Suchmaschine für gehackte Passwörter

Die bis­he­ri­gen Angebote zur Identifizierung gehack­ter Webaccounts funk­tio­nier­ten auf Basis der benutz­ten Email-Adresse. Seit kur­zem ist nun ein neu­er Service des Anbieters HaveIbeenpawned online. Eine Datenbank mit mehr als 306 Millionen (306 000 000) Einträgen gibt Auskunft, ob das eige­ne Lieblingspasswort kom­pro­mit­tiert ist.

Gehackte Accounts und deren Passwörter fin­den schnell Einzug in die Datenbanken von Knacksoftware, die zum auto­ma­ti­sier­ten Angriff und Hacking von Nutzeraccounts (z.B. über Wörterbuch- und Brute-Force-Attacken) genutzt wer­den. Ärgerlich, wenn das eige­ne Passwort dar­in vor­kommt.

Vorsichtige Administratoren las­sen sol­che “bekann­ten” und somit unsi­che­re Passwörter erst gar nicht zur Auswahl durch den Nutzer bei Neuanlage eines Passworts in ihrem Netzwerk zu. Eine ent­spre­chen­de API stellt der Anbieter des Prüfservices, Troy Hunt gleich zur Einbindung bereit.

Wollen Sie nun Ihr eige­nes Lieblingspasswort über­prü­fen, ob die­ses noch sicher ist? Oder Ihren Passwortpool? Dann besu­chen Sie den Service online und füh­ren die Überprüfung Ihres Passworts durch.

Fritz!Box — der Spion im eigenen Haus

Wer sich mit dem Thema Hacking zum ersten Mal befasst, stößt schnell auf Beiträge zu Tools wie nmap, Wireshark oder gleich das fer­tig kon­fi­gu­rier­ter Hacking-Betriebssystem zum Download Kali-Linux. Doch dabei muss man eigent­lich gar nicht so tief in die Materie ein­drin­gen, steht der Sniffer zum Datenschnüffeln doch bereits in vie­len Haushalten und Organisationen zum Einsatz bereit. Die Rede ist von der AVM Fritz!Box!

Glauben Sie nicht? Sie haben eine Fritz!Box in Ihrem Netzwerk? Dann rufen Sie doch ein­fach mal die fol­gen­de URL auf — http://fritz.box/html/capture.html und stau­nen Sie. Zuerst sieht alles aus wie die nor­ma­le Anmelde-Oberfläche für das Konfigurationsinterface Ihrer Fritz!Box. Sobald Sie sich mit Administrator-Rechten in dem Login ange­mel­det haben, erscheint eine nicht im Anwender-Handbuch der Fritz!Box beschrie­be­ne Funktion samt Oberfläche. Willkommen beim inter­nen Schnüffeltool für Ihr Netzwerk!

Screenshot der Capture-Oberfläche der Fritz!Box

Screenshot Capture Oberfläche der Fritz!Box

Jetzt wäh­len Sie nur noch die Schnittstelle aus (die Auswahlmöglichkeiten enden nicht mit die­sem Screenshot, scrol­len Sie ein­fach mal wei­ter nach unten) und drücken den “Start”-Button. Wenn Sie der Meinung sind, genü­gend Informationen an die­ser Schnittstelle mit­ge­schnit­ten zu haben, klicken Sie auf “Stopp” und laden den Mitschnitt auf Ihr Endgerät her­un­ter. Nun reicht ein nor­ma­ler Textbetrachter — oder kom­for­ta­bler der Import in ein Tool wie Wireshark — und Sie haben die kom­plet­te Netzwerkkommunikation im Klartext vor sich — inklu­si­ve genutz­ter Zugangsdaten und Passwörter. Im Klartext, sofern kei­ne ver­schlüs­sel­ten Netzwerkverbindungen wie https oder ande­re für die Übertragung genutzt wur­den. Zahlreiche Programme und Apps, aber auch nicht sen­si­bi­li­sier­te Anwender über­tra­gen Daten unver­schlüs­selt über das Netzwerk. Nutzern soll­te man stets raten, aus­schließ­lich https-gesicherte Verbindungen im Browser zu nut­zen.

