Thema: Trojaner 2.0 nutzen Web 2.0

[SiLæncer]

Die niederländischen Strafverfolgungsbehörden haben vergangene Woche drei mutmaßliche Botnetz-Betreiber festgenommen. Ihnen wird vorgeworfen, mit der Schadsoftware Backdoor.Win32.Codbot über 100.000 Rechner unter ihre Kontrolle gebracht zu haben. Es handelt sich dabei um einen so genannten IRC-Bot, der in einem Internet-Relay-Chat-Kanal auf die Befehle des Botnetz-Betreibers wartet.

Die Ermittler glauben, dass die 19-, 22- und 27-jährigen Verdächtigen Keylogger auf die Rechner installiert haben, um damit an Zugangsdaten von Kreditkarten, Paypal-Konten und E-Bay-Accounts zu kommen. Diese sollen die Verdächtigen weiterverkauft haben.

Weiterhin werfen die Ermittler ihnen die Erpressung eines US-amerikanischen Unternehmens vor. Sie sollen das Unternehmen mit einem Distributed-Denial-of-Service (DDoS) für den Fall bedroht haben, dass das Unternehmen die geforderte Summe nicht zahlt. Die Behörden rechnen mit weiteren Festnahmen in nächster Zeit.

Siehe dazu auch:

    * Mitteilung des niederländischen Staatsanwaltschaft
    * Meldung von XS4ALL

Quelle und Links : http://www.heise.de/security/news/meldung/64742

[SiLæncer]

Dass kriminelle Cracker Viren, Trojaner und andere Tricks nutzen, um Rechner heimlich zu "Zombie-Netzen" zu verbinden, ist lang bekannt. In Holland stehen drei solche Cracks vor Gericht. Der Prozess zeigt, wo das Problem wirklich liegt.

Anfang Oktober ging bei der niederländischen Polizei ein Hinweis des bekannten Providers XS4All ein, auf seinen Servern liefen seltsame Dinge: Zahlreiche Rechner von Kunden schienen in koordinierter Weise parallel aktiv zu werden. Das roch nach einem "Zombie-" oder "Botnet". Hatten hier Hacker oder Cracker die Rechner von Privatleuten geknackt und missbrauchten sie nun für ihre Zwecke?

Genau das, entschieden die Fahnder der holländischen Polizei schnell - und fast noch schneller schafften sie den Zugriff. Keine zwei Wochen nach der ersten Aussendung des Virus, der das Botnetz geschaffen hatte, sehen sich zurzeit drei 19, 22 und 27 Jahre alte Niederländer mit einer Anklage konfrontiert.

Zunächst hatte es geheißen, ihnen werde die Manipulation von über 100.000 Rechnern vorgeworfen. Falsch war das nicht, aber auch nicht unbedingt präzise: Am Donnerstag erklärte die Staatsanwaltschaft in Breda, nun gehe es um 1,5 Millionen PCs, die die drei angeblich zu einem Zombie-Netzwerk verbunden haben sollen.

Und zwar mit kriminellen Intentionen. Anders als bei den "Spaß-Crackern" vergangener Jahre stecken hinter Viren- und Trojaneraussendungen, hinter Dateneinbrüchen und Denial-of-Service-Attacken und hinter Phishing immer öfter handfeste finanzielle Interessen.

Die niederländische Gruppe, die wahrscheinlich aus mehr als den drei bisher verhafteten Männern besteht, setzte auf ein sattsam bekanntes Rezept, zu Geld zu kommen: Sie versuchte, ein Zombien-Netz als Drohkulisse in einer Schutzgelderpressung zu nutzen.

Das Zombie-Netz von Rechnern, zu denen die Gruppe Zugang und über das sie zumindest teilweise Kontrolle hatte, hatten sich die Cracker per Virenaussendung geangelt: Mit einer Variante des Wurms W32.Toxbot gelang es ihnen, unfassbare 1,5 Millionen Rechner zu einem Netz für Denial-of-Service-Attacken zu verbinden.

Dort setzte das "Geschäftsmodell" an: Bald schon bekam eine US-Firma elektronische Post. Der Inhalt: Zahle, oder wir schießen deine Server ab. Nebenbei wurde noch versucht, Paypal- und eBay-Konteninformationen abzugreifen.

All das ist wenig überraschend und zugleich doch wieder. Das nun aufgedeckte Botnet sei zwar das bisher größte, das man habe identifizieren können, kommentierte Simon Hania von XS4All, aber letztlich sei es doch nur "ein Tropfen in einem Ozean".

