Schlagwort: angriff

  • Mit Tamper Protection Windows 10 noch sicherer machen

    Microsoft hat in der Vergangenheit etliches dafür getan, dass das Windows Betriebssystem immer sicherer wird. Neben der Verbesserung des Windows Defenders haben die Redmonder nun auch einen Manipulationsschutz in Windows 10 eingebaut, der aber durch den Nutzer manuell aktiviert werden muss.

    Der Manipulationsschutz (Tamper Protection) dient zur Abwehr von Angriffen auf die Windows-Defender-Sicherheitsmaßnahmen, um Viren und Trojaner vom PC fernzuhalten. Sie ist bereits mit dem Frühjahrsupdate im April 2019 (Version 1903) auf unsere Rechner gelangt und wurde aber jetzt erst offiziell scharf geschaltet.

    Zum manuellen Aktivieren öffnest du die Windows-Einstellungen mit der Tastenkombination [Windows][I] und klickst dann auf Update und Sicherheit | Windows-Sicherheit | Viren- & Bedrohnungsschutz.

    Hier befindet sich die gesuchte Option, der Manipulationsschutz. Per Mausklick auf den Schalter lässt sich die Tamper Protection ein- und ausschalten.

    Hinweis: Antiviren-Tools anderer Anbieter werden durch den Windows-Manipulationsschutz nicht beeinträchtigt.

  • Windows 10: Sandbox-Schutz für den Defender

    Vielen Windows-10-Verwendern ist das Antivirenprogramm von Microsoft, der Windows Defender, Schutz genug. Trotzdem sollte man auf ein zusätzliches Sicherheits-Feature nicht verzichten: Die Sandbox.

    Auch wenn Microsoft in der Vergangenheit seinen Defender erheblich verbessert hat, kann man den Schutz noch weiter verbessern.

    Der Sandboxing-Schutz ist eine besonders gesicherte Umgebung, in der das Antiviren-Tool vor Manipulationen besser geschützt ist und eventuelle Schädlinge nicht so leicht den Rest deines Computers infizieren können.

    Meist ist die Sandbox-Funktion auf den Rechnern nicht aktiviert. Um dies zu kontrollieren, öffne mit der Tastenkombination [Strg[Alt][Entf] den Task-Manager und wechsle zum Register Details.

    Ob die Sandbox für den Defender aktiv ist, erkennst du an dem Prozess MsMpEngCP.exe. Ist dieser Prozess nicht auffindbar, dann muss er über die Windows PowerShell manuell eingeschaltet werden.

    Starte PowerShell (Administrator) per Rechtsklick auf den Startbutton, tippe den Befehl setx /M MP_FORCE_USE_SANDBOX 1 ein, und bestätige die Eingabe mit der Taste [Enter].

    Nach einem Computer-Neustart ist die Sandbox für den Defender aktiv und schützt deinen PC zusätzlich.

  • Android: Handy-Sperre mit Skype umgehen

    Trotz Sperrcode auf deinem Androiden, ist dein Handy angreifbar, wenn darauf der Skype-Messenger installiert ist. Das hat der Sicherheitsforscher Florian Kunushevci im Dezember 2018 herausgefunden.

    Es reicht einfach das Annehmen eines Skype-Anrufs um die Sicherheitssperren zu umgehen. Dann kann man problemlos auf Kontakte und Fotos zugreifen. Ebenso lassen sich Nachrichten versenden, der Webbrowser öffnen und so weitere Schadsoftware auf´s Handy herunterladen.

    Wie einfach so ein Angriff aussieht, kannst du dir in einem Video seines YouTube-Kanals ansehen.

    Kunushevci empfiehlt darauf zu achten, dass Skype auf aktuellen Stand upgedatet wird.

  • FruitFly/FruitFly 2: Die bislang unentdeckte Sicherheitslücke bei Apple

    Auch Apple ist mittlerweile „Dank“ der gestiegenen Verkaufszahlen ein lohnendes Ziel für Hacker. Anfang des Jahres 2017 hat Patrick Wardle, ein Ex-NSA-Hacker und Security-Experte der Firma Synack, auf MAC-Rechnern eine Spionage-Software gefunden, die seit mindestens fünf Jahren unentdeckt blieb.

    Jahrelang galten die Computer mit OSX-Betriebssystem als außerordentlich sicher. Vielleicht ist das auch der Grund dafür, dass man nicht sorgfältig genug nach Hintertüren suchte.

