Gibt es „Super-Verschlüsselungstrojaner“?

Verschlüsselungstrojaner, die mit technisch ausgeklügelten Strategien still und leise über Wochen hinweg sogar Backups unbrauchbar machen, mögen ein reizvolles Horror-Szenario sein, aber es scheint sie nicht zu geben, und es ist zweifelhaft, ob solche Strategien wirklich erfolgreich wären.


Trojaner, die Dateien auf einem befallenen PC verschlüsseln und erst gegen Zahlung eines „Lösegelds“ wieder entschlüsseln, sogenannte Verschlüsselungstrojaner (Englisch Ransomware), waren 2016 ein Dauerbrenner-Thema und eine rasch wachsende Gefahr.

Neben Massnahmen, die verhindern sollen, dass man sich überhaupt so etwas einfängt, werden immer wieder Backups als das Mittel der Wahl empfohlen, damit man seine Dateien und den PC als ganzes nach einer solchen Verschlüsselungs-Attacke wieder restaurieren kann (z.B. hier und hier): Leute, macht endlich Backups, in regelmässigen Abständen, und vergesst nicht, ab und zu mal nachzuschauen, ob’s auch wirklich klappt mit dem Sichern.

Ich habe allerdings schon Spekulationen angetroffen, die von einer Art „Super-Verschlüsselungs-Trojaner“ handeln, denen selbst mit Backups kaum mehr beizukommen sei. Ich habe mal recherchiert, ob da was dran ist:

Die Geschichte geht so, dass der Trojaner über Wochen hinweg still und leise Dateien verschlüsselt. Damit man hiervon nichts merkt, werden während dieser Phase Dateien bei einem Gebrauch quasi „fliegend“ entschlüsselt, sind also zunächst noch zugreifbar.

Backup-Programmen hingegen werden die Dateien verschlüsselt präsentiert, so dass im Laufe der Zeit immer mehr Backups wertlos werden und man am Schluss nur noch unverschlüsselte Datei-Versionen darin findet, die ziemlich alt sind, oder noch schlimmer gar keine brauchbaren mehr, falls man nur wenige „Generationen“ von Backups zeitlich zurück aufbewahrt.

Jetzt erst schlägt die grosse Stunde des Trojaners: Er löscht sämtliche Informationen vom System, die es für das Entschlüsseln braucht, womit alle Dateien auf einen Schlag unlesbar werden, und meldet sich dem Besitzer des PCs mit seiner Lösegeldforderung.

Über ein solches Szenario macht sich z.B. hier jemand Sorgen.

Gibt es tatsächlich Trojaner, die mit solch fiesen Tricks sogar Backups aushebeln können? Ich konnte trotz recht ausführlicher Suche keinen Hinweis darauf finden. Und das überrascht mich nicht, weil vieles einfach gegen solche „Super-Trojaner“ spricht:

Es ist ziemlich sicher sehr anspruchsvoll und damit zeitraubend und kostspielig, einen solcherart „transparent“ verschlüsselnden Trojaner zu entwickeln. Warum sollte jemand viel Geld ausgeben für so etwas, wo doch mehr oder weniger bewiesen ist, dass die meisten Leute gar keine Backups haben und man darum schon mit einem primitiv gestrickten Trojaner massig Kohle machen kann?

Wenn schon Geld investieren, dann viel eher in bessere und erfolgreichere Infektionsmethoden!

Zudem bin ich mir überhaupt nicht sicher, dass die Strategie aufgeht: Ok, auf der einen Seite wird man ein paar Leute mehr dazu bringen, Lösegeld zu bezahlen, nachdem sie mit Schrecken festgestellt haben, dass sogar ihre Backups wertlos sind, aber auf der anderen Seite steigt die Wahrscheinlichkeit entdeckt zu werden signifikant an, wenn der Trojaner wochenlang aktiv ist auf einem System.

Sogar die Gefahr, dass sich ein zweiter Trojaner versucht einzunisten über dieselbe Sicherheitslücke, welche dem ersten den Zutritt ermöglichte, könnte zum Problem werden!

Auch die Tatsache, dass lange Zeit die zum Entschlüsseln nötigen Informationen im System vorhanden sind, ist nicht unkritisch für den Trojaner: Man könnte ihn überraschen und ihm diese Informationen entreissen.

Also liebe Leute, Hat alles eh keinen Sinn mit Hinweis auf Super-Verschlüsselungstrojaner zählt aus Ausrede nicht: Macht immer schön fleissig Eure Backups!

Advertisements

Sichere Passwörter ohne Passwort-Speicher?

Für Leute, welche Passwörter niemandem zur Aufbewahrung anvertrauen möchten, wie es bei Passwort-Managern wie 1Password, LastPass oder KeePass nötig ist, gibt es einen wenig bekannten alternativen Ansatz, der allerdings auch so seine Tücken hat.


Macht man mit Passwort-Sicherheit ernst und verwendet für jedes Login jeweils ein eigenes, zufälliges und kryptisches Passwort, kann man sich alle diese Passwörter natürlich nicht mehr merken und ist darum auf technische Hilfe angewiesen.

Bekannte Tools hierfür sind z.B. 1Password, LastPass oder als Open-Source-Variante KeePass. Sie arbeiten alle nach demselben Grundprinzip: Sie verwalten Passwörter und zugehörige Informationen in einem Passwort-Speicher, der verschlüsselt und durch ein Master-Passwort geschützt wird.

Wer ein bisschen paranoid ist, oder vielleicht einfach nur bereits gebrannt durch irgendeine Sicherheitspanne, kann hier ins Grübeln kommen: Was passiert, wenn dieser Passwort-Speicher, aus welchen Gründen auch immer, verloren geht? Oder, was eine noch schlimmere Vorstellung ist, in die Hände eines Hackers gelangt, der dann alle Zeit der Welt hat, um mein Master-Passwort zu knacken?

Genau an diesem Punkt setzt eine andere Sorte von Passwort-Tools an, die viel weniger bekannt ist, mit einer auf den ersten Blick fast unglaublichen Behauptung: Sichere Passwörter ohne Passwort-Speicher. Und wenn es keinen Speicher gibt, kann dieser auch nicht verloren gehen oder geklaut werden – Problem gelöst!

Der „Trick“, der das möglich macht, besteht darin, Passwörter zu generieren, und zwar bei jedem Gebrauch. (Das ist also nicht zu verwechseln mit Funktionen in anderen Passwort-Tools, welche einem ein zufälliges und komplexes Passwort generieren, damit man sich nicht selbst etwas aus den Fingern saugen muss, dieses Passwort dann aber ganz normal speichern, weil bei einer erneuten Anwendung der Funktion ein komplett anderes zufälliges Passwort herauskommen würde.)

Konkret geht das so: Steht eine Anmeldung an, gibt man in einem solchen Tool zwei Dinge ein: Erstens ein konstantes d.h. immer gleiches Master-Passwort und zweitens eine spezifische Kennzeichnung für das jeweilige Login, z.B. GMail, wenn man sich bei GMail anmelden will, oder Bank, wenn man sich für’s Telebanking anmeldet.

Das Tool berechnet anschliessend aus diesen beiden Angaben ein sicheres Passwort, und zwar immer das gleiche Passwort für dieselben Angaben.

passwordgenerator

Eine kleine Demonstration, wie man sich eine solche Passwort-„Berechnung“ in etwa vorstellen kann, auf eine natürlich untaugliche und unsichere Weise, aber dafür ganz einfach verständlich:

  • Nehme die ASCII-Codes der ersten 3 Zeichen des Master-Passworts: Aus Alles total sicher hier wird 65 108 108
  • Nehme die ASCII-Codes der ersten 3 Zeichen der Login-Kennzeichnung: Aus GMail wird 71 77 97
  • Hänge beides zusammen: Das Passwort ist 65 108 108 71 77 97

Für diesen Ansatz wird im Englischen meistens der Begriff deterministic password generator verwendet.

