IT-Sicherheit

Laut Financial Times Deutschland: Schwachstelle im Blackberry

2006-08-22T10:48:00.000+02:00

Sicherheitsmaßnahmen bei mobiler Kommunikation werden häufig vernachlässigt

Computer-Hacker können sich nach einem Bericht der Financial Times Deutschland E-Mail-Handys der Marke "Blackberry" offenbar Zugang zu internen Unternehmensnetzwerken verschaffen. "Ein Mitarbeiter der Sicherheitsberatung Praetorian Global hat ein Programm ange-kündigt, das eine Verbindung zwischen dem Firmennetz eines Blackberry-Nutzers und einem Angreifer aufbauen kann“, schreibt die FTD.

Sicherheitsprobleme seien bei Blackberry-Handys besonders gravierend, "weil diese Geräte in Unternehmen weit verbreitet sind - vor allem unter hochrangigen Managern. Wenn es eine Schwachstelle in den Geräten gibt und Angreifer sie nutzen können, erhalten die Eindringlinge Zugriff auf geheime Daten vieler großer Unternehmen", warnt die FTD. Das neue Schädlingspro-gramm werde nur gefährlich, wenn Unternehmen dem Blackberry zu sehr vertrauen und ihr E-Mail-System nicht vom restlichen Firmennetzwerk trennen.

Jens Kühner, Techniker beim Blackberry-Hersteller Research in Motion (RIM), verwies darauf, dass Unternehmen diese Abspaltung vornehmen könnten. Viele Unternehmen würden diese Möglichkeit aber nicht nutzen. "Gerade Unternehmen mittlerer Größe haben da durchaus Nachholbedarf", sagt Candid Wüest, Virenexperte beim Sicherheitssoftwareanbieter Symantec, gegenüber der FTD. Sicherheitsbedenken sind nach einer Symantec-Umfrage auch das Haupthindernis bei der Einführung drahtloser Technologien - weit vor Kosten und Komplexität. Mehr als jedes zweite befragte Unternehmen sieht das als große oder sehr große Hürde.

"Gerade bei mobilen Geschäftslösungen ist der end-to-end Gedanke für die Wirksamkeit aller Sicherheitsmaßnahmen entscheidend. Im Unterschied zu unternehmensinternen Netzwerk-lösungen, selbst wenn sie verteilte Standorte und Home Offices einbeziehen, haben echte mobile Lösungen eine sehr hohe Unabhängigkeit von Operatornetzen und auch Übertragungstechnologien", so die Erfahrung von Mehdi Schröder, Vice President Enterprise bei Ericsson Deutschland.

Die Sicherheitsmaßnahmen müssten alle Eventualitäten abdecken, wenn beispielsweise ein Push Mail-Betrieb zu einem Smartphone während eines Aufenthalts in den USA oder der Remote-Netzwerkzugang zum Unternehmensnetz von einem Business Hotel in China läuft: "Ohne Verschlüsselung auch bei der Übertragung und ohne Endgeräte mit Datenverschlüsselung ist das kaum zu gewährleisten. Gerade die Systemintegratoren sind hier gefordert, ihre Lösungen netzunabhängig zu machen“, sagt Schröder. Als Hersteller arbeite Ericsson daran, Techniken und Dienste zur Verfügung zu stellen, die sowohl von den Netzbetreibern wie auch von Systemhäusern eingesetzt werden können. "Es kann aber allgemein festgestellt werden, dass Sicherheit nicht eine Frage von technischen Lösungen ist, sondern als ein permanenter, gemanagter Service verstanden werden muss", lautet das Fazit von Schröder.

Quelle: itseccity

Immer neue Hacking-Angriffe erfordern gut ausgebildete IT-Experten

2006-08-22T10:47:00.000+02:00

Kurs lehrt Techniken und Tools, um Unternehmensnetzwerke zu knacken

Das Federal Bureau of Investigation, kurz FBI, hat sein Hauptbetätigungsfeld - die Bekämpfung von Terrorismus und Spionage - um die Abwehr von Internet-Verbrechen erweitert. So unterstützt die amerikanische Behörde Unternehmen zunehmend bei Aktivitäten gegen Cyber-Kriminalität. Neben Firmen aller Branchen geraten momentan besonders Banken und deren Kunden ins Visier von Hackern: Durch immer raffiniertere Phishing- oder Spoofing-Angriffe versuchen Internet-Kriminelle an sensible Daten zu gelangen.

The Training Camp empfiehlt Organisationen, sich und ihre Kunden vor solchen Attacken zu schützen, indem ihre Mitarbeiter lernen, selbst wie ein Hacker zu denken und die zu Grunde liegenden Mechanismen des Cyber-Betrugs zu verstehen.

"Organisierte Hacker-Gruppen versuchen nahezu rund um die Uhr via E-Mail an vertrauliche Informationen wie Kontonummer und PIN zu gelangen, um diese über illegale Online-Foren professionell weiter zu verkaufen. Automatisch aktualisierte Sicherheits-Systeme bieten lediglich einen Minimal-Schutz", sagt Robert Chapman, Geschäftsführer und Mitbegründer von The Training Camp. "Wenn IT-Profis aber wissen, wie Hacker agieren, sind sie in der Lage, deren Verhalten zu antizipieren und können entsprechende Angriffe im Keim ersticken. Unser Certified Ethical Hacking-Kurs bringt Sicherheits-Experten schnell auf den neuesten Stand und hilft Organisationen, ihre Unternehmensnetzwerke umfassend zu schützen."

Quelle: itseccity

Außerplanmäßiger Patch von Microsoft

2006-08-22T10:45:00.000+02:00

Microsoft hat für den morgigen Dienstag die Veröffentlichung eines aktualisierten Patches angekündigt. Eines der Updates, die Microsoft am vergangenen August-Patchday veröffentlichte, hat Nebenwirkungen im Internet Explorer 6 mit Service Pack 1. Ist der Patch installiert, stürzt der Browser unter Windows XP SP1 sowie Windows 2000 SP4 ab, wenn er auf eine Seite trifft, die Kompression sowie das http-1.1-Protokoll einsetzt.

Der zwischengeschobene Patch soll über den Windows-Update-Mechanismus ausgeliefert werden und auch im Download-Center bereitstehen. Dass der Softwareriese ein außerplanmäßiges Update einschiebt, ist zwar ungewöhnlich, aber nicht neu. Schon im April lieferte das Unternehmen ein Update für einen nicht korrekt funktionierenden Patch außerhalb des Patchday-Zyklus aus. Der erste Patch dieses Jahres für die WMF-Lücke wurde ebenfalls vor dem Januar-Patchday freigegeben.

Von dem fehlerhaften Patch betroffene Anwender sollten das Update bei Verfügbarkeit umgehend einspielen. Für die mit dem Update geschlossenen Lücken kursieren nach Angaben des US-CERT bereits Exploits im Netz.

Quelle: heise

Phishing-Angriff auf Schweizer Bankkunden

2006-08-22T10:44:00.000+02:00

Phishing-Angriffe auf Kunden deutscher Banken sind mittlerweile an der Tagesordnung, die Österreicher haben sogar schon mit speziellen Phishing-Trojanern zu kämpfen. Nun sind auch die Schweizer ins Visier der Phisher geraten. Derzeit kursieren betrügerische E-Mails, die auf gefälschte Seiten der Migrosbank führen sollen, auf denen Benutzeridentifikation und Passwort abgefragt werden.


Maßlos: Gleich 20 Zusatzcodes fragen die Phisher ab!

Wie in solchen Fällen üblich, kündigen die Mails neue und bessere Schutzmaßnahmen der Bank an. Zwar führt der Link tätsächlich auf einen Phishing-Server, aufgrund eines Fehlers der Phisher bei der Angabe der URL bekommen potenzielle Phishing-Opfer aber beim Klick auf den Link nur eine Fehlermeldung zu sehen. Bei dem Phishing-Server handelt es sich offenbar um einen gehackten Apache-Webserver, der zur Chan Jung Christian University in Taiwan gehört.

Kunden sollten bei angeblichen Mails ihrer Bank größte Vorsicht walten lassen und keinen Links in Mails folgen. Vielmehr sollten sie die Seite ihrer Bank manuell oder durch einen Bookmark aufrufen. Im vorliegenden Fall ist die Phishing-Seite ohnehin sehr leicht zu erkennen. Statt eines Domain-Namens ist eine IP-Adresse angegeben. Zudem lauscht der Server auf Port 9070 – ein charakteristisches Kennzeichen für einen Phishing-Server auf einem geknackten System. Auch fehlt die für Banken obligatorische Verschlüsselung per SSL.

Update
Aufgrund des aktuellen Phishing-Angriffs hat die Migrosbank nach Informationen der Neuen Zürcher Zeitung den Internet-Zahlungsverkehr eingestellt. Damit soll verhindert werden, dass Phisher mit gestohlenen PINs und TANs Überweisungen tätigen können. Allerdings können auch Kunden so keine Transaktionen mehr vornehmen. Der Login ins eBanking ist aber weiterhin möglich. Ob bereits Kunden zu Schaden gekommen sind, könne die Migrosbank im Moment noch nicht beurteilen.

Quelle: heise

Ein Stück mehr Sicherheit

2006-08-22T10:42:00.000+02:00

Kurz vorgestellt: ISA Server 2006

Einen Schwerpunkt der Neuerungen hat Microsoft auf die verschiedenen Arten der Server- und Webserververöffentlichungen gelegt. Zudem werden nun zahlreiche Authentifizierungsverfahren unterstützt.

Mit ISA Server 2006 (Internet Security and Acceleration Server) hat Microsoft die fünfte Version seiner integrierten Firewall-, VPN- und Webcache-Lösung auf den Markt gebracht, nachdem Microsoft 1997 mit dem Proxy Server 1.0 das erste Mal im Markt der Webcache-Lösungen mit integriertem Paketfilter mitgespielt hat.

Microsoft ISA Server 2006 wird in zwei Versionen angeboten: ISA Server 2006 Standard und ISA Server 2006 Enterprise. Während die ISA Server 2006 Enterprise Version für den Einsatz in größeren Firmenumgebungen mit mehreren Firewalls und eingebautem Load Balancing vorgesehen ist, ist das Einsatzgebiet der Standard Version auf kleinere Systeme als Ersatz für vorhandene Firewall-Lösungen oder als Lösung hinter einer bestehenden Firewall-Implementation beschränkt. Die Änderungen und Neuerungen in ISA Server 2006 sind bei weitem nicht so umfangreich wie beim Wechsel von ISA Server 2000 zu ISA Server 2004.

Oberflächlich betrachtet hat Microsoft wenig Änderungen vorgenommen, alles ist in der GUI (Graphical User Interface) an seinem Platz wie bei ISA Server 2004 auch. Die Änderungen liegen mehr im Detail. Einen Schwerpunkt der Neuerungen hat Microsoft auf die verschiedenen Arten der Server- und Webserververöffentlichungen gelegt. Derartige Veröffentlichungen beschreiben in ISA Server 2006 die Regeln für Zugriffe aus dem Internet auf interne Ressourcen hinter der Firewall. Hinzugekommen sind in diesem Bereich beispielsweise die versionsspezifischen Exchange-Server-Veröffentlichungen, ein neuer Assistent zur Veröffentlichung für Sharepoint Portal Server und die Möglichkeit Webserver im Load Balancing Verfahren zu betreiben. Die Outlook-Web-Access-Server-Veröffentlichung (OWA) ermöglicht jetzt die Implementierung eigener HTML-Formulare, sowie die Änderung des Windows-Kennworts durch OWA.

Die umfangreichsten Erweiterungen des ISA Server 2006 hat Microsoft bei den möglichen Authentifizierungsverfahren vorgenommen. Neben der integrierten Windows-Authentifizierung werden nun RSA SecurID, RADIUS, RADIUS-OTP, LDAP, Digest, Kerberos und Forms Based Authentication unterstützt. Neu ist auch die Kerberos Protocol Transition and Constrained Delegation mit dessen Hilfe der ISA Server die Authentifizierung von anderen Kerberos-Servern durchführen lassen kann. Daneben unterstützt ISA Server 2006 jetzt auch Single Sign On (SSO).

Des Weiteren bietet der Server eine vereinfachte und erweiterte Zertifikatverwaltungs-Konsole und eine Funktion zur Begrenzung der Auswirkung von Denial-of-Service-Angriffen (DoS). Dabei versucht ISA Server 2006 die Anzahl der erlaubten TCP/UDP Verbindungen pro IP-Adresse zu beschränken oder nur innerhalb eines definierten Zeitraums zuzulassen. Die Link Address Translation Funktion zur Umsetzung von intern auf dem Webserver verwendeten Hyperlinks auf öffentlich erreichbare Hyperlinks und Webserververöffentlichungen wurde grundlegend überarbeitet und ist jetzt standardmäßig aktiv.

Schließlich hilft der VPN Branch Office Wizard (AppCfgwzd.exe) Administratoren in der Unternehmenszentrale beim Erstellen der L2TP/IPSec-Parameter zur VPN-Kopplung von Standorten. Anhand der Informationen des VPN-Verantwortlichen erstellt der Wizard eine Konfigurationsdatei, die der Admin in der Nebenstelle nur noch in seinen ISA Server schieben muss. Die von Whale Communications übernommene SSL-VPN-Technik hat Microsoft noch nicht in den ISA Server 2006 integriert.

ISA Server 2006 erwartet zur Installation Windows Server 2003 SP1 und ist in der Standard-Version (1 CPU) ab rund 2000 Euro zu haben, die Enterprise-Edition soll rund 6500 Euro kosten. Beide Versionen sollen auch als Appliances angeboten werden. Microsoft bietet Trial-Versionen an, die sich 180 Tage testen lassen.

Quelle: heise

"Secude secure notebook" in neuer Version mit erweitertem Funktionsumfang

2006-08-21T13:27:00.000+02:00

Benutzerfreundlicher, zuverlässiger Datenschutz für Notebooks

(21.08.06) - Die Secude IT Security stellt mit "Secude secure notebook 7.2" eine neue Version ihrer Sicherheitslösung mit zahlreichen neu integrierten Funktionen vor. Die Software schützt vertrauliche Geschäftsdaten auf Notebooks, Desktops und externen Speichermedien vor dem unbefugten Zugriff Dritter. Sie verschlüsselt die gesamte Festplatte des Notebooks - nicht nur einzelne Dateien und Ordner. Damit sind temporäre Dateien, Auslagerungsdateien und das Betriebssystem selbst zuverlässig gesichert.

Neu in Version 7.2 ist die Verschlüsselung von Hibernation Files - Dateien, die vor dem Herunter-fahren des Systems in den Ruhemodus (Hibernation-Modus) automatisch erstellt werden. Damit wird die Möglichkeit eines Angriffs auf diesem Wege verhindert und die Sicherheit vertraulicher Daten in allen Situationen gewährleistet.

Die Integration eines Boot Managers erlaubt es, einzelne Windows Partitionen zu konfigurieren. So können unterschiedliche Versionen des Windows Betriebssystems auf der gleichen Festplatte genutzt werden. Damit steht Anwendern ein separater Bereich auf der Festplatte zur Verfügung, den sie privat nutzen können. Die Einhaltung unternehmensweiter Sicherheitsrichtlinien bleibt so auch bei einer privaten Nutzung des Gerätes gewahrt.

Die Version 7.2 verfügt über ein Plug-In für BartPE, einem Windows Wiederherstellungs-System, das den Rechner von CD bootet und von dieser läuft. Mit seiner Hilfe kann eine Rettungs-CD (Emergency Recovery Disk ERD) erstellt werden, die sich zum einen dazu verwenden lässt, Daten für den Notfall zu sichern und damit einem Datenverlust vorzubeugen. Zum anderen kann die Rettungs-CD dazu genutzt werden, das Notebook nach einem Systemabsturz wieder zum Laufen zu bringen.

Quelle: ItSecCity

Sicherheitslösungen von McAfee entsprechen den strengen Skype-Richtlinien

2006-08-21T13:24:00.000+02:00

Skype zertifiziert die "McAfee Internet Security Suite 2006"

McAfee und Skype geben bekannt, dass die Produkte "McAfee Internet Security Suite 2006", "McAfee VirusScan 2006" und "McAfee Personal Firewall 2006" ab sofort Skype-zertifiziert sind. Dies bestätigt, dass die genannten Sicherheitslösungen von McAfee den strengen Skype-Richtlinien für Sicherheit, Qualität und Anwenderfreundlichkeit entsprechen.

Sowohl Skype als auch McAfee verfolgen das Ziel, den Internet-Nutzern beim Schutz der auf ihren Rechnern gespeicherten Daten zu helfen. Die ab sofort von Skype zertifizierten Produkte Internet Security Suite und VirusScan bieten eine zusätzliche Sicherheitsstufe für alle Informationen auf dem Computer eines Anwenders. Beispielsweise lassen sich Dateien, die die Anwender über die Skype-Filetransferfunktion verschicken, auf einfache Weise von den zertifizierten McAfee-Lösungen überprüfen. Das schützt Dokumente noch besser, obwohl das Tauschmedium an sich schon sehr sicher ist. Skype-Gespräche und -Chat-Verbindungen waren immer schon vertraulich und werden auch in Zukunft privat bleiben, da zu ihrer Absicherung die Skype-Verschlüsselungstechnologie zum Einsatz kommt.

Die Internet Security Suite schützt Rechner vor Viren, Spyware, Hackern und Phishing-Bedrohungen, die zu Datenverlusten, Identitätsdiebstählen sowie deutlich eingeschränkter Computerleistung führen können. Darüber hinaus blockiert die Suite Junk-E-Mails, störende Pop-Up-Werbung und filtert zusätzlich unerwünschte oder anstößige Internet- oder E-Mail-Inhalte aus.

Die Skype-Software arbeitet mit einer leistungsfähigen Public-Key-Infrastruktur und setzt auf eine standardisierte Advanced-Encryption-Technologie, die 256-Bit-AES-, SHA-1- und RSA-Algorithmen verwendet. Skype bietet damit allen Anwendern eine nahtlose End-zu-End-Verschlüsselung.

Quelle: ITSecCity

Infineon liefert Chips für US-Reisepässe

2006-08-21T13:21:00.000+02:00

Der Halbleiter-Konzern Infineon liefert künftig Sicherheitschips für US-Reisepässe. «Infineon beliefert damit das größte nationale Passprojekt der Welt», teilte die Infineon Technologies AG in München mit. Der Auftrag sei strategisch von großer Bedeutung. Ein Auftragsvolumen wurde nicht genannt. Infineon liefert unter anderem auch Chips für elektronische Reisepässe in Deutschland.

Der Konzern setzt große Hoffnungen auf das margenstärkere Geschäft mit Chips für Karten und Pässe.Die USA wollen ab dem kommenden Jahr mit der Ausgabe elektronischer Reisepässe beginnen. 2007 sollen laut Infineon rund 15 Millionen Stück ausgegeben werden. Daten wie Name, Geburtsdatum und das Porträtfoto sind auf dem Chip verschlüsselt abgespeichert. Infineon ist nun einer von mehreren Anbietern, die die Chips liefern. «Unsere Chips haben die weltweit strengsten Sicherheitstests erfolgreich bestanden», sagte Infineon-Manager Christopher Cook.

Quelle: it-daily

Apple stopft Lücken in Xsan

2006-08-21T13:19:00.000+02:00

Der Computerhersteller Apple hat einen Patch für sein Xsan-Dateisystem veröffentlicht, der gleich an mehrere Schwachstellen des Systems adressiert ist. Die Anfälligkeiten erlauben es Angreifern, schädlichen Code auf den betroffenen Rechnern auszuführen und einen Buffer Overflow zu erzeugen. Dies könnte letztlich zum System-Crash führen, so Apple.

Von den Sicherheitslecks betroffen ist das Xsan Filesystem 1.4 in der Mac OS X-Version 10.4.7 und der Mac OS X Server-Version 10.4.7.

Quelle: net-tribune

Microsoft launcht kostenfreien Virenschutz

2006-08-21T13:17:00.000+02:00

Microsoft gibt seinen Nutzern mit dem Windows Live OneCare Safety Scanner ab sofort einen kostenlosen Virenscanner an die Hand. Der Online-Service, der bisher als Windows Live Safety Center in der Beta-Version zur Verfügung stand, soll Anwender dabei unterstützen, ihre PCs vor Gefahren aus dem Internet zu schützen sowie funktions- und leistungsfähig zu halten.

"Online-Sicherheit ist für unsere Nutzer extrem wichtig. Diesem Bedürfnis tragen wir mit dem kostenlosen und bedienerfreundlichen Windows Live OneCare Safety Scanner Rechnung, der mit der neuesten Sicherheits-Technologie ausgestattet ist", erklärt Marc Hoenke, Head of Marketing und Product Management der Microsoft Online Services Group (OSG) Deutschland.

Unter http://onecare.live.com/scan können User ihren Rechner beliebig oft auf Viren oder andere Schädlinge scannen und diese im Gegensatz zu anderen vergleichbaren Services auch kostenlos entfernen. Zur Auswahl stehen ein Schutz-Scan, in deren Rahmen der Rechner nach Viren, Spyware und anderer unerwünschter Software durchsucht wird sowie Sicherheitslücken in der Internet-Verbindung aufgedeckt und ein Bereinigungs-Scan.

Letzteres Programm durchsucht die Festplatte auf unnötige temporäre Internet-Dateien und gibt Empfehlungen ab, was gelöscht oder komprimiert werden kann. Registry-Einträge werden bereinigt. Ein ebenfalls verfügbarer Wartungs-Scan soll darüber hinaus die Leistungsfähigkeit eines PCs durch Defragmentierung der Festplatte steigern.

Quelle: net-tribune

Handhelds: Datenverschlüsselung eher unpopulär

2006-08-21T13:16:00.000+02:00

Daten verschlüsseln auf Handhelds ist unpopulär: Eine Untersuchung des Sicherheitsanbieters SafeNet ergab, dass nur zwölf Prozent der mobilen Geräte verschlüsselt sind. Auch die immer weiter verbreiteten USB-Sticks tragen zu drei Vierteln alle Daten unverschlüsselt.

Im Vergleich: Bei Notebooks sind inzwischen über die Hälfte der Unternehmen dazu übergegangen, Informationen auf der Festplatte durch Verschlüsselung vor unbefugten Blicken zu schützen. Die Sicherheitslücke ist IT-Verantwortlichen durchaus bewusst: Dass Unbefugte Einsicht in vertrauliche Daten nehmen könnten, gilt als das Sicherheitsbedenken Nummer eins.

"Informationen und Wissen sind wichtiges Kapital für Unternehmen", sagt Ansgar Dodt, Director Business Development bei SafeNet. "Es herrscht dennoch eine große Diskrepanz zwischen dem zeitlichen und finanziellen Aufwand, den Unternehmen für den Schutz von sensiblen Daten im Netzwerk betreiben und der Laisser-Faire-Haltung, die bedingt, dass eben diese Daten auf mobilen Geräten verloren gehen oder missbraucht werden können."

Je mehr Flexibilität in der modernen Geschäftswelt vorausgesetzt wird, desto stärker steigt die Zahl an Mitarbeitern, die nicht an einem festen Arbeitsplatz im Büro arbeiten. Im gleichen Maße wächst die Sicherheitsanforderung im Umgang mit Notebooks und mobilen Geräten. "Die Verschlüsselung von Informationen auf mobilen Geräten wird zunehmend genauso wichtig wie die Verschlüsselung des Netzwerks selbst", meint Dodt.

"Mobile Verschlüsselung sollte ein vitaler Bestandteil der unternehmensweiten IT-Sicherheitsrichtlinien sein - und nicht die Achilles Ferse in einem ansonsten durchgängigen Sicherheitskonzept."

Quelle: net-tribune

Studie: Computer-Diebstähle finden meist am Arbeitsplatz statt

2006-08-21T13:15:00.000+02:00

Wer elektronische Geräte unbeaufsichtigt auf dem Schreibtisch liegen lässt, ist schnell beklaut. Eine von Kensington in Auftrag gegebene IDC-Studie belegt, dass das Büro ganz oben auf der Liste der unsicheren Orte steht. 52 Prozent der Befragten wurde bereits ein elektronisches Gerät am Arbeitsplatz geklaut.

Weitere Orte an denen hochwertigen Computer-Utensilien häufig unfreiwillig den Besitzer wechseln, sind Autos (16 Prozent) oder öffentliche Verkehrsmittel (13 Prozent). Diebstähle in Meeting-Räumen (8 Prozent), Bars (7 Prozent) oder Arbeitszimmer (5 Prozent) sind dagegen seltener.

Die meisten Unternehmen wissen um die Gefahr des Notebookdiebstahls: 90 Prozent der Befragten zählen den physischen Schutz von IT-Hardware (13 Prozent) nach Firewall-Schutz (39 Prozent) und VPN (17 Prozent) zur drittwichtigsten IT-Sicherheitsmaßnahme.

Quelle: net-tribune

Gefährlich: Neuer 0-Day-Exploit in Microsoft PowerPoint

2006-08-21T13:12:00.000+02:00

Juha Matti hat eine neue gefährliche Lücke in PowerPoint gemeldet. Ein Exploit scheint bereits im Umlauf zu sein.

Er weist in seinem Blog darauf hin, dass dies eine komplett neue Lücke sei. Für die Schwachstelle besteht kein Patch und hat nichts mit MS06-048 zu tun. Details über die Sicherheitslücke sind derzeit nicht bekannt. Sicher ist nur, dass ein speziell präpariertes Dokument die Lücke nutzen kann und einen Trojaner in ihr System pflanzt.

Angeblich sind alle Windows-Versionen betroffen, auf denen PowerPoint laufen kann. Welche PowerPoint-Versionen die Schwachstelle enthalten ist allerdings ungewiss. Ebenso weiß Matti nicht, ob auch der PowerPoint Viewer betroffen ist. Sie sollten sehr vorsichtig mit PowerPoint-Dateien aus unbekannten Quellen umgehen. Matti hat eine umfangreiche FAQ im Blog von securiteam.com zur Verfügung gestellt.

Quelle: tecchannel

Herbstgeschenk - Firefox 2.0 kommt im Oktober

2006-08-18T11:48:00.000+02:00

Beta 2 von Firefox 2.0 für August 2006 geplant

Wie bereits vermutet kann der Erscheinungstermin der Final-Version von Firefox 2.0 nicht eingehalten werden. Die Entwickler peilen nun eine Fertigstellung der neuen Firefox-Fassung für Mitte oder Ende Oktober 2006 an. Zuvor soll die Beta 2 von Firefox 2.0 im August 2006 erscheinen.

Ursprünglich sollte Firefox 2.0 im August 2006 fertig werden. Da aber die Beta 1 von Firefox 2.0 erst Mitte Juli 2006 erschien und bis zum Abschluss der Arbeiten an dem neuen Browser eine weitere Beta und mindestens zwei Release Candidates geplant sind, zeichnete sich ab, dass der August-Termin nicht zu halten sein wird.

