Auflistung aller Beiträge aus der Kategorie

Verteidigung

ψ² = Ps(i)²

https mit Safari auf dem iPad

Wie man in einem Standardbrowser erkennt, ob man eine Verschlüsselte Webseite geöffnet hat oder nicht, sollte hinlänglich bekannt sein. Wie aber erkennt man das mit dem iPad Standard-Browser Safari?

1. unverschlüsselte Seiten

Fangen wir mit der einfachsten Übung an: unverschlüsselte Seiten. Wie erkennt man, dass die aufgerufene Webseite kein SSL verwendet? Sie müssen dazu lediglich auf das Adressfeld in der Titelleiste tippen und schon wird neben der Adresse der Webseite auch das verwendete Protokoll (HTTP oder HTTPS) angezeigt:

2. verschlüsselte Seiten

Einfacher wird es, wenn es darum geht eine verschlüsselte Seite zu erkennen. Dies zeigt Safari über dem Adressfeld durch ein kleines Schloss-Symbol an. In diesem Fall werden Schloss und Schrift grau angezeigt. Zeigt man mit dem Finger auf das Adressfeld, so erscheint hier die vollständige URL mit dem verwendeten Protokoll:

3. EV-Zertifikate

EV-Zertifikate kann man genauso erkennen. Einziger Unterschied ist, dass das Schloss und die Schrift nicht in grau sondern in grün dargestellt wird:

Lesen Sie mehr →
ψ² = Ps(i)²

Neue SANS Top 25 Liste

Die SANS hat eine neue Liste der Top 25 Softwarefehler veröffentlicht: Top 25

Die Liste soll dabei helfen, Fehler zu vermeiden, die zu kritischen Schwachstellen führen können, die dann in gezielten Angriffen oder von Malware ausgenutzt werden können. Die Plätze 1 bis 3 gehen an SQL-Injection- und OS-Command-Injection-Schwachstellen und Buffer Overflows. Auf der Webseite steht auch einiges an Zusatzmaterial zu den Top 25 bereit.

Lesen Sie mehr →
ψ² = Ps(i)²

Skype-Vishing

Haben Sie schon Mal von Vishing gehört? Das ist das Kunstwort für Voice Phishing. Man bekommt also keine Mail, mit der man dazu gebracht werden soll, PINs und TANs zu verraten, sondern einen Anruf, der genau das versucht. Das Thema schein zumindest so relevant zu sein, das sich Skype veranlasst fühlt, darüber zu bloggen.

Skype offers privacy control options to keep users protected from unwanted communications. Windows users should just open Tools -> Options -> Privacy and set your preferences for receiving communications, while Mac users can find these settings under Skype -> Preferences -> Privacy. We recommend that you do not authorize calls from people you do not know.

Lesen Sie mehr →
ψ² = Ps(i)²

F-Secure Anti-Virus für den Mac

F-Secure bietet mittlerweile eine Anti-Virus-Software für den Mac an. Das 12-Monats-Abo kostet 19,95 €. Wie The Hacker News berichtet, funktioniere der Echtzeitschutz wunderbar. Ein manueller Scan jedoch dauere mehrere Stunden und verbrauche bis zu 80 % der Prozessorleistung, bei einer 128 GB SSD Festplatte, die mit 45 GB belegt ist.

Für Vorname, Nachname und E-Mail-Adresse bekommt man bei F-Secure eine 30 Tage Testversion. Auf meinem 13″ MacBook Pro (Mac OS 10.6, 2,7GHz Intel Core i7 mit 4GB RAM) verbraucht der Echtzeitschutz weniger als 1% der Prozessorleistung. Ein Scan der Basisordner verbrauchte bei mir ca. 5 % Prozessorleistung und dauerte für meine 450 GB an Daten ca. 45 Minuten, also durchaus passable Eckdaten.

Spannend: Der Scanner hat sogar was gefunden: Ein Exploit für pdf-Schwachstelle CVE-2010-1297! CVSS-Score: 9.3; Confidentiality Impact: Complete; Integrity Impact: Complete; Availability Impact: Complete. Das kommt dabei heraus, wenn man mal eben schnell ein Antivirenprodukt testet. Interessanterweise stellte sich bei mir trotzdem keine Schockstarre ein, denn:

Bei der betroffenen Datei handelt es sich um launch-action-cmd.pdf und das ist glücklicherweise nur ein PoC-File von Didier Stevens zur entsprechenden Schwachstelle (siehe Blog-Beitrag). Der Download wird übrigens ebenfalls ordnungsgemäß geblockt:

Die betroffene pdf-Datei wurde von F-Secure Anti-Virus allerdings schlicht in den Papierkorb verschoben. Eigentlich kein so guter Ort für ein Exploit, oder?!

