[datensicherheit.de, 08.07.2019] In seinem aktuellen Kommentar geht Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, auf den Umstand ein, dass Tippverhalten-basierte Sicherheitslösungen kompromittiert werden können. Demnach haben Cyber-Sicherheitsforscher eine neue Angriffsmethode auf Tastatureingaben entwickelt, die verhindert, dass Angreifer von Tippverhalten-basierten biometrischen Sicherheitslösungen erkannt werden.

Benutzer könnten leicht imitiert werden

Die Studie der Sicherheitsforscher Nitzan Farhiac, Nir Nissimab und Yuval Elovicic, „Malboard: A Novel User Keystroke Impersonation Attack and Trusted Detention Framework Based on Side-Channel Analysis“, beschreibt laut Wieringa einen neuen Angriff, der bösartige Tastaturanschläge erzeugt, welche das Tippverhalten des Opfers nachahmen. So könnten Sicherheitslösungen, die Benutzer per Tastendruck identifizieren, so getäuscht werden, „dass sie glauben, dass die Zugriffsanfragen vom richtigen Benutzer gestellt werden“.
Benutzer könnten dadurch leicht imitiert werden, was die Erkennung von externen Angriffen, die kompromittierte interne Anmeldeinformationen nutzten, weiter erschwere. Cyber-Kriminelle würden damit beginnen, diese Art von Funktionen in ihre automatisierten Angriffe zu integrieren, da Sicherheitsanbieter ihre Fähigkeit zur Identifizierung sowie zur Sicherstellung, dass die richtigen Benutzer die Anfrage stellen, weiter verbesserten.

Malboard-Angriffsmethode eine von vielen innovativen Angriffsmethoden

„Die Idee, biometrische Sicherheitslösungen einzusetzen, die eine Person so eindeutig identifizieren, gibt es seit Jahren und hat sich als sehr sichere Technologie erwiesen. Auch wenn sich die Biometrie zur Sicherung von Geräten bewährt hat, beweist diese Schwachstelle, dass dies nicht mehr der Fall ist. Wie bei so vielen bewährten Sicherheitsmaßnahmen kommt es zwangsläufig zu einem Punkt, an dem sie gefährdet werden“, erläutert Wieringa.
Aus technischer Sicht sei die Malboard-Angriffsmethode eine von vielen innovativen Angriffsmethoden, um die Schwachstelle auszunutzen. Dies mache sie selbstverständlich zu einem bevorzugten Werkzeug für zielgerichtete fortschrittliche Angriffe, bei denen die Cyber-Kriminellen sehr genau wüssten, wonach sie suchen und welches Account sie da übernehmen. In der Regel nutzten Angreifer jedoch nach wie vor eher traditionelle Angriffsmethoden, wie Phishing, um Konten zu übernehmen, Schadsoftware zu installieren oder aber Daten abzufischen.

Aufbau einer „menschlichen Firewall“ empfohlen

Der beste Weg, um sich als Unternehmen gegen solche Angriffe zu schützen, sei der Aufbau einer „menschlichen Firewall“. Wieringa: „Aus diesem Grund glauben wir, dass Unternehmen ihre Mitarbeiter und Nutzer weiterhin über die verschiedenen Angriffstechniken in der IT-Sicherheit aufklären müssen.“ Dafür müssten sich die Mitarbeiter einem fortgeschrittenen Security-Awareness-Training mit simulierten Phishing-Tests unterziehen.
„Diese kontinuierlichen Schulungen helfen ihnen, bösartige E-Mails und Webinhalte zu erkennen. Unsere Erfahrung zeigt, dass die Benutzer dadurch die richtigen Informationen erhalten, um auf Phishing aufmerksam zu werden und richtig darauf zu reagieren“, so Wieringa. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickelten, erhöhten sich die Chancen für eine erfolgreiche Abwehr eines Angriffs deutlich.

Foto: KnowBe4

Jelle Wieringa: Mitarbeiter sollten fortgeschrittenes Security-Awareness-Training mit simulierten Phishing-Tests erhalten!

