Informations/Telekommunikations- Dienstleistungen Christian Freter

Partner von AVM und Seagate

1&1 Premiumpartner 

 

Zum kostenlosen Virenscan von

F- Secure bitte 1x klicken!

 

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundinformationen und Links zu wichtigen Webseiten für das Internet. Ich kann keine direkte Aktualität in diesem Blog gewährleisten. Deshalb schaut auch mal öfters bei Webseiten von PC Zeitschriften oder Anbietern von Virenschutz oder bei den Herstellern selber (oft Englisch und benötigt Fachkenntnisse). 

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 

 

 

   

 

NGINX ist ein Open Source Hochleistungs- Webserver und ist ursprünglich eine russische Entwicklung. Durch die Open Source Lizenz wird der Server allen kostenlos zur Verfügung gestellt. Er ist unter anderem eine wichtige Komponente in der Synology Netzwerktechnik, welche auch von mir verwendet wird.

Bereits am Anfang des Krieges gab es eine Untersuchung der US Sicherheitsbehörden zur kritischen IT- Infrastruktur. Natürlich kam der NGINX dabei mit in den Fokus der Gutachter (etwa 10% der IT in den größeren Ländern verwendet diesen Server). Da der NGINX bzw. sein kommerzieller Teil, durch den die Sache auch finanziert wird, von einem US Unternehmen übernommen wurde und der russische Erfinder aus dem gewerblichen Teil des Projektes ausstieg, gab es keine akute Bedrohungssituation. Und es war auch tatsächlich so, dass russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht wurden.  

Mit dem fortschreitenden Krieg muss man sich natürlich weitere Gedanken machen. Aktuell sind wohl russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht natürlich viel russisches IT Know- How  verloren, aber das Projekt wird wahrscheinlich überleben. Wegen all dieser Aspekte werde ich zu diesem Zeitpunkt auch nicht auf die Synology Technik verzichten.       

   

In der vergangenen Woche gab es Updates für den Google Chrome Webbrowser und ein Update für den Microsoft Edge. Der Grund waren kritische Sicherheitslücken. Über diese Lücken konnte ein Angreifer sogar den Zugriff auf den PC des Opfers erlangen: Aber wie funktioniert das eigentlich? Ich werde mal versuchen, euch dieses kurz zu erklären, um euch die Problematik bewusster zu machen. 

 

Dafür müssen wir eine kleine Zeitreise machen. Sehr viele, viele Jahre zurück in die Vergangenheit. Die damaligen Computer hatten noch nicht so viel Leistung, aber verfügten über eine Recheneinheit, einen Speicher für die dauerhafte Speicherung von Daten und einen Speicher für die Programmausführung: der RAM. Also wie die heutigen Computer es haben. Der größte Unterschied war aber im RAM erkennbar. Wenn der Computer gestartet wurde, dann wurde das Betriebssystem in diesen RAM geladen und ausgeführt. Hat man dann ein eigenes Programm nachgeladen, dann wurde es hinter das Betriebssystem in einem zugewiesenen Speicherbereich im RAM abgelegt. Man kann sich den Speicher zur Veranschaulichung als ein zweidimmensionales Koordinatensystem vorstellen. Auf dem Punkt (1,1) wurde ein Teil der Daten des Betriebssystem gespeichert, auf dem Punkt (1,2) der Rest der Daten. Hat man ein Programm nachgeladen, dann wurde es z.B. auf (2,1) und (2,2) aufgeteilt (Oder man kann sich das auch ganz allgemein als eine Matrix vorstellen, wem das mehr ein Begriff ist oder ein riesiger Schrank mit vielen Schubfächern).

Zur Adressierung verwendete man aber keine Koordinaten, sondern ganz normale Zahlen, die in den Hexadezimal Wert umgerechnet waren. Durch diese logische Anordnung der Daten im RAM war letztendlich eine genaue Adressierung möglich. Die damaligen Systeme waren sogar so ausgelegt, dass man von den nachgeladenen Programmen auf den Speicherbereich zugreifen konnte, in dem das Betriebssystem abgelegt war oder den Speicherbereich anderer Programme. So konnte man letztendlich Konfigurationen und Anpassungen am Betriebssystem durchführen oder auch Drucker, Bandlaufwerke, Kassettenlaufwerke und ähnliches bedienen. Oder den Passwortschutz anderer Programme mit einer eigenen Programmierung überschreiben.

Die bekanntesten Vertreter dieser Computergeneration waren später der "KC 85" in der damaligen DDR (der Home PC der Elite oder derer, die mit viel Glück und entsprechend Geld so ein Ding bekommen haben- ich habe den in der DDR nie gesehen) und der "Commodore 64" im Westen Deutschlands bis über Wendezeit hinaus.

