Schlagwort: Hacking

Veröffentlicht am

Projekttreffen INSPECTION am KIT

Während Nancy Faeser Ihre Cybersicherheitsagenda vorstellt – mit zentralen Befugnissen gegen Hacker – arbeitet das Team im Forschungsprojekt INSPECTION an dezentralen Ansätzen. Knapp zwei Jahre nach dem Kick-off fand das INSPECTION Projektmeeting wieder am KIT in Karlsruhe und Online statt. Im Forschungsprojekt INSPECTION geht es darum, von außen zu erkennen, dass Webseiten gehackt wurden. Dieser dezentrale Ansatz identifiziert große Mengen von Hackings, die oft jahrelang unentdeckt bleiben. Die gehackten Webpräsenzen von  Privatleuten, Handwerkern, Firmen, aber auch z.B. Städten, Universitäten und Kliniken, werden im großen Stil dazu genutzt, Besucher zu Fake-Shops zu leiten. Die gleiche Art des Hackings kann aber auch verwendet werden für Ransomware-Downloads, Phishing oder DDOS-Attacken.

Herr Stephan Halder, BDO AG, stellte weitere Ergebnisse aus der forensischen Analyse betroffener Webseiten vor. Besondere Highlights waren Feststellungen, wie tief sich Angreifer in gehackte Webserver eingraben und die Sicherungsmechanismen, die Angreifer ergreifen um nicht entdeckt zu werden. Basierend auf diesen Erkenntnissen wurden Maßnahmen zur Verstärkung der Resilienz gegenüber Hacking-Angriffen präsentiert.

Dr. Peter Mayer und Anne Hennig, die die Forschungsgruppe SECUSO im Projekt vertreten, berichteten über erste Ergebnisse eines Benachrichtigungs-Experiments, bei dem die Effektivität verschiedener Anschreiben getestet wird. Einleitend zu dem Thema Entwicklung von Awareness-Materialien, das im nächsten Projektzeitraum im Fokus der Konsortialpartner stehen wird, stellte Frau Prof. Melanie Volkamer einen Leitfaden für das Erstellen von Security-Awareness-Maßnahmen vor. 

Herr Joachim Feist, von der mindUp Web + Intelligence GmbH aus Konstanz, sprach über Ansätze wie gehackte Webseiten bereits an der sitemaps.xml erkannt werden können. Darüber hinaus stellte er den Ansatz der „security.txt“ Datei vor, die es auf einfachem Weg erlaubt, betroffene Webseiten-Betreiber zu informieren.

Nähere Informationen zu diesem Vorschlag finden Sie im vorherigen Beitrag:

Are you hacked ? Please let us contact!

Veröffentlicht am

Are you hacked ? Please let us contact!

Wie können Webseitenbetreiber erreicht werden, wenn festgestellt wird, dass sie gehackt wurden?

Genau diese Frage fällt unter einen der drei Hauptbestandteile des Forschungsprojekts INSPECTION: Finden, Behandeln, Verhindern.

Bei der Ansprache ergibt sich häufig das Problem der Glaubhaftigkeit, denn über die üblich angebotenen Kontaktmöglichkeiten, wie Kontaktformulare oder info@-Adressen, werden nicht direkt Spezialisten für Security angesprochen, sondern die Botschaft muss erst einmal erfolgreich den Firmenprozess durchwandern und sich gegen alle möglichen Spam-Nachrichten behaupten.

Der .well-known/security.txt Standard

Ein Vorschlag vom IETF unter den sogenannten .well-known Uri´s beschäftigt sich ebenso mit der Frage nach einer besseren Kontaktaufnahme in Sicherheitsfällen.

Das dazu veröffentlichte Dokument RFC 9116 beschreibt den Aufbau, die Lokalisation und weitere wichtige Eigenschaften, welches eine „security.txt“-Datei erfüllen soll und beinhalten kann.

In seiner einfachsten Form enthält das „security.txt“ eine Zeile, welche der bestmöglichen Kontaktaufnahme dient, und eine Zeile, welche das Ablaufdatum der Information enthält.

