Author Topic: [Backdoor Memos (von Geräten und Hintertüren)... ]  (Read 13652 times)

0 Members und 1 Gast betrachten dieses Thema.

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Backdoor Memos (von Geräten und Hintertüren)... ]
« on: Januar 24, 2006, 09:38:02 vorm. »
Quote
[...] Backdoor (auch Trapdoor oder Hintertür) bezeichnet einen (oft vom Autor eingebauten) Teil einer Software, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einer sonst geschützten Funktion eines Computerprogramms zu erlangen.

...


http://de.wikipedia.org/wiki/Backdoor (7. Dezember 2010)


-.-

Quote
[...] A Perfect Spy? It seems that ZoneAlarm Security Suite has been phoning home, even when told not to. Last fall, InfoWorld Senior Contributing Editor James Borck discovered ZA 6.0 was surreptitiously sending encrypted data back to four different servers, despite disabling all of the suite’s communications options. Zone Labs denied the flaw for nearly two months, then eventually chalked it up to a “bug” in the software -- even though instructions to contact the servers were set out in the program’s XML code. A company spokesmodel says a fix for the flaw will be coming soon and worried users can get around the bug by modifying their Host file settings. However, there’s no truth to the rumor that the NSA used ZoneAlarm to spy on U.S. citizens.


From: " ZoneAlarm phones home, Apple throws Intel a bone - Does crabby columnist deserve a raise, or is he just being shellfish?" - By Robert X. Cringely® (January 13, 2006)
Quelle: http://www.infoworld.com/article/06/01/13/73792_03OPcringley_1.html

-.-

Quote
[...] Eine der beliebtesten Firewalls ist ZoneAlarm. Die Freeware-Version bietet Privatanwendern einen effizienten Schutz und ist zudem einfach zu bedienen. Die Firewall überwacht permanent die Internet-Verbindung und warnt, wenn ein nicht autorisiertes Programm darauf zugreifen will. Erst nach erfolgter Bestätigung durch den Anwender wird der Zugriff frei gegeben. Integriert ist auch eine Funktion zur sofortigen Blockierung aller Internet-Verbindungen von Programmen. Darüber hinaus bietet die kostenpflichtige erweiterte Version ZoneAlarm Pro einen wirkungsvollen Schutz von persönlichen Daten wie Kennwörter, PINs und Kreditkartennummern. Der Anwender wird gewarnt und kann die Übertragung blockieren, wenn persönliche Informationen den Computer über das Internet oder per E-Mail verlassen.


Aus: "Spionage und Hacker-Attacken abwehren mit Firewalls" (Jason's Weekly 322 vom 18.12.2003)
Quelle: http://www.zdnet.de/downloads/weekly/16/weekly_322-wc.html

-.-

Quote
[...] Die verbreitete Firewall ZoneAlarm, mittlerweile in israelischem Besitz, verschickt verschlüsselte Daten an ihren Hersteller. Der bekannte IT-Kolumnist Robert X. Cringely verbreitet derzeit Informationen über Unstimmigkeiten der verbreiteten Desktop-Firewall ZoneLabs. Diese würde, zumindest in der Pro-Version, verschlüsselte Daten an die Hersteller-Webadresse senden. Eine Sprecherin des Unternehmens dementierte diese Gerüchte: es handle sich um einen Software-Bug, der in Kürze behoben würde.

...


Aus: "Firewall unter Spionageverdacht" (23.01.2006)
Quelle: http://www.gmx.net/de/themen/computer/hightech/software/1832204,cc=000000149100018322041YLVyc.html

« Last Edit: Juli 05, 2018, 11:17:02 vorm. by Textaris(txt*bot) »

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Theo de Raadt weist in einer Mail... ]
« Reply #1 on: Dezember 20, 2010, 03:13:13 nachm. »
Quote
[...] Der OpenBSD-Gründer Theo de Raadt weist in einer Mail auf eine mögliche Hintertür in der Implementierung des IPSec-Stacks zum Aufbau von VPNs hin. Da weitere Open-Source-Projekte den Code übernommen haben, könnte die Hintertür dort ebenfalls enthalten sein. Die Hintertür soll in den Jahren 2000 bis 2001 Eingang in den Code gefunden haben, als OpenBSD-Entwickler im Auftrag der US-Regierung den Code manipuliert haben sollen.

In einer von de Raadt beigefügten Mail des Softwareentwicklers und nach eigenen Angaben ehemaligen OpenBSD-Contributors Gregory Perry wird namentlich der Entwickler Jason Wright als Beteiligter erwähnt. Wright ist beziehungsweise war einer der führenden Köpfe von OpenBSD.

Die Vorwürfe wiegen schwer, de Raadt hatte nach eigenen Angaben seit über zehn Jahren keinen Kontakt mehr mit Perry und stellt deshalb die Mail von Perry öffentlich zur Diskussion – auch um nach eigener Aussage nicht Teil dieser Verschwörungstheorie zu werden. De Raadt weist auch darauf hin, dass in den vergangenen zehn Jahren der betroffene Code mehrfach gepatcht, überarbeitet und neu geschrieben wurde. Daher ließe sich schwer einschätzen, ob die Hintertür überhaupt noch vorhanden sei.

Perry hat sich nach eigener Aussage erst jetzt an den OpenBSD-Gründer gewandt, weil seine Verschwiegenheitsvereinbarung mit dem FBI nach zehn Jahren ausgelaufen sei. Als Mitarbeiter des Unternehmens Netsec haben er damals eine FBI-Abteilung beraten, die sich unter anderem mit dem Einbau von Hintertüren und Key-Recovery (Key Escrow) in Smartcards beschäftigt habe. Daher wisse er, dass das FBI seinerzeit erfolgeich mehrere Hintertürchen und Möglichkeiten für Seitenkanal-Angriffe im OpenBSD Crypto Framework (OCF) platziert habe.

Laut Perry sei dies auch der Grund für den urplötzlichen Förderstopp des US-Verteidigungsministeriums für das OpenBSD-Projekt Anfang 2003 gewesen. Die DARPA hätte Wind von den Backdoors bekommen und deshalb weitere Finanzierungen eingestellt. Perry holt aber noch weiter aus: Auch der Virtualisierungsspezialist Scott Lowe soll auf der Gehaltsliste des FBI stehen. Dieser propagiere derzeit die Implementierung von OpenBSD für VPN- und Firewall-Lösungen in virtuellen Umgebungen.

Ob IPSec in OpenBSD nun wirklich noch eine Hintertür enthält, müssen Code-Reviews zeigen. Auch andere Projekte, die OpenBSD-Code verwenden, müssen ihren Code kontrollieren. Andere IPSec-Implementierungen wie KAME, das seine Wurzeln in Japan hat, dürften vermutlich nicht betroffen sein – es sei denn, es hätte einen siginifikanten Codeaustausch zwischen den Projekten gegeben. KAME ist Bestandteil von Mac OS X, NetBSD und FreeBSD – aber ab Version 2.7 auch in OpenBSD zu finden. Daneben gibt es noch strongSwan; Linux enthält die eigene Netkey-Implementierung im Kernel, unterstützt aber auch andere Lösungen. (dab)

Quote
15. Dezember 2010 21:25
Wie gut, daß man einen Code Review machen kann.
lizzarddude

Unabhängig, ohne Geldkoffer und von Leuten, die was vom Code
verstehen. Am Schluss werden die FBI-Kollaborateure enttarnt und vom
Projekt ausgeschlossen.

Danke OSS.



Aus: "FBI-Backdoor in IPSec-Implementierung von OpenBSD?" (15.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Er modifizierte die Version 5... ]
« Reply #2 on: Dezember 20, 2010, 03:16:24 nachm. »
Quote
[...] Der indische Hacker Atul Alex hat sich an der Firmware für Symbian-S60-Smartphones zu schaffen gemacht und ihr eine Hintertür eingepflanzt. Er modifizierte die Version 5 der Original-Software – die beispielsweise auf Geräten läuft wie Nokia 5800, Nokia X6, Nokia 5530XM, Sony Ericsson Satio oder Sony Ericsson Vivaz – und integrierte eine Backdoor in Form einer Reverse Shell, inklusive Unterstützung für Perl-Skripte. Damit lassen sich alle Funktionen der Smartphones aus der Ferne steuern, inklusive der Kamera. Die Backdoor selbst hat Alex in Python geschrieben. Der Hacker will die Firmware in Kürze kostenlos zum Download bereit stellen.

Zur Installation der modifizierten Betriebssoftware muss ein Angreifer ein Smartphone jedoch für einige Minuten in die Hände bekommen und etwa per USB-Kabel mit einem Rechner verbinden. Einmal installiert, meldet sich die Backdoor beim Angreifer per Funkschnittstellen und überträgt die aktuelle IP-Adresse des Geräts. Die Shell lauscht auf Port 5530 und beherrscht Funktionen wie netcat, mkdir oder wget. Sie soll zudem die Over-the-Air-Installation von weiteren Anwendungen beherrschen.

Außerdem bringt die Backdoor noch Optionen mit zum Auslesen der E-Mail-, Telefonlisten- und SMS-Speicher, zum Anfertigen von Screenshots oder Fotografieren mit der integrierten Digitalkamera des Smartphones oder zum Mitschneiden von Telefonaten. Übertragen werden die geklauten Daten per GPRS/UMTS oder WLAN auf einen Fileserver des Angreifers.

Gegenüber heise Security erklärte Atul Alex, dass er eine eigens entwickelte Technik verwendet, um den Backdoor-Prozess vor dem systemeigenen Taskmanager der Geräte zu verstecken. Taskmanager von Drittanbietern sind laut Alex zwar prinzipiell in der Lage, den Prozess anzuzeigen. Da er aber auf Ebene des Systems läuft, gibt es keine Möglichkeit, den Task zu beenden. Entfernen lässt sich das Einfallstor laut Alex nur durch ein Überschreiben der Firmware mit der Originalsoftware von Symbian.


(Uli Ries) / (dab)




Aus: "Hacker pflanzt Backdoor in Symbian-Firmware" (08.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/Hacker-pflanzt-Backdoor-in-Symbian-Firmware-1149741.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Nach Eingabe von "HELP ACIDBITCHEZ"... ]
« Reply #3 on: Dezember 20, 2010, 03:19:24 nachm. »
Quote
[...] Unbekannte sind in den Projektserver des quelloffenen FTP-Servers ProFTPD eingedrungen und haben eine Backdoor im Programmcode versteckt. Durch die platzierte Hintertür erhalten die Angreifer vollen Zugriff auf Systeme, auf denen die modifizierte Version des Servers installiert wurde. Um den Tätern die Installation der verseuchten Version zu melden, kontaktiert der Server eine IP aus dem saudi-arabischen Raum. Nach Eingabe des Befehls "HELP ACIDBITCHEZ" präsentiert der kompromittierte Server seinem Gegenüber eine Root-Shell.

Pikanterweise nutzten die Täter für ihren Einbruch eine Zero-Day-Lücke in ProFTPD, das die Entwickler selbst für die Bereitstellungen der Quellen nutzten. Der Einbruch hat am 28. November stattgefunden und wurde am 1. Dezember entdeckt. Kurz darauf haben die Entwickler die Änderungen rückgängig gemacht. Da es sich um den Hauptserver des Projekts handelt, der über rsync auch die Mirrors speist, wurde der verseuchte Code vermutlich noch bis einschließlich heute auch über die offiziellen Spiegelserver ausgeliefert.

Ob man eine verseuchte Version des Quellcodes heruntergeladen hat, kann man anhand der MD5-Hashes und PGP-Signaturen feststellen. Zu der für den Einbruch auf den Projektserver genutzten Lücke haben die Entwickler unterdessen keine Angaben gemacht. Möglicherweise haben die Eindringlinge die nach wie vor ungepatchte Sicherheitslücke im SQL-Modul genutzt, auf die das Hackermagazin Phrack Mitte November aufmerksam gemacht hat. (rei)


Aus: "Backdoor in FTP-Server ProFTPD" (02.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/Backdoor-in-FTP-Server-ProFTPD-1146211.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Audits liefern keine Anzeichen... ]
« Reply #4 on: Dezember 25, 2010, 01:29:53 nachm. »
Quote
[....] Analysen des Crypto- und IPSec-Codes von OpenBSD haben bislang keine Hinweise geliefert, dass das System Backdoors zum Belauschen verschlüsselter VPN-Verbindungen enthält. Die OpenBSD-Entwickler hatten die Analysen begonnen, um Vorwürfe von Gregory Perry, ehemals Technik-Chef des Krypto-Herstellers Netsec, zu prüfen. Perry hatte in einer Mail an den OpenBSD-Gründer Theo de Raadt die Entwickler Jason Wright und andere beschuldigt, Hintertüren in den IPSec-Stack eingebaut zu haben. De Raadt hatte Perrys Mail veröffentlicht und die Vorwürfe zur Diskussion gestellt.

In einer weiteren Mail schreibt de Raadt nun, dass Netsec zwar offenbar für das FBI Hintertüren programmiert habe, dieser als "Spende" verteilte Code es nach seiner Ansicht aber nicht in den OpenBSD-Code geschafft habe. De Raadts Mail versucht zudem die Rolle der beschuldigten Entwickler Jason Wright und Angelos Keromytis zu klären. Beide sollen für Netsec gearbeitet haben, [Update]wobei de Raadt nach eigenen Angaben bislang nicht bekannt war, dass das Unternehmen für das FBI tätig war. [/Update]

Anhand der Revisionsverwaltung lässt sich im Nachhinein aber feststellen, welcher Entwickler an welchen Codeteilen gearbeitet hat. Demnach hat Wright hauptsächlich Treiber programmiert und mit dem OpenBSD Crypto Framework (OCF) nichts zu tun gehabt. Allerdings habe er an Teilen des IPSec-Stacks gearbeitet. Wright selbst hat die Vorwürfe, Hintertüren in den OpenBSD-Code eingebaut zu haben, in einer Mail bestritten. De Raadt beklagt allerdings, dass Wright selbst keine Stellung zu seiner Arbeit bei Netsec bezieht.

