Skip to content

Wer ist hinter APT3?

Habt ihr schon mal von APT3 oder Gothic Panda oder Buckeye gehört? Oder sagen euch die Operationen Double Tap oder Clandestine Fox etwas?

Zugegeben sind die Aktionen aus dem Jahr 2014 und damit schon etwas älter. Die Gruppe, die als APT3, UPS, Gothic Panda, Buckeye etc., bekannt ist, ist schon weit älter. Das Unternehmen FireEye berichtete bereits im Jahr 2010 zum ersten Mal darüber.

Die Operation Double Tap bestand aus einer Phishing Mail, die Leute zu einer Mitgliedschaft in einem Playboysclub einlud. Wer dann auf den Link in der Mail klickte, gelangte auf eine Webseite, die einen Exploit ausnutzte. Dieser installierte letztlich eine Schadsoftware auf dem Rechner und diese kommunizierte mit einem Server. FireEye hat mehr Details zu der Operation. Die Operation Clandestine Fox war ähnlich interessant.

Nun fragen sich viele, wer eigentlich hinter der Gruppe steckt. Wenn man aktuelle Pressemitteilungen liest, so ergibt sich der Eindruck, dass es immer entweder russische oder chinesische Angreifer sind. Im Falle von APT3 gibt es noch ein paar mehr Hinweise:

  • Die Domainnamen müssen von einer Person registriert werden. Dabei wurde die E-Mail-Adresse mxmtmw@gmail.com angegeben. Ausgehend davon gelang es, eine Person mit dem Namen Wu Yingzhou zu ermitteln. Die Seite https://intrusiontruth.wordpress.com/2017/05/02/who-is-mr-wu/ hat alle Details dazu.

  • Auch bei einer zweiten Domain spielte eine andere E-Mail-Adresse eine wesentliche Rolle. Die Forscher konnten die Person Dong Hao ermitteln.

  • Beide Personen sind Eigentümer der Firma Boyusec. Diese Firma wiederum ist Auftragnehmer des Ministeriums für Staatssicherheit in China.

Das ist doch ein recht klarer Hinweis, dass Boyusec hinter APT3 steckt. Dies folgt einem Trend. Denn viele Dienste lagern die Aufgaben an Privatfirmen aus.

Wer steckt fremde USB-Sticks in den eigenen Rechner?

Wer einen Vortrag über IT-Sicherheit oder Social Engineering besucht, wird zwangsläufig die Geschichte von den USB-Sticks zu hören bekommen. Demnach hat der Vortragende oder eine andere Person in einem Unternehmen USB-Sticks platziert und kurze Zeit später wurden diese an die Arbeitsplatzrechner gesteckt, obwohl dies strengstens verboten ist. Doch ist an der Geschichte wirklich etwas dran? Forscher verschiedener Universitäten veröffentlichten eine Studie, die dem Phänomen auf den Grund geht.

Dazu präparierten sie USB-Sticks und verteilten sie auf dem Campus der University of Illinois at Urbana-Champaign. Die Sticks waren unterschiedlich gestaltet. Das rangierte von neutral bis zu beschrifteten Sticks oder solchen, die an einem Schlüsselbund hingen. In der Studie finden sich Beispielbilder. Auf den Sticks befanden sich HTML-Dateien, die einen img-Tag zur Anzeige von Bilder beinhalteten. Dieses Bild wurde von einem Server geladen, den die Forscher kontrollierten. So sahen sie, wenn jemand den Stick einsteckte.

Insgesamt verschwanden fast alle der abgelegten USB-Sticks (290 von 297 Stück). Knapp die Hälfte wurde von den Findern geöffnet. Dabei zeigte sich, dass nur die Geräte, bei denen eine Adresse vermerkt war, weniger geöffnet wurde. Bei allen anderen Markierungen wurden jeweils so um die Hälfte in den eigenen Rechner gesteckt und geöffnet. Welche Dateien interessierten die Finder besonders? Je nach Stick trugen die Dateien unterschiedliche Namen. Besonders häufig wurde der Bilderordner mit Bildern des »Winter Break« geöffnet. Aber auch Prüfungen und Lebensläufe fanden die Finder interessant.

Ein weiterer interessanter Nebeneffekt der Studie fand im Web statt. Die Forscher überwachten verschiedene Seiten und wollten sehen, ob die USB-Sticks dort erwähnt wurden. Ein Student postete ein Bild seines Fundes auf Facebook, andere posteten dies bei der Sub-Reddit-Seite der Uni. Dort entspann sich eine Diskussion und die Diskutanten warnten sich, die Sticks in den Rechner zu stecken.

Insgesamt ist die Studie sehr interessant. Sie bestätigt genau die oben angeführte Geschichte, dass Sticks gern mitgenommen und in den Rechner gesteckt werden. Die Angreifer haben hier ein nahezu leichtes Spiel.

Doch wie könnt ihr euch schützen, dass euer Stick verloren geht und in einen fremden Rechner gesteckt wird? Die Erkenntnisse der Studie legen nahe, dass der Stick an einem Schlüsselbund sein sollte und mit einem Namen sowie Adresse beschriftet sein sollte. In diesen Fällen wurden die Sticks äußerst selten an den Rechner gesteckt und auch häufig zurück gegeben. Viel besser ist natürlich die Sticks zu verschlüsseln und ein Backup der Daten zu haben.

Sicherheit bei der WM2014

Kürzlich bekam ich eine E-Mail, die mit dem Satz »auf Ihrer Seite kubieziel.de habe ich gelesen, dass Sie über Fußball berichten« begann. Wer meine Seite kennt, wird wissen, dass es hier kaum um Fußball geht. Aber das soll sich ändern. ;-)

Lagezentrum mit WLAN-Passwort
Das Bild stammt von der WM 2014 in Brasilien. Das Symbolfoto sollte wohl nur den Herrn im Lagezentrum zeigen. Stattdessen erblickt das aufmerksame Auge am rechten Rand die Zugangsdaten für das WLAN. Viel Spaß beim Surfen! ;-)

Rezension des Buches „Web-Sicherheit“ von Sebastian Kübeck

Da die Rezension etwas länger wurde, gibt es in der Artikelübersicht eine Zusammenfassung und in der erweiterten Ansicht alle Details.

Ich wurde kürzlich auf das Buch „Web-Sicherheit – Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen“ von Sebastian Kübeck aufmerksam. Das Thema Web-Sicherheit spielt im Rahmen meiner Vorlesung zu IT-Sicherheit eine Rolle und daher war ich sehr daran interessiert, das Buch kennen zu lernen.

Der Aufbau des Buches gefiel mir sehr gut. Der Leser kann sich zuerst theoretisches Wissen erarbeiten, steigt dann in praktische Aspekte ein und lernt schließlich, wie er die Probleme umgeht.

Beim Lesen fiel mir dann auf, dass einige Teile meinen Erwartungen nicht gerecht werden. So wäre es bei einem Buch über Webanwendungen wünschenswert, dass es zumindest stichpunktartig auf die Techniken des Internet und des Web eingeht. Dieser Teil fehlt hier fast vollständig. Auch werden relevante Aspekte wie beispielsweise SSL zu kurz behandelt. Demgegenüber halte ich die Erwähnung des BTX-Hacks und anderer im Rahmen des Buches vernachlässigenswert.

Im ersten und zweiten Teil des Buches findet sich ein ausführliches Literaturverzeichnis. Das sollte dem Leser helfen, tiefer in die Thematik einzusteigen. Es wäre besser, dass die Zitierschlüssel geändert werden und mehr auf Fachliteratur statt auf Zeitschriftenartikel verwiesen wird.

Ich kann mich schlecht mit Java als Sprache für das Buch anfreunden. Aus verschiedenen Aspekten halte ich diese für weniger gut geeignet und Sprachen wie PHP, Python oder Ruby wären für mich eine bessere Wahl gewesen.

Im Buch selbst ist nach meiner Meinung zu viel Quellcode zu finden. Mindestens ein Fünftel besteht aus abgedrucktem Quellcode. Dabei ist zu viel Irrelevantes mit gedruckt. Für die Beispiele im Buch reichen oft wenige Zeilen. Code über viele Seiten finde ich zu unübersichtlich. Insbesondere auf Grund der Tatsache, dass sich der Autor auch die Arbeit gemacht hat und eine Demoanwendung mitliefert. Hier wäre es empfehlenswert, einfach die zur Erklärung des Beispiels relevanten Zeilen zu drucken und dann auf die betreffende Datei in der Demoanwendung zu verweisen.

Insgesamt bietet das Buch Licht und Schatten. Es hat viele gute Ansätze, die aber noch ausgearbeitet werden sollten. Wenn der Autor dies in einer nächsten Auflage schafft, so ist das Buch dann zu empfehlen. Derzeit bin ich unsicher, ob das Buch dem Publikum wirklich den erhofften Mehrwert bringt.

Continue reading "Rezension des Buches „Web-Sicherheit“ von Sebastian Kübeck"

Web 2.0 -- Stasi 2.0

Update: Die Veranstaltung wurde leider abgesagt.

Logo der Veranstaltung

Die Frage Freiheit oder Sicherheit? wird in der politischen Debatte um Bürgerrechte immer wieder postuliert. Die Evangelische Akademie Thüringen nimmt sich im Rahmen eines Seminars diesem Thema an. Das Seminar Web 2.0 – Stasi 2.0 trägt den Untertitel Perspektiven freiheitlicher Demokratie in der digitalisierten Medienwelt und geht insgesamt über drei Tage.

Am 24.September 2010 finden Vortrag und Diskussion zu Freiheit oder Sicherheit? Nutzen und Gefahren der Vorratsspeicherung von Kommunikationsdaten. mit Dr. Christoph Bergner und Rena Tangens statt. Am folgenden Samstag startet der Tag mit einer Diskussion. Tankred Schipanski, Dr. Jan Schönfelder und Christopher Ramm bearbeiten dabei das eingangs genannte Thema. Am Nachmittag stehen dann Workshops auf dem Plan. Frank Reuschel von der Internetermittlung des LKA Thüringen wird einen Einblick in seine Arbeit geben. Friedrich Doehring erzählt, welche Spuren im Netz er auswertet, um gutes Personal zu finden und ich werde darlegen, wie man seine Spuren möglichst gut versteckt.Der Tag klingt dann mit einem Vortrag des ehemaligen Ministerpräsidenten des Landes Sachsen-Anhalt, Dr. Reinhard Höppner aus.Am Sonntag morgen wird die Frage gestellt, wie sich politische Ziele umsetzen lassen. Auf dem Podium treffen sich Vertreter von SPD, Grünen, Piratenpartei sowie der Aktion Zivilcourage Pirna e.V.

Ich glaube, dass das ein sehr interessante Veranstaltung wird und würde mich über rege Teilnahme freuen. Die Anmeldung erfolgt über die Seiten der EAT.

Deinen DNS testen

Die Nachrichten zur Lücke in DNS wurde sehr breit diskutiert. Doch wie kann man feststellen, ob sein eigener oder der DNS-Server des Providers betroffen ist? Niels Provos hat eine Testseite aufgesetzt. Diese arbeitet mit JavaScript und zeigt an, ob der DNS-Server betroffen ist.

Wer es lieber auf der Kommandozeile hat, kann folgendes probieren:

dig +short porttest.dns-oarc.net TXT
dig @ANDERERNAMESERVER +short porttest.dns-oarc.net TXT

Der Durchschnittshacker

Wenn ein Hacker/Cracker in ein Computer- oder besser informationstechnisches System eindringt, dann

  • wählt er sein Ziel genau aus,
  • ist er in der Regel ein Insider, der das Ziel kennt,
  • und ist ein kleines Genie, dem niemand so schnell das Wasser reichen kann.

So oder so ähnlich lauten die gängigen Vorurteile. Doch stimmt das wirklich? Verizon hat kürzlich eine Studie veröffentlicht. Dort wurde anhand 500 Einrüche in Rechner innerhalb der letzten vier Jahre geprüft, ob denn das so stimmt.

Sie fanden heraus, dass die Mehrzahl der Vorfälle (85%) zufälliger Natur waren. Den Einbrechern war bis zum Einbruch, dass Ziel nicht bekannt. Die Intensität der Angriffe von innen ist größer als bei denen eines externen Angreifers. Allerdings ist die reine Zahl von Insiger-Angriffen wesentlich kleiner (Verhältnis etwa 1:3). Die Überzahl der Angriffe wird von Script-Kiddies durchgeführt. Ein relativ kleiner Anteil der Vorfälle benötigt “erweiterte Kenntnisse”.

Es geht zwar kaum etwas über ein gesunder Vorurteil. :-) Die Studie zeigt deutlich, dass vieles eben nur Vorurteile sind. Eine wichtige Erkenntnis am Rande: Über ein Viertel der Viren waren für das Ziel handgeschmiedet und die Virenscanner erkannten diesen nicht.

via Errata Security

tweetbackcheck