Aktuelles Archiv 19 (IT-Blog von Thomas Murr)

Flatrates bald Vergangenheit? (22.10.2008)

Die Auswirkungen des Web 2.0 mit Video- und Musikplattformen sowie Online-Streaming werden dazu führen, dass Internet-Flatrates mit pauschalen Gebühren für Zeit und Volumen von den Internet-Service-Providern (ISP) abgeschafft werden. Denn diese zahlen mittlerweile drauf, weil nicht nur noch der Geek in die kritischen Regionen beim Datenvolumen vorstösst (z.B. mit Downloads grosser Images aktueller Linux-Distributionen oder Musikdownloads über Tauschbörsen), sondern eben auch der gewöhnliche Nutzer. Allein in den letzten 12 Monaten hat der weltweite Internetverkehr um über 50 % zugenommen, was hauptsächlich am Download von Filmen liegt (eine Minute Video verursachen ca. zehn Megabyte Datenvolumen, was zighundertfach mehr ist als eine vergleichbare Dosis an Lesestoff).
Die ersten ISP in den USA haben bereits das zulässige Datenvolumen eingeschränkt und die Flatrates aus ihrem Angebot genommen. Es ist davon auszugehen, dass die hiesigen Anbieter bald nachziehen werden. Auch bestehende Verträge werden dann wohl gekündigt bzw. auf Volumentarife umgestellt.

MS-Oktober-Patchday: 11 Updates (15.10.2008)

Vier als kritisch eingestuften Patches betreffen Windows, den Internet Explorer und den Host Integration Server sowie Office. In allen Fällen wurden Sicherheitslecks geschlossen, die jeweils eine Remotecodeausführung möglich machen. Weitere 6 Patches für Windows werden als hoch eingestuft. Auch diese schliessen Lücken, die zur Erhöhung von Berechtigungen führen können. Der letzte als mittel eingestufte Patch betrifft wieder Office und stopft ein Sicherheitsleck, welches zur Offenlegung von Informationen ausgenutzt werden kann. Nähere Infos erhalten Sie über das MS-Security Bulletin Summary für Oktober 2008.
Die Patches sollten zügig installiert werden - nach Installation, ist ein Reboot des Systems fällig.

Im Zusammenhang mit dem MS-Patchday zum Oktober sind gefälschte eMails im Namen von Microsoft aufgetaucht, denen schädliche Software beigefügt wurde. Die Anlagen “KB263117.exe” respektive “KB415902.exe“ geben vor Patches von MS zu sein, in Wirklichkeit handelt es sich jedoch um den Schädling Backdoor:Win32/Haxdoor bzw. Trojan-Spy.Win32.Goldun.bce. Microsoft verschickt niemals Sicherheits-Updates per eMail, sondern stellt diese ausschliesslich im eigenen Download-Bereich zur Verfügung, weshalb solche emails sofort ungeöffnet gelöscht werden sollten.

Angriffe über Clickjacking (08.10.2008)

Angriffe über Clickjacking (auch “UI Redressing” genannt) sind auf dem Vormarsch. Dabei wird dem Webseitenbesucher ein vermeintlich harmloser Link angeboten (z.B. JavaScript-Anwendung wie etwa ein Spiel oder Formular), der jedoch beim Anklicken im Hintergrund nach Trojaner-Manier eine ganz andere Funktion ausführt oder ganze Kettenreaktionen auslöst. I.d.R. geschieht dies, um schädlichen Code über Sicherheitslecks im verwendeten Webbrowser bzw. dessen Plugins (oder andere installierte, anfällige Software) auf dem Besuchersystem einzuschleusen. Oder um Einstellungen im Hintergrund zu ändern, die einem Angreifer Zugang zum System- oder zur Systemperipherie verschafft (z.B. Zugriff auf das Mikrofon oder auf eine angeschlossene Webcam).

