Mit der heute veröffentlichten Version 3.3.1 schließt WordPress auch drei Sicherheitslücken. Laut Release-Note wird durch das Update der Schutz vor Cross Site Request Forgery (CSRF) in der Upload-Funktion für Media-Dateien verbessert. Ebenfalls wird ein Denial of Service über die Kommentarfunktion verhindert und eine Cross Site Scripting Schwachstelle beseitigt. Ein schnellstmögliches Update auf Version 3.1.1 wird daher empfohlen.
Wie Heise online berichtet, gibt es im Fall der fehlerhaft ausgestellten Zertifikate bei einem Comodo-Registrar weitere Fälle von kompromittierten Zertifikaten (siehe auch: SSL-Zertifikate von Comodo kompromittiert und SSL-Zertifikate von Comodo kompromittiert). Bei weiteren Untersuchungen habe sich herausgestellt, dass zwei weitere Registrierungsstellen kompromittiert wurden. Comodo machte keine Angaben darüber, um welche es sich handele.
Robin Alden, der Chief Technology Officer von Comodo gestand freimütig ein, dass man die Möglichkeit, dass eine solche Registrierungsstelle Opfer eines gezielten Angriffs werden könne, bislang schlicht nicht in Betracht gezogen habe (siehe auch: Immer mehr gezielte Angriffe).
Auch hier wird deutlich, dass die Gefahr von gezielten Angriffen häufig unterschätzt wird. Und dass gilt offensichtlich nicht nur für „normale “ Unternehmen, sondern auch für Unternehmen der Sicherheitsbranche.
In letzter Zeit häufen sich die Berichte über gezielte Angriffe auf Unternehmen und Behörden. Aktuell hat es Australiens Regierung getroffen. Die Computer der Ministerpräsidentin Julia Gillard und mehrere ihrer Minister seien von dem Angriff betroffen. Während die Angriffe nach Angaben von Spiegel online von der Regierung noch nicht bestätigt seien, berichtet der “Daily Telegraph” bereits, dass die Regierung chinesische Geheimdienste hinter der Attacke vermutet.
Bereits vor wenigen Tagen hatte ein Angriff auf die Rechner der Europäischen Kommission für Schlagzeilen gesorgt (Computersysteme der EU-Kommision Ziel von Angriffen). Auch das französische Finanzministerium (Cyber-Angriff auf französisches Finanzministerium) sowie Rechner der kanadischen Regierung (Cyberangriff auf kanadische Regierung) waren in diesem Jahr bereits von gezielten Angriffen betroffen. Auch hinter dem Angriff auf Comodo-Zertifikate aus der vergangenen Woche soll ein Geheimdienst stecken (Comodo-Zertifikate vom Iran geklaut?). Zumindest in letzterem Fall wurde jetzt ein Bekennerschreiben bekannt, was auf einen Einzeltäter hindeutet. Allerdings rühmt der sich, die Erfahrung von 1000 Hackern zu haben. Vielleicht war’s ja der Abteilungsleiter “Cyber-Attacken Länder A-K” des iranischen Geheimdienstes. Mikko H. Hypponen, Forschungschef bei F-Secure, twittert:
“Die Veröffentlichungen sehen überzeugend aus. Ob sie aber ein 21-jähriger Einzeltäter oder die PR-Abteilung der iranischen Regierung veröffentlicht hat, weiß ich nicht.” (zum Tweet)
Das besondere Problem bei diesen Angriffen steckt darin, dass man sich vor ihnen durch Virenscanner und Firewalls nicht schützen kann. Standardsicherheitsmaßnahmen Versagen an dieser Stelle. Hier ist vielmehr ein umfassendes, risikobasiertes Schwachstellenmanagement gefragt. Der zusätzliche Aufwand hierfür wurde in der Vergangenheit von vielen Unternehmen und Behörden gescheut. Wir werden sehen, ob die Vorfälle dieses Jahres hier ein Umdenken bewirken können.
Im Fall der kompromittieren Zertifikate beim Internetdienstleister Comodo wird der Verdacht laut, dass hinter den Angriffen die iranische Regierung stecken könnte. Neben der bereits bekannten Domain addons.mozilla.org seien auch die Domain login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com und addons.mozilla.org betroffen. Heise online und Spiegel online berichteten jeweils. Nach bisherigem Kenntnisstand lässt sich der Angriff bis zu einer iranischen IP-Adresse zurückverfolgen.
