Skip to content

Unsichere Router, unsichere Cloud, unsichere Werbung, unsicheres FBI... ja, ist denn gar nichts mehr sicher?

Die Überschrift sagt ja eigentlich schon alles, also geht es gleich los mit den Kommentaren:

WPS - Unsicheres Verfahren noch unsicherer

In Wi-Fi Protected Setup (WPS) wurde schon Ende 2011 eine Schwachstelle gefunden: Ein Designfehler im "PIN entry"-Verfahren erleichtert das Ermitteln der PIN über einen Brute-Force-Angriff und erlaubt damit den Zugriff auf das WLAN. Inzwischen haben die Router-Hersteller zum Schutz vor Brute-Force-Angriffen Wartezeiten nach einigen Fehlversuchen eingeführt.

Jetzt hat Dominique Bongard herausgefunden, dass sich die PIN auch berechnen lässt, wenn die in den Routern verwendeten Zufallszahlengeneratoren unsicher sind. Was in mindestens zwei Router-Firmwares der Fall ist. Im schlimmsten Fall eines nicht genannten Geräts sorgt ein Fehler in der Implementierung sogar dafür, dass die "Zufallszahl" immer 0 ist.

Während des Verbindungsaufbaus mittels WPS wird in einem Schritt die PIN, verschlüsselt durch ein Paar nur einmal genutzter Zufallszahlen (Nonces), übertragen. Wenn der Angreifer diese Nonces erraten kann, kann er die PIN entschlüsseln und sich Zugriff auf das WLAN verschaffen. Da im ersten Schritt des WPS-Verbindungsaufbaus eine Zufallszahl als Klartext übertragen wird ist es bei einem schwachen Zufallszahlengenerator möglich, die beiden Nonces zu erraten. Was zumindest im Fall der betroffenen Firmwares möglich ist.

Dagegen hilft nur eins: WPS ganz ausschalten, oder zumindest das "PIN entry"-Verfahren deaktivieren (wenn das geht) und nur das "Push Button"-Verfahren verwenden. Wobei das auch nur sicher ist, wenn kein Unbefugter an den Router ran kommt. Wer also zum Beispiel seine Kinder aus dem WLAN raus halten will sollte WPS ganz ausschalten, denn Knöpfchen drücken können auch die kleinsten der lieben Kleinen schon.

So richtig habe ich den Vorteil des "PIN entry"-Verfahrens und von WPS insgesamt sowieso nie erkannt. Ob ich nun die 8 Stellen der PIN eingebe oder die 16 oder mehr des WPA2-Schlüssels macht ja nun wirklich keinen so großen Unterschied. Es sei denn, man vergisst, den Schlüssel zu speichern und muss ihn bei jedem Verbindungsaufbau neu eingeben. Oder man fügt ständig neue Geräte zum WLAN hinzu. Macht das irgendwer? Eigentlich nicht, oder?

Und wer jetzt sagt "So kann ich aber Freunde in mein WLAN lassen ohne ihnen meinen WPA2-Schlüssel nennen zu müssen" hat zwei Punkte übersehen: Erstens wird der WPA2-Schlüssel von WPS automatisch an das neue Gerät übertragen, im Zweifelsfall muss man das also hinterher sowieso ändern wenn man nicht will, dass der Freund noch mal aufs Netz zugreift. Und zweitens müsste man aus dem gleichen Grund eigentlich auch die WPS-PIN ändern. Was im Allgemeinen gar nicht möglich ist.

iCloud und "Find My iPhone" schon wieder missbraucht?

Im Mai griff Ransomware iCloud-Nutzer über die Funktion "Find My iPhone/iPad/Mac" an, nun wurde die Funktion wahrscheinlich schon wieder missbraucht: Im Internet (wo sonst?) wurden Nacktfotos und Videos von 100 weiblichen Promis veröffentlicht, die vermutlich von deren iCloud-Accounts kopiert wurden. Inzwischen hat der Massen-Angriff sogar einen eigenen Namen bekommen: "The Fappening".

Die Angriffe waren evtl. möglich, weil Apple einen Fehler gemacht hat: Bis vor kurzem gab es im API der "Find My iPhone"-Funktion keinen Schutz vor Brute-Force-Angriffen, so das mit entsprechenden Tools Passwörter per Brute Force ermittelt werden konnten.

Zur Zeit untersucht Apple den Vorfall. Aber ob die Fotos und Videos nun bei Apple oder einem anderen "Online-Speicher" oder vielleicht auch von den privaten Rechnern der Opfer kopiert wurden, ist im Grunde ja egal.

