Ab sofort ist unser Security Intelligence Report (SIR) in der vierzehnten Auflage zum Download verfügbar. Erstmals führen die US-Kollegen, die den Report zusammenstellen, in diesem SIR den konkreten Nutzen von Anti-Malware-Software auf. Im ersten Kapitel beschäftigt sich der Report damit, warum einzelne Nutzer auf Sicherheitsprogramme verzichten. Meist geschieht das aus Versehen, etwa wenn ein Abonnement oder eine Testversion ausläuft. Ein weiterer neuer Wert in dieser Sektion ist CCM (Computers Cleaned by Mille). Diese Daten kommen von unserem hauseigenen Malicious Software Removal Tool (MSRT, auf Deutsch: „Tool zum Entfernen bösartiger Software“). Wir haben es erstmals im Januar 2005 eingeführt, seitdem sollte es auf den meisten Windows-Systemen verfügbar sein.
Seit kurzem können wir über dieses Tool auch anonymisierte Daten erhalten, etwa zum Status der installierten Sicherheitslösung (das klappt nur, wenn der Administrator des Rechners damit einverstanden ist). Im zweiten Halbjahr 2012 waren rund 24 Prozent aller Systeme, über die wir Daten erhalten haben, komplett ohne Schutz oder mit veralteter Anti-Viren-Software ausgestattet. Das wirkt sich die Sicherheit aus, Rechner ohne Schutzprogramme waren im Durchschnitt 5,5-mal häufiger infiziert als PCs mit Schutzkomponenten.
Wie die Malware auf den Rechner kommt, damit beschäftigt sich der zweite und deutlich umfangreichere Teil des SIR. Das Kapitel zeigt die aktuell genutzten Schwachstellen, analysiert die verschiedenen Exploits und wirft einen Blick auf die im Umlauf befindlichen Malware-Familien und andere ungewollte Software. Hier finden sich auch die globalen Infektionsraten (in Deutschland sind sie im zweiten Halbjahr leider um 3,9 Prozent gestiegen). Den ersten Platz nehmen die Vereinigten Staaten ein, gefolgt von Brasilien und Korea.
Bei der Malware, die von infizierten Seiten verteilt wird, liegen Trojaner immer noch ganz vorne. 47,5 Prozent aller verteilten Schadprogramme sind Downloader und Dropper. Diese laden nach der Infektion weitere Programmteile herunter um die infizierten Rechner in flexible Plattformen für Kriminelle zu verwandeln. 35,2 Prozent entfallen auf Trojaner mit anderen Funktionen. Die Statistik zeigt klar, dass Malware nach wie vor ein Geschäftsfeld ist: Trojaner verwandeln die Systeme in Ressourcen, die von den Kriminellen genutzt oder an andere vermietet werden können. Würmer oder Viren, Malware, die noch vor fünf Jahren deutlich präsenter war, geraten ins Hintertreffen. Am weitesten verbreitet (mit 20,8 Prozent) ist die Trojaner-Familie Win32/Swisyn. Auf Platz zwei (10,7 Prozent) folgt der Trojaner Win32/Meredrop, anschließend kommt Win32/Microjoin (7,1 Prozent, ebenfalls ein Trojaner/Dropper).
Der SIR ist unser halbjährlicher Bericht rund um IT-Sicherheit, wobei der knapp 120 Seiten starke SIR 14 den Zeitraum von Juli bis Dezember 2012 abdeckt. Basis der Analysen sind unter anderem die Meldungen über Schädlinge und Angriffe, die von mehreren hundert Millionen Windows-PCs – mit Zustimmung der Anwender – weltweit an Microsoft übermittelt werden. Die US-Kollegen haben daraus Daten zu Kategorien wie Sicherheitslücken, genutzte Exploits, Malware, Spam, Phishing oder Sicherheitstrends aus mehr als 105 Orten auf der Welt zusammengetragen, analysiert und verständlich aufgeschrieben.
