DB0FHN

DB8AS  > VIRUS    08.06.12 00:51l 272 Lines 15968 Bytes #999 (0) @ DL
BID : 762DB0EAM003
Read: DK3UZ GUEST DD3IA DL1LCA
Subj: BSI Newsletter 120607
Path: DB0FHN<DB0FOR<DB0SIF<DB0EAM
Sent: 120607/2240z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:762DB0EAM003
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 07.06.2012
Nummer: NL-T12/0011

Die Themen dieses Newsletters:
1. Gefahr aus der Cloud: Wie Passwortdiebe Google Docs missbrauchen
2. DNS-Changer weiter bedrohlich: 20.000 Deutsche ab 9. Juli womöglich ohne Internet
3. Neue E-Mail-Welle: Banking-Trojaner in PDF-Rechnungen für "Zusatzdienstleistungen"
4. Update für Fritzbox: AVM behebt Sicherheitslücke in Routern
5. Sicherheitsupdate für Mozilla Firefox, Thunderbird und SeaMonkey veröffentlicht: Mozilla behebt mehrere Sicherheitslücken
6. äFlame“ unter der Lupe: Spionagevirus stellt keine Bedrohung für Privatanwender dar
7. Klein, aber gefährlich: Miniatur Banking-Trojaner ist nur 20 Kilobyte groß
8. Nachrichten, die sich selbst zerstören: Dienst äBurn Note“ bietet Verfallsdatum für Textnachrichten
9. Ältere Deutsche haben die sichersten Passwörter: Studie untersucht 70 Millionen Yahoo-Zugansdaten

EDITORIAL
    Guten Tag,
    der Programmcode des Spionagevirus äFlame“ umfasst 20 Megabyte, der des
    Banking-Trojaners äTinba“ ist mit 20 Kilobyte tausendmal kleiner. Auch
    wenn die Schadprogramme technisch kaum vergleichbar sind – sie sind beide
    in der Lage private Daten auszuspähen und zu stehlen. Bei der medialen
    Aufmerksamkeit die so gennanten äCyberwaffen“ wie Stuxnet, Duqu und Co.
    zuteil wird, sollten Anwender nicht vergessen: Im Cyberspace können auch
    die kleinen, alltäglichen Störenfriede großen Schaden anrichten.
    Mehr Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit
    im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und
    sichere Stunden im globalen Netz wünscht Ihnen
    Ihr BUERGER-CERT-Team

STÖRENFRIEDE
    1. Gefahr aus der Cloud: Wie Passwortdiebe Google Docs missbrauchen

    Mutmaßliche Cyberkriminelle missbrauchen Googles Clouddienst Google Docs,
    um an persönliche Daten von Anwendern zu gelangen. Dies berichtet der
    IT-Sicherheitsdienstleister Sophos im unternehmenseigenen
    Blog [http://nakedsecurity.sophos.com/2012/05/30/phishing-with-help-from-google-docs/].
    In E-Mails werden demnach Anwender aufgefordert, einen Link zu einem
    Google-Dokument anzuklicken und dort die Zugangsdaten für ihren
    E-Mail-Dienst in eine Maske einzugeben. Angeblich soll so eine Sperrung
    des E-Mail-Kontos verhindert werden. Speichern Anwender ihre Daten im
    Dokument ab, können sich die Urheber der Phishing-Attacke Zugang zum
    E-Mail-Konto verschaffen.
    Laut Sophos nutzen die Cyberkriminellen offenbar die Tatsache, dass
    Anwender dem Link vertrauensvoll folgen, allein weil es sich um eine
    Google-Adresse handelt. Dabei sage diese Tatsache nichts über die
    Seriösität des Dokumenten-Erstellers und E-Mail-Absenders aus.
    Google-Dokumente kann jeder erstellen, der über einen Account bei Google
    verfügt.
    Anwender, die derartige Phishing-Attacken bemerken, haben die Möglichkeit
    den Missbrauch von Google Docs an Google zu melden. Dazu gibt es unter
    jedem Google-Dokument den Button äMissbrauch melden“. Dies birgt
    allerdings Sicherheitsrisiken, weil dazu das Dokument über den Link
    geöffnet werden muss. Anwender, die über einen Google-Account verfügen,
    haben die Möglichkeit eine Missbrauchsmeldung auf einem sicheren Weg zu
    versenden – Informationen hierzu gibt es auf einer Website
    des
    Google-Supports [http://support.google.com/docs/bin/answer.py?hl=de&answer=2463296].

    2. DNS-Changer weiter bedrohlich: 20.000 Deutsche ab 9. Juli womöglich
    ohne Internet

    Nach Erkenntnissen des BSI greifen täglich noch rund 20.000 Rechner aus
    Deutschland auf einen von der US-amerikanischen Bundespolizei FBI
    betriebenen DNS-Server zu. Dieser Server fängt übergangsweise die
    Domain-Anfragen von Internetnutzern auf, deren Rechner mit dem
    Schadprogramm DNS-Changer infiziert sind. Am 9. Juli 2012 wird das FBI
    die Server abschalten. Anwender, deren Computer vom DNS-Changer befallen
    sind, haben dann keinen Zugriff mehr auf das WWW. Google informiert diese
    Anwender über das Problem mit einer auf der Startseite der Google-Suche
    eingeblendeten Warnmeldung, wenn sie eine Suchanfrage über den FBI-Server
    starten, dies berichtet
    heise.de [http://www.heise.de/security/meldung/Google-warnt-DNSChanger-Opfer-1582621.html].
    Wie heise.de ebenfalls meldet, versendet die Telekom aktuell an
    betroffene Kunden eine Warnung und
    Verhaltenshinweise [http://www.heise.de/security/meldung/Telekom-warnt-DNSChanger-Opfer-1585930.html]
    auf dem Postweg.
    Anwender können einfach und schnell auf der Internetseite
    http://www.dns-ok.de/ [http://www.dns-ok.de/] prüfen, ob
    ihr Computer vom DNS-Changer befallen ist.

    3. Neue E-Mail-Welle: Banking-Trojaner in PDF-Rechnungen für
    "Zusatzdienstleistungen"

    Am Dienstag (05.06.2012) wurde eine neue E-Mail-Welle beobachtet, die als
    Dateianhang angebliche Rechnungen von ELSTER, der Telekom, Vodafone oder
    o2 enthielt.
    Tatsächlich wurden diese E-Mails nach BSI-Erkenntnissen aus mindestens 13
    unterschiedlichen Ländern versendet. Der PDF-Anhang der angeblichen
    Rechnung für nicht näher beschriebene "Zusatzdienstleistungen" enthielt
    eine Banking-Trojaner-Variante, die zur Zeit nur von sehr wenigen
    Anti-Virus-Lösungen erkannt wird.
    Das BSI empfiehlt, die E-Mail ungelesen zu löschen. Benutzer, die den
    Anhang bereits geöffnet haben müssen damit rechnen, dass ihr PC infiziert
    wurde. Unwahrscheinlich ist eine Infektion des Rechners von Nutzern, die
    zur PDF-Betrachtung den Adobe Reader X mit aktiviertem Sicheren Modus
    ("Sandbox") verwenden.
    Die Erkennung des Banking-Trojaners ist für den Laien jedoch im
    Normalfall nicht zu erkennen.
    Wenn Sie unsicher sind, ob Ihr System von dem Trojaner befallen ist, dann
    verzichten Sie vorerst auf Online-Banking-Vorgänge und aktualisierten
    regelmäßig Ihr Antivirenprogramm.
    Prüfen Sie zudem in kurzen Abständen Ihre Bankkonten auf illegitime
    Vorgänge und ungewöhnliche Kontobewegungen und informieren Sie Ihre Bank
    darüber.
    Wenn Sie als Nutzer von dem Banking-Trojaner betroffen sind, ist die
    einzig sichere Methode eine Neuinstallation des Rechner.

SCHUTZMASSNAHMEN
    4. Update für Fritzbox: AVM behebt Sicherheitslücke in Routern

    Hardware-Hersteller AVM meldet eine Schwachstelle in
    einigen seiner
    Fritzbox-Router [http://www.avm.de/de/News/artikel/2012/Laborupdate_Medienserver.html?linkident=kurznotiert].
    Bei einigen Modellen lassen sich beim Zugriff aus dem eigenen Netzwerk
    über interne Dateipfadnamen unberechtigt Konfigurationsdateien auslesen.
    Der Zugriff ist nur möglich, wenn der geräteinterne Medienserver
    aktiviert ist. Über den Medienserver können Musik, Videos und Bilder
    verwaltet und an angeschlossene Geräte im lokalen Netzwerk ausgeliefert
    werden. Der Datenzugriff kann laut AVM nur aus dem eigenen Netzwerk
    heraus erfolgen, es muss also ein Zugang zur Fritzbox per LAN-Kabel oder
    WLAN bestehen. Ein Zugriff von außen, etwa über das Internet, sei nicht
    möglich.
    Ursprünglich wurde von AVM und heise.de
    angenommen [http://www.heise.de/security/meldung/Fritzbox-Mediaserver-verraet-Geheimnisse-2-Update-1581132.html],
    dass bei mehreren Modellen durch den Zugriff u.a. das WLAN-Passwort im
    Klartext ausgelesen werden kann. AVM hat für das Fritzbox-Modell 7390 ein
    Sicherheitsupdate in der
    Beta-Version [http://www.avm.de/de/Service/Service-Portale/Labor/7390_vorschau_release_candidate/labor_start_7390.php]
    veröffentlicht. In Kürze soll eine offizielle Update-Version folgen.
    Anwender, die sich nicht sicher sind, wer in ihrem Netzwerk Zugriff hat
    und die nicht die Beta-Version des Sicherheitsupdates einsetzen möchten,
    können bis zum offiziellen Update den Medienserver abschalten. Nicht
    betroffen vom Auslesen des WLAN-Kennwortes im Klartext sind laut AVM die
    Fritzbox-Modelle 31xx, 32xx, 71xx, 72xx sowie 7570.

    5. Sicherheitsupdate für Mozilla Firefox, Thunderbird und SeaMonkey
    veröffentlicht: Mozilla behebt mehrere Sicherheitslücken

    Mozilla hat die Version 13 für den Webbrowser Firefox und den
    E-Mail-Client Thunderbird sowie die Version 2.10 für das Programmpaket
    SeaMonkey veröffentlicht. Damit werden insgesamt sieben Schwachstellen
    behoben, von denen vier als kritisch gewertet werden. Betroffen ist unter
    anderem der Mozilla Updater unter Windows, bei dem eine Schwachstelle zur
    Rechteerweiterung ausgenutzt werden kann. Eine Ausnutzung der weiteren
    Schwachstellen kann zu dem Absturz der Anwendung, der Ausführung
    beliebigen Codes, der Umgehung von Sicherheitsmaßnahmen sowie dem
    Ausspähen von Informationen genutzt werden. Die Sicherheitsupdates stehen
    jeweils über die integrierte Update-Funktion zur Verfügung.

PRISMA
    6. äFlame“ unter der Lupe: Spionagevirus stellt keine Bedrohung für
    Privatanwender dar

    Nach Ansicht des BSI ist der Spionagevirus äFlame“ keine Bedrohung für
    Privatanwender, dies sagte ein BSI-Sprecher in einem
    Interview mit der Westdeutschen Allgemeinen
    Zeitung [http://www.derwesten.de/panorama/computervirus-flame-stellt-keine-gefahr-fuer-deutsche-privatnutzer-dar-id6707904.html].
    Es gebe zudem keine Erkenntnisse darüber, dass die IT-Systeme von
    Unternehmen und öffentlichen Einrichtungen in Deutschland mit dem
    Schadprogramm infiziert seien. Bis jetzt sind nur Schadensfälle aus dem
    Nahen Osten bekannt.
    Flame unterscheide sich grundlegend vom Virus Stuxnet, der gezielt
    industrielle Steuerungen sabotieren sollte. Flame hingegen sei darauf
    ausgerichtet, Spionage zu betreiben und auf verschiedenen Wegen so viele
    Informationen wie möglich bei den Betroffenen abzugreifen, so der
    BSI-Sprecher. Die Schadsoftware enthalte neben den
    Spionage-Funktionalitäten auch Funktionen zum Selbstschutz. Sie ist also
    so programmiert, dass eine Entdeckung, Auswertung und Analyse erheblich
    erschwert wird. Gängige Antivirensoftware sei gegen derartige
    Angriffsmethoden machtlos, sagt Mikko Hypponen, Forschungsleiter beim
    Antivirensoftwarehersteller F-Secure in einem Beitrag für
    das US-amerikanische IT-Magazin
    arstechnica.com [http://arstechnica.com/security/2012/06/why-antivirus-companies-like-mine-failed-to-catch-flame-and-stuxnet/].

    7. Klein, aber gefährlich: Miniatur Banking-Trojaner ist nur 20 Kilobyte
    groß

    Er ist klein, aber deshalb nicht minder gefährlich: Experten vom
    IT-Sicherheitsdienstleister CSIS haben einen Banking-Trojaner aufgespürt,
    der nur 20 Kilobyte groß
    ist [http://www.csis.dk/en/csis/news/3566/]. Das entspricht ungefähr der
    Datenmenge einer mit Text gefüllten Seite, erstellt mit digitaler
    Textverarbeitung. Trotz der Kürze des Schadcodes, soll der äTiny Banker“
    bzw. äTinba“ getaufte Trojaner jede Menge Schaden anrichten können. Er
    manipuliere Online-Banking-Websites, um Man-in-the-Browser-Attacken
    durchzuführen, heißt es seitens CSIS. Er blende etwa zusätzliche
    Eingabefelder für TANs ein, mit denen mögliche Cyberkriminelle dann
    Überweisungen durchführen könnten. Zudem sei Tinba in der Lage,
    Passwörter auszuspionieren und den Netzwerkverkehr zu überwachen. Die
    gesammelten Daten werden über eine verschlüsselte Verbindung an einen
    entfernten Server übermittelt, welcher dem Minitrojaner per Update neue
    Befehle erteilen kann. Das Schadprogramm wird von gängigen
    Antiviren-Programmen erkannt.