Statt Wright gerät jetzt offenbar mehr Angelos Keromytis in den Mittelpunkt des Interesses, der laut de Raadt quasi der Architekt und führende Entwickler des IPSec-Stack von OpenBSD war. Keromytis soll aber erst später bei Netsec angeheuert haben. Während dieser Zeit habe das Konzept unsicherer Initalisierungsvektoren Eingang in den OpenBSD-Code gefunden, das später aber wieder entfernt wurde. Kurz darauf wurden jedoch Padding-Oracle-Schwachstellen bekannt, mit der sich verschlüsselte Daten ohne Kenntnis eines Schlüssels entschlüsseln lassen. Die Schwachstelle wurde seinerzeit zumindest im Crypto-Layer beseitigt.

Bei den aktuellen Audits hat man aber laut de Raadt zwei Bugs gefunden. So sei die (CBC-)Padding-Oracle-Schwachstelle in Zusammenhang mit Initalisierungsvektoren offenbar nicht in den Netzwerktreibern beseitigt worden, man gehe aber von einem Versehen aus. Der andere Fehler betrifft eine Anweisung in einem Hardwaretreiber. Daneben erwähnt de Raadt ein Problem im Subsystem zur Zufallszahlenerzeugung, auf das er jedoch nicht näher eingeht.

De Raadts Aussagen dürften zwar Anhänger von OpenBSD und darauf aufbauender Projekte zunächst beruhigen, von einer Entwarnung kann jedoch noch keine Rede sein. Weiterhin gibt es zu viele Ungereimtheiten. Ob sich zudem durch wenige Tage Codereview geschickt eingebaute Hintertüren entdecken lassen, ist fraglich. Eine wie zuletzt im Quellcode von ProFTPD eingebaute Backdoor mit dem auffälligen Passwort "HELP ACIDBITCHEZ" (sic!) dürfte bei FBI-gesteuerten Manipulationen kaum Einsatz finden.

Wie gut sich Schadcode verstecken lässt, zeigt der Underhanded C Contest aus 2008 sehr anschaulich: Dort galt es, eine Bilddatei zu manipulieren, ohne dass dies auch bei genauer Betrachtung des Quellcodes zu entdecken ist. Der Code des Gewinners, Mr. Meacham, war so gut, dass nicht einmal die Veranstalter des Wettbewerbs schlüssig beschreiben konnten, wie er arbeitet – der Entwickler musste die Erklärung später selbst in seinem Blog liefern.

Selbst wenn sich letztlich bestätigt, dass OpenBSD frei von Nachschlüsseln und Hintertüren ist, bleibt ein schaler Nachgeschmack: Bei wievielen anderen Open-Source- und Closed-Source-Projekten waren staatliche Stellen mit ihren Manipulationen erfolgreich? (dab)


Aus: "OpenBSD: Audits liefern keine Anzeichen für Backdoors [Update]" (23.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/OpenBSD-Audits-liefern-keine-Anzeichen-fuer-Backdoors-Update-1158501.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Zwei britische Forscher haben eine Hintertür... ]
« Reply #5 on: Mai 30, 2012, 09:30:17 vorm. »
Quote
[...] Zwei britische Forscher haben eine Hintertür in einem Chip entdeckt, der sehr viel in militärischen Gerätschaften zum Einsatz kommt. Der versiegelbare FPGA wird dabei oft genutzt, um sensible Informationen sicher abzulegen; über die Hintertür könnte man allerdings trotzdem Zugang dazu erhalten.

Field Programmable Gate Arrays (FPGA) sind frei programmierbare Chips, mit denen man beliebige Algorithmen billig in Hardware gießen kann. Sie lassen sich nach der Programmierung so versiegeln, dass man sie nicht mehr modifizieren oder auslesen kann; außerdem kann man den Inhalt häufig auch noch verschlüsseln. Ein typisches Einsatzszenario für FGPAs ist etwa ein Verschlüsselungsmodul, das einen geheimen Schlüssel benutzt, der den Chip nie verlässt.

Für die Entwicklung der Schaltungen gibt es in der Regel eine Art Debug-Interface – die JTAG-Schnittstelle (Joint Test Action Group). Diese haben die Forscher aufgespürt und selbst dokumentiert. Darüber hinaus entdeckten sie über einen Seitenkanalangriff einen geheimen Zugangsschlüssel, der zusätzliche Funktionen freischaltete. So waren plötzlich versteckte und schreibgeschützte Speicherbereiche zugänglich und veränderbar.

Die untersuchten FPGAs vom Typ Microsemi/Actel ProASIC3 sind weit verbreitet und werden unter anderem für militärische Einsatzzwecke angepriesen. Die in den letzten Tagen um sich greifenden Panikmeldungen, es handle sich um eine "chinesische Hintertür zu Militärgeheimnissen" dürften jedoch weit überzogen sein; sie finden sich auch nicht in der veröffentlichten Vorabversion des Original-Papers "Breakthrough silicon scanning discovers backdoor in military chip".

Zurückhaltendere Blogger wie Robert David Graham von Errata Security interpretieren die Hintertür auch eher als eine der weit verbreiteten versteckten Wartungszugänge eines Herstellers. Das reduziert die Tragweite des Problems allerdings kaum. Denn die Hintertür findet sich in der Hardware und lässt sich nachträglich nicht entfernen. (ju)


Aus: "Hintertür in militärisch genutzten Chips" (29.05.2012)
Quelle: http://www.heise.de/newsticker/meldung/Hintertuer-in-militaerisch-genutzten-Chips-1585737.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Das Windows-Tool Simurgh... ]
« Reply #6 on: Mai 31, 2012, 09:25:04 vorm. »
Quote
[...] Das Windows-Tool Simurgh soll Anwendern in Iran und anderen Ländern einen freien Zugang zum Internet, vorbei an staatlicher Zensur, ermöglichen. Jetzt haben Forscher der University of Toronto entdeckt, dass im Internet eine Version dieser Software kursiert, die genau das Gegenteil tut. Sie installiert einen Trojaner auf dem PC des Nutzers, der Angreifern eine Hintertür öffnet, Passwörter und Benutzernamen ausspäht.

Dabei soll Simurgh, das nach einem persischen Fabelwesen benannt wurde, welches man im Westen als Phönix kennt, eigentlich für mehr Sicherheit und Freiheit sorgen. Seit 2009 wird das Programm vor allem in Iran von Web-Usern verwendet, die anonym im Netz unterwegs sein wollen. In letzter Zeit wird es angeblich auch bevorzugt von Syrern eingesetzt, die der Bevormundung durch ihren Staat entgehen wollen.

Simurgh leitet die Web-Anfragen der Anwender über Server im Ausland um, so dass sie beispielsweise wie User aus den USA im Netz surfen können. Von großem Vorteil für die oft mit langsamen Leitungen ans Netz angebundenen Nutzer in diesen Ländern ist, dass die Software nur etwa ein Megabyte groß ist, sich auch auf einem USB-Stick ins Internetcafé mitnehmen lässt.

Nun aber sind die kanadischen Forscher darauf aufmerksam gemacht worden, dass offenbar eine modifizierte Version von Simurgh im Netz kursiert. Statt über die offizielle Website des Anonymisierungstools wird sie über andere Download-Seiten verteilt.

Morgan Marquis-Boire, der als technischer Berater für das Citizen Lab an der University of Toronto und als Sicherheitsingenieur für Google arbeitet, hat untersucht, was es mit diesem neu entdeckten Schädling auf sich hat. Demnach wird bei der Installation der modifizierten Simurgh-Variante ein Programm namens Isass.exe auf den Rechner eingeschleust. Laut Marquis-Boire wird Dritten über diese Software ein dauerhafter Zugang zu dem Rechner eingerichtet sowie eine Möglichkeit geschaffen, Daten abzuschöpfen.

"Sollte [diese Schadsoftware] auf einem Computer installiert sein, muss man damit rechnen, dass alle Online-Accounts (E-Mail, Online-Banking und so weiter) kompromittiert worden sind", schreibt Marquis-Boire. Auch der Benutzername und das Passwort für den PC werden abgegriffen und Informationen über jedes geöffnete Fenster und jeden Tastaturanschlag protokolliert. Die so gesammelten Daten werden zu einer HTML-Datei zusammengefasst und an eine Web-Adresse übermittelt, die bei einem Internet-Provider in Saudi-Arabien registriert ist.

... Weit gefährlicher könnte für Anwender derart infizierter PC aber sein, dass der Trojaner genau jenen staatlichen Verfolgern Daten und Beweise gegen sie liefern könnte, denen sie mit der Installation von Simurgh eigentlich entgehen wollten. Marquis-Boire und Sophos verweisen in ihren Artikeln zum Thema einmal mehr darauf, dass man Software nur aus vertrauenswürdigen, am besten aus bekannten Quellen herunterladen sollte.

Wie groß die Zahl der Betroffenen ist, wagen nicht mal die Experten zu schätzen. Sicherheitsberater Chester Wisniewski von Sophos orakelt nur grob, dass sich wohl Tausende auf die Funktionen von Simurgh verlassen haben.

...


Aus: "Anti-Zensur-Software spioniert Web-User aus" Von Matthias Kremp (30.05.2012)
Quelle: http://www.spiegel.de/netzwelt/web/anti-zensur-software-simurgh-verbreitet-trojaner-a-836037.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Hersteller bestreitet Hintertür in Militär-Chips... ]
« Reply #7 on: Juni 02, 2012, 01:35:02 nachm. »
Quote
[...] Der Hersteller der FPGAs, bei denen britische Forscher kürzlich über eine Hintertür berichtet hatten, bestreitet die Vorwürfe und erklärt, es gebe "keine absichtlich eingebaute Funktion, die es erlaubt, die Sicherheitsvorkehrungen der Anwender zu umgehen". Die Forscher antworten mit einer Erklärung, die nochmals feststellt, dass eine solche Hintertür existiert und dass die sich auch nicht abschalten lasse.

Die Forscher hatten in einer veröffentlichten Vorabversion eines Papers dokumentiert, dass und wie sie neben dem Schlüssel des Anwenders in den oft militärisch genutzten Chips auch einen versteckten Schlüssel entdeckt hatten, der auf allen Chips gleich war. Er gewährt den Zugang zu einer Debug-Schnittstelle mit besonderen Rechten, die es unter anderem ermöglichten, geschützte Bereiche auszulesen.

Microsemi bestätigte daraufhin zwar, dass der fragliche ProASIC3-Chip interne Test-Einrichtungen biete. Die seien jedoch erstens standardmäßig deaktiviert und zweitens nur mit dem Passcode des Anwenders zugänglich. Darüber hinaus gebe es die Möglichkeit, die FPGAs mit höchsten Sicherheitsstufe zu programmieren. "Diese Sicherheitseinstellung deaktiviert den Zugang mit jeglichem Passcode zu allen Device-Konfigurationen, einschließlich der internen Test-Einrichtungen" erklärt der Hersteller vollmundig.

Dem widersprechen die Forscher vehement. Nicht nur, dass Actel/Microsemi diese Möglichkeit sich zusätzlich zu schützen nicht dokumentiere, darüber hinaus "kann man die Hintertür nicht deaktivieren sondern nur so umprogrammieren, dass der Zugang anders funktioniert" erklärt Ko-Author Chris Woods gegenüber unserem Schwesterportal The H. Konkret benötigt man dann zusätzlich zum Hintertürschlüssel auch den vom Anwender gesetzten Passcode – aber der lässt sich genauso auslesen wie der Backdoor-Key. "Man kann den Schlüssel in etwa einem Tag knacken, egal was eingestellt ist" resümmiert Woods. Betroffen seien im Übrigen nicht nur der ProASIC3 sondern alle Flash FPGAs/SOCs der dritten Generation von Actel/Microsemi einschließlich ProASIC3, Igloo, Fusion und SmartFusion. (ju)


Aus: "Hersteller bestreitet Hintertür in Militär-Chips, Forscher kontern" (01.06.2012)
Quelle: http://www.heise.de/newsticker/meldung/Hersteller-bestreitet-Hintertuer-in-Militaer-Chips-Forscher-kontern-1589293.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Flame via Windows Update... ]
« Reply #8 on: Juni 05, 2012, 09:09:28 vorm. »
Quote
[...] Während der noch andauernden Untersuchung des Spionage-Trojaners Flame hat der Virenexperte Costin Raiu von Kaspersky eine gleichermaßen spannende wie besorgniserregende Entdeckung gemacht: Flame konnte andere Rechner im Netzwerk offenbar über Windows Update infizieren.

Laut Raiu ist ein Flame-Modul namens Gadget dazu in der Lage, als Man-in-the-Middle anderen Rechnern im gleichen Netzwerk manipulierte Update-Pakete unterzujubeln. Ein konkretes Paket hieß WuSetupV.exe und war mit einem Zertifikat signiert, das von der "Microsoft Enforced Licensing Registration Authority CA" ausgestellt wurde – einer Sub-CA von Microsofts Root Authority. Ein weiterer Tweet des Virenexperten deutet darauf hin, dass Flame die Updates über einen virtuellen Server namens MSHOME-F3BE293C im Netzwerk verteilt hat.

Microsoft hatte bereits bestätigt, dass die Flame-Entwickler gültige Microsoft-Zertifikate ausstellen konnten. Unklar ist derzeit noch, ob Windows das Flame-Update tatsächlich klaglos akzeptiert hat. Hierzulande dürften die gefälschten Update-Pakete jedoch ohnehin keine Verbreitung gefunden haben. Laut Raiu wird das Gadget-MITM-Modul nur aktiv, wenn die Zeitzone auf GMT+2 und höher eingestellt ist – also östlich unserer Zeitzone.

