Wolfgang Sommergut

Das sieht nach einer Fehlkonfiguration des ebay-Servers aus, Anwendungs-DLLs sollten eigentlich nicht zum Download angeboten werden. Offenbar basteln da die Web-Entwickler direkt an Produktivsystemen herum, ohne vorher auf einem Staging-System zu testen.

Italien tut was gegen den Terrorismus: Wer im Urlaub seine E-Mails über einen öffentlichen Internet-Zugang abfragen will, wird in Zukunft dafür einen Reisepass brauchen. Robin Good berichtet von einem neuen Gesetz, das die Betreiber von Internet-Cafes und anderen Einrichtungen dazu verpflichtet, den Reisepass ihrer Kunden zu kopieren. Aber das ist noch nicht alles: Die Anbieter von Internet-Zugängen müssen außerdem mitschreiben, von wann bis wann ein Nutzer online war und welchen PC er dafür verwendet hat.

Der Bericht Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors (PDF), verfasst vom US-Geheimdienst und US Cert, nennt Vergeltung für Abmahnungen oder Entlassung als häufigstes Motiv für interne Hacker-Attacken. Die meisten der Angriffe waren eher plump, nur eine Minderheit setzte elaborierte Hacker-Tools ein. Einige frustrierte Mitarbeiter verrieten sich zudem durch auffälliges Verhalten, ein Drittel der Angreifer war bereits vorbestraft.

Nachdem in den letzten Tagen Nachrichten über die Gefahren des Instant Messaging die Runde machten, schießen sich nun die Hersteller von Sicherheits-Software auf dieses Thema ein. Eine von SurfControl in Auftrag gegebene Studie macht aus dem kleinen Chat-Fenster ein Scheunentor für Schadprogramme. Mehr als die Hälfte der befragten Firmen trifft angeblich keine Sicherheitsmaßnahmen gegen den IM-Wildwuchs. Sie wüssten nicht einmal, dass

bei der Nutzung von Instant Messaging und Peer-to-Peer-Kommunikation durch die Mitarbeiter die IT-Netze quasi nackt daliegen und damit jeglichen Angriffen und Infektionen aus dem Internet ausgesetzt sind.

Ebay hat überraschend angekündigt, die Authentifizierung via Passport nicht mehr zu unterstützen. Gleichzeitig gab Microsoft bekannt, den Dienst nicht mehr weiter vermarkten zu wollen. Passport hätte einmal zur zentralen Schaltstelle für den E-Commerce werden sollen und schnurrt nun zu einem Logon-Service für Hotmail und andere Microsoft-Sites zusammen. Microsofts Position wurde schon erheblich geschwächt, als der enge Web-Service-Verbündete IBM kürzlich der Liberty Alliance beitrat. Nun darf man darüber spekulieren, wann Microsoft diesen Schritt machen will. Eric Rudder hatte noch vor zwei Monaten auf einer Pressekonferenz in München entsprechende Vermutungen vehement zurückgewiesen.

Der Wurm Santy frisst sich durch die phpBB-Foren:

Oliver Regelmann berichtet von einer groben Sicherheitslücke bei einem Online-Händler. Er hatte aus der Browser-Historie versehentlich eine URL des Shops ausgewählt, die eine alte Session-ID enthielt. Prompt gelangte er unter dem Namen eines anderen Kunden in das System. Nach der Anmeldung unter seiner eigenen Kennung musste er feststellen, dass es nicht möglich war, sich von der Sitzung abzumelden und so die ID zu entwerten. Da passt noch dazu, dass beim Eingabefeld für das Passwort nicht <input type=“password“> verwendet wird, sondern das Kennwort im Klartext zu sehen ist.
Besonders bei kleineren Online-Verkäufern dürfte man öfter auf solche unverzeihlichen Mängel stoßen. Aber auch die Großen sind davor nicht gefeit, wie das Beispiel T-Systems zeigt.

