Das Bundesverfassungsgericht hat mehrere Beschwerden gegen den sog. "Hackerparagraphen" §202c StGB abgelehnt. Es gibt Neues zu den DoS-Angriffen auf Webserver, die UAC in Windows 7 ist immer noch unsicher, es gibt eine 'Spam Crisis in China' und Cyberkriminalität als Franchising. Bruce Schneier berichtet über eingebildete Bedrohungen und Google sucht nach Werbung für Schadsoftware. Symantec hat weitere Details zum 'in the wild' gesichteten Exploit für die Schwachstelle in DirectX veröffentlicht. Robert 'RSnake' Hansen beschreibt in einem Blogeintrag Möglichkeiten, auf der Server-Seite einen Man-in-the-Middle-Angriff auf eine HTTPS-Verbindung zu erkennen, und im Handler's Diary des ISC wird beschrieben, wie man Defense in Depth anschaulich erklärt. Und Dmitry Samosseiko berichtet im Blog von Sophos über einen Chat mit einem Robot, zu dem ihn eine Spam-Mail gelockt hat.

Verfassungsbeschwerden gegen Hackerparagraphen unzulässig

Das Bundesverfassungsgericht hat mehrere Beschwerden gegen den sog. "Hackerparagraphen" §202c StGB abgelehnt, da zum einen nicht für kriminelle Zwecke entwickelte Programme nach der verfassungsrechtlich zulässigen Auslegung des Paragraphen nicht vom Verbot betroffen sind, zum anderen beim Einsatz unter den Paragraphen fallender echter Schadsoftware z.B. für Sicherheitstests der Vorsatz zum Begehen einer Straftat fehlt und eine Strafverfolgung daher nicht zulässig wäre. Mehr dazu steht in der Entscheidung des BVerfG.

Neues zu den DoS-Angriffen auf Webserver

Es gibt weitere Informationen zu dem am Donnerstag gemeldeten Tool für DoS-Angriffe auf Webserver, Slowloris. Robert 'RSnake' Hansen korrigiert, das diese Art Angriffe bereits 2007 von Adrian Ilarion Ciobanu beschrieben wurden, Hansen hat also 'nur' das erste Tool für solche Angriffe veröffentlicht. Bei seinen Untersuchungen der Angriffe hat er außerdem festgestellt, das sich nicht jeder Server so verhält, wie es eigentlich zu erwarten wäre. Es ist möglich, den Angriff so zu modifizieren, das es für alle Benutzer außer dem Angreifer zu einem DoS kommt - der Angreifer also quasi die Website für sich allein hat.

Auch im Handler's Diary des ISC beschäftigt sich ein Eintrag mit Slowloris, dort werden verschiedenen mögliche Gegenmaßnahmen beschrieben.

UAC in Windows 7 immer noch unsicher

Die User Access Control UAC in Windows 7 ist immer noch unsicher. Mehrere Schwachstellen erlauben es bösartigen Programmen, Adminrechte ohne Rückfrage beim Benutzer zu erhalten.

'Spam Crisis in China'

Gary Warner hat das Spamaufkommen vom 1. Mai bis 18. Juni untersucht und seine Ergebnisse in einem Blogeintrag mit dem Titel 'Spam Crisis in China' veröffentlicht: In den 48 untersuchten Tagen wurden 12.246 Domains in Spam-Mails beworben, darunter 8.045 .cn-Domains und 6.813 in China gehostete Websites. Laut Warner stammt mehr als die Hälfte aller Spam-Mails aus China, benutzt in China registrierte Domains oder verwendet in China gehostete Websites als Ziel. Warner nennt verschiedene andere, vergleichbare Situationen, in denen den Cyberkriminellen erfolgreich das Handwerk gelegt werden konnte und hofft u.a auf die Mitarbeit der Internet-Community, um die betroffenen, bisher nicht sehr an der Lösung des Problems interessierten Registrare, Hoster und Netzwerkbetreiber zur Kooperation zu bewegen.

Cyberkriminalität als Franchising

Brian Krebs berichtet über Cyberkriminalität als Franchising: Die Cyberkriminellen bieten Geld für die Verbreitung von Schadsoftware. Für jede erfolgreiche Installation der Schadsoftware auf dem Rechner eines arglosen Benutzers bekommen die Kunden der Cyberkriminellen einige Cent, Krebs berichtet von 5 bis 140 US-Dollar pro 1000 Installationen. Die Schadsoftware wird dazu z.B. im Raubkopien integriert.

Eingebildete Bedrohungen

Bruce Schneier beschäftigt sich in einem Essay mit eingebildeten Bedrohungen. Auslöser ist u.a ein Paper von Magne Jørgensen mit dem Titel 'More Risk Analysis Can Lead to Increased Over-Optimism and Over-Confidence', in dem es um Software-Projekte geht.

Google sucht nach Werbung für Schadsoftware

Googles Anti-Malvertising Team hat seine Suchmaschine zum Erkennen von Werbung für Schadsoftware überarbeitet. Die 'Investigative Research Engine' soll dabei helfen, bösartige Werbung zu erkennen: Nach der Eingabe z.B. des Namens eines Werbetreibenden oder der URL der beworbenen Website werden verschiedene Websites daraufhin abgefragt, ob es sich dabei um Werbung für Schadsoftware handelt bzw. ob über die Werbung Schadsoftware auf den PCs der Website-Besucher eingeschleust werden soll.

Gefährliche Schwachstellen vom 19.06.2009

• Apple QuickTime:
  Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes (vom 02.06.2009, aktualisiert)

Carsten Eilers