c't 16/2017
S. 36
News
Sicherheit

BKA findet halbe Milliarde Passwörter

Der Identity Leak Checker schickt seinen Bericht an die geprüfte Mail-Adresse und sagt, welche persönlichen Daten beim Hack möglicherweise entwendet wurden.

Das Bundeskriminalamt hat in einem Untergrundforum eine Sammlung von rund 500 Millionen Login-Datensätzen aus Mail-Adressen und Passwörtern gefunden. Die Daten wurden offenbar über einen längeren Zeitraum zusammengetragen; die jüngsten davon sollen von Dezember 2016 sein.

Das Hasso-Plattner-Institut (HPI) hat die Datensätze in seinen Identity Leak Checker integriert (siehe ct.de/yjb7). Anders als beim vergleichbaren Dienst „HaveIBeenPwned“ gibt das HPI die Suchergebnisse nicht öffentlich aus, sondern prüft nach Eingabe einer Mail-Adresse, ob diese in der Datenbank vorkommt, und schickt das Ergebnis an eben diese Adresse. (jss@ct.de)

Sie wollen wissen, wie es weitergeht?

Hoffnung für Opfer von Verschlüsselungstrojanern

Die Macher von Petya, Mischa und Goldeneye sind offensichtlich James-Bond-Fans. Und sie haben den NotPetya-Trittbrettfahrern öffentlich den Kampf angesagt.

Nach dem Ausbruch des Verschlüsselungstrojaners NotPetya, der wohl eher ein Wiper-Wurm als Ransomware war, gibt es nun Hoffnung für Opfer des Original-Petya-Trojaners. Die Kriminellen von Janus Cybercrime, welche die Ransomware der Goldeneye-Familie entwickelten (Mischa, Petya und Goldeneye), haben nämlich den Master-Schlüssel der Trojaner veröffentlicht. Sie taten dies wohl, weil die Macher des NotPetya-Wipers ihren Schadcode als Petya-Ransomware getarnt hatten. Nach eigenen Angaben arbeitet Janus auch daran, die NotPetya-Verschlüsselung zu knacken.

Bei Redaktionsschluss gab es noch keine automatischen Entschlüsselungstools, die den Master-Schlüssel nutzen, dabei handelt es sich wohl aber nur noch um eine Frage der Zeit. Mehreren Sicherheitsforschern zufolge kann man mit dem Schlüssel in der Tat Daten retten, die von Trojanern der Goldeneye-Familie verschlüsselt wurden.

Für Opfer des Wipers NotPetya stellt sich die Situation allerdings weniger freundlich dar. Hoffnung gibt es für sie aber auch. Bei einer Analyse des Trojaners stellte sich heraus, dass dessen Entwickler die Verschlüsselung des Schadcodes wohl selbst geschrieben haben. Dabei haben sie einige Fehler begangen, wie Forscher der Sicherheitsfirma Positive Technologies herausfanden.

Wird ein Rechner mit NotPetya infiziert, versucht der Trojaner sich zuerst Administrator-Rechte auf dem System zu verschaffen. Schlägt dies fehl, verschlüsselt er Nutzerdaten mittels AES. Das Betriebssystem funktioniert dann zwar weiterhin, aber die wichtigsten Daten sind nicht mehr lesbar. Um diese Daten zu retten, braucht man den geheimen RSA-Schlüssel, den die Kriminellen angeblich in Untergrundforen für horrende 100 Bitcoin (momentan über 200.000 Euro) verkaufen. Ob das wirklich funktioniert, ist unbekannt. Bisher haben Sicherheitsforscher auch keine Möglichkeit gefunden, die Verschlüsselung der Daten zu knacken.

Hat es NotPetya allerdings beim Einbruch in den Rechner geschafft, Administrator-Rechte zu ergattern, verschlüsselt der Trojaner die gesamte Festplatte mit Salsa20 und verhindert so, dass das Betriebssystem gebootet werden kann.

Zwar gilt auch der Salsa20-Algorithmus als sicher, allerdings scheint es so, als hätten die Malware-Schreiber bei der Umsetzung entscheidende Fehler begangen. Der Hebel für eine mögliche Datenrettung ist eine sogenannte Known-Plaintext-Attacke. Anhand bekannter Daten, die auf Windows-Partitionen immer gleich sind, kann die falsch implementierte Salsa20-Verschlüsselung eventuell geknackt werden.

Das bedeutet allerdings eine Menge Aufwand und ist mit automatischen Entschlüsselungstools nicht zu leisten. Allerdings sind die Forscher zuversichtlich, dass professionelle Datenretter und Forensik-Teams die Verschlüsselung innerhalb einiger Stunden knacken können. Vor allem für Firmen, denen sehr wichtige Geschäftsdaten abhanden gekommen sind, ist das immerhin ein kleiner Hoffnungsschimmer. (fab@ct.de)

Sie wollen wissen, wie es weitergeht?

Fritzbox verrät Netzwerk-Details

In unserem Test zeigte sich die Fritzbox 7590 gesprächig und gab Details über die Teilnehmer des lokalen Netzes nach außen weiter.

Die aktuelle Fritzbox-Firmware weist eine Lücke auf, mit der Angreifer Details über das lokale Netzwerk hinter dem Router auslesen können. So lassen sich Hostnamen, IP- und MAC-Adressen sowie der Online-Status von Clients auslesen, ebenso Modell und UUID der Fritzbox. Ist eine Fritz-App angemeldet, kommen anscheinend auch Mail-Adressen hinzu.

Um die Lücke auszunutzen, muss ein Angreifer JavaScript-Code in eine Webseite einbetten. Sobald die Seite von einem Teilnehmer an der Ziel-Fritzbox angesurft wird, läuft ein DNS-Rebinding-Angriff, der die Daten über eine Konfigurationsschnittstelle der Fritzbox via IPv6 abgreift. Die tiefgreifenderen Funktionen dieser Schnittstelle erfordern eine Authentifizierung am Router, das bloße Auslesen der Interna über das lokale Netzwerk aber eben nicht. Der Schutz vor DNS-Rebindung-Angriffen, der in der Fritzbox-Firmware durchaus vorhanden ist, greift offenbar nicht bei Zugriffen per IPv6.

Der Entdecker der Lücke, Birk Blechschmidt, gibt an, diese bereits Mitte März an AVM gemeldet und im weiteren Mail-Austausch keine Rückmeldung mehr bekommen zu haben; der Hersteller habe das Problem weder bestätigt noch behoben. Nachdem mehr als drei Monate Wartezeit verstrichen waren, veröffentlichte er ein Security Advisory, das allerdings inzwischen nicht mehr online zu finden ist. Zudem stellte er ein Proof-of-Concept bereit, womit wir das Problem an einer Fritzbox 7590 mit FritzOS 6.85 nachvollziehen konnten.

Auf Nachfrage von c’t sagte AVM, „der genannte Punkt“ sei bekannt und man stufe die Gefahr in die „unterste Kategorie“ ein. Ein kommendes Update soll das Problem beseitigen. Die Frage, welche Fritzbox-Modelle betroffen sind, ließ AVM unbeantwortet. Bis auf Weiteres muss man daher davon ausgehen, dass alle IPv6-fähigen Modelle betroffen sind. Als Workaround bis zur Veröffentlichung eines Firmware-Updates können Anwender die IPv6-Unterstützung in den Einstellungen der Fritzbox ausschalten. (rei@ct.de)