in den Fokus. Social Security Numbers (SSN) sind in den USA ein wichtiges Element, um sich auszuweisen und bestimmte Leistungen zu beziehen. Grundlegende Informationen zu einer Person sowie die dazugehörige SSN machen es sehr einfach, eine Identität zu stehlen. Dementsprechend erfreut sich der Handel mit SSN grosser Beliebtheit. Diese werden manchmal mit zusätzlichen Dokumenten (Ausweisen, Krankenakten) als Pakete angeboten.

    Im europäischen Raum ist etwas Vergleichbares nicht vorzufinden. Zwar werden auch hier Ausweisdokumente getauscht und verkauft. Oftmals sind es aber nur Kopien von Dokumenten. Oder es werden Templates angeboten, mit denen sich ein gefälschter Ausweis selber zusammenklicken lässt. Ausdrucken muss man ihn dann aber noch immer selber. Ein Grenzübertritt wird mit diesen nicht ohne weiteres möglich sein. Viele Online-Dienste, gerade im Finanzumfeld, setzen aber mittlerweile das Einschicken des Fotos eines Ausweisdokuments voraus. Mit entsprechenden Kopien können solche Dienste unter falschem Namen genutzt werden. Geldwäsche in kleinerem Stil wird damit unter anderem möglich.

    Auffällig ist, dass immer mehr und konkreter Daten von Unternehmen angeboten werden. Dazu gehören Kundeninformationen, interne Dokumente und Patente. Diese werden zwar sehr selten auf den grossen Märkten feilgeboten. Im kleineren Kreis werden diese jedoch ausgetauscht. Ebenso hört man immer wieder davon, dass sich dadurch ebenfalls Zugänge zu kompromittierten Systemen kaufen lassen. Mittlerweile sind es nicht nur externe Angreifer, die ihre Erfolge so zu Geld machen – Stattdessen werden die Zugangsdaten auch von Administratoren der betroffenen Systeme in den Markt gebracht. Für Angreifer, die in eine Firma eindringen und diese aushöhlen wollen, ist dies ein gut geeigneter Startpunkt. Und oftmals bedeutend günstiger, als sich mit eigenen Kräften einen Zugang zu verschaffen. Professionelle Hacker und qualitativ hochwertige Exploits können da bedeutend teurer sein.

    Exploit-Handel

    Ein Exploit ist eine Software, die das Ausnutzen einer Schwachstelle teilweise oder ganz automatisiert. Exploits werden beispielsweise von uns angewendet, um die Existenz und Tragweite einer Schwachstelle im Rahmen einer Sicherheitsüberprüfung bestimmen zu können. Der Kunde erhält dadurch ein konkretes Bild davon, wie und was von dieser Ausnutzung erwartet werden kann.

    Das Entwickeln von Exploits ist mit sehr viel Aufwand verbunden. Einerseits ist ein hohes Mass an Verständnis für die zugrundeliegende Schwachstelle erforderlich. Dies macht es unmöglich, einen Exploit von einem Entwickler, der sich nicht in erster Linie im Bereich der IT-Sicherheit bewegt, schreiben zu lassen. Zudem müssen Eigenheiten des Zielobjekts sowie Gegenmassnahmen, die das Ausnutzen der Schwachstelle behindern oder verhindern können, berücksichtigt werden. Dies sind in erster Linie Eingabeüberprüfungen und Encodierungen in der Ziel-Anwendung. Es kann sich aber auch um zusätzliche Sicherheitsmechanismen, wie Antiviren-Software und Firewalling handeln.

    Aus diesem Grund hat sich ein reger Exploit-Markt entwickelt. Darin bewegen sich Akteure mit unterschiedlichen Hintergründen aber ähnlichen Zielen:

    • Security Researcher: Privatpersonen oder Unternehmen, die im Bereich der IT-Security arbeiten und sich mit Schwachstellen auseinandersetzen. Hierzu zählen auch Unternehmen wie wir, die Sicherheitsüberprüfungen durchführen.
    • Exploit Developer: Programmierer, die auf das Schreiben von Exploits spezialisiert sind. Diese entwickeln Exploits meist als Auftrag für eine andere Partei.
    • Vulnerability Broker: Unternehmen, die sich auf den Handel mit Schwachstellen und Exploits spezialisiert haben. Diese entwickeln Exploits selbst oder kaufen diese ein, um sie dann an andere Organisationen weiterzuverkaufen.
    • Nachrichtendienste: Traditionellerweise sind auch Geheimdienste um das Ausnutzen von Schwachstellen in Computersystemen bemüht. Mittlerweile sehr aktiv und mit einem nicht zu unterschätzenden Budget werden entsprechende Informationen eingekauft.
    • Hacker und Cracker: Personen mit teilweise zwielichtigem Hintergrund bemühen sich um das Finden und Ausnutzen von Schwachstellen. Diese Black und Gray Hats sind eher selten Käufer. Sie entwickeln die Exploits selber oder tauschen sie unter Gleichgesinnten.
    • Organisierte Kriminalität: Das Interesse der organisierten Kriminalität an illegalen Aktivitäten im virtuellen Raum hat in den letzten 20 Jahren rasant zugenommen. Die Möglichkeiten von Exploits werden langsam aber sicher für Erpressung und Diebstahldelikte entdeckt.

