TechNet Blog Deutschland : Sicherheit

Industrie 4.0 und die (un)freiwilligen Tage der „Offenen Tür“

Michael Kranawetter - CSA — Fri, 24 May 2013 07:59:00 GMT

Eine Recherche des Fachmagazins c’t sorgte kürzlich gleichermaßen für tiefe Sorgenfalten und heftiges Kopfschütteln: Private Heizungen, die sich via Internet manipulieren lassen; Anlagen zur Steuerung von Gefängnisduschen, die im „offenen Vollzug“ freigebig Passwörter ausplaudern; ein Blockheizkraftwerk, das durch wenige Maus-Klicks seine Kunden im Dunkeln stehen ließe oder eine Brauerei, die remote trockengelegt werden kann. Es sind solche realen Beispiele der virtuellen Möglichkeiten, die zeigen, dass wir auf dem Weg zur „Industrie 4.0“ noch einiges an Basis- und Aufklärungsarbeit zu leisten haben.

Die nächste Evolutionsstufe der industriellen Wertschöpfung ist in der Tat verlockend. Maschinen, und Sensoren, die über das "Internet der Dinge" ihre Daten austauschen, ein Zusammenwachsen zwischen Produktions- und Unternehmens-IT, das zu mehr Effizienz und höherer Flexibilität in dezentralen, hochgradig vernetzten Systemen führt. Hier kann sich Deutschland in Branchen wie dem Automobil-, Maschinen- oder Anlagenbau fit machen für die globalen Herausforderungen des 21. Jahrhunderts.

Doch die Recherchen der c’t belegen: Es fehlt mitunter die Sensibilität für die potentiellen Sicherheitsrisiken. Die klassische Produktions-IT hinkt hinterher. Zurecht fordert die „Plattform Industrie 4.0“ mit ihren tragenden Verbänden BITKOM, VDMA und ZVEI daher das Ausarbeiten integrierter Sicherheitskonzepte, -architekturen und standards. Noch zu entwickelnde Referenzarchitekturen könnten hier Orientierungshilfe geben.

Klassische Softwareanbieter und IT-Anbieter müssen ihren Erfahrungsvorsprung im Umgang mit Bedrohungsszenarien beim Thema Security und Privacy einbringen. Microsoft hat beispielsweise schon zu Beginn des Jahrtausends auf verstärkte kriminelle Cyber-Angriffen mit Initiativen wie „Trustworthing Computing“ oder dem „Security Development Lifecycle“ reagiert und das Thema Sicherheit integral in die Entwicklung und den Lebenszyklus seiner Produkte aufgenommen. Und wir unterstützen ausdrücklich das Engagement des Staates, dass er durch die Gründung der Allianz für Cyber-Sicherheit untermauert hat. Die Allianz ist eine Initiative des BSI und des BITKOM.

Allerdings zeigen die eingangs zitierten Fälle: Die Bedrohungen sind keineswegs Zukunftsmusik. Einige finden hier und jetzt statt. Deshalb brauchen wir neben dem breiten Schulterschluss auf dem Weg zur Industrie 4.0 bereits heute mehr Sensibilität für die losen Enden bestehender Systeme.

Hier heißt es auch: Zurück zu den Anfängen. Das „ceterum censeo“, das wir in der Unternehmens-IT wie im Consumer-Bereich seit Jahren hören, muss auch die Konzeption von internetfähigen Maschinen, Heizungen & Co erreichen: Firewalls, externer Zugriff möglichst nur via VPN, ausreichender Passwortschutz, Verschlüsselung sensibler Daten – als das gehört zum Basisschutz, ebenso wie klare Regeln und Strukturen für den virtuellen wie den physischen Zugriff auf Systeme.

Hierzu nur ein kleines Beispiel: Der Leiter unserer Global Foundation Services, also quasi der Herr über alle Microsoft-Rechenzentren, hat selbst keinen Zugang zum Datacenter. Sein Job verlangt keinen Zutritt zu den Data Centern. Also bleibt die Tür auch zu, wenn er seinen Mitarbeiterausweis ans Zutrittskontrollsystem hält.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Malware verwandelt PC in Bitcoin-Produzenten

