Thema: Hacker hacken Hacker

[SiLæncer]

Ein anonymer Poster warnt auf der Sicherheits-Mailingliste Full-Disclosure vor modifizierten Exploits. Er sei zufällig auf ein solches Demo-Programm gestoßen, in dem gegenüber dem Original der Shellcode ausgetauscht wurde. Die trojanisierte Version versucht, alle Dateien auf dem Testsystem zu löschen.

Der Shellcode ist der oft angeführte "beliebige Code", der bei Pufferüberläufen eingeschleust und ausgeführt werden kann. Er besteht aus Assembleranweisungen, die in C-Programmen meist als Hexadezimalwerte auftauchen und für Normalsterbliche nicht direkt lesbar sind.

char shellcode[] = // binds 4444 port
"\x31\xc0\x50\x68\x66\x20\x2f\x58\x68\x6d\x20\x2d\x72\x68\x2d"
...

Dieser Code soll auf den Stack des anfälligen Programms geschrieben und dort ausgeführt werden. Dann öffnet er zum Beispiel eine Hintertür, über die der Angreifer dann auf das System zugreifen kann.

In den modifizierten Exploits haben Unbekannte diese Codesequenz durch Assembleranweisungen ersetzt, die den Befehl rm -rf /* ausführen. Des Weiteren wird der Code nicht in das zu testende Programm eingeschleust, sondern direkt lokal auf dem System des Testers ausgeführt. Arbeitet dieser als Root -- was bei Exploits häufig erforderlich ist, um beispielsweise Zugriff auf Raw Sockets zu haben -- löscht der Code auf Unix-Systemen rekursiv alle Dateien.

Bei weiteren Untersuchungen will der Poster über zwanzig derartig modifizierte Exploits entdeckt haben. Manche davon installierten sogar ein zusätzliches Kernelmodul -- also wahrscheinlich ein komplettes Rootkit. Er spekuliert, dass diese Trojanischen Pferde gezielt von einer Gruppe namens "dikline" verbreitet werden, die kürzlich in eine Security-Site eingebrochen sei.

Solche Trojaner-Exploits sind nicht neu. Bereits in der Vergangenheit wurden auf Mailinglisten Exploits veröffentlicht, die exakt den aufgeführten Shellcode zum Löschen aller Dateien enthielten. Neu ist allerdings die von dem Poster festgestellte systematische Vorgehensweise.

Demo-Exploits aus dem Internet sollte man grundsätzlich nur auf Testsystemen in isolierten Testumgebungen ausprobieren. Sonst kann der "schnelle Test" auf eine Verwundbarkeit fatale Folgen haben. Das Vorliegen des Quellcodes schützt nicht, solange man es bei einer oberflächlichen Analyse belässt.

Quelle und Links : http://www.heise.de/security/news/meldung/62146

[SiLæncer]

Passwort-Diebe nehmen kaum geschützte Heim-PCs von Privatinvestoren ins Visier.

Immer mehr Computer-Hacker stehlen Passwörter aus Mail-Accounts, um anschließend Online-Wertpapierkonten leer zu räumen, berichtet unsere Schwesterpublikation Computerwoche unter Berufung auf das US-Magazin "Businessweek".

Dabei seien Privatanwender besonders gefährdet, da High-Speed-Verbindungen und drahtlose Internet-Zugänge das Eindringen in die Rechner erleichtern. Trotz des geringen Schutzes weisen laut "Businessweek" 84 Prozent der Computer sensible persönliche Informationen, einschließlich Finanzdaten, auf.

Es handle sich dabei um eine relativ neue Methode, die zudem deutlich aufwendiger und komplizierter als andere Betrugsdelikte im Internet sei, erklärte John Reed Stark, Leiter des Bereichs Strafverfolgung im Internet bei der US-Börsenaufsicht SEC, dem Magazin.

Bislang seien im vergangenen Jahr auf diese Weise 20 Millionen Dollar von Online-Wertpapierkonten abgeräumt worden. Angesichts der weltweit 1,7 Billionen Dollar an Vermögenswerten, die auf Online-Brokerage-Konten lagerten, böte sich den Dieben ein lukratives Ziel.

Quelle : www.pcwelt.de

[SiLæncer]

Die Sicherheitsarchitektur des E-Mail-Push-Dienstes Blackberry ist laut der Hackergruppe Phenoelit deutlich anfälliger für Missbrauch, als es nach den Angaben des kanadischen Anbieter Research in Motion (RIM) möglich erschien. In einem Vortrag auf dem 22. Chaos Communication Congress (22C3) in Berlin lüfteten die Sicherheitsexperten Ende vergangener Woche einige der vom Hersteller bislang gut gehüteten Geheimnisse rund um die Handheld-Lösung. Dabei kamen eine Reihe von Angriffsflächen zu Tage, welche die Kanadier den Testern zufolge trotz ausführlicher Hinweise bis heute noch nicht alle geschlossen haben. Ein Vertreter RIMs saß bei dem Phenoelit-Vortrag im Publikum, wollte sich öffentlich aber nicht zu den Ausführungen in dem Vortrag äußern.

Die ausgemachten Löcher betrafen gemäß der Präsentation alle Ebenen des Dienstes von der Nachrichtenübertragung über die Geräte bis hin zum Server. Um den Push-Service zum Laufen zu bringen, nutzt RIM ein proprietäres Server Router Protocol (SRP). Darüber werden sowohl E-Mails als auch Kalenderdaten sowie die so genannten PIN-Botschaften auf das Endgerät geliefert. PIN-Mitteilungen sind in etwa mit SMS vergleichbar. Sie werden über die Eingabe der Geräte- statt der Mobilfunknummer von einem Handheld zum anderen geschickt. Stutzig machte die Sicherheitsprüfer aber, dass diese Botschaften im Gegensatz zu den anderen Inhaltsdaten unverschlüsselt übertragen werden.

Die eigentliche Krypto-Architektur nahmen die Phenoelit-Vertreter nicht unter die Lupe, da sie sich nicht als Fachmänner in diesem Bereich sehen. An ihr hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) kritisiert, dass sich die verwendeten AES- und 3DES-Algorithmen nicht gegen stärkere Eigenentwicklung austauschen lassen. Den Experten gelang es nun, eine Analyse des Datenverkehrs auf Basis der Header-Informationen der Nachrichten durchzuführen. Ablesbar waren unter anderem die PINs von Sender und Empfänger, die Art des Inhalts der Mitteilungen oder die Zeit des Versands. In Kombination mit dem Abfangen des Traffics, der über das Mailprotokoll SMTP läuft, könnten sich laut FtR von Phenoelit noch umfangreichere Informationen auslesen lassen.

Weitere Ansatzpunkte für Missbrauch: "Der Beginn einer SRP-Sitzung ist auch mit dem Schlüssel einer anderen Person aufzubauen", betonte FtR. Die Authentifizierungsschlüssel würden von den meisten Firmen nicht als Geheimnisse angesehen. Weiter entdeckten die Hacker, dass eine Serversitzung automatisch fallen gelassen und der legitime Schlüsselbesitzer von der Verbindung abgekappt wird, wenn Daten beim Aufbau des Zusammenschlusses mit dem Client verändert werden. Der Nutzer müsste in diesem Fall erst RIM um Hilfe bitten, um den Dienst wieder zum Laufen zu bringen.

Die Sicherheitstester konnten auch Integerüberläufe erzeugen und so die Router- und Serverseite in eine endlose Decodierungsschleife versetzen. Ob dasselbe auf RIM-Seite funktioniert, erprobten sie nicht. Als gravierende SRP-Schwäche bezeichnete FtR die Möglichkeit, "PIN-Nachrichten an alle Blackberrys dieser Welt zu versenden". Da diese das Lieblingsspielzeug von Managern darstellen, böten sich ganz neue Möglichkeiten für Spammer.

Die Blackberry-Geräte sind den Hackern zufolge ebenfalls nicht ganz koscher. Ihr Vorläufer ist ein Intel-getakteter Pager, für den es noch einige alte Binärmodule von Drittanbietern gibt. Das Betriebssystem arbeitet mit einem KADAK-AMX-4-Kernel, für den laut FX "noch nie wirklich ein Audit durchgeführt wurde." Somit böte sich reichlich Raum für Reverse Engineering. Nach wie vor Verwendung fänden Binärapplikationen, die ähnlich wie DLL-Dateien für Windows als zusätzliche Programmsammlungen eingesetzt würden. Eine davon ist eine Java Virtual Machine, bei der die Hacker Knackpunkte entdeckten. Die Handheld-Steuerung erfolgt über eigene Java-Klassen, die von RIM signiert werden müssen. Dafür zahlen Partner eine einmalige Gebühr in Höhe von 100 US-Dollar. Die damit einhergehende Registrierung soll anscheinend die Einschleusung von Schadsoftware verhindern. Ein Angreifer könnte laut FX aber auch eigene Anwendungen über eine DLL einbringen. Ferner spürten die Phenoeliten einen Fehler beim Übersetzen von Midlet-Beschreibungen auf, die den Blackberry-Browser permanent aufrief und schachmatt setzte. Dieser Fehler ist laut RIM aber behoben.

Am interessantesten fanden die Hacker den Blackberry Enterprise Server. Er stellt einerseits die Verbindung zu RIM her, andererseits zu den E-Mail- oder Groupware-Servern der Kunden. Darauf läuft unter Windows eine SQL-Datenbank, in der Nachrichten sowie alle SRP-Schlüssel gespeichert werden. Die dafür benötigte Nutzerauthentifizierung ist laut FX unvollständig, da standardmäßig kein Passwort vergeben ist. Wertvolle Hilfestellungen liefere RIM Hackern zudem mit Udpate-Informationen für Service-Packs, da Logeinträge in Binärform als Debug-Symbole mitgeliefert würden. Dies erleichtere das Reverse Engineering.

Neben Bibliotheken für Office-Dokumente, HTML und ein XML-Kit gefiel den Testern insbesondere ein Modul zur Umwandlung von Mail-Anhängen wie PDF-Dateien sowie eines zur Anzeige von Bildern. Hier setzt RIM auf GraphicsMagick 1.1.3, das eine große Zahl an Formaten unterstützt und für das es bereits einige Sicherheitsupdates gibt. Viele der Fehler hatte RIM zwar ausgebessert. Phenoelit konnte aber trotzdem unter anderem einen Speicherüberlauf (Heap Overflow) bei der Bearbeitung von TIFF- und PNG-Dateien auslösen. Nicht unverwundbar ist laut FX auch der Attachment-Dienst, für den RIM ein neues XML-Protokoll zur Fernsteuerung erfand. Der Service müsse sich schließlich mit dem Blackberry-Server austauschen, gehöre aber zugleich hinter eine eigene Firewall, was nur schwer zu vereinen sei. Insgesamt dürfte der Push-Dienst nach Phenoelit-Lesart noch einige "Spielwiesen" für Hacker bieten.

Quelle und Links : http://www.heise.de/security/news/meldung/67870

[SiLæncer]

Auf dem CCC-Kongress in Berlin hatten Ende letzten Jahres Aktivisten der Gruppe Phenoelit etliche Mängel in den RIM-Produkten vorgestellt. Research in Motion (RIM) hat nun für vier der bekannt gewordenen Sicherheitslücken in seinen Blackberry-Geräten und -Diensten Patches und Workarounds verfügbar gemacht.

