In regelmäßigen Abständen veröffentlichen verschiedene Unternehmen und Organisationen aus dem IT-Sicherheitsumfeld Statistiken, um die vermeintlich „sichersten“ oder „unsichersten“ Anwendungen auszumachen. Meistens wird dazu die Anzahl der veröffentlichten Schwachstellen ausgezählt. Aus den Ergebnisse lassen sich dann leicht verständliche und vielfach zitierte Listen erschaffen.
Diese Fleißarbeit – das Auswerten der diversen Quellen ist eine zeitraubende Angelegenheit – mag durchaus löglich sein, die Ergebnisse sind aber oftmals leider nicht besonders aussagekräftig. Denn damit IT-Profis, Forscher und Endanwender wirklich Nutzen aus solchen Erhebungen ziehen können, müssen jede Menge Punkte miteinbezogen, ermittelt und ausgewertet werden. Diese Extra-Arbeit wird aber oftmals nicht geleistet. So ist es wichtig zu wissen, wie lange die jeweils betroffenen Hersteller eigentlich benötigten, um die gemeldeten Lücken zu schließen. Selbst eine sehr niedrige Anzahl gemeldeter Bugs kann immense Gefahr für die Nutzer der betroffenen Anwendungen bedeuten, wenn die Lücken nicht schnell aus der Welt geschafft werden. Auch die Quelle der Lücke ist relevant: Hat der Hersteller die Schwachstelle selbst entdeckt und hatte so genug Zeit, sie in Ruhe zu schließen? Oder wurde das Sicherheitsupdate unter Druck entwickelt, weil der Exploitcode in frei zugänglichen Internetforen kursierte und kriminelle Hacker reichlich Zeit hatten, die Lücke zu missbrauchen? Außerdem sollte beim Erstellen der Bug-Statistiken in Betracht gezogen werden, wie leicht die jeweilige Lücke ausnutzbar ist. Microsoft gibt diesen „Exploitability Index“ genannten Wert bei jedem Sicherheitsupdate mit an. Denn so können IT-Profis schnell ersehen, wie wahrscheinlich und weitreichend ein Missbrauch der Schwachstelle wäre. Manche Lücken lassen sich beispielweise nur unter komplexen Umständen missbrauchen und auch nicht aus der Ferne über das Internet. Beispiele hierfür sind die noch vorhandenen Schwachstelle, die durch den Stuxnet-Wurm bekannt wurde, sowie die aktuelle Lücke im Windows-Kernel. Das Ausnutzen beider Schwachstellen setzt voraus, dass der Angreifer bereits beliebigen Code auf dem PC des Opfers ausführen kann. Er muss also zuvor schon auf anderem Weg zumindest teilweise Kontrolle über die Maschine erlangt haben. Nicht außer Acht gelassen werden darf auch die Verbreitung der betreffenden Anwendungen. Eine Lücke in einem weit verbreiteten Produkt wie Microsoft Windows oder Adobe Flash hat ein anderes Gewicht als Schwachstellen in einem Browser mit nur geringem Marktanteil oder einem Instant Messenger, der nur in manchen Teilen der Welt populär ist. Natürlich müssen auch Bugs in den beiden letztgenannten Produkten behoben werden. Aber das Risiko für die weltweite Nutzergemeinde ist in diesen Fällen sicher niedriger. Ein weiterer Punkt, den es zu beachten gilt: Hat das betroffene Produkt eine Möglichkeit zur automatischen Aktualisierung? Denn wenn ja, dann können Updates schnell oder sogar ohne Zutun des Nutzers verteilt werden. Fehlt ein Autoupdater, müssen die Anwender entweder selbst regelmäßig auf den Webseiten der Hersteller der von ihnen eingesetzten Software vorbei schauen. Oder sie sind auf die Dienste einer Software wie Secunia PSI angewiesen. Zu guter Letzt sei noch erwähnt, dass längst nicht alle Softwarehersteller Bugs sofort nach deren Auftauchen kommunizieren. MancherAnwendungs- oder Betriebssystemlieferant schließt die Lücken, ohne dies öffentlich und im Detail zu dokumentieren. Daher bleibt eine Statistik immer lückenhaft. Zieht man all diese relevanten Faktoren in Betracht, wird schnell klar, wie aufwändig eine wirklich aussagekräftige Bug-Statistik ist. Ich jedenfalls habe größten Respekt vor dem, der sich an ein solches Unterfangen wagt. Bis dahin werde ich auch weiterhin mit Interesse die diversen Reports studieren, die von den jeweiligen Sicherheitsexperten erstellt werden. Wobei ich die Resultate immer mit einer gesunden Portion Skepsis betrachten werde.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Ok viele Worte macht der Kollege in diesem Video nicht .-) aber manchmal sind die Informationen einfach wichtiger als der Rahmen: dort wird SuperPreview als Feature von Expression Web einfach mal in Aktion gezeigt. SuperPreview ermöglicht das Betrachten einer Webseite in verschiedenen Browsern gleichzeitig, die Anzeige ist nebeneinander aber auch überlagert möglich.
