Posts Tagged ‘IT-Sicherheit’

Ist mein Debian-Computer angreifbar seitens Spectre & Meltdown?

10.05.2018

Diese Frage beantwortet das Skript spectre-meltdown-checker. Es ist verfügbar für Debian 10 und für Debian 9 in den Backports. Unter Debian 10 kann es einfach installiert werden mit:

$ sudo apt install spectre-meltdown-checker
$ sudo spectre-meltdown-checker

Jetzt muß man eigentlich nur wissen, daß „vulnerable“ = „verwundbar“ oder „verletzlich“ oder „ungeschützt“ bedeutet. In der Regel kann man hier erkennen, daß uns die Hardware-Hersteller im Regen stehen lassen und Linux die Kohlen aus dem Feuer geholt hat. Ansonsten könnte man die Prozessoren nur noch in den Elektroschrott werfen.

Hinweis für Anwender von Debian 9:

Um aus den Backports installieren zu können, muß dies in /etc/apt/sources.list eingetragen werden. Z.B. mit

$ sudo nano /etc/apt/sources.list

und dort die folgende Zeile hineinkopieren, falls noch nicht vorhanden:
deb https://deb.debian.org/debian/ stretch-backports main

$ sudo apt update

und dann weiter wie oben, installieren und starten mit root-Rechten.

Wer die Backports ansonsten nicht benötigt, kann das .deb-Paket auch hier herunterladen und dann installieren mit

$ sudo dpkg --install PAKETNAME.deb


Advertisements

EU Datenschutzgrundverordnung (DSGVO)

12.12.2017

Die EU-Datenschutzgrundverordnung gilt in allen EU-Mitgliedstaaten ab dem 25.05.2018. Wie schon die IT-Sicherheit, wird auch diese Verordnung neue Arbeitsplätze schaffen. Viele Unternehmen haben diese Verordnung aber bislang ignoriert, obwohl bei Nichtbeachtung empfindliche Strafen drohen.

wikipedia über die Datenschutz-Grundverordnung
datenschutz-grundverordnung.eu
Beitrag im DLF vom 25.11.17


Steganografie beim WDR

10.08.2017

Vor vielen Jahren hat der WDR Computerclub bereits über Steganografie berichtet. Ein spannendes Thema, wenn man die Zuschauer bzw. Leser nicht für blöd hält. Ich kann mich noch gut draran erinnern, wie Wolfgang Back darüber gesprochen hat, auch wenn es schon ca. 20 Jahre her sein wird. Noch heute, am 10.08.17 kann man auf der privaten Seite von Wolfgang Back einen Artikel über Steganografie lesen und Code-Schnipsel finden. Sehr wahrscheinlich ist der Artikel älter als 15 Jahre. Wer etwas lernen möchte, liest diesen Artikel oder das Original unten. Wer etwas zu lachen haben möchte, liest meinen Artikel weiter und öffnet beide Links unten.

Es hat sich ein sogenannter „Internetexperte und Netzkenner der ARD“ rangemacht, einen Artikel von t3n umzuformulieren und von lästigen Quellenangaben zu befreien. Dieses Verfahren ist heute in den sogenannten „öffentlich-rechtlichen“ Medien allgemein üblich und wird uns als „Journalismus“ vorgesetzt. Copy-Paste geht ja nunmal auch wesentlich schneller als Recherche – und das Ergebnis ist wirklich beeindruckend!

links das Original von t3n (Datumsangabe der Seite 08.08.17),rechts die Kopie beim WDR (Datumsangabe der Seite 10.08.17) – beides sind Ausschnitte

Für das ungeschulte Auge ist nicht erkennbar, dass im rechten Bild eine zwangsvollstreckte Fernsehgebühr versteckt wurde, die jeder Bundesbürger zahlen muß, der in Deutschland in einer Wohnung lebt. Ein sogennanter „Netzkenner“ konnte die Sätze derart geschickt umstellen und „umschieben“, dass hierdurch bequem Gelder aus den Taschen der Bürger völlig unbemerkt und entsprechend ungehindert in die Taschen einer undemokratischen GEZ-Anstalt wandern konnten, die längst keinen Rückhalt mehr in der Bevölkerung genießt. Kein Wunder, dass bei dieser Masche die Qualität der Berichte keine Rolle mehr spielt. Es ist nicht so einfach, zu erkennen, was das Original und was die Fälschung von echtem Journalismus sein soll. Die kriminelle Organisation hofft möglicherweise ebenfalls darauf, unauffällig mit derartigen „Schieb-Informationen“ den größten Blödsinn im Rauschen der großen Geldmengen verstecken zu können. Sofern ein konkreter Verdacht vorliegt, lässt sich die Manipulation nachweisen – aber es ist kaum möglich, zum Beispiel jedes Bild in einer Webseite auf Verdacht hin zu untersuchen.