Eine übliche Implementation ist eine einzelne Seite irgendwo im Web, mit einem Formular für die Eingabe von Master-Passwort und Login-Kennzeichnung, wobei die ganze Berechnung mit Hilfe von JavaScript erfolgt, welches ebenfalls in besagter Seite enthalten ist und somit die Eingaben nicht an irgendeinen Server geschickt werden müssen, sondern den eigenen Web-Browser nicht verlassen.

Eine solche Seite kann man auch problemlos kopieren und auf einem Server hosten, den man selbst unter Kontrolle hat, womit die Sache nochmals sicherer wird.

Beispiele findet man hier, hier und hier.

Als ich diesen Ansatz zum ersten Mal antraf, war ich im ersten Moment ziemlich begeistert davon. Als ich allerdings sah, wie alt dieser Ansatz schon ist, kamen mir Zweifel: Wenn das so toll ist, warum haben sich dann die Passwort-Speicher-Verwalter fast auf ganzer Linie durchgesetzt?

Und tatsächlich, der Ansatz hat gravierende Mängel, wie z.B. hier auf Englisch ziemlich ausführlich erläutert wird. Ein paar Stichworte hierzu:

Taugt ein generiertes Passwort aus irgendeinem Grunde nicht, weil es zum Beispiel zu lang ist oder für das jeweiligen Login unzulässige Zeichen enthält, hat man ein Problem.

Wird man gezwungen, ein Passwort zu erneuern, hat man ebenfalls ein Problem.

Bekommt jemand meine Master-Passwort in die Finger, weiss, welchen Generator ich verwende, und sind die Bezeichnungen für meine Logins leicht zu erraten, kann dieser Jemand alle meine Passwörter generieren, sogar für Konten, die ich erst in Zukunft anlegen werde! Das ist also wesentlich unsicherer als bei der Konkurrenz, wo es neben meinem Master-Passwort noch meinen Passwort-Speicher braucht, um Zugriff auf alle meine Logins zu bekommen.

Zudem hilft mir ein solches Tool kein bisschen dabei, den Überblick zu behalten, wo ich überall ein Konto habe, und ich kann auch keine User-Namen vermerken für Orte, wo nicht die Mail-Adresse verlangt wird.

Einige dieser Probleme bekommt man in den Griff, wenn man mit Zusatzinformationen arbeitet. Beim dritten Passwort für GMail, nach zwei Wechseln also, kann ich z.B. GMail 3 als Login-Bezeichnung verwenden. (Die Arbeitsweise dieser Generatoren stellt sicher, dass schon bei nur 1 geänderten Zeichen ein ganz anderes Passwort herauskommt.)

Einige Generatoren kann man auch beeinflussen und sich z.B. eine bestimmte Länge oder das Fehlen bestimmter Zeichengruppen beim Passwort wünschen.

Das Problem ist nur: Hierbei droht eine so grosse Informationsmenge zusammenzukommen, dass man sie nicht zuverlässig im Kopf behalten kann. Was macht man dann? Man schreibt sie in einen Passwort-Zusatz-Informations-Speicher. Und damit geht mehr oder weniger der eine grosse Vorteil des Systems verloren, nämlich der, auf einen Speicher verzichten zu können!

Damit kommt für mich persönlich ein breiter Einsatz eines solchen Generators nicht in Frage. Ich könnte mir aber einen eingeschränkten Einsatz vorstellen für Passwörter, die ich im Notfall sogar in einem Internet-Café am Ende der Welt einsetzbar haben möchte, wo ich keinen einfachen Zugang bekomme auf meinen Passwort-Speicher bzw. dessen Verwaltungs-Programm.

Werbung tötet Browser

Wenn Sie mit Werbung kämpfen auf Ihrem Smartphone, die Sie so häufig automatisch weiterleitet, dass ein vernünftiges Browsen unmöglich wird, versuchen Sie es mal, bis die Werbe-Industrie solche Probleme auf die Reihe kriegt, mit dem Ghostery Privacy Browser.


Ich lese regelmässig 2 Zeitungen auf meinem Android-Smartphone. In der letzten Zeit wurde dabei ein Problem stetig schlimmer: Immer wieder wurde ich ohne mein Zutun beim Aufruf von Seiten der Zeitungen durch Werbung sogleich umgeleitet zu anderen Websites oder in den Google Play Store.

