WireLurker – Ein Überblick und Erkennungsmaßnahmen

In den vergangenen Tagen wurden die Medien auf eine Meldung von Palo Alto Networks aufmerksam, die den OS X/iOS-Schädling WireLurker aufgespürt haben. WireLurker ist eine Malware, mit der es erstmalig möglich ist, von dem – bisher aufgrund der Systemarchitektur, basierend auf dem XNU-Kernel mit FreeBSD-Elementen als verhältnismäßig sicher geltenden – Betriebssystem Mac OS X ein via USB  verbundenes iOS-Gerät auch bei nicht-gejailbreakten Geräten zu infizieren. Aufgetaucht ist der Schädling erstmals im chinesischen, inoffiziellen AppStore Maiyadi. Schnell hat sich jedoch auch ergeben, dass der Schädling ebenfalls für die Verbreitung außerhalb dieses Stores geschrieben ist.

Möglich ist die Installation über die Ausnutzung von Enterprise-Zertifikaten, die von MDM-Systemen genutzt werden, um auf sicherer Basis Unternehmensdaten mit dem Mobilgerät zu synchronisieren und die Kommunikation mit dem MDM-Server des Unternehmens abzusichern. Zuerst wurde noch eine Sicherheitswarnung beim Ausführen gezeigt, die auf ein nicht vertrauenswürdiges Zertifikat hinweist. Mittlerweile kann es aber durchaus sein, dass ein vom Betriebssystem als vertrauenswürdig eingestuftes Zertifikat von den Angreifern genutzt wird, bei dem diese Warnung nicht erscheint. Es können über diesen Weg etliche Informationen über den Gerätezustand, installierte Apps, Kontakte und Nachrichten des Gerätes ausspioniert werden.

Ist daher eine Anschluss am PC oder Mac nicht zwingend notwendig, sollte dies vorerst vermieden werden. Geladen werden kann das Gerät über die Steckdose und einen USB/AC-Adapter, die meisten Einrichtungsschritte können mittlerweile ebenfalls ohne einen Computer erfolgen, sofern eine WLAN-Verbindung vorliegt.

Zudem sollte man unter Einstellungen„-„Allgemein„-„Profile prüfen oder bei Geräten, die durch das Unternehmen verwaltet werden durch die IT-Abteilung prüfen lassen, ob die installierten Profile zum Management der Geräte notwendig sind. Bei privaten Geräten sollten sich dort keine Profile befinden, sofern man Webmail-Dienste nutzt. Verschlüsselt man die Mailkommunikation und/oder versieht die Mailkommunikation mit einer digitalen Signatur, sollten sich dort, je nachdem, ob man nur signiert oder auch verschlüsselt, 1-2 Benutzer-Profile pro Mailpostfach befinden. Wer ganz sicher gehen will, sollte alle Profile entfernen und neu installieren bzw. das Gerät über die IT-Abteilung auf Werkseinstellungen zurücksetzen erneut ausrollen lassen.

Palo Alto hat nun auf github ein entsprechendes Erkennungstool für Mac- und Windows-Nutzer veröffentlicht. Eine Anleitung für beide Varianten ist ebenfalls github zu entnehmen. Natürlich sollte bei einem infizierten Host-System ebenfalls eine Neuinstallation durchgeführt werden.

Sicherheitslücke in iOS: Masquerade Attack

Nach der Veröffentlichung von „WireLurker“, einem USB-Verbindungs-basierten Angriff auf iOS-Geräte, ist nun eine weitere Sicherheitslücke innerhalb des mobilen Betriebssystems bekannt geworden. Der Angriff via „Masquerade Attack“, kurz „Masque Attack“ ist deutlich gefährlicher und für Nutzer zudem schwerer zu identifizieren, da auch die – bei WireLurker noch vorhandene – Sicherheitsabfrage nicht mehr erscheint. Der maskierte Angriff fragt lediglich die Installation einer App ab, die für die Durchführung des Angriffs erforderlich ist. Die schadhafte Software kann über einen Link bereitgestellt werden, der per Mail, SMS, iMessage oder sonstige Messenger wie Whatsapp oder den Facebook-Messenger durch das Gerät empfangen werden kann. Öffnet der User den Link, wird versucht, ein *.ipa-File von einem Server des Angreifers zu installieren. An diesem Punkt fragt iOS standardmäßig, ob die App installiert werden soll.

Lehnt der User die Installation ab, geschieht nichts. Aus diesem Grund ist das auch der empfohlene Weg, sich vor einem Angriff zu schützen.

Es sollten keine Apps aus anderen Quellen, als dem AppStore von Apple oder dem durch eine gemanagete MDM-Lösung angebotenen Enterprise-Store installiert werden.

