Tag - Sicherheitslücke

Tag Null: Wannacry-Nachlese – Was und wie übel sind Zero-Day-Exploits?

Der moderne Mensch muss sich mit allerlei Widrigkeiten herumschlagen, ganz oben auf der Liste steht dabei die ständige Verteidigung des eigenen Geldbeutels. Und auf den haben es viele abgesehen, in Zeiten globaler Netzverbindungen sogar noch mehr, denn zusätzlich zur zwielichtigen Gestalt im Bahnhofsviertel kommen Unmengen an global operierenden Hackern und anderen, ebenso zwielichtigen Figuren, im Internet.

Hinsichtlich der Netzsicherheit sind viele Arten von Attacken zu nennen: Viren, Trojaner, Malware, Ransomware, Phishing und die Übernahme des digitalen Hausrechts über Sicherheitslücken in Programmen und Betriebssystemen. Und hier ganz besonders begehrt: Zero Day Exploits.

Read More

‚Routing‘-Leak: CyberGhost ist nicht betroffen

Die kürzlich entdeckte ‚Routing‘-Sicherheitslücke, die grundlegende Netzwerk-Routing-Techniken ausnutzt, betrifft sowohl Anwender mit direktem Internetanschluss als auch solche, die einen Router mit UPnP Port Forwarding nutzen.

Sollte Software, die auf UDP-Traffic spezialisiert ist, wie beispielsweise ein Torrent-Client, auf Pakete antworten, die via VPN-Client über die IP-Adresse des Internetanbieters gesendet werden, kann die reale IP des Anwenders in Erfahrung gebracht werden. Hierbei kann die VPN-Linkadresse mit der originalen IP-Adresse verknüpft werden.

CyberGhost ist von der Lücke nicht betroffen. Die interne Firewall der Windows- und Mac-Clients verhindert zuverlässig JEDEN Internetverkehr außerhalb des geschützten VPN-Tunnels. Die Software verfügt über dieses Feature bereits seit Jahren.

teacher

 

Quelle: https://torrentfreak.com/routing-feature-can-expose-vpn-users-real-ip-addresses-151222/

Schutz hoch 3: Warum CyberGhost 5.5 über einen Werbeblocker verfügt

Werbung nervt. Wissen wir alle. Die Ladezeiten überfrachteter Webseiten ziehen sich unendlich in die Länge und normales Lesen wird zum Hindernissport, während die interessantesten Abschnitte obendrein noch von Weg-Klickern wie ‚Nein, will keinen Newsletter‘ überdeckt sind. Aber das ist leider noch nicht alles, denn Werbung kann auch richtig gefährlich werden und ein Einfallstor für Cyberkriminelle sein, die es auf Geld und Daten der Anwender abgesehen haben.

Dafür muss man nicht einmal in die dunkleren Seiten des Webs abtauchen, denn Werbeanzeigen mit Direktanbindung zu Exploit-Seiten, die der Analyse von Sicherheitslücken, der Auswahl eines passenden Exploits und der anschließenden Infektion dienen, finden sich zunehmend auch bei üblicherweise vertrauenswürdigen Seiten. Dies besitzt für Kriminelle zwei wichtige Vorteile, für die sie sogar bereit sind, tief in die Tasche zu greifen und Werbe-Einblendungen zu bezahlen: Der Traffic dieser Seiten, beispielsweise stark frequentierter Online-Magazine, ist immens und die meisten Besucher hegen kaum Misstrauen den dort eingespielten Anzeigen gegenüber.

flying ghost

Malvertising lässt die Kassen klingeln

Malvertising heißt das Stichwort, das einem Internetreisenden unter Umständen sehr teuer zu stehen kommen kann: Von Kriminellen geschaltete Anzeigen, die Schadcode einschmuggeln und den Rechner zur Spielwiese von Fremden machen. Besonders viel Wissen benötigt man dazu nicht, denn die Kits zum Ausnutzen der Sicherheitslücken und der anschließenden Installation der jeweiligen Schadsoftware können selbst Kinder bedienen. Und ist ein Rechner erst einmal infiziert, ist von dort aus alles möglich: Das Abfischen der Kreditkartennummern und anderer Bankdaten, die Installation von Trojanern und Keyloggern, Erpresser-Software, die Festplatten verschlüsselt oder Programme, die sich an Angriffe gegen andere Systeme beteiligen.

