Search

[lemonhorse]

[...] Dieses Problem bedrohe die Zukunft des Internets, sagte Vinton Cerf in einem Statement. "Ich glaube, dass das mögliche Wachstum des Internets eingeschränkt sein wird, wenn wir weiter tatenlos zusehen, wie sich aggressive Badware verbreitet. Alle Nutzer müssen in der Lage sein, ihre Handlungen zu kontrollieren, wenn sie im Internet surfen, und die Massenverbreitung von Badware bedroht diese Kontrolle. Wir können das nicht weiter akzeptieren."

Bedenklich ist in diesem Zusammenhang auch, dass solche Badware immer öfter via Spam verbreitet werden. Die Zeiten, in denen diese Mails vor allem lästigen aber harmlosen Werbemüll beinhalteten sind längst vorbei. 60 Prozent des Spam-Aufkommens wird inzwischen über so genannte Zombie-Computer weitergeleitet - Rechner also, die von Cyberkriminellen kontrolliert werden. Nicht selten erlangen sie diese Kontrolle mit Spam-Mails, die Trojaner auf die Computer ahnungsloser Anwender schleusen. Hinzu kommt die zunehmende Zahl der Phishing-Attacken, die ebenfalls meist über Zombie-Netze laufen.

Wie lukrativ dieses kriminelle Geflecht ist, zeigt das Beispiel eines Spammers aus Los Angeles. Der 20-Jährige hat jetzt gestanden, über einen Zeitraum von 14 Monaten knapp eine halbe Million PCs zu einem Zombie-Netzwerk verbunden zu haben. Dieses vermietete er anschließend an Spammer - 60.000 Dollar, einen BMW und eine komplette Computerausrüstung haben ihm diese illegalen Geschäfte eingebracht. Nun droht ihm eine Haftstrafe zwischen vier und acht Jahren - das Urteil wird für den ersten Mai erwartet.

Aus: "Ein Pranger für 'Badware' - Branchengrößen finanzieren Portal für Verbraucherschutz" von Sibylle Gaßner (25.01.2006)
Quelle: http://www.silicon.de/cpo/ts-busisoft/detail.php?nr=26283

[lemonhorse]

[...] Mehr als 600 Euro habe das Internet-Auktionshaus in der elektronischen Rechnung verlangt, das habe ihn stutzig gemacht. Er dachte daher nicht lange nach und wollte sofort mehr wissen. Ein Fehler, denn trotz des Original-Ebay-Logos war die Nachricht gefälscht: Der Anhang der E-Mail entpuppte sich als Computervirus, der wochenlang unentdeckt blieb, weil die Antivirensoftware im Lehrerhaushalt nicht auf dem neuesten Stand war.

Der digitale Schädling sendete laufend Informationen, die im Rechner in Hessen eingegeben wurden, über das Internet an eine entfernte Adresse. Dort analysierten Kriminelle die Daten - und versuchten, daraus Kapital zu schlagen.

Erst ein Anruf der Hausbank alarmierte Steinke und seine Frau. Das Institut habe unbefugte Zugriffe auf die Konten der beiden festgestellt, erklärte eine Angestellte, von einem Computer aus Asien.

[...] Bislang haben die Phisher in erster Linie auf gefälschte E-Mails gesetzt. Sie versenden dazu Millionen von digitalen Nachrichten, um Kunden von Finanzinstituten auf nachgemachte Webauftritte von Banken zu locken.

Das Sicherheitssystem der Bank sei ausgefallen, heißt es etwa in solchen Nachrichten. Der Kunde möge bitte seine Geheimnummern über ein Internetformular eingeben. Am anderen Ende der Leitung sitzen jedoch keine Bankangestellten, sondern organisierte Banden in Russland, Asien, Afrika oder Südamerika.

Sie greifen die persönlichen Daten ab und leiten so ganz einfach Gelder von fremden Konten auf ihr eigenes. Zu den Urzeiten der Phishing-E-Mails waren die Nachrichten in der Regel in gebrochenem Deutsch. Neuerdings sind die Imitationen nahezu perfekt, oft mit dem Original-Logo der Bank.

Auch die Webseiten, auf die Phishing-Mails hinweisen, unterscheiden sich kaum noch von dem echten Onlineauftritt der Kreditinstitute.

[...] Die Zahl solcher gefälschten Internetseiten hat sich innerhalb eines Jahres bis zum Herbst 2006 auf rund 38000 beinahe verzehnfacht. Das haben die Statistiker der Anti-Phishing Working Group ermittelt, ein Zusammenschluss von mehr als 1600 Firmen verschiedener Branchen, die das Ziel hat, Phishing zu bekämpfen.

Experten sehen die Zahl als Indiz, dass die Attacken der Kriminellen individueller werden - und nicht mehr nur auf Bankkunden zielen. So berichtet Candid Wüest, Spezialist für Internetbetrug beim Sicherheitsdienstleister Symantec, vom Fall eines Onlineshops.

Zunächst knackten die Hacker das Sicherheitssystem des virtuellen Ladens und beschafften sich die Kundendaten. Anschließend mailten sie alle Besteller an: "Überprüfen Sie bitte ihre Kreditkartendaten." Von einem Originalschreiben des Händlers ließ sich diese Nachricht kaum unterscheiden.

