CanSecWest: Einige Worte zu nicht zielgerichteten Attacken

Heute geht die CanSecWest, die Sicherheitskonferenz in Vancouver, Kanada, zu Ende. Am Mittwoch bin ich für Costin Raiu eingesprungen und habe über unsere forensische Arbeit zu den C&C-Servern von Duqu berichtet.

Während ich diesen Blog schreibe, wurde Google Chrome gerade gehackt. Schon wieder. Der allgemeine Eindruck ist, dass $60 000 Dollar, selbst mit Umgehung der Sandbox, nicht besonders viel für eine Chrome Zero-day-Attacke sind. Es ist eine ziemliche Überraschung, so zahlreiche Zero-day-Attacken gegen Chrome zu sehen, insbesondere, wenn man die Erfolgsgeschichte des Browsers beim Hackerwettbewerb Pwn2Own bedenkt.

Besonders interessant fand ich die Fragerunde, die auf die Präsentation von Alex Rice’s von Facebook folgte.

Alex präsentierte auf Facebooks Social CAPTCHA einen sekundären Authentifikationsschritt, der Fotos von Freunden benutzt, und der dann zum Tragen kommt, wenn Facebook einen kompromittierten oder gephishten Account vermutet.

Die Einführung dieses Systems hat bewirkt, dass die massenhaften Phishing-Attacken auf Facebook ein Ende nahmen – sie waren dadurch einfach uneffektiv geworden.

Doch während der Fragestunde gab es eine Menge Anmerkungen dazu, wie dieses System in einer zielgerichteten Attacke umgangen werden kann.

Ganz klar sollte jedes System, das eine aktuelle Angriffsart einfach ausrottet, während es den Anwender bei seiner Tätigkeit nicht wirklich beeinträchtigt, als ein großer Erfolg angesehen werden.

Facebook hätte Applaus für seine Lösung verdient, doch anstelle dessen hagelte es aus dem Publikum größtenteils Kritik.

Diese Kritik ist äußerst besorgniserregend. Wir sollten Ideen oder Systeme nicht verwerfen, nur weil sie bei zielgerichteten Angriffen nicht effektiv sind. Es gibt mehr als nur schwarz oder weiß.

Denn unter dem Strich ist die überwiegende Mehrheit aller (cyberkrimineller) Akte nicht zielgerichtet. Das sollten wir nicht vergessen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.