Weitere Informationen zum Thema:

Science Direct, August 2019
ELSEVIER / Malboard: A novel user keystroke impersonation attack and trusted detection framework based on side-channel analysis

datensicherheit.de, 27.06.2019
Hacker: Mehr als 10 weltweit tätige Telekommunikationsanbieter infiltriert

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten

[datensicherheit.de, 13.07.2018] Beim Thema „Passwort-Diebstahl“, denken viele Anwender sicher an Hacker, welche sich über Malware auf Rechnern einschleichen oder Nutzer mit raffiniertem „Social Engineering“ manipulieren. Angreifer könnten allerdings auch einfach eine Wärmebildkamera auf die Tastatur richten. So sollen sich Eingaben erkennen lassen – besonders von Anwendern, die mit dem Zwei-Finger-Suchsystem tippen. Dieser einfache Spionagefilm-Trick, um Pincodes zu knacken, funktioniere auch im Büro. Das zeigt demnach eine Untersuchung von Wissenschaftlern der University of California.

Unwerwartete Risiken bei der Passworteingabe

Der Diebstahl von Passwörtern geschehe nicht nur durch Software und „Social Engineering“ – schon eine Wärmebildkamera könne ausreichen, und diese sei kostengünstiger und somit für Cyber-Kriminelle zunehmend interessanter.
Laut einer Untersuchung von Wissenschaftlern der University of California reichten die Wärmespuren (Heat Traces) auf handelsüblichen Tastaturen aus, um Passwörter abzugreifen. Nach Einschätzung der Forscher seien besonders leicht Eingaben von Nutzern des Zwei-Finger-Suchsystems auslesbar. Diese ungewöhnliche Methode des Passwortknackens könnte im Bereich Cyber- und Industrie-Spionage zum Tragen kommen.
„Gerade bei der Passworteingabe lauern unterschätzte Risiken“, erläutert Thomas Uhlemann, „Security Specialist“ bei ESET. „Während viele zwar auf den unerwünschten Schulterblick achten, denkt niemand an die eigene Körperwärme – verständlicherweise. Das bietet ein Potenzial für Cyber-Kriminelle – egal wie stark das Passwort ist“, so seine Warnung.

Gedrückte Tasten bis zu einer Minute nach Eingabe noch zu erkennen

Die Forscher hätten Tastaturen gefilmt, auf denen 30 Probanden Passwörter eingegeben sollten. Auf den Bildern seien die gedrückten Tasten bis zu einer Minute nach der Eingabe noch zu erkennen gewesen – und selbst Laien sei es in der nächsten Versuchsstufe gelungen, aus diesen Bildern korrekte Eingabesets und Passwortfragmente zu rekonstruieren.
Werde mit zwei Fingern statt mit dem Zehn-Finger-Schreibsystem geschrieben, seien die Wärmeabdrücke meist größer – und damit für potenzielle Angreifer einfacher zu konstruieren.

Wissenschaftler empfehlen eine Reihe von Gegenmaßnahmen

Um das Ausspähen des Passworts erheblich zu erschweren oder unmöglich machen, sollte beispielsweise mit der Hand über die Tastatur nach Eingabe von sensiblen Informationen gestrichen oder durch willkürliche Eingaben ein „thermisches Rauschen“ erzeugt werden.
Weitere Gegenmaßnahme seien das Benutzen einer Bildschirm-Tastatur sowie das Tragen von wärmeisolierenden Handschuhen – allerdings eher ein recht unrealistisches Szenario.
Deutlich praktikabler sei der Einsatz von sicheren Zwei-Faktor-Authentifizerungslösungen, wie etwa „ESET Secure Authentication“. Uhlemann: „Diese sind komfortabel, einfach in der Bedienung und bieten den maximalen Zugangsschutz.“

Weitere Informationen zum Thema:

welivesecurity, 13.07.2018
Sensible Informationen aus Heat Traces der Tastatur rekonstruieren

UC Irvine
Tyler Kaczmarek, Ercan Ozturk & Gene Tsudik / Thermanator: Thermal Residue-Based Post Factum Attacks On Keyboard Password Entry

datensicherheit.de, 08.02.2018
Angreifer überwinden selbst Faradaysche Käfige und Luftstrecken

