Monero und die wilden Schürfer

Monero hat im Moment nicht unbedingt die Schlagzeilen, die man sich als seriöse und ambitionierte Kryptowährung wünschen würde. Aber was soll man machen: Was wirklich gut ist, lässt sich leider oft auch gut missbrauchen.


Die Kryptowährung Monero (offizielle Website , Wikipedia-Eintrag), von der man lange Zeit recht wenig hörte, schafft es in den letzten Wochen und Monaten auffällig oft in die Schlagzeilen.

Da gibt es das Phänomen, dass man den Leuten Trojaner unterjubelt, die eine Kryptowährung „schürfen“, wobei der Erlös an diejenigen Leute geht, welche die Trojaner verteilen und kontrollieren. Dabei geht es praktisch nie um die teuerste und bekannteste Währung Bitcoin, sondern eben häufig um Monero, wie man in diesem Technology-Review-Artikel oder in einem eher technischen Artikel der Sicherheitsfirma ESET nachlesen kann.

Vor relativ kurzer Zeit erst kam der Trick breit zur Anwendung, dass mit Hilfe von JavaScript eine Kryptowährung geschürft wird, während man sich im Browser auf einer entsprechend „ausgestatteten“ Website befindet, wie etwa Wired in diesem Artikel beschreibt. Wieder geht es hauptsächlich um Monero.

Man findet in diese Artikeln meistens nur wenig Information darüber, warum so auffällig oft Monero zum Zuge kommt, wenn es um solcherart fragwürdiges Schürfen geht. Weil mir persönlich Monero als Währung sehr gut gefällt, möchte ich deshalb hier etwas mehr Licht in die Sache bringen:

Zunächst einmal hat Monero als eine der Top-10-Kryptowährungen (aktuelles „Ranking“ jeweils auf coinmarketcap.com) die nötige Verbreitung und die nötige Liquidität, um die ergaunerten oder zumindest erschlichenen Guthaben einfach transferieren oder auszahlen zu können. Der Kurs ist nicht extrem, aber 1 Monero ist mit 60, 70 Euro oder so ordentlich was wert, und der Kurs schwankt längst nicht so wild wie der vergleichbarer Währungen. Und es gibt eine Reihe brauchbarer Programme rund um die Währung.

Zweitens ist Monero von der Technologie her wesentlich „privater“ als die meisten anderen Kryptowährungen: Transaktionen sind kaum nachzuverfolgen, es ist nicht ersichtlich, wer wem wieviel zahlt, und wenn man eine Monero-Adresse kennt, kann man nicht einfach deren „Kontostand“ nachschauen, wie das insbesondere bei Bitcoin möglich ist, wie ich in einem früheren Blog-Eintrag erläutert habe.

Privat ist nicht per se schlecht, sonst hätte man das ebenfalls weitgehend private Bargeld schon längst abgeschafft, kommt aber natürlich den Leuten hinter den beschriebenen „Unternehmungen“ sehr gelegen.

Eine Kryptowährung zu schürfen bedeutet vereinfacht gesagt das erfolgreiche Lösen unheimlich rechenintensiver mathematischer „Rätsel“.

Für die Rätsel, die sich bei Bitcoin stellen, gibt es schon längere Zeit ganz spezielle Hardware, sogenannte Miner, die so viel schneller sind als handelsübliche Computer, bzw. deren CPUs und Grafikprozessoren, dass man ohne gar nicht mehr anzutreten braucht: Die Chance, noch in diesem Jahrtausend erfolgreich einen Bitcoin-Block signieren zu können mit dem Computer, auf dem ich gerade schreibe, stehen schlecht.

Und weil diese Geräte zu kaum etwas anderem zu gebrauchen sind, nicht gerade als „billig“ durchgehen und grosszügig Strom fressen, hat eine starke Konzentration eingesetzt: Die grossen Akteure im Bitcoin-Schürfen betreiben ganze Hallen voll mit solchen Geräten, und zwar an Orten, wo Strom möglichst in beliebigen Mengen günstig zu haben ist – womit Europa schon mal flachfällt.

