Interview mit einem kriminellen Hacker
"Mit einem Botnetz Geld zu verdienen ist einfacher als Zähneputzen"
Die Mythen der Security-Branche
HANSEN: Was machen Website-Betreiber reflexartig, um sich vor Kriminellen wie Ihnen zu schützen, obwohl es nie funktioniert?
ADAM: An dieser Stelle könnte ich einen Roman erzählen. Ich beschränke mich aber auf drei Dinge. Erstens dumme Admins einstellen, die die kriminelle Seite noch nie selbst kennengelernt haben. Die mit einem Silberlöffel im Hintern geboren worden sind und nur dank Mamis und Papis Kohle auf der Uni waren. Wenn ich CEO wäre, würde ich eher Leute mit einer kriminellen Vergangenheit beschäftigen - die wissen wirklich, wie der Laden läuft. Die haben nicht nur die Bücher gelesen. Zweitens unausgebildete, junge, dumme Samstagsarbeiter in der Telefonzentrale beschäftigen. Und drittens keinen DDoS-Schutz einkaufen. Cloudflare beispielsweise bietet für 200 Dollar im Monat einen unglaublich guten Sevice. Wenn ich Sie sonst an einem Tag um bis zu 1000 Dollar erleichtern kann, vielleicht keine so schlechte Investition.
- secure.me App Advisor
Der App Advisor von secure.me sorgt für Transparenz bei Facebook-Apps und zeigt, ob eine App Zugriffe auf sensible Profildaten ausführt, wie die Nutzerbewertung für die App aussieht und ob bereits datenschutzrelevante Vorfälle bekannt sind. - secure.me App Advisor
Der App Advisor von secure.me warnt Nutzer bereits vor der Aktivierung einer Facebook-App, wenn Datenschutzprobleme mit der App bekannt sind. - secure.me Facebook-Profil
Secure.me prüft Facebook-Profile auf mögliche Risiken wie verseuchte Hyperlinks in Postings und Statusnachrichten. - secure.me Facebook-Profil Privacy
Secure.me prüft die persönlichen Angaben des Nutzers in seinem Facebook-Profil und weist auf mögliche Risiken hin. - secure.me Facebook-Profil Gesichtserkennung
Um peinliche Fotos des Nutzers auf anderen Profilseiten suchen zu können, wendet Secure.me auch eine eigene Gesichtserkennungsfunktion an. - Blue Coat BCS
Security Appliances wie die von Blue Coat bieten Policy Manager, mit denen sich die internen Richtlinien zur Nutzung von Social Media abbilden lassen. - Blue Coat PacketShaper
Security-Appliances wie PacketShaper von Blue Coat können die Nutzung von Social Media überwachen und interne Richtlinien durchsetzen, indem verbotene Nutzeraktivitäten in bestimmten sozialen Netzwerken blockiert und gemeldet werden. - Scrambls
Das Browser-Plug-in Scrambls verschlüsselt Nachrichten im Browser, bevor diese bei Facebook & Co. veröffentlicht werden. Nur definierte Empfänger können die Nachricht in dem sozialen Netzwerk dann mittels Scrambls entschlüsseln. - HootSuite Enterprise
Unternehmen, die mehrere soziale Netzwerke betrieblich einsetzen, können unter anderem die Berechtigungen für einzelne Nutzer zentral definieren. Möglich ist dies zum Beispiel mit HootSuite Enterprise. - Zscaler Likejaking Prevention
Die Browsererweiterung Zscaler Likejaking Prevention prüft unter anderem, ob Facebook-Like-Buttons auf Web-Seiten manipuliert und gefährlich sind. Der Nutzer kann dort unter anderem einstellen, welche Webseiten als vertrauenswürdig behandelt werden sollen. - SAI Global Information Security Awareness Barometer
Ein Tool wie das Social Media Security Awareness Barometer hilft bei der Prüfung, ob die Nutzer ausreichend für die Social Media Risiken sensibilisiert sind.
HANSEN: Welche Sicherheitsprodukte und -technologien machen das Leben eines Blackhat schwierig? Welche sind Geldverschwendung?
ADAM: DDoS-Schutz allgemein ist ernstzunehmen, auch wenn viele Crews bei veralteten Lösungen auf diesem Gebiet das Gegenteil bewiesen haben. Was sich gar nicht lohnt, ist Antivirus, totale Geldverschwendung - ja, es schützt Sie vor Skript-Kiddies, die dumme Viren schreiben, aber das war es schon. Jedes Botnetz, das verkauft und benutzt wird, kann schon allein durch seine verteilte Architektur nicht entdeckt werden. Auch Anti-Spam-Software ist überflüssig, sieht man einmal von den Captchas ab, die aber von vielen Nutzern gehasst werden.
Denken Sie immer daran, dass der Kriminelle dem, was es an Sicherheitstechnologie zu kaufen gibt, zehn Schritte voraus ist. Wenn eine Zero-Day-Schwachstelle öffentlich wird, ist sie bereits seit Monaten im Einsatz gewesen. Zwei-Schritt-Authentifizierung mag manchmal vor Social Engineering schützen, ist aber umgehbar - wie "Cosmo", ein 15-jähriges Mitglied von "UGNazi", gezeigt hat. Es ist wie beim Spielekauf: Nach dem Release folgen viele Patches und bevor es irgendeinen Einfluss auf irgendetwas anderes hat, dauert es eine lange Zeit.
HANSEN: Welche Browser sind am anfälligsten und warum?
ADAM: Vor ein paar Jahren hätte ich diese Frage mit "100 Prozent IE" beantwortet. Auch heute ist der Internet Explorer sehr verwundbar, wird aber nicht mehr so stark genutzt. Schnellere Browser wie Chrome oder Firefox sind aufgekommen. Der große Marktanteil des IE erklärt sich für mich eher aus der Bequemlichkeit vieler Anwender und der Gewöhnung daran - und dem Unwissen über dessen Gefahren. Gerade Chrome hat Microsoft zudem förmlich zu neuen Sicherheitsstandards in der Entwicklung gezwungen. Auch dass Java bei vielen Anwendern wegen seiner ständigen Lücken nicht mehr so großen Kredit hat, erschwert das Botnetz-Geschäft.