Sicherheit am PC V: #Pwn2own – Da sind ja Löcher im Internet! [UPDATE]

Posted onAuthorTmoWizard1 Comment

Last Updated on 9 Jahren by TmoWizard

[UPDATE:] Inzwischen ist auch von SeaMonkey eine fehlerbereinigte Version erschienen, aktuell ist nun SeaMonkey 2.33.1 [/UPDATE]

Liebe Leserinnen und Leser,

Pwn2own Logo

Quelle: siliconANGLE

wider Erwarten kommt hier ein 5. Teil zu „Sicherheit am PC“. Gründe dafür gibt es wahrlich genügend, ich werde aber nur einige davon bringen. Ich schreibe zwar gerne, aber der Artikel würde sonst selbst für meine Verhältnisse Überlänge bekommen! :mrgreen:

Irgendwo sind auch bei mir Grenzen, außerdem habe ich darüber ja schon einiges geschrieben. Fangen wir also an, wie schon öfter der Fall mit einem Artikel von heise online:

 

Pwn2own: Über eine halbe Million Preisgeld für 0day-Sicherheitslücken

Hier erst einmal die Listen aus den original Artikeln (englisch):

Erster Tag:

 

  • 3 bugs in Adobe Reader
  • 3 bugs in Adobe Flash
  • 3 bugs in the Windows operating system
  • 2 bugs in Internet Explorer 11
  • 2 bugs in Mozilla Firefox

 

Zweiter Tag, Endergebnisse:

  • 5 bugs in the Windows operating system
  • 4 bugs in Internet Explorer 11
  • 3 bugs in Mozilla Firefox
  • 3 bugs in Adobe Reader
  • 3 bugs in Adobe Flash
  • 2 bugs in Apple Safari
  • 1 bug in Google Chrome

 

Etwas haben alle Schreiberlinge vergessen, was aber meiner Ansicht nach wichtig wäre: Welche Versionen wurden denn da von was getestet? Okay! Inzwischen weiß ich ja, daß die Browser und die Adobe-Produkte auf dem neuesten Stand waren. Nicht bekannt ist mir bis jetzt allerdings, welche Version von Windows dort verwendet wurde. Es gibt da nämlich ein Problem, da ja doch einige davon noch mit Updates versorgt werden. Hier mal die wichtigsten Versionen für Privatanwender:

  • Windows Vista (Supportende 11. April 2017)
  • Windows 7 SP1 (Supportende 14. Januar 2020)
  • Windows 8.* Update 1 (Supportende 10. Januar 2023)

 

Server und Smartphones sind nicht relevant!

Andere Browser und Betriebssysteme wurden nicht getestet, da sie als nicht relevant gelten… öhm… Wiebittewasislos? Browser sehe ich ja noch ein, SeaMonkey, Opera und ähnliche Exoten sind ja wirklich nicht weit verbreitet. Aber nun sollen mir diese super tollen Vollidioten Hacker doch mal erklären, wie denn ihr Internet ohne Server funktioniert, vor allem ohne Linux/UNIX/BSD! Nein, dieses System ist wirklich gar niemals nicht irgendwie relevant, ich schwör! Auch würde es mich wirklich brennend interessieren, was die denn für seltsame Smartphones/Tablets verwenden. Android kann es ja nicht sein, das ist auf keinen Fall das am weitesten verbreitete System auf diesen Geräten, garantiert völlig irrelevant!

Ich selbst verwende hier ja Kubuntu 14.04 LTS mit SeaMonkey 2.33 auf dem Desktop und Firefox OS auf dem Smartphone, also wirklich eher selten zu finden. In meinem Umfeld gibt es jedoch viele Rechner, die eben mit verschiedenen Windows-Versionen beglückt sind und auf denen tatsächlich Opera verwendet wird. Und nein, das war garantiert nicht meine Idee. Ersten halte ich von Windows herzlich wenig, zweitens von Opera auch nicht wirklich viel mehr! Das müßen die Leute selbst wissen, ich muß damit ja nicht arbeiten.

