Author Topic: [Backdoor Memos (von Geräten und Hintertüren)... ]  (Read 8095 times)

0 Members and 1 Guest are viewing this topic.

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
Quote
[...] Die US-Regierung lässt nach Informationen der Washington Post in einem immer größeren Ausmaß Cyberangriffe durchführen. Das gehe aus dem geheimen Entwurf zum Budget der US-Geheimdienste hervor, das die Zeitung von dem Whistleblower Edward Snowden erhalten hat. Dem Bericht zufolge haben die Geheimdienste allein im Jahr 2011 insgesamt 231 Cyberangriffe ausgeführt. Fast drei Viertel dieser Angriffe waren demnach gegen Ziele mit höchster Priorität gerichtet: Dazu gehören Länder wie Iran, Russland, China und Nordkorea.

Solche Cyberangriffe, offiziell bezeichnet als offensive cyber operations, beinhalten die Manipulation oder Zerstörung von Informationen in Computern oder in Computernetzwerken oder der Rechner und Netzwerke selbst. Die meisten dieser Aktionen hätten unmittelbare Auswirkungen auf Daten und Funktionsfähigkeit von Computern des Gegners: Die Verbindungen würden beispielsweise langsamer.

Als bekanntestes Beispiel eines staatlichen Cyberangriffs gilt der Computerwurm Stuxnet, der vor einigen Jahren das iranische Atomprogramm sabotierte. IT-Sicherheitsexperten glauben, dass hinter Stuxnet westliche Geheimdienste stecken, auch wenn dies nie offiziell bestätigt wurde.

Details aus dem geheimen Budget-Entwurf der US-Nachrichtendienste waren schon vor einigen Tagen bekannt geworden. Demnach geben die Geheimdienste einen Großteil ihres Geldes für das Sammeln und Auswerten von Daten aus. Außerdem hätten sie in den vergangenen Jahren daran gearbeitet, in fremde Computer und Systeme einzudringen.

Teil dieser Spähaktionen ist offenbar auch ein Projekt mit dem Code-Namen Genie: Wie die Washington Post berichtet, dringen US-Computerspezialisten im Rahmen dieses Projekts in ausländische Netzwerke ein, um sie heimlich unter ihre Kontrolle zu bringen. Bis Ende dieses Jahres solle damit auf mindestens 85.000 Computern weltweit spezielle Software platziert werden. Sie könne Daten mitschneiden und übermitteln. In großen Computernetzwerken kann demnach ein infiziertes Gerät den Zugang zu Hunderttausenden weiteren öffnen.

Die Software diene oft nur als Hintertür für mögliche spätere Zugriffe, sagte ein ehemaliger Beamter der Washington Post. Demnach wurden im Jahr 2011 von fast 69.000 kontrollierten Computern nur 8.448 voll "ausgebeutet", was auch mit personellen Kapazitäten zu tun habe. Deswegen solle in Zukunft ein System mit dem Codenamen Turbine für den automatischen Betrieb von Spionage-Programmen auf fremden Rechnern sorgen. Spezialisten der NSA arbeiteten zudem an verdeckter Software, die relevante Gespräche in Computernetzwerken ausfindig machen und mitschneiden könne.


Aus: "US-Geheimdienste infizieren ausländische Netzwerke" (31. August 2013)
Quelle: http://www.zeit.de/digital/datenschutz/2013-08/usa-geheimdienste-cyberattacken-snowden


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Wer ist Joel?... ]
« Reply #16 on: October 15, 2013, 09:14:57 AM »
Quote
[...] In einer Reihe von D-Link-Routern wurde eine Hintertür entdeckt, die es einem Angreifer erlaubt, die Passwortabfrage des Web-Interface zu überspringen – einfach durch das Ändern des User Agent im Browser. Ein Angreifer im Netz des Routers kann so sämtliche Einstellungen des Gerätes manipulieren. Ist die WAN-Konfiguration aktiviert, so ist dieser Angriff auch über das Internet möglich. Entdeckt hatte die Schwachstelle die Hackergruppe /dev/ttyS0 beim Durchforsten der Router-Firmware 1.13 für die Revision A des DIR-100-Routers.

Die Gruppe stellte fest, dass die Passwortabfrage des eingebauten Webservers einfach umgangen wird, wenn der User Agent des anfragenden Browsers auf den String "xmlset_roodkcableoj28840ybtide" gesetzt wird. Liest man den String rückwärts, kann man Rückschlüsse auf den Namen des Programmierers treffen, der die Hintertür eingebaut hat: "edit by 04882 joel backdoor". Die Hacker haben bei ihren Recherchen in einem russischen Forum einen Beitrag von 2010 gefunden, welcher auf den String hinweist.

Laut den Forschern sind neben dem DIR-100 noch eine Reihe weiterer Router von D-Link betroffen. Dazu zählen die folgenden Modelle:

    DI-524
    DI-524UP
    DI-604S
    DI-604UP
    DI-604+
    TM-G5240

Die Modelle BRL-04UR und BRL-04CW von Planex benutzen wohl ebenfalls die betroffene D-Link Firmware und wären damit auch gefährdet.

