Newsletter 2012 - Ausgewählte Auszüge aus Newslettern und Forenbeiträgen

Ausgewählte Auszüge verschiedener Newsletter und Artikel
zur Internetsecurity und anderen aktuellen Themen.

Urheberrechtsbelehrung
Alle hier aufgelisteten Meldungen sind, sofern sie nicht explizit entsprechend anders gekennzeichnet sind,
nicht als eigenständiger Bestandteil meines Webangebotes, sondern lediglich als Zitate
mit Verweisen (Links) auf die Beiträge Dritter in öffentlichen Online-Medien u.a. der Tagespresse zu verstehen.
Sie unterliegen demzufolge ausnahmlos direkt dem Urheberrecht der jeweiligen Autoren oder Quelleninhaber.
Siehe hierzu auch meinen Disclaimer.

Die Beiträge der einzelnen Seiten umfassen in der Regel etwa die letzten 6-12 Monate, sind chronologisch absteigend geordnet
und können mit der Suchfunktion nach Schlüsselbegriffen gescannt werden.

Ich möchte ergänzend darauf hinweisen, dass viele der "weiterführenden Links" auf aktuelle Seiten der Tagespresse
oder Fachzeitschriften führen und daher oft nur zeitlich begrenzt oder mit veränderter URL zur Verfügung stehen.
Gelegentliche tote Links lassen sich daher kaum vermeiden.
Man beachte hierbei bitte das jeweilige Datum "(...)" der Meldung.
In einigen Fällen führen diese Links aber auch zur Startseite des Anbieters und können dort mittels Suchfunktion
und der Nummer hinter der URL erneut aufgerufen werden.
(Beispiel: http://www.pcwelt.de/news/viren_bugs/40130/)

VOLLTEXTSUCHE

Hier bitte den Suchbegriff für eine Volltextsuche eingeben.
Soll nach der Anzeige eines Suchergebnisses weitergesucht werden, muß zunächst wieder an den Seitenanfang gescrollt,
und dann erneut die Schaltfläche " SUCHEN" angeklickt werden.

Mehrere deutsche Rechenzentren sollen illegal mit den Daten aus Millionen von Apothekenrezepten gehandelt haben. Das behauptet zumindest ein ehemaliger Mitarbeiter des Pharmadienstleisters pharmafakt/GFD Gesellschaft für Datenverarbeitung, wie der Spiegel berichtet. Dem Nachrichtenmagazin liege demnach eine eidesstattliche Erklärung des Insiders vor. Die unverschlüsselten Daten seien an Kunden aus der Pharmaindustrie verkauft worden, darunter eventuell auch einige der größten Konzerne der Branche. Mit den Rezeptdateien, die nicht anonymisiert worden waren, konnten die Unternehmen eventuell nachvollziehen, welche Medikamente von bestimmten Arztpraxen verschrieben wurden. Derartige Informationen würden es ermöglichen, die Arbeit von Außendienstmitarbeitern zu kontrollieren. So könnte man demnach überprüfen, ob Ärzte nach den Besuchen von Vertretern der Pharmaindustrie häufiger bestimmte Medikamente verschreiben.

Im Rahmen der Mobilfunkmesse Mobile World Congress (MWC) in Barcelona wird Microsoft am 29. Februar eine als "Consumer Preview" bezeichnete Beta-Version von Windows 8 vorstellen. Dies bestätigte Microsoft auf seiner Website. Die Vorstellung erfolgt im Rahmen einer zweistündigen Veranstaltung, der Download wird am selben Tag möglich sein.

Den Algorithmus für A5-GMR-1 entlockten die Forscher einem Update für das Thuraya SO-2510. Ein Forschungsteam der Ruhr-Universität Bochum hat die von Satellitentelefonen eingesetzten Verschlüsselungsalgorithmen A5-GMR-1 und A5-GMR-2 geknackt. Satellitentelefone kommen vor allem in Gebieten mit schlechter Mobilfunknetzabdeckung und bei der Seefahrt zum Einsatz.

Die vor allem in den USA verbreiteten Kreditkarten mit RFID-Chip lassen sich durch Kleidung und Geldbeutel hindurch kontaktlos auslesen und dann mit Zahlungen belasten, die der Eigentümer eigentlich nicht freigegeben hat. Das demonstrierte Kristin Paget auf der Sicherheitskonferenz Shmoocon in der US-Hauptstadt Washington eindrucksvoll, wie das US-Wirtschaftsmagazin Forbes berichtet. Kreditkartenhersteller sehen jedoch kein gesteigertes Risiko.

Das Microsoft Malware Protection Center hat einen Trojaner-Downloader entdeckt, der im Ursprungszustand keine verdächtigen Routinen enthält und somit nur schwer von Virenscannern entdeckt werden kann. Das kleine Visual-Basic-Programm ruft nach dem Start die Webseite eines tibetanischen Restaurants auf, in deren HTML-Quelltext Shellcode versteckt ist, den das Programm in den Arbeitsspeicher lädt und ausführt. Während die ausführbare Datei, die Microsoft inzwischen als TrojanDownloader:Win32/Poison.A identifiziert, auf einem Rechner ohne Internetverbindung lediglich eine Fehlermeldung produziert, kopiert sie sich nach dem erfolgreichen Abruf des Schadcodes in einen Systemordner und beginnt dort mit der Aufzeichnung von Tastatureingaben.

Die Koobface-Gang hat ihr Botnetz offenbar außer Betrieb gestellt, nachdem am vergangenen Dienstag Informationen über fünf mutmaßliche Gangmitglieder veröffentlicht worden waren. Graham Cluley von Sophos erklärte gegenüber unserer Schwesterpublikation The H, dass die Kommandoserver nicht vollständig offline seien, sondern seit Dienstagmorgen keine Befehle mehr aussenden. "Sie antworten jetzt nur noch mit 404-Fehlern", sagte Cluley. Er merkte an, dass die fünf identifizierten Männer offenbar schwer damit beschäftigt sind, ihre Profile bei sozialen Netzwerken zu löschen. "Die identifizierten Personen kennen den Bericht und räumen jetzt die verschiedenen Brotkrümel auf, die sie im Internet hinterlassen haben", meint Cluley.

Wer sich den Schädling Carberp einfängt, erlebt beim Aufruf von Facebook unter Umständen eine böse Überraschung. Die Sicherheitsexperten von Trusteer haben eine Variante des Schädlings Carberp entdeckt, die vermeintlich das Facebook-Konto des Opfers sperrt. Der Schädling klinkt sich in den Browser ein und fängt Anfragen an den Facebook-Server ab. Versucht man das soziale Netzwerk anzusteuern, erscheint der Hinweis, dass der Account vorübergehend gesperrt sei und man 20 Euro bezahlen müsse, um seine persönlichen Daten zu verifizieren. Die Zahlung soll über Ukash erfolgen – ein anonymes Bezahlsystem, bei dem man den Empfänger der Zahlung nicht zurückverfolgen kann.

Offenbar haben Sicherheitsspezialisten die berüchtigte Koobface-Gang enttarnt. Die Kriminellen hatten jahrelang Anwendern den Trojaner über soziale Netze wie Facebook untergeschoben. Der Schädling tarnt sich unter anderen als Video-Codec und späht infizierte PCs aus. Laut einem Bericht der New York Times will Facebook die Identität der mutmaßlichen fünf Täter veröffentlichen, um deren weitere Arbeit zu erschweren. Die New York Times hat die Namen und Spitznamen bereits jetzt veröffentlicht. Bei den fünf soll es sich um Russen aus St. Petersburg handeln, die nach Schätzungen jährlich rund zwei Millionen Dollar mit dem Manipulieren von Windows-PCs verdienen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf Befall mit der Schadsoftware "DNS-Changer" zu überprüfen. Dazu hat das Amt gemeinsam mit der Deutschen Telekom und dem Bundeskriminalamt eine Webseite unter der URL www.dns-ok.de aufgesetzt. Internetkriminelle hatten die Schadsoftware über das "DNS-Changer-Botnetz" auf 4 Millionen Rechnern in 100 Ländern verbreitet und dabei die DNS-Einstellungen von Windows- und Mac-Usern manipuliert. Die Betreiber wurden im November von der amerikanischen Bundespolizei FBI und europäischen Ermittlungsbehörden verhaftet. Das FBI hat danach die bösartigen DNS-Server durch korrekt arbeitende ersetzt. Diese sollen aber zum 8. März abgeschaltet werden. Daher sollten Internetznutzer ihre Systeme auf Befall überprüfen, da sonst ab März die DNS-Namen nicht mehr aufgelöst werden. Ist das System von der Schadsoftware befallen, liefert der "infizierte" DNS-Server die IP-Adresse eines Servers zurück, der eine Warnmeldung mit roter Statusanzeige bekommt. Auf einem sauberen System erscheint eine grüne Statusmeldung.

