Archiv der Kategorie: 2013

Dezember-Patchday bei Microsoft und Adobe

Sowohl Microsoft als auch Adobe schließen mit Aktualisierungen für ihre Produkte Sicherheitslücken, die zum Teil bereits zum Infizieren von Rechnern ausgenutzt wurden. Administratoren und Nutzer sollten die bereitgestellten Updates so schnell wie möglich einspielen.

Unter anderem konnten in nahezu allen Windows-Versionen und in Office manipulierte TIFF-Dateien zum Ausführen eingeschleusten Schadcodes führen. Wer bereits das als Workaround angebotene FixIt-Tool von Microsoft ausgeführt hat, kann nach dem Update mit dem unter „Disable this FixIt“ angebotenen Tool die Anzeige von TIFF-Dateien wieder aktivieren.

Auch im Internet Explorer hat das Unternehmen gleich sieben Schwachstellen korri­giert, die das Einschmuggeln von Trojanern ermöglichten. Die Adobe Flash-Versionen 11.9.900.170 (respektive 11.2.202.332 unter Linux) schließen ebenfalls zwei Sicher­heits­lücken. Die installierte und aktive Flash-Version auf dem Rechner kann man auf einer Webseite von Adobe überprüfen.

Geschrieben von Dirk Knop

Mehr als ein Viertel ohne Virenschutz (Update)

Vergangene Woche veröffentlichte der Think Tank der GfK fast unbemerkt eine Studie zur Internetnutzung in Deutschland, für die er 1.500 Nutzer befragte. Einige Ergebnisse sind erschreckend, zeigen jedoch, dass noch Potenzial in dem Markt ist: So haben zwar 72 Prozent der Nutzer einen Virenscanner installiert – jedoch folglich 28 Prozent nicht. Insbesondere Gelegenheitsnutzer, also jene, die nicht täglich, aber mehrmals im Monat im Netz unterwegs sind, lassen Schutzmaßnahmen schleifen. Von ihnen nutzen lediglich 55 Prozent einen Virenschutz.

Auch beim Thema Passwörter sind die Zahlen ernüchternd. Ein Viertel der Nutzer gab an, sichere Passwörter zu verwenden, ebenso groß ist der Anteil derer, die ihre Passwörter regelmäßig ändern. Die Themen verschlüsselte E-Mail oder anonymes Surfen sind für deutsche Nutzer eher Randnotizen, lediglich 5 respektive 4 Prozent nutzen Software dafür. Insbesondere im Hinblick auf den NSA-Überwachungsskandal überrascht das.

Abwehrmaßnahmen geht jeder zehnte Befragte durch Falschangaben wie Fantasie­namen in sozialen Netzen sowie dem Verwenden einer separaten E-Mail-Adresse für Online-Aktivitäten wie Gewinnspiel­teilnahmen an.

Die Umfrageergebnisse zeigen, dass viele Internetnutzer das Thema Sicherheit zwar kennen, aber immer noch ein großer Teil keine Schutzmaßnahmen ergreift. Einige einfache Programme unterstützen den Anwender jedoch sehr effizient dabei: Etwa AVG AntiVirus als Virenschutz und Sticky Password als Passwort-Verwaltung und -Generator.

Update 28.11.2013 12:30 Uhr: Der Providerverband eco hat in Zusammenarbeit mit dem Bundesministerium für Wirtschaft und Technologie in der „Initiative S“ jetzt ebenfalls eine bundesweite Umfrage durchgeführt. Demnach glauben drei Viertel der Befragten, dass lediglich Webseiten von Großunternehmen angegriffen würden. Tatsächlich stehen jedoch alle Webseiten unter Beschuss und werden angegriffen. Insbesondere Handwerksbetriebe wähnten sich in falscher Sicherheit in Anbetracht der Tatsache, dass jeder dritte Rechner in Deutschland infiziert sei – natürlich auch in Unternehmen. Lediglich ein Drittel der befragten Unternehmen hätten einen in IT-Sicherheit geschulten Mitarbeiter.

