Gefahr aus dem Internet

[Pensador_XL]

So ganz klar ist es den Experten noch nicht, ob Conflicker alias Conficker alias Win32.Kido alias Downadup wirklich funktioniert. Manche glauben, dass er den Programmierern aus dem Ruder gelaufen sei und als "Untoter" durch das Internet schwebt, andere meinen, der Big-Bang stehe noch bevor, wenn er erst einmal aktiviert sei, da er derzeit noch schlummere. Die Gemeinheit sei, dass er sich ständig aus dem Internet irgend welche Ergänzungen nachlade, wenn er einen Computer infiziert habe.

Jedenfalls kann Jeder sich durch einen Blick in seiner "Systemsteuerung" unter "Software" und "Programme ändern oder entfernen" überzeugen, ob das Microsoft Sicherheits-Update mit der Bezeichnung gemäß nachfolgendem Bild enthalten ist (ziemlich am Ende der Liste). Damit die Updates angezeigt werden muss auch der Haken bei "Updates anzeigen" gesetzt sein. Das Installationsdatum kann bei Jedem anders sein. Entscheidend ist das Kennzeichen (KB958644).



Die Gemeinheit dieses Viehs ist, dass es den Zugang zu Anbietern von Antivirensoftware unterbindet. Besonders betroffen seien Firmennetzwerke (Intranet). Auch verbreite sich das Untier über Wechseldatenträger, wie USB-Datenstecker oder USP-Festplatten, was in Firmen oft für Installationszwecke benutzt wird, wenn es nicht per Fernadministration zentral erfolgt.

Die Hersteller von Antivirus-Software "F-Secure" und "Emsi Sofware" stellen unentgeltlich Programme zur Verfügung, die den Wurm verlässlich killen sollen. Diese Firmen werden von mir nicht in ihrer Solidität angezweifelt, dennoch geschieht jeder Download und dessen Anwendung auf eigene Gefahr. Das oben genannt Windows-Sicherheitsupdate sollte in jedem Fall vor weiteren Maßnahmen installiert sein. Es ist bei Microsoft kostenlos downloadbar (Link)

WARNUNG: User mit geringen Computer-Kenntnissen sollten sich unbedingt von kompetenten Leuten helfen lassen.

[Pensador_XL]

Wie Heise online heute meldet, baut die Bundeswehr derzeit eine "Cyberwar-Einheit" auf, die nicht nur die eigene IT-Infrastruktur vor Angriffen schützen, sondern auch Erkundungen und Manipulationen auf fremden Rechnern beziehungsweise "in gegnerischen Netzen" durchführen soll. Nach Informationen des Spiegel besteht die Truppe aus mehreren Dutzend in Rheinbach bei Bonn kasernierten Informatik-Absolventen der Bundeswehruniversitäten. Derzeit üben die "Hacker in Uniform" noch, so der Spiegel. Voll einsatzfähig soll die Einheit erst im nächsten Jahr sein.

Es wird sicher nicht sehr lange auf sich warten lassen, bis auch die spanische Armee eine solche Spezialeinheit gründet. Vielleicht existiert die auch schon und keiner weiß es, weil das so geheim ist. Dann wird es eng für die Cyber-Kriminellen und -Terroristen, auch auf dem Archipel.

Organisatorisch ist die Einheit angeblich dem Kommando "Strategische Aufklärung" zugeordnet. Bei der Bundeswehr war bislang keine Stellungnahme zu dem Bericht zu bekommen. Alles wird als streng geheim behandelt. Gemäß Grundgesetz darf die Bundeswehr als reine Verteidigungsarmee keine Aufgaben im Landesinnern wahrnehmen, allerdings gibt es seit längerem Pläne, dieses Verbot zu beseitigen (Hallo, Herr Schäuble).

Die Experten streiten darüber, ob ein Begriff wie "Cyberwar" korrekt sei, weil es in solch einem Krieg keine Toten und Verletzten gäbe. Es bestehe aber Einigkeit darüber, dass die Abwehr solcher Bedrohungen zu den Aufgaben der Streitkräfte eines Landes zählt. Auch wenn die Cyberattacke auf Estland im Nachhinein nicht als "Krieg" betrachtet wird, so nimmt mittlerweile jeder Staat, der eine substanzielle elektronische IT-Infrastruktur betreibt, potenzielle Bedrohungen durch Cyberattacken ernst.

Einen riesigen Vorteil hätte der Cyber-War: Es gäb keine getöteten Zivilisten und Soldaten mehr, nur geknackte Konten oder gekillte Computer.

[Dante.Alighieri]

Ein Angreifer nutzte eine vor kurzem geschlossene Sicherheitslücke im Content-Management-System (CMS) Typo3.