Schutz bietet das generelle Deaktivieren von JavaScript, Flash, Java und SilverLight (Microsoft). Bei Verwendung des Internet-Explorers sollte deshalb konsequent mit dem Zonenmodell gearbeitet werden, wobei die Zone Internet möglichst restriktiv eingestellt sein sollte. Beim Einsatz von Mozilla-Firefox bietet sich das Add-on “NoScript” an, welches seit Version 1.8.2.1 zuverlässigen Schutz vor Clickjacking-Attacken mit der neuen ClearClick-Funktion bietet. siehe Screenshots:

Und natürlich gilt beim Surfen immer: Hirn 2.0 einschalten! Der gesunde Menschenverstand stellt auch im WorldWideWeb - wie im übrigen Leben - den besten Schutz dar. D.h. zuerst denken, dann klicken!

Verwandte Beiträge:

• Über 400.000 neue Schadprogramme in den letzten 6 Monaten (16.09.2008)
• Falsche Antivirensoftware “Antivirus XP 2008” (05.09.2008)
• Botnetze vervierfachten sich in den letzten drei Monaten (02.09.2008)
• Ist Ihr Web-Browser richtig konfiguriert? (28.04.2008)

Firefox 3.0.3 beseitigt Bug mit Passwörtern (01.10.2008)

Das beschriebene Problem im Passwortmanager (Bug 454708) wurde mit Release 3.0.3 behoben. Firefox in der neuesten Version ist über die integrierte Updatefunktion im Browsermenü (nur Windows) oder auf den Mozilla-Downloadseiten (für Windows, Linux, Mac OS X) verfügbar.

Google Chrome: DOS-Schwachstelle hat negativen Einfluss auf Windows (26.09.2008)

Google bewirbt seinen Browser u.a. mit der Aussage, dass der Absturz eines Browserfensters nicht den gesamten Browser-Prozess zu Fall bringe. Die EvilFingers-Gruppe hat aktuell eine Demo zu einer DOS-Schwachstelle in Chrome zur Verfügung gestellt, die nicht nur (ein weiteres mal) den ganzen Browser inkl. aller geöffneten Fenster zum Absturz bringt, sondern darüber hinaus auch noch die Stabilität von Windows durch hohe Speicherbelegung und hohe bis max. Prozessorauslastung negativ beeinflusst. Unsere heutigen eigenen Tests haben dies bestätigt.

Chrome-Anwender sollten sich darüber im klaren sein, dass Sie mit der Nutzung der Beta-Version (aktuell Build 0.2.149.30) den (gläsernen) Testkandidaten für Google spielen. Die Verwendung einer Beta-Version sollte lediglich dazu dienen, um als Entwickler entweder zu testen oder um sich als Anwender einen Eindruck über die neue Software zu verschaffen. Handelt es sich dabei auch noch um einen Web-Browser, sollte das “Kennenlernen” beim Surfen auf absolut vertrauenswürdige Webseiten beschränkt bleiben. Keinesfalls ist eine (Browser-)Software im Entwicklungsstadium für den produktiven oder ständigen Einsatz geeignet! Siehe auch weitere Artikel zu Chrome:

• Fernsteuerung über Google-Chrome (06.09.2008)
• BSI warnt vor Google Chrome (06.09.2008)
• Update zum Chrome-Beitrag vom 03.09.2008 (04.09.2008)
• Sicherheitslücken in Googles Web-Browser “Chrome” (03.09.2008)

Firefox in Version 3.0.2 verfügbar (24.09.2008)

Es wurden mehrere Sicherheitslücken in Release 3.0.2 geschlossen. Dies betrifft vor allem kritische Fehler in der  JavaScript- und Rendering-Engine, die es einem Angreifer ermöglichen, Schadcode einzuschleusen, weshalb der Browser schnellstmöglich aktualisiert werden sollte. Firefox 3.0.2 ist über die integrierte Updatefunktion (nur Windows) im Browser oder auf den Mozilla-Downloadseiten (Windows, Linux, Mac OS X) verfügbar.

