+43 (1) 812 32 30-0 office@klenner.at
Facebook nutzt Sicherheitslücke auf iPhones

Facebook nutzt Sicherheitslücke auf iPhones

Facebook greift wegen fehlender Whatsapp-Verschlüsselung auf Datenbank zu

Ein Entwickler von Mac-Tools zur Verwaltung von iPhone-Daten hat bestätigt, dass Facebook durch ein technisches Schlupfloch verschlüsselte Daten von Whatsapp auslesen kann. Da Facebook und Whatsapp zum gleichen Anbieter gehören, können diese Daten einfach untereinander austauschen.

Prinzipiell sei es laut des Entwicklers kein Problem die lokal entschlüsselt vorliegende Whatsapp-Datenbank an Facebook weiterzugeben. Auch wenn der Entwickler nicht behauptet, dass dies tatsächlich geschieht – sicher sein kann man da nicht. Feststeht auf alle Fälle, dass Facebook und Whatsapp trotz iO-Sandbox Daten austauschen können, sobald beide Apps auf einem iPhone installiert sind.

Whatsapp Verschlüsselung

Auch wenn iOS-Apps normalerweise durch die Sandbox vom System, als auch voneinander abgeschottet sind, macht Apple wohl eine Ausnahme für Apps, die von demselben Entwickler stammen. Wenn Programme zur gleichen „App Group“ gehören, teilen sich diese ein gemeinsames Verzeichnis („group.com.facebook.family“). Also ist WhatsApp nach dem Abkauf durch Facebook zur App-Gruppe des sozialen Netzwerks hinzugefügt worden und darf nun auch Daten austauschen.

Obwohl per Whatsapp versendete Nachrichten per End-to-End-Verschlüsselung verschlüsselt sind, ändert das nichts an dem Zustand, dass wichtige Daten dennoch ausgelesen werden. Auf einem entsperrten iPhone lässt sich die komplette Datenbank der App erfassen – und das wortwörtlich im Klartext!

Einer der Gründe: Whatsapp selbst könnte die Nachrichten sonst nicht verarbeiten…

In der frei zugänglichen Datenbank sind dann theoretisch alle notwendigen Informationen enthalten, um die gesamte Chat-Historie zu rekonstruieren. Das betrifft sensible Daten, wie Namen, Telefonnummern, Zeitmarkierungen, die Inhalte der Nachrichten inklusive Verweise auf Anhänge. Bereits im Jahr 2015 hat heise Security bereits die Umsetzung der Whatsapp-Verschlüsselung geprüft und festgestellt, dass diese im Alltag de facto unwirksam ist. Laut des Mac-Entwicklers, benutze Facebook die Ausrede der End-to-End-Verschlüsselung, um die Nutzer in falscher Sicherheit zu wiegen. Die Behauptung Mark Zuckerbergs, dass der Konzern keine Whatsapp-Inhalte sehen und diese somit auch nicht zu Werbe- oder sonstigen Zwecken analysieren könne, ist laut des Mac-Entwicklers einfach nicht richtig.

Neue Bedrohung für fast Alle: Meltdown und Spectre

Neue Bedrohung für fast Alle: Meltdown und Spectre

Die Entwicklung von Patches läuft auf Hochtouren, seit die beiden neusten Angriffsszenarien Meltdown und Spectre entdeckt wurden: Diese werden durch Sicherheitslücken bzw. Hardware-Bugs in allen Geräten möglich gemacht, die in den letzten 20 Jahren hergestellt wurden.

Sicherheitslücke

Forscher haben vor kurzem Schwachstellen in der Hardware-Architektur von Prozessoren entdeckt. Dadurch können Angreifer mit Schadcode alle Daten, die der Computer im Speicher verarbeitet auslesen – Passwörter, genauso wie Zugangscodes. Die Fülle an Angriffsmöglichkeiten wurde von drei Projektgruppen entdeckt. Durch den Fehler lässt sich Speicher auslesen, auf die ein User-Prozess gar nicht zugreifen dürfte (sog. Bruch der Memory Isolation).