Aber nun will nicht weitere Worte verlieren. Schauen Sie doch einfach selbst.
So können etwaige Darstellungsfehler sofort erkannt und mit Hilfe der DOM-View auch die Stelle im Code ermittelt werden, an welcher das Problem vorliegt. So ist das Anpassen von Darstellungsfehlern einfach und schnell möglich, noch bevor man die Seite auf dem Server bereit stellt. Nativ unterstützt SuperPreview IE6, 7, 8, und den Kompatibilitätsmodus von IE8 sowie FireFox 3.0, 3.5 und 3.6. Über die neue Remotebrowserfunktion kann neben Safari 4 und 5 für Macintosh auch die IE9 Beta getestet werden.
Lars Schmoldt
Der Sicherheitsforscher Nart Villeneuve hat eine umfassende Analyse der Schadsoftware Koobface angefertigt und als PDF-Datei zum Download gestellt. Koobface – der Name ist ein Anagramm von „Facebook“ – verbreitet sich hauptsächlich in Sozialen Netzwerken und infiziert dem Report zufolge an einzelnen Tagen zwischen 1900 und zirka 4000 neuen PCs. Verbreitet wird die Schadsoftware über die innerhalb Facebooks massenhaft auftauchenden, sensationsheischenden Nachrichten, die auf vermeintlich skandalöse Videos verweisen. Der Link in den Nachrichten oder Pinnwand-Postings zeigt aber nicht auf einen Clip, sondern führt zur Infektion des Opfer-PCs. Zumeist wird dem Anwender vorgegaukelt, dass ihm zum Betrachten des Videos noch ein Codec oder ein Update für Adobe Flash fehlt. De facto sind die nachgeladenen Dateien aber die Schadsoftware – ein bereits seit Jahren verwendeter Trick, der offenbar immer noch funktioniert. Die Koobface-Macher unterhalten eine große Menge an gefälschten Nutzerkonten in den verschiedensten Online-Diensten, um die Spam-Nachrichten verteilen zu können. Alleine knapp 22.000 Facebook-Konten, von denen ungefähr 3000 mit legitimen Nutzern befreundet sind. Auf diese Weise ist die Malware-Gang mit über 900.000 Anwendern des Sozialen Netzes in Kontakt. Wie die Analyse weiter aufzeigt, lädt Koobface in Abhängigkeit von der Geolokation des infizierten PCs verschiedene weitere Komponenten herunter. In den USA befindliche PCs werden beispielsweise mit einer gefälschten Antiviren-Software bedacht. Außerdem lässt die Schadsoftware Fenster auf dem Bildschirm der infizierten Computer auftauchen, die den Anwender zur Eingabe eines CAPTCHAs nötigen. Andernfalls würde der Computer herunter gefahren. Das CAPTCHA stammt von einem legitimen Web-Dienst wie zum Beispiel Google, bei dem das Botnet in diesem Moment gerade ein neues Konto anlegen will. Der eigentliche Zweck des Botnets ist es, Geld zu verdienen. Die Hintermänner nutzen die infizierten PCs zum Beispiel für Klickbetrug: Die Schadsoftware schleust Links oder Werbebanner in den Browser ein und verleitet den Anwender dazu, darauf zu klicken. Pro Klick bekommen die Koobface-Macher Geld (Pay per Click). Ähnlich funktioniert das Pay-per-Install-Modell. Hier werden die Cyber-Kriminellen von anderen Gaunern pro Software entlohnt, die erfolgreich auf den Opfer-PCs installiert wurde. Zumeist dürfte es sich hierbei um gefälschte Antiviren-Software handeln. Erfreulicherweise zeigt die Analyse auch auf, wie dem Botnet beizukommen ist. Der Autor der Analyse will die gesammelten Informationen nutzen, um eine konzertierte Aktion aller Beteiligten und Betroffenen zu erreichen. Denn nur so lässt sich der vielköpfigen Hydra beikommen.
