beebright - Fotolia

Replay-Attacken und die Risiken für Anwender und Betreiber

Das Angriffsverfahren Replay-Attacke ist nicht neu, aber mit der zunehmenden Vernetzung sehr beliebt bei Cyberkriminellen. Unternehmen sollten die Risiken für Kunden begrenzen.

Replay-Attacken sind im Grunde genommen Angriffe, bei denen vorher kopierte Daten für die Authentifizierung erneut verwendet werden. Dafür stehlen die Cyberkriminellen die digitale Identität des Opfers, um sich darüber Zugriff auf wichtige Informationen zu verschaffen.

Eine Möglichkeit, an die Zugangsdaten zu kommen, ist ein Man-in-the-Middle-Angriff, bei dem der Angreifer mit einem zwischen dem Empfänger und dem Absender geschalteten System den beteiligten Parteien vorgaukelt, der jeweils andere zu sein. Mit dieser Technik kann der Angreifer den Datenverkehr kontrollieren und alle ausgetauschten Informationen abfangen und manipulieren. Die Verbindung der IT-Welt mit der Außenwelt über das Internet der Dinge ermöglichte dem bereits betagten Angriffsverfahren Replay-Attacke eine beeindruckende Renaissance.

Baukran, Wohnmobil oder doch lieber ein Auto?

Ende Oktober 2018 wurde bekannt, dass es durch eine Sicherheitslücke in der kabellosen Steuerung des Krans Telecrance F25 möglich war, entsprechende Signale mitzuschneiden und durch einen Capture-Replay-Angriff den Kran aus der Ferne komplett zu übernehmen und zu steuern. Hierbei konnten Sicherheitsforscher die von den Bauarbeitern am Boden an den Kran gesendeten Signale über den Funkverkehr aufnehmen und an den Kran senden, um ihn unbenutzbar zu machen. Zwar wurde die Schwachstelle inzwischen gepatcht, sie zeigt aber dennoch auf, welches Potenzial in selbst banalen Geräten steckt.

Anfang des Jahres 2018 machten diverse Meldungen die Runde, dass auch Urlauber, die sich ein Wohnmobil leihen oder aber mit dem eigenen verreisen, Opfer von sogenannten Capture-Replay-Attacken werden. Hier schneiden die Angreifer ebenfalls Signale der Autoschlüssel über den Funkverkehr mit, wenn diese den Öffnungs- und Schließcode elektronisch übertragen. Viele Hersteller arbeiten eher mit Standard-Funkcodes, was den Kriminellen einen scheinbar spurlosen Einbruch erleichtert und den Betroffenen lange Diskussionen und viel Ärger mit den Versicherungen beschert.

Bereits 2008 machten das erste Mal Forscher der Universität Bochum auf das Problem dieser Art von Angriffen in Autos und den damals eingesetzten ersten elektronischen Autoschlüsseln aufmerksam. In den folgenden Jahren gelang es Spezialisten immer wieder, Sicherheitslücken in der Kommunikation zwischen Auto und Schlüssel ausfindig zu machen und auszunutzen. Allerdings gab es bislang noch keine so schweren Diebstahl- und Einbruchsserien wie in den letzten Jahren bei den Campingmobilen.

Session-Replay – die Daten sind unsicher

Andere Arten von Replay-Attacken schneiden nicht nur die besuchten Seiten und Unterseiten auf, sondern auch die Texteingaben, sogar jene, die gar nicht abgeschickt wurden. Diese Technologie soll eigentlich genutzt werden, um Rückschlüsse auf die Interessen und Wünsche der Webseitenbesucher treffen zu können. Problematisch wird es, wenn diese Daten nicht per TLS oder SSL verschlüsselt, sondern unverschlüsselt übertragen und gespeichert werden.

Session-Hijacking bei Online-Banking und Online-Händlern

Replay-Attacken werden auch noch an anderer Stelle eingesetzt, nämlich um Session-Hijacking beim Online-Banking oder bei der Bestellung im Online-Shop eines Händlers zu betreiben. Die Angreifer, in der Regel Cyberkriminelle, versuchen dann, die sensiblen Informationen der Nutzer auszuspähen und über Remote-installierte Keylogger mitzuschneiden.

