Beiträge von rugk

Zitat

Gewinnen Sie eines von 10 exklusiven Paketen mit der ESET Multi Device Security in der limitierten Bike Edition, die bis zu drei Geräte vor Viren und Co. schützt

Eset-Gewinnspiel: Sicher auf dem Sattel und am PC - GQ

Die Fernwartungssoftware Ammy soll von der offiziellen Website in ihrem offiziellen Installer Spyware ausgeliefert haben, dies berichtet WeLiveSecurity. Die Webseite soll dabei gehackt wurden sein und die ausgelieferte Malware soll zur Buhtrap-Gruppe gehören.

Mehr Informationen:

Zitat

We noticed in late October that users visiting the Ammyy website to download the free version of its remote administrator software were being served a bundle containing not only the legitimate Remote Desktop Software Ammyy Admin, but also an NSIS (Nullsoft Scriptable Installation Software) installer ultimately intended to install the tools used by the Buhtrap gang to spy on and control their victims’ computers.

Operation Buhtrap malware distributed via ammyy.com

Protonmail konnte die Angriffe nun durch Hilfe von zwei Firmen, bei denen sie sich in einem Blog-Eintrag bedanken. Außerdem haben Sie noch einmal die zwei Attacken differenziert:

• Der erste Angriff kam von Armada Collective, eine Hackergruppe, welche auch für andere DDOS-Angriffe in der Schweiz verantwortlich war in letzter Zeit. Diese hatten die Lösegeldforderung gestellt.
• Ein bisher unidentifizierter Angreifer, welcher sehr viel ausgefeiltere Techniken hatte und somit wohl eher einem Staaten zuzuschreiben ist. Dieser nahm zu keinen Zeitpunkt Kontakt mit Protonmail auf und hat wohl nur den günstigen Zeitpunkt eines anderen Angriffs ausgenutzt, um zu verhindern, dass dieser Angriff als ein anderer erkannt wird.

Protonmail wird außerdem die Daten des Angriffs mit weiteren Experten analysieren und in Zukunft weitere Informationen veröffentlichen.

Der schweizer Anbieter eines verschlüsselten E-Mail-Dienstes wurde Opfer eines DDOS-Angriffes. Nach eigenen Angaben wurden Protonmail dabei bis zu 100 GB/s Daten gesendet, welche den Server unerreichbar machten.
Am 3. November gab es den ersten Angriff, als Folge auf eine Erpressungsmail in der Erpresser eine Summe von 15 Bitcoins (~6.000€) forderte. Einen Tag später gab es dann Angriffe gegen die Server und auch den ISP, inklusive dessen Routern in verschiedenen Standorten in Europa.
Dabei soll es in zwei Wellen abgelaufen sein, was nach Protonmail dafür spricht, dass es zwei Angreifer gab. Die erste Welle richtete sich nur gegen IP-Adressen von Protonmail, während die zweite Welle insbesondere Schwachstellen ausnutze und somit eher einem Nationalstaat zuzuschreiben sind.
Da der Angriff die komplette Infrastruktur des ISPs von Protonmail lahm legte, waren auch hunderte andere Kunden des ISPs betroffen. Unter anderem durch Forderungen dieser Firmen fühlte sich ProtonMail gedrungen das Lösegeld zu zahlen. Doch nach der Zahlung gingen die Angriffe weiter und Protonmail bestätigt jetzt eindringlich, dass sie eine solche Lösegeldforderung nie mehr zahlen werden.
Protonmail hat Ermittlungen bei Schweizer Behörden und Europol eingeleitet. Außerdem haben sie eine Spendenaktion gestartet um in Zukunft eine "ausgefeiltere" Lösung zum DDOS-Schutz einzurichten, welche auch "große Firmen wie Twitter, Facebook, etc." nutzen und welche nach eigenen Angaben über 100.000€ pro Jahr kosten kann. Protonmail könnte heute - am 07.11. - wieder online kommen, wie die Firma auf Ihrer Twitter-Seite beschreibt.
Wie Heise Security und Golem berichten, war auch auch der norwegischer E-Mail-Anbieter Runbox betroffen.

