Kategorien
Hardware & Software Windows 10 Windows 7 Windows 8 Windows 8.1 Windows 9 Windows 98 Windows Vista Windows XP

Microsoft ignoriert eine Schwachstelle seit 18 Jahren

In allen Windows Betriebssystemen, einschließlich dem neuen Windows 10 existiert die gleiche Sicherheitslücke seit nunmehr mindestens 18 Jahren. Wiederentdeckt wurde die Schwachstelle Redirect to SMB von der Firma Cylance.

sicherheitsleck-windows-alle-versionen-seit-1997-bekannt-bug-redirect-to-smb-server

Bereits im Jahr 1997 wurde der Bug von Aaron Spangler entdeckt und entsprechend beschrieben.

redirect-to-smb-bug-aaron-spangler-entdeckt-win95-1997-umleitung-man-in-the-middle-angriff

Erst 2009 bestätigte Microsoft diese Sicherheitslücke.

Lauschangriff per Man-in-the-Middle-Methode

Angreifer können durch diese Lücke Teile des Datentransfers von Netzwerken auf SMB-Server (Server Message Block) umleiten. Dies kann zum Beispiel dann geschehen, wenn ein Nutzer oder eine Software nach Updates sucht. Hiervon ist sogar die Updatefunktion verschiedener Antivirenprogramme betroffen.

Mit einem Man-in-the-Middle-Angriff wird diese http-Verbindung umgeleitet, damit Zugangsdaten abgefangen und somit der betreffende User identifiziert werden kann.

Gewollte Sicherheitslücke?

Doch statt ein entsprechendes Sicherheitsupdate bereit zu stellen, verweist Microsoft lapidar darauf, auf unbekannten Webseiten keine Zugangsdaten einzugeben und regelmäßig die Passwörter zu wechseln.

Verschwörungstheoretiker könnten bei diesem Verhalten eine sehr starke Zusammenarbeit mit amerikanischen Geheimdiensten vermuten. Jedenfalls sieht das nicht gerade danach aus, die Sicherheitslücke zukünftig schließen zu wollen.

Gegenmaßnahmen

Als Gegenmaßnahme, bis die Lücke geschlossen ist, rät Cylance die von SMB verwendeten Ports TCP 139 sowie 445 per Firewall für ausgehende Verbindungen zu blockieren.

cert-institute-rat-ntlm-nicht-nutzen-kerberos-sicherer-alternative-gruppenrichtlinien-anpassen-avg-antiviren-software-betroffen-smb

Cert rät zusätzlich, die Gruppenrichtlinien für NTLMv2, dem Authentifizierungsverfahren für SMB-Server, entsprechend anzupassen oder direkt auf das sicherere Kerberos umzusteigen.

Kategorien
Chrome Internet & Medien

Chrome-Spionage: Verhindern, dass Webseiten heimlich das Mikrofon abhören

Eigentlich ist die Spracherkennung von Google Chrome eine feine Sache. Bei der Google-Suche zum Beispiel. Wer auf Google.de rechts rechts im Eingabefeld auf das Mikrofon klickt, muss den Suchbegriff nur noch ins Mikro sprechen, und schon startet die Suche. Ganz ohne Tipperei. Das funktioniert nicht nur bei der Google-Suche. Im Prinzip kann jede Webseite das Mikrofon abhören. Zwar muss vorher im Erlaubnis gefragt werden, allerdings wird man dann mitunter belauscht, ohne dass man es mitbekommt. Wer das nicht möchte, sollte genau prüfen, wer wann das Mikrofon abhören kann.

Wer hört mit?

Standardmäßig ist das Abhören des Mikrofons nur bei der Google-Suche gestattet. Und funktioniert folgendermaßen: Wenn Sie auf der Google-Suchseite auf das Mikrofon-Icon klicken, startet sofort die Spracherkennung. Sie müssen nur noch den Suchbegriff nennen, um direkt die Trefferliste anzuzeigen. Während der Spracherkennung erscheint in der Registerkarte ein roter Punkt und zeigt an, dass das Mikrofon abgehört wird.

chrome-mikrofon-abhoeren-abschalten-2 chrome-mikrofon-abhoeren-abschalten

Auch andere Webseiten können das Mikrofon abhören. Zwar ist das Belauschen erst möglich, wenn Sie dazu einmalig die Erlaubnis erteilt haben. Wer die Frage „xyz möchte Ihr Mikrofon verwenden“ mit „Zulassen“ beantwortet, erteilt damit der jeweiligen Webseite den uneingeschränkten Zugriff aufs Mikrofon. Das bedeutet: Alles, was Sie vor dem Rechner sagen, wird aufgezeichnet und an den Betreiber der Webseite geschickt. Meist wird das Gesagte auf bestimmte Stichwörter untersucht, um dann Aktionen auszuführen, etwa um eine ToDo-Liste anzulegen.