Da es sich bei den Domains meist um die Anbieter von Mail und VoIP-Diensten handelt, liegt der Verdacht nahe, dass durch den Angriff eine Überwachung des Internetverkehrs ermöglicht werden soll. Dies sei vor allem dadurch möglich, dass die iranische Regierung die Kontrolle über die DNS-Server habe. Wer die Kontrolle über die DNS-Server hat, kann mit den gestohlenen Zertifikaten auch den größten Schaden anrichten. Für die betroffenen Opfer gibt es praktisch keine Möglichkeit den Angriff zu erkennen.
Nicht nur bei Atomkraftwerken gibt es den berühmten GAU – auch für die Herausgeber von Zertifikaten gibt es einen größten anzunehmenden Unfall: Die Bloßstellung von Zertifikaten. Bei dem aktuellen Zwischenfall wurden insgesamt neun Zertifikate von Webseiten kompromittiert. Darunter auch die Webseite addons.mozilla.org, wie aus dem Mozilla-Blog hervorgeht.
Normalerweise kann man in einem solchen Fall ein kompromittiertes Zertifikat widerrufen. Hierzu stellen Public Key Infrastrukturen so genannte Zertifikatssperrlisten (CRL) zur Verfügung. Diese Methode funktioniert allerdings nur in der Theorie – in der Praxis lässt sie sich von einem Angreifer umgehen, indem er die Abfrage dieser Listen einfach unterbindet.
Im konkreten Fall bedeutet das, dass ein Angreifer zum Beispiel eine gefälschte Seite mit Mozilla-Addons ins Netz stellen kann, ohne dass diese vom Browser als solche erkannt würde. Wie Heise online berichtet, gäbe es bereits seit letzter Woche Updates für Google Chrome. Auch wer mit Firefox 4 unterwegs sei, brauche sich keine Sorgen zu machen. Für den Internet Explorer seien die Updates aktuell in Arbeit, während man über die Planungen von Apple und Opera noch nichts wisse.
Apple hat heute Mac OS X in der Version 10.6.7 freigegeben. Das Update für SnowLeopard ist insgesamt 475 MB groß und enthält eine nahezu unübersichtliche Anzahl von Verbesserungen und Patches. Wer wie im Web-Tipp 2 empfohlen, die OSVDB als Informationsquelle nutzt, hat heute auch bereits eine entsprechende E-Mail in seiner Inbox gefunden oder kann sich das entsprechende Advisory auch direkt bei Apple ansehen. Eine vollständige Zusammenstellung aller CVE-Codes findet man allerdings nur in der entsprechenden E-Mail. Wer also auf der Suche nach zusätzlichen Informationen ist, der ist bei der OSVDB richtig aufgehoben.
Und die Liste der Schwachstellen, die unter der harmlosen Überschrift APPLE-SA-2011-03-21-1 Mac OS X v10.6.7 and Security Update 2011-001 subsumiert werden, ist wirklich beachtlich. Der geneigte Leser möge mir verzeihen, dass ich nicht alle Schwachstellen mit den entsprechenden Advisories verlinkt habe.
AirPort
CVE-2011-0172
Apache
CVE-2010-1452
CVE-2010-2068
AppleScript
CVE-2011-0173
ATS
CVE-2011-0174
CVE-2011-0175
CVE-2011-0176
CVE-2011-0177
bzip2
CVE-2010-0405
CarbonCore
CVE-2011-0178
ClamAV
CVE-2010-0405
CVE-2010-3434
CVE-2010-4260
CVE-2010-4261
CVE-2010-4479
CoreText
CVE-2011-0179
HFS
CVE-2011-0180
ImageIO
CVE-2011-0170
ImageIO
CVE-2011-0181
CVE-2011-0191
CVE-2011-0192
CVE-2011-0194
Image RAW
CVE-2011-0193
Installer
CVE-2011-0190
Kerberos
CVE-2010-1323
CVE-2010-1324
CVE-2010-4020
CVE-2010-4021
Kernel
CVE-2011-0182
Libinfo
CVE-2011-0183
libxml
CVE-2010-4008
CVE-2010-4494
Mailman
CVE-2010-3089
PHP
CVE-2006-7243
CVE-2010-2950
CVE-2010-3709
CVE-2010-3710
CVE-2010-3870
CVE-2010-4150
CVE-2010-4409
CVE-2010-3436
CVE-2010-3709
CVE-2010-4150
QuickLook
CVE-2011-0184
CVE-2011-1417
QuickTime
CVE-2011-0186
CVE-2010-4009
CVE-2010-3801
CVE-2011-0187
CVE-2010-3802
Ruby
CVE-2011-0188
Samba
CVE-2010-3069
Subversion
CVE-2010-3315
Terminal
CVE-2011-0189
X11
CVE-2010-3814
CVE-2010-3855
Nach dem RSA Opfer eines Angriffs geworden ist, bei dem auf vertrauliche Unternehmensdaten gestohlen wurden, sei nun möglicherweise die Sicherheit der SecureID-Produkte gefährdet. Das berichtet Heise-Online in einem Artikel.