Aus: "Kriminalität im Internet: Die Fischer im Netz lernen dazu" - Mit hinterlistigen Methoden beschaffen sich Web-Kriminelle geheime Kennworte - und lassen Privatleute die Beute für sich wegschaffen.
Von Thorsten Riedl (SZ; 16. Januar 2007)
Quelle: http://www.sueddeutsche.de/computer/special/708/97611/index.html/computer/artikel/225/98127/3/article.html

[Textaris(txt*bot)]

[...] Das New Yorker Software-Unternehmen Direct Revenue LLC hat sich nach amerikanischen Medienberichten verpflichtet, eine Geldstrafe von 1,5 Millionen Dollar zu bezahlen, mit der das Verfahren eingestellt wird. Die US-amerikanische Federal Trade Commission (FTC) war gegen die Firma wegen Verbreitens von Werbetrojanern vorgegangen.

Direct Revenue und seine fünf Auftraggeber hatten demnach Werbesoftware in kostenloser Software wie Screensavern und Spielen versteckt, die von Anwendern nur schwer aufzuspüren und zu entfernen war. Zudem hatte das Unternehmen nicht auf die unerwünschten Inhalte hingewiesen, die nicht nur Popup-Werbung auf den Bildschirmen der Anwender platzierte, sondern auch deren Surfverhalten aufzeichnete.

Das Unternehmen hat die Strafe nach Angaben des Firmenanwalts angenommen. Er sei sehr zufrieden mit dem Abkommen, so Stuart Friedel in amerikanischen Berichten. Er machte Distributoren der firmeneigenen Software für die darin enthaltene Adware verantwortlich, die Zusammenarbeit mit diesen Unternehmen habe man bereits 2006 aufgekündigt.

Dennoch sind nicht alle Beteiligten mit dem Ausgang des Verfahrens glücklich. Jon Leibowitz, ein Mitglied der Untersuchungskommission, hält die Entscheidung für einen Fehlschlag, da das Unternehmen in den Jahren 2004 und 2005 etwa 20 Millionen US-Dollar mit der Verbreitung der Adware verdient habe und dieses Geld nun in den Taschen der Firmeninhaber verbleibe.

Im vergangen Jahr hatte die FTC bereits Strafen gegen Zango Inc., ERG Ventures LLC sowie Odysseus Marketing und John Robert Martinson & Sanford Wallace vor Gericht durchgesetzt.

Aus: "1,5 Millionen Dollar Strafe für Werbetrojaner" (18.02.2007)
Quelle: http://www.heise.de/newsticker/meldung/85479

[Textaris(txt*bot)]

[...] 3,6 Millionen US-Amerikaner wurden in den zwölf Monaten bis Ende August dieses Jahres Opfer einer Phishing-Attacke. Das ergibt die Hochrechnung aus einer Umfrage der Marktforscher von Gartner unter 4500 erwachsenen US-Bürgern. Die Betroffenen erlitten demnach einen Gesamtgeldschaden in Höhe von 3,2 Milliarden US-Dollar. Voriges Jahr seien noch 2,3 Milliarden US-Dollar durch Phishing in den USA ergaunert worden gegenüber 1,2 Milliarden im Jahr 2003.

Der durchschnittlich erlittende Schaden reduzierte sich gegenüber dem Vorjahr von 1244 auf 886 US-Dollar. Da aber wesentlich mehr US-Bürger auf Phishing hereingefallen sind als im Vergleichszeitraum, stieg die Gesamtschadenssumme an. Da tarnen die Phisher ihre betrügerischen E-Mails nach wie vor am liebsten unter den Marken eBay und PayPal.

Die Kriminellen verlegten sich zunehmend darauf, statt Kreditkartendaten jene von Debitkarten oder Girokonten auszuspionieren, da dort die Vorsichtsmaßnahmen nicht so rigide seien, erläutert Gartner-Analystin Avivah Litan. Zumindest bis in das Jahr 2009 hinein würden die Phishing-Attacken noch ansteigen, schätzt Litan. Wenn E-Mail-Anbieter und Werbenetzwerke als Einfallstore für Spionagesoftware keine Gegenmaßnahmen ergriffen, werde das Dilemma anhalten. (anw/c't)

Aus: "3,6 Millionen US-Bürger wurden Opfer von Phishing-Attacken" (18.12.2007)
Quelle: http://www.heise.de/newsticker/meldung/100730

[Textaris(txt*bot)]

[...] Auf der gerade stattfindenden RSA-Konferenz haben Sicherheitsforscher der Firma Damballa über ein noch junges Botnetz mit dem Namen Kraken berichtet. Es soll mit 400.000 Drohnen doppelt so groß sein wie das Sturm-Wurm-Botnetz. Außerdem sollen auch Rechner von mindestens 50 der Fortune-500-Unternehmen Teil des Botnetzes sein.

Der Schädling, der die Rechner infiziert, kommt offenbar als vermeintliche Bild-Datei daher. Er benutzt Verschleierungstaktiken, um der Erkennung durch Antivirensoftware zu entgehen. So aktualisiert der Schädling häufiger seine ausführbare Datei. Die Drohnen kommunizieren mit dem Command-and-Control-Server (C&C-Server) über angepasste UDP- und TCP-basierte Protokolle und können im Falle, dass der C&C-Server nicht mehr erreichbar ist, neue Domain-Namen generieren. Die Kommunikation selbst ist den Damballa-Experten zufolge verschlüsselt.

Bislang werde das Botnetz zumeist zum Spam-Versand eingesetzt – die üblichen Spam-Mails für Online-Apotheken, Penisverlängerungen, Online-Casinos oder Kredite. Die Sicherheitsforscher konnten Berichten zufolge langlebige Drohnen beobachten, die alleine mehr als 500.000 Spam-Mails verschickt haben. Da sich der Schädling jedoch aktualisiere, könne er auch jederzeit weitere Funktionen nachrüsten.

