Archiv für den Monat: November 2011

HTML5 – Die größten Gefahren

1 Antwort

 

Originalartikel von Robert McArdle, Senior Threat Researcher

HTML5 stellt die fünfte Revision der am meisten verbreiteten Markup-Sprache für die Erstellung von Webseiten dar. Es handelt sich dabei nicht um ein Upgrade, wie man es üblicherweise kennt, sondern um eine ganze Reihe von Features, jedes mit unterschiedlicher Browser-Unterstützung. Zu den wichtigsten Neuerungen gehören eine Grafikbibliothek, einfachere Unterstützung von multimedialen Inhalten, Geolocation, Drag & Drop-Funktionalität sowie Web-Benachrichtigungen. So mächtig die Neuerungen auch sind, so gefährlich können sie den Nutzern werden. Denn sie bieten nicht nur den Web-Entwicklern neue Möglichkeiten, sondern auch der kriminelle Untergrund wird sie für seine bösen Zwecke missbrauchen.

Die größte Bedrohung, die über HTML5 entsteht, sind BITB (Botnets In The Browser). Angreifer sind mit HTML5 in der Lage, ein Botnet zu erzeugen, das auf jedem Betriebssystem, überall auf jedem Gerät funktioniert. Es läuft vorwiegend im Hauptspeicher und berührt daher die Platte kaum. Somit ist es für traditionelle dateibasierte Antivirus-Programme schwierig, es zu entdecken. Auch lässt sich JavaScript einfach verschleiern, sodass auch Netzwerk IDS-Signaturen sich mit diesen BITB schwer tun. Schließlich ist das Botnet webbasiert, kommt also durch die meisten Firewalls leicht durch.

Schritte einer Browser-basierten Botnet-Attacke

Infektion: Das System eines Nutzers wird infiziert, indem er dazu verleitet wird, das ursprüngliche JavaScript auszuführen. Es gibt viele Wege, dies zu tun, einschließlich XSS, Anklicken eines Links in einer Mail oder Instant Message, Blackhat Search Engine Optimization (SEO), Social Engineering, Kompromittieren eine Website oder andere Methoden mehr.

Persistenz: Ein Browser-basiertes Botnet ist von Natur aus nicht so beständig wie ein traditionelles. Sobald ein Opfer den Browser-Tab schließt, stoppt auch der bösartige Code. Dies muss ein Angreifer im Hinterkopf behalten, und die Aufgaben, die er einem BITB zuweist, der eher flüchtigen Natur der Botnet-Knoten anpassen. Wichtig ist dabei, dass Systeme einfach neu infiziert werden können, deshalb eignen sich persistente XSS als Angriffsvektoren besonders gut. Auch die Kombination aus Clickjacking und Tabnabbing stellen einen möglichen Ansatz dar. Clickjacking wird dazu genutzt, um ein Opfer zu zwingen, eine weitere Webseite zu öffnen, die exakt denselben Inhalt wie die ursprüngliche hat. Dabei merkt das Opfer nicht, dass der bösartige Tab im Hintergrund läuft. Um das Leben dieses Tabs zu verlängern, kann ein Angreifer die Technik des Tabnabbings nutzen. Damit maskiert er den ursprünglichen Tab und die Seite als eine häufig genutzte Seite wie Google oder YouTube. Eine sogar noch einfachere Form der Beständigkeit besteht darin, die bösartige Seite als interaktives Spiel darzustellen. Idealerweise ist das Spiel dann so aufgebaut, dass der Nutzer es den ganzen Tag über geöffnet hält und immer wieder darauf zurückgreift, um neue Aufgaben durchzuführen.

