Sicherheitslücke „KRACK“ im WLAN-Verschlüsselungsprotokoll WPA2

„Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse“

In WPA2 klafft eine kritische Sicherheitslücke, und fast alle WLAN-Router sind betroffen.
Belgische Sicherheitsforscher haben gravierende Sicherheitslücken im Verschlüsselungsprotokoll WPA2 entdeckt, mit dem derzeit so ziemlich jedes WLAN abgesichert wird. Mit der „Krack“ genannten Attacke kann ein Angreifer die WPA2-Verschlüsselung aufbrechen, belauschen und manipulieren.

BSI warnt vor Online-Shopping und -Banking per WLAN

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte mit,  dass alle derzeit aktiven WLAN-fähigen Endgeräte in unterschiedlichen Ausprägungen von der Schwachstelle betroffen seien. Es rät, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online Banking und Online-Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen.

Android und Linux seien besonders gefährdet, wobei nach unserer Recherche (heute ca. 8.00Uhr) bereits für Debian 9 und Ubuntu (14.04, 16 und 17) Patches existieren.

WPA2 ist ein weit verbreitetes Verschlüsselungsverfahren zur Absicherung eins WLANs, das bis jetzt als sicher galt. Die älteren Standards WPA und WEP wurden schon vor Jahren als nicht mehr sicher eingestuft und ausgemustert.
Die Forscher in Löwen entdeckten nach eigenen Angaben nun einen Fehler in dem vierstufigen Verfahren, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN ausgetauscht werden.

Ein Passwort zu ändern, bringe nichts, so die Experten, da es nicht vor der Attacke schütze. Vermutlich seien Geräte aller Hersteller von den Fehlern betroffen. Lücken könnten jedoch durch Software-Updates geschlossen werden. Einige Netzwerkgerätehersteller stellen bereits Sicherheitsupdates zur Verfügung.

Wie kann man sich gegen WPA2 Angriffe schützen:

1. VPN nutzen!

Ein Virtual Private Network verschlüsselt Daten bei der Übertragung, und hilft somit auch gegen Hacker in WLANs.
Nutzer öffentlicher WLAN-Hotspots sollte sich ohnehin mit einem virtuellen privaten Netzwerk (VPN) gegen Manipulationsversuche schützen, dies macht spätestens jetzt durchaus auch im eigenen Netz Sinn.

2. Updates!  – Anwender sollten sich bei den Herstellern ihrer WLAN-Geräte nach einem Patch erkundigen.

Halten Sie Hardware und Software aktuell – Bekannte Sicherheitslücken machen es Hackern sehr einfach. Nur die Lücken zu schließen schützt wirkungsvoll. Denken Sie hierbei nicht nur an PC, Laptop oder Smartphone. Wichtig sind auch alle Netzwerkkomponenten wie Router, WLAN-Accesspoints, aktive WLAN-Antennen usw. Häufig sind gerade die wichtigsten Komponenten im Netzwerk die am schlechtesten gesicherten und laufen seit Jahren mit veralteter Firmware und immer noch mit einem Standard-Passwort.
Sollten für Ihre Hardware kein Update verfügbar sein, so wäre es besser ein neues Gerät von einem Hersteller zu kaufen, der mehr Wert auf Sicherheit legt und ausgelieferte Geräte auch nach Jahren noch mit Patches und Softwareupdates versorgt.

 

Quellen:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/WPA2Verschuesselung_16102017.html
https://www.krackattacks.com/
https://papers.mathyvanhoef.com/ccs2017.pdf

schon wieder Virenmails aus Indien

Heute erreichten uns schon wieder Viren per Mail aus Indien mit dem unten folgenden Inhalt!
(die etwas sensibleren Stellen sind mit xxxxxx überschrieben)

Der nette „Mohammad“ (wir nennen ihn jetzt einfach auch mal so)  sendet mit gefälschtem Absender ( mit unserer Domain als Endung) an uns eine Mail mit angehängter zip (7z).
Die geht beim Mailserver durch (weil wir das so wollen) aber man erkennt gleich die nicht zur Domain passende IP 125.16.128.226