    Was kann der Schädling?

    Der von Apple als FruitFly getaufte Schädling wurde bisher von den üblichen Anti-Viren-Programmen nicht erkannt und späht den befallenen Rechner komplett aus. Er fertigt Sceenshots an, protokolliert Tastatureingaben, überwacht eingebaute oder angeschlossene Webcams. Auch eine Fernsteuerung des infizierten Computers ist möglich.

    Des weiteren wird der Angreifer informiert, wenn Tastatur oder die Maus des Rechners betätigt werden.

    Die einzig beruhigende Tatsache ist, dass FruitFly nur wenige hundert MACs befallen hat, die sich zu mehr als zwei Dritteln in den USA und Kanada befinden. Auch die geringe Qualität der Programmierung ist offenbar nicht auf staatliche Hacker zurück zu führen und greift keine lohnenden Ziele, wie Unternehmen oder staatliche Organisationen an.

    Vielmehr scheint FruitFly mehr darauf ausgerichtet zu sein, einzelne Rechner und deren Besitzer auszuspähen, aber nicht massenhaft Daten sammeln zu wollen.

    Gegenmaßnahmen

    Wer sicher gehen will, dass auf dem eigenen MAC sich keine Fruchtfliegen tummeln, sollte ihn durch den kostenlosen Virenscanner von Malwarebytes prüfen lassen. Das Antiviren-Tool erkennt den Schädling als OSX.Backdoor.Quimitchin. Aber auch Apple selber wird wohl bald die Malware-Definitionen erneuern. Ausführliche Informationen kann man auch auf der Malwarebytes-Webseite und im Internet-Blog von Motherboard nachlesen.

  • Neue Version des Banking-Trojaners „Marcher“ greift Android-Geräte an.

    Wie bereits Anfang des Jahres 2017, warnt jetzt erneut das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer neuen Version des Banking-Trojaners Marcher. Er liest vom infizierten Gerät die PIN-Nummern, sowie die SMS mit TAN-Nummern aus und leitet sie an die Cyber-Gangster weiter, die dann das Konto plündern können.

    Zudem soll Marcher auch den Start von Banking-Apps erkennen und eine eigene Oberfläche starten können, die vom Original kaum zu unterscheiden ist. So kann er dann auch die Informationen weiterer Eingaben auslesen.

    Die Tarnung

    Marcher tarnt sich beispielsweise als Adobe-Flashplayer-Update. Wenn du eine solche Aufforderung bekommst, darfst du keinesfalls zustimmen.

    Er kommt zwar nicht über den Google Play Store auf dein Gerät, wohl aber über Spiele und Apps mit „Erwachseneninhalten“. Dabei werden oft Fakes von Originalspielen verwendet. Wie Anfang des Jahres mit der Fälschung von Super Mario Run.

    Abwehrmöglichkeiten

    Im Falle einer Infektion, aber auch schon bei einem Verdacht, sollte man keine sensiblen Transaktionen mehr mit dem Handy oder Tablet durchführen.

    Das BSI rät, einen Virenscanner für Android zu benutzen. Zusätzlich kann das Gerät auf die Werkseinstellungen zurückgesetzt werden. Bei weiterbestehenden Zweifeln ist eine Neuinstallation des Android-Betriebssystems empfehlenswert.

    Vor dem Zurücksetzen oder der Neuinstallation solltest du natürlich deine persönlichen Daten einem Backup unterziehen und auf dem bereinigten Gerät anschließend alle Zugangsdaten und Passwörter ändern.

    Das BSI rät auch, die Bank zu informieren, damit diese ebenfalls ihre Sicherheitsmaßnahmen treffen kann.

    Antiviren-Software

    Leider empfiehlt das Bundesamt keinen speziellen Virenscanner oder Hersteller von Antiviren-Software. Manche Portale, wie zum Beispiel Chip.de, empfehlen Kaspersky Security Cloud für PCs und Smartphones.

    Diese Antiviren-Software bietet Schutz vor Viren, Trojanern, Malware und Phishing-Versuchen. Weiter Tools sind beispielsweise ein VPN-Client, ein Passwort-Manager und das Safe-Money-Modul, das den Online-Zahlungsverkehr absichert.

    Die Kaspersky Security Cloud kostet pro Jahr knapp 70 Euro und schützt dafür mehrere Geräte. Das ist auf jeden Fall günstiger als ein leergeräumtes Bankkonto.

  • Seit Windows XP wenig beachtete Sicherheitslücke schließen

    Schon seit der Einführung von Windows XP gibt es den Windows Script Host. Er sollte als Weiterentwicklung für die Eingabeaufforderung gelten, die es schon seit MS-DOS gibt. Allerdings ist die Eingabeaufforderung nie weiterentwickelt worden. Die Existenz des Windows Script Host (WSH) ist aber nie so richtig in das Bewusstsein der PC-Nutzer gelangt. Da WSH meist unbeachtet im Hintergrund aktiv ist, stellt der Dienst ein potentielles Sicherheitsrisiko dar. Glücklicherweise kann dieses Hintertürchen recht einfach geschlossen werden.

    WSH in der Registry deaktivieren

    Die Abschaltung, des meist nicht genutzten Dienst Windows Script Host, erfolgt im Registrierungseditor. Öffne die Registry über das Dialogfenster Ausführen und dem Befehl regedit.

    Navigiere dann zu folgendem Schlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

    Im rechten Anzeigebereich des Settings-Ordners kannst du am Eintrag Enable erkennen, ob der Windows Script Host aktiv ist. Ist der Schlüssel Enable nicht vorhanden, oder steht sein Wert auf 1, so ist der Dienst auf deinem Rechner aktiv.

    Zum Deaktivieren öffnest du den Unterschlüssel Enable mit einem Doppelklick, änderst dann den Wert von 1 auf 0 (Null) und speicherst dann die Änderung mit OK.

    Enable-Wert für Abschaltung erforderlich

    Ist der Schlüssel nicht vorhanden, dann öffnest du mit einem Rechtsklick im rechten Bereich das Kontextmenü und wählst dort Neu | DWORD-Wert (23-Bit). Diesem neuen Eintrag gibst du dann den Namen Enable. Der Wert dieses Schlüssels steht standardmäßig auf Null und muss daher nicht geändert werden.

    Sobald die Änderungen in die Registry übernommen wurden, spätestens aber nach einem PC-Neustart, ist der Windows Script Host abgeschaltet und lässt keine Windows-Scripte mehr zu.

    Möchtest du den WSH wieder reaktivieren, dann lösche den Schlüssel Enable oder ändere den Wert wieder auf 1.

  • DNS-Angriffe in fremden Netzwerken aufspüren

    Das Domain Name System (DNS) ist überall vorhanden und ein gern genutztes Tor um Angriffe auf Netzwerke durchzuführen. DNS ist einer der Dienste die fast jede Firewall problemlos passieren dürfen und kaum kontrolliert werden. Insbesondere öffentliche WLAN-Hotspots werden gerne attackiert, um an Nutzerdaten zu kommen. Bevor man sich mit dem eigenen Notebook auf zugangsgesicherte Webseiten einloggt, ist es ratsam das betreffende Netzwerk auf DNS-Angriffe zu überprüfen. Mit dem richtigen Tool ist das kein Problem.

    Die Gratis-Version des Tools XArp reicht schon aus, um ein Netzwerk auf DNS-Angriffe zu überprüfen. Lade XArp von der Webseite des Anbieters, www.xarp.net herunter und installiere es auf deinem Rechner.

    Zum Identifizieren von DNS-Angriffen trittst du einfach einem Netzwerk (z. B. einem WiFi-Spot) bei und startest das Programm XArp. Der Scan dauert ein paar Sekunden. Wenn nach dem Test nur Einträge mit grünen Häkchen angezeigt werden, dann ist kein Angriff im Gange. Bei einem oder mehreren roten Kreuzen ist Vorsicht geboten und das betreffende Netzwerk ist sofort zu verlassen.

    Darüber hinaus bietet XArp weitere Informationen. Beispielsweise kann man über den Link View detected attacks auch die MAC-Adresse des Angreifers identifizieren. In einem zusätzlichen Fenster werden per Changefilter die Änderungen von MAC-Adressen angezeigt.

    Fazit:

    Wer unterwegs häufig kostenlose Access Points nutzt, für den ist XArp ein unverzichtbares Sicherheits-Tool. Es ist mit allen Windows-Betriebssystemen und Ubuntu Linux kompatibel.