Fireofx 42 wurde veröffentlicht und wie angekündigt, werden Tracker jetzt automatisch im privaten Modus blockiert.

An English version of this text can be found here: Root certificate cleanup, found CSR Harmony

Während ich in meinen Root-Zertifikat von Windows geschaut habe, habe ich etwas interessantes entdeckt: Der "Bluetooth Stack" von CSR (Cambridge Silicon Radio) Harmony meines Bluetooth-Adapters hatte da wohl etwas hinterlegt, was nicht dahin gehörte - zumindest aus meiner Sicht.

Wie man sieht wurden Root-Zertifikate importiert - mit dem Namen "Harmony". Insbesondere wurden diese auch in den Bereich der "Vertrauenswürdige Herausgeber" geladen. Ein "vertrauenswürdiger Herausgeber" kann dabei ausführbare Dateien signieren und somit ohne Rückfrage Treiber und Office Add-ins installieren. Außerdem kann der Ersteller einer Datei gefälscht werden, der dann auch von Windows angezeigt wird (zum Beispiel bei der UAC-Meldung).
Da die Zertifikate ja auch noch in den "normalen" Root-Zertifikate-Store importiert wurden, ist es damit also auch möglich HTTPS-Verbindungen abzufangen (und als MITM) Daten mit zu hören.

Voraussetzung ist dazu natürlich erst einmal der private Schlüssel zu den zugehörigen Zertifikaten. Dieser könnte theoretisch in den installierten Dateien stecken oder vielleicht doch sicherer verwahrt sein. Ich habe dies nicht geprüft. Doch selbst wenn die letzte Variante der Fall ist, ist damit noch nicht alles geklärt, denn das Zertifikat an sich hat einige Schwächen:

1. Zunächst einmal nutzt es SHA-1, was für Root-Zertifikate keine Angriffsstelle darstellt, jedoch dennoch nicht gerade "Best practise" ist.
2. Sehr viel schwerer wiegt ein anderer Fakt: Die Zertifikate verwenden beide nur 1024bit RSA-Schlüssel. Diese gelten schon lange als unsicher und sollten nicht mehr verwendet werden. Beispielsweise hat Mozilla CAs solch' kurze Schlüssel bereits 2014 aus ihrem Root-Zertifikate-Store ausgeschlossen. Im Vergleich: Aktuell gelten 2048bit-Schlüssel als sicher und 4068bit für sehr sichere Anwendungen.

Besonders diese Schlüssellänge macht die Zertifikate angreifbar. Dafür werden zwar immer noch sehr viele Ressourcen benötigt, mit Botnetzen oder von staatlichen Organisationen oder anderen Personen mit Zugriff auf genügend Rechenkraft, könnten Sie allerdings geknackt werden - ähnlich wie 1024bit Diffi-Hellman-Schlüssel.

Außerdem hat ein etwaiger Angreifer bis 2039 Zeit, denn bis dahin sind die Zertifikate gültig. Gekoppelt mit dem Fakt, dass die Zertifikate wohl immer die gleichen sind und so bei sehr vielen Nutzern angegriffen werden kann, ist so ein Angriff ziemlich lohnenswert.
Dazu kommt, dass die Software offenbar schon seit 2010/2011 in dieser Fassung existiert - wie man an den Änderungsdatum sehen kann. "In dieser Fassung" mein hier genau eine Version: 2.1.63.0
Und ShouldIRemoveIt.com zufolge ist dies auch die mitzubenutzen Version (98%) - es scheint also wohl keine Updates gegeben haben.
Für was die Zertifikate allerdings eigentlich genutzt werden weiß ich nicht.
Falls jemand jedoch auch die gleiche Software nutzt, sollte er unbedingt die Root-Zertifikat-Liste prüfen (certmgr.msc ins Startmenü eingeben und dort zum entsprechenden Unterpunkt navigieren) und entsprechende eventuell vorhandene Zertifikate entfernen).

