Monatliches Archiv: März 2015

Windows Update: Wiedersehen mit Stuxnet und Freak

Windows Update: Ein Wiedersehen mit Stuxnet.

Eine Art Wiedersehen gibt es bei diesem Patchday mit dem Stuxnet-Wurm und Freak.

Am gestrigen Patchday (10.03.2015) gab es unter Anderem ein Windows Update, welches uns ein Wiedersehen mit der Stuxnet Lücke LNK bescherte.Die LNK-Lücke, welche über die Symbole in .lnk Dateien (Verknüpfungen) das ausführen von Code erlaubte, gibt es seit 2008 und sollte 2010 geschlossen werden. Die Zero-Day-Initiative von HP hat nun gezeigt, dass Microsoft da nicht ganz sauber gearbeitet hat, weswegen nun nachgebessert wird.

54 Windows Updates für 14 Lücken

Mit diesem Patchday werden von Microsoft insgesamt 54 Updates verteilt, die 14 Lücken im Internet Explorer, Office, VB, Adobe Treiber, Windows Kernel und dem SChannel. Ganze 5 Updates sind dabei sogar als critical eingestuft (unter anderem das für die LNK-Lücke), die restlichen 9 immerhin als important (darunter fällt auch das Freak-Update).

Offizieller Patch für Freak

Neben der LNK Lücke und diversen weiteren Patches (s.o.), wurde auch ein offizielles Windows Update zur Freak-Lücke veröffentlicht. Microsoft gehört zu den Entdeckern der Lücke und stuft sie auch als „wichtig“ (important) ein. Es gab zwar einen Workaround von Microsoft, jedoch führte er dazu, dass der Update-Dienst nicht mehr funktionierte. Ob dieses Update fehlerfrei ist bleibt ab zu warten.

Auch Apple hat jetzt ein Patch für die Freak-Lücke veröffentlicht.

Statement

(eigene Meinung)
Ich wollte erst „To be continued …“ schreiben, habe mich dann aber doch für ein Statement entschieden 😉

Wie man aus älteren Beiträgen sehen kann (hier und hier), kam es bei Windows Updates häufiger zu Fehlern und unerwünschten Effekten, daher denke ich, dass es dieses mal nicht anders sein wird. Ob man auf das installieren der Updates verzichten sollte ist fraglich, dennoch sind sie mit Vorsicht zu genießen. Im Zweifelsfall gilt wie immer:

Bei Risiken und Nebenwirkungen lesen die die Update Beschreibung und fragen Sie Ihren Sysadmin oder Softwarehersteller.

Freak bedroht nicht nur mobile Nutzer

Freak ist eine Schwachstelle in diversen Browsern und Servern.

Neben diversen mobilen Browsern, ist auch Windows mit seinem IE von der Schwachstelle Freak betroffen.

Freak (Factoring Attack on RSA-Export-Keys) ist eine Schwachstelle in diversen Browsern von Mobil- sowie Desktop-Geräten. Auf der Seite freakattack.com gibt es viele Informationen, die die Schwachstelle betreffen. Im folgenden versuche ich die Infos ein wenig zusammen zu fassen.

Hintergrund von Freak

Die Schwachstelle kann genutzt werden um zwischen einem verwundbaren Browser und Server eine absichtlich unsichere Verbindung zu erzwingen. Hierbei wird statt eines sicheren RSA-Keys (1024 oder 2048 Bits) einer mit nur 512 Bits verwendet. Dies ist an sich keine Sicherheitslücke, sondern eher ein altes Feature aus den 90ern, als die US-Regierung den Export von sicherer Software ins Ausland verboten hat. Auf dieser Art und Weise wollten sie der NSA unter die Arme greifen.

Liste aller Browser, die betroffen sind:

Quelle: freakattack.com

Internet Explorer (Hinweise und Infos von Microsoft)
Chrome (Mac OS) (Patch bereits verfügbar)
Chrome (Android)
Safari (Mac OS und iOS)
(Patch wird nächste Woche erwartet)
Android Browser
Blackberry Browser
Opera (Mac OS und Linux)

Alle hier nicht aufgeführten Browser (z.B. Firefox) sind nicht betroffen und somit sicher.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Eigenen Browser testen

freakattack.com bietet einen Test, der überprüft ob der eigene Browser sicher ist. Neben der Nachricht, ob der Browser sicher ist oder nicht, gibt es diverse Infos über den Browser, wie zum Beispiel die unterstützten Verschlüsselungsarten.