Und damit kommen wir zu drittens: Die Erfinder von Monero waren der Meinung, dass solche Machtkonzentrationen einer Kryptowährung auf die Dauer nicht guttun, und haben sich ganz gezielt eine Sorte Rätsel ausgedacht, deren Lösung man nur sehr schwer in superschnelle Chips giessen kann.

Das ist nun der Grund, warum bis heute das Schürfen von Monero mit handelsüblicher PC-Hardware rentabel sein kann, dummerweise insbesondere dann natürlich, wenn man andere für sich arbeiten lässt und somit praktischerweise null Hardware-Kosten und ebenso null Strom-Kosten hat!

Und so kommt eben alles zusammen, damit Monero im Moment eine Menge Negativschlagzeilen macht.

Advertisements

Versteckspiele mit JavaScript

Ein kleiner und leicht verständlicher Ausflug in die Welt der JavaScript-Programmierung, um zu zeigen, wie extrem schwierig es ist, „bösartigen“ JavaScript-Code als solchen zu erkennen


Der im Moment wohl häufigste Weg, wie versucht wird, Ihnen Malware unterzujubeln, ist per E-Mail und arbeitet mit einem zweistufigen Verfahren:

Sie bekommen eine Mail mit einem Anhang, der im wesentlichen aus einem kleinen Programm geschrieben in JavaScript besteht. Lassen Sie diesen Code laufen, lädt er die zweite Stufe, das eigentliche Schadprogramm, direkt von irgendwoher aus dem Internet herunter und bringt es zur Ausführung.

Heute gängige Antiviren-Programme versagen mehr oder weniger beim Abwehren der ersten Stufe. Sie sind nur selten in der Lage zu erkennen, dass solcher JavaScript-Code im Prinzip „bösartig“ ist: Kein Alarm, keine Warnung, keine Blockade – der Code rutscht meistens einfach so durch!

Ich möchte Ihnen heute zeigen, warum das so ist.

Nehmen wir an, eine Software soll Ihren Computer davor schützen, dass via JavaScript der Text Hackerangriff! angezeigt wird. Das folgende völlig triviale einzeilige JavaScript-Programm tut genau das und darf also nicht zur Ausführung gelangen:

alert('Hackerangriff!');

Das sieht nach einer leichten Aufgabe aus für unser Schutzprogramm: Kommt der „gefährliche“ Text irgendwo im JavaScript-Code vor, und das hier ja offensichtlich der Fall, dann Ausführung blockieren.

Was ist aber mit folgendem Code, der genauso den fraglichen Text ausgibt, bei dem dieser aber schon nicht mehr einfach so im Programmtext zu finden ist:

alert('Hacker' + 'angriff!');

Wenn Sie nun finden, dass ein paar eingestreute Plus-Zeichen doch wohl für heutige Programme keine unüberwindbare Hürde darstellen, dann sehen wir weiter:

alert('!ffirgnarekcaH'.split('').reverse().join(''));

Sie ahnen vermutlich jetzt, wo das hinführt: JavaScript ist eine vollständige und mächtige Programmiersprache, und es gibt praktisch unendlich viele Möglichkeiten, via Code einen Text zusammenzubauen, und das ist natürlich ein grosses Problem.

Das Thema Künstliche Intelligenz ist zwar momentan in aller Munde, aber Programme, die andere Programme „lesen“ und dann sagen können, was die tun, sind noch in weiter Ferne. Heute gibt es praktisch nur einen generellen Weg, um herauszufinden, was JavaScript-Code tut: Man muss ihn ausführen, und es dürfte klar sein, dass es nicht einfach ist, das auf eine ungefährliche Art zu machen.

Wenn Hacker JavaScript-Code schreiben, der Trojaner auf Ihren Computer auf Ihren Computer laden soll, gehen sie vermutlich meistens so vor, dass sie den Code zunächst ganz normal schreiben, und ihn dann einem Programm übergeben, welches die „Verschleierung“ vollautomatisch erledigt.