Sicherheitsspezialist Travis Goodspeed hat bei weiteren Nachforschungen herausgefunden, dass die Hintertür von Binärcode in der D-Link-Firmware benutzt wird, wahrscheinlich um Einstellungen des Routers automatisch zu konfigurieren. Die Firmware bedient sich dabei des Webservers, der von Haus aus schon alles mitbringt, um den Router zu konfigurieren. Dies ersparte es den Firmware-Entwicklern zusätzlichen Code für diese Aufgabe schreiben zu müssen. Da der Benutzer aber die Zugangsdaten für den Webserver-Zugriff ändern kann, nutzt die Firmware die eingebaute Hintertür – mit katastrophalem Ergebnis für die Sicherheit des Gerätes.

D-Link teilte gegenüber heise online mit, dass man an einer Lösung für die Sicherheitslücke arbeite. Falls ein Software-Update aus technischen Gründen nicht zur Verfügung gestellt werden könne, werde man versuchen, den betroffenen Kunden eine andere Lösung anzubieten. Einen Workaround für das Problem gibt es momentan nicht, betroffene Nutzer sollten aber auf jeden Fall die Möglichkeit zur WAN-Administration der Router abstellen, da sie sonst Opfer eines Angriffs aus dem Internet werden könnten. Eine Suche nach entsprechenden Router-Modellen bei der Suchmaschine Shodan fördert tausende verwundbare Geräte zu Tage.

Laut D-Link werden die Revision A des DIR-100 Routers sowie die Modelle DI-524, DI-524/DE und DI-524UP mittlerweile nicht mehr unterstützt. In der aktuellen Revision D des DIR-100 ist die Lücke nicht vorhanden. Das Modell DIR-615, welches in einigen Kommentaren zu der Meldung von /dev/ttyS0 als auch verwundbar gemeldet wurde, sei nicht betroffen. Die Modelle DI-604S, DI-604UP, DIR-604+ sowie TM-G5240 wurden laut des Herstellers im deutschsprachigen Raum nicht verkauft.

Auf der firmeneigenen Sicherheits-Seite für Router ist die aktuelle Sicherheitslücke momentan noch nicht aufgeführt.

[Update 14.10.2013 16:45]

Mittlerweile gibt es auch ein passendes Modul für das Pentesting-Framework Metasploit, welches das Ausnutzen der Hintertür zu einem Kinderspiel macht. (fab)

Quote
14. Oktober 2013 15:26
Die wichtigsten Fragen bleiben unbeantwortet
DaWoOl

Wer ist Joel?
Was ist seine Position?
Für wen arbeitet er heute?
Was hat er noch alles programmiert?



Aus: "D-Link-Router mit Hintertür" (14.10.2013)
Quelle: http://www.heise.de/newsticker/meldung/D-Link-Router-mit-Hintertuer-1977835.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Auf einige Routern... ]
« Reply #17 on: January 03, 2014, 09:29:16 AM »
Quote
[...] Auf einige Routern von Linksys und Netgear läuft offenbar ein undokumentierter Dienst, über den man unter anderem die Konfiguration einschließlich der Klartext-Passwörter auslesen und auch manipulieren kann. Es besteht die Möglichkeit, dass auch Geräte anderer Hersteller betroffen sind.

Der Reverse Engineer Eloi Vanderbeken hat entdeckt, dass sein heimischer Linksys-Router WAG200G über den Port 32764 erreichbar ist. Anschließend nahm er die Router-Firmware mit dem Analyse-Tool binwalker auseinander und konnte schließlich ergründen, was es mit dem lauschenden Dienst auf sich hat. Es handelt sich um eine Konfigurationsschnittstelle, durch die man eine Reihe von Befehlen auf dem Router ausführen kann. Einer der Befehle etwa setzt das Gerät auf Werkeinstellungen zurück, ein anderer spuckt die Router-Konfiguration aus – mitsamt aller Passwörter im Klartext.

Nachdem Vanderbeken seine Informationen ins Netz stellte, meldeten sich Besitzer anderer Modelle, die das Phänomen nachvollziehen konnten. Die Rückmeldungen trägt er bei Github zusammen, wo er auch ein Proof of Concept veröffentlicht hat. Ein erstes Indiz dafür, was es mit dem Dienst auf sich haben könnte, liefert die Zeichenfolge "ScMM", die von den betroffenen Routern nach dem Verbindungsaufbau über Port 32764 gesendet wird. Es könnte sich dabei um eine Abwandlung des Firmennamens SerComm zu handeln. SerComm hat offenbar zumindest einige der betroffenen Geräte als OEM hergestellt. Das Unternehmen soll auch Netzwerkausrüster wie Belkin und LevelOne beliefern. Ob auch deren Router betroffen sind, ist derzeit nicht bekannt.

Zumindest in einigen Fällen scheint der fragliche Dienst nicht nur über das lokale Netz, sondern auch über das Internet erreichbar zu sein. Eine Recherche mit der Spezialsuchmaschine Shodan förderte fast 3000 IP-Adressen zu Tage, die auf Port 32764 antworten; davon rund 60 aus Deutschland. heise Security hat Linksys und Netgear am Donnerstagvormittag um eine Stellungnahme gebeten. In beiden Fällen steht eine Antwort bislang noch aus. (rei)


Aus: "Mysteriöse Backdoor in diversen Router-Modellen" (03.01.2014)
Quelle: http://www.heise.de/newsticker/meldung/Mysterioese-Backdoor-in-diversen-Router-Modellen-2074394.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Eloi Vanderbeken... ]
« Reply #18 on: January 14, 2014, 10:28:02 PM »
Quote
[...] Es stimmt, wir haben ein Problem, unsere Kunden sind angreifbar und wir können im Moment absolut nichts dagegen tun. So ungefähr lässt sich die Mitteilung zusammenfassen, die das US-Unternehmen Cisco gerade veröffentlicht hat. Was der Hersteller von Netzwerk-Hardware da auf seine Website gestellt hat, kommt einem Offenbarungseid gleich.