    Exploits werden teilweise auf den üblichen Märkten im Darknet getauscht. Zudem gibt es spezialisierte Märkte, die sich aber aus nicht näher erkennbaren Gründen nicht über einen längeren Zeitraum etablieren konnten. Dazu gehört der Markt namens The Real Deal (TRD). Dieser ist nach nur wenigen Monaten Präsenz plötzlich spurlos verschwunden, bis er einige Monate später wieder aufgetaucht ist. Über die Gründe kann nur spekuliert werden. Die Fachpresse und Vertreter der Industrie werden den Machern vor, einen sogenannten Exit Scam vollzogen und mit dem Geld noch nicht vollzogener Transaktionen geflohen zu sein.

    Die Vulnerability Broker oder der direkte Handel auf der Basis etablierter Vertrauensbeziehungen machen schlussendlich nach wie vor einen Grossteil dieses Marktes aus.

    Der Preis eines Exploits orientiert sich an sechs grundlegenden Merkmalen:

    • Popularität
    • Exklusivität
    • Qualität
    • Zuverlässigkeit
    • Durchschlagskraft
    • Möglichkeiten

    Aufgrund langjähriger Marktbeobachtungen konnten wir ein Modell entwickeln, um die Preise für Exploits vorauszusagen. Wir gehen dabei von einem 0-day Exploit aus, dessen Schwachstelle und Existenz nicht bekannt ist. Er wird exklusiv und einmalig verkauft, bis die Schwachstelle publik oder ein alternativer Exploit herausgegeben wird. Sobald diese Exklusivität verloren geht, wird ein tagesaktueller Preis erzeugt. Dieser ist von Ereignissen (Bekanntwerden der Schwachstelle, alternativer Exploit verfügbar, Gegenmassnahme veröffentlicht) und der zeitlichen Entwicklung abhängig. Nachfolgend werden einige Preisbereiche für bekannte Software-Komponenten dargestellt.

    Ausgewählte Preisbeispiele
    Ausgewählte Preisbeispiele

    Die Abwicklung einer Zahlung erfolgt in der Regel gestaffelt:

    1. Der Käufer erhält einen Grossteil oder einen grösstenteils funktionierenden Auszug des Exploits. Dadurch kann seine Legitimität und Qualität geprüft werden.
    2. Der Käufer gibt bei Gefallen dem Verkäufer eine Anzahlung, die bevorzugt in Bitcoins geleistet wird. Falls beispielsweise ein Exploit den Gesamtpreis von 50.000 USD hat, wird die Anzahlung 20.000 USD betragen.
    3. Danach erfolgen jeweils im Abstand von meist 30 Tagen eine weitere Teilzahlung von je 10.000 USD. Durch diese Staffelung können zwei unliebsame Effekte aus Sicht des Käufers flankiert werden: (1) Falls der Exploit anderswo auftaucht und damit die ausgehandelte Exklusivität verliert, kann die Zahlung eingestellt werden. (2) Falls der Hersteller die Schwachstelle frühzeitig patcht, kann die Zahlung ebenfalls ausgesetzt werden. Viele professionelle Exploit-Anbieter reichen aber in diesem Fall einen alternativen oder aktualisierten Exploit als Kompensation nach.

    Der Markt für Exploits befindet sich in explosionsartigem Wachstum. Dies betrifft einerseits die Anzahl der zur Verfügung stehenden Exploits. Andererseits aber auch die Preise, die mittlerweile für Exploits hoher Qualität gezahlt werden. Es ist davon auszugehen, dass in den kommenden Jahren die Marke von 1.5 Millionen USD für einen einzelnen Exploit gesprengt werden wird. Das theoretische Marktvolumen für 0-day Exploits für Schwachstellen in 2015 schätzen wir auf 155 Millionen USD. Dies entspricht einem Wachstum von 67% gegenüber 2014.

    Echte und unechte Inhalte

    Im Darknet tummeln sich bisweilen sehr dubiose und kuriose Gestalten. Im Rahmen unserer Recherchen stossen wir immer wieder auf sehr verstörende Individuen und Aktivitäten. Manche Situationen sind manchmal gar so übertrieben, dass man an deren Echtheit zu zweifeln beginnt.