Geschrieben von Dirk Knop.

Sicherheitslücke im Internet Explorer wird ausgenutzt (Update)

Eine Sicherheitslücke klafft derzeit im Internet Explorer 7 bis 10 unter Windows XP bis Windows 7, die bereits von Cyberkriminellen zum Infizieren von Rechnern missbraucht wird. Durch Bekanntwerden der Lücke ist mit einer massenhaften Ausnutzung in kurzer Zeit zu rechnen.

Der bislang bekannte Angriff weist als Besonderheit auf, dass der verbreitete Schädling sich nicht auf Festplatte schreibt, sondern lediglich im Hauptspeicher aktiv wird. Weiterhin nutzt die Schadsoftware eine Lücke in veralteten Visual C++-Runtimes aus; Administratoren sollten die Rechner dringend auf aktuellen Stand bringen. Die derzeitig einzig zuverlässige Gegenmaßnahme ist die Nutzung eines alternativen Webbrowsers. Nutzer sollten außerhalb des firmeninternen Netzes daher unbedingt auf Chrome oder Firefox oder ähnliche Alternativen setzen.

Eine weitere Sicherheitslücke findet sich in den Verarbeitungsroutinen von TIFF-Da­teien von Windows Vista, Server 2008 sowie Office 2003 bis 2010. Auch hier berichtet Microsoft von Angriffen. Um die Sicherheitslecks provisorisch abzudichten, stellt Microsoft in einem Security Advisory „Fix-it-Tools“ bereit, die Administratoren auf ihren Maschinen unbedingt zeitnah ausführen sollten.

Ob zumindest Teile der Sicherheitslücken mit den Updates zum November-Patchday geschlossen werden, ist derzeit noch unklar. Daher sollten vorgenannte Sicherheits­maßnahmen – alternativen Webbrowser nutzen und Fix-it-Tools ausführen – unbe­dingt getroffen werden.

Update 13.11.2013, 11:00h: Die Updates zum November-Patchday von Microsoft schließen die bekannten Lücken. Administratoren sollten daher umgehend die via Windows Update bereitgestellten Patches einspielen, um ihre Rechner abzusichern.

Geschrieben von Dirk Knop

Getarnte Adware als Antivirensoftware-Download

2013-11-08-Fake_AVG_Download_Site_02

Die Cyberkriminellen entdecken bei ihrer Mission, Rechner mit Schädlingen oder lukrativer Adware zu infizieren, alte Wege neu. Als Abwandlung des FakeAV-Schemas, also dem Anzeigen gefälschter Meldungen zu vermeintlichen Virenfunden auf dem Rechner, versuchen sie nun, Opfer über das Anbieten von Downloads populärer Software zu finden. Im heruntergeladenen Installer befindet sich dann mitnichten ein Antiviren- oder Rechnerentrümpelungsprogramm, sondern ein Programm, das für Werbeeinblendungen sorgt.

Das ist zwar mehr ein Ärgernis als Schadsoftware. Dennoch sollten Anwender darauf achten, zu installierende Software nach Möglichkeit direkt beim Hersteller oder autorisierten Download-Partnern herunterzuladen. Abseits der bekannten Download-Portale wie etwa denen von Cnet, ComputerBild, Chip oder heise landet man rasch auf einer betrügerischen Website.

Geschrieben von Dirk Knop

Häufung erfundener Virenmeldungen

Just an diesem Wochenende sorgen zwei Meldungen über skurrile Virenfunde für Furore: Eine Meldung stammt von einem bis dahin als seriös bekannten Sicherheitsforscher, eine andere aus Russland. Beiden gemein ist, dass sie Unsicherheit bei den Lesern schüren, ohne fundierte Beweise vorzulegen.

