Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Hacks, Exploits, Ortungsdaten und Kidnapping

Von Sebastian Klipper gepostet am 22. April 2011

Eine ereignisreiche Woche liegt hinter uns. Gehackte Websites, trickreiche Exploits, Wirbel um iPhone Ortungsdaten und zu allem Überfluss die Entführung des Sohns von Kaspersky-Gründer Eugene Kaspersky. Der Reihe nach:

Die Woche begann turbulent: Mal wieder tauchten Dokumente auf, in denen geheime Informationen nicht richtig geschwärzt waren. Dieses Mal veröffentlichte das britische Militär unbeabsichtigt brisante Details über Atom-U-Boote (heise Security). Die Textstellen waren in dem veröffentlichten PDF-Dokument zwar geschwärzt, es handelte sich jedoch nicht um schwarze Balken sondern um schwarzen Text auf schwarzem Grund. Kopiert man den Text in die Zwischenablage und in ein anderes Textverarbeitungsprogramm, so kann man ihn natürlich ohne Probleme lesen.

Nachdem in den letzten Monaten einige bekannte Firmen Opfer von gezielten Angriffen wurden, traf es nun den Softwarehersteller Ashampoo. Bei dem Angriff gingen Namen und E-Mail-Adressen von Kunden verloren. Zahlungsinformation wie Kreditkarteninformationen oder Bankdaten seien nicht von dem Angriff betroffen gewesen. Dass über diesen eher geringfügigen Vorfall in der Presse berichtet wurde, zeigt, dass die Awareness für gezielte Angriffe in diesem Jahr deutlich gestiegen ist. Heise online zeigt in seiner Berichterstattung mehrere Angriffsszenarien auf, wie mit den gewonnenen Informationen weitere Angriffe durchgeführt werden können.

Am selben Tag berichtete der Onlinedienst über einen Angriff via Drive-by-Download auf der Webseite der Menschenrechtsorganisation Amnesty. Dabei wurde eine Schwachstelle in Adobe Flash ausgenutzt. Das raffinierte an dem Angriff war, dass der Angriff die Heuristiken von insgesamt 42 Virenscannern austrickste. Die Schatzsoftware wurde zunächst als vorgebliche JavaScript-Datei heruntergeladen. Der Versuch des Browsers die Software auszuführen schlug natürlich fehlt, da es sich nicht um JavaScript handelte. Im Folgenden konnte das Programm jedoch im Cache des Rechners aufgerufen werden, was von den Antivirenprogrammen nicht mehr als verdächtige Aktion bewertet wurde. Diese wäre nur misstrauisch geworden, wenn die Software direkt aus dem Internet heruntergeladen worden wäre. Die Sicherheitsfirma Armorize stellt in ihrem Blog weitere Informationen zur Verfügung.

Für einigen Wirbel sorgte dann die Berichterstattung über die Aufzeichnung von Ortungsdaten im iPhone. Heise hat in einem Artikel eine ganze Reihe von Quellen zusammengetragen, die den Hype in diesem Zusammenhang in einem interessanten Licht erscheinen lassen. Nicht nur Onlinequellen berichteten bereits im September letzten Jahres von der Datensammlung, die betroffene Datenbank wurde bereits in einem Buch erwähnt – alter Wein in neuen Schläuchen.

Zuletzt wurde dann bekannt, dass der Sohn von Kaspersky CEO Eugene Kaspersky gekidnappt worden sei. Auch wenn die Berichte von offizieller Seite nicht bestätigt wurden, berichtete The Register von einer Lösegeldforderung in Höhe von 3 Millionen Euro. Alles in allem also eine wirklich turbulente Woche. Hoffen wir auf ein ruhigeres Osterwochenende und ein gutes Ende der Entführung.

 

Berichten Sie über diesen Beitrag via Twitter oder Xing. 2 Kommentare

Buchhaltung und Kundendaten im Hotel-WLAN

Von Sebastian Klipper gepostet am 14. April 2011

790 MB vertraulicher Daten. Nichts weniger fand ich gestern um 23:00 Uhr auf einer Netzwerkfreigabe im WLAN meines Hotels. Die Netzwerkfreigabe mit dem viel versprechenden Namen Public enthielt einen Ordner mit dem noch viel versprechenderen Namen Sicherung. Ich war natürlich sofort neugierig wer hier was gesichert haben könnte. Die in dem Ordner enthaltenen Dateien hatten so viel versprechenden Namen wie Passwörter.doc, Gästeliste.xls oder Telefonliste Stammgäste.xls. Ebenfalls waren in dem Ordner hunderte von Kundenrechnungen enthalten. Neben diesen personenbezogenen Daten waren in einem Ordner auch alle Umsätze des Hotels bis zum April 2010 zurückzuverfolgen. Ein wirklich interessantes Stück Allgemeinbildung.

