Kategorien
Hardware & Software Software Windows 10 Windows 7 Windows 8 Windows 8.1 Windows Vista Windows XP

Schutz vor den Kryptotrojanern Petya und Bad Rabbit

Krypto-Trojaner verschlüsseln Dateien und ganze Festplatten. Man erhält dann mit der Lösegeldforderung einen Link mit Zahlungsanweisungen der meist ins Darkweb führt. Wegen dieser Lösegeldforderungen bezeichnet man diese Trojaner auch als Ransom-Ware. Bereits im Juli 2017 haben wir darüber berichtet, wie Petya 2 daran gehindert werden kann, eine alte Sicherheitslücke zu benutzen. Es gibt aber auch noch eine andere Möglichkeit, die man auch gegen den zur Zeit grassierenden Bad Rabbit einsetzen kann.

Auf keinen Fall Lösegeld zahlen

Für Computer die von einem Krypto-Trojaner befallen sind, gibt es kaum eine Möglichkeit die Daten wieder zu entschlüsseln. Auch nach Zahlung des Lösegelds ist nicht garantiert, dass du wieder Zugriff auf deinen Rechner bekommst. Vielmehr ist damit zu rechnen, dass einmal befallene Computer wiederholt Opfer der Ransom-Ware werden.

Gratis-Schutz

Um sich vor Petya, NotPetya, SortaPetya und Bad Rabbit zu schützen, kann man den eigenen Rechner als C&C-Server (Comand and Control-Server) tarnen.

Bei Bad Rabbit besteht sogar eine kleine Chance nach der Infizierung noch Gegenmaßnahmen einzuleiten. Verschiedene Quellen berichten über eine Zeitspanne von zirka 15 Minuten. Da muss man blitzschnell handeln.

Damit der Computer sich möglichst schnell als C&C-Server tarnen kann, lädst du dir auf der Seite von Github die Batchdatei Stop BadRabbit herunter. Diese ZIP-Datei ist kostenlos. Entpacke sie und starte die stop_badrabbit.bat per Rechtsklick mit Administratorrechten.

Dadurch werden insgesamt fünf Dateien erstellt. Zwei für Bad Rabbit und drei um die Petya´s zu blockieren.

Für Bad Rabbit werden cscc.dat sowie infpub.dat angelegt und für Petya die Dateien perfc.dll, perfc.dat und perfc.

Installierte Dateien wieder entfernen

Der einzige Nachteil der Batchdatei ist das Fehlen einer Löschfunktion, die diese Einträge bei Bedarf ebenso einfach wieder entfernen kann. Möchtest du später einmal die fünf Dateien löschen, dann muss du das manuell über den Windows Explorer erledigen. Du findest sie im Verzeichnis von C:\Windows.

Kategorien
Hardware & Software Windows 10 Windows 7 Windows 8 Windows 8.1 Windows Vista Windows XP

Session Hijacking: Mit ein paar Klicks Windows-Benutzerkonten übernehmen

Bei Computern die von mehreren Personen genutzt werden, kann man die Sitzung eines angemeldeten Benutzerkontos mit wenigen Klicks und ohne Passwort übernehmen.

Sogar die Übernahme von Benutzerkonten mit Administratorrechten ist möglich. Alles was man dazu benötigt, ist eine Eingabeaufforderung mit System-Rechten.

Eingabeaufforderung mit Systemrechten

Ein „schnödes“ Admin-Konto reicht hierfür nur dann aus, wenn das Kennwort des Kontos, das übernommen werden soll, bekannt ist.

Die Freischaltung von Systemrechten ist nur mit einem zusätzlichen Tool möglich. Wie das funktioniert, kannst du in diesem Artikel nachlesen.

Angemeldete Nutzer identifizieren

Nachdem du eine Verknüpfung der Kommando-Zeile mit Systemrechten auf deinem Desktop erstellt hast, öffnest du sie und prüfst mit dem Befehl query user welche Benutzer auf dem Rechner angemeldet sind.

In der Spalte Benutzername werden nun alle angemeldeten Konten angezeigt. Der Eintrag in der ersten Reihe mit dem Sitzungsnamen console ist dein eigener. An diesen Eintrag wird das gekaperte Konto gesendet.

Sitzung kapern

Für das Hijacking benötigst du neben dem Übernahmebefehl, die zugehörige ID-Nummer (z. B. Nummer 4) des betreffenden Kontos.

