Beiträge

Firesheep und was man dagegen tun kann

Sicherheit? Wer kümmert sich schon darum? Ich muss zugeben, dass mir das alles bislang auch immer recht mühsam erschien. Aber jetzt eben war ich wahrhaftig

GESCHOCKT!

Seit Monaten höre ich hin und wieder von Firesheep, einem der Buzzwords aller Security-Leute der letzten Zeit. Gekümmert hat es mich nicht wirklich … an Sicherheit denkt man leider viel zu selten. Auch ich!

Was mir gerade eben am CreateCamp gezeigt wurde, machte mir tatsächlich Angst.

Dass offene Wlans ein Problem sind, wusste ich schon lange. Dennoch hab ich mich regelmäßig in ein solches Netz eingebucht, um dem Roaming-Wucher zu umgehen.

Betroffen sich aber NICHT NUR offene Wlans – beispielsweise ohne WPA-Verschlüsslung. Dieses Problem besteht auch, wenn etwa mehrere Nutzer in einem abgesicherten Wlan das Internet nutzen.

Neu war für mich bis vor wenigen Minuten, wie einfach das ist: eine Firefox-Erweiterung namens Firesheep reicht aus, um alle offenen Sessions in einem öffentlichen Wlan zu sehen. Siehe Screehshot – klick für volle Auflösung.

Ein Klick reicht aus, um die Facebook-Seite von allen Anwesenden zu sehen, Bilder auf Flickr eines fremden Accounts zu posten oder einfach in irgendeinem Blog etwas diskreditierendes zu schreiben.

Ein Klick reicht! Keine besonderen Kenntnisse nötig! Georg ist schockiert! Bislang war dies freilich auch möglich – nur eben nicht so supersimpel.

Woran liegt’s?

Im Internet ist nichts verschlüsselt. Erst IPv6 bringt Verschlüsselungsmöglichkeiten von Haus aus mit. Und was im Kabel mit einer kleinen Klemme möglich ist, geht im Wlan eben immer – auch, wenn man nicht in Sichtweite ist. Man ist schlichtweg immer „nackert“, wenn man keine zusätzliche Verschlüsselung einführt.

Diese Verschlüsselung ist über https möglich, allerdings bieten derzeit noch längst nicht alle Sites diese Möglichkeit an. Mit dem ersten großen Aufschrei im letzten Jahr führten Google oder Twitter das im letzten Jahr für seine Dienste sukzessive ein. Facebook soll nun bald folgen und das als Standard anbieten.

Was kann man dagegen tun?

Erst einmal sollte man sich in ein offenes Wlan begeben und dort die Firesheep-Erweiterung für Firefox ausprobieren. Wer das gesehen hat, ist erstmal schockiert und denkt dann wohl rasch um.

Ist das Bewusstsein da, schreitet man zur Tat. Nur: Einfach ist es nicht, seinen gesamten IP-Verkehr sicher zu „tunneln“.

1. Immer mit https Verwenden!
Dienste wie Gmail bieten in den Einstellungen an, den http-Verkehr ständig zu verschlüsseln. Ein Hakerl reicht, um sicher zu sein!

Wird das nicht angeboten, lohnt es sich, nachzufragen oder sich öffentlich drüber zu beschweren. Nutzer haben mit Twitter und Facebook mächtige Sprachrohre.

Für Facebook gibt es hier eine kurze Anleitung:

Update: Ist noch nicht bei allen möglich. SSL bei Facebook wird erst langsam an alle Nutzer ausgerollt.

2. Immer abmelden!
Die Sessions laufen noch weiter, auch wenn man nicht mehr im Wlan eingebucht ist. Und zwar solange sie getimed sind oder bis man sich abmeldet. Daher: Immer von allen genutzten Sessions abmelden!

3. Internet-Verkehr tunneln!
VPN-Tunnel geben ebenfalls Sicherheit. Dabei wird der komplette Internet-Verkehr am Gerät gebündelt, verschlüsselt und erst an einem sicheren Punkt ins Internet übergeben.