Wie kann man sich schützen?

Wenn beim Browser-Test (s.o.) angezeigt werden sollte, dass der eigene Browser nicht sicher ist, sollte ggf. auf einen anderen Browser umsteigen oder die Hinweise weiter unten berücksichtigt werden. In Firefox und Chrome kann man nach dem Unstieg gleich das Profil vom Internet Explorer (Lesezeichen, etc.) importieren.

Ansonsten gibt es leider wenig Tricks, wie man sich im allgemeinen schützen kann (für Windows gibt es unten mehr Infos). Man sollte aber die allgemeinen Vorgehensweisen berücksichtigen:

  • Halten sie den Browser aktuell und installieren sie alle Updates
  • Informieren sie sich über eventuelle Updates
  • Wechseln die ggf. zu Firefox oder einem Browser der sicher ist

Anfällige Webseiten kennen

Da das Problem nicht nur beim Browser, sondern auch bei ggf. anfälligen Webseiten liegt, gibt es eine Liste mit Webseiten die anfällig für eine Freak-Attacke sind. Darunter sind leider auch viele deutsche Seiten, die z.B. giga.de, markt.de, filmstarts.de, pcgameshardware.de und viele mehr.

Eine Liste mit den ersten 64296 beliebtesten Webseiten gibt es hier.

Freak-Attacke unter Windows verhindern

Update vom 10.03.2015: Die folgende Beschreibung sichert Sie gegen eine Freak-Attacke ab, jedoch können sie danach keine Windows Updates mehr installieren!

Da auch Windows (ab Vista) mit seinem Internet Explorer betroffen ist, hat Microsoft Tipps zum absichern vom IE veröffentlicht. Der Fehler in Windows liegt dabei im Schannel, mit dem es bereits mehrere Probleme gab.
Zum absichern von Windows muss man manuell die Verschlüsselungssammlungen von Windows bearbeiten. Mehr Infos und eine ausführliche Anleitung gibt es hier.

Kaspersky: Jungen Leuten ist Privatsphäre egal

Laut Kaspersky ist vielen jungen Leuten ihre Privatsphäre egal.

Viele junge Leute sei Privatsphäre egal, so Kaspersky. Quelle: http://1.1.1.4/bmi/pixabay.com/static/uploads/photo/2013/02/20/11/12/town-sign-83730_640.jpg

In einem wirklich interessanten Interview mit Eugene Kaspersky bin ich auf folgende Aussage gestoßen:

„Für die junge Generation existiert sie [Privatsphäre] nicht mehr, nein. […] Meiner Generation ist Privatsphäre allerdings wichtig.“ – Eugene Kaspersky.

Kritisch äußerte sich Kaspersky in dem Interview gegenüber der Einstellung junger Leute zum Thema Privatsphäre. Seiner Generation sei jedoch die Privatsphäre wichtig.

Auf die Frage wie Unternehmen, die von der jetzigen jungen Generation geführt werden, in Zukunft aussehen werden, hatte Kaspersky keine Antwort, da die „digital natives“-Genration (also die Generation der jetzigen „jungen Leute“), anders denke.

Statement

(eigene Meinung)
Generell muss ich Kaspersky (leider) recht geben: Der heutigen Jugend ist die Privatsphäre – mehr oder weniger – egal. Man schaue sich nur mal die Plattform YouNow an.

Jedoch kann man das – finde ich – nicht generalisieren. Man muss bedenken, dass (IT-)Unternehmen nicht von irgendwelchen Menschen geleitet und beraten werden. In 10 oder 20 Jahren sind zwar Menschen der jetzigen jungen Generation in leitenden und beratenden Positionen, jedoch haben die im allgemeinen Informatik (oder etwas ähnliches) studiert und sind sich der Lage durchaus bewusst.