Immer mehr Weblogs führen Captchas ein, um Kommentar-Spam abzuwehren. Diese Technilk lebt davon, dass Menschen stark entstellte Schriftmuster entziffern können, an der sich eine OCR-Software momentan noch die Zähne ausbeißt. Fortschritte in der Computer-gestützten Mustererkennung lassen ein Wettrüsten zwischen Entwicklern von Captcha-Algorithmen und Erkennungssoftware erwarten. In Forschungsprojekten erzielen die Captcha-Knacker schon gute Ergebnisse:

Weiterlesen »

Die P2P-File-Sharing-Software Kazaa steht in der Spyware-Liste von Computer Associates an erster Stelle. Auf den Plätzen folgen die in Europa wenig bekannten Ezula, Adopt.Hotbar.com und GameSpy Arcade. Die Aufstellung ist ein Dienst des neu eingrichteten Spyware Information Center von CA.

Eigentlich möchte man meinen, dass eine Phishing-Attacke keinen Erfolg haben kann, wenn sie potenzielle Opfer mit einer Spam-Mail voller Kauderwelsch auf eine Betrüger-Website locken will. Aber die Masse macht’s: Dem Phishing-Angriff auf Kunden der Postbank gingen zumindest zwei Personen auf den Leim.

Da machen sich Leute die Mühe, die Homebanking-Seite der Deutschen Bank

täuschend echt nachzubauen. Aber sie sind nicht in der Lage, den Text der Spam-Mail, die Leute auf ihre Site locken soll, mit einer Suchen-und-Ersetzen-Funktion zu bearbeiten. Das fingierte Anschreiben der Deutschen Bank ist weitgehend identisch mit jenem, das einen Tag vorher an Kunden der Postbank gerichtet wurde. Die Schlaumeier tauschten aber nur den Link auf auf die gefälschte Site aus. Ansonsten ist durchgängig von der Postbank die Rede, obwohl man sich an die Kunden der Deutschen Bank wendet.

Bei der Google-Suche nach einem Eintrag in unserer Statistik bin ich auf die Auswertungen mehrerer Sites gestoßen. Die anschließende Recherche nach typischen Begriffen aus der Webserver-Statistik förderte 1480 Treffer zu Tage. Viele davon verweisen auf deutschsprache Websites, die ihre Logfile-Auswertung frei zugänglich machen. Diese Daten repräsentieren sicher kein Staatsgeheimnis, aber mich erstaunt trotzdem, dass so viele Leute derart sorglos damit umgehen. Ein Passwort zu setzen sollte ja kein übermäßiger Aufwand sein.

Für die Desktop und Server-Varianten von Windows herrscht bekanntlich eine große Artenvielfalt an infektiöser Software. Mit der zunehmenden Verbreitung von Pocket PCs steigt das Interesse der Schadprogrammierer, auch Windows-Kleingeräte heimzusuchen. The Register berichtet von einem Trojaner namens Brador.A, der auf eine ganze Reihe von unangenehmen Kommandos hören kann. Bisher gefundene Viren für Windows CE waren dem Experimentierstadium noch nicht entwachsen.

In ihrer indischen Tochterfirma wurden der amerikanischen Jolly Technologies laut Infoworld vertrauliche Design-Dokumente sowie Teile des Quellcodes für ein wichtiges Produkt gestohlen. Eine Software-Ingenieurin nutzte für den Transfer ihr Mail-Konto bei Yahoo, dessen Speichervolumen kürzlich auf 100 MB erhöht wurde.
Weiterlesen »

Über den möglichen Missbrauch der Suchmaschine wurde schon öfter berichtet. Der Nutzen von Google für Schadprogramme zeigte sich beim Virus MyDoom.O, das über Suchanfragen an E-Mail-Adressen gelangen wollte. Als ein mächtiges Werkzeug für zwielichtige Zeitgenossen erweist sich nun der Bereichsoperator von Google. Mit seiner Hilfe lassen sich große Zahlenbereiche durchforsten, etwa für die Suche nach Kreditkartennummern.