Sicherheitslücken

Android hack: So schwerwiegend kann ein Hackerangriff sein

Hackerangriffe auf Android können sehr gefähtlich sein.

Wie hundsgefährlich ein Android hack ist, zeigt Sophos Mitarbeiter James Lyne.

Auf dem MWC 2015 (Mobile World Congress 2015) hat der Sophos Mitarbeiter James Lyne gezeigt, wie verheerend ein Android hack über eine infizierte Website sein kann.

Bei dem Live Auftritt durfte eine nette Dame aus dem Publikum eine Website öffnen, die mit schadhaftem Code infiziert wurde. Danach konnte Lyne auf alle Funktionen des Gerätes (in diesem Fall ein 4.2.x Android Tablet) zugreifen.

Zugriff auf die SD-Karte, Kamera und Mikrofon

Allein durch den Schadcode konnte Lyne auf die SD-Karte zugreifen und so alle Dateien erreichen, die Kamera steuern um unbemerkt Bilder auf zu nehmen und das Mikrofon einschalten und damit Aufnahmen der Umgebung machen. Dabei könne man neben Fotos auch eine Art Live-Stream des Video-Signals machen und so etwa Filmen wie jemand z.B. durch die Stadt läuft während das Handy in Händen gehalten wird.

Mobile-Devices: Das Paradies für Hacker

(mehr …)

Windows Update: Wiedersehen mit Stuxnet und Freak

Windows Update: Ein Wiedersehen mit Stuxnet.

Eine Art Wiedersehen gibt es bei diesem Patchday mit dem Stuxnet-Wurm und Freak.

Am gestrigen Patchday (10.03.2015) gab es unter Anderem ein Windows Update, welches uns ein Wiedersehen mit der Stuxnet Lücke LNK bescherte.Die LNK-Lücke, welche über die Symbole in .lnk Dateien (Verknüpfungen) das ausführen von Code erlaubte, gibt es seit 2008 und sollte 2010 geschlossen werden. Die Zero-Day-Initiative von HP hat nun gezeigt, dass Microsoft da nicht ganz sauber gearbeitet hat, weswegen nun nachgebessert wird.

54 Windows Updates für 14 Lücken

Mit diesem Patchday werden von Microsoft insgesamt 54 Updates verteilt, die 14 Lücken im Internet Explorer, Office, VB, Adobe Treiber, Windows Kernel und dem SChannel. Ganze 5 Updates sind dabei sogar als critical eingestuft (unter anderem das für die LNK-Lücke), die restlichen 9 immerhin als important (darunter fällt auch das Freak-Update).

Offizieller Patch für Freak

Neben der LNK Lücke und diversen weiteren Patches (s.o.), wurde auch ein offizielles Windows Update zur Freak-Lücke veröffentlicht. Microsoft gehört zu den Entdeckern der Lücke und stuft sie auch als „wichtig“ (important) ein. Es gab zwar einen Workaround von Microsoft, jedoch führte er dazu, dass der Update-Dienst nicht mehr funktionierte. Ob dieses Update fehlerfrei ist bleibt ab zu warten.

Auch Apple hat jetzt ein Patch für die Freak-Lücke veröffentlicht.

Statement

(eigene Meinung)
Ich wollte erst „To be continued …“ schreiben, habe mich dann aber doch für ein Statement entschieden 😉

Wie man aus älteren Beiträgen sehen kann (hier und hier), kam es bei Windows Updates häufiger zu Fehlern und unerwünschten Effekten, daher denke ich, dass es dieses mal nicht anders sein wird. Ob man auf das installieren der Updates verzichten sollte ist fraglich, dennoch sind sie mit Vorsicht zu genießen. Im Zweifelsfall gilt wie immer:

Bei Risiken und Nebenwirkungen lesen die die Update Beschreibung und fragen Sie Ihren Sysadmin oder Softwarehersteller.

Freak bedroht nicht nur mobile Nutzer

Freak ist eine Schwachstelle in diversen Browsern und Servern.

Neben diversen mobilen Browsern, ist auch Windows mit seinem IE von der Schwachstelle Freak betroffen.

Freak (Factoring Attack on RSA-Export-Keys) ist eine Schwachstelle in diversen Browsern von Mobil- sowie Desktop-Geräten. Auf der Seite freakattack.com gibt es viele Informationen, die die Schwachstelle betreffen. Im folgenden versuche ich die Infos ein wenig zusammen zu fassen.

Hintergrund von Freak

Die Schwachstelle kann genutzt werden um zwischen einem verwundbaren Browser und Server eine absichtlich unsichere Verbindung zu erzwingen. Hierbei wird statt eines sicheren RSA-Keys (1024 oder 2048 Bits) einer mit nur 512 Bits verwendet. Dies ist an sich keine Sicherheitslücke, sondern eher ein altes Feature aus den 90ern, als die US-Regierung den Export von sicherer Software ins Ausland verboten hat. Auf dieser Art und Weise wollten sie der NSA unter die Arme greifen.

