Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Abgeschlossen: Wartungsarbeiten Dienstag, 31. 5. 2016
25. Mai 2016

Am Dienstag, 31. Mai 2016, werden wir Wartungsarbeiten an unserer Infrastruktur vornehmen. Dies wird zu Ausfällen der extern erreichbaren Services (zB Mail, Webserver, Mailinglisten) führen, diese können jeweils mehrere Minuten andauern. Es gehen dabei keine Daten (zb Emails) verloren, die Bearbeitung kann sich allerdings etwas verzögern.

In dringenden Fällen können sie uns wie gewohnt telephonisch unter +43 1 505 64 16 78 erreichen.

Update: Die Wartungsarbeiten wurden erfolgreich abgeschlossen. Insgesamt hat sich der Ausfall der öffentlich erreichbaren Services auf ca. 10 Minuten beschränkt.

Autor: Robert Waldner

Ransomware Awareness Tag
19. Mai 2016

Unsere Kollegen von der Schweizer Melde- und Analysestelle Informationssicherung MELANI veranstalten heute, am 19. Mai 2016, einen Aktionstag zum Thema Ransomware. Das Ziel ist es, die Informationen zu der Bedrohung und zu den einfachen Gegenmaßnahmen möglichst breit zu streuen. Auch wir haben Informationsmaterial an diverse Medien verteilt und hoffen auf eine breite Unterstützung.

Ransomware ist leider nicht nur ein Thema für IT-affine Leute, sondern kann jeden PC- (und sicher bald auch Handy-) Nutzer treffen. Die einzige wirklich sichere Gegenmaßnahme ist proaktiv: Regelmäßige, getestete und sicher verwahrte Backups. Diese muss man aber vorher machen.

Wir von CERT.at haben zu dem Thema im März ein ausführliches Dokument zu dem Thema veröffentlicht. Von MELANI stammt die folgende (und von uns leicht editierte) Zusammenfassung:

Bei Ransomware handelt es sich um eine bestimmte Familie von Schadsoftware (Malware). Diese verbreitet sich üblicherweise über schädliche E-Mail Anhänge oder gehackte Webseiten. Einmal infiziert, verschlüsselt Ransomware Dateien auf dem Computer des Opfers sowie auf allfällig verbundenen Netzlaufwerken (Network shares) und Speichermedien (z.B. USB-Sticks). Die verschlüsselten Dateien werden dadurch für das Opfer unbrauchbar. Wurden die Dateien auf dem Computer erst einmal durch die Ransomware verschlüsselt, zeigt diese dem Opfer einen "Sperrbildschirm" an. Dieser fordert das Opfer auf, eine bestimmte Geldsumme in Form einer Internetwährung an die Angreifer zu bezahlen, damit diese die verschlüsselten Dateien wieder freigeben und somit wieder verwendet werden können (Erpressung). Durch die Verwendung einer Internetwährung wie beispielsweise Bitcoins wird die Nachverfolgung der Urheberschaft erschwert. Ein Nachkommen der von den Angreifern gestellten Forderung und der damit verbundenen Zahlung an die Angreifer gibt jedoch keine Garantie, dass Opfer wieder Zugang zu den unverschlüsselten Dateien erhalten. Zudem finanziert eine Zahlung das Geschäftsmodell der Angreifer und erlaubt diesen damit, die Angriffe mit Ransomware fortzuführen und weitere Opfer zu infizieren und zu schädigen.

wie_funktioniert_ransomware_n

Ransomware ist kein neues Phänomen: Bereits im Jahre 2005 ist die erste Ransomware aufgetaucht, welche den Computer des Opfers sperrte und ein Lösegeld von ihm verlangte. In den letzten Monaten hat sich die Zahl der Opfer von Ransomware global jedoch drastisch erhöht. Unlängst sind nicht nur Privatanwender Ziel von Angriffen mit Ransomware, sondern vermehrt auch kleine und mittlere Unternehmen (KMU). Während Privatanwender bei einem Vorfall mit Ransomware nicht mehr auf ihre persönlichen Daten zugreifen können, sind die Auswirkungen für Unternehmen bei einem Ransomware-Vorfall in der Regel deutlich gravierender. Oftmals werden unternehmenskritische Daten wie beispielsweise Verträge, Kunden- und Buchhaltungsdaten verschlüsselt und so unbrauchbar. Dies kann ein KMU schnell einmal in eine Notlage bringen, was diese dann leider oftmals dazu animiert ein Lösegeld zu bezahlen, um den Zugriff auf deren Daten wieder zu erlangen.