Firmen bieten ihren Mitarbeitern VPNs an, die jedoch vielfach nur dann genutzt werden, wenn man in der Firma etwas machen muss – etwa, um über den Remotedesktop im Redaktionssystem zu arbeiten oder etwas aus dem CRM-System zu holen.

Wer das Glück hat, einen Account an einer Uni zu haben, sollte diesen auch außerhalb nutzen. Anleitungen dazu gibt es am jeweiligen ZID.

Es schadet sicher nicht, diese VPN-Netze auch fürs „normale Surfen“ zu nutzen.

Nachteil all dieser Lösungen: Die Verschlüsselung kostet Rechenleistung und macht die Internetnutzung langsamer. Aber besser langsamer als gefährlich.

Weiterer Nachteil: Auf vielen bis gar allen mobilen Endgeräten ist gar keine einfache Lösung für dieses Problem möglich.

Und wer ist Schuld dran?

Die Nachlässigkeit im großen Stil kann man wohl kaum dem Nutzer ankreiden. Wieso hier die Netzbetreiber, Geräte- und Softwarehersteller nicht schon längst aktiv geworden sind, ist mir ein Rätsel. Was habt ihr getan, liebe Leute von Microsoft, Apple, Cisco, Facebook, Flickr, Foursquare, Twitter oder Google? Was habt ihr getan?

Weder wurden die Nutzer gewarnt, noch wurde an der – dringend notwendigen – Überarbeitung von Standards gearbeitet! „What the fuck?“, möchte man sich dabei nur fragen.

Der Wurm und die Fanboys

Appleworm

Vor nunmehr zehn Tagen tauchte wieder einmal ein Trojaner für MacOSX auf. Vier Tage später der zweite. Die Lethargie der Apple-Fanboys könnte fatale Folgen.

Am 21. Jänner wurde ein Trojaner in iWork’09 , am 25. Jänner einer in einem Crack für Photoshop CS4. In beiden Fällen sind raubkopierte Versionen von Filesharing-Diensten betroffen.

Zur Anatomie der beiden:

  • Der iWork-Trojaner installiert sich mit iWork’09 mit und nistet sich als Service ein. Das heißt, man muss für dessen Installation nur ein Passwort eingeben – nichts Auffälliges also.
  • Der CS4-Crack fordert vor der Bekanntgabe der Seriennummern zur Passwort-Eingabe ein und installiert sich anschließend. Das wäre auffällig und müsste auffallen.

Beide melden sich bei ihrem Schöpfer und können jederzeit Code nachladen und Sicherheitslücken ausnützen, die MacOSX genauso hat, wie jede andere Software auch.

Wer sich diverse Posts auf Apple-Weblogs durchgelesen oder einige Mac-Podcasts der letzten Woche angehört hat, der denkt sich: „Das kann eh nur ein paar Softwarediebe treffen.“ Deren Lösung unisono: Kauft Software oder holt sie euch aus sicherer Quell -, dann seit ihr sicher.

Fatale Lethargie

Vermutlich wird das Malware-Problem unter Mac-Fanboys erst dann wahrgenommen, wenn es zur Epidemie gekommen ist. Die will ich nicht herreden, aber man sollte darauf vorbereitet sein, dass Viren, Würmer und Trojaner auch unter MacOSX zur Regel werden.

