Author Topic: [Backdoor Memos (von Geräten und Hintertüren)... ]  (Read 8311 times)

0 Members and 1 Guest are viewing this topic.

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Backdoor Memos (von Geräten und Hintertüren)... ]
« on: January 24, 2006, 09:38:02 AM »
Quote
[...] Backdoor (auch Trapdoor oder Hintertür) bezeichnet einen (oft vom Autor eingebauten) Teil einer Software, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einer sonst geschützten Funktion eines Computerprogramms zu erlangen.

...


http://de.wikipedia.org/wiki/Backdoor (7. Dezember 2010)


-.-

Quote
[...] A Perfect Spy? It seems that ZoneAlarm Security Suite has been phoning home, even when told not to. Last fall, InfoWorld Senior Contributing Editor James Borck discovered ZA 6.0 was surreptitiously sending encrypted data back to four different servers, despite disabling all of the suite’s communications options. Zone Labs denied the flaw for nearly two months, then eventually chalked it up to a “bug” in the software -- even though instructions to contact the servers were set out in the program’s XML code. A company spokesmodel says a fix for the flaw will be coming soon and worried users can get around the bug by modifying their Host file settings. However, there’s no truth to the rumor that the NSA used ZoneAlarm to spy on U.S. citizens.


From: " ZoneAlarm phones home, Apple throws Intel a bone - Does crabby columnist deserve a raise, or is he just being shellfish?" - By Robert X. Cringely® (January 13, 2006)
Quelle: http://www.infoworld.com/article/06/01/13/73792_03OPcringley_1.html

-.-

Quote
[...] Eine der beliebtesten Firewalls ist ZoneAlarm. Die Freeware-Version bietet Privatanwendern einen effizienten Schutz und ist zudem einfach zu bedienen. Die Firewall überwacht permanent die Internet-Verbindung und warnt, wenn ein nicht autorisiertes Programm darauf zugreifen will. Erst nach erfolgter Bestätigung durch den Anwender wird der Zugriff frei gegeben. Integriert ist auch eine Funktion zur sofortigen Blockierung aller Internet-Verbindungen von Programmen. Darüber hinaus bietet die kostenpflichtige erweiterte Version ZoneAlarm Pro einen wirkungsvollen Schutz von persönlichen Daten wie Kennwörter, PINs und Kreditkartennummern. Der Anwender wird gewarnt und kann die Übertragung blockieren, wenn persönliche Informationen den Computer über das Internet oder per E-Mail verlassen.


Aus: "Spionage und Hacker-Attacken abwehren mit Firewalls" (Jason's Weekly 322 vom 18.12.2003)
Quelle: http://www.zdnet.de/downloads/weekly/16/weekly_322-wc.html

-.-

Quote
[...] Die verbreitete Firewall ZoneAlarm, mittlerweile in israelischem Besitz, verschickt verschlüsselte Daten an ihren Hersteller. Der bekannte IT-Kolumnist Robert X. Cringely verbreitet derzeit Informationen über Unstimmigkeiten der verbreiteten Desktop-Firewall ZoneLabs. Diese würde, zumindest in der Pro-Version, verschlüsselte Daten an die Hersteller-Webadresse senden. Eine Sprecherin des Unternehmens dementierte diese Gerüchte: es handle sich um einen Software-Bug, der in Kürze behoben würde.

...


Aus: "Firewall unter Spionageverdacht" (23.01.2006)
Quelle: http://www.gmx.net/de/themen/computer/hightech/software/1832204,cc=000000149100018322041YLVyc.html

« Last Edit: July 05, 2018, 11:17:02 AM by Textaris(txt*bot) »

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Theo de Raadt weist in einer Mail... ]
« Reply #1 on: December 20, 2010, 03:13:13 PM »
Quote
[...] Der OpenBSD-Gründer Theo de Raadt weist in einer Mail auf eine mögliche Hintertür in der Implementierung des IPSec-Stacks zum Aufbau von VPNs hin. Da weitere Open-Source-Projekte den Code übernommen haben, könnte die Hintertür dort ebenfalls enthalten sein. Die Hintertür soll in den Jahren 2000 bis 2001 Eingang in den Code gefunden haben, als OpenBSD-Entwickler im Auftrag der US-Regierung den Code manipuliert haben sollen.

In einer von de Raadt beigefügten Mail des Softwareentwicklers und nach eigenen Angaben ehemaligen OpenBSD-Contributors Gregory Perry wird namentlich der Entwickler Jason Wright als Beteiligter erwähnt. Wright ist beziehungsweise war einer der führenden Köpfe von OpenBSD.

Die Vorwürfe wiegen schwer, de Raadt hatte nach eigenen Angaben seit über zehn Jahren keinen Kontakt mehr mit Perry und stellt deshalb die Mail von Perry öffentlich zur Diskussion – auch um nach eigener Aussage nicht Teil dieser Verschwörungstheorie zu werden. De Raadt weist auch darauf hin, dass in den vergangenen zehn Jahren der betroffene Code mehrfach gepatcht, überarbeitet und neu geschrieben wurde. Daher ließe sich schwer einschätzen, ob die Hintertür überhaupt noch vorhanden sei.

Perry hat sich nach eigener Aussage erst jetzt an den OpenBSD-Gründer gewandt, weil seine Verschwiegenheitsvereinbarung mit dem FBI nach zehn Jahren ausgelaufen sei. Als Mitarbeiter des Unternehmens Netsec haben er damals eine FBI-Abteilung beraten, die sich unter anderem mit dem Einbau von Hintertüren und Key-Recovery (Key Escrow) in Smartcards beschäftigt habe. Daher wisse er, dass das FBI seinerzeit erfolgeich mehrere Hintertürchen und Möglichkeiten für Seitenkanal-Angriffe im OpenBSD Crypto Framework (OCF) platziert habe.

Laut Perry sei dies auch der Grund für den urplötzlichen Förderstopp des US-Verteidigungsministeriums für das OpenBSD-Projekt Anfang 2003 gewesen. Die DARPA hätte Wind von den Backdoors bekommen und deshalb weitere Finanzierungen eingestellt. Perry holt aber noch weiter aus: Auch der Virtualisierungsspezialist Scott Lowe soll auf der Gehaltsliste des FBI stehen. Dieser propagiere derzeit die Implementierung von OpenBSD für VPN- und Firewall-Lösungen in virtuellen Umgebungen.

Ob IPSec in OpenBSD nun wirklich noch eine Hintertür enthält, müssen Code-Reviews zeigen. Auch andere Projekte, die OpenBSD-Code verwenden, müssen ihren Code kontrollieren. Andere IPSec-Implementierungen wie KAME, das seine Wurzeln in Japan hat, dürften vermutlich nicht betroffen sein – es sei denn, es hätte einen siginifikanten Codeaustausch zwischen den Projekten gegeben. KAME ist Bestandteil von Mac OS X, NetBSD und FreeBSD – aber ab Version 2.7 auch in OpenBSD zu finden. Daneben gibt es noch strongSwan; Linux enthält die eigene Netkey-Implementierung im Kernel, unterstützt aber auch andere Lösungen. (dab)

Quote
15. Dezember 2010 21:25
Wie gut, daß man einen Code Review machen kann.
lizzarddude

Unabhängig, ohne Geldkoffer und von Leuten, die was vom Code
verstehen. Am Schluss werden die FBI-Kollaborateure enttarnt und vom
Projekt ausgeschlossen.