Der Vorfall betrifft die Sicherheit von weltweit mehr als 40 Millionen Token, mit denen Anwender Einmal-Passwörter generieren können. Das Problem besteht nun darin, dass ein Angreifer mit den gestohlenen Informationen den Algorithmus nachvollziehen kann, mit dem die Einmal-Passwörter generiert werden. Damit ist die Sicherheit dieser Methode nur noch durch das zusätzlich geforderte Passwort gewährleistet.
Gegenüber einem normalen Account, an dem man sich mit einem Passwort anmeldet, ist die zusätzliche Sicherheit damit verloren. Darüber hinaus kann man davon ausgehen, dass in Umgebungen in denen SecureID-Produkte eingesetzt werden weniger Wert auf die Sicherheit dieses zusätzlichen Passworts gelegt wird.
In einer offiziellen Mitteilung an die US-Börsenaufsicht führt RSA mehrere Empfehlungen auf, mit denen die Sicherheit der SecureID-Produkte erhöht werden kann.
Nach dem ich in Web-Tipp 1 die Webseite CVEdetails.com vorgestellt habe, auf der man sich über Schwachstellen informieren kann, befasst sich auch der zweite Web-Tipp mit einer Seite über Schwachstellen. Die Open Source Vulnerability Database (OSVDB) bedient sich ebenso wie CVEdetails.com zahlreicher zusätzlicher Quellen, und generiert daraus ein eigenes Webangebot.
Auch hier werden die Daten grafisch aufgearbeitet, und veranschaulichen so unter anderem, welche Arten von Angriffen im Moment besonders häufig vorkommen:
Als angemeldeter User hat man nicht nur die Möglichkeit auf erweiterte Daten zuzugreifen und sich in einer Watchlist über die Schwachstellen von bis zu zehn Anwendungen informieren zu lassen. Informationen zu neuen Schwachstellen lassen sich komfortabel über einen RSS-Feed abonnieren. Unterstützt man das Projekt durch eine Spende, bekommt man darüber hinaus die Möglichkeit, mehr als zehn Anwendungen bzw. Hersteller zu verfolgten.
Man kann darüber hinaus die Datenbank selbst um weitere Informationen ergänzen und so die Qualität des Datenbestandes verbessern. OSVDB.org bietet darüber hinaus eine umfangreiche Herstellersuche.
Nachdem es bisher keinen CVSS-Rechner speziell für den Mac gibt, habe ich mir die Mühe gemacht und eine kleine Anwendung programmiert, mit der man CVSS-Scores berechnen kann. Auch wenn ich für zukünftige Versionen mehr geplant habe: bisher kann das Programm nur rechnen. Als Nächstes ist geplant eine Import- und Exportfunktion für CVSS-Vektoren zu integrieren und man soll über CVE-Codes die Möglichkeit haben, den Base-Score zu einer bestimmten Schwachstelle zu importieren. Sie können die Software hier downloaden.
Mit diesem Titel überschreibt das c’t special Mac & i ein Interview mit CCC-Sprecher Felix von Leitner in seiner aktuellen Ausgabe. Im Magazin selbst ist das Interview gekürzt, auf der Webseite kann man es in voller Länge lesen.
“Sicherheit im Sinne von “Versuche, mein System anzugreifen, sind zum Scheitern verurteilt” hat Apple nicht.”
Das Bild das Felix Leitner zeichnet ist übel und bereits im Dezember hatte Malware-Experte Andreas Marx im Mac & i-Interview gewarnt: “Der Mac ist angreifbar“.
Wer sich jetzt wundert, warum ich mich plötzlich für Apple interessiere: Ich bin seit wenigen Tagen Besitzer eines MacBook Pro. Es wird hier also in nächster Zeit auch das ein oder andere Posting rund um den Mac geben…