Michael Kranawetter - CSA — Wed, 22 May 2013 20:03:00 GMT

Die virtuelle Währung Bitcoin ging in letzter Zeit verstärkt durch die Medien. Vereinfacht gesagt sind Bitcoins eine Art alternative, nicht regulierte Währung im Internet, die auf umfangreichen kryptografischen Berechnungen basiert (eine deutlich ausführlichere Erklärung bietet die Wikipedia). Wichtig zu wissen ist, dass es eine Obergrenze für die maximale Anzahl von Bitcoins gibt und dass (theoretisch) jeder die notwendigen Berechnungen ausführen kann, um neue Bitcoins zu erstellen. Zu Beginn, als relativ wenige Bitcoins im Umlauf waren, konnte selbst ein normaler PC neue Bitcoins berechnen (was als „mining“ bezeichnet wird). Inzwischen sind die Aufgaben komplexer und setzen mehr Rechenzeit oder -leistung voraus. Denn nur derjenige, der die Berechnung zuuerst abschließt, erhält den neuen Bitcoin. Entsprechend hoch ist die Rechenleistung des Bitcoin-Netzwerkes, laut einem Bericht liegt sie aktuell bei mehr als einem exaFLOP und damit „achtmal höher als die Top 500 Supercomputer kombiniert“.

Wer einen neuen Bitcoin errechnet, der hat einiges an Gegenwert auf der Festplatte. Im April lag der Umrechnungskurs teilweise bei über 200 Euro, aktuell ist eine Einheit der virtuellen Währung etwa 85 Euro wert. Dazu kommt, dass Bitcoins anonym konzipiert sind, sprich es lässt sich nicht nachvollziehen, wer der wirkliche Besitzer ist.

Diese beiden Tatsachen machen die Währung leider auch für Kriminelle interessant. So gibt es beispielsweise Malware, die gezielt nach Bitcoin-Börsen auf den Rechnern sucht und die Daten stiehlt. Der Nachteil aus Sicht der Malware-Macher: Die Besitzer merken dies meistens und werden entsprechend aktiv. Sie sind zudem oft so technisch begabt, dass sie ihre Systeme entsprechend absichern.

Der Sicherheitsexperte Dancho Danchev hat nun eine neue, kommerzielle Malware gefunden, die dieses Problem umgeht: Sie nutzt einfach die Rechenleistung der infizierten Rechner, um neue Bitcoins zu berechnen. Der Macher nutzt die App nicht nur für sich selbst, sondern verkauft sie an angehende Botmaster. Die Malware kostet den Nutzer zehn US-Dollar pro Monat, diese beinhaltet sogar einen Update-Dienst, mit dem die Malware einer Entdeckung entgehen soll. Kurz darauf ist eine zweite Version der Malware aufgetaucht, mit der sich bis zu 15 verschiedene Rechner-Pools anzapfen lassen, um Bitcoin-Mining mit unterschiedlichen Botnets zu betreiben.

Schützen kann man sich vor diesen Gefahren, wie so oft, mit einer Sicherheitssoftware und aktuellen Anti-Malware-Signaturen. Zumindest unsere kostenlosen Microsoft Security Essentials sollten auf jedem Windows-System installiert sein.

Malware: Keygeneratoren für Raubkopien sind Virenschreibers Liebling

Michael Kranawetter - CSA — Thu, 16 May 2013 07:18:00 GMT

Seit einiger Zeit erkennen unseren Anti-Malware-Spezialisten einen neuen Trend: Immer häufiger setzen Virenschreiber auf Keygeneratoren, um ihre bösartige Software zu verteilen. Im Jahr 2012 beispielswiese stieg die Anzahl der verseuchten Rechner laut unseren Forschern von fünf auf sieben Millionen (mehr Details hierzu im aktuellen Security Intelligence Report).

Woher kommt diese plötzliche Popularität? Dazu muss man verstehen, warum Nutzer Keygeneratoren herunterladen. Die Programme an sich sind meist nicht direkt bösartig: Sie sollen lediglich Seriennummern für Software generieren. Bei dieser Software handelt es sich in aller Regel um Raubkopien (die Feigenblattausrede: „Ich habe ein altes Programm, für das es keinen Support mehr gibt und von dem ich den Schlüssel verloren habe, das ich aber unbedingt brauche“ lasse ich jetzt mal außen vor). Wer also einen Keygenerator sucht und herunterlädt, der begibt sich schon einmal in die dunkleren Seiten des Internets.

Für die Kriminellen ist das enorm praktisch. Sie kapern wahlweise bestehende, funktionierend Generatoren oder schreiben einen eigenen. Letztere müssen nicht einmal korrekte Seriennummern auswerfen, solange sie nur die Malware auf die Systeme der Nutzer bringen.