Außerdem hat Kaspersky weitere Details zu der Botnetz-Infrastruktur hinter Flame veröffentlicht. Demnach haben die Flame-Betreiber mindestens 15 Kommandoserver genutzt, die für jeweils über 50 Opfer zuständig waren. Laut dem Bericht gingen wenige Stunde nach den ersten Veröffentlichungen zu Flame bei dem Botnetz "die Lichter aus".

Zur Registrierung der Domains nutzten die Betreiber zahlreiche falsche Identitäten. Die Server standen laut Kaspersky unter anderem in Deutschland, den Niederlanden, Großbritannien, der Schweiz, Hong Kong und der Türkei. Die meisten Opfer nutzten ein 32-bittiges Windows 7, darauf folgt XP mit 45 Prozent. Unter der 64-bit-Ausgabe von Windows 7 läuft Flame nicht.

Das Unternehmen konnte nach eigenen Angaben zahlreiche der Domains auf eine Sinkhole umleiten, wodurch die infizierten Systeme ihre Daten fortan bei Kaspersky ablieferten. Bei den Daten soll es sich vor allem um PDF- und Office-Dokumente, aber auch um AutoCAD-Dateien, also technische Zeichnungen, gehandelt haben. (rei)

Quote
4. Juni 2012 22:26
Der Funktionsumfang von "Flame" liest sich beinahe wie der vom Bundestrojaner
Crystal (mehr als 1000 Beiträge seit 09.09.00)

Und genau so käme der auch auf unsere Kisten: Microsoft und
Virenscanner schauen beflissentlich weg.

--
Crystal


Quote
4. Juni 2012 19:55
BSI bis auf die Knochen blamiert !
Leser-3410

Vor nur ein paar Tagen hier:
http://www.heise.de/security/meldung/BSI-Flame-keine-Superwaffe-im-Cyberkrieg-1587849.html

31.05.2012 16:02
BSI: Flame keine "Superwaffe im Cyberkrieg"

Der Computer-Virus Flame ist nach Einschätzung deutscher Experten
längst nicht so machtvoll und besonders wie von seinen russischen
Entdeckern bezeichnet. "Das ist keine neue Superwaffe im Cyberkrieg,
sondern eher ein aus verschiedenen Bauteilen zusammengestückeltes
Schad-Programm", sagte Virenexperte Dirk Häger vom Bundesamt für
Sicherheit in der Informationstechnik (BSI) am Donnerstag der
Nachrichtenagentur dpa. "Für mich gibt es keinen Grund, einen
Superalarm in Deutschland auszulösen.

Leser-3410

Quote
4. Juni 2012 20:13
Re: BSI bis auf die Knochen blamiert !
fr.osch

Tja, und nun stellt sich heraus, dass das Teil mit
Microsoft-Zertifikaten signiert war - wodurch Microsoft erst merkt,
dass sie da Mist gemacht haben. Das wäre also ein Zero-Day...

Dann schiebt er anderen Rechnern gefakte Windows-Updates unter... was
nur dank der gefakten Signaturen funktioniert.

Ganz so harmlos wie ein aus einem Baukasten zusammengeklickter Virus
scheint das tatsächlich nicht zu sein.

Keine Glanzleistung des BSI. Etwas vorschnell.

Beim nächsten Mal vielleicht warten, bis die Spezialisten mit der
Analyse fertig sind? Das dauert erfahrungsgemäß ein paar Tage... also
ein bisschen Geduld.

Und vielleicht finden die ja noch mehr... sie sind ja noch nicht
durch damit.

    fr.osch



Quote
4. Juni 2012 19:28
DAS ist der DAMMBRUCH
epc_

nein, das ist nichts geringres als DER SUPERGAU für Microsoft und ihr
update-system. ...

Quote
4. Juni 2012 19:34
Re: DAS ist der DAMMBRUCH
_AI_

Ja, aber wie?
Nach dieser Meldung würde ich (wenn ich Windows verwenden müsste)
erstmal allen updates, die mir das System so vorschlägt grundsätzlich
misstrauen, weil ja das Zertifikatsystem kompromittiert wurde. Also
eine Update-CD bei MS bestellen oder wie jetzt?  ...



Quote
5. Juni 2012 05:59
MS zum Thema
Ottmar Freudenberger, Ottmar Freudenberger (mehr als 1000 Beiträge seit 05.07.00)

> http://blogs.technet.com/b/msrc/archive/2012/06/04/security-advisory-2718704-update-to-phased-mitigation-strategy.aspx

<quote>
[...]
Yesterday, we issued Security Advisory 2718704 outlining the steps we
took to help protect our customers from attacks using certain
unauthorized digital certificates. This was the first of a series of
actions in a phased mitigation strategy, where we invalidated the
unauthorized certificates used in the targeted attack, thus
addressing that issue and any potential copycat attacks. Because
removing these certificates was a simple and straightforward action,
we believe that this was the fastest way to protect the largest
number of customers.
[...]
To increase protection for customers, the next action of our
mitigation strategy is to further harden Windows Update as a
defense-in-depth precaution. We will begin this update following
broad adoption of Security Advisory 2718704 in order not to interfere
with that update’s worldwide deployment. We will provide more
information on the timing of the additional hardening to Windows
Update in the near future.
[...]
</quote>

BTW:
Wieso ich auch an
http://www.heise.de/newsticker/meldung/Geruechte-um-neue-Luecke-in-Windows-199407.html
und
> http://technet.microsoft.com/en-us/security/advisory/945713
aus 2007 denken muss, kann mir vermutlich niemand erklären, oder?

Bye,
Freudi



Aus: "Flame kam angeblich als Windows-Update aufs System" (04.06.2012)
Quelle: http://www.heise.de/newsticker/meldung/Flame-kam-angeblich-als-Windows-Update-aufs-System-1603288.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Bei entsprechendem Verdacht ... ]
« Reply #9 on: Juni 06, 2012, 09:24:07 vorm. »
Quote
[...] Google hat ein neues Alarmsystem eingeführt, um die Nutzer seiner Online-Dienste vor möglichen Angriffen staatlicher Stellen auf ihre Nutzerkonten zu warnen. Künftig würden bei entsprechendem Verdacht deutliche Warnhinweise eingeblendet, wenn sich ein Nutzer bei Google anmeldet, teilte Google-Sicherheitsexperte Eric Grosse im firmeneigenen Blog mit. Aus welchem Anlass Google die Warnung eingeführt hat, verriet er nicht.

"Warnung: Wir glauben, dass staatlich-geförderte Angreifer möglicherweise dabei sind, ihr Nutzerkonto oder ihren Computer zu gefährden", heißt es auf den rötlich unterlegten Warnhinweisen. Über den Link "Schützen Sie sich jetzt" gelangen die Nutzer dann auf eine Seite, auf der ihnen erklärt wird, wie sie ihre Daten besser vor ungewolltem Zugriff schützen können.

"Wenn Sie diese Warnung sehen, heißt das nicht unbedingt, dass Ihr Account übernommen wurde", schreibt Grosse. "Es heißt nur, dass wir glauben, dass Sie Ziel beispielsweise einer Phishing- oder Malware-Attacke sein können und sofort Schritte zum Schutz Ihres Accounts unternehmen sollten."

Woher Google weiß, dass es sich um Angriffe staatlicher Stellen oder von Hackern in staatlichem Auftrag handeln könnte, sagte Grosse nicht. "Wir können nicht ins Detail gehen, ohne Informationen preiszugeben, die hilfreich für diese üblen Akteure wären." Intensive Analysen der Firma und Berichte von Nutzern würden aber deutlich darauf hinweisen, dass Staaten oder von Staaten geförderte Gruppen beteiligt seien. (dpa) / (anw)

Quote
6. Juni 2012 09:05
Nix genaues verraten wir nicht wegen der "üblen Akteure"
dennis_fake (mehr als 1000 Beiträge seit 29.01.05)

> "Wir können nicht ins Detail gehen, ohne Informationen preiszugeben, die
> hilfreich für diese üblen Akteure wären."

Security by Obscurity?
Wo sind eigentlich all die Google-Nerds hin, die so etwas mit
Facepalms und GTFO quittiert hätten?



Quote
6. Juni 2012 08:36
Unnötiges Bashing
Dullahan

Wenn ihr Google nicht vertraut, nutzt es nicht. WELCHE Daten sie
sammeln, ist seit langem bekannt. WARUM sie sie sammeln, weiß niemand
außer Google selbst.
Spekulationen bringen euch hier auch nicht weiter. Also hört doch mit
eurem Gejammer auf: "Google arbeitet mit den Regierungen zusammen und
gibt unsere Daten weiter" "Google verkauft unsere Daten an
Unternehmen" "Google weiß alles über mich".

Ich wiederhole mich: Wenn ihr das nicht wollt, nutzt es nicht.
Niemand zwingt euch und es gibt genug Alternativen.

...



Aus: "Google warnt Nutzer vor möglichen staatlichen Angriffen" (06.06.2012)
Quelle: http://www.heise.de/newsticker/meldung/Google-warnt-Nutzer-vor-moeglichen-staatlichen-Angriffen-1605579.html

-.-

Quote
[...] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ausdrücklich davon abgeraten, kostenlose Internet-Dienste wie Google Docs, Google Mail und das bald erscheinende Google Wave zu verwenden.

Als Grund gibt man im aktuellen Lagebericht an, dass der Anwender seine Daten komplett auf den Rechnern des Suchmaschinenbetreibers lagere. "Der Nutzer verliert vollständig die Kontrolle über seine Daten", heißt es in dem Papier. Sowohl aus Sicht des Datenschutzes als auch der IT-Sicherheit sei dies nicht zu empfehlen.


Auch andere vergleichbare Angebote könne man nicht empfehlen, so das BSI. Auf Google konzentriert man sich aber offenbar, weil die Angebote des Unternehmens einerseits sehr populär sind und andererseits ein großes Spektrum abgedeckt wird, dass letztlich nahezu die gesamte Kommunikation und Lebensorganisation umfasst.

Dabei geht es dem BSI allerdings nicht darum, web-basierte Anwendungen grundsätzlich abzulehnen. "Sollte zukünftig eine verteilte, gesicherte und kontrollierbare Datenhaltung mit Google Wave möglich sein, muss diese Bewertung neu vorgenommen werden", stellte der Bericht klar.


Aus: "BSI warnt vor Nutzung von Google-Anwendungen" (15.09.2009)
Quelle: http://winfuture.de/news,49899.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Einige Computer-Verleih-Firmen... ]
« Reply #10 on: September 28, 2012, 07:51:49 vorm. »
Quote
[...] Washington - Einige Computer-Verleih-Firmen in den USA haben ihre Kunden systematisch ausspioniert. Die Handelskommission FTC (Federal Trade Commission) der USA hat öffentlich gemacht, dass Notebooks zum Mietkauf in den Heimen der Mieter zu Spitzeln wurden. Hunderttausende waren betroffen.

Spioniert wurde sehr gründlich: Nutzernamen und Passwörter wurden ausgespäht, Kreditkarteninformationen, Bankdaten und private E-Mails, ärztliche Berichte und heimlich aufgenommene Webcam-Bilder - mal von Kindern, mal halbnackten Menschen und mal von "intimen Aktivitäten zu Hause", wie die FTC das nennt. Die Rechner selbst haben ihre Nutzer heimlich beim Sex gefilmt und höchst Privates gespeichert und an die ausgebenden Unternehmen weitergereicht, "ohne dass die Nutzer es gemerkt oder zugestimmt hätten", so die Behörde. Gegen diese Komplettüberwachung hinter dem Rücken der Nutzer geht die Behörde jetzt vor - zumindest so gut sie kann.

Der Schnüffelei diente offenbar eine Software namens PC Rental Agent vom Hersteller DesignerWare, die schätzungsweise auf 420,000 Rechnern weltweit installiert wurde; im August 2011 kam sie laut FTC bei ungefähr 1600 Mietkauf-Firmen zum Einsatz, in den USA, Kanada und Australien. Mit Hilfe der Software konnten die Verleiher beispielsweise den aktuellen Standort eines geliehenen Computer feststellen und das Gerät im Zweifel aus der Ferne lahmlegen, falls die Miete nicht rechtzeitig bezahlt wurde.

Ist in dieser Software der sogenannte Detektiv-Modus aktiviert, geht noch wesentlich mehr: Nicht nur können Screenshots angefertigt und Tastatureingaben mitgelesen werden. Die Webcam macht dann auch regelmäßig Bilder von den ahnungslosen Nutzern, Beziehungsweise von jedem, der sich gerade im Radius der Kamera bewegt. Manchmal poppt auch ein gefälschtes "Registrierungsfenster" auf, das erst wieder verschwindet, wenn der Nutzer seine Kontaktdaten in die entsprechenden Felder eingetippt hat. Laut FTC nutzten die Firmen diese ergaunerten Informationen, um beispielsweise noch ausstehende Raten einzutreiben.

"Eine Vereinbarung, einen Computer zu leihen, ist keine Erlaubnis für eine Firma, auf die privaten E-Mails, Bankinformationen und Krankenprotokolle der Kunden zuzugreifen - oder schlimmer, auf Webcambilder von Menschen im Privatbereich ihrer eigenen Wohnung", sagte Behördenchef Jon Leibowitz. "Die Vorschriften der FTC werden ihrer Cyberspionage ein Ende setzen."

Auf die Anschuldigungen der Bundesbehörde hin haben jetzt sieben der amerikanischen Unternehmen und eine Software-Firma einem Vergleich zugestimmt. Damit wird den Mietkauf-Firmen verboten, irgendeine Art von Überwachungssoftware zu benutzen oder den Aufenthaltsort des Nutzers zu verfolgen, ohne dass die Person dem zugestimmt hat. Auch wird den beteiligten Firmen verboten, ausgespähte Informationen zu nutzen, um Außenstände einzutreiben. Überwacht werden jetzt die Überwacher selbst: 20 Jahre lang wird die FTC die Unternehmen von nun an beaufsichtigen.

