logo ntadmins

Keine Chance für Keylogger

14. Oktober 2015

Immer wieder kommt es in den Unternehmen zu Sicherheitsproblemen. Wie ist es möglich, dass Angreifer wichtige IT-Systeme im Unternehmen „anzapfen“ und Geschäftsdaten entwenden können? Bei den Zielen der Angreifer handelt es sich meist um Kundendaten, Informationen zu geplanten Projekten oder Patenten, Kreditkartendaten oder Administrator-Kennwörter. Also zumeist um den „Goldschatz“ im Unternehmen. Aber auch das „Kleingeld“ gerät immer wieder im Fokus der Angreifer. Etwa Email-Accounts samt Kennwörter, selbst wenn diese nicht zum Unternehmen gehören, sondern den Mitarbeitern. Werden doch in vielen Unternehmen (etwa in der Pause) private Mail-Accounts im Webbrowser aufgerufen. Werden diese Informationen mit erbeutet, so ist anzunehmen, dass die Informationen ebenfalls weiterverwendet werden.

Ein Hybrid aus Hardware- und Software Keylogger: „Spy Logger Classic“ (Quelle: Spylogger)

 

Sollten es die Angreifer auf das Unternehmen selbst abgesehen haben, so scheuen diese sich meist nicht, auch für einen physikalischen Zugang zu suchen, und Systeme auf diese Art zu kompromittieren. Hier stehen den Angreifern Methoden wie etwa „bösartige WLAN-Zwillinge“, geheime Video-Überwachung oder der direkte Zugriff auf IT-Systeme durch am Bildschirm (unter unter der Tastatur) notierte Kennwörter offen.

Beliebt ist allerdings auch Social-Engineering, dabei werden Mitarbeiter dazu gebracht, Kennwörter oder benötigte Informationen selbst preiszugeben. Oder es wird versucht über Phishing-Mails Schadsoftware auf die Systeme zu bringen. Dazu kann dann wiederum ein gehacktes (privates) Email-Konto für die Angreifer hilfreich sein. Etwa wenn der Mitarbeiter präparierte Emails vom Account eines Freundes oder Bekannten erhält, ist meist die Bereitschaft höher auf Anhänge (mit Schadsoftware) zu klicken, die etwa als Foto des letzten Urlaubs oder Einkaufsliste im Excel-Format getarnt sind.

Alternativ stehen den Hackern auch Methoden wie direkte Angriffe auf Sicherheitslücken der Router, Firewalls oder VOIP-Telekommunikationsanlagen zur Verfügung. Ebenfalls werden viele Unternehmen durch Schadsoftware, SQL-Injektion oder durch Sicherheitslücken in den eingesetzten Betriebssystemen angegriffen.

Für die meisten dieser Szenarien sind erprobte Mittel verfügbar, um die Bedrohungen abzuwehren, oder die Angriffsfläche so weit wie möglich zu minimieren:

  • Virenschutzsoftware mit Browser- und Echtzeitschutz gegen Trojaner, Viren und Würmer,
  • Firewall-Systeme mit der Möglichkeit den Inhalt einzelner Datenpakete zu scannen gegen Netzwerkangriffe,
  • regelmäßige Aktualisierungen der Geräte-Firmware aller IT-Komponenten, um Sicherheitslücken zu minimieren,
  • Zutrittsbeschränkungen um Dritte aus den neuralgischen Bereichen (Serverraum, Rechenzentrum, Chef-Büro) fernzuhalten.

Allerdings sollten die Sicherheitsbeauftragten und Systembetreuer auch darauf achten, dass Eingaben an den „normalen“ PC-Systemen, Laptops und Mobilgeräten nicht abgefangen werden können. Die Angreifer setzten beispielsweise auf erprobte Techniken, wie den Einsatz von „Keyloggern“, um die Eingaben an Clients- oder Servern, mitzuschneiden. So können sie an die benötigten Informationen kommen, denn wie schon beim Social-Engineering geben die Mitarbeiter diese Informationen ja quasi „freiwillig“ preis. Schließlich ist es meistens nötig, sich an bestimmten Diensten (etwa Webmailer im Browser) händisch durch die Eingabe von Benutzername und Kennwort anzumelden.

