Sicherheitsinfos zum Freitag (8. September 2017)

Bevor es ins Wochenende geht oder falls es am Samstag/Sonntag regnet, noch ein paar Sicherheitsinformationen, die man gegebenenfalls gesehen – und falls betroffen, gelesen haben sollte.


Anzeige

Dragonfly: Angriffe auf Energiekonzerne

Die Tage gab es eine Warnung des Sicherheitsanbieters Symantec. Diesem Blog-Beitrag nach stehen Energiekonzerne in den USA, Westeuropa und der Türkei im Visier einer seit mehreren Jahren aktiven Hackergruppe namens Dragonfly. Laut Symantec ist es der Hackergruppe gelungen, in die internen Netzwerke von 20 Unternehmen in den USA, sechs in der Türkei sowie eines Branchenzulieferers in der Schweiz einzudringen. Für Deutschland und die Niederlande gab es bisher eine vorläufige Entwarnung – bisher konnte man kein Eindringen in solche Systeme feststellen. Wer sich für das Thema interessiert, findet bei heise.de eine deutschsprachige Zusammenfassung.

Von James Scott, Senior Fellow beim US Cybersecurity Think Tank ICIT, habe ich gerade (wollte eigentlich schon die Senden-Taste zum Veröffentlichen des Beitrags drücken) noch den Link auf den aktuellen Artikel Dragonfly is Nothing New: An Objective Assessment of this New APT per E-Mail rein bekommen. Ich frage mich, wie die an meine Kontaktadresse kommen. Gut, meine E-Mail-Adresse ist bekannt – aber ich betreibe nur einen kleinen, unbedeutenden Blog. Offenbar werde ich aber schon bei den Amis in Sicherheitskreisen herumgereicht.

Sicherheit: Hotels stellen Smartphones in Zimmern

Ein Smartphone, gestellt vom Hotel deiner Wahl, welches Du im Hotelzimmer zum Surfen, E-Mailen, planen des Urlaubs, Shoppen etc. verwenden kannst. Das ist das Ziel des Startups Handy aus Hongkong. Und das Unternehmen hat bereits weltweit eine Reihe Hotels mit den Geräten ausgestattet. Golem.de nennt die Hotelketten Melia, Novotel, Sheraton, die IHG-Gruppe, Mercure Hotels und Intercontinental sowie die Crowne-Plaza-Hotels.

Auch in deutschen Hotels soll das Angebot bald starten. Leider hat das Ganze einige Pferdefüße, und es kann nur vor dem Angebot gewarnt werden. Wird das Gerät beschädigt, zahlt der Hotelgast 150 Euro Reparaturkosten (die Preise für Neugeräte liegen laut Golem bei 100 bis 130 Euro). Und bei Verlust werden sogar 300 Euro fällig. Aber das ist noch nicht alles. Golem schreibt in diesem Artikel, dass die erste Generation der Geräte aus 'Sicherheitssicht eine Katastrophe' sei.

Verwaiste Domains als Sicherheitsrisiko

Hanno Böck weist in diesem Artikel auf ein Problem hin, welches Betreiber von Webseiten haben. Man bindet etwas von Drittseiten ein und dann wird der Inhalt mit der eigenen Webseite ausgeliefert. Was passiert aber, wenn dieses Angebot beendet wird und die Domain, von der die Inhalte kommen, vom Besitzer aufgegeben wird? Im besten Fall bricht nur der Link, im schlimmsten Fall greift sich ein Cyber-Krimineller die Domain und spielt über einen eigenen Server Schadcode aus.

Böck greift einige Fälle auf – so bindet Flickr Code für einen Yahoo-Statistik-Dienst in seine Webseiten ein, der bereits 2012 eingestellt wurde. Böck war in der Lage, eine verwaiste Azure-Domain zu übernehmen und stellte fest, dass dort von 20 anderen Webseiten Informationen abgerufen wurden. Sein Versuch, die Betreiber der Webseiten auf das Problem hinzuweisen, verlief im Sande. Erst als er per Code fette Warnungen bereitstellte, die dann auf den betreffenden Webseiten angezeigt wurden, und Nutzer Alarm schlugen, bewegten sich die Site-Betreiber. Die Geschichte lässt sich in diesem Golem-Beitrag nachlesen.