    Trotzdem empfiehlt es sich, den Besuch sensibler Webseiten, wie dem Online-Banking, über öffentliche Hotspots zu vermeiden. Schließlich sind DNS-Angriffe nicht das einzige Werkzeug, das Hacker verwenden können.

  • Windows 10: Die Firewall für einen oder mehrere Ports dauerhaft öffnen

    Wer sich im Laufe des vergangenen Jahres für das Windows-10-Betriebssystem entschieden hat, der wird schnell festgestellt haben, dass die Firewall Defender standardmäßig aktiviert ist. So ist der Rechner automatisch – direkt ab Installation – gegen unbefugten Zugriff geschützt. Die meisten Ports sind ebenfalls durch die Firewall geschlossen und müssen gegebenenfalls für einige Spiele oder andere Programme manuell geöffnet werden. Das geht mit ein paar wenigen Mausklicks.

    Zuerst startest du die Systemsteuerung über einen Rechtsklick auf den Windows-Button. Anschließend rufst du den Pfad System und Sicherheit | Windows-Firewall auf und klickst im linken Bereich auf Erweiterte Einstellungen.

    Im Dialogfenster Windows-Firewall mit erweiterter Sicherheit wählst du links Eingehende Regel aus und dann auf der rechten Seite Neue Regel.

    Im Unterdialog aktivierst du die Option Port, klickst auf die Schaltfläche Weiter und legst anschließend die Ports fest, die von der Firewall geöffnet werden sollen. Folge dann dem Assistenten bis alle Parameter festgelegt wurden. Im letzten Schritt bestätigst du die Öffnung der Ports mit Fertig stellen.

    Öffnest du auf diese Weise einen oder mehrere Ports, die du nicht dauerhaft benötigst, solltest du sie sicherheitshalber nach Gebrauch wieder schließen.

  • WLAN-Hotspots in Autos können leicht manipuliert werden

    Viele Automobilkonzerne bauen in ihre Fahrzeuge WLAN-Hotspots ein, damit Fahrer und Beifahrer beispielsweise im Web surfen können oder um das Onboard-Entertainsystem zu bedienen. Je nach Hersteller und Fahrzeug lassen sich etliche KFZ-Funktionen, wie das Öffnen von Fenstern und Türen oder das Ein-/Ausschalten der Heizung/Klimaanlage veranlassen. Es ist aber auch nicht verwunderlich, dass Hacker versuchen in diese Systeme einzudringen. Beim SUV Mitsubishi Outlander Hybrid ist das bereits im Juni 2016 geglückt.

    Schuld daran, ist das werksseitig voreingestellte WLAN-Passwort, das viel zu kurz ist. Hacker können die Kennworteingabe ohne viel Aufwand knacken und anschließend auf die Sicherheitseinstellungen des Fahrzeugs zugreifen. Das fand das englische Security-Unternehmen Pen Test Partners heraus, das umgehend den Hersteller Mitsubishi darüber informierte.

    Die gravierendste Sicherheitslücke bei dem Fahrzeug ist wohl, dass ein Hacker das Alarmsystem des Autos deaktivieren kann.

    Leider haben weder der Entdecker des Bugs, noch der Hersteller Mitsubishi eine Lösung für dieses (gravierende) Problem. Auf der englischsprachigen Hersteller-Webseite ist lediglich eine Entschuldigung zu lesen und es wird geraten, Mitsubishi Remote Control zu deaktivieren.

    Damit der Kunde nicht komplett schutzlos im Regen steht, kann der Hotspot vorübergehend deaktivieren werden. Somit ist ein Zugriff auf die, mit dem WLAN verbundenen Geräte nicht mehr möglich. Die Verwendung der App Outlander PHEV remote control (für Android und iOS) ist dann natürlich nicht mehr möglich.

    In den Einstellungen des Bordcomputers geht man zur Cancel VIN Registration und trennt dann alle verbundenen Geräte. Damit fällt der WLAN-Hotspot in einen „Winterschlaf“ und ist deaktiviert. Für eine spätere Aktivierung genügt dann ein zehnmaliges Drücken auf einen beliebigen Knopf des Autoschlüssels.

    Die Besitzer des Outlanders Hybrid können nur hoffen, dass diese Sicherheitslücke schnell behoben wird. Denn der Trick mit der Reaktivierung des WLAN über den Autoschlüssel wird sicherlich von Hackern auch bald kompromittiert werden.