Beiträge

Suchmaschine für gehackte Passwörter

Die bis­he­ri­gen Angebote zur Identifizierung gehack­ter Webaccounts funk­tio­nier­ten auf Basis der benutz­ten Email-Adresse. Seit kur­zem ist nun ein neu­er Service des Anbieters HaveIbeenpawned online. Eine Datenbank mit mehr als 306 Millionen (306 000 000) Einträgen gibt Auskunft, ob das eige­ne Lieblingspasswort kom­pro­mit­tiert ist.

Gehackte Accounts und deren Passwörter fin­den schnell Einzug in die Datenbanken von Knacksoftware, die zum auto­ma­ti­sier­ten Angriff und Hacking von Nutzeraccounts (z.B. über Wörterbuch- und Brute-Force-Attacken) genutzt wer­den. Ärgerlich, wenn das eige­ne Passwort dar­in vor­kommt.

Vorsichtige Administratoren las­sen sol­che “bekann­ten” und somit unsi­che­re Passwörter erst gar nicht zur Auswahl durch den Nutzer bei Neuanlage eines Passworts in ihrem Netzwerk zu. Eine ent­spre­chen­de API stellt der Anbieter des Prüfservices, Troy Hunt gleich zur Einbindung bereit.

Wollen Sie nun Ihr eige­nes Lieblingspasswort über­prü­fen, ob die­ses noch sicher ist? Oder Ihren Passwortpool? Dann besu­chen Sie den Service online und füh­ren die Überprüfung Ihres Passworts durch.

Fritz!Box — der Spion im eigenen Haus

Wer sich mit dem Thema Hacking zum ersten Mal befasst, stößt schnell auf Beiträge zu Tools wie nmap, Wireshark oder gleich das fer­tig kon­fi­gu­rier­ter Hacking-Betriebssystem zum Download Kali-Linux. Doch dabei muss man eigent­lich gar nicht so tief in die Materie ein­drin­gen, steht der Sniffer zum Datenschnüffeln doch bereits in vie­len Haushalten und Organisationen zum Einsatz bereit. Die Rede ist von der AVM Fritz!Box!

Glauben Sie nicht? Sie haben eine Fritz!Box in Ihrem Netzwerk? Dann rufen Sie doch ein­fach mal die fol­gen­de URL auf — http://fritz.box/html/capture.html und stau­nen Sie. Zuerst sieht alles aus wie die nor­ma­le Anmelde-Oberfläche für das Konfigurationsinterface Ihrer Fritz!Box. Sobald Sie sich mit Administrator-Rechten in dem Login ange­mel­det haben, erscheint eine nicht im Anwender-Handbuch der Fritz!Box beschrie­be­ne Funktion samt Oberfläche. Willkommen beim inter­nen Schnüffeltool für Ihr Netzwerk!

Screenshot der Capture-Oberfläche der Fritz!Box

Screenshot Capture Oberfläche der Fritz!Box

Jetzt wäh­len Sie nur noch die Schnittstelle aus (die Auswahlmöglichkeiten enden nicht mit die­sem Screenshot, scrol­len Sie ein­fach mal wei­ter nach unten) und drücken den “Start”-Button. Wenn Sie der Meinung sind, genü­gend Informationen an die­ser Schnittstelle mit­ge­schnit­ten zu haben, klicken Sie auf “Stopp” und laden den Mitschnitt auf Ihr Endgerät her­un­ter. Nun reicht ein nor­ma­ler Textbetrachter — oder kom­for­ta­bler der Import in ein Tool wie Wireshark — und Sie haben die kom­plet­te Netzwerkkommunikation im Klartext vor sich — inklu­si­ve genutz­ter Zugangsdaten und Passwörter. Im Klartext, sofern kei­ne ver­schlüs­sel­ten Netzwerkverbindungen wie https oder ande­re für die Übertragung genutzt wur­den. Zahlreiche Programme und Apps, aber auch nicht sen­si­bi­li­sier­te Anwender über­tra­gen Daten unver­schlüs­selt über das Netzwerk. Nutzern soll­te man stets raten, aus­schließ­lich https-gesicherte Verbindungen im Browser zu nut­zen.