Man könnte reagieren – mein WordFence-Erlebnis

An dieser Stelle fällt ein kleines Puzzleteil ins Bild. Ich selbst verwende in meinem Blog ein Plug-In von WordFence, um diesen abzusichern. Dieses fungiert als Firewall, weist fremde Login-Versuche ab und scannt meinen Blog auch auf Fremdseiten verweisende URLs, die 'bösen Code' enthalten könnten. Dazu arbeitet WordFence im Plug-in mit Black-Lists. Weiterhin werden URLs gemeldet, sobald sich diese nicht mehr richtig auflösen lassen.

Vor ein paar Tagen bekam ich hunderte an kritischen WordFence-Alarmen der Art:

Page contains a suspected malware URL: Webseiten für Senioren

mit dem Hinweis, dass ein Link http: // rcm-de[dot]amazon[.]de/e/cm auf eine Malware-Seite zeige. Versuchte man den Link in einem Browser einzugeben, ließ sich die Webseite nicht abrufen. Eine Inspektion des Quellcodes meiner betreffenden Webseiten ergab, dass es sich um Amazon.de-Werbelinks handelte. Da ich Amazon.de nicht unbedingt für eine Malware-Seite halte, bin ich dem Thema nachgegangen. Der angemeckerte Link befand sich in IFRAME-Tags der Art:


Anzeige

<iframe style="width: 120px; height: 240px;" src="http: / / rcm-de[dot]amazon[dot]de/e/cm?t=borncity-21&amp;o=3&amp;p=8&amp;l=as1 …>

Ich habe den Teil-Link fett hervorgehoben. Offenbar wertete der Filter des WordFence-Plugins nur den ersten Teil der URL bis zum Fragezeichen aus und schnitt den Rest ab. Der Versuch, diese Teil-URL aufzurufen, ging dann in die Hose. Ich habe den Fehler an den WordFence-Support gemeldet, worauf die Rückmeldung kam, dass man die obige Teil-URL aus der Black-List entferne.

Als Betreiber einer deutschen CMS-Software habe ich zudem das Problem, dass ich von WordFence häufiger Fehlalarme bekomme, dass sich Dateien geändert haben. Oft werden dann die deutschen Übersetzungen nicht berücksichtigt. Ich muss mir aber jede gemeldete Datei im Quellcode darauf hin ansehen, ob das ein false positive ist oder nicht. 

Es ist stellenweise schon ein hartes Geschäft, wenn Du einen Webauftritt betreibst und diesen halbwegs absichern willst. Und wenn dann noch Sicherheitslösungen von Lesern meine Webseiten fälschlich als Malware-behaftet auswerfen, kommt Freude auf. Kostet mich oft Stunden, um sicher zu sein, dass die Site sauber ist. Kommt glücklicherweise aber selten vor.

Admins von Cisco-Geräten: Patchen ist angesagt

Die Firma Cisco hat sein Produktportfolio im Bereich der Netzwerkhardware wohl einem Firmware-Update unterzogen. Wer solche Hardware administriert, sollte daher die entsprechenden Updates einspielen. Details haben die Kollegen von heise.de in diesem Artikel zusammen getragen.

Shadow Brokers veröffentlichen UNITEDRAKE

Irgendwie ist es ruhig um die Hackergruppe Shadow Brokers geworden, die ja einen Aboservice für NSA-Exploits aufgesetzt haben (siehe mein Blog-Beitrag Shadow Brokers senden Juni Exploit Pack an Abonnenten). Eigentlich hatte ich erwartet, dass es im August schon knallt, was aber wohl nicht passierte.

