Dipl.-Inform. Carsten Eilers | Einträge für Dezember 2014

2014 – Das Jahr, in dem die Schwachstellen Namen bekamen

21. Februar – Apples “GOTO FAIL”-Schwachstelle

USB-Sicherheit – Ein Überblick

USB-Würmer – Der Anfang des Übels

Vor Weihnachten ist noch einiges zu tun…

1. Sind alle Passwörter sicher?

Auch TLS-Implementierungen für Poodle-Angriff anfällig

Der Fehler in der TLS-Implementierung

Drucksache: Entwickler Magazin 1.2015 – SSL/TLS im Jahr 2014: Herzbluten, ein bissiger Poodle und Co.

Der 0-Day-Exploit im Dezember trifft…. Den Flash Player!

Die Schwachstelle im Flash Player

Die aktuelle 0-Day-Schwachstelle im IE – kein Grund zur Panik!

Die Details zur aktuellen Schwachstelle …

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5

August 2014 – Black Hat USA 2014

Der "Standpunkt" fällt diese Woche aus

Geschrieben von Carsten Eilers am Montag, 22. Dezember 2014

2014 wird als das Jahr in die Geschichte eingehen, in dem die Schwachstellen Namen bekamen. Vorher gab es bereits Namen für Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr wirklich durchgesetzt. Die Schwachstelle von Welt kommt heute nicht mehr ohne Namen aus. Jedenfalls nicht, wenn sie ernst genommen werden will.

Kennen Sie den Unterschied zwischen CVE-2014-6271 und Shellshock? Nicht? Dabei gibt es einen ganz gewaltigen: CVE-2014-6271 hätte es nie in die allgemeinen Medien geschafft, Shellshock ist das dagegen mit Leichtigkeit gelungen. Dabei ist es ein und dieselbe Schwachstelle. Werbung ist eben alles. Im Jahr 2014 auch für Schwachstellen.

Aber fangen wir vorne an. Die erste “berühmte” Schwachstelle war der im April vorgestellte Heartbleed-Bug in OpenSSL. Aber schon davor gab es Schwachstellen mit Namen. Jedenfalls irgendwie:

“2014 – Das Jahr, in dem die Schwachstellen Namen bekamen” vollständig lesen

Geschrieben von Carsten Eilers am Donnerstag, 18. Dezember 2014

2014 wurden mit BadUSB und der angeblich beim Laden über USB den Strom spendenden Rechner mit Schadsoftware infizierenden E-Zigarette zwei neue kritische Angriffe auf/über USB gemeldet. Das schreit nach einem Überblick über die bisher bekannten Angriffe und Schwachstellen. Bitte sehr, hier ist er:

Hinweis:
Ich habe den Artikel im Laufe des Jahres 2015 ab und zu aktualisiert.
Ende des Hinweis

“USB-Sicherheit – Ein Überblick” vollständig lesen

Geschrieben von Carsten Eilers am Dienstag, 16. Dezember 2014

Es ist bald Weihnachten, und bis dahin ist noch einiges zu tun. Und damit meine ich nicht die üblichen Aufgaben wie “Im letzten Moment die Geschenke kaufen” und “Am 23.12. Lebensmittelvorräte für die nächsten 4 Wochen einkaufen, weil die Geschäfte ja 2 Tage zu sind”, sondern einige Aufgaben rund um die IT (die natürlich auch außerhalb der Weihnachtszeit nicht vergessen werden dürfen, aber im allgemeinen Trubel gehen sie jetzt schnell unter):

“Vor Weihnachten ist noch einiges zu tun…” vollständig lesen

Geschrieben von Carsten Eilers am Donnerstag, 11. Dezember 2014

Der Poodle-Angriff auf SSL/TLS besteht bekanntlich aus zwei Schritten: Zuerst wird ein Downgrade auf SSL 3.0 erzwungen, dann eine Schwachstelle im Protokoll für einen Padding-Oracle-Angriff ausgenutzt. Weshalb der Angriff ja auch “Padding Oracle On Downgraded Legacy Encryption” oder eben kurz Poodle genannt wird. Die Schwachstelle konnte ganz einfach behoben werden, indem das sowieso veraltete SSLv3 nicht mehr verwendet wurde. Mit TLS 1.x stehen ja sichere Alternativen zur Verfügung. Dachte man zumindest.

Adam Langley hat nun herausgefunden, dass auch manche TLS-Implementierungen für den Padding-Oracle-Angriff anfällig sind. Besonders unangenehm dabei: Unter anderem sind die Load-Balancer der Hersteller F5 und A10 Networks betroffen, und die werden von etlichen großen Websites verwendet. Laut Ivan Ristic sind rund 10% aller Server von der neuen Schwachstelle betroffen.