    Im Laufe der Zeit haben unsere Analysten ein Gespür dafür entwickelt, welche Inhalte echt sein können und welche nicht. Viele Seiten oder Inhalte werden nur veröffentlicht, um zu provozieren. Dies fällt besonders im Bereich der Auftragsmorde auf. Es gibt Seiten, deren Struktur und Inhalte fernab von echten Märkten dieser Art auftreten. Sie sind meist so gestaltet, dass sie spannend wirken und deshalb bevorzugt von Journalisten zitiert oder abgebildet werden. Wir haben es hier also mit einer ganz speziellen Form des Trolling zu tun.

    Vermeintliche Auftragskiller wollen provozieren
    Vermeintliche Auftragskiller wollen provozieren

    Generell gibt es um das Darknet eine sehr grosse Legendenbildung, sogenannte Creepypasta. Hierbei werden fiktive oder übertriebene Geschichten verbreitet, die bei jeder neuen Iteration noch mehr zur Folklore beitragen. Zum Teil sind es unendlich brutale Erzählungen, die ein zartes Gemüt durchaus zu erschüttern in der Lage sind. Vor allem, weil sie manchmal halt doch etwas Wahres in sich tragen könnten – Oder in einigen Fällen gar irgendwann tatsächlich von der Realität eingeholt werden.

    Ein typisches Beispiel für diese Art von Mythenbildung sind die sogenannten Red Rooms. Hierbei handelt es sich um spezielle Chat-Rooms, in die man sich einloggen kann. Durch das Übertragen eines Live-Streams kann gesehen werden, wie eine Person misshandelt, verletzt oder gar getötet wird. Die Teilnehmer dieses Snuff-Chats können Einfluss darauf nehmen, wie sich das Vorgehen genau gestalten soll. Es gibt verschiedene Personen, die von solchen Szenerien berichten. Diese Geschichten, die an den Film Hostel erinnern, lassen sich jedoch bisher nicht bestätigen.

    Viele kommerzielle Angebote haben einen betrügerischen Hintergrund. Zum Beispiel werden viele der angebotenen Uhren-Replikas nach gewährter Vorauszahlung nie ausgeliefert. Ein typischer Scam, der nicht nur im Darknet anzutreffen ist.

    Die wohl populärste und ertragreichste Art des Betrugs im Darknet sind Exit Scams. Bei diesen wird ein Markt plötzlich geschlossen und mit ihm verschwinden die von Kunden einbezahlten und verwalteten Geldbeträge. Viele Märkte bieten einen Escrow-Service an. Sie agieren dabei als Broker und vermitteln bei Uneinigkeiten zwischen Käufer und Verkäufer. Der Käufer muss zwar eine Vorauszahlung an den Markt leisten. Dieser überweist den Geldbetrag aber erst an den Verkäufer, sobald der Käufer den Erhalt und die Qualität der Bestellung bestätigt hat. Grosse Märkte verwalten also stets eine hohe Geldsumme, die im Rahmen eines Exit Scams mitgenommen werden könnten. Der grosse Vorteil dieser Betrugsform ist, dass die betroffenen Personen meist gar nicht bei der Polizei vorstellig werden wollen oder können. Oft sind sie selbst in zwielichtige Geschäfte verstrickt, so dass man von einer Anzeige absieht.

    Dabei ist es aber oft nicht einfach zwischen einem Exit Scam und einer Beschlagnahmung durch die Behörden zu unterscheiden. Der wahrnehmbare Effekt für Aussenstehende ist der Gleiche. Plötzlich tauchen Märkte dann wieder auf, manchmal gar betrieben durch die gleichen Leute. Ob es sich dann einfach um eine Fortsetzung des Exit Scams oder um einen Honeypot der Behörden handelt, kann nicht gesagt werden.

    Wenn eine Bitcoin-Adresse veröffentlicht wird, kann durch Online-Tools wie BitRef die Balance, der auf diesen Wallets bestehende Betrag, identifiziert werden. Dadurch können Marktteilnehmer oder Märkte auf ihre Echtheit hin, wenigstens in Bezug auf den Cash Flow, überprüft werden. Viele Bereiche im Darknet lassen sich so als Fakes entlarven.

