Originalartikel von Nart Villeneuve, Senior Threat Researcher
Der Einsatz verschlüsselter Kommunikation etwa mit Secure Sockets Layers (SSL) in Kombinatiion mit schlagzeilenträchtigen Neuigkeiten als Social Engineering-Köder ergibt die perfekte Technik, um sich gezielt in die Infrastruktur eines Opfers einzuschleichen.
Weiterlesen
Originalartikel von Martin Roesler, Director for Threat Research
Bei gezielten Attacken befinden sich die Angreifer im Vorteil, und Anwender sind gut beraten, dies zu akzeptieren, um gegen die Angriffe vorgehen zu können. Wie bereits in einem früheren Beitrag aufgezeigt, haben die Kriminellen zwar die bessere Kontrolle über das Geschehen, doch heißt das nicht, dass Unternehmen keine Handhabe dagegen besitzen.
Weiterlesen
Originalartikel von Rik Ferguson, Director Security Research & Communications EMEA
Microsoft hat in Windows 8 wichtige Schritte hin zu mehr Sicherheit unternommen und die Schlüsselbereiche Datensicherheit, Anti-Malware und Benutzerauthentifizierung ergänzt.
Das Betriebssystem unterstützt nun nativ Trusted Platform Module (TPM) und Self-Encrypting Drives (SED), das aber wird der Beliebtheit bei Anwendern und Herstellern sicherlich förderlich sein. Mit TPM steht ein wichtiges hardware-basiertes Mittel bereit, um einen gewissen Grad an Sicherheit für die Systemintegrität zu gewährleisten und die Verschlüsselungs-Keys außerhalb des Betriebssystems sicher zu managen. SEDs lagern einen guten Teil der Ver- und Entschlüsselung von Daten auf die Hardware aus, wo sie effektiver und schneller ausgeführt werden kann.
Das neue Unified Extensible Firmware Interface (UEFI) bewirkt zusammen mit dem TPM, dass beim Hochfahren eines PCs die Firmware und Betriebssystem-Prozedur nur autorisierten Code mit einer gültigen Signatur ausführt. Der Zweck dieser Vorgehensweise liegt darin zu verhindern, dass Schadsoftware hochgeladen wird und dabei das Betriebssystem umgeht oder gar wichtige Sicherheitsfunktionalität außer Kraft setzt und sich danach versteckt (Bootkits, Rootkits). Zusätzlich stellt Early Launch Anti-Malware (ELAM) sicher, dass als erster Software-Treiber der des Sicherheitsanbieters der Wahl geladen wird, ein weiteres Mittel, das Umgehen des Anti-Malware-Schutzes zu verhindern.
Die SmartScreen-Technik, aus dem Internet Explorer bekannt, ist auf das gesamte Betriebssystem erweitert worden. Das bedeutet, dass auch beim Zugriff auf Internet-Ressourcen über andere Mittel als den Browser ein gewisser Grad an Filterung vorhanden ist. Es bleibt zu hoffen, dass dies weniger „geräuschvoll“ ist, als es User Access Control (UAC) war.
Bei den ergänzenden Funktionen für die Nutzerauthentifizierung hatte Microsoft offenbar die zu erwartenden Touchscreen-Geräte im Hinterkopf. Bild- oder PIN-basierte Anmeldung lässt sich als Abkürzung verwenden, sobald ein Benutzerkennwort gesetzt ist. Diese Art der Anmeldung ist sehr bequem, doch zeigten Betatests, dass ein Angreifer mit lokalen Admin-Rechten auf die Kennwörter zugreifen und sie entschlüsseln kann.
Es gibt noch weitere Funktionen wie Dynamic Access Control, die die Unternehmenssicherheit in Windows 8 steigern. Es ist erfreulich zu sehen, dass Microsoft die Sicherheit auch weiterhin sehr ernst nimmt und den Security-Spezialisten die Möglichkeit gibt, ihre Sicherheitslösungen tiefer in das Betriebssystem zu integrieren.
Windows 8 ist „Out-of-the-Box“ sicherer als alle Vorgänger, dennoch sollten Anwender nicht vergessen, dass integrierte Anti-Malware-Funktionalität nur die Basissicherheit liefert!
Originalartikel von Trend Micro
Der Gauss-Angriff hat auch durch denVergleich mit Flame viel öffentliche Aufmerksamkeit auf sich gezogen. Der Schädling kann systembezogene Informationen sammeln sowie Zugangsdaten zu Bankkonten, sozialen Netzwerken, E-Mail und Instant Messaging stehlen. Bedrohungsexperten äußerten auch den Verdacht, es handle sich um einen neuen geheimdienstlich initiierten Angriff, ähnlich Stuxnet in 2010.
Ähnlichkeiten mit Flame
Manche werden sich erinnern, Flame würde als Cyberspionage-Tool bezeichnet, das mithilfe von verschiedenen Techniken, einschließlich dem Abfangen von Screen Shots und Audioaufnahmen, Informationen stiehlt. Ähnlich wie Flame hat Gauss Angriffe in mehreren Staaten des Mittleren Ostens gestartet.
Darüber hinaus haben die beiden Schädlinge einige technische Gemeinsamkeiten:
Aus diesen Gemeinsamkeiten schlossen die Sicherheitsforscher, dass Gauss das Werk derselben Leute sei, die auch Flame entwickelt hatten. Doch trotz der Ähnlichkeiten war Gauss darauf ausgerichtet, Informationen von libanesischen Banken wie etwa Bank of Beirut, BlomBank, ByblosBank, FransaBank und Credit Libanais zu stehlen. Auch zielten die Angriffe des Schädlings des weiteren auf Unternehmen wie Citibank und Paypal. Für einige Fachleute war diese Fokussierung auf libanesische Banken der Beweis dafür, dass der Angriff von einem gewissen Staat unterstützt wurde.
Die Lösungen von Trend Micro schützen die Nutzer vor dieser Art von Angriffen, den die Services des Smart Protection Networks entdecken und löschen die damit verbundene Malware. Auch blocken sie den Zugang zu den C&C-IP-Adressen.
Originalartikel von Rik Ferguson, Director Security Research & Communications EMEA
Quelle: Salt by SoraZG used under creative commons
Vor zwei Wochen hatte Dropbox angekündigt, den Beschwerden einiger Nutzer nachzugehen, die über Spam an E-Mail-Adressen klagten, die sie nur für ihre Dropbox-Konten aufgesetzt hatten. Jetzt ist das Rätsel um die Belästigung gelöst.
Der Online-Speicheranbieter erklärte, dass “kürzlich von anderen Websites Benutzernamen und Kennwörter gestohlen und dann auch für das Login in ein paar Dropbox-Konten genutzt wurden“. Eines der betroffenen Konten gehörte zufällig einem Angestellten des Providers. Hier lag auch „ein Projektdokument mit Benutzer-Mailadressen“. Und dies führte nach Meinung von Dropbox zur Spam-Kampagne.
Diese Nachricht und die Art, damit umzugehen, hinterlässt ein ungutes Gefühl und gibt Anlass zu einigen Zweifeln. Ein Dropbox-Mitarbeiter nutzt echte Kundeninformationen in einem „Projektdokument“? Warum verwendet er nicht Platzhalter? Es erweckt den Anschein, als wäre dieses Dokument deshalb zugänglich gewesen, weil der Mitarbeiter sein Unternehmenskennwort nochmals für weitere, offensichtlich kompromittierte Webdienste verwendete.
Darüber hinaus informierte Dropbox seine Kunden über den Einbruch via E-Mail-Benachrichtigung und setzte einen Link für ein Zurücksetzen des Kennworts in die Nachricht. Nun, seit Jahren warnen die Fachleute Nutzer davor, einen Link in einer nicht angeforderten Mail anzuklicken – vor allem wenn der Empfänger dabei aufgefordert wird, auf einer Website Login-Daten anzugeben! Auch berichten Nutzer, dass auf der Homepage des Providers keine Rede von einem Angriff war, welcher einen Kennwort-Reset erforderlich gemacht hätte. Dies hätte wahrscheinlich die Glaubwürdigkeit der Benachrichtigung erhöht. . Im Idealfall würde ein Unternehmen in einem solchen Fall eine Benachrichtigung an die Betroffenen schicken und sie auf die Unternehmens-Website verweisen, um den dortigen Informationen zu folgen.
Und schließlich erklärte Dropbox, dass als Folge des Einbruchs einige Nutzerkennwörter zurückgesetzt wurden („In einigen Fällen müssen wir darauf bestehen, dass Sie ihr Kennwort ändern.“) Hier stellt sich die Frage, wie Dropbox die Kennwörter seiner User speichert. Speichern sie die Kennwörter im Klartext oder vielleicht mit einem nur „schwach gesalzenen“ Hash? (Salt bezeichnet eine zufällig gewählte Zeichenfolge, die an einen gegebenen Klartext vor der Verwendung als Eingabe für eine Hashfunktion angehängt wird.) Oder nutzen sie dasselbe Salz für jeden Nutzer und einen Hashing-Algorithmus, der eher auf Schnelligkeit als auf Sicherheit ausgelegt ist? Lässt sich auch nur eine dieser Fragen bejahen, so ist die Kennwortdatenbank des Online-Speicheranbieters offen für einen so genannten Rainbow Table (Tabelle, um eine Verschlüsselungs-Hash-Funktion umzukehren) -Angriff.
Benutzerkennwörter sollten mit einem einzigartigen Salt für jeden User gespeichert sein und einen Algorithmus nutzen, der das Einfügen eines „Work Factors” wie Blowfish in den Hash-Prozess erlaubt. Dieses Vorgehen erschwert das Knacken eines Kennworts erheblich. Da der Work Factor variabel ist, kann er so verändert werden, dass er mit der Verarbeitungsgeschwindigkeit mithält. Wird er vergrößert, so verlangsamt sich der Hash. Die Massenberechnungen von Rainbow Tables werden damit unrentabel.
Es ist beruhigend zu hören, dass Dropbox eine Zwei-Faktor-Authentifizierung sowie weitere Verbesserungen an der Sicherheit für die Nutzer implementiert, doch beantwortet das die aktuellen Fragen nicht. Der Vorfall zeigt wieder deutlich, warum es so wichtig ist, sichere einzigartige Kennwörter für die vielen Online-Konten zu verwenden. Kann man seinem Service Provider nicht trauen, so muss man selbst für die eigene Sicherheit sorgen.