Woher kommt sie Wohl? – schon wieder INDIEN (siehe Whois)

__________________________________________________

Return-Path: <Mohammad@me4__.com>
X-Spam-Checker-Version: SpamAssassin on
xxxxxxxxxxxxxxxxxxxxxxxxx
X-Spam-Level: xxxxxxxxxxxxxxxxxxxxxxxxx
X-Spam-Status: xxxxxxxxxxxxxxxxxxxxxxxxx

X-Original-To: _______@me4it.com
Delivered-To: ________@me4it.com
Received: from [125.16.128.226] (unknown [125.16.128.226])
by xxxxxxxxxxxxxxxxxxxxxxxxx
for <xxxxxxxxxxxxxxxxxxxxxxxxx>; Thu, 31 Aug 2017 06:50:34 +0200 (CEST)
Disposition-Notification-To: <Mohammad@me4__.com>
From: Mohammad Peddie <Mohammad@me4__.com>
To: <________@me4it.com>
Reply-To: <Mohammad@me4__.com>
Date: Thu, 31 Aug 2017 10:20:33 +0530
Subject: Emailed Invoice – 223572:1
Content-Type: multipart/mixed;
boundary=
Message-ID:
MIME-Version: 1.0

—-boundary_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: text/plain; charset=“us-ascii“
Content-Transfer-Encoding: quoted-printable

As requested

regards

–=20
Mohammad Peddie=

—-boundary_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: application/octet-stream; name=“I_223572-1.7z“
Content-Transfer-Encoding: base64
Content-Disposition: attachment
Darunter hängt dann noch der Virus den ich hier natürlich abgeschnitten habe…

Ein Whois zeigt nach Indien…

inetnum: 125.16.128.224 – 125.16.128.227
netname: AMZI-1230409-Bangalore
descr:

descr: Bangalore
descr: KARNATAKA
descr: India

Burschen seid gewarnt! Das nächste mal kommt eure heilige Kuh auf den Grill!

Das Üble an der Mail , die Mehrheit  der gängigsten Virenscanner erkennt wieder mal  –  ja was wohl  –  NICHTS!
Das gute daran, wir sind ja auch nicht blöd und nehmen das wieder als gutes Beispiel um unseren Kunden hier zu zeigen:
Virenscanner JA wichtig!  – aber bitte nicht darauf verlassen, denn er hilft eben oft nicht oder nicht viel.

Eine Prüfung auf der Seite virustotal.com ca. 6 Stunden nach dem eintreffen der Mail zeigt es mal wieder, noch nicht einmal die Hälfte aller verfügbaren Scanner erkennt  den Virus  bzw.  den nachladenden Code in der Email!

weniger als die hälfte aller Scanner erkennen ca. 6h alte Emailviren

Domain-Expiration-SEO SPAM

unser täglich SPAM gib uns heute…

Da wir inzwischen einige Domain und Webseiten-Kunden haben, deren Webseiten wir auch hosten und pflegen, mussten wir in den letzten Tagen auffällig oft  Kundenanfragen zu immer wieder der selben Mail beantworten, und weil‘ s jetzt einfach nur noch nervt, und wir unsere Kunden vor eventuellen Zahlungen warnen möchten,  veröffentlichen wir den Inhalt dieser Spammail nun hier:

Optik und Wortlaut immer ungefähr wie folgt:

Pending Cancellation
FINAL NOTICE FOR DOMAIN
„hier steht ihre Domain“

Date: 08/22/2017

FINAL NOTICE – Your account is pending cancellation

PURCHASE EXPIRATION DATE: 08/30/2017

„hier steht ihre Domain“

PLEASE CLICK ON

SECURE ONLINE PAYMENT

TO COMPLETE YOUR PAYMENT

We have NOT received your payment yet

Domain Name: Registration Period: Price: Term:
„hier steht ihre Domain“  09/13/2017 to 09/13/2018  $__.__  1 Year

SECURE ONLINE PAYMENT

We have NOT received your payment yet for

„hier steht ihre Domain“

Failure to complete this order by 08/30/2017 . may result in the cancellation of this offer (making it difficult for your customers to locate you, using search engines on the web). We do not register or renew domain names. We sell traffic generator software.

