for a better it
040 696 66 71- 0
040 696 66 71-29

Sicherheit

IT Sicherheit muss nicht teuer sein. Schon für kleines Geld können Sie Ihre Daten sicher wissen. Entwickelt und unterstützt in Hamburg. Lassen Sie sich von uns beraten.

Mehr erfahren

IT-Infrastruktur

Deutsche Ingenieure entwickeln hier Ihre Lösungen von morgen. Bereiten Sie sich vor auf eine Zukunft mit Produkten, die sie flexibel einsetzen können. Wo auch immer Sie arbeiten möchten.

Mehr erfahren

Kommunikation

Bringen Sie Ihre gesamte Kommunikation auf einen gemeinsamen Nenner. Moderne Software von heute kann Kommunikation bündeln und so in wenigen Schritten Ihren Geschäftsalltag erleichtern.

Mehr erfahren

Webinar – Web Application Security

Wie versuchen Hacker Webseiten und webbasierte Applikationen anzugreifen und wie funktioniert eine leistungsstarke Web Application Firewall?
Erfahren Sie mehr in unserem neusten Webinar!

Quelle: Rohde & Schwarz Cybersecurity

Details zur KRACK-Attacke: WPA2 ist angeschlagen, aber nicht gänzlich geknackt

Schwachstellen im WPA2-Protokoll führen dazu, dass Angreifer eigentlich geschützten Datenverkehr mitlesen könnten. Davon sind im Grunde alle Geräte mit WLAN-Chip bedroht. Das WLAN-Passwort ist aber nicht gefährdet.

Zwei Sicherheitsforscher zeigen, wie sie auf Grund von Fehlern im WPA2-Protokoll verschlüsselte Daten zwischen einem Access Point und Client einsehen können. WPA2 ist das mittlerweile fast überall genutzte Protokoll für die Verschlüsselung in Funknetzen und soll Angreifer daran hindern, Daten durch einfaches Belauschen der Funkübertragung zu erschnüffeln. Durch den KRACK getauften Angriff könnten Angreifer etwa persönliche Informationen mitschneiden oder Daten manipulieren. Die „Key Reinstallation Attack“ klinkt sich dazu in den Verbindungsaufbau ein.

Einfallstor Handshake

Die Sicherheitsforscher der belgischen KU Leuven setzen in dem Moment an, in dem ein Client sich mit einem Access Point via WLAN verbinden will. Dabei verständigen sich beide in Form eines Handshakes, der in vier Schritte unterteilt ist, unter anderem auf den zu nutzenden Session-Key. Der Beschreibung zufolge gelingt es ihnen dabei durch aktive Manipulation einen bereits genutzten Schlüssel erneut zum Einsatz zu bringen. Das funktioniere in der Praxis mit nahezu allen WLAN-Clients.

Diese „Reinstallation“ erlaube es ihnen, Teile des Datenverkehrs zu entschlüsseln oder zu manipulieren, erklären die Forscher auf einer eigens für die Beschreibung des KRACK-Angriffs eingerichteten Web-Site. Es handle sich dabei um einen Design-Fehler des WPA2-Protokolls, das die erneute Nutzung des Keys nicht unterbinde. Das WLAN-Passwort könne man auf diesem Weg allerdings nicht in seinen Besitz bringen. Zusätzlich via SSL/TLS gesicherte Daten, wie sie etwa bei HTTPS-Verbindungen zum Online-Banking oder zum Übertragen von Login-Daten genutzt werden, lassen sich durch KRACK ebenfalls nicht entschlüsseln. Mehr Details zum Angriff auf den 4-Weg-Handshake präsentieren Mathy Vanhoef und Frank Piessens in einem Paper zu Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2

Linux und Android besonders gefährdet

Neben WPA2, inklusive der Personal- und Enterprise-Variante, sollen auch WPA-TKIP, AES-CCMP und das derzeit nicht weit verbreitete GCMP dafür anfällig sein. Da die Sicherheitsstandards an sich verwundbar sind, sind im Grunde alle Geräte mit Android, iOS, Linux, Windows & Co., die einen WLAN-Chip verbaut haben, gefährdet.