Für den durch manipulierte PNG-Dateien provozierten Buffer-Overflow im Blackberry Enterprise Server (BES) stellt der Hersteller nach eigenen Angaben einen Patch bereit. In seinem Advisory verlinkt RIM auf den Download-Bereich und empfiehlt die Installation des Hotfix 1 für Service Pack 3. Der ist allerdings schon etwas älter, zum Download steht auch schon Hotfix 2 von Anfang Dezember zur Verfügung. Ein Nachfrage an RIM, welcher Hotfix die Lücke nun schließt, blieb bislang unbeantwortet. Als Workaround schlägt RIM vor, PNG als unterstützte Typen auf dem Server und Handhelds zu deselektieren.

Um ein ähnliches Problem mit TIFF-Dateien zu verhindern, empfiehlt RIM, Mailanhänge mit diesen Dateien im BES zu überspringen – einen Patch für den Fehler gibt es nicht. Wirklich sicher sei jedoch nur, wer den so genannten Image Distiller vollständig abschalte und somit auf Bilder in E-Mails verzichte.

Für einen weiteren Bug, der das Installieren manipulierter Java-Anwendungen auf Endgeräten erlaubt, reicht laut RIM ein Upgrade des BES auf Version 4.0.2 aus. Um in den Genuss dieser Version zu gelangen, soll man sich laut RIM mit seinem Service Provider in Verbindung setzen. Ein Download auf den RIM-Seiten wird nicht angeboten.

Für eine Schwachstelle im Server Relay Protokoll (SRP), die einem Angreifer eine Denial-of-Service-Attacke ermöglicht, hat RIM bislang keine hundertprozentige Lösung parat. Als Workaround empfiehlt das Advisory, den Blackberry-Router in eine entmilitarisierte Zone (DMZ) der Firewall zu verlegen, um zumindest Angriffe von außen unmöglich zu machen.

Siehe dazu auch:

    * Browser dialogue box not properly dismissed after downloading a corrupt JAD file, Knowledgebase-Artikel von RIM
    * Corrupt PNG file may cause heap overflow in the BlackBerry Attachment Service, Knowledgebase-Artikel von RIM
    * Corrupt TIFF file may cause heap overflow resulting in denial of service in the BlackBerry Attachment Service, Knowledgebase-Artikel von RIM
    * Denial of service on the BlackBerry Router, Knowledgebase-Artikel von RIM

Quelle und Links : http://www.heise.de/newsticker/meldung/67989

[SiLæncer]

Die schöne Zeit, in der von Viren und Würmern genervte Windows-User, denen Linux zu anstrengend ist, auf ein ähnlich komfortables Betriebssystem wie Windows ausweichen konnten, neigt sich dem Ende zu. Bisher durften sich Mac-User halbwegs sicher wähnen, bildeten sie doch nur eine viel zu kleine Zielgruppe, die den Aufwand einer eigenen Virenproduktion nicht Wert zu sein schien. Wie schön, dass die Mehrheit der PC-Anwender sich für Windows entschieden hatte, das all die Ekligkeiten aus dem Netz auf sich zog. Aber schon mit dem Übergang zu MacOS X und dessen Unix-Unterlage verlor der Mac einen Teil seiner Exotik und der Schritt in die Intel-Welt vereinfacht durch Prozessor-Code-Kompatibilität die Erstellung "plattformübergreifender Schädlinge" weiter.

Während sich Jack Campbell von DVForge noch vor einem Jahr zu der Äußerung hinreißen ließ, das Risiko, unter Mac OS X Opfer von Viren und Trojanern zu werden, sei zwar theoretisch vorhanden, aber "nahezu Null", präsentiert sich die Realität nun doch etwas unerfreulicher. So meldete heise security kürzlich den Virus OSX/Leap.A und kurz darauf Schwachstellen in Apples Browser Safari und in Apples E-Mail-Programm. Sogar ein Bluetooth-Wurm hat sich bereits das MacOS X als Ziel auserkoren.

Auch Sicherheitsspezialisten in den USA erklären die Schonzeit der Mac-User vor Angriffen für beendet, wie die Computerworld berichtet. Sie zitiert unter anderem Ira Winkler, Buchautor und unabhängiger Sicherheitsanalytiker, mit der Aussage, dass jede Software Bugs enthält und ein gewisser Prozentsatz davon auch Angriffe ermöglicht. Noch dürfen sich Mac-User allerdings durchaus etwas sicherer fühlen: Laut Craig Schmuger von McAfee sind bisher rund 150.000 Angriffe auf die Schwachstellen in Windows bekannt, während beim Mac noch keine 100 registriert wurden.

Quelle : www.heise.de

[SiLæncer]

Das britische Sicherheitsunternehmen Prevx hat vor einem Anstieg von Malware in den Ergebnislisten von Suchmaschinen gewarnt.

Um die Angriffstaktik zu verschleiern, würden dazu immer häufiger die Dateinamen manipuliert, heißt es von Prevx. Das Unternehmen hat 250.000 falsche Dateinamen untersucht, von insgesamt 30 Millionen, die 2006 von Suchmaschinen aufgelistet wurden.

Dabei stellte sich heraus, dass es verschiedene Varianten gibt, wie die Dateinamen manipuliert werden. So werden herkömmliche Namen nachgeahmt, im Umlauf sind aber auch maßgeschneiderte Namen, die sich selbständig ändern, wenn eine bestimmte Anzahl von PCs infiziert wurde. Dadurch wird auch die Zeitspanne ausgenutzt, in der Suchmaschinen aktualisiert werden - in manchen Fällen über eine Woche.

