Dipl.-Inform. Carsten Eilers

Symantec hat das Stuxnet Dossier aktualisiert. Demnach wurden 5 Organisationen angegriffen, über die Stuxnet dann in die iranischen Atomanlagen gelangen sollte. Von diesen 5 Organisationen aus, die alle Büros im Iran haben, infizierte Stuxnet dann insgesamt 12.000 Rechner. Die Angriffe fanden im Juni und Juli 2009 sowie im März, April und Mai 2010 statt, wobei drei Varianten (Juli 2009, März und April 2010) zum Einsatz kamen. Die Verbreitung bzw. Ausbreitung des Wurm ist jeweils anschaulich mit Grafiken dokumentiert - sehr interessant, welche Wege so ein Wurm geht.

Eine vermutete vierte Variante kam nicht zum Einsatz. Vielleicht, weil das Ziel schon erreicht war, als die Variante fertig war? Oder weil Stuxnet inzwischen allgemein bekannt war und ein neuer Angriff sowieso nicht sein Ziel erreicht hätte?

Außerdem hat Symantec mitgeteilt, dass von den zwei enthaltenen Schadcode-Sätzen nur einer aktiviert war (gewusst hat man das schon früher, aber es erst jetzt für Berichtenswert gehalten - nachdem es anderswo bereits ausführlich thematisiert wurde). Wieso der zweite, der ein unabhängiges Ziel angreifen sollte, deaktiviert war, ist natürlich unbekannt. Ich erinnere dann noch mal an meine Vermutung, dass die aktuelle Stuxnet-Version gefunden werden sollte. Vielleicht sollte mit dem zusätzlichen Schadcode ja jemanden ganz bestimmtes ein Wink mit dem virtuellen Zaunpfahl gegeben werden? Frei nach dem Motto "Diese Anlage können wir auch lahm legen, wenn wir wollen!" - z.B. ebenfalls im Iran?

Android-Trojaner manipuliert Suchmaschinen

Ein neuer Android-Trojaner, der über Drittanbieter z.B. als Wallpaper-Anwendung vertrieben wird, wird u.a. für Klickbetrug eingesetzt. Außerdem wird z.B. eine Backdoor installiert, das Programm sammelt sensitive Informationen und kann Telefonanrufe durchführen und SMS senden. Der offizielle Android Market ist bisher nicht betroffen, eine Garantie, das er es nicht irgendwann doch sein wird, gibt es nicht. Wie verhindert man, diesem oder allgemein irgend einem Trojaner zum Opfer zu fallen? Am sichersten ist es, gar keine Programme von anderen Anbietern als dem Android Market zu installieren, und auch vom Android Market sollte man nur Programme von absolut vertrauenswürdigen Herstellern installieren. Das macht keinen Spaß? Stimmt. Die Alternative wäre die Installation eines Antiviren-Programms, dass dann hoffentlich die Trojaner erkennt, bevor es zu spät ist.

Übrigens fragen manche Cyberkriminelle sogar die betroffenen Entwickler, ob sie ihre Spyware mit der eigenen Software bündeln wollen. Und die lehnen das, wenn sie seriös sind, nicht nur ab, sondern veröffentlichen diesen "unsittlichen Antrag" auch.

USB-Keylogger in UK-Bibliotheken

In zwei öffentlichen Bibliotheken im britischen Manchester wurden USB-Keylogger gefunden. Alles, was auf den Geräten eingetippt wurde, wurde protokolliert. So ein Hardware-Angriff hat für die Cyberkriminellen (die dann ja eigentlich gar nicht mehr so richtig "Cyber" sind) einen großen Vorteil: Sie müssen sich nicht mit evtl. vorhandenen Schutzmaßnahmen herumschlagen, wenn sie einen Software-Keylogger installieren oder einschleusen wollen. Der Nachteil: Sie müssen an die angegriffenen Geräte heran, und das zwei Mal - zuerst, um den Keylogger einzustecken, danach, um ihn wieder zurück zu holen. Das ist nur bei öffentlichen Rechnern problemlos möglich, und in die sollte man ja eigentlich sowieso keine vertraulichen Daten eingeben. Aber wie viele normale Benutzer halten sich an diese Regel, wenn sie sie überhaupt kennen? Übrigens ist es eigentlich zwecklos, in Zukunft vor jeder Nutzung öffentlicher Rechner das Tastaturkabel zu kontrollieren: Der Keylogger könnte auch in einer manipulierten Tastatur stecken, so dass der Kabel völlig harmlos ist. Allerdings dürfte es auffälliger sein, eine Tastatur auszutauschen, als einen Keylogger zwischen USB-Kabel und USB-Port zu stecken.

Neue Schnüffelaktion von Facebook

Dass Facebook nichts von Datenschutz hält, ist ja seit langem bekannt. Daher verwundert es nicht weiter, dass Facebook mal wieder nachlegt und jetzt mit der "Instant Personalization" ("umgehende Personalisierung") den nächsten Schlag gegen den Datenschutz führt. Die wird jetzt nach und nach in allen Ländern eingeschaltet, seit Freitag auch in Deutschland. Getreu dem alten Facebook-Motto "Wer das nicht will, kann es ja ausschalten (nachdem er die Option gefunden hat, wenn er sie denn findet)". Unter "umgehender Personalisierung" versteht Facebook, dass man mal eben alles, was man über den Benutzer weiß, an Partner-Websites weiterleitet, wenn ein Facebookopferbenutzer so eine Website besucht. Bei deutschen IP-Adressen werden angeblich keine Informationen weitergeleitet - aber wieso wurde die Funktion dann in Deutschland aktiviert? Oder wartet man, bis sich ein deutscher Benutzer im Ausland einloggt? Vertrauenserweckend ist das alles nicht - aber wer vertraut schon Facebook? Die einzige Möglichkeit, bei Facebook Datenschutz zu erlangen, ist, darauf zu verzichten und sich abzumelden. Und zu hoffen, dass die schon gesammelten Daten später nicht gegen einen verwendet werden.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Stuxnet - Ein paar Fakten

Standpunkt: Stuxnet - Wer will da wem an die Produktion?

Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?

Standpunkt: Stuxnet - Ein Überblick über die Entwicklung

Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht

Standpunkt: Stuxnet - Stand der Dinge

Standpunkt: Der Wink mit dem Stuxnet

Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook

Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?

Das RAT, das aus dem Stuxnet kam

Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Standpunkt: Neues zu SSL und Duqu

Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?

Standpunkt: Neues zu Duqu