Strafrechtliche Befugnisse hat die Handelskommission allerdings nicht. Bei Unternehmen, denen zum ersten Mal ein Verstoß nachgewiesen wird, kann die Behörde nicht einmal ein Bußgeld verhängen. Auch ist der Einsatz einer solchen Software in den USA nicht generell verboten. "Wired" schreibt, die FTC habe den Firmen nur ein wenig auf die Finger geklopft: Denn selbst nach den neuen Vorschriften dürfen sie derart neugierige Software verwenden - sofern sie die Nutzer vorab verständigen.

Der Überwachungsalbtraum ist übrigens schon seit längerem bekannt; bereits im Mai 2011 berichtete zum Beispiel Ars Technica von Nutzern, die die Bespitzelung bemerkt und geklagt hätten. Schon dabei kam demnach heraus, dass eine der Mietkauf-Firmen die fragliche Software routinemäßig installiert hatte.


Aus: "Leihcomputer fotografierten Nutzer beim Sex" (27.09.2012)
Quelle: http://www.spiegel.de/netzwelt/netzpolitik/amerikanische-leihcomputer-spionieren-laut-ftc-nutzer-aus-a-858347.html


http://www.heise.de/newsticker/meldung/US-Handelsbehoerde-stoppt-Spionage-ueber-Mietcomputer-1718550.html


http://www.heise.de/newsticker/foren/S-noch-mehr-caselists-in-diesem-Zusammenhang/forum-238841/msg-22495833/read/


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Hersteller bauen oft spezielle Zugänge... ]
« Reply #11 on: Dezember 04, 2012, 08:59:31 vorm. »
Quote
[...] Mit einem Aufruf, Vorschläge für neue Testverfahren für Software und IT-Gebrauchsgüter einzureichen, sagt die Defense Advanced Research Projects Agency (DARPA) des US-Verteidigungsministeriums den weit verbreiteten Hintertüren den Kampf an. Mit den verfügbaren Kapazitäten sei es nicht machbar, die Sicherheit jedes Geräts des Verteidigungsministeriums zeitnah zu überprüfen. Das von DARPA aufgelegte VET-Programm soll neue Ansätze entwickeln, wie sicherzustellen ist, dass IT-Produkte frei von Hintertüren oder geheimem Schadcode sind.

Neben Computern beziehungsweise deren Software sollen insbesondere Handys, Router, Drucker und ähnliche Gerätschaften systematischen Tests unterzogen werden. In einer Veranstaltung am 12. Dezember will die DARPA das Projekt interessierten Firmen im Rahmen eines "Proposers’ Day" näher bringen.

Hersteller bauen oft spezielle Zugänge in ihre Geräte ein, etwa um den Support zu vereinfachen. Diese werden dann oft unzureichend oder gar nicht dokumentiert, so dass selbst sicherheitsbewusste Administratoren kaum eine Chance haben, die Hintertüren zu entdecken und für höhere Sicherheitsanforderungen zu verriegeln.

Doch die Informationen bleiben selten geheim; irgendwann sprechen sie sich dann doch im Netz herum und immer wieder entdecken Sicherheitsforscher bei ihren Analysen undokumentierte Accounts oder Zusatzfunktionen. Im besten Fall informieren sie die Hersteller und diese reagieren mit Updates, die die Hintertür verriegeln. Nicht selten versuchen die aber auch, das Problem einfach auszusitzen. (ju)

Quote
4. Dezember 2012 05:08
das ist unmöglich (Editiert vom Verfasser am 04.12.12 um 05:19)
BennY-

So eine Hintertür kann auch von einem Entwickler oder Hacker ohne
Wissen 3ter eingebaut werden.  ...

Ebenfalls können Zeitslots eingebaut werden, und andere
Abhängigkeiten die so einfach niemals getestet werden können.




Aus: "DARPA sagt Hintertüren den Kampf an" (04.12.2012)
Quelle: http://www.heise.de/newsticker/meldung/DARPA-sagt-Hintertueren-den-Kampf-an-1761473.html

http://www.heise.de/newsticker/meldung/Hintertuer-in-Netzwerk-Hardware-fuer-Industrieanlagen-1558825.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Die Backdoor verschafft Nutzern... ]
« Reply #12 on: Juli 12, 2013, 09:08:48 vorm. »
Quote
[...] Der Computerhersteller HP hat zugegeben, dass auch seine StoreVirtual-Server eine undokumentierte Hintertür aufweisen. Die Sicherheitslücke birgt das Risiko, dass sich Dritte unautorisierten Zugriff auf die Speichersysteme verschaffen. Die Backdoor verschafft Nutzern direkten Zugriff aufs Allerheiligste, das den StoreVirtual-Servern zugrundeliegende LeftHand Operating System. ... Die Administrator-Hintertüre ist seit mindestens 2009 fester Bestandteil des Lefthand OS. ...


Aus: "HP: Neue Hintertüren in Server-Produkten" (12.07.2013)
Quelle: http://www.heise.de/newsticker/meldung/HP-Neue-Hintertueren-in-Server-Produkten-1916292.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Die Update-Funktion ermögliche es Microsoft... ]
« Reply #13 on: Juli 30, 2013, 07:36:48 nachm. »
Quote
[...] Hamburg/Hannover - Die Abhörskandale rund um Prism und Tempora - sie haben das Vertrauen in die Sicherheit von Kommunikation im Netz grundsätzlich erschüttert. Die Verschlüsselung digitaler Datenübertragung aber schien bisher noch weitgehenden Schutz vor Überwachung zu bieten. Doch Verbindungen im Web, die nach dem sogenannten SSL-Standard verschlüsselt sind, bieten keinen vollkommenen Schutz - ein Grund ist eine Hintertür im Betriebssystem Windows, die es ermöglichen könnte, vom Nutzer unbemerkt neue, potentiell fragwürdige Stammzertifikate zu installieren.

"Auf die Verschlüsselung von Windows kann man sich nicht wirklich verlassen" - das ist das Ergebnis einer Untersuchung der IT-Fachzeitschrift "c't". Zwei Autoren haben sich in der aktuellen Ausgabe mit den Windows-Stammzertifizierungsstellen beschäftigt. Ihre Kritik zielt dabei auf das sogenannte Automatic Root Certificates Update, eine öffentlich bislang wenig diskutierte Funktion des Betriebssystems.

Die Update-Funktion ermögliche es Microsoft, die systemeigene Liste der sogenannten Stammzertifikate jederzeit zu aktualisieren, unsichtbar im Hintergrund und ohne Zutun des Nutzers, berichtet die "c't". Seit einigen Jahren sei die Funktion standardmäßig bei allen Windows-Versionen aktiviert.

Zertifikate sind eine Art Netzwerk-Ausweis: Zeigt eine Website ein von einer vertrauenswürdigen Stelle ausgestelltes Zertifikat vor, wird als sichergestellt angenommen, dass die Seite echt ist. Regelmäßige Surfer haben vermutlich schon einmal von ihrem Browser eine Warnung bekommen: "Dieser Verbindung wird nicht vertraut". In diesem Fall weist sich die Seite mit einem vom eigenen Rechner nicht als vertrauenswürdig akzeptierten Zertifikat aus.

Ausgestellt werden die Netz-Ausweise von sogenannten Certificate Authorities (CA). Dazu gehören IT-Firmen wie Microsoft selbst, das US-Unternehmen VeriSign, die deutsche Telekom und Datev, aber auch Regierungsbehörden diverser Staaten und Finanzdienstleister wie Visa und Wells Fargo. Microsoft betreibt ein Root Certificate Program, für das sich einzelne CAs bewerben können, um in die offizielle Windows-Liste aufgenommen zu werden. Microsoft erklärte, man verlange von allen dort aufgeführten CAs, "dass sie einen rigorosen Bewerbungsprozess durchlaufen und technische Anforderungen einhalten". Die CAs würden zudem regelmäßigen Überprüfungen unterzogen und im Zweifel aus der Liste entfernt.

Das Bedenkliche an den automatischen Updates in Microsofts Windows ist der "c't" zufolge jedoch: Zusätzliche CAs könnten auf diesem Weg "selektiv und quasi unsichtbar auf einzelnen PC nachinstalliert werden". Auf diesem Wege ließe sich mit etwas Aufwand zum Beispiel die SSL-Verschlüsselung bestimmter Verbindungen aushebeln - Geheimdienste wie die NSA hätten die Chance, sich in Verbindungen einzuklinken.

Verbindungen, die mit dem Standard SSL (secure sockets layer) verschlüsselt sind, werden stets auf Basis solcher Zertifikate hergestellt. SSL-verschlüsselte Verbindungen erkennt man an einem kleinen Vorhängeschlosssymbol vorn in der Browser-Adresszeile und dem Kürzel https (statt http).

Fast alles, was im Netz als sicherheitsrelevant gilt - von der Verbindung zum eigenen E-Mail-Dienstleister bis hin zum Onlinebanking - wird über solche verschlüsselten Verbindungen abgewickelt. Das liegt daran, dass die Datenströme des Internets sonst wie offene Kanäle sind. Wer an den Kanal herankommt, kann hineinsehen, etwas herausfischen: E-Mails etwa, oder Banktransaktionen. Erst wenn man die Verbindung verschlüsselt, wird aus dem offenen Kanal eine geschlossene Röhre.

Dass die US-Sicherheitsbehörden sich durchaus für das Knacken von SSL-verschlüsselten Verbindungen interessieren, berichtete "Cnet" erst vergangene Woche. Vertreter von Regierungsbehörden würden Internetunternehmen in den USA unter Druck setzen, um an die sogenannten Master Keys für SSL-Verschlüsselung zu kommen, General-Nachschlüssel für die gesicherten Verbindungen gewissermaßen, berichtete der IT-Fachdienst.

Wer die Zertifikatslisten manipulieren kann, auf die sich ein Betriebssystem verlässt, kann sogar noch mehr tun, als nur die Verschlüsselung gesicherter Verbindungen knacken und mit einer sogenannten Man-in-the-Middle-Attacke ausspähen: Mit so untergeschobenen Zertifikaten könnte man etwa auch "S/MIME-verschlüsselte Mails kompromittieren oder Trojaner so signieren, dass sie als legitime Treiber-Software durchgehen", so Micha Borrmann und Jürgen Schmidt in der "c't".

Die beschriebene Windows-Hintertür betrifft demnach nicht nur Nutzer des Microsoft-Browsers Internet Explorer. Auch Chrome und Safari greifen der "c't" zufolge auf die Krypto-Infrastruktur des Betriebssystems zurück. Firefox dagegen bringe eigene Krypto-Bibliotheken mit. Wer den Mozilla-Browser nutzt, ist von der Windows-Update-Funktion also beim Web-Browsern nicht betroffen.

Ausschalten lassen sich die automatischen Updates "c't" zufolge mit Hilfe einer Gruppenrichtlinie, was Laien nicht zu empfehlen ist. Beim Betriebssystem Windows 8 etwa soll diese Maßnahme im Surf-Alltag zudem leicht zu Problemen führen: Weil Windows 8 nur einen reduzierten Satz Stammzertifikate mitbringt, verursache beispielsweise schon der Aufruf von Telesec.de mit einem Windows mit der entsprechenden Gruppenrichtlinie einen Fehler in allen drei betroffenen Browsern. Firefox dagegen vertraut der Telekom-Website von Haus aus.

Microsoft steht seit den Enthüllungen des NSA-Whistleblowers Edward Snowden in der Kritik. Der Konzern hat vom britischen "Guardian" eingesehenen NSA-Dokumenten zufolge dem US-Geheimdienst und dem FBI beispielsweise Zugriff auf vermeintlich verschlüsselte Internettelefonate über den Microsoft-eigenen Dienst Skype verschafft. Auch die Verschlüsselung von Chats und E-Mails auf Outlook.com soll Microsoft auf Wunsch der US-Sicherheitsbehörden umgangen haben.

Die "c't"-Journalisten beklagen: "Auf unsere Fragen, warum man zusätzlich einen dynamischen Nachlade-Mechanismus implementiert hat, antwortete Microsoft nicht."

Auf Nachfrage von SPIEGEL ONLINE verwies das Unternehmen auf einen Blog-Eintrag, der im Anschluss an die Microsoft-Enthüllungen aus Edward Snowdens Fundus veröffentlicht worden war. Darin heißt es unter anderem: "Microsoft gibt keiner Regierung direkten und uneingeschränkten Zugang zu den Daten unserer Kunden. Microsoft greift nur die spezifischen Daten heraus und gibt sie weiter, die von der relevanten juristischen Anordnung abgedeckt sind." Die Antwort auf die konkrete Nachfrage, ob Microsoft jemals Sicherheitsbehörden dabei unterstützt hat, eine SSL-Verschlüsselung auszuhebeln, steht noch aus.


Aus: "Verdeckte Updates: Windows-Hintertür gefährdet Internetverschlüsselung"
Von Markus Böhm und Christian Stöcker (30.07.2013)
Quelle: http://www.spiegel.de/netzwelt/web/windows-hintertuer-gefaehrdet-ssl-verschluesselung-a-913825.html

Micha Borrmann, Jürgen Schmidt (c't 17/2013)
Microsofts Hintertür: Zweifelhafte Updates gefährden SSL-Verschlüsselung
http://www.heise.de/ct/artikel/Microsofts-Hintertuer-1921730.html

« Last Edit: Juli 30, 2013, 07:39:05 nachm. by Textaris(txt*bot) »

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Die Firma aus dem kalifornischen Sunnyvale... ]
« Reply #14 on: August 06, 2013, 10:33:35 vorm. »
Quote
[...]  Narus sei "das eine Unternehmen, das all das möglich macht", zitiert das Magazin Salon in einem Artikel zum Überwachungsprogramm Prism den Whistleblower Bill Binney, der früh vor der Sammelwut der NSA warnte. 60 bis 80 Prozent aller Datenströme, die etwa über die Kabel des Telekom-Anbieters Verizon liefen, würden von Narus automatisch gesammelt und gespeichert. Narus stelle Werkzeuge bereit, die der NSA Hintertüren zu allen großen US-Technologiefirmen öffneten.

