VeraCrypt 1.18 mit kritischen Sicherheitslücken

Wie heute bekannt wurde, ist VeraCrypt auditiert worden und dabei sind mehrere kritische Sicherheitslücken aufgedeckt worden.

Aufgrund der Schwere der Sicherheitslücken ist ein sofortiges Update auf VeraCrypt 1.19 erfolderlich.

Ob die schweren Lücken für Linux, Windows oder MacOs gelten, ging aus der Nachricht bei  den Hackernews nicht hervor.

Wer sich die Lücken genau ansehen will, dann das HIER tun. Hier das Bestof :

High: AES implementation susceptible to cache-timing attacks
High: Out-of-date inflate and deflate
High: XZip and XUnzip need to be completely re-written
High: Integer overflow when computing the number of iterations for PBKDF2 when PIM is used
High: GOST 28147-89 Must Be Removed from VeraCrypt

UEFI:
High: Keystrokes are not erased after authentication
High: Sensitive data is not correctly erased
High: Memory corruption can occur when the recovery disk is read

Meiner bescheidenen Meinung nach, ist die Datenträgerverschlüsselung trotz der Bugs sicher. Alle Angriffe beziehen sich nur auf den direkten aktiven Betrieb von VeraCrypt.

Die neue Version von VeraCrypt gibt es hier:  https://veracrypt.codeplex.com/

Dürfen IP Adressen gespeichert werden?

Liebe Mitblogger,

der EuGH hat in einer Anfrage zur Speicherung von IP-Adressen durch Webserver vom BGH entschieden, daß das TMG(Telemediengesetz) gegen europäisches Recht verstößt, weil es (stark vereinfacht) keine Abwägung zwischen berechtigten Interessen des Betreibers und den Rechten der Person an Ihren Daten enthält.

Damit ist das generelle Verbot der Speicherung von IP Adressen nicht länger rechtens, aber noch nicht vom Tisch. Der BGH muß diese Entscheidung des EuGH in seiner anstehenden Entscheidung berücksichtigen. Erst wenn der BGH entschieden hat und das Urteil rechtskräftig ist, steht es final fest. Wer jetzt in vorauseillendem Gehorsam die Logfiles wieder aktiviert, könnte noch gegen geltendes Recht verstoßen.

Damit Euch das nicht passiert, hier Euer Schlupfloch:

am 31.01.2013 hat das Landgericht Berlin verkündet:

„Die Beklagte wird verurteilt, es zu unterlassen, die Internetprotokolladresse (IP-Adresse)
des zugreifenden Hostsystems des Klägers, die im Zusammenhang mit der Nutzung
öffentlich zugänglicher Telemedien der Beklagten im Internet – mit Ausnahme des
Internetportals “http://www.XXXXXXXXXXXX.de” – übertragen wird, in Verbindung mit dem Zeitpunkt
des jeweiligen Nutzungsvorganges über das Ende des jeweiligen Nutzungsvorganges
hinaus zu speichern oder durch Dritte speichern zu lassen,
– sofern der Kläger während eines Nutzungsvorganges selbst seine Personalien, auch in
Form einer die Personalien des Klägers ausweisenden E-Mail-Anschrift, angibt und
soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des
Telemediums erforderlich ist.“

Zitat aus: LG Berlin 57 S 87/08  – 2 C 6/08 Amtsgericht Mitte / Tiergarten

Das meint, daß wenn Ihr Schutzmaßnahmen implemtiert haben müßt, um den Webserver vor Angreifern zu schützen,
und das sollte jeder WordPressbenutzer machen, wenn er einen reibungslosen Betrieb gewährleisten will, die Speicherung über den Zeitpunkt der Benutzung hinaus erlaubt ist.

Zu beachten ist, daß dieser Zeitraum nicht unendlich ist und konkret beziffert werden muß. Außerdem seid Ihr auch dafür verantwortlich, wielange der Hoster die Daten speichert. Fragt daher bei Eurem Hoster an, wie lange die Webserverlogs gespeichert bleiben und was der Hoster als Schutzmaßnahme für den Webserver betreibt.

WordPress ist täglich Ziel von vielfältigen Angriffen

wp-login.php per Bruteforceattacke,
auf die xmlrpc.php um Forenspam zu senden
Exploits von Themes und Plugins.

Um diese Angriffe abzuwehren, müssen zwangsweise IP’s gespeichert werden um automatisch zu überprüfen, ob ein BruteForceangriff vorliegt und um konkrete Gegenmaßnahmen, in Form von IP-Sperren, einzuleiten.

