Schlagwort-Archiv: Twitter

Das Einfügen von Scripts in Tweets ermöglicht Angriffe

Hinterlassen Sie eine Antwort

Originalartikel von Robert McArdle (Senior Threat Researcher bei Trend Micro)

Twitter kämpft derzeit mit einigen Problemen bezüglich Cross Site Scripting (XSS) und dem Missbrauch der Funktion OnMouseOver sowie MouseOver in der Skriptsprache JavaScript.

Es gibt eine Lücke in Twitter, die das Einfügen von JavaScript-Code in einen Tweet ermöglicht. Dies funktioniert folgendermaßen: Setzt ein Nutzer eine URL in seinen Tweet, erkennt Twitter dies und, sobald der Tweet über einen Browser angezeigt wird, verpackt der Dienst die dort enthaltene URL, wie folgt:

<a href=”YOUR_LINK” class=”tweet-url” rel=”nofollow” target=”_blank”>YOUR_LINK</a>

Das Problem dabei ist jedoch, dass der Dienst die URL vorher nicht “säubert”. Vor allem prüft er nicht, ob Anführungszeichen vorhanden sind, über die ein Nutzer etwa folgenden Link publizieren kann:

http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!’)//

Twitter erkennt die Zeile als URL und packt sie in einen Link. Doch das Ausrufezeichen darin bewirkt, dass das onmouseover-Bit in die Link-Markierung () als Attribut eingefügt wird.

<a href=”http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//” class=”tweet-url web” rel=”nofollow” target=”_blank”>http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//</a>

OnMouseOver löst im Internetbrowser schon dann eine Aktion aus, wenn ein Nutzer die Maus lediglich über den Link führt – und ermöglicht damit einen Angriff. Twitter-Nutzer können nämlich über diese Schwachstelle einfach JavaScript-Code in ihre Tweets einfügen. In diesem harmlosen Beispiel würde ein Fenster aufgehen, das den Satz “Sanitize your Input!” anzeigt. Natürlich lässt sich das auch für gefährliche Angriffe tun. Folgende URL würde bewirken, dass ein Nutzer eine Nachricht verschickt, sobald er die Maus über den gefährlichen Link geführt hat:

http://a.bc/@”onmouseover=”document.getElementById(‘status’).value=’RT YourTwitterId’;$(‘.status-update-form’).submit();”class=”modal-overlay”/

Trend Micro rät Twitter-Nutzern dringend, eine der Empfehlungen zu beherzigen:

  • Für Twitter eine Anwendung eines Drittanbieters zu nutzen, denn die Lücke bezieht sich lediglich auf Browser,
  • Will ein Nutzer dennoch seinen Browser weiter nutzen, so sollte die NoScript-Erweiterung für Firefox installiert werden, um die Ausführung von JavaScripts zu verhindern.

Twitter berichtet, die Sicherheitslücke sei gerade geschlossen worden.

Wie Spammer sich hinter mehreren Web-Schichten verstecken

2 Antworten

Originalartikel von David Sancho (Senior Threat Researcher bei Trend Micro)

Das Research-Team von Trend Micro entdeckte kürzlich eine Spam-Mail, die dank einiger einfacher Tricks alle Spam-Filter passiert hatte. Die Nachricht bestand lediglich aus einem kurzen Satz und einem verkürzten Link. Der Satz war in spanischer Sprache verfasst, was die Arbeit der Spam-Filter erschwert haben mag. Auch zeigte sich wieder einmal, dass „In der Kürze liegt die Würze“ immer gilt – auch bei Spam!

Außerdem hatten die Kriminellen einen verkürzten Link eingefügt. Reputationssysteme können Shortened URLs nicht sofort mit dem Tag „bösartig“ versehen, und diese Tatsache unterstützt Angreifer beim Versenden von Spam. URL Shortener verschleiern Links, sodass sie nicht gleich zu erkennen sind. Während die verkürzten Links in der Web 2.0-Welt sehr häufig verwendet werden, sind sie in E-Mails nicht so gebräuchlich, denn es gibt dort im Gegensatz zu Twitter (Länge der Nachrichten ist 140 Zeichen) keine Beschränkung der Message-Länge.

Die Verschleierung über den Shortener war nicht ausschlaggebend, denn das endgültige Ziel war ein Blogspot-Link. Es handelt sich dabei um einen kostenlosen Blogging-Dienst, den Spammer für die Umleitung auf tatsächliche Spammer-Sites, die gefälschte Rolex-Uhren vertreiben, missbraucht haben.