Die Werbeanzeigen besitzen dabei in aller Regel unauffälligen Charakter, werden sie aber bewusst oder durch Zufall angeklickt, wird der Anwender sofort zu einer präparierten Landingpage weitergeleitet und der Rechner infiziert. Schlimmer noch, denn wird die Landingpage in einem iFrame direkt auf der Webseite mit der Anzeige geladen, muss nicht einmal die jeweilige Werbung angeklickt werden. Die letzte Möglichkeit birgt temporär sogar wesentlich höhere Infektionsraten, ist aber weniger nachhaltig, da sie schneller entdeckt wird, weshalb beide Verfahren gleichermaßen zur Anwendung kommen. Jüngst bekannt gewordene Beispiele für erfolgreiches Malvertising sind die ‚Exploit-Vermittlungen‘ auf Metacafe und Dailymotion sowie die Verbreitung des ‚Nuclear‘-Exploits durch Googles Ad-Server Doubleclick.

Mit CyberGhost zur sicheren Seite wechseln

Nervende Werbung entfernen ist also nur die eine Seite der Medaille. Eine wichtige, wie wir finden, da die mittlerweile überwältigende Menge an Anzeigen ein Interneterlebnis deutlich verschlechtert, aber die andere Seite ist mindestens ebenso wichtig. Der Werbeblocker ergänzt den neuen CyberGhost-Online-Virenschutz und unseren Schutz vor gefährlichen Websites dadurch, dass er neben den unerwünschten Anzeigen auch die gefährlichen bereits auf den CyberGhost-Servern blockiert und so dafür sorgt, dass die Rechner der Anwender gar nicht erst in Berührung damit kommen.

007

Dies setzt unsere Server einer erheblichen Last aus, die über das hinaus geht, was eine einfache Anonymisierung erfordert, wir sind aber der Meinung, dass sich Sicherheit nicht nur darin ausdrücken sollte, anonym surfen zu können. Denn mal ganz ehrlich: Was nützt die beste Anonymität, wenn sie jederzeit durch Exploit-Kits enttarnt werden kann? Und nicht nur Kriminelle nutzen diese Pakete, sondern auch Geheimdienste …

In diesem Sinne: Entdeckt die neuen Features. Sie sind zwar nur im Premiumdienst verfügbar, aber, psst, ganz unter uns: In der neuen Chip gibt’s ein Jahr CyberGhost als Promotion-Angebot – inklusive aller neuen Features 🙂

Logjam & NetUSB: Die 2 wichtigsten Sicherheitslücken der letzten Woche

Kaum ein Woche vergeht noch ohne Datenskandal, Hackerangriff oder frisch aufgedeckte Sicherheitslücke. Betroffen sind dann in aller Regel zig-Tausende oder gar Millionen Nutzer, sei es als Mitglied einer Plattform, wie beim jüngsten Hack der Sex-Dating-Plattform AdultFriendFinder, sei es als Besitzer bestimmter Hardware wie Router oder ‚nur‘ als gewöhnlicher Internetsurfer, der schlecht wissen kann, wann eine sichere Webseite auch tatsächlich sicher ist und wann nicht.

USB-Treiber reißt Sicherheitslücke in Millionen Router

Drucker und Festplatten an einem Router zu betreiben und damit für das lokale Netz verfügbar zu halten, ist praktisch – laut Sicherheitsexperte Stefan Viehbock vom SEC Consult Vulnerability Lab in vielen Fällen leider aber auch gefährlich, zumindest vom Blickwinkel der Datensicherheit aus betrachtet. Schuld daran ist der NetUSB-Treiber der taiwanischen Firma KCodes, der auf Millionen Routern installiert ist und über eine jüngst entdeckte Lücke Angriffe auf das Gerät ermöglicht. Ist der Name eines angeschlossenen Druckers oder eines anderen Geräts länger als 64 Zeichen, führt dies zu einem Speicherüberlauf, in dessen Fahrwasser sich Schadsoftware auf dem jeweiligen Router installieren lässt.

Wie viele Router genau betroffen sind, lässt sich nicht beziffern, mindestens aber sind es 92 Modelle der Firmen TP-Link, D-Link, Trendnet, Zyxel und Netgear. Eine von SEC Consult ins Netz gestellte Liste ermöglicht die Recherche, ob das eigene Gerät ebenfalls für die Lücke empfänglich ist. Falls ja, sollten sich deren Besitzer um ein Update vom Hersteller bemühen oder die NetUSB-Treiber in den Einstellungen zum Router deaktivieren. Besitzer einer der hierzulande weit verbreiteten Fritz!Boxen können übrigens aufatmen. Laut Hersteller AVM wird der NetUSB-Treiber der taiwanischen Firma nicht verwendet.