Zunächst vermuteten die Damballa-Forscher, dass es sich bei dem Kraken-Botnetz um eine Abspaltung vom Sturm-Wurm-Botnetz handeln könnte. Allerdings hätten weitere Nachforschungen ergeben, dass die Botnetze in keiner Beziehung zueinander stehen. Das Netzwerk wurde Ende vergangenen Jahres entdeckt. Frühere Varianten des Schädlings deuten jedoch schon auf die Entstehung gegen Ende 2006 hin. (dmk/c't)

Aus: "Der Krake: Botnetz doppelt so groß wie Sturm-Wurm-Netz" (08.04.2008)
Quelle: [url]http://www.heise.de/newsticker/Der-Krake-Botnetz-doppelt-so-gross-wie-Sturm-Wurm-Netz--/meldung/106208]http://www.heise.de/newsticker/Der-Krake-Botnetz-doppelt-so-gross-wie-Sturm-Wurm-Netz--/meldung/106208

-:-

[...] Symantec hat seinen halbjährlich erscheinenden Threat-Report zur Bedrohungslage im Internet veröffentlicht, in dem das Sicherheitsunternehmen die Risiken und Trends der vergangenen sechs Monate analysiert. Eines der Ergebnisse: Die kriminellen Drahtzieher haben es zunehmend auf Nutzer sozialer Netzwerke abgesehen, da sie dort mit persönlichen Informationen freizügiger umgehen, was Phishing-Angriffe erleichtert.

Zwar hätten 66 Prozent der Phishing-Seiten den Webauftritt von Unternehmen aus dem Finanzsektor gefälscht, aber alleine von den in den USA gehosteten Phishing-Seiten hätten 91 Prozent zwei soziale Netzwerke imitiert. In der EMEA-Region, die Europa, den Nahen Osten und Afrika umfasst, wurden Symantecs Analysen zufolge die meisten Phishing-Seiten in Rumänien gehostet – auch hier war die meistgefälschte Seite ein soziales Netzwerk.

Auch Symantec beobachtet eine Zunahme der webbasierten Angriffe auf Anwender mit Drive-by-Downloads. Dennoch machten Dateianhänge an E-Mails mit 37 Prozent in der EMEA-Region noch den größten Anteil der Bedrohung aus, der allerdings von 49 Prozent im ersten Halbjahr 2007 gefallen ist. Von Deutschland gingen 18 Prozent der schädlichen Aktivitäten aus, 1 Prozent weniger als im Halbjahr zuvor. Auch ist Deutschland mit 18 Prozent erneut Spitzenreiter der mit Bots infizierten Rechner in EMEA. Global nehmen die USA den Spitzenplatz mit 14 Prozent aller weltweit mit Bots infizierten Rechner ein. Das Sicherheitsunternehmen hat einen weiteren Rückgang der Command-and-Control-Server für Botnetze auf nunmehr 4091 Stück verzeichnet. Botnetze würden zunehmend auf P2P-Technik und Fast-Flux-Server zur Kommunikation setzen.

Auf dem Schwarzmarkt im Internet, dessen Server zu 58 Prozent in den USA stehen, werden am häufigsten Zugangsdaten zu Bankkonten angeboten. Sie haben Kreditkarteninformationen vom ersten Platz verdrängt. Insgesamt habe sich der Markt aber stabilisiert, schließt Symantec. Die Angreifer sind nicht nur professioneller, sondern auch schneller geworden. Laut Threat-Report tauchten Exploits für Schwachstellen etwa in ActiveX-Komponenten inzwischen sehr schnell auch in Web-Attack-Kits wie MPack auf, die Anwendern über die Schwachstelle per Drive-by-Download Schadcode unterschieben wollen.

Insgesamt gibt es jedoch wieder kaum Änderungen gegenüber den Ergebnissen des Threat-Reports des ersten Halbjahres 2007. Noch immer machen Trojaner mit 71 Prozent den Großteil der neu auftauchenden Schädlinge aus. Ein mit einem Bot infizierter Rechner blieb ebenfalls nach wie vor durchschnittlich vier Tage lang verseucht.

Symantec erwartet für die Zukunft den weiteren Einsatz von Whitelisting-Technik, also dem gezielten Freigeben von erlaubten Dateien und Geräten. Außerdem werden die IRC-basierten Command-and-Control-Server weiter auf dem Rückzug sein und zukünftige Bedrohungen versuchen, die Ergebnisse von US-Wahlen beeinflussen, glaubt das Unternehmen.

Aus: "Soziale Netzwerke im Visier der Kriminellen" (08.04.2008)
Quelle: http://www.heise.de/newsticker/Soziale-Netzwerke-im-Visier-der-Kriminellen--/meldung/106173

[Textaris(txt*bot)]

[...] Möglicherweise aus Rache an dem in der Schweiz bekannten Anti-Spammer Roman Hüssy haben bislang Unbekannte zu Beginn der Woche eine Spam-Welle losgetreten, in der Hüssy per Mail seinen Selbstmord ankündigt: "Hallo Leute, ich muss es jemandem sagen - mein Leben hat kein Sinn mehr. Alles was ich muhesam aufgebaut habe, woran ich gearbeitet und geliebt habe ist weg.." Doch die fingierte Mail kündigt zusätzlich noch einen Doppelmord an seiner Freundin und einem Freund an: "Wendepunkt dieser Geschichte ist es wegen meiner Freundin, ich habe Sie mit meinem besten Kumpel im Bett gefasst. Kurz gesagt, ich will nicht mehr bei euch bleiben, aber ich gehe nicht allein, ich werde auch meine Schlampe und ihren Lover mitnehmen."

