Auflistung aller Beiträge aus der Kategorie

Schwachstellen

ψ² = Ps(i)²

Immer mehr gezielte Angriffe

In letzter Zeit häufen sich die Berichte über gezielte Angriffe auf Unternehmen und Behörden. Aktuell hat es Australiens Regierung getroffen. Die Computer der Ministerpräsidentin Julia Gillard und mehrere ihrer Minister seien von dem Angriff betroffen. Während die Angriffe nach Angaben von Spiegel online von der Regierung noch nicht bestätigt seien, berichtet der “Daily Telegraph” bereits, dass die Regierung chinesische Geheimdienste hinter der Attacke vermutet.

Bereits vor wenigen Tagen hatte ein Angriff auf die Rechner der Europäischen Kommission für Schlagzeilen gesorgt (Computersysteme der EU-Kommision Ziel von Angriffen). Auch das französische Finanzministerium (Cyber-Angriff auf französisches Finanzministerium) sowie Rechner der kanadischen Regierung (Cyberangriff auf kanadische Regierung) waren in diesem Jahr bereits von gezielten Angriffen betroffen. Auch hinter dem Angriff auf Comodo-Zertifikate aus der vergangenen Woche soll ein Geheimdienst stecken (Comodo-Zertifikate vom Iran geklaut?). Zumindest in letzterem Fall wurde jetzt ein Bekennerschreiben bekannt, was auf einen Einzeltäter hindeutet. Allerdings rühmt der sich, die Erfahrung von 1000 Hackern zu haben. Vielleicht war’s ja der Abteilungsleiter “Cyber-Attacken Länder A-K” des iranischen Geheimdienstes. Mikko H. Hypponen, Forschungschef bei F-Secure, twittert:

“Die Veröffentlichungen sehen überzeugend aus. Ob sie aber ein 21-jähriger Einzeltäter oder die PR-Abteilung der iranischen Regierung veröffentlicht hat, weiß ich nicht.” (zum Tweet)

Das besondere Problem bei diesen Angriffen steckt darin, dass man sich vor ihnen durch Virenscanner und Firewalls nicht schützen kann. Standardsicherheitsmaßnahmen Versagen an dieser Stelle. Hier ist vielmehr ein umfassendes, risikobasiertes Schwachstellenmanagement gefragt. Der zusätzliche Aufwand hierfür wurde in der Vergangenheit von vielen Unternehmen und Behörden gescheut. Wir werden sehen, ob die Vorfälle dieses Jahres hier ein Umdenken bewirken können.

Lesen Sie mehr →
ψ² = Ps(i)²

Fast 400 MB Updates für den Mac

Apple hat heute Mac OS X in der Version 10.6.7 freigegeben. Das Update für SnowLeopard ist insgesamt 475 MB groß und enthält eine nahezu unübersichtliche Anzahl von Verbesserungen und Patches. Wer wie im Web-Tipp 2 empfohlen, die OSVDB als Informationsquelle nutzt, hat heute auch bereits eine entsprechende E-Mail in seiner Inbox gefunden oder kann sich das entsprechende Advisory auch direkt bei Apple ansehen. Eine vollständige Zusammenstellung aller CVE-Codes findet man allerdings nur in der entsprechenden E-Mail. Wer also auf der Suche nach zusätzlichen Informationen ist, der ist bei der OSVDB richtig aufgehoben.

Und die Liste der Schwachstellen, die unter der harmlosen Überschrift APPLE-SA-2011-03-21-1 Mac OS X v10.6.7 and Security Update 2011-001 subsumiert werden, ist wirklich beachtlich. Der geneigte Leser möge mir verzeihen, dass ich nicht alle Schwachstellen mit den entsprechenden Advisories verlinkt habe.

