Anleitung zum Schutz vor unbefugtem Zugriff
 Anleitung zum Schutz vor unbefugtem Zugriff |
Anleitung zum Schutz vor unbefugtem Zugriff
Wir schützen den Unternehmenscomputer vor der Bedrohung durch unbefugten physischen Zugriff.
"Der Angriff der bösen Magd" ist fast der primitivste, aber das ist eine der unangenehmsten Arten des Angriffs. Ihre Opfer sind Geräte, die unbeaufsichtigt gelassen wurden. Angreifer versuchen, an geheime Informationen zu gelangen, installieren Spyware oder Remotezugriff auf einem kompromittierten Computer, um in das Unternehmensnetzwerk einzudringen. Wir sagen Ihnen, wie Sie sich vor den Handlungen von Übeltätern schützen können.
Ein klassisches Beispiel. Wenn es um einen «Angriff auf eine böse Magd» geht, erinnert man sich in der Regel an einen Fall, über den 2008 in den US-Medien aktiv geschrieben wurde. Im Dezember 2007 reiste eine Delegation des US-Handelsministeriums nach Peking, um über eine gemeinsame Bekämpfung der Piraterie zu verhandeln. Die Verhandlungen waren erfolgreich, aber drei Monate später fanden die Geheimdienste im Laptop des Ministers des Delegationsleiters Spyware, die nur durch physischen Zugriff auf den Computer installiert werden konnte. Der Besitzer des Laptops versicherte, dass er bei den Verhandlungen den Laptop immer bei sich trug und ihn nur für ein paar Minuten im Safe des Hotelzimmers zurückließ, als er zum Abendessen herunterkam.
Die Angreifer hatten etwa eine halbe Stunde Zeit — und das sind sehr angenehme Bedingungen. Theoretisch können Profis das Gerät in 3-4 Minuten kompromittieren. Meistens treten solche Fälle auf, wenn der Computer unbeaufsichtigt eingeschaltet oder unkenntlich gemacht wird. Aber selbst wenn man die grundlegenden Sicherheitsmaßnahmen nicht vernachlässigt, bleibt die Wahrscheinlichkeit, Opfer eines Angriffs auf Evil Maid zu werden, bestehen.
Wie Angreifer auf Informationen zugreifen. Es gibt viele Möglichkeiten, um wichtige Informationen zu erhalten. Sie hängen vom Alter des Computers und den eingesetzten Schutzmaßnahmen ab. Zum Beispiel sind alte Computer mit BIOS wehrlos gegen die «böse Magd» — weil sie kein sicheres Booten unterstützen und das Booten von externen Laufwerken problemlos ermöglichen.
Unfreiwillige Führer zu persönlichen oder Unternehmensgeheimnissen können Kommunikationsanschlüsse sein, die den schnellen Datenaustausch oder die direkte Kommunikation mit dem Gerätespeicher unterstützen. Zum Beispiel, wie Thunderbolt. Die hohe Datenübertragungsrate durch sie wird gerade durch direkten Zugriff auf den Speicher erreicht, was den «bösen Mägden» den Weg ebnet.
Im Frühjahr dieses Jahres berichtete der Computersicherheitsexperte Björn Rüttenberg, dass er einen Weg gefunden habe, jedes Thunderbolt-Gerät zu hacken, auf dem das Windows- oder Linux-Betriebssystem installiert ist, selbst wenn dieser Computer gesperrt ist und sein Besitzer die Verbindung über externe Anschlüsse unbekannter Geräte verboten hat. Die Ruitenberg-Methode, genannt Thunderspy, bietet physischen Zugriff auf das Gadget und besteht darin, den kontrollierenden Firmware-Port zu ersetzen.
Dazu muss der Angreifer das Gehäuse des Computers öffnen, sich direkt mit dem Thunderbolt-Chip verbinden und den Chip mit Hilfe eines Programmierers mit seiner Firmware-Version flashen. Die neue Firmware deaktiviert den integrierten Schutz und der Angreifer erhält die volle Kontrolle über das Gerät.
Theoretisch wird die Sicherheitsanfälligkeit mit der Kernel Direct Memory Access Protection—Richtlinie geschlossen - nur diese Funktion steht Windows 10-Benutzern zur Verfügung, und sie wird nicht von allen genutzt. Allerdings hat Intel eine Lösung für das Problem mit dem Aufkommen von Thunderbolt 4 angekündigt.
Der gute alte USB kann auch zu einem Angriffskanal werden. Ein Angreifer könnte ein Miniaturgerät in den USB-Anschluss stecken, das aktiviert wird, nachdem der Benutzer den Computer eingeschaltet und damit begonnen hat. Höchstwahrscheinlich wird es sich als modifiziert erweisen, um den BadUSB-Stick zu betreiben (das System wird es als Tastatur wahrnehmen und einen Befehl von Eindringlingen erhalten).
Wenn die Informationen besonders wertvoll sind, können Kriminelle sogar auf eine exotische und sehr teure Finte gehen, wie das Stehlen eines Geräts und das Ersetzen eines ähnlichen, aber bereits mit Spyware verbundenen Geräts. Natürlich wird der Spoofing schnell genug aufgedeckt, aber nachdem das Opfer seine Passwörter eingegeben hat. Für einen solchen Angriff ist jedoch eine sorgfältige Untersuchung des Computers des Opfers erforderlich.
Wie man Risiken minimiert. Der sicherste und einfachste Weg, sich vor Evil maid Attack zu schützen, besteht darin, Ihr Gerät nicht dort zu lassen, wo es von Fremden zugegriffen werden kann: in denselben Hotelzimmern. Dieser Rat ist jedoch nicht immer machbar. Wenn Ihre Mitarbeiter häufig mit dienstlichen Laptops auf Geschäftsreise sind, ist es sinnvoll, spezielle temporäre Laptops für Geschäftsreisen zu erstellen, die weder Zugriff auf wichtige Unternehmenssysteme noch auf Arbeitsdaten haben, und die Festplatte nach jeder Reise zu formatieren und das System neu zu starten; wenn Sie Ihren Laptop nicht ständig bei sich tragen können— lassen Sie ihn zumindest nicht eingeschaltet; Verbieten Sie den direkten Zugriff auf den Speicher über FireWire, Thunderbolt, PCI, PCI Express und andere Ports, wenn Ihr Laptop diese Funktion unterstützt; Verschlüsseln Sie die Festplatten von Computern, die das Bürogebäude verlassen; Aktivieren Sie in den Laptop-Einstellungen die Festplattenbindungsfunktionen; um Informationen zu senden, versucht der kompromittierte Computer, sich mit dem Server der Angreifer zu verbinden; sicherzustellen, dass die von Ihnen verwendete Sicherheitslösung einen Bad USB—Angriff erkennen kann (Kaspersky Endpoint Security for Business kann); die Software, insbesondere das Betriebssystem, rechtzeitig zu aktualisieren.