HP hat mit SWFScan ein kostenloses Tool für das Erkennen von Sicherheitsverletzungen in Flash-Anwendungen veröffentlicht. Das Tool dekompiliert den ActionScript-2- oder ActionScript-3-Bytecode der Applikationen und durchsucht den Code dann nach Verletzungen. Die Tests wurden auf Basis von Adobes unterschiedlichen Security Best Practices zusammengestellt.

Laut Billy Hoffman, verantwortlich für HPs Web Security Research Group, haben die Entwickler des Tools nahezu 4000 Webanwendungen auf Flash-Basis untersucht und dabei herausgefunden, dass 35 Prozent von ihnen gegen die Adobe-Sicherheitsrichtlinien verstoßen. Als Beispiel nennt er in der Ankündigung Verschlüsselungen und andere heikle Daten, die in clientseitigem Flash-Code zu finden seien.

Das Werkzeug unterstützt alle Flash-Versionen und enthält unter anderem Funktionen wie das Hervorheben der im Code gefundenen Sicherheitsfehler, Lösungsvorschläge für die gefundenen Lücken auf Basis von Adobes Empfehlungen sowie das Erstellen von Reports zu den Verletzungen.

heise online – 23.03.09 – HP veröffentlicht kostenloses Sicherheitswerkzeug für Flash-Entwickler.

Im Artikel Wurm dringt in Windows-Systeme über RPC-Lücke ein habe ich ja schon am 25. Oktober berichtet. Diese Lücke schein beseitigt und nun hat Micrsoft bekannt gegeben, dass heute am 17. Dezember noch ein Extra-Patch für den Internet Explorer nachgelegt werden soll. Er behebt das folge Problem: Zero-Day-Exploit für Internet Explorer breitet sich aus

Ist das nicht ein tolles Weihnachtsgeschenk von unserem Weltmarktführer, der sich für seine sicheren Betriebssystem bezahlen lässt. Da die Jungs aus Redmond in der Regel wegen der Zeitzonen 9 Stunden später aufstehen als wir, ist vor dem Abend wohl nicht damit zu rechnen.

Auch bei dem Sicherheitsloch im Internet Explorer handelt es sich um ein kritisches Problem, das aktiv ausgenutzt wird. Die Lücke wurde vor genau einer Woche, parallel zum Dezember-Patchday bekannt. Bis dahin beschränkten sich die Attacken damit hauptsächlich auf den chinesischen Raum. Mittlerweile werden offenbar immer mehr Webserver gezielt durch SQL Injection kompromittiert, um über den Exploit die Rechner ihrer Besucher zu infizieren. Somit sah sich Microsoft wohl gezwungen, schnellst möglich zu handeln.

Ob auch für die beiden anderen akuten Sicherheitsprobleme noch dieses Jahr Patches erscheinen, lässt sich der Ankündigung ebenfalls nicht entnehmen. Eine Lücke in Wordpad wird nach Microsofts eigenen Angaben ebenfalls bereits ausgenutzt und Microsofts SQL-Server weist offenbar ebenfalls ein noch ungepatchtes Problem auf.

Quelle: heise.de

Nach Beobachtungen von Sicherheitsfirmen breitet sich der Zero-Day-Exploit für den Internet Explorer rapide im Netz aus. Er richtet sich gegen eine besonders gefährliche Lücke in allen Versionen des des Microsoft-Browsers, für die es bislang keinen Patch gibt: Allein durch Öffnen einer Internetseite kann der Windows-PC mit Schadsoftware infiziert werden. Anders als bei den meisten anderen Angriffen ist also kein weiterer unvorsichtiger Klick des Surfers erforderlich.

Immer mehr harmlose Server werden derzeit durch SQL-Injection so manipuliert, dass sie den Zero-Day-Exploit an anfragende Rechner ausliefern. Daher kann man sich unter Umständen auch auf Webseiten vertrauenswürdiger Anbieter infizieren.

Antiviren-Software schützt nur begrenzt vor Web-Seiten, die einen solchen Exploit nutzen, um Rechner mit Schadsoftware zu infizieren. Zum Einen überwachen längst nicht alle Virenwächter den Internet-Verkehr; viele beschränken sich darauf, Dateien zu durchsuchen. Aber wenn eine Web-Seite im Browser-Cache landet, ist es meist schon zu spät und der böse Code läuft bereits. Zum Anderen haben noch längst nicht alle Hersteller passende Signaturen erstellt. Einen echten Exploit, der heise Security am Dienstag erreichte, erkannten am heutigen Samstag unter anderem CA, Kaspersky, Trend Micro, NOD32, Panda und F-Secure noch nicht.

Microsoft gibt eine ausführliche Liste von Workarounds, wie der Internet Explorer zu konfigurieren ist, um den Exploit ins Leere laufen zu lassen. Dazu gehört unter anderem der wenig praxistaugliche Tipp, Scripting zu deaktivieren, ohne das es auf eine Reihe von Webseiten zu Problemen bei der Darstellung und Bedienung kommen kann.