• siehe auch Einstellungen zum Mozilla Firefox
• siehe auch Add-on “NoScript” für Mozilla-Firefox

<Update 26.09.2008>
In Version 3.0.2 hat sich durch Korrekturen des Download-Managers ein Fehler eingeschlichen, der den Abruf gespeicherter und die Ablage neuer Passwörter mit Nicht-ASCII-Zeichen unmöglich macht. Version 3.0.3 soll das Problem beseitigen. Wer den Passwortmanager häufig benötigt, sollte Version 3.0.1 bis zum Release von 3.0.3 verwenden. Vor den Sicherheitslücken in 3.0.1 schützt das Add-on NoScript oder die generelle Deaktivierung von Browser-Plugins.</update>

<update 01.10.2008>Version 3.0.3 ist verfügbar.</update>

In eigener Sache: Tell-a-Friend-Script überarbeitet (23.09.2008)

Unser vielseitig im Einsatz befindliches PHP-Empfehlungs-Script für Websites haben wir aufgrund von Feedbacks (danke dafür an dieser Stelle) überarbeitet. In Release 3.4 wurde folgendes realisiert:

• Code optimiert (betroffene Dateien: recommendation.php | referer.php | functions.inc):
  Die Performance erhöht - vor allem auf Webseiten spürbar, die viele gleichzeitig stattfindende Empfehlungen zu verkraften haben
  
  <update>
• Zusätzliche Funktion (betroffene Dateien: install.php | recommendation.php | german_admin.php | english_admin.php | functions.inc):
  Die Möglichkeit, dem User/Empfehlenden eigenen Text zuzulassen, kann jetzt - auf vielfachen Wunsch einiger Scriptuser - hin unterdrückt werden, d.h. dann wird nur der (vom Admin) vorgegebene Text angezeigt und per eMail verschickt; siehe Ausschnitt aus der Online-Konfiguration (backend):
  
  Das Abschalten dieser Funktion macht z.B. bei der Empfehlung von Produktkatalogseiten oder Gallerien aller Art Sinn, wenn es nur um die Übermittlung der entsprechenden Links geht und kein Kommentar gewünscht wird. Im Gegenzug kann die Eingabe aber auch obligatorisch gestellt werden (Pflichtfeld), wenn ein Kommentar zwingend eingegeben werden muss (für Feedback-Liebhaber :-).
  </update>
  
  
• Schreibfehler beseitigt (betroffene Dateien: german.php | english.php):
  Tippfehler in deutscher Sprachdatei ausgemerzt (eine Fehlermeldung war nicht korrekt) sowie Variablenbezeichnung in englischer Sprachdatei berichtigt.
   
• Bug beseitigt (betroffene Datei: functions.inc):
  Der Referer (zuletzt/aktuell besuchte Seite) wurde in manchen Umgebungen fehlerhaft angezeigt, wenn das Script abgebrochen und an anderer Stelle erneut aufgerufen wurde.
   
• Kosmetik (betroffene Datei: functions.inc):
  Links innerhalb, des (vom Admin) vorgegebenen, Empfehlungstextes werden auch in der Vorschaufunktion als solche dargestellt (unterstrichen und blau).
   
• Kosmetik (betroffene Dateien: install.php | german_admin.php | english_admin.php):
  Das Backend über Webinterface zur Einstellung des Scripts wurde an einigen Stellen anwenderfreundlicher gestaltet und Formulierungen geändert, die zu Missverständnissen geführt haben.

Das Script (deutsch | english) befindet sich bereits in der aktualisierten Version 3.4 auf unseren Seiten im Einsatz und kann auch hier getestet werden; der Link zum Empfehlungs-Formular ist jeweils oben rechts oder unten auf jeder Seite zu finden. Auf der Downloadseite kann das Script heruntergeladen werden.

Bisherige Lizenznehmer können sich die aktuelle (Trial)Version herunterladen und ersetzen* bitte die betroffenen Dateien im entsprechenden Tell-a-Friend-Verzeichnis. Die bereits dort befindlichen, weiterhin gültigen Dateien taf-license.inc [Lizenz-Datei] sowie config.inc [Konfigurations-Datei] im include-Unterverzeichnis dabei nicht löschen und am besten vorher sichern!