Solche Programme nennt man auf Englisch obfuscators. Wie weit das gehen kann, sieht man an der Demo von jjencode. Diese macht aus unserer JavaScript-Zeile in der Originalversion das folgende, vollkommen korrekte JavaScript mit gleicher Funktion:

$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.__+"(\\"+$.$__+$.___+"'\\"+$.__$+$.__$+$.___+$.$_$_+$.$$__+"\\"+$.__$+$.$_$+$._$$+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.$_$_+"\\"+$.__$+$.$_$+$.$$_+"\\"+$.__$+$.$__+$.$$$+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+$.$$$$+$.$$$$+"!'\\"+$.$__+$.___+");"+"\"")())();

Weil dieser Verschleierungs-Vorgang so einfach ist und voll automatisiert in den Mail-Versende-Prozess einbindbar, sind jeweils vom gleichen Trojaner-Downloader Dutzende, wenn nicht Hunderte, von Varianten im Umlauf!

Leere DDoS-Drohungen: Ich hätte da eine Frage

Wenn Ihnen jemand per E-Mail droht, Ihre Website mittels einer DDoS-Attacke aus den Internet zu pusten, ist das zum Glück bis jetzt allermeistens nur heisse Luft. Aber wieso eigentlich?


Ein Mitarbeiter der Megos hat heute eine E-Mail bekommen mit der Drohung, wenn er nicht 1 Bitcoin als Lösegeld bezahle (mittlerweile fast 3000 Euro), werde am Freitag sein Server mittels einer DDoS-Attacke lahmgelegt:

We are the Meridian Collective and we have chosen your website/network as target for our next DDoS attack.

1 - We checked your security system. The system works is very bad
2 - On Friday 16_06_2017_8:00p.m. GMT !!! We begin to attack your network servers and computers
3 - We will produce a powerful DDoS attack - up to 300 Gbps
4 - Your servers will be hacking the database is damaged
5 - All data will be encrypted on computers Crypto-Ransomware
4 - You can stop the attack beginning, if payment 1 bitcoin.
....

Ein bisschen Googeln zeigt recht schnell, dass das schon eine ganze Weile läuft mit solchen Erpressungs-Versuchen und dass es sich dabei allermeistens um leere Drohungen handelt; siehe z.B. Der faulste Hack der Welt oder 100.000 US-Dollar durch leere Drohungen?

Eine weiteren Bericht auf Englisch mit demselben Schluss findet man hier.

Also mal für’s Erste, wenn Sie so etwas erhalten: Ruhe bewahren und abwarten, sehr wahrscheinlich nur heisse Luft, wie Spams sonst auch. Wachsamkeit kann aber natürlich nie schaden.

So weit, so gut. Was mir nun auffiel bei meiner Google-Recherche: Mindestens eine wirklich interessante Frage stellt irgendwie niemand.

Man muss wissen, dass es (leider) ziemlich einfach und günstig ist, einen DDoS-Angriff zu organisieren. Man braucht ihn nämlich nicht mal selbst durchzuführen, weil eine regelrechte Untergrund-Industrie entstanden ist, welche DDoS as a Service anbietet.

Lesen Sie z.B. mal den Bericht Was kostet eine DDoS-Attacke durch und staunen Sie über das breite Angriffs-Dienstleistungs-Angebot und die Discount-Preise. Oder wie wäre es mit DDoS for Five Bucks, wenn Ihnen das erste Angebot immer noch zu teuer ist?

Wieso also beschränken sich die Versender solcher E-Mails auf leere Drohungen?

Daran, dass sie zu dumm sind, um im Darknet 5 Minuten nach solchen Angeboten zu suchen, oder zu ungeschickt, um die für die Bezahlung notwendigen Bitcoins zu organisieren, wird’s kaum liegen!

