Skip to content

2014 - Das Jahr, in dem die Schwachstellen Namen bekamen

2014 wird als das Jahr in die Geschichte eingehen, in dem die Schwachstellen Namen bekamen. Vorher gab es bereits Namen für Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr wirklich durchgesetzt. Die Schwachstelle von Welt kommt heute nicht mehr ohne Namen aus. Jedenfalls nicht, wenn sie ernst genommen werden will.

Kennen Sie den Unterschied zwischen CVE-2014-6271 und Shellshock? Nicht? Dabei gibt es einen ganz gewaltigen: CVE-2014-6271 hätte es nie in die allgemeinen Medien geschafft, Shellshock ist das dagegen mit Leichtigkeit gelungen. Dabei ist es ein und dieselbe Schwachstelle. Werbung ist eben alles. Im Jahr 2014 auch für Schwachstellen.

Aber fangen wir vorne an. Die erste "berühmte" Schwachstelle war der im April vorgestellte Heartbleed-Bug in OpenSSL. Aber schon davor gab es Schwachstellen mit Namen. Jedenfalls irgendwie:

21. Februar - Apples "GOTO FAIL"-Schwachstelle

"2014 - Das Jahr, in dem die Schwachstellen Namen bekamen" vollständig lesen

USB-Sicherheit - Ein Überblick

2014 wurden mit BadUSB und der angeblich beim Laden über USB den Strom spendenden Rechner mit Schadsoftware infizierenden E-Zigarette zwei neue kritische Angriffe auf/über USB gemeldet. Das schreit nach einem Überblick über die bisher bekannten Angriffe und Schwachstellen. Bitte sehr, hier ist er:

Hinweis:
Ich habe den Artikel im Laufe des Jahres 2015 ab und zu aktualisiert.
Ende des Hinweis

USB-Würmer - Der Anfang des Übels

"USB-Sicherheit - Ein Überblick" vollständig lesen

Vor Weihnachten ist noch einiges zu tun...

Es ist bald Weihnachten, und bis dahin ist noch einiges zu tun. Und damit meine ich nicht die üblichen Aufgaben wie "Im letzten Moment die Geschenke kaufen" und "Am 23.12. Lebensmittelvorräte für die nächsten 4 Wochen einkaufen, weil die Geschäfte ja 2 Tage zu sind", sondern einige Aufgaben rund um die IT (die natürlich auch außerhalb der Weihnachtszeit nicht vergessen werden dürfen, aber im allgemeinen Trubel gehen sie jetzt schnell unter):

1. Sind alle Passwörter sicher?

"Vor Weihnachten ist noch einiges zu tun..." vollständig lesen

Auch TLS-Implementierungen für Poodle-Angriff anfällig

Der Poodle-Angriff auf SSL/TLS besteht bekanntlich aus zwei Schritten: Zuerst wird ein Downgrade auf SSL 3.0 erzwungen, dann eine Schwachstelle im Protokoll für einen Padding-Oracle-Angriff ausgenutzt. Weshalb der Angriff ja auch "Padding Oracle On Downgraded Legacy Encryption" oder eben kurz Poodle genannt wird. Die Schwachstelle konnte ganz einfach behoben werden, indem das sowieso veraltete SSLv3 nicht mehr verwendet wurde. Mit TLS 1.x stehen ja sichere Alternativen zur Verfügung. Dachte man zumindest.

Adam Langley hat nun herausgefunden, dass auch manche TLS-Implementierungen für den Padding-Oracle-Angriff anfällig sind. Besonders unangenehm dabei: Unter anderem sind die Load-Balancer der Hersteller F5 und A10 Networks betroffen, und die werden von etlichen großen Websites verwendet. Laut Ivan Ristic sind rund 10% aller Server von der neuen Schwachstelle betroffen.

Der Fehler in der TLS-Implementierung

"Auch TLS-Implementierungen für Poodle-Angriff anfällig" vollständig lesen

Drucksache: Entwickler Magazin 1.2015 - SSL/TLS im Jahr 2014: Herzbluten, ein bissiger Poodle und Co.