Bedenklich stimmt, wie unspektakulär der ganze Vorgang tatsächlich ablief. Toxbot gilt als Wurm, der es zu keiner bemerkenswerten Verbreitung schaffte. Sein Schadenspotential wird als medioker eingeschätzt. Zudem hatten alle Anbieter von Virenschutz-Software binnen kürzester Zeit ein Update zu Toxbot angeboten: Wer seine Virenschutz-Software aktuell hielt, hatte seinen Rechner gegen Toxbot immunisiert, bevor der auch nur eine Chance hatte, sich richtig zu verbreiten.

Dass trotzdem 1,5 Millionen Rechner von dem Wurm "geöffnet" worden sein sollen, ist ein Armutszeugnis. Während Otto Normalverbraucher allabendlich sein Haus verrammelt, als stünde der Einfall der Hunnen bevor, ist der Umgang mit Computernetzen nach wie vor von zu großer Sorglosigkeit geprägt.

Zwar gehörte Toxbot nicht zur Klasse der per E-Mail verbreiteten Würmer, die eine aktive Mithilfe des Mailempfängers voraussetzen (beispielsweise durch Öffnen eines Virenverseuchten Dateianhanges). Toxbot verbreitete sich weitgehend "selbstständig" durch Ausnutzung dreier Sicherheitslücken im Betriebssystem Windows - auch das ist alles andere als selten.

Billig, aber leider wahr: Der Nutzer ist ein Mittäter

Solche auf System-Schwachstellen zielende Viren verbreiten sich über das Netz selbst: Bei manchen von ihnen reicht es, den Rechner schlicht mit dem Internet zu verbinden - das ist, als finge man sich eine Grippe bei der Fahrt in der U-Bahn. Andere schaffen die Infektion durch Ausnutzung von Sicherheitslücken in Browser-Software: Seit rund zwei Jahren gibt es Viren, denen als "Schnittstelle" zum Aufbrechen des Systems der Internet Explorer reichte.

Für reflexhaftes Microsoft-Bashing bietet dieser Fall jedoch keinerlei Anlass: Die Sicherheitslücken wurden von Microsoft im Oktober 2002, Juli 2003 respektive April 2004 geschlossen. Voraussetzung dafür, von Toxbot "abgeschossen" zu werden, war also ein Verzicht auf jede Pflege des Betriebssystems seit mindestens April 2004. Dass es überhaupt noch 1,5 Millionen Rechner gab, die die seitdem kursierenden Cyber-Krankheiten wie "Sasser" überhaupt überlebten, ist da vielleicht das eigentlich Ungewöhnliche an dem ganzen Fall.

Denn langsam sollte sich herumgesprochen haben, dass sich auch Rechner "impfen" lassen: Ihr Serum, um sie gegen die Tausenden von Viren und Würmer, die jedes Jahr programmiert werden, immun zu machen, heißt Update.

Sicherheitsexperten raten zu regelmäßigen Updates von Virenschutz-Software und Firewall, und auch die als "kritisch" bezeichneten Sicherheitslücken in Betriebssystemen sollte man regelmäßig flicken.

Hauptziel aller Hacker ist Microsofts Betriebssystem Windows, das diesen auch mächtig viel Gelegenheit zum Schindluder bietet. Microsoft reagiert auf die Akribie der Hacks und Cracks, die immer neue Sicherheitslücken finden, mit dem "Update-Tuesday": Jeweils am zweiten Dienstag eines Monats veröffentlicht Microsoft die aktuellen Updates. Das lohnt sich, denn auf mehrere Hundert Sicherheitslecks im Jahr bringt es Windows locker.

Wem diese Updaterei zu mühselig ist, kann sie von Windows automatisch erledigen lassen. Davon, dass das nötig ist, wird man sich in den nächsten Wochen beim Prozess in Breda überzeugen können.

Quelle : www.spiegel.de

[SiLæncer]

Im US-Bundesstaat Kalifornien ist am gestrigen Donnerstag ein 20-Jähriger verhaftet worden, der Botnetze für Spam-Zwecke aufgebaut und sie gegen Bezahlung anderen Personen zur Verfügung gestellt haben soll. Zudem installierte der Beschuldigte auf den infizierten Client-Rechnern Adware-Programme, wofür er von verschiedenen Firmen insgesamt rund 60.000 US-Dollar kassiert haben soll.

