print logo

Die fünf schwersten IT-Sicherheitslücken 2014

Internet World Messe veröffentlicht im Rückblick und gibt Tipps.
Die Bedeutung von IT-Technik im privaten und beruflichen Leben nimmt stetig zu und damit auch die Manipulations- und Angriffsmöglichkeiten durch Cyberkriminelle. Zwar ist die Gesamtzahl der in der polizeilichen Kriminalstatistik erfassten Internet-Straftaten im Vergleich zum letzten Jahr lediglich um 467 Delikte und damit um ein Prozent angestiegen, die Experten aber gehen davon aus, dass die Dunkelziffer ums Elffache höher liegen dürfte. Allein der erfasste Schaden belief sich in 2013 auf 42,6 Mio. Euro in Deutschland.

Auch der E-Commerce ist in seinem Erfolg eng mit dem Thema IT-Sicherheit verknüpft. Sind es doch gerade die sensiblen Daten wie Benutzerkonten oder Bankdaten, auf die es die Internet-Betrüger abgesehen haben. Die Internet World Messe hat im Rückblick die fünf schwerwiegendsten IT-Sicherheitslücken aus dem Jahr 2014 zusammengestellt und gibt Tipps, diese auszuschalten:

1. Shellshock: Das ist eine sehr kritische Sicherheitslücke in der Kommandozeile (Bash), von Unix/Linux, auch Mac OS X ist davon betroffen. Öffentlich wurde diese Lücke am 24.09.2014. Die Lücke ist in den Versionen 1.03 (thread.gmane.org/gmane.comp.shells.bash.bugs/22418) bis 4.3 vorhanden.
Mittels der Lücke kann Quellcode in Umgebungsvariablen abgelegt werden und dieser wird ungeprüft beim Start einer neuen Shell ausgeführt, ein Eldorado für Hacker! Besonders bei Webservern, die Bash als Basis für CGI nutzen, ist dies eine sehr schwerwiegende Sicherheitslücke und kann zu Kollateralschäden führen. RedHat (access.redhat.com/articles/1200223) hat einen beispielhaften Quellcode veröffentlicht, um zu prüfen, ob das eigene System gefährdet ist. Tipp für einen schnellen Selbsttest: neue Bash öffnen und folgenden Quellcode eingeben:
env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test"
Wenn das System den Text vulnerable ausgibt, ist das System gefährdet und man sollte umgehend handeln. Anwender und Administratoren sollten zwingend entsprechende Updates einspielen. Wer seine Webseite testen möchte, kann hierfür auch shellshocker.net verwenden.

2. Heartbleed: Der Heartbleed-Bug ist ein Programmierfehler in der OpenSSL-Bibliothek, die in vielen Servern verwendet wird. Der Fehler betrifft die beiden Verschlüsselungsprotokolle TLS (Transport Layer Security) und DTLS (Datagram Transport Layer Security). Die Lücke nutzt dabei eine Eigenschaft des Protokolls, den sogenannten Heartbeat, aus. Mit dem Heartbeat wird dafür gesorgt, dass die Verbindung zwischen Server und Client aufrechterhalten wird. Hierfür sendet eine Seite ein Paket mit beliebiger Länge (maximal 16 KB) an den Kommunikationspartner und dieser sendet das Paket unverändert zurück. Damit kann geprüft werden, ob die Verbindung intakt ist. Das Problem ist, dass die Paketlänge des empfangenen Pakets nicht überprüft, sondern nur der Headerwert payload_length ausgewertet wurde. Stand hier nun ein zu großer Wert, wurden ungewollte Daten zurückgesendet. Im schlimmsten Fall hatte das Paket eine Länge von einem Byte und es wurde eine Länge von 16 KB vorgegaukelt. Durch Ausnutzung des Fehlers können private Daten – wie z.B. der geheime Serverschlüssel – ausgelesen werden. Behoben wurde der Bug am 07. April 2014 in Version 1.0.1g von OpenSSL. Das schlimme an diesem Bug war, dass dieser knapp 2,5 Jahre unentdeckt war. Am 31.12.2011 wurde der fehlerhafte Quellcode in den Hauptstrang von OpenSSL eingepflegt. Der Benutzer kann sich dagegen nicht wappnen, sondern muss darauf vertrauen, dass Administratoren diesen Fehler durch ein entsprechendes Update beheben. Inzwischen sollten alle Server mit einer aktualisierten Version von OpenSSL arbeiten.

3. Windows XP: Im April 2014 lieferte Microsoft die letzten Updates für Windows XP aus und beendete den Support für dieses Betriebssystem. Wer heute mit Windows XP surft, ist nicht mehr sicher. Laut Statcounter (gs.statcounter.com/#os-DE-monthly-201309-201409) laufen noch knapp 7% der deutschen Rechner unter Windows XP. Sollte jemand noch Windows XP haben, einfach den Weihnachtsurlaub für ein Update nutzen!

4. FRITZ!Box-Lücke: Einer der sensibelsten Punkte in einem Netzwerk ist der Router. In Privathaushalten kommt sehr oft eine FRITZ!Box von AVM zum Einsatz und oft wird diese beim Abschluss eines Vertrages sogar kostenlos oder sehr günstig zur Verfügung gestellt. Häufig wird darüber nicht nur das IP-Netzwerk abgewickelt, sondern auch die Telefonie – damit stellt die FRITZ!Box die Kommunikationszentrale in vielen Haushalten dar. In Deutschland wird das Internet häufig im Rahmen von Flatrates abgewickelt, beim Telefon können dagegen schon zusätzliche Kosten entstehen, besonders bei den Mehrwertdiensten, die berühmten 0190-Nummern. Anfang des Jahres machten sich Angreifer eine Lücke im Fernwartungszugriff zunutze und erzeugten damit Telefonkosten bei den Opfern. Angreifer hatten einen Weg gefunden, um die Authentifizierung zu umgehen. Es hat sich zusätzlich herausgestellt, dass kein freigeschalteter Fernzugriffszugang zur Nutzung der Lücke erforderlich war. Angreifer hatten über diese Lücke vollständige Kontrolle über den Router und konnten beliebige Funktionen mit Administrator-Rechten ausführen. Updates wurden von AVM zur Verfügung gestellt und jeder hat hoffentlich diese inzwischen eingespielt.

5. iCloud-Hack: Viele Nutzer speichern heutzutage Daten in der Cloud. Nutzer eines iPhones, iPads oder Macs nutzen dabei häufig die von Apple bereitgestellte und im System hochintegrierte iCloud. Bereits im März 2014 informierte der Sicherheits-Forscher Ibrahim Balic darüber, dass es möglich ist, 20.000 Passwort-Kombinationen an einem iCloud-Account auszuprobieren und damit die Möglichkeit für einen Angriff bestünde. Zusammen mit iCloud bietet Apple die Funktion Find My iPhone an. Im Gegensatz zum Webinterface von iCloud hatte Apple dafür keine direkte Begrenzung der Login-Versuche eingebaut. Damit waren Brute-Force-Angriffe möglich – auf Github steht ein entsprechendes Skript mit dem Namen iBrute (github.com/hackappcom/ibrute) zur Verfügung. Zunächst reagierte Apple nicht darauf und die Lücke wurde ausgenutzt. Angreifer hackten Accounts von Prominenten und stellten u.a. Nacktbilder ins Netz, darunter Fotos von Jennifer Lawrence und Kate Upton. Die Lücke ist inzwischen geschlossen. Apple bietet schon seit längerem eine zweistufige Authentifizierung an: Nach Eingabe eines Passworts wird eine PIN an ein registriertes Gerät gesendet und muss zusätzlich eingegeben werden. Zur eigenen Sicherheit empfiehlt es sich, diesen Mechanismus unter appleid.apple.com zu aktivieren.

Neben den fünf aufgeführten Lücken gab es noch viele weitere Schwachstellen, die 2014 gefunden wurden. Erwähnenswert dabei ist sicher noch WireLurker und Windows-Sandworm. Die in 2014 aufgetauchten Lücken zeigen, dass eigentlich alle Systeme betroffen sind, ob Windows, Linux, Mac OS x oder auch Smartphone-Betriebssysteme wie Android und Apple iOS. Als Tipp für 2015 kann nur folgendes gesagt werden: Lesen Sie aufmerksam die Sicherheitsmeldungen zu Ihren Systemen und befassen Sie sich aktiv mit der Aktualisierung Ihres Systems.

Das Thema Daten- und IT-Sicherheit ist eines der Kernthemen der Internet World, die am 24./25. März 2015 auf dem Münchener Messegelände stattfindet.
Presse-Vorabakkreditierungen sind online unter folgendem Link möglich:
www.internetworld-messe.de/Presse/Akkreditierung