Contact: security@meine-domaene.de

Expires: 2027-07-07T14:28:42z

Ein Beispiel einer security.txt Datei

Wie häufig wird diese sinnvolle Möglichkeit schon genutzt? Ist sie bei Webmastern schon so bekannt wie die robots.txt oder die sitemap.xml ?

In einer aktuell durchgeführten Suche nach diesen hilfreichen Dateien konnten wir bei 4.145 Domänen, welche wir als gehackt bzw. ehemalig gehackt klassifiziert haben, leider keine Webseite finden, welche eine „security.txt“ besitzt.  D.h. für die Ansprache im Forschungsprojekt INSPECTION gab es keinen Fall bei dem die security.txt bisher hilfreich gewesen wäre.

Etwas besser sieht es bei breiteren Suche von Domänen aus: Bei einer Analyse von 36.000 Domänen vornehmlich aus Deutschland, Österreich und der Schweiz, die im Rahmen des Forschungsprojekts analysiert wurden, war gerade einmal bei 64 eine „security.txt“ abgelegt. Dies entspricht weniger als 0,18% – als Tortendiagramm kaum darstellbar.

Anteil von Webpräsenzen mit security.txt

Für den Erfolg einer schnellen und zielführenden Ansprache ist es wichtig solche Standards zu unterstützen.

Sprechen Sie am besten noch heute Ihren Webmaster an. Den Dateiordner .well-known gibt es bereits auf den meisten Webpräsenzen, da er auch für die Schlüsselverwaltung genutzt wird. Dort lediglich die kleine security.txt Datei anlegen und schon ist man bereit im Falle eines Falles für eine zielführende Information.

Veröffentlicht am

Prüfung von Kammerbetrieben der IHKs

Auf Einladung von Frau Dr. Sobania – zuständige Referatsleiterin für IT-Sicherheit bei der DIHK – wurde am 29.3.2022 IHK-Verantwortlichen einzelner Kammern das Projekt INSPECTION vorgestellt. Für die Kammern besteht das Interesse, Mitgliedsbetriebe frühzeitig auf ein Hacking hinzuweisen. Für das Forschungsprojekt besteht das Interesse gezielt und nutzbringend Hackingfälle zu finden und Betroffene informieren zu können.

Herr Feist von der mindUp Web + Intelligence GmbH stellte dabei die technischen Aspekte dar: Im Rahmen des Projekts INSPECTION können dabei die bekannten Webseiten der Mitgliedsbetriebe durch die im Forschungsprojekt entwickelte Detektionssoftware geprüft werden. Zum Einsatz kommen dabei verschiedene Prüfschritte, die speziell für diesen Anwendungsfall entwickelt werden: Während normalerweise direkt Suchmaschinenergebnisse überwacht und dort auffällige Resultate von Webseiten erkannt werden, ist für diesen Anwendungsfall notwendig, die KI basierten Erkennungsmechanismen speziell auf eine Webseite zu richten. Aus früheren Anwendungen für verschiedene Handwerkskammern ist dabei schon bekannt, dass auch andere Formen des Missbrauchs wie z.B. Kommentar-Spam zu erkennen sind. Als Nebenprodukt fallen auch ganz triviale aber datenschutzrechtlich relevante Punkte an, wie die Information, welcher Prozentsatz der Betriebe allgemeine Sicherheitsstandards wie das https-Protokoll im Einsatz haben.

Frau Anne Hennig, wissenschaftliche Mitarbeiterin der Forschungsgruppe SECUSO, präsentierte die Möglichkeiten, wie in einem solchen Fall betroffene Webseitenbetreiber effektiv angesprochen werden können. Hierbei können die Kammerverantwortlichen für IT-Sicherheit unterstützen, denn gerade die Stelle, die eine solche Warnung weitergibt, ist sehr wichtig, um beim Betroffenen plausibel zu wirken.

Auf Interesse seitens der Sicherheitsberater der IHKs stieß dabei auch, dass im Rahmen des Projekts auch Präventionsmaterialien zur „Awareness“ bei möglichen Betroffenen für die Betriebe erarbeitet werden.

Die Verantwortlichen der einzelnen IHKs prüfen nun inwieweit Webseitendaten der Betriebe zur Verfügung stehen und Prozesse zur Information Betroffener aufgebaut werden können. Erste IHKs konnten direkt eine Datenlieferung zusagen.