Geht nur mit den gro­ßen Fritz!Boxen von AVM? EIn Trugschluss. Wir haben meh­re­re Modelle begin­nend von der 4020 (ohne DSL Modem) bis hin zur 7490 gete­stet, es geht!

Glauben Sie nicht? Machen Sie doch ein­fach selbst den Test. Aktivieren Sie das Mitschneiden wie oben beschrie­ben an der Schnittstelle, an der Sie mit Ihrem aktu­el­len Gerät ange­schlos­sen sind. Öffnen Sie wei­te­re Browserfenster, sur­fen Sie ein wenig, nut­zen Sie Anmelde- oder Registrierungsformulare. Dann zurück zur Fritz!Box-Oberfläche, Stopp, Download und Textbetrachter anwer­fen.

Normalerweise kann die Funktion nur von inner­halb eines Netzwerks auf­ge­ru­fen wer­den. Sollte jedoch der Web-Zugang zu Ihrer Fritz!Box akti­viert und unsi­cher sein oder ein VPN-Zugang in Ihr inter­nes Netz kom­pro­mit­tiert sein, dann steht die Anmelde-Oberfläche auch ande­ren, eher uner­wünsch­ten Nutzern zur Verfügung. Eigentlich selbst­ver­ständ­lich, die Anmelde-Oberfläche der Fritz!Box mit einem star­ken Passwort zu sichern.

Eigentlich ist die­se Funktion zur Fehleranalyse inte­griert. Wie so oft bei sol­chen Funktionen, kann die­se jedoch auch zu bös­ar­ti­gen Zwecken genutzt wer­den. Sobald Zugang zur Oberfläche der Fritz!Box besteht, ist ein Mitschneiden des Datenverkehrs ALLER ange­schlos­se­nen Geräte mög­lich.

Wer sich nun frisch ans Werk macht, egal ob in sei­ner Behörde, sei­nem Unternehmen oder daheim im Privatnetzwerk, dem sei der Blick auf die Paragraphen 202a, 202b, 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 303a sowie 303b Strafgesetzbuch nahe­ge­legt. Es han­delt sich hier um kein Kavaliersdelikt, son­dern um eine Straftat. Und das gilt auch für den Einsatz im hei­mi­schen pri­va­ten Netzwerk ohne Kenntnis der ande­ren Familienmitglieder / Nutzer. Auch im dienst­li­chen / geschäft­li­chen Umfeld soll­te der Einsatz zuvor mit der Behörden-/Unternehmensleitung, sowie dem Personal-/Betriebsrat und dem Datenschutz- sowie dem Informationssicherheitsbeauftragten abge­klärt wer­den. Der Einsatz durch einen Mitarbeiter außer­halb der IT und ohne Abstimmung ver­bie­tet sich von selbst.

Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts für bayerische Kommunen gemäß Art. 8 BayEGovG

Die Arbeitshilfe unter­stützt baye­ri­sche Kommunen bei der Erstellung eines Konzepts für Informationssicherheit gemäß Artikel 8 des Gesetzes über die elek­tro­ni­sche Verwaltung in Bayern (BayEGovG). Dort wird gefor­dert, die Sicherheit der infor­ma­ti­ons­tech­ni­schen Systeme der Behörden durch ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen im Sinn des Artikels 7 des Bayerischen Datenschutzgesetzes sicher­zu­stel­len und die erfor­der­li­chen Informationssicherheitskonzepte zu erstel­len. Alle Kommunen in Bayern müs­sen bis zum 1. Januar 2018 den Nachweis füh­ren kön­nen, einen syste­ma­ti­schen Ansatz zur dau­er­haf­ten Gewährung der Informationssicherheit ein­ge­führt zu haben und auch zu betrei­ben.
Im Frühjahr 2017 wer­den für die Verantwortlichen in den Kommunen, die sich mit der Thematik Informationssicherheit aus­ein­an­der­set­zen müs­sen, Webinar-Angebote geplant. Eine Information über die Termine erfolgt geson­dert.