Immerhin hat Cisco damit als erstes Unternehmen auf eine Enthüllung reagiert, die eine ganze Reihe von Routern auch anderer Hersteller betrifft. Demnach gibt es bei den betroffenen Modellen eine Hintertür, über die ein Angreifer Zugriff auf die Zugangsdaten gewinnen kann. Wer einen derart angreifbaren Router zu Hause oder in der Firma stehen hat, hat ein Sicherheitsproblem. Betroffen sind offenbar auch Router der Firmen Netgear, Linksys, Diamond und LevelOne, mutmaßlich auch weitere Hersteller. Warum so viele Geräte die gleiche Sicherheitslücke haben, ist unklar.

Cisco will bis Ende des Monats eine kostenlose Software-Lösung für das Problem vorlegen. Eine behelfsmäßige Lösung kann das Unternehmen bis dahin nicht anbieten. Eine solche sei derzeit einfach nicht bekannt, heißt es in dem Sicherheitsbulletin. Unter dem Punkt  Affected Products/ Vulnerable Products findet sich eine Auflistung der vier definitiv gefährdeten Cisco-Typen mit den jeweiligen Software-Konfigurationen.

Aufmerksam gemacht auf das schwerwiegende Problem hat der niederländische Entwickler Eloi Vanderbeken. Kurz nach Weihnachten veröffentlichte er auf der Seite Github eine Präsentation mit 34 Folien. Darin schildert Vanderbeken mit einigen lustigen Zeichnungen, wie es ihm möglich war, über ein kleines Python-Skript die Zugangsdaten seines Linksys-Routers auszulesen.   

Der Grund dafür ist offenbar, dass der TCP-Port 32764 offen ist und auf Anfragen wartet. Ein solcher Port ist ein definierter Kanal für den Transport von Daten zwischen einem Rechner und dem Router, bestimmte Ports sind für ganz konkrete Aufgaben reserviert.

Die Anfragen an den Router können in einigen Fällen sogar über das Internet erfolgen. Viel häufiger sind sie jedoch erfolgreich, wenn sie über das jeweilige lokale Netzwerk erfolgen. Das ist vor allem für Firmennetzwerke kritisch. Über den Port und mithilfe des veröffentlichten Skripts lassen sich nicht nur sensible Passwörter und Einstellungen einsehen, sondern auch verändern. Heise.de spielt das Szenario durch, dass ein Angreifer mit diesem Zugang etwa den eingestellten DNS-Server verändern und so den gesamten Datenverkehr über eine fremde Adresse umleiten könnte. Die Nutzer würden von so einer Umleitung wahrscheinlich nichts merken.

Ob ihr eigener Router betroffen ist, können Nutzer mit einem Schnellcheck bei heise.de überprüfen. Hierbei werden offene Ports angezeigt. Bedenklich ist es, wenn der besagte Port 32764 in der Darstellung rot und als offen markiert wird. Sollte das der Fall sein, bietet Heise einen detailierten Check an, der zeigt, ob ein Angreifer Zugang zum Netzwerk haben muss oder gar über das Internet kommen kann.

Eine vollständige Dokumentation zu seinem Fund hat Vanderbeken zwar nicht vorgelegt, das wäre ihm viel zu aufwändig gewesen, schreibt der Entwickler auf Github. Doch jeder hat die Möglichkeit, seine Liste angreifbarer Hardware um weitere Modelle zu ergänzen. Getestet hatte Vanderbeken seinen Code nur einen Tag lang und zunächst auch nur auf einem bestimmten Router, einem Linksys WAG200G. Doch schon bald nach der Veröffentlichung wurde klar: Von dem Problem sind auch andere Geräte betroffen. Woher es kommt, weiß niemand. Vanderbeken stellte aber immerhin fest, dass in vielen der betroffenen Router Modems der Firma SerComm verbaut wurden.

Zumindest dem Cisco Product Security Incident Response Team (Psirt) seien keine Fälle bekannt, in denen die Lücke in größerem Maße ausgenutzt wurde, schreibt das Unternehmen. Ausdrücklich bedankt es sich bei denjenigen, die das Einfallstor publik gemacht haben.


Aus: "Cisco kann die Hintertür im eigenen Router nicht schließen" (14. Januar 2014)
Quelle: http://www.zeit.de/digital/datenschutz/2014-01/router-backdoor-cisco


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Die TV-Sender schauen... ]
« Reply #19 on: January 26, 2014, 12:14:32 PM »
Quote
[...] Wenn Sie es sich auf der Couch gemütlich gemacht haben und den Fernseher einschalten, sind Sie dabei nicht allein: Die TV-Sender schauen Ihnen beim Zappen über die Schulter und registrieren exakt, wann Sie zuschalten – und oft auch wie lange.

c't hat eine Reihe aktueller Smart-TVs im Labor aufgebaut, um zu überprüfen, welche Daten abfließen, wenn man die Geräte mit dem Internet verbindet. Ohne dass wir eine der Online-Funktionen aktivierten, schickten die Geräte bereits umfassende Daten über das Nutzungsverhalten ins Netz. Und zwar nicht nur an die Sendeanstalten, sondern auch an die TV-Hersteller – und sogar an die Datenkrake Google.

