Aktuelles Archiv 16 (IT-Blog von Thomas Murr)

OpenVPN-Tutorial (20.07.2008)

Ein neuer Beitrag auf unserer Website: Es geht um die Einrichtung eines Point-to-Point-VPN-Tunnels mittels der OpenSource-Software OpenVPN: siehe Tutorial by TM

Datenschutz, Google Analytics & Co. (08.07.2008)

Der beliebte Google-Dienst “Analytics” steht Website-Betreibern kostenlos zur Verfügung und kann das Klickverhalten der Website-Besucher (welche Seiten, Dauer des Besuchs etc.) speichern, um dieses analysieren zu können. Dazu wird entsprechender JavaScript-Code auf jeder Seite eingefügt, der dann die Surfer-Daten (u.a. die IP-Adresse) an Google übermittelt. - Auch das Online-Marketing Unternehmen “DoubleClick” (natürlich gehört es zum Google-Konzern) speichert Surferverhalten, allerdings über Cookies.

Soweit so gut. Das, was aufstösst ist folgendes:
Während der einzelne Webseitenbetreiber nur seine eigenen Besucher analysieren kann, besitzt Google die Nutzerdaten aller Analytics-beteiligter Webseiten, die der jeweilige Surfer besucht hat, d.h. es kann ein detailliertes User-Profil erstellt werden und darüber hinaus können weitere Auswertungen erfolgen. Auch liegen die Nutzerdaten nun in den USA oder auf irgendeinem Server in irgendeinem Land.

Wir fragen uns: Vorher nimmt sich Google das Recht, diese Daten, ohne Einwilligung des einzelnen Surfers, ausser Landes zu bringen und nach ausländischen Datenschutzrichtlinien (sofern überhaupt vorhanden) zu speichern? Vorher nehmen sich die vielen Webseiten-Betreiber das Recht, ohne Einwilligung der Surfer bzw. ohne Hinweis auf die Nutzung dieses Dienstes, ein solch fragwürdiges Mittel einzusetzen? Mit Datenschutz hat dies jedenfalls nichts zu tun. Fehlen hierfür rechtliche Grundlagen?

Analytics oder ähnliche datenschutzwidrige Dienste nutzen sehr viele Websites, darunter auch namhafte Firmen, Hochschulen, Parteien, viele Medienseiten und sogar öffentliche Stellen. Sie können dies kontrollieren und die Übermittlung Ihrer Nutzerdaten unterbinden, indem Sie beispielsweise den kostenlosen Open-Source-Web-Browser Firefox mit dem Gratis-AddOn “NoScript” (siehe nähere Details) verwenden. “NoScript” zeigt Ihnen, wer alles auf Ihre Daten zugreifen möchte, wenn Sie eine Seite besuchen. Mit restriktiven “NoScript”-Einstellungen lässt sich eine Übermittlung solcher Daten an Dritte einfach und dauerhaft vermeiden (ähnlich der Zoneneinstellungen im Internet-Explorer). Packen Sie es Ihrer Privatsphäre willen an!

MS-Juli-Patchday: 9 als hoch eingestufte Sicherheitslücken geschlossen (08.07.2008)

Am heutigen Patchday wurden von Microsoft vier als hoch eingestufte Sicherheits-Bulletins veröffentlicht, die insgesamt 9 Sicherheitslücken schliessen. Erstens werden vier Lecks im MS-SQL-Server und zweitens ein Problem bzgl. des Windows-Explorer behoben, die es einem Angreifer jeweils ermöglichen, die vollständige Kontrolle über das System zu übernehmen. Drittens zwei Bugs in Windows DNS (Domain Name System), die Spoofing und Umleitung bestimmten Netzwerkverkehrs ermöglichen. Und viertens zwei Sicherheitsanfälligkeiten in Outlook Web Access (OWA) für MS-Exchange-Server, die es einem Angreifer erlauben, Zugriff auf die Sitzungsdaten eines individuellen OWA-Clients zu erhalten, um damit jede Aktion durchzuführen, zu der dieser Benutzer berechtigt wäre. Die betroffenen Windows-Versionen sollten zügig aktualisiert werden. Nach Installation, steht ein Neustart (Reboot) des Systems an.