Was technisch bei so einem Angriff passiert, können Sie in einer Analyse von Andreas Stiller nachlesen. Feststeht, dass die neuartigen Angriffsszenarien nicht mit herkömmlichen Softwareschwachstellen  vergleichbar sind. Ihre Besonderheit liegt darin, dass sie direkt das Design des Chips ausnutzen, das eigentlich die Rechenprozesse beschleunigen soll.

Besonders gefährdet sind Web-Browser: Sie laden Code herunter und führen ihn aus (JavaScript, HTML 5). Schadcode könnte beispielsweise über unseriöse Webseiten eingeschleust werden. Dagegen helfen Browser-Updates und Script-Blocker wie NoScript.

„Meltdown“ betrifft hauptsächlich Intel, ARM und AMD Prozessoren. Software-Patches können hier zwar die Angriffsfläche verringern, aber den Fehler nicht gänzlich beheben. Zusätzlich zu den Betriebssystem-Updates müssen auch BIOS Updates der jeweiligen Computer- bzw. Motherboard-Hersteller eingebracht werden. Bei Markengeräten und jüngeren PCs jetzt kein großes Problem, aber zig-Millionen Noname- und Supermarkt PCs in technisch nicht versierten Haushalten stellen eine riesige Gefahr dar. Da es sich um eine Hardware-Lücke handelt, sind alle Betriebssysteme betroffen, also etwa Windows, Linux, macOS, iOS, Android und FreeBSD.

Ob Ihre Geräte davon betroffen sind?

Mit größter Wahrscheinlichkeit Ja! Die anfälligen Prozessoren sind in so ziemlich allen Geräten verbaut – von PCs, Laptops und Smartphones, bis hin zu Tablets und Streaming-Boxen.

Auch ein Antivirus-Programm kann hier keinen Hunderprozentigen Schutz gewährleisten.

Grundsätzlich sind aktuelle, als auch ältere Prozessoren für mindestens eins der Angriffsszenarien anfällig. Eine ausführliche Auflistung finden Sie hier. Einer der wenigen Prozessoren, die als nicht betroffen gelten ist der Prozessor des Raspberry Pi.

Wie kann man sich schützen?

Für alle Benutzer von Windows- betriebenen PCs oder Laptops ist es hilfreich die letzten Windows 10 – und BIOS Updates von Dell, HP, Lenovo, oder der anderen Hardware Herstellern sicherzustellen. Microsoft hat bereits Patches zur Verfügung gestellt, die zumindest eine Ausnutzung der Sicherheitslücken schwerer machen sollen. Auch andere Betriebssystemhersteller rollen bereits Updates aus. Am besten schnellstmöglich installieren!Updates diverser Hersteller, sowie Infos dazu finden Sie hier. Die Liste wird laufend aktualisiert.

Nochmal zusammengefasst Willy’s 10 Punkte Liste:

  1. Immer das aktuellste Betriebssystem mit den aktuellsten Updates und Patches verwenden
  2. Auch alle Anwendungssoftware wie Browser, PDF Reader, Grafikprogramme auf den neuesten Stand bringen
  3. Das BIOS des Computer aktualisieren. Wer es nicht selber kann soll sich Hilfe holen.
  4. Unbedingt für jeden genutzten Dienst ein eigenes Passwort anlegen, nie das gleiche Passwort für mehrere Dinge verwenden
  5. Das EMail-Passwort ist das Wichtigste. Hier ein starkes Passwort verwenden. Wer dieses ergaunert hat, kann sich über „Passwort zurücksetzen“ andere Dienste freischalten lassen
  6. Verwenden Sie ein gutes und aktuelles Antivirenprogramm. Die Updates für dieses müssen automatisch und zumindest stündlich aktualisiert werden. 
  7. Wenn es sich um Firmengeräte handelt, schützen Sie sich durch eine richtige Hardware-Firewall. Diese (wenn sie eine aktuelle ist) schützt Sie auch vor Viren und Angriffen, in dem sie den Datenverkehr direkt am Internetanschluss kontrolliert und ggf. blockiert.
  8. Sobald alle Updates (auch das BIOS) installiert sind, die Passwörter wechseln. Man kann nie wissen, ob sie nicht schon ausgespäht worden sind
  9. Geben Sie acht, worauf Sie klicken. Wenn Ihnen etwas komisch vorkommt, schauen Sie genau oder kontaktieren Sie den Absender.
  10. Wenn Ihr Handy keine Updates mehr erhält, tauschen Sie es aus. Es gibt sehr gute Geräte um unter € 300,-, diese kann man wieder ein paar Jahre nutzen

