News:

Hamburg, 05.11.2004 - Hotel-Buchungsportale - Sicherheit und Datenschutz mangelhaft!
München, 03.10.2004 - Unternehmen werten zunehmend Daten der Kunden aus
Hamburg, 22.09.2004 - Kritische Sicherheitslücke bei der Verarbeitung von JPEG-Bildern
Hamburg, 19.08.2004 - Fehlgeleitete E-mail verraten Geschäftsgeheimnisse
Hamburg, 06.08.2004 - Vertrauliche Daten verkauft: Bewährung
Hamburg, 30.06.2004 - Finanzämter arbeiten wieder
Hamburg, 26.06.2004 - Virus legt Computer in Finanzbehörde lahm
Hamburg, 08.05.2004 - Sasser-Programmierer in Deutschland gefasst
Hannover, 08.05.2004 - Mutmaßlicher Phatbot-Entwickler bei Lörrach festgenommen
Hamburg, 20.04.2004 - Beim illegalen Handel mit Firmen-Daten erwischt
Hannover, 18.04.2004 - Superwurm mit öffentlichem Quellcode


Hamburg, 05.11.2004 - Hotel-Buchungsportale - Sicherheit und Datenschutz mangelhaft!

Im Oktober hat DATA SECUR im Auftrag des Fachmagazins "hottelling" 27 Hotel-Buchungsportale einem "Quick-Check" unterzogen.

Das Ergebnis war ernüchternd bis erschreckend, um es einmal vorsichtig zu formulieren. Datenschutzhinweise waren in den meisten Fällen entweder gar nicht, völlig unzureichend oder in englischer Sprache vorhanden. Generell war festzustellen, daß unnötige und damit zuviel Daten erhoben wurden und alle Betreiber beabsichtigen die gewonnen Daten zu Marketingzwecken selbst zu nutzen und auch weiterzugeben, im Kleingedruckten dann der Hinweis dem widersprechen zu können, wie, bei wem und in welcher Form wurde jedoch verschwiegen. Fast schon "kriminell" geht es auf 2 Portalen zu, dort werden die Kreditkartendaten des Reisenden UNVERSCHLÜSSELT übertragen. Ebenso geistreich der Hinweis eines Portals mit SSL-Verschlüsselung, der Reisende könne seine Kreditkartendaten auch per e-mail übermitteln (Schilda läßt grüßen).

Das Ergebnis ist erschienen in der November-Ausgabe des Magazins "hottelling" und kann als eZine/ePaper hier heruntergeladen werden.

>>Download

Wir bleiben am Ball und "verfeinern" und erweitern gerade unseren Test. Anfang 2005 dann detailiertere Ergebnisse auf unserer Website.

^ oben


München, 03.10.2004 - Unternehmen werten zunehmend Daten der Kunden aus

Unternehmen werten offenbar in zunehmenden Maße Kundendaten aus. Gleichzeitig versuchten sie im Internet, Kaufinteressen und Zahlungsmoral ihrer Klientel anhand gesammelter Daten immer genauer vorherzusagen, berichtete das Nachrichtenmagazin «Focus» am Sonntag vorab. «Manche Firmen speichern pro Kunde bis zu 1000 Merkmale», sagte der Leiter einer Datamining-Studie der Universität Eichstätt-Ingolstadt, Hajo Hüppner, dem Magazin.

Besonders intensiv pflegt der Bücher-Web-Shop Amazon die individuelle Kundenansprache. «Amazon verwaltet eine riesige Matrix, die jedes der mehr als zehn Millionen Produkte jedem anderen zuordnet - mit der Information, wie viele Menschen sowohl das eine als auch das andere gekauft haben», sagte der ehemalige Chefwissenschaftler und heutiger Berater von Amazon in Seattle (USA), Andreas Weigend, dem Magazin. Schon wenige Informationen genügten, um mit hoher Wahrscheinlichkeit zu prognostizieren, was der Besucher als nächstes tut. «Die Präzision solcher Daten ist extrem hoch», sagte Weigend.