Oder aber sie kidnappen die geöffnete Session und führen direkt die gewünschten Transaktionen oder Wareneinkäufe durch. Der dann entstehende Schaden einer Einzelperson wird für die Bank oder den Online-Händler teuer, wenn der Kunde nachweisen kann, dass er die Transaktionen und Käufe gar nicht durchgeführt hat und ein Betrug vorliegt. In diesem Fall müssen die betroffenen Unternehmen ihre Versicherungen aktivieren.

Zwei-Faktor Authentifizierung per Tastatureingabe

Bei vielen Online-Banking-Services ist im Privatkundenbereich ein TAN-Verfahren im Einsatz. Entweder haben die Kunden eine gedruckte Liste mit TAN-Nummern oder die TAN-Nummer wird per SMS auf ein Smartphone geschickt. Andere, als sicherer angepriesene Verfahren nutzen einen Chip-Kartenleser oder ein externes Gerät, das automatisch TAN-Nummern generiert.

Sebastian Mayer, BehavioSec

„Die Verbindung der IT-Welt mit der Außenwelt über das Internet der Dinge ermöglichte dem bereits betagten Angriffsverfahren Replay-Attacke eine beeindruckende Renaissance.“

Sebastian Mayer, BehavioSec 

Immer wieder wurden in der Vergangenheit auch Projekte mit biometrischen Authentifizierungen getestet, allerdings wollten und wollen die wenigsten Kunden, dass ihre biometrischen Daten wie Fingerabdrücke, Handvenen oder anderes gespeichert werden. Wenn dann noch externe Geräte hinzutreten, kann sich zu viel Sicherheit negativ auf den Komfort auswirken und wird von vielen Nutzern abgelehnt und durch den Wechsel zu anderen Anbietern abgestraft. Darüber hinaus haben viele aufgrund des Datenschutzes Bedenken bei der Herausgabe persönlicher Informationen.

Lösungsansatz biometrische Verhaltensanalyse

Ein Verfahren, das bei vielen Banken in Europa im Einsatz ist und auch unter Online-Händlern immer beliebter wird, ist die automatisierte Analyse des Tippverhaltens des Internetnutzers. Hierbei muss der Nutzer nach wie vor in seinem Browser den Online-Banking-Service oder sein Warenkonto beim Internet-Händler aufrufen und seinen Benutzernamen sowie ein Passwort eingeben. Anders als bei anderen Sicherheitsverfahren muss er dann allerdings nichts zusätzlich unternehmen, um sich einzuloggen. Anhand seines Tippverhaltens erkennt der Algorithmus während der gesamten Online-Session, ob es sich beim Eingeloggten auch tatsächlich um den Nutzer handelt, der er vorgibt zu sein.

Durch diese kontinuierliche Authentifizierung können neben der Legitimität des Nutzers auch Maschinen erkannt werden, die eine Dateneingabe manipulieren wollen. In diesem Fall kopieren sie oft die notwendigen Zeichenfolgen und fügen sie mit einem Mal ein, anstatt sie Zeichen für Zeichen einzugeben und selbst die Simulation des menschlichen Tippverhaltens durch einen Algorithmus weist mathematische Eigenschaften auf, die sie zuverlässig von einem menschlichen Verhalten unterscheiden. Darüber hinaus sind Programme zielsicherer und verweilen für ihre Aktivitäten weniger lang in einem Konto.

Durch diese Analyse erkennt die Lösung, wenn die legitime Sitzung mit einem Replay-Angriff übernommen wurde, da sie entweder eine Maschine oder anhand des Tippverhaltens erkennt, dass die Eingaben von jemand anderem als den legitimen Kunden stammen. Der Cyberkriminelle kann mit der gekaperten oder wiedergeöffneten Session nichts mehr anfangen und sein geplanter Betrug wird verhindert. Gleichzeitig ist ein besonderer Vorzug des Tippverhaltens, dass durch die Analyse der zwangsläufig anfallenden Dateneingaben keine zusätzlichen Handlungen notwendig werden. Der unkomfortable Aufwand oder das Mitführen zusätzlicher Geräte, auf die andere Verfahren angewiesen sind, entfallen und die Sicherheit sowie Bequemlichkeit für den Anwender steigen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Gratis-eBook: Das Risiko Webanwendungen absichern

Man-in-the-Middle-Angriffe auf SSL-Verbindungen

Das steckt hinter der Bedrohung durch SQL Injection

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit