Vor Man-in-the-Midd­le-An­grif­fen in öf­fent­li­chen WLANs schüt­zen

Die­ses Pro­gramm brau­chen Sie: PC-WELT An­onym Sur­fen VPN, 49,95 Eu­ro (bis 500 MB gra­tis), für Win­dows Vis­ta, 7, 8, auf Heft-DVD, www.pcwelt.de/2006711

PC-WELT - - Tipps & Tricks / Sicherheit -

BE­SIT­ZER VON Le­no­vo-Rech­nern hat­ten zu­letzt ei­ne schwe­re Zeit. Bis Ja­nu­ar 2015 ver­kauf­te Le­no­vo Note­books, auf de­nen ei­ne Ad­wa­re in­stal­liert war, die häu­fig Pop-upFens­ter mit Wer­bung zeig­te. Die­se Ad­wa­re war zu­dem so pro­gram­miert, dass ein An­grei­fer über ei­nen Man-in-the-Midd­le-An­griff ge­fälsch­te Web­sei­ten als ech­te aus­ge­ben konn­te. Ob Ihr Ge­rät be­trof­fen ist, kön­nen Sie un­ter www.pcwelt.de/Wsp6X5 tes­ten. Wie Sie die Su­per­fish ge­nann­te Ad­wa­re los­wer­den, le­sen Sie un­ter www. pcwelt.de/2053771. Im Fe­bru­ar ent­deck­ten For­scher, dass auch das Up­date-Tool von Le­no­vo an­greif­bar ist. Der Up­dater soll ei­ne si­che­re Ver­bin­dung zu Ser­vern von Le­no­vo auf­bau­en, um neue Trei­ber und Soft­ware her­un­ter­zu­la­den. Um si­cher­zu- stel­len, dass sich das Tool tat­säch­lich mit ei­nem Le­no­vo-Ser­ver ver­bin­det, kom­men Zer­ti­fi­ka­te zum Ein­satz. Das sind di­gi­ta­le Be­schei­ni­gun­gen dar­über, dass et­wa ei­ne In­ter­net­adres­se wirk­lich ei­ner be­stimm­ten Fir­ma ge­hört. Sol­che Zer­ti­fi­ka­te sind in In­ter­net­brow­sern gang und gä­be. Je­de Web­site, die ei­ne SSL-ver­schlüs­sel­te Ver­bin­dung bie­tet, nutzt da­für ein Zer­ti­fi­kat. Es be­legt, dass die Web­site der ge­nann­ten Fir­ma ge­hört, und über­nimmt im Fol­gen­den die Ver­schlüs­se­lung. Da­mit das funk­tio­niert, ist ein Schlüs­sel­paar aus ei­nem öf­fent­li­chen und ei­nem pri­va­ten Schlüs­sel nö­tig. Möch­te sich der Brow­ser mit ei­ner ver­schlüs­sel­ten Web­site oder das Le­no­vo-Up­date-Tool mit sei­nem si­che­ren Ser­ver ver­bin­den, ver­langt es vom Ser­ver den öf­fent­li­chen Schlüs­sel. Der Ser­ver schickt die­sen Schlüs­sel zu­sam­men mit ei­nem Zer­ti­fi­kat so­wie ei­ner Prüf­sum­me und ei­ner ID. Die­se In­for­ma­tio­nen wer­den von Zer­ti­fi­zie­rungs­fir­men ver­kauft. Die be­kann­tes­te ist Ve­ri­sign ( www.ve­ri­sign.com). Mit die­sen In­for­ma­tio­nen kön­nen Brow­ser oder Up­date-Tool prü­fen, ob es sich wirk­lich um den an­ge­ge­be­nen Ser­ver han­delt. Erst dann ver­packt der Brow­ser mit dem öf­fent­li­chen Schlüs­sel ei­nen neu­en Sit­zungs­schlüs­sel und sen­det ihn an den Ser­ver zu­rück. Der Ser­ver kann die­ses Pa­ket mit sei­nem pri­va­ten Schlüs­sel de­co­die­ren und