Aktuelles Archiv 17 (IT-Blog von Thomas Murr)

Sicherheitslücken in Googles Web-Browser “Chrome” (03.09.2008)

Kaum hat Google seinen Web-Browser “Chrome” (im Beta-Stadium) für Windows zum Download angeboten (seit gestern 21:00 Uhr), sind nach wenigen Stunden schon die ersten Sicherheitslücken bekannt geworden. Vom Unterjubeln von Java-Archiven bis zum kompletten Absturz ist alles dabei, obwohl Chrome von Google als besonders sicher angepriesen wird (siehe Exploits von Aviv Raff [Wanna get some free Chrome coffee] und Rishi Naran [Google Chrome Browser Vulnerability]). Es ist deshalb dringend vom Einsatz auf Produktivsystemen abzuraten!

Auch aus Datenschutz-Gründen empfehlen wir, “Chrome” nicht zu verwenden, denn der Browser ist so voreingestellt, dass eine unikate Anwendungsnummer, die Anwender-IP-Adresse und einige Cookies an Google übermittelt werden. Ferner wird die jeweils eingegebene Internetadresse (URL) an Google geschickt (bereits beim Eintippen!). “Chrome” ist somit als Spyware einzustufen (wie viele andere Produkte des Konzerns), weshalb Google einmal mehr seinem Ruf - nämlich eine üble Datenkrake zu sein - gerecht wird!

Ferner ist die Installation des Google-Browsers sehr fragwürdig. Denn, wer erwartet, dass sich “Chrome” unter “Programme” positioniert, wird lange suchen. Es wird ohne Nachfrage (nicht integer) und sehr eigenwillig nach “Dokumente und Einstellungen” installiert. D.h. in ein Verzeichnis, wo normalerweise Daten abgelegt werden (unter Userrechten beschreibbar!), was ein absolut unnötiges Sicherheitsrisiko darstellt, weil ausführbare Dateien so nicht vor Modifikationen durch Schadsoftware geschützt sind. Die eindeutige ID (siehe oben) ist somit für Google ein Erkennungsmerkmal für den einzelnen Anwender, weil “Chrome” für jeden Benutzer separat in dieses Verzeichnis installiert werden muss.
Nebenbei nistet sich dann auch noch heimlich (nicht integer) Google-Update ein und zwar unter:
...\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Google\Update.exe
mit dem Registryeintrag:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\GoogleUpdate.exe
Nach der Deinstallation von “Chrome”, verbleibt Google-Update im System als Hintergrundprozess und muss MANUELL entfernt werden (sprich auch die Deinstallationsroutine ist nicht integer).

Unseres Erachtens ist “Chrome” ein Browser, den die Welt absolut nicht braucht!

<Update> 04.09.2008:
Aufgrund des obigen Beitrags haben wir einige eMails von Pro-Googlern bekommen (teilweise bitterböse und beleidigend), die uns darauf hinweisen, dass “Chrome” im Beta-Stadium und deshalb unfertig sei, weshalb der Browser Fehler enthalten dürfe.

Dazu möchten wir hier Stellung beziehen (die eMails werden nicht beantwortet):
Dass “Chrome” eine Beta-Anwendung ist, haben wir nicht verheimlicht. Fakt ist, dass die Sicherheitslücken bestehen und wir lediglich darauf hingewiesen haben. Es steht jedem frei, trotz dieses Wissens, mit diesem löchrigen BETA-Browser zu surfen und den gläsernen Testkandidaten für Google zu spielen. Anzumerken wäre jedoch, dass es Teil der Geschäftspolitik von Google ist, Anwendungen JAHRELANG im Beta-Stadium zu halten (so ist z.B. der Dienst “Google Mail” schon VIER JAHRE ein Beta-Programm und kein Ende in Sicht), um, bei Aufdeckung von Fehlern, dann einfach behaupten zu können, dass die Anwendung ja noch im Entwicklungsstadium sei. Es ist zu erwarten, dass es mit “Chrome” nicht anders läuft, denn Google lies diesen fahrlässig mit Build 0.2.149.27 auf die Menschheit los - d.h. bis Release 1.0 ist´s noch ein langer Weg - und gefährdet somit vorsätzlich die wenig technisch versierte Öffentlichkeit!

