Schlagwort: hintertür

  • Windows: Veraltetes Netzwerkprotokoll deaktivieren

    Dass auf vielen Windows Computern immer noch veraltete Netzwerkprotokolle ihren Dienst versehen, bewies vor einem halben Jahr (im Mai 2017) die Erpresser-Software WannaCry sehr eindrucksvoll. Er infizierte Windows-Rechner, die einen bestimmten Sicherheitspatch noch nicht erhalten hatten. Als Hintertür nutzte WannaCry das veraltete Netzwerkprotokoll SMB 1.o, dass immer noch auf vielen Rechnern vorhanden ist.

    Dieses Protokoll, dass für die Übertragung von Dateien verantwortlich ist, lässt sich mit ein paar Mausklicks schnell deaktivieren. Das ist – mal abgesehen von Windows XP – kein Problem, denn bereits seit Windows Vista nutzt das Betriebssystem eine neuere Version.

    Zum Abschalten startest du die Systemsteuerung und navigierst zu Programme | Programme und Funktionen. Anschließend klickst du im linken Bereich auf die Option Windows-Funktionen aktivieren oder deaktivieren, die sich dann in einem neuen Dialogfenster öffnet.

    Hier werden alle auf dem Computer verfügbaren Features aufgelistet. Suche den Eintrag SMB 1.0/CIFS File Sharing Support, entferne das Häkchen aus der Checkbox und bestätige die Änderung mit dem Button OK.

    Damit ist dieses Netzwerkprotokoll abgeschaltet und kann keinen Schaden mehr anrichten.

    Hinweis

    Wenn du bei den Windows-Funktionen den Eintrag SMB 1.0/CIFS File Sharing Support nicht findest, dann ist das Protokoll auf deinem PC nicht mehr aktiv.

  • Internet der Dinge: Sind auch meine smarten Geräte im Web zu finden?

    Smarte Geräte wie Heizungsthermostate, LED-Lampen, Alarmanlagen und Kühlschränke sind mit Schnittstellen ausgerüstet, um über WLAN oder LAN mit dem Internet kommunizieren zu können. Der Bequemlichkeitsfaktor von Smart-Home & Co ist schon sehr groß, hat aber auch seine Tücken. Oft sind diese Geräte unzureichend gegen Hackerangriffe geschützt. Damit ist auch das Heimnetzwerk mit dem Computer über diese Hintertür angreifbar. Aber wie findet man die Geräte im Internet der Dinge? Antwort: Mit der richtigen Suchmaschine.

    Shodan, ZoomEye, PunkSPIDER & Co

    Spezielle Suchmaschinen wie Shodan.io suchen im Web nach Informationen, ähnlich wie Google oder Bing. Allerdings sind Webseiteninhalte nicht das Ziel von Shodan, sondern Geräte wie Webcams, Smart-Home-Geräte, Router Leuchtmittel, Türschlösser und vieles mehr.

    Spezielle Suchbegriffe sind eigentlich nicht erforderlich. Für eine allgemeine Suche reicht meist schon der Name eines Gerätes aus, um tausende Ergebnisse zu erhalten. Du kannst aber auch mit anderen Angaben wie Seriennummer oder IP-Adresse suchen. Über den Button Explore neben dem Suchfeld, lässt sich bei Shodan herausfinden, mit welchen Begriffen andere User gesucht haben.

    Kostenlose Registrierung

    Wenn du Shodan.io nutzen willst um deine internetfähigen Geräte zu überprüfen, dann ist eine Registrierung empfehlenswert. Die Suchergebnisse ohne Login sind sehr dürftig. Wer noch mehr Funktionen möchte, der schließt eine Mitgliedschaft für 49 USD ab. Für gewerbliche Nutzer stehen drei unterschiedliche Preiskategorien für monatlich 19, 99 oder 499 US-Dollar zur Verfügung.

  • CCleaner-Update infizierte die Computer mit Malware

    Das beliebte Cleaning-Tool CCleaner, das auf Millionen Rechnern installiert ist, sorgt seit dem letzten Update zwischen dem 15. August und 12. September für eine Sicherheitslücke.