Eine sehr beliebte Masche könnte beispielsweise die Angabe eines Flappy Bird-Downloads sein, da diese App nicht mehr über den AppStore von Apple erhältlich, aber dennoch sehr beliebt bei Anwendern ist. FireEye hat das Sicherheitsleck bisher bei den Betriebssystemversionen iOS 7.1.1, 7.1.2, 8.0, 8.1 und der Beta-Version von iOS 8.1.1 nachweisen können. Sowohl Geräte mit, als auch ohne Jailbreak sind für dieses Angriffsszenario empfänglich.

In einem Youtube-Video zeigt das Unternehmen FireEye, wie der Angriff erfolgen kann.

 

Citrix XenMobile nun mit Android 5.0-Support

Trotz Release-Terminverschiebungen im Hause Google für die Veröffentlichung des neuen Mobilbetriebssystems Android 5.0 wird bereits jetzt die neue Betriebssystemgeneration von Citrix XenMobile unterstützt. Voraussetzung für das erfolgreiche Management der Geräte ist, dass serverseitig mindestens XenMobile 8.7 vorhanden ist, das MDX-Toolkit für Android-Apps in Version 9.0.3 zum Wrappen der Apps verwendet wird und auf den Mobilgeräten mindestens Worx Home in Version 9.0.3 installiert ist.

Sollte ich auf Android 5.0 updaten? Wenn clientseitig möglich, auf jeden Fall!

Mit Android 5.0 wird das Betriebssystem durch einige Enterprise-Features erweitert, die Performance und Effektivität wird gesteigert und das für den Enterprise-Einsatz wichtigste Element wird ebenfalls erheblich aufgebohrt: Die Systemsicherheit. Ein ausführlicherer Bericht zu Android 5.0 ist hier zu lesen.

Android 5.0 – are you ready for business, Android?

Google bereitet momentan seine Nexus-Serie auf das Rollout von Android 5.0 mit dem Codename Lollipop vor. In diesem kurzen Artikel möchten wir die – für Enterprise-Umgebungen wirklich dringend benötigten – Erweiterungen von Android und die Erweiterungen, die die tägliche Arbeit vereinfachen können, umreißen, die Lollipop mit sich bringen wird. Unter Anderem wird in den Bereichen Security, Verwaltbarkeit und Usability durch Android 5.0 viel aufgeholt, was Android in Hinblick auf den Einsatz in Enterprise-Umgebungen gefehlt hat. Citrix hat bereits die Implementierung neuer Features angekündigt, die in einer Erweiterung der XenMobile-Suite folgen wird. Möglicherweise wird dies dasselbe Release sein, welches auch die iOS 8-Features beherbergen wird. Ein genaues Datum wurde bisher nicht genannt. Die Ankündigungen von Google sind bisher allerdings vielversprechend, sofern keine essentiellen Daten in die Cloud ausgelagert werden und das Usermanagement zumindest sicher remote zu verwalten ist – oder noch besser: eine Integration in Microsofts AD möglich ist. Wie in den meisten Produktankündigungen gibt Google auch hier nur eingeschränkten Einblick.

Neue Sicherheitsfeatures

Vor allem Business Devices müssen ausreichend gegen ungewollte Zugriffe (ob von Fremden oder Bekannten) abgesichert sein. Mit Lollipop bessert Google hier gewaltig nach. Die folgenden vier Punkte sind zentrale, neue Sicherheitsfeatures in Lollipop, die durchaus für den Enterprise-Einsatz interessant sind:

  • Multi-User-System mit Rechtemanagement
    • Mehrere User können auf einem Gerät angelegt und verwaltet werden
    • Ein Rechtemanagement soll implementiert werden. Wie dies im Detail aussieht, ist unklar.
    • Ob die Geräte-User auch remote angelegt und verwaltet werden können, ist noch unklar
    • Wenn ja, ist die Frage, ob auch Drittanbieter dies dürfen, oder Google sich eine eigene Cloud-basierte Lösung zum Verwalten der Accounts vorbehält.
  • Gast-User-Mode in getrenntem Bereich ohne Zugriff auf persönliche Informationen
    • Für ein kurzes Aus-der-Hand-Geben des  Android Devices gedacht
    • Soll in getrenntem Bereich laufen, aber grundlegende Funktionalitäten von Android bereitstellen
    • Ob es sich um eine echte Container/Sandboxing-Lösung handelt, ist noch offen.
  • Android Smart Lock
    • Pairing mit weiterem Android-Device
    • Das Entsperren soll bei aktivierter Option beispielsweise nur möglich sein, wenn sich eine Smartwatch o.ä. in der Nähe befindet.
  • Verschlüsselung von Haus aus
    • Neue Android-Geräte, die mit der Version 5.0 ausgeliefert werden, bringen eine bereits von Werk aus aktivierte Geräteverschlüsselung mit sich.
  • Managed Profiles
    • Verwaltbare, in Containerumgebung betreibbare Profile zum Gerätemanagement
    • Ermöglicht die Nutzung von Firmen- und Privatdaten auf einem Gerät – in getrennten Umgebungen
  • AV-Prüfung bei Downloads aus dem Appstore
    • Antiviren/Malware-Prüfung beim Download von Apps aus dem Appstore

„Android 5.0 – are you ready for business, Android?“ weiterlesen

Geofencing…was ist das eigentlich?