    Strafverfolgung

    Die Strafverfolgung im Darknet gestaltet sich nicht einfach. Als erstes ist da die technische Hürde: Es muss eine Infrastruktur für Überwachung und Analyse bestehen, um illegale Aktivitäten erkennen und verstehen zu können. Zudem muss ein Verständnis für die eingesetzten Mechanismen vorhanden sein. Dazu gehören unter anderem:

    • Proxy-Technologien (Tor, Onion-Routing)
    • Kryptowährungen (Bitcoin, Litecoin)
    • Verschlüsselungssysteme (SSL/TLS, VPN)
    • Chatsysteme (IRC, Jabber)

    Diese Aspekte lassen sich unter Kontrolle bringen. Schwieriger wird die Strafverfolgung, da man nicht ohne weiteres mit den Zielpersonen interagieren kann. Immer dort, wo wirklich illegale Aktivitäten stattfinden, verhalten sich die Beteiligten sehr zurückhaltend und diskret. Man kommt nicht ohne weiteres mit diesen Leuten ins Gespräch.

    Man muss sich zuerst eine Reputation in der Szene schaffen, um dann eine Vertrauensbeziehung zu einzelnen Leuten etablieren zu können. Dies kostet sehr viel Zeit und Aufwand. Zudem muss man sich mit den Gepflogenheiten des Milieus auskennen, die richtige Sprache sprechen. Dies fällt uns natürlich besonders im Exploit-Bereich leicht, da wir tagtäglich mit dem Thema zu tun haben und die technischen Hintergründe verstehen. In anderen Bereichen gestaltet sich das dann aber bedeutend aufwendiger.

    Oftmals baut man sich dann eine Legende auf, eine fiktive Person mit einem erfundenen Leben. In nachrichtendienstlichen Kreisen empfiehlt man jeweils, in der Legende möglichst wenig Abweichungen vom eigenen Leben einzubringen. Das ständige Aufrechterhalten eines komplexen Lügengebildes ist zu anstrengend und fehleranfällig. Deshalb versucht man die Legenden möglichst simpel und authentisch zu gestalten. Dabei läuft man natürlich Gefahr, dass man zu viel von seiner eigenen Person preisgibt. Es ist also immer eine Gratwanderung. Und je nachdem in welchen Kreisen man sich bewegt, können Fehler verheerende Folgen haben.

    Die grösste Hürde für die Strafverfolgung ist jedoch die Gesetzeslage an sich. Ermittlungen mit falschen Identitäten sind entweder gar nicht erlaubt oder bewegen sich in einer juristisch und gesellschaftlich umstrittenen Grauzone. In vielen Bereichen wird von Käufern erwartet, dass sie ihre eigene Authentizität beweisen. Beim Ankauf grosser Mengen Kreditkarten wird es dann erforderlich, dass man selbst ein paar gestohlene Kreditkarten vorzeigen kann. Die Verkäufer wissen, dass den Behörden eine Verteilung gestohlener Kreditkarten untersagt ist. Wird eine solche aber provoziert, können sie davon ausgehen, dass der Käufer legitim ist. In den Bereichen des Drogenhandels und der Kinderpornographie haben sich ähnliche Mechanismen etabliert.

    Wenn dann doch Beweise gesichert werden konnten, muss man sich mit internationalen Rechtshilfebegehren auseinandersetzen. Diese sind zeitaufwendig und werden oft von den angefragten Behörden gar nicht erst richtig weiterverfolgt. Gerade in Krisenländern wird Internetkriminalität eine sehr geringe Priorität beigemessen. Ermittlungen verlaufen deshalb oft im Sand.

    Fazit

    Beim Darknet handelt es sich um einen dedizierten und oft speziell abgeschotteten Bereich des Internets. Dort werden Plattformen und Dienste angeboten, die zu grossen Teilen eine kuriose oder gar dubiose Beschaffenheit aufweisen.

    Anhand der Beispiele der Märkte für Drogenhandel, Auftragsmorde, Waffenhandel, Datenhandel und Exploithandel wurde illustriert, welche Eigenarten in diesen Milieus anzutreffen sind.

    Um sich in diesen richtig bewegen zu können, muss man sich den Gepflogenheiten bewusst sein. Nur so kann sich in einer Szene etabliert und eine Vertrauensbeziehung zu den Akteuren aufgebaut werden. Dies ist jeweils mit sehr viel Zeit und Aufwand verbunden.

    Dieser Effekt und die Tatsache, dass ein technologisches Verständnis vorhanden sein und die Möglichkeiten der Gesetzeslage ausgereizt werden muss, macht die Strafverfolgung im Darknet sehr schwierig. Deshalb ist es nicht von der Hand zu weisen, dass auch in Zukunft ein Grossteil der illegalen Aktivitäten im Internet in diesen Bereich verlagert wird. Behörden müssen zwangsweise aufrüsten, um dieser wachsenden Schattenwirtschaft entgegnen zu können.

    ]]>