Tipps, Tricks & Kniffe

Schlagwort: backdoor

Windows: Veraltetes Netzwerkprotokoll deaktivieren
Dass auf vielen Windows Computern immer noch veraltete Netzwerkprotokolle ihren Dienst versehen, bewies vor einem halben Jahr (im Mai 2017) die Erpresser-Software WannaCry sehr eindrucksvoll. Er infizierte Windows-Rechner, die einen bestimmten Sicherheitspatch noch nicht erhalten hatten. Als Hintertür nutzte WannaCry das veraltete Netzwerkprotokoll SMB 1.o, dass immer noch auf vielen Rechnern vorhanden ist.
Dieses Protokoll, dass für die Übertragung von Dateien verantwortlich ist, lässt sich mit ein paar Mausklicks schnell deaktivieren. Das ist – mal abgesehen von Windows XP – kein Problem, denn bereits seit Windows Vista nutzt das Betriebssystem eine neuere Version.
Zum Abschalten startest du die Systemsteuerung und navigierst zu Programme | Programme und Funktionen. Anschließend klickst du im linken Bereich auf die Option Windows-Funktionen aktivieren oder deaktivieren, die sich dann in einem neuen Dialogfenster öffnet.
Hier werden alle auf dem Computer verfügbaren Features aufgelistet. Suche den Eintrag SMB 1.0/CIFS File Sharing Support, entferne das Häkchen aus der Checkbox und bestätige die Änderung mit dem Button OK.
Damit ist dieses Netzwerkprotokoll abgeschaltet und kann keinen Schaden mehr anrichten.
Hinweis
Wenn du bei den Windows-Funktionen den Eintrag SMB 1.0/CIFS File Sharing Support nicht findest, dann ist das Protokoll auf deinem PC nicht mehr aktiv.
250.000 Dollar Prämie: Microsoft zahlt für Sicherheitslücken
Du liebst es, Windows auf den Kopf zu stellen und Sicherheitslücken zu finden? Dann kannst du dir das auch bezahlen lassen. Microsoft zahlt für das Auffinden von Sicherheitslücken ein Kopfgeld bis zu 250.000 USD. Schon unter Windows 8.1 wurden über das Bug-Bounty-Programm für schwerwiegende Sicherheitslücken bis zu 100.000 Dollar ausgeschüttet. Das neue Kopfgeld-Programm wurde erweitert und startete am 27.07.2017.
Natürlich gibt es nicht für jede Kleinigkeit so viel Geld. Die Prämien sind gestaffelt und beginnen bei 500 Dollar. Neu ist dabei, dass auch Prämien für das Auffinden von Sicherheitslücken in Windows Insider Previews (Beta-Versionen) gezahlt werden, die für jedermann zugänglich sind.
Die höchsten Beträge, zwischen 5.000 und 250.000 USD, werden für Lücken in Microsoft Hyper-V der Betriebssysteme Windows 10, Windows Server 2012/2012 R2 und Windows Server Insider Preview gezahlt.
Selbst für integrierte Missbrauchstechniken von Schutzvorrichtungen in der aktuellen Windows-Version zahlt Microsoft bis zu 200.000 Dollar.
Weitere Informationen zum Microsoft Bug-Bounty-Programm findest du auf der Technet-Seite von Microsoft.
Verhindern, dass Windows 10 heimlich Software installiert
Microsoft greift zu diversen Mitteln, um Programme auf Computern zu installieren. Dass wir Nutzer zu diesem Zweck mit Werbung zugemüllt werden, ist nicht weiter verwunderlich. Hast du dich schon einmal darüber gewundert, dass plötzlich das eine oder andere Programm auf deinem Rechner ist, obwohl du dich an eine Installation nicht erinnern kannst? Dann bist du offensichtlich auch ein „Opfer“ von heimlich installierter Software geworden. Das Windows von selbst heimlich Programme herunterladen und installieren kann, dürfte wohl vielen Nutzern ein Dorn im Auge sein. Gut ist aber, dass man dieses Verhalten unterbinden kann.
Abhilfe in der Registry
Findest du auf deinem Windows-10-Rechner heimlich installierte Apps, dann kannst du sie zwar deinstallieren, aber über kurz oder lang wird der PC mit Bloatware weiterhin zugemüllt. Verhindern lässt sich dies nur mit einem Eingriff in den Registrierungseditor.
Bevor du Änderungen vornimmst, ist es empfehlenswert ein Registry-Backup anzulegen. In diesem Artikel kannst du nachlesen, welche Schritte dazu notwendig sind.
Mit dem Befehl regedit, eingegeben im Fenster Ausführen, startest du die Registry. Navigiere zu dem Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager.
Im Ordner des ContentDeliveryManager befindet sich ein Unterschlüssel mit dem dreisten Namen SilentInstalledAppsEnabled, den du mit einem Doppelklick öffnest. Ändere den Wert von 1 auf 0 (Null) und speichere ihn mit dem Button OK.
Nach einem Neustart des Computers ist die Änderung aktiv und weitere Software sollte von Windows dann nicht mehr unbemerkt installiert werden können.
Spionage-Hintertür oder kommerzielle Gründe?
Diese, leicht aufzuspürende Hintertür, ist wahrscheinlich nicht durch die Zusammenarbeit von Microsoft mit den amerikanischen Geheimdiensten zu erklären. Da gibt es sicherlich noch weitere Möglichkeiten, die nicht so einfach zu finden sind. Vielmehr wurde hier eine Backdoor für kommerzielle Anbieter von Computer-Software und für Werbung geschaffen.
Bestätigt: Die Verschlüsselung per TrueCrypt sperrt Spionagedienste wie die NSA aus.
Unabhängige Sicherheitsexperten haben durch eine langwierige Prüfung endlich bestätigt, dass das beliebte Verschlüsselungs-Tool TrueCrypt den Geheimdiensten keine Hintertüren öffnet. Es wurden lediglich kleinere Schwachstellen identifiziert, die aber nur bedingt ausgenutzt werden könnten. Auch wir berichteten in der Vergangenheit über die Standhaftigkeit von TrueCrypt. Trotz der kleinen Fehler, empfiehlt unter anderem auch Chip.de die Version TrueCrypt 7.1a weiterhin.
Trotz, oder gerade wegen des Erfolges, wurde unter mysteriösen Umständen im Juni 2014 die Weiterentwicklung beendet. Die Entwickler veröffentlichten dazu folgendes Statement:
Warning: Using TrueCrypt is not secure as it may contain unfixed security issues.
Warnung: Das Benutzen von TrueCrypt ist nicht sicher, da es ungelöste Sicherheitsprobleme gibt.

Es ist zu vermuten, dass die Entwickler zu dieser Meldung gezwungen wurden, damit auf diese Weise die Anzahl der Nutzer und die Verbreitung reduziert werden sollte. Unterstützt wird diese These auch dadurch, dass die TrueCrypt-Entwickler gleichzeitig das Microsoft-Tool BitLocker empfehlen. Und das Microsoft mit den amerikanischen Geheimdiensten zusammenarbeitet, hat Microsoft-PR-Manager Frank Shaw bereits 2013 bestätigt.
Ein Schelm der Böses dabei denkt!
Offensichtlich war es einfacher, die Programmierer zu „überzeugen“ das Projekt einzustellen, als weiterhin erfolglos zu versuchen TrueCrypt zu knacken.
Wie sicher TrueCrypt auch nach der „Warnung“ noch ist, soll eine zweiter Testphase herausfinden. Die Ergebnisse kann man auf der Seite IsTrueCryptAuditedYet? und bei Twitter über den Hashtag #IsTrueCryptAuditedYet nachverfolgen.