Danke OSS.



Aus: "FBI-Backdoor in IPSec-Implementierung von OpenBSD?" (15.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Er modifizierte die Version 5... ]
« Reply #2 on: December 20, 2010, 03:16:24 PM »
Quote
[...] Der indische Hacker Atul Alex hat sich an der Firmware für Symbian-S60-Smartphones zu schaffen gemacht und ihr eine Hintertür eingepflanzt. Er modifizierte die Version 5 der Original-Software – die beispielsweise auf Geräten läuft wie Nokia 5800, Nokia X6, Nokia 5530XM, Sony Ericsson Satio oder Sony Ericsson Vivaz – und integrierte eine Backdoor in Form einer Reverse Shell, inklusive Unterstützung für Perl-Skripte. Damit lassen sich alle Funktionen der Smartphones aus der Ferne steuern, inklusive der Kamera. Die Backdoor selbst hat Alex in Python geschrieben. Der Hacker will die Firmware in Kürze kostenlos zum Download bereit stellen.

Zur Installation der modifizierten Betriebssoftware muss ein Angreifer ein Smartphone jedoch für einige Minuten in die Hände bekommen und etwa per USB-Kabel mit einem Rechner verbinden. Einmal installiert, meldet sich die Backdoor beim Angreifer per Funkschnittstellen und überträgt die aktuelle IP-Adresse des Geräts. Die Shell lauscht auf Port 5530 und beherrscht Funktionen wie netcat, mkdir oder wget. Sie soll zudem die Over-the-Air-Installation von weiteren Anwendungen beherrschen.

Außerdem bringt die Backdoor noch Optionen mit zum Auslesen der E-Mail-, Telefonlisten- und SMS-Speicher, zum Anfertigen von Screenshots oder Fotografieren mit der integrierten Digitalkamera des Smartphones oder zum Mitschneiden von Telefonaten. Übertragen werden die geklauten Daten per GPRS/UMTS oder WLAN auf einen Fileserver des Angreifers.

Gegenüber heise Security erklärte Atul Alex, dass er eine eigens entwickelte Technik verwendet, um den Backdoor-Prozess vor dem systemeigenen Taskmanager der Geräte zu verstecken. Taskmanager von Drittanbietern sind laut Alex zwar prinzipiell in der Lage, den Prozess anzuzeigen. Da er aber auf Ebene des Systems läuft, gibt es keine Möglichkeit, den Task zu beenden. Entfernen lässt sich das Einfallstor laut Alex nur durch ein Überschreiben der Firmware mit der Originalsoftware von Symbian.


(Uli Ries) / (dab)




Aus: "Hacker pflanzt Backdoor in Symbian-Firmware" (08.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/Hacker-pflanzt-Backdoor-in-Symbian-Firmware-1149741.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Nach Eingabe von "HELP ACIDBITCHEZ"... ]
« Reply #3 on: December 20, 2010, 03:19:24 PM »
Quote
[...] Unbekannte sind in den Projektserver des quelloffenen FTP-Servers ProFTPD eingedrungen und haben eine Backdoor im Programmcode versteckt. Durch die platzierte Hintertür erhalten die Angreifer vollen Zugriff auf Systeme, auf denen die modifizierte Version des Servers installiert wurde. Um den Tätern die Installation der verseuchten Version zu melden, kontaktiert der Server eine IP aus dem saudi-arabischen Raum. Nach Eingabe des Befehls "HELP ACIDBITCHEZ" präsentiert der kompromittierte Server seinem Gegenüber eine Root-Shell.

Pikanterweise nutzten die Täter für ihren Einbruch eine Zero-Day-Lücke in ProFTPD, das die Entwickler selbst für die Bereitstellungen der Quellen nutzten. Der Einbruch hat am 28. November stattgefunden und wurde am 1. Dezember entdeckt. Kurz darauf haben die Entwickler die Änderungen rückgängig gemacht. Da es sich um den Hauptserver des Projekts handelt, der über rsync auch die Mirrors speist, wurde der verseuchte Code vermutlich noch bis einschließlich heute auch über die offiziellen Spiegelserver ausgeliefert.

Ob man eine verseuchte Version des Quellcodes heruntergeladen hat, kann man anhand der MD5-Hashes und PGP-Signaturen feststellen. Zu der für den Einbruch auf den Projektserver genutzten Lücke haben die Entwickler unterdessen keine Angaben gemacht. Möglicherweise haben die Eindringlinge die nach wie vor ungepatchte Sicherheitslücke im SQL-Modul genutzt, auf die das Hackermagazin Phrack Mitte November aufmerksam gemacht hat. (rei)


Aus: "Backdoor in FTP-Server ProFTPD" (02.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/Backdoor-in-FTP-Server-ProFTPD-1146211.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Audits liefern keine Anzeichen... ]
« Reply #4 on: December 25, 2010, 01:29:53 PM »
Quote
[....] Analysen des Crypto- und IPSec-Codes von OpenBSD haben bislang keine Hinweise geliefert, dass das System Backdoors zum Belauschen verschlüsselter VPN-Verbindungen enthält. Die OpenBSD-Entwickler hatten die Analysen begonnen, um Vorwürfe von Gregory Perry, ehemals Technik-Chef des Krypto-Herstellers Netsec, zu prüfen. Perry hatte in einer Mail an den OpenBSD-Gründer Theo de Raadt die Entwickler Jason Wright und andere beschuldigt, Hintertüren in den IPSec-Stack eingebaut zu haben. De Raadt hatte Perrys Mail veröffentlicht und die Vorwürfe zur Diskussion gestellt.

In einer weiteren Mail schreibt de Raadt nun, dass Netsec zwar offenbar für das FBI Hintertüren programmiert habe, dieser als "Spende" verteilte Code es nach seiner Ansicht aber nicht in den OpenBSD-Code geschafft habe. De Raadts Mail versucht zudem die Rolle der beschuldigten Entwickler Jason Wright und Angelos Keromytis zu klären. Beide sollen für Netsec gearbeitet haben, [Update]wobei de Raadt nach eigenen Angaben bislang nicht bekannt war, dass das Unternehmen für das FBI tätig war. [/Update]

Anhand der Revisionsverwaltung lässt sich im Nachhinein aber feststellen, welcher Entwickler an welchen Codeteilen gearbeitet hat. Demnach hat Wright hauptsächlich Treiber programmiert und mit dem OpenBSD Crypto Framework (OCF) nichts zu tun gehabt. Allerdings habe er an Teilen des IPSec-Stacks gearbeitet. Wright selbst hat die Vorwürfe, Hintertüren in den OpenBSD-Code eingebaut zu haben, in einer Mail bestritten. De Raadt beklagt allerdings, dass Wright selbst keine Stellung zu seiner Arbeit bei Netsec bezieht.

Statt Wright gerät jetzt offenbar mehr Angelos Keromytis in den Mittelpunkt des Interesses, der laut de Raadt quasi der Architekt und führende Entwickler des IPSec-Stack von OpenBSD war. Keromytis soll aber erst später bei Netsec angeheuert haben. Während dieser Zeit habe das Konzept unsicherer Initalisierungsvektoren Eingang in den OpenBSD-Code gefunden, das später aber wieder entfernt wurde. Kurz darauf wurden jedoch Padding-Oracle-Schwachstellen bekannt, mit der sich verschlüsselte Daten ohne Kenntnis eines Schlüssels entschlüsseln lassen. Die Schwachstelle wurde seinerzeit zumindest im Crypto-Layer beseitigt.

Bei den aktuellen Audits hat man aber laut de Raadt zwei Bugs gefunden. So sei die (CBC-)Padding-Oracle-Schwachstelle in Zusammenhang mit Initalisierungsvektoren offenbar nicht in den Netzwerktreibern beseitigt worden, man gehe aber von einem Versehen aus. Der andere Fehler betrifft eine Anweisung in einem Hardwaretreiber. Daneben erwähnt de Raadt ein Problem im Subsystem zur Zufallszahlenerzeugung, auf das er jedoch nicht näher eingeht.

De Raadts Aussagen dürften zwar Anhänger von OpenBSD und darauf aufbauender Projekte zunächst beruhigen, von einer Entwarnung kann jedoch noch keine Rede sein. Weiterhin gibt es zu viele Ungereimtheiten. Ob sich zudem durch wenige Tage Codereview geschickt eingebaute Hintertüren entdecken lassen, ist fraglich. Eine wie zuletzt im Quellcode von ProFTPD eingebaute Backdoor mit dem auffälligen Passwort "HELP ACIDBITCHEZ" (sic!) dürfte bei FBI-gesteuerten Manipulationen kaum Einsatz finden.

Wie gut sich Schadcode verstecken lässt, zeigt der Underhanded C Contest aus 2008 sehr anschaulich: Dort galt es, eine Bilddatei zu manipulieren, ohne dass dies auch bei genauer Betrachtung des Quellcodes zu entdecken ist. Der Code des Gewinners, Mr. Meacham, war so gut, dass nicht einmal die Veranstalter des Wettbewerbs schlüssig beschreiben konnten, wie er arbeitet – der Entwickler musste die Erklärung später selbst in seinem Blog liefern.

Selbst wenn sich letztlich bestätigt, dass OpenBSD frei von Nachschlüsseln und Hintertüren ist, bleibt ein schaler Nachgeschmack: Bei wievielen anderen Open-Source- und Closed-Source-Projekten waren staatliche Stellen mit ihren Manipulationen erfolgreich? (dab)


Aus: "OpenBSD: Audits liefern keine Anzeichen für Backdoors [Update]" (23.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/OpenBSD-Audits-liefern-keine-Anzeichen-fuer-Backdoors-Update-1158501.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Zwei britische Forscher haben eine Hintertür... ]
« Reply #5 on: May 30, 2012, 09:30:17 AM »
Quote
[...] Zwei britische Forscher haben eine Hintertür in einem Chip entdeckt, der sehr viel in militärischen Gerätschaften zum Einsatz kommt. Der versiegelbare FPGA wird dabei oft genutzt, um sensible Informationen sicher abzulegen; über die Hintertür könnte man allerdings trotzdem Zugang dazu erhalten.

Field Programmable Gate Arrays (FPGA) sind frei programmierbare Chips, mit denen man beliebige Algorithmen billig in Hardware gießen kann. Sie lassen sich nach der Programmierung so versiegeln, dass man sie nicht mehr modifizieren oder auslesen kann; außerdem kann man den Inhalt häufig auch noch verschlüsseln. Ein typisches Einsatzszenario für FGPAs ist etwa ein Verschlüsselungsmodul, das einen geheimen Schlüssel benutzt, der den Chip nie verlässt.

Für die Entwicklung der Schaltungen gibt es in der Regel eine Art Debug-Interface – die JTAG-Schnittstelle (Joint Test Action Group). Diese haben die Forscher aufgespürt und selbst dokumentiert. Darüber hinaus entdeckten sie über einen Seitenkanalangriff einen geheimen Zugangsschlüssel, der zusätzliche Funktionen freischaltete. So waren plötzlich versteckte und schreibgeschützte Speicherbereiche zugänglich und veränderbar.

Die untersuchten FPGAs vom Typ Microsemi/Actel ProASIC3 sind weit verbreitet und werden unter anderem für militärische Einsatzzwecke angepriesen. Die in den letzten Tagen um sich greifenden Panikmeldungen, es handle sich um eine "chinesische Hintertür zu Militärgeheimnissen" dürften jedoch weit überzogen sein; sie finden sich auch nicht in der veröffentlichten Vorabversion des Original-Papers "Breakthrough silicon scanning discovers backdoor in military chip".

Zurückhaltendere Blogger wie Robert David Graham von Errata Security interpretieren die Hintertür auch eher als eine der weit verbreiteten versteckten Wartungszugänge eines Herstellers. Das reduziert die Tragweite des Problems allerdings kaum. Denn die Hintertür findet sich in der Hardware und lässt sich nachträglich nicht entfernen. (ju)


Aus: "Hintertür in militärisch genutzten Chips" (29.05.2012)
Quelle: http://www.heise.de/newsticker/meldung/Hintertuer-in-militaerisch-genutzten-Chips-1585737.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Das Windows-Tool Simurgh... ]
« Reply #6 on: May 31, 2012, 09:25:04 AM »
Quote
[...] Das Windows-Tool Simurgh soll Anwendern in Iran und anderen Ländern einen freien Zugang zum Internet, vorbei an staatlicher Zensur, ermöglichen. Jetzt haben Forscher der University of Toronto entdeckt, dass im Internet eine Version dieser Software kursiert, die genau das Gegenteil tut. Sie installiert einen Trojaner auf dem PC des Nutzers, der Angreifern eine Hintertür öffnet, Passwörter und Benutzernamen ausspäht.

Dabei soll Simurgh, das nach einem persischen Fabelwesen benannt wurde, welches man im Westen als Phönix kennt, eigentlich für mehr Sicherheit und Freiheit sorgen. Seit 2009 wird das Programm vor allem in Iran von Web-Usern verwendet, die anonym im Netz unterwegs sein wollen. In letzter Zeit wird es angeblich auch bevorzugt von Syrern eingesetzt, die der Bevormundung durch ihren Staat entgehen wollen.

Simurgh leitet die Web-Anfragen der Anwender über Server im Ausland um, so dass sie beispielsweise wie User aus den USA im Netz surfen können. Von großem Vorteil für die oft mit langsamen Leitungen ans Netz angebundenen Nutzer in diesen Ländern ist, dass die Software nur etwa ein Megabyte groß ist, sich auch auf einem USB-Stick ins Internetcafé mitnehmen lässt.

Nun aber sind die kanadischen Forscher darauf aufmerksam gemacht worden, dass offenbar eine modifizierte Version von Simurgh im Netz kursiert. Statt über die offizielle Website des Anonymisierungstools wird sie über andere Download-Seiten verteilt.

Morgan Marquis-Boire, der als technischer Berater für das Citizen Lab an der University of Toronto und als Sicherheitsingenieur für Google arbeitet, hat untersucht, was es mit diesem neu entdeckten Schädling auf sich hat. Demnach wird bei der Installation der modifizierten Simurgh-Variante ein Programm namens Isass.exe auf den Rechner eingeschleust. Laut Marquis-Boire wird Dritten über diese Software ein dauerhafter Zugang zu dem Rechner eingerichtet sowie eine Möglichkeit geschaffen, Daten abzuschöpfen.

"Sollte [diese Schadsoftware] auf einem Computer installiert sein, muss man damit rechnen, dass alle Online-Accounts (E-Mail, Online-Banking und so weiter) kompromittiert worden sind", schreibt Marquis-Boire. Auch der Benutzername und das Passwort für den PC werden abgegriffen und Informationen über jedes geöffnete Fenster und jeden Tastaturanschlag protokolliert. Die so gesammelten Daten werden zu einer HTML-Datei zusammengefasst und an eine Web-Adresse übermittelt, die bei einem Internet-Provider in Saudi-Arabien registriert ist.

