Dipl.-Inform. Carsten Eilers

Vor vier Jahren entdeckte Michal Zalewski eine DoS-Schwachstelle im Apache Webserver und veröffentlichte sie auf der Mailingliste Bugtraq. Ein Fehler beim Verarbeiten von Byte-Range-Headern führte dazu, dass der Server durch einen einzigen entsprechend präparierten Request lahm gelegt werden konnte. Nun sollte man annehmen, dass eine 4 Jahre alte Schwachstelle inzwischen behoben und dabei auch der gesamte in Frage kommende Code überprüft wurde.

Und wenn sie nicht gestorbengepatcht sind...

Außer quasi ständigen Angriffen auf bzw. über Facebook gab es beim Clickjacking noch einige weitere mehr oder weniger erfreuliche Nachrichten. Fangen wir mit den schlechten Nachrichten an:

Framebuster verhindern Clickjacking - aber nicht immer

Cyberkriminelle und Banken liefern sich zur Zeit wohl ein Rennen wie Hase und Igel. Die Frage ist nur, wer Hase und wer Igel ist und ob der Hase am Ende wirklich tot umfällt.

TAN-Listen tot, SMS-TAN angeschlagen

Vor etwas mehr als einem Jahr wurde festgestellt, dass Facebooks Like-Button zum Clickjacking geradezu auffordert. Diese speziellen Angriffe wurden "Likejacking" getauft, und in der Zwischenzeit gab es eine Vielzahl davon.

Likejacking - Cyberkriminelle mögen Facebook!

Wie ein gutes Passwort gebildet wird, weiß wohl jeder: Mindestens 8 Zeichen, Groß- und Kleinbuchstaben und Zahlen gemischt, gerne auch ein Sonderzeichen, ... Regeln gibt es viele, wie man so ein "zufälliges" aber doch gut merkbares Passwort bilden kann hatte ich mal in einem Standpunkt Sicherheit beschrieben, übliche Regeln zum Umgang mit Passwörtern in einem anderen kommentiert. Das war 2008 bzw. 2009. Und jetzt?

Sehr Witzig! Oder traurig?

Beim Cookiejacking wird eine Schwachstelle im Internet Explorer ausgenutzt, um über Clickjacking Cookies, insbesondere natürlich Session-Cookies, auszuspähen.

Eigentlich ist Cookiejacking ja schon fast wieder out, da Microsoft die zugrunde liegende Schwachstelle im Internet Explorer am August-Patchday behoben hat. Trotzdem lohnt sich ein Blick auf diese Schwachstelle bzw. diesen Angriff, schließlich weiß man ja nie, ob sie bzw. er nicht auch mal in anderen Browsern auftritt.

IE-Schwachstelle + Clickjacking = Cookiejacking

Als "Operation Shady RAT" bezeichnet McAfee eine groß angelegte Angriffsserie auf insgesamt 72 Behörden und Organisationen in 14 Ländern, die bereits 2006 begann. Ob es, wie oft geschrieben, der bisher größte Cyberangriff ist, ist zweifelhaft. Eine technische Beschreibung der Angriffe gibt es von Symantec.

Altbekannte Vorgehensweise

Oft hört man "Ich habe keine Schadsoftware auf meinem Rechner, dass würde ich doch merken!", ein Spruch, der vielleicht vor 25 Jahren gültig war, heute aber schon lange nicht mehr gilt. Es gibt viele Arten von Schadsoftware, und Sie erkennen davon nur die, deren Autoren es so wollen. Die meisten Schädlinge arbeiten heimlich, still und unbemerkt im Hintergrund und fallen erst auf, wenn es für Sie zu spät ist.

Scareware und Ransomware - die "laute" Schadsoftware

Um den RPC-Wurm Conficker war es recht ruhig geworden, jetzt ist er wieder da. Und wie sieht es mit Stuxnet aus?

Conficker-Urheber verhaftet oder nicht?