Ein Freitagvormittag im August, ein Tag vor dem Urlaub. Ich mache, was man als ITler halt beruflich so macht: bei anderen Leuten unterm Tisch rumkrabbeln. Das Gäste-WLAN sei instabil, hieß es, und ich will einen Monitoring-PC mit PRTG installieren, um dem auf den Grund zu gehen. Was mir nebenbei auffällt, soll später noch eine Bedeutung bekommen: ein verstecktes WLAN mit voller Sendeleistung. Zunächst entdecke ich aber etwas deutlich Unappetitlicheres hinter einem PC: ein winziger USB-Zwischenstecker zwischen PC und Tastatur.
Dank eines c’t-Artikels über Hacking-Gadgets weiß ich sofort, was ich vor mir habe: einen Keylogger. Diese Geräte schneiden unbemerkt alle Tastatureingaben mit – dem Angreifer liefert man somit Zugangsdaten für Mailpostfach, Onlinebanking oder Facebook frei Haus.
An der Stelle höre ich immer wieder die gleichgültige Reaktion: “Ja mei, wenn’s ihm hilft, soll er halt meine Mails mitlesen”. Was jedoch, wenn der Angreifer das Passwort zum Mailpostfach ändert, den*die Eigentümer*in also aussperrt? Wenn er das Adressbuch kopiert und in meinem Namen Schadsoftware verschickt? Wenn er sich einen Überblick verschafft, welche Onlineshops ich nutze, sich von dort eine “Passwort zurücksetzen”-Mail zuschicken lässt und auf meine Kosten einkauft? Das kann teuer und unangenehm werden und insbesondere einen Unternehmer mächtig Reputation kosten.
Nach Kontrolle weiterer PCs entdecke ich noch einen weiteren Keylogger. Die betroffenen Computer stehen Gästen zur Verfügung, werden aber auch privat von Mitarbeitern genutzt. In Spitzenzeiten von Dutzenden Menschen täglich – ein lohnenswertes Ziel also.
Nachdem sich der erste Schreck gelegt hat, überlegen wir gemeinsam, was zu tun ist: Anzeige erstatten, mögliche Geschädigte informieren…
Derweil schaue ich mir die Geräte genauer an. Einer der Sticks ist ein recht einfaches Modell, der die Daten lediglich lokal speichert. Mit der im c’t-Artikel beschriebenen Tastenkombination lässt sich der Stick tatsächlich “öffnen”: er erscheint als Massenspeicher am PC und gibt die erbeuteten Daten preis. Das sieht dann etwa so aus:
Wie man sieht: ganz so mundgerecht erscheinen die Daten dann doch nicht. Jeder Vertipper wird mitprotokolliert, und wo der Nutzer sich zwischendurch mit der Maus bewegt, bekommt man nicht mit. So sind die Tastendrücke oft aus dem Kontext gerissen. Trotzdem sind die vorgefundenen Daten aussagekräftig genug um festzustellen, dass zwischen Installation und Entdeckung lediglich eine Woche vergangen ist. Das lässt aufatmen – im ersten Moment hatten wir einen viel längeren Zeitraum befürchtet. Natürlich ist nicht ausgeschlossen, dass der Angriff schon länger lief und die Logger lediglich regelmäßig ausgetauscht wurden.
Was mich beim Einstecken an einem isolierten Test-PC noch überrascht: der Keylogger verhält sich komplett passiv – es erscheint also keine neue “USB-Tastatur” im Geräte-Manager. Eine Erkennung durch Virenschutzsoftware ist dadurch unmöglich.
Bei dem anderen Logger handelt es sich um ein etwas aufwendigeres Gerät: der Keylogger spannt ein eigenes (verstecktes) WLAN auf, über das man die Daten auslesen kann. Das erleichtert das riskante Abholen der gesammelten Daten, da man sich lediglich in der Nähe der belauschten PCs befinden muss. Manche Modelle gehen gar noch einen Schritt weiter und buchen sich – sofern korrekt konfiguriert – in ein vorhandenes WLAN ein. Dann sind sie in der Lage, die gesammelten Daten sofort per Mail an den Angreifer zu schicken.
Ich möchte unbedingt wissen, ob ich mit der Entdeckung dem Angreifer zuvorgekommen sind, oder ob die Daten längst via Internet zu ihm übertragen wurden. Also baue ich die Umgebung nach und biete den Loggern ein WLAN an, das dem Gastnetz des Kunden exakt gleicht. Dabei kontrolliere ich im Accesspoint, ob sie sich ins Netz einbuchen, und bereite vor, auch den Datenverkehr per Wireshark mitzuschneiden. Vielleicht würde ja der kontaktierte Mailserver näher Aufschluss geben? (Eine Emfängerdomain à la @familie-mueller.de wäre selten blöd, aber was nicht alles so passiert…) Die Logger verbinden sich aber nicht mit dem angebotenen WLAN, und so gibt es auch nichts mitzuschneiden. Einerseits erleichtert es mich, weil die gesammelten Daten so höchstwahrscheinlich noch nicht verlorengegangen sind. Andererseits wirft es neue Fragen auf: wer investiert 100€ in illegale Hardware und geht dann das Risiko ein, beim Abholen erwischt zu werden, wenn die Logger eine viel elegantere Art der Übertragung anbieten? Handelt es sich gar um einen Mitarbeiter, der die Logger nach Feierabend mit sehr geringem Risiko abholen kann?
Inzwischen ist die Polizei eingetroffen, schaut sich den Tatort an und nimmt die Keylogger mit. Dass ich die kleinen Geräte vor lauter Schreck sofort ausgesteckt habe, war natürlich nicht so clever – Fingerabdrücke lassen sich so nicht mehr auswerten. Die ersten Telefonate mit der örtlichen Polizeiwache waren nicht sehr ergiebig (“Ihnen wurde also ein USB-Stick gestohlen, ja?”), aber man verspricht uns, die Geräte zu einer Fachabteilung weiterzuleiten. Als der Kunde zwei Wochen später jedoch nachhakt, macht man ihm wenig Hoffnung: die zuständige Abteilung sei völlig überlastet – wir würden wieder von ihnen hören.
Damit ist die Sache von unserer Seite einstweilen abgeschlossen – mit mehr Erkenntnissen ist kaum mehr zu rechnen. Die Frage bleibt: was war das Ziel des Angriffs? Handelt es sich um ein “Script Kiddie”, das lediglich aus Neugier und Langeweile gehandelt hat? Sollten die Daten gesammelt weiterverkauft werden oder handelte es sich um einen gezielten Angriff auf eine bestimmte Person? War es gar der erste Schritt, um das interne Netz des Kunden anzugreifen, indem Passwörter abgegriffen werden, die eventuell auch dort gültig sind? Zum aktuellen Zeitpunkt lässt sich das nicht sagen, und ein Ändern der möglicherweise kompromittierten Passwörter ist Pflicht. Wohl dem, der Passwörter nicht recycelt – also für unterschiedliche Dienste wiederverwendet. Denn dann hat man in einem solchen Fall eine Menge Arbeit vor sich.
Und jede*r andere, der diesen Text gelesen hat, darf jetzt ebenfalls mal kurz unter den Tisch krabbeln und schauen, ob er*sie ein solches Gerät am eigenen PC findet. Denn dass “so was bei uns doch nicht passiert” hatte sich der Kunde vor diesem Vorfall sicher auch gedacht.
Nachtrag: einzelne Details des Vorfalls habe ich aufgrund der noch laufenden Ermittlungen verfremdet.
Noch ein weiterer Grund (wenn nicht der Hauptgrund), warum E-Mail-Konten ganz besonders zu schützen sind: Für alle möglichen Konten, von eBay über PayPal bis hin zu Facebook und so weiter und so fort kann man die Passwörter zurücksetzen und damit die Kontrolle übernehmen, wenn man einmal im E-Mail-Konto drin ist.
Jedenfalls sofern keine 2-Faktor-Authentifizierung dafür aktiv ist.