Keylogger gibt es generell in zwei Ausführungen. Zum einen kann entsprechende Software verwendet werden, um Tastenanschläge (oder auch Mausbewegungen) mitzuschneiden, und die Daten danach an den Angreifer weiterzugeben. Zum anderen sind auch Hardware-Keylogger verfügbar. Diese werden meist per USB-Port zwischen Peripherie und dem PC-System angeschlossen. Gegen die erstgenannte Variante bieten gängige Virenschutzlösungen bereits eine gewisse Sicherheit.

Gegen die Hardware-Keylogger dagegen meist nicht. Sind doch diese aus Sicht der Software meist nicht zu erkennen. Schließlich werden die Signale (beispielsweise Tastenanschläge des Keyboards) einfach durchgeschleift, und währenddessen mitgeschnitten. Zu einem späteren Zeitpunkt werden diese USB-Geräte (mit den gespeicherten Eingaben) dann wieder entfernt und ausgewertet. Allerdings sind auch physikalische Keylogger verfügbar, die die mitgeschnittenen Informationen direkt an den Angreifer senden können (eigene Funknetzwerke wie WLAN, Bluetooth oder auch per Internetleitung des kompromittierten Rechners).

Jedes Büro ist unsicher

Allerdings muss ein physikalische Zugang zu den Systemen vorhanden sein, und solch einen USB-Keylogger anzubringen. Allerdings kann es in normalen Büros durchaus der Fall sein. Schließlich haben nicht nur die Chefs und Mitarbeiter Zutritt, sondern ebenfalls  Personen wie etwa der Wartungstechniker, die Putzkolonne, der Softdrink-Automaten-Aufsteller oder Gäste der Mitarbeiter. Um vermeintlich angebrachte, physikalischen Keylogger zu entlarven, sollten die Mitarbeiter ihre Peripherie-Verkabelung und alle USB-Ports an den Systemen vor jedem Einschalten prüfen. Im „normalen“ Betrieb werden die Mitarbeiter dieses Vorgehen meist nicht von alleine ins Auge fassen. Zudem haben Mitarbeiter mit geringen IT-Kenntnissen oftmals nicht die Möglichkeit zu erkennen, ob die (meist unter dem Tisch verlegte)Verkabelung korrekt ist. Unbekannte USB-Sticks auf der Rückseite der Systeme als „potentiell gefährlich“ einzustufen, und der Sache auf den Grund zu gehen, ist daher nicht allen Mitarbeitern möglich.

SpyShelter schützt die Systeme vor vielen Keylogger-Systemen, dabei werden die Tastenanschläge zusätzlich verschlüsselt.

 

Gefahren erkennen

Um die eigenen IT-Systeme zu schützen sollten die Systembetreuer daher die Mitarbeiter sensibilisieren. Beispielsweise sollten die eigenen Arbeitsgeräte bei Arbeitsbeginn schnell und effizient überprüft werden können. Sicherlich macht es auch Sinn, die Aufstellung der Clients entsprechend zu wählen, damit die Mitarbeiter die Rückseite der Geräte einsehen können, ohne den Rechner unter dem Tisch hervorziehen zu müssen. Aber auch dieses Vorgehen hilft nur bedingt weiter. Professionellere Angreifer können die Keylogging-Hardware auch innerhalb der Tastatur „verbauen“. Dazu wird das Keyboard geöffnet, und die kleine Keylogger-Platine einfach am Tastaturkabel angelötet.