  • Die Verbreitung nicht beschränkt, sondern breiter als stets kommuniziert. Laut AntiViren-Hersteller Intego hatten am Tag nach Entdeckung (jeweils um 12:00 Uhr) bereits 20.000 bzw. 5000 Nutzer die kompromittierten Dateien herunter geladen. Das war vor zehn bzw. fünf Tagen!
  • Der Schädling kann jederzeit Code nachladen, mutieren und neue Verbreitungswege suchen. Der USB-Stick lässt grüßen.
  • Apple selbst fördert den Verzicht auf jegliche Antiviren-Software. Anfang Dezember stießen einige Medien auf ein Support-Dokument von Apple und thematisierten, dass der Einsatz von Antiviren-Software sinnvoll ist. Der Rummel war so groß, dass es selbst in Mainstream-Medien kam. Und wieder einen Tag später, ruderte Apple zurück und löschte das Support-Dokument wieder.
    „Wir haben den Beitrag entfernt, weil er alt und fehlerhaft ist“, sagte Apple-Sprecher Bill Evans. „Der Mac ist von Haus aus mit integrierten Technologien zum Schutz vor Malware und anderen Sicherheitsrisiken ausgestattet.“ via cnet
  • Die Virenautoren kommen:
    Auch wenn diese beiden Fälle (für einen Mac- und Windows-Nutzer wie mich) nicht extrem besorgniserregend sind – es wird mehr. Die beiden Trojaner zeigen deutlich, dass die Virenautoren schön langsam den Mac ins Visier nehmen.
    Windows ist nicht nur deshalb häufig Opfer von Virenatacken, weil es unsicher ist. Gerade auf ein aktuelles Vista trifft nicht zu. Windows bietet eben mehr Angriffsfläche, weil es viele Nutzer gibt. Und wo es sehr viele Anwender gibt, gibt es auch viele, die sich keinen Deut um Sicherheit scheren.
  • Nicht bereit:
    Sowohl Apple-Nutzer als auch die Industrie ist nicht darauf vorbereitet. Wenn mit Virenscannern für Macs nur wenig Geschäft gemacht wird, geht auch wenig Geld in deren Entwicklung.
    Und wie viele Mac-Nutzer scheren sich schon um Sicherheit? Wer hat einen Scanner installiert? Ich beobachte das ja selbst an mit: Wenn ich einen USB-Stick von irgendwem bekomme – ich stecke ihn sicher vorher in den Mac, bevor er in den PC kommt …

Wann beginnt die große Virenwelle am Mac zu rollen? Es ist wohl auch nur eine Frage der Zeit. Oder bin ich paranoid?

Wo bleibt der Scan?

Man möchte meinen, dass Internet-Firmen eine gewisse Affinität für Sicherheit haben. Bei einer ist das scheinbar nicht der Fall und man stellt dies auch noch plakativ zur Schau.

So versendet UPC seine E-Rechnungen für inode-Kunden:

 upcbill.gif

Soll ich mich jetzt trauen, die PDF-Datei aufzumachen? Schließlich steht im Betreff: [WARNING – NOT VIRS SCANNED]

Mir ist unverständlich, warum man in den Betreff schreibt, dass die Datei NICHT gesannt wurde … Ich erkläre mir das nur damit, dass keiner der Mitarbeiter je eine Rechnung per E-Mail zugesandt bekam. Gibt’s andere Erklärungen dafür?

Geizige Internet-Provider

Apropos Vista: Dass ein Betriebssystem „dicker und fetter“ geworden ist, merkt man daran, dass es nicht mehr auf eine CD passt, sondern gleich eine ganze DVD konsumiert. Je komplexer ein Stück Software wird – egal welches und von welchem Hersteller es stammt – umso mehr Fehler sind da drinnen. Mehr Fehler bedeutet mehr Patches, mehr Patches heißt auch mehr Datenvolumen, dass einem nach dem Windows-Update fehlt.

Wer heute ein Windows XP aufsetzt, kann gleich eine ganze Menge runter laden. Das volle Service Pack 2 bringt es auf 265 Megabyte und gut 50 MB sind seitdem an zusätzlichen Patches dazu gekommen. Dazu kommen jeweils gut 12 Megabyte an Updates für den Virenscanner etc.

Und wie bitte soll Sicherheit bitte bei einem Freivolumen von 250 MB monatlich funktionieren? Eine ganze Reihe von Internet-Providern bietet ab Anfang November ein neues günstiges ADSL-Paket für 9,90 Euro/Monat (zzgl. TikTak-Grundentgelt von 15,98 Euro) an. Bei der Telekom Austria soll es das (und noch weitere DSL-Neuheiten) ab Mitte November geben.

Was hat das eine mit dem anderen zu tun?
Wollen die Provider, dass Ihre Kunden sicher durchs Internet surfen, sollen sie den Traffic zu den Patch-Servern doch kostenlos machen. Das ist technisch ohne weiteres möglich, man muss es nur wollen. Das wäre wahrer Service am Kunden!