Schwere Datenpannen reissen nicht ab (04.07.2008)

41.000 Datensätze von Umfrageteilnehmern bei TNS Infratest/Emnid im Netz: Diese schwerwiegende Datenpanne meldet heute der Chaos Computer Club (CCC) in seinem Fachblatt “Die Datenschleuder”. Durch einen peinlichen Anfängerfehler in der Programmierung seitens TNS Infratest war es jedem Teilnehmer möglich, 41.000 Profile (Umfragedaten) anderer Befragten mit sensibelsten Informationen (z.B. Geb.datum, eMail-Adressen, Monatseinkommen, Ausbildung, Krankenversicherung, Kontoverbindungen, Alter der Kinder u.s.w.) einzusehen und zu manipulieren. Dazu musste nur die Kundennummer in der Adresszeile des Browsers geändert werden, d.h. die Daten waren vollkommen ungeschützt im Netz zugänglich.

Ein weiterer Fall in der Kette von Dilettantismus. Erst vor kurzem war es zu einer verheerenden Datenpanne bei den Meldeämtern gekommen. Es waren die Daten von Bürgern aus rd. 200 Städten und Gemeinden frei im Internet “erhältlich”; und das über ein ganzes Jahr hinweg. Ferner ist die offensichtlich unkontrollierte Schnüffelaktion der Telekom zu erwähnen. Oder die 44.000 Studentendaten der Uni in Magdeburg, die im Mai dieses Jahres frei im Netz zugänglich waren. Von den jüngsten Datenpannen der Bundeswehr ganz zu schweigen. Noch einer mehr? Kein Problem: Die Darmstädter Polizei setzte im Januar letzten Jahres Einsatzprotokolle mit persönlichen Daten von 46 Bürgern ins Internet (fast ein Jahr frei zugänglich), die eigentlich nur im polizeiinternen Netz verfügbar sein sollten. Damit nicht genug. Gleich im darauffolgenden Dezember verschickt (wieder) die Darmstädter Polizei versehentlich sensible Informationen über Schutzmassnahmen für Objekte und wichtige Persönlichkeiten an einen Presseverteiler. Solches Fehlverhalten wollen die Polizei-Verantwortlichen zukünftig mit einem zusätzlichen Arbeitsschritt nach dem Motto “Sind Sie sicher, dass Sie ins Internet wollen?” verhindern. Wouw, Realsatire könnte nicht besser sein :->   Leider ist die Lage zu ernst!

Wir meinen, dem Datenschutz muss mehr Beachtung geschenkt werden! Realität ist jedoch, dass von staatlichen Organisationen und privaten Firmen “wild drauf los” gespeichert wird aber die sensiblen Datensammlungen nicht den gebotenen Schutz erfahren, weil der technische Aufwand und die Ausbildung von fachkundigem Personal an diesen Stellen nicht “populär” ist. Damit ist kein Geld zu verdienen, sondern es kostet...Deshalb müssen dafür strenge Auflagen her und die blinde, sinnlose Datensammelwut (z.B. Vorratsdatenspeicherung) muss unbedingt gestoppt werden (siehe auch Forderungen des CCC)!

Fazit:
Traue niemand und keinem. Die wenigstens Organisationen (öffentlich wie privat) gehen mit Daten vertrauensvoll* um und sorgen für entsprechende Schutzmechanismen, die den Zugriff durch Dritte zuverlässig verhindern.

*Dass z.B. Adressen verkauft werden, können Sie einfach testen, indem Sie verschiedenen Organisationen eigens dafür eingerichtetete eMail-Adressen “anvertrauen”, die Sie ausschliesslich zu diesem Zweck verwenden. Und/oder Sie bauen in Ihren Namen bestimmte Schreibfehler pro Organisation ein. Sie werden überrascht sein, wie schnell Sie von dritter Seite Post an jene eMail-Adresse oder den Namen mit besagten Fehlern bekommen. Nun können Sie wenigstens nachvollziehen wer Sie verschaukelt hat.

Bayerischer Landestrojaner ist losgelassen: O’zapft is! (03.07.2008)

Vom 01. August dieses Jahres an dürfen in Bayern von Ermittlern heimliche Online-Durchsuchungen durchgeführt werden. Die im Kreuzfeuer der Kritik stehende Änderung des Polizeiaufgabengesetzes wurde heute vom bayerischen Landtag gem. der Empfehlung des Innenausschusses beschlossen. Entgegen der Vorgaben des Bundesverfassungsgerichts darf die bayerische Polizei, im Rahmen einer Onlinerazzia, u.a. auch Daten auf der Festplatte löschen oder gar verändern, was Manipulationen von Beweisen Tür und Tor öffnet (eine Gerichtsverwertbarkeit ist darüber hinaus in Frage gestellt). Ferner dürfen die Fahnder zur Installation von Spionage- bzw. Spähprogrammen auf Zielrechnern in die Wohnung der Betroffenen eindringen und diese auch gleich durchsuchen. Auch dies wurde vom Bundesverfassungsgericht im Urteil vom 27.02.2008 eindeutig untersagt!

Der dreiste Gesetzbeschluss, der weit über die heftig umstrittene Novelle des BKA-Gesetzes hinausgeht, provoziert somit weitere Verfassungsbeschwerden, um den Gesetzgeber erneut (auch NRW wurde bereits gestoppt) in die grundrechtsmässigen Schranken zu verweisen. Man muss den verantwortlichen Politikern mangelnde Ernsthaftigkeit oder gar Rechtsbruch vorwerfen und sollte sie für die vorsätzliche Missachtung des Verfassungsgerichtsurteils zur Rechenschaft ziehen sowie ihnen die Kosten der anstehenden Verfahren in Rechnung stellen!

Siehe auch:

• Hintergründe zum “Bundestrojaner”
• chronologische Artikelübersicht zum Thema heimliche Online-Durchsuchung
• Politikerzitate zum Thema

Verfallsdatum für Webbrowser gefordert (01.07.2008)

Dies fordern Forscher der Eidgenössischen Technischen Hochschule (ETH) Zürich aufgrund der Studie “Understanding the Web browser” (entstand in Zusammenarbeit mit Google und IBM ISS), da derzeit rd. 637 Millionen Webnutzer (dies entspricht immerhin 40,9 Prozent aller Surfer) mit veralteten, und somit auch unsicheren, Browserversionen surfen. Dabei sind die Schwachstellen von ungepatchten Browser-Plugins noch nicht einmal berücksichtigt. Das Sicherheitsbewusstsein der Internetnutzer ist offensichtlich noch nicht so weit gereift, dass entsprechend umsichtig gehandelt wird. Ein Webbrowser mit Verfallsdatum würde den Anwender dagegen zur Aktualisierung zwingen.

Sicherheitslücken in MS Word und MS WordPad (24.06.2008)

Es handelt sich um zwei bisher nicht gepatchte Schwachstellen in Microsoft Word sowie in der Anwendung WordPad, die es vermutlich ermöglichen, beliebigen (Schad-)Code auf dem angegriffenen Windows-System auszuführen. Laut dem Sicherheitsexperten Ivan Sanchez sind bereits mehrere Exploits in diesem Zusammenhang aufgetaucht, die die Schwachstellen aktuell ausnützen. D.h. es ist grösste Vorsicht beim Öffnen nicht erwarteter oder unbekannter (.doc-)Dateien geboten, die man beispielsweise passiv per eMail, aktiv per Download oder anderem Wege erhält. Wir werden berichten, sobald die Lücken seitens Microsoft gepatcht wurden.

Erpressung mit Verschlüsselungs-Trojaner (17.06.2008)

Es funktioniert so: Ist der Trojaner einmal auf das System gelangt, verschlüsselt er auf diesem infizierten System Dateien mit bestimmten Erweiterungen (z.B. doc, txt, pdf, xls, jpg, png...beim Trojaner GPCode).
Dazu werden sichere Verschlüsselungsalgorithmen verwendet (z.B. RC4 beim Trojaner GPCode), die derzeit nicht geknackt werden können. Im Falle des Algorithmus RC4 benötigt man nach Meinung von Spezialisten 15 Millionen moderne PC, um den Schlüssel innerhalb eines Jahres zu knacken.
Der betroffene Anwender wird anschliessend aufgefordert, sich mit dem Erpresser in Verbindung zu setzen, um gegen Bezahlung eine Entschlüsselungssoftware zu erwerben. Je nach Wichtigkeit der verlorenen Daten könnte dies für den einen oder anderen die letzte Option sein.

Es gibt jedoch noch eine andere Möglichkeit :-)
Die meisten Verschlüsselungstrojaner (so auch GPCode) verschlüsseln eine vorhandene Datei in eine neue Datei und löschen anschliessend das Original. Unter Windows wird aber lediglich die Referenz im verwendeten Dateisystem gelöscht,  d.h. es wird freier Speicherplatz vorgegaukelt, während die scheinbar gelöschte Datei immer noch vorhanden ist und sich rekonstruieren lässt. Voraussetzung für eine schnelle Wiederherstellung ist allerdings, dass nicht all zu viele Änderungen an der Festplatte vorgenommen wurden (Speichern und Überschreiben, Installationen u.s.w.). Ansonsten wird die Datenrettung - wenn überhaupt noch möglich - eine zeitraubende Puzzlearbeit eines Spezialisten.