Zusätzlich sind auch Versionen mit eingebauten Mikrofon oder Screenshot-Funktion verfügbar. Die Logfiles, Daten und berichte können einige Systeme auch direkt per Email versenden. Auch an dieser Stelle werden gekaperte Email-Accounts für die Angreifer interessant, beispielsweise wenn die vom Keylogger stammenden Mails (unbemerkt vom Besitzer des Mail-Accounts) ihren Weg zu den Angreifern finden. Auf die Erkennung von Keyloggern haben sich einige Software-Hersteller spezialisiert. Dabei verwenden diese Scanner beispielsweise Zertifikate und Prüfsummen, um die Hardwaregeräte (etwa am USB-Port) zu identifizieren. Falls sich diese irgendwann ändern (etwa durch ein zwischengesteckten USB-Keylogger) schlagen diese Lösungen Alarm. Zudem verschlüsseln diese Produkte meist die Tastaturanschläge, reichen diese dann weiter an die Anwendungen (etwa Webbrowser), wo dann der Entschlüsselungsvorgang stattfindet. Beispielsweise ist „SpyShelter“ bei den Anti-Keylogging-Softwareprodukten zu nennen. In einem gewissen Umfang ist die Software auch als Freeware-Variante erhältlich auf der Herstellerseite erhältlich.

Angreifer in die Irre führen

Allerdings können die meisten (Software- und Hardware-) Keylogger mit einer simplen Methode ausgetrickst werden: Statt die Anmeldedaten (etwa bei Webmail-Accounts) direkt und hintereinander einzugeben, kann nach jedem Buchstaben einfach in ein anderes „Feld“ (Anwendung / Desktop) mit der Maus gewechselt werden, und Zufallsbuchstaben eingetippt werden. So wird aus dem Benutzernamen „FAH“ beispielsweise „2RrdFtD7Ak9hH“ und aus  dem Kennwort „Password123“ etwa „1AwPssDa2QmsxCskseg3SwöeCKH2o2mnOpraWdoOhja1aQWfmt2523A“.

Der Nachteil dabei ist sicherlich ein hoher Zeitverlust, und im Arbeitsalltag an einem (vermeintlich) vertrauenswürdigen System  erscheint ist diese Vorgehen vielleicht ein wenig übertrieben. Allerdings lässt sich diese Methode gut in „unsicheren“ Umgebungen, wie etwa im Internet-Cafe oder an einem fremden Rechner, anwenden.

Besonnen reagieren

Falls es doch dazu kommt, das Keylogger auf die Systeme gelangen, sollte dies den Systembetreuern sofort (über einen dritten Kommunikationsweg) mitgeteilt werden. Von Emails aus dem kompromittierten System heraus (mit dem Betreff „Hilfe ich habe einen Keylogger an meinem Gerät gefunden“) sollte Abstand gehalten werden. Am besten bietet sich hier ein persönliches Gespräch mit Vorgesetzten an. Die Sicherheitsbeauftragten (oder auch Strafverfolgungsbehörden) werden die Situation sicherlich gerne zu ihrem Vorteil nutzen wollen. Je nach Art des Angriffs ist es möglich, unterschiedliche Reaktionen durchzuführen. So ist es etwa denkbar den „Spieß umzudrehen“, und dem Angreifer falsche Informationen zuzuspielen. Auch eine gute Gegenmaßnahme ist, wenn – nach richterlichen Bescheid – der betroffene PC (mit einem angesteckten Hardware-Keylogger) per Video überwacht wird. So lässt sich der „Übeltäter“ etwa beim Entfernen des USB-Moduls „in flagranti“ überführen. Sollte bei einem System Keylogger gefunden werden, müssen die Systembetreuer (zunächst unauffällig) alle Geräte systematisch prüfen, vielleicht handelt es sich ja nicht um einen Einzelfall.

Florian Huttenloher

Lesen Sie auch

ai pixabay Alexandra Koch NT

Mit KI Angriffe auf die IT präventiv bannen

data NT Kris

Cyber-Bedrohungen während der Urlaubszeit minimieren

arrow NT GerdAltmann

Mindeststandard für Webbrowser auf mobilen Plattformen