Zum Wochenende noch eine kurze Übersicht in Punkto Sicherheitsthemen, die mir diese Woche über den Weg gelaufen sind. Ransomware aller Orten.
Immer Ärger mit Tor
Das Anonymisierungsnetzwerk Tor wird ja bezüglich “wichtig für Personen in repressiven Staaten, die anonym bleiben müssen” hochgehalten. Mag ja richtig sein – aber Fakt ist, dass Tor das Werkzeug der Cyberkriminellen ist. Cloudflare ist ja ein Anbieter eines Content Delivery Network, der auch gerne benutzt wird, um einen DDoS-Angriff zu “überleben”. Der Anbieter verfügt über gute Statistiken, was so im Web los ist. Ein aktueller CloudFlare-Blog-Beitrag befasst sich mit dem “Problem Tor”. Botschaft des Beitrags:
- 94% der über das Tor Netzwerk eintreffenden Anfragen an das Cloudflare-Netzwerk sind per se als riskant (malicious). Es ist damit nicht gemeint, dass die Anfragen sich auf Content beziehen, der kontrovers gesehen werden kann. Sondern es handelt sich um automatisiert abgeschickte Anfragen, mit dem Ziel, die Webseiten der Cloudflare-Kunden zu schädigen (zu hacken und zu kompromittieren).
- Ein großer Teil des Traffic über Tor ist Kommentar-Spam (comment spam, der z.B. hier im Blog ausgefiltert werden muss), Scans auf Schwachstellen (vulnerability scanning) einer Webseite, Klickbetrug (ad click fraud), Abschöpfen von Webinhalten per content scraping und Login-Scanning (findet hier im Blog auch heftig statt).
- Ein bei Cloudflare im Project Honey Pot durchgeführte Auswertung benennt 18% des globalen E-Mail-Spams als per Tor versandt. Pro Jahr gibt es 6,5 Trillionen unerwünschte Nachrichten pro Jahr (u.a. auch automatisierte Bot-Abfragen zum Sammeln von E-Mail-Adressen (automated bot harvesting email addresses).
Es gibt Cloudflare-Kunden, die den Zugriff aus dem Tor-Netzwerk zwischenzeitlich blocken (z.B. yelp.com, macys.com und bestbuy.com), oder Schreibzugriffe sperren (Wikipedia). Über 70 % der Tor-Exit-Nodes stehen bei diesen Kunden auf Blacklists und werden geblockt. Ich denke, irgendwann muss das Tor-Netzwerk hier eingereifen und filtern, wenn es relevant bleiben will. (via)
Neue Petya-Welle in Deutschland und neue Insights
Über die Ransomware Petya, die die Festplatte killt und verschlüsselt, hatte ich im Blog-Beitrag Sicherheitsinformationen zum (Kar-)Freitag (25.03.2016) kurz berichtet. Jetzt berichtet heise.de in diesem aktuellen Beitrag, dass eine neue Welle mit Infektionen des Erpressungstrojaners Petya auf Deutschland bzw. deutschsprachige Nutzer zurollt. Verteilt wird der Trojaner erneut über eine als Bewerbung getarnte Spam-Mail, die den Trojaner über ein Drop-Box-Laufwerk verteilt. Im Artikel finden sich auch einige Infos über den Wirkmechanismus der Schadsoftware, der von G Data dokumentiert wurde. Eine Analyse (in Englisch) findet sich auch im Malwarebytes-Blog.
Neue Taktik bei Ransomware: SAMSA, verschlüsseln erst nach einer Wartezeit
Um die Entdeckung durch den Anwender oder Software zu verhindern und maximalen Erfolg zu haben, werden erste Schädlinge so programmiert, dass sie erst eine Zeit lang warten, das System bestmöglich infiltrieren und auskundschaften und dann zuschlagen. Bei heise.de gibt es diesen Beitrag zum Thema
Trend Micro reißt erneut eine Lücke
Meine Theorie: Mit solchen Freunden (wie Dritthersteller-Virenscanner und Internet Security Suites) braucht es keine Feinde mehr. Im Zweifelsfall sind die Dinger bezüglich Ransomware blind, reißen aber oft Sicherheitslücken auf oder sind für Ärger gut. Unter dieser Prämisse reichen auch die Windows-Bordmittel wie Defender oder die Microsoft Security Essentials als Virenschutz.
Diese Theorie wird erneut durch diesen Fehlerbericht des Google Mitarbeiters Tarvis Ormandy gestützt. Bereits zum zweiten Mal binnen kurzer Zeit (siehe Sicherheitslücke in Trend Micro-Schutzsoftware) hat Ormandy eine fette Sicherheitslücke in Trend Micro-Produkten aufgedeckt.
<img src="http://localhost:40000/json/new /?javascript:require('child_process').spawnSync('calc.exe'...
Über diese bereits geschlossene Hintertür ließen sich mit einer simplen JavaScript-Anweisung (siehe obiger Code-Auszug) beliebige Programme auf Windows-Rechnern ausführen. Laut Trend Micro sind nur “Consumer Produkte” betroffen – bei Bedarf könnt ihr das in Deutsch bei heise.de nachlesen.
Massive Sicherheitsprobleme in SAP-Software
Einen habe ich noch: Fehler machen ja nur die Amis und mit ordentlicher deutscher Software wär das nicht passiert – hört man ja gelegentlich. SAP ist zwar international aufgestellt – da programmieren “Inder, statt deutscher Kinder” – aber im Kern ein deutsches Unternehmen. Die machen auch klasse Produkte, keine Frage. Laut Süddeutsche Zeitung hatte SAP aber jahrelang eine massive Sicherheitslücke, über die Datenklau ein Kinderspiel war. Skyfall, so der Name der Lücke, wurde vor drei IT-Sicherheitsforschern auf einer kleinen Fachkonferenz in Heidelberg offen gelegt. Demnach waren SAP-Kunden mehrere Jahre über eine gravierende Sicherheitslücke ausspionierbar.
Nachtrag: Pornoseite gehackt …
Und noch ein kleines Schmankerl – angeblich ist eine US-Seite eines Pornoportals gehackt worden – und der Entdecker der Sicherheitslücke will die Benutzerdaten veröffentlichen. Riecht nach Ärger. Details hier.
Ähnliche Artikel:
Windows 10: Welche Antivirus-Lösung soll ich einsetzen?
AVG vergurkt Chrome, Antivirus-Installer als Adware-Schleuder
Autsch! AVG kann Browerverlauf an Drittanbieter verkaufen
Comodo Antivirus killt Chrome 45-Browser per Code-Injection
Google Projekt Zero: Antivirus-Software als Archillesferse
Achtung: Panda Cloud/Antivirus legt Windows lahm
Sicherheitslücke in Trend Micro-Schutzsoftware
TrendMicro HouseCall: Ad- und Malwarescan für Windows
Die massive Verbreitung dieser Art von Schadsoftware lässt weltweit die Kassen verschiedener kommerzieller und staatlicher Akteure klingeln. Und weil es Geld bringt jubeln nicht nur die kriminellen Produzenten der Ransomware, es jubeln auch die Sicherheits-Firmen bis hin zu den Herstellern von Festplatten. Ich habe gehört das zum Beispiel Spitäler weltweit teurer werden müssen, da die Ausgaben für die IT -Systeme mancherorts nun stark ansteigen werden. Die Krankenkassen werden nachziehen.
Leider sehe auch ich mich gezwungen meine Gewohnheiten zu ändern. Aus meiner Sicht ist es nun nicht mehr ohne hohes Risiko möglich den eigenen Computer an einem Stück zu sichern. Denn wenn man eine schlafende Ransomware auf dem System hat, nutzt einem auch ein einfaches Systembackup nichts mehr. Man sichert die Schadsoftware unter Umständen gleich mit.
Man muss nun also Daten und Systeme getrennt speichern, zusätzlich solche Daten auch noch Offline lagern. Auch die Aufbewahrungszeit muss erhöht werden, da der letzte Sicherungspunkt bereits verseucht sein könnte.
Ausserdem muss man sich immer öfters überlegen wie und mit was man sich noch Online wagen kann.
Diese Dinge kosten Geld. Zeit kostet es mich auch, da man nun das Systembackup nicht mehr vollständig automatisieren kann. Zum Beispiel nach jedem Backup muss ich jetzt manuell den USB-Stecker ausziehen.
Die durchschnittlichen Kosten pro Computer- Arbeitsplatz für Sicherheitslösungen haben sich bei mir mehr als verdoppelt. Neben neuer Backup-Hardware habe ich einen neuen Router angeschafft, neue Software wie Malwarebytes sind neben dem Antivirus in Funktion. Ausserdem benötige ich auch wegen Systemen wie Windows 10 immer mehr Zeit um beim User die Privatsphäre zu schützen.
Ich sag mal so, wer sich ein bisschen besser mit Computern Auskennt bzw. in der Brache auch noch Arbeitet macht halt Voll oder Inkrementelle Backups von seinem Kram und lässt die Backups unmittelbar nach der Sicherung validieren um sicherzugehen das sich in der Sicherung keine Fehler eingeschlichen haben, neben Trojanern, Viren und Würmern gibts ja auch noch den Klassischen Festplatten Verlust durch Schwebenden oder Defekte Sektoren die den Festplatte Inhalt Zerstören.