Die Analyse des HTML-Codes der Blogging-Site zeigte, dass die Kriminellen sehr geschickt JavaScript-Code für ihre Zwecke genutzt hatten.


Blogspot erlaubt nämlich das Einfügen von JavaScript in eigene Blogs. Das aber ist einfach eine Einladung zum Missbrauch der Plattform!

Dieser Vorfall führt erneut vor Augen, dass die Bad Guys mit verschiedenen Methoden immer wieder die Schutzsysteme austricksen können. Auf der anderen Seite aber zeigt er auch die Mächtigkeit von JavaScript, das in falschen Händen zur Waffe werden kann. Deswegen sollte die Script-Sprache in Tools für die persönliche Kommunikation blockiert werden. Das Potenzial für Missbrauch reicht noch weiter: Cross-site Scripting (XSS), Cross-site Request-Fälschungen und weitere Web-Techniken beruhen auf der Nutzung von JavaScript.

Twitter Botnet Mehika greift an

Hinterlassen Sie eine Antwort

Originalartikel von Ranieri Romera (Senior Threat Researcher bei Trend Micro)

Social Networking-Sites zu nutzen, um die Kontrolle über Anwendersysteme zu erlangen und sie Botnetzen “einzuverleiben”, ist keine neue Taktik. Unser Research-Team fand kürzlich eine Malware, die ein Twitter-Konto einsetzt, um Befehle an das neue Mehika-Twitter-Botnet zu schicken.

Warum wählen Cyberkriminelle diesen Weg? Die Antwort ist einfach: Die Nutzung einer social Networking-Site erfordert keine Installation, Konfiguration und auch nicht das Management von Command-and-Control (C&C) Servern. Stattdessen lassen sich Nachrichten in einem bestimmten Konto aufsetzen und sofort als Befehle und Anleitungen an die Zombies im Botnet versenden. Und noch etwas: Aufgrund der Tatsache, dass diese Sites Tausende oder Millionen von User-Profilen haben, ist es schwierig, ein verdächtiges Konto ausfindig zu machen, vor allem, wenn die Kriminellen sich die Zeit nehmen, ihre Spuren zu verwischen.

Die Anwender von Trend Micro-Produkten müssen sich keine Sorgen über die neue Bedrohung machen, denn das Smart Protection Network hat das Twitter-Botnet Mehika bereits erkannt   das Binary als WORM_TWITBOT.A identifiziert) und verhindert den Zugriff auf die Anwendersysteme. Weitere Informationen zu Mehika und dessen Vorgänger bietet das Whitepaper “Discerning Relationships: The Mexican Botnet Connection”.

IE wieder angreifbar

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson (Senior Security Advisor bei Trend Micro)

Tweet vom Microsoft Security Response Team

Das Microsoft Security Response Team veröffentlichte am Freitag einen interessanten Tweet, dessen Inhalt zu denken gibt: “Wir wissen von einem öffentlich gewordenen Problem mit Internet Explorer und werden der Sache übers Wochenende weiter nachgehen.“ Das klingt sehr geheimnisvoll, denn keine neue Sicherheitslücke ist bekannt.

Der Tweet könnte sich auf die Weiterentwicklung einer Lücke beziehen, die Chris Evans von Google im Dezember letzten Jahres in einem Eintrag auf seinem Scary Beast Security Blog publik gemacht hatte. Der Gedanke liegt nahe, denn Evans hatte ebenfalls am Freitag kurz vor dem Microsoft-Eintrag in einer Nachricht an die Full Disclosure Mailing-Liste von einem Versuch, „diesen Bug zu entfernen“, gesprochen. Und weiter: „ Es gibt eine schlimme Sicherheitslücke im neuen Internet Explorer 8. Leider konnte ich den Hersteller nicht dazu bringen, einen Fix dafür zu veröffentlichen. Der Bug erlaubt es beispielsweise einer beliebigen Website, ein Opfer dazu zu zwingen, Tweets zu verschicken.“ Evans behauptet, man könne davon ausgehen, dass Microsoft diese Lücke seit 2008 kennt und dass derselbe Fehler „wahrscheinlich“ auch frühere Versionen des IE betrifft.

Der Exploit ist darauf ausgerichtet, eigentlich geheime Zugangsdaten zu einer bereits authentifizierten Browser Session, etwa für Twitter, zu stehlen, um diese Daten dazu zu nutzen, eigene Inhalte zu verschicken.

