| |
DB8AS > VIRUS 10.05.12 15:08l 241 Lines 13867 Bytes #999 (0) @ DL
BID : A52DB0EAM003
Read: DK3UZ GUEST DL1LCA
Subj: BSI Newsletter 120510
Path: DB0FHN<DB0FOR<DB0MRW<DB0ERF<DB0EAM
Sent: 120510/1257z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:A52DB0EAM003
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To: VIRUS @ DL
SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 10.05.2012
Nummer: NL-T12/0009
Die Themen dieses Newsletters:
1. Skype-Missbrauch: Gehackte Version verrät IP-Adressen
2. Ransomware-Welle: Erpressungsversuch mit falschem Windows-Update
3. Kriminelle Premiere: Android-Malware erstmals per Drive-by-Download verteilt
4. Firefox-Add-on ShowIP: Plugin gibt besuchte URLs unbefugt weiter
5. Mangelhafte Telekom-WLAN-Router: Erste Patches veröffentlicht
6. Microsoft Patchday im Mai: Sieben Updates für Windows und Office
7. äPulse“: Online-Tool prüft Sicherheit von SSL-Verschlüsselungen
8. äVirenscanner-Batallion“: Online-Tool prüft Internetseiten auf betrügerische Inhalte
9. internetbeschwerdestelle.de: Illegale Vorgänge im Netz online melden
EDITORIAL
Guten Tag,
welche Internetseiten hat wer wie lange besucht und welchen Links ist er
gefolgt? Informationen zum Surfverhalten von Internetanwendern sind ein
wertvolles Gut – für die seriöse Internetwirtschaft, aber auch für
Cyberkriminelle.
Mehr Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit
im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und
sichere Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team
STÖRENFRIEDE
1. Skype-Missbrauch: Gehackte Version verrät IP-Adressen
Über eine manipulierte Skype-Version können sich Hacker die IP-Adressen
von Anwendern anzeigen lassen. Das berichten u.a.
heise.de [http://www.heise.de/security/meldung/Skype-plaudert-IP-Adresse-aus-1563388.html]
und
pc-magazin.de [http://www.pc-magazin.de/news/skype-hack-kann-ip-adressen-verraten-1277452.html].
Die manipulierte Version des Kommunikationstools ist im Internet
verfügbar. Um an die internen und externen IP-Adressen der Anwender zu
kommen, müssen Hacker lediglich den Benutzernamen in die Suchmaske
eingeben. Ist der Benutzer online, bekommt der Hacker über dessen Profil
Informationen zum Wohnort, zum Internetdienstanbieter und zu den IPs.
Über die IP-Adresse eines Rechners lässt sich beispielsweise dessen
ungefährer Standort ermitteln. So könnten von Nutzern mobiler
Internetgeräte Bewegungsprofile erstellt werden. Dem
IT-Sicherheitsdienstleister Sophos
zufolge [http://nakedsecurity.sophos.com/2012/05/03/skype-security-flaw/]
ist das Problem bereits vor 18 Monaten durch IT-Sicherheitsforscher von
der New York University aufgedeckt worden. Laut
pc-magazin.de [http://www.pc-magazin.de/news/skype-hack-kann-ip-adressen-verraten-1277452.html]
arbeitet Skype-Inhaber Microsoft an einer Lösung des Problems.
Anwender sollten Software stets nur von bekannten, offiziellen Webseiten
herunterladen. Mehr zu diesem Thema erfahren Sie auf der Website BSI FUER
BUERGER im Kapitel äWie bewege ich mich sicher im
Netz?“ [https://www.bsi-fuer-buerger.de/ContentBSIFB/SicherheitImNetz/Verschluesseltkommunizieren/Einsatzbereiche/einsatzbereiche.html].
2. Ransomware-Welle: Erpressungsversuch mit falschem Windows-Update
In Deutschland ist eine Spam-Mail im Umlauf, deren Anhang Schadcode
enthält. Dies berichtet der Anbieter von IT-Schutzprogrammen Total
Defense in seinem
Unternehmens-Blog [http://totaldefense.com/blogs/2012/04/27/Ransomware-exploits-Microsoft-Windows-Update-Center-Service.aspx].
Die Spam-Mail kommt in Form einer Willkommensnachricht. Der Anwender habe
sich erfolgreich zu einem kostenpflichtigen Premium-Maildienst
registriert. Wer die angehängten vermeintlichen AGBs öffnet, lädt
Schadcode herunter, die den Rechner sperrt. In der Optik einer
Windows-Warnmeldung wird der Anwender aufgefordert, für 50 Euro ein
Security-Update zu erwerben. Andernfalls werde der Computer nicht mehr
freigeschaltet.
pcmagazin.de zufolge gehen der beschriebene Fall und
weitere aktuelle
Ransomware-Attacken [http://www.pc-magazin.de/news/doctor-web-kostenloses-tool-gegen-erpresserschaedling-1277771.html]
auf den Trojaner Trojan.Matsnu.1 zurück. Der IT-Sicherheitsdienstleister
Dr. Web stellt ein kostenloses
Tool [http://news.drweb-av.de/show/?i=971&lng=de&c=11] zur Verfügung,
mit dem technisch erfahrene Anwender dieses Schadprogramm vom Computer
selbst entfernen können.
