18. Mai 2017,  04:30

Großflächiger Einsatz von Staatstrojanern geplant

Wie werden die Hersteller von AV-Software daran gehindert, diese Spionagesoftware (nicht zufällig doch) zu erkennen?

Es wird eine Analyse der Funktionsweise quasi herausgefordert und mit jeder Anwendung immer wahrscheinlicher. Denn als Betroffener würde ich meinen PC sofort zu einem befreundeten Computerforensiker oder zum CCC bringen, um den vielleicht noch vorhandenen Staatstrojaner zu finden und zu veröffentlichen (oder um ihn weiter zu verkaufen).
Das ist „Vergrößerung der Angriffsfläche für böswilligen Missbrauch“ mit Ansage.


17. Mai 2017,  19:31

WannaCry/KillSwitch

Das mit der Anmeldung des Killswitch als Domain sehe ich nicht ganz so positiv. So weit ich das Prinzip verstanden habe, testet WannaCry auf die vorhandene Domain und falls erfolgreich schaltet er sich ab. Nimmt ein Anwender davon überhaupt Kenntnis? Es wird bestimmt viele (private) Admins geben, die weiterhin, trotz der Pressemeldungen, dann den Zwang zu einem Update ignorieren. Als schwerwiegender sehe ich noch, dass mit dem Killswitch auch die IP-Adresse von Computern mit vernachlässigter Sicherheit dem Internet bekannt gemacht wurde. Geheimdienste und andere Organisationen können so einfacher Listen mit potentiell schwächeren Zielen für zukünftige Aktionen erstellen.

28. April 2017,  22:50

Ich habe gerade einen Bericht über John McAfee gelesen John McAfee stellt fragwürdiges Smartphone vor Von WLAN bis Bluetooth sollen diese Module mit Schalter aktiviert und deaktiviert werden können.

Die FLASH- Speicherbausteine haben meistens einen hardwired Write-Protect Pin.
Damit hätte er das Betriebssystem und andere Firmware im Smartphone, bis zum nächsten Update, auch mit Schalter gegen Manipulation absichern können. Das konnte ich der Werbung nicht entnehmen.
Er hat es entweder (noch) nicht richtig durchdacht bzw. verkauft Pseudosicherheit.

Ich habe die Befürchtung, dass durch den für mich nur halbherzigen Einsatz von wirksamen physischen Schutzmaßnahmen, die Anwender von diesem Prinzip abgeschreckt werden.

In den Kommentaren zu diesem und auch meinen Themen fand ich eine sehr treffende Beschreibung von Ach:

Softwareschalter sind nur etwas Programmiertes, dem man seine Absicht durch Eingabe eines von der eigentlichen Programmfunktion losgelösten Befehls mitteilt. Sie suggerierten nur eine Sicherheit. Mehr nicht.

Am Ende des Tages befinden sich die eine Stromversorgung oder Datenleitungen kappenden Hardwareschalter auf der untersten physikalischen Ebene. Radikaler, sprich: sicherer kann man ein Mobile nicht "steuern". Darüber hinaus sind es primitive Hardwareschalter, deren Funktionsweise und Integrität noch am einfachsten durchschaut und auf absichtliche Sicherheitsumgehungen darin am einfachsten gefunden werden können.
 


29. März 2017,  22:46

Windows mit doppeltem Schreibschutz-Boden in SW und HW!

Von Oliver (vielen Dank für die Infos) hatte ich folgende E-Mails erhalten:

>>

...das mit dem Reedkontakt am SD Kartenleser ist eine Super Idee.
Mir leiern die Schieber an meinen SD Karten mit der Zeit aus. Da ist die Lösung für mich.
Ich nutze seit 2008 ein Windows XP das ich nach der Anleitung der Seite usboot.org aufgesetzt habe. Das lief damals auf einem USB Stick mit Schreibschutzschalter, leider waren die sehr teuer und langsam und die von Victorinox (der konnte in den kleinen Messer dieser Firma eingeclipst werden) gingen immer schnell kaputt. Seit 2010 habe ich dann auf SD Karten umgeschwenkt. Für das Update von Firefox, VLC Player und Total Commander muß ich hin und wieder mal den Schreibschutz aufheben,
obwohl das nicht so oft passiert leiern die Schieber aus ...