Am Dienstagabend hat ein Angreifer die Homepage von Bundesinnenminister Wolfgang Schäuble gehackt. Wie die Berliner Tageszeitung ("taz") berichtet, platzierte er einen Link auf www.wolfgang-schaeuble.de, der zur Website des Arbeitskreises Vorratsdatenspeicherung führte.

Für den Angriff nutzte der Eindringling eine erst kürzlich geschlossene Sicherheitslücke in Typo3, dem Content-Management-System, mit dem Inhalte von Schäubles Website erstellt werden. Der Hacker hinterließ dazu auch einen Hinweis auf Schäubles Homepage: "Typo3 Please update it, and change passwords". Mittlerweile ist die Website von Schäuble gar nicht mehr erreichbar.

Der Arbeitskreis Vorratsdatenspeicherung wehrt sich seit langem gegen ein Gesetz, das vorsieht, dass alle Telefon- und Internetverbindungen für mindestens sechs Monate gespeichert werden. Schäuble dagegen setzt sich für die Protokollierung ein.

Erst gestern war eine Klage vor dem Europäischen Gerichtshof (EuGH) gescheitert, die Irland und die Slowakei initiiert hatten. Der Gerichtshof hatte zu entscheiden, ob die Richtlinie, die die Speicherung von Internet- und Telefonverbindungen aller EU-Bürger vorschreibt, auf einer geeigneten Rechtsgrundlage erlassen wurde. Die Richter hatten gegen die zur Terrorabwehr erlassene Richtlinie zur Vorratsspeicherung von Telefondaten keine Einwände und erklärten sie für rechtens. [ZDnet, taz]

[Pensador_XL]

Offensichtlich kommen die Experten dem Conficker-Wurm nicht so recht bei. Microsoft hat jetzt ein Kopfgeld von 250.000 US-$ auf die Ergreifung des Autors oder der Autoren ausgesetzt. Möglicherweise will man so diese Gefahr bannen. Die Summe werde in jedem Land dieser Erde ausgezahlt. Damit wird eindeutig auf die üblichen verdächtigen Nationen gezielt: China, Philipinen, Russland, Bulgarien etc.

Obwohl aktuelle Virenscanner den Conficker identifizieren können, verbreitet er sich weiter. Vom PC holt er sich per Fernsteuerung Passwörter und deaktiviert Sicherheitsprogramme (damit er ungestört arbeiten kann). Hauptsächlich sind Firmennetzwerke davon betroffen. Microsoft trifft diesmal nur geringe Schuld, wurde doch das Problem längst identifiziert und ein Sicherheitspatch bereitgestellt.

Die Verbreitung findet über das Internet, Wechseldatenträger (USB-Stick, ext. Festplatten) oder Dateifreigaben auf dem Rechner statt.

Focus online schreibt:

Zitat:

Die infizierten Rechner bilden ein sogenanntes „Botnetz“, das auf Anweisung von Kriminellen Passwörter und Kontodaten ausspionieren, Spam versenden oder sogar zentrale Internet-Server attackieren kann. Besonders raffiniert: Statt seine Anweisungen von einem zentralen Server abzuholen, generiert der Virus täglich eine Liste von 250 neuen Domains, unter denen er nach neuen Anweisungen sucht. Die Kriminellen müssen nur eine dieser Domains kurzfristig unter ihre Kontrolle bekommen, um das Heer der infizierten Rechner zu steuern.

Ob die Störungen der letzten Tage im Internet von Conficker verursacht wurden oder nur die ISP inzwischen reihenweise ihre Websites aktualisieren ist unklar. Jedenfalls zeigt das Internet insgesamt derzeit keinen stabilen Betriebszustand.

[Pensador_XL]

Immer wieder werden neu Sicherheitslücken in den diversen Windows-Versionen entdeckt. Microsoft führt inzwischen monatliche Patchdays durch. Am kommenden Dienstag, 2009-03-10, ist wieder einer fällig. Es werden Updates für Windows 2000, XP, Vista und Windows Server 2003 sowie 2008 bereit gestellt. Microsoft lässt sich nicht über weitere Einzelheiten aus, bis die Möglichkeit besteht, die Anwender-Systeme tatsächlich zu patchen.

Eine Lösung für die Anfang des Jahres entdeckte Sicherheitslücke bei Excel soll es jedoch noch nicht geben.

[Pensador_XL]

Der Computerwurm Conficker hatte sich rasch verbreitet, vor allem in Firmennetzwerken und das trotz eines von Microsoft bereist im Oktober letzten Jahres bereitgestellten Patches. Inzwischen ist die dritte Generation/Variante des Wurms unterwegs. Diese entsteht durch Updates, die der Wurm für sich selbst macht.