Aber diese „Großzügigkeit“ würde letztlich auch den Providern selbst helfen:

  • Durch weniger Schädlinge im Netz verringert sich auch der Traffic, den diese verursachen
  • Es würde weniger Support-Calls wegen „langsamer“ Internet-Leitungen geben, weil ja kein spammender Trojaner den Zugang verstopft
  • Apropos Spam: Die Provider würden mangels Spamschleudern auch weniger oft auf Blacklists kommen.

Ausreden gelten nicht! Traffic ist mittlerweile billigst zu bekommen, die Unterschiede zwischen einem und 20 Gigabyte monatlich dienen lediglich der Preis-Differenzierungen. Wer mehr zu zahlen bereit ist, soll das auch.

iPod als Virenschleuder

pwi1.jpgWer ist schuld: Der Einbrecher oder die Bank? Man stelle sich vor, wenn sich ein Einbrecher drüber beklagt, dass die Bank doch selbst Schuld sei, weil sie zu viel Geld in ihrem Safe lagerte.

Apple beklagt nun, dass Microsoft selbst schuld sein, dass Windows unsicher ist. Fakt ist aber – und das ist bitterernst – dass Apple zur Virenschleuder für Windows-Nutzer wurde. Wie man heute kleinlaut bekannt geben musste, findet sich „auf weniger als ein Prozent aller iPods“ ein Trojaner namens RavMonE.

Nochmals für alle ungläubigen: Apple liefert iPods mit Viren aus! Ist das die neue Taktik, unsichere Windows-Rechner vorzutäuschen, wo diese (zumindest mit Vista) sicherer werden? Was passiert, wenn RavMonE bei einem User Schaden anrichtet? Wie kommt der Wurm überhaupt auf fabrikneue iPods? Und überhaupt: Was tut man bei Apple in Punkto Sicherheit, dass so etwas nicht wieder passiert?

Danke Apple, denn so etwas habe ich in der Tat noch nie erlebt! Wenigstens geben sie Tipps, wie man RavMonE mit Hilfe von Trial-Software wieder los wird!

via Winfuture.de

Windows XP kostet Nerven

Will man sicher mit Windows arbeiten, muss man einen aktuellen Virenscanner und eine funktionierende Firewall haben. Zusätzlich sind alle Updates herunter zu laden, die Microsoft herausbringt. Und hier beginnt die reine Nervenschlacht. So manche Updates (sie kommen einmal im Monat daher) fordern nämlich nach der Installation einen Neustart.

Windowsupdate fordert Neustart

Hat man etwas Wichtiges zu tun, wird man ständig von der Arbeit abgehalten. Das nervt!!! Wieso können die nicht einen zusätzlichen Knopf einbauen, dass ich erst dann neustarten kann, wann ich das auch will? Wieso ist das nicht möglich? Hat in Redmond niemand dran gedacht? Vermutlich fürchten sie, dass sich in der Zwischenzeit ein Wurm oder Virus einschleichen könnte … Aber in der Regel vergeht weit mehr Zeit zwischen dem Auftreten einer Sicherheitslücke und dem Update als zwischen zwei Neustarts.

Lieber Bill Gates, das nervt! Vielleicht solltet ihr in Redmond lieber schauen, dass ihr eure Betriebssysteme auf die Reihe bringt, bevor ihr alle anderen Spielereien macht!

Danke Sony!

Schön langsam verfestigt sich bei mir der Gedanke, dass jeder legale Kunde der Musikindustrie von dieser vertrieben wird. „Kunden“ illegaler Downloads kennen keinerlei Einschränkungen bezüglich der Nutzungen der Inhalte. Sie haben halt nur keine schönen Covers. Aber die haben Kunden von iTunes & Co. auch nicht. Das DRM („Digital Rights Managment“ oder besser: „Digital Restriction Management“) sorgt dafür, dass man so manche CD beispielsweise nicht mehr am MP3-Player mitnehmen kann.

Doch es kommt noch dicker: Nun werden legale Kunden von der Musikindustrie auch noch einem wirklichen Sicherheitsrisiko ausgesetzt!