Wie geht’s jetzt weiter?

In einem Artikel von futurezone heißt es: Ein komplett neues Chip-Design werde es nicht von heute auf morgen geben. Das wird noch viele Jahre dauern…

Auch noch wichtig! Wenn Sie eine E-Mail vom Bundesamt für Sicherheit in der Informationstechnik erhalten, in der Sie gebeten werden, den von ihnen, AMD und Intel entwickelten Sicherheitspatch zu installieren: Auf KEINEN Fall installieren, sondern die Mail sofort löschen!Dabei handelt es sich um eine Fake-Mail, die gerade in Umlauf ist und die auf eine Fake-Website führt – mit einem als Sicherheitspatch getarnten Windows-Trojaner!

Beitrag von Wilhelm Klenner: Hier erfahren Sie mehr über Insider-Erkenntnisse und wie wir von klenner.at mit der derzeitigen Situation umgehen, um unsere Kunden bestmöglichst zu schützen…

Share0Share +10Tweet0Share0 Default button text

Wir sind empört! „Cyber“-Einbruchsserie im US Finanzsektor nimmt neue Formen an

Wir sind empört! „Cyber“-Einbruchsserie im US Finanzsektor nimmt neue Formen an

Zu groß für den 0815 Hacker: Die neue Einbruchsserie im US Finanzsektor, und, wie „die ganz oben“ versuchen Alles zu vertuschen!

Anfang dieser Woche die Meldung: „Cyber-Einbruch“ bei Deloitte – einer der größten Beratungsfirmen, die Daten von Großkonzernen weltweit verwaltet.

Und das kurz, nachdem bereits ein erfolgreicher Angriff auf die größte US-Kreditauskunftsfirma Equifax  gemeldet wurde. Ganze 140 Millionen Datensätze von Firmen und Privatpersonen sollen gestohlen worden sein. Die bei Equifax kompromittierten Daten gehen in den Terabyte-Bereich und werden wohl auch Millionen von Bonitätsprofilen aus der EU beinhalten.

Die Börsenaufsicht SEC (Securities and Exchange Commission) wurde zur Durchsetzung von Offenlegungspflichten und Sanktionen gedrängt. Wie praktisch, dass die SEC selbst letzte Woche einen Großeinbruch in ihrer wichtigsten Datenbank zu verzeichnen hatte! Eine Untersuchung im US-Kongress läuft bereits.

Erschreckend ist nicht nur die Tatsache, dass sich die unbekannten Kriminellen über Monate ganz unbemerkt im Netzwerk der Börsenaufsicht herumtreiben konnten, sondern auch, dass die Einbrüche in allen genannten Fällen geheimgehalten wurden. Im Deloitte-Fall wurde der Einbruch über Monate verschwiegen, bis es schließlich ans Tageslicht kam.

Den ganzen Artikel und mit welch ungeheuerlichen Mitteln die Equifax-Führung den Großeinbruch  „geregelt hat“ lesen Sie hier: Cyber“-Einbruchsserie in der US-Hochfinanz.