Aus der Praxis als Webhoster einiger bekannter WP-Blogs, kann ich Euch versichern, daß einige Angreifer mehr als 500.000 mal am Tag auf ein Blog zugreifen um es zu stören, zu hacken, oder zu missbrauchen. Ohne Serversicherungsmaßnahmen incl. IP Speicherung könnten wir diese Angriffe nicht abwehren.

Darüberhinaus könnte eine Änderung der Speicherpraxis auch damit begründet werden, daß ein Webservicebetreiber mit den IPs nicht direkt einen Besucher namentlich identifizieren kann. Der EuGH sieht zwar den Rechtsweg in Form einer Strafanzeige als möglichen Weg, um an die Personendaten zu gelangen, aber meiner Meinung nach ( die dafür nicht zählt ), ist das für Webseitenbetreiber ohne Juraabteilung nur in echten Strafverfahren möglich, was bedeutet, es gibt einen konkreten Grund, welchen Kriminalbeamte, Staatsanwälte und Richter vorher prüfen. (Arbeitsüberlastungen von kölner Gerichten sei mal nicht das Thema.) Es ist daher eher unrealistisch dies als gangbaren Weg anzuerkennen, zumal das BDSG auch zum Zwecke der Strafverfolgung eine Ausnahme erlaubt. Demnach dürfen auch Daten, die dem Datenschutz unterliegen, den Strafverfolgungsbehörden übermittelt werden. (Damit man das kann, müßte man sie vorher speichern.)

Fazit

Das Urteil des BGH in der Sache steht noch aus, aber es gibt jetzt schon Ausnahmen, die eine Speicherung der IP’s erlauben.
Es dürfte eine Wende in der Rechtssprechung in Deutschland geben.

Die Pressemitteilung des EuGH zu dem anstehenden Urteil könnt Ihr hier selbst lesen:

http://curia.europa.eu/jcms/upload/docs/application/pdf/2016-10/cp160112de.pdf

Alte Entscheidungen:

Landgericht Berlin 2013: http://www.jurpc.de/jurpc/show?id=20130179

Erneuter Ruf nach mehr Überwachung

Der Tag fängt echt gut an, wenn man so einem Schwachsinn lesen darf. Da fordert ein IT-Bundesbeauftragter ( nie gehört vorher ), daß den Webhostingprovidern doch erlaubt werden solle, Datenflüße bis zu 6 Monate aufzuheben. „Die Daten würden ja gebraucht, um Angriffe zu analysieren und abzuwehren.“ so der Tenor.

Ich kann aus unserer Firma sagen : „Blödsinn!“ 99% der geglückten Angriffe auf Webanwendungen werden durch nicht aktuell gehaltene Software verursacht. Dabei sind das in 90% der Fälle PHP Anwendungen, die vom Webseitenbesitzer aus diversen Gründen nicht aktualisiert werden. Der Rest sind Angriffe durch gekaperte Zugangsdaten für Mailkonten/gekaperte PCs in Firmen. Lustigerweise ist dort die Ursache #1 auch nicht aktuelle Software. (#2 ist: Ich klicke auf alles was mir per Email gesendet wird)

Diese Angriffe kann man nicht abwehren, indem man auf 6 Monate alte Daten zurückgreift.

Vor zwei Wochen hat der NSA Oberhacker auch deutlich gesagt, daß die NSA nicht auf ZeroDay Lücken setzt, also Exploits für Schwachstellen in Programmen, sondern ganz traditionell systemimmanente Schwachstellen benutzt, also Personen und Konstruktionsfehler in Firewalls und Netzwerken. Natürlich glaubt ihm das keiner, ich auch nicht, aber die Begründung ist einleuchtend. Zerodays werden i.d.R. sehr schnell geschlossen, weswegen auf lange Sicht, die andere Strategie erfolgreicher sein wird, weil man sich damit längerfristig in fremden Netzwerken bewegen kann. Wenn es Anzeichen gibt, daß ein Zeroday ausgenutzt wurde, gerät die IT Abteilung normalerweise in den Panikmodus und durchsucht das gesamte Netzwerk, überdenkt Schutzlücken und scheucht alle auf. Das ist genau das Gegenteil, was ein Geheimdienst haben möchte.

Ergo, wer sein Netzwerk schützen will, muß seine Prozeduren, Implementierungen und Organisation auf den Prüfstand stellen.

Quelle: Neuer Vorstoß zur Vorratsdatenspeicherung gegen Hacker und Cyberangriffe geplant