Besorgte Empfänger hatten daraufhin laut Schweizer Medienberichten die Polizei alarmiert, um das drohende Blutbad zu verhindern. Beamte der Kantonspolizei Zürich holten den angeblichen Selbstmörder Roman Hüssy Dienstagnacht um zwei Uhr aus dem Bett. Nach Angaben des News-Dienstes 20min.ch erhielten rund 100.000 Schweizer besagte Mail. Am gestrigen Dienstag wies auch die Melde- und Analysestelle Informationssicherung (MELANI) der Schweiz auf die gefälschte Mail hin.

Hüssy vermutet, dass russische Kriminelle hinter der Aktion stecken. Gegenüber 20min sagte er, dass der Angriff die "Signatur der russischen Internet-Mafia" trage. Diese sei sauer auf den Betreiber des Swiss Security Blog www.abuse.ch, wo Hüssy vor gefährlichen Web-Seiten und Trojanern warnt. Dort hätte er kürzlich auch vor einem Banking-Trojaner gewarnt, dessen Autoren er in Russland vermutet. Durch den Warnhinweis sollen die Russen den Zugang zu den Konten und somit viel Geld verloren haben. Die gefälschte Mail versteht Hüssy als Rache der Kriminellen. Bereits vergangene Woche seien seine Server lahmgelegt worden. Hüssy hat Anzeige gegen Unbekannt erstattet. (dab/c't)

6. August 2008 10:16
Ist das krank!
Volle.Granate, VolleGranate@gmail.com (68 Beiträge seit 29.07.08)

Das zeigt ja nur, dass es den Spammern nicht nur um's Geld
geht, sondern dass das Asoziale sind denen es um Macht geht.

6. August 2008 10:20
Bei der Vita so mancher ...
Edna Krabappel (mehr als 1000 Beiträge seit 22.04.04)

... die sich da bei der Spam Mafia rumtreiben ist so was ja fast noch
ein harmloser "Klingelstreich".

...

6. August 2008 10:38
Viel Feind, viel Ehr!
64kByte (mehr als 1000 Beiträge seit 05.01.06)

...

6. August 2008 11:03
"Alles woran ich gearbeitet und geliebt habe ist weg, auch mein Deutschkenntnis"
MAILER-DAEMON (mehr als 1000 Beiträge seit 15.06.00)

Jetzt wird mir einiges klar: Wenn es schon Empfänger gibt, die bei
diesem Kauderwelsch nicht stutzig werden und trotzdem die Polizei
alarmieren, dann werden sie auch bedenkenlos PIN und TAN in
entsprechende Seiten "eintasten".

Und schon der Satz "ich habe Sie mit meinem besten Kumpel im Bett
gefasst" verdient eine Anzeige wegen falscher Tatsachenbehauptung.

6. August 2008 15:34
Brisantes Problem zieht am Horizont auf...
Lassieranda Dennsiewillja, Lassieranda Dennsiewillja (45 Beiträge seit 16.01.03)

wenn -wie im Artikel beschrieben- so ein grosser finanzieller Verlust
für die Spammer/Mafia auftritt, ist dieser Scherz sicherlich nochmal
GUT ausgegangen.
Denn wo so viel Geld gescheffelt wird, ist der Schritt zum
Einsatzbegehl für jemandem, der das Problem auch mal FINAL löst,
nicht mehr weit. (TRON?)

D.h. die wenigen Experten, die noch auf Sicherheitsprobleme
hinweisen, sind in Zukunft nicht mehr nur Arsch beim
Chef/Abteilungsleiter (melden befreit jaja!! - oder auch nicht)
sondern müssen auch noch bald um ihr Leben fürchten. Das wird ja noch
lustig in der IT.

...

Aus: "Spam-Mails verursachen Polizeiaktion" (06.08.2008)
Quelle: http://www.heise.de/newsticker/Spam-Mails-verursachen-Polizeiaktion--/meldung/113872

[Textaris(txt*bot)]

[...] Die im Internet verübten Straftaten nehmen bundesweit deutlich zu. Die Kriminalstatistik führt unter "Tatmittel Internet" im vergangenen Jahr mehr als 179 000 erfasste Delikte auf und damit acht Prozent mehr als 2006. Rund drei Viertel der per Internet begangenen Straftaten sind Betrugsdelikte. In Thüringen wurden laut Landeskriminalamt (LKA) 2007 rund 500 Fälle von Internetkriminalität registriert nach 330 im Jahr zuvor. Knapp 370 Tatverdächtige ermittelten die Thüringer Beamten im vergangenen Jahr. Die Arbeit der seit 1999 beim LKA tätigen Internetermittler gestalte sich zum Teil schwierig, weiß LKA-Sprecher Uwe Geisler. Die Täter bedienten sich verschiedener Internetdienste. Und wegen des weltweiten Datenverbunds müssten auch die unterschiedlichen Rechtslagen in den einzelnen Ländern beachtet werden.

"Es gibt einen Haufen von Straftaten im Netz, von denen viele unentdeckt bleiben", ist der Kriminalbeamte Küster überzeugt. "Unser Problem ist, wir können nicht mit dem Funkwagen durch das Internet fahren." Durch eine verstärkte Präsenz auf der Straße würden andere Felder wie eben die Verbrechensbekämpfung im Internet vernachlässigt. Auf einem Fachforum will der Bund Deutscher Kriminalbeamter an diesem Dienstag über Internetkriminalität und deren Bekämpfung diskutieren. Neben mangelndem Personal sieht der Bund Deutscher Kriminalbeamter ein weiteres Manko in einer ungenügenden Ausbildung. Hinzu komme, dass sich im Freistaat nicht selten 10 bis 15 Polizisten einen Internetanschluss teilen müssten.

"Die Täter haben sich zu 100 Prozent das Internet zu eigen gemacht, die Polizei ist da noch auf dem Weg", pflichtet Enrico Siemon von der Gothaer Polizeidirektion bei. Der Kriminalhauptkommissar hat die regionalen Beweissicherungseinheiten mit aufgebaut, die seit 2002 etabliert wurden. Inzwischen gibt es sieben derartige Einheiten in Thüringen, in denen insgesamt 17 Beamte Beweise von Festplatten oder Handys sichern und auswerten.

"Das Arbeitsaufkommen ist gestiegen, das Personal nicht", erklärt Siemon den Umstand, dass die Auswertung eines Computers schon mal ein bis zwei Jahre dauern kann. Was Fachwissen und Technik betreffe, hätten die Täter einen erheblichen Vorlauf. "Die Beamten müssen speziell geschult werden, doch die Ausbildung läuft noch zu schleppend. Learning by doing ist hier der falsche Weg."

Der Kriminologe Frank Neubacher von der Jenaer Universität sieht dagegen die Polizei für die Strafverfolgung im Internet durchaus gewappnet. Zwar biete das Internet mit seiner Anonymität und dem riesigen Nutzerkreis "äußerst günstige Tatgelegenheiten". Doch stehe die Polizei dem - auch bezüglich der rechtlichen Handhabe - nicht hilflos gegenüber. "Das Internet ist die technische Verwundbarkeit der modernen Gesellschaft, wir werden auf Dauer damit leben müssen, dass wir da anfällig sind." (dpa)/ (axv/c't)

Aus: "Tatort Internet - für Polizei oft mehr als einen Klick entfernt" (23.11.2008)
Quelle: http://www.heise.de/newsticker/Tatort-Internet-fuer-Polizei-oft-mehr-als-einen-Klick-entfernt--/meldung/119300

[Textaris(txt*bot)]

[...] Beim Absturz der Spanair-Maschine JK 2022 vor zwei Jahren soll Schadsoftware nach Art eines Trojaners eine Rolle gespielt haben. Damals war die Maschine auf dem Weg nach Gran Canaria kurz nach dem Start auf dem Madrider Flughafen auf dem Boden aufgeschlagen; 154 der 172 Menschen an Bord kamen ums Leben. Es war seit über 25 Jahren das schlimmste Unglück in der Geschichte der spanischen Luftfahrt.

Nun meldet die spanische Tageszeitung El Pais in ihrer Ausgabe vom 20.8.2010, dass das zentrale Spanair-Sicherheitssystem – ein Rechner nicht genannter Bauart, der in der Spanair-Zentrale in Palma de Mallorca stand und der für die technische Überwachung der Flugzeuge eingesetzt wurde – von Trojanern verseucht gewesen sein soll. Der Rechner war so programmiert, dass er Alarm geben sollte, wenn drei ähnliche technische Probleme festgestellt wurden. Der Trojanerbefall habe das aber verhindert. Nach der Veröffentlichung hat der zuständige Untersuchungsrichter Juan David Perez angeordnet, dass die spanische Fluggesellschaft alle relevanten Daten herausgeben soll.

Fraglich ist vor allem, ob die Maschine überhaupt hätte starten dürfen; geprüft wird unter anderem, wie lange es dauerte, um die vom Computer ausgegebenen Warnungen auszuwerten -- sofern überhaupt aussagekräftige Fehlermeldungen angezeigt worden wären. Genau das könnte der Befall verhindert haben. (uh)

Aus: "Schad-Software möglicherweise Mitverursacher bei Flugzeug-Absturz" (21.08.2010)
Quelle: http://www.heise.de/newsticker/meldung/Schad-Software-moeglicherweise-Mitverursacher-bei-Flugzeug-Absturz-1063252.html

[Textaris(txt*bot)]

[...] Auf den ersten Blick sah das kleine Programm aus wie Hunderte anderer Varianten von Schadsoftware, die jedes Jahr entdeckt werden, weil sie sich wie eine Seuche von Computer zu Computer verbreiten. Einzig verwunderlich war, dass es, um sich zu verbreiten, einen Fehler in Microsofts Betriebssystem ausnutzte, den zuvor noch niemand bemerkt hatte.

[...] Üblicherweise sind Schwachstellen, aus denen man so zuverlässig funktionierende Angriffe konstruieren kann, sehr selten zu finden und werden daher in der entsprechenden Szene für einige hunderttausend Dollar gehandelt. Die Käufer sind zum einen Computer-Sicherheitsberater, die Hersteller der betroffenen Software, aber auch Geheimdienste und Regierungsstellen.

