Mitternachtshacking

Symantec hat auf einem Server Zugangsdaten von 44 Millionen Online-Spielern aus 18 Spiele-Webseites gefunden. Insgesamt rund 17 GByte Daten, hauptsächlich wohl chinesische Seiten und Spieler, gesammelt durch den Trojaner Loginck.

Je nach Spielstufe und Charakter sei ein Account zwischen 6 und 28.000 US-Dollar wert.

Davon abgesehen, dass es mich immer wieder wundert, wie Symantec ganz zufällig auf diese Server draufkommt (klar, die analysieren den Trojaner aber berechtigt das zum Login/Einbruch auf so einen Server?) scheint das Abgreifen von Spielerdaten inzwischen extrem lukrativ zu sein. Ich bin echt überrascht.

Spam für das Social Network

Mit Ping.fm gibt es eine tolle neue Spam-Plattform. Golem schreibt dazu “mit 100 Eingabemöglichkeiten 45 Plattformen ansteuern”. Da kann es nicht mehr lange dauern bis die alle vollgespammt werden. Was für ein Glück, daß ich mich aus diesen asozialen Netzwerken bisher weitgehend fernhalten konnte.

Wer klaut schon Viren?

Anscheinend gar nicht so wenige, wenn man dem Artikel auf The Register glauben darf. Das Trojaner-Bastelkit Zeus kommt inzwischen mit einer hardware-basierten Lizenzverwaltung die ähnlich wie Windows auf einem Activation Key basiert. Damit sollen die teuren Funktionen wie Botnet-Fernsteuerung ($ 4000), Echtzeit-Plünderung mittels Jabber ($ 500), Formulareingaben auslesen in Firefox ($ 2000) und Komplettfernsteuerung des fremden Rechners ($ 10000) geschützt werden. Nice.

Schadsoftware direkt vom Hersteller

Weil wir gerade beim Thema sind: in Spanien hat Vodafone Mobiltelefone mit einer Speicherkarte verkauft, auf dem der Conficker-Wurm schon vorinstalliert war. Zum Glück hat das Telefon eine Mitarbeiterin von Panda Security gekauft. Und zum ganz großen Glück hat der Panda-Scanner das Schadprogramm erkannt und ist nicht in den Wolken steckengeblieben.

Audio Captchas für Schwerhörige

Microsoft hat auch gerade ein Problem mit einem Botnetz, in diesem Fall ist es das Pushdo Spam-Botnetz. Das hat nämlich eine recht effiziente Methode gefunden, die Audio Captchas der Microsoft Live Dienste zu zerlegen. Eine Antwortzeit von nur 10 Sekunden bei 50% Erfolgsquote ist schon krass gut für einen automatischen Dienst, der Postfächer nur anlegt um darüber Spam zu verschicken. Ich finde ja, man sollte das Internet für Blinde verbieten. Dann braucht’s auch keine Audio Captchas mehr.

Das ist fast schon so krass wie die Blackberry-Geschichte in den Vereinigten Arabischen Emiraten: Forscher von TippingPoint haben eine scheinbar nützliche Anwendung mit dem Namen “WeatherFist” auf einem Portal zum Download und zur Installation auf Mobiltelefonen angeboten. Innerhalb von wenigen Stunden haben über 700 User die Anwendung runtergeladen und installiert. Innerhalb einiger Tage waren es bereits 8000 infizierte Telefone. Neben der harmlosen Wetteranzeige hat die Anwendung nur den Standort des Telefons gemeldet, genauso einfach hätte man jedoch auch echten Schaden anrichten können. Erstaunlich, daß es bisher nicht mehr Schadanwendungen für Mobiltelefone gibt. Oder hat die nur noch niemand entdeckt?

Das Problem ist … was will man dagegen tun? Nur Anwendungen aus vertrauenswürdigen Quellen herunterladen? Aus dem iTunes Store für das iPfusch, aus dem Google Store für das Android und aus dem Ovi Store für Nokia? Und was, wenn es das benötigte da nicht gibt? Beispielsweise war Putty für das TouchUI eine der ersten Anwendungen die es auf mein neues Telefon geschafft haben. Inzwischen laufen da mehrere Tools, die nicht aus dem Ovi Store sind.

Das Problem wird sein, daß Virenscanner keine echte Chance haben, solche Anwendungen zu finden. Ja, es gibt für mein Mobiltelefon beispielsweise einen Schadcode-Scanner von Trend Micro und einen weiteren von F-Secure. Der von F-Secure ist sogar vorinstalliert. Ich wette, das hätte TippingPoint-Trojaner auch nicht erkannt. Dafür kostet der Adobe Reader 10,- Euro. Das ruft doch nur so nach infizierten Raubkopien. Und mit etwas Geschick kann man einen Trojaner immer so programmieren, daß der Virenscanner ihn nicht findet.

Lösungen? Tja, eine echte habe ich nicht. Nur signierte Anwendungen zuzulassen ist jedenfalls keine. Dann bekommt man ein Lock-in-Gerät wie mit dem iPfusch von Apple. Was ich mir für mein Telefon wünschen würde, wäre beispielsweise eine einfache Übersichtsseite, welche Anwendung auf welche Funktionen(GPS, Datenübertragung eingehend/ausgehend, welche IP-Adressen/Server, etc.) zugreift und eine Möglichkeit das (a) zu Beschränken und (b) zu Widerrufen. Das AccuWeather auf meinem Mobiltelefon fragt mich bei jedem Aufruf ob ich eine Netzverbindung erlauben will. Das ist zwar nett aber nervig. Ich würde das dieser Anwendung beispielsweise pauschal erlauben. Google Maps fragt mich nicht sondern greift einfach auf GPS und Datenverbindung zu. Ich wüsste nicht wie ich das verbieten kann. Andere Anwendungen haben mich bei der Installation einmal gefragt und fertig. Widerrufen ist nicht vorgesehen nur Deinstallation. Ich denke, da müssen die Mobiltelefonhersteller noch von den Desktopfirewallherstellern lernen.

Ach ja, weiß jemand zufällig ob es Truecrypt für das N97 mini gibt?

(Danke Sören)

Das kennen wir doch schon: Auf seriösen Webseiten werden nichtsahnende Benutzer durch bösartige Werbung mit Schadprogrammen infiziert. Dieses mal waren u.a. Golem.de, Zeit.de und Handelsblatt.de betroffen. Davor gerne auch mal Heise, die New York Times, The Register und andere.

Die Ursache für dieses wiederkehrende Problem findet sich an zwei Stellen:

1. Die Werbung wird nicht von den Servern der Redaktion ausgeliefert. Statt dessen enthalten die Seiten lediglich einen Verweis auf einen Server der typischerweise bei einem Werbevermarkter steht. Dies kann Google sein aber auch kleinere Vermarkter wie Falk eSolutions. Von dort wird die Werbung eingeblendet auf die die Redaktion nur eingeschränkt Einfluß hat. Wenn bei diesen Vermarktern etwas passiert ist immer direkt eine größere Anzahl von Webseiten mit einer Vielzahl von Benutzern betroffen.
2. Werbung bedient sich massiv dynamischer Inhalte wie Javascript und Flash, um die Aufmerksamkeit der Nutzer zu erlangen.  Würden nur statische Inhalte wie Bilder oder Texte ausgeliefert, wäre die Gefahr generell geringer.

Als Lösung für den Anwender läßt sich meiner Ansicht nach nur empfehlen, Werbung so konsequent wie möglich auszublenden und gar nicht erst zu laden. Adblock Plus im Firefox erledigt das recht zufriedenstellend und ist einfach genug auch für weniger technisch versierte Benutzer bedienbar. Leider können es sich die etablierten werbefinanzierten Online-Medien schlecht leisten, Werbeblocker zu empfehlen. Statt dessen gibt es bei Heise nur eine Anleitung wie man die unerwünschte Scareware wieder los wird. Wenn das Kind also erstmal in den Brunnen gefallen ist.

Sehr spannend: Avast schlägt prompt Alarm, wenn man sich meinen letzten Beitrag (den mit dem Javascript-Schadcode) im Feed ankuckt:

Die Malware-Erkennung ist im übrigen korrekt, das ist das Javascript-Programm, das ich im letzten Beitrag beschrieben habe.  Dumm nur, daß ich das Programm lediglich im Text stehen habe, nicht in <script>-Tags. Es sollte daher auch nicht ausgeführt werden. Das Problem für einen Virenscanner ist allerdings, daß diese Unescape-Sequenz nicht nur in HTML-Dateien sondern in CSS-Files versteckt wird. Im Gegensatz dazu ist die Bytefolge sehr charakteristisch.

Ich denke daher, Avast hat lediglich ein Patternmatching auf die Unescape-Sequenz implementiert und schlägt daher immer Alarm wenn diese Folge auftaucht, egal ob ausführbares Skript oder nicht. Mein Antivir schlägt beim Zugriff auf infizierte Webseiten auch Alarm, nicht jedoch beim RSS-Feed.

(Danke Nikola, für die Zusendung des Screenshots)

Das File iPIX-install.exe ist übrigens mal wieder ein interessantes Beispiel dafür wie wichtig die Aktualität von Virenscannern ist. Erster Versuch auf meinem Privatrechner:

Suchengine: V7.06.00.73, 01.03.2008
Virendefinitionsdatei: V7.00.03.31, 14.03.2008

Leider kein Virus gefunden.

Also … Update!

Suchengine: V7.06.00.73, 01.03.2008 = die gleiche Version wie vorher
Virendefinitionsdatei: V7.00.03.33, 16.03.2008 = nur 0.00.00.02 höher

Und das Ergebnis:

Jetzt wird das Schadprogramm erkannt.

Ich weiß nicht, wie lange dieser Spam schon verschickt wird, aber bisher war meine Erfahrung mit Avira dem Hersteller von Antivir, daß recht flott reagiert wird. Gut möglich also, daß dieses Schadprogramm erst zwischen 14. und 16. März im Internet aufgetaucht ist. Im Grunde ist ein tägliches Update inzwischen zu selten, eigentlich müsste man Virenpattern zumindest in Unternehmen stündlich aktualisieren.

Ich weiß nicht so recht, wie ich den folgenden Trick einordnen soll. Social Engineering? Spoofing? Von beidem etwas?

Per Spam kam der Link auf folgende (absichtlich nicht verlinkte) chinesische Webseite: http://www.financial-manager.cn/aes/

Man sieht, das in der Mitte offensichtlich ein Plugin fehlt, um Grafiken oder Filme oder so anzuzeigen. Das fand ich jetzt nicht besonders ungewöhnlich. Insbesondere weigere ich mich standhaft, den Apple QuickTime Schrott zu installieren. Die Software ist sowas von eklig, die Integration egal in welchen Browser funktioniert hinten und vorne nicht so wie ich das gerne hätte und QuickTime will dann alle Medien abspielen, die die Dreckssoftware gar nichts angeht. Von den vielen Bugs und Sicherheitslücken will ich gar nicht reden. Weil mich natürlich interessiert, welches Plugin in diesem Fall fehlt, habe ich todesmutig draufgeklickt (man weiß ja schließlich nie, was sich auf so chinesischen Webseiten verbirgt):

Sehr witzig, das ist gar kein Firefox-Plugin. Das Plugin-Symbol wird im HTML-Quelltext als billige GIF-Grafik angezeigt. Beim Klick auf die Grafik wird dann ein normales EXE-File nachgeladen. Und was sagt Virustotal dazu?

Ui, ein böser Trojaner-Downloader. Also im Grunde genau das, was man so von einer chinesischen Webseite erwarten würde.

Trotzdem finde ich die Idee clever. Auf den ersten Blick dürften sich die meisten unbedarften User täuschen lassen. Das Puzzle-Symbol für ein Plugin ist dem User bekannst und symbolisiert einen vertrauenswürdigen Download. Wenn sich dahinter ein EXE verbirgt, kann man dem Anwender eigentlich auch keinen Vorwurf machen, das blöde QuickTime läßt sich ja auch nicht direkt über den Browser installieren.

Wie Fefe schon Anfang des Monats bemerkte, das das Bundesinnenministerium eine FAQ zum Bundestrojaner veröffentlicht. Natürlich ist für jeden Informatiker leicht erkennbar, daß die Antworten des Bundesinnenministeriums großer Quatsch sind. Leider gibt es bisher keine korrigierte Fassung, daher habe ich mich des Problems einmal angenommen.

Frage: Wird bei der geplanten Online-Durchsuchung der Datenschutz genügend berücksichtigt? Wird meine Privatsphäre ausreichend geschützt? Wie bleiben meine privaten Dokumente geschützt? Wie bleiben gewerbliche und berufliche Unterlagen geschützt?

Antwort: Natürlich nicht. Es gibt schlichtweg keine Möglichkeit für ein Stück Software, zwischen sprachlich kodierten Texten eines Terroristen und harmlosen Texten eines Schülers zu unterscheiden. Kai Raven hat das Problem der Analyse von Schlüsselwörtern schön dargestellt und selbst der BKA-Präsident warnt ja davor, den privaten Lebensbereich vom Bundestrojaner auszunehmen, da die mutmaßlichen Terroristen ihre Anschlagspläne sonst ja einfach in einer Datei “privates tagebuch.doc” verstecken könnten. Der geplante Richtervorbehalt ist leider auch nur ein Feigenblatt, wie die regelmäßigen verfassungswidrigen Hausdurchsuchungen zeigen.

Frage: Werden die Betroffenen von einer erfolgten Online-Durchsuchung informiert?

Antwort: Die Betroffenen werden praktisch nie informiert, auch wenn das gesetzlich vorgeschrieben wird. Diese Erfahrung mit dem großen Lauschangriff zeigt, daß Polizisten und Staatsanwälte sehr kreativ werden, sich um diese gesetzliche Verpflichtung zu drücken.

Frage: Ist sichergestellt, dass durch die Installierung der Ermittlungssoftware die auf dem betroffenen Rechner installierte Sicherheitssoftware nicht beeinträchtigt wird und dadurch Unbefugte zu anderen, zum Beispiel kriminellen Zwecken in die Rechner von Bürgern eindringen können?

Antwort: Nein, das ist technisch auch kaum möglich. Jede Software enthält Fehler, Standardsoftware hat sogar bis zu 25 Bugs pro 1000 Zeilen Programmcode und Software die über das Netzwerk kommuniziert ist immer auch über das Netzwerk angreifbar. So enthielt beispielsweise der Sasser-Wurm einen Programmierfehler über den weitere Schadprogramme in den Rechner eindringen konnten.

Frage: Könnte die Ermittlungssoftware entdeckt und dann zu eigenen Zwecken missbraucht werden?

Antwort: Das ist natürlich möglich und sogar sehr wahrscheinlich. Alle Viren und Schadprogramme die von Virenscannern erkannt werden sind schließlich irgendwann
entdeckt und analysiert worden. Bekanntes Beispiel ist das Sony BMG Rootkit, das von Mark Russinovitch entdeckt wurde. Auch speziell entwickelte Schadprogramme können (manchmal zufällig) entdeckt werden. Und natürlich werden einmal entdeckte Schadprogramme auch mißbraucht.

Frage: Wie werden Dienstleister geschützt, welche vertraglich zum Schutz der ihnen anvertrauten und bei ihnen zur Auftragserfüllung gespeicherten Kundendaten verpflichtet sind?

Antwort: Vermutlich wird tatsächlich kein Dienstleister oder Provider zur aktiven Mithilfe verpflichtet. Das wird in der Praxis aber auch gar nicht nötig sein, notfalls werden einfach die Server des Providers beschlagnahmt. Der Richtervorbehalt ist wie oben gezeigt sowieso nutzlos und beschlagnahmt wurden sogar schon die AN.ON-Server des Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein. Wenn Behörden sich gegenseitig die Server wegnehmen hat vor der Privatwirtschaft sowieso keiner mehr Respekt.

