Freitag, 29. Oktober 2010

Facebook – Die Falle zum Passwort fischen

Ein im März von USA Today gemeldeter Betrugsfall zeigt, wie Facebook nun als Medium genutzt wird, um Zugang zu Vermögenswerten von Unternehmen zu erhalten und diese zu stehlen. Folgendes ist passiert:

Der Vorfall betrifft zwei Personen, die wir hier Anne und Paul nennen wollen. Beide arbeiten für ein Finanzdienstleistungsunternehmen und beide besitzen Facebook-Konten. Letzten Herbst erhielt Anne die folgende Nachricht auf Facebook: «Hey, Anne, schau dir mal die Fotos an, die ich am letzten Wochenende beim Picknick von uns gemacht habe. Paul» Die Nachricht enthielt einen Link, der zu den Fotos führen sollte.

Am letzten Wochenende hatte tatsächlich ein Picknick stattgefunden, doch die Nachricht stammte nicht von Paul und der Link führte nicht zu Fotos. Hacker hatten auf Pauls Konto zugegriffen, und als Anne dem Link folgte, lud sie unwissentlich Software auf ihren firmeneigenen Laptop, die später bei ihrem nächsten Zugriff auf ihr Arbeitskonto ihren Benutzernamen und ihr Passwort stahl.

Die Diebe aus dem Cyberspace wühlten im Netzwerk des Finanzunternehmens mit dem Ziel, die Kontrolle über Rechner zu erlangen und firmeneigene Daten zu stehlen. Die Angreifer wurden schliesslich entdeckt, nachdem sie bereits zwei Wochen lang über Annes Konto Zugriff auf das Unternehmensnetzwerk hatten – all dies wegen Pauls Facebook-Link.

Worauf waren die Betrüger aus?

Üblicherweise sind Diebe auf Login-Daten aus, die in Untergrundforen auf eBay-ähnliche Weise verkauft werden können. Ein Satz von 1'000 Benutzername-Passwort-Paaren aus Facebook bringt dort zwischen 75 und 200 US-Dollar, abhängig von der Anzahl der Freunde, die mit den Konten verknüpft sind (je mehr Freunde, desto mehr Betrugsmöglichkeiten nach Art der «Picknick-Fotos»).

Facebook bleibt ein bedeutendes Ziel für Angreifer, da das Netzwerk gegenwärtig 400 Millionen Mitglieder hat. Diese Zahl soll sich Prognosen zufolge bis zum Jahresende auf 600 Millionen erhöhen. Dies sind doppelt so viele Mitglieder, wie die USA Einwohner haben, und tatsächlich leben nur noch in Indien und China mehr Menschen. Bösartige Links, die auf Facebook kursieren, stellen für Angreifer ein grosses Geschäft dar. Und die Geschichte von Anne und Paul zeigt, dass Angriffe auf Facebook als Sprungbrett in firmeneigene Netzwerke – wie das von Zurich – genutzt werden können.

Was können Sie dagegen tun?


Nichts was wir nicht bereits erwähnt hätten, doch noch einmal zur Erinnerung:

  • Wählen Sie für jedes Ihrer Konten bei sozialen Netzwerken ein starkes Passwort.
  • Erinnern Sie auch Ihre Freunde daran, starke Passwörter für ihre Konten bei sozialen Netzwerken zu verwenden.
  • Verwenden Sie keines Ihrer Firmen-Passwörter für ein Konto in einem sozialen Netzwerk.
  • Überlegen Sie genau, bevor Sie einem Link folgen, den Sie von einem Freund in einem sozialen Netzwerk erhalten.
Quelle: Zürich Versicherung
Bild: Zeitjung

Montag, 18. Oktober 2010

Sécurité: Le maillon le plus faible?

La rumeur dit que les professionnels piratent les gens, les amateurs piratent les ordinateurs.

Kevin Mitnick, un criminel informatique converti de grande notoriété, qui a popularisé le terme de l’«ingénierie sociale», souligne qu’il est beaucoup plus simple de piéger quelqu’un pour qu’il donne un mot de passe pour accéder à un réseau informatique ou à une application que de faire l’effort de le pirater pour obtenir l’entrée.

L’ingénierie sociale est un terme utilisé parmi les pirates pour décrire les techniques employées pour obtenir l’accès aux systèmes informatiques; ces dernières reposent sur la faiblesse humaine davantage que sur des outils logiciels. Son but est d'entraîner les gens à révéler leurs mots de passe et d'autres informations dont un pirate peut ensuite se servir pour compromettre la sécurité d’un système informatique. On peut le décrire comme: «l’art et la science de réussir à faire en sorte que les gens se soumettent à vos désirs.»

