Die Security-News-Branche (wenn es denn überhaupt eine gibt) ist kein Panikmacher wie manche andere Medien, aber dennoch immer in Aufruhr und auf der Suche nach der nächsten Sensation. So war eine der beliebtesten Nachrichten auf Threatpost im vergangenen Jahr eigentlich eine recht unbedeutende, bei der es um eine PNG-Sicherheitslücke ging. Eigentlich war es gar keine Sicherheitslücke an sich, sondern nur eine Methode, schädlichen Code in den Metadaten eines Bildes zu verbergen. Wie kam es zu dieser „Sensation“? Nun, irgendjemand (auf jeden Fall nicht wir!) machte aus dem Fehler die Schlagzeile „Wenn Sie Katzenfotos ansehen, kann Ihr PC infiziert werden!!!!!“.
Wenn dagegen ein riesiges Loch entdeckt wird, das es ermöglicht, dass Millionen von Computern infiziert werden, schreibe ich gerne darüber, aber solche sind momentan nicht in Sicht. Seit Slammer sind viele Jahre vergangen. Dieses raffinierte Schadprogramm konnte Windows-XP-Computer infizieren, wenn diese nur 30 Minuten mit dem Internet verbunden waren.
Aktuelle Software hat es da (bisher) nicht so leicht. Aber was ist, wenn etwas Furchtbares passiert? Etwas, das jeden sprachlos machen würde und alle dazu bringen würde, über den besten Schutz für ihren PC, ihr Handy, ihren Kühlschrank nachzudenken, denn ansonsten würde aus jedem Gerät ein nutzloses Stück Plastik/Metall werden, nur weil irgendein Bösewicht es so will. Meine Güte! Das wäre ein halber Weltuntergang!
Nun ja, solche riesigen Fehler in der IT-Sicherheit sind plausibel – denken Sie nur an all die Geräte im Internet der Dinge –, aber unwahrscheinlich. Während wir auf den großen Knall warten, übersehen wir vielleicht einige ganz normale, aber dennoch ernste Fehler, bei denen irgendjemand auf jeden Fall gewinnt und jemand anderes auf jeden Fall verliert. Aber das sind keine außergewöhnlichen Sicherheitslücken – Business as usual.
#Sicherheitswoche 35: Lücken in @Wordpress, @GitHub #DDoS, @Wyndham verantwortlich für #Einbruch
Tweet
In der heutigen Kolumne geht es um drei Fälle solcher Routine-Sicherheitslücken, die massiv und sehr effektiv ausgenutzt werden. Wie immer kurz zu unseren Regeln: Das Threatpost-Team wählt jede Woche drei wichtige Neuigkeiten aus, die ich hier rastlos kommentiere. Die vorhergehenden Kommentare finden Sie hier.
Gehackte WordPress-Seiten zur Verbreitung des Neutrino-Exploit-Kits missbraucht
Der Artikel. Die Forschungsarbeit von ZScaler.
Diese Nachricht müsste eigentlich in zwei Teile geteilt werden. Der erste Teil würde sich um Tausende Blogs und Webseiten drehen, die WordPress nutzen, das sehr angreifbar ist. Der zweite Teil würde die Methoden vorstellen, die Hacker verwenden, um diese Sicherheitslücken auszunutzen, die entsprechenden Schadprogramme für die Infizierung von PCs aufzeigen und schließlich die Art und Weise darstellen, wie die Hacker damit Geld verdienen.
Nun also wieder WordPress. Dieses Tool ist so etwas wie Windows – es ist wahnsinnig beliebt und bietet ein riesiges Plugin-System, das durch seine Bauart viel Aufmerksamkeit von Seiten Cyberkrimineller bekommt. Hier ein Auszug aus den Problemen, die alleine in diesem Jahr entdeckt wurden (es gab viel mehr davon!):
- Eine Zero-Day-Lücke in einem Plugin
- Ein Fehler im Zufallszahlengenerator (der nicht so zufällig ist), der es theoretisch erlaubt, das Token herauszufinden, das bei der Änderung des Passworts verwendet wird
- Und noch ein SQL-Inject in einem Plugin
- Eine XSS-Sicherheitslücke in einem Plugin
- Eine Zero-Day-Lücke in WordPress selbst, eine JavaScript-Injection über Kommentare – der Patch ist ab Version 4.2.1. erhältlich
- Sicherheitslücken in zwei Plugins
- Eine XSS-Sicherheitslücke in WordPress selbst, die mit Version 4.2.3. gepatcht wurde
- Sicherheitslücken in drei Plugins
So sieht es aus. Und Forscher von Zscaler haben eine große Zahl angreifbarer WordPress-Seiten entdeckt, die unter WordPress 4.2 und darunter laufen. Diese Version wurde übrigens erst im April veröffentlicht, und man muss sich fragen, wie schlimm das Ganze für alle jene ist, die ihre Seite seit mindestens einem Jahr nicht mehr aktualisiert haben. Nach dem Hack so einer Webseite können die Täter einen iframe injizieren, dann das Neutrino-Exploit-Kit einrichten und PCs mit Schadprogrammen infizieren. Bisher gibt es über 2.500 betroffene Webseiten – nicht viel, wenn man die Zahl mit dem gesamten Internet vergleicht, aber genug, um das Leben von Zentausenden Anwendern zu beeinträchtigen.