Dafür ist vor allem der Datendienst HbbTV verantwortlich, über den die TV-Sender den Fernseher anweisen können, eine bestimmte URL abzurufen. Und zwar genau in dem Moment, wenn man den Sender einschaltet. Nach Einschätzung von Datenschutzexperten ist dies ganz klar rechtswidrig, da die ungefragt übertragenen Daten personenbeziehbar sind.

... Kurz vor Redaktionsschluss konnten wir dann noch einen kleinen Erfolg verbuchen: Einer der wichtigen öffentlich-rechtlichen Sender hat das Zuschauer-Tracking nach unserer Anfrage drastisch zurückgefahren.

Quote
snopo , 25. Januar 2014 10:32
Haha! Erinnert sich noch jemand an die Stasi-Telefone?

Telefone, die in Serie (naja, Kleinserie ;-) hergestellt wurden und
das Abhören des Raumes selbst bei aufliegendem Hörer ermöglichten?

Was war die DDR doch für ein fieser Überwachungs- und
Unterdrückungsstaat, dass sie serienmäßig in das einzig verfügbare
Telefon Überwachungstechnologie eingebaut haben! Ich kann mich noch
an die Berichterstattung erinnern...

In einem demokratischen Rechtsstaat wäre sowas natürlich nieeee
möglich. Und vor allem nicht im Kapitalismus. Denn wenn eine Firma
sowas einbaut und das kommt raus, dann kauft das ja keiner mehr und
die Firma geht pleite! (Kommt Euch die Argumentation bekannt vor?
Welche Firma ist eigentlich jemals so Pleite gegangen?)

Und im Gegensatz zur Stasi bezahlen wir die ÖR-Sender noch mit
unserer GEZ-Gebühr dafür, dass sie uns abschnorcheln.

...


Aus: "Spion im Wohnzimmer: c't ertappt schnüffelnde Fernseher" (25.01.2014)
Quelle: http://www.heise.de/newsticker/meldung/Spion-im-Wohnzimmer-c-t-ertappt-schnueffelnde-Fernseher-2096578.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Manipulierte Versionen... ]
« Reply #20 on: January 29, 2014, 09:10:59 AM »
Quote
[...] Der Virenschutz-Hersteller Avast hat manipulierte Versionen des FTP-Clients FileZilla entdeckt, welche die genutzten Zugangsdaten heimlich an einen deutschen Server übertragen. Die Fälschungen sind kaum vom Original zu unterscheiden und voll funktionsfähig.

Laut Avast werden die trojanisierten Ausgaben der FileZilla-Versionen 3.7.3 and 3.5.3 über Download-Seiten verbreitet, die optisch an die Herstellerseite angelehnt sind und auf gehackten Servern platziert wurden. Die Entwickler der trojanisierten Fassungen haben sich große Mühe gegeben, nicht aufzufallen: Genau wie das Original installieren sich die Malware-Zwillinge mit dem Nullsoft-Installer, ferner bietet sie alle von FileZilla bekannten Funktionen. Die Spionagefunktionen wurden direkt in das Binary eingebaut.

Die Malware-Versionen unterscheiden sich nur in kleinen Details vom Original: Sie wurden offenbar mit einer älteren Version von GnuTLS kompiliert, nämlich 2.8.6 statt 3.1.11. Dies zeigt FileZilla auch wahrheitsgemäß unter "Hilfe", "Über..." an. Dort findet sich bei einer Fälschung eine ältere SQLite-Version, bei einer anderen Variante fehlt diese Angabe ganz.

Nutzt man die Schadsoftware, übertragt Sie gesichtete Zugangsdaten per HTTP an einen Server, der laut Avast bei dem deutschen Hoster Hetzner steht. Er ist über drei russische Domains (.ru) erreichbar. Bei einem Test am Dienstagnachmittag hielten nur sieben der 50 bei VirusTotal vertretenen Virenscanner das Installationsprogramm der verseuchten Version 3.7.3 für schädlich. (rei)


Aus: "Trojanisierte FileZilla-Version greift Zugangsdaten ab" (28.01.2014)
Quelle: http://www.heise.de/newsticker/meldung/Trojanisierte-FileZilla-Version-greift-Zugangsdaten-ab-2099232.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Aber diese Tatsache ist... ]
« Reply #21 on: February 27, 2014, 08:55:01 AM »
Quote
[...] "Hat RSA für die NSA gearbeitet? Ja. Aber diese Tatsache ist seit einem guten Jahrzehnt öffentlich bekannt". Dies war einer der deutlichsten Sätze aus Coviellos Eröffnungsansprache zur RSA Conference 2014. Er erklärte, dass RSA – genau wie etliche andere US-Technikunternehmen – zum Wohle der Verteidigung des Landes schon seit langem mit dem Verteidigungsarm der NSA (IAD, Information Assurance Directorate) zusammenarbeite. Dies sei auch bekannt und kein Problem.

...

