{"id":6209,"date":"2015-09-28T07:09:11","date_gmt":"2015-09-28T07:09:11","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=6209"},"modified":"2020-06-30T17:07:06","modified_gmt":"2020-06-30T15:07:06","slug":"security-week-39","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/security-week-39\/6209\/","title":{"rendered":"Sicherheitswoche 39: XcodeGhost, D-Link-Zertifikate, 10 Million f\u00fcr Fehler in iOS9"},"content":{"rendered":"<p>Ich m\u00f6chte diesen R\u00fcckblick mit einer Nachricht beginnen, die nichts mit IT-Sicherheit zu tun hat: Die Dieselfahrzeuge von Volkswagen sto\u00dfen weit mehr Schadstoffe aus, als bei Tests festgestellt. Doch bevor wir das ganze Bild kennen, m\u00f6chte ich bei dieser Aussage bleiben und nicht dar\u00fcber urteilen. Die Geschichte zeigt, dass die Rolle von Software in der heutigen Welt enorm ist: Eine kleine \u00c4nderung im Code reicht, um eine kritische Funktion so zu ver\u00e4ndern, dass es niemandem auff\u00e4llt.<\/p>\n<p><post href=\"https:\/\/www.facebook.com\/photo.php?fbid=10207849611587291&amp;set=a.3500201512830.163580.1505449516&amp;type=3\"><\/post><\/p>\n<p>Laut <a href=\"http:\/\/www.wired.com\/2015\/09\/vw-fool-epa-couldnt-trick-chemistry\/\" target=\"_blank\" rel=\"noopener nofollow\">Wired<\/a> war es recht einfach, die h\u00f6heren Emissionen zu maskieren. Wissen Sie, wie die Labortests durchgef\u00fchrt werden? Das Auto f\u00e4hrt auf einem Band, es wird Gas gegeben, die R\u00e4der drehen sich und die Abgase werden analysiert. Was ist der Unterschied zwischen dem Labortest und dem eigentlichen Fahren? Richtig \u2013 das Lenkrad wird nicht benutzt. Das bedeutet, dass dies als Bedingung programmiert werden kann. Wenn niemand lenkt, bedeutet das, dass wir auf dem Pr\u00fcfstand stehen. Dieser Hack kann nat\u00fcrlich zuf\u00e4lligerweise entdeckt werden \u2013 und genau das ist wohl auch passiert.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Volkswagen says emissions deception actually affects 11 million cars <a href=\"http:\/\/t.co\/8Z0MMR6kBO\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/8Z0MMR6kBO<\/a><\/p>\n<p>\u2014 WIRED (@WIRED) <a href=\"https:\/\/twitter.com\/WIRED\/status\/646493205085749248?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 23, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Noch einmal: Solange das Ganze nicht komplett gekl\u00e4rt ist, kann der Unterschied in den Abgaswerten als unabsichtlich oder aber als absichtlich, mit voller Schuld des Herstellers (oder einer Gruppe von Personen, die f\u00fcr den Code verantwortlich sind) gesehen werden. Kann es sich um einen Fehler handeln? Klar, auch das ist absolut m\u00f6glich. In einem Threatpost-Artikel haben wir die Geschichte verschiedener Programmierfehler beschrieben, und wie diese f\u00fcr verschiedene Zwecke genutzt\/missbraucht werden k\u00f6nnen \u2013 inklusive dem Geldverdienen.<\/p>\n<p><strong>D-Link ver\u00f6ffentlichte versehentlich seine eigenen digitalen Zertifikate<\/strong><br>\n<a href=\"https:\/\/threatpost.com\/d-link-accidentally-leaks-private-code-signing-keys\/114727\/\" target=\"_blank\" rel=\"noopener nofollow\">Der Artikel<\/a>. Eine detaillierte Analyse wurde auf der holl\u00e4ndischen Webseite Tweakers.net ver\u00f6ffentlicht \u2013 hier die <a href=\"https:\/\/translate.google.com\/translate?act=url&amp;depth=1&amp;hl=nl&amp;ie=UTF8&amp;nv=1&amp;prev=_t&amp;rurl=translate.google.com&amp;sl=nl&amp;tl=en&amp;u=http:\/\/tweakers.net\/nieuws\/105137\/d-link-blundert-met-vrijgeven-privesleutels-van-certificaten.html\" target=\"_blank\" rel=\"noopener nofollow\">Google-\u00dcbersetzung<\/a>.