Den Sicherheitsforschern zufolge sind vor allem Linux und Android ab Version 6.0 besonders für einen derartigen Übergriff anfällig. Hier kommt die Software wpa_supplicant zum Einsatz, die den Sicherheitsforschern zufolge durch die erneute Übertragung des dritten Handshake-Pakets zur Nutzung eines Dummy-Keys mit dem Wert 0 gebracht werden kann. In diesem Fall konnten sie eigenen Angaben zufolge mit wenig Aufwand alle übertragenen Daten entschlüsseln. Rund 41 Prozent alle Android-Geräte seien für diese „besonders verheerende Variante“ ihres Angriffs anfällig.

Die Forscher wollen am 1. November 2017 auf der Konferenz Computer and Communications Security (CCS) einen aktualisierten Vortrag mit weiteren Details zur KRACK-Attacke halten. In einer ersten Stellungnahme versichert die Wi-Fi Alliance, dass es bislang keine Beweise für ein Ausnutzen der Schwachstellen gibt. Verschiedene Netzwerkausrüster haben bereits Patches angekündigt. Man kan die KRACK-Lücke also schließen, versichern die Forscher. Heise Security ist mit diversen Anbietern in Kontakt und wird berichten.

Bis Patches verfügbar sind, muss man davon ausgehen, dass Dritte mitlesen können. Man sollte bei der Übertragung von persönlichen Informationen darauf achten, dass eine Extra-Verschlüsselung wie HTTPS zum Einsatz kommt. Alternativ kann auch der Einsatz eines VPNs helfen. Das Deaktivieren von WLAN ist auch zielführend, in der Regel aber nicht praktikabel.

Quelle: heise.de

Krypto-Trojaner RedBoot infiziert MBR und zerstört Dateien

Eine neue Ransomware treibt ihr Unwesen im Master Boot Record von Windows-PCs. Darüber hinaus verschlüsselt sie auch Dateien – ohne jedoch einen Weg zur Entschüsselung zu bieten.

Die von Bleepingcomputer analysierte Ransomware RedBoot verschlüsselt den MBR (Master Boot Record) des infizierten PCs und modifiziert die Partitionstabelle. Dies verhindert effektiv, dass Windows starten kann. Stattdessen wird eine Meldung des Erpressers angezeigt: Der Computer und alle seine Dateien seien verschlüsselt, der Nutzer solle sich per E-Mail mit den Entwicklern in Verbindung setzen, um Anweisungen für die Entschlüsselung zu erhalten.

Vorgehen
Nachdem RedBoot ausgeführt wurde, überschreibt es zunächst den MBR mit mitgeliefertem und kompiliertem Assemblercode. Daraufhin werden die zwei ebenfalls mitgelieferten Programme main.exe und protect.exe gestartet. Das erste Programm durchsucht den Computer und verschlüsselt ausführbare Programme, DLLs sowie Dokumente und Bilder. Dabei werden sie mit der Endung .locked versehen. Gleichzeitig sorgt protect.exe dafür, dass main.exe möglichst störungsfrei arbeiten kann und blockiert Programme, welche die Infektion beeinträchtigen oder verhindern könnten. Dazu gehört unter anderem der Task-Manager. Ist die Verschlüsselung abgeschlossen, startet die Ransomware den PC neu, wobei statt Windows nun das oben genannte Erpresserschreiben angezeigt wird.

Kein Weg zurück
Die Analysten von Bleepingcomputer haben keine Möglichkeit gefunden, einen Entschlüsselungscode einzugeben, daher sind von RedBoot verschlüsselte Daten vermutlich nicht wiederherstellbar. Entweder RedBoot ist eine sehr schlecht geschriebene und verbuggte Ransomware oder sie war nie dazu ausgelegt, die Daten wieder entschlüsseln zu können – damit wäre sie als Wiper einzuordnen. Die in AutoIT geschriebene Ransomware ahmt mit dem Ersetzen des MBR die in Deutschland verbreitete Ransomware Petya nach, welche dieses Verfahren ebenfalls eingesetzt hat. RedBoot gelangt über in der Quelle nicht genannte Wege auf den PC, üblicherweise verbreitet sich Ransomware über infizierte E-Mail-Anhänge.

Quelle: heise.de