Nach Angaben der zuständigen Staatsanwaltschaft handelt es sich landesweit um den ersten aufgedeckten Fall, bei dem Botnetze vorrangig gewinnorientiert eingesetzt wurden. Sollte der 20-Jährige in allen 17 Anklagepunkten schuldig gesprochen werden, drohen ihm bis zu 50 Jahre Gefängnis. Vor Gericht muss er sich zudem wegen Angriffen auf Computersysteme des US-Verteidigungsministeriums verantworten.

Quelle : www.heise.de

[SiLæncer]

Weihnachten scheint Betreibern sogenannter Botnetze einen Strich durch die Rechnung zu machen. Die Größe der weltweit gesichteten Botnetze ist nach Angaben mehrerer Beobachtungsstationen schlagartig zurück gegangen. Botnetze sind ein Zusammenschluss tausender bis hunderttausender infizierter PCs, in der Regel mit Windows als Betriebssystem, die ohne Wissen des Besitzers ferngesteuert werden. Kriminelle benutzen sie zum Versenden von Spam-Mails, Malware oder für großangelegte Angriffe (DDoS) auf andere Webserver oder Netze.

Die ShadowServer Foundation, ein Zusammenschluss mehrerer Sicherheitsspezialisten, die Botnetze, Malware und Phishing-Aktivitäten beobachten, bemerkten von Samstag auf Sonntag vergangener Woche einen Rückgang der von ihnen gezählten Zombie-PCs von circa 500.000 auf knapp 400.000. Auch der Meldeposten des Internet Strom Centers DShield verzeichnete einen Rückgang der Aktivitäten, allerdings nur um rund zehn Prozent. Eine Erklärung dafür ist der Austausch alter infizierter PCs gegen solche, die am Heiligabend verschenkt wurden. Damit würde eine große Zahl von Zombie-PCs auf einen Schlag vom Netz genommen. Zwar hinken die neuen Windows-PCs in der Regel mit dem Update-Stand hinterher und müssen ebenfalls aktualisiert werden, aber bereits die Firewall von Windows XP SP2 dürfte einen Mindestschutz beim ersten Gang ins Internet bieten, damit der Anwender das System in Ruhe aktualisieren kann.

Allerdings ist anzunehmen, dass im Laufe der nächsten Monate auch eine große Zahl der neuen PCs wieder mit Bots infiziert wird – spätestens, wenn Anwender den E-Mail-Client konfiguriert haben und erste Malware in den Posteingang spült. Einige Tipps zum Schutz des Weihnachts-Computers zeigt auch der heise-Security-Artikel "Sofortmaßnahmen für den Weihnachts-Computer".

Quelle : www.heise.de

[SiLæncer]

Ein Viertel aller Computer mit Internetzugang gehören einem Botnetz an, dessen ist sich Vint Cerf sicher. In einem Vortrag auf dem derzeit in Davos statt findenden World Economic Forum meinte der Mitentwickler von TCP/IP, "Internet-Vater" und "Chief Internet Evangelist" bei Google, die Verbeitung von Bot-Netzen komme einer Pandemie gleich. Nach Auffassung von Cerf seien von den 600 Millionen Internet-PCs 100 bis 150 Millionen mit Bots infiziert, berichtet die BBC. Das sei zwar eine erhebliche Bedrohung der Internet-Infrastruktur, dennoch arbeite das Internet weiterhin stabil und zuverlässig.

Bot-Netze sind Zusammenschlüsse mehrerer tausend bis hunderttausend infizierter PCs, die zentral von einem Command&Control-Server gesteuert werden. Bot-Netze werden unter anderem von ihren "Besitzern" für bestimmte Aufgaben vermietet, wie etwa dem Versand von Massen-Spams, der Verbreitung weiterer Trojaner oder großangelegten Angriffen auf Webserver oder Netze.

Dabei kommt es auch zu Seiteneffekten: Unter anderem hat nach Angaben von John Markoff, Redakteur der New York Times, ein einziges Bot-Netz 15 Prozent der Kapazität der Suchmaschinen von Yahoo belegt, als es für den Versand von Spam-Mails nach Zufallstexten für den Einbau in Mails suchte. Die meisten Anwender hätten indes nicht einmal die leiseste Ahnung, dass ihr PC mit einem Trojaner infiziert sei und als Bot an Angriffen teilnehme. Teilweise erreiche die Netzlast eines Bot-Netzes 10 bis 20 GBit/s.

Quelle : www.heise.de

[SiLæncer]

Die Sicherheitsfirma Symantec hat im Netz 1000 Teilnehmer zu den Begriffen Bots und Botnetze befragt. Einem Großteil der auf den Symantec-Seiten surfenden Nutzern sagten diese Begriffe nichts, resümiert Symantec. Die Umfrage ist dem Unternehmen zufolge "web-repräsentativ".

