Trends & News | News

Erpressungstrojaner verschlüsselt richtig

Die Entwickler des Verschlüsselungstrojaners CryptoLocker haben Kryptografie wie aus dem Lehrbuch implementiert – ganz zum Leidwesen der Betroffenen. Nach der Infektion des Rechners lässt der Schädling von seinem Command-and-Control-Server ein RSA-Schlüsselpaar (2048 Bit) generieren, von dem er jedoch nur den öffentlichen Schlüssel geschickt bekommt. Damit verschlüsselt er, was er in die Finger bekommt. Dabei macht er selbst vor Netzwerkfreigaben nicht halt. Wer den zur Entschlüsselung der Daten nötigen privaten Schlüssel will, muss 300 US-Dollar zahlen. Als Zahlungsmittel akzeptiert der Trojaner unter anderem Bitcoins. Als zusätzliches Druckmittel zeigt er einen Countdown an, nach dessen Ablauf der Private Key angeblich zerstört wird.

Für CryptoLocker-Opfer, die den Schädling bereits vom System entfernt haben, bieten die Cyber-Erpresser darüber hinaus einen Dienst im Tor-Netz an, über den man den privaten Schlüssel erwerben können soll – Berichten zufolge werden dort allerdings 10 Bitcoins fällig, was über 2000 Euro entspricht. Auch das US-CERT warnt vor dem Schädling und weist auf Berichte hin, laut denen Opfer auch nach einer Bezahlung der geforderten Summe den versprochenen Schlüssel nicht erhalten haben.

Man rate dringend davon ab, das Lösegeld zu zahlen. Allerdings ist bislang auch kein anderer Weg bekannt, die einmal verschlüsselten Daten wiederherzustellen. Letztlich bleibt somit nur gute Vorsorge, sprich: Backups, Virenscanner und zeitnahe Patches. (ju/rei)

iPhone klopft, Mac öffnet

Die iPhone-App Knock erspart Mac-Nutzern das Eintippen ihres Passworts auf originelle Weise: Nach einem doppelten Klopfen auf ein zuvor gekoppeltes iPhone wird der Mac entsperrt. Dies gelingt sogar dann, wenn man das iPhone im gesperrten Zustand in der Hosentasche trägt.

In puncto Sicherheit ist Knock ein Rückschritt: Im Gegensatz zum Passwort kann man das iPhone sehr wohl auf dem Schreibtisch vergessen. Allerdings müssen neugierige Zeitgenossen erst mal auf die Idee kommen, im richtigen Rhythmus auf das iPhone zu klopfen. Besser als gar kein Passwort ist Knock allemal. Die App kommuniziert stromsparend über Bluetooth Low Energy mit dem Mac. Das Programm-Gespann aus App und Mac-Software kostet 3,95 Euro und setzt mindestens ein iPhone 4s mit iOS 7 sowie einen Mac mit Bluetooth 4.0 voraus. Eine Windows-Version ist geplant. (rei)

NSA knackt RC4

„RC4 wird von der NSA in Echtzeit geknackt – hört auf es zu benutzen.“ Mit diesen deutlichen Worten sorgte der Krypto-Experte Jakob Appelbaum für Aufsehen, der enge Kontakte zu Edward Snowden pflegt. Auch wenn er diese Behauptung bislang nicht mit Fakten untermauert hat, sollte man sie nicht auf die leichte Schulter nehmen. Appelbaum war Mitautor der Spiegel-Enthüllung zur Lausch-Aktion gegen Angela Merkel, welche sich auf bislang unveröffentlichte NSA-Unterlagen berufen. Ferner gehört er dem Kernteam von WikiLeaks und Tor an.

Applebaum will seine Behauptung über mehrere Quellen verifiziert haben, einschließlich solcher „mit Kenntnissen der NSA“. Auch andere Krypto-Experten halten einen Durchbruch der NSA beim Knacken von RC4 für möglich, Bruce Schneier etwa bezeichnete es als plausible Vermutung. Das Problem mit dem Verschlüsselungsverfahren RC4 ist, dass es zwar spätestens seit der erfolgreichen, aber nicht wirklich praxistauglichen Angriffe eines Forscher-Teams als geknackt gelten muss. Aber es gilt auch als sehr schnell und als eine Art kleinster gemeinsamer Nenner, auf den kaum ein Server-Betreiber als Fallback verzichten mag.

Mehr als 90 Prozent aller Web-Server unterstützen RC4; 36 % nutzen es aktiv – darunter fast alle großen Web-Sites. Bei einigen Servern ist RC4 nicht nur Fallback, sondern sogar Pflicht. Ausgerechnet die Bundesregierung geht mit schlechtem Beispiel voran: So werden zum Beispiel die Sites der Bundesrepublik Deutschland (bund.de) und sogar des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausschließlich RC4-verschlüsselt ausgeliefert.

Die Fähigkeit, diese Verschlüsselung in Echtzeit zu knacken, würde den Zugang zu riesigen Datenmengen eröffnen, die deren Erzeuger eigentlich geheim halten wollten. Immerhin enthalten diese Daten oft Passwörter und Sitzungs-Cookies, mit denen man dann, auch ganz ohne irgendwelche Verschlüsselung zu knacken, ungehindert auf Accounts zugreifen kann. Web-Seiten-Betreiber sollten darauf achten, dass sie für jeden Browser mindestens eine Cipher-Suite anbieten, die kein RC4 enthält. Nachdem auch Apple als letzter großer Hersteller mit Mavericks einen Workaround gegen die BEAST-Attacke umgesetzt hat, kann man stattdessen guten Gewissens AES-CBC benutzen. (ju/rei)

Microsoft- Patchday hinterlässt Lücke

Kurzzeitig hatten Cyber-Kriminelle freie Auswahl, wenn sie ein Windows-System angreifen wollten: In diversen Microsoft-Produkten wie dem Internet Explorer klafften kritische Sicherheitslücken, die sich zum Einschleusen von Schadcode eignen. Am November-Patchday hat Microsoft eine der zwei Zero-Day-Lücken geflickt und zusätzlich eine Reihe anderer Schwachstellen geschlossen. Insgesamt gab es acht Bulletins, von denen das Unternehmen drei als „kritisch“ einstuft.

