Krypto e.V.

Schweizer Wissenschaftler haben gezeigt, dass die Eingabe auf Computerkeyboards mit einfachen Mittel ausspioniert werden kann – ohne Programme auf dem PC und speziell bei Keyboards, die per Kabelverbindung mit dem Computer kommunizieren. Möglich macht das elektromagnetische Strahlung, die beim Tastendruck entsteht. Den Ansporn für das Experiment gaben Gerüchte, dass manche Geheimdienste entsprechende Technologien besitzen sollen. “Mit unserem Experiment wollten wir feststellen, ob moderne Keyboards für solche Angriffe anfällig sind”, sagt Martin Vuagnoux, Forscher am Security and Cryptography Laboratory (LASEC) der Eidgenössischen Technischen Hochschule Lausanne .

Die Elektronik einer Tastatur verursacht elektromagnetische Strahlung, aus der ein Angreifer Informationen wie die genauen Tastendrücke gewinnen kann. Das hat schon vor zehn Jahren Markus Kuhn an der University of Cambridge vermutet. Einen Nachweis haben Vuagnoux und Sylvain Pasini vom LASEC allerdings nicht gefunden. Daher haben sie mit einfachen Antennen versucht, die verräterische Strahlung einzufangen und vier Methoden gefunden, getätigte Tastendrücke zumindest teilweise zu rekonstruieren. Von elf verschiedenen, in den letzten sieben Jahren gekauften Tastaturen (PS/2, USB und Laptop) ist jede für zumindest eine Angriffsmethode anfällig, so das Ergebnis. “Man muss relativ nahe am Ziel sein”, schränkt Vuagnoux ein. Doch immerhin ist den beiden LASEC-Forschern eine Spionage durch Wände und auf bis zu 20 Metern Entfernung gelungen.

Von Reichweiten von 200 Metern, die Vuagnoux zufolge in Gerüchten über Geheimdienst-Ausrüstung genannt wurden, sind die beiden Forscher damit weit entfernt. “Zweifelsohne können unsere Angriffe deutlich verbessert werden, da wir relativ billig Ausrüstung verwendet haben”, meinen sie allerdings auf der Webseite zum Experiment http://lasecwww.epfl.ch/keyboard . Wer sich schützen will, kann aber auf bereits existierende Technologien zurückgreifen. “Elektromagnetisch abgeschirmte Keyboards sind erhältlich”, erklärt Vuagnoux. Sie wurden zwar entwickelt, um vor äußeren Störungen durch elektromagnetische Pulswaffen zu schützen, so der Forscher. Allerdings sollten sie ebenso ein Entweichen der verräterischen Strahlung aus der Tastatur verhindern.

Der Autor des Spammer-Tools “XRumer” hat eine neue Version seiner Software auf den Markt gebracht. Sie soll neben Captcha-Bildrätseln gängiger Foren-Software auch jene von Googles Webmail-Dienst knacken. Rund 500 Dollar sind ein Kampfpreis für die Cyber-Unterwelt, denn andere Anbieter verlangen teils tausende Dollar für einen Algorithmus, der nur Captchas eines Internet-Angebots lösen kann, berichtet Francois Paget von den McAfee Avert Labs in deren Forschungs-Blog. Die Erfolgraten von automatisierten Angriffen haben inzwischen beachtliche Höhen erreicht. Konkurrieren müssen die Tools aber auch mit Kräften aus Billiglohn-Ländern. Sie sollten auch dann noch Erfolg haben, wenn Programme an ihre Grenzen stoßen.

“Programme, um Captchas automatisiert zu analysieren gibt es seit etwa eineinhalb Jahren”, meint Sicherheitsexperte Toralv Dirro. Sie werden vor allem von Spammern genutzt, um Foren mit ihren Botschaften zu überschwemmen oder Webmail-Accounts für den Spamversand zu sichern. Die Erfolgsraten können sich inzwischen sehen lassen. Paget verweist auf eine Aufstellung des französischen Security-Consulting-Unternehmens XMCO partners, nach der beispielsweise Google-Captchas von Programmen in einer Minute mit 80 Prozent Erfolgswahrscheinlichkeit geknackt werden können. Und sie sind vergleichsweise sicher, denn bei der gängigen Forensoftware phpBB liegt die Erfolgsrate demnach bei 97 Prozent mit einem Zeitaufwand von nur drei Sekunden.

Algorithmen, die Captchas lösen, lassen sich die Autoren regelrecht vergolden. Ein chinesischer Anbieter beispielsweise verlangt laut Paget 500 bis 6.000 Dollar für Algorithmen, die einfache bis mittelschwere Captchas bewältigen. Für Tools, die Google oder Hotmail knacken können, dürfte noch mehr fällig sein. Da ist das russische XRumer 5 mit 520 Dollar vergleichsweise günstig. Und es kann laut Autor nicht nur mit klassichen Captchas, wo eine Zeichenkette erkannt werden muss, umgehen. Auch Auswahl-Tests, wo der Nutzer aus einer Reihe von Bildern das einem Begriff entsprechende wählen soll, seien knackbar. Denn es würden immer wieder die gleichen Bilder genutzt, welche die Software aufgrund der Dateigröße erkennen kann. “Wenn solche Schutz-Ansätze verfeinert werden, wird das automatisierter Software aber Probleme bereiten”, ist jedoch Dirro überzeugt.