Der komplette Befehl zur Übernahme lautet wie folgt:

tscon 4 /dest:console

Die Zahl 4 ist variabel und steht für die ID-Nummer des Kontos, das übernommen werden soll. Der Parameter dest: bezeichnet dein Konto, an das der Zugriff gesendet wird.

Nachdem der Kaper-Befehl mit [Enter] bestätigt wurde, erhältst du nun den Zugriff auf das gewünschte Benutzerkonto. Hier kannst du nun zum Beispiel die Einstellungen ändern und auch alle anderen Daten einsehen oder bearbeiten.

Hinweis:

Wir möchten an dieser Stelle darauf hinweisen, dass die Kaperung eines Benutzerkontos ohne Wissen des Nutzers strafrechtliche Folgen nach sich ziehen kann. Es ist vielmehr ein Fernwartungstool und ist auch nur als solches anzuwenden.

Der Befehl funktioniert mit allen Betriebssystemen ab Windows XP und Windows Server.

Kategorien
Hardware & Software Windows 10 Windows 7 Windows 8 Windows 8.1 Windows 98 Windows Vista Windows XP

Windows Sicherheitslücke seit fast 20 Jahren aktiv

Eine Sicherheitslücke die es bereits seit Windows 95 gibt, hat durch die Vogel-Strauß-Politik von Microsoft fast zwei Dekaden überdauert. Nach der Entdeckung wurde die Gefahr von Firmenseite immer wieder heruntergespielt, gleichzeitig riet man aber zu einem Update. Über das Sicherheitsleck ist es möglich, die Logindaten eines Benutzers auszuspähen. Damit hätten Angreifer über das Microsoft-Live-Konto die Möglichkeit des Zugriffs auf viele Dienste wie Outlook.com, OneDrive oder Hotmail.

Angreifbar ist die NetBios-Schnittstelle, die bei einer Netzwerkanmeldung die Zugangsdaten als NTLM-Hash übermittelt und dann den Zugriff auf das LAN freigibt.

Seit kurzem haben sich die Redmonder dazu herabgelassen, diesen (unwichtigen..!) Bug zu schließen. Das Sicherheitsupdate wurde bereits am Patchday im Juni 2016 an die Windows-User verteilt, aber nur für Windows 8 und Windows 10.

Bei älteren Betriebssystemen, insbesondere bei denen die nicht mehr unterstützt werden, muss man selbst Hand anlegen und die NetBios-Schnittstelle vom Internet kappen.

Das bringt für den normalen Windows-Betrieb keine Nachteile, da hier nur verhindert wird, dass von außen Daten abgegriffen werden können.

NetBIOS bei Windows 7 deaktivieren

Öffne den Windows Explorer und klicke im Verzeichnisbaum auf der linken Seite mit der rechten Maustaste auf Netzwerk | Eigenschaften. Im Fenster Netzwerk und Freigabecenter klickst du links auf den Link Adaptereinstellungen ändern.

Dann öffnest du mit einem Rechtsklick auf die Verbindung die ins Internet führt, das Kontextmenü und wählst die Eigenschaften aus. Auf dem Reiter Netzwerk markierst du die Option Internetprotokoll Version 4 (TCP/IPv4) und klickst dann auf den Button Eigenschaften, gefolgt von Erweitert in der nächsten Dialogbox.

Auf der Registerkarte WINS aktivierst du die Einstellung NetBIOS über TCP/IP deaktivieren und speicherst die Änderung mit OK.

Windows XP

Bei diesem Betriebssystem wird die Deaktivierung des NetBIOS auf die gleiche Weise durchgeführt. Hier findest du die Netzwerkeigenschaften bereits auf dem Desktop oder im Startmenü.

Tipp:

Werden neue Treiber installiert oder die Alten aktualisiert, empfiehlt es sich, diese Einstellungen zu kontrollieren. Die Verbindung zwischen NetBIOS und TCP kann auch wieder reaktiviert werden. Am besten ist es, die Ports 137-139, sowie 445 in der Firewall (UDP und TCP) zu schließen.

Mit dem Port-Scanner Nmap kannst du deine eigene IP auf offene Ports ganz einfach kontrollieren. Das Tool ist auf der Webseite des Herstellers und anderen Quellen im Netz, zum Beispiel bei Chip.de, kostenlos erhältlich.

