Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
#efail #fail
14. Mai 2018

Aktuell gehen Berichte um (Twitter, ars technica, EFF, ...), die vor einem Sicherheitsproblem mit verschlüsselten Mails berichten. Die EFF geht soweit, eine Deinstallation diverser Tools zu empfehlen.

Während ich diesen Blogpost schreibe, gingen die Researcher mit ihren Ergebnissen online: https://efail.de/ Yay! Eine Vuln mit coolem Namen und Logo.

Hier die wichtigsten Punkte:

  • Das Problem ist nicht die Verschlüsselung, sondern liegt im automatischen Entschlüsseln in Verbindung mit aktivem Inhalt (also HTML).
  • Es werden morgen zwei verschiedene Angriffsvarianten vorgestellt werden.
  • Eine davon ist nicht trivial ausnutzbar.
  • Es betrifft nicht nur PGP, sondern auch S/MIME.
  • Durch Updates der Mail-Software lässt sich das Problem leicht aus der Welt schaffen.

Unsere Empfehlungen:

  • PGP Plugins aktuell halten
  • Optimalerweise Mails in der Plaintext-Version anzeigen lassen, wenn HTML, dann wenigstens "remote content" (also nachgeladene Bilder) abdrehen.
  • Aktuell ist die größere Gefahr eine Kurzschlussreaktion wegen Drucks von den Medien und/oder dem Management.

Quellen:

Ein Entwickler von Enigmail (PGP-Plugin für Mozilla-Produkte wie Thunderbird) schreibt:

We saw a preview of that paper. It's under embargo so it would be inappropriate for us to comment on it until it's released. It was also inappropriate for the EFF to comment on it. You can expect us to have an official statement on it once the paper is published.

I will say this is a tempest in a teapot. Patrick, Werner, and I have all seen it. We are not in the least bit worried. We wish the EFF had reached out to us before running with an alarmist article.

tl;dr: as always, please use the latest Enigmail version, and do so with confidence.

Die GPG-Enwickler schreiben:

The topic of that paper is that HTML is used as a back channel to create an oracle for modified encrypted mails. It is long known that HTML mails and in particular external links like are evil if the MUA actually honors them (which many meanwhile seem to do again; see all these newsletters). Due to broken MIME parsers a bunch of MUAs seem to concatenate decrypted HTML mime parts which makes it easy to plant such HTML snippets.

There are two ways to mitigate this attack

- Don't use HTML mails. Or if you really need to read them use a proper MIME parser and disallow any access to external links.

- Use authenticated encryption.

[...]

Update 2018/05/15

An Official Statement on New Claimed Vulnerabilities by the GnuPG and Gpg4Win teams

1. This paper is misnamed. 2. This attack targets buggy email clients. 3. The authors made a list of buggy email clients.

Enigmail Update

Thereare two different attacks outlined in the Efail paper. One targets OpenPGP directly, and GnuPG has had mitigations against it for almost twenty years. Reports saying that GnuPG is vulnerable are wrong.

The other one targets buggy MIME parsing by email clients. Enigmail previously had some susceptibility to it, but as of Enigmail 2.0 we've closed up all the leaks on our side of things. There is still a small bit of attack surface in Thunderbird. The code to fix that has been checked into Thunderbird and will be part of the next Thunderbird release.

Aaron Kaplan zu Mitigation am Mac

Luckily there is a good tool for this: Little Snitch (and as far as I know, this is the only tool of its kind on OS X). With Little Snitch, which acts as an outgoing firewall, I am able to protect and filter the communication flows.

Autor: Otmar Lendl

CVE-2018-8897
9. Mai 2018

Aktuell gehen Medienberichte über einen Bug im Umgang von Betriebssystemen mit Intel und AMD CPUs umher, dazu hatten wir die ersten Rückfragen bezüglich der Kritikalität.

Wir sehen das nicht tragisch: der Bug ist nach momentanem Wissensstand weder remote noch via JavaScript etc. ausnutzbar, und daher "nur" eine klassische Privilege Escalation. Ja, für Anbieter von virtuellen Maschinen ist das keine Kleinigkeit, je nach Setup (Hardware- vs. Paravirtualisierung) kann das hier durchaus von Bedeutung sein.