Der Experte hält für denkbar, dass es zu einem technologischen Wettrüsten zwischen Captcha-Tools und Knack-Programmen kommt. Davon profitieren würden wohl Arbeiter in Billiglohnländern, die sich auf “Captcha-Dateneingabe” spezialisiert haben. “Sie erreichen Erfolgsraten von 99 Prozent und mehr”, sagt Dirro. Während Foren und Webmail-Angebote durch technologische Verbesserungen effektiver vor automatisierten Angriffen geschützt werden könnten, würden die Billig-Kräfte ihren Auftraggebern weiterhin zuverlässig den Zugang zu den Webangeboten sichern können. Preislich sind die Angebote aus Ländern wie Vietnam oder Bangladesh für die Spammer attraktiv, nur wenige Dollar pro 1.000 Captchas werden verlangt. “Ich halte das für ein zukunftssicheres Modell”, meint daher Dirro. Noch billiger für die Cyberkriminellen ist allenfalls der Ansatz, Internetsurfer durch Pornobilder zu Gratis-Erfüllungsgehilfen zu machen.

Nachdem die Bankenkrise von den USA auch nach Europa übergeschwappt ist, war es nur eine Frage der Zeit bis Spammer versuchen, die Verunsicherung in der Bevölkerung für sich auszunutzen. Sicherheitsanbieter warnen nun vor einer Welle an Spam-E-Mails, die billige Kredite anbieten oder Möglichkeiten aufzeigen, das mühsam ersparte Bankguthaben in vermeintlich sichere Anlageformen umzuschichten. “In den vergangenen Tagen registrieren unsere Sicherheitsexperten vermehrt Spam- und Phishing-Nachrichten mit klarem Bezug auf die Bankenkrise”, berichtet Thorsten Urbanski, Sprecher von GData.

Die Ziele der Spammer gehen hierbei quer durch die Angebotspalette von Cyberkriminellen. So lockt eine aktuelle Spam-E-Mail mit dem Versprechen, schnell und unkompliziert Kredite zu vergeben. Neben niedrigen Zinsen von 5,5 Prozent bei einer Laufzeit von 15 Jahren werben die dubiosen Anbieter auch damit, dass man keine Schufa-Informationen oder sonstige Bankauskünfte einhole. “Allerdings wird schon bei der Anfrage eine Gebühr fällig, die für den Kreditservice zu entrichten ist”, berichtet Urbanski. Dass die versprochenen Kreditsummen anschließend tatsächlich ausbezahlt werden, ist zu bezweifeln.

Neben Gebührenabzocke für Entschuldungskonzepte und Kreditvermittlung reichen die durch Banken-Spam drohenden Gefahren über klassischen Diebstahl persönlicher Daten auf Phishing-Seiten bis hin zur Infektion des Rechners mit Schadcode. “Wir raten den Empfängern dieser Nachrichten, sie umgehend zu löschen. Kein seriöses Finanzunternehmen würde jemals auf Spam-E-Mails als Werbemittel setzen”, betont der GData-Sprecher.

Von einem drastischen Anstieg der Spammeldungen rund um die internationale Finanzkrise geht auch Secure Computing aus. Laut einem aktuellen Bericht des Sicherheitsanbieters führten im September noch E-Mails rund um den US-Präsidenschaftswahlkampf sowie zum Jahrestag der Terroranschläge vom 11. September 2001 die Spam-Hitliste an. Im Oktober hingegen würden Finanzthemen dominieren. Zu erwarten seien neben Lockangeboten auch Spam-Nachrichten, die auf angebliche Bankenaufkäufe oder Zusammenbrüche von Kreditinstituten hinweisen und Finanztipps geben.

Wahlcomputer stehen knapp einen Monat vor der US-Präsidentschaftswahl in massiver Kritik. In Palm Beach County, Florida, ist es jüngst bei einer Bezirksrichterwahl zu Unstimmigkeiten und Neuauszählungen gekommen, berichtet Wired. Unter anderem hätten die dortigen Geräte Stimmen fälschlich als ungültig gewertet. An der Rice University hat ein Uni-Experiment indes das Ziel, zu zeigen, wie leicht Wahlcomputer unbemerkt manipuliert werden können. Auch in Deutschland stößt die Technologie auf Widerstand. Vor den Kommunalwahlen in Brandenburg hatte der Chaos Computer Club (CCC) vor den Risiken von Wahlcomputern gewarnt.

