Newsletter 2007 - Ausgewählte Auszüge aus Newslettern und Forenbeiträgen

Ausgewählte Auszüge verschiedener Newsletter und Artikel
zur Internetsecurity und anderen aktuellen Themen.

Urheberrechtsbelehrung
Alle hier aufgelisteten Meldungen sind, sofern sie nicht explizit entsprechend anders gekennzeichnet sind,
nicht als eigenständiger Bestandteil meines Webangebotes, sondern lediglich als Zitate
mit Verweisen (Links) auf die Beiträge Dritter in öffentlichen Online-Medien u.a. der Tagespresse zu verstehen.
Sie unterliegen demzufolge ausnahmlos direkt dem Urheberrecht der jeweiligen Autoren oder Quelleninhaber.
Siehe hierzu auch meinen Disclaimer.

Die Beiträge der einzelnen Seiten umfassen in der Regel 12 Monate, sind chronologisch absteigend geordnet
und können mit der Suchfunktion nach Schlüsselbegriffen gescannt werden.

Ich möchte ergänzend darauf hinweisen, dass viele der "weiterführenden Links" auf aktuelle Seiten der Tagespresse
oder Fachzeitschriften führen und daher oft nur zeitlich begrenzt oder mit veränderter URL zur Verfügung stehen.
Gelegentliche tote Links lassen sich daher kaum vermeiden.
Man beachte hierbei bitte das jeweilige Datum "(...)" der Meldung.
In einigen Fällen führen diese Links aber auch zur Startseite des Anbieters und können dort mittels Suchfunktion
und der Nummer hinter der URL erneut aufgerufen werden.
(Beispiel: http://www.pcwelt.de/news/viren_bugs/40130/)

Googles Toolbar erlaubt es Anbietern und Webseiten, zusätzliche Schaltflächen etwa für komfortablere Suchfunktionen für die eigene Webseite zu installieren. Die bei so einer Installation angezeigten Daten wie der Ursprung der Schaltfläche sowie die Seite, mit der Daten ausgetauscht werden, können Angreifer jedoch fälschen, wie der Sicherheitsforscher Aviv Raff herausgefunden hat. Dies erleichtere es kriminellen Individuen, Phishing-Angriffe durchzuführen oder Anwender dazu zu verleiten, angebotene Programme auszuführen, da sie der vermeintlichen Ursprungsseite vertrauen.

China bleibt offenbar beliebtester Hort für Schadcode im Internet. Nach Angaben von Sophos sind die meisten infizierten Webseiten weiterhin dort zu finden. Rund 55 Prozent aller Virenschleudern stehen in China, knapp 20 Prozent in den USA und gerade 11 Prozent in Russland. Letztere Zahl überrascht allerdings etwas, da unter anderem dem Russian Business Network viele der kriminellen Machenschaften im Internet zugeordnet wurden – derzeit scheint das RBN aber am Boden zu liegen. Immerhin hat sich die russische Beteiligung an infizierten Seiten seit Juli 2007 verdoppelt.

Passend zum Kalten Krieg im Internet sind die in der Bundesverwaltung aufgetauchten "chinesischen Trojaner" zur geheimen Verschlusssache erklärt worden. Alle Anfragen von Journalisten, wie es um das Reverse Engineering der entdeckten Attacken auf das Bundeskanzleramt, das Auswärtige Amt und das Forschungsministerium bestellt ist, werden abgeblockt. Dabei hieß es noch, bevor dies zur geheimen Verschlusssache erklärt wurde, man sei bei der Analyse des Trojaners ein gutes Stück vorangekommen und habe die Sicherheitslücke entdeckt, durch die der Angriff erfolgte. Ob diese Sicherheitslücke inzwischen gepatcht ist und in welcher Software die Sicherheitslücke aufgefunden wurde, darf derzeit nicht der Öffentlichkeit mitgeteilt werden.

Neuseeländer soll Botnetz
mit 1,3 Millionen Computern
gesteuert haben (30.November 2007)

Ein 18-Jähriger wird in Neuseeland verdächtigt, mehr als 1,3 Millionen Computer weltweit mit einem Wurm infiziert und damit ein Botnetz aufgebaut zu haben,
über das die infizierten Computer ohne Wissen deren Anwender unter anderem zu DDoS-Angriffen benutzt wurden.
Unter anderem soll das Botnetz für einen Angriff auf IRC-Server und Systeme von Sicherheitsfirmen eingesetzt worden sein,
bei dem versehentlich auch ein Server der Universität von Philadelphia lahmgelegt wurde, berichten australische und neuseeländische Medien.
Der Neuseeländer, der unter dem Codenamen "AKILL" operiert haben und für seine Zwecke den Wurm AKBot eingesetzt haben soll,
sei unter Mitarbeit des FBI festgenommen worden und werde verhört, berichtete die neuseeländische Polizei.
"Er ist sehr clever", sagte der Chef der Abteilung für Computerkriminalität, Maarten Kleintjes, laut dpa,
"er ist einer der Weltbesten bei der Entwicklung dieser Art von Software."

Hamburge Datenschutzbeauftragte haben bei einer systematischen Überprüfung erhebliche Sicherheitsprobleme im Computernetz der Finanzbehörde von Hamburg entdeckt. Hartmut Lubomierski und Ulrich Kühn, die selbst Zugang zum Behördennetz haben, konnten im Rahmen der Prüfung trotz eingebauter Sperren auf unzählige dem Fernmeldegeheimnis unterliegende E-Mails hunderter Behördenmitarbeiter aus nahezu allen fachlichen Bereichen zuzugreifen, aber auch die Anschrift, Geburtsdaten und Bankverbindungen von Bediensteten der Landesverwaltung Schleswig-Holstein ermitteln. Außerdem war während der Tests Einblick in vertrauliche Daten von Häftlingen, Steuerpflichtigen, Angeklagten, Schülern oder auch Asylbewerbern möglich und es war eine Vielzahl von Passwörtern, die die Nutzer fahrlässigerweise in unverschlüsselten Dokumenten speicherten, frei zugänglich. Die Sicherheitsvorkehrungen der Behörde sind anscheinend so lax, dass eine Reihe von Servern und hunderte von Arbeitsplätzen hätten komplett kontrolliert werden können, um zum Beispiel Programme zu installieren, die unbemerkt jeden Tastendruck und jeden Mausklick des Nutzers aufzeichnen.

Mein Kommentar:
Wenn man nun noch bedenkt, dass möglicherweise auch von Seiten der
Ermittlungsbehörden wie LKA und BKA ähnlich lasch
mit sensiblen Daten von Staatsbürgern herumlaboriert wird,
erscheint natürlich besonders der geplante Einsatz des BUNDESTROJANERS
in einem völlig neuen Licht!

Adrian Nowak und Karsten Sohr, Forscher der Universität Bremen, haben in Mobiltelefonen
von Sony Ericsson eine Sicherheitslücke ausgemacht,
durch die Anwendungen Lese- und Schreibzugriff auf die Systemdateien des Geräts bekommen können.
Damit lassen sich beispielsweise Zertifikate austauschen, die die Herkunft zu installierender Programme bestätigen sollen.
Angreifer könnten so beliebige Software auf den Geräten installieren,
Benutzer die für das "Branding" installierten Logos und Klingeltöne ersetzen.

Es musste so kommen: Immer mehr kriminelle Trittbrettfahrer nutzen die Popularität von YouTube für ihre eigenen Zwecke.
Websense warnt derzeit vor einem neuen Trojaner, der sich als Flash-Player tarnt.
Den Weg findet der Schädling über E-Mails, in denen ein Link auf ein angeblich interessantes YouTube-Video weist.
Statt auf der YouTube-Seite landet das Opfer dann auf einer YouTube täuschend ähnlich aufgemachten Seite,
die dem Besucher mitteilt, dass sich das Video wegen eines fehlenden Players nicht abspielen ließe.
Alsdann wird man aufgefordert, den hilfsbereiterweise angebotenen Flash-Player herunterzuladen und zu installieren –
es erscheint fast unnötig zu betonen, dass da nicht das drinsteckt, was draufsteht.
Neu ist der Trick indes nicht, allerdings versuchten bislang hauptsächlich Porno-Seiten
dem Betrachter dubiose Video-Codecs unterzuschieben.

Mit einem simplen Trick versuchen Spammer, Links zu Malware-verseuchten Webseiten als harmlose Links zu Google-Suchergebnisseiten zu tarnen. Darauf weist die Internet-Sicherheitsfirma Trend Micro hin. Sie machen sich zunutze, dass die Suchmaschine bei Verwendung der Suchoption "Auf gut Glück" automatisch zum ersten Suchtreffer weiterleitet. Auf diese Weise können Angreifer den guten Ruf der Suchmaschine für ihre Zwecke nutzen, weil das Misstrauen gegenüber Google-Links überwiegend sehr gering ausfallen dürfte.

Windows installiert erneut
unaufgefordert Updates (14.Oktober 2007)

Seit dem jüngsten Microsoft-Patchday berichten Windows-Anwendererneut von Problemen mit Windows Update.
Obwohl sie ihr System für die manuelle Installation von Updates konfiguriert haben, hatte Windows automatisch Programmaktualisierungen eingespielt und den Rechner neu gebootet.
Nachdem Microsoft bereits im September Windows-Rechner heimlich aktualisierte,
war Windows Update schnell erneut als Schuldiger ausgemacht.
Am vergangenen Freitag reagierte Nate Clinton, Windows Update Program Manager bei Microsoft, auf die Vorwürfe.
Das Update Team habe eingesandte Log-Dateien analysiert.
Die Einstellungen für automatische Updates (AU) seien weder vom AU-Client selbst
noch durch die von ihm installierten Updates vorgenommen worden, so Clinton.
Er bat alle diejenigen, die von dem Problem betroffen sind, sich an den Security-Support zu wenden.

Mein Kommentar:
Mich wundert da rein gar nix mehr!
Und Passt doch auch perfekt ins Bild!
Hier werden die User von Microsoft doch ganz offensichtlich
nur noch nach Strich und Faden verarscht....

Microsoft
spielt heimlich
Updates ein (14.September 2007)

Mehrere Anwender staunten nicht schlecht, als sie in ihr System-Ereignis-Log schauten: Microsoft hatte offensichtlich Updates ausgeliefert und eingespielt, obwohl die Anwender lediglich über neue Updates informiert werden wollten.
Das Unternehmen hat diese Beobachtung jetzt bestätigt und das Vorgehen verteidigt.
Microsofts Manager für Windows Update, Nate Clinton, erklärt in einem Eintrag im Microsoft Update Product Team Blog,
dass es sich um Updates für den Windows-Update-Client von Windows XP und Windows Vista handele.
Diese seien nötig geworden, da die alte Version neue verfügbare Updates nicht mehr gefunden und gemeldet hätte.