“Auch TLS-Implementierungen für Poodle-Angriff anfällig” vollständig lesen

Geschrieben von Carsten Eilers am Mittwoch, 10. Dezember 2014

Im Entwickler Magazin 1.15 ist ein Artikel über die Angriffe auf SSL/TLS und deren Implementierungen im Jahr 2014 erschienen. Denn mit Heartbleed (OpenSSL), Poodle (SSL/TLS), dem Triple-Handshake-Angriff (TLS), der GOTO-FAIL-Schwachstelle (Mac OS X, iOS) und BERserk (NSS Library) waren die 2014 ganz schön gebeutelt.

“Drucksache: Entwickler Magazin 1.2015 – SSL/TLS im Jahr 2014: Herzbluten, ein bissiger Poodle und Co.” vollständig lesen

Geschrieben von Carsten Eilers am Mittwoch, 10. Dezember 2014

Sowohl Microsoft als auch Adobe hatten am 9. Dezember ihren Patchday. Und während Microsoft diesmal keine bereits für Angriffe genutzten Schwachstellen patchen musste, gab es von Adobe ein Update für den Flash Player, mit dem unter anderem eine bereits ausgenutzte Schwachstelle behoben wird.

Die Statistik für 2014 sieht damit bisher so aus:

Insgesamt wurden 14 bereits für Angriffe genutzte Schwachstellen behoben,
dazu kommen die von Microsoft als kritisch eingestufte Privilegieneskalation in Kerberos sowie
zwei reine 0-Day-Schwachstellen, für die es bisher keine Exploits gibt.

Verglichen mit 2013 sind wir dieses Jahr also bisher glimpflich davon gekommen, letztes Jahr gab es 21 0-Day-Exploits. Wobei so ein Vergleich natürlich ziemlich nutzlos ist, aber warum soll man nicht mal die 0-Day-Exploits pro Jahr vergleichen, wenn man auch Regen, Schnee oder Sonnenschein vergleicht?

“Der 0-Day-Exploit im Dezember trifft…. Den Flash Player!” vollständig lesen

Geschrieben von Carsten Eilers am Montag, 8. Dezember 2014

Oh Schreck, es gibt eine 0-Day-Schwachstelle im IE. Panik!1!ELF

Das ist alles total übertrieben. Wieso? Weil es “nur” eine 0-Day-Schwachstelle ist, es gibt bisher keinen Exploit dafür. Also: Kein Grund zur Panik. Denn wenn Sie wegen der einen Schwachstelle schon in Panik ausbrechen, was machen Sie denn dann wegen der womöglich zig hundert noch gar nicht entdeckten Schwachstellen? Die könnten jederzeit entdeckt werden, und je nachdem ob der Entdecker Sicherheitsforscher oder Cyberkrimineller ist wird sie dann an Microsoft gemeldet oder mit einem 0-Day-Exploit ausgenutzt. Also: Es gibt wirklich keinen Grund zur Panik!

“Die aktuelle 0-Day-Schwachstelle im IE – kein Grund zur Panik!” vollständig lesen

Geschrieben von Carsten Eilers am Donnerstag, 4. Dezember 2014

In dieser Folge geht es ein (vorerst) letztes Mal um die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen “Black Hat” und “Hack in the Box”.

Den Anfang machten die Vorträge von den Konferenzen in den Jahren 2010/2011, 2011, 2012, im März, April und August 2013.

Den Vortrag von Lucas Apa und Carlos Mario Penagos auf der Black Hat USA 2013 über Schwachstellen in und Angriffen auf die drahtlose Kommunikation der Industriesteuerungen habe ich dann mehrere Folgen gewidmet, da ich auf diese Themen später noch mal zurückkommen werde.

Danach ging es dann um den letzten Vortrag zum Thema auf der Black Hat USA 2013 und dem einzigen Vortrag von der Black Hat Asia 2014. Die nächste Konferenz in 2014 war die “Hack in the Box” Amsterdam, und dann kam schon die vorerst letzte Konferenz in dieser Reihe an dieselbe, die Black Hat USA 2014, um die es auch in dieser Folge noch einmal geht.

“SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5” vollständig lesen

Dezember ’14

Vorwärts →

Geschrieben von Carsten Eilers am Dienstag, 2. Dezember 2014

Sie kennen das ja: So viel zu tun, so wenig Zeit – da muss irgend was auf der Strecke bleiben. Und das ist diese Woche der “Standpunkt”.

Der Grundlagentext am Donnerstag erscheint wie gewohnt, der ist schon seit einigen Wochen fertig.

Carsten Eilers