Share0Share +10Tweet0Share0

Was noch erschwerend hinzukommt ist, dass in allen 3 Fällen überdurchschnittlich gut gesicherte Datenspeicher angegriffen wurden. Als ob das nicht schon genug wäre, handelt es sich bei allen Diebstählen um US Finanzdaten- Material der obersten Güteklasse.

Mit gewöhnlichen Hackern hat das Ganze jedenfalls nicht mehr viel zu tun. Der Grund ist, dass das gestohlene Datenmaterial nicht kommerziell verwertbar ist. Außerdem gehen die Kriminellen nach den Einbrüchen über Monate im Netzwerk in Deckung, um nach und nach relevante Daten heraus zu schleußen.

Große Projekte sind dort am Laufen und es macht den Eindruck, als ob es sich um staatliche Cyber-Akteure aus einem oder mehreren (noch nicht bekannten) Drittstaaten handelt.

Digitale Sicherheit

Heute bei uns im Postfach gelandet: Die neue Variante der Phishing-Mail

Heute bei uns im Postfach gelandet: Die neue Variante der Phishing-Mail

Schädliche E-Mail Anhänge sind scheinbar Schnee von Gestern…

Scheinbar haben Cyber-Kriminelle erkannt, dass E-Mail Anhänge mit Schadsoftware, Viren & Co. nicht mehr sehr wirkungsvoll sind. Die Meisten kennen die Maschen bereits und öffnen verdächtig aussehende Mails teilweise nicht mal mehr.Heute haben wir allerdings eine neue Variante direkt in unser Postfach bekommen. Mit dem Betreff „Payment Advice Note“ (auf deutsch: Mitteilung über Zahlungsgutschrift), wurde uns mitgeteilt eine Zahlung auf unser Konto erhalten zu haben.

Screenshot Pishing Mail

So sah unsere heutige Pishing-Mail aus…

Klingt so erstmal sehr unseriös und wahrscheinlich würden die meisten jetzt sagen: „Ist doch klar, dass da was nicht stimmt!“ Naja… ganz so klar ist es auf den ersten Blick gar nicht. Die Mail war erstens auf Englisch verfasst und zweitens sehr nüchtern gehalten (was optisch den gewöhnlichen Mails von Kunden und Geschäftspartnern​ ähnlich sieht). Die bekannten Anhänge, die man meist sowieso nicht öffnet waren auch nicht enthalten. Stattdessen war unter dem Text ein Bild einer Rechnung zu sehen, das viel zu klein war um irgendetwas genaues erkennen zu können.

„Rechnung“ klingt doch schon mal wichtig​. „Gutschrift“ macht neugierig, weil positiv. Im Geschäftsalltag, kann man da schon einmal versucht sein drauf zuklicken ohne groß darüber nachzudenken. Der eine Klick ist schneller gemacht, als man denkt und dann ist der Virus auch schon auf dem Rechner.

Aber nicht nur Viren werden mit solchen zwielichtigen Grafiken am Ende von Mails verschickt. Häufig stecken auch Schwachstellenanalyse Tools dahinter, die Ihren Rechner auf Sicherheitslücken überprüfen.

Wichtig bei dem Ganzen: Überprüfen Sie immer, auf welchen Link weitergeleitet wird. Wenn Sie erstmal nur über die Grafik oder das Bild fahren, sollte schnell klar sein, ob es sich dabei um ein seriöses Dokument (in unserem Fall die sog. „Rechnung“) handelt, oder nicht.​ Allein vom Namen des Absenders kann man das oft nicht erkennen, da sich viele Absender bewusst „seriös klingende“ Namen geben. 

Hat man das Formale abgecheckt, bleibt eigentlich nur noch der Hausverstand der einen vor verdächtigen​ Phishing-Mails schützen kann…Ich meine, seien wir doch mal ehrlich: Wer bekommt bitte heutzutage noch Gutschriften??!

1