Fassen wir zusammen: Die Methode ist technisch sehr simpel, aber ihr Einsatz nur schwer bis gar nicht zu verhindern. Klingt nach einem idealen Werkzeug für Kriminelle, die bekanntlich keine Hemmungen haben und immer auf der Suche nach neuen Schlupflöchern sind. Die GEZ bietet da interessante Möglichkeiten. Gut möglich, dass bald schon Warnungen wie „Bitte alle Informationen ignorieren die von öffentlich-rechtlichen verbreitet werden!“ zu hören und zu lesen sein werden.


Was tun gegen Spam-Mails?

26.07.2017

Leider gibt es bislang keine Automatik, die wirklich erfolgreich zwischen Spam und echter Mail unterscheiden kann.

So hat z.B. Arcor (also Vodafone) seinen Spam-Filter ungefragt einschaltet und filtert ca. 50% der echten Mails in den Spam-Ordner, der dann via POP3 nicht mehr abgerufen werden kann, sodass man sich regelmäßig über den Webbrowser einloggen muß, um dem Spam-Ordner zu überprüfen oder alle Dateien in den Posteingang zu verschieben und dann über POP3 doch herunterzuladen. Hinzu kommt, dass deren Spam-Filter nicht abschaltbar ist. Solche „Lösungen“ sind keine Hilfe.

Vodafone sendet außerdem seit ein paar Monaten die Telefonrechnung per Mail an die eigenen Kunden und hängt diese Rechnung tatsächlich als pdf an. Das gewöhnt die Kunden an dieses bequeme, aber gefährliche Verhalten, auf unverschlüsselte und nicht-signierte Mails zu vertrauen. – Aber ich schweife ab…

Das einzige was bei Spam wirklich hilft ist, selber alle Mails durchzusehen und selber zu bewerten. Klingt doof, ist aber so.

Der erste Schritt ist dabei ganz simpel: Man kann zunächst alle Mails als Spam löschen, bei denen man ganz sicher ist, dass man mit den entsprechenden Firmen, Personen etc. zuvor keinerlei Kontakt hatte und es sich um Spam handelt. Hier kann man bereits 99% des Mülls herausfiltern.

Aber die gefälschten Mails werden immer besser. Die Adresshändler geben meine Mailadresse und meinen Namen korrekt geschrieben an Verbrecher weiter und diese sind inzwischen in der Lage, Mails in einwandfreiem Deutsch mit Logos etc. zu formulieren. Es landen angebliche Mails von Amazon bei Amazon-Kunden und angebliche Bewerbungen in Personalbüros. Hier hat sich viel getan! Während die Spam-Filter genau so dämlich sind wie vor 10 Jahren, sind die Spam-Mails in den letzten 2 Jahren wesentlich intelligenter geworden!

Was also tun bei einer Mail, die von einem Absender kommt, den ich wirklich kenne? Amazon, ebay, meine Bank etc. schreibt mir z.B. eine Mail und sendet einen Anhang oder einen Link – – – und jetzt?

Schauen wir uns einmal mein Beispiel im Screenshot an. Eine Mail die ich tatsächlich so erhalten habe. Amazon hat mir eine Mail geschickt, dass mein Konto deaktiviert wurde. Tun wir mal so, als wäre ich da Kunde. Nun befürchte ich, dass das stimmen könnte was in der Mail steht.

Erste Reaktion: Keine Panik! In Ruhe nachdenken wie ich die Behauptung überprüfen kann ohne mich, meinen Computer, meine Daten und meinen Account zu gefährden.