 

Natürlich entdeckte man dann schnell, dass man mit diesen Computern auch Spiele spielen konnte. Die Spieler erkannten auch genauso schnell, dass man nicht nur das Betriebssystem im RAM adressieren konnte, sondern auch die Spiele. Dadurch war es dann z.B. möglich, sich sehr viele "Lebensherzen" im Spiel zuzuweisen oder Spiele Level zu überspringen oder Passwortsperren zu umgehen oder eben sogar Passwörter auszulesen. Die Menschen, die sich damit beschäftigen, die nannte man dann "Cracker". Durch Kino und TV wurde später der Begriff "Hacker" geprägt, weil diese auch in Computersysteme eindrangen. Heutzutage spricht man da eher vom "Angreifer/in" im professionellen Umfeld. Der Begriff "Hacker" betitelt jetzt doch wieder mehr Personen im Bereich Softwarentwicklung. Jetzt wieder auf unsere aktuellen Sicherheitslücken zurück.

 

In der heutigen Zeit existiert noch immer dieser RAM. Aber die Programme sind geschützt voreinander darin abgelegt, d.h. man kann nicht mehr einfach von Programm A auf die Daten von Programm B zugreifen und diese manipulieren. Wenn jetzt aber ein Programmierfehler in einem Programm vorliegt, dann kann die Möglichkeit bestehen, diesen Schutz zu überwinden. Entweder kann man dann die Daten des ausgeführten Programmes manipulieren oder unter Umständen sogar auf Funktionen des Betriebssystems zugreifen.

 

Wie funktioniert das genau? Ein sehr vereinfachtes Beispiel. Informationen werden in einem Computerprogramm einer Variable zugewiesen. Das sollten wir alle eigentlich noch aus dem Matheunterricht kennen. Die Variable X erhält den Wert 5; x=5. Und genauso funktioniert das in einem Computerprogramm. Bei einem Computerprogramm wird diese Zuweisung aber nicht auf einem Zettel aufgeschrieben, sondern im RAM abgelegt. Einer solchen Variable kann aber auch eine komplette Zeichenkette zugewiesen werden, z.B. x="Das ist eine Zeichenkette". Normalerweise werden diese Zeichenketten am Ende durch einen Begrenzer abgeschlossen; das "\0". Die Variable x bekommt also einen Wert, z.B. über eine Abfrage zugewiesen. Die Abfrage in dem Programm könnte ganz simpel lauten: "Wie lautet dein Name?".

Dummerweise wird die Zeichenkette in meinem Beispiel ohne Begrenzer im RAM abgelegt, weil ein Fehler in der Programmierung vorliegt. Jetzt hat ein Angreifer genau dieses herausbekommen, z.B. durch probieren. Also trägt der Angreifer statt seinem Namen eine Programmierung (also den Inhalt eines fertigen kleinen Computerprogrammes) als Antwort ein. Der Angreifer hat nämlich ebenfalls herausbekommen, wenn er sehr viele Zeichen in die Anwort einbaut, dann kann er auf einmal die Daten des Programmes manipulieren. Dazu muss man wissen, dass ein Programm immer in der gleichen Reihenfolge im RAM abgelegt wird. Wenn man also den Speicherschutz überwinden kann, dann kann man letztendlich mit der fehlerhaften Zeichenkette den nachfolgenden Speicher überschreiben. Der Angreifer musste lediglich herausbekommen, wie viele Daten überschrieben werden müssen, um dann sein eigenes Programm in das ursprüngliche Programm einzufügen und dann auch noch zur Ausführung zu bringen. Das war's! KO! Das System wurde vom Angreifer übernommen.

 

Man verwendet in der Regel aber kein eigenes vollständiges Programm, sondern nur einen Teil des Programmes. Eine sogenannte "Funktion". Diese Funktion ersetzt dann eine Funktion des ursprünglichen Programmes oder einfach nur eine Programmzeile. Oder man macht es ganz anders und passt einfach nur Einstellungen an oder ... 

 

Der Fachbegriff für die Anwendung dieses Angriffs mit entsprechendem Angriffsprogramm ist "Exploit". Das ist mit der größte Alptraum der Entwickler, Systemadministratoren und Anwender, weil oft keine Abwehr dagegen möglich ist! Es gibt zwar mittlerweile integrierte Lösungen in den größeren Browsern und Betriebssystemen zum Schutz davor, aber die funktionieren nicht immer. Genauso sind diese Angriffe über das Wifi oder Bluetooth möglich. Also über das Medium Luft per Funk. Es gab in der Vergangenheit solche Angriffe.  

 

Jetzt muss man sich nicht gleich in seinem Heimnetz einschließen, um diesen Angriff zu entgehen. Einfach bewusster auf die Auswahl der Webseiten achten und nicht jede EMail öffnen und das Wifi mit Bedacht einsetzen und ...ihr findet ein paar weitere Infos in meinem Downloadbereich, die ich mit der Zeit in den Blog übertragen werde.

 

             

***www.router-it.de,Dezember'22***