... Die Firma aus dem kalifornischen Sunnyvale gilt als Pionier und weltgrößter Hersteller von Überwachungstechnik. Aber Informationen über Narus zu bekommen ist schwer. Selbst in der Branche weiß kaum jemand Genaues über die verschwiegene Firma, das Wissen beschränkt sich auf das wenige, das Narus selbst herausgibt. In interessierten Zirkeln sei die Firma zwar sehr bekannt, meint etwa Sicherheitsexperte Sebastian Stadl vom Cloud-Unternehmen Scalr. Außerhalb kenne sie so gut wie niemand. "Narus ist nicht die Art von Firma, die etwas davon hat, in der Presse aufzutauchen."

Lange war das Unternehmen, das 1997 in Israel gegründet wurde und dessen Name vom lateinischen Wort für "allwissend" abgeleitet ist, privat, Informationen kamen kaum an die Öffentlichkeit. Narus beschäftigt nach eigenen Angaben weltweit 150 Mitarbeiter. Auf der Internetseite heißt es, "Regierungen, Carrier und Unternehmen rund um die Welt" gehörten zu seiner "schnell wachsenden Kundschaft". Auf eine Anfrage von Zeit Online reagierte das Unternehmen nicht.

Quote
Hollerith 2.0
Autor Charles Marlow 31.07.13 - 10:52

"Wir verkaufen keine Technologien, die nur zu bösen Zwecken missbraucht werden können, an böse Diktatoren! Wir sind nur brave Geschäftsleute ohne Gewissen!"


Quote
Gründer arbeiten bei der deutschen Telekom
Autor glomglom 31.07.13 - 08:58

schon witzig, das wohl laut Wiki zu Narus, die beiden Gründer / Initiatoren Ori Cohen und Stas Khirman nun bei der deutschen Telekom (Deutsche Telekom Hosted Business Services) beschäftigt sind. Was die wohl da so alles treiben ? ;-)

In der Wiki zu Narus sind unter den Einzelnachweisen 4) + 5) interessante Gedanken zu finden.

Auszug aus 4) vom Autor des Buches "The Shadow Factory: The Ultra-Secret NSA from 9/11 to the Eavesdropping on America":

....this new cloned copy of the cables, would actually go one floor below to NSA’s secret room. So you had one copy of everything coming in and going to NSA’s secret room. And in the secret room was equipment by a private company called Narus, the very small company hardly anybody has ever heard of that created the hardware and the software to analyze these cables and then pick out the targets NSA is looking for and then forward the targeted communications onto NSA headquarters.

Viel Spass beim darüber nachdenken ....



Aus: "Die Firma, die alles weiß" Thorsten Schröder  (30.7.2013)
Quelle: http://www.golem.de/news/ueberwachungstechnik-die-firma-die-alles-weiss-1307-100694.html

http://www.salon.com/2013/06/10/digital_blackwater_meet_the_contractors_who_analyze_your_personal_data/

http://www.golem.de/news/nsa-whistleblower-sie-errichten-einen-totalitaeren-staat-1306-100098.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Die Software diene oft nur als Hintertür für mögliche spätere Zugriffe... ]
« Reply #15 on: August 31, 2013, 03:26:38 nachm. »
Quote
[...] Die US-Regierung lässt nach Informationen der Washington Post in einem immer größeren Ausmaß Cyberangriffe durchführen. Das gehe aus dem geheimen Entwurf zum Budget der US-Geheimdienste hervor, das die Zeitung von dem Whistleblower Edward Snowden erhalten hat. Dem Bericht zufolge haben die Geheimdienste allein im Jahr 2011 insgesamt 231 Cyberangriffe ausgeführt. Fast drei Viertel dieser Angriffe waren demnach gegen Ziele mit höchster Priorität gerichtet: Dazu gehören Länder wie Iran, Russland, China und Nordkorea.

Solche Cyberangriffe, offiziell bezeichnet als offensive cyber operations, beinhalten die Manipulation oder Zerstörung von Informationen in Computern oder in Computernetzwerken oder der Rechner und Netzwerke selbst. Die meisten dieser Aktionen hätten unmittelbare Auswirkungen auf Daten und Funktionsfähigkeit von Computern des Gegners: Die Verbindungen würden beispielsweise langsamer.

Als bekanntestes Beispiel eines staatlichen Cyberangriffs gilt der Computerwurm Stuxnet, der vor einigen Jahren das iranische Atomprogramm sabotierte. IT-Sicherheitsexperten glauben, dass hinter Stuxnet westliche Geheimdienste stecken, auch wenn dies nie offiziell bestätigt wurde.

Details aus dem geheimen Budget-Entwurf der US-Nachrichtendienste waren schon vor einigen Tagen bekannt geworden. Demnach geben die Geheimdienste einen Großteil ihres Geldes für das Sammeln und Auswerten von Daten aus. Außerdem hätten sie in den vergangenen Jahren daran gearbeitet, in fremde Computer und Systeme einzudringen.

Teil dieser Spähaktionen ist offenbar auch ein Projekt mit dem Code-Namen Genie: Wie die Washington Post berichtet, dringen US-Computerspezialisten im Rahmen dieses Projekts in ausländische Netzwerke ein, um sie heimlich unter ihre Kontrolle zu bringen. Bis Ende dieses Jahres solle damit auf mindestens 85.000 Computern weltweit spezielle Software platziert werden. Sie könne Daten mitschneiden und übermitteln. In großen Computernetzwerken kann demnach ein infiziertes Gerät den Zugang zu Hunderttausenden weiteren öffnen.

Die Software diene oft nur als Hintertür für mögliche spätere Zugriffe, sagte ein ehemaliger Beamter der Washington Post. Demnach wurden im Jahr 2011 von fast 69.000 kontrollierten Computern nur 8.448 voll "ausgebeutet", was auch mit personellen Kapazitäten zu tun habe. Deswegen solle in Zukunft ein System mit dem Codenamen Turbine für den automatischen Betrieb von Spionage-Programmen auf fremden Rechnern sorgen. Spezialisten der NSA arbeiteten zudem an verdeckter Software, die relevante Gespräche in Computernetzwerken ausfindig machen und mitschneiden könne.


Aus: "US-Geheimdienste infizieren ausländische Netzwerke" (31. August 2013)
Quelle: http://www.zeit.de/digital/datenschutz/2013-08/usa-geheimdienste-cyberattacken-snowden


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Wer ist Joel?... ]
« Reply #16 on: Oktober 15, 2013, 09:14:57 vorm. »
Quote
[...] In einer Reihe von D-Link-Routern wurde eine Hintertür entdeckt, die es einem Angreifer erlaubt, die Passwortabfrage des Web-Interface zu überspringen – einfach durch das Ändern des User Agent im Browser. Ein Angreifer im Netz des Routers kann so sämtliche Einstellungen des Gerätes manipulieren. Ist die WAN-Konfiguration aktiviert, so ist dieser Angriff auch über das Internet möglich. Entdeckt hatte die Schwachstelle die Hackergruppe /dev/ttyS0 beim Durchforsten der Router-Firmware 1.13 für die Revision A des DIR-100-Routers.

Die Gruppe stellte fest, dass die Passwortabfrage des eingebauten Webservers einfach umgangen wird, wenn der User Agent des anfragenden Browsers auf den String "xmlset_roodkcableoj28840ybtide" gesetzt wird. Liest man den String rückwärts, kann man Rückschlüsse auf den Namen des Programmierers treffen, der die Hintertür eingebaut hat: "edit by 04882 joel backdoor". Die Hacker haben bei ihren Recherchen in einem russischen Forum einen Beitrag von 2010 gefunden, welcher auf den String hinweist.

Laut den Forschern sind neben dem DIR-100 noch eine Reihe weiterer Router von D-Link betroffen. Dazu zählen die folgenden Modelle:

    DI-524
    DI-524UP
    DI-604S
    DI-604UP
    DI-604+
    TM-G5240

Die Modelle BRL-04UR und BRL-04CW von Planex benutzen wohl ebenfalls die betroffene D-Link Firmware und wären damit auch gefährdet.

Sicherheitsspezialist Travis Goodspeed hat bei weiteren Nachforschungen herausgefunden, dass die Hintertür von Binärcode in der D-Link-Firmware benutzt wird, wahrscheinlich um Einstellungen des Routers automatisch zu konfigurieren. Die Firmware bedient sich dabei des Webservers, der von Haus aus schon alles mitbringt, um den Router zu konfigurieren. Dies ersparte es den Firmware-Entwicklern zusätzlichen Code für diese Aufgabe schreiben zu müssen. Da der Benutzer aber die Zugangsdaten für den Webserver-Zugriff ändern kann, nutzt die Firmware die eingebaute Hintertür – mit katastrophalem Ergebnis für die Sicherheit des Gerätes.

D-Link teilte gegenüber heise online mit, dass man an einer Lösung für die Sicherheitslücke arbeite. Falls ein Software-Update aus technischen Gründen nicht zur Verfügung gestellt werden könne, werde man versuchen, den betroffenen Kunden eine andere Lösung anzubieten. Einen Workaround für das Problem gibt es momentan nicht, betroffene Nutzer sollten aber auf jeden Fall die Möglichkeit zur WAN-Administration der Router abstellen, da sie sonst Opfer eines Angriffs aus dem Internet werden könnten. Eine Suche nach entsprechenden Router-Modellen bei der Suchmaschine Shodan fördert tausende verwundbare Geräte zu Tage.

Laut D-Link werden die Revision A des DIR-100 Routers sowie die Modelle DI-524, DI-524/DE und DI-524UP mittlerweile nicht mehr unterstützt. In der aktuellen Revision D des DIR-100 ist die Lücke nicht vorhanden. Das Modell DIR-615, welches in einigen Kommentaren zu der Meldung von /dev/ttyS0 als auch verwundbar gemeldet wurde, sei nicht betroffen. Die Modelle DI-604S, DI-604UP, DIR-604+ sowie TM-G5240 wurden laut des Herstellers im deutschsprachigen Raum nicht verkauft.

Auf der firmeneigenen Sicherheits-Seite für Router ist die aktuelle Sicherheitslücke momentan noch nicht aufgeführt.

[Update 14.10.2013 16:45]

Mittlerweile gibt es auch ein passendes Modul für das Pentesting-Framework Metasploit, welches das Ausnutzen der Hintertür zu einem Kinderspiel macht. (fab)

Quote
14. Oktober 2013 15:26
Die wichtigsten Fragen bleiben unbeantwortet
DaWoOl

Wer ist Joel?
Was ist seine Position?
Für wen arbeitet er heute?
Was hat er noch alles programmiert?



Aus: "D-Link-Router mit Hintertür" (14.10.2013)
Quelle: http://www.heise.de/newsticker/meldung/D-Link-Router-mit-Hintertuer-1977835.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Auf einige Routern... ]
« Reply #17 on: Januar 03, 2014, 09:29:16 vorm. »
Quote
[...] Auf einige Routern von Linksys und Netgear läuft offenbar ein undokumentierter Dienst, über den man unter anderem die Konfiguration einschließlich der Klartext-Passwörter auslesen und auch manipulieren kann. Es besteht die Möglichkeit, dass auch Geräte anderer Hersteller betroffen sind.

Der Reverse Engineer Eloi Vanderbeken hat entdeckt, dass sein heimischer Linksys-Router WAG200G über den Port 32764 erreichbar ist. Anschließend nahm er die Router-Firmware mit dem Analyse-Tool binwalker auseinander und konnte schließlich ergründen, was es mit dem lauschenden Dienst auf sich hat. Es handelt sich um eine Konfigurationsschnittstelle, durch die man eine Reihe von Befehlen auf dem Router ausführen kann. Einer der Befehle etwa setzt das Gerät auf Werkeinstellungen zurück, ein anderer spuckt die Router-Konfiguration aus – mitsamt aller Passwörter im Klartext.

Nachdem Vanderbeken seine Informationen ins Netz stellte, meldeten sich Besitzer anderer Modelle, die das Phänomen nachvollziehen konnten. Die Rückmeldungen trägt er bei Github zusammen, wo er auch ein Proof of Concept veröffentlicht hat. Ein erstes Indiz dafür, was es mit dem Dienst auf sich haben könnte, liefert die Zeichenfolge "ScMM", die von den betroffenen Routern nach dem Verbindungsaufbau über Port 32764 gesendet wird. Es könnte sich dabei um eine Abwandlung des Firmennamens SerComm zu handeln. SerComm hat offenbar zumindest einige der betroffenen Geräte als OEM hergestellt. Das Unternehmen soll auch Netzwerkausrüster wie Belkin und LevelOne beliefern. Ob auch deren Router betroffen sind, ist derzeit nicht bekannt.

Zumindest in einigen Fällen scheint der fragliche Dienst nicht nur über das lokale Netz, sondern auch über das Internet erreichbar zu sein. Eine Recherche mit der Spezialsuchmaschine Shodan förderte fast 3000 IP-Adressen zu Tage, die auf Port 32764 antworten; davon rund 60 aus Deutschland. heise Security hat Linksys und Netgear am Donnerstagvormittag um eine Stellungnahme gebeten. In beiden Fällen steht eine Antwort bislang noch aus. (rei)


Aus: "Mysteriöse Backdoor in diversen Router-Modellen" (03.01.2014)
Quelle: http://www.heise.de/newsticker/meldung/Mysterioese-Backdoor-in-diversen-Router-Modellen-2074394.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Eloi Vanderbeken... ]
« Reply #18 on: Januar 14, 2014, 10:28:02 nachm. »
Quote
[...] Es stimmt, wir haben ein Problem, unsere Kunden sind angreifbar und wir können im Moment absolut nichts dagegen tun. So ungefähr lässt sich die Mitteilung zusammenfassen, die das US-Unternehmen Cisco gerade veröffentlicht hat. Was der Hersteller von Netzwerk-Hardware da auf seine Website gestellt hat, kommt einem Offenbarungseid gleich.