Firmen und Wissenschaftler tüftelten an digitalen Verfahren, mit denen sich Kunden im Internet noch gezielter an ein Produkt heranführen lassen. Weigend zufolge ist das persönliche Netzwerk eines Kunden am spannendsten, aber auch am wenigsten erforscht. «Es ist eine Sache, wie viele Euro ein Kunde persönlich im Laufe seines Lebens einbringt. Eine ganz andere ist, wie viele Verkäufe er durch seinen Einfluss initiiert», sagte Weigend. Die Information, ob ein Kunde in seinem Umfeld Meinungsführer ist, sei bares Geld wert.

ddp.vwd/sie/ple

(Quelle: CIO Magazin)

^ oben


Hamburg, 22.09.2004 - Kritische Sicherheitslücke bei der Verarbeitung von JPEG-Bildern

Aufgrund eines Fehlers in der JPEG-Parsing-Komponente "gdiplus.dll" kann ein manipuliertes Bild im JPG-Format einen Pufferüberlauf (Buffer Overflow) in einer Anwendung provozieren, mit dem sich der Stack überschreiben lässt. Über präparierte Bilder kann auf diese Weise Code auf dem System des Opfers ausgeführt werden.

Bei einem erfolgreichen Angriff kann auf dem betroffenen System beliebiger Code mit den Rechten des gerade angemeldeten Benutzers ausgeführt werden. Im schlimmsten Fall kann ein Angreifer die vollständige Kontrolle über ein System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er beispielsweise Programme installieren, Daten anzeigen, ändern oder löschen.

Das Opfer muss ein speziell manipuliertes Bild auf dem System mit einer Applikation öffnen, welche die fehlerhafte Komponente benutzt. Dazu reicht das Lesen einer E-Mail, der Besuch einer manipulierten Webseite, die Vorschau in einem Verzeichnis auf der Festplatte oder das Betrachten eines Dokumentes mit eingebettetem Bild aus.

>>weiterlesen

^ oben


Hamburg, 19.08.2004 - Fehlgeleitete E-mail verraten Geschäftsgeheimnisse

Neue Studie von SurfControl zur Verbreitung vertraulicher Daten

Die versehentliche Verbreitung vertraulicher Informationen per Email zählt in vielen Unternehmen bereits zur Tagesordnung. Das zeigt eine neue Studie von Content Security-Marktführer SurfControl, die außerdem aufdeckt, welche Risiken für Firmen durch die ungesicherte Nutzung von Instant Messaging und Peer-to-Peer-Netzwerken entstehen.

39% der Befragten gaben dabei an, schon einmal geheime, eigentlich nicht für sie bestimmte Informationen per Email erhalten zu haben. 26% der Studienteilnehmer hatten diese Informationen von einer externen Quelle bekommen. 15% aller Befragten gaben darüber hinaus zu, bereits selbst einmal vertrauliche Informationen versehentlich an eine falsche Person oder Firma geschickt zu haben. Alarmierend ist daran speziell die Tatsache, dass dieser Anteil bei einer ähnlichen Untersuchung im Jahr 2002 noch bei 3% lag und sich somit in den letzen beiden Jahren verfünffacht hat.

Der SurfControl-Studie ist zu entnehmen, dass der Email-Verkehr mittlerweile ein absolut gängiges Medium zur Weiterleitung vertraulicher Informationen aus dem eigenen Unternehmen oder von Kunden ist. 91% der befragten Angestellten gaben an, dass sie regelmäßig vertrauliche Informationen auf diesem Weg verschicken bzw. erhalten.

Der Verlust geheimer Daten ist somit zweifelsfrei zu einer alltäglichen Bedrohung für Unternehmen geworden. Arbeitgeber begeben sich auf gefährliches Glatteis, wenn Sie keine geeigneten Verhaltensregeln einführen und diese mit der richtigen Content-Security-Technologie zur Abwehr solcher Risiken kombinieren.

Die Studie zeigt auch klare Unterschiede zwischen den verschiedenen Abteilungen in den Unternehmen. Während 45% der IT-Fachleute bereits geheime, nicht für sie bestimmte Informationen erhielten, sind es bei den Mitarbeitern aus dem Personalwesen nur 23%.

Mit der alleinigen Absicherung von Risiken, welche durch die Email-Nutzung der Beschäftigten entstehen, ist es für die Unternehmen allerdings nicht getan. Die potenziellen Risiken im Zusammenhang mit Instant Messaging und Peer to Peer Netzwerken unterscheiden sich allerdings kaum von denjenigen, die für den Umgang mit Emails gelten.

Content-Security-Maßnahmen sollten deshalb immer auch diese alternativen Kommunikationskanäle berücksichtigen. Dazu Martino Corbelli, Marketingdirektor von SurfControl: “Sich vor der Verbreitung geheimer Informationen per Email zu schützen, Instant Messaging und Peer-to-Peer-Netzwerke aber völlig außer acht zu lassen, ist so, als würde man zum Schutz gegen Regen die Türen seines Cabrios schließen, Verdeck und Fenster aber offen lassen.“

(opm)

^ oben


Hamburg, 06.08.2004 - Vertrauliche Daten verkauft: Bewährung

Das Amtsgericht hat den IT-Berater Matthias B. (32) gestern wegen versuchten Geheimnisverrats zu einer Haftstrafe von einem Jahr und drei Monaten auf Bewährung verurteilt.

