| |
DB8AS > VIRUS 03.09.15 17:35l 228 Lines 12462 Bytes #999 (0) @ DL
BID : 395DB0EAM000
Read: GUEST DK3UZ DD3IA
Subj: BSI Newsletter 150903
Path: DB0FHN<OE2XZR<OE6XPE<DB0RES<DB0EAM
Sent: 150903/1523z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:395DB0EAM000
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To: VIRUS @ DL
SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 03.09.2015
Nummer: NL-T15/0018
Die Themen dieses Newsletters:
1. Android: Schadsoftware ab Händler
2. iOS: KeyRaider erbeutet Zugangsdaten und Bestechungsgelder
3. Router die Erste: Heimrouter mit schwachem Passwort
4. Router die Zweite: Heimrouter ohne Passwort
5. SmartTV: Freie Wahl bei Angriffspunkten
6. Google: Chrome Browser erhält Sicherheitsupdate
7. Mozilla: Sicherheitsupdates für Firefox und Thunderbird
8. Google: Sicherheitschef fordert Standards für das Internet der Dinge
9. BSI: Das BSI auf der D-A-CH Security
EDITORIAL
Liebe Leserin, lieber Leser,
man sollte ja annehmen, dass sich Hersteller von Routern der Bedeutung
von Geräte-Passwörten bewusst sind. Verschiedene Berichte in den Medien
können daran jedoch Zweifel aufkommen lassen. Da sind Passwörter mancher
Geräte fest vorgegeben und lassen sich zudem leicht ermitteln. Ein
anderes Modell wird gleich ganz ohne Passwort für dessen
Administrationsmenü ausgeliefert und enthält zudem diverse weitere
Sicherheitslücken. Kurze Produktzyklen und vielleicht auch das Drängen in
das Weihnachtsgeschäft, das in diesem Monat wieder anläuft, sorgen
womöglich dafür, dass mancherorts Produktdesign größer geschrieben wird
als Sicherheitsdesign. Das zeigt auch die Meldung über manche
SmartTV-Geräte, die bezüglich Sicherheit ebenfalls nachrüsten sollten.
Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen
Ihr Buerger-CERT-Team
STÖRENFRIEDE
1. Android: Schadsoftware ab Händler
Das Bochumer Softwarehaus G Data hat seinen Mobile Malware Report
(download als
PDF-Datei) [https://public.gdatasoftware.com/Presse/Publikationen/Malware_Reports/G_DATA_MobileMWR_Q2_2015_DE.pdf]
des zweiten Quartals 2015 herausgegeben.
Derartige Berichte von Unternehmen, die Antiviren-Software verkaufen
möchten, stellen natürlich auch immer Eigenwerbung dar. Interessant ist
jedoch auf jeden Fall, dass G Data seit 2014 eine steigende Zahl
Smartphones findet, die bereits ab Verkauf mit Schadsoftware infiziert
ist. Diese verstecke sich hinter vorinstallierten, harmlosen
erscheinenden, tatsächlich aber manipulierten Apps wie der für Facebook.
Unbemerkt vom Benutzer würde die manipulierte App ihre Zugriffsrechte auf
das Gerät erweitern. Sie könne zudem unter anderem weitere Schadsoftware
nachinstallieren und Kurzmitteilungen mitlesen. G Data verdächtigt dabei
nicht die Gerätehersteller, sondern Zwischenhändler, beliebte Apps zu
manipulieren. Sie würden vermutlich Nutzerdaten verkaufen, um ihre
Gewinnmarge zu erhöhen. Im Fall der Facebook-App konnte die Schadsoftware
zudem zwar mit Antiviren-Software gefunden, jedoch nicht gelöscht werden.
Das liegt daran, dass die Facebook-App Teil der fest installierten
Geräte-Firmware ist. Damit bleibt Besitzern nur, das Gerät beim Händler
zu reklamieren.
2. iOS: KeyRaider erbeutet Zugangsdaten und Bestechungsgelder
Ganz alleine sind Android-Nutzer mit Schadsoftware jedoch nicht.
KeyRaider ist eine neue für iOS geschriebene Schadsoftware. Zu ihrem
Einstand hat sie rund 225.000 Anmeldedaten für von Apple betriebene
Dienste erbeutet.