Reinschauen lohnt. Deshalb sollten Sie sich diese 3 Termine schon heute vormerken. In der kommenden Woche veranstalten wir wieder TechNet Live-Webcasts zu
Als Referenten stehen die Microsoft Technical Evangelists Ralf Schnell und Steffen Krause Rede und Antwort.
Heute morgen bin ich bei tecchannel.de auf drei interessante Artikel zum Internet Explorer gestoßen, die ich Ihnen natürlich nicht vorenthalten will. In IE9 - Eigene Jumplist-Einträge zu Webseiten erstellen beschreibt der Autor Moritz Jäger nicht nur, wie sich einzelne Webseiten unter Windows 7 in der Taskleiste ablegen lassen, sondern auch dass sich mit ein wenig HTML-Kenntnissen genau jene Jumplist-Einträge nahezu beliebig anpassen und erweitern lassen.
Mit den neuen Funktionen im Internet Explorer 9 (IE9) beschäftigt sich Moritz Jäger dann in diesem Überblicksartikel. Last but not least und einer meiner Favoriten wenn es um Tipps rund um den Internet Explorer 8 geht, ist seine Schritt-für Schritt-Anleitung zu Internet Explorer immer im InPrivate-Modus starten.
Als Microsoftie freut es mich natürlich, wenn sich freie Autoren mit unserem Webbrowser befassen. Ein Blick über den Tellerrand lohnt schließlich immer. Nicht außer Acht lasse ich natürlich unsere Microsoft-internen Blogs, die - ebenfalls weit entfernt von dem üblichen Marketing - eine gute Quelle für technische Erläuterungen sowie Tipps und Tricks sind
Daran haben auch schon im vergangenen Jahr viele TechNet-User viel Spaß gehabt. Jeder Tag ein schlauer Tipp, also einer, der sie wirklich beruflich weiter bringt. An dieser Stelle werde ich noch bis in den Dezember hinein Links zu IT-Adventskalendern publizieren. Sie müssen mir nur sagen welche? Ob als Kommentar zu diesem Blog (keine Sorge: es funktioniert wirklich. Ich muss Kommentare nur händisch freigeben) oder über das Kontaktformular. Immer her damit!
Den Anfang macht heute die Ankündigung von faq-o-matic.net jeden Tag neue Tipps und Tricks zu Active Directory zu posten. Alternativ kann man ihnen auch auf Twitter folgen. Der Hashtag lautet #fomAdv
Microsoft stellt ab sofort eine Reihe neuer Gratis-Tools bereit, die IT-Profis in Verbindung mit dem Security Compliance Manager das Leben erleichtern: Zwei neue Security Baselines (Windows Server 2008 R2 und Office 2010) sowie zwei Setting Packs (Windows 7 und Internet Explorer 8). Gemeinsam mit dem Security Compliance Manager können Unternehmen die Security- und Compliance-Anforderungen für die meistgenutzten Microsoft-Produkte effizient verwalten.
