Informationssicherheit - Angstmache oder echte Gefahr

Ziel dieser Veranstaltung ist es, unter den Mitarbeitenden das Bewusstsein für
Informationssicherheitsfragen zu fördern. Sie sollen verstehen und abschätzen können, wo Sie
welche Risiken eingehen. In Bezug auf die IT-/Internet-Nutzung sollen Sie Hilfestellungen erhalten
sowohl für die Arbeit an der HSR als auch für die private PC-Nutzung.
1
Was heisst eigentlich „Risiko― genau?
Manche Menschen treiben Sport - das ist bestimmt eine Form von Risikofreudigkeit, riskiert man
doch Verletzungen der besonderen Art. Andere investieren in internationale Immobilienfonds. Es
gibt sogar Menschen, die lassen sich auf Geschäfte ein, von denen sie wissen, dass die unter
Umständen zu Verlusten führen können. Ein Armutsrisiko geht heute jeder Mensch ein, der Vater
oder Mutter wird. Also sind Menschen, die sich Kinder wünschen, auch risikofreudig. Auch sehr
risikofreudig sind Fußgänger, Fahrradfahrer und Autofahrer. Motorradfahrer sind noch
risikofreudiger und potentielle Nierenspender. Die Welt ist einfach voll von Risiken. Und der
Mensch lebt mitten drin. Ich erinnere sicherheitshalber gleich mal an Vogelgrippe, Rinderwahnsinn,
Legionärskrankheit und Salmonellen, nicht, dass hier jemand denkt, es sei gar nicht so schlimm mit
alle den Gefahren, die überall lauern… Und das Wetter, die Naturkatastrophen… Der Mensch
riskiert, wenn er lebt, ständig sein Leben.
In Österreich nahmen im Jahr 2005 rund 400‗000 Personen an Online-Glücksspielen teil und
verspielten dabei 1,4 Mrd. Euro.
Anhand von Spielen wie Lotto oder Toto lässt sich „Risiko― etwas formaler beschreiben. Es geht
um eine Abwägung von
- Kosten, um am Spiel teilzunehmen
- Erträgen bei erfolgreichem (gewonnenem) Spiel (Consequence, payoff)
- Wahrscheinlichkeiten, dass man mit dem Gewinn ein Mehrfaches des Spieleinsatzes
zurück erhält
http://de.wikipedia.org/wiki/Risiko
2
Das Bedrohungspotenzial (threat) und die Schwachstellen der
Abwehrmassnahmen (vulnerabilities) bestimmen die Gefahr
(Wahrscheinlichkeit eines Schadenfalls). Ziel ist es, die Höhe des Schadens
bzw. die bedrohten Werte (assets) und die Wahrscheinlichkeit für das
Eintreten eines Schadens für verschiedene Situationen abschätzen und
minimieren zu können. Das Risiko ist das Produkt aus „Wahrscheinlichkeit
eines Schadenfalls― mal „Schadensumme― bzw. Das Produkt aus
„Wahrscheinlichkeit eines Schadenfalls― mal „Bedrohung― mal
„Verletzlichkeit der Schutzmassnahmen―, wobei unter „Produkt― nicht die
echte mathematische Multiplikation, sondern lediglich eine „Abhängigkeit―
zu verstehen ist.
Allerdings kann das Risiko selten in Franken angegeben werden; ein
Vergleich bzw. ein Abwägen der Risiken in verschiedenen Situationen ist im
Rahmen einer Risikoanalyse aber möglich.
Das Risiko kann auf verschiedene Arten reduziert werden. Man kann
versuchen die Bedrohung und/oder den eintretenden Schaden zu reduzieren.
In der Regel wird aber vor allem versucht, den Erfolg eines Angriffs (bzw.
einer Bedrohung) durch Schutzmassnahmen zu reduzieren (security
protection measures). Die Kosten für diese Schutzmassnahmen werden
normalerweise umso grösser, je höher der Schutzgrad ist. Der Schaden sollte
entsprechend umso kleiner werden, je höher der Schutzgrad ist. Die
resultierenden Gesamtkosten dürften demnach bei einem bestimmten
Schutzgrad minimal werden.
3
Beschreiben Sie die Begriffe anhand von Beispielen aus dem Alltag. Geben Sie mögliche
Zwischenfälle aus Ihrem Umfeld an und versuchen Sie den Schaden zu beschreiben und zu
beziffern.
4
Weitere HSR-Umfeld Risiken
• Gesetze, Vorgaben: Vorgaben des KTSG Revisoren > Organisation, Sensibilisierung als
Empfehlungen
• Personendaten: Einhaltung Datenschutzgesetze
• Geheimhaltung von Informationen: Forschungsergebnisse, Strategien der Schulleitung
• Betriebssicherheit (Verfügbarkeit): F+R ein Tag ohne Dynamics (Axapta), Legic
(Zugangskontrolle, Kopieren/Drucken, Bezahlen), Telefon, Strom, Bandmelder, Parkhaus
5
An Information Asset is a definable piece of information, stored in any manner which is
recognised as 'valuable' to the organisation. The information which comprises an
Information Asset, may be little more than a prospect name and address file; or it may
be the plans for the release of the latest in a range of products to compete with
competitors.
Irrespective, the nature of the information assets themselves, they all have one or more
of the following characteristics :
• They are recognised to be of value to the organisation.
• They are not easily replaceable without cost, skill, time, resources or a combination.
• They form a part of the organisation's corporate identity, without which, the
organisation may be threatened.
• Their Data Classification would normally be Proprietary, Highly Confidential or even
Top Secret.
It is the purpose of Information Security to identify the threats against, the risks and the
associated potential damage to, and the safeguarding of Information Assets.
[Ref: http://www.yourwindow.to/information-security/gl_informationasset.htm]
6
Das IT-Grundschutzhandbuch ist in fünf Schichten strukturiert und jeder Schicht sind
mehrere Bausteine zugeordnet. Für die verschiedenen Schichten sind typischerweise
unterschiedliche Gruppen der Organisation zuständig.
Schicht 1: Übergreifende Aspekte: Die hier zugeordneten Bausteine gelten für
sämtliche oder große Teile eines IT-Verbunds und betreffen in erster Linie
grundsätzliche organisatorische Aspekte der IT-Sicherheit. Typische Bausteine dieser
Schicht sind IT-Sicherheitsmanagement, Organisation, Datensicherungskonzept und
Computer-Virenschutzkonzept.
