Smartphones und Tablets als Angriffsziel
Spionageabwehr in der mobilen Welt
Schon längst haben die (Industrie-)Spione die Welt der mobilen Endgeräte entdeckt. Mittlerweile gibt es ein ganzes Bündel an Angriffsszenarien im Mobilbereich, darunter viele mit technischen wie auch menschlichen Aspekten. Die Abwehrmechanismen in Unternehmen und Behörden müssen deshalb sowohl auf der technischen als auch der organisatorischen Ebene ansetzen. Eine mehrschichtige Sicherheitsarchitektur bringt die notwendige Flexibilität.
Mobile Endgeräte wie Smartphones und Tablets werden in immer mehr Geschäftsbereichen und Branchen zur primären Rechnerplattform. Das hat nicht zuletzt Folgen für die IT-Sicherheit. Die Angriffsszenarien verschieben sich zunehmend in den Mobile-IT-Sektor. Unter diesen Angriffsszenarien spielt Spionage - sei es im Unternehmens- oder im Behördenbereich - eine wichtige Rolle. Zum einen zählt das Ausspähen von Daten im gesamten IT-Sektor zu den bevorzugten Aktivitäten der Kriminellen, zum anderen gehören die Nutzer von Mobilgeräten oft zu einem Personenkreis, bei dem interessante und manchmal sogar brisante Daten und Dokumente auf den Mobilgeräten zu vermuten sind.
Viele Angriffe auf diese lohnenden Zielobjekte erfolgen über Spähprogramme im Fernzugriff (Remote Access Trojans, RATs). Berühmt-berüchtigt war vor einigen Jahren zum Beispiel der Trojaner Operation Shady RAT. Dieser soll nach glaubwürdigen Aussagen auf der Black-Hat-Konferenz im Jahr 2011 Rechner von 71 Unternehmen und Behörden weltweit infiziert haben, unter anderem in den USA, Kanada, Großbritannien, Deutschland, Hongkong, Singapur und Japan, und fünf Jahre unentdeckt geblieben sein. Der Trojaner verbreitete sich gezielt durch E-Mails, die als Anhang ein Spreadsheet von tatsächlich existierenden Mitarbeitern der jeweiligen Organisation aufwiesen. Die E-Mail führte also einen scheinbaren, in Wirklichkeit aber trügerischen Vertrauensbeweis mit sich. Nach Öffnen des Anhangs auf dem Zielrechner installierte der Trojaner eine Verbindung zu einem Spionagerechner, der den infizierten Computer übernahm und Daten entwendete.
Es war nur eine Frage der Zeit, bis Angreifer RATs auch auf Smartphones und Tablets einschleusen würden. Die IT-Sicherheitsfirma Lacoon Mobile Security überprüfte kürzlich zwei Millionen Mobilgeräte und fand nach eigenen Angaben heraus, dass eines von 1.000 Geräten mit einem mobilen Remote-Access-Trojaner (MRAT) infiziert war. Die Lacoon-Spezialisten identifizierten unter anderem einen Trojaner für Mobilgeräte, den (staatliche) Spione über einen betrügerischen Link in Whatsapp-Textnachrichten auf Android-Geräte schleusten, um auf diese Weise die Oppositionsbewegung in Hongkong auszuspähen. Später entdeckte das Lacoon-Team auch eine Variante für IOS-Geräte.
In beiden Fällen infizierten die Spione ausschließlich mobile Geräte mit einem manipulierten Betriebssystem (Rooting bei Android, Jailbreak bei IOS). Leider sind mittlerweile aber auch Mobilgeräte mit intaktem Betriebssystem über Mobiltrojaner angreifbar. Im November 2014 dokumentierte das US-CERT einen Angriff auf Apples IOS-System mit dem Namen "Masque Attack". Dieser vom IT-Sicherheitsspezialisten Fireeye aufgedeckte Angriff versucht, Nutzer von Mobilgeräten dazu zu bringen, eine App zu installieren, die nicht aus dem Apple App Store kommt. Dazu benutzt Masque Attack zwei unterschiedliche Wege: Entweder wird der Benutzer über eine scheinbar vertrauenswürdige E-Mail dazu aufgefordert, ein Update für eine zugelassene App herunterzuladen; dieses angebliche Update ist tatsächlich aber eine Spionage-App, die die existierende saubere App überschreibt. Oder aber ein betrügerischer Unternehmensmitarbeiter verteilt ein vorgebliches Update für eine geprüfte App durch den App-Verteilungsmechanismus des im Unternehmen verwendeten EMM-Systems. Auch hierbei handelt es sich bei dem Update um eine Spionage-App.
Wirkweisen vergifteter Apps
Um Mitarbeiter dazu zu bringen, die Nutzung im Unternehmen vorgeschriebener App Stores zu unterlassen, sind sicher einige Kommunikationstricks notwendig. So muss der Angreifer die entsprechende Aufforderung per Mail oder persönlich als dringlich und unabdingbar darstellen. Man sollte sich aber keine Illusionen darüber machen, wie leicht sich Menschen täuschen lassen, insbesondere wenn der Angreifer von innen kommt und über ein gültiges Profil im Identitäts-Management und entsprechende Signaturzertifikate von Apple verfügt. Nach Einschätzung des US-CERTs kann eine heruntergeladene Spionage-App ein ganzes Bündel von zerstörerischen Aktivitäten auslösen:
Die Spionage-App imitiert die Anmeldeschnittstelle der Original-App und stiehlt die Anmeldedaten des Opfers.