[...] stuxnet sucht nun von einmal infizierten Computern aus gezielt nach den WinCC-Installationen im gesamten Netz. Über diese gelingt dem Schadprogramm dann der Sprung auf die eigentlichen SPS-Steuercomputer der Anlage. stuxnet könnte - hier ist die Analyse noch nicht abgeschlossen - auch die Visualisierung der Anlagenparameter manipulieren. Das würde dazu führen, dass die gezielten Veränderungen an den Einstellungen der Anlage für den Bediener gar nicht sichtbar werden. Er hätte keine Chance mitzubekommen, dass etwas schiefläuft, bevor es zu spät ist. Üblicherweise sind nur noch wenige ,,echte" Messgeräte in Großanlagen installiert, die eine manuelle Überprüfung von Temperaturen oder Drehzahlen bieten. Die einzige Möglichkeit, alles im Blick zu behalten, sind die computerisierten Anzeigen. Und die wären im Falle der angegriffenen Anlage unter der Kontrolle der Schadsoftware.

Der extreme Aufwand, der von den Autoren von stuxnet getrieben wurde, schließt Hobbyhacker oder lumpige Cyber-Kriminelle aus. Die Entwicklung sowie der Ankauf der notwendigen Angriffskomponenten in dieser Qualität und Zuverlässigkeit verursachen Kosten im siebenstelligen Euro-Bereich. Auf vielen Ebenen stellt stuxnet sicher, dass die Verbreitung absolut zuverlässig und unbemerkt vor sich geht. Am Ziel angekommen, also auf einer passenden Siemens-Industrieanlage, stellen umfangreiche Überprüfungen sicher, dass wirklich nur die spezifische Anlage, auf die stuxnet zielt, manipuliert wird. Auf allen anderen Anlagen passiert - trotz heimlichen Festsetzens des Trojaners - nichts. Die Angreifer verfügten also über hochpräzise Informationen zum Aufbau der Anlage und der darin verwendeten Software. Ohne exakte Kenntnisse der Konstruktionsdetails und der Art des Zusammenwirkens der einzelnen S-7-Komponenten wäre ein Angriff dieser Präzision unmöglich. Angesichts dieses Aufwandes bleiben als Autoren nur Nationalstaaten übrig, die über entsprechende Ressourcen verfügen, um eine derart hochgezüchtete Cyber-Waffe zu entwickeln und zu testen - und zwar, bis sie nahezu nebenwirkungsfrei ist. ,,Cyber-Kriege" können aufgrund des nötigen langfristigen Entwicklungsaufwandes für die digitalen Angriffswerkzeuge de facto nur von Entitäten in der Größenordnung von Staaten geführt werden.

[...] stuxnet wird wohl als erste offensichtlich von einem Nationalstaat eingesetzte Cyberwaffe in die Geschichte eingehen. Einer der Gesprächspartner beschrieb Qualität und Aufwand der Erstellung des Trojaners mit den Worten: ,,So etwas bauen große Staaten zusammen, wenn die Alternative bei einem Misserfolg wäre, einen Krieg anzufangen." Mit den üblichen Mitteln der IT-Sicherheit ist eine Verteidigung gegen derartige Angriffsmethoden nicht möglich. Es lässt sich wohl kaum ausschließen, dass kritische Systeme nicht einmal mit einem potentiell infizierten USB-Stick - zum Beispiel mit einem Software-Update des Herstellers - in Berührung kommen. Die von den deutschen Energieversorgern dieser Tage vorgebrachten Beteuerungen, ihre Atomkraftwerke könnten auf keinen Fall durch einen Angriff in der Art von stuxnet manipuliert und mit möglicherweise katastrophalen Folgen konfrontiert werden, erscheinen angesichts der Qualität und Durchschlagskraft dieses Trojaners wie das Pfeifen im Walde. Die Kriterien zur Beurteilung der Sicherheit von Atomanlagen können sich zukünftig jedenfalls nicht mehr nur auf die Dicke von Betonhüllen und Tests der Elektrik beschränken.

...

Aus: "Der digitale Erstschlag ist erfolgt" Von Frank Rieger (22. September 2010)
Quelle: http://www.faz.net/s/RubCEB3712D41B64C3094E31BDC1446D18E/Doc~E8A0D43832567452FBDEE07AF579E893C~ATpl~Ecommon~Scontent.html

-.-

[...] Haben westliche Geheimdienste mit dem Schadprogramm Stuxnet einen Cyber-Angriff auf das iranische Atomprogramm gestartet? Der besonders raffiniert programmierte Wurm lässt Experten rätseln.

"Der Wurm, der aus dem Nichts kam"
Von Matthias Kremp und Konrad Lischka (22.09.2010)
http://www.spiegel.de/netzwelt/web/0,1518,718927,00.html

[Textaris(txt*bot)]

[...] Eine der vom Stuxnet-Wurm  benutzten Lücken war offenbar nicht wirklich neu. Vielmehr beschrieb der Sicherheitsspezialist Carsten Köhler bereits in dem Artikel "Print your Shell" der April-Ausgabe 2009  der in Szenekreisen nicht gerade unbekannten polnischen Publikation hakin9 die Lücke im Printer Spooler. Köhler veröffentlichte zudem einen Demo-Exploit für die Schwachstelle.

Microsoft hatte eine Lücke im Printer Spooler am vergangenen Patchday geschlossen und erklärt, dass Stuxnet die Lücke zur Weiterverbreitung in Netzwerken missbrauchte. Microsoft hat unterdessen bestätigt, dass es sich bei der nun geschlossenen und der von Köhler beschriebenen um die gleiche Lücke handelt. Warum die Lücke so lange unbeachtet blieb, ist unbekannt. Auch Kaspersky und Symantec hatten nach Analysen des Stuxnet-Wurms erklärt, dass es sich um eine neue Lücke handelt.

