Schlagwort Archiv: Internet

Freak bedroht nicht nur mobile Nutzer

Freak ist eine Schwachstelle in diversen Browsern und Servern.

Neben diversen mobilen Browsern, ist auch Windows mit seinem IE von der Schwachstelle Freak betroffen.

Freak (Factoring Attack on RSA-Export-Keys) ist eine Schwachstelle in diversen Browsern von Mobil- sowie Desktop-Geräten. Auf der Seite freakattack.com gibt es viele Informationen, die die Schwachstelle betreffen. Im folgenden versuche ich die Infos ein wenig zusammen zu fassen.

Hintergrund von Freak

Die Schwachstelle kann genutzt werden um zwischen einem verwundbaren Browser und Server eine absichtlich unsichere Verbindung zu erzwingen. Hierbei wird statt eines sicheren RSA-Keys (1024 oder 2048 Bits) einer mit nur 512 Bits verwendet. Dies ist an sich keine Sicherheitslücke, sondern eher ein altes Feature aus den 90ern, als die US-Regierung den Export von sicherer Software ins Ausland verboten hat. Auf dieser Art und Weise wollten sie der NSA unter die Arme greifen.

Liste aller Browser, die betroffen sind:

Quelle: freakattack.com

Internet Explorer (Hinweise und Infos von Microsoft)
Chrome (Mac OS) (Patch bereits verfügbar)
Chrome (Android)
Safari (Mac OS und iOS)
(Patch wird nächste Woche erwartet)
Android Browser
Blackberry Browser
Opera (Mac OS und Linux)

Alle hier nicht aufgeführten Browser (z.B. Firefox) sind nicht betroffen und somit sicher.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Eigenen Browser testen

freakattack.com bietet einen Test, der überprüft ob der eigene Browser sicher ist. Neben der Nachricht, ob der Browser sicher ist oder nicht, gibt es diverse Infos über den Browser, wie zum Beispiel die unterstützten Verschlüsselungsarten.

Wie kann man sich schützen?

Wenn beim Browser-Test (s.o.) angezeigt werden sollte, dass der eigene Browser nicht sicher ist, sollte ggf. auf einen anderen Browser umsteigen oder die Hinweise weiter unten berücksichtigt werden. In Firefox und Chrome kann man nach dem Unstieg gleich das Profil vom Internet Explorer (Lesezeichen, etc.) importieren.

Ansonsten gibt es leider wenig Tricks, wie man sich im allgemeinen schützen kann (für Windows gibt es unten mehr Infos). Man sollte aber die allgemeinen Vorgehensweisen berücksichtigen:

  • Halten sie den Browser aktuell und installieren sie alle Updates
  • Informieren sie sich über eventuelle Updates
  • Wechseln die ggf. zu Firefox oder einem Browser der sicher ist

Anfällige Webseiten kennen

Da das Problem nicht nur beim Browser, sondern auch bei ggf. anfälligen Webseiten liegt, gibt es eine Liste mit Webseiten die anfällig für eine Freak-Attacke sind. Darunter sind leider auch viele deutsche Seiten, die z.B. giga.de, markt.de, filmstarts.de, pcgameshardware.de und viele mehr.

Eine Liste mit den ersten 64296 beliebtesten Webseiten gibt es hier.

Freak-Attacke unter Windows verhindern

Update vom 10.03.2015: Die folgende Beschreibung sichert Sie gegen eine Freak-Attacke ab, jedoch können sie danach keine Windows Updates mehr installieren!

Da auch Windows (ab Vista) mit seinem Internet Explorer betroffen ist, hat Microsoft Tipps zum absichern vom IE veröffentlicht. Der Fehler in Windows liegt dabei im Schannel, mit dem es bereits mehrere Probleme gab.
Zum absichern von Windows muss man manuell die Verschlüsselungssammlungen von Windows bearbeiten. Mehr Infos und eine ausführliche Anleitung gibt es hier.

SSL Zertifikat von SuperFish gestohlen

Das auf Lenovo Rechnern vorinstallierte Superfish ist nur sehr unzureichend geschützt.

Das auf Lenovo Rechnern vorinstallierte Superfish ist nur sehr unzureichend geschützt.

Mit einfachsten Mitteln konnte der Hacker Robert Graham von Errata Security das SSL Zertifikat aus Superfish extrahieren und so zur Entschlüsselung von Datenströmen diverser Lenovo Rechnern nutzen. Dabei brauchte er keine Voodoo-Technik und auch nicht sonderlich lange um das passwortgeschützte Zertifikat zu entwenden und zu entschlüsseln.

