Cyberoam: E-Mail wichtigster Malware-Kanal

Nach einem Bericht von Cyberoam, Anbieter von Security-Software, sind E-Mails eine der wichtigsten Methoden zur Verbreitung von Malware. Beim Spam, so die Analyse Q2 2009 Internet Threats Trend Report würden Cyberkriminelle verstärkt auf bewährte Methoden setzen. Cyberoam hat mehrere Wellen von Spam-Mails identifiziert, die nach dem Zufallsprinzip Textbausteine zu aktuellen Themen des Tagesgeschehens kombinierten, um so Spam-Filter zu passieren und die Echtheit der entsprechenden Adresse belegen zu können. Besonders beliebte Themen für diese Bausteine seien in den vergangenen Monaten die Wirtschaftskrise, die Schweinegrippe und der Tod von Michael Jackson gewesen. Der Report hebt hervor, dass Kriminelle den Anwendern dorthin folgen würden, wo diese am aktivsten seien. So beobachtete Cyberoam einen erheblichen Anstieg des Malware-Levels auf beliebten Video-Streaming und Community-Seiten. Allen diesen Angriffen sei gemein, dass sie vor allem auf mangelndes Sicherheitsbewusstsein von Anwendern setzten. Dieses ermögliche es erst, technische Schwachstellen auszunutzen.

Infos zur JScript-Lücke von Firefox

Aufgrund eines Fehlers in der Bearbeitung von Javascript können präparierte Webseiten auf dem PC eines Surfers beliebigen Code einschleusen. Secunia hat das Problem bei der Firefox-Version 3.5 bestätigt und als Highly Critical eingestuft. Die Entdecker des Exploits haben einen Beispielangriff inszeniert – das Samplescript soll den Windows-Taschenrechner starten.

Das Problem wird nach Angaben von Mozilla vom JIT-Compiler (Just in Time) für Java Script verursacht. Mozilla rät, den JIT über den Schalter javascript.options.jit.content in about:config zu deaktivieren. Dadurch sei das Problem nicht beseitigt aber fürs erste abgeschwächt.

Erste Tests von Heise haben ergeben, dass Firefox beim Aufruf des Milworm-Scripts unter Vista abstürzt, ohne dass der Windows-Taschenrechner startet. Auf meinem PC hält Firefox 3.5 unter Windows XP dem Milworm-Script sogar Stand und stürzt nicht ab. Zwar reagiert der Browser zunächst nicht. Nach kurzer Zeit erscheint jedoch die Warnmeldung Nicht antwortendes Script und mit einem Klick auf Skript stoppen lässt sich das Skript wieder beenden.

Update 1: Firefox 3.5.1 schließt die Sicherheitslücke.

Noscript manipuliert Adblock Plus

Noscript und Adblock Plus sind die beiden Addons, deren zusätzliche Installation ich bislang auch jedem Firefox-Nutzer nahegelegt habe. Das werde ich eventuell überdenken müssen. Die häufigen Noscript-Updates und damit jedesmal verbundenen Aufrufe der Webseite des Autors kamen mir schon länger eigenartig vor, aber viel Gedanken habe ich mir deswegen nicht gemacht.

Gewundert hat mich nur immer, dass auf der automatisch geöffneten Seite keine Infos zum jeweiligen Update stehen. Das wäre ja noch naheliegend gewesen, aber um die Release Notes zu lesen, hätte man weiterklicken müssen. Die Gründe für dieses Verhalten werden jetzt allerdings klar.

Wladimir Palant, der Autor von Adblock Plus, berichtet in seinem eigenen Blog, warum Noscript dies macht: Nicht um zu informieren, sondern um möglichst viele Besucher auf die eigenen mit Werbung versehenen Seiten zu zwingen. Hätte man sich ja denken können. Kann man auch nachvollziehen, wenn der Noscript-Autor diesmal nicht über das Ziel hinaus geschossen wäre: Die aktuelle Noscript-Version erstellt heimlich ein Filterabo in Adblock Plus und setzt sich so auf die Whitelist des Werbefilters. Außerdem deaktiviert sich Noscript selbst automatisch auf seiner eigenen Webseite.

Wenn man den folgenden Screenshot aus meiner Adblock-Plus-Filterliste betrachtet, sieht man, dass Noscript einige Webseiten ungefragt freischaltet wie zum Beispiel informaction.com und hackademix.net.

manipulierte whitelist

Sieht so aus, als muss man sich künftig wirklich genauer überlegen, mit welchen Firefox-Addons man experimentiert. Das Problem ist, dass jedes Addon bislang alles darf, also beispielsweise auch andere störende Addons manipulieren.

Die von Wladimir Palant erwähnte „versteckte Funktion“, mit der man Noscript den Besuch der eigenen Webseite nach einem Update untersagen kann, habe ich nicht gefunden. Einer der Leser vielleicht?

(via Fefe)

Update 1: Der Noscript-Autor rudert zurück.

IMPORTANT UPDATE FOR ADBLOCK PLUS USERS: NoScript 1.9.2.6 automatically and permanently removes the controversial „NoScript Development Support Filterset“, with no questions asked.

Der Schaden ist allerdings bereits angerichtet. Mal sehen, ob der Autor den Geist wieder zurück in die Flasche bekommt. Ich halte Noscript jedenfalls weiterhin für ein unverzichtbares Sicherheits-Addon.

Update 2: Die „versteckte Funktion“ gibt es tatsächlich nicht in den Noscript-Einstellungen. Um dem Addon den Besuch der Noscript-Webseite nach jedem Update auszutreiben, muss man den Eintrag noscript.firstRunRedirection in about:config auf false setzen.

Update 3: Addons, die auf der Mozilla-Webseite gelistet werden wollen, müssen sich künftig zusätzlichen Bedingungen stellen:

Changes to default home page and search preferences, as well as settings of other installed add-ons, must be related to the core functionality of the add-on. If this relation can be established, you must adhere to the following requirements when making changes to these settings:

* The add-on description must clearly state what changes the add-on makes.
* All changes must be ‘opt-in’, meaning the user must take non-default action to enact the change.
* Uninstalling the add-on restores the user’s original settings if they were changed.

These are minimum requirements and not a guarantee that your add-on will be approved.

Mit einem Dropper in den Krieg ziehen

Wer schon immer mal seinen PC in einem Cyberkrieg zur Verfügung stellen wollte, hat nun die Gelegenheit dazu: Auf der Webseite http://help-israel-win.tk sucht eine angebliche Gruppe von Studenten nach Helfern im Kampf gegen die Hamas.

Nach eigenen Angaben bezweckt die Seite:

We created a project that unites the computer capabilities of many people around the world.
Our goal is to use this power in order to disrupt our enemy’s efforts to destroy the state of Israel.

Man müsse nur eine Datei herunterladen, ausführen und schon nehme man Teil am virtuellen Kampf.

Um was handelt es sich bei dem Download namens „PatriotInstaller.exe“ (MD5: f0afdb4d5450ff6e738c367331cafce0) wirklich? Bei Virustotal stufen vier Scanner die Datei als „suspicious“ beziehungsweise als „Dropper“ ein. Ein Dropper hat die Fähigkeit, beliebige weitere Dateien aus dem Internet herunterzuladen und auszuführen. Was man sich mit dem Download also einhandelt, ist völlig offen.

Eine Analyse mit CWSandbox liefert weitere Informationen. Auffällig ist, dass der Dropper versucht, mit der Microsoft-Webseite Kontakt aufzunehmen und das Dot-Net-Framework herunterzuladen. Außerdem tauchen in dem Report verdächtige Dateinamen wie „rasacd.sys“ auf. Das steht für „RAS Automatic Connection Driver“ und ist vermutlich die Komponente zur Fernsteuerung des PCs.

Ein anderer Dateiname in dem Report — „modern-wizard.bmp“ — taucht bei Google wiederholt im Zusammenhang mit Spyware-Infektionen auf. Vermutlich gehört die Datei zu einem Dropper-Baukasten, zu welchem ist allerdings nicht klar. Es hätte mich auch gewundert, wenn die „Studenten“ selbst eine Software programmiert und nicht nur einen Dropper zusammengeklickt hätten. Ich würde jedenfalls die Finger davon lassen.