Der große Vorteil für die Kriminellen: Sie müssen keinen Weg finden, um die immer besser werdenden Sicherheitsfunktionen von Betriebssystem und Anti-Malware-Software auszuhebeln. Denn der Nutzer lädt sich das Tool ja aktiv auf den Rechner und führt es selbst aus. Wollen die Malware-Schreiber auf Nummer sicher gehen, hängen sie eine Info-Datei an, in der sinngemäß steht, dass das Programm eventuell von Antivirensoftware geblockt wird, aber natürlich ungefährlich ist. Der Nutzer solle einfach seinen Schutz kurz abschalten. Diese Taktik klappt so gut, dass Keygeneratoren auf Windows 7 und Windows 8 inzwischen zu den häufigsten Einfallstoren für bösartige Programme gehören.

Mir fällt es fast ein bisschen schwer, Schutzmaßnahmen zu empfehlen, ohne schulmeisterlich zu klingen. Klar ist: Wer seine Software aus vertrauenswürdigen, legalen Quellen bezieht, der braucht keine Keygeneratoren. Auch das Scheinargument der vermeintlich zu hohen Softwarepreise wird immer häufiger durch Cloud-Angebote ausgehebelt. Office 2013 gibt es etwa zusammen mit Office 365 (und zahlreichen anderen Features) sowie fünf erlaubten Installationen bereits für zehn Euro monatlich.

Antivirensoftware nach wie vor unverzichtbar

Michael Kranawetter - CSA — Tue, 30 Apr 2013 07:47:18 GMT

Ab sofort ist unser Security Intelligence Report (SIR) in der vierzehnten Auflage zum Download verfügbar. Erstmals führen die US-Kollegen, die den Report zusammenstellen, in diesem SIR den konkreten Nutzen von Anti-Malware-Software auf. Im ersten Kapitel beschäftigt sich der Report damit, warum einzelne Nutzer auf Sicherheitsprogramme verzichten. Meist geschieht das aus Versehen, etwa wenn ein Abonnement oder eine Testversion ausläuft. Ein weiterer neuer Wert in dieser Sektion ist CCM (Computers Cleaned by Mille). Diese Daten kommen von unserem hauseigenen Malicious Software Removal Tool (MSRT, auf Deutsch: „Tool zum Entfernen bösartiger Software“). Wir haben es erstmals im Januar 2005 eingeführt, seitdem sollte es auf den meisten Windows-Systemen verfügbar sein.

Seit kurzem können wir über dieses Tool auch anonymisierte Daten erhalten, etwa zum Status der installierten Sicherheitslösung (das klappt nur, wenn der Administrator des Rechners damit einverstanden ist). Im zweiten Halbjahr 2012 waren rund 24 Prozent aller Systeme, über die wir Daten erhalten haben, komplett ohne Schutz oder mit veralteter Anti-Viren-Software ausgestattet. Das wirkt sich die Sicherheit aus, Rechner ohne Schutzprogramme waren im Durchschnitt 5,5-mal häufiger infiziert als PCs mit Schutzkomponenten.

Wie die Malware auf den Rechner kommt, damit beschäftigt sich der zweite und deutlich umfangreichere Teil des SIR. Das Kapitel zeigt die aktuell genutzten Schwachstellen, analysiert die verschiedenen Exploits und wirft einen Blick auf die im Umlauf befindlichen Malware-Familien und andere ungewollte Software. Hier finden sich auch die globalen Infektionsraten (in Deutschland sind sie im zweiten Halbjahr leider um 3,9 Prozent gestiegen). Den ersten Platz nehmen die Vereinigten Staaten ein, gefolgt von Brasilien und Korea.

Bei der Malware, die von infizierten Seiten verteilt wird, liegen Trojaner immer noch ganz vorne. 47,5 Prozent aller verteilten Schadprogramme sind Downloader und Dropper. Diese laden nach der Infektion weitere Programmteile herunter um die infizierten Rechner in flexible Plattformen für Kriminelle zu verwandeln. 35,2 Prozent entfallen auf Trojaner mit anderen Funktionen. Die Statistik zeigt klar, dass Malware nach wie vor ein Geschäftsfeld ist: Trojaner verwandeln die Systeme in Ressourcen, die von den Kriminellen genutzt oder an andere vermietet werden können. Würmer oder Viren, Malware, die noch vor fünf Jahren deutlich präsenter war, geraten ins Hintertreffen. Am weitesten verbreitet (mit 20,8 Prozent) ist die Trojaner-Familie Win32/Swisyn. Auf Platz zwei (10,7 Prozent) folgt der Trojaner Win32/Meredrop, anschließend kommt Win32/Microjoin (7,1 Prozent, ebenfalls ein Trojaner/Dropper).