Immerhin hat Cisco damit als erstes Unternehmen auf eine Enthüllung reagiert, die eine ganze Reihe von Routern auch anderer Hersteller betrifft. Demnach gibt es bei den betroffenen Modellen eine Hintertür, über die ein Angreifer Zugriff auf die Zugangsdaten gewinnen kann. Wer einen derart angreifbaren Router zu Hause oder in der Firma stehen hat, hat ein Sicherheitsproblem. Betroffen sind offenbar auch Router der Firmen Netgear, Linksys, Diamond und LevelOne, mutmaßlich auch weitere Hersteller. Warum so viele Geräte die gleiche Sicherheitslücke haben, ist unklar.

Cisco will bis Ende des Monats eine kostenlose Software-Lösung für das Problem vorlegen. Eine behelfsmäßige Lösung kann das Unternehmen bis dahin nicht anbieten. Eine solche sei derzeit einfach nicht bekannt, heißt es in dem Sicherheitsbulletin. Unter dem Punkt  Affected Products/ Vulnerable Products findet sich eine Auflistung der vier definitiv gefährdeten Cisco-Typen mit den jeweiligen Software-Konfigurationen.

Aufmerksam gemacht auf das schwerwiegende Problem hat der niederländische Entwickler Eloi Vanderbeken. Kurz nach Weihnachten veröffentlichte er auf der Seite Github eine Präsentation mit 34 Folien. Darin schildert Vanderbeken mit einigen lustigen Zeichnungen, wie es ihm möglich war, über ein kleines Python-Skript die Zugangsdaten seines Linksys-Routers auszulesen.   

Der Grund dafür ist offenbar, dass der TCP-Port 32764 offen ist und auf Anfragen wartet. Ein solcher Port ist ein definierter Kanal für den Transport von Daten zwischen einem Rechner und dem Router, bestimmte Ports sind für ganz konkrete Aufgaben reserviert.

Die Anfragen an den Router können in einigen Fällen sogar über das Internet erfolgen. Viel häufiger sind sie jedoch erfolgreich, wenn sie über das jeweilige lokale Netzwerk erfolgen. Das ist vor allem für Firmennetzwerke kritisch. Über den Port und mithilfe des veröffentlichten Skripts lassen sich nicht nur sensible Passwörter und Einstellungen einsehen, sondern auch verändern. Heise.de spielt das Szenario durch, dass ein Angreifer mit diesem Zugang etwa den eingestellten DNS-Server verändern und so den gesamten Datenverkehr über eine fremde Adresse umleiten könnte. Die Nutzer würden von so einer Umleitung wahrscheinlich nichts merken.

Ob ihr eigener Router betroffen ist, können Nutzer mit einem Schnellcheck bei heise.de überprüfen. Hierbei werden offene Ports angezeigt. Bedenklich ist es, wenn der besagte Port 32764 in der Darstellung rot und als offen markiert wird. Sollte das der Fall sein, bietet Heise einen detailierten Check an, der zeigt, ob ein Angreifer Zugang zum Netzwerk haben muss oder gar über das Internet kommen kann.

Eine vollständige Dokumentation zu seinem Fund hat Vanderbeken zwar nicht vorgelegt, das wäre ihm viel zu aufwändig gewesen, schreibt der Entwickler auf Github. Doch jeder hat die Möglichkeit, seine Liste angreifbarer Hardware um weitere Modelle zu ergänzen. Getestet hatte Vanderbeken seinen Code nur einen Tag lang und zunächst auch nur auf einem bestimmten Router, einem Linksys WAG200G. Doch schon bald nach der Veröffentlichung wurde klar: Von dem Problem sind auch andere Geräte betroffen. Woher es kommt, weiß niemand. Vanderbeken stellte aber immerhin fest, dass in vielen der betroffenen Router Modems der Firma SerComm verbaut wurden.

Zumindest dem Cisco Product Security Incident Response Team (Psirt) seien keine Fälle bekannt, in denen die Lücke in größerem Maße ausgenutzt wurde, schreibt das Unternehmen. Ausdrücklich bedankt es sich bei denjenigen, die das Einfallstor publik gemacht haben.


Aus: "Cisco kann die Hintertür im eigenen Router nicht schließen" (14. Januar 2014)
Quelle: http://www.zeit.de/digital/datenschutz/2014-01/router-backdoor-cisco


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Die TV-Sender schauen... ]
« Reply #19 on: Januar 26, 2014, 12:14:32 nachm. »
Quote
[...] Wenn Sie es sich auf der Couch gemütlich gemacht haben und den Fernseher einschalten, sind Sie dabei nicht allein: Die TV-Sender schauen Ihnen beim Zappen über die Schulter und registrieren exakt, wann Sie zuschalten – und oft auch wie lange.

c't hat eine Reihe aktueller Smart-TVs im Labor aufgebaut, um zu überprüfen, welche Daten abfließen, wenn man die Geräte mit dem Internet verbindet. Ohne dass wir eine der Online-Funktionen aktivierten, schickten die Geräte bereits umfassende Daten über das Nutzungsverhalten ins Netz. Und zwar nicht nur an die Sendeanstalten, sondern auch an die TV-Hersteller – und sogar an die Datenkrake Google.

Dafür ist vor allem der Datendienst HbbTV verantwortlich, über den die TV-Sender den Fernseher anweisen können, eine bestimmte URL abzurufen. Und zwar genau in dem Moment, wenn man den Sender einschaltet. Nach Einschätzung von Datenschutzexperten ist dies ganz klar rechtswidrig, da die ungefragt übertragenen Daten personenbeziehbar sind.

... Kurz vor Redaktionsschluss konnten wir dann noch einen kleinen Erfolg verbuchen: Einer der wichtigen öffentlich-rechtlichen Sender hat das Zuschauer-Tracking nach unserer Anfrage drastisch zurückgefahren.

Quote
snopo , 25. Januar 2014 10:32
Haha! Erinnert sich noch jemand an die Stasi-Telefone?

Telefone, die in Serie (naja, Kleinserie ;-) hergestellt wurden und
das Abhören des Raumes selbst bei aufliegendem Hörer ermöglichten?

Was war die DDR doch für ein fieser Überwachungs- und
Unterdrückungsstaat, dass sie serienmäßig in das einzig verfügbare
Telefon Überwachungstechnologie eingebaut haben! Ich kann mich noch
an die Berichterstattung erinnern...

In einem demokratischen Rechtsstaat wäre sowas natürlich nieeee
möglich. Und vor allem nicht im Kapitalismus. Denn wenn eine Firma
sowas einbaut und das kommt raus, dann kauft das ja keiner mehr und
die Firma geht pleite! (Kommt Euch die Argumentation bekannt vor?
Welche Firma ist eigentlich jemals so Pleite gegangen?)

Und im Gegensatz zur Stasi bezahlen wir die ÖR-Sender noch mit
unserer GEZ-Gebühr dafür, dass sie uns abschnorcheln.

...


Aus: "Spion im Wohnzimmer: c't ertappt schnüffelnde Fernseher" (25.01.2014)
Quelle: http://www.heise.de/newsticker/meldung/Spion-im-Wohnzimmer-c-t-ertappt-schnueffelnde-Fernseher-2096578.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Manipulierte Versionen... ]
« Reply #20 on: Januar 29, 2014, 09:10:59 vorm. »
Quote
[...] Der Virenschutz-Hersteller Avast hat manipulierte Versionen des FTP-Clients FileZilla entdeckt, welche die genutzten Zugangsdaten heimlich an einen deutschen Server übertragen. Die Fälschungen sind kaum vom Original zu unterscheiden und voll funktionsfähig.

Laut Avast werden die trojanisierten Ausgaben der FileZilla-Versionen 3.7.3 and 3.5.3 über Download-Seiten verbreitet, die optisch an die Herstellerseite angelehnt sind und auf gehackten Servern platziert wurden. Die Entwickler der trojanisierten Fassungen haben sich große Mühe gegeben, nicht aufzufallen: Genau wie das Original installieren sich die Malware-Zwillinge mit dem Nullsoft-Installer, ferner bietet sie alle von FileZilla bekannten Funktionen. Die Spionagefunktionen wurden direkt in das Binary eingebaut.

Die Malware-Versionen unterscheiden sich nur in kleinen Details vom Original: Sie wurden offenbar mit einer älteren Version von GnuTLS kompiliert, nämlich 2.8.6 statt 3.1.11. Dies zeigt FileZilla auch wahrheitsgemäß unter "Hilfe", "Über..." an. Dort findet sich bei einer Fälschung eine ältere SQLite-Version, bei einer anderen Variante fehlt diese Angabe ganz.

Nutzt man die Schadsoftware, übertragt Sie gesichtete Zugangsdaten per HTTP an einen Server, der laut Avast bei dem deutschen Hoster Hetzner steht. Er ist über drei russische Domains (.ru) erreichbar. Bei einem Test am Dienstagnachmittag hielten nur sieben der 50 bei VirusTotal vertretenen Virenscanner das Installationsprogramm der verseuchten Version 3.7.3 für schädlich. (rei)


Aus: "Trojanisierte FileZilla-Version greift Zugangsdaten ab" (28.01.2014)
Quelle: http://www.heise.de/newsticker/meldung/Trojanisierte-FileZilla-Version-greift-Zugangsdaten-ab-2099232.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Aber diese Tatsache ist... ]
« Reply #21 on: Februar 27, 2014, 08:55:01 vorm. »
Quote
[...] "Hat RSA für die NSA gearbeitet? Ja. Aber diese Tatsache ist seit einem guten Jahrzehnt öffentlich bekannt". Dies war einer der deutlichsten Sätze aus Coviellos Eröffnungsansprache zur RSA Conference 2014. Er erklärte, dass RSA – genau wie etliche andere US-Technikunternehmen – zum Wohle der Verteidigung des Landes schon seit langem mit dem Verteidigungsarm der NSA (IAD, Information Assurance Directorate) zusammenarbeite. Dies sei auch bekannt und kein Problem.

...

Quote
26. Februar 2014 17:22
Man braucht keine Hintertüren ...
bismarckhering

> Scott Charney von Microsoft dementierte Hintertüren in Microsoft-Produkten.

Man braucht keine Hintertüren, wenn man Eigner des Kellers ist.

b.



Aus: "RSA-Boss: "Ja, wir haben mit der NSA zusammengearbeitet"" (26.02.2014)
Quelle: http://www.heise.de/newsticker/meldung/RSA-Boss-Ja-wir-haben-mit-der-NSA-zusammengearbeitet-2125195.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Nachdem die Analyse... ]
« Reply #22 on: April 23, 2014, 10:06:40 nachm. »
Quote
[...] Nachdem die Analyse eines Reverse Engineer ergab, dass Netgear eine seit Jahresbeginn bekannte Router-Backdoor nicht entfernt, sondern lediglich versteckt haben soll, kündigte der Netzwerkausrüster an, den Fall untersuchen zu wollen. "Wir gehen im Moment mit unserem Technologiepartner SerComm zusammen den Behauptungen nach", erklärte Netgear gegenüber heise Security. SerComm ist der OEM-Hersteller der betroffenen Geräte, er hat auch für andere Netzwerkausrüster Router produziert, auf denen der Backdoor-Dienst ebenfalls aktiv war oder ist.

... Netgear will nicht nur das Modell DGN1000 noch einmal untersuchen, auf das sich die Analyse bezieht, sondern auch eine ganze Reihe weiterer Router.

... Wofür der Backdoor-Dienst vorgesehen ist und wer für ihn verantwortlich ist, darauf konnte Netgear noch keine Antworten liefern. Das Unternehmen verweist auf die laufenden Gespräche mit SerComm in Taiwan.

...

Quote
damian98, 23. April 2014 16:46
F*CK YOU NETGEAR!

Sorry ist sonst nicht meine Art :-D

Aber der ganze Mist mit den von der NSA vorgeschriebenen Backdoors in
amerik. Netzwerkprodukten soll der ganzen Mischpoke im Hals stecken
bleiben!

Wer analysiert endlich mal IOS von Cisco?

Cheers

Quote
Michael P, 23. April 2014 17:10
Re: F*CK YOU NETGEAR!

Auf die Idee, dass Netgear hier auch nur Betroffener ist, kommst Du
nicht? Auch wenn es recht dämlich ist, als Routerhersteller die
Entwicklung von Routern auch nur für einen Teil der Modellpalette
komplett outzusourcen, scheint für diese Backdoor doch eher SERCOMM
zuständig zu sein. Dafür spricht auch, dass neben Netgear noch andere
Hersteller betroffen sind, die auf SERCOMMs Dienste zurückgegriffen
haben.

Wenn man sich dann ansieht, wo SERCOMM sitzt und seine technische
Entwicklung hat, ist die Frage, auf wessen Veranlassung genau die
Backdoor eingebaut wurde, auch nicht so ganz klar:
> http://www.sercomm.com/contpage.aspx?langid=1&type=info&L1id=6&L2id=17



Quote
Lance Hardwood, 23. April 2014 16:38
Meinten sie: "die Backdoor besser verstecken"?

"will der Netzwerkausrüster die Vorwürfe nun umfassend prüfen."

lol


Quote
onlineschelm, 23. April 2014 20:32
Netgear "prüft"

Na dann ist ja jegliches Vertrauen zurückgewonnen.

Da gibt es nichts zu prüfen. Sofort die Verträge mit SerComm
kündigen, sofern das nicht gewünscht war.

Ansonsten gehört Netgear in die Tonne. Ebenso wie alle anderen
5-Eyes-Hersteller. Cisco allen voran.



