Kategorie-Archiv: Angriff

Franzose hackt Obama’s Twitter Account

Msnbc berichtet, dass ein Franzose verhaftet wurde, weil er den Twitter Account mehrerer bekannter Persönlichkeiten gehackt hat, darunter der US-Präsident Barack Obama und Britney Spears. Dem 25-jährigen Mann, der sich HackerCroll nennt, ging es dabei ganz schlicht um den Thrill hinter der Sache. Die Französische Polizei hatte einen Tipp vom FBI bekommen.

“Er denkt, dass er gut darin ist und er ist es”, sagte eine Sprecherin des Französischen Büros für Online-Betrug.

£100,000 bei Cracker Wettkampf

The Register berichtet von einem Wettbewerb, bei dem versucht werden soll, ein Victorinox-Taschenmesser mit Security-USB-Stick zu cracken. Wer es schafft bekommt £100,000. Man muss dazu in den Londoner Shop von Victorinox gehen und bekommt zwei Stunden Zeit. Ich glaube, das schafft keiner. Ich glaube aber, dass es ziemlich viele Leute danach versuchen werden. Also sozusagen außer Konkurrenz. Außerdem finde ich, dass Schweizer Produkte und Datensicherheit im Moment keine so gute Kombination sind. Also wirklich: Wer denkt sich bloß solche Werbekampagnen aus? Hoffentlich hat die Werbeagentur nicht kurz davor den ultimativen, gehärteten, Hochsicherheits-USB-Stick entworfen, von dem ich berichtet hatte…

Firefox Schwachstelle: Das BSI zieht nach

Oder wie Heise titelt: “Sicherheit nach Behördenart”. Die aktuelle Warnung des vom BSI betriebenen Bürger-CERTs, bis zum Erscheinen von Firefox 3.6.2 lieber “alternative Browser” einzusetzen, sei in vielerlei Hinsicht verunglückt. Zunächst wird bemängelt, dass dieser Ratschlag ziemlich spät käme: Firefox 3.6.2 wurde gestern veröffentlicht und die BSI-Warnung ist vom 18.03. Von der Schwachstelle selbst wurde aber bereits Mitte Februar berichtet. Naja, in der National Vulnerability Database hat die Schwachstelle auch erst seit dem 19.03. die offizielle Nummer CVE-2010-1028.

Weiterer Kritikpunkt: Die Umstiegsempfehlung lässt offen, “welchen “alternativen Browser” der verunsicherte Bürger denn nun verwenden soll.” Die Gefahr sei hoch, dass die Sicherheitsexperten vom Bürger-CERT den Bürger vom Regen direkt in die Traufe schicken würden. Was man dem BSI jedoch nicht vorwirft ist eine einseitige Parteinahme: Erst im Januar riet die Behörde noch von der Nutzung des Internet Explorer Abstand zu nehmen.

Der Heise Autor fragt sich, “wann das Bürger-CERT mit zufällig eingestreuten Proporz-Warnungen von Opera und Chrome abraten wird  – oder ob das BSI vielleicht sogar demnächst den monatlichen Browser-Wechsel als Sicherheitsfunktion propagiert.”

Mozilla bestätigt Firefox-Schwachstelle

Am 18.02 hatte Secunia die Schwachstelle im Advisory SA38608 beschrieben. Einzige Quelle für die Schwachstelle war Evgeny Legerov. Auf meine Nachfrage hatte Secunia bestätigt, dass sie selbst keine Tests durchgeführt hätten, die Quelle aber bisher verlässlich gewesen sei. Daniel Veditz von Mozilla schrieb noch am 27.02.: “Definitiv noch keine Angriffe beobachtet, also können Sie mit Firefox vertrauensvoll weiter surfen.”* Zwischenzeitlich tauchte an einigen Stellen der Begriff Hoax auf. Am 18.03. dann bestätigte Mozilla die Schwachstelle:

“Mozilla wurde durch Evgeny Legerov kontaktiert, dem Security Researcher, der das Bug aus dem Secunia Advisory entdeckt hat. Er hat uns mit genügend Details versorgt, um das Problem zu analysieren und zu reproduzieren. Die Schwachstelle wurde als kritisch bewertet und kann durch einen Angreifer zur Remote Code Execution ausgenutzt werden.”*

Secunia hat nun reagiert und den Zweiflern in seinem Corporate-Blog geantwortet:

“Einige Leute waren sehr eifrig darin, zu behaupten, dass es sich bei der Schwachstelle um eine Fake handelte. In unserem Forum genauso wie im Mozilla-Forum – Mozilla hat jetzt allerdings die Schwachstelle in einer Beta-Version gefixt. Das Fix wird auch in der kommenden Version 3.6.2 enthalten sein.”*

Chief Security Specialist, Carsten Eiram, berichtet in dem Beitrag, warum von Anfang an klar war, das alles klar war. Das Bild wäre runder, wenn man ebenso selbstsicher aufgetreten wäre, als Mozilla die Schwachstelle noch nicht bestätigt hatte.

* Keine offiziellen Übersetzungen aus dem Englischen. Die Original-Zitate finden Sie über die angegebenen Links oder in der englischen Version.

Vodafone liefert Malware aus: Erst 1, dann 2, dann 3000…

Der spanische Antivirenhersteller Panda berichtete kürzlich in seinem Blog, dass Vodafone das HTC Smartphone ab Werk mit dem Bot Mariposa ausliefere. In einer Stellungnahme gegenüber Heise Security betont der Pressesprecher von Vodafone D2 (Deutschland) Thorsten Höpken, dass der Fall ein absoluter Einzelfall sei, der in Spanien auftrat.

“Hier wurde ein solches Gerät von einem Kunden manipuliert, der den Karton mit einem gefälschten Siegel wieder verschlossen und in Umlauf gebracht hat.”, so Höpken laut Heise Security.

Man habe den Bestand an HTC Magic Smartphones stichprobenartig überprüft und in keinem einzigen Fall ein schadhaftes Handy gefunden gefunden.

So weit der Text meines Beitrags vom 10.03.2010. Am 17.03. kam dann ein weiteres einzelnes HTC-Magic hinzu. Heute dann endlich die Meldung auf The Register, dass es vielleicht doch eher 3000 Telefone waren. Mal sehen, was noch kommt.

Besonders wichtig in Sachen Krisen-PR: Erst mal dem Kunden die Schuld in die Schuhe schieben.

Server-Virtualisierung führt zu weniger Sicherheit

Da passt ja wieder mal alles zusammen diese Woche. Heise Security titelt “Server-Virtualisierung führt zu weniger Sicherheit” und zitiert damit das Marktforschungsunternehmen Gartner, das für das Jahr 2012 prophezeit, dass etwa 60 Prozent der virtuellen Server  weniger sicher sein werden, als die Systeme, die sie ersetzen. Erst im Jahr 2015 soll diese Quote wieder auf 30 Prozent fallen. Gartners Bericht beschreibt die Möglichkeit, dass ein Angreifer über Sicherheitslücken in der Virtualisierungssoftware aus einer VM ausbrechen und den Hypervisor oder andere VMs auf dem selben Server erfolgreich attackieren könnte.

Passend dazu veröffentlichte Microsoft ein Security-Bulletin unter dem Titel “Schwachstelle in Virtual PC und Virtual Server ermöglicht erweiterte Zugriffsrechte” und Searchsecurity merkt an “Patch für Microsoft Virtual PC Schwachstelle unwahrscheinlich”. Laut Gartner hat Microsoft ja noch etwa bis 2015 Zeit…