Opera, Chrome, Firefox und Safari haben die Lücke bereits geschlossen. Es bleibt zu hoffen, dass Microsoft dies auch schnell tut, denn mit wachsender Beliebtheit der URL-Shortening-Services ist es einfach, solche Fehler auszunützen.

Sicherheit beim sozialen Networking

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson (Senior Security Advisor bei Trend Micro)

Quelle: Philo Nordlund’s Flickr stream

Weil viele Leser dieses Blogs auch regelmäßig Facebook und Twitter nutzen, hier ein paar Tipps dazu, was für die Sicherheit beim social Networking wichtig ist:

  • Machen Sie sich vertraut sowohl mit den Privacy-Einstellungen als auch mit der Sicherheits-Policy jedes sozialen Netzwerks, dass Sie nutzen. Wenn Sie Zweifel an der Sicherheit haben, lassen Sie die Site lieber außen vor.
  • Beim Erstellen des eigenen Profils sollten Sie bei jeder einzelnen Information, die Sie veröffentlichen, gut überlegen, ob das Detail wirklich relevant für die Site ist. Geben Sie beispielsweise keine Telefonnummer an, und füllen Sie kein Formular aus, nur weil es vorhanden ist!
  • Wenn Sie Inhalte, Chats, Mail oder Kommentare zu den Einträgen oder Profilen anderer ansehen oder teilen, sollten Sie die Kommunikation nie für persönlich oder privat halten. Auch wenn Sie alle verfügbaren Privacy-Einstellungen nutzen, können Sie nie davon ausgehen, dass Ihre Inhalte nicht ohne Ihr Wissen kopiert, herunter geladen oder sonst auf eine Weise benutzt werden.
  • Die meisten Sites bieten eine Möglichkeit des Resets eines Kennwort, falls Sie dieses vergessen. Doch stellt dies auch eine der üblichsten Arten des Einbruchs in ein Konto dar. Sollten Sie dazu aufgefordert werden, auf „Sicherheitsfragen“ zu antworten, überlegen Sie, ob die Antworten auch wirklich sicher sind. Sicher heißt, dass Sie die einzige Person sind, die diese Frage beantworten kann! Gibt es die Möglichkeit, eigene Fragen aufzusetzen, so nutzen Sie diese! Werden Sie jedoch dazu gezwungen, Standardfragen wie „erste Schule“ oder „erstes Haustier“ zu beantworten, so denken Sie daran, Sie müssen keine wahrheitsgemäß Angaben machen.
  • Verwenden Sie nicht ein und dasselbe Kennwort für mehrere unterschiedliche Sites. Falls die eine infiziert wird, müssen Sie sich um die anderen keine Sorgen machen. Setzen Sie komplexe Kennwörter auf, die Groß- und Kleinbuchstaben enthalten, Zahlen und Sonderzeichen. Finden Sie einen Weg, um die Kennwörter für die verschiedenen Sites zu unterscheiden, etwa indem der erste und letzte Buchstabe der Website am Anfang beziehungsweise Ende des Passwortes enthalten ist
  • Erhalten Sie eine „Friend“-Anfrage von jemand, den Sie nicht kennen, so kontaktieren Sie die Person direkt, bevor Sie sie zu ihren Vertrauten hinzufügen. Fragen Sie nach, woher die Person Sie kennt. Damit schützen Sie nicht nur Ihre eigene Vertraulichkeit sondern auch die Ihrer Freunde.
  • Es mag sinnvoll sein, die Freunde in Gruppen zu unterteilen, um bestimmte Inhalte nur mit bestimmten Leuten zu teilen.
  • Versuchen Sie, die Zahl der installierten Apps und Dienste von Drittanbietern, die Zugriff auf Ihr Konto haben, möglichst gering zu halten. Sie sollten auch wissen, wie man diese Apps entfernt oder sperrt, wenn Sie sie nicht mehr benutzen wollen. Denken Sie daran, dass auch auf Twitter jeder von Ihnen autorisierte Service seine Berechtigungen behält, es sei denn, Sie ändern diese per Hand.
  • Klicken Sie keine Links in Nachrichten oder Einträgen an, auch wenn die Links von Freunden kommen. Prüfen Sie erst, ob die Person die Links auch wirklich an Sie schicken wollte. Damit verhindern Sie nicht nur, Opfer eines Phishing- oder Scam-Angriffs zu werden, sondern könnten auch einem Freund einen Gefallen tun, indem Sie ihn darüber informieren, dass sein Konto kompromittiert ist und von dort Links verschickt werden.