Aus: "Router-Backdoor reloaded: Netgear prüft 11 Modelle" (23.04.2014)
Quelle: http://www.heise.de/newsticker/meldung/Router-Backdoor-reloaded-Netgear-prueft-11-Modelle-2175535.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Dual EC ist ein Zufallszahlengenerator... ]
« Reply #23 on: Juni 17, 2014, 09:19:45 vorm. »
Quote
[...] Dual EC ist ein Zufallszahlengenerator, der mutmaßlich eine Hintertür der NSA enthält. Entdeckt wurde die Möglichkeit einer Hintertür 2007 von Dan Shumow und dem Microsoft-Mitarbeiter Niels Ferguson, die in einem Kurzvortrag auf der Crypto-2007-Konferenz darauf hinwiesen. Der Algorithmus enthält als Parameter zwei Punkte auf einer elliptischen Kurve. Wer diese Punkte definiert, hat die Möglichkeit, eine Hintertür für den Algorithmus zu berechnen. Nach den Snowden-Enthüllungen gilt es inzwischen als praktisch sicher, dass bei Dual EC eine Hintertür der NSA enthält.

... Dual EC wurde 2006 von der US-Behörde Nist (National Institute of Standards and Technology) als NIST SP 800-90 standardisiert. Später übernahm auch das Ansi den Algorithmus im Standard X9.82. Da Certicom bereits spätestens im Januar 2005 von der Hintertür in Dual EC wusste, stellt sich die Frage, warum der Algorithmus überhaupt standardisiert wurde.

... Das Nist hat den Algorithmus Dual EC im April offiziell zurückgezogen, allerdings ohne dabei offiziell eine Hintertür einzugestehen.

...


Aus: "Das Patent auf die NSA-Hintertür" Hanno Böck (16.6.2014)
Quelle: http://www.golem.de/news/dual-ec-das-patent-auf-die-nsa-hintertuer-1406-107219.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Keineswegs versehentlich... ]
« Reply #24 on: September 14, 2014, 07:04:48 nachm. »
Quote
[...] Im Januar 2014 wurde von heise Security aufgedeckt, dass in Ciscos Routern sowie in Routern anderer US-amerikanischer Routerhersteller eine Backdoor eingebaut ist, die es sowohl dem Internetdienstanbieter als auch Dritten extern über das Internet erlaubt, sämtliche Konfigurationsdaten des Routers auszulesen und zu manipulieren, darunter unter anderem auch die Passwörter für den Administratorzugang des Routers, das WLAN, den DSL-Zugang, Proxy-Server und DynDNS-Dienste sowie Passwörter und Zertifikate für VPNs. Demnach wird das Auslesen und Manipulieren dieser Daten durch einen undokumentierten Dienst ermöglicht, der in die Router-Software integriert ist.[15] Darüber hinaus sei es möglich, den gesamten Datenverkehr des Routers umzuleiten und vollständig zu überwachen. Als Reaktion darauf stellte unter anderem der Routerhersteller Netgear im April 2014 ein scheinbares Sicherheits-Update zur Verfügung, das die Backdoor angeblich schließen sollte.[16] Der Reverse-Engineer Eloi Vanderbeken stellte in einer Analyse jedoch fest, dass die Backdoor nach wie vor vorhanden ist und sie mit dem angeblichen Sicherheits-Update nicht geschlossen, sondern lediglich besser versteckt und sogar ausgeweitet worden sei. Aus letzterem schlussfolgern Vanderbeken sowie heise Security und andere Sicherheitsforscher, dass die im Januar 2014 entdeckte Backdoor nicht nur bei Netgear, sondern auch bei Cisco und den anderen Routerhersteller keineswegs versehentlich, sondern absichtlich eingebaut wurde.[17][18]

Im Nachhinein wurde bekannt, dass einzelne Nutzer im Cisco-Supportforum bereits seit mindestens 2010 auf Anzeichen der Backdoor hingewiesen hatten, Cisco die Anfragen jedoch komplett ignorierte.[19] Im französischsprachigen Netgear-Supportforum wurde sogar schon seit 2003 auf Anzeichen der identischen Backdoor in Netgear-Routern hingewiesen.[20] Sicherheitsforscher gehen aufgrund einiger von Edward Snowden im Rahmen der Spionageaffäre 2013 veröffentlichter Geheimdienstdokumente davon aus, dass die versteckte Backdoor von Cisco und anderen Routerherstellern absichtlich eingebaut wurde, um den Sicherheitsbehörden jederzeit die vollständige Überwachung und den vollständigen Zugriff auf die Router zu ermöglichen.[21]

...


http://de.wikipedia.org/wiki/Cisco_Systems#Spionage-Vorw.C3.BCrfe

Seite „Cisco Systems“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 2. Juli 2014, 20:12 UTC. URL: http://de.wikipedia.org/w/index.php?title=Cisco_Systems&oldid=131810627 (Abgerufen: 14. September 2014, 17:03 UTC)


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Warum Dell jetzt... ]
« Reply #25 on: November 24, 2015, 09:42:38 vorm. »
Quote
[...] Mit einem eigenen Root-CA-Zertifikat hebelt Dell offenbar die Verschlüsselung seiner Kunden aus. Denn mit der kann sich jeder gültige Zertifikate ausstellen und damit Dell-Anwender nicht nur belauschen sondern auch Systeme mit Schad-Software infizieren. ... Vor einiger Zeit betraf ein ähnliches Problem Lenovo-Notebooks. Dort klinkte sich die Adware Superfish Visual Discovery in verschlüsselte Verbindungen ein, um dort Werbung anzuzeigen; als Nebeneffekt konnten Angreifer über den CA-Schlüssel Lenovo-Systeme kompromittieren. Warum Dell jetzt seine Kunden einer ähnlichen Gefahr aussetzt, ist bislang unbekannt. (ju)


Aus: "Dell-Rechner mit Hintertür zur Verschlüsselung von Windows-Systemen" (23.11.2015)
Quelle: http://www.heise.de/newsticker/meldung/Dell-Rechner-mit-Hintertuer-zur-Verschluesselung-von-Windows-Systemen-3015015.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Well, what did you expect?... ]
« Reply #26 on: Januar 21, 2016, 11:49:40 vorm. »
Quote
[...] Well, what did you expect? The UK government's official voice encryption protocol, around which it is hoping to build an ecosystem of products, has a massive backdoor that would enable the security services to intercept and listen to all past and present calls, a researcher has discovered.

Dr Steven Murdoch of University College London has posted an extensive blog post digging into the MIKEY-SAKKE spec in which he concludes that it has been specifically designed to "allow undetectable and unauditable mass surveillance." ...


Aus: "For fsck's SAKKE: GCHQ-built phone voice encryption has massive backdoor – researcher" Kieren McCarthy (19 Jan 2016)
Quelle: http://www.theregister.co.uk/2016/01/19/key_voice_encryption_protocol_has_backdoor/


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Backdoor Memos... ]
« Reply #27 on: Dezember 06, 2016, 11:27:26 vorm. »
Quote
[...] Die kanadische Regierung denkt über neue Gesetze nach, um Polizei und Geheimdiensten mehr Macht bei digitalen Ermittlungen und Überwachung zu geben. Die Bürger der Monarchie haben Gelegenheit, ihrer Regierung ihre Meinung dazu zu sagen. Im Raum stehen ein Zwang zu Backdoors für die Überwachung der Kommunikation, ein Zwang zur Entschlüsselung eigener Daten, ein Ausbau der Vorratsdatenspeicherung und der einfachere Zugriff auf Stammdaten.

Grundlage der Konsultation ist das Grünbuch "Unsere Sicherheit, unsere Rechte" zum Thema Nationale Sicherheit vor dem Hintergrund des Terrorismus. Der Abschnitt über den Ausbau der digitalen Ermittlungsressourcen erwähnt auch Kinderpornographie, Cyberbullying und das "Dark Web". Es wird die Befürchtung geäußert, dass Ermittler Kommunikation unter Umständen nicht mehr entschlüsseln können.

Die Fragen der Konsultation sind offen gestellt. Etwa möchte die Regierung erfahren, wie Behörden kanadische Werte einerseits und die technischen Herausforderungen bei Ermittlungen andererseits auf einen Nenner bringen können. "Ist Ihre Erwartung von Privatsphäre in der digitalen Welt anders als in der physikalischen Welt?", lautet eine weitere Frage.

Zudem möchte die Regierung wissen, ob sie Bürger oder Unternehmen zur Entschlüsselung zwingen können soll, wie sie die Verschlüsselung für Bösewichte unterminieren kann und ob Betreiber dazu gezwungen werden sollen, ihre Kommunikationsnetze so einzurichten, dass sie abgehört werden können.

Das Ergebnis der Konsultation, deren Schlussdatum nicht bekannt ist, soll die weitere Vorgehensweise der Regierung beeinflussen. ...

Quote
     qatsi, 06.12.2016 07:41

Maßlosigkeit im digitalen Bereich

Man betrachte das mal analog: andauernd folgt dir jemand, führt Protokoll, wann du dich mit wem triffst, mit wem du sprichst, wem du Briefe schreibst. Mit Backdoorzwang wird's noch krasser: es kann jederzeit eine heimliche Hausdurchsuchung stattfinden. Alles wird angefasst, deine Briefe werden geöffnet, deine Fotoalben angesehen, ggf deine Rechnungen analysiert.

Fazit: im digitalen Bereich wird alles abgeschafft, was in der analogen Welt als Errungenschaften eines fairen Rechtsstaates gilt.

Man sollte in der digitalen Welt nicht anders agieren als in der anlogen. Sonst landet man ganz schnell in einem Polizeistaat, in dem die Polizei geheimdienstliche Mittel einsetzt. Wir in D hatten das schon mal: nannte sich Gestapo, später dann Stasi. Eigentlich sollten wir aufgrund dieser Erfahrungen die moralische Instanz sein, die so laut "Stopp" ruft, dass es die ganze Welt hört. Wir wären glaubhaft, da die Welt unsere Exzesse kennt.

Statt dessen bauen wir wieder fleißig mit am Faschismus 2.0.


Quote
     Zippo (1), 06.12.2016 08:00

Es ist mir ein völliges Rätsel, wie Regierungen sich, in Anbetracht von täglich neuen Sicherheitslücken, Hacks von Datenbanken, übereifrigen Mitarbeitern etc., die irrwitzige Vorstellung haben eine "staatliche Backdoor" dauerhaft gegenüber dem Zugriff von "unberechtigten Personen/Staaten" absichern zu können.
Jedem, mit einem minimalen Verständnis von IT, sollte klar sein, dass ein solches Unterfangen zum Scheitern verurteilt ist - der resultierende Schaden wäre immens und würde das Vertrauen in Regierungen völlig zerstören, mit nicht absehbaren Folgen.

In Zeiten des Internet ist eine solche Backdoor gleichbedeutend mit einem Zweitschlüssel für die Wohnung/Haus, den man dem Staat aushändigen muss - gibt uns das ein Gefühl von Sicherheit ? - Wir kennen wohl alle die Antwort.



Aus: "Kanadas Regierung überlegt Backdoor-Zwang" Daniel AJ Sokolov (heise online, 06.12.2016)
Quelle: https://www.heise.de/newsticker/meldung/Kanadas-Regierung-ueberlegt-Backdoor-Zwang-3559307.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Backdoor Memos (Hintertüren)... ]
« Reply #28 on: Juli 05, 2018, 11:16:22 vorm. »
Quote
[...] Android-Apps können den eigenen Bildschirm aufzeichnen, ohne sich dafür beim Anwender explizit Rechte einholen zu müssen. Auf den ersten Blick scheint das auch so in Ordnung zu sein, da die App ja ohnehin weiß, was sie auf den Bildschirm malt. Eine Forschergruppe aus den USA warnt nun allerdings davor, dass diese Technik auch dazu genutzt werden kann, sensible Daten an Drittfirmen zu schicken. Sie haben Apps dabei erwischt, wie sie Screenshots und Videos der Benutzeroberfläche an Analytics-Firmen verschickt haben.

Konkret beziehen sich die Forscher auf die Anbieter Appsee und TestFairy. Appsee wirbt damit, App-Entwicklern Einblicke darin zu verschaffen, wie Anwender die App der Entwickler nutzen – das Ganze funktioniert wie Session Replay für mobile Apps. TestFairy verspricht ähnliches: Durch Einbetten der Programmbibliotheken der Firma sollen App-Entwickler in Beta-Tests ihren Code verbessern können. Nur dass die App, in der die Forscher den TestFairy-Code fanden, nicht als Beta-Version deklariert war.

Insgesamt untersuchten die Forscher 17.260 Apps aus dem Google Play Store und drei kleineren App Stores (AppChina, Mi.com und Anzhi) mit einem automatisierten Verfahren nach solchen Praktiken – die überwiegende Zahl der untersuchten Apps stammt aus dem Google-Store. Zwar verschicken die von den Forschern gefundenen Apps keine Videos oder Audio-Aufnahmen der Nutzer, die Videos oder Screenshots der eigenen Nutzeroberfläche enthalten aber zum Teil persönliche Daten wie Kontaktinformationen Dritter oder Kreditkarten-Informationen des App-Nutzers. Zwar handelt es sich um Funktionen von Drittfirmen, besondere Rechte braucht es dafür aber trotzdem nicht, weil deren Programmbibliotheken im Kontext der App von deren Entwicklern eingebettet wurden.

Natürlich könnten die Apps die in den Screenshots und Videos enthaltenen Informationen auch selbst an die Server von Drittfirmen verschicken, das würde aber Absicht auf Seiten der App-Entwickler voraussetzen. Die vorliegenden Fälle sehen eher so aus, als ob die App-Entwickler Werkzeuge eingebaut haben, die ihnen bei der Analyse der App zur Verbesserung oder zum Tracken einzelner Nutzern bei Problemen helfen sollen, ohne darüber nachzudenken, das auf diesem Wege auch persönliche Daten der Nutzer übermittelt werden könnten.

Bei der App, die mittels Appsee Videos der Nutzerinteraktion aufnimmt, handelt es sich um GoPuff, einem Lieferdienst für Mitternachts-Snacks für den nordamerikanischen Markt. Zwei Konferenz-Apps des Tourismus-Veranstalters SAHIC verschickten über TestFairy hingegen Screenshots, die bei Anwendern im Betrieb der App gemacht wurden. (fab)

Quote
     die fiese Petze, 05.07.2018 09:02

Android-Wanze wegwerfen!