Schicht 2: Infrastruktur: Diese Bausteine umfassen die baulich-technischen Aspekte
der IT-Sicherheit, beispielsweise Gebäude, Räume, Schutzschränke und häuslicher
Arbeitsplatz. Die Maßnahmenbündel dieser Bausteine dienen insbesondere dem
physikalischen Schutz, zum Beispiel vor Feuer, Wasser oder Diebstahl.
Schicht 3: IT-Systeme: Diese Bausteine enthalten die Maßnahmenbündel für vernetzte
und nicht vernetzte IT-Komponenten (z. B. Server, Clients und
Telekommunikationsgeräte).
Schicht 4: Netze: In diese Schicht sind die Bausteine gruppiert, die Netzaspekte
behandeln. Dazu gehören heterogene Netze, Netz- und Systemmanagement und
Firewall.
Schicht 5: IT-Anwendungen: Hier finden Sie Bausteine für ausgewählte
Anwendungen wie E-Mail, WWW-Server, Faxserver und Datenbanken.
7
The Internet is a global system with
•local law (e.g. computer security, data protection law)
•with various techno-political environments
•with an almost unlimited number of „guests―
Key points in the Internet situation are
•increased complexity
•increased dependency (as a person, as a company, as a state)
•increased difficulty to separate (network sections, users)
How much criminal power may be within such a large and complex system?
Reference to Internet Statistics
•Internet domain survey host count Jul 2006|439,286,364 hosts (number of IP addresses that have
been assigned a name ) http://www.isc.org/ds/
•http://www.gvu.gatech.edu/user_surveys/
•Worldwide Internet Population 2005: 1.08 billion (Computer Industry Almanac)
http://www.clickz.com/stats/big_picture/geographics/article.php/151151
•Internet Users in Switzerland: 5,097,822 (2005)
https://www.cia.gov/cia/publications/factbook/fields/2153.html
8
In den ersten Monaten des Jahres 2004 sahen sich Online-Kunden der Basler
Kantonalbank, der UBS und der Zürcher Kantonalbank mit dem Thema Phishing
konfrontiert.
Nach Angaben der Staatsanwaltschaft Bonn gelang es im August 2004 Betrügern, von
zwei Postbank-Konten insgesamt 21‗000 Euro abzuheben. Ein Kunde bemerkte die
unrechtmässige Überweisung von 9‗000 Euro rechtzeitig und stornierte sie, so
berichtet die «Financial Times Deutschland». Im zweiten Fall sei die Abbuchung von
12‗000 Euro bei einer bankinternen Sicherheitsprüfung aufgefallen und gestoppt
worden. Gemäss «Spiegel» gab es in Deutschland seit Mitte Mai mindestens zehn
Wellen von Phishing-Angriffen; in rund vierzig Fällen hätten es die Betrüger
geschafft, eine Geldüberweisung auszulösen - bis zu einer Höhe von 50‗000 Euro.
Zwei Zahlungen seien erst in letzter Minute bei osteuropäischen Banken gestoppt
worden.
Wegen einer gross angelegten Phishing-Attacke sah sich die MIGROSBANK am
Montag 22.8.2006 gezwungen, im Interesse ihrer Kunden den Zahlungsverkehr via
M-BancNet einzustellen. Nachdem sich die Massnahmen zum Schutz der Kunden als
wirksam erwiesen haben, konnte die MIGROSBANK Dienstag Mittag die MBancNet-Zahlungen wieder freigeben.
9
Mit der Eingabe von http://www.meinebank.ch im Browser werden
Anfragen übers Internet zum WWW-Server geschickt und die Antworten
kommen übers Internet zurück zum Browser. Die Daten werden
unverschlüsselt übertragen, d.h. sie könnten auf dem Übertragungsweg
eingesehen werden.
10
An SSL session is initiated as follows:
• On the client (browser) the user requests a document with a special URL
that commences https: instead of http:, either by typing it into the URL input
field, or by clicking on a link.
• The client code recognizes the SSL request and establishes a connection
through TCP port 443 to the SSL code on the server.
• The client then initiates the SSL handshake phase, using the SSL Record
Protocol as a carrier. At this point, there is no encryption or integrity
checking built in to the connection.
The SSL protocol addresses the following security issues:
•Confidentiality After the symmetric key is established in the initial
handshake, the messages are encrypted using this key.
•Integrity Messages contain a message authentication code (MAC) ensuring
the message integrity.
•Authentication During the handshake, the client authenticates the server by
checking the signatures on the server‘s certificate.
SSL requires each message to be encrypted and decrypted and therefore has a
high performance and resource overhead.
11
Ein Man-In-The-Middle-Angriff (MITM-Angriff), auch Janusangriff (nach
dem doppelköpfigen Ianus der römischen Mythologie) genannt, ist eine
Angriffsform, die in Rechnernetzen ihre Anwendung findet. Der Angreifer
steht dabei entweder physikalisch oder – heute meist – logisch zwischen den
beiden Kommunikationspartnern und hat dabei mit seinem System komplette
Kontrolle über den Datenverkehr zwischen zwei oder mehreren
Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen
und sogar manipulieren. Die Janusköpfigkeit des Angreifers besteht darin,
dass er den Kommunikationspartnern das jeweilige Gegenüber vortäuschen
kann, ohne dass sie es merken.
http://de.wikipedia.org/wiki/Man-In-The-Middle-Angriff
12
Webseiten, welche die Eingabe sensitiver Informationen verlangen, sollten immer über
verschlüsselte Verbindungen kommunizieren.
Die Merkmale solcher Verbindungen sind das „https― im URL, der URL muss mit der gewünschten
Site übereinstimmen (z.B. www.onba.ch) und es sollte angezeigt sein, dass die Verbindung
verschlüsselt betrieben wird.
Mit „Rechtsklick― auf die Seite erhält man weitere Informationen zur angezeigten Webseite.
13
Real Phishing examples can be studied at MailFrontier Phishing IQ Test II ,
http://survey.mailfrontier.com/survey/quiztest.html. The Paypal Phishing
mail showed a Address Bar Spoofing attack
(http://www.antiphishing.org/phishing_archive/05-10-05_Paypal/05-1005_Paypal.html)
2004-05-13 Opera Browser Address Bar Spoofing Vulnerability, 200408-16 Internet Explorer Address Bar Spoofing Vulnerability
The vulnerability is caused due to an input validation error, which can be
exploited by including the "%01" and "%00" URL encoded representations
after the username and right before the "@" character in an URL.