Geofencing beschreibt das Festlegen eines geografischen Radius per Richtlinie, aus dem sich ein mobiles Gerät nicht entfernen soll. Wird ein Gerät entwendet oder bleibt versehentlich in der Tasche, während ein Mitarbeiter oder Kunde sich aus einem nach Geo-Lokation definierten Umkreis entfernt, kann das Gerät als nicht mehr Unternehmens-konform deklariert und zum Beispiel teilweise oder sogar vollständig aus der Ferne gelöscht werden. Bevor dies passiert, sollte man demjenigen, der sich in der Situation befindet, allerdings eine Information (Notification) zukommenlassen, damit noch etwas Zeit bleibt und eine Rückkehr in den Radius wieder möglich ist, bis die vom Administrator bestimmte Aktion eintrifft. Der Radius sollte weder zu klein gewählt werden, um die Anzahl an false-positive-Meldungen aufgrund von ungenauer GPS-Ortung durch die Geräte zu reduzieren, noch zu groß, um noch handlungsfähig zu sein, falls ein Device einen Perimeter Breach auslöst.

 

So bleiben die Daten stets in Reichweite des Unternehmens und ein Gerätediebstahl würde sofort getrackt werden, die Daten auf dem mobilen Gerät gehen allerdings nicht verloren. Eine Verletzung dieser Policy wird als Perimeter Breach bezeichnet und sollte entsprechende Konsequenzen für das Gerät und die darauf befindlichen Daten und Zugänge haben, um Unternehmensgeheimnisse, Patientendaten etc. weiterhin konsequent abzusichern. Zudem kann ein Geotracking aktiviert werden, um die Bewegung eines Devices auf der Landkarte zu zeigen. Interessant ist so etwas beispielsweise für Logistikunternehmen, die ihre Fahrzeuge bereits jetzt schon zum Großteil mit GPS versehen haben und so immer den Überblick haben, wo sich welches Fahrzeug aufhält.

 

 

NetScaler 10.5 und MobileStream

Derzeit läuft in Los Angeles die Citrix Synergy und die ersten großen Ankündigungen sind raus, so dass wir auch endlich etwas mehr darüber sprechen können, was wir schon seit ein paar Wochen heißes in den Fingern haben: das nächste NetScaler Release soll gegen Ende Q2 2014 verfügbar sein, es trägt die Versionsnummer 10.5 und in den über 100 Neuerungen sind so spannende Dinge wie:

  • DataStream für Oracle DB sowie neue Möglichkeiten für MySQL und MSSQL
  • MobileStream: neben MultipathTCP und SPDY(v3) kommt die Inline-Optimierung von Bildern, JavaScript und CSS, wodurch in Summe Webseiten und -Applikationen für den Benutzer um Faktoren von 2x bis 5x oder mehr schneller werden!
  • Komplettes GUI-Revamp – endlich [nahezu] vollständig HTML5, praktisch kein Java mehr! Selbst die AppExpert Applications werden ohne JavaApplet verwaltet.
  • Deutliche Weiterentwicklung im Bereich AAA bis hin zu einer neuen Kerberos-Implementierung mit weit besserer Performance

…und vieles mehr, worüber wir noch viel sprechen werden in den nächsten Monaten. Unsere Tests mit der Beta laufen auch gerade erst richtig an, aber es ist schon deutlich, dass es hier wieder einen großen Schritt in die Zukunft geht. Die zunächst gehandelte Versionsnummer 11 wäre nicht soooo deplatziert gewesen…

Was kommt nach TCP?

Sehr schön erklärt von Abhilash, warum wir eigentlich dringend etwas für die Post-TCP-Ära brauchen und wie das Netz, das heute so von Mobilität geprägt und von unglaublichen Datenmengen gegängelt ist, davon profitiert:

http://blogs.citrix.com/2013/08/16/networking-beyond-tcp

http://blogs.citrix.com/2013/08/23/networking-beyond-tcp-the-mptcp-way/

Ergänzend möchte ich dazu sagen: iOS7 unterstützt MPTCP, Android schon länger. Diese Seite ist bereit. NetScaler unterstützt MPTCP ebenfalls – damit kann die andere Seite der Verbindung ebenfalls mitspielen, egal was an Webservern oder sonstigen Applikationen dahinter liegt und von MPTCP keine Ahnung hat!

http://blogs.citrix.com/2013/08/30/mptcp-netscaler-way/