Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
In eigener Sache: Wartungsarbeiten 16. 4. 2015
10. April 2015

Am Donnerstag, 16. April 2015, werden wir Wartungsarbeiten an unserer Infrastruktur vornehmen. Dies kann zu kurzen Service-Ausfällen führen (jeweils im Bereich weniger Minuten). Es gehen dabei keine Daten (zb Emails) verloren, es kann sich nur die Bearbeitung etwas verzögern.

In dringenden Fällen können sie uns wie gewohnt telephonisch unter +43 1 505 64 16 78 erreichen.

Autor: Robert Waldner

Ein Blick in die Zukunft der Handy-Malware
11. März 2015

Kaspersky hat eine Analyse zu einer Android-Malware veröffentlicht, die zwar aktuell nur in Russland aktiv ist, aber einen Vorgeschmack gibt, was demnächst auch bei uns passieren könnte:

Wichtige Punkte daraus:

  • Das Teil ist inzwischen so modular und gut geschützt, wie typische Windows Malware Frameworks
  • Es enthält Code zum Anmelden des Opfers bei diversen Premium-Services
  • Dabei kann es automatisch Verifikationsmethoden durchspielen:
    • SMS loops
    • Tokens per SMS bekommen, in Webseite einfüttern
    • Web Captchas
Ich kenne jetzt den aktuellen Stand in Österreich in Sachen mobiles Bezahlen nicht genau (bei den Mehrwert-SMS oder Dialern wurde doch (soweit ich mich erinnere) wegen Fraudfällen auf Kunden Opt-In umgestellt), ich kann daher nicht genau abschätzen, welches Missbrauchspotential aktuell in Österreich vorhanden ist.

Das Ganze schaut aber für mich so aus, als ob die Kriminellen die beim Online-Banking Betrug gelernten Methoden breiter in die Masse der Webdienste mit Bezahlfunktion ausrollen. Je mehr der Mobilfunkanbieter das Inkasso für Online-Dienste macht, umso mehr wird er auch mit solchen Betrügereien rechnen müssen.

Für den Handybesitzer wird es damit immer wichtiger, dass sein Telefon nicht infiziert wird. Im konkreten Fall lief die Infektion primär über Social Media und das Installieren von Apps am offiziellen Appstore vorbei. Das mag sich aber ändern, je mehr Android-Geräte mit obsoleter Firmware unterwegs sind.

Autor: Otmar Lendl

Update - Notizen zu FREAK
6. März 2015

Update 9. März 2015

In den letzten Tagen gab es wieder einmal große mediale Aufmerksamkeit für eine Schwachstelle in OpenSSL und anderen Crypto-Libraries. Der Eintrag für die zugehörige CVE-ID CVE-2015-0204 besteht seit November letzten Jahres, aktualisierte Versionen von OpenSSL wurden heuer im Jänner veröffentlicht.

Update 2015-03-09

Ergänzung: Auflistungen betroffener Bibliotheken/Anbieter finden sich auf https://www.smacktls.com/#freak und http://www.kb.cert.org/vuls/id/243585.

Die FREAK-Attacke basiert - stark verkürzt gesagt - darauf, dass in der Kommunikation zwischen einem anfälligen Client und einem anfälligen Server ein "Man-In-The-Middle" die Verwendung von sog. "Export Ciphers" erzwingen kann, die keine ausreichend starke Verschlüsselung bieten.

Dadurch ergeben sich in weiterer Folge eine Reihe von Angriffsmöglichkeiten, bzw. sind gewisse Attacken dann deutlich leichter durchführbar.

Detaillierte Beschreibungen des Problems und der Hintergründe gibt es hier:

Update 2015-03-09

Auf https://freakattack.com/ werden unter anderem betroffene Browser sowie mögliche Gegenmassnahmen aufgelistet. Weiters wird dort eine Testseite angeboten, mit der man feststellen kann, ob der eigene Webbrowser gegen den Angriff geschützt ist. Benutzer für deren Browser es (noch) keine Updates gibt sollten nach Möglichkeit - zumindest temporär - auf einen sicheren Browser umsteigen.

Der SSL Server Test von Qualys gibt Auskunft zur Sicherheit von Servern (nicht nur hinsichtlich FREAK).

Benachrichtigungen zu Webservern, die für die FREAK-Attacke anfällig sind werden wir demnächst versenden.

Autor: Stephan Richter

Gemalto Hack - nach der Pressekonferenz
25. Februar 2015

Gemalto hat in einer Pressekonferenz im Detail auf die letzten Snowden Enthüllungen reagiert. Einige der Antworten zeigen sehr schön, dass die initiale Reaktion ("potentiell alle SIM Karten tauschen") vielleicht zu stark war. Allerdings müsste nun der langwierige Prozess der Supply-Chain-Security Analyse angegangen werden. Firmen und Staaten müssten sich jetzt fragen, wo welche Chips von welchem Hersteller eingesetzt werden und ob diese Hersteller genügend abgesichert sind.

Wir haben unseren Blog dahingehend aktualisiert.

Ach ja, es gibt soooo viele Wege, Mobilfunk Security anzugreifen... Gerade eben den blog von SRLabs gelesen. Spannend.

Autor: L. Aaron Kaplan

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücke in TYPO3
19. Februar 2015 | ...
3. Update - "Zero-Day"-Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt) - Patches jetzt verfügbar
2. Februar 2015 | ...
mehr ...
In eigener Sache: Wartungsarbeiten 16. 4. 2015
10. April 2015 | Am Donnerstag ...
Ein Blick in die Zukunft der Handy-Malware
11. März 2015 | Kaspersky ...
mehr ...
Jahresbericht 2014
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/4/10 - 11:24:11
Haftungsausschluss