Diese Mail ist nichts weiter als ein Indiz, dass etwas nicht stimmen könnte. Und genau das überprüfe ich nun. – Und wie? – In jedem Fall unabhängig von dieser Mail!

Ich lege diese Mail also beiseite und gebe im Browser amazon.de ein und logge mich wie gewohnt mit meinem Benutzernamen und Passwort ein. Wenn das ohne Probleme geht, lösche ich die Spam-Mail – wieder was gelernt. Wenn es nicht funktioniert, wird mir Amazon nach dem Login-Versuch ganz sicher weiterhelfen und z.B. mir eine echte Mail zusenden, mit der ich mein Konto wieder aktivieren kann. Auch dann ist die verdächtige Mail überflüssig und sollte im Mülleimer verschwinden.

Mit welchen Tricks arbeiten also die Verbrecher? Welche Eigenschaften der Anwender werden missbraucht? Was sind die Waffen im Krieg der Verbrecher gegen die Anwender?

1. Technische Unwissenheit des Anwenders – versus – gefälschter Mail-Absender
Hier kann man auf die Schnelle nicht viel ändern. Man sollte nach und nach dazulernen und z.B. sehen, wie man die Absender-Mailadresse herausfinden kann (im Browser die Maus über den Absender halten) oder wie man den Header einer Mail liest. Dies hilft in der akuten Situation eines unbedarften Anwenders aber leider nicht weiter.

2. Vertrauen der Anwender – versus – Wissensvorsprung der Verbrecher
Die Verbrecher kennen einige Daten der Benutzer. Namen und Mailadresse und teilweise sogar noch mehr sind ihnen verkauft worden oder wurden abgefangen oder von einem nicht ordentlich gesicherten Server gezogen und sind kein Beweis für die Echtheit einer Mail. Es ist zwar traurig und erschreckend, aber nicht zu ändern. Wir sollten diese Tatsache deshalb stets im Hinterkopf behalten und dementsprechend auch solchen Mails weniger Vertrauen schenken.

3. Unwissenheit des Anwenders – versus – Behauptung der Verbrecher „hier stimmt was nicht“
Der Benutzer kann zunächst nicht wissen ob „etwas nicht stimmt“. Aber der Benutzer kann es herausfinden! Und zwar UNBEDINGT OHNE die Links, Knöpfe, Anhänge oder sonstige „Hilfen“ aus der Mail einzusetzen!

4. Angst des Anwenders – versus – Verbrecher erzeugen Zeitdruck durch Fristen
Eine billige Psycho-Methode, mit der man einen schnellen Klick auf den angeblich rettenden Knopf oder Link oder Anhang provozieren will. – Nicht drauf reinfallen, nicht ablenken lassen, sondern in aller Ruhe und Besonnenheit handeln! Jetzt heißt es: Sich mit eigenen Mitteln (!) bei der Plattform einloggen und überprüfen, ob „etwas nicht stimmt“. Also Browser öffnen, manuell die url (= Webadresse, z.B. amazon.de) eintippen, Benutzername und Passwort eingeben und sehen was passiert.

5. Angst des Anwenders – versus – Verbrecher erzeugen Handlungsdruck durch finanziellen Schaden
Im Prinzip ist dies nichts weiter als eine Verstärkung von 4.

6. Bequemlichkeit des Anwenders – versus – Verbrecher liefern die „Lösung“ in der Mail
Die in der Mail angebotene Lösung (Knopf, Link, Anhang) ist die eigentliche Gefahr. Wer aus Bequemlichkeit drauf klickt, hat verloren. (Entweder steckt eine Schadsoftware dahinter oder ein Link führt uns zu einer gefälschten Seite, die dann die Amazon-Login-Daten abfangen soll. Eine Rettung, Hilfe oder Lösung sollten wir hier aber nicht erwarten.)

Ein simpler Login bei Amazon kann das alles also aufklären. Dies macht sicher wesentlich weniger Mühe als die Login-Daten an Verbrecher zu verlieren (die dann auf meine Kosten einkaufen können und vermutlich mein Login-Passwort ändern werden, sodass ich dann tatsächlich keinen Zugang mehr habe) oder Schad-Software auf den Computer zu laden, dabei eigene Daten zu verlieren und am Ende das Betriebssystem neu aufsetzen zu müssen.