Gut, einen Server über eine längere Zeit echt lahmzulegen kann ins Geld gehen, das sieht man auf den verlinkten Seiten. Aber warum werden noch nicht mal für eine kurze Stunde relativ bescheidene Attacken gefahren, damit wesentlich mehr Leute Angst bekommen und bezahlen, sondern einfach nur E-Mails mit Phantasie-Behauptungen wie 300-Gigabit-pro-Sekunde-Angriffen in einem unfreiwillig komischen Englisch verschickt?

Ich kenne die Antwort nicht, habe aber eine Vermutung.

Man muss sich anschauen, was mit Leuten passiert ist, die es nicht bei leeren Drohungen belassen haben, sondern wirklich DDoS-Angriffe durchgeführt haben. Die Mitglieder der Hacker-Gruppe DD4BC (DDoS for Bitcoin)? Im Gefängnis. Eine Reihe von Anwendern der Lizard Squad-DDoS-Tools? Im Gefängnis.

Mir scheint, dass man ziemlich gefährlich lebt, wenn man so etwas durchzieht. Und Darknet, Bitcoin, Anonymität usw. in allen Ehren: Oft braucht es nur einen einzigen Fehler, und man hat die Cops im Haus.

Die Abschreckung scheint mir, zumindest bis jetzt, recht gut zu funktionieren.

Bitcoins: Anonym ist anders

Die breite Öffentlichkeit nimmt wohl an, Bitcoins seien tatsächlich anonym, denn warum sonst sollten Kriminelle wie diejenigen hinter dem WannaCry-Erpressungstrojaner diese so gerne verwenden? Die Wirklichkeit ist allerdings um einiges komplexer, und darum auch irgendwie faszinierend.


Zu dem Zeitpunkt, an dem ich diesen Blog-Eintrag schreibe, haben die Hintermänner von WannaCry 50.48263529 Bitcoins eingenommen, die Opfer in der Hoffnung bezahlt haben, ihre Daten wieder entschlüsselt zu bekommen. Dabei sind die Kommastellen kein Unsinn, anders als wenn „Analysten“ Marktanteile von irgendwas auf 4 Jahre hinaus mit Kommastellen bei den Prozentzahlen prognostizieren, wie z.B. hier geschehen: Die Zahl ist exakt.

Wenn Sie sich nun fragen, ob dieser Brunner auf die dunkle Seite der Macht gewechselt ist und bei WannaCry seine Finger im Spiel hat, weil er das so genau weiss (vielleicht rentiert IT-Security ja zu wenig), muss ich Sie enttäuschen: Das ist bei Bitcoins eben so, jeder kann das nachschauen.

Bitcoins überweist man an eine Adresse, die so etwas wie eine Kontonummer für ein Konto mit Bitcoins drauf darstellt. 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw ist ein Beispiel für eine solche Adresse.

Jeder kann für sich eine beliebige Menge solcher Adressen erzeugen und frei entscheiden, wann er welche verwenden will, womit die Analogie zu Kontonummern natürlich nicht perfekt ist, aber sie taugt trotzdem für die Erklärung hier.

Sicherheitsspezialisten haben den Code des WannaCry-Trojaners auseinandergenommen und herausgefunden, dass er mit nur gerade 3 Bitcoin-Adressen für die Zahlungen der Opfer arbeitet; die oben als Beispiel angegebene Adresse ist eine davon.

Nun ist es so, dass bei Bitcoin alle Zahlungen komplett öffentlich dokumentiert sind, in Form der sogenannten Blockchain. Websites wie z.B. blockchain.info erlauben jedermann bequem den Blick auf diese Zahlungen; z.B. sind hier die momentan 105 für die angegebene WannaCry-Adresse. Und wenn man so die Kontostände aller 3 Adressen zusammenzählt, kommt man eben auf exakt 50.48263529 Bitcoins.

Und woher genau kommt nun angesichts dieser geradezu totalen Transparenz die Vorliebe von Kriminellen für Bitcoins, und der Ruf von Bitcoin, eine Art anonyme Währung zu sein?