Logjam-Attacke gefährdet Serververbindungen

Eine Schwäche im Diffie-Hellman-Schlüsselaustausch, der zur Herstellung verschlüsselter Verbindungen zu Web-, Mail-, SSH- und VPN-Server genutzt wird, kann in Verbindung mit Man-in-the-Middle-Attacken zur Kompromittierung der jeweiligen Verbindung führen. Angreifer sind dann in der Lage, die geheimen Schlüssel bei SSL/TLS-Verbindungen abzufangen, den Datenverkehr zu belauschen und Schadsoftware einzuschleusen.

Betroffen sind in erster Linie die geschwächten 512-Bit-Varianten von Diffie-Hellman, die viele Systeme noch heute unterstützen, während das Verfahren ab 1024 Bit als überwiegend sicher gilt. Problematisch hierbei ist, dass durch ehemalige US-Export-Bestimmungen erzwungene Abschwächungen in der Verschlüsselungsstärke es erlauben, dass der Schlüsselaustausch statt mit 1028 oder mehr mit den kompromittierbaren 512 Bit vorgenommen werden kann (Downgrading), vorausgesetzt, Server und Client beherrschen jeweils das Export-Verfahren (DHE_EXPORT).

Veröffentlichungen der Sicherheitsforscher zufolge, die die Lücke entdeckt haben, steht die Kompromittierung von 768-Bit-Diffie-Hellman kurz bevor. Außerdem warnt man, dass staatlich unterstützte Dienste wie die NSA möglicherweise auch 1028-Bit-Diffie-Hellman angreifen können, beispielsweise um VPN-Verbindungen aufzubrechen.

Betroffene Webseiten und Browser

Laut Entdecker der Sicherheitslücke sollen derzeit rund 8 % aller Webseiten und POP3/IMAP-Mailserver betroffen sein. Voraussetzung ist, dass sowohl Server als auch Client das Downgrading auf 512 Bit erlauben. Von den allgemein verwendeten Browsern sind praktisch alle verwundbar – mit Ausnahme der aktuellen Version des Internet Explorers von Microsoft. Ein (empfohlener) Browsertest lässt sich auf der Seite der Forscher ausführen.

CyberGhost nicht, bzw. nicht mehr betroffen

Die Login-Server von CyberGhost waren von Anfang an nicht betroffen, zum einen, weil mit 2048 Bit codiert wird, zum anderen, weil die Export-Verschlüsselung standardmäßig deaktiviert und ein Downgrade somit nicht möglich ist. Alle anderen VPN-Server sind, soweit überhaupt notwendig, bereits kurz nach Bekanntwerden der Lücke letzte Woche gepatcht worden.

Links:

Die 4 heißesten Security-Leaks der Woche

Was haben Android, Cameron, Adobes Flash-Player und Google Search gemeinsam diese Woche? Genau: Sie sind allesamt Sicherheitsrisiken – für Anwender (Android, Flash), für alle anderen (Cameron) und für liebgewonnene Wahrheiten bei Umfragen zur Sexualität bei Mann und Frau.

Google belässt Android-Sicherheitslücke
Eine gravierende Sicherheitslücke auf Millionen Smartphones und Tablets mit älteren Androidversionen lässt Google offensichtlich kalt. Laut Handelsblatt online will der Megakonzern die Lücke, die alle Androidversionen 4.3 und darunter betrifft, nicht adressieren und fordert stattdessen die Anwender und App-Entwickler auf, in Eigenregie Abhilfe zu schaffen.

Insgesamt soll es sich um elf Sicherheitslücken handeln, die rund 60 Prozent aller im Betrieb befindlichen Geräte betreffen, wobei die Anwender sowohl von den ehemaligen Anbietern als auch dem Hersteller des Android-Betriebssystems, also Google, im Regen stehen gelassen werden. Für die Anbieter der jeweiligen Geräte lohnt eine umfassende Update-Pflege nicht, da man eher daran interessiert ist, Neugeräte zu verkaufen, und Google spielt das Problem lieber herunter als Maßnahmen zu ergreifen. Entsprechende Anfragen ignorierte das Unternehmen zunächst, bis es sich schließlich zu einer offiziellen Bestätigung eines Entwickler-Blog-Eintrags aufraffte: »Die Zahl der Betroffenen sinkt jeden Tag, je mehr Leute ein Upgrade vornehmen oder ein neues Gerät bekommen.« Von wem sie es bekommen sollten oder an wen man sich wenden kann, damit man es bekommt, versäumte man allerdings, ebenfalls mitzuteilen.

Das Sicherheitsleck ist Teil der von Google entwickelten Webview-Technologie, die unter anderem vom hauseigenen Standard-Browser genutzt wird, dummerweise aber auch von Dritt-Apps, mehrheitlich kostenfreien, die sie zur Darstellung von Werbebannern verwenden.

Fix: Wer Zugriff auf Upgrades besitzt, sollte sie einspielen (ab Android Version 4.4 kommt eine sichere Webview-Variante zum Einsatz). Ist dies nicht möglich, empfiehlt es sich, einen anderen Browser als Standard zu definieren, bspw. Firefox oder Chrome. Bei Dritt-Apps sollte man in den Einstellungen überprüfen, ob sich eine Alternative zur Darstellung von Inhalten aktivieren lässt. Die CyberGhost App für Android kann bspw. auch mit der Intel Rendering Engine betrieben werden, allerdings besteht hier sowieso keine Gefahr, da nur eigene Werbung angezeigt wird.

Wichtige Links:

Cameron plaudert mit falschem Geheimdienstchef
Wie die Zeit heute berichtet, ist es einem Unbekannten gelungen, sich telefonisch erfolgreich als Chef des britischen Geheimdienstes GHCQ, Robert Hannigan, auszugegeben und den Premierminister ans Telefon zu bekommen.

Der unbekannte Mann wurde direkt bis Camerons offiziellem Mobiltelefon durchgestellt, wo er den Premierminister in ein Gespräch verwickelte. Camaron betonte, dass es dem Anrufer hierbei nicht gelang, an geheime Informationen heranzukommen, versäumte aber, die Dauer des Telefonats ebenfalls mitzuteilen. Sowohl der Geheimdienst als auch das Büro des Premierministers kündigten an, ihre Sicherheitskonzepte zu überprüfen.

Fix: Abwahl des Premierminsters, solange Großbritannien noch unüberwachte Wahlen zulässt sowie Auflösung des Geheimdienstes GHCQ wegen des Versäumnisses, den eigenen Premierminister effektiv auszuspähen und so vor Telefonterror zu schützen.

Kritische Sicherheitslücke im Flash-Player
Schnell geht anders, aber immerhin hat Adobe es nun doch endlich geschafft, die kürzlich bekannt gewordene schwerwiegende Lücke im Flash-Player zu stopfen. Seit dem Wochenende wird das Update per Automatik verteilt und seit Sonntag lässt es sich auch manuell herunterladen.

Die kritische Sicheherheitslücke erlaubt es Angreifern, beliebigen Schadcode in das Computersystem eines Anwenders einzuschleusen. Benötigt wird hierfür lediglich ein Exploit-Bausatz, mit denen selbst unerfahrene Hobby-Programmierer die notwendigen Routinen zusammenklicken können. Landet ein Surfer auf einer durch diese Kits präparierten Website, wird der Schadcode geladen. Richtig sicher ist man nicht einmal auf vertrauenswürdigen Seiten, da der Code auch über Werbe-Banner von Drittseiten verteilt werden kann.

Fix: Sofortiges Update des Flash-Players, entweder über die Automatik oder, falls sie ausgeschaltet ist, durch manuellen Download und anschließender Installation. Kurzfristige Abhilfe schafft die Deaktivierung des Flash-Plugins in den Einstellungen des jeweiligen Browsers.

Übrigens: Adobe verwirrt mit seiner Versionspolitik. Auf der offiziellen Flash-Player-Webseite entsteht fälschlicherweise der Eindruck, die Versionen 16.0.0287 (Windows, Mac) und 11.2.202.438 (Linux) sind die aktuell sicheren, was aber nicht stimmt. Über den Link unten erhaltet ihr die richtigen Versionen: 16.0.0.296 und 11.2.202.440.

Wichtige Links

Google Suchanfragen enthüllen sexuelle Unsicherheiten
Leider nur auf Englisch, aber hochinteressant, enthüllt ein Artikel der New York Times über Google Suchanfragen, wie wenig Umfragen in Bezug Sexgewohnheiten, Penisgrößen und andere wichtige Fragen der Menschheitsgeschichte mit der Realität zu tun haben. So ergibt nicht nur ein Vergleich der Häufigkeitsangabe zum Geschlechtsverkehr mit den Verkaufszahlen von Kondomen starke Diskrepanzen sowohl bei Männern als auch bei Frauen, auch scheinen die Unsicherheiten bei Mann und Frau sehr viel höher zu sein als allgemein zugegeben, vor allem bei Gerüchen und die ‚richtigen‘ Größen von Geschlechtsmerkmalen.