Symantec hat eine sehr detaillierte Analyse veröffentlicht, wie Stuxnet den MC7-Code in bestimmten Modulen in Speicherprogrammierbaren Steuerungen (SPS) manipuliert. Aufgrund der Komplexität des Stuxnet-Wurms gehen viele Sicherheitsspezialisten davon aus, dass er das Werk staatlich kontrollierter Hacker beziehungsweise Geheimdienste ist. Welche das sind und welches Ziel der Wurm hat, wird möglicherweise für immer unbekannt bleiben. Populärste Mutmaßung war, dass es sich um einen Angriff des israelischen Mossad auf das Kernkraftwerk Buschehr im Iran handelte. Bestimmte Zeichenketten in den Dateien des Wurms sollen zumindest auf den Urheber hindeuten – bei der Professionalität der Stuxnet-Entwickler würde es aber nicht überraschen, wenn es sich um eine falsche Fährte handelt. (dab)

Aus: "Von Stuxnet benutzte Lücke war über ein Jahr bekannt" (24.09.2010)
Quelle: http://www.heise.de/security/meldung/Von-Stuxnet-benutzte-Luecke-war-ueber-ein-Jahr-bekannt-1095692.html

-.-

Eine Software als Undercover-Agent
Stuxnet-Virus gezielt zur Sabotage in Irans Atomanlagen programmiert (16. November 2010, NZZ Online)
Quelle: http://www.nzz.ch/nachrichten/international/ein_virus_als_undercover-agent_1.8400645.html

[Textaris(txt*bot)]

http://de.wikipedia.org/wiki/Stuxnet

-.-

[...] Die Zahl der Stuxnet-Infektionen im Unternehmensbereich ist offenbar höher als bislang angenommen. Im Rahmen einer Studie des Antivirenherstellers McAfee antworteten 59 Prozent der befragten Strom-, Gas- und Wasserversorger aus Deutschland, dass sie den Stuxnet-Wurm in ihren Systemen entdecken konnten. Das berichtet der Spiegel. Bei der Studie wurden insgesamt 200 IT-Verantwortliche von Konzernen in 14 Ländern befragt. Eine größere Verbreitung fand der Schädling nur in Indien, gemeinsam mit Deutschland befindet sich Frankreich auf dem zweiten Platz.

Geringer, aber dennoch besorgniserregend ist der internationale Durchschnitt: 41 Prozent der befragten Energieversorger konnten Stuxnet im Unternehmensnetz ausfindig machen. Nach bisherigem Kenntnisstand hat der Schädling bei den Firmen keinen Schaden angerichtet; Stuxnet hat es vermutlich auf eine iranische Urananreicherungsanlage in Natanz abgesehen und wird nur aktiv, wenn es sein Ziel identifiziert hat. "Hätten seine Schöpfer den Wurm jedoch anders konfiguriert, wäre das Schadenspotential immens gewesen", so McAfee-Manager Hans-Peter Bauer.

Der Spiegel-Bericht lässt offen, ob die befragten Unternehmen überhaupt die betroffenen Prozessleitsysteme von Siemens einsetzen und wie weit Stuxnet in kritische Bereiche der IT-Infrastruktur vorgedrungen ist. Gegenüber heise Security gab McAfee bekannt, dass die Studie erst am Dienstagnachmittag im vollen Umfang veröffentlicht wird. (rei)

18. April 2011 16:09
Das ist das Ende der deutschen A-Bombe...
Hundnase

Alle Zentrifugen von EON, RWE und Vattenfall zerstört!
Schlimme Sache das...

Oder beeinträchtigt das Virus auch "friedliche" Atomanlagen?

18. April 2011 18:53
Und dann erzählt man uns, (Editiert vom Verfasser am 18.04.11 um 18:59)
Never Never, dr_chaos@hotmail.de

unsere AKW's seien sicher, verweist darauf, dass es bei uns keine
Erdbeben oder Tsunamis gäbe und verliert in der öffentlichen Debatte
kein Wort darüber, dass 60% unserer Energieversorger sich einen
gefährlichen Wurm eingefangen haben.

Aus: "Studie: Stuxnet befällt deutsche Energieversorger" (18.04.2011)
Quelle: http://www.heise.de/newsticker/meldung/Studie-Stuxnet-befaellt-deutsche-Energieversorger-1229240.html

[Textaris(txt*bot)]

[...] Auf Computern in Europa ist laut Experten eine Art ,,kleiner Bruder" des berüchtigten Computerwurms Stuxnet entdeckt worden. Die neue Software, die den Namen ,,Duqu" bekam, ist ein Trojaner, der Entwickler von Industrieanlagen ausspähen sollte, berichtete die IT-Sicherheitsfirma Symantec. Das Alarmierende: Duqu enthalte Teile des Software-Codes von Stuxnet, des berüchtigten Virusprogramms, das wahrscheinlich das iranische Atomprogramm sabotieren sollte.

...  ,,Duqu ist im Grunde der Vorbote einer zukünftigen Stuxnet-artigen Attacke", schrieben Experten von Symantec in einer Analyse. Der Trojaner sammele Daten von Computern und übermittele sie an seine Entwickler. Duqu sei auf Computern von sieben oder acht europäischer Unternehmen gefunden worden, die an der Entwicklung von Industrieanlagen-Software beteiligt seien, sagte ein Symantec-Analyst dem Online-Dienst CNET. Die Software sei so programmiert, dass sie sich nach 36 Tagen automatisch von den Rechnern entfernt. ,,Wir wissen bisher nicht, wonach genau sie es abgesehen haben."