What are exploits and why they are so scary? https://t.co/tulx05JN0q pic.twitter.com/Z5A4itfh7E
— Kaspersky (@kaspersky) July 31, 2015
Zudem nutzt das Exploit-Kit auch einen Fehler in Adobe Flash aus, der als Teil des berüchtigten Datendiebstahls durch das Hacking Team auftauchte. Damit erhalten die Angreifer die Möglichkeit, Code auf dem Computer des Opfers auszuführen und infizieren diesen mit der Ransomware Cryptowall , die schon seit über einem Jahr ihr Unwesen treibt, die Daten der Opfer verschlüsselt und für deren Freigabe über 500 Dollar verlangt.
Stellen Sie sich nun vor, Sie haben eine kleine Firma und kauften vor ein paar Jahren von einem Webdesigner ihre fertig eingerichtete Webseite – Sie wissen daher nicht, unter welcher Engine diese Webseite läuft. Verglichen mit dem heimlichen Einfügen schädlichen Codes über Banner auf großen Seiten wie Yahoo, scheinen das hier nur Peanuts zu sein, aber Hunderte infizierter Seiten ähnlich der kleinen Firmenseite generieren den Cyberkriminellen Millionengewinne (mit Millionenverlusten auf Seite der Opfer).
Aus Sicht der Sicherheit ist dieser Angriff nichts Besonderes. Er wirkt wie eine Reihe kleinerer Vorfälle: Es gibt einige Sicherheitslücken in nur einer Webseiten-Engine (oder deren Plugins); jemand wird solche Seiten laufend hacken und ein Exploit-Kit darauf platzieren; jemand wird diese Exploit-Kits entwickeln, wobei er Daten verwendet, die von der Firma kommen, die das fragwürdige Geschäft betreibt, Sicherheitslücken zu verkaufen und es schließlich nicht einmal schafft, ihre eigenen Geheimnisse zu schützen. Und jemand wird ein veraltetes Flash-Plugin nutzen, jemand wird Geld von verzweifelten Menschen verlangen, die nicht mehr auf ihre Daten zugreifen können. Wenn man all das einzeln sieht, ist jeder Vorfall keine so große Sache – doch zusammengenommen ergibt es ein recht entsetzliches Bild.
Interessanterweise haben Sicherheitsforscher das verstärkte Auftreten von Neutrino, zu Lasten von dessen Konkurrent Angler, registriert, konnten sich zu diesem Zeitpunkt aber nicht erklären, warum das passiert. Es scheint als wäre es den Hintermännern dieser cyberkriminellen Aktionen neben dem Geldverdienen auch wichtig, herauszufinden, wer der Stärkere ist.
GitHub erneut unter DDoS
Der Artikel. Ein weiterer Artikel.
In Wirklichkeit ist es recht einfach, die Zahl der Software-Sicherheitslücken zu reduzieren. Dazu muss man nur Programmierern verbieten zu programmieren. Tja, das ist natürlich eine seltsame Taktik, aber irgendjemand wollte das anscheinend machen und störte den Betrieb von GitHub, indem er eine DDoS-Attacke auf eines der respektiertesten Archive der Software-Branche startete.
Das Ganze ist nicht das typische Schlagzeilenmaterial: Der Angriff startete am Morgen und wurde drei Stunden später bereits entdeckt und abgewehrt. Die Täter hinter dem Angriff blieben aber unbekannt. *Gähn*, lang-wei-lig. Warum hat das also dennoch so viel Aufmerksamkeit auf sich gezogen? Der Grund dafür ist, dass GitHub schon im März für über eine Woche unter einer starken DDoS-Attacke litt, daher wundert die Überreaktion diesmal also niemanden.