    Hacker haben die Software mit einer Backdoor ausgestattet, die den Zugriff auf die infizierten Computer ermöglicht. Betroffen sind nach Informationen von dem CCleaner-Entwickler Piriform, Computer mit 32-Bit-Betriebssystemen, die den CCleaner in der Version v5.33.6162 und/oder dessen Cloud-Variante v1.07.3191 installiert haben.

    Schädling sammelt Daten

    Angeblich soll der Schädling nur auf den Computern aktiv geworden sein, wenn der aktuelle Benutzer auch Administratorrechte besitzt. Es ging dem Schadprogramm offenbar nicht darum, weitere Hintertüren zu installieren, sondern um den Nutzer auszuspähen und Daten zu sammeln.

    Von Antiviren-Tools unentdeckt

    Während der ganzen Zeit wurde die Schadsoftware von keinem Antivirenprogramm erkannt. Erst Sicherheitsforscher haben die Malware entdeckt, als sie eine Betaversion ihrer Sicherheitssoftware getestet haben.

    Piriform hat natürlich schnell reagiert, und ein neues Update bereitgestellt, dass die Hintertür wieder schließen soll. Die aktuellste Version des CCleaners ist auf der Webseite des Anbieters erhältlich.

    Tipp:

    Nach der Installation des neuesten CCleaners ist es empfehlenswert, auch das Antivirenprogramm zu aktualisieren und einen Offline-Virenscan durchzuführen. Sicher ist sicher.

  • 250.000 Dollar Prämie: Microsoft zahlt für Sicherheitslücken

    Du liebst es, Windows auf den Kopf zu stellen und Sicherheitslücken zu finden? Dann kannst du dir das auch bezahlen lassen. Microsoft zahlt für das Auffinden von Sicherheitslücken ein Kopfgeld bis zu 250.000 USD. Schon unter Windows 8.1 wurden über das Bug-Bounty-Programm für schwerwiegende Sicherheitslücken bis zu 100.000 Dollar ausgeschüttet. Das neue Kopfgeld-Programm wurde erweitert und startete am 27.07.2017.

    Natürlich gibt es nicht für jede Kleinigkeit so viel Geld. Die Prämien sind gestaffelt und beginnen bei 500 Dollar. Neu ist dabei, dass auch Prämien für das Auffinden von Sicherheitslücken in Windows Insider Previews (Beta-Versionen) gezahlt werden, die für jedermann zugänglich sind.

    Die höchsten Beträge, zwischen 5.000 und 250.000 USD, werden für Lücken in Microsoft Hyper-V der Betriebssysteme Windows 10, Windows Server 2012/2012 R2 und Windows Server Insider Preview gezahlt.

    Selbst für integrierte Missbrauchstechniken von Schutzvorrichtungen in der aktuellen Windows-Version zahlt Microsoft bis zu 200.000 Dollar.

    Weitere Informationen zum Microsoft Bug-Bounty-Programm findest du auf der Technet-Seite von Microsoft.

  • Seit Windows XP wenig beachtete Sicherheitslücke schließen

    Schon seit der Einführung von Windows XP gibt es den Windows Script Host. Er sollte als Weiterentwicklung für die Eingabeaufforderung gelten, die es schon seit MS-DOS gibt. Allerdings ist die Eingabeaufforderung nie weiterentwickelt worden. Die Existenz des Windows Script Host (WSH) ist aber nie so richtig in das Bewusstsein der PC-Nutzer gelangt. Da WSH meist unbeachtet im Hintergrund aktiv ist, stellt der Dienst ein potentielles Sicherheitsrisiko dar. Glücklicherweise kann dieses Hintertürchen recht einfach geschlossen werden.

    WSH in der Registry deaktivieren

    Die Abschaltung, des meist nicht genutzten Dienst Windows Script Host, erfolgt im Registrierungseditor. Öffne die Registry über das Dialogfenster Ausführen und dem Befehl regedit.

    Navigiere dann zu folgendem Schlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

    Im rechten Anzeigebereich des Settings-Ordners kannst du am Eintrag Enable erkennen, ob der Windows Script Host aktiv ist. Ist der Schlüssel Enable nicht vorhanden, oder steht sein Wert auf 1, so ist der Dienst auf deinem Rechner aktiv.

