Vor vier Jahren entdeckte Michal Zalewski eine DoS-Schwachstelle im Apache
Webserver und
veröffentlichte
sie auf der Mailingliste Bugtraq. Ein Fehler beim Verarbeiten von
Byte-Range-Headern
führte dazu, dass der Server durch einen einzigen entsprechend präparierten
Request lahm gelegt werden konnte. Nun sollte man annehmen, dass eine 4
Jahre alte Schwachstelle inzwischen behoben und dabei auch der gesamte
in Frage kommende
Code überprüft wurde.
Außer quasi
ständigen Angriffen
auf bzw. über Facebook gab es beim Clickjacking noch einige weitere
mehr oder weniger erfreuliche Nachrichten. Fangen wir mit den schlechten
Nachrichten an:
Framebuster verhindern Clickjacking - aber nicht immer
Cyberkriminelle und Banken liefern sich zur Zeit wohl ein Rennen wie
Hase und Igel.
Die Frage ist nur, wer Hase und wer Igel ist und ob der Hase am Ende
wirklich tot umfällt.
Vor etwas mehr als einem Jahr wurde festgestellt, dass Facebooks
Like-Button zum Clickjacking geradezu auffordert. Diese speziellen
Angriffe wurden
"Likejacking"
getauft, und in der Zwischenzeit gab es eine Vielzahl davon.
Wie ein gutes Passwort gebildet wird, weiß wohl jeder: Mindestens 8
Zeichen, Groß- und Kleinbuchstaben und Zahlen gemischt, gerne auch ein
Sonderzeichen, ... Regeln gibt es viele, wie man so ein "zufälliges"
aber doch gut merkbares Passwort bilden kann hatte ich mal in
einem
Standpunkt Sicherheit beschrieben, übliche Regeln zum Umgang mit
Passwörtern in
einem anderen
kommentiert. Das war 2008 bzw. 2009. Und jetzt?
Beim Cookiejacking wird eine Schwachstelle im Internet Explorer ausgenutzt,
um über Clickjacking Cookies, insbesondere natürlich
Session-Cookies, auszuspähen.
Eigentlich ist Cookiejacking ja schon fast wieder out, da Microsoft die
zugrunde liegende Schwachstelle im Internet Explorer am August-Patchday
behoben hat. Trotzdem lohnt sich ein Blick auf diese Schwachstelle bzw.
diesen Angriff, schließlich weiß man ja nie, ob sie bzw. er
nicht auch mal in anderen Browsern auftritt.
Als
"Operation Shady RAT"
bezeichnet McAfee eine groß angelegte Angriffsserie auf insgesamt 72
Behörden und Organisationen in 14 Ländern, die bereits 2006 begann.
Ob es, wie oft geschrieben, der bisher größte Cyberangriff ist, ist
zweifelhaft.
Eine technische
Beschreibung der Angriffe
gibt es von Symantec.
Oft hört man "Ich habe keine Schadsoftware auf meinem Rechner,
dass würde ich doch merken!", ein Spruch, der vielleicht vor 25
Jahren gültig war, heute aber schon lange nicht mehr gilt. Es gibt
viele Arten von Schadsoftware, und Sie erkennen davon nur die, deren
Autoren es so wollen. Die meisten Schädlinge arbeiten heimlich, still
und unbemerkt im Hintergrund und fallen erst auf, wenn es für Sie zu
spät ist.
Scareware und Ransomware - die "laute" Schadsoftware