Wie die Sicherheitsspezialisten von Seculert melden, ist eine Variante des seit April 2010 bekannten Computerwurms Ramnit auf das Abgreifen der Login-Daten von Facebook-Accounts spezialisiert. Über 45.000 Konten sollen bereits kompromittiert sein, vor allem von Benutzern in Frankreich und Großbritannien.Ramnit wurde von Microsofts Malware Protection Center (MMPC) als Multi-Komponenten-Malware beschrieben, die sowohl Windows-Programme als auch HTML-Seiten infizieren kann und Informationen wie gespeicherte FTP-Zugangsdaten und die Inhalte von Browser-Cookies stiehlt.

Das Bundeskriminalamt (BKA) hat eine Zugriffsblockade auf seine Webseite für Nutzer von Virtual Private Networks wieder aufgehoben, nachdem sich der Bundesdatenschutzbeauftragte eingeschaltet hat. Im Sommer 2011 hatten sich Surfer, die mithilfe von Anonymisierungsdiensten im Netz unterwegs waren, wegen der Aussperrung vom BKA-Angebot an den obersten Datenschützer der Nation gewandt. Dessen Büro bat die Polizeibehörde um Stellungnahme. Wie jetzt bekannt wurde, hob das BKA daraufhin die Sperre im Herbst wieder auf.

E-Plus wird allmählich zu E-Minus!
Auch 2012 wieder Netzausfälle
ohne Ende (06. Januar 2012)

Schon seit Juni 2011 überschlagen sich die Meldungen über ständige Ausfälle des E+/UMTS Netzes.
Folgender Fehler:
Entweder loggt sich das Handy zunächst ganz normal ein, man kann aber zeitweise oder auf Dauer weder anrufen noch angerufen werden.
Meist ist jedoch von vorneherein gar kein UMTS-Netz (=3G) mehr vohanden.

Vermutliche Ursache:
Hier schweigt sich der Betreiber weitgehend aus und die Servicecenter geben ebenso widersprüchliche wie nebulöse Infos über Hardwarefehler an die Kunden weiter.
Angeblich ein Serverfehler, der “in Kürze” behoben sein wird. Einmal sei der UMTS-Ausbau daran schuld, dann wieder (natürlich noch ungeklärte) Ausfälle von Sendemasten,
zentralen Netzmodulen oder ganzen Basisstationen....Und das alles dann gleich auch noch bundesweit und monatelang?

Meiner Ansicht nach spricht gerade die bundesweite Verbreitung des Problems eher für einen systemischen Softwarefehler in den serverinternen UMTS-Protokollen, der u.a. auch verhindert, dass ein einmal eingeloggtes UMTS-Handy z.B. mit einer (angeblich) inkompatiblen älteren SIM-Karte zumindest bei gescheitertem Funktionscheck auch automatisch vom Server selbst wieder ausgeloggt wird. Dadurch kann die Suche des Handys nach einem anderen, kompatiblen Netz nicht fortgesetzt werden. Das Gerät verbleibt dann wie beschrieben blockiert im UMTS-Netz und kann fortan nicht mehr kommunizieren. Selbst nach einem Neustart wählt es ja zunächst das gleiche Netz erneut aus, falls dessen lokale Feldstärke andere Netze dominiert, und es stellt sich natürlich sofort wieder der gleiche dysfunktionelle Zustand ein. Mit nicht UMTS-fähigen Handys sollte der Fehler daher nicht auftreten, da diese sich grundsätzlich nur in den herkömmlichen GSM-Netzen einloggen können und das UMTS-Netz ignorieren. Bevorzugtes Auftreten des Fehlers soll vor allembei "älteren" SIM-Karten möglich sein, die angeblich nicht UMTS-tauglich sind. (Gibt es das überhaupt???) Warum genau aber diese Inkompatibilität vorliegt, bleibt allerdings weitgehend im Dunkel! Da aber durchaus auch neuere Karten und/oder Handymodelle einschl. I-Phones und sonstigen Smartphones betroffen sind, wird der Fehler sicherlich woanders zu suchen sein.