Example displaying only "http://www.trusted_site.com" in the two
bars when the real domain is "malicious_site.com":
http://www.trusted_site.com%01%00@malicious_site.com/malicious
.html
References:
http://www.microsoft.com%00@secunia.com/internet_explorer_address_bar
_spoofing_test/
http://secunia.com/internet_explorer_ address_bar_spoofing_test
14
Von dem Konto des Klägers war ohne dessen Wissen und Wollen ein Betrag von rund 3000 Euro
abgebucht und auf das Konto des Beklagten eingezahlt worden. Dieser hatte das Geld daraufhin per
Western Union an eine Person in Russland weitergeleitet. Mit diesem Dritten hatte der Beklagte
zuvor nur Kontakt per E-Mail gehabt. In dem Weitertransfer des vom Konto des Klägers aufgrund
eines Computerbetrugs gemäß Paragraph 263a StGB überwiesenen Geldes liegt nach Ansicht des
Gerichtes eine strafbare Geldwäsche.
Der Beklagte habe dabei leichtfertig nicht erkannt, dass das Geld aus einem Computerbetrug
stammte. Im vorliegenden Fall hätte es für den Beklagten auf der Hand liegen müssen, dass das
Geld nicht, wie von seiner E-Mail-Bekanntschaft angegeben, aus einer Erbschaft zu deren Gunsten,
sondern aus kriminellen Machenschaften stammen musste.
Auf Leichtgläubigkeit setzen die Phisher auch mit Spam-Mails, die hohe Nebeneinkünfte mit
leichter Arbeit versprechen. Der a-i3 liegen komplette, seriös erscheinende Arbeitsverträge
inklusive Urlaubsregelung vor, die lediglich zum Ziel haben, dass der geworbene "Mitarbeiter"
Geld überwiesen bekommt und weiterreicht. Derzeit eingehende E-Mails zur Anwerbung von
Geldwäschern tragen Betreffzeilen wie "Transaction Manager position.", "Regional Manager",
"Sind Sie fertig Ihr Einkommen zu erhöhen?", "Mitarbeiter gesucht! TheTraidingBay 2006" oder
einfach nur "hi". Die Absender solcher "Stellenangebote" legen in der Regel insbesondere Wert
darauf, dass das Opfer schnell im Internet kommunizieren kann und über ein eigenes Bankkonto
verfügt.
15
Es gibt verschiedenste Ansätze zur Gefährdungsklassierung:
Die Grundschutzkataloge des deutschen Bundesamtes für Sicherheit in der
Informationstechnik (BSI) unterscheiden zwischen
•
Höhere Gewalt
•
Organisatorische Mängel
•
Menschliche Fehlhandlungen
•
Technisches Versagen
•
Vorsätzliche Handlungen
Andere klassieren wie folgt:
•
Environment: external expectations, internal expectations, social
environment, Legislation, dependencies, ... (Umgebungseinflüsse
(Beispiel zum Umfeld: Soziales Umfeld und LettenDrogenumschlagplatz in der Nähe eines Migros-Einkaufszentrums in
Zürich Bedrohungsquellen))
•
Accidents: fire, water, etc. / major damage, loss of all systems, ...
•
Errors: application, implementation, usage, ... (Unzuverlässigkeit der
Informationsinfrastruktur bzw. ihrer Komponenten)
•
Attacks: theft, sabotage, logical attack, ... (Deliktische Handlungen
durch Mitarbeiter
16
The security threat is changing dramatically and customers need to be cognizant of the implications for their security strategies
in the years ahead: namely, that vigilance and agility will remain key, and a comprehensive approach to security will continue to
be required. A set of ―profiles‖ of various participants in the hacker community, is derived from actual data gathered by
Microsoft researchers and engineers who are working with national law enforcement agencies in the US. They are based on
numerous real-life incidents (the details of which Microsoft cannot disclose publicly) where the perpetrators are either known or
reasonably well-guessed. The threat situation can be structured by various levels of ―motivation‖ (from ―Curiosity‖ to ―National
Interest‖) and ―expertise and resources‖ (from the entry-level ―Script-Kiddy‖ to the formidable ―Specialist‖).
•The ―Author‖ is the highly-capable hacker who has the tools and expertise to reverse-engineer a patch and write exploit code,
or find vulnerabilities in security software, hardware, or processes. Authors are generally motivated by ego, ideology, and/or
personal fame. Authors create the building blocks for criminal hackers, and their work scales out in all directions. For one, the
tools and code they produce are usually made readily available to the less-sophisticated, meaning that the Vandals and the
Script-Kiddies are able to cause a lot more trouble with less work.
•The ―Thieves‖ are people who are in it for the money, and they include organized crime syndicates from around the world.
Thieves are active and effective in hacking into corporate and enterprise systems, sometimes to steal information that has
monetary value (such as credit card numbers), sometimes to divert cash into their accounts, and sometimes to extort payments to
prevent their systems or data from being exposed to the public. It‘s impossible to calculate the losses caused by thieves because
their work is often not publicly reported. Law enforcement agencies around the world are beginning to address the problem
seriously. The greatest financial losses will be incurred because of Thieves. Cyber-theft is the fastest-growing threat in security.
The Thieves benefit from the author‘s efforts. This makes the Author a very interesting person to law enforcement
organizations, who play an increasingly important role in helping to combat criminal hackers.
•The ―Spies,‖ who work on behalf of governments, are highly skilled, and have virtually unlimited resources. And the largest
expenditures on protection – building strong defenses – are made, not surprisingly, by the Spies.
[Source: Microsoft]
17
Eine der gegenwärtig grössten Gefahren stellen einerseits die vielen
ungeschützten Rechner im Privatbereich dar. Andererseits ist die Tatsache,
dass sich Angreifer heute nicht mehr profilieren sondern vielmehr verstecken
wollen ein Problem. Hatte man noch vor zwei Jahren relativ schnell
festgestellt, wenn jemand ein bösartiges Programm auf seinen Rechner
eingespielt hat, so ist dem heute nicht mehr so. Man rechnet, dass in
manchen Regionen bis zu 7% der Rechner durch Fremde kontrolliert werden
können. Dazu haben sie kleine Programme (Bots) auf die Rechner gespielt
und steuern diese Programme nach Bedarf. Beispielsweise zum Versand von
SPAM-Mails, um bestimmte Rechner zu überfluten (Distributed Denial of
Service, DDOS) oder um Tastatureingaben und Bildschirmausgaben
abzufangen.