Trojaner “Zlob” verbiegt Router-DNS (14.06.2008)

Die Trojaner-Zlob-Familie gibt es schon seit dem Jahr 2006, die aktuelle Variante des Schädlings kann jetzt sogar über einen infizierten Windows-PC (auch eine Variante für Mac OS X ist unterwegs) die DNS (Domain Name System)- und DHCP (Dynamic Host Configuration Protocol)-Einstellungen handelsüblicher Router manipulieren, indem er eine Liste der Standard-Usernamen und -Passwörter beim Router-Login verwendet. Das Verbiegen der DNS- und DHCP-Einstellungen versetzt den Angreifer in die Lage, den Internetverkehr, welcher über den Router läuft, auf eigene Server umzuleiten, d.h. die DNS-Anfragen ALLER Rechner, die an diesen Router angeschlossen sind (also auch Mac- oder Linux-Rechner), werden an diese Server geschickt.
“Zlob” tarnt sich als vermeintliches Videocodec, der auf diversen Webseiten zum Download angeboten wird.

Vorbeugung und Schutz:
Die Änderung des Router-Standardpasswortes und (wenn möglich) auch des Standardusernamens (meist admin oder root). Ferner muss ein Virenscanner mit aktualisierten Virensignaturen und Echtzeit-Wächterfunktion auf den verbundenen Rechnern installiert sein. Und wie immer sollte Hirn 2.0 eingeschaltet sein, d.h. es ist der gesunde Menschenverstand einzusetzen, indem man sich beim Download fehlender Videocodecs, der einem z.B. vom jeweils installierten Medienplayer beim fehlerhaften Abspielen eines Filmes (der nicht aus absolut vertrauenswürdiger Quelle stammt) angeboten wird, in Zurückhaltung übt. Lieber ein Filmchen weniger anschauen aber dafür hat man kein Trojanisches Pferd im Stall. Sehen Sie anlässlich des Themas auch unsere Seiten zur Sicherheit.

Entfernung:
Ein Reset der Firmware des Routers in den Auslieferungs-Zustand und Neukonfiguration (mit geändertem Passwort!). Zuvor sollten jedoch alle mit dem Router verbundenen PC getrennt und auf Schädlinge untersucht werden, um ein erneutes Umbiegen der Routereinstellungen im voraus auszuschliessen.

Somit hat eine neue Ära von Angriffsszenarien begonnen, denn die Manipulation eines Routers ist für einen Normal-User (ohne speziellere Kenntnisse) deutlich schwieriger aufzudecken als die eines PC. Darüber hinaus sind die weiteren sich bietenden Möglichkeiten verheerend. Durch Routing-Rules, Portforwarding und DMZ ist der Angriff jedes einzelnen Rechners (unabhängig vom verwendeten Betriebssystem) im verbundenen Netzwerk von aussen möglich. Über die Manipulation der Router-DNS-Einstellungen - wie im oben beschriebenen Fall von “Zlob” - auch das Abfangen, Umleiten und Manipulieren von Datenpaketen der mit dem Router verbundenen Rechner.

MS-Patchday: 11 Sicherheitslücken geschlossen (11.06.2008)

Von den sieben Juni-Microsoft-Security-Bulletins, die insgesamt elf Lücken beschreiben, werden drei von Microsoft als kritisch eingestuft. Dabei handelt es sich um Sicherheitsanfälligkeiten im Bluetooth-Stack sowie in DirectX und im Internet Explorer, die jeweils eine Remotecodeausführung ermöglichen. Die weiteren als hoch eingestuften Lecks betreffen den Internet Name Service (WINS) - hier ist die Manipulation von Berechtigungen möglich - sowie Implentierungen von Active Directory und Bugs im PGM-Protokoll (Pragmatic General Multicast) - hier sind Denial-of-Service möglich. Das letzte Bulletin wurde von den Redmondern mit mittel eingestuft und betrifft eine Lücke in der Microsoft Sprach-API in Vista, durch die es zu einer Remotecodeausführung kommen kann.
Da die Lücken sicherlich bald ausgenützt werden, indem entsprechende, in Webseiten plazierte, Exploits auftauchen und Schaden anrichten, sollten die betroffene Systeme zügig aktualisiert werden. Nach Installation der Updates, ist ein Neustart fällig (Achtung Atomkraftwerksbetreiber!)

