Skip to content

Ein paar Kommentare zum "Internet der Dinge", neuer Schadsoftware und XSS

Heute gibt es nicht viel, was sich zu kommentieren lohnt. Denn zum BSI und dessen Umgang mit den gefundenen Daten haben andere bereits alles relevante gesagt und geschrieben, zum Beispiel Fefe. Mit der Aktion hat sich das BSI wirklich nicht mit Ruhm bekleckert.

Ein bisschen was zum "Internet der Dinge"

Der spammende Kühlschrank ist wohl wirklich zumindest noch eher der Fantasie der Werbeabteilung und nicht der Realität entsprungen. Der Spam kam sehr wahrscheinlich von infizierten Windows-Rechnern, und da die meist hinter Routern mit NAT sitzen, kann man den Spam nur bis zur IP-Adresse des Routers zuverlässig zurück verfolgen. Von welchem Gerät dahinter der Spam gesendet wurde, weiß man nicht. Und wenn man dann dahinter auf einen Kühlschrank stößt, sieht es halt aus, als hätte der gespammt. Was sich in einer Pressemeldung natürlich viel besser macht als der zig Fantastilliardste Spam-Sendende Windows-PC. Zumal es ja theoretisch möglich ist, dass ein Internet-fähiger Kühlschrank sich Schadsoftware einfängt und die dann Spam versendet.

Real ist eine andere Bedrohung für Mitglieder des "Internets der Dinge", konkret Drucker, die HPs PJL zur Kommunikation verwenden. Denn dafür gibt es jetzt neue Module für das Metasploit-Framework mit interessanten Fähigkeiten. Das ist natürlich besonders für die Besitzer von Druckern schlecht, die ihre Geräte unvorsichtigerweise mit dem Internet verbunden haben. Wenn Sie sich nicht sicher sind, prüfen Sie besser die Konfiguration Ihres Druckers noch mal. Bevor es irgend jemand aus dem Internet für Sie macht.

Und dann ist da noch ein "Ding", auf das besser nicht jeder zugreifen können sollte: Netzwerkkameras. Brian Krebs hat erfahren, dass eine Schwachstelle in Geräten des chinesischen Herstellers Foscam jedermann den Zugriff darauf erlauben, der die IP-Adresse kennt. Und die kann man ja googlen. Das Problem liegt in der Passwortabfrage: Wenn man auf OK klickt, ist man drin. Auch ohne Benutzername oder Passwort einzugeben. Ein Firmware-Update wurde für den 25. Januar angekündigt, aber wer installiert denn ein Firmware-Update auf einer Kamera? Da gilt doch meist "Anschließen und vergessen". Falls Sie eine Kamera von Foscam haben, sollten Sie prüfen, ob ein Firmware-Update nötig ist. Es sei denn, sie möchten von jedermann beobachtet werden können.

Ein bisschen was zu neuer Schadsoftware

Flora Liu von Symantec hat über einen neuen Windows-Trojaner berichtet, der versucht, mit dem Windows-Rechner verbundene Android-Geräte mit Schadsoftware zu infizieren. Das gelingt nur, wenn auf dem Android-Gerät der USB-Debugging-Modus aktiviert ist. Wenn Sie den nicht brauchen, sollten Sie ihn ausschalten. Genau so wie alles andere, was nicht benötigt wird. Eigentlich sollte das selbstverständlich sein, denn was nicht da ist, kann auch nicht angegriffen werden.
Das Ziel des Trojaners sind verschiedene koreanische Onlinebanking-Apps, die gegen trojanisierte Versionen ausgetauscht werden sollen. Außerdem werden empfangene SMS an einen Server der Cyberkriminellen weitergeleitet. Wetten, dass die es hauptsächlich auf SMS-TANs abgesehen haben? Das haben ja auch schon Zeus und andere Onlinebanking-Trojaner erfolgreich versucht.