<\/p>\n<p>Stellen Sie sich vor, Sie produzieren verschiedene Netzwerkger\u00e4te, von Routern bis zu \u00dcberwachungskameras. Diese Ger\u00e4te bekommen von Ihnen eine Firmware, Treiber, Software, Firmware-Updates, Driver-Updates usw. Und all das ist auf einem geheimen Server in einem \u201eArbeits\u201c-Ordner gespeichert. Alles wird nach Zeitplan aktualisiert, verteilt, auf die Update-Server hochgeladen, dann werden die Updates gekennzeichnet und schlie\u00dflich bekommen die Anwender ihre Updates. Das l\u00e4uft ganz einfach, richtig?<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">D-Link Accidentally Leaks Private Code-Signing Keys \u2013 <a href=\"http:\/\/t.co\/0mmP6Mm5wv\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/0mmP6Mm5wv<\/a><\/p>\n<p>\u2014 Threatpost (@threatpost) <a href=\"https:\/\/twitter.com\/threatpost\/status\/644879493614698496?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 18, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Man muss nicht extra betonen, dass niemand die ganze Hardware manuell verwalten kann, das ist der Job von Skripten. Wir haben einen neuen Code, lassen eine .bat-Datei laufen (ein Shell-Skript oder Python oder etwas anderes), dann wird der Code auf die entsprechenden Ordner verteilt, alles wird archiviert \u2013 und jeder ist gl\u00fccklich. Und dann kommt jemand, der beschlie\u00dft, das Skript radikal zu verbessern. Er testet es ein paarmal und freut sich \u00fcber das Ergebnis. Doch er hat einen Fehler \u00fcbersehen. Nur eine Code-Zeile, die daf\u00fcr zust\u00e4ndig ist, den passenden Update-Ordner und die richtigen Update-Dateien auszuw\u00e4hlen, und in der ein kleiner Bindestrich oder eine Klammer fehlt \u2013 und schon werden zu viele Daten \u00f6ffentlich gemacht und an zahllose Anwender geschickt.<\/p>\n<p>Nun ja, die Geschichte hat sich vielleicht nicht ganz genau so abgespielt. Aber zumindest wissen wir folgendes: Ein vorsichtiger Nutzer, der gerade das Firmware-Update f\u00fcr seine D-Link-Kamera heruntergeladen hatte, bemerkte, dass das Archiv private Keys zur Software des Herstellers enthielt. In dem Archiv waren einige Zertifikate zu finden. Manche veraltet, aber auch eines, das erst am 3. September auslief \u2013 gar nicht so lange her.<\/p>\n<p>Doch vor diesem Zeitpunkt war der Key bereits f\u00fcr <strong>sechs Monate<\/strong> \u00f6ffentlich und h\u00e4tte zum Signieren jeder Software verwendet werden k\u00f6nnen \u2013 nat\u00fcrlich auch f\u00fcr Schadprogramme. Das Ganze war ein offensichtlicher Fehler, besch\u00e4mend und gef\u00e4hrlich. Wir leben in einer Zeit, in der eine Reihe von 512 Zahlen alles M\u00f6gliche enthalten kann: einen Schl\u00fcssel, mit dem Millionen Computer infiziert werden k\u00f6nnen, einen Haufen Geld in virtueller W\u00e4hrung oder den Zugriffscode auf geheime Informationen. Doch gleichzeitig sind 512 Byte nur eine Handvoll Sand im Meer Ihrer Festplatte und k\u00f6nnen schnell an die \u00d6ffentlichkeit gelangen. Die einzige Hoffnung ist, dass niemand den Fehler bemerkt hat \u2013 was oft genug der Fall ist. Doch manchmal entdeckt jemand so einen Fehler, doch bisher wurde kein Schadprogramm entdeckt, das die versehentlich ver\u00f6ffentlichten Keys genutzt h\u00e4tte.<\/p>\n<p><strong>XcodeGhost \u2013 Lesezeichen in Apples IDE<\/strong><br>\n<a href=\"https:\/\/threatpost.com\/xcodeghost-malware-stirring-up-more-trouble\/114778\/\" target=\"_blank\" rel=\"noopener nofollow\">Der Artikel<\/a>. Die <a href=\"http:\/\/researchcenter.paloaltonetworks.com\/2015\/09\/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store\/#appendix\" target=\"_blank\" rel=\"noopener nofollow\">Forschungsarbeit<\/a> von Palo Alto. Die <a href=\"http:\/\/www.macrumors.com\/2015\/09\/24\/xcodeghost-top-25-apps-apple-list\/\" target=\"_blank\" rel=\"noopener nofollow\">Liste der betroffenen Apps<\/a>. Die offizielle <a href=\"http:\/\/www.apple.com\/cn\/xcodeghost\/\" target=\"_blank\" rel=\"noopener nofollow\">Meldung<\/a> von Apple (leider nur auf Chinesisch).