... Weit gefährlicher könnte für Anwender derart infizierter PC aber sein, dass der Trojaner genau jenen staatlichen Verfolgern Daten und Beweise gegen sie liefern könnte, denen sie mit der Installation von Simurgh eigentlich entgehen wollten. Marquis-Boire und Sophos verweisen in ihren Artikeln zum Thema einmal mehr darauf, dass man Software nur aus vertrauenswürdigen, am besten aus bekannten Quellen herunterladen sollte.

Wie groß die Zahl der Betroffenen ist, wagen nicht mal die Experten zu schätzen. Sicherheitsberater Chester Wisniewski von Sophos orakelt nur grob, dass sich wohl Tausende auf die Funktionen von Simurgh verlassen haben.

...


Aus: "Anti-Zensur-Software spioniert Web-User aus" Von Matthias Kremp (30.05.2012)
Quelle: http://www.spiegel.de/netzwelt/web/anti-zensur-software-simurgh-verbreitet-trojaner-a-836037.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Hersteller bestreitet Hintertür in Militär-Chips... ]
« Reply #7 on: June 02, 2012, 01:35:02 PM »
Quote
[...] Der Hersteller der FPGAs, bei denen britische Forscher kürzlich über eine Hintertür berichtet hatten, bestreitet die Vorwürfe und erklärt, es gebe "keine absichtlich eingebaute Funktion, die es erlaubt, die Sicherheitsvorkehrungen der Anwender zu umgehen". Die Forscher antworten mit einer Erklärung, die nochmals feststellt, dass eine solche Hintertür existiert und dass die sich auch nicht abschalten lasse.

Die Forscher hatten in einer veröffentlichten Vorabversion eines Papers dokumentiert, dass und wie sie neben dem Schlüssel des Anwenders in den oft militärisch genutzten Chips auch einen versteckten Schlüssel entdeckt hatten, der auf allen Chips gleich war. Er gewährt den Zugang zu einer Debug-Schnittstelle mit besonderen Rechten, die es unter anderem ermöglichten, geschützte Bereiche auszulesen.

Microsemi bestätigte daraufhin zwar, dass der fragliche ProASIC3-Chip interne Test-Einrichtungen biete. Die seien jedoch erstens standardmäßig deaktiviert und zweitens nur mit dem Passcode des Anwenders zugänglich. Darüber hinaus gebe es die Möglichkeit, die FPGAs mit höchsten Sicherheitsstufe zu programmieren. "Diese Sicherheitseinstellung deaktiviert den Zugang mit jeglichem Passcode zu allen Device-Konfigurationen, einschließlich der internen Test-Einrichtungen" erklärt der Hersteller vollmundig.

Dem widersprechen die Forscher vehement. Nicht nur, dass Actel/Microsemi diese Möglichkeit sich zusätzlich zu schützen nicht dokumentiere, darüber hinaus "kann man die Hintertür nicht deaktivieren sondern nur so umprogrammieren, dass der Zugang anders funktioniert" erklärt Ko-Author Chris Woods gegenüber unserem Schwesterportal The H. Konkret benötigt man dann zusätzlich zum Hintertürschlüssel auch den vom Anwender gesetzten Passcode – aber der lässt sich genauso auslesen wie der Backdoor-Key. "Man kann den Schlüssel in etwa einem Tag knacken, egal was eingestellt ist" resümmiert Woods. Betroffen seien im Übrigen nicht nur der ProASIC3 sondern alle Flash FPGAs/SOCs der dritten Generation von Actel/Microsemi einschließlich ProASIC3, Igloo, Fusion und SmartFusion. (ju)


Aus: "Hersteller bestreitet Hintertür in Militär-Chips, Forscher kontern" (01.06.2012)
Quelle: http://www.heise.de/newsticker/meldung/Hersteller-bestreitet-Hintertuer-in-Militaer-Chips-Forscher-kontern-1589293.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Flame via Windows Update... ]
« Reply #8 on: June 05, 2012, 09:09:28 AM »
Quote
[...] Während der noch andauernden Untersuchung des Spionage-Trojaners Flame hat der Virenexperte Costin Raiu von Kaspersky eine gleichermaßen spannende wie besorgniserregende Entdeckung gemacht: Flame konnte andere Rechner im Netzwerk offenbar über Windows Update infizieren.

Laut Raiu ist ein Flame-Modul namens Gadget dazu in der Lage, als Man-in-the-Middle anderen Rechnern im gleichen Netzwerk manipulierte Update-Pakete unterzujubeln. Ein konkretes Paket hieß WuSetupV.exe und war mit einem Zertifikat signiert, das von der "Microsoft Enforced Licensing Registration Authority CA" ausgestellt wurde – einer Sub-CA von Microsofts Root Authority. Ein weiterer Tweet des Virenexperten deutet darauf hin, dass Flame die Updates über einen virtuellen Server namens MSHOME-F3BE293C im Netzwerk verteilt hat.

Microsoft hatte bereits bestätigt, dass die Flame-Entwickler gültige Microsoft-Zertifikate ausstellen konnten. Unklar ist derzeit noch, ob Windows das Flame-Update tatsächlich klaglos akzeptiert hat. Hierzulande dürften die gefälschten Update-Pakete jedoch ohnehin keine Verbreitung gefunden haben. Laut Raiu wird das Gadget-MITM-Modul nur aktiv, wenn die Zeitzone auf GMT+2 und höher eingestellt ist – also östlich unserer Zeitzone.

Außerdem hat Kaspersky weitere Details zu der Botnetz-Infrastruktur hinter Flame veröffentlicht. Demnach haben die Flame-Betreiber mindestens 15 Kommandoserver genutzt, die für jeweils über 50 Opfer zuständig waren. Laut dem Bericht gingen wenige Stunde nach den ersten Veröffentlichungen zu Flame bei dem Botnetz "die Lichter aus".

Zur Registrierung der Domains nutzten die Betreiber zahlreiche falsche Identitäten. Die Server standen laut Kaspersky unter anderem in Deutschland, den Niederlanden, Großbritannien, der Schweiz, Hong Kong und der Türkei. Die meisten Opfer nutzten ein 32-bittiges Windows 7, darauf folgt XP mit 45 Prozent. Unter der 64-bit-Ausgabe von Windows 7 läuft Flame nicht.

Das Unternehmen konnte nach eigenen Angaben zahlreiche der Domains auf eine Sinkhole umleiten, wodurch die infizierten Systeme ihre Daten fortan bei Kaspersky ablieferten. Bei den Daten soll es sich vor allem um PDF- und Office-Dokumente, aber auch um AutoCAD-Dateien, also technische Zeichnungen, gehandelt haben. (rei)

Quote
4. Juni 2012 22:26
Der Funktionsumfang von "Flame" liest sich beinahe wie der vom Bundestrojaner
Crystal (mehr als 1000 Beiträge seit 09.09.00)

Und genau so käme der auch auf unsere Kisten: Microsoft und
Virenscanner schauen beflissentlich weg.