Unterschiede ließen sich zwischen den Altersgruppen und auch zwischen den Geschlechtern ausmachen. Insgesamt haben 62,4 Prozent der Befragten noch nie von Bots oder Botnetzen gehört. Während mehr als die Hälfte der 14- bis 19- und 20- bis 29-jährigen Teilnehmer die Begriffe kannten, schrumpfte der Anteil bei den über 50-jährigen auf 20 Prozent zusammen. Nicht einmal einem Drittel aller Frauen waren die Begriffe bekannt, während die männlichen Befragten auch nur zu 45,5 Prozent damit vertraut waren.

Besser steht es mit dem Wissen um die kriminellen Phänomene Phishing und Spionageprogramme. Rund 80 Prozent der Umfrageteilnehmer kennen diese Gefahren. Bei Spyware lässt sich jedoch wieder ein altersabhängiger Trend ausmachen: Etwa 90 Prozent der 14- bis 29-Jährigen wissen um diese Schädlinge, während der Anteil bei den über 50-Jährigen nur bei rund zwei Dritteln liegt.

Quelle : www.heise.de

[SiLæncer]

Ein 18-Jähriger wird in Neuseeland verdächtigt, mehr als 1,3 Millionen Computer weltweit mit einem Wurm infiziert und damit ein Botnetz aufgebaut zu haben, über das die infizierten Computer ohne Wissen deren Anwender unter anderem zu DDoS-Angriffen benutzt wurden. Unter anderem soll das Botnetz für einen Angriff auf IRC-Server und Systeme von Sicherheitsfirmen eingesetzt worden sein, bei dem versehentlich auch einen Server der Universität von Philadelphia lahmgelegt wurde, berichten australische und neuseeländische Medien.

Der Neuseeländer, der unter dem Codenamen "AKILL" operiert haben und für seine Zwecke den Wurm AKBot eingesetzt haben soll, sei unter Mitarbeit des FBI festgenommen worden und werde verhört, berichtete die neuseeländische Polizei. "Er ist sehr clever", sagte der Chef der Abteilung für Computerkriminalität, Maarten Kleintjes, laut dpa, "er ist einer der Weltbesten bei der Entwicklung dieser Art von Software."

Der 18-Jährige soll weltweit eine ganze Bande dirigiert haben, die unter dem Namen "A-Team" mit Schwerpunkten in Neuseeland, den Niederlanden und den USA operierte. Der entstandene Schaden wird auf umgerechnet 13,5 Millionen Euro geschätzt. Im Zuge der Razzia seien Rechner beschlagnahmt worden, die nun untersucht würden.

Das FBI erklärte parallel zu der Aktion in Neuseeland, im Rahmen der seit Juni laufenden Operation "Bot Roast" seien acht Verdächtige angeklagt worden und hätten sich schuldig bekannt oder seien wegen Botnet-Aktivitäten verurteilt worden. Zusätzlich seien 13 Haftbefehle ausgestellt worden.

Quelle : www.heise.de

[SiLæncer]

Die Betreiber von Botnetzen denken sich nach Angaben des Hersteller Finjan immer neue Maschen aus, um ihre Kontrollstrukturen zu verschleiern. Neuester Trend ist offenbar, die Kommunikation asymmetrisch zu gestalten und RSS-Feeds und öffentliche Blogs dafür zu benutzen. Anders als bei IRC-basierten Bots verteilt der Besitzer des Botnetzes seine Befehle über RSS-Feeds an seine Drohnen. Die RSS-Feeds stammen dabei aus einem Blog-System, auf das der Bot-Hirte Zugriff hat. Dies kann ein öffentliches, aber wenig frequentiertes Blog eines offiziellen Anbieters wie Blogspot sein. Ihre Antworten respektive gesammelte Daten liefern die Drohnen dann an ein anderes öffentliches Blog wieder ab oder schreiben sie in MySpace-Seiten und Googlepages.

In dem die Botnetzbetreiber ihre Kommunikation quasi in die des Web 2.0 einflechten, wird nicht nur die Entdeckung der Kontrollstrukturen schwerer. Die Wege lassen sich auch schwerer stören, wenn man nicht Gefahr laufen will, normale Dienste zu behindern. Das einfache Blockieren von Blogs und Webseiten funktioniert an dieser Stelle nicht so ohne weiteres. Vielmehr kommt Finjan in seinem Web Security Trends Report Q4/2007 zu dem Schluss, dass Inhalte nach verdächtigen Befehlen zu durchsuchen seien. Der komplette Report steht als PDF-Datei zum Download bereit.

