Trends & News | News

Schneller Versionswechsel bei Avast

Zum zweiten Mal in diesem Jahr bringt der Virenschutzhersteller Avast eine neue Hauptversion auf den Markt. Version 8 aus dem Frühjahr folgt Nummer 9, die der Hersteller auch als Generation 2014 bezeichnet. In der kurzen Zeit hat sich einiges getan: So erstellt jetzt auch die Gratis-Version bootfähige Rettungsmedien (CD-R oder USB-Stick). Als Unterbau dient Windows PE, wohingegen die meisten Mitbewerber auf Linux setzen. Zudem kann man Avast 9 in einen „gehärteten Modus“ versetzen, in dem es nur den Start von Anwendungen erlaubt, die bekanntermaßen gutartig sind.

Außerdem hat Avast die Bedienoberfläche renoviert und verspricht mit DeepScreen eine überarbeitete Verhaltensüberwachung sowie bessere Performance. Ferner sollen die Schutzprogramme nun etwa alle sechs Minuten mit frischen Virensignaturen versorgt werden. Kauft man die Security-Suite, soll man außerdem von einer total sanierten Firewall profitieren. Avast bietet seine Schutzsoftware in vier Preisklassen an: beginnend bei der Gratis-Version, über die Internet Security Suite für 36 Euro jährlich bis hin zum voll ausgestatteten Avast Premier für 51 Euro. Wer mit der Gratis-Ausgabe ein Upgrade durchführt, zahlt weniger. (rei)

Domain-Entführung auf die altmodische Tour

Einer angeblich politisch motivierten Hackergruppe ist es gelungen, auf ungewöhnliche Weise eine ganze Reihe prominenter Domains zu kapern: per Fax. Viele Opfer sind im Security-Bereich tätig. Die Hacker leiteten unter anderem die .com-Domains der Antivirenfirmen Avira und AVG um sowie Domains der Metasploit-Entwickler Rapid7 auf einen anderen Server um. Ebenfalls betroffen waren der zu Amazon gehörende Statistikdienst Alexa sowie der Kurznachrichtendienst WhatsApp. Der AV-Hersteller Avast erklärt, auch er habe beinahe zu den Opfern gezählt. Wer die betroffenen Domains ansteuerte, bekam kurzzeitig eine Botschaft der Hacker zu Gesicht, die sich nach eigenen Angaben für die Anerkennung von Palästina einsetzen.

Nach derzeitigem Kenntnisstand verschafften sich die Angreifer die Kontrolle über die Domains nicht über das Internet, sondern via Fax: Sie verschickten offenbar jeweils ein Fax an den zuständigen Registrar, das ihn angeblich im Namen des Domain-Inhabers aufforderte, die mit dem Kundenkonto verknüpfte Mail-Adresse zu ändern. Die im Fax angegebene Adresse gehörte den Hackern, die sich anschließend über die „Passwort vergessen“-Funktion ein neues Passwort für das Kundenkonto generieren ließen. Mit dem neuen Passwort manipulierten sie in den Einstellungen schließlich den zuständigen DNS-Server. Mit ihrem ungewöhnlichen Angriffsweg konnten die Hacker die Registrare offensichtlich eiskalt erwischen. (rei)

Bei Anruf Malware

Die Abzock-Anrufer, die sich als Microsoft-Techniker ausgeben, greifen zu immer aggressiveren Mitteln, um Geld einzutreiben. Zuvor versuchten sie lediglich, dem Angerufenen einen wertlosen Service-Vertrag aufzuschwatzen, der erfundene PC-Probleme löst. Jetzt drängen sie ihre Opfer zur Installation von Malware. Dem Internet Storm Center zufolge handelt es sich dabei unter anderem um Nerv-Software, die den PC-Nutzer so lange zur Zahlung einer Service-Gebühr auffordert, bis er nachgibt.

Noch unerfreulicher ist die Ransomware, die Abzock-Anrufer seit Neuestem verteilen: Vergleichbar mit dem BKA-Trojaner sperrt diese den Rechner, indem sie sich in der Registry als Shell einträgt. Der PC wird erst wieder freigegeben, wenn sein Besitzer zahlt. Die Abzocker rufen auch deutsche Telefonnummern an und sprechen meist Englisch mit indischem Akzent. Eine weitere Betrugsmasche ist die Behauptung, der Rechner des Angerufenen werde für Cyber-Angriffe missbraucht. (rei)

PayPals zweiter Faktor optional

PayPal setzt seine Zweifaktor-Authentifizierung derzeit nicht konsequent um: Zwar fragt die PayPal-Webseite beim Login nach dem zweiten Faktor, nicht aber die iOS-App. Das ermöglicht einem Angreifer, die zusätzliche Sicherheit eines PayPal-Kontos mit aktivierter Zwei-Faktor-Anmeldung einfach zu umgehen – es genügt, den Nutzernamen und das Passwort des Opfers zu kennen. Angesichts dieser Hintertür spricht momentan wenig dafür, die mit der Zwei-Faktor-Authentifizierung verbundenen Komforteinbußen in Kauf zu nehmen. Ist diese zusätzliche Sicherheitsschicht aktiv, muss man beim Login zusätzlich ein Einmalpasswort eingeben, das entweder per SMS zugeschickt oder von einem Hardware-Token generiert wird. (fab)