--
Crystal


Quote
4. Juni 2012 19:55
BSI bis auf die Knochen blamiert !
Leser-3410

Vor nur ein paar Tagen hier:
http://www.heise.de/security/meldung/BSI-Flame-keine-Superwaffe-im-Cyberkrieg-1587849.html

31.05.2012 16:02
BSI: Flame keine "Superwaffe im Cyberkrieg"

Der Computer-Virus Flame ist nach Einschätzung deutscher Experten
längst nicht so machtvoll und besonders wie von seinen russischen
Entdeckern bezeichnet. "Das ist keine neue Superwaffe im Cyberkrieg,
sondern eher ein aus verschiedenen Bauteilen zusammengestückeltes
Schad-Programm", sagte Virenexperte Dirk Häger vom Bundesamt für
Sicherheit in der Informationstechnik (BSI) am Donnerstag der
Nachrichtenagentur dpa. "Für mich gibt es keinen Grund, einen
Superalarm in Deutschland auszulösen.

Leser-3410

Quote
4. Juni 2012 20:13
Re: BSI bis auf die Knochen blamiert !
fr.osch

Tja, und nun stellt sich heraus, dass das Teil mit
Microsoft-Zertifikaten signiert war - wodurch Microsoft erst merkt,
dass sie da Mist gemacht haben. Das wäre also ein Zero-Day...

Dann schiebt er anderen Rechnern gefakte Windows-Updates unter... was
nur dank der gefakten Signaturen funktioniert.

Ganz so harmlos wie ein aus einem Baukasten zusammengeklickter Virus
scheint das tatsächlich nicht zu sein.

Keine Glanzleistung des BSI. Etwas vorschnell.

Beim nächsten Mal vielleicht warten, bis die Spezialisten mit der
Analyse fertig sind? Das dauert erfahrungsgemäß ein paar Tage... also
ein bisschen Geduld.

Und vielleicht finden die ja noch mehr... sie sind ja noch nicht
durch damit.

    fr.osch



Quote
4. Juni 2012 19:28
DAS ist der DAMMBRUCH
epc_

nein, das ist nichts geringres als DER SUPERGAU für Microsoft und ihr
update-system. ...

Quote
4. Juni 2012 19:34
Re: DAS ist der DAMMBRUCH
_AI_

Ja, aber wie?
Nach dieser Meldung würde ich (wenn ich Windows verwenden müsste)
erstmal allen updates, die mir das System so vorschlägt grundsätzlich
misstrauen, weil ja das Zertifikatsystem kompromittiert wurde. Also
eine Update-CD bei MS bestellen oder wie jetzt?  ...



Quote
5. Juni 2012 05:59
MS zum Thema
Ottmar Freudenberger, Ottmar Freudenberger (mehr als 1000 Beiträge seit 05.07.00)

> http://blogs.technet.com/b/msrc/archive/2012/06/04/security-advisory-2718704-update-to-phased-mitigation-strategy.aspx

<quote>
[...]
Yesterday, we issued Security Advisory 2718704 outlining the steps we
took to help protect our customers from attacks using certain
unauthorized digital certificates. This was the first of a series of
actions in a phased mitigation strategy, where we invalidated the
unauthorized certificates used in the targeted attack, thus
addressing that issue and any potential copycat attacks. Because
removing these certificates was a simple and straightforward action,
we believe that this was the fastest way to protect the largest
number of customers.
[...]
To increase protection for customers, the next action of our
mitigation strategy is to further harden Windows Update as a
defense-in-depth precaution. We will begin this update following
broad adoption of Security Advisory 2718704 in order not to interfere
with that update’s worldwide deployment. We will provide more
information on the timing of the additional hardening to Windows
Update in the near future.
[...]
</quote>

BTW:
Wieso ich auch an
http://www.heise.de/newsticker/meldung/Geruechte-um-neue-Luecke-in-Windows-199407.html
und
> http://technet.microsoft.com/en-us/security/advisory/945713
aus 2007 denken muss, kann mir vermutlich niemand erklären, oder?

Bye,
Freudi



Aus: "Flame kam angeblich als Windows-Update aufs System" (04.06.2012)
Quelle: http://www.heise.de/newsticker/meldung/Flame-kam-angeblich-als-Windows-Update-aufs-System-1603288.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Bei entsprechendem Verdacht ... ]
« Reply #9 on: June 06, 2012, 09:24:07 AM »
Quote
[...] Google hat ein neues Alarmsystem eingeführt, um die Nutzer seiner Online-Dienste vor möglichen Angriffen staatlicher Stellen auf ihre Nutzerkonten zu warnen. Künftig würden bei entsprechendem Verdacht deutliche Warnhinweise eingeblendet, wenn sich ein Nutzer bei Google anmeldet, teilte Google-Sicherheitsexperte Eric Grosse im firmeneigenen Blog mit. Aus welchem Anlass Google die Warnung eingeführt hat, verriet er nicht.

"Warnung: Wir glauben, dass staatlich-geförderte Angreifer möglicherweise dabei sind, ihr Nutzerkonto oder ihren Computer zu gefährden", heißt es auf den rötlich unterlegten Warnhinweisen. Über den Link "Schützen Sie sich jetzt" gelangen die Nutzer dann auf eine Seite, auf der ihnen erklärt wird, wie sie ihre Daten besser vor ungewolltem Zugriff schützen können.

"Wenn Sie diese Warnung sehen, heißt das nicht unbedingt, dass Ihr Account übernommen wurde", schreibt Grosse. "Es heißt nur, dass wir glauben, dass Sie Ziel beispielsweise einer Phishing- oder Malware-Attacke sein können und sofort Schritte zum Schutz Ihres Accounts unternehmen sollten."

Woher Google weiß, dass es sich um Angriffe staatlicher Stellen oder von Hackern in staatlichem Auftrag handeln könnte, sagte Grosse nicht. "Wir können nicht ins Detail gehen, ohne Informationen preiszugeben, die hilfreich für diese üblen Akteure wären." Intensive Analysen der Firma und Berichte von Nutzern würden aber deutlich darauf hinweisen, dass Staaten oder von Staaten geförderte Gruppen beteiligt seien. (dpa) / (anw)

Quote
6. Juni 2012 09:05
Nix genaues verraten wir nicht wegen der "üblen Akteure"
dennis_fake (mehr als 1000 Beiträge seit 29.01.05)

> "Wir können nicht ins Detail gehen, ohne Informationen preiszugeben, die
> hilfreich für diese üblen Akteure wären."

Security by Obscurity?
Wo sind eigentlich all die Google-Nerds hin, die so etwas mit
Facepalms und GTFO quittiert hätten?



Quote
6. Juni 2012 08:36
Unnötiges Bashing
Dullahan

Wenn ihr Google nicht vertraut, nutzt es nicht. WELCHE Daten sie
sammeln, ist seit langem bekannt. WARUM sie sie sammeln, weiß niemand
außer Google selbst.
Spekulationen bringen euch hier auch nicht weiter. Also hört doch mit
eurem Gejammer auf: "Google arbeitet mit den Regierungen zusammen und
gibt unsere Daten weiter" "Google verkauft unsere Daten an
Unternehmen" "Google weiß alles über mich".

Ich wiederhole mich: Wenn ihr das nicht wollt, nutzt es nicht.
Niemand zwingt euch und es gibt genug Alternativen.

...



Aus: "Google warnt Nutzer vor möglichen staatlichen Angriffen" (06.06.2012)
Quelle: http://www.heise.de/newsticker/meldung/Google-warnt-Nutzer-vor-moeglichen-staatlichen-Angriffen-1605579.html

-.-

Quote
[...] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ausdrücklich davon abgeraten, kostenlose Internet-Dienste wie Google Docs, Google Mail und das bald erscheinende Google Wave zu verwenden.

Als Grund gibt man im aktuellen Lagebericht an, dass der Anwender seine Daten komplett auf den Rechnern des Suchmaschinenbetreibers lagere. "Der Nutzer verliert vollständig die Kontrolle über seine Daten", heißt es in dem Papier. Sowohl aus Sicht des Datenschutzes als auch der IT-Sicherheit sei dies nicht zu empfehlen.


Auch andere vergleichbare Angebote könne man nicht empfehlen, so das BSI. Auf Google konzentriert man sich aber offenbar, weil die Angebote des Unternehmens einerseits sehr populär sind und andererseits ein großes Spektrum abgedeckt wird, dass letztlich nahezu die gesamte Kommunikation und Lebensorganisation umfasst.

Dabei geht es dem BSI allerdings nicht darum, web-basierte Anwendungen grundsätzlich abzulehnen. "Sollte zukünftig eine verteilte, gesicherte und kontrollierbare Datenhaltung mit Google Wave möglich sein, muss diese Bewertung neu vorgenommen werden", stellte der Bericht klar.


Aus: "BSI warnt vor Nutzung von Google-Anwendungen" (15.09.2009)
Quelle: http://winfuture.de/news,49899.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Einige Computer-Verleih-Firmen... ]
« Reply #10 on: September 28, 2012, 07:51:49 AM »
Quote
[...] Washington - Einige Computer-Verleih-Firmen in den USA haben ihre Kunden systematisch ausspioniert. Die Handelskommission FTC (Federal Trade Commission) der USA hat öffentlich gemacht, dass Notebooks zum Mietkauf in den Heimen der Mieter zu Spitzeln wurden. Hunderttausende waren betroffen.

Spioniert wurde sehr gründlich: Nutzernamen und Passwörter wurden ausgespäht, Kreditkarteninformationen, Bankdaten und private E-Mails, ärztliche Berichte und heimlich aufgenommene Webcam-Bilder - mal von Kindern, mal halbnackten Menschen und mal von "intimen Aktivitäten zu Hause", wie die FTC das nennt. Die Rechner selbst haben ihre Nutzer heimlich beim Sex gefilmt und höchst Privates gespeichert und an die ausgebenden Unternehmen weitergereicht, "ohne dass die Nutzer es gemerkt oder zugestimmt hätten", so die Behörde. Gegen diese Komplettüberwachung hinter dem Rücken der Nutzer geht die Behörde jetzt vor - zumindest so gut sie kann.

Der Schnüffelei diente offenbar eine Software namens PC Rental Agent vom Hersteller DesignerWare, die schätzungsweise auf 420,000 Rechnern weltweit installiert wurde; im August 2011 kam sie laut FTC bei ungefähr 1600 Mietkauf-Firmen zum Einsatz, in den USA, Kanada und Australien. Mit Hilfe der Software konnten die Verleiher beispielsweise den aktuellen Standort eines geliehenen Computer feststellen und das Gerät im Zweifel aus der Ferne lahmlegen, falls die Miete nicht rechtzeitig bezahlt wurde.

Ist in dieser Software der sogenannte Detektiv-Modus aktiviert, geht noch wesentlich mehr: Nicht nur können Screenshots angefertigt und Tastatureingaben mitgelesen werden. Die Webcam macht dann auch regelmäßig Bilder von den ahnungslosen Nutzern, Beziehungsweise von jedem, der sich gerade im Radius der Kamera bewegt. Manchmal poppt auch ein gefälschtes "Registrierungsfenster" auf, das erst wieder verschwindet, wenn der Nutzer seine Kontaktdaten in die entsprechenden Felder eingetippt hat. Laut FTC nutzten die Firmen diese ergaunerten Informationen, um beispielsweise noch ausstehende Raten einzutreiben.

"Eine Vereinbarung, einen Computer zu leihen, ist keine Erlaubnis für eine Firma, auf die privaten E-Mails, Bankinformationen und Krankenprotokolle der Kunden zuzugreifen - oder schlimmer, auf Webcambilder von Menschen im Privatbereich ihrer eigenen Wohnung", sagte Behördenchef Jon Leibowitz. "Die Vorschriften der FTC werden ihrer Cyberspionage ein Ende setzen."

Auf die Anschuldigungen der Bundesbehörde hin haben jetzt sieben der amerikanischen Unternehmen und eine Software-Firma einem Vergleich zugestimmt. Damit wird den Mietkauf-Firmen verboten, irgendeine Art von Überwachungssoftware zu benutzen oder den Aufenthaltsort des Nutzers zu verfolgen, ohne dass die Person dem zugestimmt hat. Auch wird den beteiligten Firmen verboten, ausgespähte Informationen zu nutzen, um Außenstände einzutreiben. Überwacht werden jetzt die Überwacher selbst: 20 Jahre lang wird die FTC die Unternehmen von nun an beaufsichtigen.

Strafrechtliche Befugnisse hat die Handelskommission allerdings nicht. Bei Unternehmen, denen zum ersten Mal ein Verstoß nachgewiesen wird, kann die Behörde nicht einmal ein Bußgeld verhängen. Auch ist der Einsatz einer solchen Software in den USA nicht generell verboten. "Wired" schreibt, die FTC habe den Firmen nur ein wenig auf die Finger geklopft: Denn selbst nach den neuen Vorschriften dürfen sie derart neugierige Software verwenden - sofern sie die Nutzer vorab verständigen.

Der Überwachungsalbtraum ist übrigens schon seit längerem bekannt; bereits im Mai 2011 berichtete zum Beispiel Ars Technica von Nutzern, die die Bespitzelung bemerkt und geklagt hätten. Schon dabei kam demnach heraus, dass eine der Mietkauf-Firmen die fragliche Software routinemäßig installiert hatte.


Aus: "Leihcomputer fotografierten Nutzer beim Sex" (27.09.2012)
Quelle: http://www.spiegel.de/netzwelt/netzpolitik/amerikanische-leihcomputer-spionieren-laut-ftc-nutzer-aus-a-858347.html


http://www.heise.de/newsticker/meldung/US-Handelsbehoerde-stoppt-Spionage-ueber-Mietcomputer-1718550.html


http://www.heise.de/newsticker/foren/S-noch-mehr-caselists-in-diesem-Zusammenhang/forum-238841/msg-22495833/read/


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Hersteller bauen oft spezielle Zugänge... ]
« Reply #11 on: December 04, 2012, 08:59:31 AM »
Quote
[...] Mit einem Aufruf, Vorschläge für neue Testverfahren für Software und IT-Gebrauchsgüter einzureichen, sagt die Defense Advanced Research Projects Agency (DARPA) des US-Verteidigungsministeriums den weit verbreiteten Hintertüren den Kampf an. Mit den verfügbaren Kapazitäten sei es nicht machbar, die Sicherheit jedes Geräts des Verteidigungsministeriums zeitnah zu überprüfen. Das von DARPA aufgelegte VET-Programm soll neue Ansätze entwickeln, wie sicherzustellen ist, dass IT-Produkte frei von Hintertüren oder geheimem Schadcode sind.

Neben Computern beziehungsweise deren Software sollen insbesondere Handys, Router, Drucker und ähnliche Gerätschaften systematischen Tests unterzogen werden. In einer Veranstaltung am 12. Dezember will die DARPA das Projekt interessierten Firmen im Rahmen eines "Proposers’ Day" näher bringen.