Wie das kommt? Nun, Sony brachte CDs mit dem Label „enhanced content“ auf dem Cover auf den Markt. Statt „enhanced content“, installiert die CD beim ersten Abspielen am PC ein Programm. Zuvor wird der Benutzer noch gefragt, ob er mit der EULA (End User Licence Agreement) einverstanden ist. Ein Vorgang, den jeder kennt, der ein Computerprogramm installiert – niemand liest sich das wirklich durch. Bei diesem Programm handelt es sich um einen so genannten Rootkit. Solche Software ist unsichtbar – kein Programm kann sie auffinden, nicht einmal das Betriebssystem hat eine Ahnung davon, dass es da ist. Der „Aufdecker“ der ganzen Geschichte, Mark Russinovich von Sysinternals.com, verglich ein Verzeichnis, bei dem Windows und sein Rootkit-Entdeckungs-Programm unterschiedliche Werte lieferte.

Was macht der Rootkit?

  • Er verhindert offensichtlich, dass CDs gerippt werden – also aus der Audio-CD MP3-Dateien gemacht werden
  • Es macht ein „Phoning home“. Das bedeutet, dass bei jedem Abspielen einer CD, eine Information an Sony Music geht.
  • Das Schlimmste aber: durch einen Fehler im Code versteckt es alle Dateien, die mit $sys$ beginnen. Mark Russinovich kam darauf, als er zufällig seine notepad.exe in $sys$notepad.exe umbenannte – die Datei verschwand, wurde also selbst zum Rootkit.

Der Sony-Rootkit versteckt Viren
Die ersten beiden Punkte – zumindest aus der Sicht der Plattenbosse – noch zu entschuldigen wären, machen doch andere in der Musikindustrie auch ähnliches. Der dritte Punkt ist es mit Sicherheit nicht. Da ist Sony zu weit gegangen.

Sonys Umgang mit der Sache
In einer ersten Stellungnahme der Plattenfirma sprach man davon, dass es ohnehin noch keinen Exploit (Schadprogramm) für diese Lücke gebe. Dem ist nun nicht mehr so. Am Freitag ist der erste Virus dafür aufgetaucht. In seiner zweiten Stellungnahme ist sich Sony offenbar schon bewusst, dass es einen Virus gibt, meint aber, dass es keine Auswirkungen für all jene gäbe, die Rootkit-CDs in einem normalen CD-Player abzuspielen. Außerdem habe man einen Patch angeboten.

Nur: dieser Patch findet sich derart versteckt auf den Corporate-Sites von Sony/BMG. Auf den Startseiten des Konzerns findet sich rein gar keine Information über die Angelegenheit. Dieser Patch ermöglicht die Deinstallation des Rootkits. Und noch was: Sony/BMG sagt nicht einmal, wie viele CDs davon betroffen sind und wo diese in den Verkehr gebracht wurden. Mittlerweile sind zumindest zwei Klagen anhängig. Auf den diversen Startseiten von Sony/BMG finden sich zwar Suchformulare, eine Suche nach „XPC“ oder „XPC Aurora“ – also dem Namen des Rootkits bzw. dessen Hersteller brachte kein Ergebnis (siehe dritter Screenshot). Schlechter kann man seine Kunden wohl nicht mehr informieren – oder besser: vor seinen eigenen Produkten warnen.

Auch Apple betroffen
Und noch eine schlechte Nachricht: Nicht nur Windows PCs sind davon betroffen. Es ist auch die Rede, dass auf Rechnern mit Mac-OS-Betriebssystem diverse Kernel-Erweiterungen installiert werden.

Microsoft hilft
Unerwartete Unterstützung kommt von Microsoft. In einem Blog hat sich das Antimalware-Team zu der Sache geäußert. Die demnächst erscheinende finale Version von Microsoft Defender (ehemals Microsoft Antispyware) soll Rootkits dieser Art entfernen können.

Auch andere Antivirenhersteller werden reagieren und das Rootkit entfernen. Eine entsprechende Information, wie das gehen soll, hat Sony/BMG – nach eigenen Aussagen – an diese bereits übermittelt.

Bleibt nur noch ein Rat: Spielen Sie keine Sony-Audio CDs mit dem Label „enhanced content“ auf Ihrem PC ab.