Sicherheitswoche 15: Reale und imaginäre Sicherheitslücken vergrößern

Am Donnerstag, dem 2. April, teilte The Guardian seine beeindruckenden Zahlen auf der Webkonferenzplattform von Zoom mit: Die Besucherzahlen stiegen um 535%. Auf jeden Fall war Zoom besser als die Konkurrenz in der Lage war, die Situation zu nutzen und Wachstum zu erzielen, wenn nicht in Geld, dann genau in Bezug auf Popularität und Anzahl der Benutzer. Der Grund für diesen Erfolg war eher ein effektives Marketing (zum Beispiel die Verfügbarkeit einer kostenlosen Tarifoption) als einige technische Vorteile. Ohne den charakteristischen Titel desselben Artikels in The Guardian wäre alles in Ordnung: "Zoom ist Malware."

Lassen Sie es uns einfach machen: Zoom ist keine Malware. Dies ist nicht das erste Mal, dass Unternehmen nach dem Hype die Aufmerksamkeit von Informationssicherheitsspezialisten auf sich ziehen, aber die Diskussion über Zooms Mängel in der vergangenen Woche war die Hauptunterhaltung der gesamten Partei. Kurz gesagt: Die Zoom-Verschlüsselung ist verhandelbar, aber nicht stark genug und kann sicherlich nicht als End-to-End-Verschlüsselung qualifiziert werden. In der Software wurden einige schwerwiegende und einige leichtfertige Sicherheitslücken entdeckt. Einige Funktionen des Dienstes werfen Fragen zum Datenschutz auf - Daten, die über einen Server in China übertragen werden, und die Integration in LinkedIn. Nichts Schreckliches, aber es wird wieder klar, dass die Sicherheit eines digitalen Dienstes immer noch nicht der Schlüssel zu seinem Erfolg ist.

Beginnen wir die Rezension mit einem Artikel von April Fools (aber nicht von Comics)Editions Vice: Es handelt sich um einen Fehler, der zu einem Kontaktleck führt, was im Allgemeinen, wie so oft, eine Funktion ist. Anfänglich konzentrierten sich Zoom und alle anderen Mittel zur Durchführung von Telefonkonferenzen ausschließlich auf Unternehmen: Niemand erwartete, dass sie online Karaoke-Partys starten würden. Zoom hat eine Entität namens Firmenverzeichnis: Sobald Sie sich per Arbeitspost registrieren, werden automatisch alle Kontakte in derselben Domain angezeigt. Wenn Sie persönliche E-Mails verwenden, erhalten Sie Zugriff auf eine große Anzahl normaler Benutzer, und Ihr vollständiger Name und Ihre Postanschrift stehen ihnen zur Verfügung. Bei gängigen Mail-Diensten wie GMail oder Yahoo funktioniert dies nicht. Wenn Ihre persönliche Mail beispielsweise in der Domain eines lokalen Internetproviders eingerichtet ist, werden in der Kontaktliste mehrere hundert „Kollegen“ angezeigt.

Wir gehen weiter. In der letzten Ausgabe haben wir berichtet, dass Zoom Benutzertelemetrie an Facebook sendet, dies jedoch unter dem Druck der Öffentlichkeit eingestellt hat. Am 31. März wurde Zoom in den USA wegen Verstoßes gegen das kürzlich verabschiedete kalifornische Datenschutzgesetz verklagt . Der Dienst hat Benutzer angeblich nicht darüber informiert, wie er verarbeitet und wohin er Informationen sendet.

Am 2. April die New York Times berichtetdass Facebook nicht darauf beschränkt war. Zoom war auch in LinkedIn integriert, sodass Organisatoren von Telefonkonferenzen (mit dem kostenpflichtigen LinkedIn Sales Navigator-Paket) Anruferprofile auf LinkedIn automatisch anhand der Postanschrift finden konnten. Es klingt einschüchternd, ist aber in der Tat ein traditionelles Marketinginstrument, das für die Arbeit bei Zoom als Vertriebsleiter mit Kunden des Unternehmens geeignet ist. Bei Massen-Webinaren scheint dies wirklich eine Verletzung der Datenschutzstandards zu sein: Fast keiner der Millionen neuer Zoom-Benutzer kennt solche Funktionen. Wir erkennen jedoch selten den Umfang der Profilerstellung in digitalen Diensten, selbst wenn dies in der EULA ausführlich beschrieben wird. Die Funktion wurde umgehend aus dem Dienst entfernt.

Weiter schlimmer. Am 30. März schreibt der bekannte Sicherheitsspezialist Patrick Wardle einen Artikelmit dem charakteristischen Namen "Im Wort Zoom geht es bei dem Buchstaben B um Sicherheit." Er entdeckte zwei mäßig gefährliche Sicherheitslücken im Zoom-Client für MacOS. Die nicht standardmäßige Client-Installationsmethode ermöglicht es einem lokalen Benutzer mit Behinderungen, Root-Berechtigungen zu erhalten. Laut dem Forscher verwendet Zoom die AuthorizationExecuteWithPrivileges-API, die für die Verwendung nicht mehr empfohlen wird, um Benutzereingaben während der Installation zu minimieren. Infolgedessen wird die ausführbare Datei (Installationsprogramm), die mit Superuser-Rechten gestartet wurde, nicht überprüft und kann problemlos durch anderen Code ersetzt werden. Die zweite Sicherheitsanfälligkeit wurde auch durch die Umgehung der Standardpraktiken zum Schreiben sicherer Software für MacOS X im Zoom-Client verursacht. Das Ergebnis war das Potenzial, Bilder und Ton von einer Webcam und einem Mikrofon aufzunehmen. Wieder zur Verfügung gestelltDieser Computer ist ein Opferbereits kompromittiert. "Wenn Ihr Computer gehackt wurde, können Sie alles daran tun." Beide Sicherheitslücken werden am 2. April geschlossen.

In jeder dieser Veröffentlichungen erinnert sich Zoom an vergangene Sünden: den Webserver, der unter macOS mit dem Client installiert und während der Deinstallation nicht gelöscht wurde (Apple musste einen Patch herausgeben, um das Löschen des Servers zu erzwingen, da dieser natürlich anfällig war), und die Einbeziehung des Webs - Standardkameras beim Herstellen einer Verbindung zu einer Webkonferenz mit einem später entdeckten Mechanismus zum Anlocken eines Benutzers. Die Probleme sind seit langem gelöst, aber sie sind Anlass für Aussagen wie "Zoom hatte immer alles schlechte mit der Privatsphäre."

Die BleepingComputer-Website meldet Schwachstellen im Zoom-Client für Windows. Benutzer können Links im Chat des Dienstes austauschen, und der Zoom-Client macht erwartungsgemäß Links anklickbar, einschließlich Links zu Netzwerkordnern oder sogar lokalen Dateien, den sogenannten UNCs. Theoretisch können Sie sich eine Situation vorstellen, in der ein Link zu einem öffentlichen Dateiserver zum Chat gesendet wird. Wenn Sie darauf klicken, erhält der Server mit den Standardeinstellungen von Windows einen Benutzernamen und sein Passwort wird gehasht.

Sie können noch weiter gehen und sich eine Situation vorstellen, in der ein Link dazu führt, dass Code auf dem Computer des Benutzers ausgeführt wird. In der Praxis ist ein Angriff unter den aktuellen, nicht standardmäßigen Bedingungen für Zoom selbst möglich: bei öffentlichen Telefonkonferenzen mit schlecht konfigurierter Sicherheit und einem unverständlichen Publikum.

Gehen wir weiter zur schweren Artillerie. CitizenLab hat einen detaillierten Zoom-Sicherheitsbericht veröffentlicht . Es beschreibt die subjektiven "Merkmale" des Dienstes: Entwicklung in China, obwohl das Unternehmen Amerikaner ist; Senden von Daten an chinesische Server, auch wenn keine Abonnenten anwesend sind (später erkannte Zoom dies als technischen Fehler ). Das Hauptthema der Studie ist jedoch die Verhandlungsverschlüsselung, die Zoom seit langem als End-to-End bezeichnet. Erstens ist es nicht vollständig übergreifend, da Schlüssel auf Zoom-Servern generiert werden. Zweitens wird anstelle des ursprünglich in der Dokumentation angegebenen AES-256-Verschlüsselungsalgorithmus AES-128 im EZB-Modus verwendet .

Diese einfachere Verschlüsselungsmethode im Vergleich zur alten Codebuch-Verschlüsselungsmethode bewahrt die Muster der ursprünglichen unverschlüsselten Daten. Dies lässt sich am besten im obigen Tweet oder im Bild von Wikipedia unten veranschaulichen: Obwohl die Daten auch ohne Entschlüsselung verschlüsselt sind, können Sie sich ein Bild vom Inhalt des Videostreams machen.