chrome-mikrofon-abhoeren-abschalten-3

Der Komfort das Spracherkennung birgt allerdings auch Gefahren. Denn ab sofort kann die komplette Seite auf Kamera und Mikrofon zugreifen und die Spracherkennung missbrauchen. Eigentlich zeigt das rote Icon im Tab ja an, dass eine Aufnahme läuft. Allerdings könnte der Betreiber auch ein verstecktes PopUnder-Fenster einblenden und die Aufnahme heimlich vornehmen. Das dies keine Theorie ist, sondern in der Praxis funktioniert, zeigt das folgende Video. Hier wird anschaulich demonstriert, wie das heimliche und unbemerkte Abhören des Mikrofons funktioniert:

Mikrofon abschalten und Lauschangriffe unterbinden

Was kann man dagegen tun? Wer nicht belauscht werden möchte, sollte in den Chrome-Einstellungen prüfen ob und welche Webseiten auf das Mikro und die Kamera zugreifen dürfen. Dazu rufen Sie in Chrome die Seite

chrome://settings/contentExceptions#media-stream

auf. Hier sind alle Webseiten und Apps aufgeführt, die das Mikrofon oder die Kamera abhören dürfen. Mit dem X auf der rechten Seite lassen sich die Zugriffsrechte wieder entfernen. Nicht vergessen: unten rechts auf „Fertig“ klicken, um die Änderungen zu speichern.

chrome-mikrofon-abhoeren-abschalten-4

Um zukünftige Zugriffe auf Kamera und Mikro zu verhindern, rufen Sie anschließend die Seite chrome://settings/content auf, und blättern nach unten zum Bereich „Medien“. Hier wählen Sie die Option „Websites dürfen nicht auf meine Kamera und mein Mikrofon zugreifen“ und speichern die Einstellung mit „Fertig“. Prüfen Sie mit einem Klick auf „Ausnahmen“ ob und welche Ausnahmen festgelegt sind, und löschen Sie dort alle unerwünschten Einträge.

chrome-mikrofon-abhoeren-abschalten-5

Mit einem Klick auf „Ändern“ neben „Unterschiedliche Einstellungen für Adobe Flash Player-Kamera und -Mikrofon sollte man auch gleich prüfen, ob der Adobe Flash Player auf Kamera und Webseite zugreifen darf. Nach dem Klick geht’s zur Seite www.macromedia.com/support/documentation/de/flashplayer/help/settings_manager02.html, auf der Sie festlegen, ob Flash-Apps zuerst fragen, oder ob der Zugriff generell verboten („Immer verweigern“) werden soll.

chrome-mikrofon-abhoeren-abschalten-6

Kategorien
Hardware & Software Office Outlook

Mozilla Thunderbird: Automatische Verschlüsselung von Nachrichten

Die Verschlüsselung von E-Mails wird immer wichtiger. Nicht nur Firmen sichern so Ihren E-Mail-Verkehr, auch immer mehr Privatanwender nutzen Verschlüsselungsprogramme. Aber hier ist guter Rat teuer, weil das Angebot sehr unübersichtlich ist. Eine gute, sowie kostenlose Lösung bietet der Mozilla Thunderbird in Verbindung mit dem Add-on „Enigmail“.

Zwei Zusatz-Programme sind nötig

Die Erweiterung „Enigmail“ nutzt das Verschlüsselungs-Tool „GPG4Win“, dessen Herstellung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veranlasst wurde. Es unterstützt die kryptografischen Standards „OpenPGP“ und „S/MIME (X.509)„.

Um den E-Mail-Versand mit dem Thunderbird zu verschlüsseln, müssen erst diese zwei Programme heruntergeladen und installiert werden. Danach wird ein Sicherheitsschlüssel erstellt, der dann die Sicherheit herstellt. Zudem kann man bei der Einrichtung entscheiden, ob generell alle E-Mails automatisch verschlüsselt werden sollen oder nicht.

Zugegeben, das hört sich kompliziert an, ist aber mit unserer Schritt-für-Schritt-Anleitung schnell erledigt. Außerdem hilft ein komfortabler „OpenPGP“-Einrichtungs-Assistent den Sicherheitsschlüssel zu erstellen. Aber der ganze Aufwand lohnt sich auf jeden Fall!

Download und Installation von GPG4Win

Zuerst muss das Verschlüsselungs-Tool „GPG4Win“ auf Ihren Computer heruntergeladen und installiert werden. Rufen Sie die Webseite www.gpg4win.de auf und klicken Sie auf den grünen Download-Button.

bild-1-mozilla-thunderbird-tb-erweiterung-tool-gpg4win-installieren-kostenlos-email-verschlüsseln-download-enigmail-sicher-schlüsselpaar-erstellen-exportieren

Auf der nachfolgenden Seite wählen Sie die benötigte Version aus. Wir empfehlen die Vollversion. Folgen Sie danach den Download- und Installationsanweisungen.

bild-4-thunderbird-verschlüsselung-sicher-schnüffeln-openpgp-gpg4win-download-herunterladen-kostenlos

Während der Installation werden zusätzliche Komponenten installiert, die die Verwaltung von Sicherheitsschlüsseln, die nicht über „Enigmail“ kommen, ermöglicht.

bild-2-weitere-komponenten-andere-verwaltung-sicherheit-schlüssel-verwalten-erforderlich-nötig-thunderbird-enigmail

Im letzten Installationsschritt aktivieren Sie zusätzlich die Option „Wurzelzertifikate festgelegt oder Konfiguration überspringen“.