Und wenn der Absender keine Plattform ist, sondern (angeblich) eine Person die ich kenne? – Wie wäre es mit folgenden Lösungen?

– Anrufen und fragen, ob die Mail echt ist.
– Anhänge, die möglicherweise schädlich sein könnten, nicht öffnen. Unter Windows erkennt man die Art von Dateien an der Datei-Endung nach dem Punkt, wobei bei mehreren Endungen die letzte Endung gilt. Eine .txt.exe ist also keine Text-Datei, sondern eine sehr wahrscheinlich gefährliche .exe (ausführbare Datei).
– Virenscanner täglich aktualisieren.
– Verdächtige Mails einige Tage liegen lassen, bis der Virenscanner aktualisiert ist und eine Chance gegen Bedrohungen hat. Denn: Ist die Bedrohung neuer als der Virenscanner, kann der Virenscanner die Bedrohung nicht erkennen. Logisch, oder?

Übirgens:
Als ich die Amazon-Mail mit dem Thunderbird heruntergeladen habe, konnte ich groß einen gelben Balken sehen „Thunderbird hat diese Nachricht als Junk eingestuft.“ und darunter als einzigen Text noch „Guten Tag Kai… ,“ dann nichts mehr. Hier hat der Thunderbird ein super Verhalten gezeigt im Vergleich zur Web-Oberfläche von gmx, die vermutlich noch Bilder etc. aus dem Netz nachgeladen hat und damit an die Verbrecher zurückgemeldet hat, dass ich die Mail geöffnet habe.


„intelligente“ „Lautsprecher“ sollen uns zu Hause belauschen

25.06.2017

es existieren momentan:
1. „Echo“ von Amazon (mit Alexa, für Bestellungen)
2. „Home“ von google
3. Apple (für itunes) folgt ab Weihnachten

Entscheidend ist nicht die Lautsprecherfunktion, sondern die Spracheingabe. Hierzu wird der Raum über ein eingebautes Mikrophon permanent abgehört und jedes gesprochene Wort überwacht. Die Audio-Daten werden permanent und komplett zur Zentrale (in der Regel wird es eine Cloud bei einem der o.g. Konzerne sein) übertragen und werden dort für immer gespeichert (Kopien lassen sich natürlich beliebig erstellen, verkaufen oder von staatlichen Stellen einfordern). In diesen Zentralen werden dann die Befehle erkannt, die Antwort errechnet und an den Benutzer zurückgeschickt. Die Intelligenz befindet sich also nicht in den Lautsprechern, sondern in den Computern der o.g. Konzerne. Über diesen Weg sollen jetzt auch Hausgeräte gesteuert werden können (Smart Home, Internet der Dinge). Bei selbstfahrenden Autos wird es eine ähnliche Technik geben. Die Bequemlichkeit wird hier erkauft mit dem Verzicht auf jegliche Privatsphäre.

Mein Urteil: NICHT kaufen! Finger weg von diesem Schrott!


Weshalb ich noch immer kein Smartphone besitze

10.05.2017

Die Hardware in den kleinen Dingern ist einfach nur gigantisch. Mit den vielen Sensoren kann so ein Gerät mehr erfassen als jeder Mensch. Einen Kipp-Sensor habe ich selber auch, aber sehen im Infrarotbereich oder hören im Ultraschallbereich kann ich schon nicht.

So sind die Mikrofone in den Smartphones eigentlich viel zu gut zum Telefonieren. Sie sind besser, weil man ja auch Videos und Audios mit den Geräten erstellen will. Aber der Frequenzgang geht noch weit über den hörbaren Bereich hinaus, bis hin zum Ultraschall. Und genau dieser Bereich wird aktuell für Spyware ausgenutzt. Diese Funktion ist in diversen Apps enthalten. Die Anbieter benutzten zum Erstellen von Apps Hilfsmittel wie z.B. das SilverPush SDK (software development kit) und fügen auf diese Weise automatisch diese Funktion in ihre Apps ein. Aber auch Firmen wie Adobe, Drawbridge und Flurry haben dieses Geschäftsmodell für sich entdeckt und machen hier mit.

