(jp) – Die Internetkriminalität in Deutschland ist weiter auf dem Vormarsch. Allein beim Phishing, also dem Abgreifen von Bankkunden- oder Kreditkartendaten, sei für 2009 mit einem Anstieg um bis zu 40 Prozent zu rechnen, sagte BKA-Präsident Jörg Ziercke.
Der Wert des Vorjahres von 38.000 Delikten im gesamten Bereich der Internetkriminalität werde aller Voraussicht nach ebenfalls übertroffen.
Der Präsident des Bundeskriminalamts rief die Kreditwirtschaft auf, den elektronischen Zahlungsverkehr besser zu schützen: “In Deutschland existieren derzeit mindestens drei Trojaner-Familien, die speziell auf den deutschen Bankenverkehr ausgerichtet sind.” Diese Spähprogramme seien in der Lage, auch moderne Sicherheitssysteme wie das sogenannte iTAN-Verfahren beim Online-Banking anzugreifen. Beim iTAN-Verfahren muss der Bankkunde aus einer Liste eine ganz bestimmte (“indizierte”) Transaktionsnummer (iTAN) eingeben, bevor er etwa online Geld überweisen kann.
Weiterlesen
(jp) – Nach den auf dem 26. Chaos Communication Congress (26C3) vorgestellten Erkenntnissen hält es der Chaos Computer Club (CCC) nicht mehr für verantwortbar, sensible Informationen über das Mobiltelefon im GSM-Netz als Gespräch oder Kurznachricht auszutauschen.
Der zwanzig Jahre alte Verschlüsselungsalgorithmus, der von über 200 Mobilnetzen weltweit eingesetzt und von der Industrievereinigung der GSM-Mobilfunkanbieter (GSMA) vertreten wird, galt schon kurz nach seiner Einführung als theoretisch gebrochen. Auf dem 26C3 wurde nun der erste praktikable Angriff vorgestellt, der mit Amateurmitteln durchführbar ist und keinen erheblichen finanziellen oder technischen Aufwand mehr bedeutet.
Heutzutage werden Mobiltelefone neben dem bloßen Telefonieren auch zunehmend für neue sicherheitskritische Anwendungen wie Banktransaktionen benutzt. So ist es ohne weiteres möglich, Waren zu bezahlen, sensible Informationen und Zutrittscodes abzurufen oder Überweisungsaufträge zu versenden – einzig geschützt durch diesen schwachen Verschlüsselungsstandard.
Weiterlesen
(jp) – Ein Softwarefehler verursacht einen konstanten Klartext für den Zugriff auf die geschützte Partition. SanDisk ermöglicht den Download neuer Firmware. Kingston-Besitzer müssen ihren Stick einschicken.
Matthias Deeg und Sebastian Schreiber vom Sicherheits- und Penetrationsspezialisten SySS haben zwei verschlüsselnde USB-Speichersticks mit einer FIPS-140-2-Zertifizierung geknackt. Konkret handelt es sich um die Produkte Kingston DataTraveler BlackBox und SanDisk Cruzer Enterprise – FIPS Edition.
Die Produkte würden mit vertrauenserweckenden Marketingaussagen wie FIPS-Zertifizierung und 256-Bit-AES-Verschlüsselung beworben, wiesen aber gravierende Mängel auf. Eine 256-Bit-AES-Verschlüsselung sei nur dann eine sichere Technologie, wenn sie auch auf eine sichere Art und Weise eingesetzt werde.
Weiterlesen
(am) - Das “Microsoft Security Response Center” kann lediglich eine Inkonsistenz feststellen. In der Default-Konfiguration sei eine Ausnutzung der Lücke nicht möglich. Sicherheitsexperten halten auch die Standard-Konfiguration von IIS für gefährlich.
Microsoft hält die von Soroush Dalili entdeckte Sicherheitslücke in Internet Information Server (IIS) für sicherheitstechnisch unbedenklich. In einem Blogbeitrag des Microsoft Security Response Centers (MSRC) erklärt der Softwarehersteller die sechstägige Untersuchung für abgeschlossen – mit dem Ergebnis, dass keine Verwundbarkeit vorliege.
Es sei lediglich eine “Inkonsistenz” festgestellt worden, wie IIS 6 Semikola in Dateinamen behandele. Dalili hatte festgestellt, dass ein Dateiname wie bild1.asp;.jpg beim Upload als unbedenkliche JPEG-Bilddatei akzeptiert wird, beim Aufruf durch Anklicken oder direkte URL-Eingabe jedoch als ASP-Skript ausgeführt wird.
Microsoft führt an, dass diese Inkonsistenz in der Default-Konfiguration nicht relevant sei, da keine Schreibrechte vorhanden seien. In einer empfohlenen Konfiguration für ein Upload-Verzeichnis solle man keine Rechte zum Ausführen von Skripts oder Executables vergeben. Dies stünde auch so in den IIS 6.0 Security Best Practices.
Weiterlesen
(jp) -Der Trojaner Badware9 ist unterwegs und versucht Anwendern ein falsches Windows-Update vorzugaukeln. Die E-Mail ist angeblich von Microsofts Onlinedienst MSN und enthält ein kritisches Sicherheits-Update. Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein wichtiges Windows-Update, sondern einen gefährlichen Trojaner untergeschoben.