Mar 19, 2007: Symantec tracked 6 million separate bots—compromised
computers used to send spam or steal personal data—controlled by roughly
4,700 separate servers through so-called "bot herders" who could be
anywhere in the world. During the same six-month period, from last July
through December, Symantec also watched 332 of what it calls
"underground economy servers," where stolen personal data, such as credit
card and bank account information, is routinely bartered and sold. According
to Alfred Huger, Symantec‘s vice president of engineering, it‘s not unusual
for these underground economy servers to be the same as those maintained
by the bot herders. http://www2.csoonline.com/blog_view.html?CID=32583
18
Nach Meinung von SecureWorks lasse das Ergebnis darauf schließen, dass in den USA und China
besonders viele verwundbare Rechner stünden. In China seien bereits ganze Universitätsnetze in der
Hand lokaler Hacker, die damit große Botnetze aufbauten. Zudem seien viele Rechner in Schulen,
Datencentern und Unternehmen infiziert, offenbar ohne dass es jemandem dort auffalle. Oftmals
hätten die Hacker auch "Insider" mit direktem Zugriff auf den dazugehörigen Netzen. Japanische
und polnische Hacker hätten offenbar ähnliche Vorlieben bei der Wahl verwundbarer Rechner und
würden Rechner im eigenen Land kompromittieren, um sie für Angriffe auf andere Rechner zu
missbrauchen.
Laut SecureWorks zeigen die Ergebnisse unter anderem, dass es uneffektiv sei, auf einer Firewall
nur die IP-Adressräume anderer Länder zu sperren, um sich vor Angriffen zu schützen. Angriffe auf
Rechner von SecureWorks-Kunden habe der Sicherheitsdienstleister zudem aus Brasilien 166.987mal, aus Süd Korea 162.289-mal, aus Polen 153.205- und aus Deutschland 110.493-mal beobachtet.
SecureWorks schlägt zur Abwehr neben Virenscannern und regelmäßigen Updates den Einsatz von
Blacklists vor, um die Kommunikation mit bekannten bösartigen Netzen zu unterbinden.
http://www.secureworks.com/media/press_releases/20080922-attacks
19
[18.12.2006 10:10] http://www.heise.de/security/news/meldung/82679
In Untergrund-Foren werden bereits Exploits für Microsofts neuestes Betriebssystem Windows Vista verhökert, mit
denen sich ein Rechner kompromittieren lässt, berichten US-Medien. Laut Trend Micro[1] seien bis zu 50.000 USDollar auf den Online-Auktionen ähnelnden Seiten geboten worden. Aber auch Exploits für andere Software würden
dort gehandelt, je nach Popularität der Programme und Zuverlässigkeit des Exploits für Summen zwischen 20.000 und
30.000 US-Dollar. Zudem sollen sich komplette Bots und Trojaner erwerben lassen: Ein Trojaner zum Stehlen von
Daten soll zwischen 1000 und 5000 US-Dollar bringen, ein Bot zum Aufbau etwa einer Spam-Armee ist für 5000 bis
20.000 Dollar zu haben.
Auch die mit Trojanern geklauten persönlichen Daten und virtuellen Währungen etwa aus Online-Spielen stünden zum
Verkauf. Kreditkartennummern inklusive PIN gehen für 500 Dollar über den Tisch. Ohne gültige PIN, aber dafür mit
dreistelligem Sicherheitscode und Ablaufdatum kostet eine Kreditkartennummer nur noch 25 Dollar. Ein eBay- oder
PayPal-Account schlägt gerade noch mit 7 Dollar zu Buche. Bereits Ende vergangenen Jahres zeigte sich beim WMFExploit[2], wie lukrativ es sein kann, mit Schadsoftware Geld zu verdienen. Damals hatte Kaspersky Hacker in
russischen Foren beobachtet, die den Exploit für 4000 Dollar angeboten und verkauft hatten[3]. Kurze Zeit darauf
versuchten zahlreiche Webseiten, Besucher über den Exploit mit Trojanern zu infizieren.
[1] http://de.trendmicro-europe.com/
[2] http://www.heise.de/security/news/meldung/67794
[3] http://www.heise.de/security/news/meldung/69207
[4] mailto:dab@ct.heise.de
20
Bochum 22.10.2007 Cybercrime zu Schleuderpreisen - Einsteigerpaket für Nachwuchs-Spammer
bereits ab 140 Euro
http://www.gdata.de/unternehmen/DE/articleview/3920/1/160/
"Die Professionalisierung der Online-Kriminellen ist nichts Neues. Wir haben es bereits seit Jahren
mit einer Industrie zu tun, die im Internet kriminelle Dienstleistungen im großen Rahmen anbietet",
sagt Ralf Benzmüller, Leiter der G Data Security Labs. "Nach dem Motto 'Darf es auch etwas mehr
sein?', bieten die Cyber-Kriminellen ihre Dienstleistung oft in Kombinationen an. DDoS-Attacken
auf Mitbewerber und zeitgleicher Versand von Spam sind nicht ungewöhnlich", so Benzmüller.
Bereits für wenige hundert Euro sind gezielte Angriffe auf Webangebote oder der Versand von
Millionen von Spam-E-Mails als Auftragsarbeit möglich. Die Cyber-Kriminellen operieren hierbei
in Netzwerken, um möglichst viele Facetten der kriminellen Dienstleistungen aus einer Hand
anbieten zu können.
Die Webseite "WabiSabiLabi„ www.wslabi.com ist das Ebay oder Ricardo für Cyber-Kriminelle.
Hier können Hacker ab 500 Euro aktuelle Windows- und Linux-Sicherheitslücken ersteigern.
21
Q&A What is WabiSabiLabi?
OCTOBER 11, 2007 | CHIASSO, Switzerland -- In just two months the IT security vulnerabilities
marketplace launched by WabiSabiLabi (WSLabi) that encourages security researchers to sell their findings
in an open marketplace to legitimate organisations, big or small, exceeded all expectations with over 150
vulnerabilities submitted. IT security experts have jumped at the opportunity to sell their research in a safe
environment to an eager and ready audience of vetted buyers prepared to pay a fair price to get their hands on
the latest IT security vulnerabilities.
Q: Do you trade zero day vulnerabilities?
A: First let's use the proper terminology, there is no zero day vulnerability, instead there is Security Research,
which is the job of a skilled security researcher. Our scope is to provide an institutional market place in which
security researchers can offer place their work to the market through a platform designed to maximize their
reward.
Q: How much do you pay for a zero day security research?
A: You don't sell to WabiSabiLabi". Rather you sell through it like any other institutional market exchange.
WabiSabiLabi doesn't directly pay anything, rather we mediate a your sale/purchase on behalf of researchers
by providing a secure market environment aimed to maximize the security researcher's reward, therefore we
maintain:
- a Research Department
- a test-drive laboratory
- an transparent exchange platform
- a secure payment system
Security research will only be placed on the market place, only after being validated by our labs and being
"dressed" with our complementary material and services. We will also help researchers to design the best
business model (Such as: selling schemes, starting selling price etc.) in order to maximize the value creation.