Zurück im Browser für eine Rückkehr auf die Seite, um sie trotzdem zu lesen, war meistens nicht möglich, weil irgendwelche Scripts oder „Tricks“ dies verhinderten: Die Werbung hatte effektiv den Browser-Tab gekillt. Es blieb nur, den Tab zu schliessen, die Seite nochmals aufzurufen und zu beten, der Werbe-Zuteilungs-Algorithmus möge mir jetzt eine andere, weniger tödliche Werbung einblenden.

Ich schätze, dass ich an besonders schlimmen Tagen bei jeder 4. oder 5. Seite zunächst irgendwo anders hin „entführt“ wurde und dann typischerweise 1 oder 2 neue Versuche brauchte, um die Seite endlich lesbar angezeigt zu bekommen.

Das konnte so schlicht nicht weiter gehen.

Exkurs 1: Was hat das mit Sicherheit zu tun? Nun, solche weiterleitende Werbung ist in gewissen Fällen nicht nur nervig, sondern echt gefährlich. Vielleicht im Moment noch nicht unbedingt auf Smartphones, jedoch umso mehr auf PCs: Es gibt immer wieder Fälle von sogenanntem Malvertising, wo Werbenetzwerke dazu missbraucht werden, PCs mit Malware zu infizieren.

Besonders perfide daran: Selbst hoch-seriöse Websites sind jeweils betroffen, weil die Werbung nicht von den Servern der Websites kommt, sondern von irgendwelchen externen Servern. Das „Böse“ kommt durch die Hintertür.

Exkurs 2: Werbung alleine, d.h. ohne solche zerstörerischen Weiterleitungs-Mätzchen, habe ich eine ganze Weile erduldet auf meinem Smartphone, und wäre auch bereit, das weiterhin zu tun. Mir ist bewusst, wie schwierig es ist, im Internet mit Informationen Geld zu verdienen, und wie wichtig darum im Moment Werbung ist für viele Anbieter.

Aber wenn ich deswegen meine Zeitungen nicht mehr vernünftig lesen kann, und es vielleicht nur eine Frage der Zeit ist, bis die erste Android-Lücke auftaucht, mit deren Hilfe man Malware vollautomatisch installieren kann, ist meine Schmerzgrenze erreicht.

Ich habe darum den Opera Browser für Android installiert, um dessen eingebauten Werbeblocker zu testen. Resultat: Bei eingeschaltetem Blocker lädt eine der beiden Zeitungen überhaupt nicht mehr. Mir ist unklar, ob diese mit einem Werbeblocker-Blocker arbeitet oder einfach nur schlecht programmiert ist, aber das ist eigentlich egal, wenn mit der Werbung gleich der ganze Text auch weg ist!

Gelandet bin ich schliesslich beim Ghostery Privacy Browser. Die Leute von Ghostery scheinen ihr Handwerk zu beherrschen: Das Teil funktioniert, wie es soll, und dem Zähler zuzuschauen, der einem beim Laden einer Seite sagt, wieviele Anzeigen und Tracker er unterdessen blockiert hat, ist für ein Werbe-Opfer wie mich die reinste Wohltat.

Neues Blog, neues Glück

Vor etwas mehr als 8 Jahren habe ich mit dem Megos .NET-Weblog begonnen, über meine Erfahrungen beim Erlernen von C# und .NET zu schreiben. Wie man unschwer an den letzten veröffentlichten Beiträgen sehen kann, lief es mit diesem Blog in letzter Zeit nicht mehr so gut. Das liegt nicht etwa daran, dass mir die Lust am Schreiben abhanden gekommen wäre, sondern schlicht daran, dass ich immer weniger mit diesen Themen selbst zu tun hatte.

Jetzt aber gibt es zum Glück wieder etwas zu schreiben: Ich bilde mich zum Security-Spezialisten weiter und treffe auf diesem Weg viele interessanter Dinge an, über die es sich zu schreiben lohnt, weil sie auch von allgemeinem Interesse sind. Denn wer ist heute schon nicht irgendwie von Security (bzw. meistens von fehlender Security) betroffen!