The Hacker News berichtet in diesem Artikel, dass die Shadow Brokers ein weiteres NSA-Hacking-Tool mit Namen UNITEDRAKE an die internen Abonnenten verteilen. Zitat:

Dubbed UNITEDRAKE, the implant is a "fully extensible remote collection system" that comes with a number of "plug-ins," enabling attackers to remotely take full control over targeted Windows computers.

Also ein Tool, welches die Remote-Kontrolle eines angegriffenen Windows-Rechners ermöglicht.

Von WikiLeaks sind bei Vault7 diese Woche nur ein paar Informationen zu einem CIA Raketenkontrollsystem öffentlich geworden (siehe), Peanuts, würde ich sagen.

Android, löchrig wie ein Schweizer Käse

Sicherheitsexperten von Palo Alto Networks haben einen neuen Angriff auf Android-Geräte beschrieben, der die 'Toast'-Benachrichtigungen nutzen kann, um Malware Administratorrechte zu verschaffen. Damit können die Android Accessibility Service genutzt werden, um Kontrolle über das Smartphone zu erlangen. Details finden sich bei Bleeping Computer in diesem Artikel.

Doof: Kaum ist Android 8.0 (Oreo) draußen, werden die ersten Bugs bekannt. So stellen Gerätebesitzer fest, dass Android 8.0 die Mobilfunkverbindung auch dann zum Datenaustausch verwendet, wenn eine WiFi-Verbindung besteht. Damit wird das  Mobilfunk-Datenvolumen nutzlos verpulvert. Mehr Details finden sich zum Beispiel in diesem Artikel.

Was tut sich bei Virenscannern?

Hier möchte ich euch einfach nur einige Infosplitter vor die Füße werfen. Interessant fand ich die Meldung, die ich vor einigen Wochen bei Dark Reading gelesen habe. Sicherheitsanbieter Symantec kauft (oder will es zumindest) die israelische Firma Fireglass. Die sind im Bereich 'Remote Browser Isolation' aktiv – eine ganz heiße Technologie, um Web-Prozesse im Browser remote auszuführen und E-Mails oder Webinhalte zu rendern. Könnte also sein, dass Symantec irgendwann mit so etwas um die Ecke kommt.

Beim Windows Defender (und MSE) musste Microsoft im Sommer ja mehrfach kritische Lücken schließen (siehe z.B. MS Malware Protection Engine Update 25. Mai 2017). Häufig wird kritisiert, dass Virenscanner nicht in einer Sandbox abgeschottet laufen. Sicherheitsforscher haben nun gezeigt, wie der Windows Defender in einer Sandbox laufen könnte. Microsoft wird das vermutlich aus Performance-Gründen aber nicht implementieren. Details zu diesem Thema lassen sich im Beitrag Researchers Put Windows Defender in a Sandbox to Show Microsoft How It's Done nachlesen.

Microsoft hat auf unter Windows for Business auf dieser Webseite den Windows Defender Advanced Threat Protection als 90-Tage-Trial angekündigt. Bei neowin.net gibt es diesen Artikel, der sich mit der Ankündigung einer Preview für Windows 10 Fall Creators Update befasst.

Fliegen ist mit (IT-)Risiken verbunden …

Ihr fliegt häufiger und werft danach die verbrauchten Tickets bzw. den Abschnitt, der nach dem Boarding übrig geblieben ist, weg? Dann solltet ihr in diesem Artikel von Brian Krebs bei Krebs on Security lesen, warum man dies nicht tun sollte.

Dass es mit der IT-Sicherheit von Fluglinien nicht zum Besten bestellt ist, wurde auch Außenstehenden mit dem Systemausfall bei British Airways vor drei Monaten klar – die mussten 670 Flüge streichen (siehe). Auch Delta und American mussten im Frühjahr viele Flüge wegen Systemausfällen am Boden lassen. Zu den klassischen Gründen für Flugausfälle wie Streiks, Vulkanausbrüchen oder Pleiten von Fluglinien gesellt sich damit ein neues Problem: Ausfälle von IT-Systemen. Wer weiss, wie weit verzweigt Systeme wie Amadeus oder Sabre in der Reiseindustrie sind, kann erahnen wie schwerwiegend ein Ausfall eines solchen Systems wäre. Aber bei der Vielzahl an IT-Systemen, die nahtlos ineinander greifen müssen, um den Flugbetrieb zu garantieren, kann selbst ein einfaches System das ganze System blockieren.