22
Internet-Browser sind auf Clickjacking-Attacken anfällig: Beim „Clickjacking―¨überdeckt der
Angreifer legitime Links mit anderen Links, welche kaum oder nur sehr kurz sichtbar sind.
Anwender führen so Anwendungen aus, meinen aber lediglich auf einen legitimen Link geklickt zu
haben. Mittels Cascading Style Sheet (CSS) können unsichtbare iframes über beliebige Webseiten
gelegt werden.
Beispiele:
• Ein Programm wird durch einfaches Drag&Drop auf einer Web-Seite in den Autostart-Ordner
gelegt
• Mit definiert er die
• Beim Klick auf ein Bild wird die JavaScript Methode onmousedown() aufgerufen und das Bild auf
der Seite verschoben. Die veränderten Koordinaten beim Loslassen des Maus-Buttons suggerieren
dem Browser ein Drag-&-Drop-Event. Dieses Problem wurde von Microsoft bereits einmal
behoben, lässt sich aber mit Popup-Fenstern immer noch ausnutzen. So fügt eine Demonstration
eines Sicherheitsexperten, der als "Paul" auftritt, einen Link in die Favoritenliste des Internet
Explorers ein.
Schutz gegen Clickjacking verspricht das Firefox-Plug-in NoScript in der Version 1.8.2.1. Die neue
ClearClick-Funktion soll verborgene, durchsichtige oder anderweitig verschleierte Dialoge oder
Frames beim Anklicken sichtbar machen.
http://www.heise.de/security/news/meldung/117055 bzw.
http://guya.net/security/clickjacking/game.html
23
The survival time is calculated as the average time between reports for an average target IP address. If you are
assuming that most of these reports are generated by worms that attempt to propagate, an unpatched system
would be infected by such a probe. The average time between probes will vary widely from network to
network. Some of our submitters subscribe to ISPs which block ports commonly used by worms. As a result,
these submitters report a much longer 'survival time'. On the other hand, University Networks and users of
high speed internet services are frequently targeted with additional scans from malware like bots. If you are
connected to such a network, your 'survival time' will be much smaller. The main issue here is of course that
the time to download critical patches will exceed this survival time.
Typical windows ports: appr. 100 minutes survival time
Typical unix ports: appr. 700 minutes survival time
http://isc.sans.org/survivaltime.html; http://www.dshield.org/survivaltime.html
David John Leversage, Eric James Byres, „Estimating a System‘s Mean Time-to-Compromise―, IEEE
Security & Privacy, Volume 6, Issue 1, Jan.-Feb. 2008, p. 52 – 60.
Mean time-to-compromise is a comparative security metric that applies lessons learned from physical
security. To address this need in the Supervisory Control and Data Acquisition (SCADA) world specifically
and the corporate IT security world more generally, we propose a mean time-to-compromise (MTTC) interval
as an estimate of the time it will take for an attacker with a specific skill level to successfully impact a target
system. We also propose a state-space model (SSM) and algorithms for estimating attack paths and state
times to calculate these MTTC intervals for a given target system. Although we use SCADA as an example,
we believe our approach should work in any IT environment.
Die Zeiten von Sasser & Co sind vorbei. Selbst der klassische E-Mail-Trojaner ist nicht mehr das
Hauptproblem. Heute fängt man sich Schad-Software primär beim Surfen ein. Hunderttausende Web-Sites
sind kompromittiert und nutzen Sicherheitslücken in Internet Explorer, Adobe Reader, Flash Plugin und was
weiß ich noch allem aus. Das sind die realen Gefahren des Internet für normale Anwender.
24
http://www.youtube.com/watch?v=XGw9MEURYiY
September 18, 2007
We at http://www.geekteks.com can help you secure your PC. We can search for, find, and remove
almost any kind of malware including but not limited to: worms, trojans, viruses, spyware, rootkits,
and netbots. Have us secure your PC for you today! Call 877.GEEK.TEK (433.5835) for more
information or visit our web site.
• 6 days with up-to-date anti-virus and firewall: 538 suspect files, including a password cracker
installed by LimWire
• 13 hours with weakened anti-virus and firewall: 107 suspect files, one was loaded, when the P2P
software was downloaded
• Installing software that you do not fully understand can be very dangerous
25
The expression drive-by download is used in three increasingly strict meanings:
1. Any download that happens without knowledge of the user. Download of spyware, a
computer virus or any kind of malware that happens without knowledge of the user.
2. Drive-by downloads may happen by visiting a website, viewing an e-mail message or by
clicking on a deceptive popup window: the user clicks on the window in the mistaken
belief that, for instance, it is an error report from his own PC or that it is an innocuous
advertisement popup; in such cases, the "supplier" may claim that the user "consented" to
the download though he was completely unaware of having initiated a malicious software
download.
3. Download of malware through exploitation of a web browser, e-mail client or operating
system bug, without any user intervention whatsoever. Websites that exploit the Windows
Metafile vulnerability may provide examples of "drive-by downloads" of this sort.
The expression drive-by install (or installation) is completely analogous and refers to
installation rather than download (though sometimes the two are used interchangeably).
Beim Drive-by-Pharming werden eine Webseite oder eine E-Mail-Nachricht so präpariert,
dass sie die DNS-Einstellungen des Breitbandrouters ändert, mit dem der Anwender mit dem
Internet verbunden ist. Konkret wird die Routingtabelle so manipuliert, dass der Surfer nicht
auf der gewünschten Seite, sondern auf einer vom Hacker eingerichteten Page landet, welche
die Originalseite imitiert.
26
E-Mail-Ergebnisse ist die Gesamtbewertung von SiteAdvisor für die E-Mail-Praktiken einer Website. Wir
klassifizieren Websites auf der Grundlage dessen, wie viele E-Mails sie versenden, sowie auf Grundlage des
Spam-Faktors, den diese Mails aufweisen. Wenn einer dieser Werte über dem von uns festgelegten Grenzwert
liegt, statten wir diese Site mit einer gelben Warnung aus. Wenn beide Werte hoch sind oder einer besonders
auffällig ist, statten wir diese Site mit einer roten Warnung aus.
Downloads gibt die Gesamtbewertung von SiteAdvisor zu den Auswirkungen an, die die herunterladbare Software
einer Site auf unseren Test-Computer hatte. Sites mit virusinfizierten Downloads oder solche, die zusätzliche
Software hinzufügen, die die Benutzer als Adware oder Spyware ansehen würden, erhalten rote Flaggen. Die
Bewertung berücksichtigt auch die Netzwerkserver, zu denen ein Programm während der durchgeführten
Transaktionen eine Verbindung herstellt, sowie jegliche Veränderungen, die an den Browsereinstellungen oder den
Registrierungsdateien eines Computers vorgenommen werden.