Der SIR ist unser halbjährlicher Bericht rund um IT-Sicherheit, wobei der knapp 120 Seiten starke SIR 14 den Zeitraum von Juli bis Dezember 2012 abdeckt. Basis der Analysen sind unter anderem die Meldungen über Schädlinge und Angriffe, die von mehreren hundert Millionen Windows-PCs – mit Zustimmung der Anwender – weltweit an Microsoft übermittelt werden. Die US-Kollegen haben daraus Daten zu Kategorien wie Sicherheitslücken, genutzte Exploits, Malware, Spam, Phishing oder Sicherheitstrends aus mehr als 105 Orten auf der Welt zusammengetragen, analysiert und verständlich aufgeschrieben.

Der komplette Microsoft Security Intelligence Report 14 kann hier als PDF heruntergeladen werden. Zudem haben wir eine 19-seitige Zusammenfassung erstellt, diese ist ebenfalls kostenlos als PDF erhältlich.

SHA1, SHA2 und Windows XP & Windows Server 2003

Michael Kranawetter - CSA — Mon, 15 Apr 2013 20:39:00 GMT

Die offizielle Unterstützung für Windows XP mag zwar im April 2014 auslaufen (mehr dazu hier). Wir ignorieren das Betriebssystem deshalb aber natürlich nicht. So ist es uns ein wichtiges Anliegen, auf den Umstieg vom Hash-Algorithmus SHA-1 auf einen der unter SHA2 zusammengefassten Nachfolger hinzuweisen. Zu diesem Wechsel rät unter anderem die US-Behörde NIST.

Wer SHA2 auf Windows XP verwenden möchte, muss dazu das Service Pack 3 installieren. Danach kann Windows XP mit folgenden SHA2-Hashes umgehen: SHA-256, SHA-384 und SHA-512. Beim Windows Server 2003 ist es allerdings etwas komplizierter: Im SP2 ist keine Unterstützung integriert, allerdings lassen sich die Funktionen zumindest teilweise nachrüsten. Die passenden Knowledge-Base-Einträge dafür sind KB938397 und KB968730.

Seit Vista enthalten alle Desktop- und Server-Betriebssystem von Microsoft den sogenannten Cryptography Next Generation Suite B Algorithmus, zu dem auch SHA2 gehört. Wer also Windows Vista, Windows 7, Server 2008 oder Server 2008 R2 betreibt, der muss nichts mehr nachinstallieren.

Empfehlung für den Einsatz mit Windows XP und Server 2003

Im Alltag können vor allem dann Probleme auftreten, wenn ältere Versionen von Windows mit einem Produkt oder einem Dienst eines Drittanbieters interagieren, falls dieser auf SHA2 umsteigt. Die Kollegen des englischsprachigen Windows PKI Blogs haben daher folgende Empfehlungen beim Einsatz ausgesprochen

Wenn Windows XP aktuell in der betroffenen IT-Umgebung genutzt wird, sollte in jedem Fall das Service Pack 3 installiert sein. Das bringt nicht nur die SHA2-Funktionen, es ist zudem die einzige Version von Windows XP, die wir noch unterstützten
Wenn die Windows XP-Systeme Zertifikate von einer SHA2-CA (Certificate Authority) benötigen, sollte der Knowledge Base Eintrag KB968730 angewandt werden
Wenn Windows Server 2003 zum Einsatz kommt, sollten Service Pack 1 oder Service Pack 2 sowie die Patches aus KB938397 eingespielt werden.
Wenn sich der Windows Server 2003 Zertifikate von einer SHA2-CA holen soll, empfehlen wir die Installation von SP2 und KB968730. Letzterer macht zudem KB938397 unnötig.

Sonderfall: S/MIME und Outlook

Neben dem Einsatz zum Login werden Smart Cards auch gerne zum Signieren von E-Mails per S/MIME verwendet. Ist Outlook in Version 2003, 2007 oder 2010 auf einem Rechner mit Windows XP SP3 installiert, kann das Programm ein Zertifikat signieren und validieren, wenn dieses mit SHA2 signiert wurde. Allerdings können die Programme auf Windows XP SP3 keine E-Mail-Nachrichten validieren, wenn diese Nachricht mit SHA2 signiert wurde. Im Gegenzug können Nutzer auf Windows XP ihre Outlook-Nachrichten nur per SHA-1 oder MD5 signieren, SHA2 ist nicht möglich. Um Nachrichten mit SHA2 zu validieren, ist mindestens Windows Vista mit Outlook 2003 notwendig (neuere Systeme und Versionen von Outlook gehen natürlich auch); um SHA2-Nachrichten zu signieren und zu validieren benötigt der Nutzer mindestens Windows Vista und mindestens Outlook 2007.

Die Kollegen im PKI-Blog haben am Ende ihres Beitrags eine sehr gute Übersicht zu den verschiedenen Anwendungsfällen von SHA2 und Windows-Systemen zusammengestellt. Zudem sollten Unternehmen und Nutzer nicht vergessen, dass der Extended Support für Windows XP im April 2014 ausläuft.

