Skip to content

Mahdi wird zum Bettvorleger, und Passwortlecks sind der Sommerhit 2012

Geschrieben von Carsten Eilers am um 11:46

Ohne viel Vorrede gleich zum Thema:

Mahdi - Ein digitaler Bettvorleger?

Keinen großen Kommentar gibt es zu Mahdi. Aus dem einfachen Grund, dass es keine neuen Erkenntnisse darüber gibt. Sie haben richtig gelesen: Außer Kaspersky und Symantec hat kein weiterer Antivirenhersteller über den neuen "Superspion" berichtet. Was mich in der Ansicht bestätigt, dass an Schädlingen, die von Kaspersky gross angekündigt werden, am Ende wenig dran ist. Bei Flame hatten sie Glück, dass der die 0-Day-Schwachstelle in Windows Update ausnutzt, sonst hätte der auch unter "Als Tiger losgeschickt, als Bettvorleger angekommen" (denn selbst gesprungen ist er ja nicht) abgehakt werden können. Mahdi scheint dagegen sogar als handelsübliche Auslegeware zu enden. Wenn die anderen Antivirenhersteller es nicht mal für nötig halten, zu betonen, dass sie den Trojaner natürlich auch erkennen, scheint da wirklich nicht viel dran zu sein.

Die Passwortlecks gehen weiter...

Anfang Juni gab es etliche Passwortlecks, und im Juli sieht es nicht besser aus: Passwortlecks wurden z.B. von Billabong, Formspring, NVIDIA, Phandroid und Yahoo gemeldet.

Besonders hervorzuheben ist in diesem Zusammenhang das Passwortleck bei Yahoo, da davon nicht nur Yahoo-Mail-Benutzer betroffen sind. Denn ausgespäht wurden die Zugangsdaten von Benutzern, die sich vor Mai 2010 bei Associated Content angemeldet haben. Anders als von Yahoo behauptet, sind auch E-Mail-Adressen bei anderen Providern betroffen. Anders Nilsson hat die Yahoo-Passwörter analysiert. Eine weitere Analyse gibt es von Jim Clausing im ISC Diary. Die Top 20 der für die E-Mail-Adressen verwendeten Domains zeigt deutlich, dass auch anderen Provider betroffen sind:

  1. yahoo.com = 137.556
  2. gmail.com = 106.869
  3. hotmail.com = 55.147
  4. aol.com = 25.520
  5. comcast.net = 8.536
  6. msn.com = 6.395
  7. sbcglobal.net = 5.193
  8. live.com = 4.313
  9. verizon.net = 3.029
  10. bellsouth.net = 2.847
  11. cox.net = 2.260
  12. yahoo.co.in = 2.133
  13. ymail.com = 2.077
  14. hotmail.co.uk = 2.028
  15. earthlink.net = 1.943
  16. yahoo.co.uk = 1.828
  17. aim.com = 1.611
  18. charter.net = 1.436
  19. att.net = 1.372
  20. mac.com = 1.146

Insgesamt gibt es 35.008 Domainnamen in der Liste. Und weil ich gerade dabei bin auch die Top 10 der 342.508 eindeutigen Passwörter:

  1. 123456 = 1.666
  2. password = 780
  3. welcome = 436
  4. ninja = 333
  5. abc123 = 250
  6. 123456789 = 222
  7. 12345678 = 208
  8. sunshine = 205
  9. princess = 202
  10. qwerty = 172

Sehr einfallsreich. Die Liste eignet sich sicher auch als Ausgangsbasis für einen Brute-Force-Angriff. Und das gleich in mehrfacher Hinsicht. Zum einen kann man natürlich für bekannte oder vermutete Benutzernamen bei beliebigen Anbietern ausprobieren, ob vielleicht eines der Passwörter aus der Liste passt. Aber genauso gut könnte man bei anderen Anbietern ausprobieren, ob da vielleicht die Benutzername-Passwort-Kombinationen aus der Yahoo-Liste auch vorhanden sind. Denn manche Benutzer nutzen bei mehreren Anbietern das gleiche Passwort und oft auch den gleichen Benutzernamen (sofern der nicht sowieso schon durch die E-Mail-Adresse vorgegeben ist). Von den Sucuri Malware Labs gibt es einen Onlinetest, mit dem Sie prüfen können, ob Ihre E-Mail-Adresse auf der veröffentlichten Liste steht.

Pinterest sperrt kompromittierte Accounts, in diesem Fall gibt es aber kein Passwortleck bei Pinterest selbst, sondern die Passwörter müssen anderweitig ausgespäht worden sein. Evtl. handelt es sich um Passwörter, die auch auf anderen Websites verwendet und dort ausgespäht wurden, s.o..

Was wieder einmal zeigt, wieso es so wichtig ist, für jeden Anbieter eigene Zugangsdaten, zumindest aber eigene Passwörter, zu verwenden. Und wieso die Websites nicht zwingend die E-Mail-Adresse als Benutzername verwenden sollten.

Man-in-Middle-Angriff im Comic erklärt

Zum Abschluss noch ein Lesetipp: Wie Man-in-the-Middle-Angriffe auf HTTPS funktionieren, habe ich ja bereits erklärt. Eine noch allgemeinere Erklärung gibt es von Melissa Elliott von Veracode: "How Sally Got Owned". Der einzige Nachteil: Sie ist auf englisch. Aber wenn Ihnen meine Erklärung zu technisch ist und sie englisch halbwegs verstehen, sollten Sie es mal mit Melissa Elliotts Erklärung versuchen.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Gauss - Ein staatlicher Onlinebanking-Trojaner?

Vorschau anzeigen
Kaspersky hat mal wieder einen neuen Schädling entdeckt, der mit Stuxnet und Co. verbunden ist, in diesem Fall mit Flame. Diesmal weicht aber einiges vom bekannten Muster ab. Anders und doch gleich Der Onlinebanking-Trojaner Gaus

Dipl.-Inform. Carsten Eilers am : Links mit etwas Senf

Vorschau anzeigen
Mein Standpunkt heute: Ich nähere mich meinen Schmelzpunkt, und darum fällt der übliche Standpunkt heute aus. Stattdessen gibt es eine kommentierte Linkliste. Brian Krebs: ‘Booter Shells’ Turn Web Sites into Weapons