Gleichzeitig wirft die Analyse aber auch die Frage auf, wie lange Menschen noch so ehrlich wie in der Vergangenheit nach ihren Bedürfnissen, Ängsten und Sehnsüchten googeln, wenn sie der Allgegenwart der Geheimdienste bewusst werden.

Fix: Alternative Suchmaschinen ohne Direktanbindung an die Geheimdienste und ein VPN zur Anonymisierung persönlicher Daten. 😉

Wichtige Links

Fake Leak: Nein, CyberGhost ist NICHT gehackt

Entgegen der Behauptung einer sich zunächst als Anonymous ausgebenden Hacker-Gruppe sind von CyberGhost keinerlei Kreditkartendaten entwendet und ins Netz gestellt worden. Der Grund dafür ist einfach: CyberGhost wickelt keine Zahlungen ab und besitzt weder Zugriff auf Zahldaten noch eine Infrastruktur, diese zu speichern. Dementsprechend enthält die veröffentlichte Liste auch nur eine eher müde Sammlung abgelaufener Seriennummern aus vergangenen Werbeaktionen …

Zu Weihnachten machte eine Gruppe anonymer Hacker von sich reden, die über Twitter verbreitete, verschiedene Unternehmen gehackt und deren Kundendaten entwendet zu haben, darunter UbiSoft, VCC, Brazzers, UFC TV, XBL Gamers, Twitch TV, Amazon, Hulu Plus, Dell, Walmart, EA Games und letztendlich auch CyberGhostVPN. Zunächst unter der Bezeichnung ‚Anonymous‘, später dann unter dem vermutlich richtigen Namen ‚Lizard Squad‘ bekannte sich die Gruppe, eine Liste über 13.000 Konten auf Amazon, Playstation, Xbox Live, Hulu Plus, Walmart und andere Händler sowie Unterhaltungs- und Adult-plattformen veröffentlicht zu haben. In der Liste fanden sich Kreditkarten-Nummern, Sicherheits-Codes und Ablaufdaten. Als kleines Extra legten die Hacker noch eine Kopie der Nordkorea-Satire ‚The Interview‘ bei.

AnonymousGlobo_Twitter

Zwar an erster Stelle, aber trotzdem falsch ….

Der Wahrheitsgehalt der Behauptungen hinsichtlich der anderen Unternehmen kann nicht überprüft werden, was hingegen CyberGhost angeht, so können wir Entwarnung geben. CyberGhost selbst nimmt keine Zahlungen entgegen und verfügt daher auch über keine Zahldaten. Das Unternehmen arbeitet zur Zahlungsabwicklung bekanntlich mit dem E-Commerce-Unternehmen cleverbridge zusammen und dessen Name findet sich nicht auf der Liste.

Was sich hingegen tatsächlich auf der veröffentlichten Liste befindet, ist eine Reihe abgelaufener Seriennummern für CyberGhost-Abonnements aus älteren Werbekampagnen und anderen Promotionen, darunter auch vereinzelte Lizenzschlüssel aus jüngeren Aktionen – die aber im Laufe der letzten Tage deaktiviert wurden. Der Sinn der Veröffentlichung erschließt sich damit nur bedingt. Weder beweist sie das Vorhandenseins einer Sicherheitslücke noch nützt sie jemanden.

AnonymousGlobo_List

Sicherheits-Update auf allen Servern

Eine kritische DoS-Sicherheitslücke erfordert die Einspielung eines Updates auf allen Servern im Verlauf der nächsten Stunden.

Das Update ist eine vorbeugende Sicherheitsmaßnahme. Bislang liegen keine Hinweise vor, dass die Lücke überhaupt außerhalb des OpenVPN-Entwicklerteams entdeckt und ausgenutzt wurde.Bildschirmfoto 2014-09-30 um 13.49.27

Zum Aufspielen ist es notwendig, den jeweiligen Server kurzfristig für einen Neustart vom Netz zu nehmen. Hierbei kommt es zu einer Unterbrechung der bestehenden Verbindung. Ihr könnt euch aber sofort wieder neu anmelden. Bis 16:00 Uhr CET sollten dann alle Server gepatcht sein.

Wir entschuldigen uns für eventuelle Unannehmlichkeiten.

© 2017 CyberGhost