Kategorien
Hardware & Software

Wifi-Spot: Unitymedia und ihre WLAN-Sicherheitslücke sind immer noch aktuell

Ein Sprichwort besagt: „Gegensätze ziehen sich an.“ Das scheint wohl auch Unitymedia und deren WLAN-Sicherheit zu betreffen. Bereits Anfang des Jahres 2016 warnte das Unternehmen davor, die Standard-Passwörter, die auf der Rückseite des Routers mit einem Aufkleber angebracht sind, weiterhin zu benutzen. Sie sollten sobald als möglich gegen ein eigenes Passwort ersetzt werden. Nun gibt es offenbar nach dem Start von WifiSpot wieder (oder immer noch) ein Sicherheitsproblem. Bei einigen Nutzern, deren WLAN-Router für das freie WLAN-Netz freigeschaltet wurden, sind die Standard-Passwörter geknackt worden.

Über diese Sicherheitslücke, die Unitymedia seit Bekanntwerden immer noch nicht geschlossen hat, gewährt den Zugriff über das Netzwerk auf die Daten des oder der angeschlossenen Computer.

Sie ist außerdem so eklatant groß, dass es keine hochspezialisierten Hacker braucht, um einen Angriff auf einen WLAN-Router durchzuführen. Mit den richtigen Suchbegriffen findet jedes Kind im Google Play Store die passende Router-Keygen-App zum Auslesen des Standard-Passwortes.

Unitymedia hat auf dieses Problem (wie auch im Januar) lediglich mit dem Rat reagiert, dass die Kunden ihr Standard-Passwort gegen ein Eigenes ersetzen sollen.

Zusätzlich hat das Unternehmen (Vorsicht, Ironie!) sogar noch eine Info-Seite (FAQ) geschaltet, wie man bei den Geräten das Passwort ändert. Es betrifft nämlich nicht nur ein Gerät sondern gleich sechs Modelle:

  1. Ubee Modem
  2. Fritz!Box 6360
  3. Fritz!Box 6490
  4. Technicolor Modem TC7200
  5. Horizon Box
  6. Connect Box

Tipp:

In diesem Artikel erfährst du, wie einfach man sichere Passwörter erstellt, die man sich sogar gut merken kann.

Kategorien
Internet & Medien

DVD- und Blu-Ray-Filme auch auf PC, Tablet und Handy anschauen

Den Kopierschutz von DVD- und Blu-Ray-Filmen umgehen kann sehr riskant sein und ist nicht zu empfehlen. Auch wenn man einen gekauften Film crackt, um ihn ausschließlich auf dem eigenen Computer, Tablet oder Smartphone anzusehen, bewegt man sich in einer rechtlichen Grauzone. Aber auch die Filmindustrie hat dazugelernt und bietet seit Oktober 2011 eine Lösung namens Ultraviolet an.

Hinter dem Dienst Ultraviolet stehen die Großen der Filmindustrie wie Warner, Universal, 20th Century Fox und Sony.

ultraviolet-uvvu-bluray-dvd-legal-kopierschutz-tablet-smartphone

Letztendlich ist dieser Dienst ein Streaming-Portal, auf das Sie und vier andere Personen mit insgesamt 12 unterschiedlichen Endgeräten zugreifen können. Für unterwegs können Sie den Film auch herunterladen.

Ultraviolet ist ein zwölfstelliger Code, den Sie beim Kauf eines Films oder TV-Serie zusätzlich erhalten, um später auf das Portal zugreifen zu können. Filme, die Ultraviolet unterstützen, erkennen Sie an dem UVVU-Logo.

logo-film-uvvu-streaming-portal-ultraviolet-dvd-blu-ray-code-einloesen

Registrieren Sie sich kostenlos auf der Webseite www.uvvu.com und erstellen Sie dort eine Bibliothek. Flixter-Kunden können ebenfalls Filme zur Ultraviolet-Bibliothek hinzufügen, da beide miteinander kompatibel sind.

flixter-filme-bibliothek-hinzufuegen-kompatibel-ultraviolet-stream-download

Kategorien
Hardware & Software

FritzBox Sicherheitslücke: AVM warnt vor Telefonmissbrauch und gekaperten Fritzboxen. So schützt man sich.

FritzBox-Benutzer? Dann aufgepasst: AVM warnt in einem aktuellen Sicherheitshinweis vor einem möglichen Missbrauch der FritzBoxen. Der Hersteller der FritzBox-Router geht derzeit einigen Dutzend Hinweisen nach, nach denen Hacker in FritzBoxen heimlich kostepflichtige Rufumleitungen eingerichtet haben. Mögliche Folgen: horrende Telefonkosten.

Teure Rufumleitungen in der FritzBox

Laut AVM passiert beim Angriff folgendes: Die Hacker greifen von außen auf den Router zu und richten im Telefonmodul kostenpflichtige Mehrwertdienste wie teure 0900-Rufnummern ein. Wird über die FritzBox telefoniert, wählt die Box nicht direkt die Zielrufnummer, sondern leitet sie über teure Rufnummern der Mehrwertdienste um. Der Betreiber der Mehrwertdienste macht sich die Taschen voll, während die eigene Telefonrechnung in astronomische Höhen getrieben wird.

Der Angriff sei aber nur dann möglich, wenn der Angreifer die Kombination aus Mail-Adresse oder FritzBox-Benutzername, die IP-Adresse der FritzBox sowie die Kennwörter für den Fernzugang der FritzBox-Oberfläche verfügt. Das kann im Zusammenhang mit den 16 Millionen gestohlenen digitalen Identitäten durchaus möglich sein. Zwar ist der Zugriff von außen nur möglich, wenn der HTTPS-Fernzugriff (Port 443) oder der MyFritz-Dienst im Router aktiviert ist – allerdings haben die untersuchten Fälle anscheinend gezeigt, dass solche Zugriffe bereits erfolgt sind.

Was kann man tun?

Derzeit scheinen der Fernzugriff und der MyFritz-Dienst die Schwachstelle zu sein. AVM empfiehlt sicherheitshalber sofort die Passwörter für den Fernzugriff und MyFritz-Dienst zu ändern. Unsere Empfehlung: Wer auf Nummer sicher gehen möchte, sollte den Fernzugriff im Bereich „Internet | Freigaben“ der Fritz-Konfigurationsoberfläche komplett ausschalten. Hier sollte der Haken bei „Internetzugriff auf die FritzBox über HTTPS aktiviert“ entfernt werden. Dann kann garantiert niemand von außen auf die FritzBox zugreifen.

avm-fritzbox-sicherheitsluecke-warnung-hacker-angriff-fernzugriff

Im nächsten Schritt sollte man sicherheitshalber die Kennwörter aller FritzBox-Benutzer ändern. Das geht ganz einfach im Bereich „System | Fritz!Box-Benutzer“. Löschen Sie hier zunächst alle unbekannten Benutzer. Danach klicken Sie auf die Bearbeiten-Schaltfläche der Benutzer und vergeben ein neues Kennwort. Wer sicher gehen möchte, dass dieser Benutzer nicht übers Internet auf die FritzBox zugreifen kann, sollte das Häkchen bei „Zugang auch aus dem Internet erlauben“ deaktivieren.

avm-fritzbox-sicherheitsluecke-warnung-hacker-angriff-fernzugriff-4

Weitere Informationen und aktuelle Entwicklungen zur Sicherheitslücke liefert AVM auf der Seite Sicherheit mit AVM.

Bin ich betroffen?

Ob die eigene FritzBox bereits angegriffen und heimlich Rufnummern oder IP-Telefone installiert wurden, lässt sich in der Konfigurationsoberfläche leicht überprüfen. Dazu wechseln Sie in den Bereich „Telefonie | Telefoniegeräte“. Prüfen Sie hier, ob hier unbekannte IP-Telefone auftauchen, und löschen Sie diese umgehend.

avm-ip-telefone-pruefen

Danach werfen Sie einen Blick in den Bereich „Telefonie | Rufbehandlung“ und wechseln in die Registerkarte „Rufumleitung“. Wurde die FritzBox angegriffen, tauchen hier internationale Rufumleitungen auf. Löschen Sie diese über die X- bzw. Löschen-Schaltfläche. Anschließend ins Register „Callthrough“ wechseln und die Option „Callthrough aktivieren“ ausschalten.

avm-fritzbox-sicherheitsluecke-warnung-hacker-angriff-fernzugriff-2

Wer keine Auslandstelefonate führt, kann sicherheitshalber eine Rufsperre für internationale Auslandstelefonate einrichten. Dazu in den Bereich „Telefonie | Rufbehandlung“ wechseln, auf „Neue Rufsperre klicken“, den Bereich „Ausland“ auswählen und mit OK bestätigen.

avm-fritzbox-sicherheitsluecke-warnung-hacker-angriff-fernzugriff-3

Kategorien
Android Handy & Telefon

WhatsApp Sniffer: Fremde WhatsApp-Nachrichten im WLAN mitlesen und überwachen

Und wieder eine Sicherheitslücke. Diesmal betroffen: WhatsApp. Im App-Store Google Play gab es eine zeitlang den „WhatsApp Sniffer“, mit dem Sie im lokalen WLAN alle WhatsApp-Nachrichten anderer WhatsApp-Nutzer mitlesen können. In Google Play ist der WhatsApp Sniffer zwar verschwunden – über die Google-Suche gibt’s ihn aber immer noch.