Mein Kommentar:
Auch ich kann nur noch staunen!
Nun dauert es in Kombination mit dem geplanten Bundestrojaner
auch sicherlich nicht mehr allzulange,
bis Microsoft online und in trauter Interaktion mit dem BKA
jedem User nur noch ganz bestimmte Sicherheitseinstellungen
im jeweiligen System erlaubt.

Ein von Avira seit kurzem verteiltes Update für die Kernkomponenten der Antivirensoftware sorgt auf einigen Systemen für Bluescreens. Die Suche nach der Ursache des Problems ist inzwischen abgeschlossen. Der Hersteller stellt auf Anfrage einen Hotfix bereit, der im Laufe des Tages auch per automatischem Update verteilt werden soll. Der Fehler kann laut Thomas Salomon von Avira auftreten, wenn ein Rechner mit Nvidia-Chipsatz und Nforce-Treibern vom Juli dieses Jahres oder neueren Versionen ausgestattet ist. Unter Windows XP und Vista kann es dann bei aktivierter DEP, in deutschen Windows-Versionen Datenausführungsverhinderung genannt, zu einem Absturz mit Bluescreen kommen. Dem Support-Forum von Avira zufolge half betroffenen Anwendern bis jetzt lediglich das Deinstallieren des Anti-Rootkit-Moduls im abgesicherten Modus. Mit den (älteren) Microsoft-Treibern tritt das Problem laut Salomon nicht auf. Daher können betroffene Anwender beispielsweise im abgesicherten Modus die älteren Treiber im Gerätemanager aktivieren. Anschließend sollten sie sich entweder den Hotfix besorgen oder das Update bei Verfügbarkeit einspielen. Danach sollten auch die neueren Chipsatztreiber keine Probleme mehr bereiten

Um ein fremdes Land anzugreifen, müssen nicht unbedingt Flugzeuge, Raketen oder Panzer eingesetzt werden: Das kleine Estland erlebte in diesem Frühsommer den weltweit bisher schwersten Hacker-Angriff. Mehr als 20 Tage lang wurden Computer von Regierung und Banken mit Millionen sinnloser Anfragen bombardiert und lahmgelegt. Als Drahtzieher verdächtigten die Esten ihren Nachbarn Russland. Moskau liegt seit dem Denkmal-Streit in Tallinn mit der estnischen Regierung im Clinch.

Zahlreiche Detailverbesserungen
in Spybot Search&Destroy 1.5 (28.August 2007)

Die kostenlose Anti-Spyware Spybot Search&Destroy ist in Version 1.5 erschienen. Die Entwickler haben ihrer Ankündigung zufolge unter anderem die Erkennungsroutinen verbessert und beschleunigt. Außerdem unterstützt Spybot Search&Destroy nun offiziell Windows Vista – und auch auf dem Betriebssystem-Oldie Windows 95 soll die Software wieder laufen.

Internes Info:

Ich habe die neue Version 1.5 von Spybot S&D unter XP und
u.a. auch auf einem älteren Win 98 SE System ausführlich getestet.
Dabei konnte ich die erfreuliche Erfahrung machen,
dass die aktuelle Engine nicht nur
wesentlich schneller und stabiler läuft
sondern auch ältere Fehler unter 98 (Siehe unten!)
nunmehr völlig behoben sind.

Sie finden die aktuelle Version 1.5 in meinem
Download Bereich .

Bitte beachten Sie auch meinen Beitrag:
Search & Destroy Vers. : 1.3/ 1.4/1.5

DER TECHNODOCTOR

1. Der komplette Systemscan hakt nicht mehr minutenlang
an bestimmten Produkterkennungen.
Daher ist die Dauer des Scans nun wieder erheblich reduziert.

2. Das Immunisierungsmodul startet nunmehr auch unter Win 98 sofort.
In der 1.4 Version benötigte das Programm mit wachsender Größe der Definitionsdateien
dagegen zuletzt oftmals weit über 2 Minuten
bis die Oberfläche des Tools im Programmfenster überhaupt sichtbar wurde

3. Nach erfolgter Immunisierung kam es in der Versionen 1.3 und 1.4
vor allem unter manchen 98er Systemen nach einer erneuten Prüfung
immer wieder zu der Meldung: "....dass noch eine kleine Anzahl
weiterer Blockierungen möglich wären...."(Siehe Screenshot)

Nach Angaben des Supportes sollte dieser Fehler eigentlich
bereits mit der Version 1.4 behoben sein.
Leider war dies aber nie der Fall, und trotz verschiedener Massnahmen
wie Neuinstallation und Löschen der kompletten Hostdatei
stieg statt dessen mit der Zeit die Anzahl der angeblich
nicht dauerhaften Blockierungen langsam immer weiter an.

Screenshot
nach fehlerhaftem Immunisierungsversuch von S&D 1.3 und 1.4

Beim Prüfen der Immunisierung wurden hier z.B. 2014 bedrohliche Produkte
als blockiert gemeldet und 3 weitere Blockierungen vorgeschlagen.
Nach Immunisieren waren dann zunächst tatsächlich 2017 Produkte blockiert.
Prüfte man jedoch erneut, kam allerdings immer wieder die Meldung,
dass nur 2014 Produkte blockiert wurden und 3 weitere Blockierungen möglich sind.
Dieses Spielchen ließ sich dann beliebig oft wiederholen.
Die 3 zusätzlichen Blockierungen wurden also nicht dauerhaft übernommen

Falls nach einem der letzten Updates S&D nur noch extrem langsam starten sollte,
beachten Sie bitte Folgendes:

1. Laden Sie sich von meiner Downloadseite
oder direkt über folgenden Link den S&D Bugfix
als ZIP-Datei herunter und entpacken Sie diesen.

2. Dann speichern Sie die zwei enthaltenden Dateien (spybotsd.exe und
domains.sbs) in Ihrem Spybot Ordner.
Dieser sollte hier zu finden sein:
C:\Program Files\Spybot - Search & Destroy

Die spybotsd.exe gehört hierhin:
C:\Program Files\Spybot - Search & Destroy
Die domains.sbs gehört hierhin:
C:\Program Files\Spybot - Search & Destroy\Includes

Wenn Sie gefragt werden, ob Sie Dateien überschreiben möchten, dann
antworten Sie mit Ja.
Das wird die notwendigen Änderungen vornehmen.

Sony will Rootkit-Funktion
aus USB-Stick-Software entfernen (03.September 2007)

Sony will die Software für den USB-Stick mit Fingerabdruckscanner demnächst auch ohne Rootkit-Funktion anbieten. Das kündigte das Unternehmen gegenüber britischen Medien an. Vergangene Woche wurde bekannt, dass die Software zu dem USB-Stick MicroVault USM-F ein Unterverzeichnis des Windows-Ordners mittels Rootkit-Techniken vor regulären Windows-Anwendungen versteckt.

Experten zweifeln an
Verfassungskonformität
des "Bundestrojaners" (31.August 2007)

Datenschützer haben heimliche Online-Durchsuchungen vor der Beratung der umstrittenen Maßnahme durch Sicherheitspolitiker der großen Koalition am heutigen Freitag als nicht konform mit dem Grundgesetz und technisch kaum durchführbar kritisiert. Zugleich sorgt auch die eingeschränkte Fassung des Richtervorbehalts in den Plänen von Bundesinnenminister Wolfgang Schäuble (CDU) für neuen Wirbel. Spiros Simitis, der Nestor der EU-Datenschutzgesetzgebung, hält die entsprechende Passage im Entwurf für die Novelle des Gesetzes für das Bundeskriminalamt (BKA) für unvereinbar mit den verfassungsrechtlichen Vorgaben. Dabei spiele es keine Rolle, ob die Ausforschung "informationstechnischer Systeme" nur ein Mal oder hunderte Male durchgeführt werde, bemängelte der emeritierte Frankfurter Rechtsprofessor
im Deutschlandradio Kultur die diversen Beruhigungsversuche von BKA-Präsident Jörg Ziercke: "Das Ganze ändert sich auch nicht dadurch, dass es von A oder B gemacht wird, vom Ministerium oder einem privaten Unternehmen." Maßstab seien für alle die verbrieften Grundrechte.

Nach den Präsentationsfolien der Vorträge hat das unabhängige Landeszentrum für Datenschutz in Schleswig Holstein
nun auch Videointerviews mit einigen Referenten der Sommerakademie 2007 veröffentlicht.
Von aktuellem Interesse ist das Interview mit Jörg Ziercke, dem Chef des Bundeskriminalamtes.
Im Interview bekräftigt Ziercke das Vorhaben seiner Behörde, mit eigens angefertigten Unikaten
die Verschlüsselungsanstrengungen von Straftätern aufzuheben.

Datenschutz-Sommerakademie:
Schutz und Trutz vor der
Online- Durchsuchung (28.August 2007)

Das Kontrastprogramm zum Thema "Offene Informationsgesellschaft und Terrorbekämpfung"
der Kieler Datenschutz-Sommerakademie 2007 kam ebenfalls aus Kiel, vom Datenschutzzentrum höchstpersönlich.
Die ULD-Mitarbeiter Markus Hansen und Christian Krause erklärten im großen, sehr gut besuchten Vortragssaal,
welche Maßnahmen gegen eine heimliche Online-Durchsuchung mit der Remote Forensic Software die größte Wirkung zeigen.

Der Antivirenhersteller F-Secure wurde durch Warnmeldungen seiner Software auf ein Problem mit der Software zu
Sonys USB-Stick MicroVault USM-F
aufmerksam, der einen Fingerabdruckscanner enthält: Die Software versteckt sich mit Rootkit-Techniken im System.

Bereits 2005 hatte Sonys gemeinsam mit Bertelsmann betriebene Musiktochter Sony BMG mit einem Kopierschutz für
Audio-CDs auf sich aufmerksam gemacht,
der sich ebenfalls als Rootkit im Rechner eingenistet hat.
Die Software zum Ansprechen des Fingerabdruckscanners versteckt nach der Installation ein Unterverzeichnis von C:\Windows\.
Darin könnten sich auch Schädlinge verstecken.
Nicht nur die Software von der mitgelieferten CD, sondern auch die aktuellere Software
auf Sonys Website installiert sich als Rootkit.