Mein Mitleid mit dem Opfern hält sich in Grenzen. Wer so ungeschickt (höflich formuliert) ist, Nacktfotos in der Cloud zu speichern, fordert das Unglück ja quasi heraus. Und wer nicht weiß, dass bei einem Backup des iPhones in die iCloud oder der Nutzung des "Foto Stream" natürlich auch die damit gemachten Nacktfotos auf dem Server landen, hätte halt vorher die Doku lesen sollen. Wer nicht weiß, was er da gerade macht, muss eben damit leben, wenn er Fehler macht. Wer dann noch ein schwaches Passwort verwendet, hat eben Pech gehabt.

Also: In der Cloud wird geklaut. Wenn Sie irgend etwas in der Cloud speichern wollen, dann überlegen Sie sich vorher genau, ob sie das wirklich auf jemandes anderen Computer speichern wollen! Und, würden Sie Nacktfotos von sich auf dem Computer eines Dritten speichern? Also ich nicht. Und vieles andere auch nicht.

Und falls die Bilder und Fotos von den privaten Rechnern der Opfer kopiert wurden habe die wahrscheinlich noch ganz andere Probleme als nur die kursierenden Nacktfotos. Denn dann hatten sie ja wohl Spyware auf ihren Rechnern, und wer weiß, was die noch alles kopiert hat?

Drive-by-Infektionen via Werbung - auf Java.com, TMZ und mehr

Zur Zeit werden mal wieder Drive-by-Infektionen über Werbeanzeigen verbreitet. Aktuelle Opfer sind unter anderen java.com, TMZ, Photobucket und eBay.ie. Unter anderen kamen Java-Exploits zum Einsatz. Wie unschön, wenn jemand java.com ansurft um sich eine aktuelle Java-Version runter zu laden und sich auf den letzte Metern (oder eher Bytes) noch einen Exploit für seine alte Java-Version einfängt.

Das ist nicht neu, zeigt aber mal wieder, dass man nirgends, auch nicht auf den vertrauenswürdigsten Websites, vor Drive-by-Infektionen sicher ist.

Zumindest soweit es präparierte Werbung im Browser betrifft helfen Adblocker bei der Abwehr der Angriffe, denn die filtern auch die für Drive-by-Infektionen präparierten Anzeigen raus. Jedenfalls wenn sie alle Anzeigen filtern. Adblocker, die Ausnahmen machen, können durchaus auch bösartige Anzeigen durchlassen, da ja im Allgemeinen nicht der Inhalt, sondern die Herkunft der Anzeigen für die Filterung verwendet wird.

FBI findet neue "Advanced Search Techniques"

Das FBI hat eine Warnung (PDF) vor neuen "Advanced Search Techniques" veröffentlicht: Google Dorks. Aha. Die sind ja nun uralt, jedenfalls nach IT-Maßstäben. Ich habe gerade mal nachgesehen, das Vorwort im Buch "Google Hacking" von Johnny Long ist vom November 2004, und damals gab es die Google Hacking Database wohl schon einige Zeit. Das FBI hat also mehr als 10 Jahre gebraucht, um diese "neue Technik" zu entdecken. Wow! Wie lange brauchen die eigentlich, um Verbrechen auf zu klären? Erst wollte ich ja fragen, ob der Mord an Abel schon aufgeklärt wurde, aber der fällt wohl zeitlich nicht in deren Zuständigkeitsbereich. Obwohl: Wer sich als Weltpolizei aufspielt, sieht sich vielleicht auch als Zeitpolizei (nein, nicht diese)?

Im Ernst: Das Ganze dient angeblich "nur" dazu, die Polizeibehörden etc. in den USA darauf hin zu weisen, dass sie ihre eigenen Websites prüfen und sichern sollen. Meint zumindest Ars Technica. Aber warum steht das dann nicht explizit in der Warnung drin? So wird das doch nur nur Kenntnis genommen und dann der Büroschlaf fortgesetzt. Bei Behörden kommt man doch nur mit klaren Anweisungen weiter.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Kommentare zum iCloud-Angriff, Heartbleed-Angriffen und Angriffen über Werbung

Vorschau anzeigen
Heute gibt es mal wieder Kommentare zu neuen Entwicklungen bei altbekannten Problemen. Los geht es mit einem nicht besonders alten Problem, den aus der iCloud geklauten Promi-Nacktfotos: Die iCloud wurde nicht angegriffen, nur ihre Nutzer!

Dipl.-Inform. Carsten Eilers am : Mal wieder nichts Gutes zu Routern...

Vorschau anzeigen
Es gibt mal wieder einige Neuigkeiten zu Routern, und wie üblich keine guten. Ein DoS-Botnet, aufgebaut aus Routern Ein DoS-Botnet namens Lizard Stresser war für die DoS-Angriffe auf die Spiele-Netzwerke von Sony und Microsoft z

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 15 - Angriffe aufs WLAN, Teil 2

Vorschau anzeigen
Der Angriff auf ein WLAN erfolgt wie bereits aufgeführt in 4 Schritten: Aufspüren eines WLAN (Access Points) Aufzeichnen des Netzwerkverkehrs Ermitteln des Schlüssels Eindringen in das Netzwerk