3. Kriminelle Premiere: Android-Malware erstmals per Drive-by-Download
verteilt
Erstmals ist Schadsoftware für das Betriebssystem Android aufgetaucht,
die sich per Drive-by-Download verbreitet. Dies berichtet
computerwoche.de [http://www.computerwoche.de/index.cfm?pid=333&pk=2511369]
in Berufung auf einen
Blogeintrag [http://blog.mylookout.com/blog/2012/05/02/security-alert-hacked-websites-serve-suspicious-android-apps-noncompatible/]
des Anbieters für mobile IT-Sicherheit Lookout. Wird etwa mit einem
Smartphone eine infizierte Website aufgerufen, wird die Malware namens
äNotCompatible“ automatisch heruntergeladen. Der Schadcode tarne sich, so
Lookout, mit dem Namen äUpdate.apk“ und dem Android-Roboter-Logo als
legitimes Sicherheitsupdate. Die Software wird nicht automatisch
installiert – Android sieht vor, dass Anwender jeder Installation
explizit zustimmen müssen. Erfolgt eine Installation, wird das mobile
Endgerät Teil eines Botnetzes, über das Cyberkriminelle Schadcode an
Dritte verteilen könnten.
4. Firefox-Add-on ShowIP: Plugin gibt besuchte URLs unbefugt weiter
Sophos, Hersteller von Virenschutzprogrammen, warnt im
unternehmenseigenen
Blog [http://nakedsecurity.sophos.com/2012/05/01/privacy-concern-showip-firefox-add-on]
vor der Erweiterung ShowIP in den Versionen 1.3 und jünger für den
Browser Firefox. Das Add-on dient eigentlich dazu, Anwendern in der
URL-Zeile des Browsers die IP-Adresse aufgerufener Internetseiten
anzuzeigen. Wie Sophos nun berichtet, sendet das Plugin die Daten aber
auch unverschlüsselt und ohne Wissen des Anwenders an die in Deutschland
registrierte Internetseite ip2info.org. Inhaber ist laut Sophos eine
Berliner Agentur für Online-Marketing. Weitergegeben werden im
Standardmodus aufgerufene URLs genauso wie per HTTPS oder über die
Funktion äPrivater Modus“ besuchte Internetadressen.
Auf der Add-on-Website von Mozilla ist das Programm seit dem 4. Mai in
einer sicherheitstechnisch aktualisierten
Version [https://addons.mozilla.org/de/firefox/addon/showip/?src=search]
verfügbar. Allerdings hat Mozilla diese Version 1.5 bisher nur vorläufig
freigegeben, da die Sicherheit noch endgültig festgestellt werden muss.
SCHUTZMASSNAHMEN
5. Mangelhafte Telekom-WLAN-Router: Erste Patches veröffentlicht
Die Deutsche Telekom warnt ihre Kunden vor Sicherheitslücken in
bestimmten WLAN-Routern. Betroffen sind die Modelle Speedport W 504V, W
723V Typ B und Speedport W 921V. Alle Modelle haben eine Schwachstelle in
der WPS-Funktion (WiFi Protected Setup), die regelt, welche Geräte in das
WLAN aufgenommen werden. Das Problem: Unbefugte Dritte haben über ein
werkseitig eingestelltes Standardpasswort Zugriff auf das drahtlose
Netzwerk, selbst wenn Anwender das Passwort geändert haben. Die Telekom
führt hierzu aus: äEin Angreifer, der sich innerhalb der Reichweite des
Funknetzwerks aufhält, kann sich unbefugt Zugang zu dem WLAN beschaffen.
Das heißt, er kann beispielsweise über den Anschluss im Internet surfen
oder auf Dienste oder Komponenten in dem Heimnetzwerk zugreifen, zum
Beispiel auf einen Netzwerkspeicher, der nicht durch ein Passwort
geschützt ist.“
Die Deutsche Telekom empfiehlt für das Modell Speedport W 504V die
WPS-Funktion über das Web-Konfigurationsmenü zu deaktivieren, bis eine
fehlerbereinigte Softwareversion zur Verfügung steht. Zusätzlich sollte
ein neues WLAN-Passwort vergeben werden. Für die Modelle Speedport W 723V
Typ B und Speedport W 921V hat die Telekom bereits Software-Updates
veröffentlicht und stellt diese zum Download
bereit [http://hilfe.telekom.de/hsp/cms/content/HSP/de/90948].
Betroffene Anwender erhalten auf der Download-Website zudem Hinweise, wie
die Updates eingespielt werden. Darüber hinaus sind auf der Website BSI
FUER BUERGER wichtige Tipps zur Einrichtung und sicheren
Nutzung privater
WLAN [https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheitstipps/sicherheitstipps_node.html]
abrufbar.
6. Microsoft Patchday im Mai: Sieben Updates für Windows und Office
Microsoft hat an seinem Patchday für den Monat Mai sieben
Sicherheitsupdates veröffentlicht, drei davon schließen als äkritisch“
eingestufte Schwachstellen in Office und Windows. Unbefugte könnten die
Sicherheitslücken ausnutzen, um aus der Ferne Schadcode auf
Anwendersystemen auszuführen. Insgesamt werden mit den Updates 23
Sicherheitslücken geschlossen. Nähere Erläuterungen zu den einzelnen
Patches liefert das Microsoft Security
Bulletin [http://technet.microsoft.com/en-us/security/bulletin/ms12-may].
Die Aktualisierungen lassen sich über die äWindows
Update“-Website [http://www.windowsupdate.com/] installieren.
PRISMA
7. äPulse“: Online-Tool prüft Sicherheit von SSL-Verschlüsselungen
Viele Websites sind mit dem Protokoll Secure Sockets Layer (SSL)
verschlüsselt, etwa Portale zum Online-Banking. Doch dass die
Verschlüsselung wirklich sauber implementiert und dadurch wirksam ist,
ist allein durch das Vorhandensein der Verschlüsselung noch nicht
garantiert. Deshalb hat die Initiative äTrustworthy Internet Movement“ –
nach eigenen Angaben unabhängig und nicht profitorientiert – jetzt eine
Website mit dem Namen
äPulse“ [https://www.trustworthyinternet.org/ssl-pulse/] vorgestellt,
die Fehler in der SSL-Verschlüsselung aufdecken soll. So berichtet es
unter anderem das IT-News-Portal
ZDNet [http://www.zdnet.de/news/41561865/online-tool-entlarvt-websites-mit-unsicherer-ssl-verschluesselung.htm].
Es zitiert den Gründer von Trustworthy Internet Movement Philippe Courtot
mit der Aussage: äEs war frustrierend zu sehen, bei wie vielen Sites SSL
nicht korrekt umgesetzt wurde.“ Auf der Website Pulse können Nutzer eine
Internetadresse eingeben und diese auf korrekte SSL-Implementierung hin
prüfen lassen. Pulse prüft aber auch selbst kontinuierlich Websites.
8. äVirenscanner-Batallion“: Online-Tool prüft Internetseiten auf
betrügerische Inhalte
Schadsoftware installiert sich auf dem Computer im Vorbeisurfen – das
gehört zu den häufigsten Infektionsmethoden. So reicht es manchmal aus,
eine infizierte Website zu besuchen, dass sich ein Trojaner auf dem
System des Anwenders einnistet. Um dieser Form der Infektion
entgegenzuwirken, weist das Blog des
äAnti-Botnet-Beratungszentrums“ [http://blog.botfrei.de/2012/04/malware-alarm-bei-webseiten-besuch-phishing-seite-gefunden-hier-konnen-sie-diese-melden/]
des Verbands der deutschen Internetwirtschaft eco auf einen Service des
Community-Projekts äSecurity Incident Reporting Service“ (SIRT) hin.
Dessen äVirenscanner-Batallion“, so ist auf dem Blog zu lesen, würde
Internseiten auf Drive-by-Downloads, Phishing, Malware, etc. hin
untersuchen. Anwender können jede beliebige Internetadresse in das
Suchfeld eingeben. Senden sie die URL ab, erscheint der Hinweis äVielen
Dank! Die Webseite wird überprüft.“ Wird das System SIRT fündig, wird die
Sicherheitsabteilung des Providers benachrichtigt, bei der die Website
gehostet ist. Sollte sich der Verdacht des Befalls mit Schadsoftware
bestätigen, wird der entsprechende Inhalt entfernt. Der Anwender hat also
keinen unmittelbaren Nutzen, wenn er SIRT eine verdächtige Website
mitteilt – er hilft aber, das Internet insgesamt auf lange Sicht sicherer
zu machen.
9. internetbeschwerdestelle.de: Illegale Vorgänge im Netz online melden
Einen ähnlichen Dienst wie das in der vorhergehenden Meldung genannte
Projekt SIRT bietet der Verband der deutschen Internetwirtschaft eco auch
selbst an – allerdings mit einem anderen Schwerpunkt. Auf der Website
www.internet-beschwerdestelle.de [http://www.internet-beschwerdestelle.de]
können Anwender Beschwerden einreichen über illegale, volksverhetzende,
pornografische, Gewalt darstellende (und mehr) Inhalte. Sie können
wählen, wo sie diese Inhalte gefunden haben, etwa auf einer Website, in
einer E-Mail, in einer Tauschbörse oder in einem Forum. Wenn die
Beschwerde die geforderten Mindestangaben enthält und bestimmten
rechtlichen Bewertungskriterien zufolge gerechtfertigt ist, erfolgt eine
rechtliche Prüfung der Inhalte seitens des eco. Als Resultat am Ende
einer solchen Prüfung kann etwa eine Strafanzeige gegen den Urheber von
Inhalten stehen, wenn diese strafrechtlich relevant sind.
-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.
Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------
Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.
vy 73, Jochen
ax.25 : db8as at db0eam.deu.eu
e-mail: db8as at db0eam.de
Read previous mail | Read next mail
| |