Quote
26. Februar 2014 17:22
Man braucht keine Hintertüren ...
bismarckhering

> Scott Charney von Microsoft dementierte Hintertüren in Microsoft-Produkten.

Man braucht keine Hintertüren, wenn man Eigner des Kellers ist.

b.



Aus: "RSA-Boss: "Ja, wir haben mit der NSA zusammengearbeitet"" (26.02.2014)
Quelle: http://www.heise.de/newsticker/meldung/RSA-Boss-Ja-wir-haben-mit-der-NSA-zusammengearbeitet-2125195.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Nachdem die Analyse... ]
« Reply #22 on: April 23, 2014, 10:06:40 PM »
Quote
[...] Nachdem die Analyse eines Reverse Engineer ergab, dass Netgear eine seit Jahresbeginn bekannte Router-Backdoor nicht entfernt, sondern lediglich versteckt haben soll, kündigte der Netzwerkausrüster an, den Fall untersuchen zu wollen. "Wir gehen im Moment mit unserem Technologiepartner SerComm zusammen den Behauptungen nach", erklärte Netgear gegenüber heise Security. SerComm ist der OEM-Hersteller der betroffenen Geräte, er hat auch für andere Netzwerkausrüster Router produziert, auf denen der Backdoor-Dienst ebenfalls aktiv war oder ist.

... Netgear will nicht nur das Modell DGN1000 noch einmal untersuchen, auf das sich die Analyse bezieht, sondern auch eine ganze Reihe weiterer Router.

... Wofür der Backdoor-Dienst vorgesehen ist und wer für ihn verantwortlich ist, darauf konnte Netgear noch keine Antworten liefern. Das Unternehmen verweist auf die laufenden Gespräche mit SerComm in Taiwan.

...

Quote
damian98, 23. April 2014 16:46
F*CK YOU NETGEAR!

Sorry ist sonst nicht meine Art :-D

Aber der ganze Mist mit den von der NSA vorgeschriebenen Backdoors in
amerik. Netzwerkprodukten soll der ganzen Mischpoke im Hals stecken
bleiben!

Wer analysiert endlich mal IOS von Cisco?

Cheers

Quote
Michael P, 23. April 2014 17:10
Re: F*CK YOU NETGEAR!

Auf die Idee, dass Netgear hier auch nur Betroffener ist, kommst Du
nicht? Auch wenn es recht dämlich ist, als Routerhersteller die
Entwicklung von Routern auch nur für einen Teil der Modellpalette
komplett outzusourcen, scheint für diese Backdoor doch eher SERCOMM
zuständig zu sein. Dafür spricht auch, dass neben Netgear noch andere
Hersteller betroffen sind, die auf SERCOMMs Dienste zurückgegriffen
haben.

Wenn man sich dann ansieht, wo SERCOMM sitzt und seine technische
Entwicklung hat, ist die Frage, auf wessen Veranlassung genau die
Backdoor eingebaut wurde, auch nicht so ganz klar:
> http://www.sercomm.com/contpage.aspx?langid=1&type=info&L1id=6&L2id=17



Quote
Lance Hardwood, 23. April 2014 16:38
Meinten sie: "die Backdoor besser verstecken"?

"will der Netzwerkausrüster die Vorwürfe nun umfassend prüfen."

lol


Quote
onlineschelm, 23. April 2014 20:32
Netgear "prüft"

Na dann ist ja jegliches Vertrauen zurückgewonnen.

Da gibt es nichts zu prüfen. Sofort die Verträge mit SerComm
kündigen, sofern das nicht gewünscht war.

Ansonsten gehört Netgear in die Tonne. Ebenso wie alle anderen
5-Eyes-Hersteller. Cisco allen voran.



Aus: "Router-Backdoor reloaded: Netgear prüft 11 Modelle" (23.04.2014)
Quelle: http://www.heise.de/newsticker/meldung/Router-Backdoor-reloaded-Netgear-prueft-11-Modelle-2175535.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Dual EC ist ein Zufallszahlengenerator... ]
« Reply #23 on: June 17, 2014, 09:19:45 AM »
Quote
[...] Dual EC ist ein Zufallszahlengenerator, der mutmaßlich eine Hintertür der NSA enthält. Entdeckt wurde die Möglichkeit einer Hintertür 2007 von Dan Shumow und dem Microsoft-Mitarbeiter Niels Ferguson, die in einem Kurzvortrag auf der Crypto-2007-Konferenz darauf hinwiesen. Der Algorithmus enthält als Parameter zwei Punkte auf einer elliptischen Kurve. Wer diese Punkte definiert, hat die Möglichkeit, eine Hintertür für den Algorithmus zu berechnen. Nach den Snowden-Enthüllungen gilt es inzwischen als praktisch sicher, dass bei Dual EC eine Hintertür der NSA enthält.

... Dual EC wurde 2006 von der US-Behörde Nist (National Institute of Standards and Technology) als NIST SP 800-90 standardisiert. Später übernahm auch das Ansi den Algorithmus im Standard X9.82. Da Certicom bereits spätestens im Januar 2005 von der Hintertür in Dual EC wusste, stellt sich die Frage, warum der Algorithmus überhaupt standardisiert wurde.

... Das Nist hat den Algorithmus Dual EC im April offiziell zurückgezogen, allerdings ohne dabei offiziell eine Hintertür einzugestehen.