Man kann aber auch LED-Glühlampen unsichtbar modulieren und darüber Daten übertragen. Damit kann man sogar eine Datenrate erreichen, die einen Computer mit Internet versorgen kann. Quasi als Alternative zu WLAN. Nur schneller. Da dies aber nicht sichtbar ist, kann es ebenfalls mißbraucht werden. Für unsere Augen ist die Lampe einfach nur eingeschaltet. Steuert man eine UV- oder IR-Lampe auf diese Weise an, kann es (für unsere Augen) sogar dunkel im Raum sein und die Daten fließen dennoch. (Den IR-Bereich hat man ja bei Handys in der Zeit vor den Smartphones für den schnurlosen Datenaustausch benutzt. Man mußte dazu die Geräte wenige Zentimeter voneinander anordnen und konnte Daten damals nur mit sehr geringen Geschwindigkeiten austauschen. Die Schnittstelle nannte sich IrDA (Infrared Data Association).)

Also ist die Hardware zu gut?
Nein, sicher nicht. Jede Funktion ist zu begrüßen, so lange das Betriebssystem zu 100% zuverlässig ist und dem Benutzer dient und nicht den Forderungen von Politikern, Werbetreibenden, Crackern oder anderen Verbrechern. Solange dies nicht der Fall ist, sollte man den Geräten mißtrauen.

Leider kann man sich auch nicht darauf verlassen, dass kostenlose Betriebssysteme wie Android aus Werbung finanziert werden und somit gefärlich sind, während man für Windows bezahlt und dieses System ungefährlich ist. Nein, so einfach läuft das nicht. So ist ein Linux auf einem PC häufig sicherer, obwohl es kostenlos ist.

Was man aktuell bedenken sollte ist, dass eingehende Daten aus vielen Quellen kommen können. Also aus dem Fernsehen, dem Radio, von einer CD oder DVD oder natürlich auch aus dem Internet. Wenn diese Daten um mich herumschwirren, ohne dass ich sie höre oder sehe, kann mir das eigentlich ziemlich egal sein. Erst in Kombination mit dem Smartphone werden diese Daten dann zu einer Gefahr. Hierzu ist das Internet mit dem Rückkanal nötig. Ohne diesen Rückkanal befinden wir uns automatisch wieder in der „guten alten Zeit“, in der wir nur per Telefon, Postkarte, Brief oder persönlich auf empfangene Daten antworten konnten.

Wenn mein Gerät antworten will, benötigt es immer das Internet. Und hier können wir wirklich froh sein, dass das Internet Geld kostet und es wegen der WLAN-Störerhaftung kein kostenloses, unverschlüsseltes Internet gibt. Ich habe also noch die Möglichkeit, diesen Weg zum verschicken von Daten abzuschalten. Ich kann also meinem Fernseher mit eingebauter Webcam und Mikrofon das Internet wegnehmen und schon kann man mich nicht mehr ausspionieren. Das wäre nicht mehr möglich, wenn überall unverschlüsselte WLAN-Netze zur Verfügung stehen würden.

Und die Smartphones?
Ja, die sehe ich als echte Gefahr an. Wir sind damit nahezu unendlich abhörbar. Wir tragen da nicht nur eine Wanze mit uns herum, sondern auch eine Kamera (zum Glück sind gleich auf beiden Seiten Kameras eingebaut, damit es auch dann noch etwas sieht, wenn das Telefon auf der einen Kamera liegt), GPS, Temperatursensor und am besten noch einen Pulsfühler und vieles mehr. Diese Daten gehen unverschlüsselt um die Welt durch das Internet zu Google, zu Microsoft und zu Apple und werden dort zusammengeführt und entweder direkt gegen uns eingesetzt oder an Dritte verkauft, die dann damit machen können was sie wollen.

Bei den alten Handys wurden wesentlich weniger Daten gesammelt und diese waren auch nur für die Netzanbieter abrufbar. Hier konnten Gesetze greifen und es mußte zunächst ein Durchsuchungsbeschluss her, um mich abzuhören – oder ein Geheimdienst. Jetzt kann diese Daten jede Firma kaufen. Wer genügend Geld auf den Tisch legt kann somit alles über jeden erfahren.