<\/p>\n<p>Stellen Sie sich vor, sie w\u00e4ren ein chinesischer iOS-App-Entwickler. Da gibt es nichts Ungew\u00f6hnliches: Developer Kits und Tools sind f\u00fcr die Entwickler in allen L\u00e4ndern die gleichen. Doch es gibt geographische Eigenheiten. Sagen wir einmal, Sie kaufen einen brandneuen Mac, installieren das Xcode-Framework und beginnen zu programmieren. Das ist ganz gut, nur etwas passt nicht: Wenn Sie das kostenlose Xcode-Framework von der offiziellen Apple-Webseite nehmen, wird es im Schneckentempo heruntergeladen \u2013 dank der chinesischen Firewall. Schneller geht es, wenn Sie es von einer lokalen Webseite herunterladen \u2013 macht ja keinen Unterschied und es ist ja sowieso kostenlos.<\/p>\n<p>Doch dann enthalten <em>ganz pl\u00f6tzlich<\/em> einige Apps sch\u00e4dliche Injektionen im Code, die (mindestens) Daten an einen entfernten C&amp;C-Server schicken. Im schlimmsten Fall akzeptiert das Ger\u00e4t sogar Kommandos von diesem Server, die iOS-Sicherheitsl\u00fccken ausnutzen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/09\/06133823\/security-week-39-FB.jpg\" alt=\"\" width=\"1600\" height=\"1600\"><\/p>\n<p><em>Der Injektions-Code ist in der <\/em><a href=\"http:\/\/researchcenter.paloaltonetworks.com\/2015\/09\/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store\/#appendix\" target=\"_blank\" rel=\"noopener nofollow\">Forschungsarbeit<\/a><em> von Palo Alto zu finden.<\/em><\/p>\n<p>Und dann stellt sich heraus, dass der sch\u00e4dliche Code bereits in den lokalen Versionen von Xcode enthalten war und mehrere Versionen davon betroffen sind. Das bedeutet, dass jemand diesen Code absichtlich in die Programmierumgebung eingef\u00fcgt hat. Und es wird noch schlimmer: Nicht nur geht es bei den infizierten Apps um beliebte Programme wie WeChat und die lokale Angry-Birds-Version, sondern vor allem auch darum, dass der sch\u00e4dliche Code durch die App-Store-Pr\u00fcfung gekommen ist. Nat\u00fcrlich wurden mittlerweile alle infizierten Apps entfernt und die Code-Injektion selbst ist durch die C&amp;C-Domain-Namen recht einfach zu finden (diese wurden ebenfalls blockiert). Doch ohne vorhergehendes Wissen ist die Injektion kaum zu entdecken: Sie wurde recht elegant in den Standard-Libraries von Apple versteckt, die in 99,9 Prozent aller Apps verwendet werden.<\/p>\n<p>http:\/\/twitter.com\/kaspersky\/status\/646689631333949440\/photo\/1<\/p>\n<p>Aber es gibt noch etwas Kurioses: <em>The Intercept<\/em>, eine Webseite, die darauf spezialisiert ist, geheime Daten in den Snowden-Dokumenten zu entschl\u00fcsseln, <a href=\"https:\/\/theintercept.com\/2015\/09\/22\/apples-app-store-infected-type-malware-cia-developed\/\" target=\"_blank\" rel=\"noopener nofollow\">berichtet<\/a>, dass die Methode, die XcodeGhost zum infiltrieren von Apple-Ger\u00e4ten verwendet, der in geheimen Regierungspl\u00e4nen beschriebenen Methode \u00e4hnelt. Die Reporter sagen, sie h\u00e4tten diese Information bereits im vergangenen <a href=\"https:\/\/theintercept.com\/2015\/03\/10\/ispy-cia-campaign-steal-apples-secrets\/\" target=\"_blank\" rel=\"noopener nofollow\">M\u00e4rz<\/a> ver\u00f6ffentlicht und geben damit ein bisschen an. Nun, wir antworten darauf, dass wir das schon vor den Ver\u00f6ffentlichungen von Edward Snowden bemerkt haben. So haben wir ein <a href=\"https:\/\/www.kaspersky.com\/news?id=207575885\" target=\"_blank\" rel=\"noopener nofollow\">Schadprogramm<\/a> entdeckt, das Delphis IDE infizierte und sch\u00e4dlichen Code in alle kompilierten Apps einf\u00fcgte. Das ist eine offensichtliche Methode. Wenn man allerdings dar\u00fcber Bescheid wei\u00df, kann man das Problem einfach wieder loswerden. Man muss nur die Integrit\u00e4t des Entwicklungs-Tools mit dessen Master-Version vergleichen. Zudem haben wir noch einen unglaublich simplen Tipp: Niemals Software von fragw\u00fcrdigen Quellen herunterladen. Das klingt komisch, wenn man von erfahrenden Software-Entwicklern spricht. Machen die wirklich solche Fehler? Wie man sieht, kommt das vor.