 

Updates und deren Folgen!

Tatsächlich hat Mozilla hier am schnellsten reagiert und die Lücken schon in der Nacht nach Pwn2own mit einem Update auf Firefox 36.0.3 behoben und auch Firefox 36.0.4 ist inzwischen erschienen, womit alle beim Pwn2own gefundenen Lücken nun geschloßen sind! Auch der Adobe Flash hat bereits ein Update bekommen, vom Reader ist mir bis jetzt nichts bekannt. Nicht reagiert haben bis heute die Schlafmützen von Microsoft und Apple, die träumen bis heute noch von einem sicheren System und einem ebenfalls sicheren Browser!

Natürlich bleibt gerade bei Mozilla solch ein Update nicht ohne Folgen, wie man bei entsprechender Suche in verschiedenen Foren oder so feststellen kann. Kaum wird ein Update auch nur angekündigt, dann kommen die Trolle auch schon wieder aus ihren Löchern gekrochen.Füttere mich, ich bin ein Troll!Die meckern dann wirklich darüber, daß bekannte Sicherheitslücken geschloßen werden! Es kommen viel zu häufig Updates, das geht ja gar nicht! Und die Milliarden Add-ons gehen alle nicht mehr, da kann ich ja gar nicht mehr arbeiten! Ja dann steig ich eben um auf Chrome, damit Google ja alle Daten von mir bekommt!

Nur mal so nebenbei bemerkt:

Auch bei Google Chrome und bei Chromium werden solche Lücken schnellstens geschlossen, wenn möglich wie bei Mozilla am nächsten Tag. Normale Updates kommen wie bei Mozilla ebenfalls alle 6 Wochen, da gibt es also auch keinen Unterschied.

Außerdem:

Bei Firefox braucht man wirklich ganz dringend tausende Add-ons für ganz spezielle Funktionen, welche bei Google Chrome gar nicht erst möglich sind, klar! Es ist wirklich blanker Unsinn, daß nach solchen Sicherheitsupdates die Add-ons nicht mehr funktionieren. In der entsprechenden Datei „install.rdf“ (als Beispiel für den aktuellen SeaMonkey)  ist in etwa folgendes zu finden:

<em:targetApplication>
<Description>
<!– SeaMonkey –>
<em:id>{92650c4d-4b8e-4d2a-b7eb-24ecf4f6b63a}</em:id>
<em:minVersion>2.2</em:minVersion>
<em:maxVersion>2.36.*</em:maxVersion>
</Description>
</em:targetApplication>

Das bedeutet in dem Fall, daß das entsprechende Add-on für alle Versionen von SeaMonkey ab 2.2 bis 2.36.* gilt, wobei 2.36 ja noch im Nightly-Channel ist! Hier sieht man dann übrigens auch, was ein guter Entwickler von Add-ons taugt. Hier wurde weit voraus geplant, denn diese Version (Gecko 39, also auch Firefox /Thunderbird 39) kommt nämlich erst Ende Juni und wir habe Mitte/Ende März!

Fast alle Add-ons für Firefox/Thunderbird/SeaMonkey sind so aufgebaut, daß bei reinen Sicherheitsupdates wie im jetzigen Fall rein gar nichts passiert. Anders wäre es bei einem Update auf Firefox/Thunderbird37 oder SeaMonkey 2.34 (aktuell ist 2.33), hier verpassen tatsächlich manche Entwickler den Termin! Allerdings kann da Mozilla wirklich nichts dafür, denn bei den meisten Add-ons genügt eben eine kleine Anpassung in der oben erwähnten „install.rdf“. Die Entwickler haben hierfür sehr lange Zeit, bis eine neue Version kommt. 6 Wochen Nightly, 6 Wochen Aurora/Alpha, 6 Wochen Beta, erst nach diesen 18 Wochen kommen dann die offiziellen Versionen!

