Einführung Kapitel 2

Der Zweck von Spyware ist es, Ihre Online-Aktivitäten zu überwachen und auszuspionieren. Sie kann jede Taste auf Ihrer Tastatur protokollieren und fast alle Ihre Daten erfassen, einschließlich sensibler persönlicher Informationen wie Ihre Online-Banking-Daten. Spyware tut dies, indem sie die Sicherheitseinstellungen auf Ihren Geräten verändert.

Spyware ist oft an reguläre Software oder Trojaner gekoppelt.

Adware wird häufig zusammen mit bestimmten Softwareversionen installiert und ist so konzipiert, dass sie dem Benutzer automatisch Werbung anzeigt, meist in einem Webbrowser. Sie erkennen es, wenn Sie es sehen! Es ist schwer zu ignorieren, wenn Sie ständig mit Popup-Werbung auf Ihrem Bildschirm konfrontiert werden.

Adware wird häufig zusammen mit Spyware eingesetzt.

Diese Art von Malware wird verwendet, um nicht autorisierten Zugriff zu erlangen, indem die normalen Authentifizierungsverfahren für den Zugriff auf ein System umgangen werden. Auf diese Weise können Hacker per Remote-Zugriff auf Ressourcen innerhalb einer Anwendung zugreifen und Remote-Systembefehle ausführen.

Eine Hintertür arbeitet im Hintergrund und ist schwer zu erkennen.

Diese Malware ist so konzipiert, dass sie die Nutzung eines Computersystems oder der darauf enthaltenen Daten so lange verhindert, bis eine Zahlung geleistet wird. Ransomware verschlüsselt in der Regel Ihre Daten, so dass Sie nicht darauf zugreifen können.

Einige Versionen von Ransomware können bestimmte Sicherheitslücken im System ausnutzen, um das System zu sperren. Ransomware wird häufig über Phishing-E-Mails verbreitet, die zum Herunterladen verleiten soll, entweder eines bösartigen Anhangs oder anfälliger Software.

Hierbei handelt es sich um eine Art von Malware, die Sie mit Hilfe von „Panikmache“ zu einer bestimmten Aktion verleiten soll. Scareware besteht hauptsächlich aus Fenstern im Stil des Betriebssystems, die aufpoppen und Sie warnen, dass Ihr System gefährdet ist und ein bestimmtes Programm ausgeführt werden muss, damit es wieder normal funktioniert.

Wenn Sie der Ausführung des betreffenden Programms zustimmen, wird Ihr System mit Malware infiziert.

Diese Art von Malware wurde entwickelt, um das Betriebssystem so zu verändern, dass eine Hintertür entsteht, über die Angreifer remote auf Ihren Computer zugreifen können. Die meisten Rootkits nutzen Sicherheitslücken in der Software aus, um Zugriff auf Ressourcen zu erhalten, auf die normalerweise nicht zugegriffen werden sollte (so genannte Rechteerweiterung) und um Systemdateien zu verändern.

Rootkits können auch die System-Protokollierung- und Überwachungs-Tools verändern, so dass sie sehr schwer zu entdecken sind. In den meisten Fällen muss die Software auf einem mit einem Rootkit infizierten Computer gelöscht und alle erforderlichen Programme neu installiert werden.

Ein Virus ist eine Art von Computerprogramm, das sich bei der Ausführung repliziert und sich an andere ausführbare Dateien, wie z. B. an ein Dokument, anhängt, indem es seinen eigenen Code hinzufügt. Die meisten Viren erfordern die Interaktion des Endbenutzers, um die Aktivierung einzuleiten und können so geschrieben werden, dass sie zu einem bestimmten Datum oder einer bestimmten Uhrzeit aktiviert werden.

Viren können relativ harmlos sein, z. B. solche, die ein lustiges Bild anzeigen. Oder sie können destruktiv sein, z. B. solche, die Daten ändern oder löschen.

Sie können aber auch zerstörerisch sein, wie z. B. solche, die Dateien verändern oder löschen. Die meisten Viren werden über USB-Laufwerke, optische Datenträger, Netzwerkfreigaben oder E-Mails verbreitet.

Diese Malware führt bösartige Vorgänge durch und maskiert dabei ihre wahren Absichten. Es mag legitim erscheinen, ist aber in Wirklichkeit sehr gefährlich. Trojaner nutzen Ihre Benutzerrechte aus und sind meist in Bilddateien, Audiodateien oder Spielen zu finden.