Dans un article du Washington Post, Mitnick explique qu’il a utilisé l’ingénierie sociale pour obtenir des informations sur un réseau – et parfois même réussir à accéder au réseau – pour plus de la moitié des exploitations de réseaux qu’il a réussi à effectuer.

Dans son livre, L’art de la supercherie, il explique avec précision:

«…par nature, les gens ont envie d’aider et par conséquent, ils se laissent facilement avoir.»
«Ils acceptent un niveau de confiance afin d'éviter le conflit.»
«Tout résulte du fait que les gens pensent que l’accès à l’information est anodin alors que ça ne l’est pas.»
«Vous pouvez dépenser des fortunes dans l’achat de technologies et services…et votre infrastructure de réseau reste vulnérable à la manipulation ancienne.»
«Le maillon le plus faible de la chaîne de sécurité est l’élément humain…»

Comment est-ce que j’ai pu être attaqué?

Le type le plus courant d'attaque d’ingénierie sociale est réalisé par téléphone. Un pirate vous appelle et imite une personne, souvent quelqu’un à un poste supérieur - qui, peu à peu, recueille le plus possible d'informations sur vous. Par exemple, l’un des moyens le plus efficace et le plus simple d’entraîner les utilisateurs informatiques à divulguer des informations est d’appeler et de se faire passer pour quelqu’un de l’help desk ou du support informatique et de demander les mots de passe de l’utilisateur.

Les ingénieurs sociaux obtiennent également des informations en prétendant qu’ils sont les administrateurs du réseau. Un criminel de ce genre vous enverra un message e-mail par le réseau, déclarant qu’il a besoin de votre nom d’utilisateur et de votre mot de passe pour corriger un problème technique. Dans un autre scam, il se peut que vous receviez un message électronique contenant un lien vers un site web d’un concours. On vous demande de remplir un formulaire et d’indiquer notamment les noms de collègues et responsables, les numéros de téléphone et autres informations importantes. Ces données – si elles sont recoupées – peuvent aider le pirate à étendre son réseau d’ingénierie sociale et à compromettre éventuellement votre réseau informatique.

Comment puis-je me protéger moi et mon entreprise d’une attaque d’ingénierie sociale?

Ne révélez jamais votre mot de passe à quiconque (sauf si vous y êtes autorisé). Tous les utilisateurs officiels du réseau ont leurs propres comptes, les administrateurs qui ont besoin d'effectuer une tâche peuvent le faire avec leurs propres comptes. L’administrateur n’a pas besoin de connaître votre mot de passe. La réinitialisation de votre mot de passe ou le déverrouillage de votre compte ne nécessite pas l’utilisation de votre mot de passe.

Voici d’autres conseils à suivre pour éviter les attaques d’ingénierie sociale:

  • Vérifiez l’identité de tous ceux qui vous appellent.
  • Assurez-vous à chaque fois que tous les visiteurs respectent les procédures locales d’enregistrement des visiteurs et disposent de l’identification visiteur correcte.
  • Ne dévoilez jamais d’informations confidentielles de l’entreprise. Soyez prudent si quelqu’un vous appelle et vous interroge sur d'autres collaborateurs, notamment sur leurs noms et leurs positions.
  • Si une personne qui vous appelle ou un visiteur inconnu vous demande de taper quelque chose sur votre ordinateur – ne le faites pas - sauf si vous êtes sûr qu'ils sont autorisés à agir ainsi.
  • Faites attention aux personnes qui regardent par-dessus votre épaule lorsque vous entrez votre mot de passe.
  • Ne donnez les numéros d'appels en interne sur votre réseau informatique ou sur tout autre système qu’aux utilisateurs valides.
  • Ne répondez jamais aux questions posées pour des sondages externes par téléphone.

Que puis-je faire si je pense que je suis attaqué?

Si vous recevez un appel que vous croyez provenir d’un ingénieur social:

  • Écrivez le numéro s'il s'affiche sur le téléphone.
  • Prenez des notes détaillées de la conversation, y compris la date et l'heure de l'appel.
  • Demandez le nom et le numéro de la personne qui appelle.
  • Contactez immédiatement votre équipe locale de sécurité informatique et suivez les procédures locales de réponse aux incidents.
  • Alertez les membres de votre équipe.
Source: inconnu

Donnerstag, 7. Oktober 2010

IPv6 wird nur schleppend eingeführt

Salopp ausgedrückt gehen dem Web die Adressen aus. So wie Telefonnummern zum gewünschten Apparat führen, werden im Internet Computer und andere Geräte mit einer Nummer versehen, damit die Daten an den richtigen Ort gelangen. Die Art und Weise, wie die Geräte miteinander kommunizieren, wird durch das Internet-Protokoll Version 4 bestimmt (IPv4). Das vor fast dreissig Jahren entwickelte System ist den heutigen Ansprüchen allerdings nicht mehr gewachsen. Im Moment hat die für die Verwaltung zuständige Organisation Internet Assigned Numbers Authority (IANA) noch etwas mehr als 210 Millionen Adressen in Reserve, doch pro Sekunde werden weltweit an Provider rund 20 Adressen vergeben, weit über eine Million pro Tag.

