Anzeige der insgesamt 544 Beiträge von

Sebastian Klipper

Berichten Sie über diesen Beitrag via Twitter oder Xing. 1 Kommentar

F-Secure Anti-Virus für den Mac

Von Sebastian Klipper gepostet am 5. Juni 2011

F-Secure bietet mittlerweile eine Anti-Virus-Software für den Mac an. Das 12-Monats-Abo kostet 19,95 €. Wie The Hacker News berichtet, funktioniere der Echtzeitschutz wunderbar. Ein manueller Scan jedoch dauere mehrere Stunden und verbrauche bis zu 80 % der Prozessorleistung, bei einer 128 GB SSD Festplatte, die mit 45 GB belegt ist.

Für Vorname, Nachname und E-Mail-Adresse bekommt man bei F-Secure eine 30 Tage Testversion. Auf meinem 13″ MacBook Pro (Mac OS 10.6, 2,7GHz Intel Core i7 mit 4GB RAM) verbraucht der Echtzeitschutz weniger als 1% der Prozessorleistung. Ein Scan der Basisordner verbrauchte bei mir ca. 5 % Prozessorleistung und dauerte für meine 450 GB an Daten ca. 45 Minuten, also durchaus passable Eckdaten.

Spannend: Der Scanner hat sogar was gefunden: Ein Exploit für pdf-Schwachstelle CVE-2010-1297! CVSS-Score: 9.3; Confidentiality Impact: Complete; Integrity Impact: Complete; Availability Impact: Complete. Das kommt dabei heraus, wenn man mal eben schnell ein Antivirenprodukt testet. Interessanterweise stellte sich bei mir trotzdem keine Schockstarre ein, denn:

Bei der betroffenen Datei handelt es sich um launch-action-cmd.pdf und das ist glücklicherweise nur ein PoC-File von Didier Stevens zur entsprechenden Schwachstelle (siehe Blog-Beitrag). Der Download wird übrigens ebenfalls ordnungsgemäß geblockt:

Die betroffene pdf-Datei wurde von F-Secure Anti-Virus allerdings schlicht in den Papierkorb verschoben. Eigentlich kein so guter Ort für ein Exploit, oder?!

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Update: MacDefender heißt jetzt MacShield

Von Sebastian Klipper gepostet am 4. Juni 2011

Die Scareware MacDefender, die zur Zeit die Apple-Gemeinde in Atem hält, taucht nach Angaben des Security-Blogs von Intego jetzt auch unter dem Namen MacShield auf.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

So werden Schwachstellen gefunden

Von Sebastian Klipper gepostet am 4. Juni 2011

Im F-Secure-Blog hat Mikko Hypponen eine echte Schwachstellen-Perle gepostet. Er hatte in einem Tweet folgende Zeile gepostet:

<script>alert('Scanned')</script>

Warum er das getan hat, ist viel weniger spannend, als die Frage, warum der Twitter-Client Tweetdeck dieses Skript ausführte. Einer seiner Follower reagierte daraufhin sofort und Mikko berichtete die Schwachstelle – natürlich auch über Twitter – an die Programmierer, die nur kurze Zeit später mit einem Patch reagierten.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Web-basiertes Mail-Phishing

Von Sebastian Klipper gepostet am 3. Juni 2011

Wie hätte man die aktuellen Google Phishing Angriffe erkennen können? Diese Frage kann anhand einer ganzen Reihe von Indizien beantwortet werden, die Security-Blogger Brian Krebs in seinem Blog zeigt.

Stellt sich immer wieder die Frage, wie man auf sowas reinfallen kann – wer klickt schon auf Koreanische Links? Mit dem iPad, mit dem ich gerade diesen Beitrag tippe, kann man beispielsweise nicht so einfach prüfen, wohin ein Link verweist, ohne ihn anklicken zu müssen. Auch das Erkennen von gültigen Zertifikaten ist im mobilen Safari-Browser nicht ganz so einfach. Aus diesem Grund wird sich einer meiner nächsten Beiträge mit der Sicherheit in Safari auseinandersetzen.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Apple-Antivirus XProtect

Von Sebastian Klipper gepostet am 3. Juni 2011

Die einen nennen es XProtect, Apple nennt es Safe Download List. Unterm Strich ist es ein Apple-Virenscanner, der als Reaktion auf die vermehrten “Infektionen” mit der Scareware MacDefender zu verstehen ist. Das SANS Institute hat sich die Software einmal genauer angeschaut.
OS X wird hauptsächlich über XML-Files gesteuert, die sich gut auswerten lassen. Die zwei wichtigen “plist”-Dateien finden sich hier:

/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/
XProtect.meta.plist
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/
XProtect.plist

Die erste Datei gibt Auskunft über die verwendete XProtect Version, bei der zweiten handelt es sich um das Signatur-File.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Istanbul führt Internetzensur ein

Von Sebastian Klipper gepostet am 29. Mai 2011

Wie Die Presse berichtet, führt die Türkei in Internetcafés eine verpflichtende Internetzensur ein, durch die ca. eine Millionen Webseiten gesperrt werden. Zu den blockierten Seiten gehören zum Beispiel Google, BBC, Facebook, eBay, Amazon und die Seiten des türkischen Menschenrechtsvereins.