Zusätzlicher Schutz für BitLocker-Verschlüsselungen

Michael Kranawetter - CSA — Wed, 03 Apr 2013 10:24:59 GMT

BitLocker haben wir als Sicherheitstechnik seit Windows Vista fest in unsere Betriebssysteme integriert. Die Technik bewährt sich immer wieder gegen Attacken. Allerdings gibt es auch hier theoretische Angriffsszenarien, wie beispielsweise die Spezialisten von Elcomsoft gezeigt haben. Elcomsoft bietet ein Tool, mit dem sich Daten theoretisch auslesen lassen. Dies funktioniert allerdings nur, wenn der Angreifer physischen Zugriff auf den Rechner erhält, um ein Speicherabbild zu erbeuten. Im Speicher-Image finden sich die notwendigen Informationen zum Entschlüsseln der Daten. Chancenlos ist diese Angriffsmethode, wenn das System im Hibernate-Modus ist, also der Inhalt des Arbeitsspeichers komplett auf die Festplatte geschrieben (und damit verschlüsselt) wurde.

Genau hier setzt das Tool You never take me alive (YoNTMA) von iSEC Partners an. Die Anwendung läuft als Dienst auf einem Windows-Rechner mit aktiviertem Bitlocker (unterstützt werden Vista, Windows 7 und Windows 8). Sobald der PC in den Stand-By schaltet, wacht YoNTMA auf. Wird nun das Stromkabel oder ein angeschlossenes Ethernet-Kabel entfernt, versetzt YoNTMA den Rechner sofort in den Hibernate-Modus, verschlüsselt so den Arbeitsspeicher und schützt die Daten gegen die von Elcomsoft gezeigte Attacke.

Um Zweifel an der Funktionstüchtigkeit seines Programms zu zerstreuen – schließlich vertrauen Anwender YoNTMA sensible Daten an – hat iSEC Partners den Quelltext auf GitHub veröffentlicht.

Wie realistisch ist nun so eine Attacke gegen verschlüsselte Daten? Um diese Frage zu beantworten muss man weiter ausholen: Das Elcomsoft-Tool ist nur erfolgreich, wenn es unverschlüsselte Daten des PCs kopieren kann – sprich, der PC oder das Notebook muss aktiv sein, sich im Standy-By-Modus befinden oder über einen Firewire-Anschluss verfügen. Letzteres ist auf Windows Systemen zwar selten, beim Thema Notebook im Stand-By sieht es allerdings anders aus. Vor allem Notebooks werden immer wieder gestohlen, selbst wenn man sie nur kurz aus den Augen lässt. BitLocker, in Kombination mit YoNTMA, schützt solche Daten vor unbefugtem Zugriff. Dann ist zwar immer noch die Hardware verloren. Die sensiblen Informationen, oftmals deutlich wertvoller als das Gerät, sind aber bestmöglich gegen Zugriffe geschützt.

Endgültiger Abschied von Windows XP

Michael Kranawetter - CSA — Sun, 17 Mar 2013 13:17:00 GMT

Als wir Windows XP 2001 vorstellten, kommunizierten Modems per ISDN oder nutzten Kanalbündelung und V92, kabelloses LAN gab es höchstens in Einzelfällen (und selbst dann war es langsam und fehleranfällig), dafür waren Token-Ring- und Koax-Verbindungen für Netzwerke noch ein durchaus gängiges Mittel. Beim Thema Sicherheit war die Cracker- und Hacker-Szene noch in ihren Anfängen. Natürlich gab es gezielte Angriffe und Malware, aber der Umfang der Attacken war im Vergleich zu heute nahezu lächerlich. Eine wirklich kommerzielle Virenschreiberszene mit Schädlingen aus dem Baukasten gab es höchstens in den Phantasien der Science-Fiction-Autoren.

Dies alles sollte sich während der nächsten Jahre rapide ändern: Bereits 2004 war WLAN gang und gäbe (mit ein Grund, warum wir mit dem Service Pack 2 die WPA-Verschlüsselung fest in Windows XP verankert haben). Malware wurde aggressiver und verbreitete sich schneller. Gute Beispiele dafür sind Slammer, Blaster oder Nimda. Mit dem Aufstieg des Internets (auch dank bezahlbarer DSL-Zugänge) wurden Schwachstellen und Sicherheitslücken bald weltweit ausführlich analysiert und diskutiert. Unsere Antwort darauf enthielt unter anderen verstärkten Sicherheitsfunktionen in Windows XP SP2, etwa die Einrichtung des Security Development Lifecycles sowie technische Lösungen wie Data Execution Prevention (DEP) oder Adress Space Layer Randomization (ASLR).