Forscher entdeckten Anfang November gezielte Angriffe, bei denen über Word-Dokumente ein Trojaner in Umlauf gebracht wurde. Die Dokumente enthalten speziell präparierte TIFF-Dateien, die eine zuvor unbekannte Lücke in der Grafikbibliothek von Windows Vista und Server 2008, Office 2003 bis 2010 sowie Lync ausnutzen. Kurz darauf folgten Berichte über Attacken auf eine andere Lücke, die in einem unter Windows vorinstallierten ActiveX-Steuerelement klaffte. Angreifer konnten die IE-Versionen 7 bis 10 des Browsers unter Windows XP und 7 über speziell präparierte Webseiten zur Ausführung von Code bewegen.

Die ActiveX-Lücke hat Microsoft an seinem Patchday geschlossen, die TIFF-Schwachstelle blieb bei Redaktionsschluss offen. Die Firma schloss allerdings eine andere Schwachstelle im Windows Graphics Device Interface (GDI). Beim letzten kritischen Bulletin handelt es sich um ein Sammelupdate für Internet Explorer, das insgesamt zehn Lücken schließt. Die übrigen Bulletins betreffen unter anderem Windows, Office und die Virtualisierungstechnologie Hyper-V. (fab)

Zweifel am Super-Trojaner BadBIOS

Der kanadische Sicherheitsforscher Dragos Ruiu will auf seinen Rechnern einen regelrechten Super-Trojaner gefunden haben: Die auf den Namen BadBIOS getaufte Malware soll sich in die Firmware des Systems einnisten und über hochfrequente Tonsignale mit anderen Rechnern kommunizieren. Sie unterstützt angeblich Mac OS, OpenBSD sowie Windows und verbreitet sich über USB-Sticks. Ruiu ist der Befall nach eigenen Angaben schon vor drei Jahren erstmals aufgefallen. Er sei aber erst jetzt an die Öffentlichkeit gegangen, weil er mit seinen Analysen alleine nicht weiterkomme.

An sich sind im BIOS verankerte Trojaner nichts Neues. Bisher bekannt gewordene Exemplare waren aber entweder regional beschränkt oder nur für bestimmte BIOS-Typen gefährlich. Die von Ruiu beschriebene Malware wäre sowohl von ihrer Komplexität als auch ihren Fähigkeiten her ein gewaltiger Sprung nach vorne; Ruiu bezeichnet BadBIOS als Gefechtskopf (Warhead).

Besondere Beachtung fand die Beobachtung des Sicherheitsforschers, vom Netzverkehr isolierte, mit BadBIOS infizierte Rechner würden einander notfalls per Soundkarte und Mikrofon zu kontaktieren versuchen. Dabei senden die befallenen Systeme in fürs menschliche Ohr unhörbaren Frequenzbereichen. Insbesondere dieser Punkt sorgte in der Sicherheitsszene für viel Aufmerksamkeit und laute Zweifel.

c’t liegt jedoch ein Forschungspapier von zwei Wissenschaftlern des FKIE (Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie) vor, das ein Experiment in dieser Richtung beschreibt. Der von Michael Hanspach und Michael Goetz vorgestellte Ansatz überbrückt eine Entfernung von knapp 20 Metern zwischen Notebooks vom Typ ThinkPad T400. Dazu kommen ein Software-Modem sowie ein ursprünglich zur Unterwasserkommunikation entwickeltes Übertragungsprotokoll (GUWAL) zum Einsatz. Die mittlere Sendefrequenz betrug 18,6 kHz, liegt also in einem Bereich, der vom menschlichen Ohr nicht wahrgenommen wird. Das Experiment erreichte zwar nur einen Datendurchsatz von 20 Bit/s und setzte voraus, dass die Notebooks in Sichtlinie ausgerichtet sind. Es ist jedoch nicht auszuschließen, dass andere Entwickler ein ähnliches System entwickelt haben und dieses in BadBIOS zum Einsatz kommt.

Dennoch bleiben Sicherheitsforscher skeptisch. Bislang konnte Dragos Ruiu für die Existenz von BadBIOS keine haltbaren Beweise liefern. Es ist also nicht auszuschließen, dass es sich nur um Paranoia handelt. Dann wäre nur noch abzuwarten, bis die NSA aus der Fiktion einen echten Schädling baut … (ghi)

Sicherheits- Notizen

In OpenSSH klafft eine kritische Lücke, die authentifizierten Angreifern das Ausführen von Code erlaubt. Abhilfe schafft Version 6.4.

Das US-Cert warnt vor Attacken durch eine Schwachstelle in Joomla 2.5.13 und 3.1.4; neuere Versionen sind nicht verwundbar.

Cyber-Angreifer nutzen derzeit verstärkt eine ältere Lücke in PHP aus, um Webserver zu kompromittieren. Verwundbar sind PHP-Installationen, die älter als Version 5.3.12 und 5.4.2 sind.

Betrüger haben Kundendaten bei dem Pay-TV-Sender Sky kopiert und missbrauchen sie für Abzock-Anrufe.

Artikel kostenlos herunterladen

weiterführende Links