ZDNet [http://www.zdnet.de/88245470/ios-malware-keyraider-entwendet-zugangsdaten-von-225-000-apple-nutzern]
rechnet nach, dass es vermutlich mehr als 20.000 Online-Kriminelle gibt,
die von diesen Gebrauch machen. Zum Beispiel, indem sie In-App-Käufe
tätigen, die nur für die Kriminellen kostenfrei bleiben. Einige
Betroffene berichten bereits von ungewöhnlichen Käufen in Apples
App-Store. Zusätzlich sperrt KeyRaider Geräte und verlangt zur Aufhebung
der Sperre Lösegelder. Befallen sind auch Geräte aus Deutschland,
allerdings nur jene mit einem sogenannten Jailbreak. Bei einem Jailbreak
(deutsch: Gefängnisausbruch) wird iOS so modifiziert, dass sich dem
Benutzer Möglichkeiten erschließen, die der Hersteller Apple nicht
vorgesehen hat. Zum Beispiel lassen sich nach einem Jailbreak auch Apps
verwenden, die nicht in Apples eigenem App-Store angeboten werden. Die
Schadsoftware wurde dann auch mit einem außerhalb des Apple App-Stores
angebotenem Programm vertrieben. Mit einem Jailbreak erlischt die
Herstellergarantie. Schon aus diesem Grund ist von einem Jailbreak
abzuraten; gleiches gilt für App-Einkäufe aus dubiosen Quellen.
3. Router die Erste: Heimrouter mit schwachem Passwort
Auf mindestens fünf DSL-Heimroutern der Hersteller Asus, Digicom, Observa
Telecom sowie Philippine Long Distance Telephone (PLDT) und von ZTE
wurden voreingestellte Passwörter entdeckt, die sich leicht erraten,
jedoch leider nicht von Anwendern ändern lassen. Bei einigen Routern ist
das Problem bereits seit Ende 2013 bekannt, jedoch hat keiner der
Hersteller bislang mit einem Update reagiert. Die Lücke führt dazu, dass
sich die betroffenen
Router [http://www.heise.de/security/meldung/XXXXairocon-Router-von-fuenf-Herstellern-mit-Standardpasswort-2793242.html]
leicht über Telnet kapern lassen.
Mangels Möglichkeit, das voreingestellte Passwort selbst zu ändern, wird
empfohlen, die Firewallfunktionalität der Geräte zu nutzen und diese so
zu konfigurieren, dass der Telnet-Dienst und der SNMP-Verkehr der Geräte
unterbunden wird.
Asus hat inzwischen mitgeteilt, sein betroffenes Gerät DSL-N12E sei in
Deutschland nicht erhältlich. In Deutschland stünde stattdessen das
optisch wie auch namentlich ähnliche Gerät DSL-N12E_C1 zum Verkauf.
Dieses besitze jedoch eine andere Firmware, die bei der ersten
Einrichtung zur Änderung des Passworts auffordere.
4. Router die Zweite: Heimrouter ohne Passwort
Verwenden die oben genannten Router nur ein schwaches Passwort, kommt
Belkins Heimrouter N600 DB von Haus aus gleich ohne ein solches für
dessen Administrationsoberfläche aus. Zwar können Besitzer nachträglich
ein solches vergeben, doch lässt sich dieses für Angreifer dank einer
weiteren Sicherheitslücke leicht umgehen.
Die Mängelliste, die das Computer Emergency Response Team (CERT) der
Carnegie-Mellon-Universität in Pittsburgh dem Gerät ausstellt, ist damit
noch nicht beendet, wie Heise
Online [http://www.heise.de/security/meldung/Router-Luecken-Belkin-N600-DB-macht-es-den-Hackern-einfach-2800853.html]
aufführt. Unter anderem können Angreifer Nutzern des Routers
Phishing-Webseiten unterschieben. Das ist deshalb besonders heimtückisch,
weil letztere auch dann zu einer Phishing-Seite umgeleitet werden können,
wenn diese die Online-Adresse zum Beispiel ihrer Bank oder eines
Online-Kaufhauses korrekt eingeben haben. Möglich macht das eine
Schwachstelle, mit der sich DNS-Einstellungen verändern lassen. Der
Domain-Name-Service (DNS) "übersetzt" einen in die Adressleiste
eingegebenen Namen wie bsi.bund.de in die jeweilige IP-Adresse wie zum
Beispiel 194.95.179.205.
5. SmartTV: Freie Wahl bei Angriffspunkten
Sicherheitsforscher haben gleich mehrere Wege gefunden,
SmartTV-Geräte
anzugreifen [http://www.heise.de/security/meldung/Per-Web-und-USB-Stick-Smart-TVs-vielfaeltig-angreifbar-2797227.html].