Der komplette Microsoft Security Intelligence Report 14 kann hier als PDF heruntergeladen werden. Zudem haben wir eine 19-seitige Zusammenfassung erstellt, diese ist ebenfalls kostenlos als PDF erhältlich.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Den aktuellen TechNet Newsflash im Audioformat finden Sie im unteren Teil dieses Blogbeitrags. Heike Ritter, Bernhard Frank und Denis Mrksa informieren Sie über Neuigkeiten zu Microsoft-Technologien, aktuelle Angebote, Veranstaltungen und Webcasts.
TechNet Newsflash als mp3.
TechNet Newsflash in Schriftform.
Ich wünsche viel Spaß beim Hören!
Freundliche Grüße,
Florian Stadtfeld
Der kostenlose TechNet NewsFlash informiert Sie alle 14 Tage über die wichtigsten Neuheiten und technischen Ressourcen für IT-Professionals. Ab sofort können Sie den Flash nicht nur in der klassischen Form, sondern auch als Podcast erhalten - für's Auto, die Bahn oder die schnelle Info.
Die Kollegen Heike Ritter und Bernhard Frank haben den letzten NewsFlash aufgezeichnet und werden das nun im 2-wöchentlichen Rhythmus fortführen. Der Flash informiert Sie über neue Microsoft-Inhalte und -Services für IT Professionals, Veranstaltungen, Downloads, Beta & Testversionen, neue Inhalte der Microsoft Virtual Academy und viele andere aktuelle Informationen rund um Windows 8, System Center, Windows Server, SharePoint...
Hier können Sie die mp3-Datei herunterladen. Den NewsFlash mit all den Links zu den angekündigten Veranstaltungen, Downloads etc. aus dem Audio-Flash finden Sie hier: NewsFlash 07/2013
Auch wird es in Kürze ein RSS-Feed dazu geben, damit der aktuellsten Podcast problemlos auf Ihre Audio-Devices gelangt.
Wir freuen uns über Ihr Feedback zum neuen NewsFlash-Format!
Ihr TechNet Team
Die offizielle Unterstützung für Windows XP mag zwar im April 2014 auslaufen (mehr dazu hier). Wir ignorieren das Betriebssystem deshalb aber natürlich nicht. So ist es uns ein wichtiges Anliegen, auf den Umstieg vom Hash-Algorithmus SHA-1 auf einen der unter SHA2 zusammengefassten Nachfolger hinzuweisen. Zu diesem Wechsel rät unter anderem die US-Behörde NIST.
Wer SHA2 auf Windows XP verwenden möchte, muss dazu das Service Pack 3 installieren. Danach kann Windows XP mit folgenden SHA2-Hashes umgehen: SHA-256, SHA-384 und SHA-512. Beim Windows Server 2003 ist es allerdings etwas komplizierter: Im SP2 ist keine Unterstützung integriert, allerdings lassen sich die Funktionen zumindest teilweise nachrüsten. Die passenden Knowledge-Base-Einträge dafür sind KB938397 und KB968730.
Seit Vista enthalten alle Desktop- und Server-Betriebssystem von Microsoft den sogenannten Cryptography Next Generation Suite B Algorithmus, zu dem auch SHA2 gehört. Wer also Windows Vista, Windows 7, Server 2008 oder Server 2008 R2 betreibt, der muss nichts mehr nachinstallieren.
