Skip to content

Drive-by-Infektionen - Vom Server auf den Client

Drive-by-Infektionen werden meist über harmlose Websites verbreitet, die in in den bisherigen Folgen beschrieben präpariert wurden. Ab dieser Folge geht es um die Frage, wie der Schadcode vom präparierten Server auf die Clients, d.h. die Rechner der Besucher der Website gelangt.

Viele Wege führen zur Infektion

"Drive-by-Infektionen - Vom Server auf den Client" vollständig lesen

Auch die De-Mail braucht eigentlich niemand

Das man die ePost nicht braucht, hatte ich ja in der vorigen Woche schon festgestellt. Die besten Argumente gegen die Nutzung der ePost liefert die Post selbst: In ihren AGB, die Richard Gutjahr zusammen mit den Rechtsanwälten Udo Vetter und Thomas Stadler analysiert hat. Und wie sieht es mit dem Konkurrenzprodukt aus?

De-Mail - klingt schon wie etwas, was keiner braucht

"Auch die De-Mail braucht eigentlich niemand" vollständig lesen

Drive-by-Infektionen: So kommt der Schadcode auf den Server

Schadcode für Drive-by-Infektionen kann außer durch die in der vorigen Folge beschriebenen SQL-Injection-Angriffe auch auf vielen weiteren Wegen in eine harmlose Website eingeschleust werden. So wurde z.B. auch schon die Suchmaschinenoptimierung mancher Websites in Verbindung mit einer Cross-Site-Scripting-Schwachstelle ausgenutzt, und wenn die Cyberkriminellen sich über ausgespähte FTP- oder SSH-Zugangsdaten oder Brute-Force-Angriffe auf die entsprechenden Zugänge Zugriff auf den Webserver verschafft haben, können sie nicht nur den Schadcode beliebig in die Seiten einfügen, sondern die Besucher auch über die .htaccess-Datei beliebig umleiten.

SEO + XSS = Drive-by-Infektion

"Drive-by-Infektionen: So kommt der Schadcode auf den Server" vollständig lesen

Wer braucht schon die ePost?

Erinnert sich noch jemand von Ihnen an den ersten Versuch der Deutschen Post, das eigene Geschäft ins Internet auszudehnen? Unter dem Namen ePost? Beworben als "lebenslange E-Mail-Adresse"? Nun, ich lebe noch, meine ePost-Adresse carsten.eilers@epost.de nicht mehr. Die soll ich mir nun neu registrieren, meint die Post. Damit ich endlich auch im Internet das Briefgeheimnis nutzen kann. Sorry, Leute, aber das ist doch wohl ein schlechter Witz, oder? Briefgeheimnis in Zeiten von E-Mails? Da wäre ich ja schön blöd, wenn ich mich damit zufrieden geben würde. Oder wenn ich einen Anbieter wählen würde, der mich schon mal mit tollen Versprechen geködert und dann gekniffen hat.

Briefgeheimnis war gestern

"Wer braucht schon die ePost?" vollständig lesen

Drive-by-Infektionen durch SQL-Injection vorbereitet

Eine Möglichkeit, einer harmlosen Website Code für Drive-by-Infektionen unter zu schieben, besteht im Ausnutzen von Schwachstellen in der jeweiligen Webanwendung. Da es darum geht, iframes oder script-Tags einzufügen, scheint dafür auf den ersten Blick das auch als "JavaScript Injection" bezeichnete persistente Cross-Site Scripting gut geeignet zu sein. Im Rahmen von Massenangriffen wurden bisher aber bevorzugt SQL-Injection-Schwachstellen ausgenutzt.