Online-Partnerschaften betrachtet die Aggressivität, mit der eine Site versucht, Sie auf andere Sites
weiterzuleiten, die wir als "rot" markiert haben. Es ist im Internet üblich, dass verdächtige Sites enge
Verbindungen zu anderen verdächtigen Sites aufweisen. Der Hauptzweck dieser "fütternden" Sites ist es, Sie dazu
zu bewegen, die verdächtige Site zu besuchen. Eine Site kann eine rote Warnung erhalten, wenn sie beispielsweise
zu aggressiv versucht, Sie auf andere rote Sites weiterzuleiten. Eine Site kann tatsächlich auch "rot durch
Verbindung" werden, wenn die Verbindung zu einer als rot klassifizierten Domäne zu eng ist.
Störende Praktiken sind häufig genutzte Web-Praktiken, die den Benutzer stören, wie eine überhöhte Anzahl an
Popups, Aufforderungen, die Homepage eines Benutzers zu verändern, oder Aufforderungen, eine Site zur
Favoritenliste des Browsers hinzuzufügen. Wir listen in diesem Abschnitt auch Cookies von Dritten auf
(manchmal auch als "Nachverfolgungs-Cookies" bezeichnet). Wenn eine Website viele Popups aufweist und wenn
sie insbesondere Praktiken ausübt, wie das Öffnen mehrerer Fenster, wenn Sie versuchen, eines zu schließen,
erteilen wir dieser Website eine rote Flagge.
Exploits sind selten, stellen aber sehr gefährliche Sicherheitsbedrohungen dar, die dadurch entstehen, dass eine
Website die Sicherheitsschwachstelle eines Browsers ausnutzt. Der Exploit kann dazu führen, dass der Computer
eines Benutzers Programmierungscode erhält, der zu Adware-Infektionen, Keystroke-Spionage und anderen
schädlichen Aktionen führen kann, die einen Computer gänzlich zerstören können.
27
Compares the safety of leading search engines, using McAfee SiteAdvisor‘s automated Web
site ratings. We find that AOL returns the safest search results, while Yahoo! returns the greatest
percentage of risky results. Since May 2006, search engine results have become safer, primarily
due to improved safety of sponsored results on Google, AOL, and Ask. Despite this
improvement, dangerous sites are found in search results of all of the top five search engines,
and sponsored results continue to be significantly less safe than search engines‘ organic results.
1. ―Red‖ rated sites failed McAfee SiteAdvisor‘s safety tests. Examples are sites that distribute
adware, send a high volume of spam, or make unauthorized changes to a user‘s computer.
2. ―Yellow‖ rated sites engage in practices that warrant important advisory information based
on McAfee SiteAdvisor‘s safety tests. Examples are sites which send a high volume of ―nonspammy‖ e-mail, display many pop-up ads, or prompt a user to change browser settings.
Overall, 4.0% of search results link to risky Web sites, which marks an improvement from 5.0%
in May 2006. Dangerous sites are found in search results of all 5 of the top US search engines
(representing 93% of all search engine use).
The improvement in search engine safety is primarily due to safer sponsored results. The
percentage of risky sites dropped from 8.5% in May 2006 to 6.9% in May 2007. However,
sponsored results still contain 2.4 times as many risky sites as organic results.
AOL returns the safest results: 2.9 % of results rated red1 or yellow2 by McAfee SiteAdvisor.
At 5.4%, Yahoo! returns the most results rated red or yellow.
Google, AOL, and Ask have become safer since May 2006, with Ask exhibiting the greatest
improvement. The safety of search results on Yahoo! and MSN has declined.
28
The expression drive-by download is used in three increasingly strict meanings:
Any download that happens without knowledge of the user.
Download of spyware, a computer virus or any kind of malware that happens without knowledge of
the user. Drive-by downloads may happen by visiting a website, viewing an e-mail message or by
clicking on a deceptive popup window: the user clicks on the window in the mistaken belief that,
for instance, it is an error report from his own PC or that it is an innocuous advertisement popup; in
such cases, the "supplier" may claim that the user "consented" to the download though he was
completely unaware of having initiated a malicious software download.
Download of malware through exploitation of a web browser, e-mail client or operating system bug,
without any user intervention whatsoever. Websites that exploit the Windows Metafile vulnerability
may provide examples of "drive-by downloads" of this sort.
The expression drive-by install (or installation) is completely analogous and refers to installation
rather than download (though sometimes the two are used interchangeably).
In April 2007 researchers at Google discovered hundreds of thousands of web pages performing
drive-by downloads.
29
1. Organize
• Identify the weakest link on a broad scale
• Consider technical, organizational and operational aspects
• Define security policy, define responsibilities
• Awareness building
2. Protect: Encryption and authentication
• Encrypt stored files and transmitted information
• At various OSI-Layers: Application data (PGP, SSH, ...), Socket (specific Port /
IP-Address Combination, SSL), IP-Connection, Link (Point-to-point e.g. leased
line)
• Install patches … unplug systems
• install recovery procedures (backup, information / media communication)
• Informatics, communication, physical (building locking system), fire,
employees, ..
3. Limit access, filtered traffic
• Physical access, password, firewall, ...
• Filter/limit traffic (traffic separation) to specific sections of the network (based
on applications, sessions, IP-addresses: IP-subnetting, MAC-Layer Switching
• structured cabling
4. Combine multiple security measures
• Mulitlevel security, in-depth security
5. Control, monitor, verify, check, act (detect attacks, check your systems). react and
correct
• Intrusion Detection, Vulnerability Testing
• Security Checks
30
Im Bereich Internet Sicherheit gibt es verschiedenste technische
Massnahmen zur Verbesserung der Sicherheit. Diese basieren beispielsweise
auf folgenden Ansätzen:
•Einschränkung des Datenverkehrs (Limit, „Wissen nur wenn nötig―): Dies
wird beispielsweise durch Router und Firewalls erreicht. Im weiteren Sinne
könnte man aber auch die Zugangsregelung mittels Benutzername/Passwort
dazu zählen. Im weiteren Sinne ist auch die Überprüfung und allfällige
Löschung von Daten bei Viren-Scannern eine „Filterungsmassnahme―.
•Verschlüsselung und Authentisierung: Hier stellt der mittels https bzw.
Secure Socket Layser (SSL) gesicherte Webzugang die wichtigste
Massnahme dar. Die Authentisierung spielt aber auch in Zusammenhang mit
Benutzername/Passwort Zugang eine Rolle.
•Kontrolle: Intrusion Detection Systeme (IDS), Intrusion Prevention Systems
(IPS) oder Honey Pots sollen helfen, trotz aller Schutzmassnahmen erfolgte
Einbrüche zu detektieren bzw. abzuwenden.
31
Gemäss mehreren Studien entstehen die meisten IT-Sicherheitsprobleme durch Fehlverhalten von
Mitarbeitern. Klare Richtlinien regeln unter anderem den Meldeprozess bei Unregelmässigkeiten
oder Vermutungen über Lücken im Sicherheitskonzept. Die IT-Benutzerrichtlinien müssen nicht nur
klar verständlich sein, sondern auch angewendet werden. Dazu hilft ein Pflichtenheft, das die
Aufbauorganisation und Verantwortlichkeiten bezüglich IT-Sicherheit bestimmt und die
Sensibilisierung der Mitarbeiter regelt. Ein Single-Sign-On-Konzept, das dem Benutzer nach einer
einmaligen Authentifizierung den Zugriff auf alle Rechner und Dienste ermöglicht, für die er
berechtigt ist, entlastet die Mitarbeiter und erleichtert ihnen dadurch die Einhaltung der Richtlinien.
Datenschutzrichtlinien definieren den Umgang mit dem schützenswerten Charakter persönlicher
Daten von Kunden, Partnern, Mitarbeitenden und anderen Personen. Die Zugriffsrechte der
Mitarbeiter auf Geschäftsdaten müssen genau definiert sein, um den Datenschutz auch intern
sicherzustellen.
Einige einfache Regeln für den Alltag ergänzen die organisatorischen Aspekte. Ein klarer und
logischer Aufbau der Dokumentenablage spart Zeit bei der Dokumentensuche, verringert die Gefahr
von Datenverlust und verhindert, dass sensible Dokumente durch Zufall von Unbefugten entdeckt
werden. Ausserdem sollten alle Mitarbeiter ausschliesslich starke Passwörter verwenden und diese
periodisch austauschen.
http://www.orbit-iex.ch/htm/it-sicherheit-wie.htm
Weitere Beispiele:
http://www.esso.de/auftanken/sicherheit/org_massnahmen/index.html
http://www.helvetia.ch/privatkunden/service/pk_service_org_massnahmen_d.pdf-link
32
Word und Excel stellen unter „Extras > Optionen > Registerkarte Sicherheit― zwei
Schutzfunktionen zu Verfügung: Dateiverschlüsselungsoptionen (Kennwortschutz zum Öffnen) und
Dateifreigabeoptionen (Kennwort zum Ändern).
PDF-Dokumente können über ein „Document Open Password― (auch User-Passwort genannt) vor
dem Zugriff durch Unberechtigte geschützt werden. Ähnlich wie bei Office sind verschiedene
Verschlüsselungsmethoden mit 40- bis 128-Bit-Schlüssellängen verfügbar. Mit dem „Change
Permission Password― (auch Master-Passwort genannt) lassen sich ferner Aktionen wie Dokument
Drucken, Bearbeiten oder Kopieren einschränken.
Die bekannte Komprimierungssoftware WinZip unterstützt 128- und 256-Bit AES-Verschlüsselung.
Der Advanced Encryption Standard (AES) gilt als sicher und wird vom NIST (National Institute of
Standards and Technology), d.h.
33
34
35
Decrypton kann „schwach verschlüsselte― Dokumente verschlüsseln. Office 2003 verwendete in der
Grundeinstellung eine „schwache Verschlüsselung― (Office97/2000 Kompatibilitätsmode). Stärkere
Office 2003 Verschlüsselung kann Decryptum nicht brechen.
Office 2007 verwendet Verschlüsselungsverfahren, welche Decryptum nicht brechen kann.
36
37
38
Decrypton kann „schwach verschlüsselte― Dokumente verschlüsseln. Office 2003 verwendete in der
Grundeinstellung eine „schwache Verschlüsselung― (Office97/2000 Kompatibilitätsmode). Stärkere
Office 2003 Verschlüsselung kann Decryptum nicht brechen.
Office 2007 verwendet Verschlüsselungsverfahren, welche Decryptum nicht brechen kann.
39
•Mittlerweile bieten die meisten E-Mail Programme auch Verschlüsselung
und Signaturen an.
•Basiert auf hybrider Verschlüsselung (Public Key bzw. Zertifikat zum
Schlüsselaustausch, symmetrische Verschlüsselung zur Übertragung)
•Standards:
•Für E-Mail Verschlüsselung: S/MIME
•Für Schlüssel (Zertifikate): X.509
•Proprietäre Lösungen:
•Lotus Notes
•In gewissen Kreisen weit verbreitet (z.B. bei CERT): PGP
40
41
42
• Identification establishes who you claim to be: The user claims an identity, usually by supplying a
user ID or a user name.
• Authentication verifies that you are who you claim to be: The user supplies authentication
information, which proves the binding between the user and the identity. This authentication
information and binding to users have to be done in a provisioning phase (e.g. when personally
show up at a government desk, present the passport and get a digital certificate)
• Authorization establishes what you‗re allowed to do e.g. which files and applications you may
access: The systems authorizes the (authenticated) user to do what he is allowed to do.
• Accounting charges for what you do.
43
Defense in depth is designed on the principle that multiple layers of different types of protection
from different vendors provide substantially better protection. A hacker may develop a knack for
breaking through certain types of defenses or learn the intricacies or techniques of a particular
vendor effectively rendering that type of defense useless.
Beispiel Mehrstufige Sicherheit:
•Die Anwender sind speziell geschult im Umgang mit sensitiven Informationen
•Zugang zu Daten wird durch Berechtigungen, Passwörter, Encryption kontrolliert
•Anwendungen werden durch Hardening, Anti-Virus, Content-Security geschützt
•Rechner (Hosts) werden mittels Hardening, Patchmanagement auf einem guten Sicherheitsstandard
gehalten
•Netzwerke werden segmentiert und geschützt (Wireless)
•Der Sicherheitsperimeter wird kontrolliert mit Firewalls, VPN, Dial-In
•Der physische Zugang zu den Systemen ist nicht für alle möglich
44
Die Sicherheit wird oft im Rahmen Security Audits, Security Checks, Penetration Test, Reviews
oder Tiger Team Angriffen überprüft. Die Tests lassen sich hinsichtlich Untersuchungsobjekt, Fokus
und angewandter Methodik unterscheiden.
Bei konzeptionell/organisatorischen Security Audits wird üblicherweise der Checklisten-basierte
Ansatz verfolgt. Dabei werden Sicherheitslücken und Schwachstellen mittels der Kombination von
Interviews, Dokumentenstudium, Workshops und Gap-Analysen erkannt. In diese Kategorie fallen
konzeptionell/organisatorische Sicherheitsüberprüfungen nach IT GSHB oder ISO/IEC
27001/17799.
Beim Application Security Audit wird eine Applikation (z.B. eine Branchenlösung oder eine MultiTier-Applikation auf verschiedenen Ebenen (z.B. Design, Dokumentation und Technik:
Betriebssystem, Datenbank und eigentliche Applikation)) untersucht. Der genaue Umfang der
technischen und/oder konzeptionellen Testelemente und die jeweilige Testtiefe hängen von den vom
Auftraggeber vorgegebenen Rahmenbedingungen ab.
Der Penetration Test ist ein simulierter, realitätsnaher Hackerangriff. Im Gegensatz zum Security
Scan wird beim Penetration Test ein wesentlich grösserer Teil der anstehenden Arbeiten manuell
erbracht und die Tester versetzen sich in die Rolle eines Hackers. Dabei setzen unsere Security
Consultants die aktuellsten Methoden und Tricks ein, welche auch «echte» Hacker / Cracker
einsetzen. Ausserdem kommen beim Penetration Test mehr Tools zum Einsatz und der Report
beinhaltet technische und organisatorische Massnahmenvorschläge.
http://www.oneconsult.com/dienstleistungen/penetration-test.html
45
46
47
48
Massnahmen, welche typisch durch die IT-Dienstleister bzw. durch die IT-Betreiber ergriffen werden:
• Software-Update Wer könnte Sie besser mit Sicherheit versorgen als die Hersteller all Ihrer Programme? Warten Sie Ihre
Programme. Sie sollten so eingerichtet sein, dass regelmässig automatisch neuste Updates heruntergeladen und installiert werden.
• Virenschutz Welche Viren gelangen auf Ihren Computer? Praktisch keine, wenn Sie ein Virenschutzprogramm installieren. Stellen
Sie das Programm so ein, dass es automatisch und regelmässig seine Virenliste aktualisiert und damit Gefahren abwehrt.
• Firewall Wussten Sie, dass man vom Internet auf Ihren Computer zugreifen kann? Wenn die Personal Firewall (Software Firewall,
interne Firewall) Ihres Computers aktiviert haben, sollte dies nicht mehr möglich sein. Auch Ihr Internet-Anschlussgerät (NATRouter) kann wie eine Perimeter Firewall wirken und den Zugang auf Ihr internes Netz verhindern.
• Zugangsschutz (Starke Passwörter) Sind Sie sicher, dass nur Sie auf Ihre Daten zugreifen können? Persönliche Geheimcodes
sollen dafür sorgen, dass nur Sie auf Ihre Daten zugreifen können.
• Backup (Datensicherung) Wie wertvoll sind Ihre Daten? Sichern Sie wichtige Daten regelmässig auf DVD, CD oder auf Band.
Kontrollieren Sie, ob Ihre Daten tatsächlich rekonstruiert werden könnten.
Massnahmen, welche die Informationsbearbeiter (AnwenderInnen) beachten sollen:
• Risiko-/Schadenspotenzial-Bewusstsein Sind Sie sich bewusst, zu welchen Schäden der Diebstahl oder die Veränderung Ihrer
Informationen führen könnte? Gehen Sie verantwortungsvoll mit persönlichen Informationen um?
• Bewusstere IT-/Internet-Nutzung Sind Sie misstrauisch gegenüber Angeboten aus dem Internet? Entscheiden Sie bewusst, wo
und wann Sie Informationen im Internet preisgeben. Und wenn Sie dem Internet – mit gesundem Misstrauen – nicht alles glauben.
•- Do not open unknown e-mail attachments, and be aware that e-mail addresses can be faked. Let the security software check all emails and follow the advice given by the tool.
• Do not run programs of unknown origin, however appealing they may be.
• Zugangskontrolle
Ordnung Sind Sie sich bewusst, welche Informationen besonders geschützt werden sollten? Klassierung und Ordnung in
Dokumentenablage und bei Datenträgern ist Voraussetzung, damit sensible Daten geschützt werden können!
Räume abschliessen und Clear Desktop (aufgeräumter Arbeitsplatz) Zu schützende bzw. vertrauliche Dokumente sollten nicht
auf Tischen und Druckern liegen gelassen werden. Auf den Rechner sollten andere während Ihrer Abwesenheit nicht zugreifen
können – aktivieren Sie Ihren automatischen Screen-Locker. Schalten Sie Rechner und Zugangsgeräte ab, wenn Sie diese nicht
brauchen.
http://www.swisssecurityday.ch/index.php?option=com_content&task=view&id=15&Itemid=29
49
http://real.xobix.ch/ramgen/sfdrs/vod/sfspezial/sfspezial_20041130.rm?start=0:11:41.835&end=0:1
9:28.112
Improved security is recommended when you are faced to „real attacks―. Currently attacks are not
only a „hacker‗s game― anymore. There is clear commercial interest behind many attacks.
http://real.xobix.ch/ramgen/sfdrs/vod/sfspezial/sfspezial_20041130.rm?start=0:11:41.835&end=0:1
9:28.112
Datasport-Bibchip-20041210.wmv
12.12.2006 Weil er 2003 mit spezieller Software die Computer von Konkurrenzfirmen
ausspionierte, steht seit Montag ein ehemaliges Geschäftsleitungsmitglied der Firma
Datasport in Burgdorf vor Gericht.
Bei der Weinfelder Firma Bibchip soll der 33-jährige Mann gar E-Mails umgeleitet und gelöscht
haben, bevor die rechtmässigen Adressaten diese zu Gesicht bekamen. «Weil wir plötzlich keine
Anfragen mehr bekamen, versandten wir Testanfragen an uns selber», sagt Ralph Nagel von
Bibchip. «Doch statt unserer eigenen E-Mails erhielten wir konkrete Offerten von unserer
Konkurrenz als Antwort. Da wussten wir, was Sache war.» Bibchip schätzt den Schaden auf rund
eine Million Franken. Der Angeklagte hat den Versand der Trojaner-Mails gestanden. Das Urteil
steht noch aus. [Referenz 20minuten]
16.12.2006 Berner Zeitung
Das Kreisgericht Burgdorf hat einen früheren Mitarbeiter der Zollikofer Firma Datasport zu einer
bedingten Gefängnisstrafe von zehn Monaten und einer Busse von 5000 Franken verurteilt.
[http://www.espace.ch/artikel_295235.html]
50
51