Kommentare zur Selbsterkenntnis eines Virenscanners, PINs und mehr
Heute gibt es mal wieder Kommentare zu einer ganzen Reihe neuer Entwicklungen: Zur Selbsterkenntnis eines Virenscanners, einer statistischen Analyse von PINs, Spam für Cyberkriminelle, sicherer Entwicklung, gekürzten Hotmail-Passwörtern, den Problemen der NSA mit BYOD und den Right to Left Override (RLO) Unicode Tricks.
Selbsterkenntnis eines Virenscanners?
Sophos Virenscanner erkennt sich selbst - und zwar als Virus. Außerdem lässt er viele weitere Programme, vor allem solche mit Auto-Update-Funktionen, über die Klinge springen. Wer seinem Virenscanner so weit vertraut, dass er ihn selbständig Dateien verschieben oder löschen lässt, tut mir leid. Wenn der Scanner wenigstens so konsequent gewesen wäre, sich selbst zuallererst zu löschen, hätte man das ja sogar noch als weise Selbsterkenntnis durchgehen lassen können. Ein virtueller Selbstmord, um keine anderen Programm zu gefährden, das hätte doch was. Leider hat der Scanner auch die anderen mit ins Verderben gerissen.
Meine Meinung über Virenscanner dürfte ja hinlänglich bekannt sein. Besten Dank an Sophos, gute Argumente greife ich immer gerne auf. Frei nach den Warnungen auf Zigarettenschachteln: "Virenscanner gefährden die Funktionsfähigkeit Ihres Rechners!"
Wenn ein Virenscanner auf einem Gateway Amok läuft, kommen schlimmstenfalls keine Daten mehr durch. Damit kann man notfalls leben, dann muss ggf. eben der Scanner ausgeschaltet oder das betroffene Gerät ausgetauscht oder überbrückt werden. Wenn der Virenscanner aber auf dem Rechner Amok läuft, ist der Rechner danach womöglich nicht mehr zu gebrauchen oder wichtige Daten wurden gelöscht. Das ist ein ziemlich hoher Preis für einen zweifelhaften Schutz.
Wenn Sie einen Virenscanner einsetzen, achten Sie darauf, dass er keinen Schaden anrichten kann. Lassen Sie sich vor möglicherweise gefährlichen Dateien warnen, entscheiden Sie aber selbst, ob diese Dateien dann verschoben oder gelöscht werden sollen oder nicht.
Jede Menge PINs
Vielleicht haben Sie es ja schon irgendwo gelesen: Ein Hacker hat eine Liste mit allen Kreditkarten-PINs auf Pastebin veröffentlicht. Ein ziemlich müder Witz, da die Liste einfach nur die Zahlen von 0000, 0001, ... bis 9999 aufzählt. Etwas lustiger wäre es gewesen, wenn die Zahlen wenigstens durcheinander gewürfelt worden wären, damit es nicht ganz so offensichtlich ist. Von DataGenetics wurde das zum Anlass genommen,die tatsächlich genutzten PINs zu analysieren.