Download und Installation des Add-ons „Enigmail“

Starten Sie nun den Mozilla Thunderbird und öffnen Sie mit „Extras | Add-ons“ den Add-ons-Manager. Geben Sie dann oben rechts in das Suchfeld „enigmail“ ein und klicken Sie auf das Lupen-Symbol. Die benötigte Erweiterung erscheint in der Ergebnisliste an erster Stelle. Mit der Schaltfläche „Installieren“ fügen Sie das Add-on dem Thunderbird hinzu. Ein anschließender Neustart aktiviert „Enigmail“.

bild-3-installieren-thunderbird-addon-erweiterung-enigmail-installieren-download-neustart-erforderlich-gnupg

Eigenes Schlüsselpaar erzeugen

Die Menüleiste wurde nun um einen Menüpunkt, „OpenPGP“ erweitert. Klicken Sie auf „OpenPGP | OpenPGP-Assistent“ um das Schlüsselpaar zu erzeugen.

bild-5-gpg4win-schlüsselpaar-erstellen-open-assistent-anlegen-exportieren

Im Verlauf der Erstellung werden Sie zunächst gefragt, ob der Schlüssel für alle E-Mail-Accounts oder nur für ausgewählte E-Mail-Adressen gelten soll. In diesem Beispiel gilt der Schlüssel nur für ein Konto. Danach müssen noch entscheiden, ob alle Nachrichten der/des ausgewählten E-Mail-Konten verschlüsselt werden sollen.

bild-6-unterschreiben-selber-festlegen-alle-emails-empfängerregel-standard-abgehend-nachricht

Entscheiden Sie sich gegen die generelle Verschlüsselung, wie in unserem Beispiel, dann können Sie zu einem späteren Zeitpunkt eine Regel festlegen, welcher Empfänger die verschlüsselten Mails bekommt. Legen Sie keine Regel fest, dann verschlüsseln Sie einfach nach Bedarf.

Im letzten Schritt legen Sie ein Passwort für den privaten Schlüssel fest. Mit „Weiter“ speichern Sie das Schlüsselpaar in einem beliebigen Ordner.

bild-7-schlüsselpaar-erstellen-benutzer-id-passphrase-unterschreiben-digital-verschlüsselt-öffentlicher-schlüssel

Öffentlicher und privater Schlüssel

Das so erzeugte Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel ist zur Weitergabe an Ihre Kommunikationspartner vorgesehen. Sie können auch auf spezielle Schlüsselserver hochgeladen werden. Der private Schlüssel sorgt dafür, dass Sie eingehende, verschlüsselte Nachrichten mit Ihrem Passwort lesbar machen können.

Verschlüsselung einer E-Mail

Die Verschlüsselung von Nachrichten erfolgt im automatisch im Hintergrund wenn die benötigten Schlüssel der Kommunikationspartner vorliegen. Möchten Sie eine verschlüsselte Nachricht an einen Empfänger senden, der Ihren Schlüssel noch nicht vorliegen hat, dann können Sie Ihren öffentlichen Schlüssel an die E-Mail anhängen.

Erstellen Sie Ihre E-Mail wie gewohnt. Vor dem Senden klicken Sie in der Menüleiste der neuen Nachricht auf „OpenPGP“ und aktivieren im Kontextmenü folgende Optionen:

  • Nachricht unterschreiben
  • Nachricht verschlüsseln
  • Meinen öffentlichen Schlüssel anhängen

bild-8-email-thunderbird-nachricht-unterschreiben-erstellen-verschlüsseln-öffentlich-schlüssel-anhängen

Mit dem Button „Senden“ öffnet sich das Dialogfenster „OpenPGP-Schlüssel auswählen“. Wählen Sie den entsprechenden Schlüssel aus und bestätigen Sie mit „OK“.

bild-10-schlüssel-auswählen-anhängen-empfängerregel-erstellen-möchlich-öffentlich

Die Schaltfläche „Empfängerregeln erstellen“ ermöglicht gleichzeitig eine automatisierte Verschlüsselung von Nachrichten an diesen Empfänger.

bild-11-regel-thunderbird-email-nachricht-adresse-erstellen-verschlüsselung-openpgp-enigmail

Wird die verschlüsselte Nachricht ohne Sicherheitsschlüssel geöffnet…

bild-9-verschlüsselte-nachricht-anhang-schlüsselpaar-öffentlich-privat-gnupg-openpgp

…dann ist nur ein Wirrwarr an Buchstaben und Zeichen zu sehen. Der Empfänger benötigt dann nur noch seinen eigenen privaten Schlüssel um die E-Mail wieder lesbar zu machen.