Payload: Ein solcher Angriff kann in verschiedene Möglichkeiten münden:

  • DDoS-Attacke: Der Web Worker kann Cross Origin Requests nutzen, um Tausende von GET-Anfragen an eine Ziel-Site zu schicken, sodass es zu Denial of Service kommt.
  • Spamming: Schlecht konfigurierte Web-Formulare auf den „Contact Us“-Seiten können zur Erzeugung von Spam genutzt werden.
  • Bitcoin-Erzeugung: Bitcoins stellen die beliebteste Währung des cyberkriminellen Untergrunds. Es gibt bereits etliche Browser-basierte Bitcoin-Generatoren.
  • Phishing: Mithilfe des Tabnabbing-Ansatzes kann ein Angreifer das Aussehen eines bösartigen Tabs jedes Mal ändern, wenn dieser nicht mehr im Fokus ist. Das heißt, jedes Mal, wenn das Opfer zu diesem Tab zurückkehrt, erhält er ein Login eines anderen Dienstes. Somit ist der Angreifer in der Lage, die Login-Daten abzugreifen.
  • Interne Netzwerkerkundung: Mit dieser Technik kann ein Angreifer nach Sicherheitslücken oder die Ports im Netzwerk eines Opfers scannen.
  • Verwendung eines Netzwerks als Proxy: Mit demselben Ansatz, den die Shell des Future-Tools verwendet, erlaubt es ein Netzwerk kompromittierter Systeme einem Angreifer, dieses als Proxy für Attacken und Netzwerkverbindungen zu nutzen, sodass deren Verfolgung schwieriger wird.
  • Verbreitung: Kriminelle können eine Wurmkomponente ins Botnet einfügen, die sich über XSS-Angriffe oder SQL Injection auf angreifbaren Sites verbreitet.

Dies stellt eine bemerkenswerte Möglichkeit im Arsenal von Angreifern dar und wird sicherlich bald häufiger eingesetzt werden, vor allem bei gezielten Attacken. Herkömmliche Sicherheitsmaßnahmen gegen Malware können diese neuen Angriffsvektoren nicht abwehren, doch gibt es zwei kostenlose Tools, die einen sehr guten Schutz bieten.

NoScript: Das Browser Plugin ist unter Fachleuten bereits gut bekannt. NoScript schränkt die Funktionsweise von JavaScript und anderen Plungins auf nicht vertrauenswürdigen Seiten ein.

BrowserGuard: Trend Micros eigenes Tool umfasst eine Reihe von Funktionen, um webbasierte Angriffe abzuwehren. Dazu gehören unter anderem fortschrittliche heuristische Techniken.

In dem ausführlichen Whitepaper HTML5 Overview: A look at HTML5 Attack Scenarios finden Interessierte alle Informationen zu den Neuerungen in HTML5 und auch den damit einhergehenden Gefahren.

 

 

 

Google versucht Blackhat SEO-Betrüger auszuschalten

Hinterlassen Sie eine Antwort

Originalartikel von David Sancho, Senior Threat Researcher


Im Oktober kündigte Google an, die Suche für die Nutzer von Google Services sicherer zu gestalten. Zweierlei gehört dazu: Erstens werden die Suchanfragen und –ergebnisse jetzt über HTTPS geschickt. Dadurch sind die Suchläufe der Nutzer mit unsicheren Internetverbindungen, wie die meisten WiFI-Hotspots, auch geschützt.

Zweitens, und das ist viel interessanter, schließt Google die Suchbegriffe, die für die Suche nach Websites verwendet werden, nicht mehr in den http Referrer Header ein. Das zeigten die von Trend Micro durchgeführten Tests. Der Teil der URL, den Google jetzt als Referenz-URL schickt, sieht so aus:

Zu beachten ist, dass hinter dem &q= Teil, kein Suchbegriff angegeben ist. Zum Vergleich eine Standard-Suchabfrage mit folgender Referenz-URL:

Diese Änderung hat zwei Auswirkungen: Zum Einen, können legitime Website dann keine beliebten Begriffe mehr definieren, die sie für die Optimierung ihres Rankings bei Google-Suchergebnissen nutzen. Das könnte für Website-Besitzer ein schmerzlicher Verlust sein. Um dieses Ranking wieder beeinflussen zu können, müssen sie sich jetzt für Googles Analytics-Dienste anmelden.