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">More <a href=\"https:\/\/twitter.com\/hashtag\/XcodeGhost?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#XcodeGhost<\/a> news: Potentially thousands of iOS apps infected, modded versions date back to March: <a href=\"http:\/\/t.co\/XaHXORV07B\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/XaHXORV07B<\/a><\/p>\n<p>\u2014 Threatpost (@threatpost) <a href=\"https:\/\/twitter.com\/threatpost\/status\/646754119693303808?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 23, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Fehlerh\u00e4ndler will eine Million f\u00fcr Fehler in iOS9 zahlen<\/strong><br>\n<a href=\"https:\/\/threatpost.com\/zerodium-hosts-million-dollar-ios-9-bug-bounty\/114736\/\" target=\"_blank\" rel=\"noopener nofollow\">Der Artikel<\/a>.<\/p>\n<p>Es gibt eine <a href=\"https:\/\/en.wikipedia.org\/wiki\/IOS_jailbreaking#History_of_iOS_jailbreaking_tools\" target=\"_blank\" rel=\"noopener nofollow\">interessante Tabelle<\/a> zur Geschichte des Jailbreaking verschiedener iOS-Ger\u00e4te. Anders als bei Android oder Desktop-Betriebssystemen, bei denen die holistische Kontrolle \u00fcber das System standardm\u00e4\u00dfig eingeschaltet und damit leicht ausnutzbar ist, bieten Apples Smartphones, Tablets (und nun auch TV-Set-Top-Boxen und Smart Watches) grundlegend beschr\u00e4nkte Nutzerrechte. Man wei\u00df seit Jahren, dass der Hersteller versucht, seine Ger\u00e4te von einer Seite <span style=\"text-decoration: line-through\">einzuz\u00e4unen<\/span> zu sch\u00fctzen und die Rooting-Fans versuchen, diesen Schutz von der anderen Seite zu umgehen. Irgendwann werden alle Apple-Ger\u00e4te mit Jailbreak freigeschaltet (mit Ausnahme von Apple TV v3 und \u2013 zumindest bisher \u2013 der Apple Watch) \u2013 das ist nur eine Frage der Zeit, meist von einem Tag bis zu sechs Monaten nach Ver\u00f6ffentlichung eines neuen Produkts.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">.<a href=\"https:\/\/twitter.com\/Zerodium?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@Zerodium<\/a> Hosts Million-Dollar iOS 9 Bug Bounty \u2013 <a href=\"http:\/\/t.co\/tQ9Evs3iTi\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/tQ9Evs3iTi<\/a><\/p>\n<p>\u2014 Threatpost (@threatpost) <a href=\"https:\/\/twitter.com\/threatpost\/status\/645966156923277313?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 21, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Auch das neueste iOS 9 wurde mit Jailbreak freigeschaltet, und gleichzeitig aber auch nicht so richtig. Es wurde nicht <em>vollst\u00e4ndig<\/em> jailbroken.\u00a0 Darum \u201ek\u00fcmmert sich\u201c nun Zerodium, die bereits eine Belohnung von einer Million Dollar f\u00fcr Methoden zum Missbrauch von iOS9 ausgeschrieben haben, vorausgesetzt:<br>\n\u2014 der Exploit ist remote (so dass er automatisch startet, wenn ein Anwender eine speziell erstellte Webseite \u00f6ffnet oder eine sch\u00e4dliche SMS oder MMS liest)<br>\n\u2014 der Exploit erlaubt das nachladen beliebiger Apps (wie Cydia)<br>\n\u2014 der Exploit ist hartn\u00e4ckig genug, auch nach einem Reboot zu funktionieren<br>\n\u2014 der Exploit ist \u201ezuverl\u00e4ssig, diskret und ben\u00f6tigt keine Aktion durch den Anwender\u201c<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2020\/06\/30170704\/security-week-39-money.jpeg<\/p>\n<p>Diese Liste zeigt, dass Zerodium