Offenbar haben Anwender kritischer IT-Systeme (wie Fluglinien) Nachholbedarf, was den Schutz der IT-Infrastruktur betrifft, so Johan van den Boogaart vom Sicherheitsanbieter Zerto. Das grundlegende Problem sind veraltete Strategien in puncto Geschäftskontinuität und Notfallwiederherstellung von IT-Systemen. Stichwort: Business Continuity (BC) und Desaster Recovery (DR). Diese Strategien sind bisher nur darauf ausgelegt, Ausfälle der Hardware abzufangen. Zieht ein Mitarbeiter den falschen Stecker, löscht aus Versehen eine Datenbank oder wird das System von Cyberkriminellen attackiert, greifen diese Strategien nicht: Die Hardware funktioniert ja. Tatsächlich aber sind Ausfälle, die nicht auf Hardwarefehlern basieren, recht häufig. Experten schätzen die Anzahl dieser sogenannten „logischen Fehler" auf rund 30 Prozent. Mit immer zuverlässigerer Hardware und zunehmend ausgefeilteren Methoden von Cyberkriminellen, die mittels Ransomware ganze IT-Infrastrukturen lahmlegen, wird sich dieser Wert wohl künftig weiter erhöhen. Wir werden uns also auch in diesem Bereich auf absehbare 'Überraschungen' einstellen müssen.

Und das allerletzte

Wer noch lesefreudig ist, kann sich diesen Artikel bei heise.de zu Gemüte führen. Dieser befasst sich mit der Ausstellung und Verifizierung von TLS-Zertifikaten.

Einen interessanten Aspekt hat Wolfgang Sommergut im Artikel Best Practice: Sichere Rechner für Administratoren einrichten aufgegriffen. Er beschäftigt sich damit, wie Administratoren in einer sicheren Umgebung arbeiten können und stellt Microsofts Konzept der Privileged Admini­strative Workstation (PAW) vor. Richtig angewandt kann dies sogar – als Sparlösung – unter Hyper-V in einer virtuellen Maschine genutzt werden. Um keine Missverständnisse aufkommen zu lassen: Die PAW läuft auf der Hardware und ist abgesichert – und für normale Aufgaben gibt es eine VM mit einem Windows, in dem der Administrator dann stoppeln kann.

Wer es noch nicht mitbekommen hat: Microsoft wird bis zum 26. September 2017 die Root-Zertifikate für WoSign und StartCom in Windows 10 für ungültig erklären. Webseiten, die mit diesen Zertifikaten signiert sind, werden dann nicht mehr als sicher angezeigt und blockiert. Details findet ihr im Technet.

Dass man Sprachassistenten wie Alexa, Cortana oder Siri nicht trauen kann, sollte mittlerweile Jedem klar sein. Die Tage ging die Meldung um, dass es Sicherheitsforschern gelungen ist, die Sprachassistenten mit Ultraschallsignalen zu steuern. Das menschliche Gehör kann dies nicht wahrnehmen, aber die Sprachassistenten bekommen die Sprachbefehle über das Mikro mit und führen diese auch aus. Details finden sich beispielsweise in diesem Artikel. Vor einigen Tagen ist mir dieser Artikel untergekommen. Dort wird beschrieben, wie Forscher Sprachassistenten überlisten, indem sie für Menschen unverständliche, weil verzerrte Sprachbefehle im hörbaren Bereich übertrugen. Und Datenschutzbeauftragte warnen vor Sprachassistenten als Abhörzentrale.

Schönes Wochenende.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.