Die beobachteten Tricks stellen jedoch keineswegs die Regel dar. Gerade drei Schädlinge will Finjan gesichtet haben, die auf diese Weise mit ihren Herrchen kommunizieren. Vielmehr dominieren weiterhin IRC-basierende Botnetze, wobei die Betreiber offenbar auch darauf achten, ihre Herde klein zu halten, um nicht aufzufallen. Zombie-Armeen mit bis zu 1,3 Millionen infizierter PCs stellen bislang die Ausnahme dar.

Siehe dazu auch:

    * Web Security Trends Report Q4/2007, Bericht von Finjan -> http://finjan.com/GetObject.aspx?ObjId=545

Quelle : www.heise.de

[SiLæncer]

Die 1&1 Internet AG hat nach eigenen Angaben zum heutigen Safer Internet Day eine Initiative gegen Botnetze gestartet. Anhand eigener Beobachtungen, Informationen von Behörden sowie Hinweisen Dritter will der Anbieter PCs ermitteln, die mit Viren oder Trojanern infiziert sind. 1&1 will anschließend betroffene Internet-Nutzer über die Bedrohung informieren und Hinweise zur Beseitigung der Schadsoftware geben.

Botnetze wie Srizbi, Rustock und Stormworm bilden mittlerweile für Internet-Kriminelle ein zuverlässiges Rückgrat, das für Phishing-Angriffe, Versand von Spam-Mails und DDoS-Angriffe benutzt wird. Dabei lenkt ein Command&Control-Server bis zu mehrere hunderttausend infizierter PCs, um sie für kriminelle Aktivitäten zu missbrauchen.

"Unsere Sicherheitsexperten beschäftigen sich täglich mit zahlreichen Bedrohungen aus dem Internet, etwa der Bekämpfung von Spam-Mails, die mittlerweile leider schon rund 80 Prozent aller E-Mail-Nachrichten ausmachen", meint 1&1 Vorstandssprecher Robert Hoffmann. "Die größere Gefahr stellt aber der Versand von Trojaner-Mails und damit verbunden der Aufbau von Bot-Netzen dar. Als großer Anbieter von Internet-Zugängen und E-Mail-Postfächern sehen wir uns in der Pflicht und wollen helfen, das Internet sicherer zu machen."

Bereits vor einigen Monaten habe man mit der Bekämpfung von Internet-Missbrauch begonnen und gezielt verschiedene Quellen nach Hinweisen auf infizierte PCs ausgewertet. Dazu nutze man eigene Honeypot-Systeme, die verseuchte PCs erkennen sollen. Daneben erhält 1&1 jeden Monat mehrere Tausend Hinweise von Behörden wie dem BKA, Landeskriminalämtern oder dem Referat CERT-Bund im Bundesamt für Sicherheit in der Informationstechnik (BSI), mit dem die 1&1-Abuse-Abteilung eng zusammen arbeitet. Diese Informationen werden geprüft und betroffene 1&1-Kunden anschließend mit einem entsprechenden Hinweis angeschrieben.

"Wir haben in einem ersten Testlauf gezielt einzelne Kunden zunächst per E-Mail informiert und waren von der Resonanz positiv überrascht", erläutert Robert Hoffmann. "Mehr als 90 Prozent der betroffenen Nutzer haben die Bedrohung in Folge abgestellt. Mit den übrigen Anwendern werden wir uns noch einmal gesondert in Verbindung setzen." Als Ergebnis dieses Testlaufs werden nun alle infizierten Nutzer regelmäßig gezielt informiert.

Quelle : www.heise.de

[SiLæncer]

Alarmanlagen, Überwachungskameras, Lichtschranken – der Online-Laden verkauft allerlei, um ein Haus zur Festung aufzurüsten. Doch in seiner eigenen digitalen Präsenz lässt das Unternehmen die Tür für unerbetene Gäste weit offen: Auf dem Server läuft das populäre Programmpaket Typo3, mit dem man Websites verwalten kann. Durch eine Lücke in der Software könnten Hacker problemlos eindringen und die Website manipulieren. Schutz bietet ein Update, das der Hersteller bereits seit mehr als zwei Wochen anbietet. Doch der Administrator hat geschlampt, die neue Version fehlt.

