Schlagwort-Archive: SSL

WLAN-Lücke „KRACK“ – wie handeln?

Am Montag gab es mit einem großen Knall die Veröffentlichung von Details zu einer Lücke im bislang als sicher geltenden WLAN-Verschlüsselungsprotokoll WPA2. Durch einen Designfehler in der Spezifikation ist es möglich, Clients dazu zu nötigen, einen bereits genutzten Schlüssel erneut einzusetzen. Angreifer in physikalischer Nähe zum WLAN können dadurch im schlimmsten Fall die Kommunikation mitlesen, als sei sie nicht verschlüsselt. Ein aktiver Eingriff in die Kommunikation oder gar die Nutzung des WLANs ist dadurch jedoch nicht möglich oder sehr unwahrscheinlich.

Viele Hersteller haben Aktualisierungen ihrer Produkte angekündigt. Bei Verfügbarkeit sollten diese so schnell wie möglich eingespielt werden. Beispielsweise Microsoft hat bereits mit dem Oktober-Update für Windows die Lücke geschlossen, Apple hat für alle unterstützten Betriebssysteme Updates in einer Beta-Phase; unter Linux wird häufig hostapd genutzt, wofür ebenfalls aktuelle Pakete bereitstehen, die die meisten Distributionen schon verteilen. Problematischer sind Android-Smartphones. Ältere Geräte erhalten in der Regel gar keine Updates mehr und weisen die Schwachstelle dadurch dauerhaft auf. Aber auch hier sollte man regelmäßig prüfen, ob der Hersteller eine Aktualisierung anbietet.

Da die Sicherheitslücke im Kern das Mitlauschen ermöglicht, sind insbesondere Firmen, die ein gewisses Know-how in ihrem Fachbereich aufweisen, potenziell lukrative Angriffsziele. Industriespionage wäre durch KRACK einfacher durchzuführen. Was bereits hilft, ist der Einsatz von TLS-gesicherten Verbindungen etwa für das Abrufen von E-Mails und beim Ansurfen von Websites; viele Webseiten bieten Verschlüsselung inzwischen standardmäßig an. Insbesondere in Firmen reicht dieser Hinweis jedoch nicht. Hier schafft etwa der Einsatz von ViPNet Abhilfe. ViPNet verschlüsselt sogar die Kommunikation im lokalen Netz bereits, sodass Angreifer im gleichen Netz nichts mitschneiden können.

Google entzieht Symantec-SSL-Zertifkaten vertrauen

IT-SecurityWie das Unternehmen in seinem Sicherheitsblog berichtet, will Google im Webbrowser Chrome ab April 2018 den SSL-Zertifikaten von Symantec und zugehörigen Tochterfirmen das Vertrauen entziehen. Webseiten mit Zertifikaten von Symantec, Thawte, VeriSign, Equifax, GeoTrust und RapidSSL werden dann als nicht sicher angezeigt: zudem lassen sie sich dadurch nicht mehr direkt ansurfen, sondern man muss Umwege gehen. Dieser ungewöhnliche Schritt wurde nötig, da Symantec die Kontrolle über ausgestellte Zertifikate offenbar nicht ordentlich ausüben konnte und immer wieder illegal ausgestellte Zertifikate von dort auftauchten – was schlussendlich die gesamte Vertrauenskette, die durch Zertifikate hergestellt wird, zerstört.

Symantec hat durch den Verkauf des Geschäftsbereichs an die CA DigiCert reagiert. Unternehmen und Organisationen, die noch Zertifikate von oben genannten Unternehmen für Ihre Server einsetzen, sollten sich rechtzeitig neue Zertifikate ausstellen lassen und in die Systeme einpflegen.

Antivirensoftware noch sinnvoll? Selbstverständlich!

IT-SecurityIn jüngster Vergangenheit haben einige Programmierer frustriert die These aufgestellt, dass Antivirensoftware obsolet sei und die Sicherheit der Systeme beeinträchtige. Hintergrund dazu ist, dass die Antivirenprodukte inzwischen auch Netzwerkverkehr überwachen, der zwischen Server und lokalem Webbrowser ausgetauscht wird – und neuerdings auch verschlüsselte Verbindungen. Dabei haben einige Hersteller bei der Implementierung Fehler eingebaut, die die Sicherheit dieser Verbindung zwischen Server und Browser herabsetzen können. Dies kritisieren Sicherheitsforscher zu recht und die Antivirenhersteller reagieren zügig mit Softwarekorrekturen. Zudem gab es kürzlich Veröffentlichungen, die eine Sicherheitslücke im Windows-eigenen Application Verifier nutzen, um Antivirensoftware auszuhebeln. Es handelt sich im Kern also um eine Microsoft-Lücke.

Ein guter Computerschutz umfasst nicht nur einen reinen Dateiscanner, da Viren auf diverse Wege ins System kommen und den Anwender schädigen können. Im Zwiebelschalenprinzip fügen die Antivirenhersteller daher Schutzschicht um Schutzschicht nach: Neben dem ursprünglichen Dateiscanner, der auf Anforderung das System untersucht, kam so der Hintergrundscanner hinzu, der das Dateisystem in Echtzeit auf Änderungen überwacht. Weitere Komponenten sind dann beispielsweise E-Mail-Scanner oder Verhaltensüberwachung von Prozessen, also der laufenden Programme. Um bösartige Angriffe von Exploit-Kits zu erkennen, kamen dann Webtraffic-Analysekomponenten hinzu, die etwa Aktionen von Skripten in Webseiten untersuchen und bewerten.