Selbst wenn es den Suchmaschinen gelinge, einen manipulierten Dateinamen aufzufinden, dauere es manchmal zwischen zwei und 15 Tagen, um diesen auf den Index zu setzen - ein willkommenes Zeitfenster für Malware, so die Prevx-Experten. Hinzu komme, dass sich selbst reproduzierende Würmer in der Lage sind, innerhalb von Sekunden bis zu 1000 willkürliche Dateinamen auf einem PC zu generieren. So hat Prevx nach eigenen Angaben innerhalb von 24 Stunden 350.000 Dateinamen entdeckt, die von einem einzigen Trojaner stammten.

Quelle: silicon.de

[SiLæncer]

Auf der kanadischen Sicherheitskonferenz "CanSecWest 2007" haben Hacker gezeigt, wie leicht Autofahrer über Navigationssysteme mit Meldungen über angebliche Unfälle oder Baustellen in die Irre geleitet werden können. Missbraucht wurde dabei der in Westeuropa, den USA und Australien eingesetzte "Traffic Message Channel" (TMC) des 1988 eingeführten "Radio Data System" (RDS), das zum UKW-Radioprogramm auch andere Zusatzdaten wie Sendername oder Titel des aktuell gespielten Stücks übermittelt.

Nach einem Bericht von CNet stießen die beiden italienischen Sicherheitsexperten Andrea Barisani und Daniele Bianco auf die Sicherheitslücke, als sie ein Open-Source-Programm schrieben, das den kompletten RDS-Datenstrom analysiert. Danach fanden sie heraus, wie sich jede TMC-Nachricht aus Codes für das betreffende Ereignis, den Ort und die Zeit zusammensetzt. Nach Angaben von Barisani und Bianco finden sich unter den möglichen Meldungen auch solche, die vor Luftangriffen, Bombendrohungen, Flugzeugzusammenstößen und Terrorangriffen warnen. Auf Grundlage dieser Erkenntnisse bauten sie aus einem RDS-Encoder und einem UKW-Sender eine eigene TMC-Station, mit der sie in der Lage waren, beliebige Meldungen an Fahrzeuge in einem Umkreis von über einem Kilometer zu schicken.

TMC werde auch beim (nordamerikanischen) Satellitenradio eingesetzt, allerdings sei es für Hacker hier ungleich schwieriger, entsprechende Daten auszusenden. Nach Ansicht des Experten würde der angedachte Wechsel beim analogen Radio auf ein System namens TPEG (Transport Protocol Experts Group) keine höhere Sicherheit vor Hacks bieten. Lediglich Microsofts DirectBand, das bei der drahtlose Datenübertragung via UKW für MSN Direct benutzt wird, ist laut Barisani sicherer.

Quelle : www.heise.de

[SiLæncer]

Hacker-Angriffe und Phishing-E-Mails, die vermeintlich von der Hausbank oder dem Auktionshaus eBay kommen, jedoch einen gefährlichen Anhang im Gepäck haben, gehören inzwischen zum Internet-Alltag. Das Ziel bleibt bei allen Angriffen aber gleich: Passwörter und andere wichtige Daten sollen ausspioniert werden. Den größten Anteil haben so genannte  Trojaner, die weitere gefährliche Programme durch die virtuelle Hintertür nachladen.
   
Trojaner-Anteil explodiert

Laut einem Bericht von Panda Software beträgt im ersten Quartal des Jahres der Anteil von Trojanern bei neu erscheinender Malware 74 Prozent. Dies entspricht im Vergleich zum Vorjahresquartal einem Zuwachs von 20 Prozent. Damit haben sich Trojanische Pferde zur beliebtesten Waffe der Hacker-Szene entwickelt. Als Malware werden Computerprogramme bezeichnet, die vom Benutzer unerwünschte Funktionen ausführen.

Trojaner tarnen sich in E-Mails oft als Rechnung oder andere wichtige Dokumente und spähen nach dem Öffnen des Dateianhangs den fremden Computer aus. Dabei wird nach E-Mail-Adressen, Passwörtern für Online-Banking und anderen sensiblen Daten gesucht. Immer neue Varianten der Trojaner sorgen für eine steigende Infektionsrate und erschweren den Entwicklern von Anti-Viren-Programmen, immer aktuelle Updates für ihre Schutzprogramme bereitzustellen.

So genannte Würmer bilden mit 13 Prozent Platz zwei in der Rangliste der neusten Codes. Keine sichtbaren Schäden werden durch Spy- und Adware ausgelöst. Sie protokollieren Daten und Gewohnheiten der Benutzer und bleiben oftmals unbemerkt im Hintergrund. Ihr Anteil liegt mit zehn beziehungsweise zwei Prozent im verhältnismäßig geringen Bereich. Für die im Zeitalter von Breitbandzugängen untauglichen Dialer-Programme sowie Viren und Hacking Tools ist eine rückläufige Entwicklung festzustellen.

"Infected or not?"

Um sofort prüfen zu können, ob Ihr PC infiziert ist, steht ein kostenloser und zuverlässiger Online-Scan des Herstellers Panda Software auf der Webseite www.infectedornot.com zur Verfügung.

Quelle : www.onlinekosten.de

[SiLæncer]

Symantec hat herausgefunden, dass Angreifer immer häufiger eine bereits in Windows integrierte Download-Funktion nutzen, um ihre Schädlinge, die ein System bereits befallen haben, zu aktualisieren. Dazu missbrauchen die Angreifer einfach BITS, welches eigentlich für Windows Update den Download von Updates erledigen soll.

Angreifer nutzen vermehrt die Datei-Transfer-Komponente von Windows Update, um schädlichen Code an der Firewall vorbei zu schmuggeln. Darauf haben die Sicherheitsexperten von Symantec jetzt aufmerksam gemacht.

Konkret wird von den Angreifern die Windows-Komponente Background Intelligent Transfer Service (BITS) genutzt, die eigentlich für den Download von Updates über Windows Update zuständig ist. BITS feierte seine Premiere in Windows XP und ist außerdem auch in Windows Vista und Windows Server 2003 enthalten. Der asynchrone Datei-Transfer-Dienst lädt Patches im Hintergrund herunter und fährt die Downloadgeschwindigkeit automatisch herunter, sobald der Anwender die Bandbreite für andere Dinge benötigt. Der Dienst ist außerdem in der Lage, abgebrochene Downloads fortzuführen.

Damit ist BITS eigentlich eine nützliche Komponente, die auch per COM API programmiert werden kann. Genau diesen Umstand nutzen aber laut Angaben von Symantec in letzter Zeit Angreifer aus. Hat eine Schadsoftware bereits einen Rechner befallen, dann nutzt sie BITS dafür, um ihren Code zu aktualisieren. Die Angreifer wissen nämlich, dass BITS auf den angegriffenen Windows-Rechnern enthalten ist und die über BITS getätigten Downloads vom System als vertrauenswürdig erachtet und von der lokalen Firewall nicht geblockt werden.

Erste Hinweise darauf, dass Hacker den BITS für ihre Zwecke missbrauchen wollen, entdeckte Symantec vor einem Jahr in einem einschlägigen russischen Forum. Im März dieses Jahres tauchte dann das erste trojanische Pferd auf, das BITS für seine Aktualisierung nutzt.

Oliver Friedrichs, Director von Symantec's security response group, betont allerdings, dass von Windows Update selbst keine Gefahr ausgeht. „Es gibt keine Hinweise darauf, die vermuten lassen, dass Windows Update kompromittiert werden kann. Wenn es eine Schwäche hätte, dann hätte sie jemand bereits gefunden“, so Friedrichs.

Die Nutzung von BITS durch die Angreifer zeige aber, so Friedrichs, dass schädliche Software immer häufiger modular aufgebaut wird und damit dem allgemeinen Trend der Software-Entwicklung folgt. Statt also dem Schädling eine eigene Download-Routine zu spendieren, wird einfach der bereits bestehende Code verwendet und der Angreifer spart Entwicklungszeit.

Symantec empfiehlt Microsoft Änderungen an BITS vorzunehmen. So könnte beispielsweise BITS so geändert werden, dass nur noch Downloads von vertrauenswürdigen Adressen gestattet sind oder das die Nutzung von BITS höhere Benutzerrechte erfordert.

Quelle : www.pcwelt.de

[SiLæncer]

Bei der Analyse von Ende März versandten Trojaner-Mails fanden Symantec-Forscher eine neue Methode, die die Schädlinge zum Nachladen weiterer Komponenten nutzt. Der Trojan-Downloader TrojanDownloader:Win32/Jowspry beauftragte den Background Intelligent Transfer Service (BITS, Intelligenter Hintergrundübertragungsdienst), der beispielsweise für den Download von Windows-Updates verantwortlich zeichnet, mit dem Herunterladen weiterer Schadmodule.

Bislang mussten Schädlinge einigen Aufwand betreiben, um der Erkennung durch Personal Firewalls zu entgehen. Einige Trojan-Downloader bestätigten Nachfragen von Firewalls automatisch, steuerten andere Anwendungen wie den Internet Explorer fern oder injizierten eigenen Code in andere, für den Netzzugriff freigegebene Programme. Die Variante, keine eigenen Download-Routinen zu programmieren, sondern in Windows integrierte Mechanismen zur Umgehung der Firewall zu nutzen, ist ein Novum.

Bislang gibt es noch keine Möglichkeit, die Nutzung des Dienstes durch Software von Drittherstellern oder Virenbastlern einzuschränken. Die Sicherheit von Windows-Updates ist dadurch jedoch nicht gefährdet.

Siehe dazu auch:

    * Malware Update with Windows Update, Eintrag in Symantecs Forschungs-Blog -> http://www.symantec.com/enterprise/security_response/weblog/2007/05/malware_update_with_windows_up.html

Quelle : www.heise.de

[SiLæncer]

Über die Filesharing-Plattform BitTorrent ist eine riesige Archivdatei von 17 Gigabyte in Umlauf gelangt, die über eine halbe Million privater Fotos aus MySpace-Profilen enthalten soll, meldet Wired auf seiner Website. Normalerweise sollen auf Inhalte von als privat gekennzeichneten Profilen des Social-Networking-Angebots MySpace nur Nutzer zugreifen können, die der Besitzer auf einer Freundesliste explizit angegeben hat. MySpace-Kunden unter 16 Jahren können ausschließlich private Profile anlegen. Ein Hacker, der nur unter dem Pseudonym "DMaul" auftritt, hatte eine bereits bekannte Sicherheitslücke ausgenutzt, um scriptgesteuert etwa 44.000 Nutzerprofile auszuplündern, was nach seinen Angaben rund 94 Stunden dauerte.

Die größte Motivation dazu, äußerte sich DMaul in einem E-Mail-Interview, sei einfach nur zu zeigen, dass es getan werden könne. Er habe es öffentlich gemacht, dass er die Bilder geladen hätte, sei aber sicher, dass boshafte Zeitgenossen die Sicherheislücke im Geheimen für wesentlich üblere Zwecke ausnutzen würden.

Bislang äußerten sich die MySpace-Betreiber nicht zu diesem Vorfall, der von Datenschützern besonders aus Jugendschutz-Gründen kritisch gesehen wird. Erst vergangene Woch hatte sich MySpace mit 49 US-amerikanischen Staatsanwälten auf Prinzipien zum Schutz minderjähriger Nutzer geeinigt und besseren Schutz sowie eine bessere Altersüberprüfung versprochen.

Quelle : www.heise.de

[SiLæncer]

Unbekannte haben auf der Internet-Seite des FC Schalke 04 während des Länderspiels am Mittwochabend zwischen Deutschland und Norwegen (0:1) eine Meldung über die sofortige Entlassung von Stürmer Kevin Kuranyi veröffentlicht. Kuranyi sei nach einer Sondersitzung der Schalker Vereinsführung freigestellt worden. Schalke dementierte die Meldung jedoch umgehend und sperrte die Meldung: "Mit krimineller Energie ist die Homepage des FC Schalke 04 gehackt worden. Eine dort platzierte Meldung, wonach Kevin Kuranyi von seinen vertraglichen Pflichten entbunden und er vom Verein freigestellt worden sei, entbehrt jeglicher Grundlage und ist frei erfunden", teilte der Verein mit. Derzeit wird die Webseite überarbeitet.

Offenbar nutzten die Eindringlinge die seit Dienstag bekannte Sicherheitslücke im Content-Management-System Typo3 aus, um Zugriff zu erhalten und eine als Eilmeldung gekennzeichnete Nachricht zu verfassen. Auch die Webseite des CDU-Politikers und Innenministers Wolfgang Schäuble wurde bereits am Dienstag Abend durch die Lücke manipuliert.

Es ist damit zu rechnen, dass noch weitere Websites gehackt werden, die Typo3 einsetzen. In der offiziellen Referenzliste von Typo3 sind unter anderem mehrere große deutsche Unternehmen wie Lufthansa und T-Online zu finden. Die Lücke ermöglicht den Zugriff auf beliebige Dateien auf dem Server – darunter auch etwa die Datei localconf.php, in der das (gehashte) Passwort für das Install-Tool sowie Nutzername und Passwort für die Datenbank im Klartext eingetragen sind. Ursache des Problems ist ein Fehler in der jumpUrl-Funktion zum Zugriff auf Dateien, die fälschlicherweisen einen geheimen Hash offenbart, der unautorisierten Personen den Zugriff auf beliebige Dateien eigentlich verwehren soll. Ein Update auf neue Typo3-Versionen behebt das Problem.

Quelle : www.heise.de

[SiLæncer]

Der FC Schalke 04 geht juristisch gegen den Angriff unbekannter Computerhacker auf die vereinseigene Homepage vor und hat durch die illegale Manipulation von außen einen weiteren Imageschaden erlitten. Der Angriff der Hacker, die am Mittwochabend eine Falschmeldung über die Entlassung von Kevin Kuranyi auf der Club-Website platzieren konnten, erfülle den "Straftatbestand der Computersabotage", teilte der Fußball-Bundesligist mit. Man werde am Donnerstag "Strafantrag gegen unbekannt" stellen. "Das ist alles andere als ein Kavaliersdelikt. Was jetzt passiert ist, hat unseren Verein und unseren Spieler getroffen, das kann aber jedem anderen Bundesligaverein und auch jedem Unternehmen passieren", sagte Schalkes Vorsitzender Josef Schnusenberg.

Kuranyi selbst reagierte gelassen auf die "Netzattacke". "Jeder hat gesehen, dass es ein Fake war. Manche Leute tun Dinge, die nicht sein müssen. Es ist ja nicht das erste Mal, dass mit meinem Namen etwas gemacht wird", sagte der 26-Jährige nach dem Training. Er sei beim Abendessen mit seiner Frau gewesen, sein Handy sei lautlos gestellt gewesen, erläuterte Kuranyi. "Dann habe ich gesehen, dass viele Anrufe in Abwesenheit darauf waren." Erst durch einen Freund sei er über den Vorfall informiert worden. "Ich habe mir dann auch keine weiteren Gedanken gemacht, weil ich das Vertrauen der Verantwortlichen hier jederzeit spüre", wurde Kuranyi in der Clubmitteilung zitiert.

Stöhnender Vorstand: Telefon-Dementis statt Länderspiel-Genuss

"Wartungsarbeiten! Gleich geht es weiter..." - dies war auch am Donnerstagmorgen noch lange auf der Schalke-Homepage zu lesen. Unbekannte hatten eine Sicherheitslücke genutzt und während des Länderspiels Deutschland - Norwegen in Düsseldorf mit der auf der Schalke-Homepage platzierten Falschmeldung für Verwirrung unter Fans und Medienvertretern und beim betroffenen Club für hektische Betriebsamkeit gesorgt. Zudem löste die Panne eine breite Debatte über Sicherheitslücken in Datenbanken und Computersystemen - nicht nur bei Fußballvereinen - aus.

Geschäftsführer Peter Peters und Manager Andreas Müller hatten sich in der LTU-Arena auf einen unbeschwerten Länderspiel-Abend gefreut, ehe die Handys heiß klingelten. "Da ist nichts dran. Ich muss jetzt erstmal alle anrufen und das richtigstellen", stöhnte Peters. Der Club ließ seine Internetseite einen Viertelstunde nach dem Auftauchen der Falschmeldung um 20.59 Uhr sperren und informierte dann per E-Mail alle Pressevertreter darüber, dass sich Unbekannte "mit krimineller Energie" auf die Homepage gehackt und die frei erfundene "Eilmeldung" eingeschleust hatten.

Medien druckten dilettantische Fälschung ungeprüft nach

Dass einige Online-Anbieter, darunter auch die "BILD"-Zeitung die Meldung "voller orthografischer Fehler und stilistischer Unzulänglichkeiten völlig ungeprüft für kurze Zeit" im Internet weiterverbreitet hatten, sorgte bei den "Königsblauen" für Unmut. Wie Peters war auch Müller auf der Tribüne erschrocken über den Vorfall. "Er saß neben mir und war schockiert, als er die SMS mit der Nachricht über den Hacker-Angriff bekommen hat", berichtete Stuttgarts Manager Horst Heldt.

Obwohl die Verantwortlichen so schnell wie möglich handelten, ist bei den "Königsblauen" ein weiterer Imageschaden entstanden. Seit Wochen kommt der Club nicht aus den Negativ-Schlagzeilen. Neben der unbefriedigenden sportlichen Situation, der Fan-Kritik an Müller und Kuranyi, der sich kurz vor dem Winter-Transferschluss beim Schalke- Manager nach Angeboten anderer Clubs erkundigt hatte, sorgte zuletzt in Medienkreisen auch die "Sonder-Beurlaubung" des langjährigen Pressesprechers für Wirbel.

Ligakonkurrenten solidarisch: "Unter der Gürtellinie"

Zwar mutet die Attacke wie eine Posse in der an Skurrilitäten reichen Geschichte des Kultclubs an, doch ein Kavaliersdelikt ist sie keineswegs. "Das ist schon unter der Gürtellinie. Da geht es ja auch um Menschen und Befindlichkeiten", sagte der Manager des Karlsruher SC, Rolf Dohmen. Der Übeltäter könne "kein Schalke-Fan" gewesen sein. "Dieser Mensch möchte dem Club etwas Böses antun."

Sollten der oder die Täter von der Polizei in Gelsenkirchen und der zuständigen Staatsanwaltschaft in Essen ermittelt werden, drohen ihnen empfindliche Strafen. Ein Sprecher der Staatsanwaltschaft Essen sagte auf dpa-Anfrage, dass das Vergehen den Tatbestand der Datenveränderung (Paragraf 303 a Strafgesetzbuch) erfüllen könne, der einer Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden könne. Laut Schalke sind sogar Freiheitsstrafen bis zu fünf Jahren möglich.

Quelle : http://satundkabel.magnus.de

[SiLæncer]

Die öminöse Gruppe Anti-Sec macht weiter von sich Reden. Die von einigen Sicherheitsspezialisten für unverzichtbar gehaltene Politik der "Full Disclosure" bei Schwachstellen arbeite nur der Sicherheitsindustrie in die Arme, klagt die Gruppe im Rahmen ihres Hacks des US-Bildhosters Imageshack am vergangenen Wochende an. Die vollständige Offenlegung mit Veröffentlichung von Exploits diene nur dazu, Schreckenszenarien zu malen, um Leute zum Kauf einer Firewall, Antiviren-Software und der Beauftragung von Auditing-Dienstleitstungen zu bringen.

Anti-Sec macht seit mehreren Wochen mit Hacks von Webseiten von sich reden. Auf Imageshack hat sie sämtliche Bilder auf ihr Pamphlet umgeleitet. Die Bewegung hat nach eigenen Angaben sicherheitsbezogene Sites wie astalavista.com aufs Korn genommen, von deren Betreiber sie im weitesten Sinne Hochstapelei annehmen. Durch die Hacks entstand auch das Gerücht, die Gruppe sei im Besitz eines Zero-Day-Exploits für OpenSSH.

Im Weiteren heißt es in dem als Bild veröffentlichten Text auf Imageshack, dass mit den Exploist nur Skript-Kiddies gedient sei, die damit auf Beutezug gingen. Wenn es Whitehats wirklich um Sicherheit ginge, dann würden sie nicht einmal absichtlich unbrauchbar gemachte Exploits veröffentlichen, mit denen zumindest die Skript-Kiddies nichts anzufangen wüßten. Als würde das Veröffentlichen des Schadcodes nicht ausreichen, verbreite sich dieser auch noch auf diversen Portalen zum freien Download.

Ganz Unrecht hat Anti-Sec mit den Vorwürfen nicht. Zwar verfolgen mittlerweile die meisten seriösen Sicherheitsspezialisten die Politik der Responsible Disclosure und veröffentlichen entweder Informationen zu Lücken und Exploits gar nicht oder erst, wenn der Hersteller einen Patch zum Schließen entwickelt hat. Schaut man aber beispielsweise auf das Exploit-Portal Milw0rm, das seine Arbeit gerade wieder aufgenommen hat, so sind Exploits offenbar das Letzte, woran es der Community derzeit mangelt.

Anti-Sec hat es sich nach eigenen Angaben zum Ziel gemacht, Full Disclosure "auszurotten". Dazu wolle man im Netz gegen entsprechende Communities, Unternehmen und Personen vorgehen – wörtlich ist von "Eliminierung" die Rede. Ins Ziel rückt man bereits als Betreiber eines Sicherheitsblogs oder einer Exploit-Seite.

Wie ernst man die Drohungen auch nimmt, sie dürften dennoch für neue kontroverse Diskussion um den Sinn und Unsinn der Veröffentlichung von Exploits sorgen und ob das Netz damit sicherer wird.

Quelle : www.heise.de

[SiLæncer]

Digital-Desperados oder beste Freunde der IT-Industrie? Hacker spielen auf beiden Seiten des Spielfeldes: Manche arbeiten gratis oder gegen Bezahlung der Branche zu. Andere bleiben im Untergrund und attackieren mitunter ihre wohlmeinenden Kollegen - verbal, aber auch digital.

Viele Hacker gehen einem für Außenstehende nicht nachvollziehbaren Zeitvertreib nach: Sie tun ständig neue Schwachstellen in Software und Internetdiensten auf. Ist die Lücke entdeckt, zerfällt die Geek-Familie prompt: Während die einen ihren Fund dem betroffenen Hersteller im Vertrauen mitteilen, verkaufen manche Kollegen die Lücke an Organisationen wie die Zero Day Initiative oder iDefense. Diese wiederum reichen das Wissen an die beteiligten Hersteller weiter. Wieder andere veröffentlichen die Details zur Lücke in einschlägigen Foren. Und die wenigen, wirklich bösartig gesinnten Hacker treten in Kontakt mit Cyber-Kriminellen, um ihr Wissen ums Sicherheitsloch meistbietend zu verkaufen.