In Standard-Büroumgebungen kann das ausgenutzt werden, um aus einer kleinen Infektion eine grosse zu machen: Privilege Escalation eben. Solche Bugs gibt es laufend.

Aber für Standard-Nutzer von Standard-PCs mit Standard-Betriebssystemen fällt das definitiv unter: keine Panik, ganz normal Patches einspielen.

CERT/CC hat eine nette Übersicht dazu: https://www.kb.cert.org/vuls/id/631579

Autor: Robert Waldner

Austria Cyber Security Challenge 2018
25. April 2018

Auch heuer wieder gibt es eine Cyber Security Challenge. Wir von CERT.at halten das für eine gute Geschichte und daher auch von uns der Aufruf an Jung und (heuer neu!) Alt, hier mitzumachen.

Es folgt der Meldung der Veranstalter:

Die Besten Nachwuchs-Hacker Österreichs - und jene die es werden wollen

Startschuss zur Austria Cyber Security Challenge 2018 / Offene Staatsmeisterschaft

www.verbotengut.at

Die Suche nach jungen Cyber-Experten geht in die nächste Runde. Von 02.05.2018 bis 31.08.2018 findet die Vorausscheidung der Austria Cyber Security Challenge 2018 statt. Schüler, Studenten und Lehrlinge aus ganz Österreich stellen in diesem Wettbewerb ihr Know-how unter Beweis.

Neu ist, neben den klassischen - sehr anspruchsvollen - Bewerben für Schüler und Studenten, diesmal die Offene Klasse - Österreichische Staatsmeisterschaft an der jeder Interessierte sein Können zeigen kann.

Auch die Level1 - eine Challenge für alle Einsteiger, Interessierte Lehrer und Jugendlichen die sich dem Thema "hacking" ohne Vorkenntnisse annähern wollen - wird heuer wieder durchgeführt

Die Cyber Security Challenge Austria wurde ins Leben gerufen, um junge Cyber-Sicherheitsexperten zu erkennen und zu fördern. Cyber Security Austria und das Österreichischen Bundesheer suchen bereits zum siebten Mal junge IT-Talente für Österreich.

Autor: Otmar Lendl

Patschn am Patscherkofel
20. April 2018

Nachdem einige Medien über einen Vorfall berichten, bei dem auch wir involviert waren, will ich hier ein paar Fakten klarstellen:

  • Wir bekommen immer wieder von Researchern - und da ist die "Internetwache" nur einer unter vielen - Hinweise zu konkreten Sicherheitsproblemen im österreichischen Internet. Unsere Rolle hier ist, diese Meldungen (auf Wunsch anonymisiert) an die Betroffenen weiterzuleiten und dort für die entsprechende Aufmerksamkeit zu sorgen.
  • Das haben wir auch in diesem Fall gemacht: bei uns ging die Meldung an einem Freitag Nachmittag ein, wir haben das dann am späteren Abend an unseren Kontakt in Innsbruck weitergegeben. Von dort kam Montag vormittags die Antwort, dass man sich um das Thema kümmert. Dabei wurde sowohl eine gute Erstreaktion kommuniziert als auch eine saubere Lösung angekündigt, was wir auch an den Melder weitergegeben haben. Nachdem wir uns bei allen Beteiligten bedankt haben, war der Fall für uns abgeschlossen.
  • Wir geben - entgegen manchen Medienberichten - keine Anweisungen oder Auflagen an Betroffene. Dazu haben wir kein Mandat. Wir können nur auf Probleme hinweisen. In Fällen wie diesen, bei denen das Problem klar erkennbar ist, ist das üblicherweise völlig ausreichend.
  • Weiters sehen wir es als essentiell für unsern Rolle an, dass wir diskret arbeiten. Von uns wird es zu solchen Fällen keine Tweets oder Pressemeldungen geben. Ich kann verstehen, dass das nicht alle gleich handhaben, so etwa machen die großen AV-Firmen auch genug Tamtam zu ihren Erfolgen. Wenn das wirklich sein muss, sind wir doch froh, wenn unsere Rolle bei diesen Fällen korrekt wiedergegeben wird.

Autor: Otmar Lendl

<< Vorige Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
2. Oktober 2018 | Beschreibung Adobe ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
19. September 2018 | Beschreibung Adobe ...
mehr ...
Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018 | ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2018/9/26 - 12:56:13
Haftungsausschluss / Datenschutzerklärung