In der Datei Passwörter.doc waren die Zugangsdaten für Hotelreservierungsportale wie HRS.de und hotel.de enthalten. Das kann ganz praktisch sein, wenn man mit dem Zimmerpreis nicht einverstanden ist: man bietet sich einfach selbst das gewünschte Zimmer im gewünschten Zeitraum zum gewünschten Preis an, um es direkt danach zu buchen. Auch für die Anleitung inklusive Passwörtern für Stornierungen am Kreditkartenlesegerät hätte sicher der ein oder andere Zeitgenosse eine Verwendungsmöglichkeit. Da waren die Zugangsdaten inklusive Passwort zum 1&1 Internethosting fast schon uninteressant.

Immerhin tröstlich: der zu dieser späten Stunde aus dem Bett geklingelte Geschäftsführer veranlasste sofort die Abschaltung des WLAN und die Beseitigung des Problems. Bereits eine halbe Stunde später war das Internet wieder verfügbar – ganz ohne vertrauliche Daten. Was mich an der ganzen Sache jedoch am meisten stört: es gibt Gäste die weniger fürs Zimmer zahlen als ich!

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Vorratsdatenspeicherung hilft nicht weiter

Von Sebastian Klipper gepostet am 10. April 2011

Bei Security-Experten war die Vorratsdatenspeicherung bisher ohnehin umstritten. Nun legte der wissenschaftliche Dienst des Bundestags eine Sachstandanalyse vor, aus der hervorgeht, dass es innerhalb der EU keine Hinweise dafür gäbe, dass eine verdachtsunabhängige Protokollierung von Nutzerspuren den Ermittlern nachweisbar bei ihrer Arbeit hilft.

Wie Heise online berichtet, könne dies hier jedoch auch damit zusammenhängen, dass noch zu wenige statistische Daten vorlägen. Aus den vorhandenen Daten lässt sich so ziemlich alles ablesen: in einigen Ländern ging nach Einführung der Vorratsdatenspeicherung die Aufklärungsquote sogar zurück.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

WordPress schließt Sicherheitslücken

Von Sebastian Klipper gepostet am 5. April 2011

Mit der heute veröffentlichten Version 3.3.1 schließt WordPress auch drei Sicherheitslücken. Laut Release-Note wird durch das Update der Schutz vor Cross Site Request Forgery (CSRF) in der Upload-Funktion für Media-Dateien verbessert. Ebenfalls wird ein Denial of Service über die Kommentarfunktion verhindert und eine Cross Site Scripting Schwachstelle beseitigt. Ein schnellstmögliches Update auf Version 3.1.1 wird daher empfohlen.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Neue Probleme für Comodo

Von Sebastian Klipper gepostet am 31. März 2011

Wie Heise online berichtet, gibt es im Fall der fehlerhaft ausgestellten Zertifikate bei einem Comodo-Registrar weitere Fälle von kompromittierten Zertifikaten (siehe auch: SSL-Zertifikate von Comodo kompromittiert und SSL-Zertifikate von Comodo kompromittiert). Bei weiteren Untersuchungen habe sich herausgestellt, dass zwei weitere Registrierungsstellen kompromittiert wurden. Comodo machte keine Angaben darüber, um welche es sich handele.

Robin Alden, der Chief Technology Officer von Comodo gestand freimütig ein, dass man die Möglichkeit, dass eine solche Registrierungsstelle Opfer eines gezielten Angriffs werden könne, bislang schlicht nicht in Betracht gezogen habe (siehe auch: Immer mehr gezielte Angriffe).

Auch hier wird deutlich, dass die Gefahr von gezielten Angriffen häufig unterschätzt wird. Und dass gilt offensichtlich nicht nur für „normale “ Unternehmen, sondern auch für Unternehmen der Sicherheitsbranche.

Berichten Sie über diesen Beitrag via Twitter oder Xing. 1 Kommentar

Immer mehr gezielte Angriffe

Von Sebastian Klipper gepostet am 29. März 2011

In letzter Zeit häufen sich die Berichte über gezielte Angriffe auf Unternehmen und Behörden. Aktuell hat es Australiens Regierung getroffen. Die Computer der Ministerpräsidentin Julia Gillard und mehrere ihrer Minister seien von dem Angriff betroffen. Während die Angriffe nach Angaben von Spiegel online von der Regierung noch nicht bestätigt seien, berichtet der “Daily Telegraph” bereits, dass die Regierung chinesische Geheimdienste hinter der Attacke vermutet.