Ungeachtet der aufgedeckten Sicherheitslücken (es kommen bestimmt noch viel mehr dazu!*) bleibt “Chrome” ein “Trojanisches Browserpferd”! Wer´s nicht glaubt, setze bitte das Tool Wireshark ein.

*<update>: siehe Beitrag vom 06.09.2008 zur neu aufgedeckten Sicherheitslücke</update>
*<update>: siehe Beitrag vom 26.09.2008 zur neu aufgedeckten DOS-Schwachstelle</update>
*<update>: siehe Beitrag vom 27.10.2008 zur neu aufgedeckten Spoofing-Schwachstelle</update>

Das Google-Firmenmotto “Don´t be evil” (“Tu nichts Böses”) ist jedenfalls Makulatur, eher würde passen “Google, root of all evil” oder “forces of evil”. Wer sich über die Google-Machenschaften näher informieren will, empfehlen wir das brandneue Buch “Die Google-Falle” (Autor Gerald Reischl), die Google-Studie der TU Graz (PDF-Datei 7,08 MB) und den 88-Minuten-Film “Wer hat Angst vor Google” oder den 28-Minuten-Film “Google - Die Macht einer Suchmaschine” (ironischerweise sind beide Filme hosted auf Google-Servern [subdomain: video.google.de] :-)

Last but not least: Liebe Google-Gemeinde und freie Presse (insbesondere Redakteur Patalong vom “Spiegel” hat sich hervorgetan), setzt bei “Chrome” doch bitte die gleiche Messlatte an, mit der Ihr normalerweise den Internet-Explorer von Microsoft in der Luft zerreisst (nebenbei bemerkt: wir sind keine MS-Fans). Hätte sich jedoch Microsoft solche Dinge erlaubt, wäre der Aufschrei und die Empörung riesig gewesen.
Dem Vergleich zu ausgewachsenen Browsern wie “IE 7/8” oder “Firefox 3” hält “Chrome” jedenfalls nicht stand, sondern ist allenfalls ein nach seiner Mama schreiendes Zombie-Baby (Chrome ruft Google).</update>

Weitere Artikel zu Google:

• Datenschutz, Google Analytics & Co. (08.07.2008)
• Realsatire: Google-Gründer warnen vor Gier nach Nutzerdaten (20.05.2008)
• Google und Krankenakten (22.02.2008)
• Google-Sicherheitslecks häufen sich (26.09.2007)
• Google Desktop-Software (10.02.2006)
• Seite: Google-Hacking

Botnetze vervierfachten sich in den letzten drei Monaten (02.09.2008)

Dies bestätigt eine Statistik der ShadowServer Foundation, die Botnetze, Phishing- und Malware-Angriffe beobachtet. Eine beängstigende Entwicklung.
Wie es zu dieser Explosion von Botnetzen feindlich ferngesteuerter Rechner gekommen ist, gibt es verschiedene Meinungen. Zum einen seien gross angelegte SQL-Injection- bzw. Cross-Site-Scripting (XSS)-Angriffe auf Webseiten verantwortlich. Dabei werden und wurden “ahnungslose” Webseiten so manipuliert, dass Schadcode über Browser-Lücken auf dem Besucher-Betriebssystem zur Ausführung kommt (wir berichteten).
Zum anderen seien die eMail-basierenden Angriffe der letzten Monate der Grund für die wachsende Infektion von Computersystemen mit Malware. In diesem Zusammenhang sind vor allem eMails mit virulenten Anlagen vermeintlicher UPS-Rechnungen, Meldungen über den Kriegsausbruch im Iran, Angelina-Jolie-Videos und Olympia-Bildschirmschoner zu nennen.
Offenbar nutzen Angreifer mittlerweile auch rivalisierende Botnets (die grössten bekannten sind aktuell “Srizbi” und “Rustock”). So wurde beispielsweise beobachtet, dass über das Rustock-Netz eMails verbreitet wurden, die Srizbi-Bots verteilten. Ferner verbünden sich derzeit verschiedene solcher Zombie-Netze und erhöhen dadurch ihre Gefährlichkeit immens.