Sofern Fehler in diesen Komponenten auftreten, versuchen die Hersteller, diese rasch zu beheben. Das ist ein ganz normaler und alltäglicher Vorgang: Wo Menschen arbeiten, wird es zwingend gelegentlich Fehler geben. Jeder Softwarehersteller muss nachbessern – man sieht dies unter anderem bei den monatlichen Patchdays von Microsoft. Die meisten Fehler fallen bereits weit vor Veröffentlichung neuer Komponenten in der Qualitätssicherung auf, einige erst später. Auch dann werden sie natürlich behoben.

Es sind bislang keine Angriffe aus der Praxis auf Virenscanner bekannt, um darüber Systeme zu infizieren oder Nutzer anzugreifen. Das liegt auch daran, dass die Position, die ein Angreifer zum Ausnutzen der jüngst bekannt gewordenen Lücken in Windows haben muss – beispielsweise lokalen Zugriff auf den Rechner -, bereits wesentlich einfacher weitreichenden Systemzugriff erlaubt.

Die Schutzwirkung durch Antivirensoftware ist jedoch unbestritten. Hier liefern Testlabore wie AV-Test.org regelmäßig Ergebnisse von Untersuchungen auf deren Webseite, die die gute Schutzwirkung der meisten Antivirenlösungen belegen. Das kostenlose, beim aktuellen Windows-Betriebsystem mitgelieferte Windows Defender schlägt sich dabei jedoch meist eher schlecht als recht. Daher ist der Einsatz von Antivirensoftware nach wie vor zwingend anzuraten – ohne sind Nutzer den Angreifern schutzlos ausgeliefert und haben keinerlei Unterstützung, Schadsoftware zu erkennen und abzuwehren.

Verschlüsselte E-Mail-Übertragung mit AVG untersuchen

Die Unternehmen des De-Mail-Verbundes, unter anderem t-online, GMX, Freenet oder web.de, erzwingen in Kürze die verschlüsselte Übertragung von E-Mails. Für die Privatsphäre und Sicherheit ist das ein Schritt in die richtige Richtung. Jedoch lassen sich Daten auf verschlüsselten Verbindungen nicht ohne Weiteres auf Schädlinge untersuchen.

Verschlüsselte E-Mail-Übertragung kann AVG jedoch mit einer kleinen Anpassung analysieren. Nutzer von Microsoft Outlook benötigen keinerlei Veränderungen, da dort das AVG Outlook-Plug-in die E-Mails prüfen kann. Andere Mail-Programme, die auf die Unterstützung des AVG Personal E-Mail-Scanners angewiesen sind, sollten hingegen wie folgt konfiguriert werden:

  1. Öffnen Sie das AVG-Programm.
  2. Klicken Sie im Menü Optionen auf Erweiterte Einstellungen.
  3. Erweitern Sie im linken Bereich den Eintrag E-Mail -Schutz ->E-Mail -Schutz und doppelklicken Sie dann auf Server.
  4. Wählen Sie POP3 oder IMAP, klicken Sie im rechten Bereich auf Neuen Server hinzufügen, benennen Sie den neuen Server und bearbeiten Sie dessen Einstellungen:
    • Login-Methode: Bestimmter Computer; geben Sie Ihren POP3/IMAP-Server an (z. B. pop3.mymail.com für POP3-Server und imap.mymail.com für IMAP-Server).
    • Lokaler Port: 10000 (AVG gibt hier einen Port vor)
    • Verbindung: „Sicher bis zu regulärem Port“ oder „Sicher bis zu dediziertem Port“
    • Aktivieren Sie die Option Aktivieren Sie diesen Server, und verwenden Sie ihn für den Postein-/ausgang.
  5. Wählen Sie jetzt SMTP, klicken Sie im rechten Bereich auf Neuen Server hinzufügen, benennen Sie den neuen Server und bearbeiten Sie dessen Einstellungen:
    • Login-Methode: Bestimmter Computer; geben Sie Ihren SMTP-Server ein (z. B. smtp.mymail.com).
    • Lokaler Port: 10001 (AVG gibt hier einen Port vor)
    • Verbindung: „Sicher bis zu regulärem Port“ oder „Sicher bis zu dediziertem Port“
    • Aktivieren Sie die Option Aktivieren Sie diesen Server, und verwenden Sie ihn für den Postein-/ausgang.
  6. Klicken Sie auf OK.

Der AVG E-Mail -Schutz ist jetzt so eingestellt, dass er mit Ihrem E-Mail -Server über SSL-Verschlüsselung kommuniziert.

Konfigurieren Sie Ihren E-Mail -Client im nächsten Schritt so, dass er sich nicht mit dem eigentlichen E-Mail -Server, sondern mit dem AVG E-Mail -Schutz verbindet. Die Serverkonfiguration lautet:

  • POP3/IMAP:
    • Server: 127.0.0.1
    • Port: 10000 (hier bitte den Wert eintragen, den AVG weiter oben vorgegeben hat)
    • Benutzername/Kennwort: wie zuvor (d. h. Ihr E-Mail -Benutzername und -Kennwort)
    • Verschlüsselung: KEINE (SSL deaktiviert)
  • SMTP:
    • Server: 127.0.0.1
    • Port: 10001 (bitte den Wert eintragen, den AVG vorgegeben hat)
    • Authentifizierung: wie zuvor
    • Benutzername/Kennwort: wie zuvor (falls erforderlich)
    • Verschlüsselung: KEINE (SSL deaktiviert)

An dieser Stelle sind sowohl AVG als auch das Mail-Programm so eingerichtet, dass die E-Mails trotz verschlüsselter, sicherer Übertragung auf enthaltene Schädlinge untersucht werden.

Geschrieben von Dirk Knop.