Die Entwickler wollen die Arbeiten an Firefox 2.0 nun bis Mitte/Ende Oktober 2006 abschließen. Falls der Plan nicht aufgeht, ist aber auch ein Erscheinungsdatum im November 2006 denkbar. Dann könnten die Entwickler den zweiten Geburtstag von Firefox 1.0 zum Anlass nehmen, Firefox 2.0 am 8. November 2006 zu veröffentlichen.

Die Entwickler wollen die Beta 2 von Firefox 2.0 am 23. August 2006 veröffentlichen und rechnen im Anschluss daran nun mit drei Release Candidates.

Quelle: golem

US-Verbrauchermagazin generiert über 5000 neue Viren

2006-08-18T11:44:00.000+02:00

Sicherheitsunternehmen kritisieren Antivirus-Testmethode als unsinnig und riskant.

Das US-amerikanische Online-Verbrauchermagazin Consumer Reports hat zum Testen von Antivirus-Programmen nach eigenen Angaben 5500 Viren und andere Schädlinge neu erzeugt. Damit wollten die Tester prüfen, ob die Schutzprogramme auch Malware erkennen, für die sie noch keine Signaturen haben können.

Diese Vorgehensweise hat bei Sicherheitsfachleuten und Antivirus-Firmen heftige Kritik ausgelöst. So schreibt der Virenforscher Igor Muttik im Blog des McAfee-Sicherheitsteams, die Erzeugung künstlicher Viren für Testzwecke sei nicht nur unnötig sondern auch gefährlich, da die Schädlinge durch mangelnde Sicherheitsvorkehrungen frei gesetzt werden könnten.

Die Kritik von David Emm, Kaspersky Labs, geht in die gleiche Richtung. Er schreibt im Kaspersky-Blog , es gebe im Gegensatz zur Annahme der Tester durchaus vorzeigbare Vergleichstests von Antivirus-Software, die zudem ohne künstliche Testviren auskämen.

Auch Alex Eckelberry, Chef von Sunbelt Software, geht in seinem Blog kritisch auf diesen für September angekündigten Testbericht und die eingesetzten Testverfahren ein. Er fordert von Magazinen den Einsatz standardisierter Testmethoden, wie sie bei unabhängigen Testinstituten üblich seien.

Eine mittlerweile gängige und aussagefähige Methode, wie Antivirus-Produkte auf ihren Umgang mit noch unbekannter Malware geprüft werden können, steht durchaus zur Verfügung. Zum Test werden die Produkte auf einem Stand von (zum Beispiel) drei Monaten vor Testbeginn sozusagen eingefroren, also danach nicht mehr aktualisiert. Dann werden sie mit realen Schädlingen konfrontiert, die nach diesem Zeitpunkt neu entdeckt wurden.

Testverfahren dieser Art werden unter anderem auch von AV-Test entwickelt und eingesetzt. Die AV-Test GmbH in Magdeburg führt auch im Auftrag der PC-WELT Tests von Sicherheitsprogrammen durch.

Quelle: PC-Welt

Zwei Security Bulletins für Windows Vista

2006-08-18T11:42:00.000+02:00

Von den am 8. August veröffentlichten Microsoft Security Bulletins behandeln zwei auch Sicherheitslücken, die Windows Vista Beta 2 betreffen.

Auch die derzeit noch aktuelle Beta 2 von Windows Vista ist nicht frei von Sicherheitslücken.
Die von Microsoft am 8. August bereit gestellten Security Bulletins enthalten jedoch keine Hinweise auf Windows Vista. Dabei sind zwei davon durchaus auch für Vista relevant, wie Microsoft inzwischen bestätigt hat.

Dies sind MS06-042 , also das Sicherheits-Update für den Internet Explorer, sowie MS06-051 , in dem es um Anfälligkeiten im Windows-Kernel geht. In beiden Fällen sind auch Updates für die Beta 2 von Windows Vista erhältlich. Der Artikel KB921583 in der Microsoft Knowledge Base liefert Informationen darüber, welche Aktualisierungen für Windows Vista Beta 2 verfügbar sind. Diese können sowohl über das eingebaute Windows Update als auch über das Download-Center bezogen werden.

Alex Heaton begründet die fehlenden Hinweise auf Vista in den Security Bulletins damit, dass es sich derzeit noch um Beta-Versionen handele, die generell nicht Gegenstand von offiziellen Security Bulletins seien. Er weist ferner darauf hin, dass es mit dem Erscheinen von Windows Vista RC1 keine Updates für die Beta 2 mehr geben wird. Mit dem Verkaufsstart von Windows Vista endet dann auch die Pflege aller Vorabversionen.

Quelle: PC-Welt

Spyware-Infizierung so hoch wie 2004

2006-08-17T15:01:00.000+02:00

Webroot hat den so genannten State of Spyware-Report veröffentlicht. Die vierteljährlich vorgelegte Untersuchung soll Auskunft über die Verbreitung von Spyware & Adware geben. Für die Erhebung zieht das Unternehmen die hauseigenen Spyaudit-Tools und das automatische Spyware-Suchsystem Phileas heran.

Die Anzahl der mit unerwünschten Programmen infizierten PCs hat sich dramatisch erhöht. Webroot , den Entwicklern von Anti-Spyware-Lösungen wie Spyswepper, zufolge sind wieder die Dimensionen erreicht worden, die " zum letzten Mal im Jahr 2004 beobachtet wurden, als die Sicherheitslage im Internet kritischer war denn je zuvor".

Den Erhebung von Webroot zufolge wurden im zweiten Quartals 2006 auf 89 Prozent der mit Hilfe von Webroot-Software untersuchten PCs Spionageprogramme gefunden. Gegenüber den Zahlen aus dem ersten Quartal 2006 ein nur leichter Anstieg, gegenüber der 2005 gesehenen Entspannungsphase aber ein sehr hoher Wert.

Ursachen für den Anstieg sieht das Unternehmen unter anderem in neuen Verbreitungswegen und dem Einsatz neuer Technologien. Angreifer nutzen der Analyse von Webroot zufolge beispielsweise die kontinuierlich wachsenden sozialen Netzwerke und Internetplattformen wie etwa Myspace.com, um neue Opfer zu finden. Und Spammer statten ihre Mails gerne auch noch mit Spionageprogrammen aus, um mit dem Abverkauft etwaiger Daten ihre Kassen füllen zu können. Andere Ansatzpunkte für Angreifer: Der Einsatz hoch entwickelter Spionagesoftware wie beispielsweise Rootkits. Download-Trojaner und Keylogger führen deswegen aber kein Schattendasein - laut Webroot stieg die Zahl der mit Trojanischen Pferden infizierten PCs auf mittlerweile 31 Prozent. Zum Vergleich: Im ersten Quartal 2006 waren es noch 29 Prozent und im vierten Quartal 2005 sogar mal 24 Prozent.

"Es ist weniger als ein Jahr her, dass einige selbsternannte Experten für Internet-Sicherheit erklärt haben, dass Spyware auf dem Rückzug sei und die Infektionsraten bald verschwindend gering sein würden. Auch wenn die Zahlen diesen Trend zur damaligen Zeit angedeutet haben, so belegen die Daten der vergangenen sechs Monate eindeutig das genaue Gegenteil – von einem Verschwinden der Spyware-Bedrohung kann keine Rede sein", sagt David Moll, CEO von Webroot Software. "Spyware ist ein finanziell motiviertes Geschäft, und so lange es noch Gewinne abwirft, wird die Bedrohung akut bleiben.”

Noch einige Zahlen für den deutschsprachigen Raum: In Deutschland und Österreich wurden pro infizierten PC jeweils 14,5 verschiedene Spionageprogramme (Durchschnitt) ausgemacht. In der Schweiz lag die Rate noch ein wenig höher, bei 18,7 Prozent. Trojanische Pferde sind auf Rechnern in Deutschland weiter verbreitet als bei den Nachbarn: 595 Trojanische Pferde pro 1000 untersuchter Rechner waren es in Deutschland. In Österreich 484, in der Schweiz 564 Trojanische Pferde. System-Monitor-Programme sind dagegen in der Schweiz stärker verbreitet: Von dieser Gattung fanden sich 64 Programme pro 1000 Rechner - in Deutschland waren es 50 und in Österreich 33.

Quelle:IDG Magazine Verlag GmbH/PC-WELT Online

IBMs ThinkVantage-ActiveX-Control erlaubt Codeschmuggel

2006-08-17T10:07:00.000+02:00

Der Sicherheitsdienstleister eEye hat einen Pufferüberlauf in dem ActiveX-Modul eGatherer gefunden, der von Angreifern beispielsweise über präparierte Webseiten zum Einschmuggeln von Schadprogrammen ausgenutzt werden könnte. IBM liefert mit allen Desktop-Rechnern und Notebooks eine Update-Software namens ThinkVantage aus, die Anwender etwa auf den Laptops über eine vorbereitete Taste direkt starten können. Diese Update-Software basiert auf dem betroffenen ActiveX-Control.

In dem eGatherer-Modul kann die Funktion RunEgatherer zusammen mit einem Parameter von Webseiten aufgerufen werden, der Pfad und Dateiname der Protokolldatei beschreibt. Dieser Parameter wird offenbar in einen Puffer fester Größe kopiert, da eEye in seiner Sicherheitsmeldung beschreibt, dass sich die Lücke mit überlangen Werten als Parameter verlässlich ausnutzen ließe.

IBM hat eine aktualisierte Version des ActiveX-Moduls herausgegeben. Betroffene Anwender – das sind sämtliche Benutzer, die unter einem Windows-Betriebsystem ThinkVantage installiert haben – sollten schleunigst die aktuelle Version der eGatherer-Komponente herunterladen und installieren.

Quelle: heise

Internet-Branche fordert Gesetz gegen Phishing

2006-08-17T10:05:00.000+02:00

Die Internetbranche hat ein Gesetz gegen den Diebstahl von vertraulichen Kundendaten und Passwörtern im weltweiten Netz gefordert.

Die Statistiken der Polizei zeigten, dass die Zahl so genannter Phishing-Attacken weiter zunimmt, sagte der Hauptgeschäftsführer des Branchenverbandes Bitkom , Bernhard Rohleder, am Mittwoch in Berlin. Dabei fragen Betrüger mit gefälschten Webseiten von Bankkunden Geheimzahlen ab. Das englische Wort "Phishing" steht für "abfischen".

Rohleder forderte die Regierungsparteien auf, die Betrugsmasche so schnell wie möglich unter Strafe zu stellen. Der Polizei seien bislang die Hände gebunden. "Die Strafverfolgungsbehörden brauchen umgehend eine belastbare gesetzliche Grundlage, um gegen Phishing vorgehen zu können."

Eine Bitkom-Erhebung bei den Landeskriminalämtern habe ergeben, dass die Zahl der Phishing-Opfer im ersten Halbjahr 2006 um bis zu 50 Prozent gestiegen sei. Die höchste Steigerung meldete demzufolge Berlin. Im Schnitt stahlen Betrüger rund 4000 Euro von den Konten ihrer Opfer, berichtete Rohleder.

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

Microsoft patcht Windows Vista während der Testphase

2006-08-17T10:04:00.000+02:00

System enthält zwei kritische Sicherheitslücken

Microsoft stellt für Windows Vista bereits während der Testphase Updates für kritische Sicherheitslücken bereit. Dies teilten die Entwickler in ihrem Blog mit.

Zwei der im Rahmen des letzten Patch Day bekannt gegebenen Schwachstellen betreffen auch Windows Vista. Mit den Patches MS06-042 und MS06-051 werden sie geschlossen. Die Patches stehen im Internet zum Download. Entgegen den Aussagen von Microsoft sind sie über Windows Update (deutsche Build 5472) nicht erhältlich.

Das Vista-Team weist darauf hin, dass die Beta 2 und ihre Nachfolger nur bis zur Vorstellung des ersten Release Candidate unterstützt werden. Dieser soll Medienberichten zufolge Anfang September erscheinen.

Quelle: CNET Networks Deutschland GmbH/ZDNet.de und CNET.de

Internet Explorer 6 SP1 verträgt Sicherheits-Patch nicht

2006-08-16T10:48:00.000+02:00

Neuer Sammel-Patch für Internet Explorer für 22. August 2006 geplant

Der im August 2006 erschienene Sicherheits-Patch für den Internet Explorer 6 mit Service Pack 1 macht Probleme, wie Microsoft eingestand. Der Konzern gab bekannt, dass der Patch am 22. August 2006 in einer überarbeiteten Fassung erscheinen wird. Ein Hotfix hat der Konzern bereits fertig, verteilt diesen aber nur auf Anfrage.

Microsoft teilte mit, dass der Internet Explorer 6 mit Service Pack 1 nach Einspielung des Patches aus dem Security Bulletin MS06-042 Probleme macht. Der Browser beendet sich, sobald Webseiten per HTTP 1.1 aufgerufen werden und dabei eine Kompression aktiviert ist. Dieser Fehler soll nur unter Windows 2000 mit Service Pack 4 sowie Windows XP mit Service Pack 1 auftreten.

Microsoft hat bereits einen Hotfix fertig, um den Fehler zu korrigieren, verteilt diesen aber nur auf Nachfrage. Betroffene Kunden müssen sich dazu an den Microsoft-Support wenden. Ansonsten müssen Nutzer des Internet Explorer 6 mit Service Pack 1 bis zum 22. August 2006 warten. Dann soll der Sammel-Patch für den Browser neu aufgelegt werden.

Quelle: golem

Wurm nutzt Windows-Sicherheitsloch

2006-08-16T10:44:00.000+02:00

Schädling lässt sich als Bot fernsteuern

Im Internet wurde ein neuer Windows-Wurm gesichtet, der sich eine Sicherheitslücke in Windows zunutze macht. In der vergangenen Woche wurde das Sicherheitsloch durch Erscheinen eines Patches bekannt. Nur wenige Tage später geistert nun Schadcode durch das Internet, der sich bislang aber nicht sonderlich stark verbreitet hat.

Der Schädling "IRC-Mocbot!MS06-040" schleust sich über ein Sicherheitsloch im Windows-Server-Dienst ein und befällt fremde Systeme unbemerkt ohne Zutun des Opfers. Eine automatische Verbreitung fehlt dem Schädling aber, so dass er bislang nicht viele Systeme infiziert haben soll. Der Wurm befällt derzeit nur Systeme mit Windows 2000, so dass Windows XP mit Service Pack 1 oder 2 nicht betroffen ist. Auch für Windows Server 2003 scheint der Schädling keine Gefahr darzustellen.

Der von Microsoft in der vergangenen Woche veröffentlichte Sicherheits-Patch für Windows sollte zügig eingespielt werden, um sich vor diesen oder ähnlichen Attacken zu schützen.

Hat der Schädling "IRC-Mocbot!MS06-040" ein System befallen, wartet er als Bot auf Befehle. Ein Angreifer kann dann entweder beliebige Programme starten, eine Hintertür einrichten, Befehle an ein Fenster des AOL Instant Messenger senden oder Kontakt zu verschiedenen IRC-Servern aufnehmen. Aber auch eine Distributed-Denial-of-Service-Attacke und die Verbreitung des Wurms selbst ist darüber möglich.

Die meisten Anbieter von Virenscnannern stellen bereits aktualisierte Signaturdateien bereit, um den Schädling zu erkennen.

Quelle: golem

Update: Gefährliche Lücken in Intels Centrino-WLAN-Treibern

2006-08-16T10:38:00.000+02:00

Intel hat ein „Drivers Only“-Update zur Verfügung gestellt.

Vor kurzem tauchte eine gefährliche Lücke in den WiFi-Treibern von Intel auf. Als Treiber-Update stellte Intel ein Komplett-Paket bereit, dass mehr als 100 MByte groß war. Dieses Paket enthielt sowohl Software für 32- als auch 64-bit-Windows-Systeme. Die große Datei wurde nun in zwei zirka 50 MByte große Downloads gesplittet. Somit müssen Anwender von zum Beispiel 32-bit-Systemen nicht mehr die 64-bit-Software mit herunterladen. Ebenso stellt Intel ein „Drivers Only“-Paket bereit. Dieses enthält 32-bit und 64-bit-Treiber und ist zirka sechs MByte groß.

Quelle: tecchannel

Fixpack für IBMs WebSphere behebt Schwachstellen

2006-08-16T10:37:00.000+02:00

Mit dem Fixpack 13 für IBMs Anwendungsserver WebSphere schließt das Unternehmen mehrere Sicherheitslücken und behebt weitere Fehler in der Software. Die Liste der behobenen Fehler ist lang. Details zu den sicherheitsrelevanten Änderungen verschweigt IBM in der Änderungsliste jedoch.

Vage Andeutungen der Sicherheitslücken lassen sich der Änderungsliste aber entnehmen. So könnten nicht näher genannte Informationen offengelegt werden. Auch der Quellcode von JSP-Java-Servlets ließe sich auslesen. Vertrauliche Informationen könnten in Protokolldateien auftauchen.

In der Liste finden sich noch weitere, ebenfalls wenig aussagekräftige Sicherheitslücken, die das Fixpack schließt. IBM empfiehlt, es baldmöglichst auf den betroffenen WebSphere-Versionen 6.0.2 einzuspielen.

Quelle: heise

BSI-Warnung: Betrüger fordern mit Werbe-E-Mails Bankdaten an

2006-08-15T14:39:00.000+02:00

Vor einer Masche mit betrügerischen E-Mails warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Nach Angaben der Behörde in Bonn kursieren derzeit Werbe-Mails mit den Absendern „Germany Online Consulting“ oder „Consult-Online-AG“.

Den Empfängern wird die Überweisung von bis zu 100 Euro in Aussicht gestellt - egal, ob sie weiter Werbung vom Absender empfangen wollen oder nicht. Voraussetzung für die Überweisung ist aber ein unterschriebenes Formular mit Bankverbindung, Name und Adresse, das per E-Mail oder Fax an den Absender geschickt werden soll.

Auf dieses vermeintlich attraktive Angebot sollte dem BSI zufolge auf keinen Fall eingegangen werden: Die Absender haben es auf die Kontodaten mit Unterschrift der Empfänger abgesehen, um eigenmächtig Geld abbuchen zu können, heißt es.

Quelle: tecchannel

Ministerium: OpenOffice ist unsicherer als Microsoft Office

2006-08-15T14:38:00.000+02:00

Nach Untersuchungen des französischen Verteidigungsministeriums stellt die OpenOffice-Software ein höheres Sicherheitsrisiko dar als das Microsoft-Pendant.

"Die Sicherheit von OpenOffice ist unzureichend", monieren Forscher des französischen Verteidigungsministeriums in ihrem Report "In-depth analysis of the viral threats with OpenOffice documents". Nach wie vor sei die Software-Suite anfällig für viele potenzielle Malware-Attacken, so die Autoren.

Der Bericht beschreibt vier Proof-of-Concept-Viren, die verdeutlichen sollen, wie sich bösartige Makros und Templates für Systeme mit der Open-Source-Software kreieren lassen. "Das virenbezogene Bedrohungspotenzial durch OpenOffice.org ist mindestens so groß wie das von Microsofts Office-Suite - und in mancher Hinsicht sogar größer", so der Report.

Einige der in dem Bericht beschriebenen Probleme betreffen das Grunddesign der Software. So soll OpenOffice.org den Forschern zufolge beispielsweise keine angemessenen Software-Sicherheitschecks vornehmen. Darüber hinaus eröffne die hohe Flexibilität der kostenlosen Office-Suite Virenschreibern zahlreiche Möglichkeiten, Malware zu kreieren. Der Bericht soll demnächst in dem Pariser Journal "Computer Virology" veröffentlicht werden.

Einen von den französischen Forschern entdeckten Bug hat das OpenOffice-Team bereits behoben. Dieser Fehler in der Programmierlogik der Software sei eine echte Schwachstelle gewesen, räumt Louis Suarez-Potts, Community-Manager von OpenOffice.org, ein. Bei den anderen Problemen handle es sich jedoch um theoretische Lücken. Laut Suarez-Potts wird derzeit daran gearbeitet, die Gesamtsicherheit der Software zu verbessern. In den vergangenen Wochen habe man eine Reihe von Schwachstellen beseitigt, so dass ein Upgrade auf die jüngste Version zu empfehlen sei.

Nach Ansicht von Sicherheitsanbietern zeigen gerade die jüngsten Bugs, dass es für das Open-Source-Projekt in Sachen Sicherheit noch viel zu tun gibt. "Diese Art von Schwachstellen in Microsoft Office hätten umgehend für Schlagzeilen gesorgt", so Russ Cooper, Security-Analyst bei Cybertrust. Im Prinzip sei hier komplett ignoriert worden, was Microsoft im Hinblick auf die Sicherheit der eigenen Office-Dokumente durchgemacht habe. In den vergangenen Wochen machten sich Angreifer eine Reihe von Bugs in Microsofts Office-Applikationen zunutze, um manipulierte Word-, Excel- und PowerPoint-Dokumente via E-Mail an ihre Opfer zu schicken.

Quelle: tecchannel

Erster Bot für Microsoft-Schwachstelle in freier Wildbahn

2006-08-15T14:34:00.000+02:00

F-Secure warnt vor einem Bot, der die Schwachstelle MS06-040 ausnutzt.

Der Bot erhielt den Namen Backdoor.Win32.IRCBot.st. Er nutzt die Schwachstelle MS06-40 aus. Diese schloss Microsoft am letzten Patch-Day. Allerdings kann sich der Schadcode laut F-Secure nur via Windows 2000 und eventuell Windows XP SP1 verbreiten. Anwender sollten also ihre Systeme auf den aktuellen Stand bringen.

Ist ein System infiziert, nimmt der Bot Verbindung zu folgenden IRC-Servern auf: bbjj.househot.com:18067 und ypgw.wallloan.com:18067. Netzwerk-Administratoren wollen möglicherweise Verbindungen zu diesen Adressen monitoren und blockieren.

Quelle: tecchannel

Trojaner in gefälschten eBay-Rechnungen

2006-08-15T14:33:00.000+02:00

Seit dem heutigen Dienstagmorgen schwappt eine neue Schädlingswelle durch das Internet. Eine als eBay-Rechnung getarnte Mail gibt vor, im Anhang eine Auflistung der Kontoaktivitäten in einem vorgeblichen PDF-Dokument mit sich zu führen. Wie üblich kündigt der Mail-Text eine relativ hohe Summe an, um den verunsicherten Empfänger zum Öffnen des Anhangs zu verleiten.

In dem beigefügten ZIP-Archiv steckt statt der Rechung aber eine ausführbare Datei, die nach dem Auspacken und einem Doppelklick einen Downloader startet. Dieser lädt weiteren Schadcode aus dem Internet nach. Was genau auf einem infizierten Windows-PC geschieht, ist noch unklar und wird weiter getestet. Bei einer kurzen Analyse eines Samples auf Virustotal erkannten nur AntiVir, eTrust-Vet und NOD32 einen Schädling (TR/Dldr.EbayBill.D).

Gefälschte Rechnungen von eBay und der Telekom mit Trojanern im Anhang tauchen mittlerweile im Monatszyklus auf. Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen zugesandten Mails größte Vorsicht walten lassen – egal von wem die Mail zu stammen scheint.

Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und Tipps, welche Einstellungen vorgenommen werden sollten.

Quelle: heise

Sicherheitslücke im freien Grafikprogramm ImageMagick

2006-08-15T14:32:00.000+02:00

m kostenlosen und quelloffenen Grafikprogramm ImageMagick haben die Sicherheitsexperten von overflow.pl eine Sicherheitslücke entdeckt, durch die Angreifer schädlichen Programmcode einschleusen könnten. Der Fehler kann beim Verarbeiten manipulierter Bilder im SGI-Format auftreten.

Durch das Setzen von großen Werten in bestimmten Parameterfeldern eines SGI-Bildes, die zur Berechnung der Bildgröße dienen, kann eine Ganzzahl-Variable überlaufen. In der Folge wird ein zu kleiner Speicherbereich für die anschließenden Bildoperationen angefordert. Die neue Version 6.2.9 der Grafiksoftware schließt das Sicherheitsleck.

Quelle: heise

Microsofts Update-Server WSUS 3.0 als Beta-Version erhältlich

2006-08-15T14:30:00.000+02:00

Microsoft stellt die Beta 2 des Update-Servers WSUS 3.0 (Windows Server Update Services) zum Download bereit. Der neue WSUS-Server wird nicht mehr über eine Browser-Oberfläche gesteuert, sondern stellt ein Plug-in für die Microsoft Management Console 3.0 (MMC) bereit. Über Kontextmenüs sollen sich viele Funktionen bequemer als bisher nutzen lassen.

Die verfügbaren Updates sollen sich mit WSUS 3.0 leichter filternund sortieren lassen, etwa nach ihrer Knowledge-Base-Nummer oder dem Status ihrer Installation. Wenn neue Updates eintreffen, kann der Server einen Administrator via E-Mail benachrichtigen. Alle Details der neuen Version zählt das Dokument "WSUS Overview" auf, das auf Microsofts WSUS-Homepage erhältlich ist.

WSUS 3.0 lässt sich nur auf dem Windows Server 2003 SP1 oder der Beta-Version des Longhorn-Server installieren. Windows-2000-Server zählt Microsoft nicht mehr zu den unterstützten Systemen. Um die Beta-Version herunterzuladen, muss man sich zunächst mit einer Windows Live ID anmelden, um sich anschließend für den Beta-Test zu bewerben. Anmeldungen nimmt Microsoft bis zum 28. Februar 2007 entgegen.

Mit den Windows Server Update Services installiert man im eigenen lokalen Netz einen Update-Server, der die Verteilung von Microsoft-Updates wesentlich erleichtert. Der WSUS-Server lädt alle Microsoft-Updates aus dem Internet und hält diese Sammlung lokal vor. Administratoren können anschließend im Detail festlegen, welche ihrer lokalen Windows-PCs welche Updates einspielen sollen. Die Server-Software führt zudem Buch darüber, welche Maschinen mit bestimmten Patches versorgt sind. Auf den Ziel-PCs muss keine weitere Software installiert werden, als Client-Software dient derselbe Systemdienst für automatische Updates, der normalerweise mit Microsofts Update-Servern im Internet Kontakt aufnimmt.

Quelle: heise

Grußkarten-Mails mit Hintertür

2006-08-14T13:41:00.000+02:00

Ein vorgeblicher Flash-Player-Installer installiert Malware, einschließlich eines Rootkits.

In der letzten Woche wurden Spam-artig Mails verbreitet, die den Empfängern verkündeten, sie hätten eine Grußkarte erhalten. Die Mails enthielten einen Link und die Aufforderung diesen anzuklicken. Wer dem Folge leistete, lief allerdings Gefahr seinen PC mit Malware zu verseuchen.

