Analyse der Hacking-Attacke aufs Department of Defense 2011

IT-Verteidigungslinien im Pentagon

| Autor / Redakteur: Daniel Persch, QGroup / Stephan Augsten

Hacker konnten CAC-Absicherung aushebeln

Eine Smartcard wie die CAC ist schwer zu kopieren und lässt sich in der Regel nicht aus der Ferne auslesen werden. Also müsste man die CAC klauen. Das ist aber äußert kompliziert – allein schon, weil man muss den richtigen Mitarbeiter, der die kompromittiere E-Mail geöffnet hat.

Anschließend gilt es, die Karte klauen und zu hoffen, dass dieser Mitarbeiter auch die notwendige Freigabe für die gewünschten Informationen hat. Wie bereits erwähnt muss man die Karte dann noch nutzen, bevor der Mitarbeiter ihren Verlust melden konnte.

Viel einfacher ist es hingegen, den installierten Trojaner zu nutzen, damit dieser die gewünschte Anfrage an die CAC stellt. Hierzu wird in diesem Fall die DLL des Programms ActivClient geladen, welcher für den Zugriff auf die CAC unter Windows verwendet wird. Mit dieser Bibliothek kann der Angreifer nun direkt Anfragen an die CAC stellen.

Die PIN zur Nutzung lässt sich ebenfalls direkt übermitteln. Somit kann der Angreifer nun die Identität des Benutzers aus der Ferne fälschen, um selbst entweder indirekt über den PC des Mitarbeiters – oder gegebenenfalls sogar direkt – auf gesicherte Bereiche des US-Verteidigungsministeriums zuzugreifen.

Und eben dies ist im Fall des US-Verteidigungsministeriums geschehen: Durch eine Sicherheitslücke im Adobe Reader fand eine Verteilung des in PDFs eingebetteten Trojaners statt. Nach Installation zeichnete dieser alle Tastendrucke auf und da die verwendeten Smartcards die PIN-Eingabe am Computer erfordern, konnten die PINs gespeichert werden.

Zudem konnte die Smartcard im Hintergrund vom Benutzer unbemerkt abgefragt werden. Der Trojaner sich konnte also, solange die CAS im Reader steckte, als Anwender anmelden und erlangte so Datenzugriff.

Biometrie als dritter Faktor

Common Access Cards sind ein klassisches Beispiel für die doch recht populäre Zwei-Faktor-Authentifizierungslösung. Es werden die Faktoren Wissen (PIN) und Besitz (Zertifikat auf Token) berücksichtigt, jedoch ist die Weitergabe und so der Zugriff durch Unbefugte möglich.

Besonders für solch hohe Sicherheitsanforderungen, wie sie im US-Verteidigungsministerium vorherrschen, muss ein weiterer Faktor berücksichtigt werden, der schwer fälschbar ist und den Nutzer eindeutig identifiziert. An dieser Stelle könnte eine biometrische Lösung zum Schutz beitragen. Leider werden derartige Lösungen derzeit noch als Zukunftsversion abgetan, obwohl vielversprechende Ansätze existieren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 40020850 / Security-Testing)