Hacker-Tricks mit Google-Referern

Das Kaspersky-Blog berichtet über einen kleinen, aber feinen neuen Hacker-Trick: Dabei verändern die Angreifer eine gehackte Web-Seite so minimal, dass der Betreiber fast keine Chance hat, die Manipulation zu bemerken.

Statt umfangreiche neue Inhalte hinzuzufügen, bauen sie einen kleinen Zusatz ein, der eine Abfrage nach dem Referer enthält. Kommt der Besucher der Webseite über Google, wird er auf eine andere Seite weitergeleitet, die Schadcode verbreitet oder Werbung für eine Rogue Anti-Spyware beziehungsweise andere Scareware macht.

Regelmäßige Besucher und der Seitenbetreiber kommen ja meist nicht über Google und bemerken die Manipulation so eine ganze Weile nicht.

Sunbelt berichtet zufällig gerade über ein aktuelles Beispiel, bei dem dieser Trick anscheinend auch angewandt wurde. Allerdings springt hier jetzt Google selbst ein und warnt den eventuellen Besucher vor einem Klick auf das Suchergebnis.

google1

google2

Bruce Schneier im CBS-Interview

Im zweiten Anlauf lese ich jetzt gerade noch einmal „Beyond Fear“ von Bruce Schneier. Das Buch, das bereits vor ein paar Jahren erschienen ist, beschäftigt sich ausführlich mit den Fragen, wie man Sicherheit erreicht, was man dafür aufgeben muss und wie oft (absichtlich oder unabsichtlich) nur vorgetäuscht wird, mehr Sicherheit zu erreichen.

Aus dem Buch:

Unfortunately, many countermeasures are ineffective. Either they do not prevent adverse consequences from the intentional and unwarranted actions of people, or the trade-offs aren’t simple worth it. Those who design and implement bad security don’t seem to understand how security works or how to make security trade-offs. They spend too much money on the wrong kinds of security. They make the same mistakes over and over. And they’re constantly surprised when things don’t work out as they’d intended.

Die Nachrichtensendung 60 Minutes von CBS hat Schneier interviewt und seine Thesen im Kontrast zu verschiedenen Sicherheitsmaßnahmen gesetzt:

Blackberry Storm: Miracle Patch

Seit zwei Tagen ist jetzt die neue Firmware 4.7.0.78 für den Blackberry Storm verfügbar, vorinstalliert war die Version 4.7.0.65. RIM und Vodafone hätten sich einiges an Kritik erspart, wenn der Storm von Anfang an mit dieser Firmware ausgeliefert worden wäre. Das Display funktioniert nun erheblich besser als von mir vor ein paar Tagen noch bemäkelt. Auch der Stromverbrauch scheint nun ein ganzes Stück geringer zu sein.

Die neue Firmware wird bislang noch nicht über den Blackberry Desktop gepusht. Man muss sich eine mehr als 100 MByte große EXE-Datei bei Vodafone herunterladen, diese dann ausführen und erst danach den Blackberry Desktop starten, der die Firmware dann auf dem Storm installiert.

Siehe auch:
Enttäuschung: Blackberry Storm

Enttäuschung: Blackberry Storm

Ich habe vor mehreren Tagen einen Blackberry Storm zum Testen erhalten. Leider bin ich von dem Gerät sehr enttäuscht. Beim Storm handelt es sich um den ersten Blackberry ohne echte Tastatur beziehungsweise nur mit einer Touchscreen-Tastatur. Und da liegt auch das Hauptproblem: Die eingeblendete Tastatur beziehungsweise der gesamte Touchscreen funktionieren unglaublich schlecht.

Wenn man den Finger nur leicht auf das Display drückt, markiert der Storm einen Buchstaben oder einen Menüeintrag. Um ihn auszuwählen, muss man feste drücken. Dabei verrutscht man im letzten Augenblick laufend und der falsche Buchstabe oder der falsche Menüpunkt wird ausgeführt. Einen etwas längeren Text zu schreiben ist mit dem Storm kein Vergnügen, auch wenn meine Tippergebnisse nach ein paar Tagen nun etwas besser geworden sind.

Ebenfalls wenig erbaulich ist der hohe Stromverbrauch des Geräts. Bereits zwei Mal war der Storm am nächsten Morgen „tot“. Mit eingeschaltetem UMTS würde ich schätzen, dass der Akku nur etwas länger als einen Tag hält.

Aufgefallen ist mir außerdem, dass ich kein Pop3/Imap-Konto einrichten konnte. Es gibt bei der E-Mail-Konfiguration zwar einen Punkt „Sonstige“, aber dort kann man keine Serverdaten eingeben, die Konfiguration misslingt also jedesmal.

Man kann nur hoffen, dass RIM die Probleme mit einem Firmware-Update beheben kann. Ansonsten dürfte dem Storm keine große Zukunft beschieden sein – ein iPhone-Killer ist das Gerät derzeit jedenfalls sicher nicht.

Wie das Innere des Storm aussieht, sieht man hier. Möglicherweise funktioniert der Touchscreen so schlecht, weil der Fingerdruck nur von einem einzigen Sensor in der Mitte des Displays aufgenommen wird. Tipps zur Verlängerung der Akku-Laufzeit finden sich bei Blogberry.de.

Ausführlichere Tests sind unter anderem beim Spiegel (Link aktualisiert) und in der New York Times erschienen.

Kurzer Prozess mit Cookies

Mit Cookies lässt sich auch nach langer Zeit noch nachweisen, welche Seiten jemand besucht hat. Komplett verzichten will man auf die kleinen Web-Kekse aber meist auch nicht. Es ist lästig, sich bei Amazon oder in Online-Foren jedes Mal neu einloggen zu müssen, manche Seiten funktionieren ohne Cookies sogar gar nicht mehr.

Firefox bietet aber nur eine Alles-oder-nichts-Lösung. Entweder man blockiert Cookies komplett oder man lässt sie zu und löscht gelegentlich die störenden. Deutlich praktischer ist Cookie Culler 1.3.1. Das Firefox-Addon bietet eine White-List für Cookies, die man schützen will. Der Rest wird automatisch gelöscht — entweder gelegentlich per Knopfdruck oder automatisch bei jedem Start des Browsers. So funktionieren auch Seiten, die beim Besuch Cookies voraussetzen.

Also …

1. Zuerst Cookie Culler installieren und Firefox neustarten.

2. Jetzt die Standard-Firefox-Einstellungen öffnen und dort zum letzten Mal alle unerwünschten Cookies löschen.

3. Danach Cookie Culler aufrufen und alle verbliebenen Cookies schützen.

4. Die Option zum automatischen Löschen bei jedem Browser-Start ist etwas versteckt unter „Extras, Addons“ und dort dann bei den Einstellungen zu Cookie Culler.

Truecrypt 6.1

Die Truecrypt-Entwickler sind immer noch fleissig dabei, neue Versionen zu veröffentlichen. Die wichtigste neue Funktion in Truecrypt 6.1 ermöglicht jetzt, eine Nicht-System-Partition zu verschlüsseln, ohne dass die darauf gespeicherten Daten verloren gehen.

Allerdings funktioniert dies nur unter Vista und Windows Server 2008. Bei der Verschlüsselung muss Truecrypt die Partition etwas verkleinern, dies ist nach Angaben der Entwickler bei XP und Windows 2000/2003 mit den mitgelieferten Bordmitteln nicht möglich.

Interessant finde ich auch, dass man den Truecrypt-Bootloader nun verstecken oder an die eigenen Vorstellungen anpassen kann. Das klingt vernünftig, da die Existenz des Bootloaders auf ein verborgenes Betriebssystem hinweisen kann. Außerdem unterstützt Truecrypt 6.1 jetzt Security-Token und Smartcards.

Link zu den vollständigen Release Notes.