Bereits vor wenigen Tagen hatte ein Angriff auf die Rechner der Europäischen Kommission für Schlagzeilen gesorgt (Computersysteme der EU-Kommision Ziel von Angriffen). Auch das französische Finanzministerium (Cyber-Angriff auf französisches Finanzministerium) sowie Rechner der kanadischen Regierung (Cyberangriff auf kanadische Regierung) waren in diesem Jahr bereits von gezielten Angriffen betroffen. Auch hinter dem Angriff auf Comodo-Zertifikate aus der vergangenen Woche soll ein Geheimdienst stecken (Comodo-Zertifikate vom Iran geklaut?). Zumindest in letzterem Fall wurde jetzt ein Bekennerschreiben bekannt, was auf einen Einzeltäter hindeutet. Allerdings rühmt der sich, die Erfahrung von 1000 Hackern zu haben. Vielleicht war’s ja der Abteilungsleiter “Cyber-Attacken Länder A-K” des iranischen Geheimdienstes. Mikko H. Hypponen, Forschungschef bei F-Secure, twittert:

“Die Veröffentlichungen sehen überzeugend aus. Ob sie aber ein 21-jähriger Einzeltäter oder die PR-Abteilung der iranischen Regierung veröffentlicht hat, weiß ich nicht.” (zum Tweet)

Das besondere Problem bei diesen Angriffen steckt darin, dass man sich vor ihnen durch Virenscanner und Firewalls nicht schützen kann. Standardsicherheitsmaßnahmen Versagen an dieser Stelle. Hier ist vielmehr ein umfassendes, risikobasiertes Schwachstellenmanagement gefragt. Der zusätzliche Aufwand hierfür wurde in der Vergangenheit von vielen Unternehmen und Behörden gescheut. Wir werden sehen, ob die Vorfälle dieses Jahres hier ein Umdenken bewirken können.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Comodo-Zertifikate vom Iran geklaut?

Von Sebastian Klipper gepostet am 24. März 2011

Im Fall der kompromittieren Zertifikate beim Internetdienstleister Comodo wird der Verdacht laut, dass hinter den Angriffen die iranische Regierung stecken könnte. Neben der bereits bekannten Domain addons.mozilla.org seien auch die Domain login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com und addons.mozilla.org betroffen. Heise online und Spiegel online berichteten jeweils. Nach bisherigem Kenntnisstand lässt sich der Angriff bis zu einer iranischen IP-Adresse zurückverfolgen.

Da es sich bei den Domains meist um die Anbieter von Mail und VoIP-Diensten handelt, liegt der Verdacht nahe, dass durch den Angriff eine Überwachung des Internetverkehrs ermöglicht werden soll. Dies sei vor allem dadurch möglich, dass die iranische Regierung die Kontrolle über die DNS-Server habe. Wer die Kontrolle über die DNS-Server hat, kann mit den gestohlenen Zertifikaten auch den größten Schaden anrichten. Für die betroffenen Opfer gibt es praktisch keine Möglichkeit den Angriff zu erkennen.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

SSL-Zertifikate von Comodo kompromittiert

Von Sebastian Klipper gepostet am 23. März 2011

Nicht nur bei Atomkraftwerken gibt es den berühmten GAU – auch für die  Herausgeber von Zertifikaten gibt es einen größten anzunehmenden Unfall: Die Bloßstellung von Zertifikaten. Bei dem aktuellen Zwischenfall wurden insgesamt neun Zertifikate von Webseiten kompromittiert. Darunter auch die Webseite addons.mozilla.org, wie aus dem Mozilla-Blog hervorgeht.

Normalerweise kann man in einem solchen Fall ein kompromittiertes Zertifikat widerrufen. Hierzu stellen Public Key Infrastrukturen so genannte Zertifikatssperrlisten (CRL) zur Verfügung. Diese Methode funktioniert allerdings nur in der Theorie – in der Praxis lässt sie sich von einem Angreifer umgehen, indem er die Abfrage dieser Listen einfach unterbindet.

