Dipl.-Inform. Carsten Eilers

Wie aktuell ist eigentlich ihre Java-Version? Ist die auf den neusten Stand, oder gehören Sie zu den vielen potentiellen Opfern der Java-Exploits aus den Exploit-Kits? Websense hat untersucht, welche Java-Versionen auf den Rechnern im Internet installiert ist. Das erschreckende Ergebnis: Nur auf rund 5% der untersuchten Rechner ist die aktuellste Java-Version installiert. Und der Rest ist damit für mindestens einen Exploit anfällig, oft auch für mehrere.

Für den Exploit für die "neuesten" 0-Day-Schwachstelle CVE-2013-1493 sind zum Beispiel 93,77% alle Rechner anfällig. Und so ein Exploit ist aktuell im Exploit-Kit "Cool" enthalten. Alles, was die Cyberkriminellen machen müssen, um ihre Schadsoftware zu verbreiten, ist also das Exploit-Kit kaufen und den Exploits passend konfigurieren. Da hilft nur eins: Wenn Sie Java benötigen, installieren Sie die neueste Version, und wenn Sie auf das Browser-Plugin verzichten können, schalten Sie es aus. Und wenn Sie Java nicht benötigen: Löschen Sie es! Was nicht da ist, kann auch nicht angegriffen werden.

Android Packages sind gefährlich!

Anfangs wurden im Rahmen gezielter Angriffe gegen tibetische und uigurische Aktivisten Windows-Schädlinge verwendet, dann kamen Mac-Varianten dazu, und jetzt hat Kaspersky erstmals einen Android-Trojaner entdeckt. Nachdem das E-Mail-Konto eines hochrangigen Aktivisten gehackt worden war, wurden darüber E-Mails an andere Aktivisten geschickt, die eine .apk-Datei (Android Package) mit einem angeblichen Konferenzprogramm als Anhang enthielten. Beim Start des Programms wird ein Text angezeigt, während der Trojaner im Hintergrund Verbindung mit einem Command&Control-Server aufnimmt und diesem Daten wie zum Beispiel das Adressbuch des Opfers, die Geolocation-Daten, SMS-Nachrichten usw. sendet.

Auch wenn Sie kein tibetischer oder uigurischer Aktivist sind sollten Sie unverlangt zugeschickten .apk-Dateien mit gehörigen Misstrauen begegnen. Die "normalen" Cyberkriminellen werden sicher nicht zögern, diesen Angriffsvektor zu übernehmen. Auf ihrem Windows-Rechner würden Sie doch (hoffentlich) auch keine .exe-Dateien aus E-Mails öffnen, warum also sollten Sie .apk-Dateien auf einem Android-Gerät öffnen?

Ein Rootkit mit Übergewicht

Nachdem Flame gezeigt hat, dass es für Schadsoftware nicht unbedingt schlecht ist, wenn sie sehr gross ist und Standard-Frameworks verwendet, sind die Entwickler des Rootkits Tidserv/TDL diesem Beispiel gefolgt: Die aktuelle Version verwendet dass 50 MB große Chromium Embedded Framework (CEF). Hauptsächlich aber wohl, um Webbrowser-Funktionen nicht mehr selbst implementieren zu müssen.

Informationen über SSL/TLS

Die Forschungsgruppe Distributed Computing & Security der Uni Hannover hat eine Testseite veröffentlicht, die die vom Browser unterstützten Krypto-Verfahren und die unterstützte SSL/TLS-Version aufführt. Die liefert der Browser beim Aufbau einer SSL/TLS-Verbindung an den Server, der sie in diesem Fall dann ausgibt. Wie es mit der Sicherheit von SSL/TLS aussieht, hatte ich ja schon am Donnerstag beschrieben. Jetzt können Sie prüfen, ob Ihr Browser womöglich unsichere Verfahren bevorzugt.

Carsten Eilers