Die erste Attacke dürfte bereits auf Dezember 2010 zurückgehen. Den Namen Duqu bekam die Software, weil sie Dateien mit dem Namensteil ,,ßDQ" anlegt. Die IT-Sicherheitsfirma McAfee kam zu dem Schluss, dass mit Duqu auch Unternehmen angegriffen werden konnten, die digitale Zertifikate zur Autorisierung von Websites und Software ausgeben. Mit geklauten Zertifikaten kann man sich im Netz für jemand anderen ausgeben oder gefährliche Programme legal wirken lassen.

Aus: ""Kleiner Bruder" von Stuxnet in Europa aufgetaucht" (10/2011)
Quelle: http://www.welt.de/wirtschaft/webwelt/article13668595/Kleiner-Bruder-von-Stuxnet-in-Europa-aufgetaucht.html

-.-

[...] Microsoft hat einen Bericht des Budapester Laboratory of Cryptography and System Security (CrySyS) bestätigt, laut dem sich der Duqu-Bot über eine Zero-Day-Lücke im Windows-Kernel verbreitet. Bislang war unklar, wie Duqu das System infiziert. Bei einer Analyse des Installers entdeckte CrySyS die Windows-Lücke. Der Bot, der nach Meinung des Antivirenherstellers Symantec mit dem Stuxnet-Wurm verwandt ist, infiziert sein Zielsystem mit Hilfe präparierter Word-Dateien, die den Schadcode durch einen Kernel-Exploit ins System einschleusen. Microsoft arbeitet bereits an einem Patch.

Symantec berichtet, dass Angreifer Duqu in einem Fall angewiesen haben, sich über Netzwerkfreigaben zu verbreiten. Dadurch konnte sich der Bot im Firmennetz weiterhangeln und auch Systeme infizieren, die nicht direkt an das Internet angebundenen sind. Diese wurden dann von Bots, die auf das Internet zugreifen dürfen, mit den Befehlen des Kommandoservers versorgt.

Duqu wird bislang nur für gezielte Angriffe eingesetzt. Der von Symantec untersuchte Installer war lediglich für ein Zeitfenster von acht Tagen im August scharf geschaltet. Symantec hat mögliche Infektionen bei sechs Unternehmen festgestellt, die in Frankreich, Niederlande, Schweiz, Ukraine, Indien, Iran Sudan und Vietnam tätig sind. Andere Sicherheitsfirmen wollen Infektionen in Österreich, Indonesien, Großbritannien entdeckt haben. Bei deutschen Unternehmen wurde Duqu bislang noch nicht gesichtet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Wirtschaft ausdrücklich aufgefordert, sich im Falle einer Infektion zu melden.

Mit Duqu wurden unter anderem Hersteller von Industriesteueranlagen ausspioniert. Das legt den Schluss nahe, dass die Angreifer mit entwendeten Firmengeheimnissen möglicherweise neue Attacken auf Industriesteueranlagen planen, etwa in Kraftwerken. Stuxnet wurde einst eingesetzt, um das iranische Atomprogramm zu sabotieren. Auch Stuxnet nutzte zuvor unbekannte Lücken in Windows aus.

Unterdessen melden die Sicherheitsexperten von Dells SecureWorks Counter Threat Unit (CTU) Zweifel an der Verwandtschaft von Duqu und Stuxnet an. Demnach nutzen die beiden Schädlinge zwar bis zu einem gewissen Grad ähnliche Rootkit-Methoden wie einen Kernel-Treiber, der eine verschlüsselte DLL zunächst entschlüsselt und anschließend in andere Prozesse injiziert. Diese Methoden sind laut Dell jedoch gängige Praxis und werden auch von zahlreichen anderen Schädlingen genutzt, die nichts mit Stuxnet zu tun haben. Die eigentliche Payload der beiden Schädlinge sei hingegeben völlig unterschiedlich und lasse keine Schlüsse auf eine Verwandtschaft zu. (rei)

2. November 2011 15:00
Für die einen ein Betriebssystem, für andere das längste Virus der WELT ;-)
Freedom-4-All

Windows ist per se ein Sicherheitsrisiko: Es kommt aus den USA,
Hintertüren für die dortigen "3-Buchstaben-Behörden" sind mit an
Sicherheit grenzender Wahrscheinlichkeit zu erwarten.

Dazu kommt das generelle Problem von Closed Source: Kein
Aussenstehender kann die Sicherheitskonzepte auf durchgängige
Implementierung abklopfen.

Prima für die USA, dass soooo viel Software ausschließlich für
Windoof geschrieben wird, so dass sich an der marktbeherrschenden
Stellung dieses OS nichts ändern wird in absehbarer Zeit!

Kehrseite der Medallie: Hacker finden das Eine oder Andere auch ohne
Quellen. Und wer garantiert denn, dass Backdoor Infos nicht gegen
Bares nach draußen tunneln und den Weg finden bis in die Hände von
Cyber-Terroristen, die dann damit die USA selbst angreifen?

Wie im echten Leben: Die Einbrecher steigen ungesehen am liebsten
über die Veranda ein, die "back door" eben...

Aus: "Duqu nutzt bislang unbekannte Lücke im Windows-Kernel" (02.11.2011)
Quelle: http://www.heise.de/newsticker/meldung/Duqu-nutzt-bislang-unbekannte-Luecke-im-Windows-Kernel-1370005.html