Im Gegensatz zu Viren vermehren sich Trojaner nicht selbst, sondern dienen als Köder, um bösartige Software an ahnungslosen Benutzern vorbeizuschleusen.

Hierbei handelt es sich um eine Art von Malware, die sich selbst repliziert, um sich von einem Computer zum anderen zu verbreiten. Während ein Virus ein Wirtsprogramm benötigt, um ausgeführt werden zu können, können sich Würmer selbständig verbreiten. Abgesehen von der anfänglichen Infektion des Hosts brauchen sie den Benutzer nicht und können sich selbst sehr schnell über das Netz verbreiten.

Würmer weisen ähnliche Muster auf: Sie nutzen Schwachstellen im System aus, sie können sich selbst verbreiten und sie enthalten alle schädlichen Code (Payload), um Computersysteme oder Netzwerke zu schädigen.

Würmer sind für einige der verheerendsten Angriffe im Internet verantwortlich. Im Jahr 2001 infizierte der Code Red Wurm in nur 19 Stunden über 300.000 Server.

Unabhängig von der Art der Malware, mit der ein System infiziert wurde, gibt es einige allgemeine Symptome, auf die Sie achten sollten. Dazu gehören:

• eine erhöhte Auslastung der Zentraleinheit (CPU), was Ihr Gerät verlangsamt

• Ihr Computer friert ein oder stürzt häufig ab

• eine abnehmende Geschwindigkeit beim Surfen im Internet

• unerklärliche Probleme mit Ihren Netzwerkverbindungen

• geänderte oder gelöschte Dateien

• das Auftauchen von unbekannten Dateien, Programmen oder Desktop-Symbolen

• unbekannte laufende Prozesse

• Programme, die sich selbst abschalten oder neu konfigurieren

• E-Mails, die ohne Ihr Wissen oder Ihre Zustimmung verschickt werden

Unter Soziales Ingenieurwesen versteht man die Manipulation von Personen, damit diese Handlungen ausführen oder vertrauliche Informationen preisgeben. Social Engineers verlassen sich oft auf die Hilfsbereitschaft von Menschen, nutzen aber auch deren Schwächen aus. Beispielsweise ruft ein Angreifer einen autorisierten Mitarbeiter mit einem dringenden Problem an, das sofortigen Netzwerkzugang erfordert und appelliert an die Eitelkeit oder den Eifer des Mitarbeiters oder beruft sich auf seine Autorität, indem er Techniken des sogenannten „Namedropping“ einsetzt, um diesen Zugang zu erhalten.

Vorspiegelung falscher Tatsachen (Pretexting)

Hierbei ruft ein Angreifer eine Person an und täuscht sie, um Zugang zu sensiblen Daten zu erhalten.

Er gibt zum Beispiel vor, die persönlichen oder finanziellen Daten einer Person zu benötigen, um deren Identität zu bestätigen.

Tailgating

Hier folgt ein Angreifer einer autorisierten Person schnell in einen sicheren, physischen Ort.

Etwas für etwas (quid pro quo)

Dies ist der Fall, wenn ein Angreifer persönliche Informationen von einer Person im Austausch für etwas verlangt, z. B. für ein kostenloses Geschenk.

Denial-of-Service (DoS)-Angriffe sind eine Art von Netzwerkangriff, der auch von einem ungeschulten Angreifer relativ einfach ausgeführt werden kann. Ein DoS-Angriff führt zur Nichtverfügbarkeit des Netzwerks für Benutzer, Geräte oder Anwendungen.

Ein Distributed-DoS-(DDoS)-Angriff (DDoS) ähnelt einem DoS-Angriff, erfolgt aber von mehreren, koordinierten Quellen. Beispiele:

• Ein Angreifer baut ein Netzwerk (Botnet) aus infizierten Hosts auf, die Zombies genannt werden und von Handler-Systemen kontrolliert werden.

• Die Zombie-Computer scannen und infizieren ständig weitere Hosts, so dass immer mehr Zombies entstehen.

• Wenn es soweit ist, gibt der Hacker den Handler-Systemen die Anweisung, das Botnetz der Zombies einen DDoS-Angriff ausführen zu lassen.