Natürlich muß man nicht unbedingt alle 6 Wochen an seinem Add-on basteln, wenn man es mit einer Nightly getestet hat. Man wartet einfach, bis diese Nightly in die Beta-Phase kommt, dann testet man sein Add-on in der neuen Nightly! Somit liegen immer 12 Wochen dazwischen und man kann dadurch einiger Maßen sicher gehen, daß das Add-on auch mit dem neuesten Firefox/Thunderbird/SeaMonkey funktioniert.

Ich habe hierbei mit clamdrib LIN ja wirklich Glück, da dieses Add-on keine speziellen Funktionen von Thunderbird/SeaMonkey verwendet. Es funktioniert garantiert noch wesentlich länger, außer Mozilla macht da wirklich gravierende Änderungen. Ich hätte hier jetzt also sehr viel Zeit, um ein paar Kleinigkeiten daran zu ändern, wenn ich denn die Zeit hätte. Wobei ich hiermit gestehe, daß mir da schon einige Ideen durch den Kopf gehen! 8-)

 

Große Versager!

Wie erwähnt ist es also eigentlich völliger Unfug, daß nach einem einfachen Sicherheitsupdate plötzlich die Add-ons nicht mehr funktionieren. Ausnahmen bestätigen hier allerdings wie so oft die Regel, eine dieser unrühmlichen Ausnahmen ist z. B. ausgerechnet Kaspersky. Die Leutchen bringen es tatsächlich immer wieder fertig, daß die Add-ons ihrer ach so tollen „Internet-Security-Suite“ nach einem Update völlig versagen und Firefox/Thunderbird sogar komplett lahmlegen!

Hier geht dann das Theater mit den Trollen los, denn die schimpfen natürlich nicht auf Kaspersky, sondern auf Mozilla. Nur können die doch nichts dafür, wenn bei Kaspersky ein paar Idioten was zu sagen haben! Es ist auch in deren Add-ons nur die oben erwähnte Änderung in der „install.rdf“ notwendig, damit diese wieder funktionieren. Die bräuchten es eigentlich nur so wie in dem obigen Beispiel machen (2.36.* oder auch 2.36.99), dann hätten sie 6 Wochen oder wie im Beispiel sogar 18 Wochen ihre Ruhe mit dem Add-on.

Bevor es nun weiter mit Pwn2own geht hier noch einmal den schon öfter im Blog erwähnten Hinweis zu den Add-ons von Kaspersky & Co:

Achtung: Ein Virenscanner sollte niemals direkt in die Mails von SeaMonkey oder Thunderbird eingreifen dürfen und dort etwas löschen. Beide Programme (und auch andere Mail-Clients) speichern diese Mails in einer Datenbank, welche durch solch einen Eingriff zerstört werden kann! clamdrib LIN prüft jedoch mit Hilfe von ClamAV die Mails nur, kann dort aber nichts verändern oder gar löschen und somit auch keinen Schaden anrichten.

Eine entsprechende Mail sollte umgehend über die dafür vorgesehene Funktion von SeaMonkey/Thunderbird gelöscht und hernach die entsprechenden Ordner (auch der Papierkorb) komprimiert werden, damit der Dreck auch wirklich weg ist!

Und nun zurück zum Thema! Back to Topic!

 

Das Internet ist nicht kaputt!

Wie wohl jedem bewußt ist gibt es kein sicheres System und auch keine fehlerfreien Programme, Aktionen wie Pwn2own können hier also sehr hilfreich sein. Immerhin werden hier Lücken gesucht und auch gefunden, die vielleicht sogar schon lange ausgenutzt werden! Schließlich gibt es ja nicht nur solche Spinner, welche Trojaner und ähnlichen Unfug schreiben. Es gibt ja auch noch die wirklich ganz bösen Jungs wie NSA, BND, CDU/CSU …. Da muß man also schon dahinter sein, daß solche Lücken schnellstens dicht gemacht werden.

Dies gilt übrigens auch für uns Add-on-Entwickler, da natürlich auch diese Fehler enthalten können! Dank clamdrib LIN weiß ich das inzwischen nur zu gut, denn das original clamdrib hatte da so einige Macken. Zwar keine sicherheitskritischen Löcher, aber es waren doch einige … „nette“ … Fehler vorhanden. Von der Seite war es also sogar gut, daß ich das Teil übernommen habe. Ich mußte mich zwar erst in die Materie einarbeiten, aber wirklich alle bekannten Fehler sind nun weg!

TIP: Wenn ihr da mal einen Verdacht habt, dann könnt ihr das entsprechende Add-on direkt bei AMO testen (Registrierung erforderlich!):

Add-on Entwicklerecke: Add-on überprüfen

Das Internet ist also nicht kaputt, es hat nur an einigen Stellen ziemliche Löcher. Es ist ja alles nur Software und ich kenne wirklich keine einzige größere, die ohne Fehler daher kommt! Eines der absolut negativsten Beispiele hierfür dürfte wohl der ebenfalls bei Pwn2own zerlegte Flash-Player sein, welcher nun schon seit sehr vielen Jahren immer wieder gerne für entsprechende Schlagzeilen sorgt. Das unsägliche Teil hat regelmäßig zum Teil mehr Sicherheitslücken wie Windows, das ist ja eigentlich schon als Kunstwerk zu betrachten! :mrgreen:

 

Mein Fazit:

Pwn2own ist regelmäßig ein gutes Beispiel, daß sich auch größere Firmen wie Google, Mozilla und sogar Adobe um ihre Software kümmern. Kritische Lücken in den Programmen können schließlich auch von anderen Leuten gefunden und ausgenutzt werden, wie man immer wieder bei Trojanern und ähnlichem Ungeziefer feststellen kann. Meistens kommen diese Teile über schon lange geschlossene Lücken, der eigentliche Fehler existiert hier leider sehr häufig zwischen der Tastatur und Stuhl (PEBKAC)!

Ich sehe das auch in meinem eigenen Umfeld immer wieder, daß selbst die (zum Teil kostenlosen) Virenscanner völlig veraltet sind! Das mit solchen Teilen kein Blumentopf mehr gewonnen wird ist logisch, hier hilft meistens nur noch eine komplette Neuinstallation. Da kommen da so dämliche Meldungen, daß die ewigen Meldungen über Updates nerven und so. Aber anstatt daß man umstellt auf automatische Updates schaltet man diese einfach komplett aus, man hat ja einen Virenscanner! Irresmilie

Übrigens freut euch ja nicht darüber, wenn ihr wie ich Linux verwendet. Dazu gibt es nämlich keinen Grund, da Firefox/Thunderbird/SeaMonkey, Chrome, Opera, Flash und wie sie alle heißen auch unter diesem System laufen. Oh Wunder über Wunder, die Lücken dieser Programme existieren natürlich auch unter solch einem System. Denkt mal darüber nach, kein System ist sicher!

 

Viele nächtliche Grüße nun aus TmoWizard’s Castle zu Augsburg

Y gwir yr erbyn byd!

Mike, TmoWizardZaubersmilie

CC BY-NC-SA 4.0 Sicherheit am PC V: #Pwn2own – Da sind ja Löcher im Internet! [UPDATE] von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

One Reply to “Sicherheit am PC V: #Pwn2own – Da sind ja Löcher im Internet! [UPDATE]”

  1. Ich kann dazu nur sagen, dass ein System niemals sicher sein wird. Die Entwicklung schreitet voran und genauso auch bei den Menschen, welche ein Sicherheitssystem knacken möchten. Das ist bei den Autodieben so und auch bei Cyberkriminellen. Einer findet immer ein Schlupfloch und wenn dieses geschlossen ist, dann kommt meist sofort der nächste. Zu beobachten ist jedoch, dass manche Hacker mit den Firmen zusammenarbeiten und sich fürstlich für ein nachgewiesenes Eindringen ins System bezahlen lassen. So werden die Systeme natürlich auch immer sicherer.
    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kommentarlinks könnten nofollow frei sein.