Die März-Attacke war zudem etwas seltsam. Experten hatten den starken Eindruck, dass der schädliche Datenverkehr irgendwie mit der chinesischen Suchmaschine Baidu in Verbindung stand. Das ist, wie wenn auf Googles Startseite ein iframe auftauchen würde, der den Datenverkehr auf die Webseite des Opfers umleiten würde.
Da geht jede Webseite in die Knie, aber das klingt nicht gerade, als wäre es einfach so möglich. Oder doch? Unwahrscheinlich, und es sieht so aus, als wäre Baidu nicht verantwortlich, sondern irgendwelche chinesischen Anwender.
Von wo genau der Angriff kam, ist nicht geklärt. Vielleicht handelte es sich um die übliche Art, Nutzer zu infizieren und sie dazu zu bringen, ein schädliches Script herunterzuladen, wenn diese auf eine bekannte Webseite gehen. Oder vielleicht passierte das Ganze anderswo.
Google have provided detailed analysis of the recent Github attack – http://t.co/F75hTyzp2s pic.twitter.com/HJPMMg0InZ
— Kaspersky (@kaspersky) April 27, 2015
Es hätte auch irgendwo zwischen dem Internet der restlichen Welt und dem chinesischen Internet passieren können, dort wo die Große Chinesische Firewall liegt. In diesem Fall hätten alle, die auf chinesische Webseiten außerhalb von China zugegriffen haben, den Angreifern Folge geleistet: Die Antwort des Servers hätte ein schädliches Skript enthalten, das vom PC des infizierten Opfers aus gegen GitHub eingesetzt worden wäre.
Die betroffenen GitHub-Projekte scheinen übrigens handverlesen gewesen zu sein: Die Attacke zielte auf zwei Projekte, die es ermöglichen wollten, die Große Chinesische Firewall zu umgehen und dadurch in China verbotene Inhalte abzurufen. Diese Art von Angriff hat sogar einen eigenen Namen: „Man-on-the-Side“. Und die Lehre draus: HTTPS ist unschlagbar.
Amerikanische Hotelkette Wyndham für Datendiebstahl verantwortlich
Bei dieser Nachricht geht es ausschließlich um Recht und Gesetz, aber sie ist ganz interessant. Vor sieben Jahren wurde die IT-Infrastruktur der Hotelkette Wyndham gehackt und über 600.000 Kundenakten wurden gestohlen. Die dabei erbeuteten Kreditkartendaten ermöglichten den Tätern, über 10 Millionen Dollar von den Opfern zu stehlen. Der Hacker-Angriff lief ganz einfach: In einem der Hotels wurde ein offen stehender Computer gefunden, es wurde das Administrator-Passwort ermittelt und schon hatten die Täter Zugriff auf… nun ja, auf alles.
Aus technischer Sicht war dieser Hack ein riesiger Fehler des Sicherheitsteams des Hotels: Von den Kundendaten abgesehen, muss man die Frage stellen, warum jemand Kreditkartennummern unverschlüsselt speichert. Die amerikanische Federal Trade Commission (FTC) war darüber sehr erbost und sagte dazu, dass Wyndham sich nicht an seine eigenen Privatsphäre-Richtlinien gehalten habe.
Es gab dort das Versprechen, „Standard-Schutz“ (etwa eine Firewall oder Verschlüsselung) zu bieten, doch das haben die Hotels nicht getan. Denn wie sich herausstellte, gab es weder eine Firewall, noch Verschlüsselung. Dafür waren auf den PCs Standard-Passwörter zu finden, es wurden niemals Sicherheits-Audits durchgeführt und es gab keinen Plan B. Die FTC versuchte daher, das Unternehmen zu bestrafen – mit dem ersten Gerichtsfall, der sich darum drehte, ob die FTC dazu überhaupt das Recht hat. Nach einer Reihe von Verhandlungen kam das Gericht zu dem Schluss, dass die FTC dieses Recht hat.
Court Rules FTC Has Authority to Punish Wyndham Over Breaches – http://t.co/pmgYUjbGEe
— Threatpost (@threatpost) August 24, 2015
Das klingt interessant. Sagen wir einmal, eine Firma steht vor einer APT-Attacke, die fortschrittliche Hacking-Techniken nutzt und den unerlaubten Zugriff auf das angegriffene Netzwerk für lange Zeit ermöglicht. Da ist alles klar: Die Firma hat alle notwendigen Maßnahmen ergriffen, die aber von den Angreifern umgangen worden sind – da hilft nichts.