Zwar wird die Verknappung der IP-Adressen seit Jahren mittels eines Verfahrens (Network Adress Translation) entschärft, über das mehrere private oder firmeninterne Rechner dieselbe öffentliche IP-Adresse nutzen. Auch wenn das Nachteile bringt und gegen das Prinzip verstösst, wonach jeder Rechner im Netz direkt ansteuerbar sein sollte.

Eine zukunftsgerichtete Lösung des Problems verspricht aber nur IPv6: das Internet-Protokoll der nächsten Generation. Es schafft die Voraussetzungen, dass dem Wachstum des Internets nach heutigem Ermessen keine Grenzen mehr gesetzt sind. Dafür soll der neue Standard dank einer unglaublichen Zahl an verfügbaren Adressen sorgen (siehe Kasten).

Viele Vorteile mit IPv6

Schnelle Remedur ist schon deswegen nötig, weil der Bedarf an zusätzlichen IP-Adressen schneller wächst denn je. Einerseits wird das Internet in Schwellenländern immer populärer, andererseits explodiert der Internetzugriff via Natel. Gemäss Ericsson hat die Zahl der Mobiltelefonbenutzer im Juli die Schwelle von 5 Milliarden überschritten. Griffen 2009 erst 360 Millionen Anwender via Natel aufs Web zu, soll sich die Zahl laut Ericsson bis 2015 auf 3,4 Milliarden vervielfachen.

Ein weiterer Wachstumsmotor mit noch grösserem Potenzial ist das sich anbahnende Internet der Dinge. Darunter versteht man die Vernetzung von Gegenständen, Geräten und Maschinen, die miteinander kommunizieren. In der Testphase sind etwa Autos, die zur Erhöhung der Verkehrssicherheit miteinander Informationen austauschen. Szenarien sind auch intelligente Stromzähler, die Verbrauchswerte automatisch an das EW melden, oder Hundehalsbänder mit eigener IP-Adresse, die Fidos Standort auf einer Website anzeigen können. Ericsson prognostiziert, dass bis Ende des Jahrzehnts 50 Milliarden Geräte via Internet miteinander verbunden sein werden – und alle brauchen eine Internet-Adresse.

Der Umstieg auf IPv6 bietet mehr als nur einen grösseren Adressraum. Das Protokoll überwindet auch weitere Grenzen, an die das Internet gestossen ist. Mit dem neuen Standard können sich Geräte durch Autokonfiguration einfacher ins Netz einwählen, der Transport der Daten wird optimiert, und IPv6 verspricht mehr Sicherheit. Dafür ist unter anderem der gigantische, aufgrund seiner Dimension kaum «bevölkerte» Adressraum verantwortlich. Er erschwert es den Herstellern von Viren und anderer Malware, das Adresssystem auf der Suche nach PC zu scannen. Manche Fachleute meinen, aus ökonomischer Sicht sei der Zeitaufwand dafür zu gross. Ein Fortschritt bringt auch die Erweiterung IPv6 Mobile, die mobile Geräte unabhängig von ihrem Standort mit einer fixen Adresse versieht. Heute gibt es allerdings noch kaum Natels, die für den neuen Standard schon gerüstet sind.

Hohe Investitionskosten

Es spricht also vieles für IPv6, und dennoch wird der bereits 1998 verabschiedete Standard schleppend eingeführt. Obwohl die OECD Regierungen und Internet-Provider zu einem raschen Umstieg drängt, können heute erst 5 Prozent der rund 1800 Subnetze des Internets mit IPv6-Technik umgehen. Eine Hemmschwelle sind die Investitionen in Hard- und Software, welche die Netzbetreiber leisten müssen. Zu den ersten Internet-Providern, die in der Schweiz vornehmlich für Firmen IPv6-Zugänge anbieten, gehören unter anderen Init7, Genotec und Interway.

Weil erst wenige Websites auch über IPv6 oder gar ausschliesslich über das neue Protokoll zu erreichen sind, besteht wenig Zugzwang. Solange das Protokoll keinen Durchbruch vermeldet, ist der Reiz, Websites mit IPv6-Adressen anzubieten, gering. Für Fachleute ist klar, dass die nicht kompatiblen Standards über Jahre parallel betrieben werden und Provider Übersetzungsverfahren oder einen sogenannten Dual-Stack-Modus nutzen müssen, bis die Zukunft die Vergangenheit abgelöst hat.

Quelle: Neue Zürcher Zeitung, leicht bearbeitet