Damit ist er in schlechter Gesellschaft: Zahlreiche Websites und Unternehmensnetzwerke sind angreifbar, weil Software-Updates erst mit Verzögerungen eingespielt werden. Eine Studie des Gelsenkirchener Instituts für Internet-Sicherheit zeigt am Beispiel von Typo3, wie gravierend das Problem ist: Zwei Wochen nach Bekanntwerden der Lücke waren von 350 untersuchten Websites noch rund 20 Prozent nicht aktualisiert. Neben dem Laden für Sicherheitstechnik waren auch Universitäten und eine bekannte Hotelkette betroffen.

Auch die Websites von Wolfgang Schäuble und Schalke 04 hatte es kürzlich getroffen. Doch während die Hacker hier die Texte auf der Seite sichtbar manipulierten, sind die meisten Angriffe heimlich. So ermöglicht eine Sicherheitslücke, schädliche Software einzuschleusen. "Es kann passieren, dass jemand sich auf einer scheinbar vertrauenswürdigen Website einen Trojaner einfängt", sagt Frank Felzmann, Experte für IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn.

Einige Schädlinge legen ganze Unternehmensnetzwerke lahm. Der Computerwurm Conficker beispielsweise verbreitet sich über mehrere Wege, nutzt aber unter anderem eine Schwachstelle im Betriebssystem Windows aus. Einen Sicherheitsflicken hatte Microsoft bereits im Oktober veröffentlicht. Wer diesen noch nicht installiert habe, spiele "Russisches Roulette", sagte ein Manager des Software-Riesen kürzlich. Der Schädling hat weltweit Netzwerke befallen.

Vermeiden lassen sich Programmierfehler kaum, denn Bürosoftware, Browser und Betriebssysteme werden immer komplexer – so besteht zum Beispiel Windows Vista aus 50 Millionen Zeilen Programmcode. Ohne Updates geht es also nicht. Doch gerade in Unternehmen dauert es oft, bis die Lücken geschlossen sind, erklärt Felzmann. "Große Firmen testen erst die Auswirkungen des Updates auf andere Programme." Zudem sei es aufwendig, alle Rechner zu aktualisieren – zumal wenn mehrere Standorte betroffen und auch noch Notebooks im Umlauf sind.

"Angreifer wissen um die Zeitverzögerung und greifen gezielt die Schwachstelle an, die der Hersteller schließt", warnt Professor Norbert Pohlmann vom Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen. Damit sind die Rechner der Attacke schutzlos ausgeliefert – wie bei Schwachstellen, für die es noch kein Update gibt. "Wir leben in einer Informationsgesellschaft und müssen lernen, mit den Risiken umzugehen", betont Pohlmann. Neben einem Anti-Virus-Programm und einer Firewall seien Updates Pflicht. "Zu Hause lasse ich ja auch nicht die Haustür offen stehen."

Quelle : www.heise.de

[SiLæncer]

Drei bis fünf Prozent aller Systeme in Unternehmen sind mit Bots infiziert, schreibt der Sicherheitsdienstleister Damballa in einer Studie (PDF-Dokument). Vor einer Infektion schützt nach seinen Erkenntnissen oft auch Antivirensoftware nicht, da die Erkennungsrate beim Auftauchen neuer Schädlinge nur bei rund 53 Prozent liege. Nach einiger Zeit steige die Erkennung durch neue Signaturen auf 85 Prozent an.

Die mittlere Dauer bis zur Erkennung eines Schädlings liege laut Studie bei 54 Tagen. 15 Prozent der Infektionen bleiben nach Beobachtungen von Damballa aber auch nach 180 Tagen noch unentdeckt. Die schlechte Erkennung sei einer der Gründe, warum insbesondere Unternehmen mit dem Botnet-Problem zu kämpfen hätten. Ein Kunde von Damballa soll sogar täglich hundert neue Infektionen von Systemen mit Bots beobachten. Als Abwehr sei ergänzend zur Antivirensoftware die Überwachung des Netzwerkverkehrs notwendig, um die Kommunikation der Bots mit ihrem Command&Control-Server zu verhindern.

Aufgrund des ausufernden Botnet-Problems hat Australiens Internet Industry Association Anfang der Woche die National Zombie Awareness Week gestartet. Sinn der Übung soll es sein, das Auge für mögliche Infektionen von PCs in Unternehmen und bei Privatanwendern zu schärfen und Vorsorgemaßnahmen zu ergreifen. Ein durch den Bot in einen sogenannten Zombie verwandelter PC sei nicht zu tolerieren, da durch ihn tausende Spam-Mails in Umlauf gelangen und er andere PCs angreife, so die Initiative auf seiner Webseite.

