DRM in Malware und die Gefahren gehackter Spionage-Apps – #secuthursday KW 21/2105

Header-Logo Sicherheit am Donnerstag

Diese Woche: Rombertik bleibt ein interessantes Thema, besonders aufgrund der Dinge, die es nicht in den originalen Text geschafft haben. Auch dabei: Spionage-App-Daten geleakt und die neuesten Updates sowie Sicherheitslücken.

Die Copyrightprobleme der Malwareindustrie

Vor zwei Wochen berichteten wir an dieser Stelle über Rombertik, welcher es IT-Sicherheitsanalysten äußerst schwer machte, sich ein genaues Bild über die Funktionsweise zu schaffen. Dumitru Stama von Symantec stellt jetzt in seinem Blogbeitrag klar, dass für ihn der Fokus der Berichterstattung in eine falsche Richtung ging.

Zuallererst stellt Rombertik “nur” eine aktualisierte Version eines länger erhältlichen Kits namens Carbon FormGrabber dar, welcher schon länger in einschlägigen Foren gehandelt werde. Im letzten Jahr war diese Malware z.B. auf kleine und mittlere Betriebe der europäischen Autoindustrie angesetzt worden.

Die umfangreichen Sicherheitsroutinen, die bei einem Scheitern die persönlichen Daten verschlüsseln oder den MBR überschreiben, seien aber nicht dafür gedacht, eine Analyse zu erschweren, sondern schlicht die schlechte Umsetzung eines DRM. Auch die Programmierer von Malware scheinen Probleme mit dem Diebstahl geistigen Eigentums zu haben und müssten sich gegen “script kiddies and n00bz” (sic!) wehren.
Die Umsetzung der Mechanismen scheint von so schlechter Natur zu sein, dass es Stama und seinem Team gelang, den Schutz zu umgehen, ohne dass die zerstörenden Mechanismen aktiviert wurden. Sie hatten die Malware damit gecrackt und könnten diese nun nach eigenen Vorstellungen einsetzen.

An diesem Punkt musste der Autor ehrlicherweise lachen. Nicht nur weil die Situation eine gewisse Absurdität bietet, sondern weil im ursprünglichen Text durchaus Vergleiche mit den schlechten Kopierschutzmechanismen früherer Tage aufgestellt worden waren. Diese konnten selbst Besitzer originaler Software oder Audio-CDs erfolgreich an ihrem Recht hindern bzw. am Ende den gesamten Rechner lahmlegen. Dieser Einwurf erschien beim Redigieren nicht wirklich sinnvoll und wurde letztlich gestrichen. Wie man sich irren kann.

mSpy – Kundenlogs von Spyapp geleakt

Screenshot Demo mspyDenken Sie, dass Ihr Mann oder Ihre Frau nicht ehrlich zu Ihnen ist? Möchten Sie gerne wissen, wo sich Ihre Kinder aufhalten? Spionieren Sie doch einfach das Handy aus. Es ist bei den meisten Menschen immer dabei und NSA sowie BND machen es ja auch, ohne zu fragen. Klingt nach einer guten Idee? Ist es nicht.

Von den moralischen Dimensionen abgesehen, speichern Spyapps meist nicht nur den Aufenthaltsort. Laut Krebs on Security wurden nun mehre hundert Gigabyte Logdaten von Kunden der Firma mSpy veröffentlicht. Die Betreiber des Angebots bestreiten die Echtheit des Leaks, doch Krebs hat die Daten mit einem Forscher analysiert und ist sich deren Authentizität sicher.

Brisant ist nicht nur der Leak selbst, sondern der Umfang der Daten, die gespeichert wurden. Neben Bewegungs- und Telefondaten, sollen auch Apple IDs und Passwörter sowie Zahlungsvorgänge dokumentiert worden sein. Daraus lassen sich nicht nur sehr persönliche Profile erstellen: Mat Honan berichtete schon 2012 für Wired, wie schwerwiegend der Diebstahl seiner Apple ID sich auf sein Leben auswirkte. Sollten Unsicherheiten bestehen, sollte lieber das Gespräch gesucht und bei Kindern, in Absprache, angerufen oder die Lokalisierungsfunktion des Mobilen OS genutzt werden. Wie das früher alles ohne Handy funktioniert hat.

Nachrichten, Sicherheitslücken und Updates in Kürze:

phpMyAdmin 4.4.6: Man-In-the-Middle to API Github

| via cxsecurity

Trojanized open source SSH software used to steal information

| via Symantec.com

Debian Security Advisory DSA-3262-1: xen security update

| via debian

Adressleiste von Apples Safari leicht manipulierbar

| via heise security

Debian Security Advisory DSA 3265-1: zendframework security update

| via seclists.org

KCodes NetUSB: How a Small Taiwanese Software Company Can Impact the Security of Millions of Devices Worldwide  + Security Advisory (Liste der betroffenen Router)

| via sec-consult

———————————————————–

Haben Sie Neuigkeiten für uns? Twittern Sie unter dem Hashtag #secuthursday.

Haben Sie ein Problem festgestellt? Wissen Sie nicht, wie es um die Sicherheit ihrer Server steht? Nehmen Sie mit uns Kontakt auf, wir helfen Ihnen gerne bei der Beseitigung und der Administration Ihrer Server.

secu-ring

About secu-ring

Secu-ring ist Ihr Webdienstleister aus Berlin. Wir bieten Ihnen eine umfangreiche Servicepalette, um Ihre Idee erfolgreich im Internet umzusetzen: Konzeption und Planung, Webentwicklung, Serverbetreuung sowie Softwarewartung. Wir programmieren stabile und skalierbare Lösungen für Ihre Anforderungen und sorgen für einen problemlosen Betrieb. Konzentrieren Sie sich auf Ihr Geschäft, wir kümmern uns um den Rest.