O2 rät Kunden zu Änderung der WLAN-Schlüssel

MDR INFO, 19.03.14
–> Beitrag anhören

Der Telefon- und Internetanbieter O2 warnt vor Sicherheitslücken in seinen WLAN-Routern. Alle Kunden sollten dringend die Passwörter ändern.

Router, das sind die kleinen Kästen, die zwischen Telefonbuchse auf der einen sowie Computer und Telefon auf der anderen Seite stehen. Sie wandeln die DSL-Signale so um, dass sie als Internetverbindung und zum Telefonieren genutzt werden können. WLAN-Router sind die Geräte, die diese Informationen drahtlos weitergeben. Und genau diese Funkverbindung ist das Problem. Sie kann jeder nutzen, der in der Nähe des WLAN-Routers ist, zum Beispiel der Nachbar. Er kann dann so surfen, als sei er in seinem eigenen Netz unterwegs, kann sich illegal Dateien herunterladen und kann auch auf andere Computer in dem Netzwerk zugreifen. Das Problem bei O2: Das voreingestellte Passwort – der sogenannte WLAN-Schlüssel – ist nicht sicher, kann also durch andere geknackt werden. Katja Hauss vom spanischen Mutterkonzern Telefonica:

Wir weisen unsere Kunden darauf hin, dass sie den voreingestellten W-LAN-Schlüssel ihres Routers ändern sollen. Und wir empfehlen ihm, sich ein eigenes und persönliches Passwort zu vergebe, um damit ihr Netzwerk wieder zu sichern.

Ein WLAN-Schlüssel sollte aus mindestens zwanzig Zeichen bestehen. Dabei können  und sollten Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern genutzt werden, allerdings keine deutschen Umlaute. Wichtig ist: Keine Wörter nutzen, die auch im Duden zu finden sind, vor allem keine Namen und Geburtsdaten.

Betroffen sind von O2 ausgelieferte Router, aber auch, die vom Anbieter Alice vor der Übernahme durch O2 bereitgestellten Geräte. Konkret sind es die Router mit den Nummern 6431, 4421 und 1421.

O2 ist nicht der einzige Anbieter mit Problemen bei den Routern. Vor einigen Wochen waren die weit verbreiteten FritzBoxen von Sicherheitsproblemen betroffen gewesen.

(c) Michael Voß, www.michael-voss.de

Virenscanner sollen Handynutzer ausspähen

MDR INFO, 24.02.14
–> Beitrag anhören

Wer passt eigentlich auf die auf, die aufpassen? Wie ist das zum Beispiel beim Virenscan? Die Computerzeitschrift c’t hat da ganz erstaunliche Ergebnisse herausgefunden. So geben beispielsweise einige Virenscanner auf dem Handy mehr Informationen an die Hersteller weiter, als eigentlich notwendig wäre.

Die Schlagzeile klingt gefährlich: „Android-Virenscanner schnüffelt Surf-Verhalten aus“ lässt es sich heute in der Computerzeitzschrift „c’t“ nachlesen. Für Ronald Eickenberg, dem Autoren des Artikels, ist klar: Auf den Smartphones gibt es ein heftiges Sicherheitsproblem, sobald Virenscanner aktiv werden und Daten auf den Server des Herstellers übertragen werden

Zunächst einmal wird die vollständige Seite übertragen, die man ansurft, und darüber hinaus noch sogenannte Parameter. Darin können bei einigen Seiten wichtige Informationen stecken. Vertrauliche Informationen, wie Passwörter, Zugangsdaten oder Sitzungs-ID, mit denen man in fremde Online-Banking-Sitzungen oder Shopping-Sitzungen zum Beispiel einsteigen kann.

Und genau diese vertraulichen Informationen braucht der Virenscanner eigentlich nicht. Für das Programm ist ausschließlich die Adresse der besuchten Seite wichtig, denn damit kann via Internet in einer Datenbank nachgeschaut, ob die Seite gefährlich ist oder nicht. Sollte die Seite bereits als gefährlich aufgefallen sein, würde der Nutzer dann gewarnt werden. Alle anderen Daten, die übertragen werden, sind eigentlich vollständig nutzlos für diesn Scan. Betroffen sind laut  „c’t“ insbesondere zwei Virenscanner.

Also am schlechtesten abgeschnitten haben AVAST und AVG. Die sind beide in der Grundversion kostenlos und sind dementsprechend auch beliebt. Also, alleine AVAST ist, soweit ich weiß, über einhundert  Millionen Mal installiert worden.

Bei AVG ist man sich des Problems durchaus bewusst. Deutsche Stimme für die tschechische Firma ist Dirk Knop von Jakobsoftware. Er gesteht offen den Fehler ein.

AVG hat verstanden: Das ist ein Problem. Haben sie bis jetzt einfach nicht daran gedacht.

Doch ginge es keinesfalls darum, die Kunden bei ihren Surfverhalten zu beobachten.

AVG verwendet derartige Daten ausschließlich zur Überprüfung der Zieladresse, ob die als bösartig eingestuft werden muss. Die Daten werden nicht weiterverwendet und auch nicht an Drittanbieter übergeben.

AVG werde dieses Problem jetzt schnellstmöglich beseitigen. Bis dahin solle man keine offenen Netzwerke, wie beispielsweise in Cafés oder Hotels, nutzen.  Eine andere Alternative ist – so empfiehlt es „c’t“ – ist es, die Überwachung – den sogenannten Live-Scan – solange abzuschalten, bis das Problem gelöst hat. Wichtig ist es aber, den Virenscan nicht vollständig abzuschalten. Dann nämlich könnte Schadsoftware unerkannt auf das Handy einwirken.

(c) Michael Voß, www.michael-voss.de

Spieleplattform „Steam“ hat ein Sicherheitsproblem

MDR INFO, 14.10.13
–> Beitrag anhören

Steam ist DIE Internetplattform für Spiele und Spieler im Internet. Gerade Jugendliche tummeln sich hier. Weltweit gibt es nach Angaben der Plattformbetreiber 50 Millionen aktive Nutzerkonten. Ein Hacker aus Mittelsachsen hat jetzt eine gefährliche Sicherheitslücke entdeckt, warnt davor – und wird von den Betreibern nicht ernst genommen. ich hab mir zeigen lassen, wie man Steam für illegale Zwecke nutzen kann.

Matthias Ungethuem sitzt im Wohnzimmer seiner Eltern am Laptop und grinst dabei ein wenig. Dass er einen der größten Spieleanbieter einfach gehackt hat, ist für ihn schon fast normal.

Technisch gesehen ist es tatsächlich extrem banal.  Da ist das Witzige dabei: Man muss nicht mal groß etwas dafür können. Solang man die Lücke hat, kann man damit richtig etwas anfangen. Das ist halt diese große Gefahr. Viele könnten  damit richtig großen Mist bauen…

In der Tat ist bei der entdeckten Sicherheitslücke vieles drin. Bis hin zu Kreditkartendaten kann alles vom Nutzer, den man reinlegt, abgefragt werden, ohne dass dieser stutzig wird. Matthias Ungethuem hat sich dafür auf den Chatbereich, die sogenannte Community, konzentriert. Das ist ein internes Fenster, in dem man sich mit anderen angemeldeten Nutzern von Steam unterhalten kann. Weiterleitungen, die Links, sind nur zu internen Seiten möglich – eigentlich, denn genau hier ist die Lücke. Der Hacker aus dem sächsischen Geringswalde hat einen präparierten Link verschickt. Mit einem Test-Account spielt Matthias Ungethuem jetzt nach, was einem normalen Nutzer passieren würde.

Und jetzt soll ich mich einloggen, weil ich angeblich ausgloggt bin in der Steam-Community. Hier, wenn man sich das anguckt, hier ist überhaupt nichts Verdächtiges. Das ist alles die ganz normale Webseite.

