Trends & News | News

Panda Cloud Antivirus in zweiter Auflage

Version 2.0 von Pandas online-affinem Virenschutzprogramm Cloud Antivirus bringt jetzt auch in der kostenlosen Version eine Verhaltensüberwachung mit, die auch bislang unbekannte Variationen von Schädlingen erkennen soll. Darüber hinaus steckt eine neue Scan-Engine in dem Schutzprogramm, die bei On-Demand-Scans doppelt so schnell wie die der Vorgängerversion arbeiten soll. Außerdem wurde die Bedienoberfläche überarbeitet. Die Version soll auch bereits mit Windows 8 kompatibel sein.

Wer für 30 Euro jährlich die Pro-Version kauft, bekommt noch eine Firewall und eine Autorun-Sperre für USB-Speicher obendrauf. Laut Panda setzt der Scanner beim Signaturscan vor allem auf eine in die Cloud ausgelagerte Signaturdatenbank. Trotzdem soll das Programm laut Panda auch bei gekappter Internetverbindung zuverlässig schützen. (rei)

Spam vom Dating-Portal meetOne

Die iPhone-App MeetOneToGo überträgt nach dem Start ungefragt sämtliche Namen und Mailadressen aus dem Adressbuch des iPhones über eine unverschlüsselte Verbindung an den Betreiber. Laut einem Posting auf einer Sicherheits-Mailingliste hat meetOne die kopierten Adressen benutzt, um auch den gar nicht bei MeetOne registrierten Kontakten Benachrichtigungs-Mails wie „Neue Mitteilung von Svenja“ zu schicken. Derartige Mails gingen auch bei heise Security reihenweise ein.

In den Mails behauptet meetOne unter anderem, dass man eine Nachricht auf der Dating-Seite erhalten habe – selbst wenn man dort gar nicht angemeldet ist. Als Absender der Nachrichten setzt das Unternehmen offenbar zufällig ausgewählte Namen und Profilbilder ein. Der Bekannte des Empfängers, aus dessen Adressbuch die Daten stammen, wird nicht genannt. Dass die gesammelten Daten bei meetOne womöglich nicht in den allerbesten Händen sind, zeigte auch schon eine Sicherheitslücke, die heise Security Ende Juli aufdeckte: Durch ein spezielles API konnte jedermann auf die Daten der 900 000 registrierten Nutzer zugreifen. Neben persönlichen Daten wie Mailadressen und Klarnamen gab das API auch Klartext-Passwörter aus. (rei)

EFI-Rootkit für Macs demonstriert

Der australische Sicherheitsforscher Loukas K. demonstrierte auf der Black Hat ein Rootkit, das sich in der EFI-Firmware eines Macbook Air verankert und die Festplattenverschlüsselung FileVault aushebeln kann.

Das Konzept eines EFI-Rootkits ist zwar nicht neu. Der Forscher hat den Angriff aber erstmals live demonstriert und einen für die Infektion bislang unbekannten Weg beschritten: einen manipulierten Thunderbolt-Ethernet-Adapter. K. ist es gelungen, einen Gerätetreiber auf dem von Apple als Zubehör verkauften Adapter abzulegen. Der wird dann automatisch beim Neustart des Rechners geladen und hat via DMA Zugriff auf den kompletten Arbeitsspeicher. Er kann so etwa den Kernel modifizieren oder Code nachladen, der die Eingabe des Passworts zum Entschlüsseln der verschlüsselten Festplatte mitschneidet. Als Beweis für den erfolgreichen Hack zeigte der Mac beim Booten eine andere Startgrafik als den üblichen Apfel.

Aus Sicht des Angreifers hat ein im EFI-BIOS platziertes Rootkit große Vorteile, denn es verändert nichts auf der Festplatte und kann den Kernel des Betriebssystems während dessen Start modifizieren. Voraussetzung für die Infektion ist allerdings physischer Zugang zum Rechner des Opfers. (Uli Ries/rei)

Endgültiger Todesstoß für PPTP und MS-CHAP

Für 200 Dollar knackt ein Cloud-Dienst PPTP- und WPA-Zugänge innerhalb von 24 Stunden. Microsofts Point-to-Point Tunneling Protocol gilt zwar schon länger als nicht besonders sicher, kommt aber immer noch häufig als VPN-Technik zum Einsatz, die auf fast allen Endgeräten verfügbar und einfach einzurichten ist. Doch die Sicherheit des Anmeldevorgangs beruht allein auf dem seit Jahren als unsicher geltenden DES-Algorithmus.

Der jetzt vorgestellte Dienst CloudCracker probiert einfach alle 7 Byte langen DES-Schlüssel durch und kann damit dann den MD4-Hash des Passwortes zuverlässig ermitteln, der für die Anmeldung und Entschlüsselung des VPN-Verkehrs genügt. Dies erfolgt mit einem speziell für diesen Zweck entwickelten Server auf Basis von FGPAs, der 18 Milliarden Schlüssel pro Sekunde testet. Um den Dienst zu nutzen, muss man lediglich mit dem Open-Source-Tool chapcrack die übers Netz geschickten Token eines belauschten Anmeldevorgangs extrahieren.

Das Authentifizierungsverfahren MS-CHAPv2 kommt auch bei der Anmeldung in Firmen-WLANs zum Einsatz, die WPA2 mit Radius nutzen. Dort ist der Anmeldevorgang allerdings oft durch den Einsatz von EAP-TLS beziehungsweise PEAP nochmals durch eine Zertifikats-basierende SSL-Verschlüsselung gesichert. Ein Angreifer müsste zunächst diese durch einen Man-in-the-Middle-Angriff aushebeln, um an die MS-CHAPv2-Daten zu gelangen.

Wer in Produktionsumgebungen noch immer PPTP oder (P)EAP mit MS-CHAPv2 einsetzt, sollte diesen Dienst zum Anlass nehmen, sich jetzt schleunigst Gedanken über Migrationsstrategien zu machen. (ju)

Sicherheits-Notizen

Eine Sicherheitslücke in Oracle Outside In betrifft viele Dienste, die mit Dateien unterschiedlicher Formate hantieren. Eine längst noch nicht vollständige Liste finden Sie auf heise Security.

Googles Sicherheitsexperte Tavis Ormandy hat mal eben im Urlaub eine gefährliche Hintertür in Ubisofts DRM-System enttarnt. Der Hersteller hat mit einem Update reagiert.

Dem Online-Brillen-Shop Mister Spex kamen Kundendaten abhanden.

Apaches Web Application Firewall ModSecurity ist auf Microsoft IIS und den Open-Source-Webserver Nginx portiert worden.

Gemeine Abzock-Masche: Anrufer geben sich als Microsoft-Techniker aus, die eine angebliche Infektion des PC via Fernwartung beseitigen würden – gegen Gebühr natürlich.

Sicherheitsexperten von Recurity Labs haben in den AR18- und AR28-Routern des chinesischen Herstellers Huawei mehrere Sicherheitslücken entdeckt.

Artikel kostenlos herunterladen

Anzeige
Anzeige