Liste aller Browser, die betroffen sind:

Quelle: freakattack.com

Internet Explorer (Hinweise und Infos von Microsoft)
Chrome (Mac OS) (Patch bereits verfügbar)
Chrome (Android)
Safari (Mac OS und iOS)
(Patch wird nächste Woche erwartet)
Android Browser
Blackberry Browser
Opera (Mac OS und Linux)

Alle hier nicht aufgeführten Browser (z.B. Firefox) sind nicht betroffen und somit sicher.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Eigenen Browser testen

freakattack.com bietet einen Test, der überprüft ob der eigene Browser sicher ist. Neben der Nachricht, ob der Browser sicher ist oder nicht, gibt es diverse Infos über den Browser, wie zum Beispiel die unterstützten Verschlüsselungsarten.

Wie kann man sich schützen?

Wenn beim Browser-Test (s.o.) angezeigt werden sollte, dass der eigene Browser nicht sicher ist, sollte ggf. auf einen anderen Browser umsteigen oder die Hinweise weiter unten berücksichtigt werden. In Firefox und Chrome kann man nach dem Unstieg gleich das Profil vom Internet Explorer (Lesezeichen, etc.) importieren.

Ansonsten gibt es leider wenig Tricks, wie man sich im allgemeinen schützen kann (für Windows gibt es unten mehr Infos). Man sollte aber die allgemeinen Vorgehensweisen berücksichtigen:

  • Halten sie den Browser aktuell und installieren sie alle Updates
  • Informieren sie sich über eventuelle Updates
  • Wechseln die ggf. zu Firefox oder einem Browser der sicher ist

Anfällige Webseiten kennen

Da das Problem nicht nur beim Browser, sondern auch bei ggf. anfälligen Webseiten liegt, gibt es eine Liste mit Webseiten die anfällig für eine Freak-Attacke sind. Darunter sind leider auch viele deutsche Seiten, die z.B. giga.de, markt.de, filmstarts.de, pcgameshardware.de und viele mehr.

Eine Liste mit den ersten 64296 beliebtesten Webseiten gibt es hier.

Freak-Attacke unter Windows verhindern

Update vom 10.03.2015: Die folgende Beschreibung sichert Sie gegen eine Freak-Attacke ab, jedoch können sie danach keine Windows Updates mehr installieren!

Da auch Windows (ab Vista) mit seinem Internet Explorer betroffen ist, hat Microsoft Tipps zum absichern vom IE veröffentlicht. Der Fehler in Windows liegt dabei im Schannel, mit dem es bereits mehrere Probleme gab.
Zum absichern von Windows muss man manuell die Verschlüsselungssammlungen von Windows bearbeiten. Mehr Infos und eine ausführliche Anleitung gibt es hier.

Welches Betriebssystem hat die meisten Sicherheitslücken?

Mac OS X hat die meisten Sicherheitslücken.

In Apples Mac OS X verstecken sich die meisten Sicherheitslücken.

Nach der Frage, welches Betriebssystem die meisten Sicherheitslücken hat, gibt es eine einfache Antwort: Mit ganzen 147 Sicherheitslücken ist Apples Mac OS X auf Platz 1. Davon werden 64 vom Unternehmen GFI als high eingestuft.
Direkt danach folgt iOS, was ebenfalls von Apple stammt, mit „nur noch“ (man beachte die Ironie-Anführungszeichen) 127 Sicherheitslücken von denen 32 als high eingestuft werden.

Auf Platz drei folgt dann der Linux Kernel mit ganzen 119 Lücken, von denen jedoch einige aus Software wie OpenSSL oder Shellshoch kommen. Von den 119 werden „nur“ 24 als high eingestuft.

Windows besetzt untere Plätze

Wenn man Absolute Zahlen betrachtet, ist Windows mit – je nach Version – ca. 35 Lücken eher wenig betroffen. Dennoch ist die Anzahl an als high eingestuften Lücken teils sogar noch höher als die von Linux. Allgemein muss man dabei bedenken, dass es mit Sicherheit Dopplungen in der Statistik gibt, da Lücken in Windows 7 auch in 8 und 8.1 bestehen können.

Auch in relativen Zahlen kann Windows nicht gerade glänzen. So sind von Windows 8.1 66% aller Sicherheitslücken als high eingestuft. Selbst bei Mac OS X, welches aus Platz 1 liegt, sind es nur 44% (bei Linux nur 20%). Zwar sprechen absolute Zahlen deutlichere Worte, aber ich denke dies verdeutlicht schön, dass Windows dennoch nicht sicher ist.