Trojanerbaukasten mit Support für jedermann (10.06.2008)

Solche Baukästen für Malware gibt es schon länger (z.B. das Toolkit MPack, wir berichteten) - neu an dem
249 US-$ (Gold-Edition) teurem Werkzeug “Turkojan v4.0” ist der 6-monatige Support, der dem Kunden u.a. beliebig oft eine Ersatzversion des Toolkits bietet, sobald ein Virenscanner einen von ihm gebauten Trojaner erkennt. “Turkojan” kann u.a. Passwörter ausspähen und Tastatureingaben mitlesen und wartet darüber hinaus mit Features wie Videostreaming über eine infizierte Webcam, Audiostreaming über ein gekapertes Mikrofon oder Realtime-Screen-Viewing (um das infizierte System in Echtzeit zu beobachten) auf. Nähere Details erfährt man über einen Blogeintrag des Antivirensoftwareherstellers Panda, in welchem auch ein Screenshot bzgl. der Onlinevermarktung veröffentlicht wurde.

Somit ist das Geschäftsmodell “Malware as a Service” endgültig etabliert, d.h. es gibt zweifelhafte Firmen und Organisationen (sog. Malware-Branche), die offiziell Software entwickeln und vertreiben, um andere Menschen auszuspionieren bzw. deren Daten zu stehlen. Somit bedarf es heute keiner besonderen Fachkenntnisse mehr, um den Hacker zu spielen - bei Problemen mit dem erworbenen Trojaner-Toolkit wendet sich der Angreifer einfach an den Hersteller-Support. So nach dem Motto: “Bin in einen Rechner eingedrungen aber das Abhören des Opfers klappt nicht recht; können Sie mir da mal kurz helfen....” Eine bedenkliche Entwicklung!

Der Clou: Wir als IT-Sicherheitsfirmen dürfen unter Strafandrohung nicht einmal Hackertools besitzen geschweige denn einsetzen, wie der Gesetzgeber im August 2007 beschloss (sog. “Hackerparagraph”). D.h. es stehen uns keine legalen Werkzeuge mehr zur Verfügung (dies kommt einer Kriminalisierung der IT-Branche gleich), um o.g. Entwicklung entgegenwirken zu können. Der Käufer (und spätere Angreifer) wird sich wohl kaum um das gesetzliche Verbot des Einsatzes von Malware kümmern. Einmal mehr ein “durchdachtes Gesetz” - toll gemacht :-@
Gleichzeitig ist die Regierung offensichtlich nicht in der Lage die Malware-Branche “auszuheben” bzw. zu stoppen (will aber selbst den Bundestrojaner “kontrolliert” unter das Volk bringen), wenn solche Hacker-Toolkits vor unserer Nase mittlerweile schon offiziell verkauft und darüber hinaus auch noch supportet werden können.

Software-Update verursachte das Abschalten eines AKW (09.06.2008)

Wer kennt´s nicht...ein Update eingefahren und der Rechner muss neu gebootet werden. Dass dies aber gleich ein Atomkraftwerk lahmlegen kann? Doch, so geschehen im US-Bundesstaat Georgia im März dieses Jahres. Wie die “Washington Post” jüngst berichtete, hat sich das Atomkraftwerk “Hatch” automatisch abgeschaltet, nachdem zuvor ein Software-Update auf einem Rechner im Verwaltungsnetz eingespielt wurde und dieser neu startete. Der betroffene Rechner versuchte anschliessend sich mit einem Server des primären Kontrollsytems abzugleichen (zu synchronisieren) und dabei erfolgte ein Reset dessen Datenspeicher. Daraufhin interpretierte das Sicherheitssystem den Verlust der Daten als ein Abfall der Wassermenge im Kühlsystem und fuhr Block 2 des Atomkraftwerks herunter.

Anmerkung:
Wenn dieses mal auch glücklicherweise nichts passiert ist, ist es doch ein fataler Fehler, die Prozessleittechnik mit einem Verwaltungsnetz zu verknüpfen (nicht nur in Atomkraftwerken!). Diese sollte unbedingt isoliert sein, ansonsten ist das System von aussen angreifbar, wie man an diesem Vorfall deutlich sehen kann. Erlangt ein Angreifer (z.B. über das Internet) Zugriff auf das Verwaltungsnetz, hält er alle Fäden in der Hand...bei einem Atomkraftwerk wären die Ausmasse wohl unvorstellbar...
Leider beängstigend, wie dilettantisch selbst in sensibelsten Bereichen mit dem Thema Computersicherheit umgegangen wird, wie auch die Fälle der installierten Spionageprogramme auf Rechnern des Bundeskanzleramt und der gehackten BKA-Suchseite untermauern.

zum Archiv15 (06.02.2008-02.06.2008)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |