Die WLAN-Verschlüsselung WPA mit TKIP wurde tatsächlich teilweise gebrochen. Einige Wissenschaftler haben untersucht, wie oft Links in Spam-Mails angeklickt werden. Im Blog von Sophos wird ein Downloader analysiert, Websense hat den Monatsrückblick für den Oktober 2008 veröffentlicht und im Analytiker-Tagebuch der Kaspersky Labs wird über zweifelhafte Software auf download.com und einen neuen Trick der Cyber-Kriminellen berichtet.

WPA mit TKIP teilweise gebrochen

Im Handler's Diary des ISC wird auf weitere Informationen zum Angriff auf die WLAN-Verschlüsselung mit WPA verwiesen: Auf einen Blogbeitrag des Diary-Autors, Raul Siles (WPA/TKIP ChopChop Attack), einen Artikel bei ars technica und auf das Paper der Entdecker des Angriffs, Martin Beck und Erik Tews: 'Practical attacks against WEP and WPA' (PDF, von der Website von aircrack-ng). Der Angriff unterliegt einigen Einschränkungen, so das WPA mit TKIP nur teilweise gebrochen wurde: Es können nur Pakete entschlüsselt und gefälscht werden, die vom Access Point an den Client geschickt werden, und zum Einschleusen von bis zu 7 Paketen muss die Wireless Multimedia Extension (802.11e, WMM) aktiviert sein. Durchschnittlich wird 1 Bit pro Minute entschlüsselt, so dass der Angriff nur gegen kurze Pakete wie z.B. für ARP, DNS oder TCP SYN, praktikabel ist. Trotzdem sollte WPA mit TKIP nicht mehr verwendet und wenn möglich durch WPA2 ersetzt werden.

Wissenschaftlicher Spam

Einige Wissenschaftler vom International Computer Science Institute in Berkeley und der University of California in San Diego wollten wissen, wie oft Links in Spam-Mails angeklickt werden: "Spamalytics: An Empirical Analysis of Spam Marketing Conversion" von Chris Kanich, Christian Kreibich, Kirill Levchenko, Brandon Enright, Geoffrey M. Voelker, Vern Paxson und Stefan Savage . Statt nun selbst zu spammen, haben sie ein Bot-Net infiltriert und einen Teil der davon versendeten Spam-Mails so manipuliert, das die Links darin auf einen ihrer Server verwiesen. Die beobachteten Klickraten sind mehr als dürftig, es wurde aber auch nur ein sehr kleiner Teil der Spam-Mails manipuliert, so dass die Ergebnisse nicht all zu sehr verallgemeinert werden sollten. Interessant sind auch die Auswirkungen der verschiedenen Anti-Spam-Techniken.

Downloader unter der Lupe

Im Blog von Sophos wird ein Downloader analysiert und beschrieben, wie Familien dieser Schädlinge an charakteristischen Eigenschaften erkannt werden können, so dass nicht für jeden Schädling eigene Erkennungsmuster entwickelt werden müssen.

Websense: This Month in the Threat Webscape

Websense hat den Monatsrückblick für den Oktober 2008 veröffentlicht. Der Überblick über die im Oktober gelaufenen Angriffe und sonstigen Auffälligkeiten ist recht interessant.

download.com mit zweifelhafter Software

Im Analytiker-Tagebuch der Kaspersky Labs wird über zweifelhafte Software auf download.com berichtet. Beim Download einer Sandbox-Anwendung wurde dem berichtenden Kaspersky-Mitarbeiter auch AntiVirus Defender, ein Adware-Programm, angeboten.

Internet Explorer Nutzung: 30 Rubel pro Jahr

Im Analytiker-Tagebuch der Kaspersky Labs wird über einen neuen Trick der Cyber-Kriminellen berichtet: Einen Trojaner, der seine Opfer zum Senden eine SMS an eine Prämiennummer verleiten soll. Es handelt sich dabei um ein Browser Helper Object für den Internet Explorer, das die Startseite des Browsers ändert. Der Benutzer wird auf eine Microsoft-Seite geleitet, deren Inhalt vom Trojaner manipuliert wird. Angeblich ist die Nutzung des Internet Explorers in Zukunft kostenpflichtig, und der Benutzer soll eine SMS an eine Prämiennummer senden, um eine Lizenz für ein Jahr zu kaufen. Der dafür gelieferte angebliche Aktivierungscode führt nach der Eingabe zu einer Fehlermeldung, die bereits fest im Trojaner vorgegeben ist. Um den Internet Explorer wieder zum Laufen zu bekommen, muss er mit einem Antivirenprogramm gereinigt werden. Wann die Kriminellen das Beheben des "Fehlers" wohl als zusätzlichen Service anbieten?

Gefährliche Schwachstellen vom 07.11.2008

• BlueCat Meridius Email Gateway:
  Pufferüberlauf-Schwachstelle in libspf2 erlaubt Ausführung beliebigen Codes
• Adobe Acrobat:
  Mehrere Schwachstellen erlauben DoS-Angriffe, Privilegieneskalation und die Ausführung beliebigen Codes (vom 04.11.2008, aktualisiert)
  Kritisch, weil: Schwachstelle wird zur Zeit aktiv ausgenutzt
• Adobe Reader:
  Mehrere Schwachstellen erlauben DoS-Angriffe, Privilegieneskalation und die Ausführung beliebigen Codes (vom 04.11.2008, aktualisiert)
  Kritisch, weil: Schwachstelle wird zur Zeit aktiv ausgenutzt
• RealPlayer:
  Pufferüberlauf beim Verarbeiten einer präparierten Playlist durch MPAMedia.dll erlaubt Ausführung beliebigen Codes, z.B. beim Öffnen einer Playlist durch das ActiveX-Control ierpplug.dll (vom 22.10.2007, aktualisiert)
  Kritisch, weil: Schwachstelle wird aktiv ausgenutzt
• ModernBill:
  Einbinden beliebiger Dateien über Parameter 'DIR' in mehreren Skripten, außerdem Cross-Site-Scripting möglich (vom 03.11.2008, aktualisiert)

Carsten Eilers