Solange Microsoft noch keinen Patch bereitstellt, sollte man zu einem alternativen Browser greifen, der die verwundbaren Microsoft-Bibliotheken nicht benutzt. Populäre Beispiele sind Firefox, Opera oder Safari.

Quelle: heise.de

Microsoft beobachtet derzeit die zunehmende Verbreitung eines neuen Windows-Wurms, der die seit mehreren Wochen bekannte Lücke in den RPC-Funktionen des Server-Dienstes ausnutzt, um in Systeme einzudringen. Insbesondere in Firmennetzen soll die derzeit beobachtete Variante Conficker.A an Fahrt zunehmen. Die meisten Meldungen liegen nach Angaben des Microsoft Malware Protection Centers aus den USA vor. Aber auch Kunden aus Europa, Asien und Südamerika seien betroffen. Zudem lägen Microsoft Berichte von mehreren hundert Heimanwendern vor.

Conficker öffnet auf infizierten Systemen einen Port, auf dem ein Webserver-ähnlicher Dienst laufen soll. Von dort kann ein System eine Kopie des Wurms nachladen, nachdem es initial infiziert wurde. Interessanterweise spielt der Wurm auf infizierten System den Patch zum Schließen der Sicherheitslücke ein, was aber weniger aus Freundlichkeit geschieht, sondern eher zum Ziel hat, andere RPC-Würmer draußen zu halten. Zusätzlich fragt Conficker diverse Webseiten ab, um die nach außen erscheinende IP-Adresse sowie die aktuelle Zeit zu ermitteln. Anhand der Zeit generiert der Wurm laut Symantec eine Liste von Domains, mit denen er Kontakt aufnimmt, um weiteren Code nachzuladen.

Schutz vor Conficker bietet weiterhin die Installation des Sicherheits-Updates von Microsoft sowie eine aktive Firewall, wobei die seit Windows XP integrierte und seit SP2 standardmäßig aktive Firewall in der Regel vollkommen ausreicht. Anwender sollten sicherheitshalber aber die Einstellungen überprüfen und sicherstellen, dass nicht ungewollt Ausnahmen definiert sind, die doch den Zugriff auf Dienste erlauben, die für die RPC-Lücke anfällig sind – etwa die Datei- und Druckfreigabe.

Quelle: heise.de

Das Schweizer System- und Baratungshaus Optaros hat seinen Open Source Katalog 2009 vorgestellt. Das 64-seitige Verzeichnis liefert zu über 350 Open-Source-Anwendungen vom Betriebssystem über Entwicklerlösungen bis zu Geschäftsanwendungen eine kurze Beschreibung und bewertet die Unternehmenstauglichkeit. Daneben finden sich Informationen zum Reifegrad, den Funktionen, der Aktivität der hinter dem Projekt stehenden Community, dem verfügbaren Support und der Lizenz.

Die Inhalte des Open Source Katalog 2009 basieren auf Optaros’ Enterprise Open Source Directory, einem Online-Verzeichnis von Open-Source-Lösungen für Unternehmen. Der Katalog ist als PDF-Datei zum freien Download oder in gedruckter Version für 8 Euro erhältlich.

Quelle: heise.de

Es gehört zum Fiesesten, was das Internet zu bieten hat: Kriminelle ködern Ahnungslose mit Pornobildern, aber schleusen Trojaner ein. Sie bieten Anti-Viren-Software, doch wollen nur die Kreditkartennummer. Und sie jubeln ihren Opfern teure Abos unter. Nun hat das Magazin Computerbild die Liste mit den 100 gefährlichsten Webseiten veröffentlicht.

Trojanern und Viren

Die schlimmsten Tarnseiten mit Trojanern und Viren, zusammengestellt vom Fachmagazin Computerbild. Diese Webseiten locken mit Pornobildern, geknackter Software, Gratis-Musik, Pokerspielen oder Anti-Virensoftware. Nebenbei schleusen sie Trojaner und Viren ein.

1. Fevertube.com
2. Girls-Forever.com
3. Kassperskylabs.cn
4. Magicpornotube.net
5. Adultan.com
6. Nudeteens.in/3
7. Astalavista.box.sk
8. Stepbystepbg.org
9. Thetextdesk.com
10. Hqticket.com
11. Web-money.cn/arm/
12. Pokerfinds.com

Cracker- und Hackerwerkzeuge

Die schlimmsten Seiten mit Cracker- und Hackerwerkzeugen: Wer sich dort Cracks für Programme herunterlädt, handelt sich dabei möglicherweise Trojaner und Viren ein. Nebenbei drohen Schadenersatzklagen von Softwareherstellern.