Im konkreten Fall bedeutet das, dass ein Angreifer zum Beispiel eine gefälschte Seite mit Mozilla-Addons ins Netz stellen kann, ohne dass diese vom Browser als solche erkannt würde. Wie Heise online berichtet, gäbe es bereits seit letzter Woche Updates für Google Chrome. Auch wer mit Firefox 4 unterwegs sei, brauche sich keine Sorgen zu machen. Für den Internet Explorer seien die Updates aktuell in Arbeit, während man über die Planungen von Apple und Opera noch nichts wisse.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Fast 400 MB Updates für den Mac

Von Sebastian Klipper gepostet am 22. März 2011

Apple hat heute Mac OS X in der Version 10.6.7 freigegeben. Das Update für SnowLeopard ist insgesamt 475 MB groß und enthält eine nahezu unübersichtliche Anzahl von Verbesserungen und Patches. Wer wie im Web-Tipp 2 empfohlen, die OSVDB als Informationsquelle nutzt, hat heute auch bereits eine entsprechende E-Mail in seiner Inbox gefunden oder kann sich das entsprechende Advisory auch direkt bei Apple ansehen. Eine vollständige Zusammenstellung aller CVE-Codes findet man allerdings nur in der entsprechenden E-Mail. Wer also auf der Suche nach zusätzlichen Informationen ist, der ist bei der OSVDB richtig aufgehoben.

Und die Liste der Schwachstellen, die unter der harmlosen Überschrift APPLE-SA-2011-03-21-1 Mac OS X v10.6.7 and Security Update 2011-001 subsumiert werden, ist wirklich beachtlich. Der geneigte Leser möge mir verzeihen, dass ich nicht alle Schwachstellen mit den entsprechenden Advisories verlinkt habe.

AirPort
CVE-2011-0172

Apache
CVE-2010-1452
CVE-2010-2068

AppleScript
CVE-2011-0173

ATS
CVE-2011-0174
CVE-2011-0175
CVE-2011-0176
CVE-2011-0177

bzip2
CVE-2010-0405

CarbonCore
CVE-2011-0178

ClamAV
CVE-2010-0405
CVE-2010-3434
CVE-2010-4260
CVE-2010-4261
CVE-2010-4479

CoreText
CVE-2011-0179

HFS
CVE-2011-0180

ImageIO
CVE-2011-0170

ImageIO
CVE-2011-0181
CVE-2011-0191
CVE-2011-0192
CVE-2011-0194

Image RAW
CVE-2011-0193

Installer
CVE-2011-0190

Kerberos
CVE-2010-1323
CVE-2010-1324
CVE-2010-4020
CVE-2010-4021

Kernel
CVE-2011-0182

Libinfo
CVE-2011-0183

libxml
CVE-2010-4008
CVE-2010-4494

Mailman
CVE-2010-3089

PHP
CVE-2006-7243
CVE-2010-2950
CVE-2010-3709
CVE-2010-3710
CVE-2010-3870
CVE-2010-4150
CVE-2010-4409
CVE-2010-3436
CVE-2010-3709
CVE-2010-4150

QuickLook
CVE-2011-0184
CVE-2011-1417

QuickTime
CVE-2011-0186
CVE-2010-4009
CVE-2010-3801
CVE-2011-0187
CVE-2010-3802

Ruby
CVE-2011-0188

Samba
CVE-2010-3069

Subversion
CVE-2010-3315

Terminal
CVE-2011-0189

X11
CVE-2010-3814
CVE-2010-3855

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Sicherheit von SecurID-Tokens gefährdet

Von Sebastian Klipper gepostet am 21. März 2011

Nach dem RSA Opfer eines Angriffs geworden ist, bei dem auf vertrauliche Unternehmensdaten gestohlen wurden, sei nun möglicherweise die Sicherheit der SecureID-Produkte gefährdet. Das berichtet Heise-Online in einem Artikel.

Der Vorfall betrifft die Sicherheit von weltweit mehr als 40 Millionen Token, mit denen Anwender Einmal-Passwörter generieren können. Das Problem besteht nun darin, dass ein Angreifer mit den gestohlenen Informationen den Algorithmus nachvollziehen kann, mit dem die Einmal-Passwörter generiert werden. Damit ist die Sicherheit dieser Methode nur noch durch das zusätzlich geforderte Passwort gewährleistet.

Gegenüber einem normalen Account, an dem man sich mit einem Passwort anmeldet, ist die zusätzliche Sicherheit damit verloren. Darüber hinaus kann man davon ausgehen, dass in Umgebungen in denen SecureID-Produkte eingesetzt werden weniger Wert auf die Sicherheit dieses zusätzlichen Passworts gelegt wird.

In einer offiziellen Mitteilung an die US-Börsenaufsicht führt RSA mehrere Empfehlungen auf, mit denen die Sicherheit der SecureID-Produkte erhöht werden kann.