Geht nur mit den gro­ßen Fritz!Boxen von AVM? EIn Trugschluss. Wir haben meh­re­re Modelle begin­nend von der 4020 (ohne DSL Modem) bis hin zur 7490 gete­stet, es geht!

Glauben Sie nicht? Machen Sie doch ein­fach selbst den Test. Aktivieren Sie das Mitschneiden wie oben beschrie­ben an der Schnittstelle, an der Sie mit Ihrem aktu­el­len Gerät ange­schlos­sen sind. Öffnen Sie wei­te­re Browserfenster, sur­fen Sie ein wenig, nut­zen Sie Anmelde- oder Registrierungsformulare. Dann zurück zur Fritz!Box-Oberfläche, Stopp, Download und Textbetrachter anwer­fen.

Normalerweise kann die Funktion nur von inner­halb eines Netzwerks auf­ge­ru­fen wer­den. Sollte jedoch der Web-Zugang zu Ihrer Fritz!Box akti­viert und unsi­cher sein oder ein VPN-Zugang in Ihr inter­nes Netz kom­pro­mit­tiert sein, dann steht die Anmelde-Oberfläche auch ande­ren, eher uner­wünsch­ten Nutzern zur Verfügung. Eigentlich selbst­ver­ständ­lich, die Anmelde-Oberfläche der Fritz!Box mit einem star­ken Passwort zu sichern.

Eigentlich ist die­se Funktion zur Fehleranalyse inte­griert. Wie so oft bei sol­chen Funktionen, kann die­se jedoch auch zu bös­ar­ti­gen Zwecken genutzt wer­den. Sobald Zugang zur Oberfläche der Fritz!Box besteht, ist ein Mitschneiden des Datenverkehrs ALLER ange­schlos­se­nen Geräte mög­lich.

Wer sich nun frisch ans Werk macht, egal ob in sei­ner Behörde, sei­nem Unternehmen oder daheim im Privatnetzwerk, dem sei der Blick auf die Paragraphen 202a, 202b, 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 303a sowie 303b Strafgesetzbuch nahe­ge­legt. Es han­delt sich hier um kein Kavaliersdelikt, son­dern um eine Straftat. Und das gilt auch für den Einsatz im hei­mi­schen pri­va­ten Netzwerk ohne Kenntnis der ande­ren Familienmitglieder / Nutzer. Auch im dienst­li­chen / geschäft­li­chen Umfeld soll­te der Einsatz zuvor mit der Behörden-/Unternehmensleitung, sowie dem Personal-/Betriebsrat und dem Datenschutz- sowie dem Informationssicherheitsbeauftragten abge­klärt wer­den. Der Einsatz durch einen Mitarbeiter außer­halb der IT und ohne Abstimmung ver­bie­tet sich von selbst.

Handlungsbedarf für Owncloud- und Nextcloud-Betreiber — kritische Sicherheitslücke

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktu­el­len Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kri­ti­schen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind poten­ti­ell ver­wund­bar. Betroffen sind u.a. gro­ße und mit­tel­stän­di­sche Unternehmen, öffent­li­che und kom­mu­na­le Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und pri­va­te Nutzer.

Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hin­ge­wie­sen. Sehr viel ist seit­her nicht pas­siert, wie man der aktu­el­len Meldung ent­neh­men kann. Lediglich ein Fünftel der infor­mie­ren Einrichtungen hat reagiert und die Schwachstelle geschlos­sen.

Ob die eige­ne Cloud-Installation betrof­fen ist, kann mit dem Security-Scanner von Nextcloud online geprüft wer­den. Der BSI-Präsident redet nicht um den hei­ßen Brei her­um:

Der Betrieb von Clouds mit ver­al­te­ten Software-Versionen, für die bereits seit lan­ger Zeit Updates der Hersteller bereit­ste­hen, ist fahr­läs­sig und macht es Kriminellen viel zu leicht, sen­si­ble Daten zu steh­len oder Geschäftsprozesse zu beein­flus­sen.”