Die Zertifikate können hier (Archivlink) angezeigt werden.
Ein Video, in dem man sieht, wie diese Zertifikate installiert werden, habe ich auch erstellt:

Unabhängig von den harmonischen Zertifikaten (;)) von CSR habe ich auch noch ein Zertifikat von AsRock gefunden (Mein Mainboard ist von AsRock); (Archivlink). Ich konnte allerdings nicht nachweisen, dass diese auch (beispielsweise bei der Treiber-Installation) von AsRock installiert wurden. Falls jemand auch einen Eintrag "ASROCK Incoporation" in seinem Root-Zertfikatestore finden sollte, wäre ich über einen Hinweis sehr dankbar.
Abgesehen davon ist das AsRock-Zertifikat schon abgelaufen und weit weniger kritisch als das von CSR.

NSA nutzte Schwachstellen seit 2012 aus
Wie die amerikanische Bürgerrechtsorganisation EFF berichtet, wurden in einer Präsentation auf einer Sicherheitskonferenz von zwei Professoren an der Universität von Michigan und Pennsylvania vorgestellt, welches weitere Details des Logjam-Angriffs insbesondere in Bezug auf einige geleakte NSA-Dokumente erklärt.
In dem Bericht der Sicherheitsforscher, der sehr direkt als "Wie knackt die NSA so viel Krypo?" betitelt ist, erklären sie u.a. anhand des gelakten "Haushaltsplans" "Black Budget", dass die NSA wohl schon (spätestens) seit 2012 diese Schwachstellen nutzt um massenhaft verschlüsselte Verbindungen (HTTPS-, aber auch VPN- und SSH-Verbindungen) zu knacken.
Der Vorwurf der Forscher: Anstatt das Wissen um die Schwachstellen zu nutzen um sie zu beheben, wurden sie jahrelang dafür genutzt um Bürger zu überwachen.

Das Problem
Technisch basiert das Ganze auf den Diffi Hellmann (DH)-Schlüsseln. Dabei ist der Knackpunkt an zwei Stellen zu finden: deren Länge und deren Eindeutigkeit. In einem Punkt des Logjam-Angriff ging es um die sogenannte "Export-Grade"-Kryptographie, bei der nur Schlüssel mit einer Länge von 512bit eingesetzt werden. Diese wurden als zu kurz und somit unsicher erkannt, da die Berechnung von DH-Schlüsseln nicht in Echtzeit erfolgen muss, sondern Teile auch schon vorher berechnet werden können.
Durch weitere Analysen wurde dies nun auf 1024bit-Schlüssel übertragen - welche auch nicht mehr als sicher gelten - und geschätzt, was für Hardware für die Berechnung dieser Schlüssel erforderlich ist.
Das Ergebnis der Forscher: Wenn speziell dafür geschaffene Hardware verwendet wird und einige hundert Millionen Dollar zur Verfügung stehen, kann ein 1024bit DH-Schlüssel pro Jahr geknackt werden.
Wie bereits erwähnt kann dies mit dem Budget der NSA verglichen werden und u.a. deshalb stark davon auszugehen ist, dass dies auch durchgeführt wurde.
Ein Fakt macht es den Angreifer dabei leichter: Bei den DH-Schlüssel wurden (und werden) oft die selben - bekannten - Schlüssel genutzt. Das erlaubt Angreifern mit nur ein paar geknackten DH-Schlüsseln "Billionen von verschlüsselten Verbindungen zu belauschen".

Die Forscher weisen dabei darauf hin, dass es wohl noch "einige Jahre" benötigen wird, bevor dieses Problem verschwindet, da es weit verbreitete Standards und Implementationen betrifft.

Praktische Tipps
EFF gibt Hinweise, wie man dem Problem aus dem Weg gehen kann. Dazu müssen in allen relevanten Programmen - falls möglich - die Diffi-Hellman-Cipher deaktiviert werden.
Ein Problem dabei ist allerdings, dass in diesem Fall der Forward Secrecy-Effeckt einiger Verbindungen verloren geht.
Auf der Webseite How's My SSL? kann man überprüfen, welche Cipher unterstützt werden (ganz unten auf der Seite). Erwartungsgemäß ein paar CIpher mit "_DHE_" im Namen stehen (man beachte, dass "_ECDHE_" nicht von diesem Angriff betroffen ist).