Der Computerspezialist, der freiberuflich für Airbus arbeitete, hatte bei der Auflösung der dortigen Betriebskrankenkasse (BKK) 45 000 vertrauliche Kundendaten auf CD-ROM gebrannt und für sich selbst gespeichert.

Die Dateien bot er der BKK Mobil Oil zum Kauf an, Preis: 227 000 Euro.

"Ich bin Analytiker, ich bin zu dem Ergebnis gekommen, dass sich das Risiko lohnte", sagte der Angeklagte im Prozess.

Der Familienvater bedauerte die Tat. Er habe sie nur begangen, weil seine Frau krank war, er seine Familie habe versorgen wollen, sagte er.

Der Angeklagte ist seit 1995 vorbestraft: unter anderem wegen Betruges und Urkundenfälschung.

Der Richter zum Angeklagten: "Sie müssen die Neigung zum Betrug bekämpfen."

(Quelle: Hamburger Abendblatt)

^ oben


Hamburg, 30.06.2004 - Finanzämter arbeiten wieder

Hamburgs Finanzämter sind nach einer Virus-Attacke gegen ihre Computer wieder in Betrieb. In tagelanger Arbeit hatten Spezialisten die Grundfunktionen der Rechner wieder hergestellt, nachdem am Freitag ein Computervirus in die Rechner eingedrungen war und daraufhin alle 3000 Geräte abgeschaltet worden waren. "Es war zum Glück kein bösartiger Virus", sagte Holger Riemer, stellvertretender Sprecher der Finanzbehörde gestern.

(Quelle: Hamburger Abendblatt)

^ oben


Hamburg, 26.06.2004 - Virus legt Computer in Finanzbehörde lahm

Virenalarm in der Finanzbehörde. Am Freitagmittag stellten Mitarbeiter plötzlich fest, dass mehrere Computer von einem zunächst unbekannten Virus befallen waren. Festgestellt worden war der Ausfall dadurch, dass die Verbindungswege zwischen einzelnen Rechnern plötzlich gestört waren. Nach Angaben des stellvertretenden Pressesprechers der Behörde, Holger Riemer, waren "mehrere Hundert Rechner" davon betroffen. Da der Schaden und die Gefährlichkeit des Virus zunächst nicht eingeschätzt werden konnte, wurden alle Rechner der 16 Hamburger Finanzämter heruntergefahren - "vorsorglich", wie Holger Riemer sagt. Betroffen waren davon immerhin mehr als 3000 Computer - verteilt über die ganze Stadt.

Am späten Nachmittag gab es dann Entwarnung. "Es handelte sich nicht um ein aggressives Virus", so Riemer, "einige Rechner waren schnell wieder einsatzbereit." Trotzdem dauern die Wartungsarbeiten noch über das Wochenende an, da der entstandene Schaden und die Ursache noch geprüft werden.

Größere Datenverluste habe es offenbar nicht gegeben, hieß es aus der Finanzbehörde, auch könne man "nach Lage der Dinge" nicht von einem gezielten Anschlag ausgehen.

(Quelle: Hamburger Abendblatt)

^ oben


Hamburg, 08.05.2004 - Sasser-Programmierer in Deutschland gefasst

Wie das Landeskriminalamt in Hannover heute Morgen mitteilte, wurde gestern der mutmaßliche Programmierer des Internet-Wurms Sasser festgenommen. Es handele sich um einen 18-jährigen Schüler aus Rotenburg (Wümme) in Niedersachsen, der Rahmen eines Verfahrens der Staatsanwaltschaft Verden ermittelt wurde. Er habe mittlerweile ein Geständnis abgelegt und befinde sich wieder auf freiem Fuß, erklärte Frank Federau vom LKA Niedersachsen gegenüber heise online. Außerdem hätten Experten von Microsoft das Beweismaterial gesichtet und den Verdacht gegen den Schüler bestätigt.