Die Dinger können also weder zu wenig noch zu viel, sondern häufig genau die falschen Dinge. Und es ist nicht der Benutzer, der über das Betriebssystem die Hardware steuert, sondern der Benutzer ist das dumme Opfer, das meint ein Gerät gekauft zu haben. In Wirklichkeit hat er eine Wanze gekauft, die weiterhin der Firma hinter dem Betriebssystem gehört und genau auf diese Firma hört. Und genau deshalb traue ich den Dingern nicht über den Weg.


Hash-Werte von Dateien

05.03.2017

heise.de meldet „Todesstoß: Forscher zerschmettern SHA-1„. Aber was ist damit überhaupt gemeint?

160 Bits Prüfsumme einer Datei ausgeben oder überprüfen:
$ sha1sum filename

256 Bits Prüfsummen einer Datei ausgeben oder überprüfen:
$ sha256sum filename

Hashfunktionen, SHA-1, Kryptologische Hashfunktion

Um die Authentizität (= Echtheit, siehe Integrität) von Daten zu prüfen, kann eine Quersumme berechnet und verglichen werden. Wenn z.B. eine Datei gespeichert wird und sichergestellt werden soll, dass die gespeicherten Informationen exakt mit den zu speichernden Informationen übereinstimmen, kann dies z.B. mit einer Quersumme geprüft werden. So geschieht dies auch bei der ISBN-Nr oder der IBAN. Es wird also eine große, zu sichernde Datenmenge mit einer kleineren Summenzahl überprüft, um Schreibfehler oder Tippfehler zum umgehen. (Etwas komplexer und intelligenter funktioniert die Prüfung mit dem CRC.)

Wenn jedoch davon ausgegangen werden muss, dass nicht zufällige oder technische Ereignisse wie Tippfehler der IBAN oder Datenfehler auf einem Datenträger wie der CD die Ursache der Fehler sind, sondern menschliche Manipulation, so geht man den Weg der Verkomplizierung durch Verschlüsselung. So bedeutet „hash“ nichts anderes als zerhacken, verpfuschen, Durcheinander oder Kuddelmuddel – also hier Verschlüsselung.

Würde man beispielsweise einfach nur eine Quersumme eines pdf-Dokumentes speichern, um damit die Echtheit zu beweisen, könnte man es fälschen und anschließend so viele sinnlose Zeichen an die Originaldatei anfügen oder z.B. redundante Leerzeichen löschen, bis die alte Quersumme wieder stimmt. Durch die „verschlüsselte Quersumme“ (wie ich den Hash-Wert jetzt einfach einmal nenne) muss man hingegen sehr viele Möglichkeiten ausprobieren bis der Prüfwert wieder stimmt. Je mehr Versuche hierbei nötig sind, um den entsprechenden Wert durch ausprobieren (= brute force) zu finden, desto besser ist die Verschlüsselung. Hierdurch benötigt man mehr Zeit, mehr Geld und mehr bzw. neuere Technik und letztlich mehr Aufwand. Eine absolute Sicherheit kann man mit Hash-Werten aber nie erreichen, zumal die Rechenleistung immer besser wird und somit die Chancen auf einen geknackten Hash-Wert steigen.

Ein korrekter Hash-Wert ist also zwar ein notwendiges Kriterium, dass eine Datei unverfälscht ist, aber niemals hinreichend. Stimmen die Hash-Werte also nicht, muss die Datei verändert worden sein. Die Echtheit ist aber nicht hinreichend bewiesen, wenn dieser Wert übereinstimmt. Sie ist nur sehr wahrscheinlich und wird immer wahrscheinlicher, je länger der Hash-Wert ist.

Ein praktisches Beispiel sind die Installationsdateien von Debian. Zu den .iso-Dateien existieren SHA-irgendwas-SUM-Dateien, mit denen die Echtheit der .iso geprüft werden kann. Stimmen die Werte nicht überein, sollte man die Finger von der .iso-Datei lassen. Sie wurde dann entweder fehlerhaft gespeichert oder absichtlich manipuliert. Stimmen sie überein, ist dennoch eine Manipulation möglich, aber unwahrscheinlich. Siehe Debian iso-Dateien, siehe Prüfung des hash-Wertes.