Die Mails kamen mit einem Betreff wie "Sie haben eine Grusskarte bekommen." und enthielten keine Anhänge. Das scheinbare Sendedatum der Mail lag zum Teil mehrere Jahre zurück. Im Text der Mails hieß es:

"Hallo,
Sie haben eine Grusskarte bekommen, klicken Sie auf dem unten
stehenenden Link, um Ihre Karte abzuholen.
Drucken Sie hier

Note:
Do not reply to this e-mail, it will be sent to "greeting cards". "

Der Link führte zur Website "greeting-ecards.org", die mittlerweile nicht mehr erreichbar ist. Die aufgerufene Seite präsentierte dem Besucher die Meldung, er benötige eine neuere Version des Flash-Players - auch wenn dieser bereits die neueste Version installiert hatte. Zugleich öffnete sich ein Download-Dialog, der eine Datei namens "install_flash_player.exe" herunter laden sollte.

Wird die Datei auf dem PC ausgeführt, lädt sie weitere Schädlinge aus dem Internet herunter. Darunter befindet sich eine Datei "avupdate2.sys", die als neuer Dienst mit dem Namen "AVupdate service interface X2" registriert wird. Dabei handelt es sich um ein Rootkit aus der Haxdoor-Familie. Im TEMP-Verzeichnis werden einige Dateien mit Namen wie "tXmp007.exe" angelegt. Sie enthalten weitere Malware, können jedoch auch leer sein, falls es dem Schädling nicht gelungen ist, weitere Downloads durchzuführen.

Erkennung der Datei "install_flash_player.exe" durch Antivirus-Software:

Antivirus Malware-Name

AntiVir TR/Dldr.Hanlo.T
Avast! -/-
AVG Downloader.Generic2.JOG
BitDefender Trojan.Haxdoor.C
ClamAV Trojan.Dropper.Hanlo.L
Command AV W32/Threat-HLLSI-based!Maximus
Dr Web Trojan.DownLoader.6755
eSafe Win32.Haxdor.as
eTrust-INO Win32/Hanlo.T!Trojan
eTrust-VET Win32/Hanlo!generic
Ewido Downloader.Hanlo.t
F-Prot W32/Threat-HLLSI-based!Maximus
F-Secure Trojan-Downloader.Win32.Hanlo.t
Fortinet Haxdor!tr
Ikarus Trojan-Spy.Win32.Agent.DI
Kaspersky Trojan-Downloader.Win32.Hanlo.t
McAfee -/- (Downloader-AFG)*
Microsoft -/-
Nod32 Win32/TrojanDownloader.Hanlo
Norman W32/DLoader.AMJF
Panda Suspicious file
QuickHeal Suspicious
Sophos Troj/Haxdoor-CX
Symantec Downloader
Trend Micro TROJ_HAXDOR.AS
UNA TrojanDownloader.Win32.Hanlo.9E50
VBA32 Trojan-Downloader.Win32.Hanlo.t
VirusBuster Trojan.DL.Hanlo.T
WebWasher TROJ_HAXDOR.AS
GData AVK ** Trojan-Downloader.Win32.Hanlo.t

Quelle: AV-Test , Stand: 13.08.2006, 21 Uhr

* noch nicht in den offiziellen Updates enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

Die ersten Bots nutzen Windows Wurmloch

2006-08-14T13:40:00.000+02:00

Die kürzlich bekannt gewordene Sicherheitslücke im Server-Dienst von Windows wird zum Aufbau neuer Botnets ausgenutzt.

Was sich bereits kurz nach Veröffentlichung des Microsoft Security Bulletins MS06-040 andeutete , hat sich inzwischen bestätigt. Die ersten Schädlinge sind gesichtet worden, die diese Schwachstelle ausnutzen, wie das Internet Storm Center ( ISC ) am Sonntag berichtet hat.

Es handelt sich um modifizierte Versionen bekannter IRC-Bots aus der "MocBot"-Familie. Sie setzen bereits seit 2005 dieselben IP-Adressen und Kontroll-Server in China ein. Der Unterschied zwischen den neuen und alten Versionen besteht darin, dass der bislang verwendete Exploit MS05-039 durch den neueren MS06-040 ersetzt wurde. Die Verbreitung erfolgt auf unterschiedlichen Wegen, etwa über Instant Messenger oder getarnt als Bild (zum Beispiel als JPG-Datei).

Einmal eingeschleust, verwandeln sie den PC in einen Teil eines Botnets. Er dient dann als Spam-Schleuder oder für konzertierte Angriffe auf Web-Server. Ist ein Rechner mit einem solchen Bot verseucht, können die Bots auf Befehl ihrer Master beliebige weitere Malware installieren. Es bleibt nur eine komplette Neuinstallation, wenn Sie einigermaßen sicher sein wollen, dass Ihr PC wieder Ihnen allein gehört.

Die Schädlinge installieren sich, je nach Variante, mit den Dateinamen "wgareg.exe" oder "wgavm.exe" im System-Verzeichnis von Windows. Sie legen einen neuen Dienst an, der sich "Windows Genuine Advantage Registration Service" oder auch "Windows Genuine Advantage Validation Monitor" nennt. Dann scannen sie das lokale Netzwerk nach weiteren anfälligen Computern, um sie anzugreifen. Sie verursachen dabei auf dem Zielrechner einen Pufferüberlauf, wodurch übermittelte Anweisungen zum Laden und Ausführen des Schädlings aktiv werden.

Wie das Microsoft Sicherheits-Team in seinem Blog mitteilt, sind bisher nur Rechner mit Windows 2000 betroffen, auf denen das Sicherheits-Update MS06-040 nicht installiert ist. Die beiden entdeckten Bot-Varianten werden bei Microsoft "Win32/Graweg.A" und "Win32/Graweg.B" genannt. Die bereits am Freitag veröffentlichte Sicherheitsempfehlung 922437 ist am Sonntag überarbeitet worden, um neu gewonnenen Erkenntnissen Rechnung zu tragen.

Darin empfiehlt Microsoft die umgehende Installation der neuesten Sicherheits-Updates sowie die Sperrung der Ports 139 und 445 in den Firewalls. Die neu entdeckten Schädlinge sind bislang nicht sehr weit verbreitet, das kann sich jedoch in den nächsten Tagen schnell ändern. Es muss außerdem mit weiteren Schädlingen gerechnet werden, die diese Sicherheitslücke ausnutzen werden.

Erkennung durch Antivirus-Software:

Antivirus Malware-Variante 1 Malware-Variante 2

AntiVir Worm/IRCBot.9374 Worm/IRCBot.9609
Avast! -/- -/-
AVG -/- -/-
BitDefender Backdoor.IRCBot.ST Backdoor.IRCBot.ST
ClamAV Trojan.IRCBot-690 Trojan.IRCBot-689
Command AV W32/Threat-HLLIM-based!Maximus W32/Threat-HLLIM-based!Maximus
Dr Web Win32.HLLW.Nert Win32.HLLW.Nert
eSafe Win32.IRCBot.jk Win32.IRCBot.jl
eTrust-INO Win32/Cuebot.K!Worm Win32/Cuebot.J!Worm
eTrust-VET Win32/Cuebot.K Win32/Cuebot.J
Ewido Backdoor.IRCBot.st -/-
F-Prot W32/Threat-HLLIM-based!Maximus W32/Threat-HLLIM-based!Maximus
F-Secure Backdoor.Win32.IRCBot.st Backdoor.Win32.IRCBot.st
Fortinet W32/IRCBot.040!tr.bdr W32/Cuebot.L!tr.bdr
Ikarus -/- -/-
Kaspersky Backdoor.Win32.IRCBot.st Backdoor.Win32.IRCBot.st
McAfee IRC-Mocbot!MS06-040 IRC-Mocbot!MS06-040
Microsoft Backdoor:Win32/Graweg.B Backdoor:Win32/Graweg.A
Nod32 Win32/IRCBot.OO Win32/IRCBot.OO trojan
Norman W32/Suspicious_M.gen W32/Suspicious_M.gen
Panda Suspicious (W32/Oscarbot.KD.worm)* Suspicious (W32/Oscarbot.KD.worm)*
QuickHeal Wargbot.a Wargbot.b
Sophos W32/Cuebot-M W32/Cuebot-L
Symantec W32.Wargbot W32.Wargbot
Trend Micro WORM_IRCBOT.JK WORM_IRCBOT.JL
UNA -/- -/-
VBA32 -/- -/-
VirusBuster Backdoor.IRCBot.AAG Backdoor.IRCBot.AAH
WebWasher Worm.IRCBot.9374 Worm.IRCBot.9609
GData AVK ** Backdoor.Win32.IRCBot.st Backdoor.Win32.IRCBot.st

Quelle: AV-Test , Stand: 14.08.2006, 3 Uhr

* noch nicht in den offiziellen Updates enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

Sicherheitslücke in Squirrelmail (Webmail) entdeckt

2006-08-14T12:07:00.000+02:00

Betroffen sind alle aktuellen Versionen 1.4.x von Squirrelmail, einem bekannten Webmail-Tool, das auf PHP4 aufsetzt.

Der nicht näher spezifizierte Fehler trifft beim Erstellen von Mails in der Datei compose.php auf. Über die Sicherheitslücke sind unter Umständen Profile und Anhänge anderer Benutzern des Webmail-Systems einsehbar. Auf der Website von Squirrelmail steht bereits Version 1.4.8 zur Verfügung, die diese Sicherheitslücke schließt.

Quelle: tecchannel

Schädlinge greifen Windows-Schwachstellen an

2006-08-14T12:06:00.000+02:00

Für die Lücke im Windows-Serverdienst, die Microsoft am August-Patchday geschlossen hat, sind schon zwei Varianten des Mocbot-IRCBot unterwegs. Diese nutzen die Lücke auf verwundbaren Windows-2000-Rechnern aus, um sie zu infizieren. Nachdem Microsoft am Wochenende vor frei verfügbarem Exploit-Code warnte, haben die Redmonder inzwischen ihre Sicherheitsmeldung aktualisiert – sie schätzen das Risiko jedoch als gering ein. Offenbar spricht Microsoft jedoch von einem anderen Virus, da laut Brian Krebs, dem Sicherheitsspezialisten der Washington Post, die Mocbots von der Microsoft-Antivirenlösung gar nicht erkannt werden.

Nach der Infektion eines Rechners bauen die Mocbot-Varianten eine Verbindung zu einem IRC-Server her und warten dort auf Anweisungen von dem Botnetzbetreiber. Der Servername ist bekannt: Mocbot verbindet auf TCP-Port 18067 zu bniu.househot.com sowie zu ypgw.wallloan.com, falls der erste Server nicht erreichbar ist. Es handelt sich dabei um dieselben IRC-Server, die die ursprünglichen Mocbot-Varianten verwendet haben.

Die beiden IRCBot-Varianten setzen sich als wgareg.exe beziehungsweise wgavm.exe im Windows-Systemverzeichnis fest. Diese Dateien sind anschließend als Wndows-Dienst Windows Genuine Advantage Registration Service respektive als Windows Genuine Advantage Validation Monitor registriert und starten mit Systemrechten beim Hochfahren des infizierten Rechners. Der Bot-Netzbetzreiber kann dann beliebige Befehle an infizierte Rechner absetzen; eingebaut in den Schädling sind unter anderem Routinen für SYN-Floods, DDoS-Attacken, das Öffnen einer Shell sowie Funktionen zum Suchen und Infizieren von verwundbaren Rechnern. Die infizierten Rechner sollen möglicherweise von Spammern missbraucht werden. Die Antivirenhersteller liefern inzwischen aktualisierte Signaturen aus, mit denen die Würmer erkannt werden.

Unterdessen tauchte noch weiterer Schadcode für die am Patchday geschlossenen Sicherheitslücken auf. Das Internet Storm Center weiß von einem Schädling zu berichten, der das Leck im Windows-Hilfe-System auszunutzen versucht. Windows-Hilfe-Dateien, die beispielsweise per E-Mail eintreffen, sollten Anwender ebenso wie andere ungefragt zugesandte Dateianhänge nicht öffnen. Für die Sicherheitslücken im Internet Explorer waren schon zum Patchday Exploits auf Webseiten aktiv. Die am vergangenen Dienstag bereitgestellten Patches sollten also baldmöglichst eingespielt werden, so sie noch nicht vom automatischen Update installiert wurden. Rechner, auf denen die möglichen Nebenwirkungen der Patches die Instalation verhindern, sollten anderweitig geschützt werden; so sollte auf diese nur noch von vertrauenswürdigen Rechnern aus zugegriffen werden können.

Quelle: heise

Fraunhofer entwickelt selbstorganisierendes WLAN-Schließsystem

2006-08-14T12:05:00.000+02:00

Funknetze ersetzen immer häufiger die drahtgebundene Kommunikation, besonders wenn die Kabelvernetzung sehr aufwändig ist. Wissenschaftler der Fraunhofer ESK haben jetzt ein selbstorganisierendes und sicheres IP-Funkschließsystem entwickelt.

Bei einem funkbasierten Schließ-System vernetzen Access Points die Schließzylinder mit einem IP-Firmennetzwerk. Über dieses werden Daten mit der Schließsystemverwaltung ausgetauscht. Informationen, etwa zu neuen Schließberechtigungen, werden so zentral und drahtlos an alle Schlösser des Systems verteilt.

Die Wissenschaftler der Fraunhofer-Einrichtung für Systeme der Kommunikationstechnik ESK haben über 20 Funksysteme evaluiert und auf ihre Eignung als Übertragungssystem in einer elektronischen Schließanlage überprüft. Besonders wichtig waren Themen wie Energieeffizienz, Robustheit und Zuverlässigkeit der Datenübertragung sowie Sicherheit der Funkverbindung. Das eingesetzte Funksystem wurde zudem kryptografisch gegen Lauschangriffe gesichert.

Bei der Konzeption der Schließanlage wurde Wert auf einen hohen Komfort gelegt. Deswegen haben die Wissenschaftler das Funksystem um Komponenten zur Selbstorganisation erweitert. So wird beispielsweise eine automatische Assoziierung vom Schließzylinder zum Access Point ermöglicht. Werden neue Komponenten installiert, buchen sie sich selbständig in die Anlage ein und stellen eine Verbindung zum Verwaltungssystem und untereinander her. Hierfür haben die Wissenschaftler ein neues Adressierungsschema zusammen mit Mechanismen zur Adressvergabe und Routing innerhalb des Netzwerkes entwickelt.

Doch nicht nur der Administrationsaufwand verringert sich. Auch der Wartungsaufwand wird durch den Einsatz eines Low-Power-Funksystems minimiert. Ein weiterer Vorteil ist, dass Störungen sich automatisch erkennen und beheben lassen. Fallen Schließzylinder oder Access Points aus, wird dies automatisch registriert. Die Aufgaben eines ausgefallenen Access Point kann ein anderer in Funkreichweite automatisch übernehmen.

Quelle: tecchannel

Nachwehen des letzten Microsoft-Patchday

2006-08-14T12:04:00.000+02:00

Allmählich werden erste Wechselwirkungen der vergangenen Dienstag von Microsoft veröffentlichten Patches bekannt. Gleich zwei der als kritisch eingestuften Patches haben Seiteneffekte, die bestehende Software komplett außer Funktion setzen.

Das Security Update 921883 (MS06-040), das eine Lücke im Server-Dienst stopft und inzwischen auch von Microsoft dringend zur Installation empfohlen wird, legt etwa die hauseigene Software Navision lahm. Der Patch verursacht auf System mit Windows Server 2003 inklusive Service Pack 1 Probleme, wenn Programme große zusammenhängende Speicherbereiche anfordern. Dagegen bietet Microsoft seit gestern einen Hotfix an, den man per Support-Anfrage erhält.

Eingriffe des Security Update 917422 (MS06-051), das eine Lücke im Kernel schließen soll, setzen die Software Brockhaus multimedial außer Gefecht. Sie startet nach der Installation des Patches nicht mal mehr. Der Verlag warnt vor dem Problem bei Windows XP, es soll aber auch bei Windows 2000 auftreten. Brockhaus kritisiert die mangelnde Aufklärung Microsofts. Betroffenen empfiehlt man, das Update zu deinstallieren, was aufgrund weiterer Abhängigkeiten zu anderen Patches und Updates schwierig ist.

Quelle: heise

Microsoft warnt vor Schadcode für Serverdienst-Lücke

2006-08-14T12:02:00.000+02:00

Nachdem mehrere Sicherheitsbehörden in der vergangenen Woche schon Warnungen veröffentlicht haben, hat nun auch Microsoft eine Sicherheitsmeldung herausgegeben, in der das Unternehmen vor veröffentlichten Schadcode für die Lücke im Serverdienst warnt. Die Sicherheitsexperten aus Redmond haben den Exploit-Code untersucht und kommen zu dem Schluss, dass dieser nur unter Windows 2000 und Windows XP mit Service Pack 1 funktioniert.

Weiterhin weiß Microsoft nur von kleineren, gezielten Attacken, die diese Schwachstelle ausgenutzt haben. Größer angelegte Angriffe habe man noch nicht entdeckt. Das Internet Storm Center hat jedoch inzwischen entdeckt, dass Windows 2000 Server aktiv angegriffen werden. Die Angreifer versuchen offenbar, ein Botnet aufzubauen.

In der Sicherheitsmeldung empfiehlt Microsoft nochmals, den verfügbaren Patch einzuspielen. Wo dies nicht möglich ist, sollten die Ports 139 und 445 entweder per Firewall oder mittels IPsec geschützt werden. Unter Windows 2000 sollten Administratoren gegebenenfalls den eingebauten TCP/IP-Filter entsprechend konfigurieren.

[Update]:

Auch F-Secure hat den sich über die Lücke verbreitenden Schädling entdeckt, er heißt Mocbot (Backdoor.Win32.IRCBot.st). Es handelt sich dabei um einen IRC-Bot. Nähere Details nennt das LURHQ.

Quelle: heise

SPECIAL!! 19" TFT für nur 169,-€ zzgl. Versand !!

2006-08-14T01:48:00.000+02:00

Der Online-Händler Amazon bietet den Marken-TFT Acer AL1914s seit wenigen Stunden zum Schnäppchenpreis von 169 Euro an. Der große Flachmann mit einer Diagonale von 19 Zoll kommt mit überzeugenden technischen Daten. Zum Vergleich: Der letzte 19-Zöller von Aldi war 110 Euro teurer.

Der AL1914s bietet einen Kontrast von 500:1, die Helligkeit liegt bei 250 Candela pro Quadratmeter. Die Reaktionszeit beträgt laut Hersteller zwölf Millisekunden.

Ausgeliefert wird der Monitor mit Handbuch, Stromkabel und VGA-Kabel. Einen DVI-Eingang hat das Gerät allerdings nicht - dies dürfte in erster Linie aber nur Gamer stören. Die Garantie läuft mit drei Jahren ausreichend lang.

Amazon hatte den gleichen TFT übrigens schon einmal vor rund zwei Monaten im Angebot - damals kostete der große Flachmann noch 30 Euro mehr. Der letzte TFT von Aldi war mit 279 Euro deutlich teurer. Er kam zwar mit DVI-Schnittstelle, dafür war der Kontrast schwächer als beim Amazon-Markenmodell.

Wurmstichiges Foto aus Paris

2006-08-11T15:09:00.000+02:00

Ein Wurm verbreitet ein angebliches Urlaubsfoto, in der vermeintlichen Bilddatei steckt jedoch Malware.

Das Versenden vorgeblicher Fotos als Anhang einer Mail gehört seit Jahren zum Standardrepertoire von Malware. Diese Methode ist typisch für den Wurm "c" (oder auch "Rontokbro"). Wie Micro World Technologies , Hersteller von "Escan" meldet, versendet die neueste Variante Brontok.o ein angebliches Urlaubsfoto aus Paris, das jedoch eine ausführbare Datei ist.

Die Mails kommen mit einem Betreff wie "My photo on Paris" und einem Dateianhang namens "picture.zip". Diese ZIP-Datei enthält eine Batch-Datei "View-Picture.bat" sowie das vermeintliche Bild "Picture.bmp". Wird die BMP-Datei durch Doppelklick geöffnet, lädt sie eine Kopie des Wurms aus dem Internet herunter und führt sie aus.

Der Schädling ist mutmasslich indonesischer Herkunft, denn er versendet seine Mails sowohl in englischer als auch in indonesischer Sprache, abhängig von der Mail-Adresse. Der indonesische Betreff lautet "Foto Liburanku di Bali". Brontok durchsucht die Festplatte nach Mail-Adressen und versendet sich mit der Adresse des Opfers als Absenderangabe.

Der Wurm verstreut etliche Kopien seiner selbst über mehrere Verzeichnisse und verwendet dabei Datei- und Verzeichnisnamen mit zufälligen Ziffernfolgen. So landen einige Kopien im Profil des angemeldeten Benutzers und im Windows-Verzeichnis, andere in einem neu angelegten Unterverzeichnis von C:\Windows\System32. Ferner erstellt Brontok JOB-Dateien für den Windows-Taskplaner, zum Beispiel "at1.job", die diesen anweisen den Wurm einmal täglich auszuführen.

Außerdem legt der Wurm eine Reihe von Registry-Einträgen an, die zum Teil der automatischen Ausführung beim Start von Windows dienen. Andere Einträge deaktivieren den Registry-Editor sowie die Eingabeaufforderung und schalten die Anzeige von Dateierweiterungen und versteckten sowie System-Dateien im Windows Explorer aus. Brontok versucht Antivirus-Software zu beenden und überschreibt die HOSTS-Datei, um zu verhindern, dass Antivirus-Programme aktualisiert werden können. Dazu leitet er diverse Web-Adressen auf den lokalen Rechner um, zum Beispiel:

127.0.0.19 www.mcafee.com
127.0.0.19 www.grisoft.com
127.0.0.19 www.kaspersky.com
127.0.0.19 www.symantec.com

Die HOSTS-Datei befindet sich in C:\Windows\System32\drivers\etc\ und enthält laut der Beschreibung von Sophos mehr als 300 derartige Einträge, wenn der PC mit diesem Wurm verseucht ist. Es sind bereits mehr als 100 Brontok-Varianten bekannt, die Verbreitung dieser Wurm-Variante ist eher gering.

Quelle: PC-Welt

Online-Datenbank mit brisanten AOL-Suchabfragen im Internet

2006-08-11T15:00:00.000+02:00

Für Aufruhr hatte in dieser Woche die Veröffentlichung der Suchabfragen von über 650.000 Mitgliedern von AOL USA gesorgt. Mittlerweile hat ein Anwender die Daten in einer Online-Datenbank ins Internet gestellt. Ein gefundenes Fressen für Neugierige und Spammer.

Ein Anwender hat die über 2 GB Daten von Suchabfragen, die AOL USA für kurze Zeit als Download online gestellt hatte ( wir berichteten ), in dieser Online-Datenbank ins Internet gestellt. Sie enthält sämtliche Suchabfragen von über 650.000 AOL-Mitgliedern zwischen dem 1. März bis zum 31. Mai 2006, die AOL USA auf seinen Research-Seiten zunächst veröffentlicht und anschließend wieder vom Netz genommen hatte.

Die brisanten Daten werden nach wie vor im Internet in Form einer 450 MB großen, komprimierten Text-Datei verbreitet. Die Online-Datenbank macht den Download überflüssig. Wahlweise kann in der Suchmaske die ID der anonymisierten AOL-Anwender angegeben werden. Dann werden alle im genannten Zeitraum gespeicherten Suchabfragen des betreffenden Anwenders angezeigt. Alternativ kann auch ein Suchbegriff eingegeben werden und es wird angezeigt, welche AOL-Anwender diesen Begriff eingegeben haben. Die Anzahl der maximal angezeigten Ergebnisse ist seitens der Online-Datenbank auf 250 Einträge begrenzt.

Die Online-Datenbank demonstriert, wie unverantwortlich die Herausgabe der Daten seitens AOL war. Spammer können die Datenbank nutzen, um beliebte Suchbegriffe der Anwender zu ermitteln. Die Datenbank zeigt auch an, welche Website die Anwender nach der Anzeige der Suchergebnisse besuchten. Alternativ könnte mittels der Datenbank versucht werden, einzelne AOL-Mitglieder zu identifizieren.

AOL USA hatte sich Mitte der Woche für die Veröffentlichung der Daten entschuldigt. Der Vorfall wird derzeit intern untersucht. AOL Deutschland hatte gegenüber der PC-WELT betont, dass keinerlei Daten von deutschen Anwendern im Datensatz enthalten waren und hierzulande ohnehin nicht die Screennames der eingeloggten deutschen Anwender bei Suchabfragen mitprotokolliert werden.

Quelle: PC-Welt

Mal wieder: 4. Anti-Spam-Kongress steht vor der Tür

2006-08-11T14:57:00.000+02:00

Wozu soll das noch gut sein? Die Frage wird sich wohl der ein oder andere Experte stellen, wenn er am 05. September auf dem 4. deutschen Anti-Spam-Kongress in Köln weilt. Die vom Internet-Verband eco organisierte Fachtagung steht dem Namen nach mal wieder ganz im Zeichen unerwünschter Werbe-E-Mails.

Was schließt der aufmerksame Leser daraus? Richtig! Das Problem "Spamming" haben die tagenden Experten auf den vorangegangenen drei Kongressen noch nicht gelöst. Und in diesem Jahr wird sich daran wohl auch nichts ändern. Davon gehen offenbar auch die Organisatoren aus und setzten - wohlwissend, dass mit dem Thema Spam nichts mehr zu reißen ist - das Phishing mit auf die Agenda.

In der Tat ist der Passwortdiebstahl ein ernsthaftes Problem für die deutsche Wirtschaft. Schätzungen gehen davon aus, dass alleine beim Online-Banking in Deutschland im vergangenen Jahr ein Schaden in Höhe von rund 70 Millionen Euro entstanden ist. Insgesamt sind in der Bundesrepublik über vierzig Millionen Online-Konten in Gefahr. Weltweit steigen die Phishing-Attacken monatlich um 25 Prozent an.

Laut eco-Chef Harald A. Summa müsse die Internetwirtschaft diesen Gefahren ins Auge blicken, um praktikable und effiziente Gegenmaßnahmen entwickeln zu können. Maßnahmen des Gesetzgebers gegen Spam gehen Summa zufolge jedenfalls an der Realität vorbei. Dabei scheint der Lobbyist zu vergessen, dass die Internet-Wirtschaft um eco bislang auch nichts besseres zustande bekommen hat.

Quelle: net-tribune

Cyber-Attacken auf Öl- und Gasfirmen nehmen zu!

2006-08-11T14:56:00.000+02:00

Laut dem Sicherheitsanbieter Thales hat sich die Zahl der Cyber-Attacken gegen Öl- und Gasfirmen seit der Jahrtausendwende nahezu verdoppelt. In Zeiten des globalen Terrorismus' und der wachsenden Nutzung von IT-Systemen im Rahmen der Öl- und Gasförderung sind die externen Angriffe von 31 Prozent im Jahr 2000 auf 70 Prozent in den vergangenen 5 Jahren gestiegen.

Energie-Einrichtungen seien aber sowohl für physische als auch für elektronische Attacken anfällig, heißt es in einem Whitepaper von Thales. Grund: Sie befinden sich meistens in politisch instabilen Regionen. Außerdem werden viele Dank der neuen Technik bereits aus der Ferne gesteuert.