In Kombination mit dem Security Compliance Manager und bewährten Praxistipps helfen Ihnen die Baselines beim Planen, Verbreiten und Überwachen von Sicherheitsmaßnahmen für Maschinen, auf denen Windows Server 2008 R2 oder Office 2010 installiert ist. Die SecurityBaselines basieren auf von Microsoft empfohlenen Lösungen, damit Sie Ihre derzeitigen Sicherheitsprobleme angehen können. Mit den Settings Packs definieren Sie individuelle Sicherheitsregelungen, die über den durch die Security Baselines vorgegebenen Rahmen hinaus gehen. IT-Profis können somit maßgenschneiderte Richtlinien erstellen und so die Sicherheit von Windows 7 und Internet Explorer 8 erhöhen. Die Settings Packs sind gleichzeitig Bestandteil der Security Baselines. Der Security Compliance Manager spielt zusammen mit dem Microsoft Assessment and Planing Toolkit (MAP) und dem Microsoft DeploymentToolkit (MDT). Mehr Details hierzu finden Sie hier http://technet.microsoft.com/en-us/solutionaccelerators/default.aspx. Den Security Compliance Manager selbst finden Sie zum Download im Microsoft Download Center.Wer bereits mit dem Tool arbeitet, kann die neuen Security Baselines und Settings Packs abrufen, indem er auf den Menüpunkt Tools klickt und dort den Eintrag Check for Baselines auswählt.
Fingerabdruckleser sind ein bewährtes Verfahren, wenn es um das Anmelden am Betriebssystem oder das Entschlüsseln von Daten geht. Das in Regensburg ansässige Unternehmen Psylock setzt bei seinem Loginverfahren zwar ebenfalls auf Biometrie und auch die Finger haben etwas damit zu tun. Aber die Finger tippen einen ganzen Satz, anstatt über den Leser zu streichen. Denn Psylock erkennt den Anwender anhand seines Tippverhaltens. Also daran, wie lange er eine Taste herunterdrückt, die Fingerfertigkeit beim Finden der Tasten oder in welchem Rhythmus die Tastengedrückt werden. Dabei spielt es keine Rolle, welchen Satz der Nutzer eintippt – es geht lediglich um das Tippprofil. Der einzugebende Satz kann also auch von der jeweiligen Anwendung – etwa einer Web-Applikation – vorgegeben und im Login-Fenster angezeigt werden. Das Vergessen des Passwortes ist damit Geschichte. Warum ich Psylock hier im Blog erwähne? Weil ich die Technik für bemerkenswert und ausgesprochen nützlich halte. Insbesondere der Wegfall von IT-Supportstunden, die aufgrund von vergessenen Kennworten notwendig werden, ist ein Segen für jedes Unternehmen. Zudem ist das Verfahren sicherer als eine rein auf Nutzernamen und Passwort basierende Absicherung. Die Tippbiometrie lässt sich auch mit einem weiteren Faktor wie einem Token oder einem Zertifikat kombineren. Psylock integriert sich auf Wunsch auch in Windows XP und ersetzt in diesem Fall die systemeigene GINA (Graphical identification and authentication), also die Windows-Komponente, die nach Druck von Strg, Alt und Ent Benutzernamen und Passwort entgegen nimmt. Laut Psylock sollen Varianten für Windows Vista und Windows 7 in Zukunft ebenfalls bereit stehen. Basis der Profilerkennung ist ein vorheriges Training: Der Nutzer muss einen vorgegebenen Satz neunmal abtippen. Schreibfehler müssen nicht korrigiert werden, sie gehören zum Profil. Später gleicht das System dann das Tippverhalten beim Schreiben eines beliebigen anderen Satzes mit den hinterlegten Daten ab. Ändert sich das Tippverhalten, beispielsweise durch eine Verletzung oder eine andere Tastatur [Update: siehe Kommentar unten von Psylock], muss erneut trainiert werden. Das kann unter Umständen problematisch sein, so dass immer ein zweiter Anmeldeweg bereit stehen sollte. Mit Bildschirmtastaturen wie der des Apple iPad oder den von Smartphones eingeblendeten Versionen kommt Psylock nicht zurecht: hier kann das System die Dauer des Tastendrucks mangels Tastenhub nicht messen.