Entwenden des Schlüssels

Graham musste zunächst das Zertifikat, welches verschlüsselt und passwortgeschützt ist aus Superfish extrahieren. Dazu hat er einfach einen Debugger benutzt und einen Haltepunkt (BreakPoint) direkt nach dem entschlüsseln des eigenen Programms (wie es bei Malware typisch ist) gesetzt.

Da nun das Programm entschlüsselt im Speicher lag, konnte er es mit dem Programm procdump da raus holen. Das Ergebnis war jedoch eine Binärdatei, das heißt da waren diverse binäre Zeichen mit enthalten.
Mit dem Programm strings kann man jedoch alles binäre wegschmeißen und erhält eine Datei mit lesbarem Text. Der Schlüssel war dann in dieser Datei enthalten.

Den Schlüssel jetzt zu finden ist nicht schwer: Einfach nach Private Key suchen und fertig. Tatsächlich lag der Schlüssel mehrfach in der Datei.

Schlüssel entschlüsseln

Mit dem Schlüssel kann man nun im Grunde SSL Verbindungen (z.B. HTTPS) entschlüsseln und dem entsprechend den Datenfluss mitlesen. Da es so keinen Passwort-Cracker für SSL PEM Dateien gibt, hat Graham sich einen eigenen geschrieben.

Da die Brute-Force Methode (alle denkbaren Kombinationen an Zeichen durchgehen) Jahre dauert, fiel die Wahl auf ein Wörterbuch-Verfahren. Dabei benutzte er ein Wörterbuch mit Standardwörtern, wurde jedoch nicht fündig. Im memory-Dump (der Output vom Debugger von vorhin) muss eigentlich der Schlüssel auf drin enthalten sein. Aus der Datei, die strings lieferte, nahm er dann alle Wörter mit Kleinbuchstaben (da sonst 150.000 Wörter vorhanden wären) und wurde mit dem Wort „komodia“ nach 10 Sekunden fündig.

Mit dem OpenSSL tool kann man nun die Schlüssel entschlüsseln und so nun benutzen.

Reaktion von Lenovo

Da Superfish unter Lenovo vorinstalliert ist, hat Lenovo direkt ein Deinstallationstool mit Tipps zum entfernen aller Superfish Zertifikate und Einträge.

CCC fordert Verbot unverschlüsselter Verbindungen

Niemand möchte, dass seine persönlichen Daten gelesen werden - auch nicht von Geheimdiensten.

Niemand möchte, dass seine persönlichen Daten gelesen werden – auch nicht von Geheimdiensten. Quelle: http://pixabay.com/static/uploads/photo/2013/06/30/06/12/keyboard-142332_640.jpg

Wie man es vom CCC (Chaos Computer Club) nicht anders erwartet, fordert dieser ein Verbot unverschlüsselter Verbindungen, z.B. bei der Übertragung von Kundendaten. Dies ist eine Reaktion auf das Verbot absoluter Verschlüsselung (ohne Hintertür für Geheimdienste), wie es Cameron, Obama und kürzlich auch Innenminister de Maizière, nach dem Anschlag in Paris, gefordert haben. Cameron hatte als erster vorgeschlagen, dass man den Geheimdiensten einen „Generalschlüssel“ für alle Verschlüsselungsverfahren geben solle, damit diese ungehindert mitlesen können.

„Niveau von Windows 3.1“

Die Forderung der Politik eine absolute Verschlüsselung ab zu schaffen, geht darauf zurück, dass „das Rad der technischen Evolution auf das Niveau von Windows 3.1 zurückgedreht“ werde, so der CCC. Der Politik sei dieser Sachverhalt aber anscheinend „noch nicht erklärt worden“.

Unklar ist bisher auch, wie die Umsetzung eines „Generalschlüssels“ für die Geheimdienste aussehen soll, denn eine Sicherung solcher Schlüssel an zentraler Stelle, wäre quasi der Heilige Gral aller Hacker – und auch aller Terroristen.

Verschlüsselungsverbot praktisch nicht durchsetzbar

Laut dem CCC sei eine Umsetzung eines Verbotes der absoluten Verschlüsselung nicht nur gefährlich (wie oben schon genannt), sondern auch so gut wie nicht umsetzbar. Der CCC rät weiterhin zu harter Verschlüsselung, wie etwa Verschlüsselung mit Hilfe von GnuPG. Dadurch lassen sich Mails Hintertür-frei mittels RSA verschlüsseln. Auch der BSI ist auf der Seite vom CCC und befürwortet eine durchgehende Verschlüsselung aller Verbindungen.