Zum Anderen aber können Blackhat SEO (Search Engine Optimization) Sites auf diese Statistiken auch nicht mehr zugreifen. Die Statistiken waren für die Kriminellen sehr nützlich, weil sie hier sehen konnten, welche Suchbegriffe sie erfolgreich kapern konnten. Auch aus statistischen Aspekten bedeutet die Änderung ein Verlust für die „Bad Guys“. Greifen nämlich Suchmaschinen-Besucher auf diese Sites zu, so lässt sich nicht mehr feststellen, über welchen Suchbegriff sie auf die Seite kommen. Sie tappen also von nun an weitgehend im Dunkeln, was die Nützlichkeit von verschiedenen Suchbegriffen betrifft. Googles Suchlisten gewinnen an Sauberkeit und die Nutzer laufen weniger Gefahr auf infizierte Links hereinzufallen.

Natürlich funktioniert dies nur, wenn die Nutzer bereits für die Google Services angemeldet sind. Doch angesichts der hohen Zahl von Google Mail- und Google+-Nutzern dürfte dies kein Hindernis darstellen.

Oder doch? Wenn die Leute regelmäßig nicht verschlossene http-Suchen durchführen, so veröffentlichen sie ihre Suchbegriffe, und alles bleibt beim Alten. Je mehr Nutzer HTTPS verwenden, desto weniger Informationen stehen Kriminellen zur Verfügung.

 

Online-Shopping ja, aber sicher!

Hinterlassen Sie eine Antwort

Originalartikel von Ryan Certeza, Technical Communications

Immer mehr Menschen kaufen Online ein, denn es ist bequem, einfach und man findet häufig Schnäppchen. Bis 2014 wird sich das Volumen der Online-Einkäufe in den USA um 78 Prozent steigern, so die Prognose einiger Analysten.

Für das Shoppen im Internet spielt auch das mobile Computing eine immer wichtigere Rolle. 43 Prozent aller Besitzer web-fähiger Smartphones nutzen diese nach eigenen Aussagen auch beim Einkauf, Tendenz in den nächsten Jahren – oder gar bereits im Weihnachtsgeschäft — steigend.

Vor dem Hintergrund dieser Trends ist es nur logisch, dass die Online-Kunden auch zu den beliebtesten Angriffszielen für Cyberkriminelle werden. Ziel der Begierde: Kreditkarteninformationen, Online-Banking-Zugangsdaten sowie weitere personenbezogene Informationen. Die Angriffsarten sind vielfältig:

  •  Blackhat SEO-Angriffe – Suchergebnisse für interessante Schlagwörter wie verschiedene Geräte können infiziert werden, sodass die Links auf bösartige Websites führen.
  • Betrug (Scam) – in Form von Online-Werbegeschenken machen Nutzer zu Opfern ihrer bösartigen Aktivitäten und können zu Informationsdiebstahl führen.
  • SessionHijacking – Nutzer, die ihre Einkäufe in unsicheren Netzwerken tätigen, riskieren diese Art von Angriff. Dabei schnüffeln die Kriminellen in den Netzwerken nach bestimmten Informationen wie Konten-Zugangsdaten, die sie dann für sich selbst nutzen.

Online-Shopping muss nicht zwangsläufig schlecht enden. Verbraucher sollten auf jeden Fall eine Sicherheitslösung einsetzen und gewisse Verhaltensregeln beachten.

Hier ein paar Tipps:

  • Unsichere Netzwerke wie öffentliche Hot Spots sind für das Online-Shopping tabu.
  • Wählen Sie niemals eine Bezahlmethode, die keinen Schutz für den Kunden bietet.
  • Ist das Angebot zu gut, um wahr zu sein, so ist es wahrscheinlich Betrug.

 

Die mobile Gefahr: Mache oder Wahrheit

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson, Director Security Research & Communication EMEA

 Vorwort: Hier geht es nicht um Open Source gegen Closed Source, auch nicht um Android gegen iOS oder andere mobile Betriebssysteme. Es geht um Kriminelle gegen ehrliche Menschen, um Hype versus Realität und um reflexartigen Selbstschutz gegen Offenheit und Überlegtheit.

Letzte Woche veröffentlichte Chris DiBona (Open Source Programs Manager bei Google Inc.) auf Google+ einen Beitrag, in dem er behauptete, Open Source sei grundsätzlich unsicher und deshalb sei Android mit Viren gespickt, aber auch weil der App Market nicht so streng wie der von Apple kontrolliert wird.