Sollten Sie in Ihrer Organisation oder pri­vat eine Instanz von Owncloud oder Nextcloud betrei­ben, so prü­fen Sie bit­te zeit­nah unter dem og. Link oder mit­tels des Owncloud Vulnerability Scanners, ob Ihre Installation betrof­fen ist. Generell soll­te eine regel­mä­ßi­ge Prüfung auf Updates und deren Installation selbst­ver­ständ­lich und ein fester wie­der­keh­ren­der Termin im Kalender sein.

Wie sicher ist Ihre Bank?

Ja, ich bin beken­nen­der Nutzer von Online-Banking. Nein, ich sehe da kei­nen Widerspruch zum Thema Sicherheit. Das mag man­cher für blau­äu­gig hal­ten, jedoch gibt es durch­aus eini­ge Schutzmaßnahmen, die zum Thema Sicherheit bei­tra­gen:

  • Nutzung nur von Endgeräten mit aktu­el­len Patches, Sicherheitsfixes, Updates und natür­lich akti­vem und aktu­el­lem Virenscanner
  • Nutzung (und Kontrolle bei jeder Nutzung) von ver­schlüs­sel­ten Verbindungen im Browser zum Banking-Portal
  • Kein Online Banking über öffent­li­che Hot Spots
  • Trennung von Banking App und TAN Generator auf ver­schie­de­nen Endgeräten
  • und vie­le mehr.

Doch was nützt es, wenn die­se Maßnahmen durch bana­le Dinge unter­lau­fen wer­den?

Meine Nachricht an die Bank vom 11.08.2016:

Sehr geehr­te Damen und Herren! Es ist sehr unglück­lich, dass bei der SMS TAN die TAN direkt zu Beginn der Nachricht steht. Auf einem iPho­ne wird bei akti­vier­ter SMS Anzeige im Sperrbildschirm somit jedem die TAN ange­zeigt, der das Gerät in den Händen hält. Das hebelt den eigent­li­chen Schutz ja wie­der aus.”

bank1

Ich war etwas über­rascht, mei­ne Bank reagier­te noch am sel­ben Tag:

Sehr geehr­ter Herr Kuhrau,

vie­len Dank für Ihre Nachricht.

Sie haben eine Frage zum mTAN-Verfahren, die wir Ihnen ger­ne beant­wor­ten. bei Smartphones mit dem Betriebssystem iOS oder Android haben Sie die Möglichkeit, die Anzeige der Nachrichten im Sperrbildschirm aus­zu­blen­den. Somit wird Ihnen ange­zeigt, von wem Sie eine Nachricht erhal­ten haben aller­dings ohne den Inhalt der Nachricht.

Bei wei­te­ren Fragen sind wir ger­ne Ihr Ansprechpartner. Sie errei­chen unse­re Kundenbetreuung Montag bis Samstag von 07:00 bis 22:00 Uhr tele­fo­nisch unter xxx-xxxxxxxx. Bitte hal­ten Sie für Ihren Anruf Ihre Kundennummer und Ihre Telefon-PIN bereit.
Gerne kön­nen Sie uns direkt auf elek­tro­ni­schem Weg auf die­ses Schreiben ant­wor­ten. Wählen Sie hier­für bit­te unter dem Menüpunkt »Aktion« das Feld »Antworten«.

Mit freund­li­chen Grüßen
Ihre Bank”

bank2

Das hat mich dann nun doch etwas erstaunt. Von einem ande­ren Kreditinstitut weiß ich, dass die­se dort auch auf­ge­tre­te­ne “Sicherheitslücke” mit weni­gen Klicks sei­tens der Bank beho­ben wur­de. Diese Bank sieht das etwas anders. “Schalten Sie doch ein­fach eine Standardfunktion ihres Telefons aus, dann müs­sen wir uns nicht mit die­sem Problem rum­schla­gen!”, zumin­dest war das mein Empfinden.