Quelle: net-tribune

HSBC: Online-Banking-Lücke klaffte zwei Jahre

2006-08-11T14:55:00.000+02:00

Bis zu drei Millionen Kunden des globalen Bankinstituts HSBC sahen sich für mehr als zwei Jahre mit einer erheblichen Sicherheitslücke in ihrem Online-Banking-System konfrontiert. Das berichtet die britische Tageszeitung "The Guardian".

Über die Schwachstelle hätten Nutzerdaten ohne weiteres über sogenannte Keylogger mitgeschnitten werden können, so eine Forschergruppe der Cardiff University, die auf die Anfälligkeit gestoßen war.

Andere Banken seien von dem Problem allerdings nicht betroffen. Sie nutzen laut den Experten sicherere Systeme für ihre Online-Dienste. HSBC beschwichtigt indes: "Uns sind keine konkreten Fälle bekannt, in denen die Lücke von Kriminellen genutzt wurde."

Quelle: net-tribune

Studie: 25 Prozent aller Suchergebnisse sind Spam

2006-08-11T14:54:00.000+02:00

Emsdetten - Die Suchmaschinen-Marketing-Agentur Bloofusion hat in einer aktuellen Studie untersucht, wieviele Websites auf unseriöse Methoden setzen, um ihre eigenen Suchmaschinen-Positionen zu verbessern. Der Anteil dieses sogenannten Suchmaschinen-Spams an den Suchergebnissen ist dabei hoch: Unseriöse Praktiken, die gegen die Richtlinien der großen Suchmaschinen verstoßen und bei Entdeckung zu einem Ausschluss aus dem Suchmaschinen-Index führen können, wurden bei jedem vierten Suchergebnis gefunden.

Die Ergebnisse stützen sich auf die manuelle Auswertung von 2.000 Suchergebnissen der Suchmaschinen Google, Yahoo!, MSN und Seekport. Um möglichst objektive Ergebnisse zu erzielen, wurden Suchanfragen aus verschiedenen Bereichen verwendet. Die Untersuchung sollte dabei vor allem objektivieren, was subjektiv vielen schon klar war: "Suchmaschinen-Spam ist ein Problem. Jeder, der Suchmaschinen regelmäßig benutzt, hat sich bestimmt schon über manche Suchergebnisse gewundert oder geärgert. Wir wollten endlich mal wissen, wie groß der Umfang dieser Tricksereien ist", erläutert Bloofusion-Chef Markus Hövener.

Der Einsatz von unseriösen Methoden geschieht dabei nicht immer absichtlich und mit Kenntnis der jeweiligen Unternehmen: "Viele Unternehmen vertrauen auf ihre Suchmaschinen-Marketing-Agentur. Einige Agenturen aber nutzen unseriöse Praktiken und setzen damit die Websites ihrer Kunden aufs Spiel - ohne dass die jeweiligen Unternehmen davon wissen. Eine Abstrafung kommt dann oft aus heiterem Himmel", berichtet Hövener aus der täglichen Praxis.

Quelle: net-tribune

Windows Vista mit erweiterter Echtheitsüberprüfung

2006-08-11T14:34:00.001+02:00

Windows Vista wird öfter als der Vorgänger überprüfen, ob der Anwender im Besitz einer legalen Version ist.

Microsoft wird in Windows Vista mehr Echtheitsüberprüfungen (WGA) einbauen. Laut einem Bericht der US-Site Microsoft Watch wird Vista laut Angaben von Microsoft öfter überprüfen, ob der Anwender im Besitz einer legalen Version des Betriebssystems ist. Solange er dies ist, wird er von dem Ganzen aber wohl nichts mitkriegen.

Es könnte sein, dass vor der Nutzung bestimmter Vista-Funktionen im Hintergrund zunächst überprüft, ob man eine legale Version nutzt. Das könnte beispielsweise vor der Nutzung der Teilapplikationen Windows Photo Gallery, Windows Media Center oder Windows DVD Maker geschehen, die teils nur in den teureren Fassungen von Vista enthalten sein werden. Microsoft wird außerdem für die Ultimate-Version von Vista Extras zum Download anbieten, bei denen vor dem Download oder der Nutzung ebenfalls eine Echtheitsüberprüfung notwendig sein könnte.

Grund für die Verschärfung der Echtheitsüberprüfung dürfte nicht zuletzt sein, dass Microsoft alle Versionen von Windows Vista auf dem gleichen Installationsmedium ausliefern wird. Welche Vista-Version sich bei der Installation freischaltet, entscheidet der erworbene Produktschlüssel. Für den Käufer bietet sich der Vorteil, dass er später günstig einen neuen Schlüssel erwerben könnte, mit dem er eine höherwertige Version des Betriebssystems freischalten kann.

In dieser Woche hatte sich allerdings auch gezeigt, wie sinnlos WGA sein kann. Ein US-Journalist wollte die Echtheitsüberprüfung überprüfen und hatte von Microsoft um einen Produktschlüssel gebeten, der von der Echtheitsüberprüfung als illegal gewertet wird. Microsoft lieferte ihm allerdings einen Schlüssel, mit dem sich XP nicht installieren ließ. Um die Echtheitsüberprüfung dennoch testen zu können, bemühte der Journalist Google und fand nach wenigen Minuten einen Schlüssel, mit dem er Windows XP installierte. Das Ergebnis: Die Echtheitsüberprüfung wertete sein XP als legale Version.

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

Die Entwicklung eines Trojanischen Pferds

2006-08-11T14:34:00.000+02:00

Die Schädlingsfamilie "Goldun" wird als Baukasten verkauft und ständig weiterentwickelt.

Der österreichische Antivirus-Hersteller Ikarus Software hat die Schädlingsfamilie "Goldun" analysiert und ist dabei zu einigen interessanten Schlußfolgerungen gekommen. So gehen die Virenforscher davon aus, dass diese Trojanischen Pferde in der Praxis nicht von denen eingesetzt werden, die sie entwickelt haben.

Die Programmierer der Goldun-Schädlinge bieten vielmehr Kriminellen ein Baukastensystem an, das auch weniger versierten Computer-Anwendern die Erstellung eines bedarfsgerechten Angriffswerkzeugs ermöglicht. Die Täter geben lediglich die gewünschten Ziele, etwa bestimmte Banken oder Online-Kasinos ein. Mit der so erstellten Goldun-Variante können sie dann Phishing betreiben, ohne selbst Software-Entwicklung betreiben zu müssen.

Entwicklung und realer Einsatz vollziehen sich in zwei Phasen, einer Entwicklungs- und einer Angriffsphase. Die erste Entwicklungsstufe vollzog sich von Januar bis März 2006, darauf folgte eine Angriffsphase bis etwa Ende Juni. Derzeit findet laut Ikarus wieder eine neue Entwicklungsphase statt.

In einer Entwicklungsphase sind etliche kaum verbreitete Varianten zu beobachten, die bei chronologischer Analyse eine zunehmende Komplexität aufweisen. Dabei bemühen sich die Programmierer um Unauffälligkeit. Es werden lediglich ein paar Standardziele angegriffen, um die gerade entwickelten Routinen und Angriffsstrategien zu testen. Dazu zählt der Online-Bezahldienst "E-Gold", woraus sich auch der Name für den Schädling ableitet.

Die Goldun-Varianten aus dem fertigen Baukasten, die in einer Angriffsphase auftauchen, unterscheiden sich davon deutlich. Sie sind untereinander sehr ähnlich und enthalten umfangreichen Funktionen zum Schutz des Programm-Codes vor Analysen. Sie werden auf ganz unterschiedlichen Wegen verbreitet. Sie bestehen aus einem Rootkit-Treiber zur Tarnung sowie einer DLL-Datei, die sich im Anmeldeprozess "Winlogon" verankert.

Die Ziele der einzelnen Goldun-Varianten einer Angriffsphase sind sehr unterschiedlich und weisen untereinander keinen Zusammenhang auf. Die einen greifen Online-Kasinos an, andere zielen auf bestimmte Banken, meist jeweils mehrere. Die zahlenden Kunden der Goldun-Programmierer bestimmen, wo sie ernten wollen. Sie machen dies auch davon abhängig, welche Möglichkeiten der Geldwäsche ihnen jeweils zur Verfügung stehen.

Derzeit sind kaum noch Baukasten-Varianten von Goldun zu beobachten, die Programmierer entwickeln allem Anschein nach einen neuen Grundbaukasten. Mit dessen Fertigstellung rechnen die Virenforscher bei Ikarus Anfang Herbst dieses Jahres. Da der erste Baukasten recht erfolgreich eingesetzt wurde, geht Ikarus davon aus, dass sich für die nächste Version noch wesentlich mehr Kunden finden werden, die sich schnellen Reichtum erhoffen.

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

Kritische Schwachstelle in Ruby on Rails

2006-08-10T23:48:00.000+02:00

Ein Update soll die Sicherheitslücke in dem verbreiteten Web-Entwicklungs-Framework schließen.

Ein Security-Update des Web-Entwicklungs-Frameworks "Ruby on Rails" (RoR) der Firma 37signals soll ein kritisches Sicherheitsproblem beheben. Details zu der Schwachstelle sowie zu den betroffenen Versionen wurden noch nicht bekannt gegeben, die Autoren raten jedoch dringend dazu, den als "zwingend erforderlich" eingestuften Patch einzuspielen.
Hier klicken!

Das in der Programmiersprache Ruby entwickelte RoR zeichnet sich dadurch aus, dass es die schnelle Entwicklung von datenbankgestützten Anwendungen erlaubt, indem sich die wichtigsten Bestandteile der Anwendung aus dem Framework generieren lassen und nicht von Hand programmiert werden müssen. So können Web-Applikationen schnell programmiert und publiziert werden, um frühzeitig Input durch die Benutzer zu bekommen.

Quelle: computerwoche

Virengefahr für SAP-Datenbanken

2006-08-10T23:47:00.000+02:00

BowBridge warnt vor ungesicherten Up- und Downloads bei SAP-Systemen.

Angesichts immer häufigerer Attacken über Schwachstellen in gängigen Office-Applikationen und der steigenden Zahl von Firmenportalen auf Basis von SAP Enterprise Portals und der NetWeaver-Plattform der Walldorfer geht BowBridge, Hersteller von Security-Integrationslösungen, von einer wachsenden Bedrohung für interne wie externe Anwender aus: Da Dateien, die über NetWeaver aus der Datenbank hochgeladen beziehungsweise in sie eingespeist werden, von den normalen Virenschutzmechanismen unberührt bleiben, kann ein Unternehmensportal potenziell gefährliche Inhalte verbreiten.

Dieses Problem könnte sich mit Microsofts und SAPs Software "Duet" eventuell noch verschärfen: Damit sollen Office-Anwender enger an die SAP-Systeme im Backend gekoppelt werden. Zu Sicherheitsaspekten haben sich beide Hersteller bisher nicht geäußert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher, Virenschutzvorkehrungen in SAP-Umgebungen zu implementieren, um eine Überprüfung der Dateien zu gewährleisten, bevor sie in die SAP-eigene Datenbank geschrieben werden.

Quelle: computerwoche

Sicherheitsloch 2.0?

2006-08-10T23:45:00.000+02:00

Instant Messaging (IM), Wikis, Weblogs und Co. - die unter dem Sammelbegriff Web 2.0 gefeierte jüngste Generation von Web-Applikationen bietet Cyberkriminellen zahlreiche Angriffsflächen.

Der als Web 2.0 bezeichnete Schmelztiegel aus miteinander verknüpften Web-Techniken, die Informationen gemeinsam nutzen und in Echtzeit aktualisieren, entpuppt sich nach einem Bericht der "Financial Times" als fruchtbarer Boden für Hacker, die versuchen, diesen Mix mit bösartigem Code zu infiltrieren.
Hier klicken!

Noch bis vor nicht allzu langer Zeit war Microsoft aufgrund der Schwachstellen in seinem Textverarbeitungsprogramm, Browser und Betriebssystem primäre Zielscheibe für Cyber-Kriminelle. Mittlerweile verschiebt sich der Fokus von Desktop- auf Web-getriebene Applikationen, so dass sich die Attacken zunehmend auf Google, Yahoo oder MySpace verlagern.

Bei Web 2.0 findet die Aktion im Browser statt. So können etwa Google-Nutzer heute ebenso Tabellen ausfüllen, Texte produzieren sowie ihren Kalender und ihren E-Mail-Eingang aktualisieren wie mit Microsofts festplattenbasierender Office-Suite. Der entscheidende Unterschied: Die Informationen sind in Web-Seiten eingebettet, die Googles Server an den Browser des Nutzers schicken - meist der Internet Explorer oder Firefox.

Darüber hinaus steht Web 2.0 für Social Software wie Wikis, Blogs, RSS-Feeds und Community-Sites. Es handelt sich hierbei um eine freizügige Gesellschaft, die Nutzern erlaubt, Informationen "auszuleihen", Daten hinzuzufügen beziehungsweise miteinander zu vermischen. Diese Techniken und Tools gewähren neue Freiheiten, stellen aber gleichzeitig ein noch jungfräuliches Terrain für Virenschreiber und Identitätsdiebe dar.

Quelle: computerwoche

US-Studie: Milliardenschaden durch Phishing, Viren und Spyware

2006-08-10T23:42:00.000+02:00

Die US-amerikanische Verbraucherorganisation Consumer Reports hat in ihrem jüngsten Bericht State of the Net bilanziert, dass US-Verbraucher in den vergangenen zwei Jahren durch Angriffe aus dem Cyberspace über 8 Milliarden US-Dollar Schaden erlitten haben. Die Forscher gehen in ihrem dritten Bericht dieser Art davon aus, dass im vergangenen Jahr etwa ein Drittel der US-Internet- und Computernutzer Opfer einer Attacke wurden. Diese wurden aufgeteilt auf die Kategorien "Spam", "Spyware", "Phishing" und "Viren"; auf die letzte Kategorie entfiel mit 5,2 Milliarden US-Dollar der größte Teil des Gesamtschadens. Für die Untersuchung wurden 2000 Haushalte mit Internetzugang telefonisch befragt.

Ein Viertel der Befragten beklagten ein großes, mitunter kostenträchtiges Problem mit Virenbefall, das durchschnittlich einen Schaden von 109 US-Dollar je Vorfall verursachte. Durch Phishing, also dem betrügerischen Erschleichen persönlicher Daten wie PIN oder Kreditkartennummern, wurde je Vorfall ein Schaden in Höhe von 850 US-Dollar verursacht. Daraus ergibt sich für die Forscher ein Gesamtschaden von hochgerechnet 630 Millionen US-Dollar. Die Hälfte der Befragten haben eine massive Belästigung durch Spam angegeben. Hochgerechnet eine Million Haushalte wurden bereits einmal durch Probleme, die durch Spyware verursacht wurden, dazu veranlasst, sich einen neuen Computer anzuschaffen. Den durch Spyware verursachten Gesamtschaden summieren die Forscher auf 2,6 Milliarden US-Dollar.

Quelle: heise

Ein Trojanisches Pferd spioniert Anmeldedaten aus und versendet sie ganz unauffällig.

2006-08-10T23:39:00.001+02:00

Ein "ping" ist eigentlich eine recht harmlose Sache. Kaum jemand wird in einem solchen Datenpaket Nutzdaten vermuten. Das Sicherheitsunternehmen Websense berichtet jedoch über ein Trojanisches Pferd, das auf diesem Wege ausspionierte Passwörter an seinen Herrn und Meister übermittelt.

Der Befehl "ping rechner.name" löst einen ICMP Echo Request (Internet Control Message Protocol) aus, den der angesprochene Computer üblicherweise beantwortet. Dadurch kann im einfachsten Fall festgestellt werden, ob dieser Computer im Netzwerk vorhanden ist und auf Anfragen reagiert. Der lautmalerische Name des Befehls ist aus der Sonar-Ortung bei U-Booten entlehnt. Heute werden Firewall-Router jedoch oft so konfiguriert, dass sie ankommende Echo-Anfragen nicht beantworten. Ping-Pakete nach draußen werden eher selten näher untersucht.

Das von Websense untersuchte Trojanische Pferd unterscheidet sich zunächst nicht wesentlich von anderer Phishing-Malware. Es wird mit dem Dateinamen "mydaj.dll" von einem zuvor eingeschleusten Schädling als BHO (Browser Helper Object) für den Internet Explorer installiert und fängt eingegebene Formulardaten ab. Nach der Beschreibung von Trend Micro blendet er eine gefälschte Eingabemaske in das Fenster einer Banken-Website ein, in der auch das Geburtsdatum abgefragt wird.

Der Weg, auf dem der Schädling diese Informationen überträgt, ist allerdings bislang eher ungewöhnlich. Üblich ist eine Übermittlung als HTTP POST (Aufruf eines Scripts auf einem Web-Server), per IRC (Internet Relay Chat) oder per Mail. Dieser Schädling jedoch sendet einen Ping-Befehl. In dessen ICMP-Paket sendet er die primitiv verschlüsselten Informationen als Nutzdaten mit. Der Empfänger kann diese Daten leicht wieder entschlüsseln. Websense hat es mit einer SSL-verschlüsselten Website der Deutschen Bank ausprobiert und die versandten Daten abgefangen.

Die Erkennung durch Antivirus-Software ist recht gut, da der Schädling den Herstellern schon seit zwei Wochen bekannt ist. Detaillierte Beschreibungen sind jedoch dünn gesät.

Antivirus Malware-Name

AntiVir DR/Banker.GO
Avast! -/-
AVG PSW.Generic2.EFN
BitDefender Dropped:Trojan.Banker.GO
ClamAV -/-
Command AV W32/Banker.UUQ
Dr Web -/-
eSafe Win32.Banker.go
eTrust-INO Win32/Telbankspy.5lc!DLL!Trojan
eTrust-VET Win32/Teepyoo.A
Ewido Logger.Small.gg
F-Prot W32/Banker.UUQ
F-Secure Trojan-Spy.Win32.Small.gg
Fortinet W32/Banker.A!phish
Ikarus Trojan-Spy.Win32.Small.gg
Kaspersky Trojan-Spy.Win32.Small.gg
McAfee Generic PWS.x trojan
Microsoft TrojanSpy:Win32/Wiedreh.A
Nod32 Win32/Spy.Small.GG
Norman W32/Smalltroj.HJB
Panda Trj/Banker.DWW
Quickheal TrojanSpy.Small.gg
Sophos Troj/Banker-CZC
Symantec Infostealer
Trend Micro TSPY_SMALL.CBE
Una Trojan.Spy.Win32.Small
VBA32 Trojan-Spy.Win32.Small.gg
Virusbuster TrojanSpy.Wiedreh.A
WebWasher Trojan.Banker.GO
GData AVK ** Trojan-Spy.Win32.Small.gg

Quelle: AV-Test , Stand: 09.08.2006, 15:00 Uhr
* noch nicht in offiziellen Updates enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

Bundesamt warnt vor Sicherheitslücken in Microsoft-Programmen

2006-08-10T23:39:00.000+02:00

Neueste Patches sollten schnell aufgespielt werden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dringend vor Sicherheitslücken in Microsoft-Programmen gewarnt. Nutzer sollten umgehend die von Microsoft am vergangenen Dienstag bereitgestellten Patches installieren, rät das BSI. Es seien bereits gefährliche Schadcodes im Umlauf, die einige dieser Lücken ausnutzten, sagte Matthias Gärtner vom BSI am Donnerstag.
Dabei sei es möglich, dass Unbefugte schon bei aktiver Internet-Verbindung oder nach dem Öffnen einer Office-Datei unbemerkt die komplette Kontrolle über den Computer übernehmen. Einige der Löcher etwa in der Präsentationssoftware Powerpoint werden sogar schon seit Juli ausgenutzt.

Am vergangenen Dienstag hatte Microsoft Patches für insgesamt 23 von dem Softwarehersteller selbst als kritisch eingestufte Sicherheitslücken in Windows und Programmen wie den Internet-Explorer veröffentlicht. Die Zahl der Schadcodes, die bereits am ersten Tag nach Bekanntwerden solcher Lücken auftreten, nehme rasant zu, sagte Gärtner.

Dies weise auf eine inzwischen sehr professionelle Szene hin. Kriminelle und organisierte Banden versuchten immer häufiger, sich auf diesem Weg finanziell zu bereichern.

Quelle: CNET Networks Deutschland GmbH/ZDNet.de und CNET.de

(Fast) kostenloser Virenscanner von AOL

2006-08-08T13:18:00.000+02:00

AOL USA bietet den kostenlosen Virenscanner Active Virus Shield für Windows 98, ME, NT, 2000 und XP an. Für den Download der auf Kasperskys OEM-Scanner beruhenden Software muss man nicht zwangsläufig Mitglied bei AOL sein. Allerdings muss man eine E-Mail-Adresse angeben, an die AOL den Freischaltcode für das Produkt schickt. Leider willigt der Anwender damit auch gleichzeitig ein, von AOL und seinen Partnerunternehmen mit Werbung zugemüllt zu werden. Wer das vermeiden will, lässt sich den Code an eine Wegwerf-Mailadresse schicken. Der "License and User Agreement and Privacy Policy" zufolge sammelt Active Virus Shield auch noch Daten über den PC, auf dem es installiert ist und analysiert, wie der Anwender beim Browsen auf Werbeeinblendungen reagiert. In einem kurzen Test konnten wir ein derartiges Verhalten jedoch nicht beobachten.


Die GUI von Active Virus Shield ist nur in englischer Sprache verfügbar.

Der Scanner kommt im Bundle mit einer weiteren Toolbar für den Internet Explorer, die den Sicherheitsstatus des PC signalisiert und einen Passwort-Manager enthält. Bei der Testinstallation in der heise-Security-Redaktion sorgte diese Komponente allerdings für einen Bluescreen. Ohne Toolbar verlief die Installation ohne Probleme. Anders als bei Kasperskys Vollversion war es aber nicht möglich, einzelne Komponenten wie File Anti-Virus und Mail Anti-Virus auszuwählen. Auch fehlte die heuristische Erweiterung Behavioral Blocker, mit der ein Scanner ohne Signaturen den PC vor Schädlingen schützen kann. Allerdings war der Kaspersky-Scanner auch ohne diese Funktion bei Tests der c't unter den besseren zu finden – insbesondere auch wegen der schnellen Signatur-Updates.

Wer keinen Wert auf Privatsphäre legt, bekommt einen ordentlichen Scanner für lau. Kostenlose Scanner, die sich auf den Schutz vor Schädlingen konzentrieren, bieten auch Avira mit dem AntiVir PersonalEdition Classic und Grisoft mit dem AVG-Scanner an.

Quelle: heise

Denial-of-Service durch neue WMF-Lücke

2006-08-08T13:17:00.000+02:00

Auf der Sicherheitsmailingliste Full Disclosure wurde ein Proof-of-Concept-Exploit veröffentlicht, der ein manipuliertes WMF-Bild erzeugt. Dieses lässt den Explorer beim Verarbeiten abstürzen.

Der Fehler tritt in der Funktion CreateBrushIndirect() in der GDI32-API auf. In einer weiteren Mail analysiert der Entdecker den Fehler: Er hat einen Absturz oder einen zufälligen Speicherzugriff zur Folge. Die Lücke scheint sich jedoch nicht zum Einschleusen von bösartigen Programmen ausnutzen zu lassen.

Quelle: heise

Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme

2006-08-08T13:15:00.000+02:00

Forscher aus Magdeburg zeigten, dass kein Antivirus-Programm fehlerfrei mit Laufzeitpackern umgehen kann.

Die Programmierer von Malware aller Art versuchen die Erkennung ihrer Machwerke durch Virenscanner mit Hilfe von EXE-Packern zu erschweren. Ein Vortrag von Tom Brosch und Maik Morgenstern von der Magdeburger Firma AV-Test auf der Black Hat Konferenz in Las Vegas zeigte, dass sie damit zum Teil Erfolg haben.

Die auch als Laufzeitpacker bezeichneten Programme komprimieren die fertig kompilierten Programmdateien, ohne dass ihre Lauffähigkeit beeinträchtigt wird - zumindest theoretisch. In der Praxis klappt das oft nicht, wie auch Brosch und Morgenstern feststellten. Die resultierenden EXE-Dateien sind meist kleiner und können zudem auch noch verschlüsselt werden. Die Komprimierung derselben Malware-Datei mit einem anderen Packprogramm führt zu einer deutlich unterschiedlichen Datei, die von vielen Antivirus-Programmen erstmal nicht erkannt wird.

Die Magdeburger Antivirus-Tester untersuchten ein Reihe von Antivirus-Programmen auf ihren Umgang mit komprimierten EXE-Dateien. Dabei stellten sie unter anderen fest, dass Virenscanner mit hohen Erkennungsraten oft auch viele Fehlalarme produzieren. Die Ursache sehen die Forscher darin, dass die Virenscanner nur die enthaltene Entpackroutine des Packers erkennen - auch wenn eine völlig harmlose Datei komprimiert wurde.

Kein Antivirus-Produkt kann mit allen verfügbaren EXE-Packern umgehen. Es gibt einfach zu viele davon und ständig kommen neue dazu. Von den im März laut Wildlist in freier Wildbahn gesichteten Schädlingen sind mehr als 92 Prozent mit Laufzeitkomprimierern behandelt, oft auch mit mehreren verschiedenen. Von 63 Schädlingen der Bagle-Familie sind 62 Exemplare komprimiert, bei Mytob sind es 241 von 246, bei Sdbot gar alle 58 untersuchten Varianten. Der beliebteste Packer ist das Open-Source-Programm UPX .

Einige Antivirus-Programme konnten bei den Untersuchungen von AV-Test durch die Verwendung von bestimmten Laufzeitpackern sogar aus dem Tritt gebracht werden. Zudem nimmt bei allen Produkten die Scan-Dauer komprimierter Dateien im Vergleich zu den unkomprimierten naturgemäß deutlich zu. Beobachtet haben die Magdeburger Forscher eine typische Zunahme um Faktoren zwischen 1,5 und 10.

Die Antivirus-Hersteller sollten folglich vor allem an der Reduktion der Fehlalarme arbeiten. Auch der Umgang mit weniger verbreiteten Packprogrammen ist ständig zu verbessern. Schließlich müssen die Hersteller Probleme bei der Stabilität und der Scan-Geschwindigkeit in den Griff bekommen.

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

AOL stellt Suchabfragen von über 600.000 Mitgliedern online

2006-08-08T10:18:00.000+02:00

Passen Sie auf, welche Suchbegriffe Sie in eine Suchmaschine eingeben. Ihr Provider könnte auf die (blöde) Idee kommen, alle Ihre Suchabfragen der vergangenen Monate publik zu machen. Kann nicht passieren? Ist es aber - an diesem Wochenende.

Update (8.8, 9:15 Uhr): AOL USA hat sich zu dem Vorfall nun ebenfalls offiziell geäußert. Das Statement finden Sie auf der letzten Seite.

Update: Das Statement von AOL Deutschland lesen Sie auf der letzten Seite.