Auch wenn Chris einige vernünftige Punkte bezüglich der vergleichsweise geringeren Sicherheit von quelloffenem Code anführt, so bleibt der Eindruck bestehen, dass er bewusst irreführende Argumente bezüglich der Bedrohungslandschaft für Smartphone-Anwender liefert. Dieser Beitrag soll als Antwort auf einige dieser Argumente verstanden werden:

1 – „Alle großen Anbieter haben App Markets und alle enthalten Apps, die unrechte Dinge tun, und die entdeckt und aus den Märkten entfernt wurden.“

Das stimmt, alle großen Anbieter vertreiben Apps nach dem Marketplace- oder App-Store-Modell. Auch wurden in den meisten Vertriebskanälen eine oder mehrere gefälschte oder bösartige Apps entdeckt und auch entfernt – einige sogar sehr schnell. Möglicherweise ist dies der Punkt, warum die Kritik an der „Offenheit“ missverstanden wird. Das Problem mit Android ist nicht die Quelloffenheit des Betriebssystems selbst, sondern die Tatsache, dass die Vertriebsmechanismen vollkommen offen sind. Denn neben dem „offiziellen“ Android- Marktplatz, der übrigens auch keine Sicherheitsüberprüfung von Code oder Funktionalität vorab einschließt, gibt es viele weitere Marktplätze von Drittanbietern. Setzt man dies in Verbindung mit der verdienten Beliebtheit der Plattform, so ist es nicht weiter verwunderlich, dass Kriminelle hier bereits aktiv ihre Chancen nutzen. Es ist also nicht die Quelloffenheit, sondern die Offenheit der Quelle.

2 – „Die Antivirenhersteller spielen die Ängste der Nutzer aus, um ihnen Schutzsoftware für Android, RIM und IOS zu verkaufen. Sie sind alle Scharlatane und Betrüger und sollten sich schämen.“

Nun, das klingt nach der Behauptung, es gebe kein Malware-Problem für die weitverbreiteten mobilen Plattformen. Doch die Beweislage spricht eine andere Sprache, und Android selbst scheint das beliebteste Angriffsziel zu sein. TrendLabs beispielsweise hat von Januar bis Juli 2011 einen Anstieg um 1410 Prozent bei Android-Schadsoftware dokumentiert. Um es klar zu sagen: Natürlich geht diese Steigerungsrate von einer kleinen Basis aus, und die vierstellige Zahl ist nicht so schockierend, wie sie auf den Blick scheint. Die schiere Menge der Schädlinge ist um Größenordnungen kleiner als zum Beispiel die für Wintel-Plattformen. Dennoch ist die wichtige Kennzahl nicht die Gesamtzahl der Malware, sondern die stetige Steigerungsrate bei diesen Schädlingen Quartal um Quartal. Das zeigt das aktuelle, aktive und nachhaltige kriminelle Interesse an der mobilen Plattform.

3 – „Wer einen Analystenbericht über Viren, die iOS, Android oder RIM infizieren, liest, der weiß jetzt, dass diese Firma nicht aufrichtig ist und mit Scharlatanen im Bunde steht. Wahrscheinlich gibt es einige Ausnahmen, doch außergewöhnliche Behauptungen benötigen außergewöhnliche Beweise. Stammt ein Bericht über den Schutz von Android, RIM oder iOS von einem Anbieter entsprechender Software, so handelt es sich höchstwahrscheinlich um Betrüger und Scharlatane.“

Obige Zahlen sprechen für sich. Das verzweifelte Festhalten am Begriff „Virus“ als letzter Versuch zu zeigen, dass eine Plattform frei von Schädlingen ist, erinnert stark an die MacOS-Anhänger, die nicht wahrhaben wollten, dass die Kriminellen jetzt auch hinter ihnen her sind. Wie stehen Sie zur kriminellen Malware für mobile Geräte?

4 – „Achtung! Policy Engines und Tools, die Geräte von der Unternehmens-IT-Abteilung verwalten, sind nicht dasselbe. Manchmal aber sprechen die Marketiers der Hersteller solcher Werkzeuge von ‚Virenschutz‘. Das ist eine Lüge!”