Quelle : www.heise.de

[SiLæncer]

Die britische Rundfunkanstalt BBC hat im Zuge von Recherchearbeiten zur globalen Internetkriminalität die Kontrollsoftware für ein Botnetz erworben. Laut einem BBC-Bericht bestand das nach der BBC-Sendung "Click" benannte Netzwerk zum Zeitpunkt der Übernahme aus rund 22.000 Zombie-PCs. Den zugehörigen Click-Beitrag will die BBC am Samstag, den 14. März um 12:30 Uhr nach deutscher Zeit ausstrahlen. Auf der Website sind bereits Auszüge zu sehen.

Zu Demonstrationszwecken wurde laut der BBC nach Absprache mit dem Betreiber eine Website mit einem Distributed-Denial-of-Service-Angriff (DDoS) lahmgelegt. Dabei stellte sich heraus, dass dazu bereits die Netzwerkanfragen von 60 PCs ausgereicht hätten. Inzwischen seien die betroffenen Computer-Nutzer über die Vorgänge informiert worden. Dazu wurde der Desktop-Hintergrund infizierter Systeme mit einer entsprechenden Warnmeldung versehen. Persönliche Daten auf den PCs seien nicht abgerufen worden.

Ob die Aktion nach britischem Recht legal war, ist fraglich. Das britische Rechtssystem hat mit der Novellierung des Computer Misuse Act (CMA) ein dem deutschen Hackertool-Paragraphen § 202c ähnliches Instrumentarium erhalten, das bei dem Kontrollprogramm greifen könnte. Laut Graham Cluley vom AV-Spezialisten Sophos könnte auch die Modifikation des Desktop-Hintergrundes unter das Gesetz fallen. Seiner Ansicht nach liegt möglicherweise auch der Strafbestand des Zahlens von Geld an Kriminelle vor. Aus dem BBC-Bericht geht jedoch nicht hervor, ob für den Erwerb des Kontrollprogramms Geld geflossen ist oder nicht.

Nach deutschem Recht wäre der Erwerb des Kontrollprogramms vermutlich nicht strafbar. Zwar dürfte es sich bei der Software um ein "Hackertool" im Sinne des § 202c des Strafgesetzbuches (StGB) handeln. Der Erwerb der Software erfolgte jedoch offensichtlich nicht zu dem Zweck, damit eine Straftat vorzubereiten. So wurde etwa jüngst das Verfahren gegen iX-Chefredakteur Jürgen Seeger nach dessen Selbstanzeige eingestellt, da in seinem Fall die Verbreitung der fraglichen Software auf der iX-Heft-DVD nicht in der Absicht erfolgte, damit das Ausspähen oder Abfangen von Daten vorzubereiten.

Kriminelle nutzen Botnetze nicht nur zur massenhaften Versendung von unerwünschten Werbe-E-Mails (Spam), sondern auch zur Erpressung von Unternehmen und öffentlichen Stellen. Mit ausreichend großen Botnetzen lässt sich sogar die Kommunikation ganzer Länder stören oder lahmlegen wie zuletzt durch den vermutlich politisch motivierten DDoS-Angriff auf die Internet-Infrastruktur von Estland.

Quelle : www.heise.de

[SiLæncer]

Die britische Rundfunkanstalt BBC hat auf die Vorwürfe reagiert, dass die Übernahme und Anwendung eines Botnetzes für einen Beitrag der BBC-Sendung "Click" über Internetsicherheit illegal sein könnte. In einem Interview mit unserem britischen Newsdienst The H antwortete ein BBC-Sprecher auf die Frage, ob bei der Übernahme Geld geflossen sei, dass man zwar über die Zahlungen nicht reden werde, dass aber die Demonstration im öffentlichen Interesse gewesen sei. Damit bezieht sich die BBC auf eine Klausel im Regelwerk der OFCOM (Office of Communications, die britische Medienaufsichtsbehörde) zum Umgang mit Kriminellen. Dort heißt es in Punkt 3.3, dass kein Geld an Kriminelle fließen darf, außer es besteht ein öffentliches Interesse.

"Die BBC ist der Ansicht, dass ein großes öffentliches Interesse danach besteht zu erfahren, wie leicht PCs durch bösartige Software verwundbar sind. In diesem Kontext sollte das Experiment betrachtet werden," sagte der BBC-Sprecher. Das öffentliche Interesse sah auch The H, bedauerte aber die mangelnde Transparenz in der Frage, welche Zahlungen geflossen sind.