Am 4. und 5. Dezember 2010 findet bereits zum dritten Mal der weltweite Programmierwettbewerb "Random Hack of Kindness" statt. Unter dem Motto "Hacking for Humanity" treffen sich dabei Entwickler zu einem Programmiermarathon, bei dem Anwendungen erstellt werden sollen, die in Krisensituationen helfen, oder der Prävention und dem Schutz dienen.
Die Lösungen sollen zum Beispiel dabei unterstützen, Notfallsituationen unter anderem durch Naturkatastrophen, Terrorismus oder Pandemien besser zu überstehen, Schäden zu begrenzen und Hilfe effektiver leisten zu können. Die Anwendungen können sowohl für Bürger oder Betroffene als auch für Spender, Hilfeleistende, Hilfsorganisationen oder andere Akteure nützlich sein.
Die zu bearbeitenden Probleme und Aufgaben werden zuvor von einer Expertengruppe definiert und dann bei den jeweiligen Events in Angriff genommen. Gegründet wurde diese Initiative 2009 von der Weltbank, NASA, Google, Yahoo! und Microsoft.
Neben weltweiten Metropolen wie Bangalore, Bogota, Jakarta, Nairobi, New York, Sao Paulo oder Toronto werden im Dezember auch erstmals zwei europäische Städte Teil des Programmierevents sein: Neben dem dänischen Aarhus wird auch die deutsche Hauptstadt Berlin Gastgeber für über 100 engagierte Entwickler sein.
Interessierte Programmierer sind herzlich dazu eingeladen, sich anzumelden und ihr Fachwissen bei der Veranstaltung im Betahaus in Berlin für die gemeinnützigen Projekte einzubringen. Microsoft Deutschland unterstützt als Sponsor die Berliner Veranstaltung unter anderem mit einer Xbox plus Kinect als einen Preis für die Gewinner.
Knapp zwei Wochen nachdem Microsoft neue Funktionen seines Cloud-Betriebssystems Windows Azure vorgestellt hat,präsentiert Microsoft auf der TechEd Europe seine neue Lösung für die "Private Cloud", die das Hyper-V Cloud-Programm und das System Center integriert. Gemeinsam mit Dell, Fujitsu, Hitachi, HP, IBM und NEC entwickelt Microsoft zukünftig vorgefertigte Cloud-Infrastrukturen und -Services auf Basis der Microsoft Windows Server Plattform, die Private Clouds in Unternehmen unterstützen. In Berlin zeigen Microsoft und HP mit der "HP Cloud Foundation für Hyper-V" zudem das erste Ergebnis der gemeinsamen Cloud-Kooperation.
Microsofts Windows Server Hyper-V stellt bereits umfassende Virtualisierungs- und Management-Funktionen bereit. Microsoft System Center wiederum enthält alle Komponenten die Unternehmen benötigen, um eine Private Cloud aufzubauen. Diese erfolgreichen Server-Lösungen fließen nun in das neue Hyper-V Cloud-Programm ein. Gemeinsam mit seinen Partnern Dell, Fujitsu, Hitachi, HP, IBM und NEC wird Microsoft zukünftig Anwendungen entwickeln, die die Umsetzung von Privat Clouds in Unternehmen unterstützen. Dazu zählen Virtualisierungs-, Storage-, Networking- und Management-Lösungen.
Mit dem System Center bietet Microsoft Verwaltungs- und Management-Lösungen mit der IT-Experten physische und virtuelle IT-Umgebungen über Rechenzentren, Clientcomputer und Geräte hinweg steuern und administrieren können. Integriert in die Privat Cloud Lösung erhalten Anwender ein Werkzeug,das für mehr Produktivität und Effektivität ihrer IT-Infrastruktur sorgt. Anwender können die Auslastung ihrer Netzwerk- und Storage-Ressourcen gezielt planen, bündeln und steuern - wesentliche Faktoren, die zu mehr Sicherheit und Effizienz in der Private Cloud führen.