Nämlich über präparierte Webseiten und präparierte Apps, über das
heimische WLAN, ebenso wie über das Einstecken eines USB-Sticks. Ähnlich
vielseitig fielen dann auch die Ergebnisse der Angriffe aus. So konnten
die Forscher Nutzerdaten von zum Beispiel Facebook im Klartext auslesen,
die Kamera einschalten und auf Dateien zugreifen, die in der Cloud
abgelegt waren.
Im Test befanden sich zwei Geräte von Samsung und eines von Grundig. Auf
allen Geräten wurde die jeweils aktuelle Firmware genutzt.
SCHUTZMASSNAHMEN
6. Google: Chrome Browser erhält Sicherheitsupdate
Google hat nicht nur sein Logo neu
gestaltet [http://www.sueddeutsche.de/kultur/neues-google-logo-machtwille-hinter-vier-bunten-punkten-1.2631113],
sondern auch schwere Sicherheitslücken im Browser
Chrome [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0075]
geschlossen. Sie sollten das Update rasch installieren.
7. Mozilla: Sicherheitsupdates für Firefox und Thunderbird
Auch in den Browsern Firefox und Firefox
ESR [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0074]
wurden zwei kritische Sicherheitslücken geschlossen.
Das E-Mail-Programm
Thunderbird [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0073]
aus gleichem Haus wurde bereits einige Tage zuvor auf die neueste Version
38.2 aktualisiert. Auch dieses Update schließt mehrere kritische
Sicherheitslücken.
PRISMA
8. Google: Sicherheitschef fordert Standards für das Internet der Dinge
In Ausgabe 35 des Magazins Der
Spiegel [http://www.spiegel.de/netzwelt/web/google-sicherheitschef-fordert-standards-fuer-das-internet-der-dinge-a-1049334.html]
findet sich ein Interview mit Gerhard Eschelbeck, der bei Google
verantwortlich für IT-Sicherheit und Datenschutz ist. Darin fordert er
gemeinsame Sicherheitsstandards für das Internet der Dinge. Es müsse sich
dringend ändern, dass jeder Hersteller "allein vor sich hin (wurschelt)
und entscheidet, was sicher ist und wie viel Aufwand dafür betrieben
wird."
In die Schlagzeilen geriet das Internet der Dinge zuletzt wegen gehackter
Autos [http://www.sueddeutsche.de/auto/auto-aus-der-ferne-gehackt-der-fahrer-ist-machtlos-1.2577174],
Narkosegeräte [http://www.gulli.com/news/26379-narkosegeraet-in-einem-krankenhaus-konnte-gehackt-werden-2015-08-09],
möglicherweise auch
Flugzeuge [http://www.heise.de/tp/artikel/44/44953/1.html]
und mehr
Autos [http://www.heise.de/newsticker/meldung/VW-Wegfahrsperre-Volkswagen-Hack-endlich-veroeffentlicht-2778632.html].
Um die dringend benötigte Sicherheit zu gewährleisten, müsse über "eine
einheitliche Zertifizierung für die Sicherheit solcher Geräte"
nachgedacht werden, so Eschelbeck.
Das BSI erteilt Zertifikate und
Anerkennungen [https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/zertifizierungundanerkennung_node.html]
gemäß § 9 des BSI-Gesetzes zum Beispiel auf der Grundlage der Common
Criteria oder ITSEC. Auch Hersteller von zum Beispiel Automobilen oder
deren Zubehör können auf dieser Grundlage einzelne Komponenten oder auch
komplette Systeme durch das BSI zertifizieren lassen. Verpflichtet sind
sie dazu jedoch nicht.
9. BSI: Das BSI auf der D-A-CH Security
D-A-CH Security [http://www.syssec.at/dachsecurity2015]
bietet eine interdisziplinäre Übersicht zum aktuellen Stand der
IT-Sicherheit in Industrie, Dienstleistung, Verwaltung und Wissenschaft
in Deutschland, Österreich und der Schweiz. Insbesondere werden Aspekte
aus den Bereichen Forschung und Entwicklung, Lehre, Aus- und
Weiterbildung vorgestellt, relevante Anwendungen aufgezeigt sowie neue
Technologien und daraus resultierende Produktentwicklungen konzeptionell
dargestellt.
Diverse Referenten des BSI vertreten das Bundesamt auf der D-A-CH
Security und stellen eine Vielzahl aktueller Themen vor. Diskutiert
werden unter anderem das IT-Notfallmanagement sowie die Sicherheit von
Instant Messengern und elektronischen Gesundheitskarten.
-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.
Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------
Veröffentlichung mit Genehmigung vom BSI.
vy 73, Jochen
db8as@db0eam.deu.eu
Read previous mail | Read next mail
| |