Die aktuelle Version greift vor allem Virenschutzprogramme an. [Quelle]

[Pensador_XL]

Google bereitet klammheimlich eine gewaltige Attacke auf die Internetgemeinde hinsichtlich deren Verhalten im Internet vor. Dazu muss man sich vor Augen führen, dass nicht nur YouTube sondern auch Doubleclick inzwischen zum Google-Konzern gehört. Doubleclick war (und ist) einer der ersten und aggresivsten Internet-Marketing-Firmen. Von jeher haben die unter exzessivem Einsatz von Cookies den Usern - entsprechend den zuvor analysierten Interessen des Internet-Surfers - die passende Werbung um die Ohren oder auf die Lichter gehauen. Offensichtlich werden nun die Techniken beider, Google-Suche und Doubleclick, vereint und effektiver gestaltet. Das war seit dem Kauf von Doubleclick zu erwarten, sonst wäre kein Mehrwert in der Akqusition von Doubleclick.

Google nennt das neue Ganze "Behavioral Targeting", in der Verbalübersetzung "verhaltensbasierte Zielgruppenansprache" oder salopp und der Wahrheit näherkommend "verhaltensbezogene Werbung". Wer online Hundefutter kauft, erhält dann verstärkt Werbung für "Alles rund um den Hund". Das wird dann auf den Webseiten die jemand bewusst aufruft unter Google Adsense auftauchen oder als klammheimlich im Windschatten anderer Webseiten hochpoppende neue Browserfenster mit schriller Werbung. [Quelle]

Orson Welles' Science-Ficion-Roman "1984" wird immer mehr zur Realität. Der gläserne Mensch im Internet. Dagegen sind die Methoden von Wolfgang Schäuble fast hinterwäldlerisch: Schleicht sich in den Computer ein und lauscht - fast wie bei der Stasi.

Wie setze ich mich zur Wehr?

Die nachfolgenden Maßnahmen funktionieren, wenn nicht anders vermerkt, unabhängig voneinander.

• Jeder kann und sollte seine Cookies und den Cache-Speicher (temporäre Internetdateien) regelmäßig und möglichst oft löschen. Dann beginnt das Spiel von Vorne, aber Big Brother kann auf keine vorausgehende Analyse des Userverhaltens aufsetzen, weil die Identität des Users mit dem Cookie und/oder einer zuvor schon geladenen Webseite gelöscht wurde. Das Cookie ist der "Auslandskorrespondent" des Werbetreibenden und verrät, dass eine bestimmte Seite schon einmal aufgerufen wurde und wann. Eine frühere Webseite im Cache-Speicher kann mit einem Befehl (If-Modified-Since-Headerzeile) ausgewertet werden. Löschen kann Jeder in seinen Browser-Optionen ohne Zusatz-Werkzeuge.
• Jeder kann sich zunächst vergewissern, ob der eigene Virenscanner auch Ad-Ware oder Spy-Ware erkennt. Falls nicht, gibt es solche Tools teilweise kostenlos im Internet, z.B. Ad-Aware von der schwedische SW-Schmiede Lavasoft.
• Es gibt Zusätze für die diversen Internet-Browser, mit denen sehr fein differnziert werden kann, was vom Browser akzeptiert wird und was nicht. Ein Beispiel ist IE7Pro, das in der aktuellen Version 2.4.5 kostenlos installiert werden kann (Link). Dieser Browserzusatz für den Internet Explorer 7 hat einen konfigurierbaren Werbefilter, vereinfacht darüber hinaus die Suche bestimmter Texte innerhalb von Webseiten und bietet eine elegante Downloadhilfe.
• Man kann einen Proxy-Server für Suchvorgänge benutzen. Der Werbetreibende "sieht" dann nur die IP-Adresse des vorgeschalteten Servers. Allerdings sollte unbedingt vor Beginn der Proxy-Verbindung sowohl die Cookies , als auch der Cache-Speicher gelöscht/ausgeleert worden sein, sonst können die vorhandenen Cookies oder bereits im Cache gespeicherte Seiten vom letzten Besuch durch den Werbetreibenden noch ausgewertet werden (siehe oberster Punkt).
• Wenn man den Aufwand für das Löschen/Ausleeren von Cookies und Cache scheut, kann auch ein alternativer Browser für Suchvorgänge zum Einsatz kommen. Für "sichere" Suchvorgänge gut geeignet sind eigene Browsersysteme, wie Mozilla, Firefox oder Opera. Die vermischen die Cookies- und Cache-Daten nicht mit z.B. Internet Explorer. Von Opera gibt es eine mit dem Proxynetzwerk Tor kombinierte Form namens OperaTor (Download). Von JAP gibt es ebenfalls eine Kombiversion von Firefox (spezial) mit dem JAP-Proxynetzwerk (Download). Beide Downloads können kostenlos benutzt werden.
• Man kann einfach auch eine andere Suchmaschine benutzen, z.B. Yahoo. Doch sieht es dort nicht wesentlich besser aus in Sachen (unerwünschte) Werbung.

[Pensador_XL]

Wie vom Sicherheits-Software-Hersteller Trend Micro gewarnt wird, versuchten Hacker derzeit mittels gefälschter Emails mit angeblichen Windows Updates die Windows-Rechner der Internetgemeinde zu infizieren.

Die Fälschung besteht darin, dass angeblich Fehler in den Windows Service-Packs 1 und 2 enthalten seinen, die mittels dieses Updates behoben würden. Die Email enthält einen Link auf eine Download-Adresse im Internet. Dort wird jedoch kein Microsoft-Update sondern Schadsoftware (Maleware) auf den Rechner herunter geladen.

Die Origianl-Meldung von Trend Micro:

Zitat:

Trend Micro (TSE: 4704) warnt vor einer neuen Spam-Welle, die sich als Windows Supportinformation tarnt. Die Spam-Mails machen auf in Wahrheit frei erfundene Fehler in Microsoft Service Pack 1 und Service Pack 2 aufmerksam, um Anwender zum Download von als Patch getarnter Malware zu verleiten. Das Trend Micro Smart Protection Network blockiert Daten, Spam-Mails sowie URLs, die mit diesen gefälschte Windows Supportwarnungen in Verbindung stehen.

Mittels Social Engineering versucht die Malware-Szene auf verschiedenen Wegen an persönliche und vertrauliche Daten zu kommen. Trend Micro beobachtet derzeit Spam-Mails, die angeblich vom Microsoft Support Team verschickt werden. Inhalt der gefälschten Mails: Aufgrund von Fehlern in den Service Packs 1 und 2 sollen Soft- und Hardware des Heimcomputers in Gefahr sein. Die Spam-Mails fordern den Anwender dazu auf, eine Datei zu installieren, um die angeblichen Schwachstellen auf seinem Computer zu beseitigen. Trend Micro identifizierte die Schaddatei als TROJ_DLOADER.CUT. Ist diese Datei auf dem Rechner installiert, lädt sie selbstständig weitere Malware aus dem Internet: TSPY_BANKER.MCL, eine Spyware, die Online-Transaktionen des Anwenders beobachtet und persönliche Bankinformationen stiehlt.

Microsoft warnt ausdrücklich alle Windows-Benutzer, dass nur Updates von Microsoft selbst angenommen werden sollen. Microsoft würde Updates niemals mittels Emails verschicken, sondern nur entweder mittesl Update-Überwachungs-Modul auf dem Rechner oder als individueller Download von den Original Microsoft Downloadseiten URL = update.microsoft.com). Original-Updates typisch an jedem zweiten Dienstag eines Monats, ausnahmsweise auch bei aktuellem Bedarf (Hotfix).

[Pensador_XL]

Ich hatte darüber schon berichtet, doch nun überbieten sich die Medien mit Chaos-Spekulationen. Am 1. April 2009 könne der Wurm zu neuem Leben erwachen und sein Schadpotenzial voll entwickeln. Alles Spekulation, wohlgemerkt.

Doch kann jeder User seinen Rechner selbst überprüfen, ob das wesentliche Microsoft-Windows-Update vom Oktober 2008 installiert ist. Es trägt die Bezeichnung KB958644 in der Update-Liste. Diese ist zu finden unter "Startmenü > Programmzugriff und -standards > Programme ändern oder entfernen". Der Haken bei Updates anzeigen muss gesetzt sein/werden.

Schreen-Shot:

Quellen:

• Eine ausführliche Beschreibung zur Beseitigung liefert PCtipp.CH
• Auch Microsoft hat eine Anleitung zur Wurmentfernnung bereitgestellt.
• Der finnische Anti-Vir-Hersteller F-Secure liefert eine kostenlose Möglichkeit zu Säuberung. Die (ZIP-Datei speichern, entpacken und die Exe-Datei ausführen. Einschränkung: Das Tool benötigt Administrator-Rechte.

In Panik muss niemand fallen, doch schaden kann es auch nicht, wenn man sich vergewissert ob der eigene Rechner das MS-Sicherheitsupdate installiert hat oder ob der Wurm sich schon klammheimlich vor der Installation eingenistet hatte.

[Gatas]

Danke Pensador - tolle Erklärung sogar für uns Anfänger verständlich nachzuvollziehen! Wieder etwas dazu gelernt und den Schutz gefunden. So können wir beruhigt in den 1. April schlafen!