Weil sich wie bereits erwähnt jedermann selbst seine Bitcoin-Adressen erzeugen kann, erblicken diese zunächst einmal tatsächlich völlig anonym das Licht der Welt: Niemand kann einfach so herausfinden, wem eine bestimmte Adresse gehört. Wer z.B. hinter 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw steckt, ist im Moment völlig unbekannt.

Mit Blick auf die Kontonummern-Analogie ist das Ganze in etwa so, wie wenn alle Banken auf der Welt sämtliche Kontonummern und sämtliche Zahlungen dazwischen veröffentlichen würden, aber nicht die zugehörigen Kontoinhaber.

Hierbei dürfte nun ziemlich schnell klarwerden, wo das Problem betreffend Anonymität liegt: Viele Leute kennen Kontonummern anderer Leute, und viele Leute veröffentlichen sogar Kontonummern und ermöglichen so jedermann die direkte Zuordnung.

Die Megos hätte auf jeden Fall keine Freude an obiger „anonymer“ Veröffentlichung aller Bankdaten, denn unsere Kunden kennen ja unsere Kontonummer und könnten bis auf den Rappen genau nachschauen, wieviel wir einnehmen. Und nein, es würde nicht helfen, jede Einzahlung nach Eingang gleich auf ein anderes Konto zu überweisen, denn das könnten unsere Kunden auch wieder beobachten, und es ist ein ziemlich naheliegender Schluss, dass das neue Konto, welches dabei auftaucht, auch wieder eines der Megos ist.

Im Moment schauen eine Menge Leute auf der ganzen Welt auf die 3 WannaCry-Bitcoin-Adressen und warten auf Versuche, die Bitcoins „abzuheben“. Stand bisher: 0 ausgehende Transaktionen, d.h. es hat noch niemand diese Bitcoins angerührt.

Vielleicht sind sie durch die ganzen Umstände sogar so „heiss“, dass sie auf alle Zeiten festsitzen und die Kriminellen von ihren Einnahmen gar nichts haben. Ein schwacher Trost für Opfer von WannaCry, aber immerhin.

Zwei Tricks für Software Restriction Policies

Werbung für den Einsatz von software restriction policies als zusätzlichen Schutz gegen Trojaner, und zwei vielleicht nützliche Tricks (für technisch etwas versiertere Leute), wie man schlecht programmierte Windows-Applikationen mit solchen Policies aktiv trotzdem zum Laufen kriegen kann


Windows macht es Trojanern nicht gerade schwer: Irgendein bösartiges Programm muss es nur irgendwie auf Ihr System schaffen, dann hat es schon fast gewonnen, denn Windows wird seine Ausführung nicht verbieten. Es gibt bei Windows im üblichen Grundzustand keinerlei Regeln, nach denen irgendeine „Installation“ nötig wäre, bevor ein Programm laufen darf, oder nach denen nur Programme starten dürfen, die Windows irgendwie „kennt“, nein, jedes File mit Code drin darf munter durchstarten.

Mehr oder weniger das schlimmste, was vorher noch passieren kann, ist eine UAC-Nachfrage von Windows, ob man diesem Programm erlauben möchte, das System zu verändern, aber wer nimmt schon solche Dialogboxen ernst und klickt sie nicht einfach nach 0.1 Sekunden reflexartig weg…

Natürlich hat Microsoft schon vor Jahren gemerkt, dass man professionellen Anwendern etwas bieten muss, womit man diese Freizügigkeit einschränken kann, und stellt hierfür den Mechanismus der sogenannten Softwareeinschränkungsrichtlinien bzw. Englisch software restriction policies (abgekürzt SRP) zur Verfügung.

