08.03.2013
Sicherheit
Unzureichender Zertifikatsschutz bei Java
Autor: Thorsten Eggeling
Die Java-Sicherheitseinstellungen sollen dafür sorgen, dass nur signierte Java-Programme ausgeführt werden. Auf vielen PCs sind sie jedoch unsicher und ermöglichen den Start ohne gültiges Zertifikat.
Internetkriminelle nutzten offenbar eine Sicherheitslücke in der Werbeplattform OpenX aus, um die Webseite Beolingus der TU Chemnitz mit einer Variante des g01pack-Exploit-Kits zu infizieren. Das Kit aktivierte schließlich ein Java-Applet, das aufgrund seiner digitalen Signatur berechtigt ist, die Java-Sandbox zu verlassen, dann Programme aus dem Netz zu laden und auf dem Rechner des Nutzers zu installieren.
Als der Blogger Eric Romang das Online-Wörterbuch Beolingus der TU Chemnitz aufrief, musste er zuerst die Ausführung der Java-Anwendung genehmigen. Doch als er das „Java ClearWeb Security Update“ mit der vermeintlich gültigen digitalen Signatur der US-Firma Clearesult Consulting Inc mit „Run“ aktivierte, lud er sich einen Trojaner auf seinen Rechner. Die TU Chemnitz hat jedoch schnell reagiert und den Schadcode kurz nach Bekanntwerden der Infektion entfernt. Es dürften also nur wenige Nutzer tatsächlich betroffen gewesen sein.
Allerdings könnten die Täter den gleichen Schadcode auch auf andere Websites einschleusen. Die eigentliche Gefährdung geht von den unzureichenden Java-Sicherheitseinstellungen aus. Denn das gestohlene Code-Signing-Zertifikat wurde bereits zum 7.12.2012 vom Herausgeber Godaddy gesperrt. Die Zertifikatsprüfung war jedoch nicht in der Lage, den Schadcode mit dem gestohlenen Zertifikat zu erkennen. Eigentlich hätte sie die Widerrufsliste vom CRL Distribution Point (OCSP) abfragen und sofort erkennen müssen, dass das Zertifikat nicht mehr gültig ist. Doch tatsächlich gibt die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung nur bei unsignierten Java-Programmen eine Warnmeldung heraus, statt das Zertifikat mit einer Sperrliste abzugleichen. Ein signiertes Java-Programm läuft nicht in der Sandbox und darf beliebigen Code auf dem Rechner ausführen.
So schützen Sie sich
Wer Java bereits seit längerem installiert und regelmäßig aktualisiert hat, verwendet wahrscheinlich noch die älteren und sichereren Einstellungen. Erst bei einer Neuinstallation ab Java 7 Update 11 wurden die Einstellungen verändert. Gehen Sie in der Systemsteuerung auf „Java“ und auf die Registerkarte „Erweitert“. Unter „Erweiterte Sicherheitseinstellungen“ sollte ein Häkchen vor „Entzug von Zertifikaten mit CLRs (Certificate Revocation Lists) prüfen“ und „Onlinezertifikatsvalidierung aktivieren“ gesetzt sein.
In jedem Fall sollte man vorsichtig sein, wenn Java-Applets auf Webseiten starten wollen, auf denen man Java eigentlich nicht erwartet. Es ist am sichersten, das Java-Plug-in im Browser nur für Websites zu aktivieren, die es tatsächlich erfordern.
Firefox-Nutzer können dazu ein Add-on verwenden, über das sich das Java-Plug-in bei Bedarf schnell aktivieren und wieder deaktivieren lässt, beispielsweise QuickJava. Wenn Sie lieber explizit zustimmen möchten, wenn eine Webseite Java oder andere Plug-ins verwenden will, installieren Sie Enable Click to Play.
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
MagentaTV One
Die Telekom erneuert ihre TV-Box
Die Telekom bringt die zweite Generation ihrer Box für das Streaming: Die MagentaTV One bietet mehr Leistung und eine überarbeitete Fernbedienung.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>