AirPort
CVE-2011-0172

Apache
CVE-2010-1452
CVE-2010-2068

AppleScript
CVE-2011-0173

ATS
CVE-2011-0174
CVE-2011-0175
CVE-2011-0176
CVE-2011-0177

bzip2
CVE-2010-0405

CarbonCore
CVE-2011-0178

ClamAV
CVE-2010-0405
CVE-2010-3434
CVE-2010-4260
CVE-2010-4261
CVE-2010-4479

CoreText
CVE-2011-0179

HFS
CVE-2011-0180

ImageIO
CVE-2011-0170

ImageIO
CVE-2011-0181
CVE-2011-0191
CVE-2011-0192
CVE-2011-0194

Image RAW
CVE-2011-0193

Installer
CVE-2011-0190

Kerberos
CVE-2010-1323
CVE-2010-1324
CVE-2010-4020
CVE-2010-4021

Kernel
CVE-2011-0182

Libinfo
CVE-2011-0183

libxml
CVE-2010-4008
CVE-2010-4494

Mailman
CVE-2010-3089

PHP
CVE-2006-7243
CVE-2010-2950
CVE-2010-3709
CVE-2010-3710
CVE-2010-3870
CVE-2010-4150
CVE-2010-4409
CVE-2010-3436
CVE-2010-3709
CVE-2010-4150

QuickLook
CVE-2011-0184
CVE-2011-1417

QuickTime
CVE-2011-0186
CVE-2010-4009
CVE-2010-3801
CVE-2011-0187
CVE-2010-3802

Ruby
CVE-2011-0188

Samba
CVE-2010-3069

Subversion
CVE-2010-3315

Terminal
CVE-2011-0189

X11
CVE-2010-3814
CVE-2010-3855

Lesen Sie mehr →
ψ² = Ps(i)²

Sicherheit von SecurID-Tokens gefährdet

Nach dem RSA Opfer eines Angriffs geworden ist, bei dem auf vertrauliche Unternehmensdaten gestohlen wurden, sei nun möglicherweise die Sicherheit der SecureID-Produkte gefährdet. Das berichtet Heise-Online in einem Artikel.

Der Vorfall betrifft die Sicherheit von weltweit mehr als 40 Millionen Token, mit denen Anwender Einmal-Passwörter generieren können. Das Problem besteht nun darin, dass ein Angreifer mit den gestohlenen Informationen den Algorithmus nachvollziehen kann, mit dem die Einmal-Passwörter generiert werden. Damit ist die Sicherheit dieser Methode nur noch durch das zusätzlich geforderte Passwort gewährleistet.

Gegenüber einem normalen Account, an dem man sich mit einem Passwort anmeldet, ist die zusätzliche Sicherheit damit verloren. Darüber hinaus kann man davon ausgehen, dass in Umgebungen in denen SecureID-Produkte eingesetzt werden weniger Wert auf die Sicherheit dieses zusätzlichen Passworts gelegt wird.

In einer offiziellen Mitteilung an die US-Börsenaufsicht führt RSA mehrere Empfehlungen auf, mit denen die Sicherheit der SecureID-Produkte erhöht werden kann.

Lesen Sie mehr →
ψ² = Ps(i)²

Web-Tipp 2: OSVDB.org

Nach dem ich in Web-Tipp 1 die Webseite CVEdetails.com vorgestellt habe, auf der man sich über Schwachstellen informieren kann,  befasst sich auch der zweite Web-Tipp mit einer Seite über Schwachstellen. Die Open Source Vulnerability Database (OSVDB) bedient sich ebenso wie CVEdetails.com zahlreicher zusätzlicher Quellen, und generiert daraus ein eigenes Webangebot.

Auch hier werden die Daten grafisch aufgearbeitet, und veranschaulichen so unter anderem, welche Arten von Angriffen im Moment besonders häufig vorkommen:

Als angemeldeter User hat man nicht nur die Möglichkeit auf erweiterte Daten zuzugreifen und sich in einer Watchlist über die Schwachstellen von bis zu zehn Anwendungen informieren zu lassen. Informationen zu neuen  Schwachstellen lassen sich komfortabel über einen RSS-Feed abonnieren. Unterstützt man das Projekt durch eine Spende, bekommt man darüber hinaus die Möglichkeit, mehr als zehn Anwendungen bzw. Hersteller zu verfolgten.

