In den letzten zweieinhalb Monaten konnte die zweite Staffel von Mr. Robot begeistern. Wir sahen, welchen Plan Fsociety verfolgte und wo sich Elliot, Darlene, Cisco und der Rest der Gang aufhielten; verfolgt von der Dark Army und der FBI-Agentin Dominique DiPierro.
Cybersecurity und Hacking spielen bei Mr. Robot eine wichtige Rolle. Den Respekt der InfoSec-Gemeinde hat die US-Serie durch die detailgetreue Umsetzung von technischen Begebenheiten schon mal. Jetzt, da Season 02 fast vorbei ist, wollen wir uns selbst einmal den gezeigten Hacking-Szenarios widmen.
Hier sind zehn Sicherheitslektionen, die wir aus der 2. Staffel von Mr. Robot lernen können.
1. Insider-Bedrohungen können selbst bei den offensichtlichsten Stellen gefunden werden
Es gibt ein Szenario, vor dem sich der Chief Information Security Officer einer Organisation am meisten fürchtet – wenn die Kompromittierung von innerhalb des Unternehmens ausgeht. Jemand mit Ressentiments oder bösen Absichten, der Zugang zu privilegierten Informationen hat und weniger Hürden als ein externer Angreifer überwinden muss, kann für ein Unternehmen sehr gefährlich werden und nicht mehr zu kontrollieren sein. Wie schon ESET Senior Security Researcher Stephen Cobb sagte, ist es für Unternehmen schwierig, Geheimnisse zu behalten, wenn sich ein Angestellter dagegen entscheidet. Von dieser Seite aus betrachtet, stellen externe Angreifer nicht immer das höchste Sicherheitsrisiko dar.
In der Serie Mr. Robot ist das zum Beispiel der Protagonist Elliot. Zu Beginn der Serie arbeitet er für das Sicherheitsunternehmen Allsafe. Dessen Aufgabe ist, einen der größten Klienten zu schützen: E Corp. Später stellt sich heraus, dass Elliot den Großkonzern zerstören will, indem er sein Wissen um die Sicherheitsschwachstellen von E Corp. ausnutzt. Seine geheime Agenda war die Vernichtung des Großkonzerns von innen heraus. Mr. Robot vollzieht den Akt des Trojanischen Pferdes – versteckt in einer kleinen Sehenswürdigkeit.
Um sicherheitsrelevante Zwischenfälle im Unternehmen zu vermeiden, sollten Schwachstellen ausfindig gemacht und im Anschluss versiegelt werden. Für jeden einzelnen Mitarbeiter sind Kontrollzugriffe und Berechtigungen einzurichten. Außerdem sollte der gesamte Netzwerkverkehr überwacht werden – also die Daten, die das Unternehmen verlassen und jene, die in das Netzwerk übertragen werden.
2. Kompromittierungen durch Social Engineering sind sehr erfolgreich
Social Engineering stellt eine Konstante im Leben der Internet-Sicherheit dar. Dazu gehören auch psychologische Manipulationen durch Cyber-Kriminelle. Dadurch können sie Informationen sammeln, um Betrügereien vorzubereiten oder sich illegalen Zugang zu den Computern der Opfer verschaffen.
Mr. Robot Staffel 2 belegt das mit zwei klaren Beispielen:
- In Episode 9: Angela muss einen USB-Stick mit dem Programm Rubber Ducky mit einem der Manager-PCs von E Corp. verbinden. Nur so kommt sie an wichtige Informationen für ihre Klage gegen den Großkonzern. Doch zuerst muss die Sekretärin dazu gebracht werden, ihren Schreibtisch zu verlassen, damit Angela sich in das Büro des Managers schleichen kann. Mit einem zuverlässigen Skript, dass auf den Kenntnissen des Unternehmens – indem sie auch arbeitet – beruht, kann sie ihre Mission erfüllen. Das ist nur ein weiteres Beispiel für eine Insider-Bedrohung.
- In Episode 10: Elliot gibt sich als NYPD-Officer aus, um den Ort herauszubekommen, von dem aus Tyrell Wellick anscheinend seine Telefonate tätigt. Er findet ein Dringlichkeitsformular im Internet, füllt es aus und schickt es mit einem open source Fax-Server an das Police-Department. Elliot schafft es, den Police-Operator davon zu überzeugen, dass er dringend die angeforderten Informationen benötigt, da Gefahr im Verzug sei.