In Übereinkuft mit den OFCOM-Regeln werde der Beitrag keine technischen Details enthalten, die ein Zuschauer als Anleitung zum Erwerb oder Betrieb eines Botnetzes nutzen könne, so der Sprecher weiter. Er betonte nochmals, dass die redaktionelle Zielsetzung war, die Anwender vor den Gefahren der organisierten Internetkriminalität zu warnen – besonders diejenigen, die nicht wissen, dass ihr Rechner schon infiziert ist.

Die BBC hat den Beitrag heute ausgestrahlt. Er steht auch inklusive mehrerer Videoclips und Sicherheitstipps online.

Quelle : www.heise.de

[SiLæncer]

Der Streit um die BBC-Sendung, in der Reporter des britischen TV- und Radiosenders live den Umgang mit einem Botnet zeigten, dauert offenbar an.

In der Sendung BBC Click kontrollierten Mitarbeiter des Senders kurzfristig rund 22.000 Zombies. Mit Hilfe des Botnets verschickten sie Spam an zuvor für diesen Zweck eingerichtete Email-Adressen und starteten einen DdoS-Angriff auf eine Dummy-Website der IT-Sicherheitsfirma PrevX, die die BBC auch bei der Sendung beriet.

Für das Botnet wurde angeblich Miete an russische und ukrainische Cyberkriminelle gezahlt. BBC-Mitarbeiter änderten den Desktop-Hintergrund auf den infizierten Rechnern, um deren Besitzer auf die Infektion aufmerksam zu machen. Der Sender gibt an, mit dieser Sendung das Informationsinteresse der Öffentlichkeit erfüllt zu haben. Die Reaktionen in Fachkreisen sind jedoch sehr kontrovers.

So sagte der bekannte Jurist mit Spezialisierung auf IT-Recht Struan Robertson, die Handlungsweise der BBC sei "kaum besser als Selbstjustiz". Er betonte, die BBC habe gegen britische Gesetze zur Computerkriminalität verstoßen und solle sich für die Sendung entschuldigen. Vor dem Hintergrund der IT-Gesetzgebung ließ er das von der BBC vorgebrachte Argument des öffentlichen Interesses nicht gelten; es sei in diesem Kontext irrelevant.

Die bekannten IT-Sicherheitsfirmen sind tief gespalten in ihrer Reaktion. Eine Gruppe, bestehend aus unter anderem Kaspersky, AVG, McAfee, FaceTime, Sophos, Sunbelt Software und F-Secure, ist der Ansicht, das Experiment hätte auch im Labor durchgeführt werden können, und bezeichnet das Vorgehen der BBC als "fehlgeleitet, unnötig und unethisch". Daneben gibt es allerdings auch eine zweite Gruppe, der neben der mitwirkenden Firma PrevX auch Comodo, MessageLabs und Marshal8e6 angehören. Diese Firmen unterstützen die BBC in ihrer Handlungsweise und loben die Sendung dafür, das Risiko der Cyberkriminalität so deutlich und praxisnah wie nie zuvor illustriert zu haben. Ähnlich gespalten sind auch die Reaktionen im Internet.

Quelle : www.gulli.com

[SiLæncer]

Das Sicherheitsunternehmen Finjan hat eines der größten derzeit aktiven Botnetze entdeckt. Wie man auf der RSA Security-Konferenz mitteilte, umfasst dieses etwa 1,9 Millionen Computer.

Nachforschungen hätten ergeben, dass das Botnetz von einer sechs Personen umfassenden Gruppe aus der Ukraine gesteuert wird. Hauptsächlich wird die Infrastruktur zum Versand von Spam genutzt. Die infizierten Rechner werden aber auch ausspioniert.

Gemessen an den Preisen, die derzeit auf dem Schwarzmarkt für das Vermieten von Rechnerkapazitäten gezahlt werden, können die Betreiber bis zu 190.000 Dollar am Tag mit ihrem Botnetz verdienen, erklärte Yuval Ben-Itzhak, Technikchef von Finjan.

Neue PCs werden dem Botnetz mit einem Trojaner hinzugefügt, das bisher nur von vier der getesteten 39 Antiviren-Produkte entdeckt wird, berichtete er weiter. Rund die Hälfte der befallenen Rechner steht in den USA. 77 von ihnen sogar in Behörden, wo durch den Schädling unter Umständen sensible Informationen ausgespäht werden können.

Quelle : http://winfuture.de