Skip to content

"Binary Planting" - Unsichere Suchpfade führen ins Verderben

Beim "Binary Planting" oder "DLL Preloading" nutzt der Angreifer aus, dass eine Anwendung beim Laden einer Datei auch benötigte Bibliotheken im aktuellen Arbeitsverzeichnis sucht. Befindet sich das in der Reihenfolge vor dem Verzeichnis mit den richtigen Bibliotheken, werden vom Angreifer im Arbeitsverzeichnis gespeicherte präparierte Versionen zuerst gefunden und an Stelle der richtigen Versionen geladen.

Unsichere Suchpfade

""Binary Planting" - Unsichere Suchpfade führen ins Verderben" vollständig lesen

Stuxnet - Der erste Schritt zum Cyberwar?

Anscheinend wurde mit Stuxnet tatsächlich das iranische Atomwaffenprogramm sabotiert, die restlichen verseuchten Windows-Rechner wären dann sozusagen "Kollateralschäden". Auf der Virus Bulletin International Conference, die vom 29. September bis 1. Oktober im kanadischen Vancouver stattfindet, wollen auf zwei Vorträgen Mitarbeiter von Symantec ("An indepth look into Stuxnet") sowie Microsoft und Kaspersky ("Unravelling Stuxnet") ihre Erkenntnisse über Stuxnet vorstellen. Angeblich soll es auch Hinweise auf den oder die Urheber geben. Von ESET gibt es bereits eine ausführliche Analyse. Wirklich fest steht aber eigentlich nur eines: Schützen kann man sich vor derartig aufwändigen gezielten Angriffen kaum. Aber was macht man dann?

Cyber-Abschreckung ist unmöglich

"Stuxnet - Der erste Schritt zum Cyberwar?" vollständig lesen

Angriffe auf den WLAN-Client

Angriffe auf die WLAN-Clients bilden den Abschluss des Themenblocks "Netzwerk-Sicherheit". Während Access Points i.A. recht gut geschützt sind, sieht es bei den Clients in der Hinsicht oft deutlich schlechter aus. Mögliche Angriffe auf den Client hat Kismet-Autor Mike Kershaw auf der Konferenz Black Hat DC 2010 vorgestellt.

Angriffe auf den Client

"Angriffe auf den WLAN-Client" vollständig lesen

Stuxnet - Ein paar Fakten

Stuxnet ist ein sehr interessanter Schädling. Erstmals aufgefallen ist der Wurm im Juni, als er die Shortcut-Lücke in Windows zur Verbreitung ausnutzte. Sein Ziel: SCADA (Supervisory Control and Data Acquisition) Systeme zur Überwachung und Steuerung technischer Prozesse von Siemens. Und genau in denen hat er sich inzwischen häuslich eingerichtet.

Gezielter Angriff auf bestimmte Systeme

"Stuxnet - Ein paar Fakten" vollständig lesen

Stuxnet - Wer will da wem an die Produktion?

Stuxnet ist ein sehr interessanter Schädling, der es gezielt auf bestimmte Produktionsanlagen abgesehen hat. Ein paar Fakten habe ich hier zusammengefasst, in diesem Text geht es um Spekulationen über über die Herkunft und das Ziel des Wurms.

Kurz nochmal die Fakten

  • Der Wurm kann allgemein Daten ausspähen und ganz bestimmte Systeme auch manipulieren
  • Diese Systeme stehen sehr wahrscheinlich im Iran (da dort die meisten Infektionen, sowohl von SCADA-Systemen als auch allgemein, entdeckt wurden)
  • Auf allen bisher Siemens bekannt gewordenen infizierten Systemen hat der Wurm keinen Schaden angerichtet, das Zielsystem war aber auch nicht darunter
  • Die Entwicklung des Wurms war sehr aufwändig
  • Der Wurm kann an andere SCADA-Systeme angepasst werden

Klarer Fall: Der Geheimdienst war es!

"Stuxnet - Wer will da wem an die Produktion?" vollständig lesen

NAT-Pinning, Angriffe auf Cisco-WLANs und ein Tool

In dieser Folge geht es insbesondere um das sog. NAT-Pinning, bei dem Client und Router unterschiedliche Ansichten über das aktuelle Protokoll haben. Außerdem wurden 2010 eine Reihe neuer Angriffe auf Cisco-WLANs vorgestellt, und ein neues Tool erlaubt das Testen von und Angriffe auf Router.