Der Spion erhält Zugriff auf sensible Daten aus lokalen Cache-Speichern.
Der Trojaner protokolliert unbemerkt sämtliche Aktionen des Nutzers.
Der Spion verschafft sich Root-Privilegien auf dem IOS-Gerät.
MRATs wie Masque Attack oder Wirelurker sind Beispiele für moderne Spionagetechnik [5]. Der Aufwand für diese Angriffe ist zweifellos beträchtlich, dafür ist aber auch die Ausbeute an wertvollen Informationen, die solche Angriffe bringen, umso reichhaltiger. Insofern ist die Versuchung für viele ethisch nicht gefestigte Naturen groß, Spionage-Apps zu konstruieren und diese dann direkt oder gegebenenfalls unter Mithilfe von Innentätern auf die mobilen Endgeräte zu schleusen. Dabei kann entweder die gesamte App auf Spionage oder Zerstörung getrimmt sein oder aber nur das Software Developer Kit (SDK), das heutzutage eine gängige Methode darstellt, um Apps an Kundenbedürfnisse oder Sicherheitsanforderungen anzupassen. Da kommt dann oft der Wolf im Schafspelz.
Angesichts der Mischung aus technischen Angriffsmechanismen und solchen, die auf Social Engineering (Täuschung sowie Ausnutzung menschlicher Schwächen) basieren, ist es notwendig, dass auch die Abwehrmechanismen auf mehreren Ebenen ansetzen. Technische und organisatorische Maßnahmen sowie Sensibilisierungsinitiativen müssen Hand in Hand gehen. Auf der technischen Seite hat ein leistungsfähiges EMM-System (Enterprise-Mobility-Management) im Zentrum der Abwehr zu stehen. Ergänzt wird ein solches System durch eine Reputationsdatenbank, ein NAC-System (Netzwerkzugangskontrolle) sowie durch IT-Sicherheitslösungen, die Apps in Echtzeit auf Verhaltensauffälligkeiten untersuchen, die auf böse Absichten hindeuten. Verdächtig machen sich Apps beispielsweise, wenn ihr Code programmtechnisch unmotiviert Dateien öffnet, undurchsichtige Systemänderungen vornimmt oder neue, offensichtlich überflüssige Netzwerkverbindungen erzeugt.
In der Regel haben sich die führenden EMM-Anbieter schon längst mit einer großen Zahl von Partnern zusammengetan, um die genannten Zusatzfunktionen abzudecken. Bei der Evaluierung eines EMM-Anbieters sollten Unternehmen und Organisationen insbesondere darauf achten, wie gut diese Funktionen in das Kern-EMM-System integriert sind. Kaum ein Unternehmen dürfte Ressourcen und Budget einplanen wollen, um eigenen Programmcode zur Anbindung derartiger Systeme zu schreiben.
Die zwingend vorgeschriebene Routineüberprüfung von Apps und App-Updates beim Download auf mobile Endgeräte durch eine Reputationsdatenbank ist letztlich keine technische, sondern eine organisatorische Sicherheitsmaßnahme, die das Prinzip der Aufgabentrennung umsetzt. Die Maßnahme definiert die Entwicklung von Code und die Nutzung von Code als zwei strikt zu trennende Aufgabenbereiche. Sowohl Apps von Drittanbietern als auch selbstentwickelte Apps sollte man grundsätzlich und zwingend einer statischen, dynamischen und verhaltensorientierten Analyse unterziehen, die in einen Bericht an den IT-Administrator mündet.
Mehrschichtige Sicherheitsarchitektur
Die Ergebnisse der App-Reputationsanalyse werden natürlich auch an das EMM-System übermittelt, damit dieses bei Bedarf entsprechende Maßnahmen ergreifen kann. Ergibt die Analyse beispielsweise eine Reputation unter einem definierten Schwellenwert, isoliert die EMM-Software die jeweiligen Endgeräte vom Produktivsystem (Quarantänestatus). Danach lassen sich verschiedene Maßnahmen ausführen. Die IT-Administration kann die Inhalte der unter Infektionsverdacht stehenden mobilen Endgeräte entweder vollständig oder selektiv (zum Beispiel nur die geschäftlichen Daten) löschen. Kommt darüber hinaus ein NAC-System zum Einsatz, kann sie die als infiziert identifizierten Mobilgeräte auch vom Netzzugang, aus der Ferne wie auch lokal, ausschließen.
Einige der heute verfügbaren EMM-Lösungen ermöglichen es zudem, mobile Endgeräte mit manipulierten Betriebssystemen (Jailbreak oder Rooting) zu identifizieren und diese ebenfalls in Quarantäne zu stecken. Was die vollständige oder selektive Fernlöschung problembehafteter mobiler Endgeräte anbelangt, so müssen diese nicht unbedingt mit dem Netz verbunden sein. Zumindest die besseren EMM-Systeme enthalten mittlerweile Selbstlöschmechanismen, die greifen, wenn ein Smartphone oder Tablet für eine bestimmte Zeit vom Netz ist oder es eine bestimmte definierte Umgebung verlässt.
Lesen Sie mehr zum Thema