Im Allgemeinen ist klar, warum Sicherheitsexperten Zoom nicht mögen: Hier haben Sie in der Vergangenheit fragwürdiges Verhalten auf dem Computer des Benutzers (ein nicht löschbarer Webserver auf Apple-Computern) und das Fehlen verständlicher Informationen über die Verwendung personenbezogener Daten sowie unvollständige Abwehrmaßnahmen mit irreführender Wirkung Beschreibung. Die Hauptbeschwerde: Der Datenschutz der Benutzer ist nicht die Hauptpriorität der Zoom-Entwickler, sondern befindet sich irgendwo am Ende der ersten hundert der „Aufgabenliste“. Es wurde nichts wirklich Schreckliches gefunden (wie Datenübertragung ohne Verschlüsselung).

Bei der Erörterung all dieser „Studien“ werden auch Argumente gegen den leicht hysterischen Ansatz „Jetzt werden wir sie zeigen“ vorgebracht. Es gibt Standardmethoden für unabhängige Forscher, um mit dem Anbieter zu interagieren, und Ethik für die Offenlegung von Schwachstelleninformationen. Warum muss in einer Situation einer viralen (nicht Computer-) Epidemie anders vorgegangen werden? Vielleicht lohnt es sich im Gegenteil, die Wartezeit für die Reaktion des Anbieters zu verlängern? Denn ehrlich gesagt ist jeder digitale Dienstleister jetzt in erster Linie besorgt, dass die Server dem Zustrom von Benutzern standhalten. Schließlich ändert keine der Entdeckungen der letzten Woche die Einstellung zu Zoom und ähnlichen Diensten. Für eine Karaoke-Party eignen sie sich auch hervorragend für Unternehmensgespräche, obwohl es sich lohnt, Mitarbeiter in grundlegenden Sicherheitsstandards zu schulen. Laden Sie zum Beispiel den Client von der offiziellen Website herunter und nicht von irgendwoher.Für sensible Verhandlungen in geheimen Angelegenheiten müssen Sie nach einem Dienst suchen (oder Ihren eigenen erheben), der eine obligatorische Sicherheitsüberprüfung durchführt, und dürfen nicht auf den ersten Link in der Google-Suche klicken.

Die Reaktion des Anbieters erwies sich übrigens als mehr als angemessen: Am 1. April kündigte das Unternehmen an , die Entwicklung neuer Funktionen für drei Monate auszusetzen und sich eng mit Fehlerbehebung und Sicherheit zu befassen.

Was ist sonst noch passiert?

Die Veröffentlichung Threatpost fasste die Ergebnisse einer Umfrage auf der Website zum Datenschutz bei einer Pandemie zusammen. 25% der Befragten sind bereit, der Gesundheit auf Kosten der Privatsphäre Vorrang einzuräumen (z. B. medizinische Daten auszutauschen). Und dies gehört zum Publikum, das traditionell empfindlich auf Versuche mit personenbezogenen Daten reagiert.

Sicherheitslücken in Firefox- und Chrome- Browsern sind geschlossen . Firefox hat schwerwiegende Probleme mit der möglichen Ausführung von beliebigem Code behoben, die bei realen Angriffen aktiv verwendet werden.

Repräsentative Internetunternehmen (Akamai, AWS, Cloudflare, Facebook) fusioniertenim Namen der Verbesserung der Sicherheit des Netzwerkverkehrs und der Behebung der Mängel des BGP-Routing-Protokolls, die zuvor wiederholt zu „Traffic Hijacking“ führten - das versehentliche oder sogar absichtliche Umleiten von Datenpaketen über ein beliebiges Netzwerk-Gateway.

Im Plugin für WordPress, Rank Math SEO-Optimizer, wurde ein neuer Fehler entdeckt . Sie können jeden auf der Site registrierten Benutzer remote als Administrator festlegen oder einem echten Administrator Rechte entziehen.

Die American Aviation Supervision Agency (FAA) hat eine Richtlinie erlassen, in der die Fluggesellschaften verpflichtet sind, die Kontrollsysteme der Boeing 787 mindestens alle 51 Tage zurückzusetzen. Der Grund ist höchstwahrscheinlich der gleiche wie in anderen ähnlichen Fällen in der Luftfahrt und nicht nur: Zeitzählerüberlauf.