Man könne sich bei Wikipedia nicht mehr über Kurden informieren, Bademoden seien verboten, die Automarke Peugeot scheint für die türkische Regierung ein rotes Tuch zu sein und natürlich seien auch Vereine für Schwulen und Lesben gesperrt. Ab dem 22. August sollen die bisher nur für Internetcafés vorgeschriebenen Filter auch für Privathaushalte verbindlich werden.

Willkommen in Europa kann man da nur sagen.

Berichten Sie über diesen Beitrag via Twitter oder Xing. 5 Kommentare

Office:mac 2011 Update lässt sich nicht installieren

Von Sebastian Klipper gepostet am 29. Mai 2011

Nun ist es ja einigermaßen wichtig, regelmäßig Software-Updates einzuspielen. Was aber tun, wenn das Update nicht funktioniert und auch längere Recherche im Internet keine zufriedenstellende Lösung für das Problem liefert? Der Reihe nach: wie sah die Fehlermeldung aus?

Update kann auf diesem Laufwerk nicht installiert werden. Eine Version der Software, die für die Installation dieses Updates erforderlich ist, wurde nicht auf diesem Volume gefunden.

Da steigt man also extra auf den Mac um, und steht wieder vor einer typischen Microsoft Fehlermeldung, die mehr Fragen aufwirft, als sie beantwortet. Bei der Suche im Internet lässt sich dieselbe Fehlermeldung bis Office:mac 2008 zurückverfolgen. Die angebotenen Lösungen sind typische Nicht-Lösungen:

Office deinstallieren, neu installieren, Update einspielen, fertig.

Durch solche Lösung wird der Patient nicht kuriert, sondern gegen einen gesunden ausgetauscht. Eine Neuinstallation macht aber unter Anderem folgendes: sie schreibt einen neuen Ordner Microsoft Office 2011 in den Programmordner. Da keimte in mir der Verdacht, dass das Update tatsächlich deshalb nicht laufen könnte, weil ich den Office-Ordner in einen manuell angelegten Unterordner verschoben hatte. Sollte es wirklich möglich sein, dass die Installationsroutine für das Update nicht in der Lage ist, den Programme-Ordner rekursiv nach einer Office-Installation zu durchsuchen? Genau das war der Fall.

Lösung des Problems:

Programmordner öffnen. Danach den Ordner Microsoft Office 2011 aus dem Unterordner in den Programmordner verschieben. Update ohne Fehlermeldung installieren. Wer zu diesem Zeitpunkt bereits auf die Idee kommt, den Office-Ordner zurück in den Unterordner zu verschieben, stellt bei einem Start von Word mit einem Klick auf Word – Info… fest, dass dort immer noch die alte Version angezeigt wird, also kein Update installiert wurde. Das Update ist also nicht dann beendet, wenn die Installationsroutine sagt, dass es beendet sei, sondern dann, wenn Word das erste Mal gestartet wurde – nicht fragen, einfach machen! Erst danach kann man den Office-Ordner wieder zurück in den gewünschten Unterordner verschieben. Die Version stimmt dann übrigens auch in Excel und PowerPoint.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

“Blaue Armee” beschützt China

Von Sebastian Klipper gepostet am 28. Mai 2011

Am 25. Mai haben chinesische Ministeriumssprecher in einer Pressekonferenz die Existenz einer Hacker-Truppe bestätigt. Die so genannte “Blaue Armee” soll nach Angaben von msnbc.com China vor Angriffen aus dem Internet schützen.

Wie bei allen Waffen und Armeen auf dieser Welt: nur zur eigenen Verteidigung!

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Sind Sie bereit?

Von Sebastian Klipper gepostet am 27. Mai 2011

Social Media, Cloud Computing und Targeted Attacks. Dies sind die Schlagworte des ersten Videos im neuen “Klipper on Security” Video Channel auf Vimeo. Hier sollen Videos zum Thema Informationssicherheit veröffentlicht werden, die Sie auch hier im Blog als eingebettete Objekte ansehen können. Stay tuned…

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Verschlüsselung in iOS 4 gebrochen

Von Sebastian Klipper gepostet am 26. Mai 2011

Nach Angaben der Internetseite thenextweb.com ist es russischen Forensikern gelungen, die Verschlüsselung von iOS 4 Backups zu brechen. Hierzu reicht es jedoch nicht aus, nur das Backup in die Hände zu bekommen, man benötigt für den Angriff zusätzlich die im iPhone gespeicherten Schlüssel.

Für einen erfolgreichen Angriff müssten jemandem also Backup-Device und iPhone in die Hände fallen. Merke: in Zukunft immer nur das iPhone oder das MacBook verlieren, niemals beides gleichzeitig!