Computer-Virus auf Raumstation ISS (27.08.2008)

Offenbar machen Computerschädlinge auch vor dem Weltall nicht halt. Laut dem Online-Magazin “Wired” befand sich auf mehreren Notebooks auf der internationalen Raumstation ISS der Wurm W32.Gammima.AG, der sich dort vermutlich über USB-Sticks oder Flash-Speicherkarten verbreitet hat, weil die Raumstation über keinen direkten Internetzugang verfügt. Wie der Schädling allerdings überhaupt erst in die Raumstation kam und welche Nation dafür verantwortlich ist, ist unklar.

Gegenüber “Wired” erklärte die NASA, dass es schon öfter Computerschädlinge auf der ISS gab und die aktuelle Infektion kein Problem darstelle, weil nur Notebooks befallen waren, die für eMail und Ernährungsexperimente verwendet würden. Eine “lässige” Stellungnahme aber wohl wahr, denn “Gammima” späht Login-Daten für Online-Spiele aus und verschickt diese an den Angreifer per HTTP. Aber was, wenn ein Trojaner gezielt eingeschmuggelt werden würde, der ganz andere Ziele verfolgt? Dies zu bewerkstelligen scheint ja - wie der aktuelle Fall zeigt - nicht all zu schwer zu sein...Ob die Haltung der NASA dann noch immer so entspannt wäre?

Weitere Artikel zu aktuellen IT-Disastern:

• Schwere Datenpannen reissen nicht ab (vom 04.07.2008)
• Software-Update verursachte das Abschalten eines AKW (vom 09.06.2008)

Datenmissbrauch in Social Networks nimmt eklatant zu (21.08.2008)

Automatisierte Phishing-Attacken und Datenklau (Profile, Kontaktlisten...) über Sicherheitslecks der Betreiberseiten nehmen aktuell in sozialen Netzwerken deutlich zu. Die Sorglosigkeit der Anwender - intimste und sensible Informationen von sich und anderen preis zu geben - steigt äquivalent dazu. Eine seltsame Entwicklung.

Die (Folge-)Angriffe (ist ein Profil erst einmal “offen”) sind raffiniert, indem das Wissen über die persönlichen Daten, die Vorlieben und die Freunde sowie Bekannte des Ausgespähten ausgenutzt wird (sog. Social Engineering): Beispielsweise eine “nette” eMail eines “Freundes” (natürlich ist die Absenderadresse gefälscht) mit passendem Text (z.B. zum gemeinsamen Hobby) und virulentem Anhang in Form eines Trojaner-infizierten, authentischen Bildes des letzten Ausflugs. Und/oder es wird in die Profilseite des Opfers schädlicher Code eingebunden, um weitere Profilseiten zu cracken.

Was ein so alles im “Mitmach-Web” der Social Networks erwarten kann, siehe unseren Beitrag:

• “Gefahren sozialer Netzwerke”

Patchday bei Microsoft: 11 Lücken geschlossen (12.08.2008)

Sechs als kritisch und fünf als hoch eingestufte Updates bietet Microsoft zur Aktualisierung an. Vier der kritischen Patches betreffen Office und zwei kritische Updates Windows sowie den Internet Explorer. In allen sechs Fällen kann es einem Angreifer gelingen, Remotecode zur Ausführung zu bringen. Die übrigen fünf (als hoch eingestufte) Updates betreffen Windows, Outlook-Express bzw. Windows Mail (Vista) sowie Windows-Messenger und Office. Nähere Infos im MS-Security Bulletin Summary für August 2008.

Da die Sicherheitslücken bereits aktiv ausgenutzt werden bzw. bereits Exploits dazu im Umlauf sind, sollten die Patches zügig abgerufen und installiert werden.