Statement:

(eigene Meinung)
Ich stehe absolut hinter dem CCC und finde es ein Unding, dass jemand auch nur auf die Idee kommt per Gesetz Hintertüren für Verschlüsselung bereit stellen zu lassen. Meiner Meinung nach zeugt das von entweder a) Geldgierigen Beratern der Zuständigen, oder b) von Unkenntnis. Jeder Politiker, für den Internet „Neuland“ ist, soll die Finger von solchen Gesetzen und solchen weitreichenden Plänen lassen.

Keine WebView-Updates für viele Android Geräte mehr

Google liefert teils keine WebViewer Updates mehr.

Ohne Sicherheitsupdates für den WebViewer wird surfen mit dem Smartphone weniger sicher. Quelle: http://upload.wikimedia.org/wikipedia/commons/7/75/Internet1.jpg

Google hat entschieden, dass es keine WebView-Updates für viele Android Geräte mehr geben wird. Betroffen sind alle Versionen bis Android 4.4, also 4.3 und älter. Was das für Folgen hat und wie Benutzer und Hersteller darauf reagieren werden ist noch offen, doch so viel steht fest: Sicherheit ist was anderes.
Zu WebView: WebView ist die zentrale Komponente von Android, die Webseiten rendert (also HTML-Daten in fancy Bilder und Text umwandelt), doch dabei gibt es im Bereich Javascript einige Bugs (dazu später mehr).

Kein Support mehr: Folgen und Gründe

Fast eine Milliarde Android Geräte, was ca.60% aller Android Geräte ausmacht, werden dem zu Folge nicht mehr mit WebView-Updates beliefert, was heißt, dass in diesen Geräten eine bekannte Lücke im WebView von Android bestehen bleibt und nicht gefixt wird.

Als Grund hierfür nennt Google, dass Jelly Bean (also Android 4.1.x bis 4.3) und alle vorherigen Versionen zu alt wären. Es ist zwar oft so, dass Software, die zwei oder drei Versionen zurück liegt nicht mehr mit (allen) Updates versorgt wird, dennoch ist die Zeitspanne, im Vergleich zu Windows oder anderen Software Produkten, zwischen Android Versionen relativ kurz.

Sicherheitslücke im WebView

(mehr …)

Ist der Cloud Computing Hype vorbei?

Cloud Computing - Das Rechnen in der Wolke.

Cloud Computing – Das Rechnen in der Wolke.
Quelle: https://c2.staticflickr.com/4/3109/3082993732_d74754eee6.jpg

Vor allem nach dem NSA-Skandal scheint die Stimmung über Cloud Computing getrübt zu sein, heißt dass, das der Cloud Computing Hype vorbei ist? Viele sagen ja, doch die Geschäftszahlen sprechen zum Teil andere Worte.

Cloud Computing

Cloud Computing (engl. für rechnen in der Wolke) ist ein Konzept, nach dem Daten und Programme/Dienste nicht mehr auf dem lokalen Rechner gespeichert und ausgeführt werden, sondern in einem entfernten Rechenzentrum (Cloud). Dabei gibt es wieder das Problem, dass der normale Benutzer nicht genau weiß, wo seine Daten gerade sind und unter welchem Rechtsstand diese liegen. Wie bei Trusted Computing gibt man auch bei Cloud Computing die Kontrolle über seine Daten an Dritte ab – hier allerdings freiwillig.

Der Cloud Computing Hype

Seit ca. 2009/2010 sprechen viele – vor allem im privaten Sektor – von einem Cloud Computing Hype. Viele Dienstleister bieten nun Cloud-Dienste an und besonders aus dem Bereich des Mobile Computing (… also Handys 😉 ). Dies kann man interessanter Weise an der Anzahl an Suchanfragen zu diesem Thema erkennen. Google bietet mit Google Trends gleich einen passenden Dienst an. Wenn man nach Cloud filtert, bekommt man eine Kurve von 2004 bis heute.

Dies sieht man auch am Gartner Hype Cycle der Jahre 2010 und 2014. Diese Graphen zeigen einem, was momentan gehypt wird und wie lange es dauert, bis man dafür einen … sagen wir sinnvollen Nutzen findet 😉 . Tatsächlich gibt die Anzahl an Jahren aus der Legende die Dauer bis zu einer langfristig produktiven Nutzung an – bei Cloud Computing sind dies momentan 2-5 Jahr.

Nach dem NSA Skandal

(mehr …)