Doch genau das ist es nicht. Es ist eine Seite, die durch einen Code erzeugt wurde, der in dem Link enthalten ist. Durch die Lücke bei Steam wird dem Nutzer aber vorgegauckelt, dass die Plattform jetzt nochmals das Passwort haben möchte.

Denken Sie sich eines aus. Sonst sieht es so aus, wie, als hätte ich das vorgearbeitet. – Dann nennen wir das mal Bisambau. – Bisambau. Ok, jetzt bin ich wieder auf der normalen Seite. Der Nutzer an sich würde also wahrscheinlich – Was heißt wahrscheinlich? Es  ist so! – Man würde ja unmöglich erkennen können, dass das gerade ein Angriff war. So, ich mach das mal alles klein und gehe dann mal auf meinen Webserver. Da müsste nämlich jetzt schon der Nutzername und das Passwort sein.
Ok, alles klar. Da ist es.

Und tatsächlich, da steht es: Bisambau. Mit diesem Passwort eines fremden Nutzers könnte sich der Hacker jetzt in dessen Account einschleusen und unter falscher Identität beispielsweise Spiele kaufen. Aber statt des Passwortes hätte Matthias Ungethuem auch die Kreditkartendaten abfragen können. Der User hätte nichts gemerkt.

Die Sicherheitslücke hat der Hacker bereits am 23. September an die Spieleplattform Steam gemeldet. Doch bislang passierte nichts, erzählt Matthias Ungethuem. Andere Hacker könnten die Lücke jederzeit ausnutzen, um damit illegal Geld zu machen.

(c) Michael Voß, www.michael-voss.de

UN warnen: Handy-SIM-Karten sind weltweit unsicher

MDR INFO, 22.07.13
–> Beitrag anhören

Veraltete Verschlüsselungstechnik aus dem vorherigen Jahrhundert wird weltweit in Handys eingesetzt. Davor warnen jetzt sogar die Vereinten Nationen. Weltweit sollen jetzt in 200 Ländern die Handy-Netzbetreiber angeschrieben werden. Durch die Lücke seien die Mobiltelefone offen für alle Hackerangriffe. Entdeckt hat das Sicherheitsproblem ein Deutscher.

Karsten Nohl ist ein sogenannter guter Hacker. Jemand, der nicht in Computersysteme eindringt, um Schaden anzurichten. Im Gegenteil: Er deckt Lücken auf, damit sie geschlossen werden. Nohl hat seinen Doktortitel in Computertechnik gemacht und ist Kryptograph – jemand, der sich beruflich um Entschlüsselungen kümmert. Und genau das hat er viele Jahre in der bei der Mobilfunktechnik ausprobiert. Sein größter Vorwurf an die Netzbetreiber:

Mir ist es häufig schleierhaft, wie man es schafft, neue Technik zu kaufen, und gute Sicherheitsfeatures abzuschalten. Das nämlich ist der Fall bei SIM-Karten. Es gibt heute keine Karte mehr, die herausgegeben wird, die nicht viel besser abgesichert werden könnte.

So sei die Verschlüsselungstechnik zum Teil bis zu 40 Jahre alt, obwohl die Karten einen viel besseren Standard anbieten könnten. Die Folge ist dramatisch und kann für den Handykunden sogar finanzielle Verluste bringen.

Der Hacker kann Kontrolle über die SIM-Karte erlangen. Und die SIM-Karte ist eine Sicherheitsschaltstelle im Telefon, aus der alle wichtigen Verschlüsselungenschlüssel für die Kommunikation mit dem Netzwerk generiert werden. Das heißt, wenn jetzt jemand meine Karten kontrollieren eventuell sogar kopieren kann, kann er Kosten auf meine Rechnung generieren. Er kann Anrufe umleiten.