Sasser hatte seit Ende April weltweit Millionen Computer heimgesucht. Nach Meinung von Experten waren auch einige internationale Großunternehmen von den Folgen betroffen. Ihnen entstehen zum Teil erhebliche Produktionsausfälle. Der Wurm nutzt bei nicht gepatchten Windows-2000 und XP-Systemen einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Systeme, die bereits mit einer Sasser-Variante infiziert sind, laufen Gefahr, noch für weitere Schädlinge als Wirt zu dienen. Beispielsweise dringt Phatbot über dieselbe Sicherheitslücke in Windows-2000 und XP-Systeme ein. Zudem öffnet Sasser Hintertüren, über die zusätzliche Würmer und Trojaner eindringen können.

(Quelle: Heise Online)

^ oben


Hannover, 08.05.2004 - Mutmaßlicher Phatbot-Entwickler bei Lörrach festgenommen

Dem Landeskriminalamt Baden-Württemberg ist am gestrigen Freitag Abend ein dicker Fang gelungen: Die Ermittler nahmen einen vermutlichen Programmierer des als "Superwurm" bekannt gewordenen Schädlings Phatbot fest. Wegen des Verdachts der Computersabotage und anderer Tatvorwürfe durchsuchten Spezialisten des LKA zusammen mit Einsatzkräften der Polizeidirektion Lörrach die Wohnungen von drei "mutmaßlichen Internet-Hackern" im Raum Lörrach.

Der Haupttatverdächtige sei ein 21-jähriger Arbeitsloser, teilte das LKA heute mit. Er habe bereits zugegeben, den Trojaner "Agobot", der später zum "Phatbot" weiterentwickelt wurde, zusammen mit anderen programmiert zu haben. Bei drei weiteren Tatverdächtigen in Niedersachsen, Hamburg und Bayern wurde ebenfalls durchsucht. Sie sollen mit dem Hauptverdächtigen bei der Entwicklung der Viren zusammengearbeitet haben. Bei den Durchsuchungen wurden zahlreiche Unterlagen sowie Computer und Speichermedien sichergestellt, die jetzt noch ausgewertet werden müssen.

Der Festgenommene habe den derzeit grassierenden Wurm "Sasser" dazu benutzt, um den von ihm selbst entwickelten weit gefährlicheren Wurm "Phatbot" zu verbreiten. Nach Erkenntnissen der Ermittler soll er bereits 2003 gezielt Firmen in den USA und Großbritannien angegriffen haben. Die betroffenen Firmen waren aufgrund der Attacken mehrere Tage offline. Auch in Deutschland sollen die Verdächtigen in Firmen-Computer eingedrungen und diese für eigene Zwecke missbraucht haben. Neben den strafrechtlichen Konsequenzen müssen die Verdächtigen nach Kenntnissen von c't wohl auch mit Schadenersatzforderungen in Millionenhöhe rechnen.

Die Strafverfolgungsbehörden seien den mutmaßlichen Hackern aufgrund von Hinweisen der US-Behörden auf die Spur gekommen. Nach Angaben des LKA Baden-Württemberg liegen derzeit keine Anhaltspunkte dafür vor, dass es direkte Verbindungen zwischen dem in Baden-Württemberg Festgenommenen und dem mutmaßlichen Sasser-Programmierer aus Niedersachen gibt.

(Quelle: Heise Online)

^ oben


Hamburg, 20.04.2004 - Beim illegalen Handel mit Firmen-Daten erwischt

Er träumte vom großen Geld: Der Computersystem-Betreuer einer Hamburger Krankenkasse kopierte mehr als 45 000 Kundendateien - und wollte sie für 227 630 Euro an eine andere Krankenkasse verkaufen. Der Deal flog auf, der Mann wurde festgenommen.

Jetzt warnt die Polizei: Viele Firmen schützen ihre Daten vor Zugriffen von außen, während vertrauliche Informationen intern nahezu problemlos zugänglich sind. "Viele Arbeitnehmer wollen ihren Marktwert durch Insiderwissen steigern", sagte Steffen Hahn, beim Landeskriminalamt Sachgebietsleiter für Internetbetrug, Marken- und Urheberrecht.

Rückblick: Matthias B. (31), selbstständiger Systemadministrator aus Hannover, arbeitet im Auftrag einer Netzwerktechnikfirma als Subunternehmer für die Kasse. Der bislang unbescholtene Mann braucht Geld, bietet die Kundeninformationen der Konkurrenz an. Doch die Mitarbeiter informieren die Polizei, die sich zum Schein als Kaufinteressent bei Matthias B. meldet. Im Hotel Atlantic kommt es Anfang April zum Showdown: Zur verabredeten Übergabe postieren sich im Foyer des Luxushotels zehn Polizisten, als Gäste getarnt, um Matthias B. Nur Minuten später wird der Betrüger festgenommen, sämtliche Beweismittel hat er dabei. Da keine Verdunkelungsgefahr besteht, bleibt der Techniker auf freiem Fuß. "Für uns ist der Fall geklärt", so Hahn.