Was Microsoft als erste gemeinsame Cloud-Anwendung in Berlin präsentiert hat, welche weiteren Elemente das Hyper-V Cloud Programm enthält und weiterführende Links finden Sie in dieser Pressemitteilung
Mehrfach haben die MSDN-Kollegen über die Fortschritte bei Charles Petzolds neuem Buch "Programming Windows Phone 7" berichtet, zuletzt Anfang August. Mittlerweile ist das 1000-Seiten-Werk fertig, bei Microsoft Press erschienen – und kann als englischsprachiges eBook kostenlos im PDF-Format heruntergeladen werden.
Den Grund für das vorgezogene Weihnachtsgeschenk nennt der Autor gleich im Vorwort: "This book is a gift from the Windows Phone 7 team at Microsoft to the programming community, and I am proud to have been a part of it.”
Das da unten ist kein normaler Online-Banner .-) Rette Julia verweist aber auf eine schöne Aktion, die wir zur Zeit mit dem MCSEboard veranstalten. Worum geht's? Julia ist Angestellte in einem mittelständischen Unternehmen. Um ihren Chef zu beeindrucken und weil sie ja schon auf TechNet Springboard gesehen hatte, wie gut Windows 7 ist, hat sie einfach von sich aus das jüngste Client-OS von Microsoft bestellt.
Und nun braucht Julia Hilfe? Was macht Windows 7 so gut? In den kommenden Monaten können Sie in einer Reihe von Kategorien - den Anfang machen Sicherheit & Performance - Ihre ganz persönliche Begründung posten und auf dem MCSEboard zur Abstimmung stellen.
Die Teilnahme lohnt sich: zu gewinnen gibt es attraktive Preise - von der Binär-Uhr bis zum 3D-TV. Und zwar für den (aus Communitysicht) besten Tipp (monatlich und am Ende der Aktion den Hauptpreis) sowie für die eifrigsten Voter. Mitmachen lohnt also :-) Weitere Informationen, Teilnahmebedingungen und das entsprechende Forum gibt es exklusiv auf den Gewinnspiel-Seiten des MCSEboards
Vom 8. bis zum 12 November 2010 treffen sich in Berlin Technologiebegeisterte aus ganz Europa zur TechEd Europe, Microsofts wichtigster Konferenz in Europa. Alle, die leider nicht vor Ort in Berlin dabei sein können, haben die Möglichkeit, Teile der Veranstaltung online mitzuerleben. So wird zum Beispiel die Eröffnungskeynote von Brad Anderson am 8. November live im Netz übertragen. Außerdem wird das Team von TechNet Edge Interviews von der TechEd online zur Verfügung stellen. Eindrücke bekommt man zusätzlich über jede Menge Fotos auf der Flickr-Seite der TechEd.
Über zwei Jahre ist es her, dass argentinische Sicherheitsexperten demonstrierten wie leicht sich den Update-Mechanismen von Programmen wie iTunes, Skype oder Java Malware unterschieben lässt. Jetzt legen die White-Hat-Hacker nach und zeigen: Es hat sich kaum etwas geändert.
Erstmals zeigten die Experten der argentinischen Firma Infobyte im Frühjahr 2008, wie sie mit Hilfe des selbst programmierten Frameworks namens Evilgrade Anwendungen wie dem Adobe Reader, Suns JRE, Apples iTunes, Winzip, Winamp oder dem Browser-Plugin der Internetseite Linkedin bösartige Updates unterschoben. Die von der jeweiligen Applikation heruntergeladene Datei enthielt kein Update, sondern ein Trojanisches Pferd, das den Angreifern binnen Sekunden vollen Zugriff über den angegriffenen Rechner verschaffte.
Jetzt haben die Argentinier nachgelegt und das Framework überarbeitet. Ergebnis: Mehr als 60 legitime Anwendungen stehen jetzt im Visier des Tools, darunter weit verbreitete Applikationen wie Skype, die Browser Safari und Opera, und nach wie vor Apples iTunes und Quicktime. Auch die weit verbreitete Virtualisierungssoftware Virtualbox ist prinzipiell verwundbar. Nicht mehr länger per Evilgrade angreifbar ist der Adobe Reader. Die vollständige Liste der angreifbaren Applikationen listen die Evilgrade-Macher in einer Textdatei. In einem Video zeigen die Sicherheitsexperten Evilgrade in Aktion: Der JRE (Java Runtime Environment) wird ein bösartiges Update untergeschoben.