Damit kann man z.B. regeln, in welchen Verzeichnissen im System Code überhaupt ausgeführt werden darf. Weil im momentanen Evolutions-Stand die meisten Trojaner stets im Windows-Temporär-Verzeichnis landen, wenn man z.B. leichtsinnigerweise den im Mail-Anhang enthaltenen Downloader angeklickt hat, und man dieses Verzeichnis darum natürlich gerade nicht in die Liste der erlaubten aufnimmt, kommt hier die Infektion bereits knirschend zum Stillstand, noch bevor überhaupt etwas Schlimmes passiert.

Ich möchte hier SRP nicht im Detail erklären, sondern hinweisen auf die momentan aktuelle c’t (Nr. 10 vom 29.04.2017), wo dies passiert in zwei ausführlichen Artikeln hier und hier. Sie können das Heft oder online die beiden Artikel für rund 5 Euro kaufen.

Das Tool dazu, den Restric’tor, gibt es gratis (Download-Link am Ende dieser Erläuterungen); bei einem Kurztest schien mir das Tool ordentlich gemacht und recht nützlich. Allerdings ist es wie mit den verschlüsselten Mails, über die ich kürzlich geschrieben habe: Wenn man die Sache auf konzeptioneller Ebene nicht versteht, wird man sich bei diesem Tool wahrscheinlich einen verwirrten Kopf holen.

Auch mit einem guten Tool bewaffnet wie diesem sind SRP leider nicht unbedingt pflegeleicht. Das liegt hauptsächlich daran, dass eine ganze Reihe von Windows-Applikationen Dinge tun, die gegen gängige Windows-Konventionen und „best practices“ der Programmierung verstossen, darunter leider auch weit verbreitete. Diese laufen dann mit SRP aktiv nicht ohne weiteres, und man muss ihnen Extrawürste braten.

Ich habe bei meinem Einsatz von SRP konkret mit 2 Programmen Mühe gehabt (dem Mail-Klassifizierer POPFile und der Bitcoin-Wallet Electrum), welche als Teil ihres ganz normalen Programmstarts irgendwelchen Code ausgerechnet in das Windows-Temporär-Verzeichnis schreiben und ihn dort ausführen wollen.

Und dabei bin ich auf folgende zwei Tricks gekommen, die ich hiermit weitergeben möchte an Leute, die auf ähnliche Probleme stossen:

Trick 1: Eine Pfad-Regel muss nicht zwangsweise ein Verzeichnis-Name enthalten. Es klappt auch, wenn man lediglich den reinen Namen einer DLL angibt, wie z.B. im Falle von POPFile UserInfo.dll. Diese kann dann geladen werden, egal wo sie liegt. (Der nächste Trojaner, der sich UserInfo.dll nennt, wird mich vielleicht erwischen, aber mit diesem Risiko kann ich leben.)

Trick 2: Wenn einzelne solche DLL-„Pfad“-Regeln nicht helfen, wie im Falle von Electrum, welches eine ganze Python-Laufzeitumgebung auszubreiten scheint in %TEMP%, bei jedem Programmstart wieder neu (krasses Software Engineering…), kommen Sie mit einem temporär geänderten Windows-Temporär-Verzeichnis trotzdem durch.

Also Programm nicht direkt starten, sondern ein kleines Batch-File schreiben, welches zuerst die Umgebungs-Variable TEMP umsetzt auf ein Verzeichnis, in dem Code-Ausführung mit Hilfe einer Pfad-Regel ausnahmsweise erlaubt ist, und dann mit einer zweiten Zeile im Batch-File das Programm starten.

Wenn es darum geht, herauszufinden, woran es überhaupt scheitert bei solchen Sorgenkindern, hat sich bei mir Process Monitor bewährt.

Windows Script Host Super-Deaktivator!

Falls Sie das noch nicht getan haben, deaktivieren Sie noch heute den Windows Script Host auf Ihrem PC. Sie brauchen dieses Teil höchstwahrscheinlich nicht, und es wartet nur darauf, Ihnen ins Bein beissen zu können.