Nun also wie man diese deaktivieren kann:
In Firefox kann man in der about:config diese mit folgenden Schlüsseln deaktivieren:

• security.ssl3.dhe_rsa_aes_128_sha
• security.ssl3.dhe_rsa_aes_256_sha

Chrome muss mit den Parametern --cipher-suite-blacklist=0x0033,0x0039,0x009E,0xcc15 gestartet werden - jedes mal. (es lohnt sich also die Verknüpfung o.ä. anzupassen)

Nach Deaktivierung der Cipher kann man die How's My SSL?-Seite erneut laden und die Cipher sollten verschwunden sein.

Bebilderte Anleitungen und Anleitungen für weitere Software gibt es auf der EFF Webseite.

Wie heise Security meldet testet Posteo Public Key Pinning (HPKP) für die TLS-Verbindung. Diese relativ neue und noch unbekannte Funktion erhöht die Sicherheit von HTTPS-Verbindungen erheblich und wird auch bei Computerguard eingesetzt.
Aktuell sind die Header so eingerichtet, dass er nur für 15 Minuten gültig sind. Dementsprechend bietet dies also zur Zeit keinen allzu besseren Schutz. Da dies allerdings noch in der Testphase ist, ist davon auszugehen, dass die Zeit verlängert wird.

Patches für Stagefright 2.0 sind für CyanogenMod und Nexus-Geräte übrigens jetzt verfügbar.
Ebenfalls hat Zimperium die App zur Erkennnung aktualisiert, welche jetzt auch die Stagefright 2.0-Lücken erkennt.

Zitat von Steffen

Was würde passieren wenn den ** Sicheres Online-Banking und Bezahlen Browser ** immer verwendet auch zum alltäglichen.

Das macht wohl wenig Sinn. Zumindest solltest du den Browser schließen und neu starten bevor man dann richtiges Online-Banking o.ä. macht.
Außerdem kann man im Online-Banking-Modus keine Add-ons nutzen (bzw. man muss sie nach jedem Broweser-Neustart neu installieren) und Browser-Chronik, -Cookies & co werden wohl auch nicht gespeichert.

Zitat von Marbie

nach Anweisung der Webseite da wird der Netzwerkadapter seiner Treiber beraubt die sich auch nicht neu installieren lassen (gelbes Ausrufezeichen im Systray), Gerätemanager meint die neusten Treiber sind drauf Reperatur schlägt fehl Gerätetreiber sind nicht vorhanden.

Funktionieren also die Netzwerktreiber wieder?
Ich meine umsonst steht da sicherlich nicht, dass man davon vorher ein Backup erstellen soll:

Du kannst auch noch probieren ein paar Treiber manuell zu löschen, wobei ich hier auch empfehlen würde ein Backup der Dateien zu erstellen.
Vielleicht hilft auch ein Blick in diesen Artikel, der einige Problembehebungen für übliche Installationsfehler enthält: How do I use ESET Installation Fixer?—ESET Knowledgebase

Wenn alles fehlschlägt würde ich einmal eine(n) ESET SysRescue Live-CD/USB erstellen und damit mal alles durchscannen. Nur um sicher zu gehen, dass keine Malware derartige Updateprozesse verhindert.

Zu Fehler 1603 konnte ich nur Artikel bzgl. ERA finden, aber wie es scheint versuchst du schon die Heimanwenderprodukte zu installieren, oder?

Sonst kann ich nur noch diesen Artikel empfehlen, aber vielleicht bist du auf ihn auch schon selbst gestoßen: Ich erhalte die Meldung, dass meine ESET Installation vorzeitig beendet wurde.

Die Arbeiten wurden erfolgreich beendet und die in diesem Thread berichteten Fehler wurden behoben.

Ja das wird - wie immer - nicht gleich als PCU verteilt. Erstens ist es ja auch noch nicht in allen Sprachen verfügbar und zweitens kommt das PCU da inzwischen eigentlich immer etwas verzögert, da eben sichergestellt werden soll, dass das ganze auch stabil läuft.
Du kannst von den Installer von der Webseite herunterladen.

v 8.0.319.x hat nur kleine Bug-Fixes und Verbesserungen für Windows 10 gebracht.