Apples Betriebssysteme weisen auffällig viele und Windows Systeme auffällig wenig Sicherheitslücken auf. Quelle: http://www.zdnet.de/wp-content/uploads/2015/02/OS-chart.jpg

Die meisten Sicherheitslücken im Internet Explorer

Neben dem Betriebssystem liegen die meisten Lücken in Software, die mit dem Internet zu tun hat, wie z.B. Internet Explorer, Chrome, Firefox, Java, Flash, WordPress, aber auch Adobes Reader, Acrobat, Datenbanken, etc.

An absoluter Spitze steht dabei der Internet Explorer von Microsoft mit sage und schreibe 242 Lücken, von denen unglaubliche 220 als schwerwiegend, bzw. high eingestuft sind. 22 Lücken sind somit nur medium oder low.

Firefox steht unter den großen drei Browsern (Internet Explorer, Chrome und Firefox) am besten da. Dieser hat „nur“ (wieder Ironie-Anführungszeichen) 117 Lücken, aber „nur“ (und schon wieder) die Hälfte ist als high eingestuft.

Statement

(eigene Meinung, bzw. Empfehlungen)
Ich denke, dass man mit Windows als normaler Benutzer ganz gut bedient ist. Wenn man sich ein wenig auskennt ist Linux denke ich die bessere Wahl, da es einfach nicht die Menge an Malware (Viren, Trojaner, etc.) gibt, die diese Lücken ausnutzen könnte.

Zu den Browsern: Nutzt kein Internet Explorer! Es gibt leider zu viele Anwendungen, die Internet Explorer im Hintergrund benutzen, doch bitte nutzt Firefox, oder wenn ihr eure Daten an Google verschenken nutzt Chrome, aber kein IE!!

Wie diese Statistik bei mobilen Betriebssystemen (außer iOS) aussieht, dürfte nochmal etwas anders aussehen 😉

SSL Zertifikat von SuperFish gestohlen

Das auf Lenovo Rechnern vorinstallierte Superfish ist nur sehr unzureichend geschützt.

Das auf Lenovo Rechnern vorinstallierte Superfish ist nur sehr unzureichend geschützt.

Mit einfachsten Mitteln konnte der Hacker Robert Graham von Errata Security das SSL Zertifikat aus Superfish extrahieren und so zur Entschlüsselung von Datenströmen diverser Lenovo Rechnern nutzen. Dabei brauchte er keine Voodoo-Technik und auch nicht sonderlich lange um das passwortgeschützte Zertifikat zu entwenden und zu entschlüsseln.

Entwenden des Schlüssels

Graham musste zunächst das Zertifikat, welches verschlüsselt und passwortgeschützt ist aus Superfish extrahieren. Dazu hat er einfach einen Debugger benutzt und einen Haltepunkt (BreakPoint) direkt nach dem entschlüsseln des eigenen Programms (wie es bei Malware typisch ist) gesetzt.

Da nun das Programm entschlüsselt im Speicher lag, konnte er es mit dem Programm procdump da raus holen. Das Ergebnis war jedoch eine Binärdatei, das heißt da waren diverse binäre Zeichen mit enthalten.
Mit dem Programm strings kann man jedoch alles binäre wegschmeißen und erhält eine Datei mit lesbarem Text. Der Schlüssel war dann in dieser Datei enthalten.

Den Schlüssel jetzt zu finden ist nicht schwer: Einfach nach Private Key suchen und fertig. Tatsächlich lag der Schlüssel mehrfach in der Datei.

Schlüssel entschlüsseln

Mit dem Schlüssel kann man nun im Grunde SSL Verbindungen (z.B. HTTPS) entschlüsseln und dem entsprechend den Datenfluss mitlesen. Da es so keinen Passwort-Cracker für SSL PEM Dateien gibt, hat Graham sich einen eigenen geschrieben.

Da die Brute-Force Methode (alle denkbaren Kombinationen an Zeichen durchgehen) Jahre dauert, fiel die Wahl auf ein Wörterbuch-Verfahren. Dabei benutzte er ein Wörterbuch mit Standardwörtern, wurde jedoch nicht fündig. Im memory-Dump (der Output vom Debugger von vorhin) muss eigentlich der Schlüssel auf drin enthalten sein. Aus der Datei, die strings lieferte, nahm er dann alle Wörter mit Kleinbuchstaben (da sonst 150.000 Wörter vorhanden wären) und wurde mit dem Wort „komodia“ nach 10 Sekunden fündig.

Mit dem OpenSSL tool kann man nun die Schlüssel entschlüsseln und so nun benutzen.

Reaktion von Lenovo

Da Superfish unter Lenovo vorinstalliert ist, hat Lenovo direkt ein Deinstallationstool mit Tipps zum entfernen aller Superfish Zertifikate und Einträge.