    8. Nachrichten, die sich selbst zerstören: Dienst äBurn Note“ bietet
    Verfallsdatum für Textnachrichten

    Nachrichten, die sich nach gewisser Zeit selbst zerstören - das kannte
    man bis jetzt nur aus der Fernsehserie bzw. der Kinofilmreihe äMission
    Impossible“. Mit dem Onlinedienst äBurn Note“ kann sich nun jeder
    Anwender wie ein Geheimagent fühlen. Auf der Website burnnote.com können
    Anwender einen Text eingeben. Auf den Text erhält der Empfänger Zugriff
    über eine Kurz-URL, die er nur einmal aufrufen kann. Der Absender kann
    etwa festlegen, nach welcher Zeit der Text gelöscht wird, ob er kopiert
    werden darf oder ob der Text in kurz sichtbaren Fragmenten unterteilt
    dargestellt werden soll, um das Mitlesen durch Unbefugte zu erschweren.
    Nach Angaben der Betreiber werden die Nachrichten nur so lange auf den
    Burn-Note-Servern verschlüsselt gespeichert, bis die Nachricht abgerufen
    wurde. Wird sie gar nicht abgerufen, wird sie nach 72 Stunden automatisch
    gelöscht. Der Dienst kann anonym genutzt werden. Wer einen Account
    anlegt, erhält Nachricht darüber, sobald ein Empfänger eine URL geöffnet
    hat. Der IT-Newsdienst golem.de weist darauf
    hin [http://www.golem.de/news/burnnote-diese-nachricht-zerstoert-sich-in-3-minuten-selbst-1205-91911.html],
    dass Burn Note eine verschlüsselte Kommunikation nicht ersetzen kann,
    aber eine Alternative für den Versand privater Nachrichten sei, die, wie
    es heißt, nicht äallzu sicher sein müssen“.
    Wie Sie E-Mails sicher verschlüsselt versenden können, erfahren Sie auf
    der Website BSI FUER BUERGER im Kapitel äVerschlüsselt
    kommunizieren“ [https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/Verschluesseltkommunizieren/verschluesselt_kommunizieren_node.html].

    9. Ältere Deutsche haben die sichersten Passwörter: Studie untersucht 70
    Millionen Yahoo-Zugansdaten

    Eine Studie der britischen Universität Cambridge hat die Sicherheit von
    Passwörtern untersucht. Dafür standen rund 70 Millionen anonymisierte und
    verschlüsselte Accounts von Yahoo-Nutzern aus aller Welt zur Verfügung.
    Wie das Computer-Magazin zdnet.de
    berichtet [http://www.zdnet.de/news/41562630/studie-deutsche-ueber-55-waehlen-die-sichersten-passwoerter.htm],
    konnte der Informatiker Joseph Bonneau auch demografische Daten zu den
    Accountbesitzern analysieren. Die wichtigsten Ergebnisse der
    Untersuchung: Ältere Anwender über 55 Jahre wählen häufiger sicherere
    Passwörter als Anwender unter 25 Jahre. Die sichersten Passwörter nutzen
    deutschsprachige und koreanisch sprechende Anwender, während indonesisch
    sprechende Yahoo-Nutzer die schwächsten Passwörter wählen. Wer seine
    Zugangsdaten häufiger ändert, tendiert überdies dazu sicherere Passwörter
    anzulegen. Zu mehr Sicherheit tendieren ebenso Anwender, die sich
    häufiger über verschiedene Computer bei Yahoo-Diensten anmelden.
    Eine Zusammenfassung der englischsprachigen Studie steht als PDF-Datei
    auf der Website der Universität Cambridge kostenlos zum
    Download [http://www.cl.cam.ac.uk/~jcb82/doc/B12-IEEESP-analyzing_70M_anonymized_passwords.pdf]
    bereit.
    Auf der Website BSI FUER BUERGER erfahren Sie im Kapitel
    äPasswörter“ [https://www.bsi-fuer-buerger.de/ContentBSIFB/MeinPC/Passwoerter/passwoerter.html]
    was ein sicheres Passwort ausmacht und was bei der Erstellung zu beachten
    ist.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.

vy 73, Jochen

ax.25 : db8as at db0eam.deu.eu
e-mail: db8as at db0eam.de



Read previous mail | Read next mail