Lösung:
Solange die serverinternen Kommunikations-Protokolle nicht korrigiert werden, ist keine Verbesserung der Situation in Sicht.
Man kann sich aber auch provisorisch selbst behelfen, indem man das Handy in den Netzoptionen zunächst von “automatisch” auf “manuell” umstellt, die "bevorzugten" 3G-Netze in der Liste des Handys am besten komplett löscht und danach ein festes GSM-Netz (ZB.: 900-1800 MHZ bei Dualbandern oder 1900MHz bei bestimmten Einbandern) wählt. Danach Handy ausschalten und neustarten. Zumindest die normalen Telefonverbindungen einschließlich SMS sollten dann wieder einwandfrei funktionieren.
MMS und Internet kann man aber natürlich getrost vergessen.

Beim Update von Firefox kann es zuweilen schon mal zu Virenwarnungen (False Posiv) kommen.

Aktuell beglückte mich der Virenwächter von AVIRA Antivir (Version 10) beim Updaten von FF-Version 8 auf 9.0.1
zwischenzeitlich mit folgender Warnung:

In der Datei 'C:\Users\XXXXXXX\Desktop\Wartung\Downloads\Firefox Setup 9.0.1.exe.part'
wurde ein Virus oder unerwünschtes Programm 'TR/Offend.6012699.1' [trojan] gefunden.

Die Datei Setup 9.0.1.exe.part ist eine partielle, temporäre Datei des integrierten FF-Downloadmanagers, die während des laufenden Downloads eines Files vom Downloadmanagermodul des Firefox parallel zur eigentlichen Datei (Hier: Setup 9.0.1.exe) erstellt und erst nach erfolgreichem Abschluss des Ladevorganges automatisch wieder entfernt wird.
Durch diese partielle Datei sollen u.a. beliebiges Anhalten und anschließende Wiederaufnahme eines gestarteten Downloads ermöglicht werden.
Während des Downloadvorganges wächst daher die Dateigröße der partiellen Datei ständig an, wogegen die Größe der finalen Datei bis zum Abschluss nominal
0 Bytes beträgt. Bricht man den Download aus irgendwelchen Gründen zu einem bestimmten Zeitpunkt ab, kann die unvollständige Datei bzw. das generierende Modul des Downloadmanagers aufgrund bestimmter Programmaktivitäten u.U. über die heuristische Erkennung eine allgemeine oder signaturspezifische Virenwarnung auslösen, weil diese Programmaktionen den Aktivitäten bestimmter Schadprogramme ähneln.
Das Antivirenprogramm gibt dann eine entsprechende Falsch-Warnung aus.

Hacker-Gruppe
veröffentlicht Kundendaten
von US-Sicherheitsfirma (01. Januar 2012)

Nach ihrem Cyberangriff auf renommierte US-Sicherheitsberater hat die Hackerorganisation "Anonymous" nach eigenen Angaben gewaltige Mengen Kundendaten ins Netz gestellt. Die lose organisierte Gruppe veröffentlichte in der Nacht zu Silvester Links, die zu 75.000 Namen, Adressen, Kreditkartennummern und Passwörtern von Kunden des Unternehmens Stratfor führen sollen. Die Gruppe kündigt zwar weitere Cyberattacken für die Silvesternacht an, doch blieben Informationen darüber zunächst aus.