kommt so sel­ber an den ak­tu­el­len Sit­zungs­schlüs­sel. Der ge­schütz­te Da­ten­aus­tausch be­ginnt. Wie For­scher von Ioac­tive her­aus­fan­den, kann das Up­date-Tool von Le­no­vo die Echt­heit ei­nes Zer­ti­fi­kats nicht zu­ver­läs­sig prü­fen. Die For­scher spre­chen al­ler­dings nicht von ei­nem Zer­ti­fi­kat, son­dern von ei­nem Si­cher­heits-To­ken (se­cu­ri­ty to­ken), der vom Up­date-Tool nicht aus­rei­chend ge­prüft wird ( http:// bit.ly/1HHzOlU). In ei­ner Stel­lung­nah­me von Le­no­vo ist wie­der von ei­ner feh­ler­haf­ten Zer­ti­fi­kats­prü­fung die Re­de. Si­cher ist: Ein Ha­cker kann be­lie­bi­gen Co­de auf den Rech­ner la­den. Das geht im­mer dann, wenn er sich in die Ver­bin­dung zwi­schen Up­date-Tool und Le­no­vo-Ser­ver ein­klinkt (Man-in-the-Midd­le-An­griff) oder die­se Ver­bin­dung ein­fach auf sich selbst um­lei­ten kann. Da das Le­no­vo Up­date-Tool mit Admin-Rech­ten ar­bei­tet, lässt sich der ein­ge­schleus­te, feind­li­che Co­de oh­ne Nach­fra­ge star­ten und im Sys­tem ver­an­kern. Ein sol­cher An­griff ist et­wa dann mög­lich, wenn man sich in ei­nem öf­fent­li­chen und schlecht ge­schütz­ten WLAN be­fin­det oder sich ver­se­hent­lich gleich in das feind­li­che WLAN des Ha­ckers ein­ge­loggt hat. So schüt­zen Sie sich: An­fäl­lig für den ge­nann­ten An­griff ist das Le­no­vo Sys­tem- Up­date bis ein­schließ­lich Ver­si­on 5.6.0.27. Le­no­vo hat im April 2015 ei­ne feh­ler­be­rei­nig­te Ver­si­on be­reit­ge­stellt, die sich über das Up­date-Tool la­den lässt oder ma­nu­ell über die Sup­port-Sei­te von Le­no­vo: http:// sup­port.le­no­vo.com/de/de. Das Le­no­vo-Tool ist nicht das ein­zi­ge, das die Echt­heit von Zer­ti­fi­ka­ten nicht zu­ver­läs­sig prü­fen konn­te. Ähn­li­che Feh­ler kom­men laut Si­cher­heits­ex­per­ten im­mer wie­der vor. Al­ler­dings las­sen sich die­se Feh­ler in der Re­gel nur dann aus­nut­zen, wenn sich ein Ha­cker in die In­ter­net­ver­bin­dung ein­klin­ken kann. Das ist in öf­fent­li­chen WLAN-Net­zen mög­lich. Sie schüt­zen sich am bes­ten ge­gen die­se An­grif­fe, in­dem Sie ei­ne VPN-Soft­ware nut­zen. Die­se baut ei­ne ver­schlüs­sel­te Ver­bin­dung von Ih­rem Note­book hin zu ei­nem ver­trau­ens­wür­di­gen Ser­ver im In­ter­net auf. Emp­feh­lens­wert ist et­wa un­ser ei­ge­nes Tool PC-WELT An­onym Sur­fen VPN.

Das IT-Si­cher­heits­un­ter­neh­men Ioac­tive hat im Up­date-Tool von Le­no­vo ei­ne kri­ti­sche Lü­cke ent­deckt. Auch an­de­re Pro­gram­me sol­len von ähn­li­chen Feh­lern be­trof­fen sein.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.