Die Attacke funktioniert prinzipiell auf allen Plattformen wie Windows, Mac OS X oder Linux, auf denen die angreifbare Anwendung läuft. Die Attacke basiert darauf, dass die verwundbare Anwendungen Updates ohne weitere Prüfung vom von Evilgrade simulierten Update-Server herunterladen und installieren. Der Angreifer hat die Möglichkeit, die Beschreibung und den Dateinamen des vermeintlichen Upgrades frei zu wählen.
Voraussetzung für den Evilgrade-Angriff ist eine vorausgehende Attacke auf die DNS-Einstellungen des Opfers, damit die Anwendung bei ihrer Suche nach dem Update-Server zum böswilligen Rechner umgeleitet wird. In einem Intranet ist das sehr leicht per Man-in-the-Middle-Angriff zu bewerkstelligen. Soll der Angriff über das Internet stattfinden, ist mehr Aufwand nötig. Laut den Infobyte-Experten stehen mit Techniken wie DNS-Cache-Poisoning aber wirksame Verfahren bereit.
Schutz vor einer solchen Attacke böten beispielsweise per HTTPS ausgeführte Dateitransfers. Hier müsste Evilgrade das passende SSL-Zertifikat präsentieren, andernfalls würde der Upgrade-Vorgang mit einem Zertifikatsfehler unterbrochen. Evilgrade kann diese Fehler nicht verhindern. Auch vom Hersteller der Originalsoftware signierte Updates –wie sie beispielsweise ausnahmslos per Windows Update verteilt werden – bremsen den Angreifer aus, da unsignierte Installationsprogramme ebenfalls eine Warnmeldung ausgeben.
Die neue Version von Evilgrade macht klar: Softwarehersteller sollten noch mehr Sorgfalt auf das Absichern ihrer Update-Mechanismen verwenden. Prinzipiell sind diese Mechanismen überaus löblich, da sie es einem Endkunden abnehmen, ständig nach Updates zu suchen. Andererseits bringen sie die Nutzer und ihre PCs unnötig in Gefahr. Entwickler von Software beziehungsweise der Updater sollten im Rahmen ihres Entwicklungsprozesses eine Risikoeinschätzung auf Basis eines Threat Models erstellen. Threat Modelling ist bei Microsoft schon seit Jahren fester Bestandteil aller Entwicklungen und unerlässlich für den Secure Development Lifecycle (SDL). Mehr zum SDL, Threat Modelling – inklusive einem Link zum Download eines Gratis-Tools zum Erstellen von Threat Models – halten unsere US-Kollegen bereit.
Solange die Upgrade-Wege nicht verlässlich und sicher sind, sollten PC-Anwender nur dann ein Update zulassen, wenn sie in einer sicheren Netzwerkumgebung sind. Öffentliche WLAN-Hotspots oder auch verdrahtete Hotelnetzwerke gehören nicht zu diesen Umgebungen.
Die Unsicherheit von unverschlüsselten WLAN-Infrastrukturen nutzt das Plugin für den Browser Firefox namens Firesheep aus: Es schneidet die im Klartext über das WLAN gesandten Cookies von anderen Nutzern mit. Viele Webseiten – der Autor das Plugins, Eric Butler, nennt beispielsweise Facebook und Twitter – verschlüsseln nicht die komplette Nutzersitzung, sondern wechseln nach einem per HTTPS gesicherten Login auf die unverschlüsselte Version der Site.
Ab diesem Moment ist das Cookie, in dem die Daten der Benutzersitzung gespeichert werden, leichte Beute für Datendiebe. Nur wenn auch das Cookie codiert würde, wäre ein Mitlauschen sinnlos. Wird das Cookie abgefangen, kann der Angreifer sich gleichzeitig mit dem legitimen Nutzer bei der betreffenden Website anmelden („Session Hijacking“ oder „Sidejacking“).