Adobe gehackt

Die Software-Firma Adobe wurde Opfer eines folgenschweren Cyber-Einbruchs: Bislang unbekannte Täter drangen in die Infrastruktur des Unternehmens ein und kopierten daraus die Quellcodes wichtiger Produkte. Darüber hinaus hatten Sie Zugriff auf die Daten von Millionen Adobe-Kunden. Aufgefallen ist der Vorfall, nachdem der Sicherheits-Journalist Brian Krebs gemeinsam mit dem Security-Experten Alex Holden einen Server analysierte, der in Verbindung mit einem groß angelegten Fall illegalen Handels mit Personendaten steht. Darauf befand sich ein rund 40 GByte großes Dateiarchiv, das den Quellcode von Adobe Acrobat und ColdFusion enthält. Erst als Krebs den Software-Hersteller mit dem Fund konfrontierte, räumte Adobe einen Zwischenfall ein, der sich im August dieses Jahres ereignete: Dabei kompromittierten Hacker einen für Kreditkarten-Transaktionen zuständigen Server und griffen auf Kundendaten zu. Betroffen sind neben Mail-Adressen auch Passwort-Hashes sowie verschlüsselte Kreditkartendaten. Das Unternehmen geht davon aus, dass die gleichen Täter auch den Quellcode kopierten. Adobe hat seine Kunden über den Zwischenfall informiert und aufgefordert, ein neues Passwort zu wählen. (kbe/rei)

Trojaner in Silizium

Forscher der Ruhr-Universität Bochum, der TU Delft und der University of Massachusetts haben ein Konzept vorgestellt, wie sich Prozessoren und Krypto-Chips gezielt so manipulieren lassen, dass sich ein quasi nicht auffindbarer Hardware-Trojaner einschleusen lässt. Die Wissenschaftler nahmen Intels Prozessoren der Ivy-Bridge-Generation ins Visier sowie eine SBox-Implementierung in Hardware, wie sie beispielsweise in Verbindung mit den Algorithmen DES und AES zum Einsatz kommt. Ziel der jeweiligen Attacke: die Krypto-Funktionen der Chips gezielt zu schwächen, um die damit erzeugten Schlüssel später leicht knacken zu können.

Die Forscher manipulierten in ihrer Simulation des Intel-Prozessors die Dotierung an bestimmten Stellen der Chip-Layout-Maske. Dadurch konnten sie die Polarität ändern und einzelne Register auf feste, ihnen bekannte Werte (immer Null oder immer Eins) setzen. Die Wissenschaftler suchten sich für die Manipulation den Teil der CPU aus, der für das Erzeugen von Zufallszahlen (PRNG) zuständig ist. Ergebnis: Anstatt einer 128 Bit langen Zufallszahl wirft der Prozessor lediglich 32 Bit lange Zahlen aus. Die übrigen Bits kennt der Angreifer, da er sie ja selbst gesetzt hat. Ein solchermaßen geschwächter Schlüssel lässt sich laut Professor Paar von der Ruhr-Universität Bochum mit einem herkömmlichen Notebook binnen Sekunden per Brute Force knacken. Intel könne eine solche Manipulation nur schwer feststellen: Laut Christof Paar wird ausgerechnet der PRNG-Teil in der Produktion aus Sicherheitsgründen nicht getestet.

Im Gespräch mit c’t sagte Paar, dass ein einzelner böswilliger Mitarbeiter die Masken zur Herstellung der CPU manipulieren könnte, ohne dass dies auffällt. Im eigentlichen Herstellungsprozess sei kein Eingreifen mehr notwendig. Im Fall der Sbox führt die Änderung der Dotierung zu minimal anderen Strömen auf Leitungen. Normalerweise würden die Chips den Strom so ausbalancieren, dass von außen nicht erkennbar ist, ob eine Null oder eine Eins übermittelt wird. Durch die Manipulation lecken die Leitungen aber ein wenig, sodass sich per Side-Channel-Attacke erkennen lässt, ob ein Bit gesetzt wurde oder nicht.

Vermutlich könnte man die Änderung entdecken, indem man größere Mengen der generierten Zufallszahlen untersucht. Je mehr manipulierte Chips ausgeliefert werden, desto größer ist die Wahrscheinlichkeit, dass jemand die Qualität der Zufallszahlen überprüft. Darüber hinaus würde eine Hardware-Analyse des Chips mit komplexer Labortechnik die Dotierungsänderung zutage fördern.

Gegenüber c’t gab Intel zu bedenken, dass die in der Veröffentlichung von Professor Paar und seinen Kollegen beschriebene Theorie hochspekulativ sei und sich auf Annahmen stütze, die sich in der Realität nur schwer umsetzen ließen. Der Zugang zu Intels Produktionsstätten, Designs und anderen Produktionsdaten werde strengstens kontrolliert: Zudem baue man keine Hintertüren oder unautorisierte Zugänge in die eigenen Produkte ein.

Professor Paar zufolge besteht jedoch überhaupt kein Zweifel, dass die Angriffe auch in der Praxis exakt so funktionieren würden. Dass Dotierungsänderungen bereits seit Jahren Alltag sind, belege das US-Unternehmen SypherMedia International, das Dotierungsänderungen einsetze, um das Reverse Engineering von Pay-TV-Smartcards zu erschweren. Laut Saar sieht ein Und-Gatter auf dem Chip nach einer solchen Dotierungsänderung wie ein Oder-Gatter aus, was einen Reverse Engineer hoffnungslos in die Irre führt. (Uli Ries/fab)

Sicherheits-Notizen

Microsoft hat an seinem Oktober-Patchday die kritische Internet-Explorer-Lücke (siehe c’t 22/13, S. 44) geschlossen. Weitere Sicherheitsupdates gab es unter anderem für Windows, Office, .NET Framework und SharePoint Server.

Auch Adobe hat seinen Patchday abgehalten und kritische Sicherheitslöcher in seinem Reader und RoboHelp 10 gestopft.

Einige D-Link-Router enthalten eine Backdoor, durch die ein Angreifer unter Umständen als Admin auf das Webinterface zugreifen kann (siehe c’t-Link).

Artikel kostenlos herunterladen

weiterführende Links

Anzeige
Anzeige