Die E-Mail hat folgendes Aussehen
Betreff: „Official Update 2009“
E-Mail-Text: Unterschiedlicher Text
Betroffene Betriebssysteme: Alle Windows-Versionen.
Weiterlesen
(am, vr) – Der spanische Panda war zu Besuch und wollte sich Beweisen. Doch beim wollen blieb es auch. Die Internet Security 2010.
Vor der eigentlichen Installation bietet Panda eine Untersuchung des Speichers und der Festplatte an, damit auch gewährleistet werden kann das die Software auf einem infektionsfreien Rechner installiert wird. Auf einem der Testsysteme fand sich auch gleich ein Tracking Cookie das als Spyware deklariert wird. In der Benutzerdefinierten Installation lassen sich einzelne Module an und abwählen, ebenso kann entschieden werden ob fortlaufend die Windows interne Firewall oder die Panda Firewall verwenden werden soll. Nach einem Neustart ist der Panda auch schon Einsatzbereit. Das heißt fast!
Weiterlesen
(jp) – Über eine Sicherheitslücke in PHP-Calender können Angreifer sich Zugriff auf beliebige Systemdateien verschaffen. Ein Workaround liegt vor.
Laut einem Bericht von Security Reason tritt die Sicherheitslücke in Version 1.1 des PHP-Calender auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Bei PHP-Calender handelt es sich um eine Anwendung, mit deren Hilfe Benutzer ihre Termine online und untereinander korrigieren können.
Die Schwachstelle tritt beim Zugriff auf eine Konfigurationsdatei auf. Durch die gezielte Manipulation der Dateien „update08.php“ und „update10.php“ können Angreifer eine eigene Konfigurationsdatei in ein betroffenes System einbinden. Wird eine Systemdatei, wie beispielsweise „/etc/passwd“ angegeben, ist auf diese ebenfalls ein Zugriff möglich. Der Bericht von Security Reason beschreibt, wie Sie durch eine Änderung des PHP-Codes die Sicherheitslücke temporär schließen können.
Quelle: TEC Channel
(jp) - Über eine Reihe von Sicherheitslücken können Angreifer beliebigen Scriptcode in die Webbrowser von PyForum Benutzern einspeisen.
Laut einer Meldung von Security Reason treten die Sicherheitslücken in Version 1.0.3 von PyForum auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls anfällig. Bei PyForum handelt es sich um eine komplett in Python entwickelte Bulletin-Bord-Anwendung, die betriebssystemsunabhängig zum Einsatz kommt.
Über eine Schwachstelle bei der Verarbeitung von BBcode im Modul „moduls.parser“ können Angreifer per „Cross-Site-Scripting“-(XSS)-Angriff beliebigen Scriptcode über die Parameter „img“ und „tag“ einspeisen. Beim zweiten Angriff handelt es sich um eine „Cross Site Request Forgery“ (CSRF), die aufgrund des generellen Anwendungsdesigns von PyForum möglich ist. Ein Update oder Patch liegt nicht vor. Es wird empfohlen, eine andere Anwendung zu verwenden.
Quelle: TEC Channel
(am) - Nutzer können beliebigen ASP-Code, der als Bild getarnt ist, zur Ausführung bringen. Vermutliche Ursache ist eine File-Parsing-Routine, die VMS-Regeln anwendet. Websitebetreiber sollten Codeausführung in Upload-Verzeichnissen verbieten.
Soroush Dalili, Spezialist für Penetration Testing und Web Security, hat eine Sicherheitslücke in Microsofts Webserver IIS entdeckt. Unter Ausnutzung dieser Lücke ist es möglich, ein als Bild getarntes ASP-Skript mit beliebigem Code auf dem Webserver zur Ausführung zu bringen, wenn ein Websitebetreiber das Anschauen eines Bildes direkt nach dem Hochladen erlaubt. Das ist häufig bei Benutzerprofilbilden in Foren oder sozialen Netzwerken der Fall.
Betroffen sind alle IIS-Versionen bis einschließlich 6.0. IIS 6.0 wird mit Windows Server 2003 ausgeliefert. IIS 7.5 aus Windows Server 2008 R2 ist nicht betroffen. IIS 7.0 hat Dalili bisher nicht getestet.
Um ein ASP-Skript zur Ausführung zu bringen, muss ein Angreifer eine Datei mit einem Namen wie Bild1.asp;.jpg hochladen. Ursache für den Bug ist die unterschiedliche Art und Weise, wie IIS den Dateityp anhand der Dateiendung ermittelt. Die Windows-Entwickler scheinen sich nicht ganz einig zu sein, ob sie dazu die Regeln von Unix oder VMS anwenden sollen.
Weiterlesen
(jp) – Der Wurm Mytob.V2 ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Error, Status, Server Report, Mail Transaction Failed oder Mail Delivery System.
Dateianhang: message.pdf.exe
E-Mail-Text: Mail transaction failed. Partial message is available.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Weiterlesen