Eine der Folgen solcher Schwarzmarktdeals: Millionenfache Infektionen von PCs auf der ganzen Welt durch Trojaner und Würmer, die eine zuvor in Windows entdeckte Sicherheitslücke missbrauchen. Nur wenn die guten, landläufig White Hats genannten Hacker das Rennen beim Aufdecken solcher Lücken machen, können Firmen wie Microsoft, Cisco oder Facebook die Löcher rechtzeitig stopfen. Anschließend ist es an den Abermillionen von PC-Nutzern, die veröffentlichten Sicherheitsupdates auch zu installieren. Andernfalls bleibt der Rechner auf ewig verwundbar.

An der Frage, wie die Hacker mit den entdeckten Sicherheitslücken umgehen sollten, scheiden sich die Geister. Der deutsche Hacker Halvar Flake ist jedenfalls der Ansicht, dass "die Bug-Finder grundsätzlich selbst entscheiden sollen, ob sie ihr Wissen verschenken, verkaufen oder lizenzieren - solange sie sich an bestehendes Recht halten. Man zwingt ja auch keine Antiviren-Hersteller, ihr Produkt für alle kostenfrei zu verteilen."

"Über kurz oder lang tritt der Gesetzgeber auf den Plan"

Ein anderer Vertreter der Zunft der White Hats ist der 30-jährige Amerikaner Dan Kaminsky. Kaminsky, durch das Aufdecken einer fatalen Schwäche im DNS-Konzept bekanntgeworden, sagt: "Wenn wir Hacker die Unternehmen ein ums andere Mal ins offene Messer laufen lassen und die entdeckten Lücken für uns behalten, dann hat davon niemand etwas. Verursachen IT-Produkte ständig finanzielle Schäden, tritt über kurz oder lang der Gesetzgeber auf den Plan." Der Hacker rechnet also mit einer staatlichen Regulierung des Internets und damit mit dem Ende der Anonymität.

Dass die industriefreundlichen White Hats den Untergrund verärgern, bewies sich einmal mehr vor einigen Monaten just am Vorabend der weltweit wichtigsten Hackerkonferenz Black Hat: Eine obskure Gruppe namens ZF0 brach in die Server von Promi-Hackern wie Dan Kaminsky oder Kevin Mitnick ein und veröffentlichte unter anderem deren private E-Mails und Chat-Protokolle.

ZF0 ist gehörig genervt, dass Kaminsky & Co. die Lücken an die Industrie weitergeben, die so gratis ihre eigenen Fehler auf dem Silbertablett serviert bekommt - allerdings ohne negative Konsequenz. Außerdem prangert ZF0 an, dass sich Hacker wie Kaminsky zum Berater aufschwingen, dabei aber ihre eigenen Server nicht ordentlich absichern können. Denn der 30-jährige Hacker, Freund schriller Motiv-T-Shirts, arbeitet beispielsweise gegen Bezahlung unter anderem als Berater für Microsoft und gehört zum illustren Kreis der Hacker, die der Softwarekonzern mit seinen Kronjuwelen hantieren lässt: Kaminsky prüft den Quellcode kommender Windows-Versionen auf potentielle Sicherheitslücken - Jahre bevor das System marktreif ist.

Die Angst der Konzerne vor der Erpressung

Microsoft, das sich vom Lieblingsfeindbild aller Hacker zum respektierten Gesprächspartner in Sicherheitfragen gemausert hat, fremdelt nicht mehr beim Kontakt zu den weltweit verstreuten Technikfreaks: "Früher handelten wir nach dem Motto 'die gegen uns'. Hacker waren für uns ausschließlich Gegner, die wir bestenfalls ignorierten", bestätigt Sarah Blankinship. Sie leitet Microsofts Outreach Team: Eine Hand voll Mitarbeiter, die den Kontakt mit den hellsten Köpfen der weltweiten Hackercommunity pflegt. Geld zahlt Microsoft den Tippgebern aber nicht. Zu groß sei die Furcht, erpressbar zu werden.

Nicht nur Microsoft ist auf Tipps aus der Hackergemeinde angewiesen. Auch Netzwerkspezialist Cisco, durch dessen Produkte der Löwenanteil des weltweiten Datenverkehrs strömt, hört auf Hacker wie den Deutschen Felix "FX" Lindner. Auch Cisco-Spezialist Lindner geht verantwortungsbewusst mit seinen Entdeckungen um: Er meldet gefundene Lücken an den Hersteller und macht den Fund auf Konferenzen wie Defcon Black Hat oder der des CCC erst publik, wenn Cisco die Lücke gestopft hat. Über die Zusammenarbeit mit der Industrie sagt der in Berlin lebende Lindner: "Es ist nicht ganz leicht, aber irgendwann gewöhnt man sich aneinander. Wobei Firmen wie Cisco oder Microsoft eine erfreuliche Ausnahme sind hinsichtlich der Professionalität, mit der sie die Zusammenarbeit mit der Hackergemeinde betreiben."

Auch auf Seiten der Hersteller knirscht es ab und an im Gebälk. So erzählt Microsoft-Manager Andrew Cushman, dass man 2005 einen Tipp aus der Hackergemeinde intern nicht nachvollziehen konnte. Der Hinweis wurde ad acta gelegt. Kurz darauf befiel der Virus Zotob PCs auf der ganzen Welt und verursachte vor allem bei Unternehmen finanzielle Schäden. Zotob missbrauchte das zuvor gemeldete Sicherheitsloch. Seither prüft Microsoft laut Cushman jeden Tipp noch gründlicher - selbst wenn der Hinweis nur aus einigen wenigen chinesischen Schriftzeichen besteht.

Quelle : www.spiegel.de