SQL-Injection mit dem Vorschlaghammer

"Drive-by-Infektionen durch SQL-Injection vorbereitet" vollständig lesen

Microsoft patcht selbst verschuldete 0-Day-Schwachstelle

Microsoft will am Juli-Patchday u.a. einen Patch für die am 10. Juni von Tavis Ormandy veröffentlichte 0-Day-Schwachstelle im Windows Help and Support Center von Windows XP und Server 2003 veröffentlichen. Eigentlich ist es erfreulich, dass eine 0-Day-Schwachstelle, die bereits kräftig ausgenutzt wird, so zügig behoben wird. Wenn das Wörtchen "wenn" nicht wäre: Wenn Microsoft sich nicht so extrem ungeschickt angestellt hätte, wäre es nie eine 0-Day-Schwachstelle geworden.

Wer hats verbockt?

"Microsoft patcht selbst verschuldete 0-Day-Schwachstelle" vollständig lesen

Drive-by-Infektionen - Gefahren drohen überall

Drive-by-Infektionen sind die zur Zeit wohl größte Bedrohung im Web: In eigentlich vertrauenswürdige Websites eingeschleuste iframes oder script-Tags versuchen, auf den Rechnern der Besucher Schadsoftware einzuschleusen. Und auch außerhalb des Webs lauert diese Gefahr: Cyberkriminelle können ihre Opfer über E-Mails auf präparierte Seiten locken, wie es z.B. im Rahmen der "Operation Aurora" genannten gezielten Angriffe auf Google und andere Unternehmen eindrucksvoll vorgeführt wurde. Und Sophos berichtet über Spam-Mails, deren HTML-Anhänge außer dem Spam zusätzlich einen unsichtbaren iframe zum Einschleusen von Schadcode enthalten.

Der klassische Fall: Kompromittierte Websites

"Drive-by-Infektionen - Gefahren drohen überall" vollständig lesen

Wer kontrolliert Ihr Android-Smartphone - Sie oder Google?

"Geschenkt ist geschenkt, wiederholen ist gestohlen", so lautet ein alter Kinderspruch, und was für Geschenke gilt, gilt für Käufe ja wohl erst recht, oder? Google sieht das anders und hat in Android eine Funktion implementiert, die das Löschen von Apps erlaubt. Diese Funktion wurde im Juni verwendet, um zwei von Jon Oberheide entwickelte Proof-Of-Concept-Apps zu löschen: RootStrap, das sich regelmäßig mit einem Server verbindet und ggf. weiteren Code nachladen kann, und "Twilight Eclipse Preview", eine als Vorschau für den Film "Twilight Eclipse" getarnte Version von RootStrap (Vortrag). Nett von Google, nicht wahr? Immerhin wird so "Schadsoftware" gelöscht, und die Android Market Terms of Service erlauben Google das Löschen:

"2.4 From time to time, Google may discover a Product on the Market that violates the Android Market Developer Distribution Agreement or other legal agreements, laws, regulations or policies. You agree that in such an instance Google retains the right to remotely remove those applications from your Device at its sole discretion and without notice to you."
"Wer kontrolliert Ihr Android-Smartphone - Sie oder Google?" vollständig lesen

Phishing mit Tabs: Tabnabbing

Einen neuen Phishing-Ansatz hat Aza Raskin, der 'Creative Lead' für Firefox, beschrieben: Indem der Titel, der Inhalt und das Favicon eines gerade nicht im Fokus liegenden Browser-Tabs geändert werden, kann dem Benutzer darin eine vertrauenswürdige Webseite vorgetäuscht werden, in der er dann womöglich seine Zugangsdaten eingibt. Aza Raskin hat das nach einer Anregung von Brian Krebs als Tabnabbing bezeichnet (vor dem Öffnen des Links bitte unten den Hinweis zur Demonstration des Angriffs lesen). Die Änderungen funktionieren auch auf einer einzelnen Seite, sofern die aus dem Fokus genommen wird, z.B. weil der Browser in den Hintergrund geschoben wird. Dort fallen sie aber natürlich eher auf.

Anlocken und Abphishen

"Phishing mit Tabs: Tabnabbing" vollständig lesen