Das Bundesinnenministerium hat im Rahmen der Beantwortung eines umfangreichen Fragenkatalogs der SPD-Bundestagsfraktion zu heimlichen Online-Durchsuchungen den geplanten Einsatz der "Remote Forensic Software" (RFS) erläutert und dabei unter anderem weitere Hinweise auf die Verbreitungsmöglichkeiten des Schnüffelprogramms gegeben. Alles deutet demnach darauf hin, dass die eigentliche Spyware-Komponente im Rahmen eines gängigen Trojaner-Angriffes auf einen Zielrechner gelangen soll. "Die Einbringung der RFS im Wege der E-Mail-Kommunikation kann je nach Einzelfall ein geeignetes Mittel darstellen", heißt es in der heise online vorliegenden Stellungnahme des von Minister Wolfgang Schäuble (CDU) geführten Hauses. Dazu werde ein Bestandteil des Werkzeugs zur "Datenerhebung" einer weiteren Datei beigefügt. Beim Öffnen dieses Anhangs werde die RFS auf dem Zielsystem installiert.

Die vermutlichen Spionage-Angriffe auf deutsche Regierungscomputer sind eigentlich keine Überraschung. "Experten wissen schon lange, dass es solche Angriffe gibt", sagte der Sicherheitsexperte Christoph Fischer der dpa. Auch chinesische Hacker seien stark vertreten.
China soll auch hinter den Attacken auf Computer des Kanzleramtes und drei Ministerien stecken, was die chinesische Botschaft in Deutschland aber dementierte. Der chinesische Ministerpräsident versprach gar "entschlossene Maßnahmen", um Hacker-Angriffe auszuschließen.
Fischer sagte, heute vergehe kein Tag mehr, an dem nicht jeder Internet-Nutzer mit Trojaner-Programmen bombardiert werde. "Das ist der ganz alltägliche Wahnsinn des Internet." Der Chaos Computer Club (CCC) geht davon aus, dass das Ausmaß der Online-Angriffe gar nicht genau abgeschätzt werden kann. "Es reicht nicht aus, zu beobachten, welche Daten aus und ein gehen", sagte Club-Sprecher Andy Müller-Maguhn. "Trojaner können auch Daten auf einem Computer manipulieren, ohne dass ein Anwender davon etwas mitbekommt." Nach Informationen des Spiegel wurden zahlreiche Computer des Kanzleramts sowie des Außen-, Wirtschafts- und Forschungsministeriums infiziert. Als besten Schutz empfahl Fischer, zwei Rechner zu nutzen: einen für das interne Netzwerk, den anderen für die Internet-Verbindung.

IT-Branchenverband
fordert rasche Korrektur
der Hackerparagraphen (16.August 2007)

Der IT-Branchenverband Bitkom sieht die am Samstag in Kraft getretene Verschärfung des Computerstrafrechts nach wie vor als kontraproduktiv für die IT-Sicherheit an. Der Verband weist zugleich darauf hin, dass mit den so genannten Hackerparagraphen eine "Kriminalisierung von Systemadministratoren, IT-Sicherheitsexperten und Software-Händlern" drohe. In der Praxis führe die neue Regelung zu einem Verbot von Spezialsoftware, die für die Entdeckung und Analyse von Sicherheitslücken in IT-Systemen notwendig sei. Entsprechende Schwachstellen würden "seit jeher standardmäßig" mit entsprechenden Hacker-Tools getestet, gibt Bitkom-Hauptgeschäftsführer Bernhard Rohleder zu bedenken. Für ihn steht fest: "Der Gesetzgeber hat das Kind mit dem Bade ausgeschüttet. Wie soll man die Hacker schlagen, wenn nicht mit ihren eigenen Waffen?"

Anfang des Jahres wehte er noch als leichte Brise herein: der Sturm-Wurm. Inzwischen hat er sich jedoch tatsächlich zum ausgewachsenen Sturm entwickelt. Das mit dem Schädling aufgebaute Botnetz sei auf mehr als 1,7 Millionen Drohnen, also infizierte Rechner, angewachsen, meldet der Sicherheitsdienstleister SecureWorks. Das Netz diene bislang vorrangig dem Versand von Spam-Mails, könne jedoch auch für DDoS-Angriffe gegen Unternehmen oder gar Länder eingesetzt werden, schreibt das Unternehmen.

Das Chaos Communication Camp hat noch nicht mal angefangen, da stehen schon die ersten "gehackten" Web-Seiten in der "Hall of Shame". Üblicherweise gibt es einen Anstieg derartiger Versuche während des Sommerzeltlagers des Chaos Computer Clubs sowie während des vorsilvesterlichen Kongresses. So wurden etwa im Laufe des 21C3 rund 18.000 Websites verändert, was sogar das LKA auf den Plan rief und Diskussionen über die Hackerethik ausgelöst hat. Administratoren sollten während solcher Veranstaltungen des Öfteren ihre Webseiten daraufhin kontrollieren, ob irgendwelche Spaßvögel ihren Schabernack getrieben haben. Offiziell beginnt das Camp am morgigen Mittwoch, den 8. August.

Virtualisierungs-Rootkits Blue Pill frei zugänglich gemacht. Die Rootkits-Spezialistin Joanna Rutkowska hat den Quellcode einer komplett neu geschriebenen Version des Bereits auf der Black-Hat-Konferenz in Las Vegas 2006 Blue Pill wurde nicht nur überarbeitet, sondern bietet neue stellt sie einen Prototypen des Rootkits vor. Das neue Funktionen und setzt laut Beschreibung nun auf die Virtualisierungsunterstützung moderner Prozessoren (HVM, hardware virtualized machines).(New) Blue Pill soll damit in der Lage sein, ein laufendes Windows in eine virtuelle Umgebung zu verschieben – ganz ohne Neustart und für den Anwender unsichtbar. Damit ist es so aus dem System heraus mit bisher bekannten Methoden nicht aufzuspüren.http://www.heise.de/security/news/meldung/93753

Nicht nur falsch eingerichtete WLANs öffnen ungebetenen Mitsurfern und Datenspionen den Zugang. Auch ein Konfigurationsfehler beim Provider kann dazu führen, dass DSL-Kunden unwissentlich Daten für andere Kunden desselben Providers freigeben, berichtet die c't in ihrer Ausgabe 16/07. Das Problem fiel durch einen Extremfall auf. In der Windows-Netzwerkumgebung eines DSL-Nutzers erschien plötzlich ein fremder PC mit freigegebenen Ordner, in denen Kinderpornos lagen. Und, was noch schlimmer war, dieser fremde Rechner verband sich auf dem Umweg über den PC des arglosen Nutzers mit dem Internet, um die illegale Sammlung zu erweitern. Das kann geschehen, wenn durch eine Fehlkonfiguration beim Provider mehrere DSL-Anschlüsse zusammengeschaltet werden, wie am Switch in einem lokalen Netzwerk. Dann besteht auch ohne Internet-Einwahl eine direkte Verbindung über die beiden DSL-Leitungen. Wenn dann ein PC ohne vorgeschalteten Router direkt am ADSL-Modem hängt, stellt er über seine "LAN-Verbindung" den anderen betroffenen Kunden seine Freigaben zur Verfügung. Die Fehlkonfiguration kann auf verschiedenen Ebenen des Provider-Netzwerkes passieren. Daher können schlimmstenfalls alle Kunden desselben Providers in einer Stadt zusammengeschaltet sein. In den bisher belegten Fällen waren es jedoch nur wenige.

Heimliche Online-Durchsuchung
in den USA:
FBI setzte erstmals CIPAV ein (18.Juli 2007)

Zur Aufdeckung der Identität eines Straftäters, der mehrere Drohungen verschickte, eine High School im amerikanischen Bundesstaat Washington in die Luft zu sprengen, hat das FBI erstmals zum Mittel der so genannten heimlichen PC-Durchsuchung gegriffen. In seinem Blog beim amerikanischen Branchendienst CNet verweist der US-Journalist Declan McCullagh dabei auf die eidesstattliche Erklärung eines FBI-Offiziers, der den Durchsuchungsbefehl (PDF-Datei) beantragte. In dieser Erklärung wird die Funktionsweise der Spyware beschrieben, die das FBI einsetzt und unter dem Kürzel CIPAV (Computer and Internet Protocol Address Verifier) führt.
CIPAV ist offenbar ein Windows-Programm; es wird von einem FBI-Computer per E-Mail oder Instant Messaging verschickt und nistet sich auf einem Zielcomputer oder auf einem Web-Angebot wie MySpace oder Google Mail ein, um von dort auf den oder die Zielcomputer zu gelangen. Einmal installiert schickt CIPAV nach einer Durchsuchung der gesamten Festplatte eine Aufstellung zum FBI, die den Namen aller laufenden Programme, die Browser-Informationen, den Typ des Betriebssystems samt Seriennummer und alle Benutzerinformationen aus der Registry enthält. Außerdem werden jeweils die zuletzt besuchte URL und alle besuchten IP-Adressen übermittelt, jedoch – im Unterschied zu den Forderungen für eine heimliche Online-Durchsuchung hierzulande – nicht die Inhalte der Kommunikation, wie das FBI in der eidesstattlichen Erklärung mehrfach betont. Ob CIPAV in der aktuellen Version zumindest technisch in der Lage ist, auch die Inhalte der Kommunikation oder die Tastatureingaben mitzuschneiden und zu übermitteln, geht aus den FBI-Dokumenten nicht hervor.

Mitschnitte von Handytelefonaten, Kurznachrichten sowie die protokollierten Verbindungsdaten stehen den polizeilichen Ermittlungsbehörden in der Verbrechensbekämpfung offen – einen entsprechenden richterlichen Beschluss vorausgesetzt. Doch einem Bericht des Nachrichtenmagazins Spiegel zufolge geht die Polizei noch einen Schritt weiter und manipuliert Mobiltelefone derart, dass sie unbemerkt von deren Besitzer als Wanze zur Abhörung eingesetzt werden können. Über Funksignale sei es den Kriminalbehörden möglich, die Freisprecheinrichtung des Handys aus der Ferne zu aktivieren, um Geräusche aus dessen unmittelbarer Umgebung mitzuschneiden – solange der Besitzer sein Gerät eingeschaltet habe. Dabei bewegen sich die polizeilichen Ermittler noch im Rahmen der Gesetzgebung, denn die Strafprozessordnung erlaubt den Einsatz beliebiger technischer Mittel für Abhörmaßnahmen. Laut Experten ist es beispielsweise möglich, Handys derart zu programmieren, dass sie in einen scheinbar ausgeschalteten Zustand wechselten, bei dem Display und Lautsprecher deaktiviert sind, im Hintergrund aber die Mobilfunkverbindung aufrecht erhalten bleibt. Insbesondere in enger Kooperation mit dem jeweiligen Mobilfunkprovider seien für die Ermittlungsbehörden solche Manipulationen leicht zu bewerkstelligen. Aber auch der Zugang durch andere drahtlose Schnittstellen wie Bluetooth, WLAN und Infrarot, über die Schadsoftware wie etwa Trojaner eingeschleust werden können, machten ein Handy grundsätzlich unsicher.