Lesen Sie mehr →
ψ² = Ps(i)²

Office:mac 2011 Update lässt sich nicht installieren

Nun ist es ja einigermaßen wichtig, regelmäßig Software-Updates einzuspielen. Was aber tun, wenn das Update nicht funktioniert und auch längere Recherche im Internet keine zufriedenstellende Lösung für das Problem liefert? Der Reihe nach: wie sah die Fehlermeldung aus?

Update kann auf diesem Laufwerk nicht installiert werden. Eine Version der Software, die für die Installation dieses Updates erforderlich ist, wurde nicht auf diesem Volume gefunden.

Da steigt man also extra auf den Mac um, und steht wieder vor einer typischen Microsoft Fehlermeldung, die mehr Fragen aufwirft, als sie beantwortet. Bei der Suche im Internet lässt sich dieselbe Fehlermeldung bis Office:mac 2008 zurückverfolgen. Die angebotenen Lösungen sind typische Nicht-Lösungen:

Office deinstallieren, neu installieren, Update einspielen, fertig.

Durch solche Lösung wird der Patient nicht kuriert, sondern gegen einen gesunden ausgetauscht. Eine Neuinstallation macht aber unter Anderem folgendes: sie schreibt einen neuen Ordner Microsoft Office 2011 in den Programmordner. Da keimte in mir der Verdacht, dass das Update tatsächlich deshalb nicht laufen könnte, weil ich den Office-Ordner in einen manuell angelegten Unterordner verschoben hatte. Sollte es wirklich möglich sein, dass die Installationsroutine für das Update nicht in der Lage ist, den Programme-Ordner rekursiv nach einer Office-Installation zu durchsuchen? Genau das war der Fall.

Lösung des Problems:

Programmordner öffnen. Danach den Ordner Microsoft Office 2011 aus dem Unterordner in den Programmordner verschieben. Update ohne Fehlermeldung installieren. Wer zu diesem Zeitpunkt bereits auf die Idee kommt, den Office-Ordner zurück in den Unterordner zu verschieben, stellt bei einem Start von Word mit einem Klick auf Word – Info… fest, dass dort immer noch die alte Version angezeigt wird, also kein Update installiert wurde. Das Update ist also nicht dann beendet, wenn die Installationsroutine sagt, dass es beendet sei, sondern dann, wenn Word das erste Mal gestartet wurde – nicht fragen, einfach machen! Erst danach kann man den Office-Ordner wieder zurück in den gewünschten Unterordner verschieben. Die Version stimmt dann übrigens auch in Excel und PowerPoint.

Lesen Sie mehr →
ψ² = Ps(i)²

Scareware Mac Protector

Nach einem Artikel der ZDNet seien doch mehr User von der Scareware Mac Protector betroffen. Der AppleCare Support werde seit Erscheinen der Software vier bis fünfmal häufiger kontaktiert.

Eine Anleitung zum Entfernen der Software findet man hier.

Lesen Sie mehr →
ψ² = Ps(i)²

Mac-Sicherheit: File Vault + Time Machine

Nach den ersten Wochen mit meinem MacBook steht eines fest: auch bei Apple ist nicht alles Gold was glänzt. Ein aus Sicherheitssicht besonders ärgerliches Problem besteht zum Beispiel darin, dass Time Machine und FileVault in der Standardinstallation nicht zusammenarbeiten. Wer also die Festplatte von seinem MacBook verschlüsseln möchte, kann die Backupsoftware nur zum laufen bringen, wenn er nicht angemeldet ist. Eine Datensicherung erfolgt dann jeweils nur beim Neustart des Systems, vor der Anmeldung. Bis jedoch das gesamte Userverzeichnis gesichert ist, kann einige Zeit vergehen. Alles in Allem ist das ziemlich unzumutbar. Was kann man also tun?

Bei Macworld.com findet sich ein Howto, dass beschreibt, wie es funktionieren soll. Mit zusätzlichen Screenshots findet man auch hier eine Anleitung. Sobald ich die Sache bei mir zum Laufen bekommen habe poste ich hier eine deutsche Anleitung.

Lesen Sie mehr →
ψ² = Ps(i)²

Auch mit aktuellster WordPress-Version nicht sicher

Wer sein Internet-Blog mit der Software WordPress betreibt selbst mit der aktuellen Version 3.1.2 nicht vor Angriffen gefeit. In allen Versionen ab 2.5 enthält WordPress eine Datei-Upload-Schwachstelle, die es einem Angreifer erlaubt, beliebigen PHP-Code auszuführen. Hierzu ist jedoch neben einem Autoren-, Editoren-oder Administratorenkonto auch eine bestimmte Konfiguration des Apache-Servers notwendig.

Die Schwachstelle wurde bereits am 26.4.2011 durch MustLive veröffentlicht. Bei Secunia und  in der OSVDB Sie weitere Informationen. Secunia empfiehlt als Workaround, den Zugriff auf das Verzeichnis wp-content/uploads mittels .htaccess-Datei zu beschränken. Ein Patch für die Schwachstelle ist noch nicht verfügbar.

Lesen Sie mehr →
ψ² = Ps(i)²

Hacks, Exploits, Ortungsdaten und Kidnapping

Eine ereignisreiche Woche liegt hinter uns. Gehackte Websites, trickreiche Exploits, Wirbel um iPhone Ortungsdaten und zu allem Überfluss die Entführung des Sohns von Kaspersky-Gründer Eugene Kaspersky. Der Reihe nach:

Die Woche begann turbulent: Mal wieder tauchten Dokumente auf, in denen geheime Informationen nicht richtig geschwärzt waren. Dieses Mal veröffentlichte das britische Militär unbeabsichtigt brisante Details über Atom-U-Boote (heise Security). Die Textstellen waren in dem veröffentlichten PDF-Dokument zwar geschwärzt, es handelte sich jedoch nicht um schwarze Balken sondern um schwarzen Text auf schwarzem Grund. Kopiert man den Text in die Zwischenablage und in ein anderes Textverarbeitungsprogramm, so kann man ihn natürlich ohne Probleme lesen.

Nachdem in den letzten Monaten einige bekannte Firmen Opfer von gezielten Angriffen wurden, traf es nun den Softwarehersteller Ashampoo. Bei dem Angriff gingen Namen und E-Mail-Adressen von Kunden verloren. Zahlungsinformation wie Kreditkarteninformationen oder Bankdaten seien nicht von dem Angriff betroffen gewesen. Dass über diesen eher geringfügigen Vorfall in der Presse berichtet wurde, zeigt, dass die Awareness für gezielte Angriffe in diesem Jahr deutlich gestiegen ist. Heise online zeigt in seiner Berichterstattung mehrere Angriffsszenarien auf, wie mit den gewonnenen Informationen weitere Angriffe durchgeführt werden können.

Am selben Tag berichtete der Onlinedienst über einen Angriff via Drive-by-Download auf der Webseite der Menschenrechtsorganisation Amnesty. Dabei wurde eine Schwachstelle in Adobe Flash ausgenutzt. Das raffinierte an dem Angriff war, dass der Angriff die Heuristiken von insgesamt 42 Virenscannern austrickste. Die Schatzsoftware wurde zunächst als vorgebliche JavaScript-Datei heruntergeladen. Der Versuch des Browsers die Software auszuführen schlug natürlich fehlt, da es sich nicht um JavaScript handelte. Im Folgenden konnte das Programm jedoch im Cache des Rechners aufgerufen werden, was von den Antivirenprogrammen nicht mehr als verdächtige Aktion bewertet wurde. Diese wäre nur misstrauisch geworden, wenn die Software direkt aus dem Internet heruntergeladen worden wäre. Die Sicherheitsfirma Armorize stellt in ihrem Blog weitere Informationen zur Verfügung.

Für einigen Wirbel sorgte dann die Berichterstattung über die Aufzeichnung von Ortungsdaten im iPhone. Heise hat in einem Artikel eine ganze Reihe von Quellen zusammengetragen, die den Hype in diesem Zusammenhang in einem interessanten Licht erscheinen lassen. Nicht nur Onlinequellen berichteten bereits im September letzten Jahres von der Datensammlung, die betroffene Datenbank wurde bereits in einem Buch erwähnt – alter Wein in neuen Schläuchen.

Zuletzt wurde dann bekannt, dass der Sohn von Kaspersky CEO Eugene Kaspersky gekidnappt worden sei. Auch wenn die Berichte von offizieller Seite nicht bestätigt wurden, berichtete The Register von einer Lösegeldforderung in Höhe von 3 Millionen Euro. Alles in allem also eine wirklich turbulente Woche. Hoffen wir auf ein ruhigeres Osterwochenende und ein gutes Ende der Entführung.

 

Lesen Sie mehr →
ψ² = Ps(i)²

WordPress schließt Sicherheitslücken

Mit der heute veröffentlichten Version 3.3.1 schließt WordPress auch drei Sicherheitslücken. Laut Release-Note wird durch das Update der Schutz vor Cross Site Request Forgery (CSRF) in der Upload-Funktion für Media-Dateien verbessert. Ebenfalls wird ein Denial of Service über die Kommentarfunktion verhindert und eine Cross Site Scripting Schwachstelle beseitigt. Ein schnellstmögliches Update auf Version 3.1.1 wird daher empfohlen.

Lesen Sie mehr →