    Zum Deaktivieren öffnest du den Unterschlüssel Enable mit einem Doppelklick, änderst dann den Wert von 1 auf 0 (Null) und speicherst dann die Änderung mit OK.

    Enable-Wert für Abschaltung erforderlich

    Ist der Schlüssel nicht vorhanden, dann öffnest du mit einem Rechtsklick im rechten Bereich das Kontextmenü und wählst dort Neu | DWORD-Wert (23-Bit). Diesem neuen Eintrag gibst du dann den Namen Enable. Der Wert dieses Schlüssels steht standardmäßig auf Null und muss daher nicht geändert werden.

    Sobald die Änderungen in die Registry übernommen wurden, spätestens aber nach einem PC-Neustart, ist der Windows Script Host abgeschaltet und lässt keine Windows-Scripte mehr zu.

    Möchtest du den WSH wieder reaktivieren, dann lösche den Schlüssel Enable oder ändere den Wert wieder auf 1.

  • Windows 10: Weiterhin kostenloses Upgrade für einen eingeschränkten Personenkreis verfügbar

    Vor ein paar Tagen, am 29. Juli 2016, lief das Microsoft-Angebot für das kostenlose Windows 10 Upgrade aus. Ab sofort müssen Umsteiger das neue Betriebssystem käuflich erwerben. Doch einem kleinen Personenkreis erlaubt Microsoft weiterhin das kostenlose Aufrüsten.

    Jeder Nutzer, der eine Hilfstechnologie verwendet, ist weiterhin berechtigt, das Gratis-Upgrade durchzuführen. Hilfstechnologien sind spezielle Hard- oder Software-Lösungen, die Menschen mit Behinderungen eine erleichterte Nutzung des Computers ermöglicht.

    Als bekannteste Hilfstechnologien wären hier spezielle Eingabegeräte (z. B. Spracheingabe u. -ausgabe) oder hohe Kontrastauflösungen und besondere Konfigurationen für die Bedienung von Peripheriegeräten wie Maus, Drucker, etc. zu nennen.

    Auf jeden Fall sollten berechtigte Personen den Anbieter der verwendeten Hilfstechnologie kontaktieren, um eine Kompatibilität der Soft- oder Hardware mit Windows 10 zu gewährleisten. Anschließend kann man dann über eine Microsoft Webseite ein 5,5 MB großes Kompatibilitätstool herunterladen, dass die Berechtigung/Lizenzbedingungen prüft und anschließend das Upgrade durchführt.

    Tipp:

    Das am 02. August 2016 veröffentlichte Anniversary Update für Windows 10 enthält umfangreiche Verbesserungen für  diese Hilfstechnologien. Zudem nennt Microsoft in dem Zusammenhang auch noch keine Ablauffrist für Windows 10 Upgrades.

  • Prism-Break: Die Widerstandsbewegung gegen Geheimdienste wie NSA und GCHQ

    Die Medien haben in der Vergangenheit immer nur neue Abhörskandale aufgedeckt, aber kaum Empfehlungen veröffentlicht, wie man sich gegen die Bespitzelung wehren kann. Selbst unsere eigene Regierung ist hier bislang untätig geblieben. Die Webseite Prism Break listet Alternativ-Programme auf, die für Überwachungssoftware nicht ganz so anfällig sind.

    Der Grund für diese Anfälligkeiten sind die gut gehüteten Programmcodes von Microsoft, Google, Apple & Co. Wie bereits bekannt wurde, haben diese und etliche andere Firmen, Hintertüren für den Geheimdienst in diese Codes einbauen müssen. Dies betrifft im übrigen alle Firmen mit Sitz in den USA und meistens auch Firmen, die ihre Produkte auch in Amerike verkaufen.