Ransomware KillDisk unter Linux

11.01.2017

Durch heinz-schmitz.org Meldung „KillDisk torpediert Linux-Geräte“ wurde ich neugierig und habe sehr verwundert in folgenden Quellen recherchiert:

twitter.com/cyberx_labs
derstandard.at
heise.de
welivesecurity.com
forums.linuxmint.com

Ich fasse mal zusammen.

Angriffsziele:
– Finanzsektor in der Ukraine
– kritische Infrastruktur (Kraftwerke) der Ukraine

Zerstörungspotential:
– Trojaner löscht und verschlüsselt Daten (sowohl im home als auch in Systemverzeichnissen)
– Trojaner überschreibt den grub-Bootloader und zeigt dort die Lösegeldforderung an
– booten ist dann nicht mehr möglich

Lösegeldforderung:
– 222 Bitcoin = 190.000 EUR
– kann aber nicht entschlüsseln

Über den Infektionsweg ist leider nichts berichtet worden. Also fehlt die entscheidende Information.

Hier nun noch meine unmaßgebliche, persönliche Analyse und Meinung zu diesem Angriff.
Auffällig ist: 1. Es werden auch Ordner verschlüsselt, auf die nur root Schreibrechte besitzt. 2. Es wird grub überschrieben, was ebenfalls nur der root darf.
Fazit: Die Schadsoftware kann nicht aus Unachtsamkeit beim Surfen oder durch Starten eines verseuchten Office-Makros installiert worden sein. Falls man nicht den komplizierten Weg gegangen ist, einen man-in-the-middle-Angriff auszuführen (also einen Linux-Server zu simulieren und beim nächsten Update von dort aus das Schadprogramm zu installieren), bleibt eigentlich nur noch Sabotage und somit bewußte Installation des Schadprogrammes durch eine Person mit root-Rechten. Da sich die Ukraine seit dem Regime-Change im (Bürger-)Krieg befindet, ist dieser Gedanke wohl am naheliegensten. Das würde auch erklären, wieso kein Desktop-Nutzer bisher von dieser Schadsoftware berichtet hat. Die Lösegeldforderung ist ein reines Ablenkungsmanöver, um von der Sabotage abzulenken. So bewerte ich diesen Angriff. Kommentare sind gern gesehen.


Windows PowerShell

22.12.2016

Man kann die PowerShell mit dem Befehl powershell.exe starten

powershell-exe

oder mit powershell_ise.exe in die Integrated Scripting Environment ISE gelangen

powershell_ise-exe

Der Begriff „Shell“ bringt zwar einen Hauch von Linux auf die Windows-Kiste. Aber wenn Microsoft so etwas anfängt und es dann noch mit „Power“ bezeichnet, ist Vorsicht angebracht. Über die Gefahren dieses neuen, offenen Scheunentores wurde auf der BlackHat-Konferenz berichtet

und auch das BSI hat sich seine Gedanken gemacht: M 4.421 Absicherung der Windows PowerShell


Sicherheitseinstellungen für den Adobe Reader

17.12.2016

Ich hatte in meinem Artikel zu GoldenEye erwähnt, dass man viele Probleme mit Schadprogrammen umschiffen kann, indem man aus fremden Quellen nur pdf akzeptiert. So sind in letzter Zeit Personalabteilungen besonders von dieser Art der Schadsoftware betroffen gewesen (Ransomware), weil sie ständig von fremden Personen irgendwelche Dateianhänge erhalten.

Aber was nutzt die klare Regel, dass man nur pdf-Dateien akzeptiert, wenn auch pdf-Dateien schädliche Anteile enthalten können und die Lesesoftware diese Anhänge ausführt?

Der Adobe Reader 11 hat leider ein paar Standardeinstellungen, die nicht besonders sicher sind. So ist Javascript erlaubt und auch Flash wird unterstützt. Man kann dies aber abschalten. Man findet die Einstellungen unter Bearbeiten > Voreinstellungen oder mit Strg-K.

adobe-reader-xi-javascriptJavascript sollte abgeschaltet sein

adobe-reader-xi-multimedia-berechtigungen-zugelassendies sind die Voreinstellungen

adobe-reader-xi-multimedia-berechtigungen-nicht-zulassenso sollte es aussehen – Flash ist voller Lücken und sollte abgeschaltet werden

adobe-reader-xi-multimediahier kann man leider nicht abschalten, sondern nur auswählen