die insgesamt ausgelobten drei Millionen Dollar nicht ausgeben m\u00f6chte, um einfach nur Jailbreak-Fans zu befriedigen. Chaouki Bekrar, Gr\u00fcnder von Zerodium, gr\u00fcndete urspr\u00fcnglich auch VUPEN, spezialisiert auf den Verkauf von Sicherheitsl\u00fccken und Exploits an staatliche Stellen. Das ist ein Graubereich der IT-Sicherheitsbranche, sowohl aus rechtlicher als auch aus moralischer Sicht, denn dabei verurteilen die guten Jungs die b\u00f6sen Jungs mit genau den Tools der b\u00f6sen Jungs. Und wenn VUPEN auch nicht im Fehlerhandel herumspielt (zumindest nicht offiziell), so wurde Zerodium genau daf\u00fcr ins Leben gerufen. Das bedeutet, dass irgendjemand fr\u00fcher oder sp\u00e4ter den Jackpot bekommen k\u00f6nnte, irgendjemand k\u00f6nnte Ger\u00e4te mit dem gekauften Exploit kompromittieren und keine Details zur Sicherheitsl\u00fccke ver\u00f6ffentlichen (warum sonst sollte man das Geld daf\u00fcr bezahlen?). Aber wir <a href=\"https:\/\/threatpost.ru\/400-gbajt-konfidentsialnyh-dannyh-utekli-iz-hacking-team\/9577\/\" target=\"_blank\" rel=\"noopener nofollow\">wissen bereits<\/a>, was passiert, wenn Fehlerh\u00e4ndler selbst gehackt werden (erinnern Sie sich an das Hacking Team, dem eine Reihe von Zero-Day-L\u00fccken gestohlen wurden, wobei auch eine Menge komischer Gesch\u00e4fte zwischen der Firma und nah\u00f6stlichen Staaten aufgedeckt wurden).<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Hackers Release Hacking Team Internal Documents After Breach \u2013 <a href=\"http:\/\/t.co\/NIsqv96Ctc\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/NIsqv96Ctc<\/a><\/p>\n<p>\u2014 Threatpost (@threatpost) <a href=\"https:\/\/twitter.com\/threatpost\/status\/618060749425012736?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">July 6, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die Moral hier ist, dass jemand, der sein Smartphone jailbreaken m\u00f6chte, das nat\u00fcrlich auf jeden Fall tun kann (oder genauer gesagt, eigentlich nicht <em>auf jeden Fall<\/em>). Doch das Ger\u00e4t von jemand anderem, ohne dessen Einverst\u00e4ndnis, zu jailbreaken, ist nicht gut. Und sobald so eine M\u00f6glichkeit entdeckt wird, sollte sie auf jeden Fall durch den Hersteller \u00f6ffentlich gemacht und gepatcht werden.<\/p>\n<p><strong>Was sonst noch passiert ist:<\/strong><br>\nAdobe hat <a href=\"https:\/\/threatpost.ru\/adobe-patches-23-critical-vulnerabilities-in-flash-player\/11999\/\" target=\"_blank\" rel=\"noopener nofollow\">23 Sicherheitsl\u00fccken im Flash Player gepatcht<\/a>. 30 weitere Fehler wurden bereits im August <a href=\"https:\/\/threatpost.ru\/huge-flash-update-patches-more-than-30-vulnerabilities\/10804\/\" target=\"_blank\" rel=\"noopener nofollow\">gepatcht<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Huge Flash Update Patches More Than 30 Vulnerabilities \u2013 <a href=\"http:\/\/t.co\/45seXMk5qT\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/45seXMk5qT<\/a><\/p>\n<p>\u2014 Threatpost (@threatpost) <a href=\"https:\/\/twitter.com\/threatpost\/status\/631160803790573568?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 11, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>OPM berichtet von schlimmeren Konsequenzen in Folge eines massiven Einbruchs in diesem Jahr: 5,6 Millionen Fingerabdr\u00fccke von Regierungsangestellten wurden <a href=\"https:\/\/threatpost.com\/5-6-million-fingerprints-stolen-in-opm-hack\/114784\/\" target=\"_blank\" rel=\"noopener nofollow\">kompromittiert<\/a>. Dazu muss man sagen, dass ein Finger nicht so einfach ausgetauscht werden kann wie ein kompromittiertes Passwort, und die Zahl der m\u00f6glichen Kombinationen ist recht begrenzt. Heute kann da nicht viel gemacht werden, aber wir wissen nicht, was zuk\u00fcnftige Technologien alles schaffen werden.