Es gibt jetzt auch noch weitere Stagefright-Lücken...

Zitat

Die Entdecker der Stagefright-Lücken melden sich zurück und legen zwei weitere kritische Schwachstellen offen, über die Android-Geräte angreifbar sind.

Zitat

Patches für die beiden neuen Lücken seien auf dem Weg. Google will Zimperium zufolge seine Geräte der Nexus-Serie nächste Woche im Zuge des Patchdays abdichten. [...]
Zimperium will seine Stagefright Detector App zur Überprüfung der Anfälligkeit von Geräten aktualisieren, wenn ein Patch verfügbar ist. Die Sicherheitsforscher wollen keinen Exploit für die neuen Schwachstellen veröffentlichen.

Stagefright 2.0: Weitere Lücken klaffen in allen Android-Versionen

Mit dem Update auf iOS 9.0.2 wurde dieses Problem behoben.

Auch eine russische Firma hat wohl Maleware installiert, wie Dr. Web meldet:

Zitat

Usually, to infect Android mobile devices, cybercriminals use a rather trivial routine—by employing social engineering methods, they force their victims to install some malicious application by themselves. However, this algorithm is not the only one virus makers have at their disposal—in particular, Doctor Web security researchers continue to register new cases when Android Trojans are already preinstalled on mobile devices as system applications to perform their malicious activities without user knowledge.

Dangerous Trojan hiding in official Android firmware

Zitat

Ein Android-Tablet des Herstellers Oysters kommt mit einem vorinstallierten Trojaner daher. Die Malware ist tief im System verwurzelt und kann quasi alles mit dem Gerät machen, warnen Sicherheitsforscher des Anbieters von Antiviren-Software Dr. Web.

Android-Tablet Oysters: Trojaner ab Werk telefoniert fleißig nachhause

Ja im ESET-Forum wird auch gesagt, dass das Upgrade von v8 auf v9 funktionieren sollte und die Lizenz und Einstellungen werden dabei konvertiert wird.
Außerdem ist bei einer Neuinstallation von v9 ein Link zum Konvertieren der alten Benutzername/Passwort-Lizenz mit in der Benutzeroberfläche zu sehen.

Hier noch ein Video der Follower von Snowden:
https://pbs.twimg.com/tweet_video/CQF-iWuVEAEBK2I.mp4

Aus praktischer Erfahrung (gerade eben) noch ein paar Hinweise von mir:

1. Die alte ESET-Version sollte - wie auch schon bei der Beta - vorher deinstalliert werden.
   Dies kann sonst zu Problemen führen.
2. Offensichtlich ist das Format der Einstellungsdateien unterschiedlich, sodass die Einstellungen nicht einfach aus v8 exportiert und in v9 importiert werden können. (Edit: Beim Upgrade von v8 auf v9 werden die Einstellungen automatisch konvertiert)
   
3. Das Lizenzsystem wurde auch dem der v6-Version der Buisness-Produkte angepasst, d.h. es wird nicht mehr ein Benutzername und Passwort verlangt, sondern ein Lizenzschlüssel.
   Ich nehme an in den nächsten Tagen wird von ESET eine Seite o.ä. bereitgestellt, auf der man seine Lizenz konvertieren kann. (Edit: Seite ist vorhanden, Link ist bei der Aktivierung enthalten)
   
4. Aus allen diesen Gründen empfehle ich dringend vor dem Upgrade ein Backup oder zumindest einen Systemwiederherstellungspunkt zu erstellen.

Ohne jegliche Vorankündigung ist heute ein Twitter-Account von Edward Snowden aufgetaucht.
Da der Account von Twitter als verifiziert markiert ist, scheint er dementsprechend echt zu sein.

Aktuell hat Snowden nur über 160 Tausend Follower und Beobachtern zufolge soll er allein in den ersten 5 Minuten über 30 000 bekommen haben.
Sein erster Tweet "Can you hear me now?" wurde bereits über 25 000 mal geretweetet.

Allerdings folgt er selbst aktuell nur einem Twitter-Account...