Sie wissen es vielleicht schon: Die meisten Trojaner kommen heutzutage nicht mehr direkt als Anhang einer Mail zu Ihnen; als Anhänge würden sie wahrscheinlich zu oft als Malware erkannt, und die Mails würden auch auffällig gross. Was Sie meistens bekommen, sind kleine Programme, sogenannte Skripte, geschrieben entweder in JavaScript oder in VBScript, die vom Windows Script Host (abgekürzt WSH) ausgeführt werden, wenn Sie sie doppelklicken, und es sind dann diese Skripte, welche erst den Trojaner aus dem Internet nachladen.

Könnte man nicht diese Gefahr eliminieren, indem man diesen WSH deaktiviert? Doch, könnte man. Hätte das Nebenwirkungen oder Nachteile? Nun ja, es könnte sein, dass danach gewisse Programme nicht mehr laufen, weil sie den WSH verwenden. Ist das wahrscheinlich? Wohl eher nicht: Ich z.B. habe als Programmierer auf meinem PC (mit WSH deaktiviert) jede Menge Software am Laufen, und keine davon hat sich je beschwert.

Es ist für mich eines der vielen Geheimnisse von Microsoft, wieso selbst bei Windows 10 der WSH immer noch standardmässig aktiviert ist.

Also die gute Tat für heute: Deaktivieren Sie den WSH auf Ihrem PC, falls Sie das noch nicht gemacht haben.

Es gibt schon eine Menge Anleitungen im Netz, wie man das macht, z.B. hier, hier und hier, aber irgendwie lustig: Während es sonst für jeden Unsinn eine kleine App gibt, schicken Sie diese Anleitungen los und lassen Sie mit RegEdit hantieren, was nicht ganz ungefährlich ist.

Ich habe mir gedacht, hier kann ich etwas beitragen. Sie finden in diesem ZIP hier meinen Windows Script Host Super-Deaktivator!, eigentlich nur ein sogenanntes .reg-File, mit dem man das Setzen der beiden Werte in der Registry für das Lahmlegen des WSH automatisieren kann: Einfach dieses .reg-File doppelklicken und die Sicherheitsabfragen beantworten, ob man wirklich einer Änderung der Registry zustimmt.

Windows Registry Editor Version 5.00

; Windows Script Host deaktivieren
; Megos AG, BR, 25.04.2017
; Siehe https://megosec.wordpress.com/2017/04/25/windows-script-host-super-deaktivator

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
„Enabled“=“0“

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
„Enabled“=“0“

Wenn Sie damit nicht durchkommen, weil irgendein Antiviren-Programm zwar mit Schwung die viel gefährlicheren .js und .vbs durchwinkt, aber bei .reg bockt, oder wenn Sie diesem Brunner da nicht einfach so trauen wollen, gibt es ein Tool namens NoScript von Symantec (direkter Download-Link), welches ebenso dafür sorgt, dass bei einem Klick auf ein Skript-File dieses nicht startet. Zudem kann man damit bei Bedarf WSH auch wieder aktivieren.

Aber Vorsicht: Das Tool, das bereits viele Jahre auf dem Buckel hat, läuft auf einem modernen Windows nur mit Elevation, d.h. wenn Sie es als Administrator ausführen. Alternativ können Sie es als kleinen Trick auch unter einem Filenamen wie NoScriptSetup.exe statt NoScript.exe abspeichern, denn dann wird es Windows als Installationsprogramm taxieren und selbst nach erweiterten Rechten fragen beim Start (ist Windows nicht herrlich?).

Zu guter Letzt als Bonus noch eine kurze Anleitung, wie Sie überprüfen können, ob das Deaktivieren geklappt hat: Speichern Sie folgende Zeile z.B. mit Hilfe von Notepad als Textfile mit der Endung .vbs ab, also z.B als WSH_Testen.vbs, und versuchen Sie, das File auszuführen: Wenn das wider Erwarten klappt und eine Dialogbox mit der entsprechenden Meldung erscheint, ist noch nicht gut:

WScript.Echo "Windows Script Host ist momentan aktiv"

Android-Sicherheitslücken: Der Himmel stürzt nicht ein

Kaum ein Tag vergeht, ohne dass ganz aufgeregt von irgendwelchen neuen Sicherheitslücken in Hunderten Millionen von Android-Smartphones berichtet wird. Bleiben Sie cool – die meisten Kriminellen haben offenbar anderes zu tun, als solche Lücken auszunutzen – und kümmern Sie sich mehr um dringende IT-Sicherheits-Probleme.