Als Ausgangsmaterial dienten die in letzter Zeit in Folge von Passwortlecks veröffentlichten Passwortlisten, aus denen alle aus vier Ziffern bestehenden Passwörter extrahiert wurden. Damit ergab sich eine Datenbasis von 3,4 Millionen PINs, in der jede einzelne der 10.000 möglichen Kombinationen von vier Ziffern zwischen 0000 und 9999 vorkommt. Die 20 beliebtesten PINs:
| PIN | Häufigkeit | PIN | Häufigkeit | |||
|---|---|---|---|---|---|---|
| 1 | 1234 | 10.713% | 11 | 9999 | 0.451% | |
| 2 | 1111 | 6.016% | 12 | 3333 | 0.419% | |
| 3 | 0000 | 1.881% | 13 | 5555 | 0.395% | |
| 4 | 1212 | 1.197% | 14 | 6666 | 0.391% | |
| 5 | 7777 | 0.745% | 15 | 1122 | 0.366% | |
| 6 | 1004 | 0.616% | 16 | 1313 | 0.304% | |
| 7 | 2000 | 0.613% | 17 | 8888 | 0.303% | |
| 8 | 4444 | 0.526% | 18 | 4321 | 0.293% | |
| 9 | 2222 | 0.516% | 19 | 2001 | 0.290% | |
| 10 | 6969 | 0.512% | 20 | 1010 | 0.285% |
Das sind alles bereits auf den ersten Blick leicht erklärbare Muster. Etwas schwieriger wurde das auf Platz 22, dort steht 2580. Die Erklärung dafür finden Sie auf Ihrem Handy: Es ist die mittlere Tastenreihe der Handy-Tastatur von oben nach unten, und zufällig verwenden Geldautomaten die gleiche Tastaturbelegung. Am Rechner wäre das Äquivalent 8520 (oder auch 0258 von unten nach oben) - die mittlere Reihe des Zehnerblocks.
Für weitere Ergebnisse verweise ich auf die Analyse. Alles sehr interessant, vor allem, wenn man Bedenkt, dass das Ganze sicher auch zumindest teilweise auf Deutschland übertragbar ist. Zwar kann man hier die PIN für den Geldautomaten nicht selbst wählen, und die Banken werden hoffentlich eine halbwegs brauchbaren Zufallszahlengenerator verwenden und die gefährlichen Kombinationen wie 1234 und alle aus den gleichen Ziffern bestehenden PINs wie 1111, 2222, ... ausgenommen haben.
Aber es gibt viele Stellen, an denen man selbst vierstellige PINs wählen muss, und dann sollte man vielleicht die am häufigsten verwendeten meiden. Ebenso schlecht sind leicht merkbare Jahreszahlen wie z.B. das eigene Geburtsjahr und wichtige Datumsangaben wie z.B. das eigene Geburtsdatum, der Hochzeitstermin etc. im Format TTMM. Aber nicht, weil die ebenfalls relativ häufig sind (beim Datum in der US-amerikanischen Form MMTT), sondern weil man die erraten kann, wenn der Angreifer einige Informationen über sein Opfer besitzt.
Spammer locken Cyberkriminelle an
Auch Cyberkriminelle sind vor Spam nicht sicher: Symantec berichtet, dass Cyberkriminelle die erwartete Version 2.0 des Black Hole Exploitkits als Köder nutzen, um Besucher auf eine Seite mit Werbung zu locken. Angepasst an die Zielgruppe werden die Verschlüsselung von iframes und JavaScript-Code, sicheres Hosting und Domainregistrierungen angeboten. Mit anderen Worten: Alles, was ein Cyberkrimineller neben den Exploitkit selbst an Infrastruktur braucht, um seinen üblen Machenschaften nachzugehen. Die Frage ist nur, ob Cyberkriminelle Interesse haben, bei solchen Spammern zu kaufen.
Wenn ich ein Produkt suche und auf einer Seite lande, die mir was anderes (oder auch Zubehör für das gesuchte Produkt) verkaufen will, denke ich mir etwas meist nicht gerade Jugendfreies und suche weiter. Auf so einer Seite würde ich selbst dann nichts kaufen, wenn es die einzige mögliche Quelle wäre. Denn wer mit so Methoden arbeitet, hat es ja wohl nötig, und sein eigenes Produkt taugt nichts. Sonst würde er ja mit dessen Vorzügen und Eigenschaften werben. Und ich kann mir eigentlich nicht vorstellen, das Cyberkriminelle in der Hinsicht toleranter sind.
Entwickler und die Sicherheit
Auf threatpost hat sich Michael Mimoso Gedanken über die (Nicht-)Zusammenarbeit von Anwendungsentwicklern und Sicherheitsexperten gemacht.
