Bei einem Phishing-Angriff auf CapitalOne-Kunden werden nicht nur Daten abgephisht, sondern auch ein Trojaner verteilt. Es gibt Kommentare zu Joanna Rutkowskas Tool zum Austricksen von Festplattenverschlüsselungen und eine Statistik über eine raubkopierte iPhone-App. Im Cyber Security Awareness Month ging es im Handler's Diary des ISC am 23. Tag um Port 179 TCP - Border Gateway Protocol und dessen Bedeutung und Sicherheit, und am 24. Tag um die sog. 'Small Services', die die Ports unter 20 sowie Port 37 verwenden und normalerweise problemlos in der Firewall gesperrt werden können. Außerdem hat das ISC ein neues Online-Tool vorgestellt: Der Reverse Hash Calculator verwendet eine Datenbank, um zu eingegebenen SHA1- und MD5-Hashwerten passende Eingabewerte zu finden. Und Robert 'RSnake' Hansen kommentiert im Blog auf ha.ckers.org die angekündigte Verwendung von Drupal für die Website des Weißen Hauses.

Phishing-Angriff analysiert

Joey Costoya analysiert im Blog von Trend Micro einen Phishing-Angriff des Trojaners ZBOT auf CapitalOne-Kunden. Laut einer vom Trojaner verschickten Mail muss zur Nutzung der CapitalOne-Website ein neues Zertifikat installiert werden. Um das zu erhalten, müssen erst mal die Zugangsdaten auf der Phishing-Seite eingegeben werden. Nachdem diese Daten abgephisht wurden, gibt es als Belohnung eine Version des als Zertifikat getarnten ZBOT-Trojaners. Die gleichen Website, die für das CapitalOne-Phishing verwendet wird, wurde zuvor schon für einen Phishing-Angriff auf Kunden der Bank of America verwendet, bei dem die Cyberkriminellen aber etwas anders vorgegangen sind: Statt einfach direkt die Zugangsdaten abzufragen, bombardierten sie ihre Opfer mit einer Vielzahl von Fragen, darunter auch die nach den Zugangsdaten.

Angriffe auf Festplattenverschlüsselungen

Bruce Schneier hat das von Joanna Rutkowska vorgestellte Tool zum Austricksen von Festplattenverschlüsselungen (siehe Security-Hinweise vom 19. 10.) in seinem Blog kommentiert und dabei auch auf einen Kommentar im PGP-Blog verwiesen. Auch viele der Kommentare unter Schneiers Blogeintrag sind lesenswert!

Statistik über eine raubkopierte iPhone-App

Die Entwickler des iPhone-Spiels Tap-Fu wollten wissen, wie oft ihr Programm raubkopiert wird, und haben daraufhin die Online-Statistiken entsprechend ausgewertet: Das Spiel überträgt beim Senden des Highscores u.a. ein 'Pirated Flag', das verrät, ob das Spiel auf einem gejailbreakten iPhone/iPod touch läuft und/oder ob das DRM des App Store umgangen wird (so ganz genau wird das aus der Beschreibung nicht ersichtlich). Bei ca. 80% der gemeldeten Highscores war das Flag gesetzt. Außerdem wird eine 'Device ID' übertragen, anhand der geprüft wurde, ob zuerst als Raubkopie erkannte Spiele später gekauft wurden - was nie der Fall war.

Gefährliche Schwachstellen vom 23.10.2009

• Xpdf:
  Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes (vom 15.10.2009, aktualisiert)

Carsten Eilers