Dies muss nicht sein. Mit folgenden drei Maßnahmen können Bürgerinnen und Bürger aber auch KMUs sich vor Ransomware schützen:

  • Erstellen Sie regelmäßig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heißt auf einem externen Medium wie beispielsweise einer externen Festplatte, gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium, auf welches Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer trennen. Ansonsten werden bei einem Befall durch Ransomware möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar.
  • Seien Sie vorsichtig im Umgang mit E-Mails. Öffnen Sie keine E-Mail Anhänge, welche Sie unerwartet bekommen oder deren Absender Sie nicht kennen und klicken Sie auf keine Links.
  • Halten Sie installierte Software und Plug-Ins immer aktuell. Stellen Sie sicher, dass sämtliche installierte Software, Apps sowie auch Web-Browser Plug-Ins (beispielsweise Flash Player, Java) stets auf dem aktuellen Stand sind. Verwenden Sie, wenn immer möglich, die automatische Update-Funktion der jeweiligen Software. Insbesondere bei Browser-Plug-Ins sollte man überdenken, ob diese überhaupt gebraucht werden, oder ob sie nicht einfach deinstalliert werden könnten.


In den letzten Wochen hat sich im Bereich Ransomware viel getan: Es tauchten regelmäßig neue Varianten von Ransomware auf, es steigen anscheinend mehrere Gruppen in dieses Geschäftsmodell ein. Nicht immer sind diese neuen Versionen "gut" programmiert: Sicherheitsforscher finden hier und da eine Möglichkeit, die Ransomware zu überlisten und die Dateien auch ohne Zahlung wiederherzustellen. Das motiviert natürlich wieder die Gegenseite zu einer Nachbesserung ihrer Software. Es kam auch schon vor, dass eine Gruppe hinter einer Ransomwarevariante sich aus dem "Geschäft" zurückzieht und eine Entschlüsselung bei allen ihren "Kunden" ermöglicht. Ganz aktuell ist das bei TeslaCrypt der Fall.

Falls man selber von Ransomware betroffen ist, helfen die folgenden Webseiten, die Ransomware zu identifizieren und zu erfahren, ob es ein passendes Entschlüsselungstool gibt:

Das Ziel des Ransomware Awareness Tag ist es, die proaktiven Maßnahmen zu bewerben, damit die Vorfälle abnehmen und weniger Schaden verursachen. Im Fall des Falles gibt es in Österreich folgende Ansprechpartner:

Autor: Otmar Lendl

Badlock
13. April 2016

Gestern abend haben Microsoft und das Samba-Projekt Patches zum lange angekündigten (und mancherorts medial auch gut aufgebauschten) sog. "Badlock"-Bug (CVE-2016-0128) veröffentlicht:

Inhaltlich ist das nicht wirklich tragisch - ein "Man-in-the-middle" könnte eine SMB-Verbindung übernehmen. Da SMB-Verbindungen normalerweise nur in lokalen Netzen oder via VPN aufgebaut werden, hält sich der Impact in Grenzen. Zeitnah Patches einspielen ist natürlich trotzdem anzuraten - in den meisten Fällen wird es reichen, dies im normalen Patch-Zyklus abzuhandeln.

Ansonsten können wir uns hier nur dem SANS ISC anschliessen:

  • Patch as you get to it, but no reason to rush this one
  • Do not use SMB over networks you don't trust
  • Firewall SMB inbound and outbound
  • If you need to connect to remote file shares, do so over a VPN

Autor: Robert Waldner

Von Moorhühnern, Autounfällen und veralteter Software
6. April 2016

Peter fährt mit seinem Auto für dessen tourliche Untersuchung auf Fahrtüchtigkeit - kurz, Pickerl - zu seiner vertrauten Autowerkstatt. Nach rund einer halben Stunde sagt ihm der Mechaniker, dass die Bremsleitungen seines Autos stark korrodiert seien und es nur noch eine Frage der Zeit wäre, bis diese platzen und es folglich zu einem Ausfall der Bremsen käme. Peter schluckt: "Na, da hab ich ja nochmal Glück gehabt, dass wir da noch rechtzeitig draufgekommen sind." Dass Peter unter diesen Umständen nicht mehr ruhigen Gewissens mit seinem Auto weiterfahren kann, liegt wohl auf der Hand. Und überhaupt ist Peter eher jemand, der bei solchen Dingen auf Nummer "Sicher" geht. Nachdem die Werkstatt an dem Tag noch einen Termin einschieben kann, lässt er das Auto kurzum dort und fährt mit den Öffis in die Arbeit.

Peter ist übrigens selbstständiger Fotograf. Er hat ein kleines Studio und ist besonders gut im Photoshop. Seine Kunden schwören auf seine Expertise im Weichzeichnen. Gerade, als er mit der Bearbeitung der Fotos vom Vortag beginnen will, kommt wiedermal dieses lästige Windows Update Popup. "Na toll, gerade jetzt!", ärgert sich Peter. Gleichzeitig wird er sich seines schlechten Gewissens gewahr, dass er jenes Update aber eigentlich ja schon seit längerer Zeit aufschiebt. Ähnlich geht es auch seinem Antivirus, der schon seit Jahren seiner letzten vollständigen Systemüberprüfung nachheult und diesen Umstand mit einer demonstrativen, wenn auch mittlerweile etwas frustriert und resignierend anmutenden, gelben Fahne kundtut. Mit einem "Egal, die Fotos müssen fertig werden." klickt Peter den Störenfried genervt weg. Tief in seinen Fantasien ist Peter ja eigentlich Mitglied einer Anti-Terror Spezialeinheit - da wird zuerst geklickt und dann gefragt.

Kurz vor 18:00 schafft es Peter nach den zwischentäglichen Strapazen gerade noch rechtzeitig zum Mechaniker um sein Auto abzuholen. Nun, da er endlich jemanden zum Reden gefunden hat, kann er seine angehäufte Last loswerden: "Sie glauben ja nicht, was mir heute passiert ist! Da bin ich doch auf so eine (*piep*) Website gegangen und hab auf einen harmlosen Link geklickt und plötzlich, das glauben Sie nicht, waren alle meine Dateien, alle meine Fotos, verschlüsselt!". "Und haben Sie irgendwelche Sicherheitskopien von den Daten?", erkundigt sich der Mechaniker. "Natürlich, aber die sind jetzt auch verschlüsselt, denn die waren auch mit dem Computer verbunden. ...

 

Was fällt uns bei dieser kleinen, direkt aus dem (möglichen) täglichen Leben gegriffenen Geschichte auf? Wenn es um Peters leibliche, oder besser gesagt "greifbare" Sicherheit geht, ist er eigentlich sehr pragmatisch. Das lässt er sich auch jederzeit etwas kosten. Bei Software hingegen, da ist er offensichtlich, wenn auch eventuell unbewusst, ganz anders gepolt. Dabei handelt es sich in beiden Fällen um sehr ähnliche Dinge:

Initial ...

Auto: Der Mechaniker findet ein verschlissenes Teil bzw. der Autohersteller selbst stellt einen Fehler in der Produktion fest und startet eine Rückrufaktion.

Software: Sicherheitsforscher bzw. die Entwickler selbst finden eine Schwachstelle und machen ein Update verfügbar.

Falsche Vorgehensweise ...

Auto: Sie fahren weiter und es kommt (eventuell) zu einem Unfall => Verletzung? Kosten?

Software: Sie ignorieren diesen Umstand und "treten sich" (womöglich) eine Schadsoftware "ein" => Datenverlust? Kosten?

Richtige Vorgehensweise ...

Auto: Das verschlissene Teil wird ausgetauscht bzw. der festgestellte Missstand wird behoben.

Software: Das Update wird eingespielt.

 

Wie Sie sehen, gleichen sich diese Szenarien in vielen Aspekten, jedoch ist die von uns (Anwesende sind natürlich wie immer ausgeschlossen) zugeordnete Priorität oftmals eine gänzlich andere. Warum eigentlich? Wie wir gesehen haben, kann es auch im Falle des Software-Szenarios - und das gar nicht mal selten - zu spürbaren Folgen kommen. Und dabei müssen wir (Anwesende diesmal eingeschlossen) dort üblicherweise gar nichts für die auszutauschenden "Teile" bezahlen. Wir müssen Sie lediglich selbst "einbauen". Ein Beispiel dafür, dass ein Klick an der richtigen Stelle auch mal durchaus Gutes bewirken kann.

 

Und die Moral von der Geschicht'? Und man verzeihe mir das DU ...

Leute, bitte dreht wo möglich bei all Eurer installierten Software die "Automatisches Update"-Funktion auf bzw. (wenn nicht möglich) kümmert Euch selbst um entsprechende Aktualität. Löscht, deinstalliert bzw. deaktiviert nicht (mehr) verwendete Software, Plugins, etc. Das gilt alles übrigens auch für Eure Smartphones und alle restlichen smarten Gerätschaften. Und last but never ever least: Legt Euer an eine Moorhuhnjagd erinnerndes Klickverhalten ab, denn damit kann Euch auch keinerlei noch so raffinierte Technik mehr helfen. E-Mail-Clients, Browser, wie auch der Desktop sind einfach keine (Ego-)Shooter!

 

Autor: Christian Wojner

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Update: Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches jetzt verfügbar
15. Juni 2016 | Update ...
Kritische Sicherheitslücke in TYPO3 - Patches verfügbar
24. Mai 2016 | Angesichts ...
mehr ...
Abgeschlossen: Wartungsarbeiten Dienstag, 31. 5. 2016
25. Mai 2016 | Am Dienstag ...
Ransomware Awareness Tag
19. Mai 2016 | Unsere ...
mehr ...
Jahresbericht 2015
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/5/31 - 12:27:54
Haftungsausschluss