NAT-Pinning: Für den Client ist es HTTP, für den Router IRC

"NAT-Pinning, Angriffe auf Cisco-WLANs und ein Tool" vollständig lesen

0-Day-Exploits für Adobe Reader und Flash Player unterwegs

Sowohl in Adobe Reader und Acrobat als auch im Flash Player gibt es zur Zeit 0-Day-Schwachstellen, die bereits für Angriffe ausgenutzt werden. Die Schwachstelle im Adobe Reader und Acrobat wurde bereits in der vorigen Woche gemeldet, die im Flash Player, die zusätzlich auch den Adobe Reader und Acrobat betrifft, am Montag.

Die 0-Day-Schwachstelle in Adobe Reader und Acrobat

"0-Day-Exploits für Adobe Reader und Flash Player unterwegs" vollständig lesen

Ein E-Mail-Wurm führt zur Panik?

Die Zeit der E-Mail-Würmer schien eigentlich vorbei zu sein. Wer rechnet 2010 schon noch damit, dass sich ausgerechnet ein E-Mail-Wurm rasant verbreitet? Das haben sich anscheinend auch Cyberkriminelle gedacht und gerade dieses "nicht damit gerechnet haben" ausgenutzt. Jedenfalls hat sich Ende letzter Woche ein neuer E-Mail-Wurm vor allem in den USA schnell verbreitet. Unter dem Subject "Here you have" oder "Just For you" werden Links zu einem Sex-Video ("This is The Free Dowload Sex Movies,you can find it Here") oder einem angeblich angekündigten Dokument ("This is The Document I told you about, you can find it Here") verbreitet. Berichten zufolge wurden u.a. die Netze einiger amerikanischer Unternehmen, vor allem ABC/Disney, hart getroffen.

"Here you have"... eine .scr-Datei

"Ein E-Mail-Wurm führt zur Panik?" vollständig lesen

Ciscos "WPA Migration Mode" öffnet den Weg ins WLAN

Der von Cisco in WLAN Access Points implementierte WPA Migration Mode erlaubt Clients die wahlweise Nutzung von WEP oder WPA mit dem gleichen Service Set Identifier (SSID). Leandro Meiners und Diego Sor haben auf der Konferenz "Black Hat USA 2010" einen Angriff auf den WPA Migration Mode vorgestellt, bei dem sie auch ohne vorhandene WEP-Clients den WEP-Schlüssel in relativ kurzer Zeit ermittelt haben. Mit vorhandenen WEP-Clients ist der Angriff trivial, da dann sehr schnell ausreichend viele WEP-verschlüsselte Pakete gesammelt werden können, aus denen dann der WEP-Schlüssel innerhalb weniger Minuten berechnet werden kann. Ohne WEP-Client war ein Angriff zwar bisher schon möglich, aber sehr langwierig.

WPA Migration Mode

"Ciscos "WPA Migration Mode" öffnet den Weg ins WLAN" vollständig lesen

Apples zwei Lektionen zur IT-Sicherheit

Eine 0-Day-Schwachstelle in QuickTime, die man fast als Backdoor bezeichnen kann, liefert den Ausgangspunkt für zwei wichtige Lektionen zur IT-Sicherheit: Beim Entfernen von Code kann man genau so schlimme Fehler machen wie beim Hinzufügen, und Schwachstellen können durchaus öfter als einmal entdeckt werden.

Die vergessene Hintertür

"Apples zwei Lektionen zur IT-Sicherheit" vollständig lesen

Von außen durch den Client in den Router

In der vorherigen Folge lernten Sie die Angriffe und Schwachstellen kennen, aus denen Craig Heffner seinen auf der Konferenz "Black Hat USA 2010" vorgestellten Angriff auf das Web-basierte Administrations-Interface des lokalen Routers zusammengestellt hat. In dieser Folge erfahren Sie, wie der Angriff funktioniert.

Bauanleitung für den Angriff

"Von außen durch den Client in den Router" vollständig lesen