Alanya Türkei

[Yilmaz]

NOVEMBER 2011
----------------------------------------------------------------

Spieleplattform Steam gehackt: Diebstahl von Kreditkartendaten möglich

Das US-amerikanische Unternehmen Valve entwickelt Computer- und Konsolenspiele wie Half-Life, Left 4 Dead und Call of Duty. Die Spiele werden über die firmeneigene Internetplattform namens Steam vertrieben, nach eigenen Angaben an 35 Millionen Spieler in aller Welt. Wie Valve auf der englischsprachigen Steam-Website mitteilt, ist es Hackern möglicherweise gelungen, an vertrauliche Daten von Valve-Kunden zu gelangen. Bemerkt wurden die Angriffe auf Steam-Nutzerforen und die Kundendatenbank am 6. November. Valve hatte die Foren zeitweise deaktiviert. Die Angreifer sollen Zugriff auf Namen, Passwörter, Kaufbelegen, E-Mail- und Rechnungsadressen sowie verschlüsselte Kreditkarteninformationen gehabt haben. Für einen Missbrauch dieser Informationen gebe es laut Valve bisher jedoch keine Beweise. Das Unternehmen empfiehlt seiner Kundschaft, Kreditkartenabrechnungen genau zu prüfen. Zudem werden alle Forennutzer bei ihrem nächsten Login aufgefordert, ein neues Passwort festzulegen, auch das Passwort für den Shop-Account sollte geändert werden. Die Logins zu den Foren und den Steam-Accounts seien voneinander getrennt. Nutzern wird empfohlen, für beide Zugänge unterschiedliche Passwörter zu vergeben. Tipps zum Anlegen sicherer Passwörter gibt es auf der Website. BSI FUER BUERGER


Phishing-Angriff auf Xbox-Live-Konten: Kostenlose Punkte als Lockmittel

Wie die britische Tageszeitung \u201eThe Sun\u201c am 22. November in ihrer Online-Ausgabe meldet, ist es in den vergangenen Tagen zu Phishing-Attacken im Zusammenhang mit Microsofts Online-Spieleplattform \u201eXboxLive\u201d gekommen. Demnach sollen mögliche Betrüger E-Mails an Xbox-Live-Mitglieder verschickt haben, die den Eindruck erwecken als kämen sie direkt von Microsoft. Die Anwender werden aufgefordert Links zu folgen und ihre persönlichen Login-Daten für ihren Xbox-Live-Account einzugeben. Die Opfer wurden u.a. mit dem Versprechen gelockt, kostenlos Xbox-Live-Punkte zu erhalten, die als virtuelle Währung den Kauf von Spielen ermöglichen. Die Eingabe der Login-Daten über den betrügerischen Link gewährt den Angreifern direkten Zugriff auf das entsprechende Xbox-Live-Konto mit den gespeicherten Guthaben-Punkten und Kreditkarten-Daten. Laut \u201eThe Sun\u201c sind Gamer in über 35 Ländern betroffen. Der durchschnittliche finanzielle Verlust pro Konto liege dabei zwischen 100 und 250 Euro. Weiter heißt es: Microsoft könne nur für Schäden aufkommen, wenn Anwender nachweisen können, dass sie ihre Zugangsdaten nicht selbst weitergegeben haben. In einer Stellungnahme gegenüber dem BBC-Radiosender Newsbeat teilt der Konzern mit, es gebe keine Hinweise auf Sicherheitslücken im Xbox-Live-System.


Webhoster warnt Kunden: Standard-Root-Passwörter möglicherweise gehackt

Der in Berlin ansässige Webhoster \u201e1blu\u201c ist möglicherweise Ziel eines Hackerangriffs geworden. Wie u.a. das IT-Magazin PC Welt berichtet, hat das Unternehmen seinen Kunden eine entsprechende Warnung per E-Mail geschickt. Damit reagiert 1blu auf Hinweise, dass es unter Umständen einen nicht autorisierten Zugriff auf Passwörter der Kunden gegeben habe. Betroffen sein könnten Kunden, die immer noch ihr Standard-Root-Passwort verwenden, das sie zur Einrichtung ihres 1blu-Kontos erhalten haben. Die Konten, die noch das Standard-Root-Passwort nutzten, wurden gesperrt. Die infrage kommenden Kunden sollen demnächst neue Root-Passwörter per Post erhalten und diese umgehend in ein persönliches Kennwort umwandeln. Das Unternehmen teilte am 17. November auf seiner Facebookseite mit, dass Untersuchungen bis dato die Hinweise auf einen Angriff \u201enicht verifizieren\u201c konnten. Dennoch habe man Anpassungen im Kundenservicebereich vorgenommen: Passwörter für E-Mail-, FTP- und Datenbank-Dienste werden jetzt nicht mehr im Kundenservicebereich hinterlegt. Detaillierte Infos hierzu erhalten 1blu-Kunden nach dem Login im Kundenservicebereich.


Gewalt und Pornographie: Spam-Attacke auf Facebook-Pinnwand

Der Hersteller von IT-Sicherheitsprodukten Sophos berichtet in seinem firmeneigenen Blog von einer Spam-Attacke in Zusammenhang mit Facebook. Demnach hätten Facebook-Nutzer von Einträgen unbekannter Herkunft auf ihrer Pinnwand berichtet. Gepostet wurden etwa pornographische Bilder und Gewaltdarstellungen. In einer Stellungnahme gegenüber dem Social-Media-Blog Mashable teilt Facebook mit, dass die Plattform selbst nicht angegriffen wurde, sondern die Browser der Nutzer. Ausgenutzt wurde demnach eine Sicherheitslücke, die Cross-Site-Scripting (kurz: XSS, deutsch: Seitenübergreifendes Scripting) erlaubt. XSS bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen. Schadcode wird aus einem Kontext, in dem er nicht vertrauenswürdig ist, in einen anderen eingefügt, in dem er als vertrauenswürdig eingestuft wird. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff erfolgen. Im betreffenden Fall sollen Angreifer die Facebook-Nutzer - etwa durch ein Gewinnspiel - dazu animiert haben, den für die Spam-Attacke notwendigen schadhaften Javascript-Code mit ihrem Browser auszuführen. Um solchen Attacken zu entgehen, sollten Anwender stets die aktuellste Browserversion nutzen und keinen Links folgen, die nicht absolut vertrauenswürdig erscheinen. Informationen, wie man seinen Browser zusätzlich sicherer machen kann, hält die Website BSI FUER BUERGER bereit.


Wolf im Schafspelz: Malware tarnt sich mit digitalem Zertifikat

Experten des Antivirensoftware-Herstellers F-Secure haben ein Schadprogramm entdeckt, das sich mit einem offiziellen digitalen Zertifikat tarnt. Darüber berichten u.a. F-Secure im firmeneigenen Blog und der IT-Nachrichtendienst heise Security. Demnach wurde das digitale Zertifikat \u201eanjungnet.mardi.gov.my\u201c dem malaysischen Institut für Landwirtschaftliche Forschung und Entwicklung gestohlen. Mithilfe des digitalen Zertifikats kann das Schadprogramm die Sicherheitssysteme von Computern umgehen, weil diese signierten Dateien und Anwendungen teilweise blind vertrauen und nicht immer auf enthaltenen Schadcode prüfen. Im betreffenden Fall werde laut F-Secure versucht, den Trojaner namens \u201eW32/Agent.DTIW\u201c über manipulierte PDF-Dateien zu verbreiten, dabei werde eine Schwachstelle im Adobe Reader 8 ausgenutzt. Ist ein System befallen, werde weiterer Schadcode von einem Server namens worldnewsmagazines.org nachgeladen. Einige dieser Komponenten seien ebenfalls signiert. \u201eEs ist nicht alltäglich, signierte Malware zu finden. Noch seltener ist es, dass sie mit einem offiziellen Schlüssel einer Regierung signiert ist\u201c, heißt es im F-Secure-Blog.


Realplayer aktualisiert: Sicherheitskritische Lücken geschlossen

Das Softwareunternehmen RealNetworks hat ein Update für seinen Mediaplayer Realplayer veröffentlicht. Auf einer Service-Website teilt das Unternehmen mit, dass 19 teilweise kritische Sicherheitslücken mit dem Einspielen einer neuen Programmversion behoben werden können. Die Lücken lassen sich u.a. dazu missbrauchen, Schadcode auf den Rechner zu transportieren und auszuführen. Detaillierte Beschreibungen der jeweiligen Fehler und der betroffenen Versionen finden sich auf der Service-Website. Anwendern wird empfohlen, stets die aktuelle Version des Players zu nutzen. Betroffen sind die Realplayer-Versionen für Windows- und Mac-OS-Betriebssysteme. Unter Windows sind die Versionen der 1.x-, 11.x- und 14.x-Reihen betroffen. Die Lücken werden mit der Version 15 geschlossen. Unter Mac OS finden sich die Risiken bis inklusive der Version 12.0.0.1701. Hier werden sie mit der Version 12.0.0.1703 behoben.


Update für Flash-Player: Adobe beseitigt Sicherheitslücken

Der Softwarehersteller Adobe hat ein Update für seinen Flash Player veröffentlicht. Insgesamt werden zwölf Sicherheitslücken geschlossen. Wie das Unternehmen in einem Sicherheitshinweis mitteilt, sind Flash Player für Windows, Linux und MacOS in den Versionen bis einschließlich 11.0.1.152 betroffen; Flash Player für Chrome ebenfalls; und Flash Player für Android in den Versionen bis einschließlich 11.0.1.153. Die Schwachstellen könnten einen Absturz der Anwendung auslösen. Ein Angreifer könnte sich zudem die vollständige Kontrolle über ein betroffenes System verschaffen. Das BUERGER-CERT empfiehlt allen Anwendern das von Adobe bereitgestellte Sicherheitsupdate auf Version 11.1.102.55 so bald wie möglich zu installieren. Beim Adobe Flash-Player geschieht dies am einfachsten über die programmeigene Update-Funktion oder über die Adobe-Website. Nutzern von Googles Mobilbetriebssystem steht im Android Marketplace die Version 11.1.102.59 zur Verfügung.


Schwachstellen beseitigt: Erstes Update für Chrome 15 veröffentlicht

Nur wenige Tage nach der Veröffentlichung der Version 15 des Google-Browsers Chrome wurden die ersten Schwachstellen entdeckt und durch Google behoben. Dies geht aus einem Sicherheitshinweis des Unternehmens hervor. Das Unternehmen stuft sechs der durch die acht Sicherheitslücken bedingten Risiken als \u201ehoch\u201c ein. Angreifer könnten einige der Lücken ausnutzen, um Schadcode auf die Computer der Chrome-Anwender zu schleusen und auszuführen. Google Chrome aktualisiert sich bei neuen Version automatisch. Anwender müssen nichts unternehmen, um neue Versionen zu erhalten.


PRISMA

Android 4-Feature ausgetrickst: Gesichterkennung ist nicht sicher

Das Betriebssystem Android 4 für mobile Geräte bietet die Möglichkeit, Smartphones per Gesichtserkennung zu entsperren. Dazu muss das Gerät vor das Gesicht des Anwenders gehalten werden. Der Blog SoyaCincau zeigt nun ein (englischsprachiges) Video, das beweisen soll, dass sich die optische Gerätesperre durch ein Foto, das sich auf dem Bildschirm eines anderen Smartphones befindet, umgehen lässt. Dem IT-Newsdienst ZDNet sagte ein Google-Sprecher daraufhin, die Funktion der Entsperrung durch Gesichtserkennung sei experimentell und biete nur geringe Sicherheit. Nutzer werden zudem von der Anwendung darauf hingewiesen, dass die Entsperrung per Gesichtserkennung unsicherer ist als ein Eingabemuster, eine PIN oder ein Passwort. Personen, die dem Anwender ähnlich sehen, könnten das Gerät entsperren. Laut ZDNet sei die Verschlüsselung per Gesichterkennung aber sicherer als gar keine Zugangsperre. Immerhin müsste ein Angreifer sowohl über das Gerät, als auch über ein Foto des Besitzers verfügen, um sich Zugang zu Gerätedaten zu verschaffen.

[Yilmaz]

DEZEMBER 2011
------------------------------------------------------------------------------

Kundendaten kopiert: Hacker-Angriff auf Immobilienscout24.de

Das Portal für Immobilienanzeigen Immobilienscout24 meldet einen unberechtigen Zugriff auf seine Datenbank. Demnach wurden nach vorläufigem Kenntnisstand Informationen wie Namen von Personen und Unternehmen, Kontaktdaten sowie Immobilienscout-interne Registrierungsnummern von Anbietern durch unbefugte Dritte kopiert. "Es handelt sich dabei um Daten, die in der Regel auf der Website von Immobilienscout24 standardmäßig angezeigt werden", heißt es in einer Pressemitteilung. Passwörter, Bank- und Zahlungsdaten seien nicht betroffen. Der unbefugte Zugriff wurde dem Unternehmen nach unterbunden und die Sicherheit der angegriffenen Server wiederhergestellt. Immobilienscout24.de bittet Kunden, sich auf der Website einzuloggen und ihr Passwort vorsorglich zu ändern.

Angriff per SMS: Windows Phone 7.5 mit Sicherheitslücke

Der englischsprachige Blog WinRumors, der sich ausschließlich mit Windowsthemen befasst, berichtet über eine Sicherheitslücke im mobilen Betriebssystem Windows Phone 7.5. Microsoft hat das Problem bestätigt. Demnach kann etwa eine präparierte SMS den Messaging Hub \u2013 die zentrale Nachrichtenverwaltung \u2013 von Windows Phone 7.5 lahmlegen. Empfängt das Smartphone die präparierte Nachricht, wird das Betriebssystem neu gebootet, anschließend lässt sich die Nachrichtenzentrale nicht mehr starten. Der Angriff könne auch über eingehende Facebook- und Windows-Live-Nachrichten erfolgen, da diese ebenfalls über den Messaging Hub abgewickelt werden. Der Blog zeigt auch ein Video, das den Ablauf eines Angriffs demonstriert. Das Problem soll sich beseitigen lassen, indem das Gerät auf die Werkseinstellungen zurückgesetzt wird. Wie der IT-Nachrichtendienst heise Security meldet, betrifft das Problem alle Geräte mit den Windows-Phone-Versionen 7.10.7720.68 (7.5) und 7.10.7740.16. Ob auch ältere Versionen betroffen sind, ist derzeit offen.


Adobe warnt Anwender: Angriff über Reader und Acrobat möglich

Die Programme Reader und Acrobat von Adobe weisen nach Angaben des Herstellers eine kritische Sicherheitslücke auf. Sie ermögliche es Angreifern, über einen Fehler in der Speicherverwaltung der Software fremde Rechner zu kontrollieren, sie zum Absturz zu bringen und Schadcode auszuführen. Den Zugriff erreichen die Täter, wenn sie Anwender dazu verleiten, präparierte PDF-Dateien mit den Adobe-Produkten zu öffnen. Betroffen sind die Programmversionen Adobe Reader X (10.1.1) und frühere 10.x-Versionen für Windows und Mac sowie Adobe Reader 9.4.6 und frühere 9.x-Versionen für Windows, Mac und Linux. Außerdem betroffen: Adobe Acrobat X (10.1.1) und ältere 10.x-Versionen für Windows und Mac sowie Adobe Acrobat 9.4.6 und ältere 9.x-Versionen für Windows und Mac. Der Adobe Reader für Android und der Adobe Flash Player weisen die Sicherheitslücke nicht auf. Für die Versionen Adobe Reader 9.x und Acrobat 9.x für Windows steht ein Update zur Verfügung. Es gibt laut Adobe Erkenntnisse, dass die Lücke für diese Programmversionen bereits ausgenutzt wird. Für die 10er-Versionen empfiehlt Adobe die Verwendung des geschützten Modus, bis der Fehler mit dem regulären Sicherheitsupdate am 10. Januar behoben werde. Die Aktualisierung für Mac OS X und Unix soll am 12. Januar 2012 folgen, da Adobe das Risiko eines Angriffs auf Anwender dieser Betriebssysteme als gering einschätzt.


Gefährliche Videos: Sicherheitsrisiken in Media-Player Winamp behoben

Mehrere kritische Sicherheitslücken hat das Sicherheitsunternehmen Secunia im Medienplayer Winamp entdeckt. Betroffen sei die Version 5.622 sowie möglicherweise auch ältere Winamp-Versionen. Das PC Magazin schreibt, das Abspielen einer präparierten AVI-Datei mit Winamp genüge, um durch Ausnutzung der Sicherheitslücke das System zu kompromittieren. Abhilfe schafft Winamp 5.623. Bei Redaktionsschluss war die offizielle Download-Seite noch nicht aktualisiert, über das Winamp-Forum lässt sich die aktuelle Version des Players aber beziehen. Der "Multi-national Installer" enthält auch das deutsche Sprachpaket.


Chrome-Browser: 15 Sicherheitslücken geschlossen

Google hat seinen Browser Chrome aktualisiert: Version 16 schließt 15 in der Vorgängerversion enthaltene Sicherheitslücken. Sechs dieser Lücken stuft Google in die Gefahrenklasse \u201ehoch\u201d ein. Wie heise Security schreibt, konnten bei der Verarbeitung von PDF-Dateien sicherheitskritische Fehler auftreten. Außerdem konnten Angreifer die Anzeige in der Adressleiste manipulieren.
Chrome 16 bringt neben mehr Sicherheit auch die Möglichkeit mit, mehrere Benutzerkonten anzulegen. Ausdrücklich weist Google darauf hin, dass es sich dabei nicht um ein Sicherheitsfeature handelt: "Die Funktion ist nicht dazu bestimmt, Ihre Daten vor anderen Personen, die Ihren Computer verwenden, zu schützen." Zu diesem Zweck sollten verschiedene Benutzerkonten des Betriebssystems verwendet werden. Die Website BSI FÜR BÜRGER erklärt, was zu beachten ist, wenn sich mehrere Anwender einen Rechner teilen.


Fernzugriff: Sicherheitsupdate für PuTTY

PuTTY ist ein SSH-Client für Windows und wird vor allem für den Zugriff von Windows-Rechnern auf Linux-Computer verwendet. heise Security berichtet von einem kritischen Fehler in den PuTTY-Versionen 0.59, 0.60 und 0.61: Eingegebene Passwörter behält das Programm mitunter im Speicher, sodass andere Programme diese auslesen könnten. Die aktuelle PuTTY-Version 0.62 behebt diesen und einige weitere, aber unkritische Fehler.


Ein Patch weniger: Microsoft Patchday im Dezember

icrosoft hat im Dezember 13 Patches veröffentlicht und damit 19 Sicherheitslücken in Windows, Internet Explorer und Microsoft Office geschlossen. Darüber berichten verschiedene Online-Magazine, etwa golem.de. Ein Update behebt einen kritischen Fehler bei der Behandlung vonTrue-Type-Schriften. Dieser wurde schon aktiv ausgenutzt, etwa durch den Wurm \u201eDuqu\u201c. Andere Patches beziehen sich unter anderem auf Fehler beim Öffnen speziell manipulierter Dateien (z.B. ".doc", ".xls" und ".ppt"). Ein zuvor angekündigter Patch, das eine SSL-Sicherheitslücke schließen sollte, ist nicht erschienen, weil in der letzten Testphase Kompatibilitätsprobleme aufgetreten sind. Der Patch ist nun für Januar angekündigt. Das [[INTERNLINK||BUERGER-CERT empfiehlt |https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T11-0080]], die Patches so schnell wie möglich zu installieren.


Verräterische USB-Sticks: Datensicherheit wird konsequent vernachlässigt

Der Hersteller von Antivirensoftware Sophos wollte wissen, welche Daten Anwender auf USB-Sticks speichern und wie diese gesichert sind. Das Ergebnis der Recherchen hat Sophos im unternehmenseigenen Blog veröffentlicht. Das Unternehmen kaufte auf einer Fundsachenversteigerung der australischen Metropole Sydney 57 USB-Sticks, die 2011 in der dortigen U-Bahn verloren wurden. Sieben Sticks waren defekt. Die restlichen 50 Sticks mit einem Speichervolumen zwischen 256 Megabyte und 8 Gigabyte konnten näher untersucht werden. Sie waren allesamt nicht passwortgeschützt, keine Datei war verschlüsselt. Die Sticks enthielten teils sehr persönliche Daten über den Besitzer des Sticks, seine Familie, seine Kollegen oder seinen Arbeitgeber. Gefunden wurden ganze Fotoalben, sensible Dokumente wie Steuerbescheide, Programmiercodes, Audio- und Video-Dateien und sogar Konstruktionszeichnungen aus einer Produktentwicklung. Auf 33 Exemplaren oder 66 Prozent der Sticks fanden die Sicherheitsexperten zudem Viren, Trojaner und anderen Schadcode, zum Teil mehrfach. Sophos zufolge handelte sich dabei ausschließlich um Malware für Windows-Systeme. Schadprogramme für Mac-OS-Betriebssysteme wurden nicht gefunden, gleichwohl USB-Sticks, die offensichtlich mit Apple-Rechnern genutzt wurden auch Windows-Malware enthielten. Das Fazit von Paul Ducklin, Leiter der Abteilung Technologie bei Sophos für die Asia-Pazifik-Region: "Persönliche und unternehmensrelevante Daten sollten immer verschlüsselt oder mit einem Passwort geschützt werden, bevor sie auf einem USB-Stick gespeichert werden. Ein guter Anti-Virenschutz ist ebenfalls wichtig, auch für Nutzer von Mac-OS-Betriebssystemen".



Teures Horoskop: Abzock-Apps im Android Market

Google hat 27 Apps aus dem Android Market entfernt. Darüber berichtet das Online-Magazin ZDNet und das Sicherheitsunternehmen Lookout, das zunächst 22, dann weitere fünf mutmaßliche Abzock-Apps entdeckt hatte. Die entfernten Apps seien in der Lage gewesen, teure SMS zu verschicken, die mit bis zu fünf US-Dollar berechnet wurden. 13 der 22 Apps seien mehr als 14.000-mal heruntergeladen worden. Die Abzock-Apps haben sich etwa als Horoskope, Spiele und Bildschirmhintergründe getarnt. Bei der Installation haben Anwender die Geschäftsbedingungen bestätigt und so den Versand der teuren Versand der Premium-SMS ermöglicht. Vor allem auf europäische Mobilfunkkunden hatten es die Programmierer der Apps abgesehen. Die betroffenen Apps nennt Lookout auf seiner Seite.

[Yilmaz]

JANUAR 2012
-----------------------------------------------------------

BSI empfiehlt Überprüfung von PC auf Schadsoftware

Einfacher Test auf Webseite www.dns-ok.de von Deutscher Telekom, BSI und BKA

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf Befall mit der Schadsoftware "DNS-Changer" zu überprüfen. Ab sofort ist eine solche Überprüfung mit Hilfe der Webseite www.dns-ok.de ganz einfach möglich. Die Webseite wird gemeinsam von der Deutschen Telekom, dem BSI und dem Bundeskriminalamt zur Verfügung gestellt.

Dies wurde notwendig, weil Internetkriminelle die Netzwerkkonfiguration von PC- und Mac-Systemen durch den Eintrag neuer DNS-Server mit der Schadsoftware "DNS-Changer" manipuliert hatten. Das DNS (Domain Name System) ist einer der wichtigsten Dienste im Internet, welcher für die Umsetzung von Namen (URLs) in IP-Adressen verantwortlich ist. Im Falle einer Infektion mit der Schadsoftware leitet der Webbrowser die Benutzer bei Abfrage populärer Webseiten unbemerkt auf manipulierte Seiten der Kriminellen um, wo betrügerische Aktivitäten wie beispielsweise die Verbreitung angeblicher Antivirensoftware, Klickbetrug oder nicht lizenzierter Medikamentenverkauf stattfinden. Zudem konnten die Kriminellen gezielt manipulierte Werbeeinblendungen an infizierte Rechner senden, Suchergebnisse manipulieren und weitere Schadsoftware nachladen.

Test für Internetnutzer

In Deutschland sind nach Angaben der amerikanischen Bundespolizei FBI derzeit bis zu 33.000 Computer täglich betroffen. Mit der Internetseite www.dns-ok.de können Internetnutzer ab sofort eigenständig prüfen, ob ihr System mit dem Schadprogramm "DNS-Changer" infiziert ist. Beim Aufruf dieser Internetadresse erhalten Nutzer, deren Computersystem von dem Schadprogramm manipuliert wurde, eine Warnmeldung mit roter Statusanzeige. Ergänzt wird dieser Hinweis durch eine Reihe von Empfehlungen, mit denen die Anwender die korrekten Systemeinstellungen wiederherstellen sowie ggf. die Schadsoftware vom System entfernen können. Ist dagegen der Rechner des Internetnutzers nicht betroffen, erhält der Besitzer die Meldung mit einer grünen Statusmeldung, dass sein System korrekt arbeitet.

Überprüfung des eigenen Rechners vor dem 8. März 2012 sinnvoll

Verbreitet wurde die Schadsoftware durch das so genannte "DNS-Changer-Botnetz", dessen Betreiber im November 2011 von der amerikanischen Bundespolizei FBI und europäischen Ermittlungsbehörden verhaftet wurden. Die von den Onlinekriminellen manipulierten DNS-Server wurden nach der Festnahme vom FBI durch korrekt arbeitende DNS-Server ersetzt. Diese Server sollen jedoch zum 8. März 2012 abgeschaltet werden. Bei betroffenen Rechnern ist dann eine Internetnutzung ohne die empfohlenen Änderungen der Einstellungen nicht mehr möglich, da die Nutzer wegen des nunmehr fehlenden Zugriffs auf das "Telefonbuch" (DNS) im Internet mit ihrem Computer keine Webseiten mehr aufrufen können. Daher sollten Internetnutzer die Überprüfung und ggf. Reinigung ihres Rechners möglichst bald durchführen. Die Überprüfung erfolgt ausschließlich über den Aufruf der Website www.dns-ok.de, es wird keine Software gestartet oder heruntergeladen. Zur Reinigung des Rechners können die Betroffenen beispielsweise die unter www.botfrei.de bereitgestellten Programme wie den "DE-Cleaner" nutzen.

[Yilmaz]

JANUAR 2012
-----------------------------------------------------------------------------
Wurm im Sozialen Netzwerk: Ramnit stiehlt 45.000 Facebook-Accounts

Das Schadprogramm Ramnit treibt seit April 2010 sein Unwesen im Internet. Als sogenannte Multi-Komponenten Malware kann Ramnit ausführbare Windows-Dateien, Office-Dateien sowie HTML-Dokumente infizieren und Informationen wie Zugangspasswörter ausspähen. Zudem kann die Schadsoftware Hintertüren in IT-Systemen öffnen, um Befehle von einem entfernten Angreifer zu empfangen (Backdoor-Angriff).
Nachdem Ramnit bereits Bankensysteme attackiert hat, greift eine neue Variante des Schadprogramms nun Facebook an, dies berichten u.a. botfrei.de und golem.de unter Berufung auf eine Meldung von Seculert, Hersteller von IT-Schutzprogrammen. Der Ramnit-Wurm habe Anmeldedaten zu über 45.000 Facebook-Konten gesammelt. Die Mehrzahl der erbeuteten Daten stamme aus Großbritannien und Frankreich. Die Zugangsdaten könnten laut Seculert dazu genutzt werden, über ein erbeutetes Konto infizierte Links an Freunde des Facebook-Kontakts zu senden. Gegenüber golem.de hat Facebook bestätigt, dass durch Ramnit Facebook-Accounts in fremde Hände gelangt sind.
Die betroffenen Nutzer wurden von Facebook kontaktiert, was den Missbrauch des Facebook-Kontos verhindern soll. Facebook rät Anwendern, generell keine Links zweifelhaften Inhalts oder Ursprungs zu öffnen, sondern dies an Facebook zu melden.

Facebook-Chronik: Scammer nutzen Unmut über neues Profil-Design

Seit Mitte Dezember 2011 können Facebook-Nutzer auf ihrer Profilseite die sogenannte Chronik einblenden. Wie ZDNet.de berichtet, verändert die Chronik das Layout des Profils und bietet direkten Zugriff auf Statusnachrichten, Fotos und Pinnwandeinträge eines Anwenders. Ist die Funktion einmal aktiviert, lässt sich dies nicht mehr rückgängig machen.
Diese Tatsache nutzen Cyberkriminelle nun aus, meldet das IT-Magazin PC-Welt. Auf der Plattform kursieren zahlreiche Scam-Profile, die Anwendern Hilfe anbieten, das alte Design wieder herzustellen. Dies sei allerdings gar nicht möglich, schreibt PC-Welt. Beim Besuch dieser Profile würden oftmals Links zu mit Schadcode infizierten Webseiten oder Videos eingeblendet. Wer zudem den "Gefällt mir"-Button anklicke, laufe Gefahr, seinen Rechner für das Einschleusen von Schadcode zu öffnen.
Die EU-Initiative für mehr Sicherheit im Netz, klicksafe.de, hat eine Broschüre zum sicheren Umgang mit der Facebook-Chronik veröffentlicht, die als PDF-Download verfügbar ist. Der Leitfaden soll Nutzern helfen, ihre Privatsphäre zu schützen und gibt Hinweise zu den wichtigsten Sicherheits- und Privatsphäreeinstellungen.

Flashback vs. XProtect: Trojaner hebelt Mac-Schutzprogramm aus

Anwender von Mac-Betriebssystemen müssen sich vor einer neuen Variante des bekannten Flashback-Trojaners in Acht nehmen, das meldet das IT-Magazin ZDNet unter Berufung auf eine Meldung von Intego, einem Anbieter von Sicherheitssoftware speziell für Mac-Systeme.
Der Trojaner mit der Versionsbezeichnung "OSX/Flashback.J" gibt sich als Installationspaket für den Flash Player aus. Wird die Datei mit dem Namen "FlashPlayer-11-7-macos.pkg" vom Anwender aktiv ausgeführt, wird Schadcode auf dem Rechner installiert. Die in Mac OS X integrierte Schutzfunktion XProtect erkennt laut ZDNet Flashback.J noch nicht, da der Trojaner nach dem jüngsten Apple-Update in Umlauf gebracht wurde. Das Ziel von Flashback bestehe darin, die Update-Funktion für Virendefinitionen auszuschalten, sodass ab diesem Zeitpunkt keine Updates mehr erfolgen. Flashback kann dann Nutzerdaten an einen fremden Server schicken sowie weiteren Schadcode nachladen. Ein Update für XProtect, um Flashback.J bereits vor einer Infektion zu entdecken, gibt es noch nicht.


Internetzugang sichern: Den DNS-Changer aufspüren und entfernen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf Befall mit der Schadsoftware "DNS-Changer" zu überprüfen. Die Prüfung ist mit Hilfe der eigens eingerichteten Webseite www.dns-ok.de möglich. In der Vergangenheit haben mutmaßliche Internetkriminelle die Netzwerkkonfiguration von PC- und Mac-Systemen durch den Eintrag neuer DNS-Server mittels des DNS-Changers manipuliert.
Das DNS (Domain Name System) sorgt für die Umsetzung von Website-Namen (URLs) in Zahlen-Code (IP-Adressen). Im Falle einer Infektion mit der Schadsoftware leitete der Webbrowser die Benutzer beim Aufruf von Webseiten unbemerkt auf manipulierte Seiten der Kriminellen um, die Anwender wurden so zahlreichen kriminellen Aktivitäten ausgesetzt, heißt es in einer Mitteilung des BSI. Anwender, die die Internetadresse www.dns-ok.de aufrufen, erhalten eine Warnmeldung mit roter Statusanzeige, wenn ihr Computersystem von dem Schadprogramm manipuliert wurde. Zudem gibt es Hinweise, wie die korrekten Systemeinstellungen wiederhergestellt und die Schadsoftware vom System entfernt werden kann.
Über die Website botfrei.de kann dazu das Programm "DE-Cleaner" kostenlos heruntergeladen werden. Die Server werden zum 8. März 2012 abgeschaltet. Wird ein befallenes System bis dahin nicht repariert, ist ein Internetzugang nur noch erschwert möglich.

Update für WordPress: Version 3.3.1 der Blog-CMS-Software behebt Sicherheitslücken

WordPress, die kostenlose CMS-Software für die Erstellung von Blogs, ist in einer neuen Version verfügbar. Dies teilt die Entwicklergemeinschaft mit. Die Version 3.3.1 behebt 15 Funktionsfehler und schließt eine Sicherheitslücke, die Angreifern Cross-Site-Scripting (auch XSS genannt) ermöglicht. XSS bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen. Dabei werden Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt, in dem Anwender sie als vertrauenswürdig einstufen. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff gestartet werden.
Die aktuelle Version in deutscher Sprache kann von der deutschen WordPress-WebsiteName heruntergeladen werden.


Microsoft Patchday: Wichtige Updates für alle Windows-Versionen

Mit dem ersten Patchday im Jahr 2012 liefert Microsoft sieben Sicherheitsupdates aus, um acht Schwachstellen in Produkten zu schließen. Betroffen sind Windows XP, Windows Vista, Windows 7 sowie einige Hilfsprogramme, Bibliotheken und Sicherheitsmodule. Dies berichtet u.a. das Bürger-CERT unter Berufung auf das Sicherheits-Bulletin von Microsoft.
Das Unternehmen stuft die Gefahr durch sechs Sicherheitslücken in Windows als "hoch" und eine weitere als "kritisch" ein. Die Schwachstellen ergeben sich etwa beim Abspielen von manipulierten MIDI-Dateien im Windows Media-Player, beim Besuch von präparierten Webseiten und beim Öffnen von manipulierten Dateien von entfernten Verzeichnissen. Zeitgleich mit den Sicherheitsupdates hat Microsoft die Version 4.4 des Windows-Tools zum Entfernen von Schadsoftware veröffentlicht, meldet das IT-Magazin PC Welt.
Das Bürger-CERT empfiehlt die Aktualisierungen herunterzuladen und zu installieren. Dies geschieht für Windows-Systeme am einfachsten über die Aktivierung von automatischen Updates im Microsoft Sicherheitscenter oder über einen Besuch der "Windows Update"-Webseite.


Kritische Sicherheitslücken: Sicherheitsupdate für Google Chrome

Google hat drei Sicherheitslücken im Browser Chrome für Windows, Mac OS X und Linux sowie Chrome Frame geschlossen. Darüber berichtet unter anderem das Newsportal zdnet.de. Das Risiko der geschlossenen Sicherheitslücken hat Google mit "hoch" bewertet. Details werden nach Aussage des Google-Watch-Blogs so lange zurückgehalten, bis ein Großteil der Nutzer das Update eingespielt hat. Für die Entdeckung von zwei der drei Sicherheitslücken hat Google 2000 US-Dollar als Belohnung bezahlt. Anwender der Chrome-Version 16 erhalten das Update automatisch. Es kann aber auch manuell von der Google-Chrome-Website heruntergeladen werden.


Reader und Acrobat aktualisiert: Adobe beseitigt Schwachstellen in Programmen

Software-Hersteller Adobe hat Sicherheitsupdates für sein kostenloses PDF-Leseprogramm Reader und den PDF-Bearbeiter Acrobat veröffentlicht. Wie das Unternehmen mitteilt, werden mit den Versionen 10.1.2 Sicherheitslücken in Adobe Reader X (10.1.1) und Adobe Acrobat X (10.1.1) sowie in früheren Versionen für Windows und Mac geschlossen. Durch die Schwachstellen können die Programme zum Absturz gebracht werden (Denial of Service) oder Angreifer können durch sie beliebigen Code mit den Rechten des angemeldeten Benutzers ausuführen. Zur erfolgreichen Ausnutzung dieser Schwachstelle muss der Angreifer den Anwender dazu bringen, eine manipulierte E-Mail, Webseite oder PDF Datei zu öffnen. Anwender des Adobe Readers und Acrobat 9.4.7 und früherer Versionen für Windows und Mac, die nicht auf Version 10.1.2 wechseln können, stellt Adobe Updates auf die Version 9.5 zur Verfügung.
Das Bürger-CERT empfiehlt in einer technischen Warnung, das von Adobe bereitgestellte Sicherheitsupdate so bald wie möglich zu installieren. Die Updates können über die Adobe Website bezogen werden.

Weniger Informationen: Microsoft nimmt Website mit Update-Infos vom Netz

Microsoft hat die Informationsseite "Where's my phone update" eingestellt. Sie ist zwar noch online, wird seit Mitte Dezember jedoch nicht mehr aktualisiert. Wie das IT-Newsportal golem.de berichtet, macht Microsoft keine Angaben dazu, warum die Seite nicht mehr gepflegt wird. Auf "Where's my phone update" konnten sich Windows-Smartphone-Anwender darüber informieren, wann welches Update erscheint - abhängig vom Land und Mobilfunkprovider. Die neue Strategie von Microsoft: Anwender erhalten eine Benachrichtigung, sobald ein Update verfügbar ist. Sie müssen das Smartphone dann per Kabel mit einem Computer verbinden und das Update einspielen. Eine drahtlose Installation ist nicht möglich.

Amazon-Tochterunternehmen Zappos gehackt: 24 Millionen Datensätze gestohlen

Das Handelsunternehmen Amazon betreibt in den USA einen Online-Shop für Bekleidung mit Millionen Kunden - zappos.com. Nun wurde das Tochterunternehmen Opfer eines Hackerangriffs, bei dem rund 24 Millionen Datensätze von Kunden in die Hände der Angreifer geraten sind. Dies berichten u.a. heise security und PC-Welt.
Demnach konnten die Hacker auf Namen, E-Mail-Adressen, Rechnungs- und Lieferadressen, Telefonnummern sowie die letzten vier Ziffern der Kreditkartennummern zugreifen. Zudem hatten die Täter Zugriff auf die Passwort-Hashes, die verschlüsselten Versionen der Anwender-Passwörter. Zappos hat daraufhin alle Kundenpasswörter gesperrt und die Kunden per E-Mail aufgefordert, neue Passwörter anzulegen - auch bei anderen Diensten, wo sie möglicherweise das identische Passwort nutzen. Kunden von amazon.com in den USA und amazon.de sind von dem Hack nach bisherigen Erkenntnissen nicht betroffen.

[Yilmaz]

FEBRUAR 2012
---------------------------------------------------------------

Wertvoller Code: Bezahlsystem Paysafecard lockt Betrüger an

Die "Paysafecard" ist ein elektronisches Zahlungsmittel, das ähnlich funktioniert wie eine Prepaid-Karte. Verbraucher können die Karte im Handel erwerben und erhalten damit einen dem Kaufbetrag entsprechenden 16-stelligen Code, mit dem sie beispielsweise in Online-Shops bezahlen können. Ist das auf der Karte vermerkte Guthaben aufgebraucht, wird der Code ungültig. Internetkriminelle versuchen immer wieder, an den Zahlencode und damit an das Karten-Guthaben zu gelangen.
Aktuell warnt der Herausgeber der Karten vor zwei Betrugsmaschen:
Websites in der Optik der Paysafecard-Seite suggerieren Anwendern, sie könnten ihr Guthaben verdoppeln, wenn sie ihren Code in eine Maske eingeben und versenden. Dieser Trick dient allein dazu, Zugriff auf den Code und das Guthaben zu bekommen.
Varianten der als Bundespolizei-, BKA- und Gema-Virus bekannten Schadprogramme sperren die Computer von Anwendern. Für eine Entsperrung wird ein "Bußgeld" eingefordert, das u.a. per Paysafecard bezahlt werden kann. Anwendern wird geraten derartigen Aufforderungen nicht Folge zu leisten.


Facebook-Accounts in Geiselhaft: Lösegeld-Trojaner verlangt 20 Euro

Der Blog botfrei.de berichtet über einen Trojaner, der Facebook-Accounts in Geiselhaft nimmt. Das Schadprogramm beruhe auf dem Fachleuten bereits bekannten Carberp-Trojaner. Anwender können ihren Rechner infizieren, indem sie manipulierte PDF- und Word-Dokumente öffnen. Wird dann eine Facebook-Website aufgerufen, klinkt sich Carberp in den Browser ein (Man-in-the-Middle-Attacke) und leitet den Anwender auf eine gefälschte Facebook-Seite um, die ihm mitteilt, sein Account für das soziale Netzwerk sei gesperrt. Um die vermeintliche Sperrung aufzuheben, soll der Anwender eine Gebühr in Höhe von 20 Euro leisten - und zwar über den Bezahldienst Ukash, eine Art Pre-Paid-Bezahlsystem, bei dem Zahlender und Empfänger anonym bleiben. Eine Zahlung des geforderten Betrags habe jedoch keinen Effekt, die Seite bleibe gesperrt.


Falsche Jobangebote: Spam-E-Mails im Namen der Bundesagentur für Arbeit

Die Bundesagentur für Arbeit (BA) warnt vor E-Mails, in denen den Adressaten lukrative Jobangebote versprochen werden. Als Ansprechpartner werden Unternehmen mit Sitz im Ausland genannt. Die Absender dieser E-Mails sind nicht zu ermitteln. In den Spam-E-Mails werde behauptet: "Ihre Kontaktadresse erhielten wir von der Agentur für Arbeit, bei der Sie als Bewerber registriert sind."
Die BA weist darauf hin, dass sie in keinerlei Zusammenhang mit derartigen E-Mails steht. Die Spam-E-Mails hätten vermutlich das Ziel an reale Nutzerdaten zu gelangen. Möglicherweise enthielten die E-Mails auch Viren oder Trojaner. Die BA rät dazu, unaufgefordert erhaltene E-Mails, die eine Arbeit versprechen, ungelesen zu löschen.

Trojaner-Apps im Android-Market: Malware läuft auf Hunderttausenden Geräten

Symantec, Anbieter von IT-Sicherheitslösungen, nennt in seinem offiziellen Firmenblog 13 Apps aus dem Android Market, die mit einem Trojaner verseucht sind. Der Trojaner "Android.Counterclank" dient laut Symantec dem Diebstahl von Anwender- und Verbindungsdaten. Er findet sich in Spiele-Apps der Anbieter iApps7 Inc., Ogre Games und redmicapps. Manipulationen offenbaren sich auf zweierlei Weise: Bei infizierten Geräten steckt der Trojaner in der Hauptanwendung. Wird diese ausgeführt, startet ein "apperhand" genannter Dienst. Ein weiteres Zeichen ist ein Such-Symbol auf dem Startbildschirm des Smartphones. Laut heise security dürften die Trojaner-Apps auf mehreren hunderttausend Smartphones und Tablet-PCs laufen, lege man die Downloadzahlen im Android Market zugrunde. Einige der infizierten Programme seien im Android Market nach wie vor erhältlich. Der Trojaner lasse sich durch die Deinstallation der Apps entfernen.

Media-Markt und Saturn verschenken nichts: Gutscheine bei Facebook sind Fälschungen

Im Oktober eröffnete der Elektronikfachmarkt Saturn seinen Online-Shop, im Januar folgte Media-Markt. Spammer nutzen dies, um über Facebook Anwender zu erreichen. So ist es im Security-Blog von G Data nachzulesen. Anwender werden anlässlich der Online-Shop-Eröffnungen jeweils mit vermeintlichen 50-Euro-Einkaufsgutscheinen dazu verführt, etwa im Fall des Media-Markt-Spams die Website mm-gutscheine.info anzuklicken. Auf dieser und anderen verlinkten Websites wird jedoch vor allem Werbung eingeblendet - woran die Spammer dann Geld verdienen. Anzeichen dafür, dass Schadcode übertragen wird oder Anwenderdaten gephisht werden, gibt es laut G Data nicht. Die Spam-Nachrichten erscheinen in der von beiden Handelsketten bekannten Aufmachung. Beide Handelsketten haben sich von der Aktion distanziert und empfehlen, derartige Nachrichten zu ignorieren bzw. zu löschen, es gebe derzeit keine Gutscheinaktionen.

"pcAnywhere" unsicher: Symantec warnt vor eigenem Produkt

Mitte Januar gab der Hersteller von IT-Sicherheitssoftware Symantec bekannt, dass ihm im Jahr 2006 Quellcodes für verschiedene Programme gestohlen wurden. Hierüber berichtete u.a. der IT-Newsdienst heise security. Lange hieß es, es bestehe keine Gefährdung der Computersysteme von Symantec-Kunden, da die Quellcodes veraltet seien. Nun muss Symantec Anwender doch vor der Nutzung von "pcAnywhere" warnen, einer Software zur Steuerung von Fernzugriffen auf Computer. Hacker könnten mithilfe des Quellcodes die Verschlüsselung aushebeln und Computer, auf denen die Software läuft, angreifen. Möglich seien etwa Man-in-the-Middle-Attacken und der Aufbau unautorisierter Verbindungen zwischen Computern und Netzwerken. Im englischsprachigen Unternehmensblog gibt es Links zu ersten Updates sowie Installationsanleitungen. Zudem hat Symantec ein englischsprachiges, zehnseitiges PDF veröffentlicht, in dem Hintergründe, Probleme und Lösungen zusammengefasst sind. Symantec empfiehlt, auf die Nutzung von pcAnywhere zu verzichten, bis Updates veröffentlicht wurden.


Update für Chrome-Browser: Google behebt vier Sicherheitslücken

Nur rund zwei Wochen nach dem letzten Browser-Update veröffentlicht Google erneut eine aktualisierte Version seines Browsers Chrome. Die Version 16.0.912.77 schließt vier als "hoch" eingestufte Sicherheitsrisiken. Außerdem meldet Google in den Veröffentlichungsinformationen, dass mit dem vorangegangenen Update (Version 16.0.912.75) eine "kritische" Lücke geschlossen wurde, die in den damaligen Veröffentlichungsinformationen nicht erwähnt wurde.
Das Bürger-CERT empfiehlt ein Update, um eine Ausnutzung der Schwachstellen zu verhindern. Dies erfolge am einfachsten über die automatische Update-Routine des Browsers. Dabei wird das Update im Hintergrund heruntergeladen und mit dem Beenden des Browsers installiert. Alternativ stellt Google die aktuelle Chrome-Version im Internet zum Download zur Verfügung.


Update für Opera: Browser in der Version 11.61 veröffentlicht

Der kostenlose Browser Opera liegt in der aktualisierten Version 11.61 vor. Das Update behebt diverse Funktionsstörungen und schließt zwei Sicherheitslücken. Opera Software stuft in seinen Informationen zur Veröffentlichung das Sicherheitsrisiko der einen Lücke als "niedrig", das der anderen als "hoch" ein. So lasse es die alte Browserversion sogenannte XSS-Angriffe (Cross-Site Scripting) zu. Das Update auf die neue Opera-Version erfolgt automatisch durch den Browser. Opera 11.61 steht für Windows, Linux und Mac OS X aber auch zum manuellen Download bereit.


DNS-Changer-Schäden beseitigen: Gratis-Tool stellt Netzwerkeinstellungen wieder her

Mit Hilfe des Schnelltests auf dns-ok.de können Anwender prüfen, ob die Netzwerkeinstellungen von Computern durch den Trojaner "DNS-Changer" manipuliert wurden. Anwender, deren Systeme betroffen sind, mussten bisher die DNS-Einstellungen manuell korrigieren. Auf der Website www.dns-ok.de können Anwender nun ihr System auf eine mögliche DNS-Changer-Infektion überprüfen und geänderte Netzwerkkonfigurationen mit Hilfe eines Tools des Softwareherstellers Avira automatisch auf die Windows-Standard-Einstellung zurücksetzten. Der Link zum Download der Avira DNS-Repair-Software erscheint allerdings nur, wenn bei der Systemanalyse eine Infektion festgestellt wird. Das Programm kann auch manuell von der Avira-Website heruntergeladen werden. Eine Anleitung mit Screenshots zur Handhabung des Tools gibt es außerdem auf der Website botfrei.de.


Update für Firefox, Thunderbird und SeaMonkey: Mozilla schließt mehrere Schwachstellen

Wie das Bürger-CERT auf seiner Internetseite mitteilt, hat Mozilla mehrere Schwachstellen in Firefox, Thunderbird und SeaMonkey geschlossen. Diese Schwachstellen können von einem entfernten, anonymen Angreifer ausgenutzt werden, um beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen, um den Rechner des Opfers zum Absturz zu bringen (Denial of Service), um einen Cross-Site Scripting Angriff durchzuführen oder um Daten offenzulegen oder zu manipulieren. Zur erfolgreichen Ausnutzung dieser Schwachstelle muss der Angreifer den Anwender dazu bringen eine manipulierte E-Mail oder Webseite zu öffnen.
Das Bürger-CERT empfiehlt das von Mozilla bereitgestellte Sicherheitsupdate so bald wie möglich zu installieren.


Allianz gegen Spam und Co.: Führende E-Mail-Anbieter entwickeln neue Filtertechnik

15 Unternehmen aus der Internet- und IT-Servicebranche haben sich unter dem Kürzel DMARC zu einer Allianz gegen Online-Betrugsversuche zusammengeschlossen. Ziel der Firmen - darunter Google, Yahoo, AOL, Microsoft, Paypal und Facebook - ist es, einen technischen Standard zu etablieren, um etwa Spam- und Phishing-E-Mails auf Anbieterseite frühzeitig zu entdecken und so von Anwendern fernzuhalten. Dies berichten u.a. golem.de und computerwoche.de. DMARC steht für "Domain-based Message Authentication, Reporting and Conformance" (deutsch etwa: domainbasierte Authentifizierung, Meldung und Konformitätserklärung von Nachrichten). Mit dem Filter-Standard - der auf bekannten Filtertechniken aufbaut - sollen E-Mail-Empfänger laut golem.de einfacher bestimmen können, ob eine E-Mail wirklich von dem angegebenen Absender stammt und was zu tun ist, wenn es sich um einen Betrugsversuch handelt. Zudem können Absender festlegen, dass E-Mails, die angeblich von ihnen stammen, aber nicht durch den Filter authentifiziert werden können, empfängerseitig direkt gelöscht oder in den Spamordner verschoben werden sollen. Die Allianz arbeitet bereits seit rund 18 Monaten an dem neuen Standard, hat sich aber erst jetzt der Öffentlichkeit präsentiert. Die Filtertechnik ist bereits in Feldversuchen im Einsatz und soll in naher Zukunft als technischer Standard allgemein zur Verfügung stehen. Mehr Informationen zum Thema und Erklärungen zur Funktionsweise des Filters gibt es auf der englischsprachigen Projekt-Homepage dmarc.org.

[Yilmaz]

MÄRZ 2012
----------------------------------------------------------------------------------

Altbekannter Störenfried: Botnetz Cutwail ist wieder aktiv

M86 Security Labs, Anbieter von IT-Sicherheitsdienstleistungen, hat Hinweise darauf gefunden, dass das berüchtigte Botnetz Cutwail (alias Pushdo, Pushu oder Pandex) hinter einer aktuellen Malware-Kampagne steckt. Dem IT-Magazin zdnet.de zufolge wird versucht, Anwendern unerwünscht Werbung zuzustellen und Malware auf deren Rechnern zu installieren. Entsprechende E-Mails mit Anhängen lauten im Betreff "FDIC - Suspended bank account", "End of August Statement" und "Xerox Scan". Startet der Nutzer die angehängte HTML-Seite im Browser, wird - u.a. über Sicherheitslücken in älteren Acrobat Reader-Versionen - versucht, Schadsoftware auf den Computer zu übertragen. So wurde laut M86 Security Labs der Trojaner Cridex installiert, der Anwenderdaten ausspionieren und an einen entfernten Rechner übertragen kann. Das Botnetz Cutwail war bereits Mitte 2009 sehr aktiv und war damals für 35 Prozent aller verbreiteten Spam-E-Mails verantwortlich, ist auf zdnet.de zu lesen. Das Blog botfrei.de führt weiter aus, dass zeitweise 1,6 Millionen Rechner mit dem Schadprogramm infiziert waren.

Safari und Internet Explorer: Google-Cookie umgeht Datenschutzeinstellungen

Das Wall Street Journal (WSJ) berichtet, dass Google mithilfe eines Cookies das Surfverhalten von Anwendern des Apple-Browsers Safari ohne deren Wissen und Einverständnis verfolgt hat. Dazu musste Google die Datenschutzfunktion von Safari umgehen. Denn eigentlich sperrt Safari Cookies von Drittanbietern standardmäßig. Ausnahmen gibt es nur, wenn Anwender mit einer Website interagieren, etwa ein Formular ausfüllen. Dann erlaubt Safari Cookies im Zusammenhang mit dieser Website. Laut WSJ soll Google nun in einigen seiner Werbe-Anzeigen Code in den "+1"-Button angefügt haben, damit Safari annimmt, ein ausgefülltes Formular liegt vor und den Cookie zulässt. Google hat den Code inzwischen entfernt und beteuert, keine persönlichen Anwenderdaten gesammelt zu haben. Wie u.a. golem.de berichtet, wirft auch Microsoft Google vor, gegen die Datenschutzbestimmungen im Zusammenhang mit Cookies zu verstoßen.


Bloßgestellt: Porno-Websites verlieren Kundendaten

Persönliche Daten hunderttausender Nutzer von Porno-Webportalen waren oder sind frei im Internet einsehbar. Wie u.a. sueddeutsche.de berichtet, haben die Websites YouPorn und Brazzers die Kontrolle über Kundendaten verloren. Beide Websites werden von der Firma Manwin mit Sitz in Luxemburg betrieben. Bei YouPorn sollen 6400 Datensätze betroffen sein, bei Brazzers wurden 350.000 Datensätze entwendet. Um welche Daten es sich im Fall Brazzers handelt, ist nicht bekannt. Kredtikartendaten sollen einem Bericht auf heise security zufolge jedoch nicht in unbefugte Hände geraten sein. Bei YouPorn konnten sich die Hacker über eine ungesicherte Manwin-Website Zugang zu E-Mail-Adressen und Passwörtern von Anwendern des Chats verschaffen. Manwin hat den Chat bis auf Weiteres geschlossen, heißt es in einer Meldung des Branchen-Nachrichtendienstes xbiz. heise security berichtet außerdem, dass eine Sicherheitslücke im Pornofilm-Portal videoz.com es ermöglicht, ohne Angabe eines Passwortes auf mehrere hunderttausend Datensätze von Kunden zuzugreifen. U.a. sollen Adressen, Passwörter, Kreditkartendaten und Informationen zu Filmen, die heruntergeladen wurden, für Unbefugte verfügbar sein.

Dialer sucht Freundschaft: Android-Maleware verbreitet sich über Facebook

Mit Bouncer, einer Art Türsteher-Programm, durchsucht Google seit Anfang Februar 2012 den Android-Market nach Schadsoftware. Der Bouncer soll verhindern, dass Entwickler Schadsoftware in den App-Marktplatz einstellen können. Das soll Anwender besser vor Schadsoftware schützen. Cyberkriminelle nutzen deshalb alternative Wege, um Schadcode auf Android-Smartphones unterzubringen. Wie zdnet.de in Berufung auf den IT-Security-Dienstleister Sophos berichtet, erhalten Anwender derzeit Freundschaftsanfragen für Facebook durch Unbekannte. Auf der Profilseite des Anfragenden findet sich ein Link, der eine Website öffnet, die automatisch Malware auf das Anwender-Gerät lädt. Das Schadprogramm trägt den Namen "any_name.apk". Dabei handelt es laut Sophos um einen Dialer, der ohne Zustimmung des Smartphonebesitzers teure Premium-Nummern anruft. Informationen zum sicheren Surfen im mobilen Netz gibt es auf der Website BSI FÜR BÜRGER.


Soziales Netzwerk Path: iPhone-App verschickt private Daten

Um soziale Netzwerke auch per Smartphone nutzen zu können, brauchen Anwender entsprechende Anwendungen. Die App des sozialen Netzwerks Path ist für iOS- und Android-Smartphones kostenlos erhältlich. Path musste nach einem Bericht des Bloggers Arun Thampi nun eingestehen, dass die iPhone-Version der App Anwenderdaten ungefragt an einen Server des Netzwerkbetreibers schickte. Übertragen wurde das gesamte Adressbuch, einschließlich Telefonnummern, E-Mail-Adressen und Postanschriften der Kontakte. Dies sollte laut Path dazu dienen, Anwender auf Freunde und Bekannte hinzuweisen, die den Dienst ebenfalls nutzen. Die übermittelten Daten wurden bei Path gespeichert. In Folge der Kritik habe Path nun alle über die App gesammelten Nutzerdaten von seinen Servern gelöscht. Ein Update der Anwendung ist in Apples App-Store veröffentlicht. In der Version 2.0.7 haben Anwender nun die Möglichkeit selbst zu entscheiden, ob Daten an das Unternehmen weitergegeben werden oder nicht. Wer sein Einverständnis zu einem späteren Zeitpunkt widerrufen möchte, soll eine entsprechende E-Mail an service@path.com senden.


Apple bessert nach: iOS-Update soll Anwenderdaten schützen

Laut Apple verletzen derzeit einige Apps für das iPhone und das iPad Richtlinien des Konzerns, weil sie ohne Zustimmung des Anwenders dessen Daten sammeln und übertragen. Dies meldet das IT-Magazin zdnet.de. Ein Update des iOS-Betriebssystems soll dies künftig verhindern. Daten, etwa zum Standort oder aus Adressbüchern, werden dann nur noch an Dritte weitergeleitet, wenn der Anwender dem zugestimmt hat. Apple reagiert damit auf die Vorkommnisse im Zusammenhang mit der App für das soziale Netzwerk Path, das ungefragt Nutzerdaten gesammelt und gespeichert hat (siehe oben stehende Meldung).


Chrome für Windows, Mac, Linux aktualisiert: Google verbessert Browser-Sicherheit

Google stellt ein Sicherheitsupdate für seinen Browser Chrome auf den Betriebssystemen Windows, Mac und Linux bereit. Mit der Aktualisierung auf Version 17.0.963.56 schließt Google 13 Schwachstellen. Eine kritische Sicherheitslücke ist nicht dabei, sieben sind jedoch der Risikostufe "hoch" zugeordnet. Die Schwachstellen könnten beispielsweise von entfernten Angreifern ausgenutzt werden, um Zugriffsbeschränkungen zu umgehen, Daten zu manipulieren, den Browser zum Absturz zu bringen und Schadcode innerhalb der Browser-Sandbox auszuführen. Das Bürger-CERT empfiehlt die Aktualisierung des Webbrowsers auf die neueste Version, um eine Ausnutzung der Schwachstellen zu verhindern. Anwender aktualisieren Chrome am einfachsten über die automatische Update-Routine des Browsers. Das Update wird dabei im Hintergrund heruntergeladen und mit dem Beenden des Browsers installiert. Die aktuelle Chrome-Version kann auch von der Google-Website heruntergeladen werden.

Updates für Mozilla-Software: Kritische Sicherheitslücken in Firefox, Thunderbird und SeaMonkey

Mit der Veröffentlichung von Firefox 10 Anfang Februar hat Mozilla bereits zahlreiche Sicherheitslücken des Firefox-Browsers geschlossen, wie u.a. heise security berichtete. Ein weiteres Update schloss eine von Mozilla als "kritisch" eingestufte Schwachstelle, die nur im Firefox 10 auftritt. Nun gibt es noch ein Update - auf Version 10.0.2 - das auch ältere Firefox-Versionen sowie die Programme Thunderbird und SeaMonkey betrifft. Dem Bürger-CERT zufolge steht die Schwachstelle in Zusammenhang mit der Bibliothek zur Verarbeitung von PNG-Grafikdateien. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen, heißt es. Zur erfolgreichen Ausnutzung dieser Schwachstelle muss der Angreifer den Anwender dazu bringen eine manipulierte E-Mail oder Webseite zu öffnen. Das Bürger-CERT empfiehlt die betroffenen Programme schnellstmöglich zu aktualisieren. Dies kann über die automatische Updatefunktion oder über die manuelle Installation der neuesten Version erfolgen. Die aktuelle Firefox-, Thunderbird- und SeaMonkey-Version können kostenlos von den entsprechenden Websites heruntergeladen werden.


Sicherheit für Macs: Erstes Update für Mac OS X in 2012

Apple hat ein Update für sein Betriebssystem Mac OS X veröffentlicht. Die neue Version Mac OS X Lion v10.7.3 beseitigt Fehler in der Anwendung und behebt mit dem Sicherheitsupdate 2012-001 mehrere Schwachstellen in der PC- und in der Server-Version der Software. Die Schwachstellen ermöglichen etwa das Ausführen von Schadcode oder das Ausspionieren von Anwenderdaten. Eine detaillierte Aufstellung der behobenen Sicherheitslücken gibt es auf der Website des Apple-Supports. Mac OS X 10.7.3 wird über die Softwareaktualisierung von Mac OS X zur Verfügung gestellt, kann aber auch über den Download-Bereich von Apple heruntergeladen werden.


Kritische Schwachstellen im Flash- und Shockwave-Player: Adobe stellt Aktualisierungen bereit

Der Softwarehersteller Adobe hat für seine Media-Player Shockwave und Flash-Player Aktualisierungen veröffentlicht. Mit dem Update auf Version 11.6.4.634 werden neun als kritisch beschriebene Sicherheitslücken im Shockwave-Player geschlossen, die u.a. zum Einschleusen von Schadcode missbraucht werden könnten. Dazu genüge es etwa, wenn ein Anwender eine speziell präparierte Webseite öffnet. Betroffen sind laut Adobe die Shockwave-Player-Versionen 11.6.3.633 und ältere für Windows und Mac OS X. Das Update kann von der Website des Unternehmens heruntergeladen werden. Ob Anwender Shockwave bereits installiert haben und wenn ja, welche Version, lässt sich einfach mit einer Test-Website von Adobe prüfen.
Das Update für den Flash-Player beseitigt insgesamt sieben Schwachstellen, deren Risiko Adobe "kritisch" bewertet. Sechs Schwachstellen können Angreifer ausnutzen, um einen PC über präparierte Webseiten mit Schadcode zu infizieren. Eine sogenannte Cross-Site-Scripting-Lücke wird nach Unternehmensangaben bereits von Hackern ausgenutzt. E-Mails mit Links zu manipulierten Websites seien im Umlauf. Gefährdet seien aber nur Anwender des Internet Explorers für Windows.
Die aktuelle Flash-Player Version 11.1.102.62 stellt Adobe als Download bereit, die Version für mobile Endgeräte mit Android-Betriebssystem kann über den Android Market heruntergeladen werden.


Anwenderrechte gestärkt: App-Anbieter verpflichten sich zu mehr Datenschutz

Auf Drängen des US-Bundesstaates Kalifornien haben sich die Unternehmen Apple, Google, Microsoft, Research in Motion (RIM), Hewlett-Packard und Amazon dazu verpflichtet, den Schutz ihrer Kundendaten zu verbessern. Hierüber berichten u.a. tagessschau.de und magnus.de. Alle Apps dieser Anbieter müssen der Vereinbarung zufolge strengere Datenschutzstandards erfüllen. So sollen Anwender in Zukunft besser darüber informiert werden, welche persönlichen Daten eine auf ihrem Smartphone oder Tablet-Computer installierte App erfasst und was sie damit anstellt. Außerdem sollen die Unternehmen Kommunikationskanäle bereitstellen, über die Anwender Probleme mit dem Datenschutz melden können. Von der Vereinbarung sollen nach Ansicht des kalifornischen Staates auch Anwender außerhalb der USA profitieren.


Man-in-the-Browser-Angriff: BBC-Video erklärt Funktionsweise

Die britische Fernseh-Sender BBC erklärt in einem rund zweiminütigen Video anschaulich und in englischer Sprache die Funktionsweise von sogenannten Man-in-the-Browser-Attacken. Cyberkriminelle nutzen diese Taktik etwa, um an Anwenderdaten beim Online-Banking zu gelangen. Dazu setzt sich eine Phishing-Software im Anwender-System fest und wartet, bis der Anwender sein Online-Banking-Portal aufruft. Der Trojaner öffnet nun Fenster, die augenscheinlich zum Portal des Bankinstituts gehören, und fragt Passwörter, PINs und andere Daten ab. Diese Daten werden dann an die Angreifer weitergeleitet. Durch laufende Veränderungen des Programmcodes sind die Schadprogramme von Schutzprogrammen nur schwer zu identifizieren - das macht sie besonders gefährlich, heißt es in einem weiterführenden Artikel auf BBC News. In dem Artikel erhalten Anwender Tipps, wie sie einen Man-in-the-Browser- Angriff erkennen können und wie sie sich im Fall eines Angriffs verhalten sollten.

[Yilmaz]

MÄRZ 2012
--------------------------------------------------------------------

Unerwünschte Betrachter: Android- und iOS-Smartphones erlauben fremden Zugriff auf Fotos

Berichten der New York Times zufolge, sind auf Android-Smartphones und iPhones gespeicherte Fotos nicht ausreichend vor dem Zugriff Dritter geschützt. Möchte eine iPhone-App auf Fotos zugreifen, braucht sie die Zustimmung des Anwenders. Allerdings fragt das System nur nach der Zustimmung für den Zugriff auf Ortungsdienste - die benötigen viele Foto-Apps, um Ortsangaben in den Fotos zu speichern. Dass durch die Erlaubnis zur Ortung eine App gleichzeitig Zugriff auf alle gespeicherten Fotos bekommt, wird dem Anwender nicht angezeigt.
Bei Android-Smartphones können alle Apps ohne explizite Zustimmung auf Fotos zugreifen. Ist die App dann noch mit dem Internet verbunden, ist ein Missbrauch der Daten grundsätzlich möglich. Android-Entwickler Google hat der New York Times zugesichert, die Schwachstelle zu beheben. Laut golem.de sind derzeit keine Anwendungen bekannt, die unter iOS oder Android die Schwachstellen ausnutzen.


Spieler-Daten veröffentlicht: Hacker-Angriff auf Browser-Game-Anbieter Gamigo

Der Anbieter von Browser-Spielen Gamigo aus Hamburg ist Ziel eines Hackerangriffs geworden. Dies teilte Gamigo registrierten Anwendern per E-Mail mit, berichtet u.a. golem.de. Demnach konnten Unbefugte auf Benutzernamen, verschlüsselte Passwörter und eventuell weitere personenbezogene Daten zugreifen. Die Daten wurden teilweise in einem Gamigo-Forum veröffentlicht. Ein weiterer Missbrauch ist bislang nicht bekannt. Bei Gamigo-Spielen können Anwender ihre Spielercharaktere gegen Bezahlung weiterentwickeln. Die Daten zu den Spielercharakteren seien gesichert worden. Die Passwörter aller registrierten Anwender wurden zurückgesetzt, die Anwender wurden aufgefordert, neue Zugangsdaten anzulegen.


Gefälschtes Windows: Microsoft warnt vor gefälschter Software

Microsoft warnt in einer Pressemitteilung Anwender vor gefälschten Produkten. Demnach hat der in Berlin ansässige Webshop softwarebilliger.de in der Vergangenheit womöglich tausende gefälschte Microsoft-Programme vertrieben, darunter Fälschungen der Betriebssysteme Windows 7 und XP. Trotz des Einschreitens der Justizbehörden, werden laut Microsoft auch aktuell vereinzelt noch gefälschte Programme über den Shop verkauft.
Microsoft empfiehlt Kunden, die über softwarebilliger.de Microsoft-Produkte erworben haben, diese von Microsoft kostenlos auf ihre Echtheit überprüfen zu lassen. Hierzu müssen der Datenträger, sämtliche Unterlagen über den Erwerb und eine eidesstattliche Versicherung über den Erwerbsvorgang beigefügt werden. Genaue Informationen erhalten Anwender unter microsoft.de/pid.



SCHUTZMASSNAHMEN

Mehr Sicherheit: Apple veröffentlicht iOS 5.1 und iTunes 10.6

Updates für Apples mobiles Betriebssystem iOS und den Mediaplayer iTunes schließen insgesamt über 90 Schwachstellen. Die meisten Sicherheitslücken entfallen dabei auf iTunes und das darin enthaltene WebKit. Viele der Sicherheitslücken betreffen auch iOS, das Betriebssystem für iPhone, iPad und iPod Touch, und sind in der neuen Betriebssystem-Version iOS 5.1 geschlossen worden. Die Lücken können es einem Angreifer ermöglichen, eingeschleusten Code auszuführen. Die Aktualisierung auf iOS 5.1 und iTunes 10.6 ist über die Apple Softwareaktualisierung möglich.


Dreifach-Update: Google schließt erneut Sicherheitslücken in Chrome 17

Innerhalb weniger Tage hat Google drei Updates für seinen Browser Chrome veröffentlicht. Version 17.0.963.65 für Windows, Mac und Linux schließt 17 Schwachstellen. Die neuesten Updates auf die Versionen 17.0.963.78 und 17.0.963.79 für Windows, Mac, Linux und Chrome Frame schließen Sicherheitslücken, die IT-Experten während des Google-eigenen Hacker-Wettbewerbs Pwnium aufgedeckt hatten. Das Bürger-CERT empfiehlt die neueste Google-Chrome-Version umgehend zu installieren.


Flash-Player aktualisiert: Kritische Sicherheitslücken geschlossen

Der Softwarehersteller Adobe hat seinen Flash-Player aktualisiert. Damit werden zwei vom Unternehmen als "kritisch" eingestufte Sicherheitsrisiken beseitigt. Die Schwachstellen können zum Absturz des Programms führen und von Angreifern ausgenutzt werden, um die Kontrolle über Anwender-Systeme zu erlangen. Aktualisiert werden sollten folgende Programmversionen:
Adobe Flash Player 11.1.102.62 und ältere Versionen für Windows, Macintosh, Linux
Adobe Flash Player 11.1.115.6 und ältere Versionen für Android 4.x
Adobe Flash Player 11.1.111.6 und ältere Versinen für Android 3.x und 2.x
Das Update kann kostenlos über die Adobe-Website bezogen werden. Android-Anwender können die aktuelle Version über Google Play (vormals Android Market) oder über die im Programm integrierte Updatefunktion beziehen.


Microsoft-Patchday: Schwachstellen in Windows beseitigt

Microsoft hat an seinem monatlichen Patchday sechs Sicherheitsupdates veröffentlicht. Ein Patch betrifft eine als kritisch eingestufte Schwachstelle in allen Windows-Versionen ab XP Service-Pack 3, einschließlich der Server-Ausgaben. Angreifer könnten die Schwachstelle ausnutzen, um über das Internet auf Anwender-Rechner zuzugreifen. Betroffen sind auch die Programme Visual Studio 2008 und 2010 sowie die Grafikanwendung Expression Design , die eine unerwünschte Ausweitung der Benutzerrechte ermöglichen.
Das Herunterladen und die Installation der Aktualisierungen erfolgt für Windows-Systeme am einfachsten über die Aktivierung von automatischen Updates im Microsoft Sicherheitscenter oder über einen Besuch der "Windows Update"-Webseite.


83 Sicherheitslücken geschlossen: Safari-Version 5.1.4 veröffentlicht

Apple hat seinen Browser Safari für Mac- und Windows-Systeme
aktualisiert. Neben Anpassungen in der Funktionalität bringt das Update
83 Patches zur Schließung von Sicherheitslücken. Dem Bürger-CERT zufolge können Angreifer diese Schwachstellen ausnutzen, um beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Damit könnte er das Gerät zum Absturz bringen (Denial-of-Service-Attacke), Sicherheitsfunktionen umgehen, den Anwender täuschen oder sensible Informationen offenlegen und manipulieren. Anwender müssten dazu eine manipulierte Webseite im Safari-Browser öffnen. Sie könnten beispielsweise in einer E-Mail zum Öffnen einer solchen Webseite aufgefordert werden. Eine detaillierte Auflistung der behobenen Schwachstellen stellt Apple im Internet bereit. Safari 5.1.4 kann kostenlos über das integrierte Softwareupdate von Mac OS X oder über die Website von Apple heruntergeladen werden.


Android-Antivirenprogramme im Test: Nur wenige schützen umfassend

Das Magdeburger Institut AV-Test hat 41 Virenscanner für Android-Betriebssysteme getestet. Im Fokus stand dabei die Untersuchung der Fähigkeit, Bedrohungen zu erkennen. Laut AV-Test taugen knapp zwei Drittel der Programme nicht als zuverlässige Wächter: Sie erkennen weniger als 65 Prozent der 618 getesteten Schadprogramme. Zur Spitzengruppe gehören die Produkte der bekannten Hersteller von Antiviren-Programmen (alphabetisch) (Avast, Dr. Web, F-Secure, Ikarus und Kaspersky) sowie die Lösungen von Lookout und Zoner, die auf Mobilgeräte spezialisierte Programme liefern. Diese Programme identifizierten über 90 Prozent der Bedrohungen. 65 bis 90 Prozent der Malware werden von Scannern der Hersteller (alphabetisch) AegisLab, AVG, Bitdefender, ESET, Norton/Symantec, QuickHeal, Super Security, , Trend Micro, Vipre/GFI und Webroot erkannt. Detaillierte Informationen zum Test gibt auf der Website von AV-Test.


Secunias Personal Software Inspector: Freeware sucht nach alter Software

Wer wissen möchte, ob all seine Programme auf dem neuesten Stand sind oder eventuell hier und da ein Update nötig ist, dem empfiehlt heise security und das Bundesamt für Sicherheit in der Informationestechnik in seinen Empfehlungen für PCs unter Microsoft Windows - für Privatanwender das für Privatanwender kostenlose Tool Personal Software Inspector (PSI) von Secunia. Der PSI überprüft Windows-Rechner auf Sicherheitslücken im Betriebssystem und in installierten Anwendungen. Das Programm durchsucht dabei Verzeichnisse nur nach ausführbaren Dateien, laut heise security bleiben persönliche Einstellungen unangetastet. Nach erfolgtem Scan lädt das Programm fehlende Aktualisierungen herunter oder bietet dem Anwender Links zu Aktualisierungen an. Der PSI kann von der Secunia-Website heruntergeladen

[Yilmaz]

MÄRZ 2012
----------------------------------------------------------

Falsche Online-Banking-App: Android-Trojaner stiehlt mTANs

Ein neues Schadprogramm für mobile Geräte mit Android-Betriebssystem ist in der Lage, mTANs zur Abwicklung von Online-Bankgeschäften zu stehlen. Dies berichtet u.a. pcwelt.de in Berufung auf eine Meldung von McAfee. Das Unternehmen hat das Schadprogramm aufgespürt und "Android/FakeToken.A" genannt.
Die Malware tarnt sich als mTAN-Generator-App in der Optik von Großbanken und wird aktuell im spanischen Raum über E-Mails und SMS verbreitet. Das Programm fordert Anwender auf, sich per PIN beim vermeintlichen Banking-Portal anzumelden, um Transaktionscodes zu erhalten. Die dargestellten Codes sind jedoch nutzlose Zahlenkombinationen. Im Hintergrund sendet das Programm die Zugangsdaten sowie Informationen zum Gerät und der SIM-Karte an einen entfernten Server. Die Angreifer können mit diesen Informationen echte mTANs bei der Bank anfordern, die entsprechenden SMS abfangen und weiterleiten. Zudem werden die gespeicherten Kontakte abgerufen.


Rechner in Geiselhaft: Schadprogramm sperrt Rechner im Namen von GVU und BSI

Ein Schadprogramm sperrt Rechner zu Unrecht und angeblich im Namen der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Gemäß der Pressemitteilung des BSI handelt es sich um eine neue Variante einer bereits seit 2011 bekannten Schadsoftware, mit der Kriminelle versuchen, Geld von PC-Besitzern zu erpressen. Die Schadsoftware sperrt die betroffenen Systeme und fordert die Nutzer in einer Einblendung auf, einen Geldbetrag zu entrichten, da mit dem Rechner angeblich illegale Raubkopien heruntergeladen wurden. Gegen Zahlung einer Gebühr von 50 Euro, zahlbar via Paysafecard, werde der Computer automatisch entsperrt. Es folgt eine schrittweise Anleitung zur Bezahlung mit diesem Bezahlsystem sowie eine Eingabemaske.
Die Malware versucht, durch die missbräuchliche Nutzung der Logos des BSI und der GVU vertrauenswürdig zu erscheinen und suggeriert, die beiden Institutionen stünden hinter der Sperrung. Dies ist jedoch nicht der Fall. Eine Zahlung nach dem im Schreiben angegebenen Vorgehen führt nicht zur "Entsperrung" des Rechners.


Imuler tarnt sich als Model: Neue Variante des Mac-Trojaners aufgetaucht

IT-Sicherheitsexperten der Softwarehersteller Sophos und Intego warnen vor einer neuen Variante des Mac-Trojaners Imuler, der im September 2011 erstmals aufgetaucht ist. Die als "Imuler.B" bzw. "Imuler.C" bezeichnete Malware tarnt sich als Bilddatei. Dabei wird ausgenutzt, dass Mac OS die volle Dateiendung standardmäßig nicht anzeigt. So können Bilder in der Vorschau für den Augenschein unverdächtig präsentiert werden.
Der Schadcode ist in ZIP-Dateien versteckt, die mehrere Bilddateien mit erotischen Aufnahmen der Models Renzin Dorjee und Irina Shayk enthalten. Die Dateien tragen die Bezeichnung "Pictures and the Ariticle of Renzin Dorjee.zip" oder "FHM Feb Cover Girl Irina Shayk H-Res Pics.zip". Laut golem.de verfügt das Schadprogramm nicht nur über eine gute Tarnung, es verwischt sogar seine Spuren. Sobald die Anwendung mit dem Model-Bild gestartet wird, wird eine JPEG-Bild-Datei erzeugt, der Virus installiert und die Installationsdatei für den Virus gelöscht. Für den Anwender wird die Dateierweiterung ".jpg" sichtbar und das Programm öffnet eine Hintertür und sendet u.a. Daten und Screenshots an einen entfernten Server. Die Malware vergibt jedem infizierten Mac eine Identifikationsnummer, um die gesendeten Dateien zuordnen zu können.
Anwender können sich schützen, indem sie eine aktuelle Anti-Virus-Software nutzen und die Dateiendungen für alle Dateien einblenden. Um diese Funktion zu aktivieren, muss unter Finder -> Einstellungen -> erweiterte Einstellungen in der Checkbox "Alle Dateinamensuffixe einblenden\u201d ein Haken gesetzt werden.


Sicherheitsupdate für VLC-Mediaplayer: Version 2.0.1 schließt zwei Schwachstellen

Der kostenlose und quelloffene Media-Player VLC ist in einer aktualisierten Version verfügbar. Der VLC 2.0.1 beseitigt nach Angaben des Entwickler-Konsortiums u.a zwei Sicherheitslücken (siehe VideoLAN-SA-1201 und VideoLAN-SA-1202). Die Schwachstellen können es Angreifern ermöglichen, mit speziell präparierten Mediendateien Code einzuschleusen und auszuführen. Betroffen sind die Streaming-Formate RTSP (Real Time Streaming Protocol) und MMS (Microsoft Media Server). Zur erfolgreichen Ausnutzung dieser Schwachstellen muss der Angreifer den Anwender dazu verleiten, speziell manipulierte MMS- oder RTSP-Streams zu öffnen. Die aktuelle Version des Players ist über die integrierte Update-Funktion des VLC Media-Players oder über einen manuellen Download auf der Webseite des Videolan-Projekts möglich.


Update für Google Chrome: Neun Sicherheitslücken werden geschlossen

Google hat ein Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Die Version 18.0.1025.142 für Windows, Mac, Linux und Chrome Frame schließt neun Sicherheitslücken. Das Risiko, dass von den Schwachstellen Gefahren für Anwendersysteme ausgehen, wird von Google in drei Fällen als "hoch" eingeschätzt. Der technischen Warnung des Bürger-CERT vom 29.03.2012 zufolge könnten die Sicherheitslücken von entfernten Angreifern genutzt werden, um Zugriffsbeschränkungen zu umgehen, Daten zu manipulieren, den Browser zum Absturz zu bringen und Schadcode innerhalb der Browser-Sandbox auszuführen. Die Aktualisierung des Programms kann über die automatische Update-Routine des Browsers erfolgen. Das Update wird im Hintergrund heruntergeladen und mit dem Beenden des Browsers installiert. Alternativ steht die aktuelle Chrome-Version bei Google zum Download bereit.


Warum E-Mails im Spam-Ordner landen: Google-Mail erklärt automatischen Filter

Google erklärt Nutzern seines E-Mail-Dienstes Google-Mail neuerdings, warum elektronische Post im Spam gelandet ist. Wer eine Spam-Mail öffnet, findet zwischen der Adresszeile und dem Text einen Kasten mit dem Titel "Warum ist diese E-Mail im Spamordner?" sowie eine kurze Begründung und bei bestimmten Spam-Mails auch Handlungsanweisungen und Sicherheitstipps. Wer weiterführende Informationen wünscht, kann über einen Link zu den Hilfe-Seiten von Google gelangen. Dort gibt es beispielsweise detaillierte Erläuterungen zu den verschiedenen Arten von Spam-Mails und die von ihnen ausgehenden Risiken. Google hat den neuen Service im firmeneigenen Blog vorgestellt. Ziel sei es, den Anwendern Gelegenheit zu geben sich näher mit den Bedrohungen durch Spam auseinandersetzen.


"Zeus"-Botnetz teilweise lahmgelegt: Teilerfolg im Kampf gegen organisierte Cyberkriminalität

US-Behörden ist ein Schlag gegen die organisierte Cyberkriminalität gelungen. Dies berichten u.a. golem.de und sueddeutsche.de und berufen sich dabei auf eine Meldung der New York Times. Demnach haben US-Vollzugsbeamte gemeinsam mit Microsoft-Mitarbeitern zwei Bürogebäude in den US-Bundesstaaten Pennsylvania und Illinois durchsucht und Server des seit langem aktiven Botnetzes "Zeus" abgeschaltet. Im Youtube-Kanal von Microsoft ist ein Video zu sehen, das die Aktion erläutert. Über die kaltgestellten Server sollen insgesamt 3357 Botnetze gesteuert worden sein. Da die gesamt Botnetz-Struktur hoch komplex ist, war das Ziel der Razzia laut Microsoft, der Infrastruktur der Cyberkriminellen zu schaden. Außerdem sollen die bei der Durchsuchung sichergestellten Informationen weitere Ermittlungen erleichtern und Internetprovidern helfen, Anwender besser zu schützen.
Mit dem Zeus-Trojaner ist es möglich, über Man-in-the-Middle-Angriffe Zugangsdaten zu Bankkonten zu stehlen. Verteilt wird die Software vor allem über Drive-by-Downloads und per E-Mail. Microsoft engagiert sich besonders im Kampf gegen Botnetze, da viele Botnetze aufgrund der hohen Verbreitung von Microsoft Windows hauptsächlich aus infizierten Windows-Rechnern bestehen.

[Yilmaz]

April 2012

----------------------------------------------------------------------

Entwickler warnen vor Nutzung: Falsche VLC-App

In einer Twitter-Nachricht hat das Entwickler-Konsortium VideoLAN vor einer falschen App des Multimedia-Players VLC gewarnt. Die Anwendung für Android-Betriebssysteme, die vermutlich Malware enthielt, konnte bis vor Kurzem in Googles App-Store heruntergeladen werden. Anwender werden aufgefordert, die Anwendung nicht zu nutzen. Derzeit ist keine offizielle Version des VLC-Players als App erhältlich. Die Entwickler werden eine Veröffentlichung zu gegebenem Zeitpunkt bekanntgeben.


Android-Bot greift gerootete Smartphones : Umfassender Zugriff

Besitzer eines Android-Smartphones oder Tablet-PCs können das Betriebssystem ihres Geräts rooten, also so verändern, dass Anwendungen Rechte erhalten, die über die in den Werkseinstellungen vorgesehenen hinausgehen. Der Hersteller von Antivirensoftware NQ Mobile hat nun das Schadprogramm DKFBootKit entdeckt, das auf gerootete Geräte zugeschnitten ist. Die Variante der DroidKungFu-Malware wird gemeinsam mit vermeintlich harmlosen und unverdächtigen Apps übertragen, die Rootrechte benötigen. Nach erfolgter Installation erhält das Schadprogramm auf diese Weise ebenfalls umfangreiche Rechte und kann ohne Kenntnis des Anwenders etwa aus der Ferne gesteuert werden und beliebig Programme auf dem Gerät installieren oder entfernen. NQ Mobile rät Anwendern, Apps nur aus seriösen Quellen zu beziehen und einen aktuellen Virenscanner zu installieren.


Sicherheitslücke in Erweiterung für Google Chrome: Gar nicht hilfreich

Im offiziellen Chrome Web Store, über den Google Erweiterungen für seinen Browser Chrome anbietet, ist Malware aufgetaucht. Dies berichtet das Sicherheitsunternehmen Kaspersky. Die Schadprogramme wurden mittlerweile von Google aus dem Store entfernt. Sie tarnten sich als FlashPlayer und als vermeintliche Erweiterungen für Facebook-Profile, mit denen Anwender etwa die Farbe ihres Profils anpassen oder Viren entfernen können sollten. Tatsächlich handelte es sich um Trojaner, die die Kontrolle über die Profile übernahmen. Die Malware hat Spam an alle Freunde des gekaperten Anwenderkontos versendet und für die manipulierten Erweiterungen geworben. Zudem wurden bestimmte Facebook-Seiten automatisch mit "Gefällt mir" markiert, wofür die Cyber-Kriminellen laut Kaspersky mutmaßlich Geld bekommen.
Browser-Erweiterungen haben teilweise weitgehende Zugriffsrechte auf die Daten der Anwender auf Rechnern und im Internet. Allerdings können Informationen zu den Zugriffrechten im Chrome Web Store bei den einzelnen Apps unter dem Reiter "Details" eingesehen werden.


Updates für Windows und Office: Microsoft Patchday

Der Patchday von Microsoft für den Monat April bringt sechs Sicherheitsupdates, die insgesamt elf Sicherheitslücken unter anderem in Windows- und Office-Versionen schließen. Eine als "kritisch" eingestufte Schwachstelle findet sich in den Internet Explorer-Versionen 6, 7, 8 und 9. Weitere Updates gibt es für "kritische" Sicherheitslücken in Office 2003, 2007 und 2010. Alle gefundenen Schwachstellen können von Unbefugten missbraucht werden, um aus der Ferne Schadcode auf Anwendersystemen auszuführen. Nähere Erläuterungen zu den einzelnen Patches liefert das Microsoft Security Bulletin. Die Aktualisierungen lassen sich über die "Windows Update"-Website installieren.


Java-Sicherheitsupdates verfügbar: Trojaner nutzen Schwachstellen

Eine kritische Schwachstelle in der Laufzeitumgebung Java betrifft sowohl Mac- als auch Windows-Anwender. Dies berichten unter anderem heise.de und Microsoft. Eine Ausnutzung der Schwachstelle ist bereits über den Besuch von manipulierten Webseiten möglich. Nach Angaben von zdnet.de und golem.de sind mittlerweile weltweit rund 600.000 PCs infiziert.
Anwender sollten prüfen, ob sie die Java-Laufzeitumgebung für ihre Arbeit am PC benötigen. Wer auf Java verzichten kann, sollte dies tun. Unter Mac OS kann Java über die "Java-Einstellungen" abgeschaltet werden, unter Windows erfolgt eine Deinstallation über "Start > Einstellungen > Systemsteuerung > Programme und Funktionen". Anwender, die die Software benötigen, sollten diese gemäß den Möglichkeiten ihres Betriebssystems auf dem aktuellsten Stand halten. Besonders für Anwender von Microsoft Windows besteht ein großes Risiko, da die Schwachstelle mittlerweile von sogenannten Exploit Packs verwendet wird, die der vereinfachten Generierung von Schadprogrammen dienen. Ob eine aktuelle Java-Version installiert ist, kann auf der Webseite des Java-Anbieters Oracle überprüft werden.
Für Microsoft Windows stehen mit Java Version 6 Update 31 und Version 7 Update 3 seit Februar schützende Updates zur Verfügung, die genutzt werden sollten. Außerdem sollte in den Java-Einstellungen von Windows die Option des automatischen Updates angewählt werden.
Auch der Mac-Trojaner "Flashback" nutzt die kritische Java-Schwachstelle aus. Flashback ist eine weit entwickelte Schadsoftware, die in Apple Mac OS X eingebaute Schutzmaßnahmen umgehen kann. Auch Mac OS X-Anwender haben nun die Möglichkeit, verwundbare Java Versionen zu aktualisieren. Dies geschieht unter Mac OS X am einfachsten über die integrierte Funktion "Software-Aktualisierung" des Betriebssystems.
Einen gewissen Schutz bieten die Browser von Mozilla und Google. In der aktuellen Version von Mozilla Firefox werden unsichere Plugins (zum Beispiel alte Java-Versionen) gesperrt. In Google Chrome ist Java standardmäßig deaktiviert, die Ausführung von Java-Inhalten muss vom Anwender im Bedarfsfall manuell freigegeben werden.


Update für Adobe-PDF-Anwendungen: Kritische Schwachstellen

Das Software-Unternehmen Adobe hat Updates für seine PDF-Anwendungen veröffentlicht. Damit sollen als kritisch eingestufte Sicherheitslücken in den Programmversionen bis Adobe Reader und Acrobat 10.1.2 unter Windows und Mac OS X geschlossen werden. Zudem gibt es Aktualisierungen für den Reader bis zu Version 9.4.6 unter Linux. Die Updates für den Reader und Acrobat können mittels der automatischen Produktaktualisierung durchgeführt werden. In der Standardkonfiguration wird regelmäßig automatisch nach Updates gesucht. Die Überprüfung auf Aktualisierungen lässt sich jedoch auch manuell aktivieren: "Hilfe" > "Nach Updates suchen".


Kritik an Datenschutz in Apples iCloud: Verschlüsselt, aber nicht sicher

Die Nutzungsbedingungen für Apples iCloud geraten in die Kritik. Nachdem bereits im Januar computerbild.de im Rahmen eines Produktvergleichs die Datenschutzvereinbarung aus juristischer Sicht negativ bewertet hat, übt nun auch das US-amerikanische IT-Fachmagazin arstechnica.com Kritik.
Laut spiegel.de erklärt Apple, dass Dokumente, Backup-Daten, Kontakte, Kalender und Standortdaten verschlüsselt in der iCloud gespeichert werden. Dass Anwenderdaten nicht vom Kunden selbst, sondern vom Cloud-Anbieter verschlüsselt werden, ist nicht ungewöhnlich und die Bedingungen dafür werden etwa im Eckpunktepapier des BSI zum Thema Cloud Computing beschrieben. Apple nimmt sich jedoch das Recht, die Daten jederzeit wieder zu entschlüsseln, etwa um sie an Dritte weiterzugeben. So heißt es in der Datenschutzrichtlinie:
"Sie willigen außerdem ein, dass diese Daten in die USA oder in andere Länder übermittelt werden können, um von Apple, seinen verbundenen Unternehmen und/oder deren Dienstleistern gespeichert, verarbeitet und genutzt zu werden." Den Zugriff auf das Anwender-Konto und die Weitergabe der Inhalte behält sich Apple für die Fälle vor, für die "dies vernünftigerweise erforderlich oder angemessen" ist bzw. wenn dies notwendig ist, etwa um Straftaten zu verhindern oder aufzudecken.


"Stalker-App" vom Markt genommen: "Girls Around Me"

Nach umfangreicher Kritik in vielen Medien haben die Entwickler der iOS-App "Girls Around Me" ihr Produkt aus dem iTunes App-Store entfernt. Einen umfangreichen Überblick über die Berichterstattung liefern sueddeutsche.de und zeit.de.
Der Protest gegen die App "Girls Around Me" richtet sich vor allem gegen die Verknüpfung öffentlich verfügbarer Daten von Facebook und dem Lokalisierungsdienst Foursquare, um Anwendern den Standort weiblicher und männlicher Nutzer dieser Dienste getrennt auf einer Karte anzuzeigen. Die Anwender der App konnten die angezeigten Personen dann etwa via Facebook oder direkt persönlich kontaktieren.
Blogs, darunter cultofmac.com, kritisierten die App als Werkzeug für Stalker. Die Anwendung erwecke cultofmac.com zufolge in Namensgebung, Bezeichnung und Aufmachung den Eindruck, unbekannte Frauen ausfindig machen und verfolgen zu können. Auch Foursquare ging die App zu weit und der Lokalisierungsdienst entzog den Entwicklern die Erlaubnis, die Foursquare-Schnittstelle weiter zu nutzen. Daraufhin musste die Anwendung, die nach Angaben der Programmierer bis dahin rund 70.000mal heruntergeladen wurde, aus dem iTunes App-Store genommen werden. Der App-Entwickler hingegen vertrat gegenüber der Online-Ausgabe des Wall Street Journal den Standpunkt, die App nutze nur Daten, die Anwender öffentlich preisgegeben hätten.

[Yilmaz]

MAI 2012
---------------------------------------------------------------
Mac-Trojaner "SabPub/SabPab": Malware nutzt bekannte Schwachstellen

Ein Trojaner namens SabPub oder SabPab infiziert derzeit Mac-Computer in aller Welt. Dies meldet heise.de unter Berufung auf Berichte der IT-Sicherheitsanbieter Sophos und Kaspersky. Eine alte Variante des Trojaners nutzt dabei die auch vom Flashback-Trojaner ausgenutzte Java-Sicherheitslücke in Mac OS X aus. Die Schwachstelle lässt sich per Java-Update oder Entfernungstool beheben (siehe Meldung unter "Schutzmaßnahmen").
Eine neuere Variante von SabPub/SabPab versteckt sich in manipulierten Word-Dokumenten, mit denen Anwender von Microsoft Office für Mac 2004 und 2008 angegriffen werden sollen. Dabei wird eine seit 2009 bekannte und per Update bereits geschlossene Sicherheitslücke in Microsoft Office für Mac ausgenutzt.
Laut computerwoche.de wurde in den bisher bekannten Fällen über E-Mails mit dem Thema Tibet/Dalai Lama versucht, den in einem Word-Dokument versteckten Trojaner zu übertragen. Öffnen Anwender das Dokument, installiert sich die Malware und versucht ein Botnetz aufzubauen.
zdnet.de empfiehlt Anwendern von Mac OS X, ihre Microsoft Office-Anwendungen auf Aktualität zu prüfen und ggf. auf den neuesten Stand zu bringen.


Falsche Telekom-Rechnung: PDF-Anhang enthält Malware

Aktuell sind gefälschte E-Mail-Rechnungen von der Telekom im Umlauf. Das berichtet heise.de. Die E-Mails mit dem Betreff "Telekom GmbH Online_Rechnung. 042012" enthalten eine PDF-Datei mit Malware im Anhang. Wer den Anhang öffnet, riskiert, dass sein System mit Spionage-Software infiziert wird, so heise.de. Die angebliche Rechnung nutze mindestens eine bekannte Schwachstelle im Adobe Reader aus, um Schadsoftware aus dem Internet nachzuladen und zu installieren.
Die gefälschten Rechnungen unterscheiden sich optisch nur in Details von originalen Rechnungen. Die Adressaten werden offenbar auch mit Namen angesprochen. In einem Update der Meldung berichtet heise.de, dass bereits ähnliche Mail-Wellen mit angeblichen Vodafone-Rechnungen vorliegen.
Wie Anwender zwischen Original und Fälschung unterscheiden können, ist auf sueddeutsche.de nachzulesen. Die Website BSI FUER BUERGER gibt Anwendern Tipps, wie sie Software wie den Adobe Reader immer auf dem neuesten Stand halten können.


Tiefgreifender Lösegeldtrojaner: Malware verhindert Normal-Start

Der Hersteller von IT-Security-Software Trend Micro warnt vor einer neuen Ransomware für Windows 2000, Windows XP, Windows Server 2003 bzw. einem Lösegeld-Trojaner. Dabei sperrt die Malware den Rechner des Anwenders, bis dieser einen Geldbetrag an die mutmaßlichen Cyber-Erpresser überwiesen hat. In vielen Fällen sind die Lösegeldzahlungen wirkungslos. Anders als vorhergehende Ransomware, wie der GEMA- oder BKA-Trojaner, nistet sich der nun aufgetauchte Trojaner im sogenannten Master Boot Record ein, und kann so den Start des Computers komplett verhindern.
Die Malware wird über präparierte Websites übertragen. Nach der Installation führt das Programm einen Neustart durch und fordert den Nutzer auf, rund 90 Euro zu zahlen. Dafür soll es einen Code geben, mit dem der Rechner wieder freigeschaltet werden kann.
Trend Micro hat eine Anleitung veröffentlicht, mit der sich der Schadcode kostenlos entfernen lässt.


Sicherheitslücke in IrfanView-Plugin: Gefahr durch manipulierte FlashPix-Dateien

Ein Plugin für das Freeware-Bildbearbeitungsprogramm IrfanView enthält eine Sicherheitslücke. Dies berichtet u.a. golem.de. Betroffen ist das Plugin, das die Betrachtung von Bilddateien im Format FlashPix (Dateiendung: .fpx) ermöglicht. Das fehlerhafte Plugin war im Plugin-Paket Version 4.33 enthalten. Wird eine manipulierte FlashPix-Datei damit geöffnet, könnten Angreifer beliebigen Schadcode ausführen.
Über die Website von IrfanView können Anwender ein aktualisiertes Plugin herunterladen.


Gefährliches Spiel: Variante von "Angry Birds Space" enthält Malware

Die Episoden der Spiele-Reihe "Angry Birds" werden vornehmlich auf mobilen Endgeräten gespielt und sind in App-Stores verfügbar. Den Erfolg des Spiels versuchen Cyber-Kriminelle nun offenbar auszunutzen. Dem IT-Sicherheitsdienstleister Spohos zufolge sind manipulierte Versionen der jüngsten Episode "Angry Birds Space" in inoffiziellen Android-Webstores aufgetaucht. Die voll funktionsfähigen Varianten enthielten ein trojanisches Pferd, das sich Root-Zugriff auf das Android-Gerät verschafft und Code installiert. Fortan kann das Schadprogramm über eine Website weiteren Schadcode nachladen und auf dem Endgerät installieren. Infizierte Geräte werden zudem Teil eines Botnetzes.
Sophos empfiehlt Anwendern, Apps nur aus vertrauenswürdigen Quellen herunterzuladen.


Falsche Falsch-Überweisung: Neue Masche beim Online-Banking-Betrug?

Über eine erstmals angezeigte Betrugsmasche beim Online-Banking berichtet die jenaer-internetzeitung.de unter Berufung auf einen Bericht der Polizei Jena. Demnach gaukeln mutmaßliche Betrüger mithilfe einer Schadsoftware Anwendern beim Aufruf ihres Online-Banking-Portals vor, dass auf ihr Konto versehentlich Geld überwiesen wurde. Der Kontoinhaber wird gebeten, dieses Geld zurück zu überweisen.
Augenscheinlich findet sich der genannte Betrag als Gutschrift auch auf dem Konto. Tatsächlich ist aber kein Geld eingegangen, die Malware gaukelt den Umsatz nur vor. Klickt der Kontoinhaber auf den Button "Retouren", wird er direkt auf die Überweisung weitergeleitet, die automatisch mit den Empfängerdaten der Betrüger ausgefüllt ist. Sendet der Kontoinhaber die Überweisung ab, wird der Betrag an die Betrüger überwiesen.
Nach Aussage der Polizei Jena können gängige Sicherheitsverfahren hier nicht greifen, da die Überweisung vom Kontoinhaber autorisiert wird.
Das Bundeskriminalamt rät Anwendern, Meldungen, die zu Rücküberweisungen auffordern, nicht Folge zu leisten. Statt dessen solle man sich an die nächste Polizeidienststelle wenden.


"Draw something": Beliebte "Montagsmaler"-App enthält Abofalle

Bei der Social-Gaming-App "Draw Something", muss der Anwender Gegenstände und Begriffe zeichnerisch darstellen, andere müssen erraten, um was es sich handelt. Wie heise.de unter Berufung auf einen Bericht des IT-Sicherheitsdiensleisters Kaspersky schreibt, ist die kostenlose Variante des Spiels selbst kein Sicherheitsrisiko. Gefährlich könne jedoch eingeblendete Werbung sein, die Anwender in eine Abofalle locken kann. Eine Nachricht in der Aufmachung des Smartphone- Betriebssystems weist Anwender darauf hin, das Upgrades zur Verbesserung der Akkuleistung zur Verfügung stünden. Dazu müsse eine Nummer in den USA angerufen werden. Nur wer das Kleingedruckte liest, erfährt, dass er mit diesem Anruf einen SMS-Premium-Dienst für 9,99 US-Dollar im Monat abonniert. Von einem Akku-Upgrade ist ferner keine Rede mehr. Kaspersky hat die Abofalle für die Android-Version der App nachgewiesen. Ob sie auch in iOS-Version vorhanden ist, ist unklar. Laut Kaspersky wurde das Spiel insgesamt weltweit 50 Millionen mal heruntergeladen.


Online-Verlag gehackt: IT-Medien vertrieben unwissentlich Malware

Die Computec Media AG, Betreiber von Online-Medien, ist nach eigener Aussage Opfer eines Hackerangriffes geworden. Betroffen sind u.a die Websites pcgames.de, pcaction.de und gamezone.de. Eine vollständige Liste der betroffenen Websites wurde in einer Stellungnahme auf pcgames.de veröffentlicht. Dort heißt es auch, es sei Angreifern gelungen, Zugriff u.a. auf Downloads und Werbemittel zu bekommen. Diese wurden so modifiziert, dass sich Anwender darüber möglicherweise Schadsoftware, Keylogger und Trojaner heruntergeladen haben und ihr System infiziert wurde.
Auch die Datenbanken und Server wurden möglicherweise manipuliert. Passwörter von Anwendern könnten so bei der Eingabe auf den gehackten Websites abgefangen oder durch den heruntergeladenen Keylogger aufgezeichnet worden sein. Anwender sollten deshalb, so empfiehlt es die Computec Media AG, umgehend ihr Passwort ändern, auch bei Diensten, bei denen das gleiche Passwort verwendet wird. In der Stellungnahme gibt das Medienunternehmen betroffenen Anwendern Tipps und Handlungsanweisungen, wie die Malware entfernt werden kann und welche Sicherheitsmaßnahmen zu ergreifen sind.



Tools, um "Flashback" zu entfernen: Anwender haben mehrere Möglichkeiten

Der Flashback-Trojaner, der Hunderttausende Apple-PCs infiziert und zum Teil eines Botnetzes gemacht hat, treibt weiter sein Unwesen.
Apple bietet Anwendern die Anwendung zur Beseitigung der Malware auf zwei Weisen an:
1. Das Tool wird zusammen mit Updates für Java für die Betriebssysteme Mac OS X Lion 2012-003 und Mac OS X 10.6-Update 8 ausgeliefert.
2. Das Tool ist für sich allein verfügbar. Gedacht ist dies für Anwender, die kein Java installiert haben.
Zudem bietet der Antivirensoftware-Hersteller F-Secure ein kostenloses Flashback- Entfernungstool für Mac-Anwender an.


Sicherheitsupdate für WordPress: Sechs Schwachstellen werden beseitigt

Die Blogging-Software WordPress ist in einer aktualisierten Version verfügbar. Mit Wordpress 3.3.2 schließen die Entwickler sechs Sicherheitslücken. Laut zdnet.de lagen einige der Schwachstellen in Bibliotheken, die unter anderem dem Hochladen und Einbetten von Mediendateien dienen. Zudem wurden zwei Lücken geschlossen, die Cross-Site-Scripting ermöglichten. Angreifer könnten hierdurch eigenen Javascript-Code in bestimmte WordPress-Seiten einschleusen.
Detaillierte Informationen zu den behobenen Schwachstellen finden sich im Änderungsprotokoll. Die aktuelle WordPress-Version kann von der deutschen WordPress-Seite heruntergeladen werden.


Standard-PIN erlaubt Zugriff auf Netzwerke : Schwachstelle in WLAN-Routern

Das BSI informiert in seiner Pressemitteilung über einen Fehler in der WPS-PIN-Methode von WLAN-Routern. Betroffen sind mehrere von der Telekom vertriebener WLAN-Router. Nach Informationen der Telekom haben die WLAN-Router (Speedport W 504V, Speedport W 723 Typ B und Speedport W 921V) eine Schwachstelle, die den unautorisierten Zugriff auf interne Netzwerke ermöglicht. Der Grund ist ein Fehler in der WPS-PIN-Methode, die Nutzern eine vereinfachte Einrichtung ihres WLANs ermöglicht. Da in diesen Routern die gleiche WPS-PIN existiert, könnte ein Angreifer sich unautorisiert mit dem internen Netzwerk verbinden. Anschließend kann er über den Internet-Zugang im Internet surfen und auf die Dateien von Netzwerkfestplatten oder freigegebenen Ordnern zugreifen.
Anwender der beiden WLAN-Router Speedport W 504V und Speedport W 723V Typ B sollten vorübergehend über die Konfigurations-Weboberfläche des Gerätes die WPS-Funktionalität deaktivieren. Bei dem Modell Speedport W 921V funktioniert diese Option nicht und auch das Ändern der PIN schließt die Lücke nicht. Deshalb können sich Betroffene momentan nur durch die Abschaltung des WLANs schützen und kabelgebunden ins Internet gehen. Um durch zukünftige Firmware-Updates geschützt zu werden, sollten Nutzer der entsprechenden Router sicherstellen, dass die Funktion automatischer Updates aktiviert ist.




Trotz Warnung in die Falle getappt: Laut BGH-Urteil haften Bankkunden für Fahrlässigkeiten beim Online-Banking

Opfer von Online-Banking-Betrug können nicht in jedem Fall auf die Rückerstattung der verlorenen Geldbeträge durch die Bank hoffen. Dies ist ein Fazit aus dem Urteil des Bundesgerichtshofs (BGH) vom 24. April 2012, das in einer Pressemeldung zusammengefasst wird.
Verhandelt wurde der Fall eines Bankkunden, dessen Computer mit Malware infiziert wurde. Diese leitete den Anwender bei Aufruf des Online-Banking-Portals auf eine manipulierte Website in der Optik der Hausbank um. Das Programm forderte den Anwender auf, zehn Transaktionsnummern in ein Feld einzugeben. Mithilfe dieser TANs konnten sich die Angreifer 5000 Euro vom Anwenderkonto überweisen. Die Bank ist in diesem Fall nicht zur Erstattung des Verlustes verpflichtet. Sie hat Anwender im Log-in-Bereich der Online-Banking-Website ausdrücklich mit dem Hinweis gewarnt: "Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im ... Net-Banking auffordern!". Dem BGH zufolge habe der Kunde fahrlässig gehandelt: "Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat". Der klagende Anwender habe damit keinen Anspruch auf Erstattung des verlorenen Geldes.
Auf den Webseiten von BSI FUER BUERGER erhalten Anwender Hinweise zur sicheren Handhabung des Online-Bankings und zu Schutzprogrammen, die vor Angriffen durch Cyberkriminelle schützen.