Skip to content

Nichts wirklich Neues: AV-Schutz wirkungslos, Webcams ausspioniert, eine CA ohne Vertrauen

Kennen Sie noch das Lied Die Wissenschaft hat festgestellt? Ein Wissenschaftler hat festgestellt, dass AV-Schutzprogramme wirkungslos sind. Und nun?

Dann gibt es da eine CA, die nicht nachweisen konnte oder wollte, dass sie sicher ist. Weshalb ihr Mozilla nun nicht mehr vertrauen mag.

Und die Cyberkriminellen haben es auf ans Internet angeschlossene Kameras abgesehen.

Das ist alles nichts Neues, trotzdem aber einen Kommentar wert.

Schutzprogramme wie Virenscanner und Co. schützen nicht vor Schadsoftware

Virenscanner und Co. schützen nicht vor der Kompromittierung des Rechners. Jedenfalls nicht unter Mac OS X. Das hat Patrick Wardle in einem Vortrag auf der RSA Conference 2015 erklärt. Weder Apples eigene Schutzmaßnahmen wie Gatekeeper, XProtect, die Sandbox von OS X oder das Signieren von Apps noch die verschiedenen Lösungen der AV-Hersteller können verhindern, dass ein Angreifer Schadcode auf dem Mac installiert, wenn der das wirklich will. Denn alle diese Schutzmaßnahmen lassen sich umgehen.

Soweit, so gut (oder schlecht). Das Virenscanner nicht besonders wirksam sind habe ich ja auch schon öfter geschrieben, zum Beispiel hier. Etwas überrascht hat mich, wie leicht Apples Schutzmaßnahmen wie das Signieren von Apps unterlaufen werden kann. Da hätte ich etwas mehr Widerstandskraft hinter erwartet.

Und das alles gilt mit Sicherheit nicht nur für Mac OS X, sondern für alle Systeme. Vielleicht mal ausgenommen die speziell gehärteten Spezialfälle.

Die Lösung: Neue Schutzprogramme!

Interessant ist, wie Patrick Wardle das Problem lösen will: Mit (bitte einen Tusch!) neuen Schutzprogrammen!

Knock Knock sammelt Informationen über alle beim Booten automatisch gestarteten Programme und zeigt sie an. Per Default werden unveränderte, von Apple signierte Binaries nicht angezeigt. Verdächtige Dateien können bei VirusTotal geprüft werden. Der Benutzer kann dann entscheiden, ob der das Programm wirklich auf seinem Rechner haben will oder nicht.

BlockBlock läuft im Hintergrund und informiert den Benutzer, wenn sich ein Prozess dauerhaft im System verankern will. Der kann dann entscheiden, ob er das zulassen will oder nicht.

So, und jetzt warten wir mal, wie lange es dauert, bis irgend jemand einen Weg veröffentlicht, um diese beiden Schutzprogramme zu umgehen. Denn genau das wird früher oder später passieren. Um so früher, je mehr Benutzer die Programme installieren und damit die Cyberkriminellen quasi dazu zwingen, auch diesen Schutz zu umgehen.

Und wieder eine vertrauenswürdige CA weniger...

Es gibt (zumindest in Firefox) schon wieder eine vertrauenswürdige CA weniger: In Firefox 38 wird das Root-Zertifikat der "e-Guven Elektronik Bilgi Guvenligi A.S." entfernt werden. Diesmal erfolgt die Löschung nicht, weil die CA bereits falsche Zertifikate ausgestellt hat, sondern weil sie keinen aktuellen und den Anforderungen von Mozilla genügenden Audit nachgewiesen hat.

Schön, dass ein Browser-Hersteller mal aktiv wird, bevor das Kind im Brunnen gelandet ist. Meiner Meinung nach werden von den Browser- und Systemherstellern sowieso viel zu viele CAs "ab Werk" für Vertrauenswürdig gehalten.

Die von den Browsern und Systemen gespeicherten CA mögen ja alle die Anforderungen der jeweiligen Hersteller erfüllen und damit im Grunde vertrauenswürdig sein. Aber wieso sollte ich eigentlich einer staatlichen CA aus Asien vertrauen? Oder einer mit nur regionaler Bedeutung in einer ganz anderen Region der Erde als Europa?

Ich habe schon vor einigen Jahren vielen dieser CA lokal das Vertrauen entzogen. Allerdings müsste ich mir das wohl bei Gelegenheit mal wieder ansehen.

Die Wahrscheinlichkeit, dass ich eine Website besuche, die eine dieser "exotischen" CA nutzt, dürfte irgendwo nahe 0,nix liegen. Und wenn ich wider Erwarten doch mal auf so einer Website lande, kann ich dann ja immer noch entscheiden, ob ich der Website oder ihrer CA vertrauen will oder nicht.

Wer überwacht Ihre Webcam oder Ihre Überwachungskamera?

Kameras, egal ob Webcam, Baby-Monitor, Überwachungskameras, ... ziehen immer wieder unerwünschte Zuschauer an, wenn sie mit dem Internet verbunden sind. Dafür gibt es mal wieder etliche Beispiele, zusätzlich zu denen, die ich früher schon im Blog hatte: Überwachungskameras allgemein, als Opfer und mit wirkungsloser Passwortabfrage, Angriffe mit Spyware oder Remote Administration Toolkit oder durch Spanner - wo eine Kamera mit Internetzugang ist, sind die Angreifer nicht weit.

Also: Achten Sie darauf, dass Ihre Kamera nur dann aus dem Internet erreichbar ist, wenn Sie das wirklich so wollen. Und setzen Sie ein sicheres Passwort.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Virenscanner und Co. - Pro und Contra

Vorschau anzeigen
Virenscanner oder Antivirenprogramme oder wie auch immer man sie nennen will sind nicht unumstritten. Für manche nutzloses Schlangenöl, für andere ein Allheilmittel zur Abwehr von Angriffen, für noch andere sogar eine Gefahr f&uu