Schädliche Firefox Extensions

Gab es schon öfter. Und kommen wieder. Nachdem die meisten Addons nicht mit dem aktuellen Firefox Quantum (57.0) funktionieren müssen neue installiert werden. NoScript gibt es zum Beispiel noch nicht. Hier muss man natürlich aufpassen, was man installiert.

Auf der Black Hat Asia wurde letztes Jahr ein Angriff vorgestellt, bei dem ein schädliches Addon Sicherheitslücken in weit verbreiteten Addons ausnutzen konnte, z.B. in

  • NoScript mit 2,5 Millionen Downloads
  • Video DownloadHelper mit 6,5 Millionen Downloads
  • Grease Monkey, 1,5 Millionen

Immerhin war Adblock Plus mit 22 Millionen Nutzern nicht betroffen.

The pair were able to upload a malicious, but ultimately harmless proof-of-concept, extension to the Firefox extension shop even passing a requested more intensive ‘fully reviewed’ analysis.

Die neuen WebExtensions sollen allerdings besser geschützt und wenigstens von diesem Angriff nicht betroffen sein.

Continue reading »

Windows 7 Administrator Passwort zurücksetzen

Ein Windows 7 Administrator Passwort lässt sich einfach zurücksetzen. Dazu startet man den Offline NT Password and Registry Editor.

  1. l listet NTFS-Partitionen auf.
  2. mit 2 die C: Partition auswählen
  3. Pfad zur Registry mit ENTER bestätigen
  4. 1 Password reset (sam system security)
  5. 1 edit user data and password
  6. Benutzernamen eingeben
  7. 1 clear password
  8. ! quit
  9. y save
  10. n no new run
  11. reboot

 

VPN Passwort auslesen

VPN Passwörter sind auf Windows 7 Notebooks nicht besonders geschützt. Speichert man ein IKEV2 Passwort, verschlüsselt die Festplatte nicht und verliert das Notebook, kann der Finder das Windows Passwort eines lokalen Administrators mit Offline NT Password and Registry Editor zurücksetzen und sich unter dem entsprechenden Benutzer einloggen.

dialupass zeigt dann alle auf dem Rechner gespeicherten VPN Benutzernamen und Passwörter im Klartext an. Sogar die von Domänen-Benutzern!

Besser ist es die Festplatte vollständig zu verschlüsseln.

Londoner Schönheitschirurg gehackt

The Dark Overlord haben einen Londoner Schönheitschirurgen gehackt, Patientendaten und Bilder gestohlen. Angeblich mehrere Terabyte.

Üblicherweise klaut die Gruppe Daten und fordert dann Lösegeld. Ansonsten droht sie, die Bilder zu veröffentlichen.

Die an die Presse weitergeleiteten Fotos waren über eine Google-Bildersuche nicht zu finden.

Auf einigen Bildern war auch der Geschäftsführer Chris Inglefield.

Gegenüber thedailybeast drohen die Hacker:

As if the hack itself wasn’t enough of an issue, the hackers have threatened to distribute the stolen images.

Leider gibt es in dem Artikel keine Hinweise, wie der Einbruch gelingen konnte.

thedailybeast.com

Tor Hidden Services absichern

Die Punkte, die in Securing a Web Hidden Service genannt werden, sind für Betreiber von Hidden Services sicher nichts Neues.

  1. Listen to localhost only
  2. Disable directory listing
  3. Disable verbose signature and error reporting
  4. Security Updates
  5. Route only Tor traffic

Allerdings werden auch Beispiele genannt, in denen Hidden Services diese einfachen Fehler zum Verhängnis wurden.

Zum Schluss dann der Tipp:

Keep in mind nothing is bulletproof and 0day can (or must) be part of your threat-model if you’re somewhat serious about anonymity.

BadRabbit

Endlich gibt es einen Virus, der EternalBlue und Mimikatz ausnutzt. Wurde aber auch Zeit. Und wird nicht der letzte bleiben. Vielleicht reicht das jetzt, dass Microsoft die nicht-vorhandene Sicherheit in Windows-Netzen in Griff bekommt.

isc.sans.edu

mehr FinFisher Surveillance

Kaspersky meint, die FinFisher Surveillance Software würde jetzt immer beliebter und würde mit Zero Days häufiger verbreitet, nachdem Mitte 2015 HackingTeam gehackt wurde und sich deren Kunde eben nun an Gamma wenden:

We estimate that the attack on HackingTeam in mid-2015 left a gap on the market for surveillance tools, which is now being filled by other companies. One of these is Gamma International with their FinFisher suite of tools. Although Gamma International itself was hacked by Phineas Fisher in 2014, the breach was not as serious as it was in the case of HackingTeam. Additionally, Gamma had two years to recover from the attack and pick up the pace.

securelist.com

US-Behörden verwenden kein Kaspersky mehr

Einige haben sich wahrscheinlich schon vor ein paar Wochen gewundert, warum US-Behörden plötzlich kein Kaspersky Virenscanner mehr verwenden. Ursprünglich wurde er von der Army, Navy, Air Force, dem Department of Defense, State, Homeland Security, Energy, Veterans Affairs, Justice und Treasury verwendet.

Inzwischen wird im Wall Street Journal berichtet, wie russische Hacker vertrauliche Dokumente stehlen konnten:

Ein NSA-Lieferant hat streng geheime Unterlagen kopiert und auf seinem Rechner daheim gespeichert. Auf diesem Rechner lief auch Kaspersky. So wurde er zum Ziel.

In den Unterlagen geht es um das Eindringen in fremde Netze, aber auch wie die NSA eigene Systeme schützt.

Sicherheitsexperten gehen davon aus, dass der russische Geheimdienst den weit verbreiteten Virenscanner Kaspersky für seine Zwecke nutzt.

Der Vorfall ereignete sich bereits 2015 (!) wurde aber erst im Frühjahr 2016 entdeckt.

Kaspersky hat mehr als 400 Millionen Nutzer weltweit und macht in Westeuropa und den USA 2016 mehrere hundert Millionen Dollar Umsatz.

Kaspersky wird als “aggressiv” beschrieben:

Kaspersky is “aggressive” in its methods of hunting for malware, Mr. Darché said, “in that they will make copies of files on a computer, anything that they think is interesting.” He said the product’s user license agreement, which few customers probably read, allows this.

Russian Hackers Stole NSA Data on US Cyber Defense