Wie Betrüger leicht eine Tüte Geld von Nokia und bekommen haben...
 Wie Betrüger leicht eine Tüte Geld von Nokia und bekommen haben... |
Wie Betrüger leicht eine Tüte Geld von Nokia und bekommen haben...
Vor ein paar Tagen haben wir über Cabir geschrieben, den ersten Virus für ein Smartphone oder besser gesagt für eine bestimmte mobile Softwareplattform. Diese Plattform wurde als Symbian bekannt, und ich weiß nicht, ob sie gut oder schlecht ist, aber sie ist bereits Geschichte geworden.
Am nächsten Tag tauchte eine neue Geschichte auf, die nicht mit Cabir verbunden ist, sondern sich direkt auf Symbian selbst und die Informationssicherheit im Allgemeinen bezieht. Deshalb denke ich, dass dieser «Detektivthriller» eine Nacherzählung wert ist.
Der finnische TV-Sender MTV, nicht zu verwechseln mit dem globalen Musikfernsehen, blies die Luft und berichtete, dass die finnische Polizei einen Fall von Erpressung mit Nokia als Opfer untersucht.
Der Vorfall ereignete sich Ende 2007 vor etwa sechs Jahren. Die Details sind ziemlich klein, aber anscheinend hat jemand Zugang zu den «Quellen des Betriebssystems» erhalten, wenn man Reuters glaubt, oder vielmehr zu den Verschlüsselungsschlüsseln des «Hauptteils der Nokia Symbian-Software». Der Täter drohte daraufhin, die Informationen preiszugeben, wenn ihm keine ordentliche Summe gezahlt werde.
Lassen Sie uns an dieser Stelle etwas langsamer fahren. Was würde die Enthüllung dieses Schlüssels bewirken? Wenn es einfach und verständlich ist, sollten Virenschreiber in der Lage sein, jeden Schutz zu umgehen und alle Arten von Malware und Rootkits mit Zugriff auf sicherheitskritische Funktionen zu erstellen. Der Traum eines Cyberkriminellen.
Während die aktuelle Version SymbianSeries 60 3rd Edition (S60v3), eine verbesserte Version von Symbian OS 9.1, entwickelt von der Firma, wurde mit dem System PlatformSecurity, erstmals vorgestellt in der Version 0.91 (Ende 2005).
Wie Sie wissen, war dieses System, das digitale Signaturen für einige APIs eingeführt hat, die Antwort von Nokia auf das aufkommende Problem der mobilen Malware-Software. Das Unternehmen hat obligatorische Code-Signaturen implementiert und ein Zertifizierungsprogramm gestartet, mit dem Entwickler ihre Anwendungen zum Testen und zur Genehmigung durch das Unternehmen bereitstellen können.
Zertifizierte Anwendungen konnten auf «ernstere Funktionen» oder «Java-APIs für den Dienstgebrauch» zugreifen und zeigten den Benutzern weniger Warnungen an, schrieb Computerworld.
Angreifer mit Zugriff auf den digitalen Signaturschlüssel von Symbian könnten damit ihre eigenen Anwendungen registrieren und den Schutz umgehen, da das System sie für legal halten würde. Das Problem wurde noch durch die Tatsache verschärft, dass der gestohlene Schlüssel nach dem Leck nicht so einfach zu widerrufen war, da Symbian OS die digitalen Signaturen nicht auf Gültigkeit überprüfte. Und angesichts der Tatsache, dass Symbian damals nichts wie zentralisierte App-Stores wie iTunes oder Google Play hatte und die Apps dann normalerweise von überall heruntergeladen wurden, konnte alles sehr, sehr schlecht enden. In einem Interview mit Computerworld sagte Victor Yablov, Leiter der mobilen Abteilung, dass, wenn ein solcher Schlüssel gestohlen wurde, zwei Jahre Symbian 9-Entwicklung unter den Schwanz gehen würden.
Offensichtlich musste Nokia, dessen Marktanteil zu dieser Zeit noch groß war, aber bereits zurückging (von 73% im Jahr 2006 auf 52,4% im Jahr 2008), zwischen schlecht und sehr schlecht wählen. Die Entscheidung über die Zahlung der Zwangsvollstreckung wurde ganz oben getroffen.
Der Täter spielte ein wenig Robin Hood und verlangte, dass die Hälfte der Lösegeld-Summe für wohltätige Zwecke gespendet und die andere Hälfte auf einen Parkplatz in der finnischen Stadt Tampere gebracht wurde. Nokia erfüllte die Bedingungen, aber die Polizei wurde alarmiert.
In der Nacht der Geldübergabe nahm der Angreifer jedoch einfach eine Tasche mit «mehreren Millionen Euro» und flüchtete: Die Polizei verlor sie fast sofort aus den Augen.
Später ging Nokia davon aus, dass die für die Erpressung 2008 verantwortliche Person «ein finnischer Staatsbürger war, der an der Entwicklung der [Symbian] -Benutzeroberfläche beteiligt war», was bedeutet, dass die Polizei ziemlich klare Anzeichen für einen Verdächtigen in dem Fall hat. Aber bisher ist keine Festnahme bekannt.
Darüber hinaus, Nokia, sollte nicht das einzige mal, dass Sie arm sind die Menschen, находившим bestimmte Schwachstellen in Software, Hardware oder Services, aus Furcht, dass Fehler öffentlich werden. Diese Zahlungen seien jedoch »weniger schwerwiegend« gewesen als das Lösegeld an den oben genannten »schwer fassbaren Erpresser". Es scheint jedoch, dass Nokia ein Vermögen ausgegeben hat, um sicherzustellen, dass die Daten nicht veröffentlicht werden.
Wie ist es dann gelaufen? Wir alle wissen gut, dass Symbian tot ist oder es im Jahr 2016 eher sein wird. Gemäß dem 2011 abgeschlossenen Outsourcing-Vertrag wird Accenture nun bis 2016 Software für Symbian entwickeln. Aber das neueste Symbian-Smartphone wurde 2012 veröffentlicht, und sie sind nicht mehr zu erwarten.
Nokia wechselte zur Microsoft Phone—Plattform und verkaufte schließlich das Mobiltelefongeschäft vollständig an Microsoft - der Deal wurde Anfang dieses Jahres geschlossen. In der Vergangenheit hat sich der weltweit größte Telefonhersteller zu einer Einheit des Unternehmens entwickelt, die auf dem mobilen Markt ziemlich bescheidene Fortschritte erzielt.
Natürlich wäre es bestenfalls unangemessen, zu behaupten, dass Nokias Unglück direkt von diesem Vorfall auf einem Parkplatz in Tampere ausgeht. Die Abdankung von Nokia wurde durch viele verschiedene Faktoren verursacht. Aber diese Geschichte ist ein Beispiel für den eindeutig mehrfachen Missbrauch sensibler Daten und deren schlechten Schutz. Eine solche schlechte Praxis konnte nicht anders, als zum Endergebnis beizutragen.
Was mit dem Code passiert ist, den der Erpresser angeblich besaß, ist übrigens unklar. Die Gesamtzahl der Symbian-orientierten Malware ist im Vergleich zu Android relativ klein. Obwohl der gestohlene Verschlüsselungsschlüssel tatsächlich eine beeindruckende Sammlung von Malware für Symbian ermöglichen könnte, ist bisher nichts dergleichen passiert.