AOL hat vergangenes Wochenende auf seinen Research-Seiten eine knapp 450 MB große komprimierte Datei zum Download bereitgestellt. Entpackt handelt es sich um mehr als 2 GB an Daten in Textform. Der brisante Inhalt: Die Datei enthält alle Suchbegriffe, die 658.086 AOL-Anwender zwischen dem 1. März und 31. Mai 2006 in der AOL-Suche eingaben. Insgesamt enthält die Datei über 19 Millionen Suchabfragen.

Die von AOL Research online gestellte Website war nur kurze Zeit online, aber die Datei wurde in der Zeit mehrere hundert Mal heruntergeladen. Erst am Sonntag nahm AOL sowohl die Seite als auch den Download offline.

Über Google Cache kann die Website aber weiterhin betrachtet werden. Der Download der Datei ist allerdings nicht mehr möglich. Der Inhalt der Datei wird aber derzeit im Internet von Anwendern unter das Volk gebracht, die sie herunterladen konnten.

2 GB Daten mit brisantem Inhalt

Die Liste enthält - neben der ID des Anwenders - dessen eingegeben Suchbegriff, Datum und Uhrzeit. Außerdem wird gelistet, auf welchen Link der Anwender geklickt hat, nachdem ihm die Suchergebnisse präsentiert wurden.

Jeder Anwender wurde in der Liste durch eine Ziffer anonymisiert. Anhand der Ziffer kann in der Datei betrachtet werden, welche Suchabfragen der betreffende Anwender zwischen Anfang März und Ende Mai 2006 tätigte. Dadurch, dass die Liste ungefiltert von AOL veröffentlichte wurde, lässt sich detailliert verfolgen, wo sich die Anwender im Internet herumgetrieben haben.

Anwender "457" suchte beispielsweise sechs Mal hintereinander binnen weniger Minuten nach "www.msn.com". Das ist noch ein eher harmloses Beispiel eines Anwenders, der die URL nicht in der Adresszeile des Browsers eingibt, sondern per Suchmaschine danach sucht.
Anwender "243419" suchte vor allem Nachts nach Websites mit Sex-Inhalten. "244601" interessierte sich tagsüber für "Panasonic" oder eine Bank und einige Tage später Nachts für Sex-Spielzeuge. "1050" scheint Anfang März deprimiert gewesen zu sein, denn damals suchte er oder sie nach den "top saddest songs" im Internet und dann Ende März nach Wohnungen in Cleveland. "2327" zeigte fast im gesamten geloggten Zeitraum nur Interesse für die Ergebnisse der Lotterie in Florida. Und so weiter, und so weiter.

Angesichts des immensen Datensatzes ist es nicht auszuschließen, dass auch Suchabfragen von Anwendern protokolliert wurden, die nach ihrem eigenen Namen gesucht haben. Damit könnte einer ansonsten anonymen Nummer ein eindeutiger Anwender zugeordnet werden. Wenn man dann noch weiß, was dieser Anwender sonst noch im Internet gesucht hat, könnte es durchaus peinlich für ihn werden.
Spammer konnten die Liste beispielsweise zu Rate ziehen, um festzustellen, was es momentan für populäre Suchbegriffe gibt.

Daten angeblich zu Forschungszwecken veröffentlicht

Die Datei war laut der AOL-Seite, über die sie zum Download angeboten wurde, zu Forschungszwecken gedacht. AOL wies ausdrücklich auf der Downloadseite hin, dass sie nicht für kommerzielle Zwecke genutzt werden dürfe. Zugleich gab es den Hinweis, dass die Suchabfragen der Anwender ungefiltert seien und teilweise sexuellen Inhalt hätten. Die gelisteten AOL-Anwender seien per Zufall ausgewählt worden, heißt es weiter.

Die Datei beweist allerdings, dass AOL alle Suchabfragen inklusive Benutzernamen protokolliert, ansonsten hätte diese Datei nicht in dieser Form und mit diesem brisanten Inhalt veröffentlicht werden können. Die betroffenen Anwender dürften kaum gefragt worden sein. Im Internet kursiert bereits das Gerücht, dass einige Anwender die Daten online stellen wollen, damit jeder im Internet sie betrachten kann, ohne die 450 MB große Datei herunterladen zu müssen.

AOL USA hat sich offiziell noch nicht zu dem Vorfall geäußert. Kritiker werfen AOL vor, unverantwortlich gehandelt zu haben und rufen teilweise bereits zum Boykott der AOL-Suche auf. Sobald uns eine Stellungnahme von AOL Deutschland zu dieser Angelegenheit vorliegt, werden wir diese an dieser Stelle nachreichen.

Update (16:45 Uhr):

Gegenüber der PC-WELT sagte AOL-Deutschland-Sprecher Tobias Riepe, dass keinerlei Daten von deutschen Anwendern in den von AOL USA veröffentlichten Datensätzen enthalten seien. "Die Suchabfragen der eingeloggten deutschen Anwender laufen über andere Server und die Screennames werden hierzulande bei Suchabfragen nicht mitprotokolliert", erklärte Riepe.

Update (8.8, 9:15 Uhr):

AOL USA hat sich für die Veröffentlichung der Daten entschuldigt. Man habe versucht, der akademischen Community neue Forschungstools zu bieten, habe diese aber offensichtlich nicht gründlich überprüft, heißt es in einem vom IT-Dienst Cnet veröffentlichten AOL-Statement. "Es war ein Fehler und wir entschuldigen uns. Wir haben eine interne Untersuchung gestartet, um festzustellen, wie das passieren konnte und um sicherzustellen, dass so etwas nie wieder passiert", erklärt AOL.

Quelle: PC-Welt

Black Hat Konferenz: Sicherheitsmängel an allen Ecken

2006-08-08T10:17:00.000+02:00

In der letzten Woche fand in Las Vegas die diesjährige Konferenz " Black Hat USA 2006" statt. Microsoft als einer der Hauptsponsoren stellte einen ganzen Tag lang die Sicherheitskonzepte von Windows Vista vor ( wir berichteten). Einige von anderen Sicherheitsforschern gehaltene Vorträge zeigten, wie diese ausgehebelt werden können. Ferner wurden unter anderem auch Schwachstellen bei drahtlosen Netzen und in "AJAX" demonstriert.

So zeigte Joanna Rutkowska, wie sich unsignierte Kernel-Treiber bei der 64-Bit-Version von Windows Vista installieren lassen. Durch massive Anforderung von Arbeitsspeicher zwang sie Windows zur Auslagerung geladener Treiber. In die in der Auslagerungsdatei nicht geschützten Speicherbereiche konnte sie dann eigene Treiber einschleusen.

Außerdem stellte Rutkowska ihr Rootkit " Blue Pill" vor. Dieses installiert sich ohne Neustart von Windows Vista und verschiebt dabei das laufende System in eine virtuelle Maschine. Diese wird von dem Rootkit kontrolliert, das aus dem laufenden System heraus nicht entdeckt werden kann.

David Maynor von Internet Security Systems ( ISS ) zeigte ein Video eines WLAN-Angriffs auf ein Macbook. Fehler in WLAN-Treibern, auch in Windows, ermöglichen einem Angreifer die Kontrolle über den Rechner zu erlangen. Details über die ausgenutzten Schwachstellen verriet Maynor allerdings nicht.

Billy Hoffman von SPI Dynamics demonstrierte Sicherheitsmängel in der Web-Technik AJAX (Asynchronous Javascript and XML), die im Rahmen des "Web-2.0"-Hypes gern als Schlüsseltechnologie genannt wird. Dabei werden XML-Inhalte erst bei Bedarf durch den Browser vom Web-Server abgerufen und dynamisch in die bereits geladene Web-Seite eingebaut. Nachlässig programmierte AJAX-Anwendungen könnten etwa über das so genannte Cross-Site-Scripting (XSS) von Dritten manipuliert werden.

Quelle: PC-Welt

Black Hat: Vista zu Linux und Mac OS X ebenbürtig

2006-08-08T10:16:00.000+02:00

Microsoft hat letzte Woche die Höhle des Löwen betreten, als es einige seiner Top-Leute in Sachen Entwicklung nach Las Vegas zur Black-Hat-Sicherheitskonferenz schickte. Das Ergebnis: Ein eher gemischter Empfang mit der Tendenz zum Positivem. Viele Sicherheitsberater und -analysten sind von Microsofts Engagement beeindruckt, aber mit einem endgültigen Urteil wollen sie sich noch zurückhalten bis Vista Ende des Jahres in die Unternehmen gelangt.

"Oberflächlich betrachtet, scheint es so zu sein, dass Sie (gemeint ist Microsoft, Anmerk. der Red.) eingelenkt haben und sich nun dazu verpflichtet haben, die Dinge richtig anzupacken“, so Rick Ebert, ein Sicherheitsanalyst beim California Institute of Technology in Pasadena ( Caltech). Ebert war eigenen Aussagen zufolge beeindruckt von einigen der Veränderungen in Vista, die Microsoft auf der Black Hat zeigte. Dazu gehörte beispielsweise, dass Programmierer nun dazu verpflichtet sind, dem Vista-Code zusätzliche Erläuterungen hinzuzufügen - um Debugging-Prozesse zu vereinfachen und zu beschleunigen - sowie Function-Pointers zu kodieren, um es Malware schwieriger zu machen, Schaden anzurichten.

Andre Gold, Chief Information Security Officer bei Continental Airlines in Houston, dagegen ist skeptisch, ob Microsoft seine Sicherheits-Versprechen in Vista einlösen kann. "Sie hören sich gut an und sehen gut aus, aber mein Eindruck ist, dass sie technologisch gesehen nicht konkurrenzfähig sind, die Software Dritter, wie wir sie jetzt nutzen, zu verdrängen", sagte Gold.

Ebert wiederrum zeigte sich auch angetan von Microsofts öffentlich eingeschlagenem Weg, die Nutzer davon zu überzeugen, dass es dem Unternehmen ernst sei mit der Sicherheit seiner Produkte. Achtzig Prozent der Sicherheit hat mit der Bewältigung der Psychologie von Menschen und Abläufen zu tun, so Ebert. Und weiter: "Der technische Teil ist im Vergleich dazu beinahe kinderleicht."

Andrew Cushman, Microsoft Director für Security Engineering, machte nochmals auf den für das Unternehmen entscheidenden Wendepunkt aufmerksam. So war es die Flut an Malware, wie Code Red und Slammer, die das Unternehmen vor vier Jahren so richtig aufweckte. Cushman verwies in Bezug auf Vista auch nochmals darauf, dass es das erste OS ist, das von Anfang an den Security Development Lifecycle durchlief ( wir berichteten). "Wenn man grundsätzliche Sicherheitsschwachstellen als 'low-hanging fruit' (einfach zu erreichende Ziele) betrachtet, dann haben wir alle Wassermelonen, die auf dem Boden lagen, weggeräumt."

Dan Kaminsky, einer der Sicherheitsberater, die Microsoft angestellt hat, um die Sicherheit in Vista auf die Probe zu stellen, sagt: "Ich habe noch nie eine Firma gesehen, die so viel investiert hat, um Angriffe auf ihre Software zu verhindern." Kaminsky ist der Ansicht, dass Vista bereits ebenbürtig, wenn nicht sogar besser ist als Betriebssysteme wie Linux oder Apples Mac OS X.

Quelle: PC-Welt

Wehe, wenn gestohlene Kredikartendaten am Wochenende auftauchen

2006-08-07T15:09:00.001+02:00

Kaspersky Lab hat am Freitag eine russische Webseite mit gestohlenen, teilweise tagesaktuellen Kreditkarteninformationen zu mehr als 300 Karten unterschiedlicher Institute gefunden. Der Versuch, die brisanten Daten schnellstmöglich aus dem Web entfernen zu lassen, wurde zu einer grotesken Irrfahrt. Kaspersky Lab schildert die Odyssee in einem unterhaltsam zu lesenden Weblog.

Die deutsche Niederlassung von Kaspersky Lab hat am Freitag Nachmittag, 4. August, bei einer Recherche zum Thema Kreditkartensicherheit eine russische Webseite beziehungsweise ein Forum mit gestohlenen, teilweise tagesaktuellen Kreditkarteninformationen zu mehr als 300 Karten unterschiedlicher Institute gefunden. Der Versuch, diese Seite abschalten beziehungsweise die betroffenen Karten sperren zu lassen, gestaltete sich ausgesprochen schwierig, wie man dem Weblog von Kaspersky Lab entnehmen kann.

Seit August 2005 wurden in dem besagten Forum immer wieder gestohlene Kreditkartendaten veröffentlicht. Bis zum Freitag waren es Kaspersky Lab zufolge über 300 Datensätze. Allein am 4.8.2006 wurde ein Paket von über 60 Datensätzen gepostet.

Die Daten selbst stammten den Sicherheitsexperten zufolge aus verschiedensten Quellen. Die Qualität der Daten reichte von Grundinformationen (Kartennummer, dreistelliger Sicherheitscode, Ablaufdatum, Name und Anschrift des Karteninhabers) bis hin zur "Deluxe-Fassung" inklusive Telefonnummer, Mail-Adresse, ATM Pin-Code und Kontodaten.

Kaspersky Lab rief eines der Opfer an, um zu überprüfen, ob die Daten echt sind. Sie waren es. Jetzt wollten die Sicherheitsexperten die Seite so schnell wie möglich aus dem Internet entfernen lassen. Doch das war leichter gesagt als getan.

Um 15:30 Uhr rief Kaspersky Lab beim Bundeskriminalamt BKA an. Dort nannte man Kaspersky Lab drei Ansprechpartner, die allerdings nicht erreichbar waren: Sie waren entweder im Urlaub oder schon nach Hause gegangen. Daraufhin riet der Ansprechpartner beim BKA zu einer Lösung, die kaum dazu geführt hätte, dass die Kreditkarten-Informationen schnell aus dem Forum verschwunden wären: Kaspersky Lab sollte eine Mail an info@bka.de schicken.

Um 16:00 Uhr versuchten es die Sicherheitsexperten beim Landeskriminalamt. Mit dem gleichen (Miss-)Erfolg wie zuvor beim BKA. Zur Sicherheit schrieb man jetzt doch eine Mail an die Sicherheitsbehörden.

Doch damit gab sich Kaspersky Lab nicht zufrieden und kontaktierte deshalb Visa und Mastercard. Auch dort aber Fehlanzeige, niemand war zu erreichen. Als Kaspersky Lab daraufhin die Notfallnummer für Kreditkarten-Kunden anrief, den Fall schilderte und um einen kompetenten Gesprächspartner bat, wollte der Call Center-Mitarbeiter erstmal die Kreditkartennummer des Anrufers wissen... Also auch Fehlanzeige.

Jetzt platzte den in Ingolstadt sitzenden Virenjägern der Kragen, sie schalteten ihre US-Niederlassung ein. Diese nahm direkt Kontakt mit den Kreditkartenunternehmen auf und schaltete die amerikanische Bundespolizei FBI ein. In Russland, wo Kaspersky Lab seinen Stammsitz hat, kümmerte man sich derweil um die Abschaltung der Website. Das Problem war endlich gelöst.

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

Drucker sind Schwachpunkte in der Netzwerksicherheit

2006-08-07T15:09:00.000+02:00

Security-Experte bringt Xerox-System unter seine Kontrolle und führt schädliche Aktionen durch

Auf der Black-Hat-Konferenz warnte der Security-Experte Brendan O'Connor davor, dass Drucker die Sicherheit eines Netzwerks beeinträchtigen können. In einer Demonstration übernahm er die Kontrolle über ein Xerox-Gerät und führte schädliche Aktionen durch.

"Behandeln Sie sie nicht als Drucker. Behandeln Sie sie als Server oder Wokstation", riet O'Connor den Anwesenden. Er ist als Sicherheitsexperte bei einem nicht näher benannten US-Finanzdienstleister tätig. Drucker sollten ein Teil des Patch-Programms sein und sorgsam von qualifiziertem Personal administriert werden.

Bei dem kompromittierten Xerox-System handle es sich im Prinzip um einen Linux-Server. Über eine Schwachstelle konnte er die Kontrolle über das Gerät übernehmen. Auch Multifunktionssysteme anderer Hersteller hätten Lücken aufgewiesen, er nannte jedoch keine spezifischen Geräte.

Mit dem gehackten Drucker könne er den Aufbau des Firmennetzwerks in Erfahrung bringen, was der Ausgangspunkt für weitere Angriffe ist. Zudem habe er Zugriff auf sämtliche Informationen, die auf dem Gerät gedruckt, gefaxt oder kopiert wurden. Auch der Seitenzähler sei manipulierbar, was im Falle eines volumenabhängigen Nutzungsvertrages die Kosten nach oben treiben würde.

Laut O'Connor könne ein geknacktes System auch dazu missbraucht werden, Scans an beliebige Desktops zu senden oder auf jedem Ausdruck die Kopie einer Büroklammer zu platzieren.

Eine der Schwachstellen des Xerox-Systems ist ein ungesicherter Boot Loader. Weitere Lücken seien im Web-Interface und Diensten wie Simple Network Management Protocol und Telnet zu finden.

O'Connor hat Xerox bereits im Januar über die Probleme informiert. Das Unternehmen erklärte, Mitte Januar für die Workcentre-200-Serie einen Patch bereitgestellt zu haben, der die Schwachstellen beseitige. O'Connor hält diesen Fix aber für unzureichend und hat sich daher zu der Präsentation auf der Black-Hat-Konferenz entschlossen.

Quelle: CNET Networks Deutschland GmbH/ZDNet.de und CNET.de

Google warnt in Suchergebnissen vor Malware-Websites

2006-08-07T15:08:00.000+02:00

Anwender sollen besser geschützt sein

Google warnt ab sofort in seinen Suchergebnissen vor potentiell schädlichen Websites. Damit sollen Anwender besser geschützt sein.
Das Unternehmen verwendet für die Funktion Daten der Stop Badware Coalition. Bevor ein Nutzer auf eine potentielle Malware-Website gelangt, wird er auf einer zwischengeschalteten Seite vor möglichen Beschädigungen an seinem Computer gewarnt. Er kann die Site dann trotzdem aufsuchen oder zurück zu den Suchergebnissen navigieren.

John Palfrey, Professor an der Harvard Law School und eine der treibenden Kräfte hinter der Stop Badware Coalition, erklärt die Ziele: "Wir wollen den Nutzern mehr Informationen darüber geben, was mit ihrem Computer passieren könnte." Man rate ihnen aber nicht vom Besuch einer Site ab.

Die Stop Badware Coalition ist aus einer Kooperation zwischen Harvard und der Oxford University entstanden. Laut Palfrey können Nutzer Websites mit Malware melden, die dann von Mitarbeitern geprüft und in eine Datenbank aufgenommen werden. Man habe eng mit Google zusammengearbeitet, der Harvard-Professor würde die Nutzung der Daten aber auch gerne bei anderen Suchmaschinen sehen.

Quelle: CNET Networks Deutschland GmbH/ZDNet.de und CNET.de

Microsofts Vista gehackt

2006-08-07T11:58:00.000+02:00

Eine Sicherheitsexpertin demonstrierte auf der Hackerkonferenz "Black Hat" in Las Vegas, wie sich die Betaversion von Windows Vista überlisten und ungeprüfter Code einschleusen sowie ausführen lässt.

Joanna Rutkowska, Sicherheitsforscherin bei der in Singapur ansässigen Security-Firma Coseinc, hat eine Methode gefunden, wie sich die Schutzmechanismen im Vista-Kernel umgehen lassen. So gelang es der Expertin, unsignierten Code in den Kernel zu laden, obwohl die 64-Bit-Version des kommenden Microsoft-Betriebssystems lediglich signierte Treiber akzeptieren soll. Dass sich die Signatur-Prüfung für Gerätetreiber, die das Laden von Malware verhindern soll, außer Gefecht setzten lässt, bedeute allerdings nicht, dass Vista komplett unsicher sei, so Rutkowska. "Es ist nur nicht so sicher, wie versprochen." Es sei grundsätzlich schwierig, einen hundertprozentig effektiven Kernel-Schutz in ein Allzweck-Betriebssystem zu implementieren.
Hier klicken!

Darüber hinaus präsentierte die Spezialistin ihr bereits im Vorfeld der Konferenz angekündigtes Rootkit namens "Blue Pill". Die auf Basis von AMDs "Secure Virtual Machine" kreierte Software, die Angreifern als Backdoor dienen kann, nutzt Virtualisierungstechniken, um Schadroutinen zu verstecken und darauf folgende Systemangriffe zu verbergen. Bislang gäbe es noch keine Möglichkeit, das Rootkit aufzuspüren, so Rutkowska. Obwohl für Vista entwickelt, lasse sich die blaue Pille durchaus auch auf andere Plattformen anpassen.

Microsoft erachtet die Forschungsergebnisse der Expertin als "legitim". Was Rutkowska gezeigt habe, stelle eine echte Bedrohung dar, so Austin Wilson, Director der Windows Client Group bei Microsoft. Allerdings erfordere etwa das Umgehen der Code-Signierung in Vista Administratorenrechte, während ein Standardnutzer hier nichts bewirken könne. Microsoft werde sich der Sache annehmen, die Markteinführung des Betriebssystems deshalb aber nicht verschieben, stellte Wilson gegenüber der US-Presse klar. Im Hinblick auf das Virtual-Machine-Rootkit versicherte er, Microsoft werde gemeinsam mit Intel und AMD nach Wegen suchen, wie man derartige Angriffe bis zur endgültigen Version des Betriebssystems ausschließen könne.

Quelle: Computerwoche

Defcon: Angriff auf PocketPC-Smartphones mit MMS-Nachrichten

2006-08-07T11:57:00.000+02:00

Kaum war die Black-Hat-Konferenz vorbei, wurden auf der sich anschließenden Hackermesse Defcon in Las Vegas neue Hiobsbotschaften verkündet. In seinem Vortrag "Advanced Attacks Against PocketPC Phones" zeigte Collin Mulliner von Trifinite, wie sich mittels einer manipulierten MMS ein Gerät mit Schadcode infizieren lässt. Anders als bei Handy-Würmern, bei denen der Anwender der Installation einer empfangenen SIS-Datei explizit zustimmen muss, nutzt Mulliners Angriff zwei Buffer Overflows im SMIL-Parser von WindowsCE aus. SMIL (Synchronized Multimedia Integration Language) beruht auf XML und legt fest, wie der Inhalt einer MMS-Nachricht im Client dargestellt wird.

Mulliner fand mit Hilfe von Fuzzing-Tools je einen Buffer Overflow bei der Verarbeitung des REGION- und des TEXT-Tags, mit dem sich auch die Rücksprungadresse auf dem Stack zum Starten des eingeschleusten Code überschreiben ließ. Dabei genügt es, dass ein Opfer eine präparierte MMS zum Lesen öffnet. Zwar hat Mulliner noch weitere potenzielle Lücken in den MMS-Funktionen von WindowsCE gefunden. Die lassen sich seinen Angaben zufolge aber nicht aus der Ferne ausnutzen, weil dazu der MMS-Header manipuliert werden müsste. Derartige Nachrichten würden schon in den MMS-Gateways der Mobilfunkbetreiber stecken bleiben.

Microsoft und der Hersteller des MMS-Client sind über die Probleme informiert und arbeiten an einer Lösung, die innerhalb der nächsten Wochen verfügbar sein soll. Zunächst müssten aber auch die OEMs das Update hinreichend testen, bevor es veröffentlicht wird.

Darüber hinaus stellte Mulliner noch das DoS-Tool NotiFlood vor, mit dem man per WLAN ein PocketPC-Smartphone über abzuholende MMS-Nachrichten informieren kann. Anders als bei SMS landet eine MMS nämlich nicht sofort auf dem Handy. Vielmehr wird der Nutzer darüber benachrichtigt, dass eine MMS zur Abholung bereit liegt. Das Tool erzeugt mehrere Hundert solcher Mitteilungen, was den Speicher eines Gerätes arg in Anspruch nimmt.

Quelle: heise

Ungepatchter Fehler in Cisco-Firewall

2006-08-07T11:54:00.000+02:00

Fast schon Tradition: Cisco kommt auf der US-Hacker-Konferenz "Black Hat" in Las Vegas offenbar nicht ungeschoren davon. Aktuelle Zielscheibe sind die "PIX"-Firewall-Appliances des Netzausrüsters.

Hendrik Scholz, Entwickler bei der Freenet Cityline GmbH, hat vor dem Konferenzpublikum eine ungepatchte Schwachstelle in Ciscos PIX-Firewall-Appliances aufgedeckt, die es externen Angreifern ermöglichen soll, sich Zugang zu Firmennetzen zu verschaffen. Der Präsentation des Sicherheitsexperten zufolge lassen sich die Firewalls mit Hilfe eines Zero-Day-Exploits unschwer umgehen.
Hier klicken!

"Man kann jeden beliebigen Port öffnen und von außen auf interne Server zugreifen", so der Entwickler. Sein Unternehmen sei bereits im Gespräch mit Cisco, wie die Sicherheitslücke zu flicken sei. Details zu dem Fehler wurden vorerst nicht bekannt gegeben. Laut Scholz, der zunächst keinen weiteren Kommentar dazu abgeben wollte, werden ausführlichere Informationen in naher Zukunft folgen, nicht aber auf der Konferenz veröffentlicht.

Cisco-Sprecher John Noh bestätigte, dass das Unternehmen die Angelegenheit untersuche. Danach werde man gemäß der firmeneigenen Policy in Sachen Sicherheitslücken verfahren.

Bereits im vergangenen Jahr hatte ein Cisco-Leck für Schlagzeilen gesorgt: Sicherheitsforscher Michael Lynn enthüllte auf der Black Hat im Juli 2005 eine Schwachstelle im Router-Betriebssystem IOS des Netzausrüsters. Lynn, der dafür seinen Posten als Research Analyst bei Internet Security Systems (ISS) aufgegeben hatte, war wegen der Preisgabe des Fehlers von Cisco verklagt worden.

Quelle: tecchannel

Fraunhofer-Workshop zur Sicherheit bei mobilen Geräten

2006-08-07T11:52:00.000+02:00

Die intensive Nutzung von Handy, PDA und Notebook stellen Sicherheitsexperten vor neue Herausforderungen. Sie müssen die Geräte vor unerlaubtem Zugriff schützen und sicher in Unternehmensnetzwerke integrieren. Wie dies gelingen kann, zeigt ein Workshop im Fraunhofer-Institut für Graphische Datenverarbeitung IGD in Darmstadt.

Ob beruflich oder privat, Notebook, PDA, Smartphone oder Mobiltelefon sind heute unsere ständigen Begleiter. Dabei übernehmen die mobilen Geräte immer vielfältigere Aufgaben. Das Mobiltelefon erinnert uns an Termine, das PDA leitet uns per Navigationssystem zum Treffpunkt und mit dem Smartphone loggen wir uns noch kurz ins Internet ein, um E-Mails zu lesen. Dazu kommt, dass die Geräte immer stärker untereinander vernetzt sind, miteinander kommunizieren und Informationen preisgeben.

Je mehr wir diese mobilen Geräte allerdings nutzen und je stärker sie miteinander vernetzt sind, desto wichtiger werden speziell auf sie zugeschnittene Sicherheitsmaßnahmen. Allein in Taxis bleiben jedes Jahr Tausende Mobiltelefone, PDAs und Laptops samt der darauf gespeicherten Unternehmensinformationen liegen. Zudem öffnen Push-Technologien im Mobilfunk, die uns E-Mails umgehend zustellen, die Tür für Viren, Würmer und andere schädliche Eindringlinge

Wie lässt sich effektiv verhindern, dass Daten in falsche Hände gelangen oder von Dritten missbraucht werden? Wie müssen Sicherheitskonzepte gestaltet sein, wenn Unternehmen mobile Geräte in ihre IT-Infrastruktur integrieren? Welche besonderen Sicherheitsanforderungen für mobile Endgeräte gilt es zu berücksichtigen? Unter anderem diese Fragen beantwortet der Workshop „Mobile Security“ des CAST e.V., der am Donnerstag, 17. August, von 10.00 Uhr bis 17.00 Uhr am Fraunhofer-Institut für Graphische Datenverarbeitung, Fraunhoferstraße 5 in Darmstadt veranstaltet wird.

Renommierte Experten aus Industrie und Wissenschaft zeigen beispielsweise, welche Bedrohungsszenarios an Hotspots entstehen und wie Unternehmen diesen begegnen können. Auch die Gefahren von Bluetooth werden erläutert. Neueste Forschungsergebnisse zu Push-Technologien im Mobilfunk, zu Sicherheitsrisiken in mobilen Ad-Hoc-Netzen und zur effektiven Ausgestaltung der Sicherheitspolitik in Unternehmen präsentieren Referenten aus Fraunhofer-Instituten und Universitäten.

Quelle: tecchannel

Black Hat: Deutscher Sicherheitsexperte kopiert RFID-Pass

2006-08-07T11:50:00.000+02:00

Laut wired.com hat ein deutscher Sicherheitsexperte auf der Black Hat 2006 gezeigt, dass sich elektronische Pässe einfach klonen lassen.

Die umstrittenen Pässe enthalten RFID-Chips. Und genau da läge der Hase im Pfeffer. Der deutsche RFID-Spezialist Lukas Grünwald von DN-Systems Enterprise Solutions sagte, dass es nicht schwierig sei, die Daten auf den Chips zu kopieren. „Das komplette Design der E-Pässe ist total hirnkrank“, sagte Grünwald. Aus seiner Sicht sei das gesamte RFID-Thema nichts als eine riesige Geldverschwendung. Sie würden die Sicherheit nicht erhöhen. „Selbstredend kann jeder, der die Daten lesen kann, diese kopieren“, so Grünwald. Das Klonen eines Passes beschäftigte ihn gerade mal zwei Wochen.

RFID-Gegner Gus Hosein sagte: „Entweder ist dieser Typ unglaublich oder diese Technologie ist unglaublich dumm.“ Er denke, dass es eine Kombination aus beidem sei. „Ist das, was die Besten und Gescheitesten der Welt bieten können? Oder passiert so etwas, wenn Bürokraten Entscheidungen über Technologien treffen, von denen sie keine Ahnung haben?“, fragte Hosein. Für wired.com demonstrierte Grünwald das Kopieren eines Passes. Den vollständigen Bericht können Sie in englischer Sprache hier nachlesen.

Quelle: tecchannel

Sicherheitsleck in Online-Virenscanner von CA erlaubt Codeausführung

2006-08-07T09:28:00.001+02:00

Der Online-Virenscanner von Computer Associates, eTrust Antivirus WebScan, setzt auf Active-X-Module. Durch Programmierfehler in den Modulen könnten von Angreifer auf Systemen, auf denen der Scanner einmal durch Ausführung installiert wurde, beispielsweise über präparierte Webseiten Schadcode einschleusen.

In einer Sicherheitsmeldung warnt CA vor den Schwachstellen, ohne jedoch Details preiszugeben. Immerhin erläutert das Unternehmen teilweise die Tragweite der einzelnen Fehler: So könnten Angreifer durch Fehler in den älteren Versionen der Active-X-Module beliebige Dateien installieren. Aufgrund fehlerhafter Längenprüfungen von Benutzereingaben könnten Pufferüberläufe auftreten, durch die Angreifer Schadcode einschleusen und ausführen könnten.

Laut Sicherheitsmeldung von CA sind die Versionen 1.1.0.1045 und 1.1.0.1047 von eTrust Antivirus WebScan betroffen. Der Online-Scanner trägt inzwischen Versionsnummer 1.1.0.1048; diese Fassung enthält die Fehler nicht mehr. Betroffene Anwender sollten entweder wie in der Fehlermeldung beschrieben die Active-X-Komponenten deinstallieren oder durch einen Besuch der Online-Scanner-Seite die fehlerhaften Module ersetzen.

Quelle: heise

Google: Warnung vor der bösen Site

2006-08-07T09:28:00.000+02:00

Die Internet-Suchmaschine Google reagiert künftig mit einer Warnmeldung, wenn der Nutzer eine potenziell mit Spy- oder betrügerischer Adware verseuchte Website aus der Trefferliste ansteuert. "Schlechte" Seiten identifiziert Google anhand der Daten von StopBadware.org. Ziel sei es jedoch nicht, potenziell gefährliche Seiten automatisch aus den Suchergebnissen zu tilgen. Die Warnmeldung soll den Nutzer lediglich veranlassen, den Besuch der Site noch einmal zu überdenken.

Die Anfang des Jahres gegründete Initiative steht unter der Leitung des US-amerikanischen Berkman Center for Internet & Society der Harvard Law School sowie des englischen Internet Institute der Oxford-Universität, zu den Förderern gehören außer Google auch Lenovo und Sun Microsystems. Um verdächtige Websites aufzuspüren, baut die Initiative auf Hinweise von Internetnutzern. Erste Tests legen jedoch die Vermutung nahe, dass die Gefahrenstellen des Internet bei weitem nicht flächendeckend erfasst sind.

Quelle: heise

Rootkit infiltriert Beta-Version von Windows Vista

2006-08-07T09:27:00.000+02:00

Wie angekündigt, demonstrierte die Sicherheits-Expertin Joanna Rutkowska auf der Hacker-Konferenz Black Hat eine Technik, mit der sich die Kernel-Schutzmechanismen der Beta-2-Version von Windows Vista aushebeln lassen.

Obwohl die x64-Version von Vista ausschließlich signierte Kernel-Treiber akzeptieren soll, gelang es Rutkowska, ihren eigenen, unsignierten Code in den Vista-Kernel zu laden. Dazu forderte Rutkowskas Hack so viel Arbeitsspeicher an, dass Vista bereits geladene Kerneltreiber in den virtuellen Speicher auf der Festplatte auslagern musste. Die dort ungeschützt liegenden Speicherteile konnte sie dann manipulieren, um eigene Treiber einzuschleusen. Als Gegenmittel empfahl Rutkowska Microsoft, Usermode-Anwendungen generell den direkten Zugriff auf die Festplatte zu verbieten, oder das Pagefile zu verschlüsseln. Eine dritte Möglichkeit wäre, das Auslagern von Kernel-Code ganz zu vermeiden.

Microsofts Entwicklungsleiter für Windows-Clients Austin Wilson nahm gegenüber US-Medien Stellung zu dem geglückten Hack. Für den Angriff seien immerhin Administratorrechte nötig, betonte er. Die Vorschläge der Forscherin werde man überprüfen, die Auslieferung von Vista werde man deshalb aber nicht hinauszögern. Microsofts Sicherheits-Chef Ben Fathi meinte dagegen, das Einfallstor, das Rutkowska nutze, hätte Microsoft bereits geschlossen.

Rutkowska lobte Microsoft für die Entscheidung, nur signierte Kernel-Treiber zuzulassen. "Dass dieser Mechanismus umgangen wurde, bedeutet nicht, dass Vista vollkommen unsicher wäre", sagte sie, "Es ist einfach nicht so sicher wie versprochen". Eine hunderprozentige Kernelsicherheit ließe sich bei einem universell einsetzbaren Betriebssystem ohnehin kaum erreichen, betonte sie. Hacker würden immer einen Weg finden, um den Schutz auszuhebeln. Dem stimmte auch Ben Fathi zu. "Wir sind froh, dass die Forscher diese Dinge aufdecken und uns mitteilen, solange Vista noch im Beta-Stadium ist".

Im zweiten Teil ihrer Präsentation zeigte Rutkowska dann ihr mit Spannung erwartetes Virtual Machine Based Rootkit (VMBR). Das Blue Pill getaufte Rootkit verschiebt das laufende Betriebssystem in eine virtuelle Umgebung – ganz ohne Neustart und für den Anwender unsichtbar – und ist so aus dem System heraus mit bisher bekannten Methoden nicht aufzuspüren. Microsoft, die selbst an dem hauseigenen VMBR SubVirt forschen, nimmt die neuartige Bedrohung ziemlich Ernst. Man wolle bis zur finalen Vista-Version Wege finden, wie sich ein derartiger Angriff verhindern lässt. Dabei arbeite man mit Intel und AMD zusammen, um zu erörtern, wie sich das Problem lösen ließe.

Quelle: heise

Microsoft lädt Hacker zum Vista-Test ein

2006-08-07T09:24:00.001+02:00

Nach den teilweise verheerenden Sicherheitslecks in den Windows-Versionen der vergangenen Jahre, folgt Microsoft einer neuen Taktik und lädt einige der besten Computer-Experten dazu ein, das Sicherheitssystem von Windows Vista zu knacken.

Microsoft ermöglichte knapp 3000 Sicherheitsexperten und Hackern der Black Hat Konferenz den Zugang zu einer speziellen Testversion von Windows Vista. Damit möchte man das neue Produkt vor zukünftigen Angriffen und Datendiebstahl schützen. Der Softwareriese stand schon häufig in der Kritik von Windows-Benutzern, denen beträchtlicher Schaden durch übersehene Sicherheitslecks entstanden ist. Durch diese Aktion möchte man nun klarstellen, dass sich etwas in der Politik von Microsoft geändert hat.

Schon Anfang kommenden Jahres soll Vista in die Regale wandern. Bei dem komplett neu geschriebenen Betriebssystem möchte man die in den Vorjahren begangenen Fehler nicht noch einmal wiederholen. Daher beschränkt man sich nicht nur auf die vollmundige Ankündigung der neuen Features, sondern bittet die Softwareexperten dieser Welt um die Mithilfe bei Sicherheitsaspekten.

Dies soll ebenfalls durch ein firmeninternes Sicherheitsteam gewährleistet werden, welches unter anderem auch die Bereiche der Xbox 360 oder der neuen Word-Programme überwacht. Dessen Autorität ermögliche es, Produkte solange zurückzuhalten, bis die geforderten Sicherheitstests bestanden wurden. Weiterhin war Microsoft der Gastgeber von zwei internen Konferenzen, die es internationalen Experten ermöglichten, sich über ihre Forschungen zu Computer-Attacken auszutauschen.

Nun hofft Microsoft auf die Mithilfe der größten Sicherheitsgurus der Welt, die den Programmcode nach Bugs durchforsten sollen. Ob es sich dabei jedoch nur um ein medientaugliches Statement handelt, bleibt abzuwarten.

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

Banken rüsten auf, Kriminelle rüsten nach

2006-08-07T09:24:00.000+02:00

Um sich und ihre Kunden vor Phishing zu schützen, führen Banken immer wieder neue Anmeldeverfahren ein und die Programmierer von Malware passen ihre Machwerke daran an.

Die Maßnahmen der Banken zum Schutz ihrer Kunden vor Phishing werden von den Programmierern der Gegenseite immer wieder konterkariert. Das Internet Storm Center ( ISC ) berichtet über das weltweite Katz-und-Maus-Spiel zwischen Finanzinstitutionen und Identitätsdieben.

Das in Deutschland übliche, klassische PIN/TAN-Verfahren beim Online-Banking ist nur für die sicher genug, die nicht auf einen der vielen Phishing-Tricks herein fallen. Erweiterungen wie die mobile TAN (Zustellung bei Bedarf per SMS) oder indizierte TAN-Listen ("geben Sie die TAN Nr. 42 ein") haben noch längst nicht bei allen Banken Einzug gehalten - der damit verbundene Sicherheitsgewinn ist umstritten. Andere Banken setzen auf Einmal-Passwörter oder benutzen digitale Zertifikate zur gegenseitigen Identifizierung von Bank und Kunden.

Plakative Überschriften wie "Phishing 2.0" und, in Anlehnung daran, PWS-Bankers 2.0 sollen vermitteln, dass neuartige Phishing-Angriffe mit den Bemühungen der Banken Schritt halten. Mit "PWS-Bankers" sind Passwort-stehlende (PWS) Trojanische Pferde gemeint, die auf das Online-Banking spezialisiert sind. Oft sind sie auf eine bestimmte Bank oder ein bestimmtes technisches Verfahren fokussiert.

Als Beispiel führt Pedro Bueno vom ISC eine bei McAfee beschriebene Variante des Schädlings "PWS-Banker.bi" an, der auf eine brasilianische Bank und deren Sicherheitsmaßnahmen spezialisiert ist. Die Bank setzt bei Großkunden auf digitale Zertifikate. Das Trojanische Pferd gibt sich gegenüber dem Benutzer als Programm der Bank zur Aktualisierung des Zertifikats aus. Es fragt nach dem Passwort für das Zertifikat, durchsucht die Festplatte nach Dateien mit den Erweiterung ".key" und ".crt" und sendet die gefundenen Daten an ein Mail-Konto bei Google.

Neben verbesserten, jedoch nie perfekten technischen Vorkehrungen bleibt der Bankkunde vor seinem PC der wichtigste (Un-) Sicherheitsfaktor beim Online-Banking. Die regelmäßige Installation neuer Sicherheits-Updates für Betriebssystem, Browser und Schutzprogramme ist an sich Pflicht, wird jedoch oft vernachlässigt. Wichtiger noch ist allerdings, dass sich Anwender der Risiken bewusst werden und ihr Online-Verhalten daran anpassen.

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

Microsoft Patch Day: 12 Security Bulletins

2006-08-07T09:23:00.000+02:00

Am kommenden Dienstag stehen wieder eine ganze Reihe von Sicherheits-Updates an, darunter auch solche gegen Angriffe auf Microsoft Office.

Für den nächsten Patch Day am 8. August hat Microsoft insgesamt zwölf Security Bulletins angekündigt. Allein zehn davon werden sich mit Sicherheitslücken in Windows befassen, zwei weitere betreffen Microsoft Office.

Von den zehn Security Bulletins für Windows wird sich mindestens eines mit einer als "kritisch" eingestuften Sicherheitslücke beschäftigen. Wahrscheinlicher ist jedoch, dass mehr als eine schwerwiegende Schwachstelle geflickt wird. Einige dieser Updates können einen Neustart von Windows erforderlich machen.

Trotz etlicher Updates in den letzten Monaten bieten Microsofts Office-Pakete immer noch Angriffsflächen für Malware. Präparierte Office-Dokumente können dazu benutzt werden, um Spionage-Programme einzuschleusen. Daher wird zumindest eines der am 8. August zu erwartenden Security Bulletin zu Office mit dem höchsten Schweregrad versehen sein.

Bereits einige Stunden früher wird Microsoft wie üblich eine aktualisierte Fassung seiner kleinen Wurmkur namens "Malicious Software Removal Tool" bereit stellen. Neben diesen Sicherheits-Updates kündigt Microsoft auch noch zwei weitere, nicht sicherheitsrelevante Updates an. Einzelheiten zu betroffenen Plattformen und Anwendungen gibt Microsoft nicht vorab bekannt.

Microsoft Security Bulletin Advance Notification

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

WiFi-Lücke: Centrino-Patches offenbar fehlerhaft

2006-08-04T14:52:00.000+02:00

Intels Sicherheits-Update für Centrino-Notebooks funktioniert offenbar nicht überall. Unsere Tests bestätigen diesen Verdacht.

Für die in dieser Woche aufgetauchten hoch kritischen Lücken in den WLAN-Treibern von Intel stellte der Hardware-Hersteller ein Treiber-Update zur Verfügung. Doch verursacht dieses Update mit diversen Notebooks offenbar Schwierigkeiten. Auf einem getesteten Acer 8104WLMI lässt sich zwar der Treiber und die „Intel PROSet connection“-Software einspielen. Danach bekommt man ganz normal eine Verbindung ins drahtlose Netzwerk. Allerdings nur maximal fünf Minuten, danach ist die Verbindung verloren.

Unsere Recherchen ergaben weiter, dass dies kein Einzelfall ist. F-Secure meldet ein ähnliches Phänomen mit einem IBM ThinkPad T43. Weiterhin berichtet die Firma von Fällen, wo alle „Favorite Networks“ und WEP/WPA-Schlüssel verloren gingen. Laut F-Secure sei derzeit kein Exploit im Umlauf. Der Einzelne solle sich überlegen ob er nicht auf ein Update von seinem Notebook-Hersteller warten möchte. Betroffen war sowohl bei tecCHANNEL als auch bei F-Secure die Hardware „Intel® PRO/Wireless 2915ABG“.

Quelle: tecchannel

An Microsofts August-Patchday gehts rund

2006-08-04T10:29:00.001+02:00

Am kommenden Dienstag will Microsoft es wissen: Dann veröffentlicht der Platzhirsch unter den Betriebsystemherstellern zehn Sicherheitsmeldungen für Windows, davon mindestens eine als kritisch eingestuft, sowie zwei fürs Office, davon ebenfalls mindestens eine kritische. Die einzelnen Security-Bulletins schließen oftmals mehrere Lücken auf einmal.

Es ist davon auszugehen, dass Microsoft die Schwachstellen im Office schließt, durch die manipulierte Powerpoint-Dateien Code ins System einschleusen können. Möglicherweise dichten die Redmonder auch die Sicherheitslecks in der abgespeckten Büro-Software-Suite Works ab.

In Windows hat Microsoft offenbar den Fehler in der hlink.dll bislang noch nicht beseitigt, wodurch präparierte, überlange Links bei der Verarbeitung in dieser Bibliothek einen Pufferüberlauf provozieren und somit Code einschmuggeln können. Am vergangenen Patchday hatte der Software-Gigant schon Updates für den Windows-Server-Dienst herausgegeben, allerdings sind auch hier noch Schwachstellen bekannt.

Der Sicherheitsdienstleister eEye listet derzeit nur eine noch ausstehende Sicherheitsmeldung, wie üblich jedoch ohne Details zu nennen. Microsoft schließt möglicherweise auch Sicherheitslücken im Internet Explorer und Active-X-Modulen, die H. D. Moore im Rahmen seines Month of the Browser Bugs veröffentlicht hat.

Welche Fehler Microsoft tatsächlich beheben wird, gibt der Hersteller immer erst am Patchday bekannt. Die Updates werden der Vorankündigung Microsofts zufolge den Neustart der Rechner erfordern.

Quelle: heise

PHP 4.4.3 schließt vier Monate alte Lücken

2006-08-04T10:29:00.000+02:00

Die neue PHP-Version 4.4.3 beseitigt neben 20 unkritischen Fehlern auch einige seit mehreren Monaten offenen Sicherheitslücken. Unter anderem ließ sich in der Funktion wordwrap() ein Buffer Overflow provozieren. Ob darüber das Einschleusen und Ausführen von Code möglichwar, geben die Entwickler nicht an. Des Weiteren wurden Schwachstellen in den Funktionen tempnam() und phpinfo() beseitigt, die in PHP 5 seit Version 5.1.3 vom Anfang Mai bereinigt sind – bekannt sind sie sogar seit Mitte April 2006.

Dass sich die Entwickler mit den Fixes so viel Zeit gelassen ließen, ist unerfreulich. Immerhin ermöglicht die Lücke in phpinfo() das Einschleusen von JavaScript in den Browser eines Opfers, mit denen Angreifer beispielsweise Cookies der Anwender auslesen können. Durch den Fehler in tempname() ließ sich die open_basedir-Zugriffsbeschränkung, eine Alternative zum Safe Mode, austricksen, die ein Ausbrechen des Anwenders aus seinem Heimatverzeichnis verhindern soll. Auch der Buffer Overflow in wordwrap() ist seit April bekannt. Allerdings wird PHP 4 auch nicht mehr weiterentwickelt. Sicherheitsupdates gibt es jedoch weiterhin – wenn auch offenbar mit erheblicher Verzögerung.

Darüber hinaus wurde der Safe_mode-Check für die error_log()-Funktion verbessert und die Parameterprüfung in substr_compare() sicherer gemacht. Die PCRE-Bibliothek (Perl Compatible Regular Expressions) zur Auswertung von regulären Ausdrücken wurde in PHP 4.4.3 auf Version 6.6 aktualisiert. Die Entwickler empfehlen das Update so bald wie möglich zu installieren. Anwender sollten aber abwägen, ob der vollständige Wechsel auf PHP 5 nicht sinnvoller ist.

Quelle: heise

Sicherheitsexperte führt Klonen von RFID-Reisepässen vor

2006-08-04T10:28:00.000+02:00

Folgt man den Ausführungen von Unternehmen und Behörden, sind die neuen elektronischen Reisepässe, bei denen Daten auf RFID-Chips gespeichert werden, sicher. Offensichtlich ist dies aber nicht der Fall: Nachdem bereits Anfang des Jahres Mitarbeiter einer niederländischen Sicherheitsfirma im Fernsehen gezeigt hatten, wie sich die zwischen Ausweisdokument und RFID-Lesegerät übertragenen Daten abhören und innerhalb weniger Stunden entschlüsseln lassen, führt ein deutscher Sicherheitsexperte derzeit auf der "Black Hat Briefings and Training USA 2006" in Las Vegas vor, wie die auf den RFID-Chips hinterlegten Daten kopiert und in ein anderes elektronisches Ausweisdokument eingelesen werden können.

"Die derzeitige ePass-Architektur ist ein einziger Hirnschaden", echauffiert sich Lukas Grunwald gegenüber dem Online-Magazin Wired News. "Aus meiner Sicht sind RFID-Pässe eine riesige Geldverschwendung, da sie in keinerlei Hinsicht die Sicherheit erhöhen", erklärt der Geschäftsführer der Hildesheimer DN-Systems, ein auf IT-Sicherheitsprodukte und- Dienstleistungen spezialisiertes Beratungsunternehmen. Grunwald benötigte eigenen Angaben zufolge lediglich zwei Wochen, um herauszufinden, wie sich die elektronischen Daten eines RFID-Passes auslesen, klonen und auf einen anderen Chip übertragen lassen – auch auf Smartcards, die dann für Zutrittsberechtigungen genutzt werden könnten.

Grunwald bediente sich bei seinen Recherchen vor allem aus offiziellen Dokumenten der internationalen Luftfahrtbehörde ICAO, in denen die Systemstandards für ePässe beschrieben sind. Als Lese- und Schreibgerät nutzt der Sicherheitsexperte einen für Grenzkontrollen offiziell zugelassenen RFID-Reader der deutschen ACG Identification Technologies. Als Software kommt das "Golden Reader Tool" (GRT) zum Einsatz, das den Anforderungen der ICAO entspricht. Nachdem Grunwald die Daten eines RFID-Passes mittels dieser Hard- und Software ausgelesen hat, brennt er zunächst das ICAO-Layout auf einen neuen RFID-Tag, sodass die Basisstruktur des Chips den offiziellen Anforderungen entspricht. In einem nächsten Schritt wird der Chip dann über das selbst entwickelte Programm RFDump mit den kopierten Daten gefüttert.

Laut Grunwald erhält man so ein Dokument, das elektronische Pass-Lesegeräte nicht vom Original unterscheiden können. Lediglich Änderungen der Daten (etwa Name oder Geburtsdatum) fallen auf, da diese über Kryptoschlüssel zusätzlich gesichert sind. Straftäter könnten derart manipulierte Pässe aber durchaus nutzen, um an automatisierten Grenzkontrollen eine elektronische Fahndungsabfrage zur eigenen Person zu umgehen. Auffallen würde der Eingriff allerdings, wenn ein Grenzbeamter das Lichtbild und die gedruckten Passdaten mit den auf dem Chip abgelegten digitalen Daten vergleicht. Ziel der Einführung von elektronischen Reisepässen ist aber nicht zuletzt, den Personalaufwand für Kontrollen im Grenzverkehr künftig deutlich einzuschränken.

Quelle: heise

Ebay und Paypal sind Hauptziel der Phisher

2006-08-04T10:26:00.000+02:00

Ebay und Paypal sind Hauptziel der Phisher

Drei Viertel aller Phishing-Attacken nehmen Ebay- und Paypal-Nutzer ins Visier. Die Online-Betrüger haben es auf Benutzernamen und Passwörter abgesehen.

Die Benutzer von Ebay und dessen Online-Bezahldienst Paypal sind die wichtigsten Zielscheiben für Phishing-Angriffe in diesem Jahr. Der britische Antivirus-Hersteller Sophos berichtet, dass 75 Prozent der seit Januar abgefangenen Phishing-Mails Links zu gefälschten Web-Seiten dieser beiden Dienste enthalten.

Dabei entfällt der Löwenanteil von 54,3 Prozent aller Phishing-Mails auf Paypal, 20,9 Prozent sind vorgebliche Ebay-Mails. Die Beliebtheit dieser Ziele sieht Sophos in der weltweiten Verfügbarkeit von Ebay und Paypal begründet. Die Zahl potenzieller Opfer ist wesentlich höher als bei Banken, die meist nur regionale Bedeutung haben. Durch die große Zahl verschickter Phishing-Mails steigt die Wahrscheinlichkeit, dass jemand darauf herein fällt.

Als Vorwand für die Mails dienen im Fall von Ebay, neben einer angeblich nötigen Aktualisierung der Kontodaten, auch vorgebliche Fragen anderer Ebay-Nutzer zu einer Auktion. Der Betreff lautet zum Beispiel "Question from eBay Member -- Respond Now". Darin beklagt sich jemand bei dem Angeschriebenen, dieser habe Ware nicht geliefert oder nicht bezahlt und nicht auf bisherige Anfragen geanwortet. Er solle nun schleunigst auf den Button "Respond Now" klicken und antworten.

Wer dem Folge leistet, landet auf einer gefälschten Anmelde-Seite von Ebay, deren URL oft so oder ähnlich aussieht: "http://IP-ADRESSE/~BENUTZERNAME /SignIn-HTML-faramail.html?SignIn&co_partnerId=2&p UserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&Usin gSSL=&ru=http%3A%2F%2F www.ebay.com&pp=&pa2=&errmsg=&runame= &ruparams=&ruproduct=&sid=&favoritenav=&confirm = &ebxPageType=&existingEmail=&isCheckout=&migrateVi sitor="

Die Seite selbst gleicht auf den ersten Blick der echten Ebay-Seite, leitet eingebene Kontodaten jedoch an die Betrüger weiter. Diese benutzen sie dann, um zum Beispiel Waren bei Ebay zu verkaufen, die sie gar nicht haben und auch nicht liefern werden. Was dann zu diesmal eher berechtigten Anfragen anderer Ebay-Nutzer, nämlich der betrogenen Käufer, führen kann.

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

Tägliche Updates für Windows Defender

2006-08-04T10:25:00.000+02:00

In einer Testphase will Microsoft tägliche Aktualisierungen für Windows Defender erproben.

Microsofts kostenloses Anti-Spyware-Tool Windows Defender befindet sich immer noch in der Beta-Testphase. Seit dem 1. August läuft eine zweiwöchige Erprobung einer neuen Update-Prozedur für Windows Defender. Von Montag bis Freitag sollen tägliche Aktualisierungen der Definitionsdateien ausgeliefert werden. Dies hat Adam Overton von Microsofts Anti-Malware-Team in seinem Blog angekündigt.

Der Test soll zeigen, ob der Aktualisierungsvorgang reibungslos funktioniert, die gesammelten Erfahrungen der Anwender mit dem Update-Prozess sollen in die weitere Entwicklung einfließen. Nach Abschluss der bis zum 15. August angesetzen Testphase soll die Update-Frequenz wieder auf den bislang üblichen Turnus, zweimal in der Woche, reduziert werden.

Neben Windows XP mit Service Pack 2, Windows Server 2003 mit Service Pack 1 und Windows 2000 mit Service Pack 4 werden auch die Beta-Versionen von Windows Vista in den Test mit einbezogen. Wer immer noch die ältere Beta 1 von Windows Defender installiert hat, sollte sich auf deren Schutz nicht länger verlassen und zur Beta 2 wechseln . Die Beta 1 hat ihr Haltbarkeitsdatum am 31. Juli überschritten.

Download: Windows Defender Beta 2 (Gültigkeitsprüfung erforderlich)

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

T-Online bietet Dialerschutz für VoIP

2006-08-03T15:08:00.001+02:00

Der Internet-Anbieter T-Online hat eine Dialerschutz-Software auf den Markt gebracht, die nicht nur Analog- und ISDN-Surfer besser vor ungewollten Einwahlversuchen unseriöser Dialer, sondern auch Breitbandnutzer, die über das Internet telefonieren, schützen soll. Dabei unterstützt die Applikation alle aktuellen Voice-over-IP Clients, die auf Basis des standardisierten SI-Protokolls (Session Initiation Protocol) arbeiten.

"Mit der anstehenden Freigabe der Mehrwertrufnummern für Voice-over-IP steigt die Gefahr, dass unseriöse ANBIETER in diesem Segment Profit erwirtschaften wollen, indem sie Kunden auf kostenintensive Rufnummern locken", erklärt Dr. Volker Binder, Bereichsleiter T-Online Produktmarketing Services und Mobiles Internet. "Da auch jüngste Gesetzesänderungen den Verbrauchern bei weitem noch nicht die notwendige rechtliche Sicherheit bieten, sind individuelle Schutzmaßnahmen seitens der Nutzer gefragt".

Die aktuelle Version der T-Online Dialerschutz-Software unterstützt derzeit als einzige im Markt die Funktionalitäten von VoIP. Egal, ob von einem unbemerkt auf dem Rechner installierten Dialer oder über einen mit einer Rufnummern verknüpften Hyperlink eine Telefonverbindung aufgebaut werden soll: Die Software erkennt diese Anwahlversuche automatisch. In einem Dialogfenster zeigt sie dem Nutzer zunächst jede Verbindung an, die das Internet-Telefon aufbauen möchte. Der Nutzer entscheidet selbst, ob er die angezeigte Verbindung zulassen oder ablehnen möchte und wie künftig mit der Rufnummer zu verfahren ist.

Übersichtliche und einfach zu bearbeitende Positiv- und Negativlisten bieten darüber hinaus einen schnellen Überblick über bereits gesperrte und frei gegebene Rufnummern. Weitere Rufnummern können über einen Dialog hinzugefügt und freigegeben beziehungsweise gesperrt werden. Komplette Rufnummernlisten können jederzeit aus einfachen Textdokumenten direkt importiert werden. Zudem ist es möglich, ganze Rufnummernblöcke oder Vorwahlbereiche zu sperren, um so zum Beispiel Verbindungen zu bestimmten Mehrwertrufnummern von vornherein zu unterbinden.

Quelle: net-tribune

E-Mail Viren wieder im Aufwind

2006-08-03T15:08:00.000+02:00

Erstmals seit sieben Monaten stieg im Juli wieder die Menge an E-Mails, die mit Computerviren verseucht waren. Dies das Sicherheitsunternehmen BlackSpider.

Im Juni bezifferten die Virenforscher den Anteil an Viren-E-Mails auf einen rekordverdächtigen Niedrigwert von 0,68 Prozent. Im Juli stieg der Wert - gemessen am E-Mail-Gesamtaufkommen - sogar auf 0,93 Prozent.

Der Wurm Netsky.P wurde in der Top Ten-Liste von Trojan-Spy.HTML.Bankfraud.od auf den zweiten Platz verwiesen. Allein dieses Virus machte 20 Prozent der Malware im Juli aus.

Quelle: net-tribune

WiFi-Sicherheit: Nicht nur Centrino-Treiber betroffen

2006-08-03T15:04:00.000+02:00

Brian Krebs hat berichtet, dass nicht nur die Windows-Treiber von Intel Schwachstellen aufweisen.

Auf der Blackhat-Konferenz zeigten Jon „Johnny Cache“ Ellech und David Mynor, dass nicht nur die Windows-Treiber der Centrino-Chips von Sicherheitslücken geplagt sind. Als Demonstration gewannen Sie die Kontrolle über ein MacBook binnen 60 Sekunden. Es handle sich dabei weniger um eine Frage des Betriebssystems. Das Problem liege in der Firmware und/oder bei den Hardware-Treibern. Die Hacker demonstrierten die Lücke zwar auf einem Mac, aber es hätte auch auf anderen Betriebssystemen funktioniert.

Zudem hätte eine Vielzahl von Wireless-Karten ein Problem, nicht nur jene, die auf der Blackhat-Demo herhalten mussten. Um ein System erfolgreich anzugreifen, müsse ein Rechner nicht in einem drahtlosen Netzwerk angemeldet sein. Eine Firewall schützt ebenfalls nicht. Der einzig wirksame Schutz ist eine Deaktivierung der drahtlosen Netzwerkkarte und der Bluetooth-Geräte. Ebenso sollte man Ausschau nach Patches halten und diese so schnell wie möglich einspielen. Ein Video der Demonstration finden Sie in der Sicherheitskolumne von Brian Krebs.

Quelle: tecchannel

Gefährliche Lücken in Intels Centrino-WLAN-Treibern

2006-08-03T15:00:00.000+02:00

Intel meldet hoch kritische Lücken in den WLAN-Treibern für Windows. Betroffene Centrino-Notebook-Besitzer sollten ihre Treiber umgehend updaten.

Hoch kritische Lücken entdeckte Intel in den eigenen WLAN-Treibern für Windows. Betroffen sind diverse Centrino-WLAN-Module der unterschiedlichen Centrino-Generationen. Prinzipiell reicht die Bandbreite der betroffenen Notebooks von den Ur-Centrino-Geräten aus dem Jahre 2003 bis hin zur aktuellen Centrino-Duo-Generation.

Allerdings treten nicht alle Lücken bei allen Modulen auf. Ein Fehler in den Treibern von Intel 2200BG und 2915ABG Pro erlaubt es einem potentiellen Angreifer beliebigen Code auf einem betroffenen System auszuführen. Ebenfalls könnte der Hacker die Kontrolle über den Rechner erlangen.

Eine weitere Schwachstelle befindet sich in der Intel PROSet/Wireless Software 7.x, 8.x, 9.x und 10.x. Grund ist die Behandlung des „Shared Memory“ eines betroffenen Systems. Dies könnte sensible Informationen preisgeben. Dazu gehören zum Beispiel der „pre-shared WEP key“ und Informationen über die Authentifikation eines Anwenders.

Die WLAN-Treiber für Intel 2100 PRO/Wireless enthalten ebenfalls eine Schwachstelle. Grund ist hierfür die Behandlung bestimmter Anfragen von Applikationen. Somit könnte sich ein Angreifer mittels speziell präparierter Frames Rechte ergaunern, die auf Kernel-Ebene liegen.

Intel empfiehlt ein sofortiges Einspielen von Updates. Um die Lücken erfolgreich auszunutzen reicht es einem Angreifer bereits in WiFI-Reichweite ihres Systems zu sein. Intel stellt außerdem ein Identifikations-Tool zur Verfügung, das ihnen verrät welche Hardware sich in ihrem Rechner befindet. Ausführliche Informationen zur aktuellen Centrino-Duo-Generation liefert Ihnen der Beitrag Centrino 2006: Dual-Core für Notebooks. Details zur weit verbreiteten Vorgänger-Generation Sonoma finden Sie hier.

Quelle: tecchannel

Barracudas Spam-Firewall gibt E-Mails preis

2006-08-03T14:29:00.000+02:00

Die Spam-Firewall von Barracuda enthält mehrere Schwachstellen, durch die Angreifer etwa die Konfigurationsdateien oder E-Mails im System auslesen könnten. Eine neue Softwareversion schließt die Lücken.

Durch ein fest einprogrammiertes Standardpasswort für das Gastkonto können Angreifer Zugriff auf die Spam-Firewall erhalten. Auch wenn der Gastzugang begrenzte Zugriffsrechte hat, können darüber noch die Systemkonfiguration mit den IP-Zugangsbeschränkungen, E-Mail-Messagelogs sowie die Versionsinformationen der Spam- und Virensignaturen sowie die Firmware-Version des Systems ausgelesen werden.

Da in dem Skript preview_email.cgi der übergebene Parameter file nicht überprüft wird, ist ein Angriff über eine so genannte Directory-Traversal-Attacke, also Pfadnamen mit "../", möglich. Dieser Angriff setzt einen angemeldeten Benutzer voraus, da aber das Gastkonto ohne IP-Zugangsbeschränkungen weit offen steht, stellt dies für potenzielle Angreifer kein Hindernis dar. Die Konfigurationsdatei der Spam-Firewall, die regelmäßig nach /tmp/backup/periodic_config.txt.tmp gesichert wird, lässt sich damit auslesen. Auch E-Mails können Angreifer so einsehen.

Betroffen sind die Firmware-Versionen 3.3.01.01 bis 3.3.03.53. Administratoren von Barracuda Spam-Firewalls sollten umgehend das Update auf die Version 3.3.03.54 anstoßen. Außerdem sollte der Zugriff auf das Barracuda-Web-Interface durch Firewall-Einstellungen auf vertrauenswürdige Rechner oder Netze beschränkt werden.

Quelle: heise

MacBook via WLAN gehackt

2006-08-03T14:28:00.000+02:00

David Maynor von Internet Security Systems (ISS) und Jon Ellch von der U.S. Naval Postgraduate School in Monterey haben wie angekündigt auf der derzeit stattfindenden Black- Hat-Konferenz in den USA vorgeführt, wie sich in ein MacBook mit Mac OS X über Fehler im WLAN-Treiber eindringen lässt. Allerdings hielten sich die beiden mit Details zu dem Angriff bedeckt. Sie führten auch nur ein Video des Angriffs vor, um zu verhindern, dass jemand die Pakete beim Angriff mitschneidet und damit die Attacke wiederholen und analysieren kann.

Fehler in Gerätetreibern sind deshalb sehr kritisch, weil etwa manipulierte Pakete nicht von einer Firewall oder ähnlichen Schutzmechanismen abgefangen werden können – die Pakete landen zuerst im Gerätetreiber, bevor sie an die Subsysteme des Betriebsystems weitergereicht werden. Da der Treiber im Systemkontext läuft, können Angreifer durch Sicherheitslücken darin mit ein wenig Geschick die vollständige Kontrolle über den Rechner erlangen.

Maynor und Ellch zufolge sind nicht nur MacBooks verwundbar, erfolgreiche Angriffe seien auch bei Windows-Laptops und -Desktops möglich. In Windows-WLAN-Treibern hätten die beiden zwei ähnliche Sicherheitslücken gefunden. Ellch entwickle derzeit ein Werkzeug, das den Chipsatz und die Treiberversion eines WLAN-Gerätes identifizieren könne, äußerte er gegenüber US-amerikanischen Medien. Derzeit erkenne das Tool 13 unterschiedliche Gerätetreiber. Dies sei nützlich, um verwundbare Geräte aufzuspüren und gezielte Angriffe durchzuführen.

Maynor sagte, er und Ellch arbeiteten mit Apple, Microsoft und weiteren Herstellern zusammen. Die beiden großen Unternehmen würden WLAN-Produktherstellern und OEMs bei der Beseitigung der Probleme in deren Treibern behilflich sein. Die kürzliche Veröffentlichung neuer Treiber für die Centrino-Plattform stehe Maynor und Ellch zufolge in keinem Zusammenhang mit ihren Forschungsergebnissen. Intel habe die Sicherheitslücken, die das Einschleusen von Schadcode ermöglichen, selbst gefunden, als kritisch eingestuft und schließlich beseitigt. Vor gut sechs Wochen stufte Intel das Risiko durch Fehler in Gerätetreibern noch als gering ein.

Update:

Ellch und Maynor haben in ihrem Hack-Video nicht die interne WLAN-Lösung von Apple genutzt, sondern einen USB-WLAN-Adapter eines Drittherstellers. Ob der fehlerhafte Gerätetreiber nachträglich installiert wurde oder von Apple mit Mac OS X ausgeliefert wird, bleibt unklar.

Quelle: heise

Black Hat: Cisco im Kreuzfeuer

2006-08-03T14:27:00.000+02:00

Gleich am ersten Tag der Black-Hat-Konferenz steht der Netzwerkgerätehersteller Cisco im Regen: Hendrik Scholz von Freenet Cityline deutete in seinem Vortrag "SIP Stack Fingerprinting and Stack Difference Attacks" eine bislang nicht veröffentlichte Sicherheitslücke in der Software des Herstellers an. Über Details haben Scholz und Cisco wohl Stillschweigen vereinbart, Cisco prüft unterdessen, was an der Sache dran ist. Der Fehler soll aber in Ciscos Voice-over-IP-Anwendungen stecken, die das Session Initiation Protocol (SIP) unterstützen.

Schlecht weg kam auch Ciscos Network-Access-Control-Framework (NAC) zum Schutz von Netzwerken. In seinem Vortrag "Bypassing Network Access Control" erklärte Ofir Arkin von Insightix, wie leicht sich NAC aushebeln lässt. Dabei ließ er kein gutes Haar an spezifischen Lösungen, die unter anderem auch von Microsoft und Symantec angeboten werden. Beispielsweise würden einige Lösungen nur dann funktionieren, wenn Clients ihre IP-Adressen per DHCP beziehen würden. Sobald ein Rechner eine statische Adresse habe, könne ihm NAC keine Sicherheitsrichtlinie mehr aufzwingen. Teile des Unternehmensnetzes könnten so für NAC glatt unsichtbar bleiben. Zudem würden die derzeit verfügbaren Produkte zu viele Schwachstellen enthalten, als dass sich ein Hacker davon abhielten ließe, Zugriff auf ein NAC-geschütztes Netzwerk zu erhalten. Dazu würde im Moment schon das Spoofen von MAC- und IP-Adresse genügen. Cisco erklärte am Rande der Konferenz nur, dass NAC wohl noch einen weiten Weg gehen müsse, um umfassenden Schutz zu bieten,

Anders als noch im vergangenen Jahr geht Cisco diesmal mit der Kritik sehr viel lockerer um. Im Vorjahr hatte der Vortrag von Michael Lynn über Exploits für Cisco-Systeme noch für einen Eklat auf der Black Hat gesorgt, in dessen Folge Lynn und den Veranstaltern der Konferenz sogar eine einstweilige Verfügung von Cisco ins Haus flatterte. Dieses Jahr ist Cisco sogar einer der Sponsoren der Konferenz. Dabei versucht der Netzwerkriese gute Miene zum bösen Spiel zu machen und schmiss für die Teilnehmer der Veranstaltung ein Party im Pure, dem Nachtclub in Caesars Palace – auch Michael Lynn wurde auf der Party gesichtet.

Neben Cisco sponsert auch Microsoft die Black Hat, was die Frage nach der weiteren Entwicklung dieser Veranstaltung aufwirft. Während sie früher noch in familiärer Runde stattfand und ein intensiver Informationsaustauch zwischen den Teilnehmern möglich war, nehmen mittlerweile rund 3000 Personen an der Konferenz teil. Bereits seit Längerem wird darüber gespottet, dass die Konferenz zur Jobbörse mutiert ist, auf der sich neben diversen Herstellern und Dienstleistern auch FBI und NSA tummeln. Das Wegfischen der Sicherheitsspezialisten führt in der Regel dazu, dass sie die Informationen über gefundene Lücken nur noch ihren Arbeitgebern zur Verfügung stellen. Der Allgemeinheit fehlen dann unter Umständen wichtige Informationen, wie sie noch unter anderem auf Mailinglisten wie Full Disclosure veröffentlich werden.

Quelle: heise

Adware-Verbreitung nach Domain-Verlust

2006-08-03T14:26:00.001+02:00

Kurz nachdem ein bekanntes Sicherheitsprojekt eine seiner Domains verloren hat, wird bereits Adware über diese Adresse verbreitet.

Das Projekt Bleeding Snort sammelt und veröffentlicht Signaturen für das Open-Source-IDS (Intrusion Detection System) "Snort". Zum Projekt gehörte bis Ende Juni auch die Domain "bleedingsnort.org". Durch einen Fehler, wie er anscheinend häufiger mal passiert, wurde die Registrierung der Domain nicht rechtzeitig verlängert, das Projekt verlor diese Domain und jemand anderes registrierte sie rasch für sich. Der hatte offenbar nichts Eiligeres zu tun als sie sogleich mit Adware zu bestücken und zum Verkauf anzubieten.

Die Domain bleedingsnort.org ist zurzeit auf eine Person mit angeblichem Wohnsitz in Äquatorial-Guinea registriert - mutmasslich ein Strohmann, falls die Person überhaupt existiert und von ihrem neuen Besitz etwas weiss. Der Web-Server dazu scheint hingegen in Potsdam zu stehen.

Wer die ehemalige Website von Bleeding Snort aufruft, wird sogleich zum Domain-Parkplatz des Domain-Händlers Sedo weitergeleitet. Ist im Browser allerdings Javascript eingeschaltet und kein Pop-up-Blocker aktiv, wird dem Besucher vorher noch eine Datei namens "update.exe" zum Download aufgedrängt, ein selbstentpackendes CAB-Archiv.

Nach den weitgehend übereinstimmenden Meinungen der wenigen Virenscanner, die diese Datei und ihren Inhalt erkennen, installiert sie Adware auf dem PC. Die vergebenen Namen variieren meist die Bestandteile "Adware" und "LoopAd", nur bei AntiVir und Webwasher heißt es "Remotewatch". Dabei handelt es sich um ein Programm, das im Hintergrund Informationen über das Web-Verhalten des Anwenders sammelt und an Werbe-Server sendet, die den Anwender dann mit vermeintlich passenden Werbebannern beglückt.

Die Adware Remotewatch scheint zum Standard-Repertoire von Domain-Grabbern und Typo-Squattern zu gehören. Erst im Mai berichtete der Software-Hersteller G Data aus Bochum, dass eine solche Person die Domain "g-data-security.de" registriert und die Adware Remotewatch (als "witzedatenbank.exe") darüber verbreitet hätte. Die Domain gehört heute G Data. Die beiden Programmdateien werden allem Anschein nach stets von demselben US-Server bezogen, auf dem sie auch heute noch zu finden sind.

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

Studie: Unternehmen vernachlässigen Datenschutz

2006-08-03T14:26:00.000+02:00

64 Prozent verwenden echte Kundendaten für Software-Tests

Eine Umfrage unter mehr als 100 IT-Verantwortlichen, die gemeinsam von Compuware und dem Sicherheitsinstitut NIFIS durchgeführt wurde, hat ergeben, dass 64 Prozent der Unternehmen stiefmütterlich mit Kundendaten umgehen. "Sie verwenden echte Datensätze, um Anwendertests mit neuer Software durchzuführen", erklärte Franz Fuchsberger, Managing Director bei Compuware Austria. Damit setzen sich diese Unternehmen dem Risiko der missbräuchlichen Verwendung von schutzwürdigen, personenbezogenen Daten mit allen Konsequenzen nach dem Datenschutzgesetz (DSG) aus.

36 Prozent der Befragten gaben außerdem an, dass sie mit dem Inhalt des DSG nicht umfassend vertraut sind. Trotz zahlreicher, hoch brisanter Fälle von Betrug, Spam und Cyberkriminalität sorgten Firmen noch immer nicht dafür, dass ihre Verfahren für den Datenschutz so strikt wie möglich konzipiert werden, mahnen die Studienautoren. "Unternehmen haben ausreichend Zeit gehabt, um sich mit den notwendigen Maßnahmen zum Datenschutz vertraut zu machen und entsprechend zu implementieren", kritisiert Fuchsberger. "Wenn sie keine durchgängigen Verfahren einsetzen, riskieren sie, dass Kundendaten unbemerkt an Dritte gelangen. Dies kann nicht nur ernsthafte Auswirkungen auf das Vertrauen der Kunden und auf den Ruf des Unternehmens haben, sondern auch das Geschäftsergebnis beeinträchtigen."

Eine weitere Missbrauchsmöglichkeit für geschützte Daten ergibt sich durch den anhaltenden Trend zum Outsourcing von IT-Aufgaben, bei dem auch persönliche Kundendaten an externe Unternehmen weitergeleitet werden. Allerdings geben immerhin 53 Prozent der Unternehmen an, bei derartigen Vorgängen Vertraulichkeitsvereinbarungen mit den beauftragten Dienstleistern abzuschließen. Die Studienautoren fordern eine lückenlose Dokumentation über die Verwendung von Daten.

Software-Testumgebungen seien von Natur aus unsichere Orte für sensible Daten, meint Fuchsberger. Naheliegend wäre es, keine Kundendaten für Tests zu nutzen, wodurch jedoch keine guten Tests durchgeführt werden könnten. Sofern nicht umfangreiche Datenmengen genutzt werden, die eine Anwendung komplett und gründlich unter "Live-Bedingungen" testet, ist die Wahrscheinlichkeit von Fehlern im späteren Live-Einsatz sehr hoch, so Fuchsberger. Daher haben Unternehmen die Wahl, entweder zeit- und kostenaufwändig umfassende Testdaten zu schaffen, die für den Zweck der Anwendung geeignet sind, oder Daten zu desensibilisieren, was einige Felder jedoch ungültig machen könnte.

Fuchsberger rät zur Anonymisierung der Daten. Durch den konsistenten Austausch bekannter Daten wie Namen, Adressen, Kunden-, Konto- oder Versicherungsnummern mit anderen plausiblen Werten können Kundendaten so anonymisiert werden, dass von diesen nicht mehr auf die Person zurückgeschlossen werden kann, sie aber noch immer vom System in der ganzen Organisation verarbeitet werden können. Dabei bleiben wichtige Felder intakt.

Quelle: CNET Networks Deutschland GmbH/ZDNet.de und CNET.de

McAfees Produkte gefährden Desktop-Sicherheit

2006-08-02T10:29:00.000+02:00

In McAfees Sicherheitsprodukten für Heimanwender wurde eine Lücke entdeckt, über den Schädlinge in den Rechner eindringen können. Der Fehler findet sich im Security Center, das Anwender unter anderem über den Sicherheitsstatus ihres PC informiert. Dazu nutzt es den Internet Explorer und eigene ActiveX-Controls. Offenbar klafft in einem dieser Controls ein Loch, über das sich Schadcode in den Rechner beim Besuch manipulierter Webseiten einschleusen und ausführen lässt. Allerdings muss der Anwender die Seite selbst besuchen, weshalb der Hersteller das Risiko eines erfolgreichen Angriffs als "mittel" einstuft. eEye, Entdecker der Lücke sieht das weniger entspannt und stuft das Problem als "hoch" ein. Denn in der Regel genügt schon ein unbedachter Klick auf einen vermeintlich interessanten Link in einer E-Mail, um auf eine präparierte Webseite zu gelangen.

Betroffen ist das SecurityCenter von Version 4.3 bis einschließlich 6.0.22, wie sie in McAfees Internet Security Suite 2006, Wireless Home Network Security, Personal Firewall Plus, VirusScan, Privacy Service, SpamKiller und AntiSpyware enthalten ist. Der Hersteller hat Version 7.0 herausgegeben, die bereits über das automatische Update verteilt wird. Enterprise-Produkte sind nicht betroffen.

Quelle: heise

Apple schließt wieder Sicherheitslücken

2006-08-02T10:28:00.000+02:00

Apple patcht mit dem Sicherheitsupdate 2006-004 zahlreiche Lücken. Über mehrere der damit geschlossenen Schwachstellen könnten Angreifer beliebigen Code auf betroffenen Rechnern ausführen.

Angreifer könnten in Apples AFP-Server die Anwendung zum Absturz bringen oder Code einschleusen, außerdem auf Dateien anderer Benutzer zugreifen, da der Speicher für die dazu benötigten Reconnect-Keys von jedermann lesbar ist. Benutzer könnten durch die Suchfunktion Dateien anderer Benutzer auflisten, auf die sie eigentlich keinen Zugriff haben.

Durch präparierte zip-Archive kann der BOM-Archiv-Helper dermaßen aus dem Tritt kommen, dass Angreifer beliebigen Code mit diesen Dateien einschleusen und ausführen lassen könnten. Hier kommt erschwerend hinzu, dass der Safari-Webbrowser zip-Dateien als sicher betrachtet und automatisch öffnet, wenn die entsprechende Option aktiviert ist. Diese Lücke wurde schon vor Längerem von Tom Ferris an Apple gemeldet.

Auch der DHCP-Dienst reißt ein Sicherheitsleck in Apples Betriebsysteme. Eine manipulierte bootp-Anfrage kann einen Pufferüberlauf auslösen und darüber möglicherweise beliebigen Code ausführen. In fetchmail schließen Apples Entwickler zahlreiche, ältere Sicherheitslücken, durch die manipulierte POP3-Server dem Programm beliebigen Code unterschieben konnten.

Neben zip-Dateien sind auch wieder zahlreiche Grafikdateien und Webseiten ein Sicherheitsrisiko für Mac-Nutzer. Mit manipulierten Bildern in den Formaten RAW (Canon), Radiance, GIF und TIFF sowie mit präparierten Webseiten könnte Schadcode ins System gelangen und ausgeführt werden. Die Fehler bei der TIFF-Verarbeitung betreffen auch die freie Bibliothek libtiff, die etwa von kdegraphics eingesetzt wird. Die Linux-Distributoren liefern inzwischen dafür ebenfalls Updates aus.