Windows XP wurde, auch dank seiner drei Service Packs, zu einem der erfolgreichsten Betriebssysteme weltweit und ein starkes Fundament.

Warum dieser Ausflug in die Vergangenheit? Ganz einfach: Wir nehmen Abschied von Windows XP. Am 8. April 2014, also in knapp einem Jahr, wird der Support für das Betriebssystem endgültig und final eingestellt. Windows XP wird dann fast das unglaubliche Alter von 13 Jahren erreicht haben. Welche andere Hardwarekomponente oder welche Software in Ihrem Rechner sind so alt und noch tagtäglich in Gebrauch?

Es stimmt: Microsoft hat das Supportende bereits mehrfach angekündigt und dann das finale Datum doch wieder verschoben. Diesmal ist es uns ernst: Mit Windows 7 und Windows 8 sind bereits Enkel und Urenkel am Start. Beide Betriebssysteme sind ausgereift und deutlich besser auf die aktuellen Anforderungen zugeschnitten. Seien es moderne Grafikfunktionen mit DirectX 11, schnelle externe Speichermedien mit USB 3.0 oder eine Verschlüsselung von sensiblen Daten mit Hilfe von Bitlocker. Auch die 64-Bit-Versionen (und damit die Unterstützung für mehr als 4 GByte Arbeitsspeicher) sind dem Windows-XP-Pendant deutlich überlegen.

Natürlich bedeutet vor allem für Unternehmen das Ende eines Betriebssystems eine enorme Umstellung. Für Microsoft war das sicher mit ein Grund, warum wir Windows XP lange über sein eigentlich geplantes Auslaufen weiterhin mit technischem Support und Updates unterstützt haben. Nachdem aber jedes System, das innerhalb der letzten drei Jahre gekauft wurde, leistungsfähig genug für Windows 7 und wahrscheinlich auch Windows 8 ist, sollte zumindest die Hardware keine Schwierigkeiten beim Umstieg machen. Probieren Sie es aus: Tools wie der Windows 7 Upgrade Advisor sagen Ihnen genau, ob Sie ihr aktuelles System aktualisieren können – und melden mögliche Probleme, die beim Upgrade auftreten können.

Ein weiterer wichtiger Punkte: Wir lassen Unternehmen und Privatanwender beim Umstieg nicht allein, im Gegenteil. Wir bieten eine umfangreiche Sammlung an Hilfen an, die sich mit dem Wechsel von Windows XP auf ein moderneres Betriebssystem beschäftigen. Unter anderem haben wir für Sie diese Dokumente und Tools vorbereitet:

Damit endet unsere Toolsammlung noch nicht. Wer zwar eigentlich umsteigen möchte, aber partout Windows XP und den IE 6 – den wir übrigens am liebsten morgen aus dem Netz verbannen würden – benötigt, für den haben wir zumindest für die Zeit der Migration eine Lösung parat: den Windows XP Modus. Dieser integriert eine virtuelle Maschine mit Windows XP in Windows 7. Das klappt enorm gut und ist vor allem transparent für den Nutzer. Das bedeutet, dass beispielsweise eine Anwendung unter Windows XP gestartet werden kann und dann direkt im Windows 7 Desktop erscheint – ohne dass die komplette Windows XP Umgebung eingeblendet wird. Dazu gibt es zahlreiche Virtualisierungslösungen, etwa unseren eigenen Hyper-V-Server und Client (auch in Windows 8 Pro und Enterprise enthalten). Wichtig zu wissen ist jedoch, dass der Support für den XP-Modus gleichzeitig mit der Unterstützung für Windows XP im April 2014 ausläuft.

Wer vor allem die älteren Browser benötigt, beispielsweise um Web-Applikationen auch für frühere Versionen des Internet Explorer fit zu machen, dem rate ich zu unseren Internet Explorer Application Compatibility VPC Images. Hinter diesem, zugegeben etwas sperrigen, Namen verstecken sich mehrere Images für unsere Virtualisierungslösung Virtual PC. Auf der Website stellen wir einen IE6 auf Windows XP, einen IE 7 auf Windows Vista, sowie zwei Versionen von Windows 7, einmal mit dem IE8, einmal mit dem IE9 kostenlos im VHD-Format zum Download, um Entwicklern bei Tests zu helfen.

Sicherheitstacho zeigt Ziel und Herkunft von Cyber-Attacken

Michael Kranawetter - CSA — Tue, 12 Mar 2013 09:59:00 GMT

Attacken aus dem Internet sind im Normalfall unsichtbar. Zwar schaffen es immer wieder Denial-of-Service-Attacken in die Nachrichten, hier geht es aber meist eher um ein Statement als um einen direkten Angriff (vergleichbar etwa mit Sitzblockaden bei Demonstrationen). Die Attacken, die es auf Datenklau und das Infiltrieren von Netzwerken abgesehen haben, geschehen im Stillen. Die Deutsche Telekom will mit einem neuen Dienst den Nebel um diese Angriffe etwas lüften. Sie gibt ab sofort jedem interessierten Einblick in die Attacken, die in den Honeypots des Konzerns kleben bleiben. Auf der Seite www.sicherheitstacho.eu werden die Daten ausgewertet und nach Ursprungsort, Ziel und Aufkommen sortiert.

Dabei ist vor allem die Verteilung der Angriffsziele interessant: Den Löwenanteil bekamen im Vormonat die Netzwerkdienste ab, gefolgt von Attacken auf Webseiten. Die Kategorie Netzwerkdienste sammelt in diesem Fall alle Attacken, die etwa auf Protokolle und Dienste wie SMB (Windows-Freigaben) oder NetBios abzielen. Die Kriminellen sind natürlich nicht an den Protokollen an sich interessiert, sondern vielmehr an den Daten, die dahinterstehen. Sichern Unternehmen oder Privatpersonen ihre Freigaben nicht oder nicht ausreichend ab, können die Angreifer sich Bilder, Dokumente oder andere Daten unter den Nagel reißen. Anleitungen und Tipps zum sicheren Betreiben von SMB gibt es unter anderem in unserem Technet, für Betreiber eines Windows Servers 2012 haben wir beispielsweise hier Neuerungen und Sicherheitstipps zusammengestellt.

Für ihre Sensoren setzt die Telekom unter anderem auf das Dionaea-System. Diese Honeypot-Familie verdankt ihrem Namen einer fleischfressenden Pflanze, genauer gesagt der Venusfliegenfalle. Es handelt sich dabei um so genannte Low Interaction Honeypots. Das bedeutet, dass Dionaea mehrere Dienste scheinbar zur Verfügung stellt beziehungsweise auf Anfragen entsprechend reagiert. Während automatisierte Systeme, etwa Würmer, der Falle leicht auf den Leim gehen, erkennen Profis solche Systeme meist relativ schnell. Das dürfte auch die hohe Erkennungsrate bei den Netzwerkdiensten erklären: Diese SMB und Netbios sind beliebte Ziele für automatisierten Angriffstools, Würmer oder andere Malware.

Ein Großteil der Daten, die der Sicherheitstacho anzeigt, dürfte daher von solchen automatischen Attacken stammen, gezielte Angriffe sind hier eher nicht zu vermuten. Dennoch zeigt die Seite eindrucksvoll, wie stark das Grundrauschen der Angriffe im Web mittlerweile geworden ist – wer Argumente für stärkere Sicherheit oder eine überarbeitete Patch-Strategie braucht, kann die Seite in jedem Fall als Referenz nutzen.

Sichere Apps für unseren Windows-8-App Marktplatz entwickeln

Michael Kranawetter - CSA — Tue, 05 Mar 2013 09:31:00 GMT

Marktplätze für Applikationen sind eine tolle Sache. Nicht nur können Entwickler ihre Anwendungen zentral anbieten und bewerben, auch Themen wie Updates lassen sich gut in den Griff kriegen. Das klappt allerdings nur, wenn die Nutzer Vertrauen haben und ihre Software aus den zentralen App-Sammlungen beziehen. Vertrauen nicht nur in die Plattform, sondern auch in das Unternehmen hinter dem jeweiligen Shop.

Wie positiv sich ein App-Store-Modell samt Prüfung aller hochgeladenen Apps auf die Malware-Verteilung auswirkt, lässt sich gut an Apples App-Store beobachten: Für iOS-Geräte, die ohne Jailbreak nur mit Anwendungen aus dem Apple-Store versorgt werden können, gibt es quasi keine Schadsoftware.

Auch Microsoft bietet inzwischen mit dem Windows Store eine zentrale Anlaufstelle für Apps. Natürlich achtet auch Microsoft darauf, das alles glatt geht. Egal, wie viele Apps Nutzer aus dem Windows Store installieren, kaufen oder wieder entfernen. Dazu setzen wir auf drei verschiedene Ansätze:

Auch wir analysieren wir Programm, bevor wir es im Marktplatz veröffentlichen.
Windows 8 bringt eine ganze Reihe von Sicherheitsfunktionen mit, die bösartige Applikationen einbremsen sollten.
Und unsere Entwickler bitten wir um folgendes: Programmiert vertrauenswürdige Apps.

Entwickler sollten einige grundlegende Punkte beachten. Die erste wichtige Annahme ist, dass unser Sicherheitsmodell für Apps einem Gefängnis, nicht aber einer Festung gleicht. Apps können also über das Netzwerk oder durch benachbarte Anwendungen attackiert werden. Das liegt auch daran, dass sie zahlreiche Informationen speichern, die für Angreifer interessant sind.

Dazu benötigen die Apps Rechte. Wir gewähren den Apps nur jeweils die Rechte, die Entwickler explizit für notwendig erklären. Dazu gehören beispielsweise der Zugriff aufs Netzwerk oder das Internet, die Erlaubnis zum Lesen oder Erstellen von SMS oder der Zugriff auf gespeicherte Dateien. Beanspruchen Entwickler mehr Rechte und Funktionen als notwendig, erhöhen sie das Risiko, dass die App Schaden anrichten kann.

Jede deklarierte Fähigkeit wird im Marktplatzeintrag zur jeweiligen Anwendung genau angezeigt. Potentielle Nutzer der Applikation sehen also genau, was die Applikation für Funktionen erhält.

Unverzichtbar für die Entwicklung sicherer Apps ist ein sicherer Programmierstil. Wie bei allen anderen Anwendungen auch – sei es für Windows, mobile Systeme oder Applikationen auf Webplattformen –, können Fehler im Programmablauf dafür sorgen, dass eigentlich gutartige Applikationen von Angreifern missbraucht werden. Da die kompletten Ausführungen hierzu den Umfang dieses Blogeintrags sprengen würden, liefere ich lieber eine Reihe an nützlichen Links zu unseren Webseiten, die sich mit diesem Thema beschäftigen:

Sicherheitsverfahren für das Erstellen von Windows Store-Apps

Developing secure apps

(Video) Best practices for writing safe and secure apps using HTML5 (Apps für die Modern UI)

Machen es sich Entwickler und Betreiber von App-Stores zu einfach, setzen sie das Vertrauen ihrer Nutzer aufs Spiel. Unsere Ansprüche an Anwendungen sind unserer Ansicht nach fair und für jeden Entwickler, der keine Hintergedanken hegt, mit geringem Aufwand zu erfüllen.

Wenn gute Seiten schlechte Programme verteilen

Michael Kranawetter - CSA — Fri, 01 Mar 2013 17:29:35 GMT

In der Kommunikation mit Kunden und Nutzern, etwa auf unseren Facebook-Kanälen, taucht immer wieder ein Irrglaube auf: Wenn ich nur auf seriösen Seiten surfe, dann bin ich vor Attacken aus dem Web sicher. In den letzten Wochen wurde dieser Irrglaube mindestens dreimal wiederlegt: Angreifer hatten mehrere Webseiten geknackt und diese zum Verbreiten von Malware genutzt. Die Ziele waren dabei durchaus prekär. So erwischte es in Deutschland die zentrale Webseiten der Sparkassen, www.sparkasse.de. In den USA wurden NBC.com und die Webseite der LA Times für die Verbreitung von Schad-Software genutzt - laut dem Sicherheitsanalysten Brian Krebs wurde die Seite der Zeitung für mindestens sechs Wochen als Malware-Schleuder missbraucht.

Zumindest bei der Sparkasse und NBC nutzten die Kriminellen das so genannte RedKit. Dabei handelt es sich um ein Exploit-Toolkit, mit dem sich die Infektionskampagnen quasi im Baukastensystem zusammenklicken lassen. Laut der Analyse der Spezialisten von HitmanPro kann RedKit unter anderem die URLs der Seiten neu erstellen, über die der bösartige Code ausgeliefert wird. Zudem scheinen die Kriminellen recht schnell neue Schwachstellen angreifen zu können. Im Fall der Subdomain von NBC wurde etwa die erst wenige Wochen zur aufgetauchte Java-Lücke (CVE-2013-0422) attackiert. Auch Schwachstellen im Anzeigenformat PDF wurden missbraucht.

Als Schutzmaßnahmen empfehlen wir in jedem Fall einen aktuellen Virenscanner, eine aktive Firewall und am besten eine Komponente, die im Browser Webadressen vor deren Aufruf überprüft. Ebenfalls zwingend notwendig ist ein stets aktualisiertes System: Updates und Patches sollen schnellstmöglich installiert und die aktualisierten Systeme danach neu gestartet werden. Der Neustart ist wichtig, da viele Komponenten während des Boot-Vorgangs aufgerufen werden und im Speicher bleiben.