Whats-App-Nachrichten unverschlüsselt mitlesen und abhören

Das Sicherheitsunternehmen G Data macht in einer aktuellen Pressemitteilung auf die WhatsApp-Sicherheitslücke aufmerksam. Die Sicherheitslücke ist allerdings nur auf das lokale WLAN beschränkt. Zuhause ist es kaum kritisch; anders sieht es in öffentlichen WLANs an Flughäfen oder in Restaurants. Eine Handvoll frei zugänglicher Werkzeuge reichen, um alle WhatsApp-Nachrichten aus diesem WLAN mitzulesen.

Der Hacker braucht dazu nur ein Smartphone mit Root-Rechten (Jailbreak), die Busybox und den WhatsApp Sniffer bzw. die WhatsApp-Sniffer-APK-Datei – alles eine simple Google-Suche frei erhältlich. Mit einem so ausgestatteten Schnüffel-Smartphone lassen sich alle Informationen mitlesen, die über WhatsApp innerhalb des WLANs über den Äther gehen: Chats, Fotos und Videos. Die Betroffenen bekommen davon nichts mit.

Anleitung für WhatsApp-Spionage? Nicht mit Google

Mittlerweile ist Google aktiv geworden und hat den WhatsApp Sniffer aus dem Google Play Store entfernt. Die APK-Datei gibt’s per Google-Suche aber weiterhin.

Was kann man tun? Bis WhatsApp eine neue Version mit gestopfter Sicherheitslücke herausbringt, sollten WhatsApp-User keine öffentlichen WLAN-Netzwerke nutzen, sondern die Datenverbindung ausschließlich über das Mobilfunknetz laufen lassen.

Update 2014: Mittlerweile hat WhatsApp die Sicherheitslücke geschlossen.

Kategorien
Beliebte Tipps Hardware & Software iPad Tipp des Tages

iPad Sicherheitslücke: Mit dem Smart Cover oder einem Magneten die Codesperre umgehen (Video)

Mit dem neuen iOS 5 hat Apple die iOS-Geräte nicht nur mit neuen Funktionen, sondern auch mit einigen Sicherheitslücken versehen. Nach der Siri-Sicherheitslücke beim iPhone (wir berichteten), gibt es auch beim iPad 2 eine Sicherheitspanne. Mit dem SmartCover oder einem Magneten lässt sich ganz einfach die Codesperre aushebeln.

Codesperre knacken? Kein Problem für’s Smart Cover

Offenbar hat Apple die iOS-Version 5 mit der heißen Nadel gestrickt. Denn so einfach umgehen Sie mit dem Magnet-/SmartCover-Trick die Codesperre beim iPad:

1. Sobald das iPad per Code gesperrt ist, drücken Sie so lange auf den Ein-/Ausschalten-Knopf, bis der Dialog zum Ausschalten erscheint. Wichtig: Schieben Sie aber nicht den „Ausschalten“-Slider nach rechts.

2. Jetzt schließen Sie das SmartCover an und decken das iPad damit einmal zu.

3. Danach öffnen Sie das SmartCover wieder und tippen auf „Abbrechen“.

Und voilá – schon haben Sie die Codesperre umgangen und können auf den Home-Bildschirm oder die zuletzt aktive Apps und Programme zugreifen. Per Doppelklick auf die Hometaste sehen Sie sogar, welche Apps im Hintergrund laufen.

Kein komplettes Entsperren mit dem SmartCover-Trick

Eine Beschränkung gibt es aber doch beim Smartcover-Trick: Trotz Umgehung der Sperre mithilfe des SmartCovers (im Prinzip reicht auch ein simpler Magnet; es muss nicht unbedingt das Original-App-SmartCover sein) können Sie in der so entsperrten Variante keine Apps starten. Aber immerhin kann man sehen, mit welcher App der User zuletzt gearbeitet hat, welche Apps sonst noch installiert sind oder was im Hintergrund aktiv ist. Vermutlich wird Apple den Bug und die Sicherheitslücke mit einem der nächsten iOS-Updates schließen.

Der iPad-Hack im Video

Wie die SmartCover-Sicherheitslücke beim iPad funktioniert, zeigt das folgende Video aus unserem YouTube-Channel. Hier sehen Sie noch einmal im Detail, welche Schritte notwendig sind, um ein gesperrtes iPad teilweise zu entsperren: