Archiv für den Monat: Oktober 2011

Datenschutz: Gefällt mir

Hinterlassen Sie eine Antwort


Ein Kommentar von Ulrike Scharf, Technical Manager 

Deutsche Datenschützer laufen Sturm gegen Facebooks Praktiken, über den „Gefällt-mir“-Button Daten zum Surfverhalten seiner Nutzer zu sammeln und damit gegen deutsches Datenschutzrecht zu verstoßen. Anwender können ihre Daten selbst auch schützen.

Erst vor wenigen Tagen hatte der „Unterausschuss Neue Medien“ im Bundestag Neue Medien die Datenschutzbeauftragten von Google und Facebook zu einer Befragung zu dem „Social-Plug-In“ geladen. Ein Kompromiss in Sachen „Gefällt-mir-Button“ ist jedoch nicht in Sicht.

Nutzer können sich allerdings auch selbst schützen. Wer unterbinden will, dass eine IP-Adresse mit persönlichen Daten verknüpft wird, sollte sich beim Surfen aus Facebook abmelden. Denn die Daten lassen sich nur zuordnen, solange Nutzer beim sozialen Netzwerk eingeloggt ist. Abhilfe schaffen auch „Browser-Plug-Ins“ wie „Facebook Blocker“ für Firefox und Safari und „Facebook Disconnect“ für Chrome.

„Gefällt mir“ ganz privat

Der Schutz der Privatsphäre beginnt jedoch bereits bei den Einstellungen im eigenen Profil auf Facebook. Einzelheiten und Tipps dazu liefert das Whitepaper „Making the Most Out of Facebook’s Privacy Settings“. Darüber hinaus sollten Nutzer beim Veröffentlichen von Einträgen die folgenden Regeln im Hinterkopf behalten:

  1. Stellt ein Nutzer einen Kommentar auf die Pinnwand eines anderen, so gelten dafür die Privatsphäreneinstellungen des Originalbeitrags, und die können weniger restriktiv sein, als die eigenen, etwa lesbar für „Freunde deiner Freunde“.
  2. Schränkt ein Nutzer den Kreis derer ein, die einen Beitrag sehen können, so ist diese Einstellung nicht endgültig. Kommentiert später ein Freund diesen Eintrag und hat Verbindung zu jemand, der nicht zum ursprünglichen Leserkreis gehört, so kann dieser den gesamten Eintragsverlauf sehen. Also Vorsicht mit Einträgen!
  3. Antwortet ein Nutzer auf eine Einladung zu einem öffentlichen Event oder publiziert etwas auf einer öffentlichen Seite, so kann er die Privatsphäreneinstellung seines Eintrags nicht selbst bestimmen. Er kann lediglich den Beitrag vor der eigenen Chronik („Timeline“) verstecken.
  4. Alles, was ein Nutzer mit der Einstellung „öffentlich“ oder „Freunde deiner Freunde“ veröffentlicht, kann im Ticker von Leuten auftauchen, die er nicht zwangsläufig kennt.

Bedrohungsmanagement in Echtzeit ist die Zukunft

Hinterlassen Sie eine Antwort

Originalartikel von Raimund Genes, Chief Technology Officer

 

Trend Micro hat eine Reihe aktueller, zielgerichteter Angriffe aufgedeckt. Mit dieser als Lurid bekannten Methode wurden vor allem Behörden in 61 Ländern infiziert. Die Sicherheitsforscher konnten 1465 Computer ausmachen, die erfolgreich infiziert und Opfer eines Datendiebstahls wurden. Man sprach von einer einmaligen persistenten Bedrohung. Doch sie war nicht einmalig. Die Schwachstellen im Adobe Acrobat Reader, die für die Ausführung der Schadsoftware genutzt wurden, war sehr wohl bekannt, und die Kriminellen konnten Nutzer auch dazu verleiten, Bildschirmschoner herunterzuladen.

Wie kann so etwas trotz der eingesetzten Sicherheitsmaßnahmen und IDS/IPS-Systeme passieren? Das Problem heutzutage besteht wahrscheinlich darin, dass es zu viel Rauschen gibt, sodass die Zahl der Log-Einträge in einem IDS/IPS-System zu hoch ist, um die Nadel im Heuhaufen zu finden. Deshalb brauchen wir ein Echtzeit-Bedrohungsmanagement. Dafür bedarf es eines Systems, das dem Administrator dabei hilft zu erkennen, was tatsächlich vor sich geht, was in das Unternehmen hereinkommt und noch viel wichtiger, was aus der Organisation nach außen geht. Es ist viel schwieriger, infizierte Computer zu erkennen, wenn keine Kommunikation stattfindet. Doch sobald ein infiziertes System Verbindung mit der Kommandozentrale aufnimmt, um Informationen dahin zu versenden, ist das ein guter Indikator dafür, dass etwas Böses in der Unternehmensumgebung vor sich geht.

Mit entsprechender Konfiguration, einer Kombination aus Sicherheitsprodukten und einem Echtzeit-Bedrohungsmanagement ist es möglich, die Visibilität zu erhöhen. Hundertprozentige Sicherheit gibt es nicht. Darum müssen Unternehmen über Risikomanagement nachdenken, um mithilfe eines Realtime Threat Management System die Gefahren zu minimieren und die Sichtbarkeit zu erhöhen. Hier sollten Unternehmen ihre Investitionen tätigen.

Eine weitere ZeuS-Variante schlägt zu

Hinterlassen Sie eine Antwort

Originalartikel von Jasper Manuel, Threat Response Engineer

Trend Micro ist in den letzten Monaten schon des Öfteren auf Malware gestoßen, wie etwa Ice IX und ZeuS 2.3.2.0, die aus dem im Frühjahr öffentlich gewordenen ZeuS-Code hervorgegangen ist. Nun gibt es seit Ende September eine neue Variante, die anscheinend auch auf dem ZeuS-Code beruht. Obwohl es keine Referenz auf eine Versionsnummer gibt, gehen die Sicherheitsforscher davon aus, dass sie von denselben Kriminellen entwickelt wurde, die auch hinter LICAT stehen.

Die derzeitigen Angriffe zielen momentan auf australische Nutzer, doch lässt der Inhalt der entschlüsselten Konfigurationsdatei darauf schließen, dass der Schädling auch in einer weltweiten Kampagne in den USA, Europa und sogar Asien genutzt werden kann.

Die neue Version (TSPY_ZBOT.SMQH) verbreitet sich über Spam, der vorgibt, vom ATO (Australian Taxation Office) zu kommen. Die infizierte Nachricht enthält einen bösartigen Link, der auf eine infizierte Website zeigt. Diese wiederum bedient das BlackHole Exploit Kit, das dann diese neue ZeuS-Variante herunterlädt.

Anders als frühere ZeuS-Versionen, die ihre Konfigurationsdatei über http herunterladen, öffnet die neue einen beliebigen UDP-Port und nimmt Verbindung zu einer hart codierten Liste mit IP-Adressen auf, um die entsprechende Datei herunter zu laden. Weitere technische Details zur Vorgehensweise gibt es hier.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten. Der File Reputation Service erkennt diese Dateien als Schädlinge

Spam-Schutz for Dummies

Hinterlassen Sie eine Antwort

Originalartikel von Roland Dela Paz, Threat Response Engineer

Eine steigende Zahl von Spam-Angriffen der letzten Zeit nutzen das Exploit Kit BlackHole, um ihre bösartige Fracht auszuliefern, so etwa im Fall der Spam-Attacken in Verbindung mit Steve Jobs Tod.

Umso wichtiger ist das Verständnis darüber, wie ein solcher Angriff funktioniert und wie Anwender selbst sich effizient vor dieser Bedrohung schützen können.

In einer typischen Spam-Kampagne mit eingebauter Malware versuchen Cyberkriminelle Anwender über Social Engineering-Techniken dazu zu verleiten, verschiedene Aktionen – Herunterladen, Öffnen, Ausführen einer wahrscheinlich infizierten Datei — vorzunehmen, bevor die böse Fracht ausgeführt werden kann. Spam-Kampagnen aber, die ein Exploit Kit einbeziehen, sind gefährlicher, denn hier muss der Nutzer nur dazu verleitet werden, auf einen bösartigen Link zu klicken, damit die Infektion ihren Lauf nimmt. Ein ausführliches Beispiel für einen Angriff mit dem BlackHole Exploit Kit finden Sie hier.

Das BlackHole Exploit Kit nutzt Sicherheitslücken sowohl in Anwendungen wie Adobe Acrobat und Flash Player oder Java aus als auch in Windows-Komponenten wie Microsoft Data Access Components (MDAC) und Help and Support Center (HCP).

 

Nach dem erfolgreichen Eindringen ein System wird ein Shellcode ausgeführt, der das Herunterladen und die Ausführung der Malware anstößt. Alle diese Angriffe mit BlackHole hatten das Ziel, ZeuS-Varianten zu verbreiten.

Mehrschichtiger Schutz

Es gibt mehrere Möglichkeiten für Anwender, ihre Systeme vor dieser Art von Bedrohung zu schützen.

  • Behalten Sie immer die Möglichkeit eines Social Engineering-Angriffs im Hinterkopf: Die Mehrheit der Online-Angriffe nutzt soziale Engineering-Techniken, um Malware “an den Mann” zu bringen. Durch vorsichtiges, vernünftiges Agieren im Online-Bereich, können Infektionen vermieden werden.
  • Links immer prüfen, bevor Sie klicken: Nutzer müssen überprüfen, wohin eine URL zeigt. Dafür empfiehlt es sich, mit Copy und Paste die URL in die Adresszeile des Browsers zu kopieren, statt direkt darauf zu klicken.
  • JavaScript im Browser deaktivieren: Exploit Kits wie BlackHole und andere aktuelle Bedrohungen nutzen JavaScript, um die mitgeführten Schädlinge auszuführen. Daher sollten Anwender JavaScript nur für vertrauenswürdige Sites zulassen.
  • Patchen nicht vergessen: BlackHole verwendet Exploits, die alte, nicht gepatchte Softwareversionen betreffen. Deshalb ist es ungeheuer wichtig, regelmäßig Patches aufzuspielen, trotz aller damit einhergehender Unbequemlichkeiten.

Anwender der Trend Micro-Lösungen sind durch das Smart Protection Network vor diesen Spam-Angriffen geschützt, denn die Web, Email und File Reputation Services erkennen die Schädlinge und blockieren den Zugriff auf die infizierten Webseiten.

 

Sony (nicht) gehackt

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson, Security Research & Communication EMEA

Geben Sie Ihr Kennwort ein

Medienberichte beschreiben einen Angriff gegen das Sony PlayStation Network (PSN) und Sony Online Entertainment (SOE) als eine „erneute Hackerattacke“. Doch einem Blog-Eintrag von Sonys SVP und CIO zufolge trifft dies nicht den Charakter des Vorfalls.

Der Angriff auf die PSN-Konten von Sony-Abonnenten ging folgendermaßen … Eine oder mehrere unbekannte Personen hatten eine Datenbank mit Benutzernamen und Kennwörtern gebaut oder beschafft. Mit diesen Zugangsdaten versuchten sie, auf PSN und SOE zuzugreifen, wobei die „überwiegende Mehrheit“ der Zugriffsversuche scheiterte. Lediglich 0,1 Prozent der Anmeldungen war erfolgreich. Deshalb nimmt Sony an, dass die benutzten Zugangsdaten nicht von der Firma direkt gestohlen wurden – weder bei diesem noch bei den vorherigen Einbrüchen. Die aus einer anderen Quelle stammende Datenbank wurde in einem Bruteforce-Angriff gegen Sony verwendet, wissend, dass viele Nutzer ihre Kennwörter mehrfach verwenden.

Sofort, nachdem Sony verdächtige Aktivitäten auf den eigenen Servern entdeckt hatte, wurden die betroffenen Konten entfernt und die Besitzer darüber informiert, ihre Kennwörter zu ändern.

Eigentlich sollte der Vorfall von Sony nicht als Schaden sondern als Erfolg gewertet werden. Mit den eigenen Monitoring-Systemen hatten sie die von der Norm abweichenden Verhaltensweisen erkannt und schnell reagiert, um den Schaden zu begrenzen. Darüber hinaus verpflichten sie die betroffenen Nutzer zur Änderung der Kennwörter. Angesichts der vergangenen Einbrüche bei Sony ist es gut möglich, dass die Daten zu den damals gestohlenen gehören. Doch scheint die damals aufgesetzte Richtlinie, die die Nutzer zu einem Kennwort-Reset gezwungen hatte,  Wirkung zu zeigen.

Was lernen wir daraus? So mühselig es auch sein mag, für jede Online-Anmeldung ein anderes Kennwort zu nutzen, ist es doch von enormer Bedeutung. Auch müssen die einzelnen Kennwörter komplex und mit vielen Sonderzeichen versehen sein, um nicht erraten zu werden. Tipp: Setzen Sie ein komplexes Kennwort auf und versehen es mit dem ersten und letzten Buchstaben der jeweiligen Website, sodass es immer einzigartig bleibt.