Normalerweise müsste jeder, der halbwegs bei Verstand ist, diese Wanze sofort zertreten und fachgerecht entsorgen. Aber wo ist die Generation, die seinerzeit mit massivem Protest den ersten TPM-Chip verhindern wollte und gegen die Volkszählung Riesendemos veranstaltete? Heute geht Freiheit den Nutzern am Arsch vorbei. ...


...


Aus: "Forscher: Android-Apps schicken Screenshots und Videos an Drittfirmen" Fabian A. Scherschel (04.07.2018)
Quelle: https://www.heise.de/newsticker/meldung/Forscher-Android-Apps-schicken-Screenshots-und-Videos-an-Drittfirmen-4099744.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Backdoor Memos (von Geräten und Hintertüren)... ]
« Reply #29 on: August 14, 2018, 08:05:30 nachm. »
Quote
[...] Laut einer Testreihe der Nachrichtenagentur AP sammelt Google auch Geodaten von Kunden, die sich in ihren Einstellungen explizit dagegen entschieden haben. Betroffen sind demnach weltweit mehr als zwei Milliarden Handys mit Android-Betriebssystem sowie mehrere Hundert Millionen iPhone-Nutzer.

Wie Wissenschaftler der Princeton University in New Jersey bestätigten, reicht es nicht aus, in der App Google Maps die Aufzeichnung der Reisedaten abzustellen. Auch automatische Updates in der Wetter-App und Eingaben im Browser von Google Chrome werden genutzt, um Geodaten zu sammeln.

Auf der Google-Supportseite ist zu lesen: "Sie können die Aufzeichnung Ihrer Ortungsdienste jederzeit abstellen. Ihre Aufenthaltsorte werden dann nicht mehr gespeichert." Laut AP ist das eben nicht der Fall. Manche Google-Apps zeichnen weiterhin Geodaten auf. Selbst nicht ortsgebundene Websuchen wie etwa nach "Schokoladenkeksen" sollen schon zur Aktivierung des Trackings führen können. 

Die sogenannten "Location Marker", also das regelmäßige Sammeln einzelner Ortungspunkte, werden in den USA auch von der Polizei genutzt, um den Standort von Verdächtigen festzustellen – und beschäftigte zuletzt immer wieder Gerichte. Mutmaßliche Straftäter hatten geklagt, dass mit dem Sammeln ihrer Daten ihre Persönlichkeitsrechte verletzt werden.

Eine detaillierte Anleitung, wie Nutzer dennoch das Aufzeichnen ihrer Daten unterbinden können, hat das Fachblatt Wired zusammengestellt.


Aus: "Google speichert Geodaten von Kunden auch gegen deren Willen" (14. August 2018)
Quelle: https://www.zeit.de/digital/datenschutz/2018-08/datenschutz-google-geo-daten-iphone-android-mobiltelefon

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Backdoor Memos (von Geräten und Hintertüren)... ]
« Reply #30 on: Oktober 05, 2018, 10:39:52 vorm. »
Quote
[....] Eine Einheit der chinesischen Armee soll Spionagechips in etliche Server eingebaut haben, die bei Amazon, Apple und im US-amerikanischen Verteidigungsministerium eingesetzt worden sind. Das berichtet Bloomberg Businessweek. Die Journalistinnen und Journalisten haben nach eigenen Angaben mit 17 Informanten aus Unternehmen und der US-Regierung gesprochen, die ihnen den Fund der Chips bestätigt haben sollen. Die Unternehmen dementieren den Fund der manipulierten Platinen. Die chinesische Regierung betonte, dass die Sicherheit einer Lieferkette ein gemeinsames Anliegen und China selbst ein Opfer sei.

Nach Angaben der Informanten entdeckten Amazon und Apple die Teile bereits im Jahr 2015. Bei Amazon fielen sie auf, als das Unternehmen eine Firma namens Elemental Technologies übernehmen wollte. Dieses Unternehmen, damals ein Start-up, entwickelte eine Software, mit der sich große Videodateien komprimieren und auf allen möglichen Geräten besser abspielen lassen. Amazon wollte Elemental übernehmen und ließ deshalb dessen Sicherheitsmaßnahmen überprüfen. In den Servern, die das Start-up seinen Kundinnen verkaufte, damit diese die Videodaten verarbeiten konnten, sollen dabei kleine, unscheinbare Bauteile entdeckt worden sein. Nicht größer als eine Bleistiftmine seien die Spionagechips, heißt es in dem Bericht. Apple soll die Chips unabhängig von Amazon im Sommer 2015 entdeckt haben.

Die betroffenen Platinen stammen von einem kalifornischen Unternehmen namens Supermicro, einem der größten Platinenhersteller weltweit. Bloomberg zufolge entwickelte eine Einheit der chinesischen Armee die Chips und bestach oder bedrohte Mitarbeiterinnen und Mitarbeiter in chinesischen Produktionsstätten, wo sie daraufhin eingebaut wurden. Die kleinen Chips können das Betriebssystem angreifen und eine geheime Verbindung zu anderen Computern aufbauen.

Amazon soll die infizierten Server nur in China eingesetzt haben, hat die Hardware aber mittlerweile verkauft. Apple hat die 7.000 betroffenen Server laut des Berichts entfernt. Die Unternehmen bestreiten die Funde. Ob Daten abgegriffen wurden, ist unklar. Die Untersuchungen dauerten an, schreibt Bloomberg.

Es ist nicht das erste Mal, dass China in den Verdacht von Cyberspionage gerät. Erst im Juni hieß es, dass chinesische Hacker geheime Pläne zur Entwicklung einer Rakete für U-Boote gestohlen haben sollen. Schon in den Jahren zuvor waren immer mal wieder Attacken bekannt geworden, etwa auf Regierungsangestellte oder Rüstungsfirmen. Bisher handelte es sich dabei aber zumeist um Softwareangriffe. 


Aus: "Apple und Amazon: China soll Spionagechips auf US-Servern platziert haben" (4. Oktober 2018)
Quelle: https://www.zeit.de/digital/internet/2018-10/amazon-apple-spionage-chips-china-usa


Quote
Es ist was es ist sagt #12

Chip hin oder her, die Geheimdienste sind überall aktiv und das aus allen Ländern.

Siehe auch NSA-Skandal.


Quote
Miniwahr #14

Die USA und die Briten fischen alles per Software bzw. Datenknoten ab. Die Chinesen löten die Hardware zusammen und genehmigen sich auch ihren gerechten Teil an der Datenwertschöpfungskette. Die Russen werden pausenlos verhaftet.

Und die EU nimmt dann das was die anderen in Top-Secret Umschlägen ausdrucken...


Quote
anotheraccount3 #15

Wetten, dass das nur die Spitze vom Eisberg ist? Da vom Mainboard bis zum Gehäuse fast alle PC- und Netzwerk-Komponenten überwiegend aus chinesischer Produktion stammen, ist es ein leichtes, die weltweite IT-Infrastruktur mit Hilfe manipulierter Firmware auszuspionieren! Wenn die NSA nachträglich Backdoors in Router implementieren kann, was ist dann erst in einem Land mit einem totalitären Regierungssystem möglich, dass de facto die Kontrolle über die Produktion dieser Geräte hat???


...

Bericht: Winzige Chips spionierten in Cloud-Servern von Apple und Amazon
04.10.2018 18:16 Uhr Fabian A. Scherschel
https://www.heise.de/security/meldung/Bericht-Winzige-Chips-spionierten-in-Cloud-Servern-von-Apple-und-Amazon-4181461.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 10185
  • Subfrequenz Board Quotation Robot
[Backdoor Memos (von Geräten und Hintertüren)... ]
« Reply #31 on: Oktober 09, 2018, 08:39:26 nachm. »
Quote
[...] Mehrere Millionen Überwachungskameras und digitale Video-Recorder sind mit nicht zu ändernden Standard-Passwörtern versehen und auf einfachem Wege aus dem Internet ausfindig zu machen. Die Geräte, die unter den Markennamen der verschiedensten Hersteller verkauft werden, enthalten Hardware des chinesischen Herstellers Xiongmai und sind auf Grund von Sicherheitslücken in dessen Technik trivial einfach zu knacken.

Angreifer können sie aus der Ferne kapern, Videos anschauen oder manipulieren sowie Schadcode auf den Geräten ausführen. Die Sicherheitsfirma SEC Consult, welche die Lücken entdeckt hat, vermutet mehr als 1,3 Millionen verwundbare Systeme alleine in Deutschland. In China gibt es demnach mehr als 5,4 Millionen unsichere Kameras und Festplatten-Recorder mit Xiongmai-Technik.

Die verwundbaren Geräte sind laut SEC Consult über einen Cloud-Dienst namens XMEye verbunden, der es den Anwendern der Kameras und Recorder erlaubt, aus dem Internet auf Videoaufnahmen zuzugreifen und die Geräte umzukonfigurieren. Die ID-Nummer über die man die Systeme aufspüren kann ist allerdings nicht pseudo-zufällig gewählt, sondern wird aus der MAC-Adresse des Gerätes abgeleitet. Ein Anfängerfehler, denn von der MAC-Adresse eines Gerätes eines bestimmten Herstellers auf andere zu schließen, ist kinderleicht. Und so gelang es den Forschern von SEC Consult auch, Tausende von Kameras aufzuspüren.

Angreifer können die verwundbaren Geräte zum Beispiel mit einem automatisierten Scanner-Skript ausfindig machen. Die Forscher wurden beim Versuch, Zehntausende Anfragen an die Xiongmai-Server von einer einzigen IP-Adresse zu senden, auch in keiner Weise gestört. Das deutet darauf hin, dass Xiongmai seine Server nicht oder nur ungenügend gegen solche Scans geschützt hat. Hat ein Angreifer eine Liste mit potenziellen Zielen zusammengetragen, muss er nur mittels der ID der Geräte über die Cloud-Server eine Ziel-IP-Adresse einholen. Mit etwas Glück kann er sich auf dem Gerät mit dem Benutzernamen admin ohne Passwort einloggen – das ist die Standard-Konfiguration der Geräte ab Werk.

Hat der Besitzer der Kamera das Admin-Passwort geändert, kann der Angreifer auf den Benutzer default zugreifen. Dieses Konto wird in der Dokumentation der Geräte nicht erwähnt und das Passwort ist nicht ab-änderbar; es ist immer der Name des Kontos rückwärts. Hierbei handelt es sich wohl um eine Hintertür des Herstellers Xiongmai. Da das Passwort für dieses Konto auf den Geräten mit einem unsicheren Hashing-Algorithmus gespeichert wurde, der bereits öffentlich als geknackt bekannt ist, war es für die Forscher wohl nicht schwer, es auszulesen. Oder sie haben es einfach erraten.

Sind die Angreifer über einen dieser Wege in die Kamera oder den digitalen Recorder eingedrungen, haben sie mehrere Möglichkeiten: Sie können sich Video-Aufzeichnungen anschauen, gespeicherte Videos löschen oder manipulieren und unter Umständen auch Live-Video abrufen. Da die Angreifer über den Cloud-Zugang allerdings auch neue Firmware auf die Geräte spielen können, besteht allerdings auch die Möglichkeit, Schadcode einzuspielen. Das ist nicht besonders schwer, denn die Firmware ist nicht signiert und die Angreifer haben Zugriff auf die DNS-Einstellungen der Geräte. Auf diesem Wege ließen sich die Kameras zum Beispiel vollautomatisch in ein Mirai-ähnliches IOT-Botnetz einspannen. Der Schadcode würde bei dieser Angriffsmethode Neustarts des Gerätes ohne Probleme überleben.

Herauszufinden, ob man ein betroffenes Gerät im Einsatz hat, ist gar nicht so einfach. Der Name des OEM-Herstellers Xiongmai kommt nämlich so gut wie nirgendwo in der Software oder Dokumentation der Geräte vor. Eventuell kann man im Webinterface der Geräte hinter die Zugriffs-IP der Kamera /err.html anhängen und bekommt eine Warnmeldung angezeigt, in der Xiongmai namentlich erwähnt wird – das scheint aber nicht bei allen Geräten zu funktionieren.

SEC Consult vermutet verwundbare Xiongmai-Technik unter anderem in den Geräten der folgenden Firmen: 9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON , Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision, sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo und ZRHUNTER.

Sicherheitslücken in Xiongmai-Produkten sind kein neues Phänomen. Bereits Ende 2016 gerieten Geräte der Firma im Zuge der ersten Mirai-Angriffe in den Fokus von Sicherheitsforschern. Schon damals gab es eine Hintertür mit fest-eingestellten Passwörtern in Überwachungskameras und digitalen Recordern von Xiongmai. Diese Lücke wurde später von der Firma mit einem Firmware-Update geschlossen. Offensichtlich besann man sich bei Xiongmai allerdings nicht, solche Hintertüren generell aus der eigenen Hardware herauszulassen, mit den offensichtlichen Folgen. Wie lange es diesmal dauert, die unzähligen Geräte-Versionen abzusichern, in denen Lücken des chinesischen OEM-Herstellers stecken, ist ungewiss. Wenn am Ende überhaupt alle Geräte abgesichert werden. Wer auf Nummer Sicher gehen will, zieht verdächtige Geräte wohl vorerst aus dem Verkehr, bevor schlimme Dinge passieren. (fab)


Aus: "Offen wie ein Scheunentor: Millionen Überwachungskameras im Netz angreifbar" Fabian A. Scherschel (09.10.2018)
Quelle: https://www.heise.de/security/meldung/Offen-wie-ein-Scheunentor-Millionen-Ueberwachungskameras-im-Netz-angreifbar-4184521.html

Quote
     p4ran0id, 09.10.2018 14:39

Wer hätte das gedacht ...