Frage: Es wird behauptet, dass die Online-Durchsuchung Bürgerinnen und Bürger unzulässig unter einen Generalverdacht stellen würde – stimmt das und wie verhält sich dies zu der rechtsstaatlichen Unschuldsvermutung?

Antwort: Mit der Online-Durchsuchung wird es sich wie mit dem Abhören von Telefonen verhalten. Ursprünglich auch nur zur Aufklärung schwerer Straftaten eingeführt, wird inzwischen sogar wegen Bagatelldelikten abgehört. Abhören ist inzwischen Massengeschäft und nur in wenigen Ländern wird mehr abgehört als in Deutschland. Wenn es um vermeintliche Terroristen oder Kinderschänder geht, stehen inzwischen ja sämtliche Grundrechte zur Disposition. Noch problematischer halte ich jedoch die Heimlichkeit der Online-Durchsuchung. Die Väter des Grundgesetzes der Bundesrepublik Deutschland haben nicht umsonst aus den Erfahrungen der Nazizeit verlangt, das Hausdurchsuchungen öffentlich sein müssen und ein Zeuge hinzugezogen werden kann. Heimliche Durchsuchungen kennen die nach 45 geborenen nur aus Unrechtsregimen (Gestapo, Stasi).

Frage: Wie sollen die bei den Online-Durchsuchungen anfallenden Datenmengen durch die Sicherheitsbehörden bewältigt werden?

Antwort: Bei der Vielzahl der erwarteten Online-Durchsuchungen wird es ein paar private Unternehmen geben, die Hilfsdienste übernehmen. Das gleiche kennen wir von der Festplattenanalyse bei Kinderpornographie sowie aus dem Urheberrecht. In wieweit dann jedoch die Privatsphäre erhalten bleibt kann niemand garantieren.

Frage: Welche Rechtsmittel werden gegen Online-Durchsuchungen zugelassen?

Antwort: Da keine Benachrichtigung der Betroffenen (siehe oben) stattfindet, sind Rechtsmittel praktisch nicht notwendig.

Ich frage mich ja schon manchmal: sind die Beamten um Schäuble im Bundesinnenministerium wirklich so inkompetent wie sie sich hier geben oder ist das eine bewußte Täuschung und vorsätzliches Belügen der eigenen Bevölkerung?

Weitere Hinweise:

• Wie funktioniert der Bundestrojaner?
• Zehn Fragen und Antworten zum Thema Trojaner und Bundestrojaner
• Truecrypt Verschlüsselungssoftware

Es wird höchste Zeit, daß Schäuble, Zypris und Konsorten abgewählt werden!

Neulich mal wieder in meiner Inbox:

Interessantes Social Engineering, insbesondere die deutsche Adressen. Wie üblich, das Exe einmal kurz Virustotal übergeben:

Interessanterweise wurde der Downloadlink nicht irgendwie maskiert, die Datei liegt wirklich auf diesem Server. Ist das ein Trend?

Ach ja:

DNS: www.cristhmasx.com –> 58.65.239.99

APNIC: 58.65.239.99 –> HostFresh Internet Service Provider, Hong Kong

und besonders witzig: Auf der Webseite steht “this account temporally suspensed for security reason” aber der Trojaner-Download funktioniert trotzdem

Seagate/Maxtor hat in Taiwan ein paar mobile 500 GB Festplatten ausgeliefert, die mit zwei Trojanern (autorun.inf und ghost.pif) infiziert waren. Ich finde die Idee ja cool, darauf bin ich nicht mal bei meinen Virenideen gekommen.

“The tainted portable hard disc uploads any information saved on the computer automatically and without the owner’s knowledge to www.nice8.org and www.we168.org, the bureau said.”

Die Taiwanesen verdächtigen jetzt die Chinesen der Spionage. Angeblich werden solche großen Platten hauptsächlich von Regierungsbehörden verwendet. Mehr in der Teipei Times.

(via Fefe)