Wenn ich gefragt werden, wieso man schon bei der Entwicklung auf Sicherheit achten sollte, schnappe ich mit die Fragenden immer da, wo es ihnen weh tut: Beim Geldbeutel. Es ist einfach kostengünstiger, Schwachstellen von Anfang an zu vermeiden, als sie später teuer zu beseitigen. Von der schlechte Presse, wenn wegen der Schwachstellen etwas passiert ist, ganz zu schweigen. Ich weiß ja aus eigener Erfahrung, das wir Sicherheitsleute oft die Spielverderber sind, die den Entwicklern ihre schönen Ideen kaputt machen. Aber was ist besser: Vorab vom Machen der Fehler abgehalten werden, oder später die Fehler korrigieren müssen? Was ist besser: Vorab eine gute Lösung zu finden oder später auf die Schnelle einen Patch entwickeln zu müssen?
Hotmail kürzt Passwörter
Costin Raiu von Kaspersky hat festgestellt, dass Microsoft die Hotmail-Passwörter gekürzt hat: Passwörter dürfen nur noch maximal 16 Zeichen lang sein, längere Passwörter wurden gekürzt. Was nur geht, wenn die Passwörter entweder als Klartext gespeichert wurden oder von vornherein nur die ersten 16 Zeichen der Passwörter für die Passwortprüfung verwendet wurden, so dass nur darüber ein Hashwert berechnet und gespeichert wurde. Die Speicherung von Klartextpasswörtern ist ein absolutes NoGo, und auch die Nutzung verkürzter Passwörter spricht nicht gerade für das Sicherheitsbewußtsein der Verantwortlichen. Auch wenn die meisten Nutzer mit ziemlicher Sicherheit höchstens 8 Zeichen lange Passwörter benutzt haben dürften, ist das kein Argument dafür, die Benutzer längerer Passwörter unnötig zu gefährden. Die wissen schon, warum sie ein so langes Passwort gewählt haben. Andererseits - Hotmail? Das benutzt wirklich irgendwer ernsthaft? Kann ich mir bei deren Ruf eigentlich gar nicht vorstellen.
Die NSA und BYOD
Bruce Schneier weist in seinem Blog (in dem auch die Kommentare immer wieder lesenswert sind!) auf einen Artikel über die NSA und handelsübliche Geräte hin. "Bring your own Device" (BYOD) ist für die Schlapphüte natürlich besonders frustrierend. Da entwickeln sie super sichere Geräte - und dann will die keiner nutzen und kauft sich stattdessen ein iPad, iPhone oder Co.
Das Problem für uns alle dabei: Die Sicherheitsbehörden sind nun bemüht, die Kontrolle über diese Geräte zu erlangen, und möchten Gerätehersteller und Netzbetreiber zum Einsatz entsprechender Techniken bewegen. Solange dabei die Kontrolle der Benutzer über die Geräte und Netze steigen würde, wäre das ja gar nicht mal schlecht. Leider wollen die Geheimdienste und Co. lieber selbst die Kontrolle haben, und das kann kaum in unserem Interesse als Nutzer sein. Oder hätten sie gerne ein Smartphone, bei dem z.B. die Regierung die Kamera an bestimmten Orten einfach ausschalten kann?
Alte Tricks sterben nicht
Raymond Roberts hat im Threat Research & Response Blog des Microsoft Malware Protection Center darauf hingewiesen, dass Angriffe über manipulierte Dateinamen, beispielsweise mit Hilfe des Right to Left Override (RLO) Unicode Tricks, nach wie vor aktuell sind. Alte Tricks sterben eben nicht aus, die werden solange genutzt, wie noch genug Benutzer darauf reinfallen. Warum auch nicht? Passen Sie also auf, wenn Sie Dateinamen von Unbekannten erhalten, beispielsweise in einem E-Mail-Anhang. Mitunter verbirgt sich dahinter etwas ganz anderes als das, was Sie sehen.
Trackbacks