Aber es ist etwas ganz anderes, wenn der Angriff eigentlich gar nicht fortschrittlich war, sondern nur dauerhaft – und das einfach nur, weil die Infrastruktur komplett unsicher war. Das Urteil bereitet manchen amerikanischen Firmen Kopfschmerzen, wenn es um die Compliance geht. Normalerweise werden Compliance-Regeln für Kreditkartensysteme angewandt, doch es scheint so als sollten diese nun für den kompletten Schutz persönlicher Daten angewendet werden.
Vielleicht ist das gar nicht so schlecht. Allerdings sollten Schutzmethoden und -technologien nicht unbedingt in Gerichtssälen entwickelt werden. Gerichte sind dazu da, Definitionen abzustimmen. Und noch etwas: Daten sollten verschlüsselt werden. Ich weiß, das klingt recht offensichtlich, wie auch die Regel, dass man Backups erstellen sollte. Aber dennoch muss man es immer wieder sagen: Daten SOLLTEN verschlüsselt werden.
Übrigens muss Target, dessen Kunden einen viel schlimmeren Datendiebstahl erlitten, keine Strafe befürchten, wie die FTC entschieden hat.
Target Says SEC Won’t Pursue Enforcement Action as a Result of Data Breach – http://t.co/OwsXc1ZBHK
— Threatpost (@threatpost) August 27, 2015
Was sonst noch passiert ist:
Amerikanische Forscher haben über 400.000 Apps auf Google Play gescannt und entdeckt, dass 7,6 Prozent davon potenziell gefährlich sind. Das deckt sich nicht mit Googles eigener Bewertung: Laut dem Unternehmen liegt die Wahrscheinlichkeit einer Infizierung beim Herunterladen von Apps aus Google Play bei nur 0,15 Prozent. Gleichzeitig ist aber auch der von den Forschern verwendet Ansatz nicht ganz klar: Sie haben den Code der Apps analysiert und sobald sie ein nicht-standardisiertes Ausrollen der Software entdeckt haben, wurde die App automatisch als potenziell gefährlich markiert.
Scanner Finds Malicious Android Apps at Scale: https://t.co/53MoLU2nRz via @Threatpost pic.twitter.com/7HrpJdSoz9
— Kaspersky (@kaspersky) August 27, 2015
In Russland wird Ransomware per E-Mail ausgeliefert. Das ist an sich keine Neuigkeit. Das Neue daran ist, dass die Angreifer gefälschte Zahlungserinnerungen von Banken versenden. Die Täter wissen ganz genau, wie sie bestimmte Situationen für sich ausnutzen können – auch eine Finanzkrise.
According to research, >40% of CryptoLocker victims paid #ransomware #infosec http://t.co/Lnb4Rq7foJ #whitepaper pic.twitter.com/wrxC9Rq1ZH
— Kaspersky (@kaspersky) August 24, 2015
Apple hat eine Sicherheitslücke geschlossen, über die jede App den Anwender lokalisieren kann, selbst bei gesetzten Zeitlimits. Das Lustige daran ist, dass es viel einfacher ist, so einen Fehler durch die App-Store-Moderation zu schmuggeln, als eine komplett schädliche App.
Patched Ins0mnia Vulnerability Keeps Malicious #iOS Apps Hidden: https://t.co/LVLKMC8NcX #apple via @threatpost pic.twitter.com/jtZM9WXZYl
— Kaspersky (@kaspersky) August 26, 2015
Oldies:
Den-Zuk
Ein sehr gefährlicher Virus, der 9 Sektoren lang ist. Er infiziert den Boot-Sektor der Disk, wenn er aufgerufen wird (int 13h, ah = 2,3,4,5). Wenn der zweite Teil des Virus auf die Disk gespeichert wird, werden keine Sicherheitsprüfungen durchgeführt und der Virus kann einen Teil der Informationen auf der Disk zerstören (den 40. Track).
Er übernimmt int 9 und 13h. Nach einem „warmen“ Reboot zeigt er seinen Namen (Den Zuk) auf dem Bildschirm an. Verändert das Kennzeichen der infizierten Disk zu „YC1ERP“. Hat keine zerstörerischen Funktionen, ist aber sehr gefährlich, da er die Daten auf dem 40. Track der Disk zerstört. Enthält den Text: „Welcome to the C l u b — The HackerS — Hackin‘ All The Time“, „The HackerS“.
Zitat aus „MS-DOS-Computerviren“ von Eugene Kaspersky, 1992, Seite 99.
Hinweis: Diese Kolumne spiegelt die persönliche Meinung des Autors wider. Diese kann, muss aber nicht mit der Position von Kaspersky Lab übereinstimmen. Das ist Glücksache.