Es wurde eine weitere Schwachstelle in TCP/IP gefunden, außerdem gibt es einige neue Entwicklungen im Bereich der Schädlingsbekämpfung. Ein neuer JavaScript-Deobfuscator wurde vorgestellt, und auf Security Focus wurde ein neuer Artikel zu Data Recovery on Linux and ext3 veröffentlicht. Außerdem wurden im Handler's Diary des ISC die ersten Tipps anlässlich des 'Cyber Security Awareness Month' veröffentlicht.

TCP/IP-Schwachstelle, die dritte

Nach den Schwachstellen in DNS und BGP wurde eine weitere Schwachstelle in TCP/IP gefunden: Jack C. Louis und Robert E. Lee habe eine auch über schmalbandige Verbindungen ausnutzbare DoS-Schwachstelle gefunden, Details werden erst auf der Konferenz T2 veröffentlicht, so das es bisher nur Aussagen wie z.B. von RSnake und Robert Graham sowie ein Statement des CERT-FI gibt, laut denen diese Schwachstelle in der Tat existiert und gefährlich ist.

Wo laufen sie denn?

Die McAfee Avert Labs haben im Rahmen des Artemis-Projekt ein System vorgestellt, das die Verbreitung von Schadsoftware visualisiert: Welche Schädlinge sind wo und wie stark aktiv?

Bewertungen für Programme

Symantec hat einen neuen Ansatz zur Erkennung von Schadsoftware vorgestellt, das auf der Reputation der Programme beruht. Die Reputationsdaten werden in einer Cloud gesammelt und verwaltet, je mehr Rechner sich an der Cloud beteiligen, desto mehr Anhaltspunkte für oder gegen das bösartige Verhalten eines Programms werden gesammelt.

Statistiken, mal wieder...

Symantec beschreibt unter dem Titel The (File)Name Game!, mit welchen, teilweise sehr alten, Tricks Benutzer zum Öffnen gefährlicher Dateien bewegt werden sollen. Zumindest per Mail geschickte .exe-Dateien sollte eigentlich kein Benutzer mehr öffnen, aber da die Angreifer es damit immer noch versuchen, scheint es auch immer noch zu klappen.
Im Websense-Blog gibt es die September-Ausgabe von This Month in the Threat Webscape. Ein Punkt darin: Der Missbrauch des Web 2.0 für kriminelle Zwecke. Passend dazu gibt es einen weiteren Eintrag: Spammers Abusing Google’s Web 2.0 services. Warum sollten Spammer nicht die Annehmlichkeiten des Web 2.0 nutzen? Was dem normalen Benutzer recht ist, ist dem mit bösen Hintergedanken nur billig.

Hacker nutzen reale Nachrichten

Laut einem Bericht von Webroot nutzen Hacker zunehmen echte Nachrichten, um Benutzer auf Seiten zu locken, die dann Schadsoftware auf den Rechnern der Besucher einschleusen sollen. Dank Google Trends wissen die Kriminellen, welche Themen gerade besonders interessant sind und müssen es nicht mehr mit leicht als falsch zu erkennenden Überschriften versuchen.

JavaScript-Deobfuscator

Getarnter ('obfuscated') JavaScript-Code ist immer verdächtig. Zwar kann man auch legitimen Code so vor all zu leichtem Diebstahl schützen, aber da es keine wirksame Verschlüsselung sondern nur eine Tarnung ist, hält man damit nur die einfachsten Diebe ab. Kriminelle nutzen das Obfuscating dagegen, um ihren JavaScript-Schadcode vor Entdeckung zu bewahren. Möglichkeiten, diese Tarnung aufzuheben, werden also bei der Bekämpfung entsprechender Angriffe immer wieder benötigt. Im Websense-Blog wurde nun eine neuer Deobfuscator vorgestellt.

ISC zum Cyber Security Awareness Month

Im Handler's Diary des ISC wurden anlässlich des 'Cyber Security Awareness Month' bisher folgende Beiträge veröffentlicht:

• Day 1 - Preparation: Policies, Management Support, and User Awareness
• Day 2 - Preparation: Building a Response Team
• Day 3 - Preparation: Building Checklists
• Day 4 - Preparation: What Goes Into a Response Kit
• Day 5 - Identification: Events versus Incidents

Gefährliche Schwachstellen vom 02.10.2008

• phpScheduleIt:
  Einschleusen von PHP-Code in eval()-Aufruf möglich
• Trend Micro OfficeScan Corporate Edition:
  Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes, DoS-Angriffe und das Ausspähen sensitiver Informationen

Carsten Eilers