3. Schutz von IoT-Geräten ist eine Herausforderung
In Staffel 2 kann man sehen, was mit IoT-Geräten passiert, wenn sie nicht so geschützt werden, wie sie sollten. Das wohl beste Beispiel zeigt die Szene in Episode 1, in der Fsociety die Smart-Home-Steuerung des Hauses von Susan Jacob übernimmt.
Darlene und ihre Gefolgsleute bringen Susan dazu, ihr eigenes Haus zu verlassen. Ein Alptraum aus blinkenden Lichtern und die immer wieder sich ein- und ausschaltende Stereoanlage ist schuld daran. Fsociety hat ein neues Hauptquartier.
Man stelle sich vor, Cyber-Kriminelle würde solche Aktionen täglich durchführen und beginnen Häuser zu besetzen…
Zum Thema IoT-Security zählen auch die Unterhaltungen zwischen Dominique DiPierro und Alexa, ihrer digitalen Assistentin. Wenn ein Hacker den sprachgesteuerten Computer kompromittieren könnte und an alle gespeicherten Daten gelangte, wäre er im Besitz einer Menge wertvoller Informationen. Diese könnten für Zukünftige Social Engineering Angriffe oder Erpressungen benutzt werden.
Trotz dessen müssen User nicht vor der Technologie zurückschrecken. Das obere Beispiel sollte lediglich verdeutlichen, dass es noch ein weiter Weg ist, IoT-Geräte entsprechend schützen zu können. Wir können nur an die User appellieren, die Geräte mit Vorsicht einzusetzen. Entwickler und Unternehmen müssen die Risiken im Auge behalten und von Anfang an auf Sicherheit bauen.
4. Auch Smartphones müssen vor Malware gesichert werden
In der Welt von Mr. Robot sind Smartphones alles – außer sicher. In Episode 8 sehen wir einen Rückblick. Mobley ist Opfer einer Attacke geworden, die von einem anderen Fsociety-Mitglied (Trenton) ausgeführt wurde. Ausgenutzt wurde eine besorgniserregende Sicherheitslücke in Android-Smartphones, die sich Stagefright nennt. Wir können davon ausgehen, dass sich Mobley nach dem Angriff mehr um Mobile Security Gedanken macht.
Ein anderes Beispiel ist die Attacke gegen das vorübergehende FBI-Büro. Dabei wurden auch Schwachstellen im Android-Betriebssystem ausgenutzt und in Verbindung mit einer bösartigen Femtozelle, die Kommunikation zwischen den Agenten mitgeschnitten. Fsociety konnte einen Anruf mitzuschneiden und veröffentlichen, der für große Empörung sorgte.
Aus den genannten Beispielen geht hervor, dass immer die neusten Updates und Patches installiert sein sollten. Zusammen mit einer Mobile Security schafft man gute Abwehrmechanismen gegen Eindringlinge.
5. Sichere Passwörter sollten ein Muss sein
Nach all den Jahren in denen immer wieder Passwortsicherheit gepredigt wurde, gibt es immer noch Menschen, deren Kennwörter „123456“ lauten. Natürlich ist das einfach zu merken. Cyber-Kriminelle erraten solche leichten Passwörter jedoch im Nu.
In der Serie sehen wir das am Beispiel von Susan Jacobs. Nachlässigerweise hat sie ihr E-Mail-Passwort auf einem Post-It auf dem Schreibtisch vermerkt. Unser Rat: Schlechte Angewohnheiten gar nicht erst aufkommen lassen. Wir appellieren an die User, immer nur sichere und einzigartige Kennwörter zu verwenden und das für jede einzelne Plattform. Man kann sichere Passphrasen generieren, die sich leicht merken lassen. Diese sind aber schwierig für andere zu erraten, weil sie keine Wörter aus Wörterbüchern enthalten, Klein- und Großbuchstaben sowie Zahlen und Sonderzeichnen verwenden. Passwortmanager vereinfachen den Gebrauch vieler Passwörter.
6. USB-Sticks können als Angriffsvektoren dienen
Neben ihrer eigentlichen Speicherfunktion können USB-Medien auch als Angriffswerkzeuge eingesetzt werden. Es gibt genug Leute, die gefundene Medien einfach in ihren Computer stecken. Ist das erst einmal geschehen, haben Angreifer vielfältige Möglichkeiten.
Ganz einfach kann man Malware in harmlos erscheinenden Dateien verstecken. Das kann zum Beispiel in Episode 1 gesehen werden. Darlene kopiert eine bösartige autorun.inf auf USB-Sticks und verteilt diese vor einer Polizeistation. Ein Polizist nimmt einen Stick und bindet ihn am Rechner am Arbeitsplatz ein.