Kurz: Alles ist möglich. Das Gute: In Deutschland haben sich offenbar die meisten Telefonanbieter inzwischen für eine bessere und sichere Verschlüsselungsmöglichkeit entschieden, sagt Karsten Nohl. Das bestätigt auch Telekom-Pressesprecherin Alexia Sailer:

Kunden der Deutschen Telekom in Deutschland sind nicht betroffen. Wir nutzen selbst bei den älteren SIM-Karten eine stärkere Verschlüsselung, als die, die jetzt betroffen ist.

Für Karsten Nohl ist es wichtig, dass die Telekommunikationsfirmen weltweit ihre Kunden informieren, welchen Standard sie einsetzen.

An vielen Stellen kann der Nutzer leider gar nicht erkennen, was verwendet wird. Das sind Entscheidungen und teilweise sogar geheime Entscheidungen der Netzbetreiber. Diese kleineren Karten sind natürlich schon neuer und tendenziell sicherer.

Kleinere SIM-Karten werden häufig für die sogenannten Smartphones, die Handys der neuen Generation, eingesetzt.

Karsten Nohl ergänzt, genaue Informationen könne der Handykunde nur über seinen Anbieter erfragen.

(c) Michael Voß, www.michael-voss.de

Sicherheitslücke: E-Mailadressen bei T-Online lassen sich kapern

MDR INFO, 09.07.13
–> Beitrag anhören

Das Skript im Vordergrund löscht die bisherige E-Mailadresse (Foto: Voß)

MDR INFO hat zusammen mit einem Hacker aus Sachsen eine gravierende Sicherheitslücke beim E-Mail-Dienst T-Online der Telekom entdeckt. Dadurch kann sich ein Angreifer unter falscher Identität sogar Passwörter anderer Dienste zuschicken lassen. Theoretisch sind sogar Einkäufe auf Kosten des Opfers möglich.

Die E-Mail-Adressen bei der Telekom können innerhalb von Sekunden von Unbekannten  übernommen werden. Identitätsklau heißt das Stichwort. Und der Nutzer merkt davon zunächst nichts. Schuld daran ist eine Sicherheitslücke, die Matthias Ungethuem aus dem sächsischen Geringswalde entdeckt hat. Sein Programm, sein sogenanntes Script, lässt sich auf Internetseiten verstecken und diese dann zur Falle werden.

Wenn ich mein Script jetzt angreifen lassen, dann tut das im Hintergrund – ohne, dass das der Nutzer merkt – die E-Mailadresse des Nutzers ändern. Die alte E-Mailadresse wird damit verfallen. Das heißt, die alte E-Mailadresse ist zur Registration für alle Nutzer der ganzen Welt wieder frei. Und genau in dem Moment kann sich der Angreifer zum zweiten Mal einklinken und den Namen der E-Mailadresse übernehmen.

Matthias Ungethuem hat die Sicherheitslück entdeckt (Foto: Voß)

MDR INFO hat es nachgeprüft: Konkret geht es um alle E-Mail-Adressen mit „t-online.de“ hinter dem @-Zeichen. Der Angreifer muss nichts anderes machen, als sein Opfer auf eine Internetseite zu locken. Zum Beispiel mit Werbebotschaften in einer E-Mail für günstige Fotobücher oder andere verlockene Angebote. Dieser Link führt dann auf eine vorbereitete Seite. Die Seite kann beliebig gestaltet sein, also auch eine Kopie einer bekannten Seite sein. Das unsichtbar eingebaute Script storniert nun den vorhandenen Namen vor dem @-Zeichen und ersetzt ihn durch einen anderen Namen. Das Opfer merkt zunächst nichts davon.

Von einem zweiten Computer aus beantragt der Reporter dann ganz legal auf der Telekom-Seite genau die Adresse, die wir gerade illegal gelöscht haben. Und tatsächlich ist sie frei und jetzt im Besitz des Reporters. Und der könnte damit einiges anfangen, erzählt Matthias Ungethuem.