Man kann darüber hinaus die Datenbank selbst um weitere Informationen ergänzen und so die Qualität des Datenbestandes verbessern. OSVDB.org bietet darüber hinaus eine umfangreiche Herstellersuche.

Lesen Sie mehr →
ψ² = Ps(i)²

Bayerisches LKA setzt “Landes”-Trojaner ein

Wie Spiegel-Online berichtet setzte das bayerische LKA in einem Fall von “normaler Kriminalität” ein Spionageprogramm ein. Am Münchner Airport verschwanden die Kontrolleure mit dem Laptop eines Reisenden im Nebenraum. Seit 2008 führt die Polizei ein Ermittlungsverfahren wegen “banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln”. Im 30-Sekunden-Takt schickte die Software Screenshots an die Ermittler. Die Ausspähung fiel nach Angaben von Spiegel-Online erst auf, als der Anwalt des Beschuldigten Monate später in der Ermittlungsakte Fotos vom Bildschirm seines Mandanten fand.

Lustig wird der Artikel dann am Schluss: Eine Anklage gibt es nämlich bis heute nicht. Die Staatsanwaltschaft möchte möglicherweise vermeiden in einer öffentlichen Verhandlung mehr über ihren verdeckten Cyber-Helfer preisgeben zu müssen, als ihnen lieb ist.

“Doch wo ist der Spion heute? Drei Monate durfte er laut Genehmigung des Amtsgerichts auf dem Laptop lauschen. Danach wurde der Computer bei einer Durchsuchung einkassiert und wanderte in die Asservatenkammer. Wenn das Programm der eigenen Leistungsbeschreibung gefolgt ist, hat es sich dort inzwischen selbst zerstört.”

Hören Sie in Ihrem Kopf jetzt auch die selbe Melodie wie ich?

Lesen Sie mehr →
ψ² = Ps(i)²

GenuGate Firewall durchbrochen

Offenbar ist es Thomas Werth gelungen mit Hilfe seines Tools RATTE selbst die EAL 4+ zertifizierte Firewall GenuGate zu durchbrechen.

“Zur Durchführung des Tests wurde das Programm “Remote Administration Toolkit Tommy Edition” kurz RATTE entwickelt.  Dieses Tool nutzt diverse nicht-fortschrittliche Techniken zur Umgehung der vorhandenen Sicherheitsmaßnahmen. Mittels dieser Techniken konnte RATTE in den Tests lokale Firewalls (Windows, Outpost und Sophos Firewall wurden getestet), IDS/IPS (Snort), AV (Avira,Sophos,Fortinet,Antivir), Netzwerk-Firewalls (GenuGate, Fortigate) und Proxys mit Authentifiziernug (Squid) umgehen.”

Sie finden ein erläuterndes Whitepaper und ein Video auf der Webseite von Marko Rogge.

Lesen Sie mehr →
ψ² = Ps(i)²

Nutzen Sie einen Virenscanner?

Das BSI hat die Bürger befragt. BSI-Bürgerumfrage zur Internetsicherheit: Internetnutzer in Deutschland schützen sich unzureichend vor bekannten Risiken.

“So ist beispielsweise der Einsatz von Virenscannern im Vergleich zur BSI-Bürgerumfrage von 2008 rückläufig. Nur noch 87 Prozent der Bürgerinnen und Bürger haben einen Virenscanner implementiert, während es 2008 noch 92 Prozent waren. Noch nicht in ausreichendem Maße verbreitet ist auch die Nutzung einer Personal Firewall, die lediglich von 60 Prozent der Befragten eingesetzt wird.”