Lücke durch parallele Installation
von Firefox 2 und Internet Explorer (11.Juli 2007)

Über ein trickreiches Zusammenspiel von Internet Explorer und Firefox 2 kann ein Angreifer über eine manipulierte Webseite beliebige Befehle auf einem PC ausführen. Ursache des Problems ist die Verarbeitung der Firefox-spezifischen URI firefoxurl://, mit der es möglich ist, eine neue Firefox-Instanz mit einer beliebigen Adresse zu starten. Die URI ist unter anderem in der Form firefox.exe -url "%1" registriert, wobei der Parameter die zu öffnende Seite darstellt. Durch Einfügen eines Anführungszeichens in den Parameter ist es aber laut Thor Larholm möglich, weitere Parameter zu übergeben und Firefox damit zu starten. Unter anderem lässt sich so über die Option -chrome JavaScript im Kontext von Chrome ausführen, also mit vollem Zugriff auf lokale Ressourcen.

Der Bundesrat hat in seiner Plenarsitzung am heutigen Freitag die heftig umstrittene Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität ohne weitere Aussprache passieren lassen. Die Länderchefs folgten damit der Empfehlung des Rechts- und des Wirtschaftsausschusses, den Vermittlungsausschuss mit dem Parlament nicht anzurufen. Ende vergangenen Jahres hatten die Länder noch zahlreiche Bedenken gegen den Regierungsentwurf zur Verschärfung und Ergänzung der so genannten Hackerparagraphen. So wiesen sie damals etwa auf die Gefahr hin, durch eine weite Tatbestandsfassung auch legale Handlungsweisen von Sicherheitsberatern zu kriminalisieren. Obwohl der Bundestag den Regierungsentwurf entgegen dem Anraten von Sachverständigen bei einer parlamentarischen Anhörung unverändert verabschiedete, nutzte der Bundesrat seine Einspruchsmöglichkeit gegen das Gesetz nun aber nicht. Vielmehr akzeptierten sie die Entscheidung des Parlaments, dass das illegale Eindringen in fremde Netze auch mit dem Ziel der Aufdeckung von Schwachstellen nicht schutzwürdig sei. Wenig nützte da noch ein Protest der Gesellschaft für Informatik, die jegliche Lehre, Forschung und Entwicklung und selbst die Diskussion über Prüftools zur IT-Sicherheit unter Strafe gestellt sieht.

"Er aber, Siddhartha, schuf. Und er warf sich ins Gras und weinte." Was anfängt wie eine Dichtung von Hermann Hesse entpuppt sich als nächste Generation von Spam-Mails. Derzeit kursieren sie massenhaft. Um die Spam-Filter auszutricksen, enthält der eigentliche Text der Spam-Mail zwar leicht wirre Phrasen, die lassen aber bei der Prüfung durch den Spam-Filter kaum Verdacht auf Junk-Mails aufkommen. Im Anhang steckt dann allerdings profanes Stock-Spam: In einem PDF-Dokument wird für Aktien der Firma Talktech geworben. Da mittlerweile auf jedem PC ein PDF-Reader installiert ist, dürfte es beim Öffnen des Dokuments keine Probleme geben. Und die Spam-Filter analysieren derzeit noch keine PDFs.

Das Ziel der Auftraggeber derartiger Spam-Wellen ist klar: Sie kaufen Papiere zum günstigen Kurs, wollen den Preis der Aktie in die Höhe treiben und dann schnell ihren Gewinn mitnehmen. Das betroffene Unternehmen hat in der Regel mit solchen Manipulationsversuchen nichts zu tun. Dass Aktien-Spams die Kursverläufe tatsächlich beeinflussen können, zeigten Studien bereits Anfang des Jahres 2006.

Mehrere Hersteller von Sicherheitssoftware warnen derzeit vor einer breit angelegten Attacke auf Web-Anwender. So will etwa Websense mehr als 10.000 europäische, vornehmlich italienische Webserver entdeckt haben, die versuchen, Besucher mit Trojanern zu infizieren. In der Regel soll es sich dabei um harmlose Server für Touristik, Hotels, Auto und Kino handeln, die gehackt und deren Seiten mit einem zusätzlichen IFrame ausgestattet wurden – dazu genügt eine Zeile Code, die ein Web-Admin nicht so ohne Weiteres entdeckt. Der IFrame lädt Code von einem weiteren Server nach, auf dem das Web-Exploit-Toolkit MPACK zum Einsatz kommt. Das soll in der Lage sein, das Betriebssystem und den verwendeten Browser des PC des Opfers zu erkennen und dafür explizit zugeschnittene Exploits auszuprobieren. So ist das Toolkit nicht nur fähig, ungepatchte Lücken im Internet Explorer auszunutzen, sondern auch solche in Firefox und Opera. Auch Lücken in QuickTime nutzt es aus. Allerdings scheint MPACK nur auf bekannte Lücken zu setzen, für die es längst Updates der Hersteller gibt. Glaubt man der integrierten Statistik von MPACK, sollen bereits mehr als hunderttausend Anwender die infizierte Seite nachgeladen haben, mehr als zehntausend ihre PCs mit einem Schädling infiziert haben. Dieser soll Bankdaten ausspähen und Tastatureingaben mitlesen. Eine genaue Analyse von MPACK hält Panda Software auf seinen Seiten bereit: MPACK uncovered. Der Antiviren-Hersteller Avira rät Anwendern, den Zugriff auf den MPACK-Server mit der IP-Adresse 64.38.33.13 zu blockieren.

Im Unterschied zur Eingabe komplizierter Passwörter ist der Notebookzugang durch biometrische Daten wie einen Fingerabdruck sehr bequem. c't zeigt jedoch in der aktuellen Ausgabe 12/07 (ab Dienstag im Handel), wie leicht sich Fingerabdrucksysteme überlisten lassen, wenn man an den richtigen Fingerabdruck kommt. Eine so genannte Lebenderkennung soll sicherstellen, dass Fingerabdrucksensoren nur die Linienmuster von lebendiger Haut akzeptieren und keine künstlichen Materialien. Angreifer, die den biometrischen Schutz aushebeln wollen, müssen nur in den Besitz des gewünschten Fingerabdrucks kommen. Wenn sie diesen – etwa auf benutzten Alltagsgegenständen – aufspüren, können sie mit Hilfe von Sekundenkleber, Holzleim und weiteren Hausmitteln eine Fälschung herstellen, die in einer dünnen Schicht direkt auf der Haut eines lebendigen Fingers getragen wird. Eine weitere Beschichtung mit Gold oder Graphit gleicht die elektrischen Eigenschaften der Attrappe an die menschliche Haut an. Im c't-Test fiel jeder Sensor auf mindestens einen Täuschungsversuch herein.

Der Chaos Computer Club (CCC) und Stimmen aus der Internetwirtschaft haben erhebliche Einwände und Sicherheitsbedenken gegen die heute vom Bundestag verabschiedete Änderung des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität vorgebracht. "Das Verbot des Besitzes von Computersicherheitswerkzeugen öffnet auch dem Einsatz des Bundestrojaners Tür und Tor", warnt CCC-Sprecher Andy Müller-Maguhn. Industrie und Bürgern werde systematisch die Möglichkeit genommen, ihre Systeme adäquat auf Sicherheit zu überprüfen. Dieses Verbot gefährde "die Sicherheit des IT-Standorts Deutschland". Sicherheitsforschung könne nur noch in einer "unannehmbaren rechtlichen Grauzone stattfinden". Das Gesetz erwecke den Anschein, dass unabhängige Sicherheitstester nach Belieben selektiv kriminalisiert werden sollten.

Seit gestern sind zwei neue Wellen von Trojaner-Mails unterwegs, die unter dem gefälschten Absender zweier bekannter Anwaltskanzleien Geld einfordern. Für weitere Informationen solle der Empfänger die vermeintliche Rechnung im Anhang öffnen, der tatsächlich aber nur ein Schadprogramm enthält, das inzwischen fast alle aktuellen Virenscanner erkennen. Allein auf den E-Mail-Servern des Heise-Verlags sind inzwischen mehr als tausend dieser E-Mails eingegangen.

Die Web-Seiten für das Online-Banking vieler Sparkassen enthalten mehrere heftige technische Fehler, über die sich nahezu perfekte Phishing-Seiten erstellen lassen. Die dazu erforderlichen Angriffstechniken namens Cross Site Scripting (XSS) und Frame Spoofing sind bereits seit Jahren bekannt und sorgten in der Vergangenheit immer wieder für Schlagzeilen. Dass ausgerechnet die Login-Seiten eines ganzen Online-Banking-Portals dagegen anfällig sind, lässt eigentlich nur die Schlussfolgerung zu, dass sich die Verantwortlichen in den vergangenen Jahren nicht ausreichend um deren Sicherheit gekümmert haben

In den kürzlich von Avira veröffentlichten neuen Versionen ihrer Antivirensoftware hat sich ein Fehler eingeschlichen, durch den Anwender, die das Programm nicht in den vorgegebenen Standard-Pfad installieren, möglicherweise ohne Update-Funktion dastehen. Laut Avira tritt das Problem dann auf, wenn der Installationspfad länger als etwa 30 bis 40 Zeichen ist. Der Fehler sei bereits bekannt und werde in der kommenden Version behoben, die das Unternehmen Anfang Juni veröffentlichen will.

Der Anbieter von Anti-Viren-Software Symantec berichtet von einem Phishing-Programm, das mittels einer Eingabemaske für eine vermeintliche Windows-Aktivierung versucht, arglosen Anwendern die Kreditkartendaten zu entlocken. Aktuelle Symantec-Virenscanner erkennen den Schädling, der sich in einer etwa 1 MByte großen exe-Datei versteckt, als Trojan.Kardphisher. Er kann grundsätzlich allen Rechnern mit Windows 95, 98, NT, 2000, XP oder Server 2003 gefährlich werden – egal ob auf den Systemen eine Windows-Kopie läuft, die eine Aktivierung erfordert oder nicht.