Auch denke ich nicht, dass „seine“ Generation sich im allgemeinen den Risiken im Bereich Privatsphäre bewusst ist. Wenn man sich da die „Reaktion“ (bzw. nicht-Reaktion) der deutschen Bevölkerung zum NSA-Skandal anschaut … da wird mir Angst und Bange.

Welches Betriebssystem hat die meisten Sicherheitslücken?

Mac OS X hat die meisten Sicherheitslücken.

In Apples Mac OS X verstecken sich die meisten Sicherheitslücken.

Nach der Frage, welches Betriebssystem die meisten Sicherheitslücken hat, gibt es eine einfache Antwort: Mit ganzen 147 Sicherheitslücken ist Apples Mac OS X auf Platz 1. Davon werden 64 vom Unternehmen GFI als high eingestuft.
Direkt danach folgt iOS, was ebenfalls von Apple stammt, mit „nur noch“ (man beachte die Ironie-Anführungszeichen) 127 Sicherheitslücken von denen 32 als high eingestuft werden.

Auf Platz drei folgt dann der Linux Kernel mit ganzen 119 Lücken, von denen jedoch einige aus Software wie OpenSSL oder Shellshoch kommen. Von den 119 werden „nur“ 24 als high eingestuft.

Windows besetzt untere Plätze

Wenn man Absolute Zahlen betrachtet, ist Windows mit – je nach Version – ca. 35 Lücken eher wenig betroffen. Dennoch ist die Anzahl an als high eingestuften Lücken teils sogar noch höher als die von Linux. Allgemein muss man dabei bedenken, dass es mit Sicherheit Dopplungen in der Statistik gibt, da Lücken in Windows 7 auch in 8 und 8.1 bestehen können.

Auch in relativen Zahlen kann Windows nicht gerade glänzen. So sind von Windows 8.1 66% aller Sicherheitslücken als high eingestuft. Selbst bei Mac OS X, welches aus Platz 1 liegt, sind es nur 44% (bei Linux nur 20%). Zwar sprechen absolute Zahlen deutlichere Worte, aber ich denke dies verdeutlicht schön, dass Windows dennoch nicht sicher ist.

Apples Betriebssysteme weisen auffällig viele und Windows Systeme auffällig wenig Sicherheitslücken auf. Quelle: http://www.zdnet.de/wp-content/uploads/2015/02/OS-chart.jpg

Die meisten Sicherheitslücken im Internet Explorer

Neben dem Betriebssystem liegen die meisten Lücken in Software, die mit dem Internet zu tun hat, wie z.B. Internet Explorer, Chrome, Firefox, Java, Flash, WordPress, aber auch Adobes Reader, Acrobat, Datenbanken, etc.

An absoluter Spitze steht dabei der Internet Explorer von Microsoft mit sage und schreibe 242 Lücken, von denen unglaubliche 220 als schwerwiegend, bzw. high eingestuft sind. 22 Lücken sind somit nur medium oder low.

Firefox steht unter den großen drei Browsern (Internet Explorer, Chrome und Firefox) am besten da. Dieser hat „nur“ (wieder Ironie-Anführungszeichen) 117 Lücken, aber „nur“ (und schon wieder) die Hälfte ist als high eingestuft.

Statement

(eigene Meinung, bzw. Empfehlungen)
Ich denke, dass man mit Windows als normaler Benutzer ganz gut bedient ist. Wenn man sich ein wenig auskennt ist Linux denke ich die bessere Wahl, da es einfach nicht die Menge an Malware (Viren, Trojaner, etc.) gibt, die diese Lücken ausnutzen könnte.

Zu den Browsern: Nutzt kein Internet Explorer! Es gibt leider zu viele Anwendungen, die Internet Explorer im Hintergrund benutzen, doch bitte nutzt Firefox, oder wenn ihr eure Daten an Google verschenken nutzt Chrome, aber kein IE!!

Wie diese Statistik bei mobilen Betriebssystemen (außer iOS) aussieht, dürfte nochmal etwas anders aussehen 😉