...Das XP auf der schreibgeschützten SD Karte verhält sich wie ein echtes XP. ...Der Trick an USBOOT ist eigentlich kein Trick sondern der Einsatz des Enhanced Write Filter Treibers (EWF) der Firma Microsoft, den gibt es sogar dort runterzuladen. Der EWF biegt alle Schreibzugriffe auf den RAM um darum kommt es während der Laufzeit auch zu keiner Fehlermeldung. Einzig Videobearbeitung sollte man damit nicht machen. ... Der EWF war wohl für die Industrie gedacht. USBOOT selber ist hauptsächlich die Problemlösung, daß beim Booten von XP von einem USB Stick der Umschaltvorgang auf den Windows 32bit USB Treiber gelingt. Robust ist die Lösung auch. ... Der EWF selber reicht wohl auch schon zum Schutze aus, ich habe mit einem nicht schreibgeschützten Test XP mit aktiven EWF mehrfach versucht Virenbefall via Internet zu erzeugen, alle anschließenden  Virenscans zeigten keinen Befall. ... Also EWF mit Deinen Hardware Schreibschutzlösungen wäre ideal für Windows. EWF gibt es auch für Windows7. Aber ich mag XP darum habe ich auch noch keine lauffähige 7er Version gebaut. ...

<<

Die Idee mit dem EWF-Treiber erscheint mir auch sehr vielversprechend und wird besonders performant und ist zusätzlich abgesichert, wenn nun SATA-DOMS oder mSATA Module mit Schreibschutzschalter eingesetzt werden.

Oliver berichtete, dass es auch mit vielen größeren Programmen zu keinem RAM-Überlauf kam (bis auf Videobearbeitung...). Allerdings werden beispielsweise in diesem Forum auch Probleme diskutiert. Besonders hervorzuheben ist hier die Eigenschaft, dass REGISTRY-Aufräumer oder Cleaning-Programme nicht mehr notwendig sind. (Da wurde ohnehin immer die Hälfte übersehen.)

Bei Gelegenheit werde ich diesen EWF-Treiber mal mit Win7 und einem WP-SATA-DOM ausprobieren.


- Enhanced Write Filter (EWF)

- Wie dieser EWF-Treiber nachgerüstet wird, ist z. B. hier zu finden.

 

26. März 2017, 23:22


Studie: Zero-Day-Sicherheitslücken im Schnitt 7 Jahre ausnutzbar

Und viele davon sorgen für eine permanente Änderung an der Software.

 


21. März 2017, 21:44

Meine Daten gehören mir -

https://www.informationelle-selbstbestimmung-im-internet.de/

und

https://www.privacy-handbuch.de/

22. Februar 2017, 22:30

Schreibschutz-Schraube

Z. B. ein  Acer Chromebook C720 verwendet einen Schraubenkopf zum Verbinden von zwei Kontakten, um einen Schreibschutz zu aktivieren.

Neben der mechanischen Befestigung vom Mainboard bekommt die Schraube sogar noch eine elektrische Funktion. Im Layout müssen die zu verbindenden Kontakte nur unter dem Schraubenkopf liegen, wenn die Schraube isoliert im Plastikgehäuse befestigt wird. Bei Metallgehäusen würde ich eine Plastikschraube mit Unterlegscheibe aus Metall verwenden, um einen Kurzschluss mit dem Gehäuse zu vermeiden. Die Bestückung einer meist höheren Steckbrücke mit Jumper (der auch mal abfallen kann) entfällt.  - Tolle Idee und sehr preiswert für den Hersteller.

21. Februar 2017, 19:30

BIOS/UEFI-Ransomware

https://www.heise.de/newsticker/meldung/BIOS-UEFI-mit-Ransomware-infiziert-3630662.html

Die BIOS-Ransomware wird sich im FLASH-Speicher vom BIOS befinden und den Rechner so lange blockieren, bis der richtige Key eingegeben wurde. Eine Verschlüsselung des BIOS-Inhaltes selbst würde nur zum Brick führen. Eine Verschlüsselung der angeschlossenen Speichermedien ist nicht unbedingt erforderlich aber zu erwarten (s. u. Bärendienst), um den technischen Aufwand einer manuellen Beseitigung zu erhöhen.

Im wesentlichen hilft dann nur noch zahlen oder die Hardware (Mainboard) auszutauschen. Ich vermute das besonders Firmen und Krankenhäuser zahlen werden, da ein Hardwareaustausch, ein neu-flashen des BIOS über einen Programmieradapter und zusätzlich auch Windows-Key und Backup je PC zurückzuspielen, zu lange dauert. Die Startmöglichkeit von USB-Live-Systemen und anderen Boot-Medien für ein neu-flashen ist dann von der BIOS-Ransomware bestimmt abgeschaltet. Backups können erst bei frischer Hardware eingespielt werden, denn solange eine Ransomware aktiv ist werden auch neue Festplatten schnell über die eingebauten SATA-Security Features wieder verschlüsselt und damit unbrauchbar werden (s. Bärendienst), bzw. der Computer gibt diese Medien erst gar nicht frei. Selbst wenn gezahlt wurde und die Rechner wieder normal starten, kann man sich nicht sicher sein, ob nicht doch ein Trojaner etc. im BIOS übrig geblieben ist. Ein manuelles nach-flashen mit Programmieradapter und sauberer BIOS-Datei wird erforderlich werden. Ein nachträgliches Überschreiben mit Programmiersoftware (s. FLASHROM) aus einem (nun möglich) vom BIOS aus gestartetem Betriebssystem (Live-System inklusive), stellt die Beseitigung der Schadsoftware im BIOS m. A. n. nicht sicher.

Mainboards mit DualBios könnten hier Abhilfe schaffen. Allerdings würde nur ein automatisches Umschalten zu 2x BIOS-Ransomware im Computer führen. WP-Jumper bleiben weiterhin obligatorisch. Ein DualBios ist gut, wenn ein BIOS-Update fehl schlägt oder einer der FLASH-Speicher selbst ausfällt.


(Ob auch die BIOS-Inhalte unseres Bundestages mal überprüft wurden? s. Hackerangriff- Bundestag)

27. Januar 2017, 20:12
    
Firmware eines Keyboards absichern / BadFirmware

Viele Mainboards haben noch PS/2 Anschlüsse.
Mit einem USB zu PS/2 Adapter kann die Firmware eines USB-Keyboards gegen Änderungen vom PC aus abgesichert werden. Das PS/2 Protokoll überträgt nur die Scancodes der Tastatur. Eine alte PS/2 Tastatur tut es natürlich auch.

13. Januar 2017, 23:54

Zum Thema Wirkungslosigkeit und Gefahren von Virenscannern empfehle ich von golem.de
Die Schlangenöl-Branche

http://www.golem.de/news/​antivirensoftware-die-schlangenoel-branche-1612-125148.html


und vom Privacy-Handbuch:

Virenscanner sind Schlangenöl -  https://www.privacy-handbuch.de/handbuch_90a1.htm

 Kleine Idee: WP-BIOS-Timer

Nach dem Einschalten der Spannungsversorgung vom Computer, wird die Write-Protection am BIOS-FLASH für eine einstellbare Zeit deaktiviert.


       











 

 

 

 




Gefühlter Status Quo

 

Obwohl die Virenscanner immer aktuell sind (technisch 'nie'), ist der bisherige Zustand, den PC gelegentlich zur IT-Abteilung oder privat zu einem Bekannten zu bringen, um das System aufgrund eines Virusbefalls neu aufsetzen zu lassen. Ein reines Entfernen ist zu unsicher, denn ein Anwender kann sich nie sicher sein, ob etwas zurückgeblieben ist oder ob sein Betriebssystem instabil wird.

Bei Reisen ins Ausland nehmen wir unsere Laptops mit. Über den Netzzugang vom Hotel bekommt man dann die „Spezielle Software“ eingeimpft. Wieder heimgekehrt führt dann der erste Weg in die IT-Abteilung, um den Computer dort Entseuchen zu lassen. Das habe ich so schon öfters von Kollegen mitbekommen.

Möchten Sie mit einem ex-befallenen Betriebssystem ihr Internetbanking machen? Da installiere ich doch lieber das betroffene Betriebssystem neu. Das erlebe ich ständig.

Ich ärgere mich dann jedes Mal, wenn zum x-ten Male betont wird: „Dieses Betriebssystem ist sicher“, „Schreibschutzflag setzen“, „Dateien verschlüsseln“ und besonders nervig: „Software immer aktualisiert halten“. Manchmal auch: „Internet Explorer nicht verwenden“ oder „Flash-Player abschalten“. Das klingt wie: „Demontieren Sie die Räder, bevor Sie losfahren.“ Nein, das half mir nicht und ist nicht zuverlässig. Ein Computer mit Virus wird platt gemacht und neu aufgesetzt. Außerdem sehe ich nicht, dass mit diesen Weisheiten alles gesagt ist und alle wirksamen Möglichkeiten ausgeschöpft werden.

Aus Unkenntnis, mangels Sicherheitsbewusstsein („Was soll mir schon passieren.“), Desensibilisierung („Nicht schon wieder ein Sicherheitsupdate!“) und durch die Trägheit der Softwarehersteller werden bekannte Sicherheitslücken nicht beseitigt. Dann hilft auch kein Zertifizierungs- und Signaturmechanismus, wenn ein Update erst gar nicht gestartet oder bereitgestellt wird. Ein permanent aktiver Zugang für Updates hilft auch nicht wesentlich weiter. Denn bis zum automatischen Update wurden wieder genug Betriebssysteme über diese Lücke angegriffen. Natürlich auch über die noch (offiziell) unbekannten Sicherheitslücken. - Davon ist mit (dieser) Sicherheit jeder mal betroffen.

Von den Stabilitätsproblemen ganz zu schweigen, die ein mangelhaft getestetes Panik-Sicherheitspatch verursacht und das dann auch noch automatisiert eingespielt werden soll. Da mach ich doch lieber kein Update nach dem Motto: „Never change a running system“.

  

Update Terror

In den Medien wird eine Sicherheitslücke nach der anderen veröffentlicht. Viele Anwender können nicht beurteilen, wann, wie und ob diese Sicherheitslücke für sie von Bedeutung ist.

Natürlich immer, weil viele Autoren auch keinen Plan haben und mit der Aussage: „Sofort Virenscanner und Software updaten!“ sich auf sicheres Terrain begeben möchten. Ich habe den Eindruck, dass den Anwendern ein Ausgeliefertsein, ein „Großes Schultern zucken“ und ein „Mehr ist nicht möglich“, eingeredet wird.

Der Anwender wird im Panikmodus gehalten. Das ist besonders einfach, wenn noch kein Softwareupdate verfügbar ist oder gar nicht ausgeliefert wird. Schutzlos+Ausgeliefert verkauft nicht nur Nachrichten, sondern auch Virenscanner besser.

Einen billigen Hardwareschreibschutz kann man nur einmal verkaufen und HW-Updates sind nicht erforderlich. Jeder Computernutzer sollte sich bewusst sein, dass „Nach einem SW-Sicherheitsupdate auch zugleich wieder vor einem SW-Sicherheitsupdate ist“. (Das war mein Beitrag zur Panikmache ;-)

Berichte über die bisher selten ausgenutzten Lücken mit BadFirmware und BadBIOS sorgen dafür, dass die Selbstsicherheit der Nutzer nicht zu groß wird und weiterhin neue Sicherheitssoftware gekauft wird. Das eine entsprechende Auswahl oder Entwicklung von Hardware (BIOS-Jumper, OTP-ROM), auch erfolgreich gegen diesen Typ von Schadsoftware sein kann, wird meistens nicht erwähnt. Ein Sicherheitsproblem kann in ein Kostenproblem mit Hilfe von Hardware (Centbeträge) umgewandelt werden und das ist dann durchaus lösbar.

Für die iOS-, Linux- und AndroLux-Anhänger stehen auch schon genug Malware und entsprechende Antivirusprogramme in den Startlöchern. Die Panikmaschinerie hat genug Routine mit Windows gesammelt, um auch die Marktanteile der anderen Betriebssysteme zu melken.

„Meine tägliche Zero Day Exploit Lücke gibt mir Heute …“ usw.

Der verunsicherte Nutzer wird zum Update-Junkie. Und sein Software-Dealer versorgt ihn regelmäßig mit neuer Antivirussoftware.


 
 

Produktivitäts- und Spaßbremse: „Der Scheinangriff“

Die durchschnittlichen Anwender setzen sich nicht mit Systemwartung und erforderlichen Updates auseinander. Sie wollen, und das zurecht, an einem stabilen und sauberen System ihre Arbeiten ausführen. Mit der Beseitigung von fest eingenisteten Viren sind sie selbstverständlich überfordert und viel Schadsoftware arbeitet ohnehin still vor sich hin.

Der Nutzer bekommt oft nichts mit, aber er entwickelt Bedrohungsphantasien, die durch die Fehlarme vom Virenscanner noch unterstützt werden.

Ist da etwas? War da etwas? Hat sich etwas eingenistet und ist daher der Computer so langsam? Sicherheitshalber erst mal den Computer aufräumen, ein Update einspielen, die Virenscanner aktualisieren und ein Intensivscan über mehrere Stunden ausführen, notfalls das Betriebssystem neu aufsetzen, ein anderes Betriebssystem wählen ...

Es geht dann überhaupt nicht mehr um die übliche Fehlerbeseitigung in der Software und um neue Programmerweiterungen, also eine Verbesserung in der Produktivität durch ein Update, sondern nur noch um reflexartige Zwangshandlungen gegen die Ungewissheit, an die man seine Zeit und Geld verschwendet.  

 

„Schreibgehärtet“ - Write Hardened

In einem Live-System findet ein großer Teil der Schadsoftware keinen Angriffspunkt mehr, um sich permanent im Computer fest zu setzten und dass sogar ohne Einsatz von Virenscanner und Firewall.

Dieser Ansatz hatte mir gefallen, denn eine Systemsoftware ist nun nicht mehr heimlich manipulierbar. Das hat weitreichende positive Folgen, auch für andere Bereiche im Computersystem. Beispielsweise können die softwarebasierten Zertifizierungs- und Signaturmechanismen für Software, nicht mehr vor einem erforderlichen Systemupdate unbemerkt geschwächt werden.

Einen Hardware-Schreibschutz sehe ich als optionalen Baustein zur Verbesserung der Sicherheit an, auch wenn der Anschein im Text erweckt wird, das er das „Universelle Mittel“ gegen jede Schadsoftware ist. Die Kombination aus HW- und SW-Techniken machts. Wenn eine Schadsoftware schon vorher mit Virenscanner, einem Betriebssystem oder anderen Sicherheitsmaßnahmen und angepasstem Nutzerverhalten aufgehalten werden kann, dann ist das auf jeden Fall ein zusätzlicher Sicherheitsgewinn.

Ich verwende den Begriff „schreibgehärtet“, wenn Speichermodule mit Hardwareschreibschutz eingesetzt werden.

Eine so abgesicherte Systemsoftware sehe ich im „Internet der Dinge“ als notwendig an. Meine elektrische Zahnbürste wird nicht zur Spamschleuder und außerdem habe ich nicht die geringste Motivation unser Bügeleisen ständig mit Virenscanner-Updates zu versorgen. Unser neuer Smartfernseher bietet im Menü einen Virenschutz für externe Medien an - es geht also schon los.

Werden im Hardwaredesign die Anforderungen von schreibgeschützten Live-Systemen mehr berücksichtigt (BIOS-Jumper) erwarte ich auch, dass ein Einnisten von Schadsoftware in Smartphones und Tablets erschwert wird. Für einen DAU oder die einem Administrator kann der Schreibschutz-Jumper ja ungesetzt bleiben. Ein (online) Softwareupdate ist dann wie bisher möglich.

Die Industrie hat eine Lösung mit den WP-Schaltern an den SATA-DOM-Bausteinen gefunden. Leider hat sie den Hardwareschreibschutz am BIOS-FLASH und andere Komponenten mit Firmware vernachlässigt. Das rächt sich jetzt als heimliches Einfallstor für Schadsoftware insbesondere für den Consumer-Markt.

Live-Systeme sind bisher nur etwas für Sicherheitsfanatiker, Paranoiker und allzu kritische Journalisten, die alle eine hohe Frustrationstoleranz mitbringen müssen. Mit dem Einsatz von schnellen und schreibgesicherten SATA-DOMs, werden meiner Ansicht nach für viele Computernutzer handhabbare und komfortable Live-Betriebssysteme verfügbar.

Der Anwender erhält eine zusätzliche Systemsicherheit und das nicht nur „gefühlt“, wie mit einem Virenscanner. Er hat nun die Wahl, ob er als Update-Junkie an Systemen mit reduzierter Performance seine Zeit verschwendet, angeblich sicheren Betriebssystemen blind vertraut oder bei Bedarf mal einen Schalter betätigt.

Kein Anwender ist perfekt, also kennt alle Sicherheitshinweise und befolgt diese immer. Selbst wenn dies so wäre, setzt ihm das offizielle Wissen Grenzen. Er ist durch die Zeitverzögerung bis zu einem Sicherheits-Update oder einem Handlungshinweis immer im Nachteil. Gegen die beispielsweise immer besser werdenden Phishing-Mails, Malwaredownloads über Webeeinblendungen und unbekannte bzw. zukünftige Sicherheitslücken hilft auch kein Appell das Brain1.0 mal einzuschalten.

Ich suche nach praktikablen Erweiterungen, Vorschlägen und neuen Ansätzen für Computer mit schreibge-härteten Live-Systemen und möchte andere Entwickler motivieren, weitere Ideen und Anwendungs-möglichkeiten beizutragen. 

Für mich habe ich einfache Verbesserungen gefunden, um den Schaden am Computer zu reduzieren, der durch fehlerhafte Software, Wissenslücken, Bequemlichkeit und Unaufmerksamkeit herausgefordert wird.

 

Meinen „schreibgehärteten“ PC schalte ich jetzt aus.

-UND TSCHÜSS!-