PLEASE CLICK ON

SECURE ONLINE PAYMENT

ACT IMMEDIATELY

(  Der nun noch weiter unten folgende Text, versucht natürlich das ganze zu legalisieren, ist aber in so hellem Grau und so klein geschrieben, dass das kein normaler Mensch lesen wird – aber besser doch tun sollte…
Deshalb hier etwas dicker…  )

unsubscribe here or mail written request to………………………. If you have multiple accounts with us, you must opt out for each one individually in order to stop receiving SEO notices. We are a search engine optimization company. We do not register or renew domain names. We sell traffic generator software. This message is CAN-SPAM compliant. THIS IS NOT A BILL OR AN INVOICE. THIS IS A SEO PURCHASE OFFER. YOU ARE UNDER NO OBLIGATION TO PAY THE AMOUNT STATED UNLESS YOU ACCEPT THIS PURCHASE OFFER. This message contains promotional material strictly along the guidelines of the CAN-SPAM act of 2003. We have distinctly mentioned the source mail-id of this email and also disclosed our subject lines. They are in no way misleading. Please do not reply to this email, as we are not able to respond to messages sent to this address.

Also Liebe Kunden (und Gäste)
Wer lesen kann und auch das kleingedruckte liest, wird das wohl hoffentlich als SPAM einstufen und einfach direkt LÖSCHEN!!!

Viren aus dem Netzwerkscanner oder Netzwerkdrucker?

Wer mir, wie in diesem Fall, kurz vor der Mittagspause (Viren-)Mails sendet, muss damit rechnen, dass ich mir die auch mal zum Spaß genauer ansehe.

So oder so ähnlich könnte wirklich eine Scan-to-Mail Nachricht eines
Netzwerkdruckers bzw. Scanners aussehen….

Doch bei genauerem hinsehen fallen die um 5 Stunden abweichende Uhrzeit und „Scanned Image in DOC-format“ auf.

Clever gemacht: Der „Anhang aus dem Drucker“ ist verschlüsselt und natürlich wird das Passwort gleich mitgeliefert!
Wie jetzt – wozu das denn?
Logisch, natürlich das der Virenscanner wieder mal nichts prüft und findet.

Und wieder einmal verrät ein Blick in den Quellcode viel mehr,
als man auf den ersten Blick sieht….

 

Vermutlich ein verseuchter PC… und bei genauerer Prüfung sieht man in diesem Fall das die Virenschleuder höchstwahrscheinlich in Indien sitzt.
ein tracert liefert auf den letzten paar hops Interessantes…

12 if-ae-4-2.tcore2.FNM-Frankfurt.as6453.net 195.219.87.17 47.645
13 if-ae-7-2.tcore2.WYN-Marseille.as6453.net 80.231.200.77 47.876
14 80.231.200.30 80.231.200.30 141.379
16 14.141.63.186.static-Mumbai.vsnl.net.in 14.141.63.186 144.849

und ein whois liefert eine Dynamische Adresse der TATA TELESERVICES LTD als Quelle…

inetnum: 14.96.0.0 – 14.99.255.255
netname: TATAINDICOM-IN
descr: TATA TELESERVICES LTD – TATA INDICOM – CDMA DIVISION

Noch Fragen?

@Ranjit…
Bursche, versuch das nochmal und ich bastle mir einen schönen Rinderbraten aus deiner heiligen Kuh!

 

Virus getarnt als Voice-Mail

Nanu, seit wann sendet denn unser Anrufbeantworter, die Telefonanlage,  unser Router „Voice-Mails“?

Falls sie sich diese Frage gerade selbst stellen, könnte es sein, dass sie vor einem ebenso simpel wie gut gemachten Virus-Email sitzen und sich gerade fragen, ob sie denn eventuell den Anhang öffnen sollen und wer da wohl wieder mit noch nicht bekannter Telefon-Nr.  auf den „AB“  gesprochen hat.

NEEEEEIIIIIIIINNNNN!!!   Finger weg vom Anhang!  Das sollte einem doch schon der klare Verstand sagen.  In diesem Fall war‘ s ein „.zip“,

Halb so wild, denken sie jetzt,  im Ernstfall würde ja der Virenscanner greifen (spätestens wenn dann doch geklickt wird), doch weit gefehlt, wir können ihnen Versichern, in den meisten Fällen wird der Virenscanner es eben NICHT tun.

Dieser hier gezeigte Fall ist wieder einmal ein hervorragendes Beispiel,
um zu verdeutlichen, wie Virenscanner eben häufig leider doch NICHTS nützen. Ganz im Gegenteil, sie verleiten eher noch dazu, den Kopf auszuschalten und sich blind auf auf die Technik zu verlassen.

Also nun zu Erklärung:

Optisch sieht diese Fake-„Voicemail“ zunächst nicht sofort verdächtig aus, selbst die Absenderadresse ist verdammt gut gewählt, nämlich in diesem Fall VM@ Eigene Domain.  –  Könnte also ja wirklich der neue Anrufbeantworter oder Router oder was auch immer sein. Welcher Mitarbeiter schöpft da schon verdacht…

So kam das Beispiel in unserem Fall, von  vm@…
natürlich an die allgemein bekannte Adresse…

Die Absender-Mailadresse ist natürlich ebenfalls Fake, aber bei genauerem hinsehen im Quellcode erkennbar.
Bleibt jetzt das Problem: Welcher Anwender schaut schon in den Quellcode?

In diesem Fall konnte man leicht erkennen, dass die Mail von einer fremden IP-Adresse versendet wurde.

 

Doch das eigentlich gefährliche an dieser Art  Viren-Emails kommt eigentlich erst jetzt bei genauerer Recherche über die Webseite virustotal.com zum Vorschein.

Die erstmalige Überprüfung dieses Viren-Anhangs war bei Virustotal gerade einmal 24 Minuten her, als bei uns diese Virenmail im Posteingang lag. Der Virus also praktisch brandneu, und zugleich wie man sieht sehr schnell verbreitet. Das ist inzwischen so eigentlich die Regel.

Dem obigen Bild kann man aber auch entnehmen, dass zu diesem Zeitpunkt erst 11 von 59 Virenscannern überhaupt einen Virus erkennen, alle anderen scheitern kläglich.

Etwas Später nochmals eine Momentaufnahme der „erkennenden“ Scanner, leider nicht wirklich viel besser.
Auf der Webseite virustotal.com wird nebenbei auch einmal schön deutlich, dass die schnellsten eben nicht unbedingt die am weitesten bekannten sind.

Eine weitere Prüfung 3Tage später ergab, erst grob zwei drittel der Scanner kannten den Virus.

Im Ernstfall hat also ein solcher Virus längst sein Unwesen getrieben bis der eigene Virenscanner, wenn überhaupt, erst etwas davon mitbekommt.

Wir möchten hier auf keinen Fall den Eindruck vermitteln, dass ein Virenscanner damit sinnlos oder sogar unnötig wäre, nein ganz im Gegenteil, er ist wichtiger denn je, doch eines sollte hiermit klar sein:
Im Ernstfall sind Sie selbst, ja wirklich NUR SIE SELBST ihr einziger funktionierender Email-Viren-Schutz.

neues Support-Ticket-System

Durch unser neu eingerichtetes Support-Ticket-System sparen Sie und Ihre Mitarbeiter Kosten durch mehr Zeit, die Sie für Ihre Kernaufgaben nutzen können.

Durch die Nutzung unseres Ticket-Systems reduzieren sich einerseits unnötige Rückfragen und damit der Verwaltungs- und Zeitaufwand, andererseits können die eingehenden Fragestellungen besser Themen-abhängig delegiert und somit auf Service- und Supportanfragen deutlich schneller reagiert und gezielter geholfen werden.

Möchten Sie Helpdesk-Qualitat in neuer Dimension kennen lernen, dann sprechen Sie uns darauf an.

Servicevertrag-Kunden erhalten automatisch die Login-Daten!