Hersteller bauen oft spezielle Zugänge in ihre Geräte ein, etwa um den Support zu vereinfachen. Diese werden dann oft unzureichend oder gar nicht dokumentiert, so dass selbst sicherheitsbewusste Administratoren kaum eine Chance haben, die Hintertüren zu entdecken und für höhere Sicherheitsanforderungen zu verriegeln.

Doch die Informationen bleiben selten geheim; irgendwann sprechen sie sich dann doch im Netz herum und immer wieder entdecken Sicherheitsforscher bei ihren Analysen undokumentierte Accounts oder Zusatzfunktionen. Im besten Fall informieren sie die Hersteller und diese reagieren mit Updates, die die Hintertür verriegeln. Nicht selten versuchen die aber auch, das Problem einfach auszusitzen. (ju)

Quote
4. Dezember 2012 05:08
das ist unmöglich (Editiert vom Verfasser am 04.12.12 um 05:19)
BennY-

So eine Hintertür kann auch von einem Entwickler oder Hacker ohne
Wissen 3ter eingebaut werden.  ...

Ebenfalls können Zeitslots eingebaut werden, und andere
Abhängigkeiten die so einfach niemals getestet werden können.




Aus: "DARPA sagt Hintertüren den Kampf an" (04.12.2012)
Quelle: http://www.heise.de/newsticker/meldung/DARPA-sagt-Hintertueren-den-Kampf-an-1761473.html

http://www.heise.de/newsticker/meldung/Hintertuer-in-Netzwerk-Hardware-fuer-Industrieanlagen-1558825.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Die Backdoor verschafft Nutzern... ]
« Reply #12 on: July 12, 2013, 09:08:48 AM »
Quote
[...] Der Computerhersteller HP hat zugegeben, dass auch seine StoreVirtual-Server eine undokumentierte Hintertür aufweisen. Die Sicherheitslücke birgt das Risiko, dass sich Dritte unautorisierten Zugriff auf die Speichersysteme verschaffen. Die Backdoor verschafft Nutzern direkten Zugriff aufs Allerheiligste, das den StoreVirtual-Servern zugrundeliegende LeftHand Operating System. ... Die Administrator-Hintertüre ist seit mindestens 2009 fester Bestandteil des Lefthand OS. ...


Aus: "HP: Neue Hintertüren in Server-Produkten" (12.07.2013)
Quelle: http://www.heise.de/newsticker/meldung/HP-Neue-Hintertueren-in-Server-Produkten-1916292.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Die Update-Funktion ermögliche es Microsoft... ]
« Reply #13 on: July 30, 2013, 07:36:48 PM »
Quote
[...] Hamburg/Hannover - Die Abhörskandale rund um Prism und Tempora - sie haben das Vertrauen in die Sicherheit von Kommunikation im Netz grundsätzlich erschüttert. Die Verschlüsselung digitaler Datenübertragung aber schien bisher noch weitgehenden Schutz vor Überwachung zu bieten. Doch Verbindungen im Web, die nach dem sogenannten SSL-Standard verschlüsselt sind, bieten keinen vollkommenen Schutz - ein Grund ist eine Hintertür im Betriebssystem Windows, die es ermöglichen könnte, vom Nutzer unbemerkt neue, potentiell fragwürdige Stammzertifikate zu installieren.

"Auf die Verschlüsselung von Windows kann man sich nicht wirklich verlassen" - das ist das Ergebnis einer Untersuchung der IT-Fachzeitschrift "c't". Zwei Autoren haben sich in der aktuellen Ausgabe mit den Windows-Stammzertifizierungsstellen beschäftigt. Ihre Kritik zielt dabei auf das sogenannte Automatic Root Certificates Update, eine öffentlich bislang wenig diskutierte Funktion des Betriebssystems.

Die Update-Funktion ermögliche es Microsoft, die systemeigene Liste der sogenannten Stammzertifikate jederzeit zu aktualisieren, unsichtbar im Hintergrund und ohne Zutun des Nutzers, berichtet die "c't". Seit einigen Jahren sei die Funktion standardmäßig bei allen Windows-Versionen aktiviert.

Zertifikate sind eine Art Netzwerk-Ausweis: Zeigt eine Website ein von einer vertrauenswürdigen Stelle ausgestelltes Zertifikat vor, wird als sichergestellt angenommen, dass die Seite echt ist. Regelmäßige Surfer haben vermutlich schon einmal von ihrem Browser eine Warnung bekommen: "Dieser Verbindung wird nicht vertraut". In diesem Fall weist sich die Seite mit einem vom eigenen Rechner nicht als vertrauenswürdig akzeptierten Zertifikat aus.

Ausgestellt werden die Netz-Ausweise von sogenannten Certificate Authorities (CA). Dazu gehören IT-Firmen wie Microsoft selbst, das US-Unternehmen VeriSign, die deutsche Telekom und Datev, aber auch Regierungsbehörden diverser Staaten und Finanzdienstleister wie Visa und Wells Fargo. Microsoft betreibt ein Root Certificate Program, für das sich einzelne CAs bewerben können, um in die offizielle Windows-Liste aufgenommen zu werden. Microsoft erklärte, man verlange von allen dort aufgeführten CAs, "dass sie einen rigorosen Bewerbungsprozess durchlaufen und technische Anforderungen einhalten". Die CAs würden zudem regelmäßigen Überprüfungen unterzogen und im Zweifel aus der Liste entfernt.

Das Bedenkliche an den automatischen Updates in Microsofts Windows ist der "c't" zufolge jedoch: Zusätzliche CAs könnten auf diesem Weg "selektiv und quasi unsichtbar auf einzelnen PC nachinstalliert werden". Auf diesem Wege ließe sich mit etwas Aufwand zum Beispiel die SSL-Verschlüsselung bestimmter Verbindungen aushebeln - Geheimdienste wie die NSA hätten die Chance, sich in Verbindungen einzuklinken.

Verbindungen, die mit dem Standard SSL (secure sockets layer) verschlüsselt sind, werden stets auf Basis solcher Zertifikate hergestellt. SSL-verschlüsselte Verbindungen erkennt man an einem kleinen Vorhängeschlosssymbol vorn in der Browser-Adresszeile und dem Kürzel https (statt http).

Fast alles, was im Netz als sicherheitsrelevant gilt - von der Verbindung zum eigenen E-Mail-Dienstleister bis hin zum Onlinebanking - wird über solche verschlüsselten Verbindungen abgewickelt. Das liegt daran, dass die Datenströme des Internets sonst wie offene Kanäle sind. Wer an den Kanal herankommt, kann hineinsehen, etwas herausfischen: E-Mails etwa, oder Banktransaktionen. Erst wenn man die Verbindung verschlüsselt, wird aus dem offenen Kanal eine geschlossene Röhre.

Dass die US-Sicherheitsbehörden sich durchaus für das Knacken von SSL-verschlüsselten Verbindungen interessieren, berichtete "Cnet" erst vergangene Woche. Vertreter von Regierungsbehörden würden Internetunternehmen in den USA unter Druck setzen, um an die sogenannten Master Keys für SSL-Verschlüsselung zu kommen, General-Nachschlüssel für die gesicherten Verbindungen gewissermaßen, berichtete der IT-Fachdienst.

