Die Woche ist zwar MWC in Barcelona. Aber es gibt einige News zu den Themen, die uns die vergangenen 14 Tage befassten. Wie viel Kohle hat Lenovo mit Superfish gescheffelt? Was ist mit der Privdog-Adware? Was gibt es bezüglich der D-Link-Router-Lücke an Neuem? Dies und mehr sind Themen dieses Blog-Posts.
Anzeige
Lenovos Superfish-Einnahmen: Harry, bestell schon mal den Wagen ab
Ich hatte im Beitrag Lenovo Geräte mit Superfish-Adware verseucht darüber berichtet, dass der chinesische AdwareComputerhersteller Lenovo im 4. Quartal 2014 eine Adware namens Superfish auf seinen Rechnern vorinstalliert hat. Das hat mächtig Staub aufgewirbelt und Lenovo wegen Superfish eine Sammelklage beschert.
Warum begibt sich ein Hersteller auf eine solche Kamikaze-Tour? Die Idee dahinter: Die Adware blendet dem Benutzer Werbung beim Surfen im Web ein und Lenovo bekommt von jedem Gerät, auf dem Superfish werkelt, Werbeprovisionen. Im Artikel Superfish-Internals – versagen Defender und Removal Tools? hatte ich etwas seziert, wie viel so was einbringen könnte. Jetzt hat heise.de diesen Artikel publiziert. Laut Forbes hat der Superfish-Deal 250.000 US $ eingebracht. Der Schaden durch Vertrauensverlust der Kunden sowie die Strafzahlungen, falls die US-Sammelklage erfolgreich ist, dürfte ein Vielfaches größer sein.
Neues von Privdog
In den letzten 14 Tagen hatte ich auch über eine Software Privdog berichtet (siehe Neues SSL-Problem: Comodo liefert Adware Privdog aus). Das Modul wurde auch von Comodo verwendet, weil es angeblich die Privatsphäre der Nutzer besser schützt, indem Werbung gegen "vertrauenswürdige Werbung" ausgetauscht wird. Im Blog-Beitrag Adware Privdog mit Leak: Bei uns sind die Daten sicher … hatte im über die Implikationen dieser Privdog-Komponenten berichtet. Jetzt erreichte mich eine Stellungnahme von AdTrustMedia.com, der Firma, die hinter privdog steht. Ich stelle die Stellungnahme einfach zur Info hier ein.
I wanted to reach out regarding your recent post on Adtrustmedia's PrivDog application. http://www.borncity.com/blog/2015/02/27/adware-privdog-mit-leak-bei-uns-sind-die-daten-sicher/
The content of your article was based on research posted by Hanno Bock. This research initially flagged PrivDog as adware, which is inaccurate. Mr. Bock has since corrected his posting as of Monday February 23rd based on a more accurate understanding of PrivDog. You may see his update here https://blog.hboeck.de/archives/865-Software-Privdog-worse-than-Superfish.html
Based on the update to the research we would like to request you reconsider references to PrivDog as "adware" on your website and URLs which is misleading to your readers.
Please feel free to reach out to discuss further.
Auf der angegebenen Webseite von Hanno Bock lässt sich nachlesen, dass der Gründer von PrivDog der CEO von Comodo ist. Und in einem Nachtrag gibt Hanno an, dass die TLS-Sicherheitslücke durch die von der PrivDog-Webseite herunterladbare Version PrivDog 3.0.96.0 verursacht wird. Commodo hat aber wohl eine ältere Version von PrivDog ausgeliefert. Von PrivDog gibt es zudem ein Advisory, nachdem das Problem durch ein Update behoben werden soll. Das Sicherheitsrisikio wird von PrivDog als "LOW" eingestuft.
Kommen wir zum Punkt: Ist PrivDog nun Adware oder nicht? Streng genommen ist das Teil keine Adware, weil es ja nicht automatisch selbst Werbung neu einblendet. Da es aber bestehende Werbeanzeigen, die vorgeblich schädlich sind, durch Anzeigen eigener Werbenetzwerke ersetzt (so wie ich es verstanden habe), dürften die meisten Nutzer das Teil so schnell als möglich los werden wollen. Und ich erinnere in diesem Zusammenhang an den Chip-Artikel PrivDog entfernen: So deinstallieren Sie die Adware. Zitat:
Anzeige
Die nervige Adware PrivDog entfernen Sie nur mit einer ganzen Reihe von Tricks – auf herkömmlichem Wege lässt sich die Toolbar nicht loswerden.