Für den Familienvater B. ist die Chance, in seinem Beruf je wieder Fuß zu fassen, gleich null. Schon während der Ermittlungsarbeit klärte die Polizei dessen Auftraggeber über den Mann auf.

(Quelle: Hamburger Abendblatt)

^ oben


Hannover, 18.04.2004 - Superwurm mit öffentlichem Quellcode

Phatbot ist der Nachfolger zu Agobot, ein Schädling mit äußerst komplexen Funktionen. Er kann Rechner übernehmen und für quasi beliebige Zwecke missbrauchen. Phatbot kann in fremde Rechner über bekannte Sicherheitslücken wie die Windows RPC-Lücke eindringen, um Systeme ohne Zutun des Anwenders zu infizieren, sofern keine entsprechenden Sicherheitspatches installiert sind. Besonders problematisch: Der Quellcode wurde über ein Web-Forum veröffentlicht und steht zum Download zur Verfügung.

Im Grunde kombiniert Phatbot alle typischen Funktionen aus vergangenen Schädlingen: Er verbreitet sich nicht nur über herkömmliche Verbreitungswege wie Netzwerkfreigaben, sondern vermag ebenso nach Hintertüren von den Mail-Würmern MyDoom und Bagle sowie dem Trojaner-Toolkit Optix Pro zu suchen, um anfällige Rechner darüber zu infizieren. Über einen umfangreichen Befehlssatz können durch den Bot infizierte Systeme ferngesteuert werden. Dabei benutzt er ein dynamisch erweiterbares Modell, um Befehle zu registrieren. Sollten neue Exploits auftauchen, können die Bot-Instanzen diese automatisch nachladen und installieren.

Die Liste der Features von Phatbot ist nahezu unüberschaubar: Er kann automatisch CD-Keys von populären Spielen extrahieren oder als Drohne in einem IRC-Botnetz eingesetzt werden. Phatbot bringt dabei Rootkit-Funktionen für Windows mit (Process Hide), um seine Existenz zu verbergen. Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig. Schließlich können sich die einzelnen Clients in einem Peer-to-Peer-Netzwerk organisieren und den Verkehr SSL-verschlüsselt übertragen.

Die Antiviren-Hersteller sehen das Hauptproblem aber weniger in der Komplexität des Schädlings als vielmehr in der Verfügbarkeit des Quellcodes. "Wir müssen befürchten, dass sich bald jedes Script-Kiddie eine eigene Variante des Phatbots zusammenklicken kann", sagte Eric Chien, Leiter der europäischen Zentrale des Security Response Center von Symantec, gegenüber heise Security. Da der Bot gleich ein grafisches Konfigurationstool mitbringt, ist das auch für unerfahrene Anwender mit wenig Aufwand zu realisieren.

Die Gefahr ist mehr als nur theoretisch: Schon bevor der Quellcode verfügbar war, sind binnen Wochen über 200 Agobot-Varianten in freier Wildbahn aufgetaucht. Sophos beispielsweise führt 221 Agobot-Varianten in seiner Datenbank. Geht man nach den Varianten-Bezeichnungen von Trend Micro, die mittlerweile bei Agobot.ZX angekommen sind, gibt es bereits 675 registrierte Varianten. Aufgrund des offenen Quellcodes ist jetzt zu befürchten, dass neue Varianten noch schneller und häufiger auftauchen werden.

Der Quellcode von Phatbot wurde letzte Woche über ein öffentliches Web-Forum der Virenszene veröffentlicht -- zweifellos war das aber nicht im Sinne der Programmierer. Der Quellcode ist auch nicht ganz sauber, er wurde offenbar leicht abgeändert, um eine Out-of-the-Box-Funktion zu verhindern. Für findige Bastler wird es aber kein Problem sein, den Bot voll funktionsfähig zu machen.

Virenscanner mit aktuellen Signaturen erkennen zwar auch die aktuell bekannten Agobot-Varianten, jedoch ist es mit dem Quellcode kein größeres Problem, Varianten in beliebiger Menge zu erstellen, die von den Scannern nicht erkannt werden -- welcher Virenscanner kann schon ein ganzes Programm zerlegen?

(Quelle: Heise Online)

^ oben