Zudem gibt es mächtige Hacker-Tools wie Rubber Ducky, die es nach dem Einbinden in ein Computersystem erlauben, wichtige und sensible Daten zu kopieren. Das nutzt zum Beispiel auch Angela aus, als sie im Büro ihres Chefs bei E Corp. ist.
7. Verschlüsselung hilft auch in komplexen Situationen
Als Susan Jacobs unerwartet zurück in ihrem Haus erscheint, dass immer noch Fsociety Hauptquartier ist, nehmen die Mitglieder ihr alle mobilen Endgeräte ab. Durch forensische Methoden finden sie einen Weg, Susan zu erpressen und ihr Stillschweigen über das Hauptquartier zu bekommen. Hätte Susan ihre privaten Daten verschlüsselt, wären die Fsociety-Mitglieder gescheitert.
Das zeigt, dass es immer noch viele Leute gibt, denen Verschlüsselung zu komplex und nicht notwendig erscheint. Das ändert sich schnell nach Verlusten von sensiblen Informationen. Verschlüsselung verhindert, dass Dritte ohne den passenden Schlüssel an fremde Daten kommen und stellt somit eine gute Anwendung dar.
8. Ransomware ist weiter auf dem Vormarsch
In Episode 1 sehen wir Darlene, wie sie einen Angriff mit einer Variante von Cryptowall vorbereitet. Diese Malware ist in der Lage, sich im Netzwerk zu verteilen, sobald ein Rechner kompromittiert wurde. E Corp. wird dazu gezwungen, ein Lösegeld zu zahlen. Das ist besonders einfach dann zu erreichen, wenn Unternehmen keine Backups parat haben. Fsociety hatte die Backups in Staffel eins zuvor erfolgreich vernichten können.
Ransomware kann sehr vielfältig sein. Deshalb sollte jeder unsere elf Tipps zum Schutz gegen Ransomware lesen.
9. Werkspasswörter unbedingt ändern
In Episode 5 sehen wir, wie Darlene Aufnahmen der FBI Kameras im vorübergehenden Büro bei E Corp. vernichtet. Obwohl wir nicht erkennen können, welche Technik sie dafür einsetzt, ist es jedoch möglich, dass es etwas mit dem Wissen über Herstellereinstellungen und Standardpasswörtern zu tun hat.
Dieses Beispiel erinnert an die Insecam-Story 2014, als die Webseite Liveübertragungen von ca. 70.000 Haushalten ohne deren Wissen ausstrahlte. Das war nur möglich gewesen, weil das Herstellerpasswort nicht geändert wurde. Mit diesem Wissen, Standardpasswörtern und Programmen wie Shodan gelingt es Hackern immer wieder, sich einen Fernzugang zu Geräten zu verschaffen.
10. Krypto-Währung gehört zum Dark-Net einfach dazu
Episode 3 zeigt uns die unumgängliche Relation zwischen Krypto-Währungen und Cyber-Kriminalität. Rays Geschäfte sind ein Beispiel dafür. Er hat Midland City gegründet. Ein versteckter Markplatz der nur über TOR zu erreichen ist. Dort werden die düstersten Geschäfte getätigt, die man sich nur vorstellen kann. Später soll Elliot Ray helfen, den Marktplatz wieder zum Laufen zu bringen. Elliot ist geschockt, was er dort sehen muss und entscheidet sich den Marktplatz zu öffnen, sodass Angebote in den großen Suchmaschinen auftauchen. Es dauert dann auch nicht lange, bis Ray von der Polizei verhaftet werden kann.
Durch den dezentralen Charakter der Krypto-Währung Bitcoin, wird die Währung in Episode 11 zum Objekt von Finanzspekulationen. E Corp. plant in Zukunft Bitcoin mit ihrer eigenen zentral verwalteten E Coin Währung zu verdrängen. Die Regierung hätte dann die Möglichkeit, Transaktionen durch ein Backdoor zu überwachen. Das möchte man mit Bitcoins aber gerade verhindern.
Fazit
All die oberen Beispiele – teils aus der Serie Mr. Robot, teils aus dem echten Leben – zeigen, wie nachlässig Unternehmen beim Betrieb von Web Services oder Apps sind. Außerdem werden die Fehler ersichtlich, den Usern und Herstellern unterlaufen.
Image credits: USA Network