[datensicherheit.de, 15.07.2016] Laut einer aktuellen Meldung von Palo Alto Networks beobachtet das eigene Malware-Analyseteam („Unit 42“) derzeit ein Wiederaufleben von Keylogger-Aktivitäten. Hardware- oder auch Software-basierte Keylogger erfassen die Tastatureingaben des Benutzers. Aktuell gebe es vier weitverbreitete Keylogger-Softwarefamilien: „KeyBase“, „iSpy“, „HawkEye“ und „PredatorPain“.
„Unit 42“ hat nun nach eigenen Angaben den Fokus auf die Akteure, die hinter den Bedrohungen stecken, sowie auf eine praktische Technik zur Identifizierung gelegt.

Keylogger: Übertragung der Daten per http, smtp oder ftp

Keylogger müssen die erfassten Daten zurück an den Angreifer übertragen – dafür gibt es drei etablierte Methoden per http, smtp bzw. ftp. Die http-Übertragung beinhaltet demnach in der Regel eine einfache POST-Anforderung mit einem Textkörper, der die gestohlenen Daten enthält. Bei SMTP und FTP ist oft eine Authentifizierung erforderlich, um sich bei einem Dienst anzumelden, bevor die Daten aus dem kompromittierten System übertragen werden können.
Dies stelle einen wertvollen Datenanhaltspunkt dar, weil alle vier großen Keylogger-Familien ihre Anmeldeinformationen innerhalb ihrer Binärdateien einbetteten. Die Forscher könnten so die Remote-Server-Adresse, den Benutzernamen und das Passwort für jedes analysierte Sample feststellen. Werde dies kombiniert mit der großen Anzahl an aktiven Keyloggern, stehe ein sehr großer Datensatz zur Korrelation zur Verfügung.

Muster und Daten zur Identifizierung der Akteure aufdecken

Durch den Einsatz des Bedrohungserkennungsdienstes „Auto Focus“ von Palo Alto Networks habe „Unit 42“ in kurzer Zeit 500 aktuelle Samples von „HawkEye“ und „iSpy“ identifizieren können, die während der dynamischen Analyse entweder ftp- oder smtp-Aktivitäten aufwiesen hätten.
Nach dem Download der Samples hätten die Forscher alle erfolgreichen ftp- und smtp-Aktivitäten analysiert, um einen Datensatz für „Maltego“ (ein Tool zum Visualisieren von Zusammenhängen in Netzwerken), zu erstellen. Diese eingebetteten Anmeldeinformationen würden derzeit verwendet, um Muster und Daten aufzudecken, die zu den Akteuren führen.

4 verschiedene Akteure identifiziert

Angesichts des großen Ausmaßes der Keylogger-Aktivitäten, sei dies nur ein kleines Sample-Set. Trotzdem sei es groß genug, um zu erkennen, dass sich über die eingebetteten Anmeldeinformationen ein Einblick in das Verhalten und die Infrastruktur der Akteure gewinnen lasse. Den Forschern von Palo Alto Networks habe damit eine praktische Technik zur Verfügung gestanden, um innerhalb kurzer Zeit mindestens vier verschiedene Akteure zu identifizieren, die aktiv Keylogger zum Stehlen von Daten kompromittierter Systemen einsetzten: Diese wurden laut Palo Alto Networks „Kramer”, „OpSec“, „LogAllTheThings“ und „MailMan“ benannt.

Weitere Informationen zum Thema:

paloalto NETWORKS, 12.07.2016
How to Track Actors Behind Keyloggers Using Embedded Credentials

