Archiv der Kategorie: September 2013

Internet Storm Center warnt wegen Internet-Explorer-Lücke

Aufgrund einer bereits aktiv missbrauchten Sicherheitslücke im Internet Explorer hat das ISC (Internet Storm Center) die Alarmstufe von „grün“ auf „gelb“ angehoben. Die Lücke werde bereits seit August aktiv im Netz zum Kapern von Rechnern missbraucht; sogar für das Exploit-Framework Metasploit, eine Art Werkzeugsammlung für Penetrationstests, steht ein Modul für die Lücke bereit, was die Erzeugung von Exploits stark vereinfacht.

Microsoft stellt derzeit nur einen Hotfix bereit, den Administratoren in Unternehmen genau so wie Privatanwender umgehend einspielen sollten, wenn der Internet Explorer zum Einsatz kommt. Ein Sicherheitsupdate kündigt Microsoft für den kommenden Patchday an.

Die bisher bekannten Exploits laufen laut Microsoft bislang unter Windows XP und Windows 7 mit dem Internet Explorer 8 und 9. Server seien aufgrund des Protected Mode des IE sicher. Es bietet sich jedoch an, einen alternativen Browser wie Google Chrome einzusetzen, der nach Bekanntwerden von Sicherheitslücken innerhalb kürzester Zeit aktualisiert wird.

Sicherheitslösungen mit integrierten Webfiltern wie AVGs LinkScanner können helfen, Exploits vom Rechner fernzuhalten.

Geschrieben von Dirk Knop

Herzenswünsche – Aktion lässt Kinderaugen strahlen

Unsere Herzenswünsche-Aktion ist in vollem Gange! Mehr als 100 Händler haben sich bis heute bewusst dafür entschieden, an unserer Benefizaktion teilzunehmen und so die Wünsche schwer kranker Kinder zu erfüllen. 1500 Euro haben wir auf diese Weise aktuell zusammengetragen! Das ist ein gutes Zwischenergebnis und ich möchte allen Teilnehmern an dieser Stelle ein großes Dankeschön aussprechen! Diese Spendenbereitschaft unserer Kunden macht mich sehr zuversichtlich, dass wir kranken Kindern auch weiterhin ihre Träume erfüllen können.

Doch noch ist nicht aller Tage Abend: Nutzen Sie den Endspurt, damit wir möglichst viele Herzenswünsche unterstützen können. Melden Sie sich bei uns im Reseller-Center für die Aktion an. Von jeder verkauften Lizenz gehen bis zum 30. September automatisch 50 Cent an die Initiative Herzenswünsche e.V. Unser Zusatzschmankerl für Sie: Je nach Umsatz erhalten Sie eine Gutschrift in Höhe von 50 oder 100 Euro, die Sie natürlich ebenfalls spenden können.

Die Kinder werden es Ihnen danken. Und ich natürlich auch.

Ihr Jürgen Jakob

Geheimdienste knacken Verschlüsselung

Wie jüngst aus den Unterlagen des Whistleblowers Edward Snowden hervorging, nutzen die Geheimdienste wie NSA und GHCQ alle Möglichkeiten, verschlüsselte Übertragungen zu knacken. Dennoch ist Verschlüsselung das einzige Gegenmittel gegen unerwünschtes Ausspähen.

Dieser scheinbare Widerspruch lässt sich leicht auflösen. Dazu muss man genauer hinsehen, welche Verschlüsselung sich wie aushebeln lässt. Im Wesentlichen geht es zunächst um die SSL-Verschlüsselung zwischen Webbrowser und Webserver. Hier gibt es mehrere Angriffspunkte: Der Angreifer kann als Man-in-the-Middle die Kommu­ni­kation über sich umleiten und dabei für die beiden eigentlichen Endpunkte einfach andere Zertifikate vorzeigen; in der Mitte ist dann der Datenverkehr entschlüsselt mitzulesen.

Oder der Angreifer sitzt direkt auf einem der Endpunkte, Server oder Client – auch dort liegen die Daten unverschlüsselt vor. Eine weitere Variante ist das sogenannte „Client-Dumb-Down“, bei dem der Angreifer die Kommunikation beim Aushandeln der Schlüssel so manipuliert, dass eine besonders schwache Verschlüsselungsvariante ausgehandelt wird. Dann lässt sich der Datenverkehr mit geringem Rechen­aufwand mitschneiden und entschlüsseln, ohne großartig auffällig in die Kommunikation einzugreifen.

Aber auch bestimmte VPN-Systeme (beispielsweise SSL-VPN), Voice-over-IP oder Mobilfunknetzwerke der vierten Generation stehen unter geheimdienstlicher Beobachtung. Zudem verschaffen sich die Schnüffeldienste Zugriff auf Hard- und Softwareentwicklung ungenannter Hersteller und bauen dabei unauffällige Hintertüren ein; die Presse nennt als Beispiel etwa die Zufallszahlengeneratoren, auf die starke Verschlüsselung angewiesen ist: Werden diese nur schwach zufällig initialisiert, lässt sich der entstehende Schlüsselstrom mit wesentlich geringerem Aufwand brechen.

Diese Angriffe sind dann jedoch nicht zum allgemeinen Datenabgriff tauglich, sondern lediglich für eine gezielte Abhörmaßnahme zu gebrauchen – etwa einem Gebot auf eine öffentliche Ausschreibung.

Nach bisherigem Kenntnisstand gibt es aber Verschlüsselungs­­mechanismen, an denen sich auch die Geheim­dienste die Zähne ausbeißen. Der Verschlüsselungs­standard AES zählt dazu. Zwar gibt es hier bereits Forschungs­arbeiten, die einige Schwächen in der Ver­schlüsselungs­­suite auszunutzen versuchen. Aber realistisch zum Brechen der Chiffre lässt sich das noch nicht nutzen: Statt 128-Bit langen Schlüsseln müssen mit den aufgedeckten Schwächen nur 126-Bit-Schlüssel durchgetestet werden. Als Vergleich: Wenn eine Milliarde Rechner jeweils eine Milliarde Schlüssel pro Sekunde durch­probieren müssen, um in mehreren Milliarden Jahren damit fertig zu sein, sind dadurch nur noch zig Millionen Jahre nötig. AES ist damit also mitnichten geknackt, wie einige Blätter voreilig aus diesen Erkennt­nissen schlossen.

Links:
AES-Angriff: http://www.electronista.com/articles/11/08/17/practical.crack.still.far.off/

Geschrieben von Dirk Knop