Ein digital signierter Schädling für Mac OS X wurde von Sophos entdeckt. Der gelangt, getarnt als PDF-Datei, auf den Rechner, wenn ein Benutzer auf eine der "Wir konnten ein Paket nicht zustellen"-Mails herein fällt und die in der Mail verlinkte Website ansurft. Safari unter Mac OS X Mavericks lädt die Datei automatisch herunter und entpackt sie (ursprünglich ist es ein ZIP-Archiv, nach dem Entpacken ist es ein Anwendungs-Bundle). Ich hoffe, dass ist nur mal wieder die übliche unsichere Default-Konfiguration, Safari hat ohne Anweisung nichts herunter zu laden und zu entpacken oder öffnen.
Beim Öffnen der angeblichen PDF-Datei wird dann zwar gewarnt, dass eine aus dem Internet heruntergeladene Anwendung geöffnet werden soll, es gibt aber keine Warnung vor einem unbekannten Entwickler, da der Schädling digital signiert ist. Ein aufmerksamer Benutzer sollte schon bei der Warnung vor dem Öffnen der Anwendung misstrauisch werden, aber wer nicht aufpasst, läuft Gefahr, sich eine Hintertür auf den Rechner zu holen.

Ein bisschen was zu XSS

In Googles Chrome und Apples Safari wurde eine Schwachstelle im XSS-Filter gefunden. In Chrome wurde sie bereits behoben, Apple arbeitet noch daran. Prinzipiell sollte die Schwachstelle aber keine große Gefahr darstellen. Erstens ist sie reichlich exotisch, zweitens befindet sie sich im Filter der Browser, und solange eine Webanwendung keine XSS-Schwachstelle enthält, ist sowieso kein Angriff über die Schwachstelle im Filter möglich. Der ist nur die zweite Verteidigungslinie für den Fall, dass eine Webanwendung eine XSS-Schwachstelle enthält und die ausgenutzt wird.

Und da ich gerade bei XSS-Schwachstellen bin: Wenn eine Webanwendung eine XSS-Schwachstelle enthält, kann die nun mit neuen Modulen für das Metasploit-Framework für den Firefox getestet werden. Die ermöglichen es dem über XSS eingeschleusten JavaScript-Code nach dem Ausnutzen einer Privilegieneskalations-Schwachstelle einen Shellzugang zu öffnen.

Und die Moral von der Geschichte? Webanwendungen dürfen keine XSS-Schwachstellen enthalten. Dann ist es völlig egal, was für Exploits es dafür gibt und welche weiteren Schwachstellen in den XSS-Filtern der Browser lauern. Eigentlich sollte das eine Selbstverständlichkeit sein. Dummerweise wird man auch heute noch immer wieder mal von einer sich öffnenden Alertbox gestört, wenn man auf einer Website nach Informationen über <script>alert(1);</script> sucht.

Ein bisschen was zum Lesen

Zum Schluss noch ein paar Lesetipps:

  • Im ISC Diary geht es um das Thema "Learning from the breaches that happens to others: Teil 1 und Teil 2.
    John Hawes von Sophos frage sich auf NakedSecurity passend dazu "Why aren't we learning long-term lessons from security disasters?". Ich vermute mal, die Antwort lautet "Weil viele Leute einfach nicht lernfähig sind".
  • Und noch ein Text im ISC Diary: "Phishing via Social Media". Warum sollten die Phisher auch einen Bogen um Social Networks und Co. machen, wo doch Phishing, Social Engineering und Social Networks / Media so gut zueinander passen?
  • Keine Panik, nur weil es bald keine Updates für Windows XP mehr gibt wird uns nicht das Geld ausgehen. Zwar laufen viele Geldautomaten mit Windows XP, aber die hängen zumindest in Deutschland nie am Internet, sind also keinen Angriffen darüber ausgesetzt. Und überhaupt ist die Angriffsfläche des Rechners im Geldautomaten doch ziemlich klein. Nebenbei bemerkt dürften die auch jetzt eher selten Updates installiert bekommen haben. Denn es ist ziemlich genau festgelegt, wie sich ein Geldautomat zu verhalten hat, was darauf läuft und so weiter, und einfach mal ein Update installieren nur weil Microsoft es veröffentlicht hat passt da nicht wirklich gut ins Konzept. Vor allem, wenn der Geldautomat auch noch eine Zulassung besitzt und die behalten soll.
  • Rob Slade: "The truth about quantum cryptography – and what it means for privacy".
  • Jonathan Leopando, Trend Micro: "Everyone Has A Secret". Auch wenn er meint, er hätte nichts zu verbergen.
  • "Micke", F-Secure: "Policeware — good or bad?". Die kurze Antwort: Es kommt drauf an, wer und wo man gerade ist. Und da die Virenscanner das nicht wissen können, müssen sie "Policeware" erkennen und melden. "Policeware" - sind das "staatlich gesponserte Angriffe" mit bekannten Sponsoren?

Carsten Eilers

Trackbacks