Um die Meldung von Hold Security, eine russische Hackerbande habe 1,2 Milliarden Nutzernamen mit zugehörigen Passwörtern gestohlen, ist auf der laufenden Sicherheitskonferenz Black Hat in Las Vegas eine hitzige Diskussion entbrannt. Einige unterstellen Hold Security Panikmache im eigenen Interesse, andere verteidigen das Unternehmen. Relative Einigkeit besteht, was die Empfehlungen an Endanwender angeht: Ihnen wird „keine Panik“ nahegelegt.
Laut Hold Security also verfügt die russische Organisation Cybervor über eine Datenbank mit 1,2 Milliarden Kombinationen aus Username und Passwort sowie 542.000 unterschiedlichen E-Mail-Konten auf 420.000 kompromittierten Domains. Das Unternehmen meldete dies exklusiv der New York Times.
„Es gibt hier nichts zu sehen, bitte gehen Sie weiter!“ kommentierte Shawn Henry, Chief Security Officer von Crowdstrike, der früher auch schon dem FBI als Executive Assistant Director diente. Es habe ihn überrascht, wie viele Menschen auf diese Nachricht schockiert reagierten. „Das ist die Summe zahlreicher Vorfälle, ein Beispiel für die Anfälligkeit der Online-Welt, in der wir operieren.“
Auch Forscher Andrew Conway von Web- und Messaging-Security-Spezialist Cloudmark ist skeptisch, was die Gewichtung des Vorfalls angeht. „Meinem Eindruck nach ist alles an der Geschichte wahr. Sie wurde aber so unheilverkündend wie möglich präsentiert. Wer dies mit beispielsweise der Target-Lücke vergleicht, macht einen großen Fehler. Es gibt keine Hinweise, dass irgendwelche Finanzdaten involviert sind.“ Bei der US-Kette Target hatten Unbekannt mittels Malware in Kassensystemen 110 Millionen Kreditkartennummern und teilweise wohl auch die zugehörigen PINs gestohlen.
Conway sagt, er beobachte alle sechs Monate etwa 100.000 kompromittierte Domains, die aber nicht alle frisch kompromittiert seien – oft dauere es Monate, bis ein Vorfall bemerkt werde. Die Zahl der Datenbankeinträge werde dadurch relativiert, dass viele Anwender mehr als eine E-Mail-Adresse hätten. 50 Prozent aller geschätzten 2,5 Milliarden Internetnutzer seien also wohl kaum betroffen.
Schockierend finde er aber, dass immer noch SQL-Injection-Angriffe genutzt würden, sagte Conway. Von den 5000 Black-Hat-Teilnehmern sei beispielsweise jeder in der Lage, solchen Angriffscode zusammenzustellen. Da pflichtet ihm Chris Eng von Veracode bei: „Um so etwas zu beheben, braucht es in 99 Prozent der Fälle etwa zwei Zeilen zusätzlichen Code.“ Websitebetreiber seien einfach nur zu nachlässig.
Für Hold Security spricht, dass es im vergangenen Jahr bei der Aufklärung wichtiger Datendiebstähle geholfen hat, die Adobe, Ebay, den inzwischen vom Amazon gekauften Comic-Shop Comixology und das Web-Standardisierungsgremium W3C betrafen. Korrekt ist auch, dass Hold Security einen Überwachungsdienst für Konten zum Preis von 120 Dollar pro Monat anbietet – und dass man, um ihn zu nutzen, seine Passwörter angeben muss. Einfacher dürfte es sein, die Passwörter einfach zu wechseln, möglichst eine Passwortverwaltung zu verwenden und für kritische Konten wie den primären E-Mail-Account eine Zwei-Faktor-Authentifizierung einzurichten.
Die New York Times wurde insbesondere für das Timing der Veröffentlichung – einen Tag vor dem Beginn von Black Hat – kritisiert. Sie erklärt jetzt, sie stehe hinter der Geschichte. Was Hold Securitys Eigeninteresse angehe, habe sie von vornherein transparent agiert.
Allerdings weist Kurt Stammerberger von der Analysefirma Norse auf ein großes Versäumnis der Times hin: Der Bericht vermerke nicht, innerhalb welcher Zeit Cybervor die fraglichen Daten gesammelt habe. „Wenn das in den letzten drei Monaten passiert ist, ist es beeindruckend und furchterregend, aber viel weniger, wenn die Daten über fünf Jahre von einer Armee Bots zusammengetragen wurden.“
Einige vermuten sogar, dass der Inhaber von Hold Security – Alexander Holden – mit den Kriminellen gemeinsame Sache mache. Schließlich stamme er aus der Ukraine und spreche fließend Russisch. Gegen solche Verschwörungstheorien protestierte der angesehene unabhängige Sicherheitsforscher Brian Krebs: Holden sei „ein ehrlicher Kerl“, dessen Forschungen für Krebs‘ Veröffentlichung oft von Bedeutung seien.
Als unwahrscheinlich sieht etwa Mikko Hypponen von F-Secure auch einen Zusammenhang mit dem russisch-ukrainischen Konflikt an. Allerdings müsse Russland mehr gegen Cyberkriminalität tun, sagt Shawn Henry von Crowdstrike. „Wenn die zuständige Regierung, in dem Fall Russland, aktiv und aggressiv gegen illegale Aktivitäten vorgehen würde, hätten wir eine stärkere Position. Dies ist kein US-Problem, sondern ein weltweites.“ Erforderlich seien „wirtschaftliche, diplomatische und zivilrechtliche Aktionen“. Henrys Fazit: „Es handelt sich um ein langfristiges Problem ohne kurzfristige Lösung.“
[mit Material von Seth Rosenblatt, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…