Unbeirrt und zuver­sicht­lich habe ich noch mal freund­lich nach­ge­hakt:

Hallo! Danke für die schnel­le Antwort. Ja, die Funktion ist mir bekannt. Stellt sich die Frage, was ist siche­rer: dar­auf zu hof­fen, dass Ihre Kunden mit SMS TAN die Benachrichtigung für den Sperrbildschirm aus­schal­ten (womit auch alle ande­ren Infos und Nachrichten weg­fal­len, was eine erheb­li­che Einschränkung der mensch­li­chen Komfortzone bedeu­tet — in der Praxis wis­sen wir, wie das aus­geht 🙂 ) oder von Ihrer Seite aus (wie ande­re Bankinstitute es bereits machen) den Platzhalter für die TAN in der SMS Maske ein­fach ans Ende in der Textvorlage ver­schie­ben?”

bank3

Klar, die Benachrichtigungen kön­nen im Sperrbildschirm deak­ti­viert wer­den. In die­sem Fall dann für alle SMS (eine Filtermöglichkeit ist mir nicht bekannt). Für eini­ge Anwender ist SMS eh “old school”, von daher wäre die Deaktivierung für sie zu ver­schmer­zen. Doch gera­de die “old school”-Generation abseits von Apps und Whatsapp tut sich damit sicher schwer. Hinzu kommt, dass nicht jeder Nutzer so firm ist, dass er weiß, wo und wie er die­se Nachrichten abstellt.

Nun, Antwort bis­her kei­ne. Ich hal­te Sie auf dem Laufenden.

Wie hält es Ihre Bank mit der Sicherheit von SMS TAN?

Kryptotrojaner mit Wurmfunktion gesichtet

Es war nur eine Frage der Zeit, jetzt ist es also soweit. Microsoft warnt vor einem neu­en Kryptotrojaner namens ZCryptor. Dieser nimmt sich Dateien mit über 80 Dateiendungen vor. Besonders unan­ge­nehm: zusätz­lich nistet sich ZCryptor in die Autostart-Routinen ein­ge­steck­ter USB-Sticks und USB-Laufwerke ein. Somit kann sich der Trojaner bei Nutzung die­ser Speicher an ande­ren Geräten auf die­se Systeme eben­falls ver­brei­ten.

Einen Befall erken­nen Sie an der Dateiendung .zcrypt. Aktuell ist noch kein Tool zum Entschlüsseln ver­füg­bar. Betroffen sind aus­schließ­lich Windows-Systeme. Wer es bis­her noch nicht getan hat, soll­te spä­te­stens jetzt sei­ne Backup-Strategie prü­fen und anpas­sen. Und bit­te nicht ver­ges­sen, Recovery-Tests durch­zu­füh­ren. Das beste Backup hilft nichts, wenn es sich spä­ter nicht wie­der­her­stel­len läßt. Erfolgsprotokolle der Backup-Software sind allei­ne nicht aus­rei­chend.

Wenn Sie mehr über ZCryptor erfah­ren wol­len, Microsoft hat eine Beschreibung dazu online (exter­ner Link) gestellt.

Schutz vor Krypto-Trojanern für Mac OS X: RansomWhere?

Ein Tool namens RansomWhere? soll unter Mac OS X vor Krypto-Trojanern schüt­zen. Das Prinzip dahin­ter ist ziem­lich ein­fach. Laufende Prozesse wer­den über­wacht und sobald eine Verschlüsselungsaktivität erkannt wird, der dazu­ge­hö­ri­ge Prozess ange­hal­ten. Es erscheint eine Nutzeranfrage, ob der Prozess wei­ter­ge­führt wer­den soll. Dazu wer­den wei­te­re Angaben in der Anzeige, die eine Einschätzung zulas­sen sol­len, ob es erwünsch­ter Prozess mit Verschlüsselung ist oder nicht. Der Anwender erteilt dem Prozess dann auf Wunsch die not­wen­di­gen Rechte zum Weiterarbeiten.

Zwar ist Mac OS zur Zeit nur sehr gering dem Risiko eines Befalls durch Krypto-Trojaner aus­ge­setzt, des­we­gen kön­nen ent­spre­chen­de Schutzmaßnahmen zur Abwehr nicht scha­den.

Link zum Tool und sei­ner tech­ni­schen Beschreibung