Mehr muss ich wohl nicht sagen. Mir ist es egal, welchen Namen das Kind bekommt. Aber ihr habt die Info und ich habe meiner journalistischen Pflicht Genüge getan.
Wie steht's um die D-Link Router-Lücke?
Vor ein paar Tagen hatte ich im Beitrag Routerlücken bei Trendnet und D-Link über eine Sicherheitslücke in diversen D-Link-Routern berichtet. Durch die Lücke kann der Router über das Webinterface von Angreifern übernommen werden. Wie heise.de hier berichtet, arbeitet D-Link an Patches hat ein Firmware-Update für ein Modell bereits bereitgestellt. D-Link-Router-Nutzern wird empfohlen, die Fernwartung bis zur Bereitstellung des Updates zu deaktivieren.
MongoDB: Zero-Day-Exploit für phpMoAdmin-Lücke
Kürzlich hatte ich über eine Fehlkonfiguration der Datenbank MongoDB im Artikel MongoDB: Fehlkonfigurierung offeriert Millionen Kundendaten berichtet. Dort waren es unzureichend gesetzte Administrator-Einstellungen, die die Datenbanken für Zugriffe öffneten. Es gibt aber in MongoDB die phpMoAdmin-Lücke, für die jetzt ein Zero-Day-Exploit bekannt wurde. Weitere Details finden betroffene Leser hier bei heise.de.
Schulungsmaterial für Netzwerk-Forensik
Administratoren von Linux-Systemen sind darauf angewiesen, die Sicherheit ihrer Netzwerke zu überwachen und bei Sicherheitslücken oder Angriffen Gegenmaßnahmen zu ergreifen (Stichwort Shellshock-Lücke). Von der europäischen Sicherheitsbehörde ENISA wurde jetzt ergänzendes Schulungsmaterial für forensische Netzwerkanalysen aufgelegt. Über diesen Link erhält man Zugriff auf das betreffende Material, welches kostenlos erhältlich ist.
Freak-Lücke: Stellungnahme von Tenable Network Security
Heute hatte ich im Beitrag FREAK SSL/TLS-Lücke in Apple- und Google-Produkten über eine vor wenigen Tagen entdeckte Sicherheitslücke berichtet. Die Frage ist, wie gravierend das Ganze ist. Eben erreichte mich eine Stellungnahme von Gavin Millard von Tenable Network Security, die ich einfach mal hier ergänzend einstelle.
Ist die Sicherheitslücke Freak ein Grund zur Besorgnis? Ich denke nicht, schließlich ist sie viel weniger gravierend als HeartBleed. Allerdings sollten alle Betroffenen sie beheben. Ähnlich wie zuvor bei Poodle ist ein Angriff auf Freak schwer zu bewerkstelligen, da zahlreiche Schritte nötig sind, um diese Schwachstelle auszunutzen.
Warum macht es trotzdem Sinn, sich trotzdem damit zu befassen? Angreifer müssen einen 512-Bit-Chiffrierschlüssel knacken und darüber hinaus noch über Mittel und Wege verfügen, eine aktuelle Sitzung nach dem „Man in the Middle"-Prinzip unterbrechen zu können. Erst dann können sie Daten stehlen oder schädlichen Code einschleusen. Das ist mit den verfügbaren Tools leichter als anzunehmen. Dazu sind nur wenige Stunden und laut einer Studie der Sicherheitsexpertin Nadia Heninger EC2-Zeit im Wert von $104 nötig. Zusätzlich sollte in Betracht gezogen werden, wie einfach es ist, „Man in the Middle"-Attacken über Schwachstellen der Router in Heimnetzwerken zu starten. Mit dieser Methode können Angreifer den Schlüssel knacken, den Traffic unzähliger User auf schadhafte Systeme umleiten und schädlichen Code einschleusen. Die angegriffenen Anwender bemerken davon nichts, schließlich erscheint die Verbindung als rechtmäßig SSL/TLS-zertifiziert.
Wie bei ähnlich gearteten Schwachstellen ist es wichtig, alle betroffenen Systeme ausfindig zu machen und Updates zu installieren, sobald diese verfügbar sind. Nur so können Anwender das Risiko eines Angriffs senken. Mittlerweile gibt es ein Patch für OpenSSL, die Updates für Clients sollten in wenigen Tagen folgen.
2015