[datensicherheit.de, 09.11.2012] TREND MICRO warnt aktuell vor einem neuen digitalen Passwortdieb – dieser greife insbesondere im Browser gespeicherte Benutzernamen und Kennwörter ab. Die kriminellen Hintermänner des Schädlings dürften dieselben sein, die auch die Spionagesoftware zum Diebstahl von Bilddateien und Speicherabbildern in Umlauf gebracht haben, so TREND MICRO. In beiden Fällen würden vor allem Unternehmen im Visier der Angreifer stehen, denn der neue digitale Spion könne auch die Zugangsdaten zu unternehmensinternen Systemen abgreifen. Für diese Vermutung spreche unter anderem die begrenzte Anzahl von 400 infizierten Rechnern, die TREND MICRO nach eigenen Angaben bislang ermitteln konnte.
Weil zunehmend Benutzernamen und Passwörter bei der Übertragung vom Rechner des Anwenders zum Ziel im Internet abgegriffen werden, bieten immer mehr Websites wie facebook, Yahoo oder Online-Banking-Seiten, die Möglichkeit einer verschlüsselten Verbindung. Technologien wie SSL und HTTPS gelten als Standard. Leider nutze diese Absicherung wenig, wenn der Passwort- und Zwischenspeicher des Browsers, in dem aus Komfortgründen Anmeldedaten in der Regel gelagert werden, ausgelesen wird, warnt TREND MICRO. Doch auch verschlüsselte unternehmensinterne Verbindungen seien vor dem Schädling nicht sicher, wenn die Anwender sich über Browser an einer Unternehmensanwendung anmelden. Die so gesammelten geheimen Informationen übertrage die Spionagesoftware an ein Ziel im Internet.
Moderne Browserversionen fragen die Anwender in der Regel beim Besuch einer Website, die nach Zugangsdaten verlangt, ob sie Benutzernamen und Kennwörter speichern sollen. Die Anwender sollten diese Frage in jedem Fall verneinen, empfiehlt TREND MICRO. Ferner sollten sie ihren Browser so einstellen, dass sämtliche Inhalte des Zwischenspeichers beim Beenden des Programms gelöscht werden. Beim „Internet Explorer 9“ von Microsoft müssten sie dazu unter „Einstellungen“, „Internetoptionen“ und „Allgemein“ in dem Kästchen vor „Browserverlauf beim Beenden löschen“ einen Haken setzen. Unternehmen könnten diese Einstellungen mittels entsprechenden Gruppenrichtlinien durchsetzen. Eine sichere Passwortverwaltung sei ebenfalls von Vorteil.

Weitere Informationen zum Thema:

blog.trendmicro.de, 09.11.2012
HTTPS und SSL – Keine Hindernisse für PASSTEAL / Originalartikel von Alvin John Nieto, Threat Response Engineer

[datensicherheit.de, 10.09.2009] Reguläre Passwörter stellen häufig genug selbst eine Sicherheitslücke dar – sie werden vergessen, weitergegeben, „gephisht“ oder über Soziale Netzwerke und „Botnets“ ausgespäht, da erfahrungsgemäß die Mehrheit der Nutzer ein einheitliches Passwort für unterschiedliche Portale verwendet. Jetzt bietet die PRIANTO GmbH aus München ein neues biometrischee Authentifizierung-Verfahren ohne zusätzlichen Hardware-Bedarf an:
Diese sogenannte „Tippverhaltensbiometrie“ sei überall und jederzeit anwendbar, wo ein Rechner und eine Tastatur verfügbar seien und spare bis zu 75 Prozent der Kosten anderer Methoden.
Das „Psylock“ genannte System sei eine reine Softwarelösung, die zur sicheren Authentifizierung nur eine Standardtastatur benötige. Es sei nicht mehr nötig, sich ein Passwort zu merken. Lediglich die Art des Tippens, die bei jedem Menschen ebenso individuell ist wie die Handschrift, sei ausschlaggebend für den Zugang zu den geschützten Daten.
Das „Passwort“ bestehe aus einem kurzen Satz, der auf dem Bildschirm für jeden sichtbar erscheine. Der Anwender müsse den angegebenen Satz mehrmals tippen und in knapp drei Minuten sei dessen Profil erstellt. Zum Login werde dann jeweils einmal der sichtbare, kurze Satz getippt, um Zugang zur geschützten Applikation zu erhalten. Das Tippverhalten könne ebensowenig wie die Handschrift weitergegeben, gestohlen oder von anderen trainiert werden. „Keylogging“ sei angesichts des ausgeklügelten Replayschutzes sinnlos.

Weitere Informationen zum Thema:

PRIANTO GmbH
PsyLock

Psylock authentification
Besser als jedes Passwort…