...


Aus: "Das Patent auf die NSA-Hintertür" Hanno Böck (16.6.2014)
Quelle: http://www.golem.de/news/dual-ec-das-patent-auf-die-nsa-hintertuer-1406-107219.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Keineswegs versehentlich... ]
« Reply #24 on: September 14, 2014, 07:04:48 PM »
Quote
[...] Im Januar 2014 wurde von heise Security aufgedeckt, dass in Ciscos Routern sowie in Routern anderer US-amerikanischer Routerhersteller eine Backdoor eingebaut ist, die es sowohl dem Internetdienstanbieter als auch Dritten extern über das Internet erlaubt, sämtliche Konfigurationsdaten des Routers auszulesen und zu manipulieren, darunter unter anderem auch die Passwörter für den Administratorzugang des Routers, das WLAN, den DSL-Zugang, Proxy-Server und DynDNS-Dienste sowie Passwörter und Zertifikate für VPNs. Demnach wird das Auslesen und Manipulieren dieser Daten durch einen undokumentierten Dienst ermöglicht, der in die Router-Software integriert ist.[15] Darüber hinaus sei es möglich, den gesamten Datenverkehr des Routers umzuleiten und vollständig zu überwachen. Als Reaktion darauf stellte unter anderem der Routerhersteller Netgear im April 2014 ein scheinbares Sicherheits-Update zur Verfügung, das die Backdoor angeblich schließen sollte.[16] Der Reverse-Engineer Eloi Vanderbeken stellte in einer Analyse jedoch fest, dass die Backdoor nach wie vor vorhanden ist und sie mit dem angeblichen Sicherheits-Update nicht geschlossen, sondern lediglich besser versteckt und sogar ausgeweitet worden sei. Aus letzterem schlussfolgern Vanderbeken sowie heise Security und andere Sicherheitsforscher, dass die im Januar 2014 entdeckte Backdoor nicht nur bei Netgear, sondern auch bei Cisco und den anderen Routerhersteller keineswegs versehentlich, sondern absichtlich eingebaut wurde.[17][18]

Im Nachhinein wurde bekannt, dass einzelne Nutzer im Cisco-Supportforum bereits seit mindestens 2010 auf Anzeichen der Backdoor hingewiesen hatten, Cisco die Anfragen jedoch komplett ignorierte.[19] Im französischsprachigen Netgear-Supportforum wurde sogar schon seit 2003 auf Anzeichen der identischen Backdoor in Netgear-Routern hingewiesen.[20] Sicherheitsforscher gehen aufgrund einiger von Edward Snowden im Rahmen der Spionageaffäre 2013 veröffentlichter Geheimdienstdokumente davon aus, dass die versteckte Backdoor von Cisco und anderen Routerherstellern absichtlich eingebaut wurde, um den Sicherheitsbehörden jederzeit die vollständige Überwachung und den vollständigen Zugriff auf die Router zu ermöglichen.[21]

...


http://de.wikipedia.org/wiki/Cisco_Systems#Spionage-Vorw.C3.BCrfe

Seite „Cisco Systems“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 2. Juli 2014, 20:12 UTC. URL: http://de.wikipedia.org/w/index.php?title=Cisco_Systems&oldid=131810627 (Abgerufen: 14. September 2014, 17:03 UTC)


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Warum Dell jetzt... ]
« Reply #25 on: November 24, 2015, 09:42:38 AM »
Quote
[...] Mit einem eigenen Root-CA-Zertifikat hebelt Dell offenbar die Verschlüsselung seiner Kunden aus. Denn mit der kann sich jeder gültige Zertifikate ausstellen und damit Dell-Anwender nicht nur belauschen sondern auch Systeme mit Schad-Software infizieren. ... Vor einiger Zeit betraf ein ähnliches Problem Lenovo-Notebooks. Dort klinkte sich die Adware Superfish Visual Discovery in verschlüsselte Verbindungen ein, um dort Werbung anzuzeigen; als Nebeneffekt konnten Angreifer über den CA-Schlüssel Lenovo-Systeme kompromittieren. Warum Dell jetzt seine Kunden einer ähnlichen Gefahr aussetzt, ist bislang unbekannt. (ju)


Aus: "Dell-Rechner mit Hintertür zur Verschlüsselung von Windows-Systemen" (23.11.2015)
Quelle: http://www.heise.de/newsticker/meldung/Dell-Rechner-mit-Hintertuer-zur-Verschluesselung-von-Windows-Systemen-3015015.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Well, what did you expect?... ]
« Reply #26 on: January 21, 2016, 11:49:40 AM »
Quote
[...] Well, what did you expect? The UK government's official voice encryption protocol, around which it is hoping to build an ecosystem of products, has a massive backdoor that would enable the security services to intercept and listen to all past and present calls, a researcher has discovered.

Dr Steven Murdoch of University College London has posted an extensive blog post digging into the MIKEY-SAKKE spec in which he concludes that it has been specifically designed to "allow undetectable and unauditable mass surveillance." ...


Aus: "For fsck's SAKKE: GCHQ-built phone voice encryption has massive backdoor – researcher" Kieren McCarthy (19 Jan 2016)
Quelle: http://www.theregister.co.uk/2016/01/19/key_voice_encryption_protocol_has_backdoor/


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Backdoor Memos... ]
« Reply #27 on: December 06, 2016, 11:27:26 AM »
Quote
[...] Die kanadische Regierung denkt über neue Gesetze nach, um Polizei und Geheimdiensten mehr Macht bei digitalen Ermittlungen und Überwachung zu geben. Die Bürger der Monarchie haben Gelegenheit, ihrer Regierung ihre Meinung dazu zu sagen. Im Raum stehen ein Zwang zu Backdoors für die Überwachung der Kommunikation, ein Zwang zur Entschlüsselung eigener Daten, ein Ausbau der Vorratsdatenspeicherung und der einfachere Zugriff auf Stammdaten.

Grundlage der Konsultation ist das Grünbuch "Unsere Sicherheit, unsere Rechte" zum Thema Nationale Sicherheit vor dem Hintergrund des Terrorismus. Der Abschnitt über den Ausbau der digitalen Ermittlungsressourcen erwähnt auch Kinderpornographie, Cyberbullying und das "Dark Web". Es wird die Befürchtung geäußert, dass Ermittler Kommunikation unter Umständen nicht mehr entschlüsseln können.

Die Fragen der Konsultation sind offen gestellt. Etwa möchte die Regierung erfahren, wie Behörden kanadische Werte einerseits und die technischen Herausforderungen bei Ermittlungen andererseits auf einen Nenner bringen können. "Ist Ihre Erwartung von Privatsphäre in der digitalen Welt anders als in der physikalischen Welt?", lautet eine weitere Frage.

Zudem möchte die Regierung wissen, ob sie Bürger oder Unternehmen zur Entschlüsselung zwingen können soll, wie sie die Verschlüsselung für Bösewichte unterminieren kann und ob Betreiber dazu gezwungen werden sollen, ihre Kommunikationsnetze so einzurichten, dass sie abgehört werden können.

Das Ergebnis der Konsultation, deren Schlussdatum nicht bekannt ist, soll die weitere Vorgehensweise der Regierung beeinflussen. ...

Quote
     qatsi, 06.12.2016 07:41

Maßlosigkeit im digitalen Bereich

Man betrachte das mal analog: andauernd folgt dir jemand, führt Protokoll, wann du dich mit wem triffst, mit wem du sprichst, wem du Briefe schreibst. Mit Backdoorzwang wird's noch krasser: es kann jederzeit eine heimliche Hausdurchsuchung stattfinden. Alles wird angefasst, deine Briefe werden geöffnet, deine Fotoalben angesehen, ggf deine Rechnungen analysiert.

Fazit: im digitalen Bereich wird alles abgeschafft, was in der analogen Welt als Errungenschaften eines fairen Rechtsstaates gilt.

Man sollte in der digitalen Welt nicht anders agieren als in der anlogen. Sonst landet man ganz schnell in einem Polizeistaat, in dem die Polizei geheimdienstliche Mittel einsetzt. Wir in D hatten das schon mal: nannte sich Gestapo, später dann Stasi. Eigentlich sollten wir aufgrund dieser Erfahrungen die moralische Instanz sein, die so laut "Stopp" ruft, dass es die ganze Welt hört. Wir wären glaubhaft, da die Welt unsere Exzesse kennt.

Statt dessen bauen wir wieder fleißig mit am Faschismus 2.0.


Quote
     Zippo (1), 06.12.2016 08:00

Es ist mir ein völliges Rätsel, wie Regierungen sich, in Anbetracht von täglich neuen Sicherheitslücken, Hacks von Datenbanken, übereifrigen Mitarbeitern etc., die irrwitzige Vorstellung haben eine "staatliche Backdoor" dauerhaft gegenüber dem Zugriff von "unberechtigten Personen/Staaten" absichern zu können.
Jedem, mit einem minimalen Verständnis von IT, sollte klar sein, dass ein solches Unterfangen zum Scheitern verurteilt ist - der resultierende Schaden wäre immens und würde das Vertrauen in Regierungen völlig zerstören, mit nicht absehbaren Folgen.

In Zeiten des Internet ist eine solche Backdoor gleichbedeutend mit einem Zweitschlüssel für die Wohnung/Haus, den man dem Staat aushändigen muss - gibt uns das ein Gefühl von Sicherheit ? - Wir kennen wohl alle die Antwort.



Aus: "Kanadas Regierung überlegt Backdoor-Zwang" Daniel AJ Sokolov (heise online, 06.12.2016)
Quelle: https://www.heise.de/newsticker/meldung/Kanadas-Regierung-ueberlegt-Backdoor-Zwang-3559307.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Backdoor Memos (Hintertüren)... ]
« Reply #28 on: July 05, 2018, 11:16:22 AM »
Quote
[...] Android-Apps können den eigenen Bildschirm aufzeichnen, ohne sich dafür beim Anwender explizit Rechte einholen zu müssen. Auf den ersten Blick scheint das auch so in Ordnung zu sein, da die App ja ohnehin weiß, was sie auf den Bildschirm malt. Eine Forschergruppe aus den USA warnt nun allerdings davor, dass diese Technik auch dazu genutzt werden kann, sensible Daten an Drittfirmen zu schicken. Sie haben Apps dabei erwischt, wie sie Screenshots und Videos der Benutzeroberfläche an Analytics-Firmen verschickt haben.

Konkret beziehen sich die Forscher auf die Anbieter Appsee und TestFairy. Appsee wirbt damit, App-Entwicklern Einblicke darin zu verschaffen, wie Anwender die App der Entwickler nutzen – das Ganze funktioniert wie Session Replay für mobile Apps. TestFairy verspricht ähnliches: Durch Einbetten der Programmbibliotheken der Firma sollen App-Entwickler in Beta-Tests ihren Code verbessern können. Nur dass die App, in der die Forscher den TestFairy-Code fanden, nicht als Beta-Version deklariert war.

Insgesamt untersuchten die Forscher 17.260 Apps aus dem Google Play Store und drei kleineren App Stores (AppChina, Mi.com und Anzhi) mit einem automatisierten Verfahren nach solchen Praktiken – die überwiegende Zahl der untersuchten Apps stammt aus dem Google-Store. Zwar verschicken die von den Forschern gefundenen Apps keine Videos oder Audio-Aufnahmen der Nutzer, die Videos oder Screenshots der eigenen Nutzeroberfläche enthalten aber zum Teil persönliche Daten wie Kontaktinformationen Dritter oder Kreditkarten-Informationen des App-Nutzers. Zwar handelt es sich um Funktionen von Drittfirmen, besondere Rechte braucht es dafür aber trotzdem nicht, weil deren Programmbibliotheken im Kontext der App von deren Entwicklern eingebettet wurden.

Natürlich könnten die Apps die in den Screenshots und Videos enthaltenen Informationen auch selbst an die Server von Drittfirmen verschicken, das würde aber Absicht auf Seiten der App-Entwickler voraussetzen. Die vorliegenden Fälle sehen eher so aus, als ob die App-Entwickler Werkzeuge eingebaut haben, die ihnen bei der Analyse der App zur Verbesserung oder zum Tracken einzelner Nutzern bei Problemen helfen sollen, ohne darüber nachzudenken, das auf diesem Wege auch persönliche Daten der Nutzer übermittelt werden könnten.

Bei der App, die mittels Appsee Videos der Nutzerinteraktion aufnimmt, handelt es sich um GoPuff, einem Lieferdienst für Mitternachts-Snacks für den nordamerikanischen Markt. Zwei Konferenz-Apps des Tourismus-Veranstalters SAHIC verschickten über TestFairy hingegen Screenshots, die bei Anwendern im Betrieb der App gemacht wurden. (fab)

Quote
     die fiese Petze, 05.07.2018 09:02

Android-Wanze wegwerfen!

Normalerweise müsste jeder, der halbwegs bei Verstand ist, diese Wanze sofort zertreten und fachgerecht entsorgen. Aber wo ist die Generation, die seinerzeit mit massivem Protest den ersten TPM-Chip verhindern wollte und gegen die Volkszählung Riesendemos veranstaltete? Heute geht Freiheit den Nutzern am Arsch vorbei. ...


...


Aus: "Forscher: Android-Apps schicken Screenshots und Videos an Drittfirmen" Fabian A. Scherschel (04.07.2018)
Quelle: https://www.heise.de/newsticker/meldung/Forscher-Android-Apps-schicken-Screenshots-und-Videos-an-Drittfirmen-4099744.html


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9034
  • Subfrequenz Board Quotation Robot
[Backdoor Memos (von Geräten und Hintertüren)... ]
« Reply #29 on: August 14, 2018, 08:05:30 PM »
Quote
[...] Laut einer Testreihe der Nachrichtenagentur AP sammelt Google auch Geodaten von Kunden, die sich in ihren Einstellungen explizit dagegen entschieden haben. Betroffen sind demnach weltweit mehr als zwei Milliarden Handys mit Android-Betriebssystem sowie mehrere Hundert Millionen iPhone-Nutzer.

Wie Wissenschaftler der Princeton University in New Jersey bestätigten, reicht es nicht aus, in der App Google Maps die Aufzeichnung der Reisedaten abzustellen. Auch automatische Updates in der Wetter-App und Eingaben im Browser von Google Chrome werden genutzt, um Geodaten zu sammeln.

Auf der Google-Supportseite ist zu lesen: "Sie können die Aufzeichnung Ihrer Ortungsdienste jederzeit abstellen. Ihre Aufenthaltsorte werden dann nicht mehr gespeichert." Laut AP ist das eben nicht der Fall. Manche Google-Apps zeichnen weiterhin Geodaten auf. Selbst nicht ortsgebundene Websuchen wie etwa nach "Schokoladenkeksen" sollen schon zur Aktivierung des Trackings führen können. 

Die sogenannten "Location Marker", also das regelmäßige Sammeln einzelner Ortungspunkte, werden in den USA auch von der Polizei genutzt, um den Standort von Verdächtigen festzustellen – und beschäftigte zuletzt immer wieder Gerichte. Mutmaßliche Straftäter hatten geklagt, dass mit dem Sammeln ihrer Daten ihre Persönlichkeitsrechte verletzt werden.

Eine detaillierte Anleitung, wie Nutzer dennoch das Aufzeichnen ihrer Daten unterbinden können, hat das Fachblatt Wired zusammengestellt.


Aus: "Google speichert Geodaten von Kunden auch gegen deren Willen" (14. August 2018)
Quelle: https://www.zeit.de/digital/datenschutz/2018-08/datenschutz-google-geo-daten-iphone-android-mobiltelefon