Durchsuchung von Notebooks durch den US-Zoll rechtens (02.08.2008)

Haben Sie als Geschäftsreisender oder Tourist die Absicht die USA zu besuchen, müssen Sie sich unter Umständen gefallen lassen, dass der US-Zoll Ihr Notebook oder andere elektronischen Geräte (Handy, Speicherkarten, MP3-Player etc.) beschlagnahmt, durchsucht und sogar Kopien der Datenträgerinhalte anfertigt. Die Geräte (aber nicht die Kopien der Inhalte) müssen zwar nach einer “angemessenen Frist” wieder zurückgegeben werden, diese kann aber auch Monate dauern. Ferner wurde die Weitergabe an private Unternehmen - um beispielsweise zu versuchen, Passwörter oder eine Verschlüsselung zu knacken - vom US-Heimatschutzministerium erlaubt. Dies berichtet die “Washington Post” in diesem Artikel.

Eine unserer Meinung nach eigenartige, bizarre Auffassung von Datenschutz. Deshalb: Um sensible Geschäftsdaten oder persönliche Dateien vor dem Zugriff durch die Zollbehörden zu schützen, bieten sich folgende zuverlässige Möglichkeiten:

• Lösungsvorschlag 1:
  Da haben wir doch ein wunderbares Einsatzgebiet für einen verschlüsselten versteckten Container (Hidden Volume) oder gar gleich für ein verschlüsseltes verstecktes Betriebssystem (Hidden OS), um die Existenz von verschlüsselten Daten glaubhaft bestreiten zu können (plausible deniability of hidden data).
  Nähere, detaillierte Infos dazu erhalten Sie über unser Tutorial zur Open-Source-Software TrueCrypt.
   
• Lösungsvorschlag 2:
  Sensible Daten befinden sich zum Zeitpunkt der Einreise “zuhause” und werden erst hernach über eine verschlüsselte VPN-Verbindung - sicher vor dem Zugriff durch Dritte - vom heimischen Computer (VPN-Server) in die USA über das Internet “importiert”.
  Nähere, detaillierte Infos dazu erhalten Sie über unser Tutorial zur Erstellung eines einfachen Point-to-Point-
  VPN-Tunnels (von Computer zu Computer) über das Internet mit der Open-Source-Software OpenVPN.
   
• Lösungsvorschlag 3:
  Sensible Daten werden vor Reiseantritt in ein geschütztes Verzeichnis eines Web- oder FTP-Servers im Internet hochgeladen (evtl. zusätzlich als TrueCrypt-Volume verschlüsselt) und anschliessend in den USA wieder heruntergeladen und gfs. entschlüsselt.

Isn´t it great? It is so great! So können Sie die US-(Zoll-)Behörden beruhigt - nach was auch immer - (erfolglos) suchen oder Dumps Ihrer (Alibi-)Daten “ziehen” lassen :-) Mit absoluter Sicherheit werden so oder so ähnlich auch Terroristen arbeiten, weshalb diese Massnahme einmal mehr am Ziel - nämlich darüber den Terrorismus präventiv bekämpfen zu wollen - vorbeischiesst. Aber vielleicht geht´s ja um etwas anderes? :-@

Windows Vista Tuning-Tipps von Microsoft (01.08.2008)

Microsoft bietet diese Tipps wahlweise im PDF- oder XML-Format zum Download an. Unseres Erachtens gibt das Dokument allerdings nichts neues her, was nicht schon vorher bereits für ältere Windows-Versionen gegolten hat.  Wie wir meinen, ist Vista nun einmal ein ressourcenhungriges Betriebssystem, d.h. es benötigt, um einigermassen flüssig zu laufen, eine exquisite Hardwareausstattung. Und kommt dabei in der Performance leider noch immer nicht an den Vorgänger XP heran! Erwarten Sie deshalb nicht zu viel von diesen Tipps. Microsoft geht es wohl eher darum, Vistas angeschlagenes Image aufzuwerten bzw. mit solchen (latenten) Marketing-Methoden wieder ins Rampenlicht zu rücken.

zum Archiv16 (09.06.2008-20.07.2008)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |