Triple Seven - Just a random ssh bug

Seit gestern ist ein neuer OpenSSH Bug bekannt: Triple Seven.

Aufgrund eines Problems im Speichermanagement ist es so bösartigen Servern möglich, den privaten ssh Key des Clients auszulesen. Für den Fall, dass sich also jemand mit einem nicht vertrauenswürdigen ssh-Server verbunden hat, ist es möglich, dass der eigene ssh-Key kompromittiert wurde.
Wer sich nicht sicher ist, ist daher angeraten sich neue ssh-Keys zu generieren und die alten in die Verbannung zu schicken (wichtig!)

Es steht mittlerweile ein Update für Debian, Ubuntu, RHEL und weiteren Distros zur Verfügung, das das Problem fixen soll.

Wer den eigenen Client zur Zeit nicht updaten kann, sollte die UseRoaming Option ausschalten. Entweder als Parameter in /etc/ssh/ssh_config

Oder als Programargument in der Kommandozeile

Und als Abschluss: Wenn irgendjemand Lust auf dubiosen Verschwörungstheorien hat, kann bei diesem Heise-Kommentar anfangen 🙂

Stagefright Vulnerability

Die gehypte "Android-Superlücke" Stagefright wird von Joshua Drake auf der BlackHat 2015 in Las Vegas vorgestellt. Es scheint ein Totalschaden zu sein, das mehrere Bugs ausnutzt um sich kompletten Zugang zum Smartphone zu verschaffen. Das knifflige ist, dass eine manipulierte MMS oder Hangouts Meldung ausreicht. Benutzerinteraktion ist nicht erforderlich.

Das sind die Infos die wir zur Zeit haben.

Ich denke auch, dass bis die Updates für alle zur Verfügung stehen, Cyangenmod der einzig wirksame Schutz gegen die Lücke ist. Die haben sie nämlich schon gefixt. Die Workarounds helfen zwar die MMS-Lücke zu schließen, ob dadurch aber auch Hangouts-Meldungen gefixt werden, kann ich zur Zeit nicht beurteilen. Betrachtet das ganze als eine Best-Efford Maßnahme und nicht als einen Ersatz für ein sauberes Update!

Workaround

Es gibt zur Zeit zwei Wege, um die Angriffsfläche zu reduzieren

  • Automatischen MMS-Download deaktivieren
    Achtung: Bis der Bug full disclosed wurde, kann ich jedoch nicht sagen, ob dadurch das Problem wirklich behoben wird. Es reduziert die Wahrscheinlichkeit ja, ist aber kein sicherer fix!

Öffnen Sie die Hangouts App auf Ihrem Android-Telefon.
Tippen Sie auf Menü: Hangouts Android menu icon
Tippen Sie auf Einstellungen.
Tippen Sie auf SMS.

We don't do any pre-processing that involves stagefright. There are no technical details at all available about this vulnerability (for maximum hype), but you'd have to physically tap on the media and then click through a warning about playing media insecurely before stagefright got involved.

Das heißt, ein sauber installiertes TextSecure und ein deaktiviertes Hangouts sollten die Verwundbarkeit für Stagefright deutlich senken. Ob die Lücke durch Hangouts-Meldungen weiterhin ausgenutzt werden kann, kann ich zur Zeit nicht beurteilen.

  • Cyanogenmod
    Stagefright benutzt eine Reihe von bereits gemeldeten Bugs, die in den aktuellen Nightlies von Cyanogenmod (hoffentlich) bereits gefixed sind. DAS ist die einzig wirklich wirksame Maßnahme gegen Stagefright!

Leute, installiert euch TextSecure! Die App verschlüsselt euren gesamte Nachrichtenverkehr transparent (das heißt ihr merkt davon nichts), ist sehr einfach zu bedienen und für Android und iOS verfügbar (nennt sich dort Signal).

Und es behebt möglicherweise die Stagefright Sicherheitslücke, die in den kommenden Wochen noch genug gehyped werden wird. ... Zumal die DEFCON Hacking Conference in Las Vegas ansteht und das ein Publikumsmagnet sein wird ...

Auf die Gnade der Hersteller angewiesen

Die Lücke ist ein Totalschaden, der hoffentlich bald gefixed wird. Google hat fürs Nexus 6 bereits Fix erstellt, die hoffentlich auch bald zur Verfügung stehen werden. Stagefright benutzt eine Reihe von bereits gemeldeten Sicherheitslücken:

  • CVE-2015-1538
  • CVE-2015-1539
  • CVE-2015-3824
  • CVE-2015-3826
  • CVE-2015-3827
  • CVE-2015-3828
  • CVE-2015-3829

(Quelle: Google+ Post von Cyanogenmod)

Google ist bei seinen Nexus Geräten recht zuverlässig was Patchen von Sicherheitslücken anbelangt. Besitzer von anderen Herstellern sind auf deren Gnade angewiesen und werden sehr häufig einfach im Stich gelassen. Smartphones, die keine Updates mehr bekommen, sollten sich schleunigst nach einer Custom ROM wie Cyanogenmod oder OmniRom für ihre Geräte umschauen. Mit denen ist man ohnehin wesentlich besser dran, sofern man auf die Garantie des Herstellers verzichten kann (kann man in der Regel nach 1 Jahr ohnehin). Man muss ehrlich sagen, dass die Updatesituation bei Android-Smartphones teilweise schon sehr prekär ist 🙁

Links

Update - 06. August

[via heise] Google liefert anscheinend ab heute die ersten Patches für Stagefright aus und führt den monatlichen Patchday ein. Künftig will Google einmal im Monat ihre Geräte mit Sicherheitsupdates und Patches versorgen.

Data on iCloud - AAAAAAAAAAANNNNNNNNDDDD it's gone!

Cloud und Security ist ein Thema, das durch viele technische und benutzerspezifische Schichten geht - und nach wie vor mehr Fragen offen lässt als beantwortet.

Dieses aktuelle Beispiel zeigt, was passieren kann, wenn dein Mac-Account gehackt wird: Die arme Seele verlor in einer Nacht sein

  • IPhone
  • IPad
  • MacBook Air
  • Fotos, Emails, Dokumente, ecc des letzten Jahres

Kurzzusammenfassung

Irgendjemand verschaffte sich Zugang zum Mac-Account von @mathonan (Link zu Twitter) und führte einen Remote Wipe aller seiner Geräte aus.

Den Anruf beim Apple-Callcenter musste er daraufhin mit dem Handy seiner Frau tätigen, da sei IPhone nach dem remote wipe nicht mehr zu gebrauchen war ...

Ein Backup seines IPhones hatte @mathonan - Auf dem MacBook Air. Das mit dem selben Account verbunden war - und leider auch remotely wiped wurde. Also war auch das Backup weg!

 

Das Beispiel zeigt eindrucksvoll, welche Probleme mit Clouds verbunden sein können - das Betrifft Apple-Nutzer leider genauso wie alle anderen Cloud Dienste. In diesem Fall gibt auch keine Schadenfreude - Solche Verluste tun echt weh!!

Counter-Measurements

Grundsätzlich:

  1. Keine persönlichen Daten in die Cloud!!
  2. Backups

Zu Ersterem: Persönliche, private und intime Daten haben ohnehin nichts auf einer Cloud verloren! Das wäre das selbe, als ob du Familienfotoalbum, Sparbuch und Kreditkarten in eine sporadisch verschlossene Holzkiste im Nachbars Garten verstauen würde, der eine so hohe Hecke hat, dass du die Kiste nicht mehr siehst, wenn du nach Hause gehst. Würde auch kein Mensch machen.

Zu Zweiterem: Nur Backups auf Datenträger die nicht im Netz hängen schützen vor Datenausfall durch Angriffe im Netz oder Naturkatastrophen. Was passiert, wenn euer Betriebe unglücklicherweise von einer Naturkatastrophe heimgesucht wird? Offline-Backups helfen!

Eigene Regeln für HTTPS-Everywhere erstellen

Heute zeige ich euch, wie man eigene Regeln für HTTPS-Everywhere erstellen kann. Wem HTTPS-Everywhere noch nichts sagt, der kann sich die Hardening-Seite anschauen.

In a nutshell: HTTPS-Everywhere ist ein Firefox Add-On, damit die Seiten, die eine verschlüsselte Verbindung unterstützen, diese auch benutzen.

Firefox-Profil-Ordner

Zunächst erstellen wir eine XML-Datei im Firefox-Profil-Ordner. Unter Ubuntu ist der üblicherweise im Home-Verzeichnis unter .mozilla/firefox und dort als kryptischen Ordner abgelegt (wo der Ordner unter Windows ist findet ihr weiter unten)

In meinem Fall ist es der Ordner t8r741yz.default.

Solltet ihr mit meiner Anleitung nicht weiterkommen, könnt ihr auf dieser Seite nachlesen, wo denn dieser Ordner ist.

HTTPS-Ruleset

Im Firefox-Profilordner ist ein Ordner HTTPSEverywhereUserRules. Also in meinem Fall

Dort erstellen wir eine passende XML-Datei: feldspaten.xml und füllen sie mit folgendem Inhalt

Die Zeilen Target host geben an, für welche Seite(n) die Regel gelten soll. Da ich sowohl "feldspaten.org" wie auch "www.feldspaten.org" unterstützen will, benutze ich zwei target hosts. Auch wildcards werden unterstützt (z.B. "feldspaten.*")!

Die Zeile "rule from" beinhaltet das eigentliche HTTPS als Javascript Regular Expressions.

Regular Expressions (kurz RegEx) sind ein sehr nützliches Werkzeug um eine kleine Grammatik zu definieren, nach der gematch werden soll. Die werden bei Suchanfragen oder eben hier bei kleinen Ersetzungsregeln gerne genutzt. Sie stehen in der Chomsky-Hierarchie an unterster Stelle und bilden eine reguläre Grammatik - damit wir auch noch einen kleinen Ausflug in die theoretische Informatik gemacht haben 😉

 

Und hier findet ihr die feldspaten.xml als Download, um sie in eure eigene HTTPS-Everywhere einzubinden.

 

Windows

Unter Windows ist der Pfad für die Firefox-Profile unter

im User-Verzeichnis. Vollständiges Beispiel in meinem Fall: Ich platziere die feldspaten.xml-Datei im Verzeichnis

quetzalcoatl ist mein Benutzername, 8z5fdwkm.default mein Profilordner. Beides entsprechend eurem System anpassen - fertig! 🙂

 

Weiterführende Links: HTTPS Everywhere Ruleset auf EFF