*Achtung: functions.inc | referer.php wurden bei Script-Installation sicherheitshalber mit den CHMOD-Rechten 400 ausgestattet, d.h. sind nicht überschreibbar (auch nicht vom “Besitzer” z.B. per FTP). Um diese Dateien ersetzen zu können, müssen vorübergehend entsprechende Schreibrechte gesetzt werden (CHMOD 600). Hernach sollten wieder nur Lese-Attribute zugelassen werden (CHMOD 400). Um sicher zu gehen, das Script einmal über das backend (install.php) aktualisieren und alle CHMOD-Attribute sind wieder richtig gesetzt.

Über 400.000 neue Schadprogramme in den letzten 6 Monaten (16.09.2008)

Die Antiviren-Softwarehersteller F-Secure bekommt aktuell rund 80.000 Einzelmeldungen pro Tag zu Malware. Symantec vermeldet die Kenntnis von 400.000-450.000 neuen Schadprogrammen im letzten halben Jahr. D.h. heute wird nahezu stündlich neue Malware produziert, die dann, in nur wenigen Stunden Einsatz, Tausende von Rechnern befallen und anschliessend entsorgt werden. I.d.R. geschieht dies über gehackte Webseiten (meist grosse Portale), auf welchen die Schadsoftware plaziert wird, um die Besucherrechner zu infizieren (es genügt meistens der blosse Aufruf einer infizierten Seite: meistens sind es Browser-Plugins, die das Ausnutzen einer Sicherheitslücke überhaupt erst ermöglichen) -->  Man spricht beim Einfangen von Malware auf Webseiten von Drive-by Download; diese Art und Weise macht aktuell zwei Drittel aller Angriffe überhaupt aus, Trend steigend.

Fazit: Man kann sich angesichts dieser kurzlebigen Malware-Umlaufzeiten nicht hundertprozentig sicher sein. Auch nicht bei Beachtung aller Vorsichtsmassnahmen, da beispielsweise der installierte Virenscanner noch keine entsprechende Virensignatur besitzt und somit keine Kenntnis vom aktuellen Schädling hat. Ferner liegt es in der Natur der Sache, dass die Antiviren-Softwarehersteller den Malware-Autoren hinterherhinken, vor allem bei der aktuellen Schnelligkeit der Gegenseite. Handelt es sich auch noch um ein Less-than-Zero-Exploit, ist der worst case eingetreten (hundertprozentig wird so auch der Bundestrojaner unters Volk gebracht).

Es ist jedenfalls angeraten, den installierten Virenscanner nicht nur einmal täglich, sondern stündlich zu aktualisieren (dies kann i.d.R. automatisiert werden --> Scheduling) und alle weiteren Vorsichtsmassnahmen zu ergreifen. Ferner sollte man sich nicht nur auf die Wächter/Guard-Funktion des Antivirenprogramms verlassen und das System regelmässig auf Schädlingsbefall untersuchen (Virenscan), denn es könnte die entsprechende Virensignatur - zur Entdeckung und Eliminierung der Malware - erst nach Schädlingsbefall verfügbar sein.
Wer ganz sicher gehen will, sollte sich (wie wir) im Internet nur mit einer virtuellen Maschine bewegen, die sich einfach wieder in ihren (garantiert malwarefreien) Ursprungszustand zurückversetzen lässt. Das physisch vorhandene “Gast”-System hat dabei keinen Kontakt zur Aussenwelt.

Siehe auch:

• Falsche Antivirensoftware “Antivirus XP 2008” (05.09.2008) --> verbreitet sich  über Drive-by Download
• Botnetze vervierfachten sich in den letzten drei Monaten (02.09.2008)
• Ist Ihr Web-Browser richtig konfiguriert? (28.04.2008)

zum Archiv18 (03.09.2008-16.09.2008)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |