Adobe hat eine Schwachstelle im Flash Player behoben, die bereits für Angriffe ausgenutzt wird. Es gibt/gab also mal wieder einen 0-Day-Exploit für den Flash Player. Den zweiten in diesem Jahr im Flash Player, den siebten insgesamt.
Microsoft warnt vor einem 0-Day-Exploit für den Internet Explorer. Es ist der dritte für den IE und der sechste insgesamt im Jahr 2014. Das besondere an diesem Exploit: Er betrifft alle IE-Versionen von 6 bis 11 und damit auch das nicht mehr unterstützte Windows XP. Zumindest für einen kleinen Teil der bedrohten Systeme wird es also kein Update geben.
Update 2.5.2014:
Microsoft hat Updates
veröffentlicht
– auch für Windows XP!
Ende des Updates vom 2.5.2014
Im Magazin Mobile Technology 2.2014 ist ein Artikel über die Zwei-Faktor-Authentifizierung mit dem Google Authenticator erschienen.
Die Kombination aus Benutzername und Passwort reichte lange aus, um einen Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen will. Der Google Authenticator stellt so einen zweiten Faktor dar.
“Drucksache: Mobile Technology 2.2014 – Zwei-Faktor-Authentifizierung mit dem Google Authenticator” vollständig lesenEs gibt ein paar Neuigkeiten rund um die Heartbleed-Schwachstelle in OpenSSL:
Über die Heartbleed-Schwachstelle in OpenSSL können die privaten Schlüssel der Server-Zertifikate ausgespäht werden. Ob das wirklich auf einem bestimmten Server passiert ist, kann niemand mit Sicherheit feststellen. Also müssen die Zertifikate der von der Schachstelle betroffenen Server erneuert werden. Und zwar ohne Ausnahme, denn mit dem privaten Schlüssel kann sich der Angreifer als der betreffende Server ausgeben und die Kommunikation des Servers entschlüsseln. Das ist so gefährlich, dass schon die theoretische Möglichkeit Grund genug ist, die Schlüssel zu erneuern. Und es gibt sowohl praktische Beweise dafür, dass die privaten Schlüssel ausgespäht werden können, als auch Anzeichen dafür, dass ein Botnet schon 2013 entsprechende Angriffe durchgeführt hat. Um eine Erneuerung betroffener Zertifikate kommt also niemand herum. Der damit verbundene Rückruf der bisher genutzten, eigentlich ja weiter gültigen Zertifikate, ist aber problematisch.
Das BSI meldet, dass das Internet jetzt nicht mehr nur nach durch die Heartbleed-Schwachstelle angreifbaren Webservern durchsucht wird, sondern auch nach Mailservern. Denken Sie also daran: Sie müssen OpenSSL auf allen Servern aktualisieren, nicht nur auf dem Webserver. Und überall müssen die Zertifikate erneuert werden. Bekanntlich kann man Angriffe nicht erkennen, also muss man mit dem Schlimmsten rechnen. In diesem Fall also damit, dass der private Schlüssel ausgespäht wurde und das Zertifikat dadurch kompromittiert ist.
Im Entwickler Magazin 3.2014 ist der dritte (und letzte) Artikel einer kleinen Serie über die Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen erschienen.
“Drucksache: Entwickler Magazin 3.2014 – Kryptografie im NSA-Zeitalter, Teil 3” vollständig lesenEs gibt ein paar Neuigkeiten zum Heartbleed Bug in OpenSSL. Und leider mit einer Ausnahme nichts Gutes. Die Ausnahme ist ein xkcd-Cartoon, der den Heartbleed-Fehler sehr schön erklärt. Und damit kommen wir zu den schlechten Nachrichten.
Der Heartbleed Bug in OpenSSL wurde von der NSA angeblich schon seit 2 Jahren ausgenutzt. Was die natürlich dementiert. Was ist davon zu halten?
Warum ist die Heartbleed-Schwachstelle in OpenSSL so schlimm und warum sollte man SSL-Zertifikate und Passwörter betroffener Server austauschen?
Alles im folgenden geschriebene gilt sinngemäß auch die Client-Installationen von OpenSSL, nur das dort eher selten Zertifikate verwendet werden, so dass es weniger private Schlüssel zum Ausspähen gibt. Passwörter werden aber natürlich auch auf dem Client gespeichert.
In OpenSSL wurde eine kritische Schwachstelle behoben: Der Heartbleed Bug. Und diesmal ist “kritisch” sehr ernst gemeint. Oder um Bruce Schneier zu zitieren:
“”Catastrophic” is the right word. On the scale of 1 to 10, this is an 11.”
Über die Schwachstelle können vertrauliche Daten, insbesondere die privaten Schlüssel der Server, aber auch Sitzungsschlüssel, übertragene Zugangsdaten und vieles mehr ausgespäht werden.
Betroffen sind alle Dienste, die TLS verwenden und eine angreifbare OpenSSL-Version einsetzen. Vor allem sind das natürlich Webserver, aber auch Mailserver, VPN, Updatefunktionen, … sind von der Schwachstelle betroffen und damit angreifbar.
Das BSI hat am 4. April bekannt gegeben, dass man von der Staatsanwaltschaft Verden “einen Datensatz mit mehreren Millionen E-Mail-Adressen” zur Verfügung gestellt bekommen hat, um die Betroffenen zu warnen. Mehr ist bisher nicht bekannt. Insbesondere nicht, woher diese Adressen stammen und welche Informationen außer den E-Mail-Adressen und Passwörtern vorhanden sind. Das BSI verweist lediglich auf die grundlegenden Sicherheitsregeln, die eigentlich selbstverständlich sein sollten.
Aber das reicht aus, um überall mit Regeln für die Bildung sicherer Passwörter bombardiert zu werden. Und natürlich gibt es auch wieder die Forderung, die Internetanbieter müssten mehr für den Schutz der Passwörter und persönlichen Daten ihrer Kunden tun. Was alles mit dem aktuellen Fall nichts zu tun hat, wenn diese Daten wieder wie beim letzten Mal von einem Botnet gesammelt wurden.
Im windows.developer 5.2014 ist ein Artikel über die Sicherheit der PowerShell erschienen: Wie wird die PowerShell vor Missbrauch geschützt, welche Angriffe auf/über die PowerShell gibt es, und auf was muss man bei ihrem Einsatz achten?
“Drucksache: windows.developer Magazin 5.2014 – PowerShell sicher einsetzen” vollständig lesenAb dieser Folge gibt es eine Aktualisierung zu gleich zwei Themengebieten, denn Wasserloch-Angriffe (“Watering Hole Attacks”) sind gezielte Drive-by-Infektionen, die meist im Rahmen von Advanced Persistent Threats zum Einsatz kommen.
