Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Notizen zu FREAK
6. März 2015

In den letzten Tagen gab es wieder einmal große mediale Aufmerksamkeit für eine Schwachstelle in OpenSSL und anderen Crypto-Libraries. Der Eintrag für die zugehörige CVE-ID CVE-2015-0204 besteht seit November letzten Jahres, aktualisierte Versionen von OpenSSL wurden heuer im Jänner veröffentlicht.

Die FREAK-Attacke basiert - stark verkürzt gesagt - darauf, dass in der Kommunikation zwischen einem anfälligen Client und einem anfälligen Server ein "Man-In-The-Middle" die Verwendung von sog. "Export Ciphers" erzwingen kann, die keine ausreichend starke Verschlüsselung bieten.

Dadurch ergeben sich in weiterer Folge eine Reihe von Angriffsmöglichkeiten, bzw. sind gewisse Attacken dann deutlich leichter durchführbar.

Detaillierte Beschreibungen des Problems und der Hintergründe gibt es hier:

Auf https://freakattack.com/ werden unter anderem betroffene Browser sowie mögliche Gegenmassnahmen aufgelistet. Weiters wird dort eine Testseite angeboten, mit der man feststellen kann, ob der eigene Webbrowser gegen den Angriff geschützt ist. Benutzer für deren Browser es (noch) keine Updates gibt sollten nach Möglichkeit - zumindest temporär - auf einen sicheren Browser umsteigen.

Der SSL Server Test von Qualys gibt Auskunft zur Sicherheit von Servern (nicht nur hinsichtlich FREAK).

Benachrichtigungen zu Webservern, die für die FREAK-Attacke anfällig sind werden wir demnächst versenden.

Autor: Stephan Richter

Gemalto Hack - nach der Pressekonferenz
25. Februar 2015

Gemalto hat in einer Pressekonferenz im Detail auf die letzten Snowden Enthüllungen reagiert. Einige der Antworten zeigen sehr schön, dass die initiale Reaktion ("potentiell alle SIM Karten tauschen") vielleicht zu stark war. Allerdings müsste nun der langwierige Prozess der Supply-Chain-Security Analyse angegangen werden. Firmen und Staaten müssten sich jetzt fragen, wo welche Chips von welchem Hersteller eingesetzt werden und ob diese Hersteller genügend abgesichert sind.

Wir haben unseren Blog dahingehend aktualisiert.

Ach ja, es gibt soooo viele Wege, Mobilfunk Security anzugreifen... Gerade eben den blog von SRLabs gelesen. Spannend.

Autor: L. Aaron Kaplan

In eigener Sache: CERT.at sucht Verstärkung
24. Februar 2015

Wir suchen aktuell eine/n ProgrammiererIn - vorerst als Karenzvertretung bis Jahresende. Details siehe https://cert.at/about/jobs/jobs.html.

Autor: Robert Waldner

Superfish - Eine Zusammenfassung
20. Februar 2015

Die meisten im Handel erhältlichen Notebooks werden mit einer vorinstallierten Version von Windows in Kombination mit weiterer "nützlicher" Software - gemeinhin als "Bloatware" bezeichnet - ausgeliefert. Für die meisten Leute ist diese auf Notebooks vorinstallierte Bloatware eine rein nervige Angelegenheit, doch ein Fall von Bloatware auf Notebooks der Firma Lenovo zeigt, welche Gefährdung durch derlei Software entstehen kann.

Was ist passiert?

Notebooks einiger Consumerreihen von Lenovo wurden über einen längeren Zeitraum mit der Software "Superfish Visual Discovery ausgeliefert. Die Beschreibung des Herstellers dazu ist:

SimilarProducts is a monetization platform that uses Superfish technology to help users find and discover products visually. The technology instantly analyzes images on the web and presents identical and similar product offers. The SimilarProducts Platform includes hundreds of millions of product offers from thousands...
In einem offiziellen Statement von Lenovo war die folgende Intention zu lesen:
In our effort to enhance our user experience, we pre-installed a piece of third-party software, Superfish (based in Palo Alto, CA), on some of our consumer notebooks. We thought the product would enhance the shopping experience, as intended by Superfish.
Um es etwas verständlicher auszudrücken: Es handelt sich hierbei um Adware.

Laut Lenovo wurde die Software nur auf Consumergeräten die zwischen Oktober und Dezember 2014 ausgeliefert wurden, installiert. Dem gegenüber stehen jedoch Berichte aus Foren die bereits im Juni 2014 auftauchten. Es ist also absolut nicht auszuschliessen, dass die betroffene Zeitspanne wesentlich grösser ist.

Auswirkungen

Betroffen sind laut dem Hersteller folgende Modelle:

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
  • Y Series: Y430P, Y40-70, Y50-70
  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70
  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
  • E Series: E10-30
Neben den an sich schon ungewünschten Eigenschaften - wie dem oben erwähnten Einblenden von Werbung bei der Benutzung von Suchmaschinen sowie der Einschränkung der Funktionalität von Websockets (in Foren werden noch weitere Dinge berichtet, hier ist bisher aber noch nicht vollends klar, ob die Probleme direkt mit Superfish zusammenhängen) - verankert sich die Software noch als vertrauenswürdiger Zertifikatsaussteller (Root CA) im Certificate Store des Betriebssystems.

Dies ist per se schon schlimm genug, da sich Superfish damit als jede beliebige Webseite ausgeben kann und dadurch in der Lage ist, verschlüsselten Datenverkehr aufzubrechen. Die naheliegendste (und für die Software schmeichelhafteste) Vermutung dafür ist, dass damit ermöglicht werden sollte, auch in TLS-gesicherte Verbindungen Werbung einzublenden.

Zusätzlich dazu ist der Private Key Bestandteil der Software, was es ermöglicht, diesen via Reverse Engineering in Erfahrung zu bringen.

Das ist inzwischen passiert. Der Sicherheitsforscher Robert Graham hat in einem Blogeintrag beschrieben, wie erschreckend einfach es war an den verwendeten Private Key zu kommen. Inzwischen hat es der entschlüsselte Private Key auf Pastebin und Twitter geschafft, was es wahrscheinlich macht, dass sich Kriminelle diesen bald zunutze machen werden.

Denkbar wären damit beispielsweise Man-in-the-Middle-Attacken, bei denen sich etwa eine gefälschte Internetseite einer Bank als vertrauenswürdig ausweist. Auch schadhafter Code kann mit gefäschten Zertifikaten ausgestattet werden, die aufgrund der im System vorhandenen Superfish-CA dann als korrekt signiert betrachtet werden würde.

Lenovo selbst hat aufgrund des massiven Drucks durch die Medien eine Anleitung bereitgestellt, mit der sich sowohl die Adware als auch die CA entfernen lassen. Der Sicherheitsforscher Filippo Valsorda hat inzwischen einen Test zur Verfügung gestellt, mit dem sich prüfen lässt, ob das Problem noch vorhanden ist.

Weitere Auswirkungen?

Möglicherweise sind die bisherigen Auswirkungen noch nicht alles. Das Passwort für den von der Anwendung verwendeten Private Key lautete "komodia", was Journalisten und Sicherheitsforscher auf die Spur einer Firma geführt hat, die Filter- und Jugendschutztechnologien vertreibt, die auf die selbe Technologie und, fatalerweise, dasselbe Passwort für den Private Key setzen. CERT/CC warnt inzwischen vor allen Produkten dieser Firma.

In den nächsten Tagen werden mit grosser Wahrscheinlichkeit viele Exemplare solcher Software von Sicherheitsforschern auf den Prüfstand genommen werden.

Update, 20.02.2015, 17:15: Inzwischen ist der erste Proof-of-Concept erschienen. Dieser ist in der Lage, verschlüsselte Verbindungen von betroffenen Lenovo-Geräten (im lokalen Netzwerk) unauffällig mitzuschneiden.

Autor: Alexander Riepl

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücke in TYPO3
19. Februar 2015 | ...
3. Update - "Zero-Day"-Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt) - Patches jetzt verfügbar
2. Februar 2015 | ...
mehr ...
Notizen zu FREAK
6. März 2015 | In den ...
Gemalto Hack - nach der Pressekonferenz
25. Februar 2015 | Gemalto ...
mehr ...
Jahresbericht 2014
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/3/6 - 18:15:17
Haftungsausschluss