Suchen

Analyse der Hacking-Attacke aufs Department of Defense 2011

IT-Verteidigungslinien im Pentagon

Seite: 3/3

Firmen zum Thema

Hacker konnten CAC-Absicherung aushebeln

Eine Smartcard wie die CAC ist schwer zu kopieren und lässt sich in der Regel nicht aus der Ferne auslesen werden. Also müsste man die CAC klauen. Das ist aber äußert kompliziert – allein schon, weil man muss den richtigen Mitarbeiter, der die kompromittiere E-Mail geöffnet hat.

Anschließend gilt es, die Karte klauen und zu hoffen, dass dieser Mitarbeiter auch die notwendige Freigabe für die gewünschten Informationen hat. Wie bereits erwähnt muss man die Karte dann noch nutzen, bevor der Mitarbeiter ihren Verlust melden konnte.

Viel einfacher ist es hingegen, den installierten Trojaner zu nutzen, damit dieser die gewünschte Anfrage an die CAC stellt. Hierzu wird in diesem Fall die DLL des Programms ActivClient geladen, welcher für den Zugriff auf die CAC unter Windows verwendet wird. Mit dieser Bibliothek kann der Angreifer nun direkt Anfragen an die CAC stellen.

Die PIN zur Nutzung lässt sich ebenfalls direkt übermitteln. Somit kann der Angreifer nun die Identität des Benutzers aus der Ferne fälschen, um selbst entweder indirekt über den PC des Mitarbeiters – oder gegebenenfalls sogar direkt – auf gesicherte Bereiche des US-Verteidigungsministeriums zuzugreifen.

Und eben dies ist im Fall des US-Verteidigungsministeriums geschehen: Durch eine Sicherheitslücke im Adobe Reader fand eine Verteilung des in PDFs eingebetteten Trojaners statt. Nach Installation zeichnete dieser alle Tastendrucke auf und da die verwendeten Smartcards die PIN-Eingabe am Computer erfordern, konnten die PINs gespeichert werden.

Zudem konnte die Smartcard im Hintergrund vom Benutzer unbemerkt abgefragt werden. Der Trojaner sich konnte also, solange die CAS im Reader steckte, als Anwender anmelden und erlangte so Datenzugriff.

Biometrie als dritter Faktor

Common Access Cards sind ein klassisches Beispiel für die doch recht populäre Zwei-Faktor-Authentifizierungslösung. Es werden die Faktoren Wissen (PIN) und Besitz (Zertifikat auf Token) berücksichtigt, jedoch ist die Weitergabe und so der Zugriff durch Unbefugte möglich.

Besonders für solch hohe Sicherheitsanforderungen, wie sie im US-Verteidigungsministerium vorherrschen, muss ein weiterer Faktor berücksichtigt werden, der schwer fälschbar ist und den Nutzer eindeutig identifiziert. An dieser Stelle könnte eine biometrische Lösung zum Schutz beitragen. Leider werden derartige Lösungen derzeit noch als Zukunftsversion abgetan, obwohl vielversprechende Ansätze existieren.

(ID:40020850)