Aktuell kursieren neue Versionen von infizierten Mails in den Postfächern.
Dabei machen die Absender sich offensichtlich die potentielle Angst der Anwender
vor den jüngst in der Presse veröffentlichen Beschlüssen zur
heimlichen Online-Durchsuchung durch die Behörden zunutze.
Diese Mails werden angeblich von Landeskriminalämtern verschickt und sollen im Anhang
eine Zipdatei mit dem Durchsuchungsprotokoll enthalten, zu deren Öffnen man im Mailtext aufgefordert wird.
Es versteht sich wohl von selbst, dass es sich dabei um Schadcode handelt
und diese Mails sofort gelöscht werden sollten.

Als Beispiel lesen Sie bitte mal den Text folgender Originalmail die mich heute Morgen erreichte....

Sehr geehrter Internetnutzer,

im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

IP: xx.xxx.xxx.xxx

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Herbert Klein, Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 - 970738
Fax: 06131 - 970731
Mobil: 0171 - 7504699
Mail: XXXX@aol.com

________________________________________________________________________________________

ANHANG: (Nur im Quelltext sichtbar)

Content-Type: application/octet-stream;
name="NR-[18059360].zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="NR-[18059360].zip"

UEsDAAgAIAJmOpDZax7BM/yEAAABQ...............AAAQAAAAQWt0ZW56ZWljaGVuLmV4
Zew6f3hTVZY3bSihpE1aEihS1.................qLVZQQRDWiROoYf6cdoM6YtLS0QCtJqiBRq
yXM6uxTjhDK8ecTpzuAuw8JsUZxlEHdYrWMdFAPtQlnDbHem802U6sal6q3N
7lblR9Xq23POe0lf2jL6fTvft//4vu+e++65555f99x77n2Jc3ULS2WM6aHI
MmPtTHns7KufQSiZ1/8mk7VNO..............j+rXVd8ftZKz6ZtefUNWx9u2FCXt3HDli1b
fXkP1uY1CFvyNm3JW/5AWV7d1praeRkZ6fkqj6p/PPbizDOno/Hy+Jv/Hp0B
9c/fCkevh/rym13RqVSfi+ZQfYbqmWc6ovvVMUj3bKgzmgt16aaNHsRdS2eX
g7FinZ6FViwuiuOizKSbrEtj7A5oXKfgLt4OwIwDVG/ge4riJ8ZGalY/0kgh
aFZoE3Wiomf2QsYa8WU9Y91G9ud7zAkFxn3m+WobfVDX3KLSztUaoTx54Aqi
A9sL9GoQgFvY/DF06+fVbPBtALrNk1UfoS13JtPB8NC8hm0NG5lq63oMGChL
x9DZ2TfP/8uTfzdjU6HooRTcreB6Chj7TygfQ9EvgiUBpR..............

Im Quelltext der Mail fand sich noch eine Datei mit dem phantasievollen Namen: NR-[18059360].zip, (s.o.)
die sich aber unter meinen aktuellen Sicherheitseinstellungen von Outlook Express (Hohe Sicherheit) weder Öffnen ließ,
noch als Anhang zu sehen war. Die angegebenen Telefonnummern existieren nicht und die IP-Adresse (Ganz oben)
verweist auf einen Server in London. Beachten Sie auch die Schreibfehler im Mailtext,
welche ein Kriminaldirektor (vermutlich) vermieden hätte :-)))

Bislang dominieren Kabel und WLAN-Funknetze beim Verteilen von Musik, Video oder Daten aus dem Internet im ganzen Haus. Als etwas kostspieligere Alternative zu Kabeln tritt die inzwischen bis zu 200 MBit/s brutto schnelle Powerline-Technik auf den Plan. Sie erspart den Griff zum Schlagbohrer und bietet oft eine stabilere Übertragung als das störanfällige WLAN. Ihre Installation beschränkt sich auf das Anschließen des LAN-Kabels und das Einsetzen in die Steckdose. Die Steckdosen-Adapter verbinden PCs, Streaming Clients und Netzwerk-Festplatten über das Hausstromnetz. Dazu modulieren sie die Daten auf ein Kurzwellensignal und geben dieses auf die Leitung. Dabei stellt Verschlüsselung sicher, dass nur Berechtigte das Signal verwerten können. Außerdem soll nach Meinung von Powerline-Herstellern der Stromzähler das Powerline-Signal so stark abschwächen, dass es in der Nachbarwohnung nicht mehr zu entziffern ist. Doch dem ist nicht immer so, wie die c't-Redaktion feststellte. Adapter aus drei Serien schafften eine zwischen 23 und 30 MBit/s schnelle Verbindung zwischen günstig gewählten Steckdosen in zwei Wohnungen auf der gleichen Etage. Fatal daran: Solch flotter Datenverkehr dürfte in vielen Fällen nicht nur bei gewollten Verbindungen zu Stande kommen.

US-Justizminister Alberto Gonzales hat gemeinsam mit der Vorsitzenden der Bundeshandelskommission FTC (Federal Trade Commission), Deborah Platt Majoras, den Kongress in Washington aufgefordert, einen von der Identity Theft Task Force erarbeiteten Aktionsplan zum besseren Schutz vor Identitätsdiebstählen umzusetzen. Die von US-Präsident George W. Bush im Mai vergangenen Jahres eingesetzte Sonderarbeitsgruppe hatte zuvor ein 120-seitiges Strategiepapier (PDF-Datei) vorgelegt, in dem unter anderem vorgeschlagen wird, die Herstellung und Verbreitung von Spyware sowie von Keyloggern verschärft unter Strafe zu stellen. Auch sollen die Mindesthaftzeiten für bestimmte Formen des elektronischen Datenklaus sowie für Mehrfachtäter deutlich verlängert und die Schadensersatzansprüche der Opfer von Identitätsdiebstählen ausgeweitet werden.

Phishing, Pharming und Spoofing – die Palette der Tricks ist lang, mit denen Internet-Betrüger ahnungslose Surfer ausspähen. Dabei haben es Kriminelle nicht nur auf Passwörter und wertvolle Geheimnisse wie Bankdaten abgesehen – inzwischen missbrauchen sie auch die Identität anderer, um im Netz unter falschem Namen aufzutreten. In den USA nimmt der Identitätsklau im Internet drastisch zu, aber auch in Deutschland sind die Datendiebe im Netz unterwegs.

Noch auf der CeBIT hat Avira Vista-kompatible Versionen der Antivirenprodukte für den 11. April dieses Jahres angekündigt. Jetzt sind sie mit etwas Verspätung zum Download und in den Läden verfügbar. Zusätzlich zu Windows Vista (32 Bit) unterstützen die Antivirenprogramme nun auch Windows XP in der 64-Bit-Version

Seit Kurzem landen in den E-Mail-Eingängen vieler Anwender vermeintliche Bestätigungsmails von Avira, die einen Trojaner im Anhang enthalten. Laut der E-Mail handelt es sich bei dem Anhang um eine Installationsdatei für eine Vollversion eines Avira-Virenscanners. Allerdings handelt es sich bei der Datei nicht um den Virenscanner, sondern um einen Schädling. Bislang ist noch wenig über den Trojaner im Anhang der Mails mit dem Betreff Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten bekannt. Es ist jedoch wahrscheinlich, dass es sich – wie bei derartigen Mails üblich – um eine Downloader-Komponente handelt, die weiteren Schadcode auf den Rechner herunterlädt und ihn so in eine hörige Drohne eines Botnetzes verwandelt.

Eine neue Wurmversion aus der Nuwar/Zhelatin-Familie greift einen Trick auf, den bereits der Bagle-Wurm eingesetzt hat: Um einer Erkennung durch Viren-Scanner zu entgehen, ist die ausführbare Datei mit dem Schadcode in einem passwortgeschützten ZIP-Archiv versteckt. Die Wurm-Mail warnt den Anwender vor einem gefährlichen Wurm, gegen den der angehängte Patch schützen soll. Er sei aus Sicherheitsgründen verschlüsselt und der Anwender solle das Passwort eingeben, um ihn zu installieren. Um sich vor Scannern zu schützen, die Text analysieren, ist dieser ähnlich wie bei manchen Spam-Mails nur als Bildatei eingebunden. Über den c't-Emailcheck können Sie sich unter anderem auch einen harmlosen, verschlüsselten Testvirus zusenden lassen (EICAR in passwortgeschütztem ZIP-Archiv), mit dem Sie überprüfen können, wie Ihr Virenschutz auf derartige Tricks reagiert.

WEP-Verschlüsselung
von WLANs
in unter einer Minute
geknackt (04.April 2007)

Forschern der Technischen Universität Darmstadt ist ein weiterer Durchbruch beim Knacken WEP-verschlüsselter Funknetzwerke gelungen. Wie Erik Tews, Andrei Pychkine und Ralf-Philipp Weinmann in einem Paper beschreiben, konnten sie die Menge der für einen erfolgreichen Angriff notwendigen mitgeschnittenen Pakete auf weniger als ein Zehntel reduzieren. Ein mit einem 128-Bit-WEP-Schlüssel gesichertes Funknetz ließe sich nach Angaben der Forscher mit ihrem Angriff in unter einer Minute knacken. Auf der Homepage der Arbeitsgruppe steht ein Archiv zum Download bereit, das das WEP-Knackprogramm Aircrack um die neue Methode erweitert.

Der Sicherheitsspezialist Max Moser, unter anderem auch Entwickler der Security-Distribution BackTrack, will nach eigener Darstellung einen Weg gefunden haben, einen handelsüblichen Bluetooth-Dongle in einen Bluetooth-Sniffer umzuwandeln. Damit wäre es möglich, sämtliche Pakete in Reichweite befindlicher Bluetooth-Endpunkte mitzulesen und nicht nur die an das eigene Gerät adressierten. Ähnlich wie bei WLAN würde dies einen Dammbruch bei der Sicherheit von Bluetooth bedeuten, da etwa das frei verfügbare Tool BTCrack in der Lage ist, aus den während eines Pairing-Prozesses mitgelesenen Paketen die PIN und den Link-Key zu errechnen. Ein Angreifer hätte damit ebenfalls Zugriff auf die Endgeräte.

Indische Sicherheitsexperten haben auf der Black-Hat-Konferenz in Amsterdam einen speziellen Bootloader vorgestellt, der die Code-Signing-Mechanismen von Vista umgeht. Nitin und Vipin Kumar von NV labs entwickelten ein von CD startendes Programm namens VBootkit, das den Vista-Bootprozess anstößt und dabei "on-the-fly" Änderungen im Speicher und an zu lesenden Dateien vornimmt. Das "Bootkit" konnte auf diese Weise in einer Demonstration unter Vista RC2 (Build 5744) auch ohne Microsoft-Signatur mit Kernel-Privilegien laufen und System-Rechte an eine CMD-Shell vergeben. Nach Angaben der Experten liegt das fundamentale Problem darin, dass sich jede Stufe im Vista-Bootprozess blind darauf verlässt, dass bei der jeweils vorangegangenen alles sauber abgelaufen ist. So ist es dem Bootkit möglich, sich noch vor dem Vista-Boot ins Speicherabbild zu kopieren und den Interrupt 13 zu kapern, den Betriebssysteme unter Anderem für Lesezugriffe auf Festplattensektoren nutzen.

Sobald der NT-Bootsektor den Bootmgr.exe nachlädt, patcht VBootkit die für die Integritätssicherung zuständigen Sicherheitsabfragen und kopiert sich in einen ungenutzen Speicherbereich. Ähnlich geht es auch bei den nachfolgenden Boot-Stufen Winload.exe und NTOSKrnl.exe vor, bis es auch im fertig gebooteten System im Hintergrund läuft – und zwar ohne dass die neuen Vista-Sicherheitsmechanismen angeschlagen hätten, die die Ausführung von unsigniertem Code mit Kernel-Rechten verhindern sollen.

Ein Signatur-Update vom heutigen Freitagvormittag von Avira sorgt dafür, dass die Antivirenprodukte des Herstellers die Systemdatei winlogon.exe von Windows XP mit SP2 als Schädling identifizieren. Das Signatur-Update von 8:46 Uhr brachte laut Andreas Marx von av-test.org die fehlerhafte Signatur mit, die winlogon.exe als TR/WLHack.A identifiziert. In dem Signatur-Update von 9:51 Uhr hat Avira die fehlerhafte Signatur offenbar entfernt, die falsche Virenwarnung wird danach nicht mehr ausgelöst. Betroffene Anwender sollten daher ein manuelles Update ihrer Antivirensoftware veranlassen und gegebenenfalls die bereits in Quarantäne verschobene winlogon.exe wieder an ihren ursprünglichen Platz nach C:\Windows\System32\winlogon.exe verschieben. Laut Marx handelt es sich nicht um den ersten Fehlalarm in dieser Woche. Bereits am Dienstag dieser Woche sorgte ein Signatur-Update dafür, dass die Avira-Scanner ausführbare Flash-Dateien fälschlicherweise als TR/PSW.QQSpy.AF erkannten. Erst am Mittwoch behob dann ein weiteres Update den Fehler.

Avira, bei denen die Telefone dauerbesetzt sind und auch das Support-Forum unter der Last des Besucheransturms nur schwer erreichbar ist, erklärte in einer Mitteilung, Avira AntiVir sei eine der besten Virenerkennungen am Markt, "manchmal sogar zu gut. Mit dem Update vom 29. März 2007 wurde der Virenscanner zu sensibel eingestellt und meldete winlogon.exe, ein wichtiger Bestanteil des Windows Betriebssystems, als Trojaner: TR/WLHack.A." Die Software sei umgehend aktualisiert worden.

Avira (CeBIT: Halle 7, Stand B14) hat angekündigt, dass in die nächsten Versionen der Antivirenlösungen Anti-Rootkit-Technik Einzug halten soll. Auch Microsofts jüngstes Betriebssystem Windows Vista sollen die Produkte des Unternehmens aus Tettnang dann unterstützen. Die Technik zur Erkennung und Entfernung von Rootkits kommt ab dem 11. April dieses Jahres in allen Windows-Desktop-Produkten von Avira zum Einsatz, also auch in der kostenlosen Version Antivir Personal Edition Classic. Avira durchsucht Rechner nach versteckten Dateien, Registry-Einträgen und Prozessen. Entfernt werden aber nur Rootkits, für die eine Signatur zur Identifikation sowie ein Reparaturskript vorliegt. Das soll verhindern, dass infizierte Systeme nach der Entfernung des Schädlings nicht mehr lauffähig sind. Avira hat die Unterstützung für Vista ebenfalls für den 11. April angekündigt.

Verfassungsschutz
klärt über Wirtschaftsspionage
und Such-Trojaner auf (16.März 2007)

Der Verfassungsschutz von Nordrhein Westfalen ist derzeit die einzige deutsche Behörde, die Online-Durchsuchungen durchführen darf. "Wir brauchen Informationen, wann sich jemand mit einer Gruppe trifft", verteidigte Wilfried Karden vom NRW-Verfassungsschutz das Vorgehen seiner Behörde im Anschluss an ein Referat über die Abwehr von Wirtschaftsspionage. Angaben darüber, wie viele Rechner bereits durchsucht worden sind, machte er nicht.

Quasi als Reaktion auf den Bericht von heise Security, dass die Windows Genuine Advantage Notification nach Redmond funkt, selbst wenn Anwender die Installation abbrechen, hat jetzt ein Microsoft-Entwickler mit dem Pseudonym alexkoc einen Eintrag im WGA-Blog eingestellt. Darin offenbart er, dass jedes Update, das durch Windows Update ausgeliefert wird, zumindest den Erfolg oder Misserfolg der Installation an Microsoft schickt. Im Privacy-Statement von Windows Update räumt sich Microsoft recht weitreichende Freiheiten ein. Demnach sammeln die Redmonder Daten über Computerhersteller und -modell, Versionsnummern des Betriebssystems, des Webbrowsers und weiterer Microsoft-Software, Plug'n'Play-IDs von Hardware, Einstellungen der Region und Sprache, einen Globally Unique Identifier (GUID), Produkt-ID und Produktschlüssel sowie BIOS-Informationen. Auch die EULA, die der WGA-Installer präsentiere, decke den Versand dieser Informationen ab, rechtfertigt alexkoc das Vorgehen.

Bei einigen Updates wie etwa der WGA-Notification überträgt der Installer Daten, die Microsoft dem eigenen Bekunden nach lediglich zur Qualitätssicherung und Verbesserung der Installer dienen sollen. So liefert das WGA-Paket unter anderem einen Event-Code zurück. Um Befürchtungen der Anwender zu beschwichtigen, präsentiert alexkoc eine Grafik, die die einzelnen Felder eines solchen Datenpakets erläutert.

Wenn Produkt-ID und Produktschlüssel zu einer legalen Software gehören, lösche das Unternehmen diese Daten umgehend wieder, lediglich bei dem Verdacht auf Softwarepiraterie blieben sie gespeichert. Im Blog beteuert das Unternehmen nochmals, dass es die Informationen nicht nutze, um Anwender zu identifizieren oder zu kontaktieren.

Mit gefälschten Rechnungen zur Mitgliedschaft bei der Partnersuchplattform single.de versuchen Virenautoren derzeit Anwender zu überrumpeln. Der Mailtext behauptet, man habe sich für die kostenpflichtige Partnersuche angemeldet. Der fällige Betrag werde dem Konto zur Last gelegt. Zukünftig erhalte man zweimal pro Woche Informationen über andere Partnersuchende aus der Region. Der Anhang soll dann die Rechnung und weitere Daten zum eigenen Profil enthalten. Zum Lesen des Anhangs sei kein zusätzliches Programm nötig. Auch gefälschte Quelle-Rechnungen sind derzeit im Netz unterwegs. Frech behauptet die Mail sogar, die angebliche PDF-Datei (pdf.exe) im Anhang sei mit einer digitalen Signatur unterzeichnet worden und würde deshalb auch nach dem Signatur-Gesetz (SigG) anerkannt. Wie auch in den vorangegangenen Fällen gefälschter 1&1-, GEZ-, IKEA-, eBay- und auch aktuell wieder kursierender Amazon-Rechnungen steckt im Anhang ein Schädling, der sich auf dem System einnistet.

Eine konkrete Analyse der Schädlinge steht noch aus, es handelt sich hierbei aber um Trojaner der Nurech-Familie, die weitere Schadprogramme nachladen, etwa Spionageprogramme oder Bot-Netz-Software, die den Absendern das Fernsteuern des Rechners erlaubt. Die Erkennungsrate von AV-Software ist bislang noch mangelhaft. Den Quelle-Trojaner erkannten in einem Test nur Sophos, McAfee, F-Secure, ClamAV, Ikarus und Antivir.

ACHTUNG: Mittlerweile sind auch noch andere Singlebörsen
wie z.B. singles-4you.de hiervon betroffen.
Bitte lesen Sie mal dieses aktuelle Beispiel
und beachten Sie die ZIP- Datei im Anhang,
welche sich nach Analyse des Quellcodes als
'TR/Dldr.iBill.AC' [trojaner] herausstellte.

MEIN TIP:
Ich empfehle, grundsätzlich derartige Mails sofort zu löschen.
Alternativ können Sie diese aber auch durch Strg+F3
mit Notepad öffnen ohne sie auszuführen
und dann den Quelltext gefahrlos einsehen.
DER TECHNODOCTOR

Unschlagbar gut:
Avira AntiVir im
AV-Comparatives-Test (06.März 2007)

Alle Halbjahre wieder: Avira hat im Test von AV-Comparatives, einem
renommierten Projekt zum Test von Antivirensoftware, seine führende
Position erfolgreich verteidigt.
Am aktuellen Test wurden 13 Virenscanner namhafter Hersteller bezüglich
ihrer Erkennungsrate bei manuellen Suchläufen (On-Demand) genauer unter
die Lupe genommen. Mit dabei: die Avira AntiVir PersonalEdition Premium
in der Version 7.03.01.34.
Über eine Millionen Schädlinge, darunter knapp 500.000 Viren, Würmer,
Trojaner, Backdoors und über 220.000 Dialer, wurden auf die Testkandidaten
losgelassen. Avira AntiVir beeindruckte mit einer Erkennungsrate von 98,85%
und landete damit wiederholt auf dem ersten Rang im Vergleich mit Single-
Scan-Engine-Produkten.
Beste Noten gab es ebenso bei der Erkennung von Dialern. In der Folge
setzte sich die AntiVir Such-Engine mit dem besten Wert aller getesteten
Single-Scan-Engine-Produkte in der Gesamtwertung an die Spitze. Der
Vorsprung in der Avira Technologie wird vor allem durch die Avira-eigene
innovative AHeAD Technologie (Advanced Heuristic Analysis and Detection)
erreicht.