Sicherheitslücke in den meisten Samsung-Smartphones
Im März 2014 haben haben Mitglieder des Replicant-OS-Teams eine schwerwiegende Sicherheitslücke in fast allen Samsung-Handys festgestellt. Neben allen Galaxy-Geräten sind auch Modelle betroffen, die Samsung für andere Kunden produziert (z. B. Nexus S). Die Sicherheitslücke ist eine Hintertür im Android-Betriebssystem, mit dem der Hersteller ständigen Remote-Zugriff auf jedes Gerät erhält. Auf der Replicant-Webseite wurden dazu die kompletten verfügbaren Steuerbefehle und eine Gegenmaßnahme veröffentlicht.
Das Entwickler-Team des alternativen Replicant-Betriebssystems haben einen inoffiziellen Patch entwickelt, der diese eklatante Sicherheitslücke schließt und auf ihrer Webseite zum Download bereitgestellt.
Wir empfehlen aber für den Fall, dass Sie die Backdoor Ihres Handys schließen wollen, Ihr Samsung-Handy von einem Fachmann kontrollieren und den Patch aufspielen zu lassen. Andernfalls ist die Gefahr der Unbrauchbarkeit Ihres Telefons sehr hoch.
Android Backdoor.AndroidOS.Obad.a: Gefährlicher Android-Trojaner infiziert Android-Handys und lässt sich nur schwer wieder entfernen
Der Antivirenspezialist Kaspersky warnt derzeit vor einem besonders hochentwickelten Trojaner, der sich tief ins System einnistet und dort ungehindert Schaden anrichten kann.
Backdoor.AndroidOS.Obad.a
Der neu aufgetauchte Trojaner mit dem Namen Backdoor.AndroidOS.Obad.a hat es in sich: Er kann unbemerkt SMS-Textnachrichten an kostenpflichtige Nummer versenden, Konsolenbefehle ausführen, selbständig weitere Schädlinge downloaden und per Bluetooth an andere Androids verteilen.
Um die schädlichen Aktionen unbemerkt durchführen zu können, nutzt der Android-Trojaner einen Fehler im Modul DEX2JAR, mit dem sich APK-Dateien (Apps) in das JAR-Format (Java Archive) konvertieren lassen. Zudem nutzt der Schädling eine Fehler im Android-Betriebssytem aus, das sich um die Verarbeitung von AndroidManifest.xml-Dateien kümmert, das auf jedem Android für die App-Struktur und die Startbefehle zuständig ist. Weitere technische Informationen finden Sie auf der Webseite www.securelist.com/en/blog/8106/The_most_sophisticated_Android_Trojan.

Screenshot Kaspersky Labs
Der Trojaner kann auf den ersten Blick aussehen wie ein Android-Systemupdate. Zur Installation erfolgt zum Beispiel die Abfrage, ob die App „com.android.system.ad…“ installiert werden soll. Per Klick auf „Install“ landet die Trojaner-App dann auf dem Handy.
Beim ersten Start versucht der Trojaner zunächst, die Administrator-Rechte zu erlangen. Auf dem Android-Bildschirm erscheint dann eine entsprechende Abfrage, die zum Beispiel so aussieht:
Achtung: Werden die Rechte erteilt, hat der Trojaner Zugriff auf das Android-Handy. Im ersten Schritt schickt er eine Reihe von Daten wie die Telefonnummer in Form verschlüsselster JSON-Objekte an einen entfernen Webserver mit der Adresse androfox.com. Über den Webserver bezieht der Trojaner wiederum weitere Befehle und Updates – er aktualisiert sich praktisch von selbst.
Das Perfide: hat sich der Trojaner einmal auf dem Android eingeschleust, lässt es sich mit Bordmitteln nur schwer wieder entfernen. Die gute Nachricht: Laut Kaspersky ist der Trojaner noch nicht sehr weit verbreitet. Über einen Zeitraum von 3 Tagen machte der neue Backdoor.AndroidOS.Obad.a-Trojaner nicht mehr als 0,15% aller Malware-Angriffe auf Androids aus.
Unser Rat: Achten Sie generell penibel darauf, welche Apps Sie auf dem Android installieren oder welche Apps plötzlich versuchen, sich zu installieren und nach Administrator-Rechten verlangen. Solch dubiose App-Anfragen sollten Sie generell abweisen und abbrechen.