KRACK Attacks: Breaking WPA2 titelt https://www.krackattacks.com/ und sollte nun allen WLAN-Junkies aufzeigen, das LAN-Kabel oftmals die bessere Idee sind 🙂
KRACK Attacks: Breaking WPA2 titelt https://www.krackattacks.com/ und sollte nun allen WLAN-Junkies aufzeigen, das LAN-Kabel oftmals die bessere Idee sind 🙂
Liebe Nachbarn, Freunde, Kollegen oder eben Blog-Leserinnen und -leser,
nein, auch ich kann keine 100%ige Sicherheit versprechen, auch nicht auf einem macOS, aber ich schütze meine IT-Systeme, so gut es eben geht. Das mit Abstand Dümmste was man allerdings auf einem macOS machen kann, ist die Installation eines Virenscanners!
Nicht weil der Mac so toll ist, sondern weil das nicht der Angriffsvektor ist aus dem die Kanonen schießen… das wäre so, als würde man ein G36 von „Flintenuschi“ zum Beseitigen von Wespen im Garten einsetzen…. zudem hebeln Virenscanner die eigentlich gar nicht so schlechten Sicherheitsmechanismen von Apple aus – das müssen sie, da sie sonst nicht ihren Dienst tun könnten. Da Virenscanner selber auch Software sind, bringen sie auch ihre eigenen Probleme und eben Angriffsflächen mit sich.
NEXTSTEP und damit macOS basieren auf UNIX und sind für das Netz konzipiert worden. Im Gegensatz zu kinderUnix hat NeXT/Apple dem UNIX eine hübsche Oberfläche spendiert und versteckt viele Dinge unter der Haube – selbiges gilt für iOS auf den mobilen Systemen. Unten drunter ist ein UNIX.
Was bitte ist der Angriffsvektor?
Kurz: Ransomware und Malware
Wenn man sich über Mail oder den Webbrowser Anhänge oder kompromitierte Seiten reinzieht, werden für den normalen Anwender Seiteneinstiege ausgenutzt, die die meisten gar nicht kennen. Da hilft auch kein Virenscanner, denn es ist kein Virus und wenn die Funktion der *ware ausgelöst wird, ist auch der Virenscanner platt.
Es gilt also die Erkennung solcher Seiteneinstiege zu verhindern – oder – wenn man es nicht kann, wenigstens den Prozess unter Kontrolle zu bekommen, der einem gerade die Platte verschlüsseln möchte.
Wie macht man das?
Ich habe für solche Zwecke folgende Tools installiert und fahre seit vielen Jahren sehr gut damit:
Auch mit o.a. Tools hat man nicht alles im Griff, aber zumindest schaut man auf die Angriffsvektoren, die derzeit viel mehr den Rechner angreifen als herkömmliche Viren, wie es bei Windows üblich ist. Zusammen mit der digitalen Selbstverteidigung und deren Tools, fängt man sich sicherlich weniger schadhafte Dinge ein.
Für alle Mac-Besitzerinnen und -Besitzer die zwischenzeitlich nur Thunderbird oder ihr iPhone benutzen konnten um verschlüsselte eMails bzw. verschlüsselte Eingangspostfächer einzusehen, hat das Warten ein Ende. GPGMail (enthalten in den GPGTools) ist in der 1. Beta erschienen und funktioniert auf meiner Sierra-Installation einwandfrei im Standardmodus (=1 private-Key für alles)
Wer sich auf der Mailingliste auf dem „Sierra-Thread“ einschreibt, bekam gestern um 21:39h MEZ Post.
Gestern hatte mich meine Frau auf einen Film hingewiesen, der mich schon alleine aus beruflichen Gründen interessierte…
Blackout – Deutschland ohne Strom, Film von Tim Förderer (PHOENIX)
Wer wissen will, welche Angriffsszenarien man sich so vorstellen kann und was davon geht und was nicht, bekommt einen guten Eindruck davon. Leider komme ich bzgl. der SmartMeter zu einem völlig anderen Resultat als die Sicherheitsexperten in dem Beitrag, denn: Strom ist, wie auch richtig beschrieben wird, keine nationale Sache, sondern Strom wird in Regelkreisen verwaltet. Selbst wenn wir alles dafür tun, damit unsere SmartMeter gesichert sind, würde durch den Dominoeffekt – siehe: Wikipedia 2006 – auch hierzulande das Licht ausgehen, wenn bspw. in Italien, Frankreich, Polen, Dänemark, BeNeLux, Österreich ein erfolgreicher DoS auf deren SmartMeter stattfinden würde, dessen bin ich mir sicher.
Zudem mag es aus heutiger Sicht nicht ohne enormen Aufwand möglich sein, die Sicherheitseinheit an SmartMetern zu knacken, aber das haben wir von unseren Systemen vor 30 Jahren auch gedacht und heute braucht es gerade mal ein Smartphone um die Rechenleistung aufzubringen, um diese auseinander zu nehmen.
Es wird auch der innere Angriff mittels USB-Stick oder E-Mail-Anhang (social hacking) aufgezeigt, aber eines wird dabei vergessen: Die Lieferkette der Systeme, so wie es vom BSI für SmartMeter bspw. lobenswerterweise gefordert wird, ist bei den Altsystemen mal nicht so sicher gewesen wie man es heutzutage machen könnte. Viele dieser Systeme sind „steinalt“ und da braucht man sich gerade mal an den Systembus zu klemmen und kann ohne jegliche Sicherheitsschranken, munter los hacken. Bis alle Kommunen ihre Systeme also sicherer gemacht haben, wird noch einige Zeit ins Land gehen….
Schön fand ich die Berücksichtigung was passieren würde, wenn man die Strommasten umnietet, wie es in Marc Elsbergs Werk „Blackout“ beschrieben worden ist. Es mag sein, das die Überwachung der Leitungen gut ist und deren Ausfallszenarien geprobt werden, aber jedes, wirklich jedes, System hat ein Rückrad – selbst ein verteiltes System, denn dann wäre es die Verteilung und deren Abgleich selber – und wenn dort eine Lücke gefunden wird, bricht dieses eben.
Leider ist der Beitrag zu kurz, aber als Journalist hätte ich da noch etwas tiefer gebohrt und ggf. auch mal versucht die BlackHats zu fragen, was sie denn über diese Konzepte denken….
wietere Sendetermine:
Apple has released security updates for Mac users running OS X El Captain 10.11.6 and OS X Yosemite 10.10.5, recommending the updates for all users as they aim to improve the security of the Mac operating system.
Quelle: Security Update 2016-001 for OS X El Capitan and Yosemite Available | OSXDaily
Wie immer: Die Dinger sind dazu da installiert zu werden.
CVE-2016-4655: Citizen Lab and Lookout
CVE-2016-4656: Citizen Lab and Lookout
werden damit gefixt und damit ist der Querverweis auf die zuvor vorgenommenen iOS-Patches hergestellt. Wer es nicht wusste: iOS und macOS besitzen denselben Kernel (mach Kernel) und damit sind deren Verwundbarkeiten oft auch ähnlich.
APPLE-SA-2016-08-25-1 iOS 9.3.5 iOS 9.3.5 is now available and addresses the following: Kernel Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later Impact: An application may be able to disclose kernel memory Description: A validation issue was addressed through improved input sanitization. CVE-2016-4655: Citizen Lab and Lookout Kernel Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later Impact: An application may be able to execute arbitrary code with kernel privileges Description: A memory corruption issue was addressed through improved memory handling. CVE-2016-4656: Citizen Lab and Lookout WebKit Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later Impact: Visiting a maliciously crafted website may lead to arbitrary code execution Description: A memory corruption issue was addressed through improved memory handling. CVE-2016-4657: Citizen Lab and Lookou
Apple hat aufmerksame Nutzer, die nicht jeden Link anklicken, der Ihnen gesendet wird. Drei CVE’s, die es in sich haben, werden mit dem gestern veröffentlichten Update gefixt.
Der französische Innenminister Bernard Cazeneuve macht sich für ein internationales Vorgehen gegen Verschlüsselung stark. Als Partner dafür hat er zunächst ausdrücklich Deutschland im Blick.
Wenn es nach dem französischen Innenminister geht, wird eine Initiative mehrerer Staaten zur Bekämpfung verschlüsselter Kommunikation zustande kommen. Hintergrund ist der Umstand, dass es bislang für Ermittlungsbehörden kaum möglich ist, verschlüsselte Nachrichten auszuwerten, die im Zuge der Vorbereitung von Terrorattentaten ausgetauscht werden.
Quelle: Frankreich will internationalen Aktionsplan gegen Verschlüsselung | heise online
Ich glaube mein Schwein pfeifft…. da glaubt jemand, man könne durch Auflagen jemanden dazu verdonnern seine Nachrichten in Klarschrift zu versenden….?! Echt? Ok, damals glaubte die Deutsche Bundespost (genannt GILB) auch, sie können durch die Auflage „jedes Gerät am öffentlichen Telefonnetz muss eine FTZ- bzw. BZT-Zulassung haben“ die Zeit des Fortschrittes aufhalten und alle würden BTX/DatexJ/T-Online benutzen. Nun, 30 Jahre später wissen wir das das eben nie so läuft, auch wenn es unter Strafe steht und sich der Fortschritt nicht aufhalten lässt.
Früher musste man sich auch anstrengen, wenn man einen Kurier von den Römern abgefangen hatte und dem zu reden bringen wollte. Auch in Blechley Park musste man Energie von vielen Menschen reinpumpen um die Enigma zu entschlüsseln, hey, so what….aber das man versucht etwas zu verbieten was es schon gibt? Weltfremd!
Ich werde verschlüsseln und wenn ich dafür in den Bau wandere, denn ich habe das Grundrecht das nur der Empfänger und ich meine Mails lesen, wie auch das Briefgeheimnis gewahrt werden würde, wenn ich meine eigene Geheimschrift nehmen würde…. ich nehme dann mal PGP und drucke die Mails aus…. verboten? Sicherlich nicht!
Android has Fallen! (…)
You can check if your smartphone or tablet is vulnerable to Quadrooter attack using Check Point’s free app.
Quelle: Warning! Over 900 Million Android Phones Vulnerable to New ‚QuadRooter‘ Attack
Dann mal Happy Silcon-Fixing…?!
Critical Windows Print Spooler Bug allows Attackers to Hack any version of Microsoft Windows
Quelle: Critical Print Spooler Bug allows Attackers to Hack any version of Microsoft Windows
Man gönne sich die 12:30 min des Videos, ggf., für unsere Interessierten auch die Referenz im Artikel, um gerade im zweiten Teil der Präsentation/Demo zu erblassen. Man braucht keine Raketentechnik um Windows auf Systemlevel zu übernehmen – es reicht der „gute“ alte Vorgang der Druckerinstallation unter Windows….
Heise geht in ihrem Patchday-Artikel nicht direkt darauf ein, aber da wird einem echt Angst und Bange….
Der innovative, web-basierte Dateitransferdienst Whisply ermöglicht es, Daten sicher mit AES-256 Ende-zu-Ende-Verschlüsselung via Dropbox, Google Drive und OneDrive zu versenden. Sie müssen für die Benutzung keine Software herunterladen, stattdessen können Sie Dateien direkt aus dem Browser heraus versenden. Sie können auch Dateien mit Freunden oder Geschäftspartnern teilen, die die Cloud nicht nutzen. Da gemeinsam alles leichter geht, haben wir Whisply in Boxcryptor integriert, sodass Sie ganz bequem aus d
Quelle: Whisply Release und Boxcryptor Update für Mac und Windows
Ich benutze beides seit einiger Zeit – Boxcryptor m.E.n. mehrere Jahre und es ist Software made in Germany, die ihren Dienst gut tut. Ebenso Whisply, den man nun in Boxcryptor verwenden kann. Ebenso ist eine sehr gute Alternative auch aus Deutschland TeamBeam, die auch eine kostenlose Privatnutzerversion anbieten.
Soll mal einer sagen es wäre nicht einfach und es wäre alles so kompliziert – nix da! Ausreden!