Die Arbeitshilfe wird in zwei Ausführungen zur Verfügung gestellt:

  • PDF Version zum Drucken ohne Anlagen
  • Arbeitsversion mit Anlagen als ZIP

Link zum Download http://www.bay-innovationsstiftung.de/index.php?id=80

Hilfestellung: Anzeige von Antwort-an Reply-to in Outlook

Oft kommt es vor, dass die soge­nann­te Antworten-an (oder Reply-to) Email-Adresse in einer Email von der unter “Von” ange­zeig­ten Email-Adresse abweicht. Dies muss nicht unbe­dingt gleich einen Phishing-Versuch dar­stel­len. Gelegentlich sind Abweichungen hier gewünscht, bei­spiels­wei­se um Antworten auf einen Newsletter in ein ande­res Postfach zur wei­te­ren Bearbeitung umzu­lei­ten. Jedoch kann eine Abweichung auch ein Indiz dafür sein, dass mit der besag­ten Email etwas nicht stimmt.

Bei eini­gen Email-Programmen wird die­ses Feld nicht auto­ma­tisch ange­zeigt und ist auch nicht ein­fach über einen Menüpunkt wie “Ansicht” oder “Darstellung” ein­zu­blen­den. Outlook ist so ein Kandidat. Da die­ser Email-Client jedoch recht weit ver­brei­tet ist, haben wir eine klei­ne Hilfestellung ver­fasst mit Text und Bebilderung. Anhand die­ser Anleitung kön­nen Sie die­se Anzeige selbst mit weni­gen Klick akti­vie­ren. Und in Zukunft zeigt Ihnen Ihr Outlook im Posteingang die Spalte “Antwort sen­den an” ohne wei­te­res Zutun an. Auf einen Blick sehen Sie, ob es zwi­schen den bei­den Email-Adressen Abweichungen gibt.

Sie dür­fen die­se Hilfestellung ger­ne in unver­än­der­ter Form wei­ter­ge­ben, jedoch nicht kom­mer­zi­ell ver­wer­ten.

ask — Hilfestellung Outlook Anzeige Antworten An (262.8 KiB, 67 down­loads)

Mitarbeiter Awareness: Schutz vor Krypto-Trojanern

Man kann es ja gar nicht oft genug sagen in den letz­ten Wochen: Neben all den tech­ni­schen Maßnahmen zur Abwehr oder Vermeidung von Krypto-Trojanern ist die Sensibilisierung der Mitarbeiter eine sehr effek­ti­ve Möglichkeit, das Risiko einer Infektion durch Locky, Teslacrypt und Co zu ver­mei­den. Neusprech heisst dies “Awareness” schaf­fen. Aus die­sem Grund bie­ten wir zusätz­lich zu ein- bis zwei­stün­di­gen Sensibilisierungsveranstaltungen zur aktu­el­len Bedrohungslage und Möglichkeiten für Mitarbeiter vor Ort Handreichungen in Form von DIN A4-Flyern an, die Sie ger­ne (unver­än­dert) in Ihrer Organisation ein­set­zen kön­nen.

Diese Ausgabe behan­delt den Umgang mit Email-Anhängen sowie eine Kurzanleitung zur Beschränkung der Ausführung von Makro-Code in Office-Dokumenten (sofern dies nicht durch die Gruppenrichtlinie nicht bereits unter­drückt wird).

Wir wis­sen, zu dem Thema kann man noch viel mehr sagen / schrei­ben. Doch wir haben uns bewußt für eine kur­ze Darstellung auf einer Seite beschränkt, damit die Akzeptanz zur Kenntnisnahme nicht durch zu gro­ße Längen beein­träch­tigt wird.