    Prism-Break.org empfiehlt daher Programme mit dem freien Verschlüsselungs-Tool GnuPG. Da der Quellcode jedem zugänglich ist, sind die darauf basierenden Programme sicherer als die proprietären und zentralisierten Markenprodukte.

    gnupg-verschluesselung-nsa-gchq-geheimdienst-bespitzeln-widerstand-prism-break

    Hier finden Sie Open-Source-Produkte für jede Plattform von Android bis Windows. Im Wesentlichen werden die Produkte für folgende Plattformen aufgelistet:

    • Android
    • iOS
    • BSD
    • Gnu/Linux
    • OS X
    • Windows
    • Routers
    • Servers

    Bei allen aufgelisteteten Konkurrenzprodukten gelangen Sie über Verlinkungen zur entsprechenden Homepage des Anbieters und, wenn vorhanden, direkt zum Quellcode.

    anbieter-webseite-weiterleitung-url-link-download-quellcode

    Durch die Nutzung dieser dezentralisierten und freien Software wird das massenhafte Ausspähen und Sammeln von Daten erschwert und zunehmend unwirtschaftlicher.

  • Adobe Reader: Gefährliche Hintertür schließen

    Das mit „JavaScript“ Schadsoftware auf den Computer gelangen kann ist hinlänglich bekannt. Die meisten Webbrowser können so eingestellt werden, dass die automatische Skriptausführung streng reglementiert, bzw. untersagt wird. Auch der „Adobe Reader“ ist in der Lage JavaScript auszuführen. Da diese Funktion standardmäßig aktiviert ist und man zum Betrachten von PDF-Dateien selten Java benötigt, ist es ratsam, die Funktion aus Sicherheitsgründen zu deaktivieren.

    Durch die Abschaltung schließt man ein weiteres Hintertürchen für Schadsoftware, die auf diesem Umweg über den Adobe Reader kommen kann.

    Starten Sie den Adobe Reader und klicken Sie in der Menüleiste auf „Bearbeiten | Voreinstellungen“.

    bild-1-adobe-reader-java-script-abschalten-nicht-erfordelich-pdf-lesen-datei-dokument-hintertür-schließen-virus-trojaner-malware

    Im Dialogfenster „Voreinstellungen“ wählen Sie im linken Bereich die Kategorie „JavaScript“ aus und deaktivieren dann im rechten Bereich die Option „Acrobat JavaScript aktivieren“. Bestätigen Sie die Änderung mit „OK“.

    bild-2-voreinstellungen-bearbeiten-dialogfenster-javascript-deaktivieren-register-kategorie

    Sollte zu einem späteren Zeitpunkt ein aktives PDF-Dokument nicht richtig funktionieren, dann wiederholen Sie die Arbeitsschritte und reaktivieren die Option wieder.

  • Android Backdoor.AndroidOS.Obad.a: Gefährlicher Android-Trojaner infiziert Android-Handys und lässt sich nur schwer wieder entfernen

    Der Antivirenspezialist Kaspersky warnt derzeit vor einem besonders hochentwickelten Trojaner, der sich tief ins System einnistet und dort ungehindert Schaden anrichten kann.

    Backdoor.AndroidOS.Obad.a

    Der neu aufgetauchte Trojaner mit dem Namen Backdoor.AndroidOS.Obad.a hat es in sich: Er kann unbemerkt SMS-Textnachrichten an kostenpflichtige Nummer versenden, Konsolenbefehle ausführen, selbständig weitere Schädlinge downloaden und per Bluetooth an andere Androids verteilen.

    Um die schädlichen Aktionen unbemerkt durchführen zu können, nutzt der Android-Trojaner einen Fehler im Modul DEX2JAR, mit dem sich APK-Dateien (Apps) in das JAR-Format (Java Archive) konvertieren lassen. Zudem nutzt der Schädling eine Fehler im Android-Betriebssytem aus, das sich um die Verarbeitung von AndroidManifest.xml-Dateien kümmert, das auf jedem Android für die App-Struktur und die Startbefehle zuständig ist. Weitere technische Informationen finden Sie auf der Webseite www.securelist.com/en/blog/8106/The_most_sophisticated_Android_Trojan.

    android_trojaner
    Screenshot Kaspersky Labs

    Der Trojaner kann auf den ersten Blick aussehen wie ein Android-Systemupdate. Zur Installation erfolgt zum Beispiel die Abfrage, ob die App „com.android.system.ad…“ installiert werden soll. Per Klick auf „Install“ landet die Trojaner-App dann auf dem Handy.

    android_trojaner-3

    Beim ersten Start versucht der Trojaner zunächst, die Administrator-Rechte zu erlangen. Auf dem Android-Bildschirm erscheint dann eine entsprechende Abfrage, die zum Beispiel so aussieht:

    android_trojaner-2

    Achtung: Werden die Rechte erteilt, hat der Trojaner Zugriff auf das Android-Handy. Im ersten Schritt schickt er eine Reihe von Daten wie die Telefonnummer in Form verschlüsselster JSON-Objekte an einen entfernen Webserver mit der Adresse androfox.com. Über den Webserver bezieht der Trojaner wiederum weitere Befehle und Updates – er aktualisiert sich praktisch von selbst.