Man könnte Geschäftskunden anschreiben und sich als jemand anderes ausgeben, weil man eben diese Adresse hat.

Und: Der Angreifer bekommt von nun auch alle E-Mails zugeschickt, die an die bisherige Adresse seines Opfers gerichtet sind. Das lässt sich ausnutzen, zum Beispiel beim Bestellen bei verschiedenen Online-Kaufhäusern.

Seit dem 30. Mai 2013 ist die Telekom
informiert (Foto: Voß).

Viele Internet-Händler haben einen Link, den man anklicken kann, wenn man sein Passwort vergessen hat. Dafür braucht man dann nur die eigene E-Mail-Adresse angeben, die  als sicher gilt. In unserem Fall nutzt nun der Angreifer die gekaperte Adresse, bekommt ein neues Passwort, kann damit über eine fingierte Lieferadresse im Namen des Opfers einkaufen.

Diese Sicherheitslücke entstanden, weil die Telekom selbst den Wechsel des E-Mail-Namens für ihre Nutzer ermöglicht. Dabei wird weder das Passwort abgefragt noch ein eingebautes Passwort – ein sogenannter Token – genutzt, wie es normalerweise üblich ist.

Was T- Online machen müsste, wäre, einen solchen Token einführen, das heißt: Vor dem Absenden wird der Token generiert, dann wird er übermittelt und wenn er nicht hinhaut, wenn er nicht übereinstimmt, dann kann man einfach nicht davon ausgehen, dass der Nutzer das war.

Auf dieses Problem hat Matthias Ungethuem die Telekom bereits vor sechs Wochen hingewiesen. Das Fax liegt MDR INFO vor. Es geschah nichts. Auf Nachfragen war die Telekom nicht bereit vor dem Mikrofon Stellung zu nehmen. In einer E-Mail hieß es lediglich, man nehme den Hinweis sehr ernst und prüfe den Vorgang.

Aktualisierung, 10.07.13

Nach Angaben der Telekom ist die Sicherheitslücke im Mailverkehr von T-Online geschlossen worden. Man habe eine zusätzliche Passwortabfrage eingebaut. MDR INFO hatte gestern darüber berichtet, dass es aufgrund fehlender Sicherheitsvorkehrungen möglich sei, E-Mail-Adressen der T-Online-Kunden zu kapern. Die Angreifer hätten dadurch die digitale Identität ihrer Opfer übernehmen können. Der Telekom ist nach eigenen Angaben kein derartiger Fall bekannt.

Andere Medien berichten zu dem Thema

(c) Michael Voß, www.michael-voss.de

Lösung für Sicherheitsprobleme beim Microsoft Internet Explorer

–> Gespräch zur Sicherheitslücke anhören, MDR INFO, 02.01.2013

Ein unsicherer Web-Browser kann zum Einfallstor von Schadprogrammen für den eigenen Rechner werden. Genau so eine Sicherheitslücke ist jetzt beim Microsoft Explorer der Versionen 6, 7 und 8 entdeckt worden. Die Sicherheitslücke ermöglicht Angreifern den Rechner von außen fernzusteuern und vollständig zu übernehmen. Dadurch können beispielsweise Dateien auf dem Computer ausgespäht werden.

Wie kommt das Schadprogramm auf den Rechner?

Voraussetzung ist, dass eine Internetseite, die besucht wird, vorher manipuliert wurde. Der User selbst merkt beim Besuch der Seite zunächst nichts. So war zum Beispiel die Homepage des Council on Foreign Relations (CFR) von Unbekannten entsprechend verändert worden. Das CFR ist ein Club von Politik- und Wirtschaftsexperten.

Es lässt sich nicht ausschließen, dass auch andere Internetseiten manipuliert wurden. Das Schadprogramm verbreitet sich über eine in die Seite eingebaute Adobe Flash-Funktion.

Wie kann man sich schützen?

Der einfachste Schutz ist es, die neuen Versionen 9 oder 10 des Windows Explorer zu installieren und die alte Version zu löschen. Die Versionen 9 und 10 sind von dem Sicherheitsproblem nicht betroffen
Außerdem bietet Microsoft für die alten Explorer-Versionen auf seiner Homepage ein sogenanntes Fix-it an. Das lässt sich durch Anklicken herunterladen und repariert den Explorer provisorisch. Allerdings läuft das Programm dann langsamer als normal.

Wie verbreitet ist der Windows Explorer in den Versionen 6, 7 und 8?

Die betroffenen Explorer-Versionen laufen weltweit auf fast jedem dritten Rechner. Allerdings muss offenbar als Systemsprache Englisch, Japanisch, Chinesisch, Koreanisch oder Russisch eingestellt sein.

(c) Michael Voß, www.michael-voss.de

Lücke im Microsoft Explorer soll bis Freitagabend geschlossen sein

Die Sicherheitslücke im Microsoft Explorer soll bis Freitagabend, 19:00 Uhr, geschlossen sein. Das teilte der Konzern mit. Entsprechende Updates ständen bis dahin zur Verfügung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte am Montag Internetnutzer auf eine bisher unbekannte, kritische Schwachstelle im Browser Microsoft Internet Explorer hingewiesen. Die Schwachstelle werden bereits in gezielten Angriffen ausgenutzt. Zudem sei der Angriffscode auch frei im Internet verfügbar, sodass mit einer breitflächigen Ausnutzung rasch zu rechnen sei.

(c) Michael Voß, www.michael-voss.de

BSI: Microsoft Explorer hat kritische Sicherheitslücke

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist Internetnutzer auf eine bisher unbekannte, kritische Schwachstelle im Browser Microsoft Internet Explorer hin. Betroffen seien IT-Systeme, die den Internet Explorer in den Versionen 7 oder 8 unter dem Betriebssystem Microsoft Windows XP, sowie in den Versionen 8 und 9 unter Microsoft Windows 7 verwenden. Die Schwachstelle werden bereits in gezielten Angriffen ausgenutzt. Zudem sei der Angriffscode auch frei im Internet verfügbar, sodass mit einer breitflächigen Ausnutzung rasch zu rechnen ist. Um die Schwachstelle auszunutzen reiche es laut BSI aus, den Internetnutzer auf eine präparierte Webseite zu locken. Beim Anzeigen dieser Webseite könne dann durch Ausnutzen der Schwachstelle beliebiger Code auf dem betroffenen System mit den Rechten des Nutzers ausgeführt werden.

Ein Sicherheitsupdate des Herstellers ist derzeit nicht verfügbar. Daher empfiehlt das BSI allen Nutzern des Internet Explorers, so lange einen alternativen Browser für die Internetnutzung zu verwenden, bis der Hersteller ein Sicherheitsupdate zur Verfügung gestellt hat. Das BSI steht nach eigenen Angaben bezüglich einer Lösung zur Schließung der Schwachstelle mit Microsoft in Verbindung. Sobald die Sicherheitslücke geschlossen ist, werde das BSI darüber informieren.

Microsoft empfiehlt  Internet Explorer 10

Laut Microsoft ist der neuere Internet Explorer 10 nicht betroffen. Allerdings seien viele Internet-Nutzer mi früheren Software-Versionen unterwegs. Bevor die Lücke geschlossen werde, empfiehlt Microsoft Änderungen der Sicherheitseinstellung und die Installation der Software-Komponente EMET (Enhanced Mitigation Experience Toolkit).

Anleitung zum Ausnutzen der Lücke bereits in Internet

Fachleute und Skeptiker können sich im Internet bereits anschauen, wie die Sicherheitslücke genutzt wird. In einem Post gibt es eine Anleitung und Screenshots.

Im Gespräch bei MDR INFO

Mein Beitrag zur Sicherheitslücke bei MDR INFO gibt es hier.

(c) Michael Voß, www.michael-voss.de