Wer die Zertifikatslisten manipulieren kann, auf die sich ein Betriebssystem verlässt, kann sogar noch mehr tun, als nur die Verschlüsselung gesicherter Verbindungen knacken und mit einer sogenannten Man-in-the-Middle-Attacke ausspähen: Mit so untergeschobenen Zertifikaten könnte man etwa auch "S/MIME-verschlüsselte Mails kompromittieren oder Trojaner so signieren, dass sie als legitime Treiber-Software durchgehen", so Micha Borrmann und Jürgen Schmidt in der "c't".

Die beschriebene Windows-Hintertür betrifft demnach nicht nur Nutzer des Microsoft-Browsers Internet Explorer. Auch Chrome und Safari greifen der "c't" zufolge auf die Krypto-Infrastruktur des Betriebssystems zurück. Firefox dagegen bringe eigene Krypto-Bibliotheken mit. Wer den Mozilla-Browser nutzt, ist von der Windows-Update-Funktion also beim Web-Browsern nicht betroffen.

Ausschalten lassen sich die automatischen Updates "c't" zufolge mit Hilfe einer Gruppenrichtlinie, was Laien nicht zu empfehlen ist. Beim Betriebssystem Windows 8 etwa soll diese Maßnahme im Surf-Alltag zudem leicht zu Problemen führen: Weil Windows 8 nur einen reduzierten Satz Stammzertifikate mitbringt, verursache beispielsweise schon der Aufruf von Telesec.de mit einem Windows mit der entsprechenden Gruppenrichtlinie einen Fehler in allen drei betroffenen Browsern. Firefox dagegen vertraut der Telekom-Website von Haus aus.

Microsoft steht seit den Enthüllungen des NSA-Whistleblowers Edward Snowden in der Kritik. Der Konzern hat vom britischen "Guardian" eingesehenen NSA-Dokumenten zufolge dem US-Geheimdienst und dem FBI beispielsweise Zugriff auf vermeintlich verschlüsselte Internettelefonate über den Microsoft-eigenen Dienst Skype verschafft. Auch die Verschlüsselung von Chats und E-Mails auf Outlook.com soll Microsoft auf Wunsch der US-Sicherheitsbehörden umgangen haben.

Die "c't"-Journalisten beklagen: "Auf unsere Fragen, warum man zusätzlich einen dynamischen Nachlade-Mechanismus implementiert hat, antwortete Microsoft nicht."

Auf Nachfrage von SPIEGEL ONLINE verwies das Unternehmen auf einen Blog-Eintrag, der im Anschluss an die Microsoft-Enthüllungen aus Edward Snowdens Fundus veröffentlicht worden war. Darin heißt es unter anderem: "Microsoft gibt keiner Regierung direkten und uneingeschränkten Zugang zu den Daten unserer Kunden. Microsoft greift nur die spezifischen Daten heraus und gibt sie weiter, die von der relevanten juristischen Anordnung abgedeckt sind." Die Antwort auf die konkrete Nachfrage, ob Microsoft jemals Sicherheitsbehörden dabei unterstützt hat, eine SSL-Verschlüsselung auszuhebeln, steht noch aus.


Aus: "Verdeckte Updates: Windows-Hintertür gefährdet Internetverschlüsselung"
Von Markus Böhm und Christian Stöcker (30.07.2013)
Quelle: http://www.spiegel.de/netzwelt/web/windows-hintertuer-gefaehrdet-ssl-verschluesselung-a-913825.html

Micha Borrmann, Jürgen Schmidt (c't 17/2013)
Microsofts Hintertür: Zweifelhafte Updates gefährden SSL-Verschlüsselung
http://www.heise.de/ct/artikel/Microsofts-Hintertuer-1921730.html

« Last Edit: July 30, 2013, 07:39:05 PM by Textaris(txt*bot) »

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9169
  • Subfrequenz Board Quotation Robot
[Die Firma aus dem kalifornischen Sunnyvale... ]
« Reply #14 on: August 06, 2013, 10:33:35 AM »
Quote
[...]  Narus sei "das eine Unternehmen, das all das möglich macht", zitiert das Magazin Salon in einem Artikel zum Überwachungsprogramm Prism den Whistleblower Bill Binney, der früh vor der Sammelwut der NSA warnte. 60 bis 80 Prozent aller Datenströme, die etwa über die Kabel des Telekom-Anbieters Verizon liefen, würden von Narus automatisch gesammelt und gespeichert. Narus stelle Werkzeuge bereit, die der NSA Hintertüren zu allen großen US-Technologiefirmen öffneten.

... Die Firma aus dem kalifornischen Sunnyvale gilt als Pionier und weltgrößter Hersteller von Überwachungstechnik. Aber Informationen über Narus zu bekommen ist schwer. Selbst in der Branche weiß kaum jemand Genaues über die verschwiegene Firma, das Wissen beschränkt sich auf das wenige, das Narus selbst herausgibt. In interessierten Zirkeln sei die Firma zwar sehr bekannt, meint etwa Sicherheitsexperte Sebastian Stadl vom Cloud-Unternehmen Scalr. Außerhalb kenne sie so gut wie niemand. "Narus ist nicht die Art von Firma, die etwas davon hat, in der Presse aufzutauchen."

Lange war das Unternehmen, das 1997 in Israel gegründet wurde und dessen Name vom lateinischen Wort für "allwissend" abgeleitet ist, privat, Informationen kamen kaum an die Öffentlichkeit. Narus beschäftigt nach eigenen Angaben weltweit 150 Mitarbeiter. Auf der Internetseite heißt es, "Regierungen, Carrier und Unternehmen rund um die Welt" gehörten zu seiner "schnell wachsenden Kundschaft". Auf eine Anfrage von Zeit Online reagierte das Unternehmen nicht.

Quote
Hollerith 2.0
Autor Charles Marlow 31.07.13 - 10:52

"Wir verkaufen keine Technologien, die nur zu bösen Zwecken missbraucht werden können, an böse Diktatoren! Wir sind nur brave Geschäftsleute ohne Gewissen!"


Quote
Gründer arbeiten bei der deutschen Telekom
Autor glomglom 31.07.13 - 08:58

schon witzig, das wohl laut Wiki zu Narus, die beiden Gründer / Initiatoren Ori Cohen und Stas Khirman nun bei der deutschen Telekom (Deutsche Telekom Hosted Business Services) beschäftigt sind. Was die wohl da so alles treiben ? ;-)

In der Wiki zu Narus sind unter den Einzelnachweisen 4) + 5) interessante Gedanken zu finden.

Auszug aus 4) vom Autor des Buches "The Shadow Factory: The Ultra-Secret NSA from 9/11 to the Eavesdropping on America":

....this new cloned copy of the cables, would actually go one floor below to NSA’s secret room. So you had one copy of everything coming in and going to NSA’s secret room. And in the secret room was equipment by a private company called Narus, the very small company hardly anybody has ever heard of that created the hardware and the software to analyze these cables and then pick out the targets NSA is looking for and then forward the targeted communications onto NSA headquarters.

Viel Spass beim darüber nachdenken ....



Aus: "Die Firma, die alles weiß" Thorsten Schröder  (30.7.2013)
Quelle: http://www.golem.de/news/ueberwachungstechnik-die-firma-die-alles-weiss-1307-100694.html

http://www.salon.com/2013/06/10/digital_blackwater_meet_the_contractors_who_analyze_your_personal_data/

http://www.golem.de/news/nsa-whistleblower-sie-errichten-einen-totalitaeren-staat-1306-100098.html