Lesen Sie HIER weiter

Quelle: Avira Newsletter: Aktuell Online, 06.03.2007

Avira AntiVir Workstation
jetzt mit Rootkit-Schutz (06.März 2007)

Rootkits sind Viren, die darauf programmiert sind, sich im System zu
verstecken und dort unerkannt zu bleiben, um später heimliche Zugriffe
auf den Computer zu ermöglichen.
Mit herkömmlichen Technologien zur Viren- und Malwareerkennung können
solche Rootkits nicht entdeckt werden. Schon allein deshalb erfreut
sich diese Form in der kriminellen Hackerszene immer größerer Beliebtheit.
Ab 10. April gibt es den umfassenden Avira AntiVir Rootkit-Schutz
kostenlos für folgende Produkte ab der Version 7: Avira AntiVir
PersonalEdition Classic und Premium, Avira Premium Security Suite und
Avira AntiVir Windows Workstation.

Avira hat Änderungen an den Nameserver-Einträgen für die Update-Server der kostenlosen Personal Edition Classic des Virenscanners Antivir vorgenommen. Dadurch kommt es derzeit bei vielen Anwendern zu Problemen mit Signatur-Updates.

Die DNS-Änderungen traten am gestrigen Freitag in Aktion. Seit dem späten Freitagnachmittag kann es daher passieren, dass der Download von Updates mit Antivir Classic fehlschlägt. In einem Forenbeitrag erklärt ein Avira-Mitarbeiter jedoch, dass nach etwa 24 Stunden, also am heutigen Samstagnachmittag, die Server wieder erreichbar sein sollten. Das kostenpflichtige Antivir Premium sowie die Security-Suite nutzen andere Server für ihre Signatur-Updates und sind daher nicht betroffen.

Fängt sich ein Windows-PC heutzutage einen Trojaner ein, ist die Wahrscheinlichkeit recht groß, dass er fortan als Bot in einer Spam-Armee Werbemails verteilt. In seltenen Fällen kann es aber auch passieren, dass er plötzlich in einem Cluster an der Vorhersage des Wetters mitrechnen muss. Von solch einem Fall berichtet ein Moderator des Distributed-Computing-Projektes climateprediction.net

Microsofts neue Bürosuite holt sich viele Daten aus dem Web, und insgeheim versendet sie auch Nachrichten an einen Marktforscher. Schon im November vergangenen Jahres berichtete c't, dass Office 2007 spontan im Web nachschlägt, wenn sich der Anwender mit PowerPoint-Stilelementen, ClipArts oder auch nur mit der Online-Hilfe befasst. Diese macht ihrem Namen dabei alle Ehre, denn mit den Anleitungen von der Festplatte gibt sie sich nur zufrieden, wenn der Weg ins Internet versperrt ist, ansonsten holt sie ausführlichere Texte vom Microsoft-Server.Nun musste das Softwarehaus zugeben, dass der Klick auf den Hilfe-Button noch mehr Informationen auf die Reise schickt: Im gleichen Atemzug sendet Office nämlich offenbar auch ein Cookie an das Marktforschungsunternehmen Webtrends.

Die User Account Control (UAC) in Vista soll helfen, nicht-vertrauenswürdige Programme anhand eines Farbcodes bei der UAC-Meldung zu erkennen und ihnen gegebenenfalls keine Administratorrechte zu verleihen. Symantec-Forscher haben jetzt einen Weg. Daher betrachtet man bei Microsoft derartige Fehler auch nicht . Ob es einen Patch gegen diese Lücke geben wird, steht daher in . aufgezeigt, wie sich das Vertrauensmodell unterlaufen lässt.....

Microsoft relativierte jedoch bereits, dass die UAC-Meldungen keinen direkten Schutz bieten. Daher betrachtet man bei Microsoft derartige Fehler auch nicht als Sicherheitsproblem. Ob es einen Patch gegen diese Lücke geben wird, steht daher in den Sternen.

Anwendern des Windows Live Messenger von Microsoft wurde Banner-Werbung für fragwürdige Software eingeblendet. Dabei führte das Banner im Messenger den Anwender auf eine Webseite der vermeintlichen Antisypware-Anwendung SystemDoctor 2006. Auch Besucher von MSN-Seiten sollen das Banner präsentiert bekommen haben. In weiteren Werbebannern wurde dann versucht, den Besucher mit Meldungen zu irritieren, auf seinem Rechner sei Schadsoftware gefunden worden – eine bekannte Masche, um Anwender zum Download und zur Installation von dubioser Software zu bewegen.

Wie viele Leser berichten, spült ein Bot-Netz derzeit angebliche Ikea-Rechnungen in die Postfächer. Das Schema ist bekannt: Mails mit einem Betreff wie "Ihre IKEA Bestellung" oder ähnlich, fordern dazu auf, die Rechnung im Anhang zu begutachten:

Der Sicherheitspezialist Symantec warnt mit einem Blog-Eintrag vor Angriffen auf Router mit Default-Passwörtern. Durch Umbiegen des DNS-Server-Eintrags sei es einem Angreifer unter Umständen möglich, den Internet-Verkehr seiner Opfer über sich umzuleiten. Durch dieses sogenannte Pharming könnte er vertrauliche Daten der Anwender ausspionieren oder unter falscher Fahne Schadsoftware auf Heim-PCs einschleusen. Dabei bezieht sich der AV-Hersteller auf eine wissenschafliche Arbeit mit dem Titel "Drive-by Pharming" von Sid Stamm und Markus Jakobsson von der Universität von Indiana sowie Zulfikar Ramzan von Symantec, die im Dezember des Vorjahres veröffentlicht wurde.

Die Spieleseite toolster.de bietet über 700 Spiele zum kostenlosen Download an. Die Seite macht einen harmlosen Eindruck, sodass man sich kaum über die angeblich fast eine Million Downloads wundert. Der Haken dabei? Bei Tests von heise Security fand sich in allen drei Test-Downloads das Programm mscheck.exe, das viele Virenscanner als Trojanisches Pferd beziehungsweise Backdoor erkennen.

Laut einer Studie von Forschern der Universität Maryland werden ans Internet angeschlossene Rechner statistisch alle 39 Sekunden attackiert. "Unsere Daten liefern einen quantifizierbaren Beleg dafür, dass Angriffe permanent stattfinden", sagt Michel Cukier vom Center for Risk and Reliability, der die Studie geleitet hat. Im Durchschnitt 2244 Mal am Tag seien die Computer in der Studie Ziel von Hackern geworden.

Die kürzlich entdeckten BIOS-Zugriffe der Video- und Telefoniesoftware Skype erfolgen durch die Plug-in-Verwaltung "Skype Extras Manager". Wie der Chief Security Officer des Unternehmens, Kurt Sauer, schreibt, nutzt die von der Firma EasyBits Software zugekaufte Komponente die BIOS-Daten zur eindeutigen Identifizierung von Rechnern, um per DRM die Einhaltung von Lizenzabkommen für die einzelnen Plug-ins zu kontrollieren.

Meine Meinung:
Damit schließt sich nun offensichtlich ein weiterer Softwarehersteller
dem allgemeinen Trend von Microsoft und vielen anderen Firmen an,
vor welchem schon 2002 u.a. in meinem Beitrag Spycrosoft ausgiebig gewarnt hatte.
Nur weiter so, und in Kürze haben Softwareschmieden, Multimediakonzerne,
Behörden, Musikverlage und natürlich die Filmindustrie
mehr Rechte auf unseren PCs als wir selbst.

Die Windows-Version der Video- und Telefonie-Software Skype liest die BIOS-Daten des Rechners aus. Wie eine Hackerin mit dem Pseudonym Myria in einem Blog-Eintrag berichtet, legt die Software nach dem Start eine ausführbare Datei namens 1.com im Temp-Verzeichnis des Anwenders ab, die Code zum Übertragen der Daten im BIOS-Adressbereich zur aufrufenden Applikation enthält. Was die Skype-Software mit den Daten anstellt, die unter anderem die Seriennummer des Mainboards enthalten können, ist bislang noch unklar. Die geheimnisvolle com-Datei war nur durch eine Fehlermeldung aufgefallen, die Skype beim Start auf Systemen mit 64-Bit-Windows ausgibt. Den 64-Bit-Versionen fehlt die zur Ausführung des Programms nötige "NT Virtual DOS Machine" (NTVDM), die direkte Zugriffe auf BIOS-Speicherseiten ermöglicht.

Heimliche Online-Durchsuchungen durch die Polizei sind unzulässig. Dies entschied am heutigen Montag der Bundesgerichtshof (BGH) in Karlsruhe (StB 18/06). Die Durchsuchung der im Computer eines Beschuldigten gespeicherten Daten sei nicht durch die Strafprozessordnung gedeckt. Diese erlaube nur eine offene Durchsuchung. Es fehle an der für einen solchen Eingriff erforderlichen Ermächtigungsgrundlage.

Microsoft hat pünktlich zum Marktstart mehrere Updates für Windows Vista zum Download bereitgestellt. Ein als "wichtig" gekennzeichnetes Update soll Fehler der Windows-Fehlerberichterstattung beheben. Vier als "empfohlen" bezeichnete Aktualisierungen kümmern sich um Probleme bei der Aktivierung vorinstallierter Vista-Systeme, um Schwierigkeiten der Windows-Suche beim Einsatz der Datumsoption, um ein "Leistungsproblem" des Phishing-Filters und aktualisieren die in Windows enthaltene Anwendungskompatibilitätsdatenbank. Ergänzend stehen bei frischen Installation meist weitere Updates bereit, etwa aktuelle Treiber und Schädlingskennungen für die Antispyware Defender.

Dass Viren und Würmer Navigationsgeräte lahmlegen, ist zwar bislang noch nicht vorgekommen; infizierte Geräte von TomTom zeigen aber, dass es möglicherweise nicht mehr weit bis dahin ist. Der Hersteller weist darauf hin, dass eine kleine Zahl von TomTom GO 910 mit Schädlingen infiziert war. Betroffen sei nur eine zwischen September und November 2006 hergestellte Charge mit der Software-Version 6.51. Die auf der Festplatte des GO 910 zu findenden Windows-Trojaner Perlovga.a und Small.qp stecken in den Dateien copy.exe und host.exe und infizieren das Navigationsgerät nicht selbst, da es mit Linux arbeitet. Mit einer Beeinträchtigung im Betrieb sei also nicht zu rechnen. Beim Anschluß des Gerätes an den PC und Anlegen eines Backups kann ein installierter Virenscanner aber Alarm schlagen.