Der Sicherheitsforscher Dragos Ruiu, der die bekannten Pwn2Own-Wettbewerbe ins Leben gerufen hat, will einen Supervirus namens „BadBIOS“ auf seinen Systemen haben, der via manipulierter USB-Sticks eindringt, sich ins BIOS (oder UEFI) des Rechners schreibt und Betriebssystem-unabhängig bösartig aktiv wird. Kontakt zu weiteren infizierten Rechnern solle er auch ohne Netz, mittels Piepstönen über Lautsprecher und Aufzeichnung via Mikrofon aufnehmen.

Das BIOS eines Rechners ist auf die Hardware zugeschnitten; dort kann also nur sehr spezieller Code ausgeführt werden, der andere Rechner als die, für die er entwickelt wurde, lahmlegt. Auch die weiteren Mechanismen wurden zwar in der Sicherheitsbranche diskutiert und vereinzelt als Proof-of-Concept umgesetzt, nur in der freien Wildbahn gibt es derartige Schädlinge nicht – zumal sehr viel Know-how und Programmierzeit nötig ist, diese Mechanismen auch zu kombinieren.

Da eigentlich alle mit Schädlingen erreichbare Ziele mit wesentlich weniger Aufwand erreicht werden können, gilt in Sicherheitskreisen diese Meldung daher als sogenannter Hoax, eine Falschmeldung. Das Prinzip ist auch unter dem Synonym der „tiefhängenden Früchte“ bekannt: Warum viel Arbeit und Energie in eine Aufgabe stecken, wenn sie viel einfacher zu lösen ist?

Selbigem Prinzip widerspricht die Meldung russischer Nachrichtenseiten, laut denen in Russland Bügeleisen aus China aufgrund leicht erhöhten Gewichtes aufgefallen seien. In den zerlegten Geräten hätten sich batteriegespeiste Schaltungen befunden, die in offene WLANs eindringen und dort dann Viren verbreiten könnten. Auch diese Meldung ist sehr schwer mit der Realität in Einklang zu bringen. Eine Infektion mit Viren ist wesentlich einfacher über das Internet, etwa gezielt mit Links auf verseuchte Webseiten per E-Mail, zu bewerkstelligen.

Sollten tatsächlich derartige Viren und Angriffsvektoren auftauchen und genutzt werden, wird die Sicherheitsbranche nicht untätig sitzen bleiben, sondern öffentlich warnen und Schutzmaßnahmen erklären. Diese beiden Fälle sollten jedoch zum Schmunzeln dienen. Bei einigen Kundenkontakten dürften diese Beispiele vielleicht auftauchen – mit Blick auf die „tiefhängenden Früchte“ kann man jedoch plausibel erklären, warum die Bedrohungslage real anders aussieht.

Geschrieben von Dirk Knop

Konsequenzen aus dem NSA-Skandal

Der NSA-Skandal wurde im Wahlkampf zunächst heruntergespielt und für beendet erklärt; nun kommen immer mehr Details ans Licht, wie weitreichend jedoch die Überwachungsmaßnahmen der Geheimdienste greifen. Selbst vom abhörsicheren Kanzlerin-Handy konnte Kommunikation überwacht werden.

Das klingt zunächst so, als ob keine Gegenmaßnahme greifen würde. Das Kanzlerin-Handy kann jedoch nur dann die Kommunikation schützen, wenn die Gegenstelle ebenfalls die dafür nötige Verschlüsselung unterstützt. Nach bisherigem Wissensstand ließen sich lediglich die unverschlüsselten Gespräche anzapfen.

Als Unternehmen oder als Privatperson kann man ebenfalls auf Verschlüsselung setzen, sodass ein Ausspähen erheblich mehr Aufwand bedeutet. Verschlüsselung der Kommunikation zum Firmennetz etwa mit einer VPN-Lösung wie ViPNet sorgt dafür, dass ein Spion erstmal in dieses virtuelle Netz eindringen muss und es nicht genügt, einfach nur irgendwelche Internetknotenpunkte anzuzapfen.

Um die Rechner vor dem Eindringen Fremder in das virtuelle Netz zu schützen, müssen diese mit einer Antivirenlösung wie AVG Internet Security vor Schadsoftware abgesichert werden. Zudem muss zwingend die eingesetzte Software auf aktuellem Stand sein, um keine Hintertüren für uneingeladene Gäste offen zu halten.

Auch die Daten selber lassen sich vor unbefugten neugieren Blicken schützen: Der Trend geht zu immer mehr Datenablage „in der Cloud“, also auf fremden Servern im Internet. Hier kann man etwa mit HiCrypt eine automatisch verschlüsselte Dateiablage einrichten, auf die nur Personen Zugriff haben, die der HiCrypt-Laufwerksverwalter dafür freigibt. Dank sicherer AES-Verschlüsselung ist ein Zugriff auf die Inhalte von außen nicht möglich.

Mit derart einfachen Mitteln ist es bereits möglich, dem Ausspähen in großen Teilen zu entgehen.

Geschrieben von Dirk Knop

Microsoft schließt IE-Sicherheitslücke

Die vor zwei Wochen bekannt gewordene Sicherheitslücke im Internet Explorer von Microsoft, vor der das Internet Storm Center gewarnt hatte, hat das Unternehmen aus Redmond am gestrigen Oktober-Patchday mit einem Update geschlossen. Administratoren und Windows-Nutzer sollten daher umgehend Windows Update in ihrem Betriebssystem aufrufen und die bereitgestellten Patches installieren.

Geschrieben von Dirk Knop

Internet Storm Center warnt wegen Internet-Explorer-Lücke

Aufgrund einer bereits aktiv missbrauchten Sicherheitslücke im Internet Explorer hat das ISC (Internet Storm Center) die Alarmstufe von „grün“ auf „gelb“ angehoben. Die Lücke werde bereits seit August aktiv im Netz zum Kapern von Rechnern missbraucht; sogar für das Exploit-Framework Metasploit, eine Art Werkzeugsammlung für Penetrationstests, steht ein Modul für die Lücke bereit, was die Erzeugung von Exploits stark vereinfacht.

Microsoft stellt derzeit nur einen Hotfix bereit, den Administratoren in Unternehmen genau so wie Privatanwender umgehend einspielen sollten, wenn der Internet Explorer zum Einsatz kommt. Ein Sicherheitsupdate kündigt Microsoft für den kommenden Patchday an.

Die bisher bekannten Exploits laufen laut Microsoft bislang unter Windows XP und Windows 7 mit dem Internet Explorer 8 und 9. Server seien aufgrund des Protected Mode des IE sicher. Es bietet sich jedoch an, einen alternativen Browser wie Google Chrome einzusetzen, der nach Bekanntwerden von Sicherheitslücken innerhalb kürzester Zeit aktualisiert wird.

Sicherheitslösungen mit integrierten Webfiltern wie AVGs LinkScanner können helfen, Exploits vom Rechner fernzuhalten.

Geschrieben von Dirk Knop

Herzenswünsche – Aktion lässt Kinderaugen strahlen

Unsere Herzenswünsche-Aktion ist in vollem Gange! Mehr als 100 Händler haben sich bis heute bewusst dafür entschieden, an unserer Benefizaktion teilzunehmen und so die Wünsche schwer kranker Kinder zu erfüllen. 1500 Euro haben wir auf diese Weise aktuell zusammengetragen! Das ist ein gutes Zwischenergebnis und ich möchte allen Teilnehmern an dieser Stelle ein großes Dankeschön aussprechen! Diese Spendenbereitschaft unserer Kunden macht mich sehr zuversichtlich, dass wir kranken Kindern auch weiterhin ihre Träume erfüllen können.

Doch noch ist nicht aller Tage Abend: Nutzen Sie den Endspurt, damit wir möglichst viele Herzenswünsche unterstützen können. Melden Sie sich bei uns im Reseller-Center für die Aktion an. Von jeder verkauften Lizenz gehen bis zum 30. September automatisch 50 Cent an die Initiative Herzenswünsche e.V. Unser Zusatzschmankerl für Sie: Je nach Umsatz erhalten Sie eine Gutschrift in Höhe von 50 oder 100 Euro, die Sie natürlich ebenfalls spenden können.

Die Kinder werden es Ihnen danken. Und ich natürlich auch.

Ihr Jürgen Jakob

Geheimdienste knacken Verschlüsselung

Wie jüngst aus den Unterlagen des Whistleblowers Edward Snowden hervorging, nutzen die Geheimdienste wie NSA und GHCQ alle Möglichkeiten, verschlüsselte Übertragungen zu knacken. Dennoch ist Verschlüsselung das einzige Gegenmittel gegen unerwünschtes Ausspähen.

Dieser scheinbare Widerspruch lässt sich leicht auflösen. Dazu muss man genauer hinsehen, welche Verschlüsselung sich wie aushebeln lässt. Im Wesentlichen geht es zunächst um die SSL-Verschlüsselung zwischen Webbrowser und Webserver. Hier gibt es mehrere Angriffspunkte: Der Angreifer kann als Man-in-the-Middle die Kommu­ni­kation über sich umleiten und dabei für die beiden eigentlichen Endpunkte einfach andere Zertifikate vorzeigen; in der Mitte ist dann der Datenverkehr entschlüsselt mitzulesen.

Oder der Angreifer sitzt direkt auf einem der Endpunkte, Server oder Client – auch dort liegen die Daten unverschlüsselt vor. Eine weitere Variante ist das sogenannte „Client-Dumb-Down“, bei dem der Angreifer die Kommunikation beim Aushandeln der Schlüssel so manipuliert, dass eine besonders schwache Verschlüsselungsvariante ausgehandelt wird. Dann lässt sich der Datenverkehr mit geringem Rechen­aufwand mitschneiden und entschlüsseln, ohne großartig auffällig in die Kommunikation einzugreifen.

Aber auch bestimmte VPN-Systeme (beispielsweise SSL-VPN), Voice-over-IP oder Mobilfunknetzwerke der vierten Generation stehen unter geheimdienstlicher Beobachtung. Zudem verschaffen sich die Schnüffeldienste Zugriff auf Hard- und Softwareentwicklung ungenannter Hersteller und bauen dabei unauffällige Hintertüren ein; die Presse nennt als Beispiel etwa die Zufallszahlengeneratoren, auf die starke Verschlüsselung angewiesen ist: Werden diese nur schwach zufällig initialisiert, lässt sich der entstehende Schlüsselstrom mit wesentlich geringerem Aufwand brechen.

Diese Angriffe sind dann jedoch nicht zum allgemeinen Datenabgriff tauglich, sondern lediglich für eine gezielte Abhörmaßnahme zu gebrauchen – etwa einem Gebot auf eine öffentliche Ausschreibung.

Nach bisherigem Kenntnisstand gibt es aber Verschlüsselungs­­mechanismen, an denen sich auch die Geheim­dienste die Zähne ausbeißen. Der Verschlüsselungs­standard AES zählt dazu. Zwar gibt es hier bereits Forschungs­arbeiten, die einige Schwächen in der Ver­schlüsselungs­­suite auszunutzen versuchen. Aber realistisch zum Brechen der Chiffre lässt sich das noch nicht nutzen: Statt 128-Bit langen Schlüsseln müssen mit den aufgedeckten Schwächen nur 126-Bit-Schlüssel durchgetestet werden. Als Vergleich: Wenn eine Milliarde Rechner jeweils eine Milliarde Schlüssel pro Sekunde durch­probieren müssen, um in mehreren Milliarden Jahren damit fertig zu sein, sind dadurch nur noch zig Millionen Jahre nötig. AES ist damit also mitnichten geknackt, wie einige Blätter voreilig aus diesen Erkennt­nissen schlossen.

Links:
AES-Angriff: http://www.electronista.com/articles/11/08/17/practical.crack.still.far.off/

Geschrieben von Dirk Knop