Android weist mittlerweile eine lange Geschichte von Sicherheitslücken auf, die zum Teil sogar lustige Namen wie Stagefright (Lampenfieber) oder QuadRooter (Vier-Wurzler?) haben. Eine Gesamt-Liste mit über 800 Einträgen findet man hier.

Selbst wenn man aus den Berichten über diese Lücken die Übertreibungen von Leuten „herausrechnet“, die etwas davon haben, Leuten Angst zu machen, bleibt Beunruhigendes übrig: Die Lücken sind real, die Android-Smartphones tatsächlich verwundbar, und zum Teil buchstäblich Hunderte von Millionen von Geräten betroffen.

Kommt noch dazu, dass viele davon bis an ihr „Lebensende“ verwundbar bleiben, weil die Hersteller längst nicht immer Updates liefern, welche die Lücken schliessen.

Wenn das bei PCs so wäre, hätten wir wohl längst chaotische Zustände, wo man gehackt würde, kaum hätte man sich mit dem Internet verbunden, Zustände schlimmer noch als damals mit der ersten Version von Windows XP (Infected in 20 Minutes).

Was passiert bei Android? Nun, ich verfolge News zu diesem Thema schon eine ganze Weile ziemlich aufmerksam, und ich kann mich nur an ganz wenige Fälle erinnern, wo Kriminelle in the wild tatsächlich versucht haben, solche Sicherheits-Lücken auszunutzen. Dinge wie das hier sind die absolute Ausnahme (technische Details dazu hier).

Sie müssen mir das nicht mal glauben. Nehmen Sie Ihre eigenen Erfahrungen: Sie kennen, das ist gar nicht zu vermeiden, eine Reihe von Leuten mit Android-Smartphones; Sie haben vielleicht selbst eines. Wurde irgendjemand davon je Opfer einer Hacker-Attacke? Eben.

Ich weiss nicht, wie es Ihnen geht, aber mich fasziniert es immer, wenn Dinge derart krass nicht zusammen zu passen scheinen. Da hat hierzulande wahrscheinlich mehr als jeder zweite ständig ein Gerät dabei, das man „hacken“ könnte, und es passiert … fast gar nichts?

Ich will diese Sicherheitslücken nicht verharmlosen: In dieser Zahl sind sie ein Skandal, und ich denke, für Spione und andere „Staats-Akteure“ sind sie ein gefundenes Fressen, wenn schon die normalen Kriminellen kaum etwas damit anfangen.

Und ja, ich finde, dass endlich etwas geschehen müsste, damit die Hersteller von Android-Geräten zeitnah Updates liefern, um Sicherheitslücken zu schliessen; Monthly Android Patchday oder so, und zwar für alle Geräte, unabhängig von Marke oder Alter.

Aber man sollte meiner Meinung nach auch aufhören, diesen Dingen soviel Aufmerksamkeit zu schenken. Android-Sicherheitslücken sind für Otto Normalverbraucher kein akutes Problem (auch wenn gar nicht so klar ist, warum eigentlich nicht). Kümmern wir uns um die vielen echten und dringenden Probleme auf dem Gebiet der IT-Sicherheit!

Aber haben Sie schon gehört: In Kürze wird man Hunderte Millionen Smartphones kapern können, in dem man ihnen einfach ein paar präparierte Datenpakete über WLAN zuschickt? Na, zittern Sie schon? Dieses Mal wird der Android-Himmel einstürzen. Ganz sicher.