Empfehlung für den Einsatz mit Windows XP und Server 2003
Im Alltag können vor allem dann Probleme auftreten, wenn ältere Versionen von Windows mit einem Produkt oder einem Dienst eines Drittanbieters interagieren, falls dieser auf SHA2 umsteigt. Die Kollegen des englischsprachigen Windows PKI Blogs haben daher folgende Empfehlungen beim Einsatz ausgesprochen
Sonderfall: S/MIME und Outlook
Neben dem Einsatz zum Login werden Smart Cards auch gerne zum Signieren von E-Mails per S/MIME verwendet. Ist Outlook in Version 2003, 2007 oder 2010 auf einem Rechner mit Windows XP SP3 installiert, kann das Programm ein Zertifikat signieren und validieren, wenn dieses mit SHA2 signiert wurde. Allerdings können die Programme auf Windows XP SP3 keine E-Mail-Nachrichten validieren, wenn diese Nachricht mit SHA2 signiert wurde. Im Gegenzug können Nutzer auf Windows XP ihre Outlook-Nachrichten nur per SHA-1 oder MD5 signieren, SHA2 ist nicht möglich. Um Nachrichten mit SHA2 zu validieren, ist mindestens Windows Vista mit Outlook 2003 notwendig (neuere Systeme und Versionen von Outlook gehen natürlich auch); um SHA2-Nachrichten zu signieren und zu validieren benötigt der Nutzer mindestens Windows Vista und mindestens Outlook 2007.
Die Kollegen im PKI-Blog haben am Ende ihres Beitrags eine sehr gute Übersicht zu den verschiedenen Anwendungsfällen von SHA2 und Windows-Systemen zusammengestellt. Zudem sollten Unternehmen und Nutzer nicht vergessen, dass der Extended Support für Windows XP im April 2014 ausläuft.
BitLocker haben wir als Sicherheitstechnik seit Windows Vista fest in unsere Betriebssysteme integriert. Die Technik bewährt sich immer wieder gegen Attacken. Allerdings gibt es auch hier theoretische Angriffsszenarien, wie beispielsweise die Spezialisten von Elcomsoft gezeigt haben. Elcomsoft bietet ein Tool, mit dem sich Daten theoretisch auslesen lassen. Dies funktioniert allerdings nur, wenn der Angreifer physischen Zugriff auf den Rechner erhält, um ein Speicherabbild zu erbeuten. Im Speicher-Image finden sich die notwendigen Informationen zum Entschlüsseln der Daten. Chancenlos ist diese Angriffsmethode, wenn das System im Hibernate-Modus ist, also der Inhalt des Arbeitsspeichers komplett auf die Festplatte geschrieben (und damit verschlüsselt) wurde.
Genau hier setzt das Tool You never take me alive (YoNTMA) von iSEC Partners an. Die Anwendung läuft als Dienst auf einem Windows-Rechner mit aktiviertem Bitlocker (unterstützt werden Vista, Windows 7 und Windows 8). Sobald der PC in den Stand-By schaltet, wacht YoNTMA auf. Wird nun das Stromkabel oder ein angeschlossenes Ethernet-Kabel entfernt, versetzt YoNTMA den Rechner sofort in den Hibernate-Modus, verschlüsselt so den Arbeitsspeicher und schützt die Daten gegen die von Elcomsoft gezeigte Attacke.
Um Zweifel an der Funktionstüchtigkeit seines Programms zu zerstreuen – schließlich vertrauen Anwender YoNTMA sensible Daten an – hat iSEC Partners den Quelltext auf GitHub veröffentlicht.
Wie realistisch ist nun so eine Attacke gegen verschlüsselte Daten? Um diese Frage zu beantworten muss man weiter ausholen: Das Elcomsoft-Tool ist nur erfolgreich, wenn es unverschlüsselte Daten des PCs kopieren kann – sprich, der PC oder das Notebook muss aktiv sein, sich im Standy-By-Modus befinden oder über einen Firewire-Anschluss verfügen. Letzteres ist auf Windows Systemen zwar selten, beim Thema Notebook im Stand-By sieht es allerdings anders aus. Vor allem Notebooks werden immer wieder gestohlen, selbst wenn man sie nur kurz aus den Augen lässt. BitLocker, in Kombination mit YoNTMA, schützt solche Daten vor unbefugtem Zugriff. Dann ist zwar immer noch die Hardware verloren. Die sensiblen Informationen, oftmals deutlich wertvoller als das Gerät, sind aber bestmöglich gegen Zugriffe geschützt.