Skip to content

Kommentare zu diesem und jenem

Heute gibt es Kommentare zu einem Root-Zertifikat des US-Verteidigungsministeriums, einem neuen Java-Exploit, die 0-Day-Exploits aus dem 1. Quartal, Passwort-Recycling in Großbritannien und einem unerwarteten Support-Ende für Windows XP.

Vertrauen Sie dem US-Verteidigungsministerium?

Wenn es um das Ausstellen von Zertifikaten geht? Zum Beispiel für SSL/TLS-Verbindungen oder zum Signieren von Programmdateien? Apple tut es jedenfalls, wie F-Secure berichtet. Nur zur Erinnerung: Wer Zertifikate ausstellen kann, kann sich darüber als Man-in-the-Middle in SSL/TLS-Verbindungen einklinken oder Programmen eine Art "Unbedenklichkeitsbescheinigung" im Form einer digitalen Signatur eines vertrauenswürdigen Herstellers ausstellen.

Tut mir leid, aber in der Hinsicht vertraue ich bestimmt keinem Verteidigungsministerium. Da musste ich doch gleich mal die Schlüsselbundverwaltung starten und den beiden DoD-Zertifikaten mein Misstrauen aussprechen. Bei Gelegenheit werde ich wohl mal die gesamten Zertifikate durchgehen müssen. Apple und Co. vertrauen eindeutig zu vielen CAs, da muss mal dringend ausgemistet werden. Da scheinen Jäger und Sammler am Werk zu sein: "Oh, ein Rootzertifikat - schnell speichern, wer weiß, ob man das nicht noch mal brauchen kann!"

Und falls Sie jetzt denken "Ach, die Amis werden schon nichts Böses anstellen" - ein US-Richter hat gerade verhindert, dass das FBI einen ausländischen Rechner mit Spyware verseucht. Unter anderem war ihm die Gefahr, den Falschen zu treffen, zu gross. Was, wenn der nächste Richter anders entscheidet? Spyware mit einer anscheinend gültigen Signatur von zum Beispiel Microsoft käme dem FBI dann sicher gelegen.

Ein neuer Java-Exploit ist unterwegs

Ein Exploit für die von Oracle am April-Patchday behobene Schwachstelle CVE-2013-2423 wurde "in the wild" entdeckt. Unter anderem wird der Exploit im Cool Exploit Kit verwendet. Ein Grund mehr, das Java-Update schnellstens zu installieren, falls Sie Java benötigen und das Update noch nicht installiert haben. Und ein Grund mehr, das Java-Plugin im Browser auszuschalten, wenn Sie es nicht brauchen!

Die 0-Day-Exploits im 1. Quartal 2013

Sowohl Symantec als auch Trend Micro beschäftigen sich mit den 0-Day-Exploits aus dem 1. Quartal 2013. Dazu habe ich hier im Blog ja schon genug geschrieben. Ich möchte die Gelegenheit nutzen, auf einen anderem Umstand hin zu weisen: Wir haben fast schon Ende April, und es gab diesen Monat noch keinen einzigen 0-Day-Exploit. Haben die Cyberkriminellen ihr ganzes Pulver schon verschossen, oder finden sie auch ohne 0-Days noch genug Opfer? Ich fürchte ja fast, das zweite trifft zu.

Umfrage zur Passwort-Verwendung in Großbritannien

Eine Umfrage in Großbritannien hat ergeben, dass 55% der 1805 befragten Personen das gleiche Password für die meisten oder auch alle genutzten Websites verwenden. Was eine extrem schlechte Idee ist, wie ich bereits im Grundlagen-Text vom vorigen Donnerstag schrieb. Den Text zur Umfrage kannte ich beim Schreiben des Artikel noch gar nicht (denn der war schon vor einiger Zeit fertig), aber er passt doch sehr gut zum Thema. Also denken Sie daran: "Passwort-Recyling - Nein Danke!"

Der Support für Windows XP endet!

Und zwar nicht nur der von Microsoft: Laut Symantec gibt es auch die erste Schadsoftware, die nicht mehr auf Windows XP läuft. Aber bestimmt nicht, weil die Cyberkriminellen Rücksicht auf die bald nicht mehr mit Sicherheitsupdates versorgten XP-Nutzer nehmen wollen. Die entdeckten Schädlinge wurden im Rahmen gezielter Angriffe eingesetzt, und vermutlich wussten die Angreifer, dass ihr Code nicht unter XP laufen muss und haben daher gezielt dafür gesorgt, dass er unter XP auch nicht läuft. Denn ganz nebenbei tricksen sie so alle Analysesysteme aus, die den Code unter Windows XP testen.

"Normale" Schadsoftware wird sich noch einige Zeit auch Windows-XP-Systeme infizieren, und wenn der Support durch Microsoft erst mal ausgelaufen ist, wird es richtig interessant. Danach gibt es nämlich auch keinen Patches für 0-Day-Schwachstellen mehr - für Cyberkriminelle geradezu paradiesische Zustände, so lange es noch genug XP-Installationen gibt. XP-Nutzer sollten sich also bald nach einem neuen System umsehen.

Carsten Eilers

Trackbacks

Keine Trackbacks