Das Problem der ungesicherte Cookies ist bereits seit mindestens sechs Jahren bekannt und es gibt auch bereits etliche Tools, die ähnliches bewerkstelligen wie Firesheep. Wie Eric Butler in seinem Blog schreibt, will er jetzt mehr Aufmerksamkeit auf das Problem lenken und hat daher ein leicht zu nutzendes, Laien-freundliches Plugin programmiert. Den Screenshots in Butlers Blog zufolge ist Firesheep in der Tat auch von Einsteigern ohne Technikkenntnisse anwendbar.
In einem Nachtrag zum ursprünglichen Blogeintrag liefern Butler und sein Kollege Ian Gallagher weitere Erläuterungen zur Funktionsweise. Außerdem geben Sie Tipps, wie sich Cookies auch in ungesicherten WLANs schützen lassen.
Übrigens: Der Name des Plugins setzt sich zusammen aus einem Teil des Browsernamens Firefox und der sogenannten Wall of Sheep. Die Wall ist ein fester Bestandteil der jährlich in Las Vegas stattfindenden Hackerkonferenz Defcon: Dort werden auf eine Leinwand all die Loginnamen (und die unkenntlich gemachten Passwörter) der Nutzer projiziert, die sich unvorsichtigerweise über das ungesicherte Konferenz-WLAN bei einer nicht per SSL gesicherten Site angemeldet haben.
Wie Mitarbeiter des Cloud-Sicherheitsanbieter Seculert im unternehmenseigenen Blog schreiben, vermietet die sogenannte Iranian Cyber Army (ICA) offenbar ein Botnet. Die eventuell dem Regime im Iran zugetane Gruppe von Cyber-Untergrund-Aktivisten fiel in der Vergangenheit durch Attacken auf Twitter und die Website des chinesischen Suchmaschinenbetreiber Baidu auf. Die bei den Webseiten-Hacks hinterlassenen Nachrichten wandten sich seinerzeit gegen das den Iran betreffende Embargo der USA. Ob tatsächlich iranische Bürger oder dem Regime nahestehende Hacker hinter der Gruppe stehen, ist bislang unklar.
Den Seculert-Mitarbeitern gelang es, das Kontrollpanel des Botnets aufzuspüren, sich einzuloggen und die dort auflaufenden Statistiken einzusehen. Die dort gefundene E-Mail-Adresse ist die gleiche, die auch bei den Baidu- und Twitter-Hacks verwendet wurde. Laut Seculert lassen die Statistiken den Schluss zu, dass mehrere Millionen PCs bereits infiziert wurden, angeblich bis zu 14.000 Maschinen pro Stunde. Andere Sicherheitsexperten bezweifeln, dass es so viele sind: Aus den Zahlen gehe nicht hervor, ob einzelne Maschinen mehrfach gezählt wurden, sagte Steven Adair von der Shadowserver Foundation der Washington Times.
In mehreren Interviews – unter anderem mit der Washington Times – sagte der Seculert-Gründer Aviv Raff, dass das Kontrollpanel auch den Rückschluss zulässt, dass das Botnet an andere Cyber-Kriminelle vermietet wird. Die „Kunden“ der ICA können beispielsweise die Zahl der zu mietenden Maschinen und deren Standort angeben. Außerdem liefern die Mieter noch die zu verteilende Malware wie Zeus und der Botnet-Betreiber kümmert sich dann um deren Installation auf den bereits kontrollierten Zombie-PCs.
Laut Raff lassen Angaben der Kontrollschnittstelle Rückschlüsse darauf zu, über welche Sicherheitslücken die PCs infiziert wurden: Teilweise gibt es schon seit Jahren Sicherheitsupdates für die missbrauchten Schwachstellen. Ein weiterer Beleg dafür, dass allein das umgehende Installieren von Sicherheitsupdates deutlich mehr Sicherheit ins Internet bringen würde. Außerdem helfen natürlich aktuelle Virenscanner wie Forefront gegen die Trojaner, mit denen die PCs infiziert werden sollen.