Drive-by-Infektionen werden meist über harmlose Websites verbreitet, die
in in den
bisherigen
Folgen
beschrieben
präpariert wurden. Ab dieser Folge
geht es um die Frage, wie der Schadcode vom präparierten Server auf die
Clients, d.h. die Rechner der Besucher der Website gelangt.
Viele Wege führen zur Infektion
"Drive-by-Infektionen - Vom Server auf den Client" vollständig lesen
Das man die ePost nicht braucht, hatte ich ja in der vorigen Woche schon
festgestellt.
Die besten Argumente gegen die Nutzung der ePost liefert die Post selbst:
In ihren AGB, die
Richard Gutjahr
zusammen mit den Rechtsanwälten
Udo Vetter
und
Thomas Stadler
analysiert
hat.
Und wie sieht es mit dem Konkurrenzprodukt aus?
De-Mail - klingt schon wie etwas, was keiner braucht
"Auch die De-Mail braucht eigentlich niemand" vollständig lesen
Schadcode für Drive-by-Infektionen kann außer durch die
in der vorigen Folge
beschriebenen SQL-Injection-Angriffe auch auf vielen weiteren Wegen in eine
harmlose Website eingeschleust werden. So wurde z.B. auch schon die
Suchmaschinenoptimierung mancher Websites in Verbindung mit einer
Cross-Site-Scripting-Schwachstelle ausgenutzt, und wenn die
Cyberkriminellen sich über ausgespähte FTP- oder SSH-Zugangsdaten
oder Brute-Force-Angriffe auf die entsprechenden Zugänge Zugriff auf
den Webserver verschafft haben, können sie nicht nur den
Schadcode beliebig in die Seiten einfügen, sondern die Besucher auch
über die .htaccess-Datei beliebig umleiten.
SEO + XSS = Drive-by-Infektion
"Drive-by-Infektionen: So kommt der Schadcode auf den Server" vollständig lesen
Erinnert sich noch jemand von Ihnen an den ersten Versuch der Deutschen
Post, das eigene Geschäft ins Internet auszudehnen? Unter dem Namen
ePost? Beworben als "lebenslange E-Mail-Adresse"? Nun, ich lebe noch,
meine ePost-Adresse carsten.eilers@epost.de nicht mehr. Die soll ich mir
nun neu registrieren, meint die Post. Damit ich endlich auch im Internet
das Briefgeheimnis nutzen kann. Sorry, Leute, aber das ist doch wohl ein
schlechter Witz, oder? Briefgeheimnis in Zeiten von E-Mails? Da wäre
ich ja schön blöd, wenn ich mich damit zufrieden geben
würde. Oder wenn ich einen Anbieter wählen würde, der mich
schon mal mit tollen Versprechen geködert und dann gekniffen hat.
Briefgeheimnis war gestern
"Wer braucht schon die ePost?" vollständig lesen
Eine Möglichkeit, einer harmlosen Website Code für
Drive-by-Infektionen unter zu schieben, besteht im Ausnutzen von
Schwachstellen in der jeweiligen Webanwendung. Da es darum geht, iframes
oder script
-Tags einzufügen, scheint dafür auf den
ersten Blick das auch als "JavaScript Injection" bezeichnete persistente
Cross-Site Scripting gut geeignet zu sein. Im Rahmen von Massenangriffen
wurden bisher aber bevorzugt SQL-Injection-Schwachstellen ausgenutzt.
SQL-Injection mit dem Vorschlaghammer
"Drive-by-Infektionen durch SQL-Injection vorbereitet" vollständig lesen
Microsoft
will
am
Juli-Patchday
u.a. einen Patch für die am 10. Juni von Tavis Ormandy
veröffentlichte
0-Day-Schwachstelle im Windows Help and Support Center von Windows XP und
Server 2003 veröffentlichen. Eigentlich ist es erfreulich, dass eine
0-Day-Schwachstelle, die bereits
kräftig ausgenutzt wird,
so zügig behoben wird. Wenn das Wörtchen "wenn" nicht wäre: Wenn
Microsoft sich nicht so extrem ungeschickt angestellt hätte, wäre es nie
eine 0-Day-Schwachstelle geworden.
Wer hats verbockt?
"Microsoft patcht selbst verschuldete 0-Day-Schwachstelle" vollständig lesen
Drive-by-Infektionen sind die zur Zeit wohl größte Bedrohung im
Web: In eigentlich vertrauenswürdige Websites eingeschleuste iframes
oder script
-Tags versuchen, auf den Rechnern der Besucher
Schadsoftware einzuschleusen. Und auch außerhalb des Webs lauert
diese Gefahr: Cyberkriminelle können ihre Opfer über E-Mails
auf präparierte Seiten locken, wie es z.B. im Rahmen der "Operation
Aurora" genannten gezielten Angriffe auf Google und andere Unternehmen
eindrucksvoll vorgeführt wurde. Und Sophos
berichtet
über Spam-Mails, deren HTML-Anhänge außer dem Spam
zusätzlich einen unsichtbaren iframe zum Einschleusen von Schadcode
enthalten.
Der klassische Fall: Kompromittierte Websites
"Drive-by-Infektionen - Gefahren drohen überall" vollständig lesen
"Geschenkt ist geschenkt, wiederholen ist gestohlen", so lautet
ein alter Kinderspruch, und was für Geschenke gilt, gilt für
Käufe ja wohl erst recht, oder? Google sieht das anders und hat in
Android eine Funktion implementiert, die das Löschen von Apps erlaubt.
Diese Funktion wurde im Juni
verwendet,
um zwei von Jon Oberheide
entwickelte
Proof-Of-Concept-Apps zu löschen: RootStrap, das sich regelmäßig mit einem
Server verbindet und ggf. weiteren Code nachladen kann, und "Twilight
Eclipse Preview", eine als Vorschau für den Film "Twilight Eclipse"
getarnte Version von RootStrap
(Vortrag).
Nett von Google, nicht wahr? Immerhin wird so "Schadsoftware" gelöscht,
und die
Android Market Terms of Service
erlauben Google das Löschen:
"2.4 From time to time, Google may discover a Product on the Market
that violates the Android Market Developer Distribution Agreement or other
legal agreements, laws, regulations or policies. You agree that in such an
instance Google retains the right to remotely remove those applications
from your Device at its sole discretion and without notice to you."
"Wer kontrolliert Ihr Android-Smartphone - Sie oder Google?" vollständig lesen
Einen neuen Phishing-Ansatz hat
Aza Raskin,
der 'Creative Lead' für Firefox, beschrieben: Indem der Titel, der
Inhalt und das Favicon eines gerade nicht im Fokus liegenden
Browser-Tabs geändert werden, kann dem Benutzer darin eine
vertrauenswürdige Webseite vorgetäuscht werden, in der er dann
womöglich seine Zugangsdaten eingibt. Aza Raskin hat das nach einer
Anregung
von Brian Krebs als
Tabnabbing
bezeichnet (vor dem Öffnen des Links bitte unten den
Hinweis
zur Demonstration des Angriffs lesen). Die Änderungen funktionieren
auch auf einer einzelnen Seite, sofern die aus dem Fokus genommen wird,
z.B. weil der Browser in den Hintergrund geschoben wird. Dort
fallen sie aber natürlich eher auf.
Anlocken und Abphishen
"Phishing mit Tabs: Tabnabbing" vollständig lesen