    Das Perfide: hat sich der Trojaner einmal auf dem Android eingeschleust, lässt es sich mit Bordmitteln nur schwer wieder entfernen. Die gute Nachricht: Laut Kaspersky ist der Trojaner noch nicht sehr weit verbreitet. Über einen Zeitraum von 3 Tagen machte der neue Backdoor.AndroidOS.Obad.a-Trojaner nicht mehr als 0,15% aller Malware-Angriffe auf Androids aus.

    Unser Rat: Achten Sie generell penibel darauf, welche Apps Sie auf dem Android installieren oder welche Apps plötzlich versuchen, sich zu installieren und nach Administrator-Rechten verlangen. Solch dubiose App-Anfragen sollten Sie generell abweisen und abbrechen.

  • Erstellung eines zweiten, sicheren Firefox-Profils für den Besuch sensibler Webseiten

    Add-ons und Plugins sind wichtig für Funktionserweiterungen eines Browsers. Doch manchmal stellen sie auch eine Gefahr da. Viele Einstellungen und Antivirenprogramme sichern Sie gegen Gefahren aus dem Web ab. Da man sich aber nicht immer sicher sein kann, ob eine Erweiterung/Plugin aus einer sicheren Quelle stammt, sollte man sich eine Möglichkeit schaffen, mit der man sicherheitsrelevante Webseiten (zum Beispiel Onlinebanking) besuchen kann. Diese Möglichkeit bietet der Firefox-Browser.

    Das sichere Firefox-Profil einrichten

    Um auszuschließen, dass zwielichtige Add-ons und Plug-ins trotz vorhandener Sicherheitssoftware einen Umweg schaffen, enthält Firefox die Möglichkeit, ein zweites, sicheres Profil anzulegen. Dieses kann dann dazu genutzt werden, sich auf sensiblen Seiten (z. B. Onlinebanking) anzumelden.

    Das zweite Profil startet nur mit den Grundeinstellungen und mit einem Minimum an Plug-ins. Einige, wie Java, werden zur Webseitendarstellung zwingend gebraucht.

    Und so erstellen Sie Ihr „Sicherheits-Profil“:

    1. Schließen Sie den Firefox-Browser und rufen Sie das Dialogfenster „Ausführen“ mit der Tastenkombination [Windows][R] auf.

    2. Geben Sie in das Suchfeld den Befehl

    firefox.exe -ProfileManager

    ein und starten es mit [Enter] oder mit einem Klick auf „OK“.

    3. Im Fenster des Firefox-Pofilmanagers klicken Sie auf den Button „Profil erstellen“ und den nachfolgenden Willkommensbildschirm bestätigen Sie mit „Weiter“.

    4. Im nächsten Dialogfenster, dem „Profil-Assistent“, geben dem neuen Profil einen Namen und beenden die Erstellung mit „Fertigstellen“.

    5. Im Firefox Profilmanager sind nun beide Profile sichtbar. Entfernen Sie das Häkchen vor der Option „Beim Starten nicht nachfragen“, markieren Sie das neue Sicherheitsprofil, und klicken Sie auf die Schaltfläche „Firefox starten“.

    6. Ist der Browser gestartet, wechseln Sie über die Menüleiste, „Extras | Add-ons“, zum „Add-ons-Manager“. Deaktivieren Sie in den Bereichen „Erweiterungen“ und „Plugins“ alle nicht benötigten Elemente.

    Vermeiden Sie zukünftig, in diesem Profil Add-ons und Plug-ins zu installieren. Ihr normales (default) Profil steht Ihnen natürlich auch weiterhin zur Verfügung. Ab sofort wird bei jedem Firefox-Start der Profilmanager angezeigt, in dem Sie Ihr benötigtes Profil auswählen können.