Wollen Sie Ihren Mitarbeitern die­sen Flyer zur Sensibilisierung im Umgang mit der Bedrohung durch Krypto-Trojaner durch Email-Anhänge an die Hand geben? Dann laden Sie sich das Dokument doch ein­fach kosten­frei her­un­ter und ver­tei­len es intern.

Flyer / Handout Awareness Anwender Empfehlung Schutz Vor Krypto Trojanern (57.8 KiB, 238 down­loads)

Haben Sie wei­te­re Ideen und Anregungen für Flyer / Sensibilisierungen in die­ser Kurzform? Dann schrei­ben Sie uns. Wir grei­fen das ger­ne für wei­te­re Handouts auf.

Wir wün­schen allen Beteiligten wei­ter­hin bei der Abwehr die­ser Bedrohung viel Erfolg.

LKA NRW warnt vor Krypto-Trojanern

Uwe Jacob, Chef des Landeskriminalamts Nordrhein-Westfalen (NRW) in Düsseldorf äußert sich besorgt zur Bedrohung durch die aktu­el­len Krypto-Trojaner-Kampagnen:

Wir stel­len der­zeit eine qua­li­ta­ti­ve Veränderung sol­cher heim­tücki­scher Angriffe fest.”

Jacob wei­ter:

Wenn ein Krankenhaus die Notfallversorgung ein­stel­len und Operationen ver­schie­ben muss, wenn eine Stadtverwaltung kei­nen Zugriff mehr auf ihre Daten hat oder auch Unternehmen in ihrer Existenz bedroht sind, dann macht mir das gro­ße Sorgen!”

Die Vorsorge zur Abwehr sol­cher Attacken und auch deren Krisenbewältigung im Erfolgsfall sieht Jacob als kla­re Aufgabe des Spitzenmanagements einer Organisation, ganz unab­hän­gig davon, ob es sich dabei um eine öffent­li­che oder nicht-öffentliche Stelle han­delt. Daher geht sein Appell sowohl an Vorstände, Geschäftsführer und Unternehmer als auch an Bürgermeister, Landräte, Amts- und Geschäftsstellenleiter und alle ande­ren Führungskräfte:

Alle sind per­sön­lich gefor­dert und das ist ins­be­son­de­re die Aufgabe des Spitzenmanagements, der Oberbürgermeister und der Behördenleiter. Sie müs­sen Ihr Unternehmen, Ihre Behörde, Ihre Organisation und die Bürgerinnen und Bürger vor Schaden bewah­ren. Damit kön­nen wir nicht war­ten. Es ist höch­ste Zeit, jetzt die not­wen­di­gen Maßnahmen ein­zu­lei­ten.”

Die aktu­el­len Krypto-Trojaner (Ransomware) exi­stie­ren in so viel­fäl­ti­gen Varianten und wer­den dabei unter Inkaufnahme von Streuverlusten zigtausend- oder mil­lio­nen­fach ver­teilt, dass eine Abwehr fast nicht mög­lich scheint. Virenschutz ist erst eini­ge Stunden nach Neuerscheinung einer abge­wan­del­ten Version in der Lage, Schutz zu bie­ten. Die Trojaner ver­schlüs­seln ver­schie­de­ne Dateien und rich­ten so unmit­tel­ba­ren Schaden bei den Betroffenen an. Dabei wird Kryptographie ein­ge­setzt, die dem Stand der Technik ent­spricht. Somit sind die Chancen gering, die Verschlüsselung bre­chen zu kön­nen. Und die Liste der befal­le­nen Dateien wird täg­lich grö­ßer. Hinzu kom­men neue Infektionswege über Drive-by-Downloads und Malvertising-Kampagnen.