Großes Tamtam für Vista: In New York finden am heutigen 29. Januar mehrere Veranstaltungen statt, mit denen Microsoft feiert, dass der Nachfolger von Windows XP ab dem morgigen Dienstag in den Läden steht. Eine davon läuft im "Windows Vista Theatre" am Times Square, wo Bill Gates auf Beta-Tester, MVPs, Entwickler, Blogger und Journalisten treffen will, um sich für die Hilfe bei der Entwicklung von Vista zu bedanken.

Vint Cerf:
Ein Viertel der Internet-PCs
ist Mitglied eines Bot-Netzes (26.Januar 2007)

Ein Viertel aller Computer mit Internetzugang gehören einem Botnetz an, dessen ist sich Vint Cerf sicher. In einem Vortrag auf dem derzeit in Davos statt findenden World Economic Forum meinte der Mitentwickler von TCP/IP, "Internet-Vater" und "Chief Internet Evangelist" bei Google, die Verbeitung von Bot-Netzen komme einer Pandemie gleich. Nach Auffassung von Cerf seien von den 600 Millionen Internet-PCs 100 bis 150 Millionen mit Bots infiziert, berichtet die BBC. Das sei zwar eine erhebliche Bedrohung der Internet-Infrastruktur, dennoch arbeite das Internet weiterhin stabil und zuverlässig.

Bot-Netze sind Zusammenschlüsse mehrerer tausend bis hunderttausend infizierter PCs, die zentral von einem Command&Control-Server gesteuert werden. Bot-Netze werden unter anderem von ihren "Besitzern" für bestimmte Aufgaben vermietet, wie etwa dem Versand von Massen-Spams, der Verbreitung weiterer Trojaner oder großangelegten Angriffen auf Webserver oder Netze.

Neue Welle gefälschter
1&1- und GEZ-Rechnungen
unterwegs [Update] (24.Januar 2007)

Eine neue Welle gefälschter 1&1- und GEZ-Rechnungen per Mail füllt derzeit die elektronischen Postfächer. Wie schon vor drei beziehungsweise zwei Wochen steckt im Anhang eine Datei, die vorgibt, im speziellen PDF-EXE-Format zu sein, für das man kein zusätzliches Programm installieren müsse.

Allerdings handelt es sich um eine ausführbare Datei, die beim Starten einen Trojaner installiert, der wahrscheinlich weitere Dateien nachlädt. Bei einem Scan eines Exemplars auf Virustotal entdeckte keiner der Scanner einen Schädling. Immerhin vier Scanner fanden die geprüfte Datei noch verdächtig.

Mehrere Hersteller von Antivirensoftware warnen derzeit vor einem "Ausbruch" des Windows-Schädlings Trojan-Downloader.Win32.Small.dam. Der auch "Sturm-Wurm" genannte Schädling versucht durch Sensationsmeldungen rund um den Orkan Kyrill auf sich aufmerksam zu machen. Da sich der Trojaner nach bisherigen Erkenntnissen aber nicht selbst verbreitet, handelt es sich eigentlich nicht um einen echten Wurm.

Suns Java
Virtual Machine
lässt sich Code
aus GIFs unterjubeln (17.Januar 2007)

Ein Fehler in der Java Virtual Machine von Sun lässt sich ausnutzen, um über präparierte GIF-Bilder Code auf ein System zu schleusen und auszuführen. Nach Angaben der Zero Day Initiative (ZDI) provoziert ein GIF-Bild mit der Breite 0 in einem Image-Block einen Überlauf, was zu diversen fehlerhaften Pointern führt. Wenigstens einer davon lässt sich laut Fehlerbericht missbrauchen, um den Speicher gezielt zu manipulieren. Darüber kann ein nicht vertrauenswürdiges Applet seine Privilegien erhöhen, um Zugriff auf sämtliche Ressourcen des Systems zu erhalten. Ein Anwender muss allerdings eine bösartige Webseite besuchen, um angegriffen zu werden. In der Regel genügt es dem Angreifer oftmals aber schon, dem Opfer einen vermeintlich interessanten Link per Mail zu schicken, um dies zu erreichen

Das Sicherheitsunternehmen Matousec hat Demonstrationsschadcode vorgestellt, mit dem sich der Selbstschutz und in Folge die Outpost-Firewall selbst außer Gefecht setzen lässt. Bislang gibt es noch keine Updates von Agnitum. Der Schadcode liegt im Quelltext vor – Schädlingsautoren können ihn einfach übernehmen.

Outpost nutzt einen Kernel-Treiber (sandbox.sys), der sich in zahlreiche Systemfunktionen einklinkt, um die eigenen Dateien vor dem Zugriff durch andere Programme zu schützen. Allerdings hat Agnitum die Funktion ZwSetInformationFile übersehen. Dadurch ist es Angreifern möglich, mit dem direkten Aufruf dieser Systemfunktion Dateien zu ersetzen – etwa auch den Treiber sandbox.sys.

Unbekannte versenden massenhaft E-Mails mit gefälschten GEZ-Rechnungen, in deren Anhang sich ein Trojaner verbirgt. Erst letzte Woche überschwemmten ähnlich betrügerische Mails das Netz, die als Rechnungen des Web-Hosters 1&1 getarnt waren. Die neue Schädlingswelle zielt auf Netzbürger, die von der neuen Gebührenordnung der GEZ verunsichert sind.

Seit dem 1. Januar 2007 sind "neuartige Rundfunkempfangsgeräte" – vornehmlich internetfähige PCs und 2.5G- beziehungsweise 3G-Handys – gebührenpflichtig. Für Privathaushalte, die bereits ein Radio angemeldet haben, fallen aber keine weiteren Kosten an, sie müssen ihre PCs auch nicht gesondert bei der GEZ anmelden.

Die betrügerische Trojaner-Rechnung verlangt die Zahlung einer dreistelligen Summe, wohl um die Empfänger so zu schockieren, damit diese die angehängte Zip-Datei öffnen, ohne lange nachzudenken. Darin verbirgt sich eine ausführbare Datei, die als PDF getarnt ist (RechnungGEZ.pdf.exe). In der Grundeinstellung blendet Windows die Erweiterung .exe aus; ein Doppelklick auf das vermeintliche PDF-Dokument genügt, um den PC zu infizieren. Eine Analyse mit dem Online-Virenscanner Virustotal.com zeigt, dass die meisten Virenscanner mit aktuellen Signaturen den Schädling nicht als solchen identifizieren.

Angesichts einer angeblichen GEZ-Rechnung über 446 Euro könnten erschrockene Anwender den Anhang gedankenlos öffnen.

Mit Sicherheitslücken lässt sich viel Geld verdienen. Das wissen nicht nur die Hersteller von Schutzprogrammen, sondern auch die Programmierer von Viren, Würmern und Trojanern. Eine ganze Industrie lebt mittlerweile von Datenspionage, Spam-Versand und Erpressung von Online-Diensten. Private und geschäftliche PCs werden dabei unbemerkt für illegale Zwecke missbraucht. Wer seinen Rechner davor bewahren will, braucht neben den bisherigen Schutzmaßnahmen spezielle Anti-Rootkit-Programme, empfiehlt c't in der Ausgabe 2/07.

Auf der dunklen Seite lassen sich derzeit im Wesentlichen drei Geschäftsmodelle für das Ausnutzen von Sicherheitslücken beobachten: Spam, Spionage und Sabotage. Spam gibt den deutlichsten Hinweis auf den Erfolg der Botnetze: Im letzten halben Jahr stieg die lästige E-Mail-Werbeflut sprunghaft an. Spionage und Datenklau finden hingegen im Verborgenen statt und werden oft gar nicht publik.

Die Gefährlichkeit der Schadsoftware hat dadurch, dass sie mittlerweile nicht mehr vor allem Aufmerksamkeit erregen, sondern Geld einbringen soll, keineswegs gelitten. Sie nutzt teils noch unbekannte Sicherheitslücken, um sich auf fremden Computern einzunisten. Botnet-Clients versenden unter Kontrolle von außen Spam, spionieren Daten aus, laden bezahlte Werbung oder legen durch verteilte Denial-of-Service-Attacken fremde Server lahm. Sie verstecken sich durch Rootkit-Techniken erfolgreich vor Anti-Viren-Programmen, sodass sie – auch dank Flatrate – meist lange unentdeckt bleiben. So gelingt es, Netze aus zigtausend Bots aufzubauen. Diese werden dann an Auftraggeber vermietet. In solchen Netzen hängen nicht nur Computer unvorsichtiger Privatanwender, sondern auch Firmenrechner.

Wie auch aktuelle Tests von c't ergeben haben, kommt herkömmliche Anti-Viren-Software oft nicht gegen Rootkits an. Für den Zugang zu einem Botnetz oder für eine Software, die eine bisher noch unbekannte Lücke in Windows ausnutzt, erhalten Programmierer mitunter mehrere zehntausend Dollar. "Gegen ein unbekanntes Sicherheitsloch kann man sich kaum schützen", bilanziert c't in dem Schwerpunkt "Ihr PC als Komplize" in der aktuellen Ausgabe. "Schon beim Klick auf einen Link oder dem Öffnen einer präparierten Word-Datei kann sich ein Schädling einnisten, der dann kaum noch aufzuspüren ist."

Nicht ganz wie von heise Security vorhergesagt die komplette Mail-Korrespondenz, doch zumindest die Kontaktlisten von Google-Mail-Usern sind quasi öffentlich zugänglich. Wer in einer Mail in seiner GMail-Box einen Link öffnet, riskiert damit, dass die aufgerufene Webseite all seine Kontakte ausliest. Voraussetzung für den Zugriff ist lediglich, dass das Opfer derzeit bei Google Mail angemeldet ist -- was beim Lesen seiner Mail der Fall sein dürfte.... heise Security konnte das Problem in einem kurzen Test nachvollziehen. Es beruht auf der Tatsache, dass Google die Kontaktliste als JavaScript-Code ablegt, der immer unter derselben URL zu erreichen ist. Damit muss eine Web-Seite diese URL nur noch als Script einbinden und anschließend das Feld auslesen -- was bereits eine ganze Reihe von Web-Sites erfolgreich demonstriert. Mittlerweile scheint Google jedoch reagiert zu haben -- zumindest funktionieren die Demos nicht mehr.