Dass Wahlmaschinen ein hohes Risiko darstellen, will der Computerwissenschaftler Dan Wallach an der texanischen Rice University gar in einem Studentenprojekt beweisen. Seine Stundenten sollen in der Rolle skrupelloser Programmierer Geräte manipulieren. “Wir haben festgestellt, dass es sehr einfach ist, subtile Veränderungen vorzunehmen”, warnt Wallach. In einer zweiten Phase müssen die am Projekt Beteiligten dann von anderen Teams manipulierte Maschinen prüfen. “Unsere Studenten werden die Hacks oft, aber nicht immer, aufspüren”, meint der Computerwissenschaftler. Insgesamt sieht er das Experiment als Warnung, insbesondere, da die Testmaschine simpler ist als reale Wahlcomputer. Der Zertifizierungs- und Testprozess bei realen Wahlcomputern wäre wohl nicht in der Lage, betrügerische Veränderungen wie die seiner Studenten zu entdecken. “Würde das in der realen Welt passieren, könnten echte Wahlen kompromittiert werden und keiner wüsste es”, ist der Computerwissenschaftler überzeugt.

Praktische Probleme gab es zuletzt ausgerechnet im Palm Beach County, wo das Ergebnis schon bei der US-Präsidentschaftswahl im Jahr 2000 besonders umstritten war. Hier ist es zu einer mehrfachen Neuauszählung der Stimmen bei einer im August durchgeführten Bezirksrichterwahl gekommen. Unter anderem sollen dabei rund 3,500 Stimmen verschwunden und die genutzten Wahlmaschinen an sich gültige Stimmen als ungültig gewertet haben. Dabei handelt es sich bei den genutzten Geräten um relativ neue optische Scansysteme des Herstellers Sequoia Voting Systems. Die im Jahr 2000 genutzten Maschinen wurden 2002 durch Touchscreen-Geräte ersetzt. Letztere wiederum mussten den aktuellen Maschinen weichen, da der Staat Florida papierlose Wahlcomputer inzwischen allgemein verboten hat.

Die Manipulationsanfälligkeit von Wahlcomputern war auch der Grund, weshalb der CCC zu einer Beobachtung von 238 Geräten bei den brandenburgischen Kommunalwahlen aufgerufen hatte. “Wir beobachten mit Erstaunen, dass in den brandenburgischen Gemeinden weiterhin unverzagt diese Risikotechnologie eingesetzt wird”, hatte CCC-Sprecher Dirk Engling kommentiert. Ein Kritikpunkt war auch, dass in Brandenburg auf Testwahlen zur Wählerberuhigung verzichtet wurde. Dass das Vertrauen der Wähler in Wahlcomputer erschüttert sein könnte, legt nunmehr eine Analyse des Physikers Ulrich Wieser nahe. “In sieben von neun Gemeinden und kreisangehörigen Städten, die Wahlcomputer einsetzten, entwickelte sich die Wahlbeteiligung zum Teil deutlich schlechter als im Durchschnitt des jeweiligen Landkreises”, so Wieser. Ferner sei die Wahlbeteiligung in der Stadt Cottbus, die Wahlcomputer nutzt, deutlich unter dem Landesmittel geblieben. Der Einsatz der Geräte wirke sich also negativ auf die Wahlbeteiligung aus.

Der Computerhersteller Asus hat Kunden in Japan vor einem Viren-Problem bei seinem Mini-Destop “Eee Box” gewarnt. Seit letzter Woche ist dort das Modell Eee Box B202 erhältlich, das allerdings verseucht ausgeliefert wurde. Wie es zu dieser Panne beim Desktop-Vertreter der Eee-Familie kommen konnte habe das Unternehmen bisher nicht kommentiert, berichtet Network World. Auch darüber, ob sich das Problem auf Eee-Box-Geräte für den japanischen Markt beschränke, hat sich Asus nicht geäußert.

Auf dem D-Laufwerk des Desktops befindet sich eine Datei namens “Recycled.exe”, bei der es sich um einen Virus handelt. Wird das Laufwerk erstmals geöffnet, versucht sich der Schädling automatisch auf das primäre C-Laufwerk zu kopieren und die Registry zu verändern. Auch alle USB- und anderen Wechsel-Datenträger, die an das Gerät angeschlossen sind, sind von einer Infektion bedroht. Asus Japan äußert dazu sein Bedauern und verspricht seinen Kunden Hilfe bei der Lösung des Problems. Wie der Schädling allerdings auf die Geräte gekommen ist, hat das Unternehmen bislang jedoch nicht erklärt.

Bereits seit August werden Eee-Box-Geräte in Großbritannien ausgeliefert. Ob die Viren auch diese Rechner befallen haben, wurde laut dem britischen PC Advisor von Asus bislang nicht kommentiert. In Deutschland ist Verkaufsstart für den Desktop-Verwandten des Eee PCs Mitte Oktober geplant. Über eine mögliche Verschiebung dieses Termin aufgrund des Virenproblems gibt es derzeit keine Informationen.