Weniger kritische Updates gab es unter anderem für den Bluetooth-Setup-Assistenten. Die automatisch generierten Schlüssel zum Pairing von Bluetooth-Geräten hat Apple von sechs auf acht Zeichen verlängert. Durch den Linker dyld konnten Benutzer ihre Rechte ausweiten. Der Entpacker gunzip konnte aufgrund von Programmierfehlern die Berechtigungen von Dateien ändern und durch die Kommandozeilenoption "-N" beliebige Dateien ersetzen oder erstellen.

Der von Apple gelieferte OpenSSH-Server blieb hängen, wenn man sich mit einem nicht-existierenden Benutzerkonto anmelden wollte. Auch der Telnet-Client ist von einer Schwachstelle betroffen, er könnte (vertrauliche) Inhalte von Umgebungsvariablen an einen Telnet-Server schicken, wenn dieser danach anfragt.

Mac-OS-X-Nutzer sollten das Update zügig einspielen, sofern der automatische Update-Mechanismus noch nicht angesprungen ist. Für die fetchmail-Lücke sind sogar schon Exploits im Umlauf.

Quelle: heise

Kritische Lücke in Intels Centrino WLAN-Treibern

2006-08-02T10:27:00.000+02:00

Laptops im Vorbeigehen hacken – was bislang nur ein eher theoretisches Szenario war, kann demnächst zu einem Zeitvertreib auf Flughäfen, Bahnhöfen und Messen werden. Intel warnt vor drei Lücken in seinen Centrino- und PRO/Wireless-WLAN-Treiber für Windows. Bereits Ende Juni kündigten David Maynor von Internet Security Systems (ISS) und Jon Ellch eine Präsentation von gefundenen Schwachstellen in WLAN-Treiber an, die sie auf der am heutigen Mittwoch gestarteten Black-Hat-Konferenz vortragen wollen.

Über eine der nun von Intel bekannt gegebenen Lücken kann ein Angreifer Schadcode auf den Laptop schleusen und ausführen, ohne dass der Rechner in einem WLAN eingebucht ist. Es genügt, in seiner Reichweite zu sein und präparierte Frames an das Laptop zu schicken. Auf den meisten Laptops ist WLAN standardmäßig aktiviert.

Die zweite Lücke lässt sich ausnutzen, um über manipulierte Frames Code in den Treiber zu injizieren und mit Hilfe einer auf dem System laufenden Anwendung an Systemrechte zu gelangen. Wie das genau funktionieren soll, schreibt Intel nicht. Allerdings stuft der Hersteller die Lücke immerhin als kritisch ein. Bislang sollen noch keine Exploits für die Lücken kursieren. Die dritte Lücke lässt sich nur von angemeldeten Anwendern mit eingeschränkten Rechten ausnutzen, um an vertrauliche Daten zu gelangen.

Betroffen sind die Treiber für Intels Intel PRO/Wireless 2100, 2200BG, 2915ABG und 3945ABG Network Connection und Intel Centrino 2100, 2200BG und 2915ABG, (unter anderem w22n50.sys, w22n51.sys, w29n50.sys, w29n51.sys). Allerdings ist nicht jeder der drei Fehler in jedem Treiber enthalten. Eine Tabelle dazu liefert Intel hier: Wireless LAN Products Security Information.

Intel hat neue Treiber zum Download bereitgestellt, in denen die Lücken gestopft sind. Um festzustellen, ob die verwundbaren Treiber auf dem eigenen Laptop installiert sind, bietet Intel ein Tool zum Download an: Intel Wireless Ethernet Device and Driver Identification Guide. Der Hersteller empfiehlt, die Updates so bald wie möglich zu installieren.

Quelle: heise

Banking-Portale anfällig für Phishing-Tricks

2006-08-02T10:25:00.000+02:00

Die Banking-Portale der Sparda-Bank und der DAB-Bank weisen ernsthafte Sicherheitsmängel durch so genannte Cross-Site-Scripting-Lücken (XSS) auf. Michael Ott hat nach dieser Entdeckung die Banken auf das Problem aufmerksam gemacht. Gegenüber heise Security erklärte er, dass die Fehler in den Suchfunktionen der Webseiten zu finden seien, die Benutzereingaben nicht ausreichend filtern. Die Lücke bei der Sparda-Bank demonstriert Ott in verschleierter Form auch in einem Blog-Eintrag.

Bei einem XSS-Angriff lockt ein Angreifer seine Opfer mit Hilfe manipulierter Links in E-Mails oder Webseiten auf die anfällige Website. Durch die Schwachstelle ist es ihm möglich, im Browser der Opfer eigenen Skript-Code im Kontext der Website ausführen zu lassen. So kann er unter Umständen etwa an Log-in-Cookies oder andere vertrauliche Daten der Opfer gelangen, wenn er mit seinen Skripten beispielsweise Eingabemasken für PINs und TANs nachahmt. Für Bankkunden könnte leicht der Eindruck entstehen, es handle sich um eine vorgesehene Funktion des Banking-Portals.

Während die jüngst bekannt gewordenen XSS-Lücken bei Mobilfunkanbietern und auf Partei- und Regierungswebseiten noch vergleichsweise harmlos sind, bedeuten derartige Lücken bei Banking-Portalen sogar Gefahr für die Konten der Anwender. Diese können sich gegen solche Angriffe schützen, indem sie die Online-Banking-Seiten nicht über Links in fremden E-Mails oder Webseiten ansteuert. Am sichersten ist die direkte Eingabe der URL im Browser.

Quelle: heise

Sicherheitslösung auf Linux-Basis: Intrusion Detection und Prevention und Spam-Schutz

2006-08-02T10:24:00.000+02:00

"Collax Security Gateway" - ein Sicherheitspaket für Unified Threat Management

Collax stellte ihr Sicherheitspaket für Unified Threat Management (UTM) vor - das "Collax Security Gateway", eine Sicherheitslösung zum Schutz von IT-Netzwerken gegen Angriffe aus dem Internet. Ein kaskadierter Spam-Schutz, IPSec-basiertes VPN, ausgereifte Virus Protection und das Intrusion Detection- (IDS) respektive Intrusion Prevention System (IPS) schützen vor Angriffen aus dem Internet. Das Collax Security Gateway ist über eine einfache Benutzeroberfläche schnell und ohne Linux Know-how einzurichten. Deshalb eignet es sich besonders für kleine und mittelgroße Unternehmen sowie Filialbetriebe. Die Lösung ist ab sofort bei allen Collax-Händlern erhältlich.

Als Unified Threat Management-Lösung kontrolliert das Collax Security Gateway die gesamte Kommunikation des internen Firmen-Netzwerks mit dem Internet und schützt vor allen Angriffen und Attacken.

Die Firewall bietet mit dem Intrusion Detection- (IDS) und Intrusion Prevention-System (IPS) ein modernes Erkennungsverfahren, das bei Angriffen aus dem Internet sofort Alarm schlägt. Integrierte Paketfilter und Stateful-Inspection (SPI) kontrollieren die ein- und ausgehenden Dateien auf Schadcode. Der integrierte Web Proxy-Server überprüft mit definierten Regeln Web-Anfragen und -Antworten. Der Web Content-Filter untersucht den Inhalt angeforderter HTML-Seiten auf definierte Schlüsselwörter.

Vor Viren, Würmern und Trojanern schützt die Collax Virus Protection. Schutz vor Massenwerbe-Mails bietet der kaskadierte Spam-Schutz. Durch die Kombination mehrerer Erkennungsverfahren wird ein optimales Schutzschild gegen Spam garantiert: Realtime Blocklists, Greylisting, Online Blacklists (DNS-Lists), Spam-Heuristik, Netzwerk-basierte Erkennung, selbstlernende Erkennung, Anhangsfilter sowie selbstdefinierbare Filter sind die dabei zum Einsatz kommenden Technologien. Das Collax Security Gateway baut VPNs per IPSec auf und blockt zudem URL-Seiten und feindliche Applets.

Um den Datenverkehr über das Collax Security Gateway kontrollieren zu können, hat Collax ein intelligentes Traffic Management mit Multi-WAN, Link Failover, Traffic Shaping mit Priorisation und Latency Shaping nach der HFSC-Methode integriert. Aufgrund des Linux-Betriebssystems lässt sich das Collax Security Gateway in alle bestehenden Windows-, Linux- und Macintosh-Netzwerke einbinden.

Quelle: IT-SecCity

Fernüberwachung von Speicherinfrastrukturen: EMC-Lösung erfüllt ICSA-Kriterien

2006-08-02T10:23:00.000+02:00

icherheitszertifikat für EMCs "Secure Remote Support Gateway"

Das Institut ICSA Labs hat EMCs Lösung zur Fernüberwachung von Speicherinfra-strukturen, das "EMC Secure Remote Support Gateway", zertifiziert. Die unabhängige Abteilung der Cybertrust Inc. bescheinigt dem EMC-Angebot, dass es die aktuellen Sicherheitsstandards für die Fernüberwachung von IT-Umgebungen erfüllt und somit deren sicheren Betrieb gewährleistet.

Die Zertifizierung basiert auf einer umfassenden Analyse der eingesetzten Technologien und bewertet unter anderem Kriterien wie Operabilität, Sicherheit, Verwaltungsfunktionen sowie die Effektivität des Gateways im Falle von beispielsweise Denial-of-Service-Attacken (DoS) oder Angriffen durch Trojaner. ICSA Labs ist die branchenweit anerkannte Autorität für die Erforschung und Zertifizierung von Sicherheitsprodukten.

Fernüberwachung rund um die Uhr

Die IP-basierte Fernwartungslösung EMC Secure Remote Support Gateway reduziert Ausfallzeiten in Kundensystemen und hilft bei der schnellen Fehlerdiagnose und -behebung. Die Systeme werden rund um die Uhr von EMCs Kundenservice über eine gesicherte Verbindung überwacht. Zudem enthält die Lösung Sicherheitsfunktionen, mit denen Corporate Governance- und Branchenrichtlinien erfüllt werden. Dazu zählen Zugriffskontrolle, Authentifikationsmechanismen, detaillierte Prüfproto-kolle sowie Verschlüsselungstechnologien.

Quelle: IT-SecCity

Secure Access-Lösung "HOB RD VPN" um neues Web-Server-Gate erweitert

2006-08-02T10:22:00.000+02:00

Standortunabhängigen Zugriff auf Geschäftsapplikationen und Daten, abgesichert mit SSL

HOB gab bekannt, dass der in der Secure Remote Access-Lösung "HOB RD VPN" enthaltene "WebSecureProxy" nun mit einem "WSP Web-Server-Gate" zum Zugriff auf interne Webserver ausgestattet wurde.

Mit dieser Funktionalitätserweiterung des WebSecureProxy, der in der Regel in einer DMZ installiert ist und im Vorfeld das gesamte, mit der Authentifizierung der Clients notwendige Zertifikats- und Token-Management leistet, werden anfragende Web-Browser auf die gewünschten internen Webserver umgeleitet. Die Kommunikation zwischen dem clientseitig installierten Browser und dem WebSecureProxy erfolgt über HTTPS. So eignet sich dieses Verfahren beispielsweise für die mobile Zeiterfassung von Mitarbeitern, Lagerbestandsabfragen und Bestellungen externer Geschäftspartner oder Mitteilungen und Lieferungs-Avis' seitens externer Zulieferer.

Zusätzlich bringt HOB RD VPN einen Universal Client zur Kommunikation lokaler Anwendungen auf PCs, Notebooks und Mobilgeräten (xDAs wie Pocket PC, PDA, MDA etc.) mit zentralen Servern
(z. B. Mail-Server) mit. Der Universal Client arbeitet mit hochperformanter Datenkomprimierung, die anstelle auf Paketebene (wie bei IPSec) auf Anwenderprotokollebene stattfindet. Weitere integrierte Clients dienen dem Zugriff auf Legacy-Applikationen, beispielsweise über 3270, 5250 und 9750.

Das HOB-eigene Seamless Windows, genannt "True Windows", ermöglicht die Darstellung von Serveranwendungen als Lokalapplikation auf dem Client. Dabei ist ein Mischbetrieb von 32-Bit und 64-Bit Anwendungen auf einem Server ebenso möglich.

HOB RD VPN dient dem standortunabhängigen Zugriff auf Geschäftsapplikationen und Daten, abgesichert mit SSL. Mitarbeitern, Geschäftspartnern, Lieferanten und Kunden wird damit ein sicherer Zugang auf dedizierte, unternehmensinterne Ressourcen eingeräumt. Die Lösung zeichnet sich laut HOB vor allem dadurch aus, dass der Zugriff zu Unternehmensservern und Webservices gänzlich clientless vonstatten geht - also ohne Installation jeglicher Software auf dem Endgerät - und daher ohne langwierig einzurichtende Admin-Rechte möglich ist. Die mitgelieferten Applika-tionen ermöglichen Zugriffe auf Windows Terminal Server, Web Services, Blade Center, den eigenen Arbeitsplatz und Legacy-Applikationen.

Quelle: IT-SecCity

IBM-Virtualisierung erreicht eines der höchsten Sicherheitsniveaus in der IT-Industrie

2006-08-02T10:20:00.000+02:00

Großrechner und Unix-Systeme erhalten begehrtes Sicherheitsrating (EAL) der US-Regierung

IBM gab bekannt, dass die auf seinen Großrechnern und Unix-Systemen eingesetzten Virtualisierungstechnologien mit einer der anspruchsvollsten US-Sicherheitszertifizierungen ausgezeichnet worden ist. In der Zertifizierung, bekannt unter dem Namen Common Criteria's Evaluation Assurance Level (EAL), hat IBM eines der höchsten Zertifizierungsniveaus für logisches Partitionieren (logical Partitioning) erhalten. Dies ist eine von IBMs wichtigsten Virtualisierungs-technologien. Sie wird auf Servern dazu verwendet, mehrere Betriebssysteme gleichzeitig zu betreiben. Die Logical Partioning-Technologie auf dem Mainframe erreichte ein Level 5 Rating (EAL5); die POWER-basierte Virtualisierung erreichte ein 4+Rating (EAL4+).

Das unabhängige EAL5-Ranking stellt Anwendern Informationen darüber bereit, dass diese mehrere Betriebssysteme und Anwendungen mit vertraulichen Daten (wie zum Beispiel Gehaltsabrech-nungen, Personaldaten, eCommerce, ERP und CRM-Systeme) auf verschiedenen Partitionen eines einzelnen IBM-Großrechners "System z9 EC", ausführen können. Das System ist dafür ausgelegt, die Daten jeder Partition isoliert von den anderen zu halten. Alle Systemdaten werden dabei in einer sicheren Umgebung gehalten, die von den anderen Partitionen isoliert ist. Vor der Zertifizierung wurde IBM System z9 EC Logical Partitioning (LPAR) von einem unabhängigen Gutachter getestet.

Virtualisierung, seit den 1960er-Jahren von IBM auf dem Großrechner im Einsatz, ist einer der Gründe, warum Großrechner bei vielen Unternehmen heute als Kernstück ihrer Informations-technologie im Einsatz sind. Die Logical Partitioning-Eigenschaft der IBM Power-Mikroprozessor-architektur leitet sich vom Großrechner ab. IBM POWER Mikroprozessoren werden in den IBM System p-, System i-Servern, BladeCenter-Servern sowie ausgewählten Modellen der IBM DS8000-Speichersysteme eingesetzt. IBM hat Virtualisierung bereits auf der Ebene des Siliziums bei ihren "System z-"Großrechnern und "Power"-Systemen eingebaut. Mit diesem Verfahren kann ein höherer Grad an strikter Trennung zwischen Partitionen erreicht werden, um Anwendern bei der Ressourcenvirtualisierung zu unterstützen. Partitionierung und die Virtualisierung von Workloads haben sich als wesentliche Technologien herausgestellt bei der Frage, wie Anwender Workloads konsolidieren und gleichzeitig bessere Sicherheitseinrichtungen in einer zunehmend stärker vernetzten Welt bereitstellen können.

Quelle: IT-SecCity

"Secureguard Microsoft ISA Server 2006" - Multifunktions-Appliance für Security-Hersteller

2006-08-02T10:19:00.001+02:00

Lösung ideal für Hardware, die mit SSL-Verschlüsselung gesichert ist

Die Otto Security & Software Technologie GmbH (OSST) präsentiert die neue "Secureguard Microsoft ISA Server 2006"-Produktlinie. Aufgrund der engen Zusammenarbeit mit Microsoft als Certified Partner war die OSST in die Entwicklung des ISA Servers intensiv einge-bunden.

Um die Leistung ihrer Sicherheitsprodukte zu optimieren, ging die OSST kürzlich eine Partnerschaft mit Britestream Networks, einem führenden Anbieter von privater hardwarebasierter Datentechno-logie, ein. Kombiniert mit der Britestream Technologie sind die Secureguard Microsoft ISA Server jetzt für besonders komplexe Umgebungen, die hohe Ansprüche an Sicherheit und Skalierbarkeit stellen, verfügbar.

Durch den Einsatz der Britestream-Technologie ist die neue OSST-Lösung ideal für Hardware, die mit SSL Verschlüsselung, wie e-commerce, Web Portalen und Remote Exchange Servern, gesichert ist. Die Secureguard Microsoft ISA Server 2006 Appliances unterstützen zusätzlich Produkte von webwasher, Burstek, Kobil, Net at Work und Surf Control.

Über OSST GmbH Die international tätige Otto Security & Software Technologie GmbH ist als Microsoft Certified Partner ein führender regionaler Anbieter von Sicherheitslösungen. Secureguard, das Kernstück der OSST-Sicherheitspalette, ist eine effiziente Multifunktions-Appliance für führende Hersteller von Internet Security-Lösungen. Die Secureguard-Produktlinie kann an praktisch alle geschäftlichen Anforderungen rund um Inhalts- und Datensicherheit individuell angepasst werden.

Quelle: IT-SecCity

Möglichkeit mehrere Anti-Spam-Netzwerke zu verwalten

2006-08-02T10:19:00.000+02:00

Leistungsstarke Anti-Spam-Lösung für eine effiziente Filterung von Spam und Viren am Server

Der Kampf gegen Spam soll für Internet Service Provider, Web Hosting Firmen und Universitäten und für jeden der verschiedene Domains verwaltet, jetzt leichter werden. Roaring Penguin Software kündigte die Verfügbarkeit von" CanIt-Domain-PRO "an. Die Anti-Spam-Lösung wurde speziell entwickelt für Organisationen, die mehrere Domains verwalten müssen.

Der größte Vorteil des neuen Produktes liegt in der Delegation von administrativen Aufgaben um einen optimalen Schutz vor Spams zu gewährleisten. Ein Super-Administrator hat die Möglichkeit, seine Adminrechte an einen oder mehrere Domain-Administratoren zu delegieren, die dann wiederum eigene Operationsregeln definieren können.

Über das Web-Interface kann der Administrator globale, per Gruppe- oder per User-Richtlinien vergeben und entscheiden, welchen Grad von Interaktion der Enduser haben soll. CanIt-Domain-PRO bietet eine hohe Flexibilität, inklusive der Möglichkeit, Whitelists, Blacklists und Greylists zu erstellen sowie eine individuelle- oder Gruppen-Quarantäne.

CanIt-Domain-PRO ist eine leistungsstarke Anti-Spam-Lösung für eine effiziente Filterung von Spam und Viren am Server. Speziell für große Organisationen mit mehreren E-Mail-Domains entwickelt, stoppt CanIt-Domain-PRO 98 Prozent der Spam-E-Mails, bevor diese das Netzwerk erreichen.

"Wir haben die Erfahrung gemacht, dass einige Unternehmen komplexe E-Mail-Anforderungen für ihre unterschiedlichen Domains haben“, erklärte David Skoll, Raoring Penguins President und CEO. "Dies findet man häufig in Universitäten und im Regierungsumfeld, wo jedes Institut oder Abteilung eine eigene Domain hat. Bei ISPs sind aufgrund von vielen Akquisitionen ein Vielfaches an Domains jetzt unter einem Dach vorhanden. Web Hoster können Tausende oder sogar Hunderttausende von Domains hosten. Bis jetzt war kein Anti-Spam-Tool flexibel genug, um das Management von mehreren Domains zu vereinfachen. Ein 'Super-Administrator' kann jetzt mit unserem neuen Produkt CanIt-Domain-PRO Administrationsrechte delegieren, welche es dem dann designierten Domain-Administrator erlaubt per User oder per Gruppe zu filtern."

Quelle: IT-SecCity

Unternehmen vor Gefahren durch tragbare Speichergeräte schützen

2006-08-02T10:17:00.000+02:00

Netzwerkschutz vor mobilen Datenträgern wie MP3-Playern und USB-Sticks

Mobile Datenträger wie MP3-Player oder USB-Sticks sind zur Massenware geworden und liegen voll im Trend. Doch leider nehmen im gleichen Maße wie deren Verbreitung auch die Risiken für die Firmennetze zu. Denn immer mehr Unternehmen müssen damit rechnen, dass Mitarbeiter große Datenmengen unbefugt auf ihre USB-Sticks laden oder über das Internet große Dateien wie Pod Casts auf ihre MP3-Player spielen und dabei kostbare Bandbreite in Anspruch nehmen. SurfControl hat aus diesem Grund die neue Version ihres "Enterprise Threat Shield 3.51" gezielt auf diese Bedrohungen ausgerichtet. Das Enterprise Threat Shield bietet Unternehmen neben seinem bisherigen Schutzprogramm vor Spyware, Instant Messaging und Co. spezielle Anwendungen, die Unternehmen vor Gefahren durch tragbare Speichergeräte schützen.

So verhindert die neue Version 3.51, dass Daten den Desktop unbefugt über einen USB-Anschluss verlassen können. Zudem wurde das Enterprise Threat Shield um entsprechende Signaturen erweitert, mit denen Anwendungen wie "pod slurping" und "pod casting" erkannt und somit Unternehmen vor diesen mobilen Bedrohungen geschützt werden können.

Hinter "pod slurping" verbirgt sich der Trend, Daten illegal über einen USB-Anschluss von einem Laptop oder Computer zu extrahieren und auf ein tragbares Speichergerät wie einen MP3-Player oder einen USB-Stick zu übertragen.

SurfControls Enterprise Threat Shield bietet einen umfassenden Schutz auf Desktop-Ebene, indem Anwendungen, die eine Bedrohung darstellen können, in Echtzeit erkannt, verhindert und beseitigt werden. Die Lösung greift auf dynamisch aktualisierte Datenbanken zurück, um PC- und Laptop-Nutzer vor Gefahren wie Spyware, Adware, Keylogger, Instant Messaging, Peer-to-Peer, Spiele und andere Mediadateien zu schützen - und mit der Version 3.51 auch vor dem Zugriff durch mobile Datenträger.

Quelle: IT-SecCity

Trojaner für U3 USB-Sticks: Dokumente von der Festplatte auf den Speicherstick kopieren

2006-08-02T10:15:00.000+02:00

Virenpotenzial für U3 USB-Sticks von Security-Experten verkannt

Eine neue Art von USB-Trojanern macht externe Speichermedien wie USB-Sticks, iPods, PDAs und Smartphones zu einem erheblichen Risiko für unternehmenseigene Daten. Das trifft insbesondere die "intelligenten" U3 USB-Sticks. Denn diese aktivieren das Schadprogramm und stellen somit eine erhebliche Gefahr für vertrauliche Informationen dar. Der Trojaner kann automatisch Daten von einem PC oder Netzwerk kopieren und entfernen. Sobald der infizierte Speicher-Stick an den USB-Port angeschlossen ist, beginnt der Vorgang. Sicherheitsguru Abe Usher demonstrierte dies mit seinem Proof-of-Concept-Trojaner "Slurp.exe 2.0". Um die Demo-version zu testen, setzte Usher die Endpoint-Security-Lösung DeviceWall von Centennial Software ein.

Abe Usher arbeitet seit mehr als zehn Jahren mit IT-Sicherheits-Experten zusammen, um neue Gefahren in diesem Bereich rechtzeitig zu entdecken. Mit Slurp.exe 2.0 programmierte er eine neue Version des Datendiebstahl-Tools Slurp.exe, die speziell auf U3 USB-Geräte abzielt. Der Trojaner kann in weniger als zwei Minuten Tausende von Dokumenten von der Festplatte auf den Speicher-Stick kopieren. Diese Demoversion zeigt deutlich das Risiko, das in den Sticks schlummert.

Mit der rasanten Verbreitung von externen Speichergeräten steigt auch das Risiko des Daten-verlusts. Trotzdem sind sich viele Unternehmen dieser Gefahr nicht bewusst. Umfragen von Centennial zeigen, dass drei viertel aller befragten Security-Experten nicht glauben, dass USB-Speichermedien ein bedeutendes Sicherheitsrisiko darstellen.

"Vorfälle wie beispielsweise der Verlust der persönlichen Daten von 26,5 Millionen US-Kriegs-veteranen dominieren immer wieder die Schlagzeilen. Zum Glück wächst das Bewusstsein für diese Sicherheitslücke", meinte Abe Usher. "DeviceWall von Centennial ist ein narrensicheres Tool, um den unerlaubten Einsatz von den externen Speichergeräten im Unternehmensnetzwerk zu unter-binden. Die Software lässt sich sehr leicht installieren und blockte in meinem Test alle Geräte, die mit Slurp.exe 2.0 infiziert waren."

"Vor einigen Tagen hat Apple die Zahlen zu den aktuellen iPod-Verkäufen vorgelegt. Demnach verkaufte Apple wohl in einem einzigen Quartal bis zu 8 Millionen Stück. Angesichts der Tatsache, dass die mobilen Musikplayer bis zu 60 GB Speicherkapazität haben und über eine USB-Schnittstelle verfügen, können Unternehmen das daraus resultierende Sicherheitsrisiko nicht ignorieren", sagte Matt Fisher, Vice President EMEA von Centennial Software.

Quelle: IT-SecCity

Joomla - Systemzugriff über Komponente Security Images

2006-08-01T17:45:00.000+02:00

Hoch kritisch: Über eine Reihe von Schwachstellen in der Joomla-Komponente Security Images können Angreifer das System kompromittieren.

Beschreibung
Über eine Reihe von Schwachstellen in der Joomla-Komponente Security Images können Angreifer das System kompromittieren.Eingaben über den Parameter "mosConfig_absolute_path" werden vor der Verwendung zum Einbinden von Dateien nicht ausreichend überprüft. Dies kann der Angreifer ausnutzen und beliebigen PHP-Code einspeisen.

Betroffene Dateien:
administrator/components/com_securityimages/configinsert.phpadministrator/components/com_securityimages/lang.php

Ein erfolgreicher Angriff setzt voraus, dass "register_globals" aktiviert ist.

Die Sicherheitslücken sind bestätigt für Version 3.0.5. Andere Versionen könnten jedoch ebenfalls betroffen sein.

Lösung
Ändern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend überprüft werden.

Setzen Sie "register_globals" auf "Off".

Original Security-Report
http://milw0rm.com/exploits/2083
Diese Security-News basiert auf einem Advisory von Secunia: tecchannel