Es herrscht also Einigkeit darüber, dass Sicherheit mobiler Geräte weit über die Bedrohung durch Malware hinausgeht. Natürlich gibt es Datenverlust, Diebstahl, unbefugte Zugriffe, Geräte-Tracking, webbasierte Gefahren über soziale Netzwerke oder Phishing sowie viele andere Bereiche, die bedacht sein wollen. Aber den Nutzern zu empfehlen, von den Anbieter das Streichen von Funktionalität zum Aufspüren bösartiger Software zu verlangen…? Nun, das mag wohl eine Möglichkeit sein, eine Plattform als schädlingsfrei erscheinen zu lassen.

Statt sich zu schämen, zieht der Autor es vor, Schutz gegen eine steigende Bedrohung der persönlichen und geschäftlichen Sicherheit anzubieten.

 

Ist Siri zu trauen?

1 Antwort

Originalartikel von Ben April, Senior Threat Researcher

Forscher der Apple-Design- und Entwicklungsfirma Applidium haben herausgefunden, dass bei jeder Anfrage, die ein Nutzer an Siri (Apple-Software für Erkennung und Verarbeitung von natürlich gesprochener Sprache) stellt, das iPhone 4S zuerst eine komprimierte Audio-Datei mit der Anfrage an Server bei Apple schickt, wo sie in Text umgewandelt wird. Dann wird die Anfrage in Befehle umgesetzt, die das iPhone verstehen kann, und ans Gerät zurückgeschickt.

Das von Siri genutzte Protokoll ist über HTTPS angesiedelt, und beim Spoofing oder Abfangen der Kommunikation ist entweder ein gültiges SSL-Zertifikat für guzzoni.apple.com erforderlich, oder es bedarf einer Möglichkeit, das Gerät davon zu überzeugen, das Zertifikat als gültig anzunehmen. Auch muss der „Nutzer“ DNS kapern, damit das Gerät davon ausgeht, guzzoni.apple.com liegt auf einer IP-Adresse, die er unter Kontrolle hat.

Damit kann man mit Siri die verschiedensten Dinge tun – positive, kreative aber auch negative. Theoretisch sollte es einfach sein, Siri auf jedes Gerät zu portieren, sobald der Anwender eine gültige iPhone 4S ID hat. Dafür geeignet ist jedes Gerät, dass in der Lage ist, Audio aufzunehmen und eine „App“ mit Internetverbindung laufen zu lassen. Dazu gehören Laptops, Tablets, Smartphones oder auch Kühlschränke und Waschmaschinen.

Vorstellbar ist auch, einen eigenen Siri-Server für vorhandene Siri-fähige Geräte aufzubauen. Diese ließen sich für private Zwecke nutzen, etwa für Befehle wie „Licht anmachen“ oder „Garagentor schließen“. Auch im geschäftlichen Bereich könnte man ein solches System in die alltäglichen Werkzeuge integrieren, um Arbeitsabläufe sprachaktiv zu gestalten.

Das klingt alles sehr kreativ, leider gibt es auch eher unfreundliche Möglichkeiten, Siri einzusetzen. Für diese Art von Szenarien kann man davon ausgehen, dass der Angreifer ein selbst signiertes Zertifikat erfolgreich auf das Gerät geladen hat und auch auf irgendeine Weise den lokalen DNS kontrolliert. Beides ist Voraussetzung dafür, um erfolgreich die Siri-Kommunikation unter Kontrolle zu bringen.

Eine nahe liegende Form des Angriffs ist Man-in-the-Middle, um alle Siri-Anfragen und Antworten abzufangen. Dies mag sinnvoll sein, doch die Fragen an Siri könnten verraten, woran der Nutzer arbeitet. Damit ließen sich die Antworten, etwa Börsenkurse, ändern, oder Anfragen ersetzen, so etwa eine Telefonnummer ändern.

Apple könnte diese Sicherheitslücke auf verschiedene Weisen schließen. Die umfassendste Möglichkeit wäre, ein Challenge-Response Authentifizierungssystem einzusetzen. Dabei müsste der Server SSL-Schlüssel zu einer bestimmten Schlüssel-ID passen oder von einem Schlüssel mit einer gesetzten ID signiert werden. Unabhängig davon, was getan wird, Apple allein kann etwas gegen diese Bedrohung unternehmen!