Arne Schönbohm, Präsident des BSI assi­stiert

Die IT-Sicherheitsvorfälle der letz­ten Wochen zei­gen, wie abhän­gig unse­re Gesellschaft von Informationstechnologie ist und wel­che Auswirkungen ein Cyber-Angriff auf die Verfügbarkeit Kritischer Infrastrukturen haben kann. Krankenhäuser sind auf­grund ihrer her­aus­ra­gen­den Bedeutung für das Wohlergehen der Bevölkerung ein wich­ti­ger Teil der Kritischen Infrastrukturen und soll­ten daher die poten­zi­el­len Risiken für die Funktionsfähigkeit ihrer Prozesse ken­nen und die­sen durch geeig­ne­te Maßnahmen der Prävention, Detektion und Reaktion begeg­nen.”

a.s.k. Datenschutz berät und unter­stützt bei der Auswahl und Einführung geeig­ne­ter Maßnahmen zur Risikominimierung sowie der Krisenbewältigung. Sprechen Sie uns an.

 

Come talk to me — Sprechender Erpresser-Trojaner Cerber gesichtet

Ob die Entwickler nun unbe­dingt den bekann­ten Song “Come talk to me” von Peter Gabriel im Duett mit Kate Bush im Kopf hat­ten, wer­den wir wohl nicht erfah­ren. Tatsache ist jedoch, dass Experten von TrendMicro einen spre­chen­den Krypto-Trojaner ent­deckt haben. Dieser hört auf den Namen Cerber und geht nach bekann­tem Muster vor.

Krypto-Trojaner Cerber spricht

Sind die erreich­ba­ren Daten erst  mal ver­schlüs­selt, wird auch durch Cerber das Opfer durch einen ent­spre­chen­den Text auf dem Bildschirm auf die­sen Umstand auf­merk­sam gemacht. Zusätzlich wird über eine Audio-Nachricht die Botschaft der Erpresser und die Vorgehensweise zur Entschlüsselung abge­spielt. Zur Zeit steht ein Betrag von rund 1,25 Bitcoins im Raum (ca. 525 US Dollar). Geht das Opfer auf die Entschlüsselung gegen Zahlung nicht ein, ver­dop­pelt sich der Betrag.

Wie wird Cerber verbreitet?

Laut dem Blog-Eintrag von TrendMicro wird Cerber mit­tels Exploit-Kit im Rahmen von soge­nann­ten Malvertising-Kampagnen beim Besuch legi­ti­mer Webseiten ver­brei­tet. Im rus­si­schen Untergrund wer­de Cerber als Ransomware-as-a-Service ange­bo­ten. Daher ist davon aus­zu­ge­hen, dass die Verbreitung und Infektionszahl in abseh­ba­rer Zeit zuneh­men wer­den.

Wer möch­te, kann sich die Sprachdatei auf dem Blog von Trend Micro anhö­ren.

Wie kann ich mich gegen Cerber schützen?

Hier hel­fen die übli­chen Hausmittel: stets alle Systeme und Programme (gera­de Browser und Plugins) aktu­ell hal­ten, gefähr­de­te Plugins wie Flash deinstal­lie­ren, AdBlocker instal­lie­ren (unbe­stä­tigt!), Surfen auf das unbe­dingt not­wen­di­ge Maß redu­zie­ren (aber Achtung: auch ganz legi­ti­me Seite kön­nen über ver­seuch­te Ad-Kampagnen betrof­fen sein), User sen­si­bi­li­sie­ren und sen­si­bi­li­sie­ren und sen­si­bi­li­sie­ren (das machen Sie wegen Locky & Co wahr­schein­lich eh schon — hof­fent­lich), regel­mä­ßi­ge Backups (und die Sicherung / Sicherungsträger vom Netz ent­kop­peln).

Malware — die Top Bedrohung 2016

Malware / Ransomware weit vorne

AppRiver hat eine Studie für die Top Bedrohungen in der IT- und Informationssicherheit für 2016 her­aus­ge­bracht. Ganz weit vor­ne eine alte Bekannter — die Malware.  Unterstützt durch immer bes­se­re Vorgehensweisen im Bereich Social Engineering rech­net AppRiver für 2016 mit einem erheb­li­chen Anstieg der Bedrohung durch Malware. Die Studie sieht zwar einen mög­li­cher­wei­se gerin­ge­ren Schaden pro Angriff auf­grund ver­bes­ser­ter Backup- und Recovery-Strategien, doch die “Masse macht’s”, wie es so schön heißt.

Innerhalb der Malware rech­net man gera­de durch die soge­nann­te Ransomware mit einem deut­li­chen Zuwachs. Im Zusammenspiel mit Zero-Day-Lücken, der Gutgläubigkeit  der — oft unzu­rei­chend sen­si­bi­li­sier­ten — Anwender und immer bes­se­rer Verschlüsselungsmethoden sei­tens der Schadsoftware kann es zu immensen Schäden kom­men. Perfide ist das zusätz­li­che Risiko, bei Zahlung der erpress­ten Summen mög­li­cher­wei­se den­noch kei­nen funk­ti­ons­fä­hi­gen Key für die Entschlüsselung zu erhal­ten.

Vorbeugung gegen Ransomware möglich?

Eine hun­dert­pro­zen­ti­ge Absicherung gibt es lei­der nicht. Die Entwickler die­ser Malware sind nicht untä­tig und die Anbieter schon Schutzlösungen sind zeit­lich mit Signaturen nach­voll­zieh­bar immer etwas hin­ter­her. Von daher muss von ande­rer Seite zusätz­lich mas­siv vor­ge­beugt wer­den:

  1. Möglichst Verzicht auf Software, die für Anfälligkeiten von Zero-Day-Lücken bekannt ist, wie bei­spiels­wei­se Adobe Flash
  2. Betriebssysteme und Anwendungen stets aktu­ell mit Patches und Security Fixes ver­sor­gen
  3. Geräte auf denen Punkt 2 nicht mög­lich ist, mög­lichst in getrenn­ten Netzsegmenten und / oder gar nicht mit Internetanschluß betrei­ben
  4. Kein System ohne Virenschutz mit regel­mä­ßi­ger, im Zweifel stünd­li­cher Aktualisierung der Signaturen (Achtung: auch mobi­le Geräte berück­sich­ti­gen!)
  5. Backup-Strategie prü­fen, im Zweifel vor­über­ge­hend kür­ze­re Sicherungsintervalle ein­rich­ten. Sicherungsmedien nach erfolg­tem Backup aus dem Netz ent­fer­nen!
  6. Schulen und sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter kon­ti­nu­ier­lich. Es emp­feh­len sich auch Zwischenberichte bei­spiels­wei­se per Rundmail, wenn sich neue Bedrohungslagen erge­ben — durch­aus täg­lich oder öfter.
  7. Verfügen Sie über ent­spre­chen­de Möglichkeiten der Systemverhaltensanalyse, so kon­fi­gu­rie­ren Sie die­se auf Symptome wie vie­le Dateizugriffe inner­halb kur­zer Zeitspannen. Nutzen Sie Funktionen, Systeme mit sol­chen Auffälligkeiten im Zweifel sofort vom Netz zu neh­men.
  8. Wenn mög­lich, set­zen Sie Email-Anhänge auto­ma­ti­siert in Quarantäne. Der Anwender kann bei Bedarf den Anhang anfor­dern. Das ist zwar im Moment etwas auf­wen­di­ger, aber lan­ge nicht so zeit­in­ten­siv, wie wenn Sie sich mit dem Befall durch Ransomware aus­ein­an­der­set­zen müs­sen.

Mit die­sen Maßnahmen haben Sie lei­der immer noch kei­nen 100%-igen Schutz gegen Ransomware, aber das Risiko des Eintritts zumin­dest gesenkt.