Ein Bot-Computer wird in der Regel durch den Besuch einer unsicheren Website oder das Öffnen eines infizierten E-Mail-Anhangs oder einer infizierten Mediendatei infiziert. Ein Botnet besteht aus einer Gruppe von Bots, die über das Internet miteinander verbunden sind und von einer böswilligen Person oder Gruppe gesteuert werden können. Es kann aus Zehntausenden oder sogar Hunderttausenden von Bots bestehen, die in der Regel von einem Befehls- und Steuerungsserver gesteuert werden.

Über diese Bots kann Malware verteilt, DDoS-Angriffe gestartet, Spam-E-Mails versendet oder Brute-Force-Angriffe auf Kennwörter ausgeführt werden. Cyber-Kriminelle vermieten Botnets oft für betrügerische Zwecke an Dritte.

Viele Unternehmen, wie z. B. Cisco, lassen ihre Netzwerkaktivitäten durch Botnet-Verkehrsfilter laufen, um alle Botnet-Standorte zu identifizieren.

On-Path-Angreifer fangen die Kommunikation zwischen zwei Geräten, z. B. einem Webbrowser und einem Webserver, ab oder verändern sie, um entweder Informationen von einem der Geräte zu sammeln oder sich als eines der Geräte auszugeben.

Diese Art des Angriffs wird auch als Mann in der Mitte oder Mann im Mobil Angriff bezeichnet.

Wahrscheinlich haben Sie schon von Suchmaschinenoptimierung (SEO) gehört, bei der es, einfach ausgedrückt, darum geht, die Website eines Unternehmens so zu verbessern, dass sie in den Suchmaschinenergebnissen besser sichtbar wird.

Was glauben Sie also, was SEO-Vergiftung sein könnte? Nehmen Sie sich einen Moment Zeit, um darüber nachzudenken und wenn Sie bereit sind, wählen Sie das Bild aus, um herauszufinden, ob Sie Recht hatten!

Suchmaschinen wie Google arbeiten so, dass sie den Nutzern basierend auf ihren Suchanfragen eine Liste von Webseiten präsentieren. Diese Webseiten werden nach der Relevanz ihres Inhalts eingestuft.

Viele seriöse Unternehmen haben sich auf die Optimierung von Websites spezialisiert, um sie besser zu positionieren. Angreifer hingegen machen sich beliebte Suchbegriffe zunutze und nutzen SEO, um bösartige Websites in den Ranglisten der Suchergebnisse nach oben zu bringen. Diese Methode wird als SEO-Vergiftung bezeichnet.

Das häufigste Ziel von SEO-Vergiftung ist es, den Traffic auf bösartige Websites zu steigern, auf denen sich womöglich Malware befindet oder Soziales Ingenieurwesen praktiziert wird.

Die Eingabe eines Benutzernamens und eines Kennworts ist eine der beliebtesten Formen der Authentifizierung auf einer Website. Daher ist es für Cyberkriminelle ein Leichtes, an Ihre wertvollsten Informationen heranzukommen, wenn sie Ihr Kennwort herausfinden.

Dabei wird versucht, sich Zugang zu einem System zu verschaffen, indem einige häufig verwendete Kennwörter auf eine große Anzahl von Konten angewendet werden. So verwendet ein Cyberkrimineller beispielsweise „Password123“ für viele Benutzernamen, bevor er es mit einem zweiten häufig verwendeten Passwort wie „qwertz“ erneut versucht.

Diese Technik ermöglicht es dem Täter, unentdeckt zu bleiben, da er es vermeidet, dass Konten wiederholt gesperrt werden.

Ein Hacker probiert systematisch jedes Wort aus einem Wörterbuch oder einer Liste häufig verwendeter Wörter als Kennwort aus, um in ein kennwortgeschütztes Konto einzudringen.

Bei Brute-Force-Angriffen, der einfachsten und am häufigsten verwendeten Methode, um Zugang zu einer kennwortgeschützten Website zu erhalten, probiert ein Angreifer alle möglichen Kombinationen von Buchstaben, Zahlen und Symbolen im Kennwortfeld aus, bis er das richtige Kennwort findet.

Kennwörter werden in einem Computersystem nicht als reiner Text, sondern als Hashwerte (numerische Werte, mit denen sich Daten eindeutig identifizieren lassen) gespeichert. Eine Rainbow-Tabelle ist ein großes Wörterbuch aus vorberechneten Hashes und den Kennwörtern, aus denen sie berechnet wurden.

Im Gegensatz zu einem Brute-Force-Angriff, bei dem jeder Hash berechnet werden muss, wird bei einem Rainbow-Angriff der Hash eines Kennworts mit dem in der Rainbow-Tabelle gespeicherten Wert verglichen. Wenn ein Angreifer eine Übereinstimmung findet, identifiziert er das Kennwort, mit dem der Hash erstellt wurde.

Klartextpasswörter oder unverschlüsselte Passwörter können von anderen Menschen und Maschinen leicht gelesen werden, indem die Kommunikation abgefangen wird.

Wenn Sie ein Kennwort im Klartext speichern, kann es jeder lesen, der Zugang zu Ihrem Konto oder Gerät hat, egal ob autorisiert oder nicht.

Angreifer erreichen die Infiltration auch durch Fortgeschrittene persistente Bedrohungen (APTs) - eine mehrstufige, langfristige, verdeckte und fortgeschrittene Operation gegen ein bestimmtes Ziel. Aus diesen Gründen fehlt es einem einzelnen Angreifer oft an den Fähigkeiten, den Ressourcen oder der Ausdauer, um APTs durchzuführen.

Aufgrund der Komplexität und der für die Durchführung eines solchen Angriffs erforderlichen Fähigkeiten ist ein APT in der Regel gut finanziert und zielt in der Regel aus geschäftlichen oder politischen Gründen auf Organisationen oder Nationen ab.

Sein Hauptzweck besteht darin, maßgeschneiderte Malware auf einem oder mehreren Systemen des Ziels zu installieren und dort unentdeckt zu bleiben.

Ein Programm, welches geschrieben wurde, um eine bekannte Sicherheitslücke auszunutzen, wird als Exploitbezeichnet. Um einen Angriff durchzuführen, können Cyberkriminelle Sicherheitslücken mittels eines Exploits ausnutzen, um sich Zugang zu einem System, den darin enthaltenen Daten oder einer bestimmten Ressource zu verschaffen.

Auf der Grundlage dieses Konstruktionsfehlers wurde ein Exploit namens Rowhammer entwickelt. Durch wiederholten Zugriff (Hämmern) auf eine Speicherzeile löst der Rowhammer-Exploit elektrische Interferenzen aus, die schließlich die im RAM gespeicherten Daten beschädigen.

Angreifer, die diese Schwachstellen ausnutzen, können den gesamten Speicher eines bestimmten Systems (Meltdown) sowie Daten, die von anderen Anwendungen verarbeitet werden (Spectre), lesen. Die Ausnutzung der Sicherheitslücken über Meltdown und Spectre wird als Seitenkanalangriff (Side-Channel-Angriff) bezeichnet (Informationen werden über die Implementierung in einem Computersystem gewonnen). Sie sind in der Lage, große Mengen an gespeicherten Daten zu kompromittieren, da die Angriffe mehrfach auf einem System ausgeführt werden können, ohne dass es zu einem Absturz oder einem anderen Fehler kommt.

Die Sicherheitslücke SYNful Knock ermöglichte es Angreifern, die Kontrolle über Router der Enterprise-Klasse, wie z. B. die älteren Cisco ISR-Router, zu erlangen, von denen aus sie die gesamte Netzwerkkommunikation überwachen und andere Netzwerkgeräte infizieren konnten.

Diese Sicherheitslücke im System entstand durch die Installation einer geänderten IOS-Version auf den Routern. Um dies zu vermeiden, sollten Sie stets die Integrität des heruntergeladenen IOS-Images überprüfen und den physischen Zugang zu solchen Geräten auf befugte Personen beschränken.

Pufferüberlauf

Puffer sind Speicherbereiche, die einer Anwendung zugeordnet sind. Eine Sicherheitslücke tritt auf, wenn Daten geschrieben werden, die das Fassungsvermögen eines Puffers übersteigen. Durch das Ändern von Daten außerhalb der Grenzen eines Puffers kann die Anwendung auf Speicher zugreifen, der anderen Prozessen zugewiesen ist. Das kann zu einem Systemabsturz oder zur Beeinträchtigung der Datensicherheit oder zu einer Rechteausweitung führen.

nicht valide Eingaben

Programme benötigen oft eine Dateneingabe, aber diese eingehenden Daten könnten einen bösartigen Inhalt haben, der das Programm zu einem ungewollten Verhalten zwingen soll.

Nehmen wir zum Beispiel ein Programm, das ein Bild zur Verarbeitung erhält. Ein böswilliger Benutzer könnte eine Bilddatei mit ungültigen Bildabmessungen produzieren. Die in böser Absicht erstellten Abmessungen könnten das Programm dazu zwingen, Puffer mit falschen und unerwarteten Größen zu belegen.

Kritischer Wettlauf

Die Verwundbarkeit in dieser Situation besteht darin, dass die Ausgabe eines Ereignisses von geordneten oder zeitlich festgelegten Abfolgen abhängt. Ein kritischer Wettlauf wird zur Quelle für Sicherheitslücken, wenn die erforderlichen geordneten oder zeitlich abgestimmten Ereignisse nicht in der richtigen Reihenfolge oder zum richtigen Zeitpunkt erfolgen

Schwachtstellen bei Sicherheitsmaßnahmen

Systeme und sensible Daten können durch Maßnahmen wie Authentifizierung, Autorisierung und Verschlüsselung geschützt werden. Entwickler sollten sich auf die Verwendung von Sicherheitstechniken und -bibliotheken beschränken, die bereits erstellt, getestet und überprüft wurden, und nicht versuchen, eigene Sicherheitsalgorithmen zu entwickeln. Diese führen wahrscheinlich nur zu neuen Schwachstellen.

Probleme mit der zUgriffkontrolle

Die Zugriffskontrolle reguliert, wer was tun kann und reicht vom physischen Zugang zu Geräten bis hin zur Festlegung, wer Zugriff auf eine Ressource wie beispielsweise eine Datei hat und mit welchen Berechtigungen (wie die Datei lesen oder ändern). Viele Sicherheitslücken entstehen durch den unsachgemäßen Einsatz von Zugangskontrollen.

Beinahe alle Zugriffskontrollen und Sicherheitsmaßnahmen lassen sich überwinden, wenn ein Angreifer physischen Zugang zu den entsprechenden Geräten hat. Unabhängig von den Berechtigungseinstellungen für eine Datei kann ein Hacker beispielsweise das Betriebssystem umgehen und die Daten direkt von der Festplatte lesen. Um den Rechner und die darauf vorhandenen Daten zu schützen, muss daher der physische Zugang eingeschränkt werden und es müssen Verschlüsselungsmethoden angewendet werden, die die Daten vor Diebstahl oder Manipulation schützen.

Bei Kryptowährungen handelt es sich um digitales Geld, das zum Kauf von Waren und Dienstleistungen verwendet werden kann und starke Verschlüsselungstechniken zur Sicherung von Online-Transaktionen nutzt. Banken, Regierungen und sogar Unternehmen wie Microsoft und AT&T sind sich ihrer Bedeutung bewusst und springen auf den Kryptowährungs-Zug auf!

Besitzer von Kryptowährungen bewahren ihr Geld in verschlüsselten, virtuellen „Geldbörse“ (Wallet) auf.Wenn eine Transaktion zwischen den Besitzern zweier digitaler Geldbörsen (Wallets) stattfindet, werden die Einzelheiten in einem dezentralisierten, elektronischen Register oder Blockchain-System aufgezeichnet. Dies bedeutet, dass die Transaktion mit einem gewissen Grad an Anonymität durchgeführt und selbst verwaltet wird, ohne dass Dritte wie Zentralbanken oder staatliche Stellen eingreifen.

Etwa alle zehn Minuten sammeln spezielle Computer Daten über die neuesten Kryptowährungstransaktionen und verwandeln sie in mathematische Puzzles, um die Vertraulichkeit zu wahren.

Diese Transaktionen werden dann durch einen technischen und hochkomplexen Prozess, das so genannte „Mining“, überprüft.  An diesem Prozess ist in der Regel ein Heer von „Minern“ beteiligt, die an High-End-PCs arbeiten, um mathematische Puzzles zu lösen und Transaktionen zu authentifizieren.

Nach der Verifizierung wird das Register aktualisiert, elektronisch kopiert und weltweit an alle Mitglieder des Blockchain-Netzes weitergegeben, so dass die Transaktion tatsächlich abgeschlossen werden kann.

Cryptojacking ist eine zunehmende Bedrohung, die sich auf dem Computer, dem Mobiltelefon, dem Tablet, dem Laptop oder dem Server eines Nutzers verbirgt und die Ressourcen dieses Geräts nutzt, um ohne Zustimmung oder Wissen des Nutzers Kryptowährungen zu „minen“.

Viele Opfer von Cryptojacking wussten nicht einmal, dass sie gehackt wurden, bis es zu spät war!