<\/p>\n<p>https:\/\/twitter.com\/jpluscplusm\/status\/646811379312279552?ref_src=twsrc%5Etfw<\/p>\n<p><strong>Oldies:<\/strong><br>\n\u201ePrintScreen\u201c<\/p>\n<p>Ein sehr gef\u00e4hrlicher Virus, der 512 Byte (einen Sektor) belegt. Er infiziert den Boot-Sektor von Disketten und Festplatten, wenn diese gelesen werden (int 13h). Der alte Boot-Sektor schreibt an der Adresse 1\/0\/3 (Seite\/Spur\/Sektor) auf einer Floppy-Disk und an der Adresse 3\/1\/13 auf einer Festplatte. Er kann einen der FAT-Sektoren oder gespeicherte Daten korrumpieren (je nach Kapazit\u00e4t des Laufwerks). Wenn eine Festplatte infiziert wird, bedeutet das, dass deren Boot-Sektor an der Adresse 0\/1\/1 gespeichert wird (was zeigt, dass der Entwickler des Virus nicht sehr erfahren ist).<\/p>\n<p>Er bef\u00e4llt auch int 13h. Dem Listing des Virus bei der Infizierung des Laufwerks mit einer Wahrscheinlichkeit von 1\/256 (abh\u00e4ngig vom Wert seines internen Z\u00e4hlers) nach zu schlie\u00dfen, sollte der Virus int 5 (Print Screen) aufrufen, doch durch einen Fehler wird der neue Wert des Z\u00e4hlers nicht gespeichert.<\/p>\n<p><em>Zitat aus \u201eMS-DOS-Computerviren\u201c von Eugene Kaspersky, 1992, Seite 102.<\/em><\/p>\n<p><em>Hinweis: Diese Kolumne spiegelt die pers\u00f6nliche Meinung des Autors wider. Diese kann, muss aber nicht mit der Position von Kaspersky Lab \u00fcbereinstimmen. Das ist Gl\u00fccksache.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der R\u00fcckblick auf die Sicherheitswoche: Von XcodeGhost \u00fcber die versehentliche Ver\u00f6ffentlichung von D-Link-Zertifikaten bis zu einer hohen Belohnung f\u00fcr Fehler in iOS9.<\/p>\n","protected":false},"author":53,"featured_media":6210,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[109,1673,721,93,63,1672,382,1598,1669,764],"class_list":{"0":"post-6209","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-apple","10":"tag-belohnung","11":"tag-d-link","12":"tag-diebstahl","13":"tag-hacker","14":"tag-ios-9","15":"tag-sicherheitslucken","16":"tag-sicherheitswoche","17":"tag-xcodeghost","18":"tag-zertifikate"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/security-week-39\/6209\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/security-week-39\/6077\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/security-week-39\/6280\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/security-week-39\/6249\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/security-week-39\/6961\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/security-week-39\/6672\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/security-week-39\/9097\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/security-week-39\/10016\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/security-week-39\/9056\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/security-week-39\/9097\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/security-week-39\/10016\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/security-week-39\/10016\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apple\/","name":"Apple"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6209","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/53"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=6209"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6209\/revisions"}],"predecessor-version":[{"id":24358,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6209\/revisions\/24358"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/6210"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=6209"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=6209"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=6209"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}