Im Entwickler Magazin 1.15 ist ein Artikel über die Angriffe auf SSL/TLS und deren Implementierungen im Jahr 2014 erschienen. Denn mit Heartbleed (OpenSSL), Poodle (SSL/TLS), dem Triple-Handshake-Angriff (TLS), der GOTO-FAIL-Schwachstelle (Mac OS X, iOS) und BERserk (NSS Library) waren die 2014 ganz schön gebeutelt.

"Drucksache: Entwickler Magazin 1.2015 - SSL/TLS im Jahr 2014: Herzbluten, ein bissiger Poodle und Co." vollständig lesen

Der 0-Day-Exploit im Dezember trifft.... Den Flash Player!

Sowohl Microsoft als auch Adobe hatten am 9. Dezember ihren Patchday. Und während Microsoft diesmal keine bereits für Angriffe genutzten Schwachstellen patchen musste, gab es von Adobe ein Update für den Flash Player, mit dem unter anderem eine bereits ausgenutzte Schwachstelle behoben wird.

Die Statistik für 2014 sieht damit bisher so aus:

  • Insgesamt wurden 14 bereits für Angriffe genutzte Schwachstellen behoben,
  • dazu kommen die von Microsoft als kritisch eingestufte Privilegieneskalation in Kerberos sowie
  • zwei reine 0-Day-Schwachstellen, für die es bisher keine Exploits gibt.

Verglichen mit 2013 sind wir dieses Jahr also bisher glimpflich davon gekommen, letztes Jahr gab es 21 0-Day-Exploits. Wobei so ein Vergleich natürlich ziemlich nutzlos ist, aber warum soll man nicht mal die 0-Day-Exploits pro Jahr vergleichen, wenn man auch Regen, Schnee oder Sonnenschein vergleicht?

Die Schwachstelle im Flash Player

"Der 0-Day-Exploit im Dezember trifft.... Den Flash Player!" vollständig lesen

Die aktuelle 0-Day-Schwachstelle im IE - kein Grund zur Panik!

Oh Schreck, es gibt eine 0-Day-Schwachstelle im IE. Panik!1!ELF

Das ist alles total übertrieben. Wieso? Weil es "nur" eine 0-Day-Schwachstelle ist, es gibt bisher keinen Exploit dafür. Also: Kein Grund zur Panik. Denn wenn Sie wegen der einen Schwachstelle schon in Panik ausbrechen, was machen Sie denn dann wegen der womöglich zig hundert noch gar nicht entdeckten Schwachstellen? Die könnten jederzeit entdeckt werden, und je nachdem ob der Entdecker Sicherheitsforscher oder Cyberkrimineller ist wird sie dann an Microsoft gemeldet oder mit einem 0-Day-Exploit ausgenutzt. Also: Es gibt wirklich keinen Grund zur Panik!

Die Details zur aktuellen Schwachstelle ...

"Die aktuelle 0-Day-Schwachstelle im IE - kein Grund zur Panik!" vollständig lesen

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5

In dieser Folge geht es ein (vorerst) letztes Mal um die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box".

Den Anfang machten die Vorträge von den Konferenzen in den Jahren 2010/2011, 2011, 2012, im März, April und August 2013.

Den Vortrag von Lucas Apa und Carlos Mario Penagos auf der Black Hat USA 2013 über Schwachstellen in und Angriffen auf die drahtlose Kommunikation der Industriesteuerungen habe ich dann mehrere Folgen gewidmet, da ich auf diese Themen später noch mal zurückkommen werde.

Danach ging es dann um den letzten Vortrag zum Thema auf der Black Hat USA 2013 und dem einzigen Vortrag von der Black Hat Asia 2014. Die nächste Konferenz in 2014 war die "Hack in the Box" Amsterdam, und dann kam schon die vorerst letzte Konferenz in dieser Reihe an dieselbe, die Black Hat USA 2014, um die es auch in dieser Folge noch einmal geht.

August 2014 - Black Hat USA 2014

"SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5" vollständig lesen