Mal angenommen ich hätte an der Umfrage teilgenommen, dann würde ich mit meinem Ubuntu 10.10 also zumindest beim Virenscanner in einem der roten Tortenstücke landen, weil ich aus gutem Grund keinen Virenscanner habe.

Selbst mit Windows – Virenscanner hinken ihrer Zeit hinterher, wie man auf den Seiten der Shadowserver Foundation gut nachvollziehen kann. Weit über hunderttausend Samples werden Monat für Monat von keinem der getesteten Virenscanner entdeckt:

Die interessantere Frage wäre gewesen:

Wissen Sie, dass ein funktionierender und aktueller Virenscanner nicht vor Viren schützt?

Lesen Sie mehr →
ψ² = Ps(i)²

Schlechte Nachrichten für iPhone Besitzer

Ein verlorenes oder geklautes iPhone bedeutet nach wie vor ein ernsthaftes Sicherheitsproblem – auch bei der aktuellen iPhone-Generation. Das berichtet Heise Online unter Berufung auf die Arbeit von Jens Heider und Matthias Boll, denen es gelungen ist, trotz Passcode-Sperre unter anderem abgespeicherte Passwörter aus einem iPhone auszulesen.

Durch einen modifizierten Jailbreak verschafften sie sich Zugang zum Dateisystem eines iPhone 4 mit iOS 4.2.1 und installierten dort einen SSH-Server, der beim Booten automatisch gestartet wird. Da selbst für aktuelle iOS-Versionen Jailbreaks verfügbar sind, die bereits während des Boot-Prozesses aktiv werden, schützt ein Passcode vor derartigen Eingriffen nicht. Und wenn man sich auf dem einmal aktiven System anmelden kann, hilft auch die Verschlüsselung des iPhones nicht mehr – denn das System entschlüsselt transparent alle Daten, die nicht zusätzlich gesichert wurden.

Auch wenn die abgespeicherten Passwörter in der sogenannten Keychain verschlüsselt abgelegt sind, kann transparent darauf zugegriffen werden und iOS entschlüsselt die Daten. Die Verschlüsselung muss also gar nicht erst geknackt werden. Die beiden Forscher haben sich einfach die Passwörter mit Hilfe einer App anzeigen lassen. Tolle Verschlüsselung.

Lesen Sie mehr →
ψ² = Ps(i)²

Sicherheits-Updates für WordPress

Mit WordPress 3.0.5 sind einige wichtige Sicherheitslücken geschlossen worden. So gab es in vorherigen Versionen für Contributors und Autoren mehrere Möglichkeiten, unberechtigt die Zugriffsrechte auszuweiten. Auch wurde ein Fehler behoben, der es Autoren ermöglichte unbefugt Teile von Postings zu sehen. Ein Update ist in jedem Fall nötig, wenn Sie den Usern mit Contributor- und Autorenrechten nicht vertrauen. Weitere Informationen finden Sie hier.

Lesen Sie mehr →
ψ² = Ps(i)²

Cybercrime Schwarzmarkt

Ich hatte hier im Blog schon einige Male von Preisen für “Cybercrime Dienstleistungen” berichtet. Der Sicherheitsspezialist Panda Security hat jetzt einen Report zum Cybercrime Schwarzmarkt veröffentlicht, der das Thema umfassend beleuchtet. Hier ein kleiner Auszug, der meine Preisliste aktualisiert:

Kreditkarten Daten:
Je nach Qualität: 2-90$

Kreditkarten-Rohlinge:
Ab 190$ zzgl. Kreditkarten Daten

Kopierstationen für Kreditkarten:
200-1000$

Falsche Geldautomaten (komplett):
35.000$

Bankdaten:
80-700$ je nach Kontostand

Zugang zu Online Shops und Bezahldiensten:
Ab 10$

Design und Hosting von falschen Online Shops:
80-1500$

Der Report enthält zahlreiche Hintergrundinfos und reichlich Beispiele – sollte man gelesen haben.

Lesen Sie mehr →