1. Easycracks.net
2. Cracks.thebugs.ws
3. Icracks.net
4. Anycracks.com
5. Keygen.name
6. Serialz.to
7. Crackportal.com
8. Serialsbox.com
9. Keygen.us
10. Seriall.com
11. Hackpalace.com
12. Hackingstore.de
13. Hacker-spider.at.nr

Seiten mit gefährlichen Viren

Die schlimmsten Seiten mit gefährlichen Viren: Sie bieten Virenbaukästen an, die fatale Folgen haben können. Kleinste Fehler gefährden Sie selbst und andere, Geldstrafen drohen.

1. Biohazard.xz.cz
2. Hackpalace.com/virii/indexe.shtml
3. phreak.org/html/virii.shtml
4. Vx.netlux.org
5. Rigacci.org/comp/virus
6. Worst-viruses.2ya.com
7. Vx.org.ua/delphi/
8. Members.fortunecity.com/acid_knight/virii.html
9. Pugnax.co.uk/code
10. Textfiles.com/viruses
11. membres.lycos.fr/gatesbillou/
12. Freewebs.com/green-hell/
13. Vxchaos.2hell.com
14. Geocities.com/randy027dsz36
15. Web.tiscalinet.it/dec_spiderman/home.htm
16. Nykz.kuzbass.net/as
17. El-killer.chez-alice.fr/Virii.htm

Raubkopien

Die schlimmsten Seiten mit illegalen Filmen, Songs und Software: Sie bieten Links zu Raubkopien an, deren Nutzung strafbar ist. Ermittler haben in der Regel leichtes Spiel und können die Täter leicht identifizieren. Zudem wird über solche Seiten auch Schadsoftware verbreitet.

1. Mininova.org
2. Sceneload.to
3. Serienjunkies.org
4. Hoerspiele.to
5. Dimeadozen.org
6. Saugstube-torrent.to
7. Ddl-Search.com
8. Oxygen-warez.com
9. Goldesel.6x.to
10. Ddl-warez.org
11. Usenext.de
12. Firstload.de

Abo- und Abzock-Seiten

Die schlimmsten Abo- und Abzock-Seiten: Wer dort an der falschen Stelle klickt, erhält hohe Rechnungen und bei Nichtzahlung auch unverschämte Mahnschreiben.

1. Los-fahren.com
2. Nachbarschaftspost.com
3. Online-girlies.com
4. Wie-anziehend-bist-du.de
5. Mega-Downloads.net
6. Ihre-Rezepte.de
7. SMSfree100.de
8. Vorlagen-land.de
9. Sudoku.de
10. Grafik-archiv.com
11. Kochrezepte-download.de
12. Every-game.com
13. Routenplaner-server.com
14. Astrologie-server.com
15. Gehalts-rechner.de
16. Hausaufgaben-server.com
17. Online-flirten.de
18. Condome.tv
19. Genealogie.de
20. Meine-wunderbare-katze.com

Raubkopien zum direkten Download

Die schlimmsten Seiten mit Raubkopien zum direkten Download: Diese Seiten tarnen sich als Softwareshop, der sogenannte OEM-Versionen vertreibt. In Wahrheit zahlen Sie für Raubkopien, Ihre Kreditkartendaten werden ausgespäht.

1. Aesofta.com
2. Zoomerart.net
3. Austein.com
4. Mainstoreonline.com
5. Cheapbestoemonline.net
6. Adobemasters.com
7. Vip-soft.us
8. Ldkueekaderrnau.com

illegale Billig-Musik

Die schlimmsten Seiten mit illegaler Billig-Musik: Auch hier handelt es sich um Raubkopien, Ihre Kreditkartendaten sind in unsicheren Händen.

1. Lavamus.com
2. Iomoio.com
3. Mp3skyline.com
4. Soundike.com
5. Soundsbox.com
6. MP3search.ru
7. MP3sugar.com
8. Musicmp3.ru
9. MP3Ninja.com
10. MP3fiesta.com
11. MP3va.com
12. MP3city.com.ua
13. Justmusicstore.com
14. Songboxx.com

gefährliche Sicherheitsprogramme

Die schlimmsten Seiten mit gefährlichen Sicherheitsprogrammen: Angeblich handelt es sich um Anti-Viren-Software. Doch meist gelangen darüber Schädlinge auf den eigenen PC, Kunden werden auch mal erpresst.

1. Winantivirus.com
2. Adwarestriker.com
3. Expertantivirus.com
4. Spystriker.com
5. virus-scanonline.com
6. Mynetprotector.com

Viren, Trojaner und andere Schädlinge gelangen längst nicht mehr nur per E-Mail oder Datenträger auf den heimischen Computer. Schon wer achtlos einfach nur im Internet surft, setzt sich großen Gefahren aus. Denn viele Webseiten sind präpariert – und locken die Nutzer in die Falle. Sie werben mit Pornobildern, mit Anti-Viren-Software oder mit Pokerspielen, schleusen dann aber Schädlinge ein.

Manche illegale Webseiten bieten kostenlose oder sehr günstige Software. Dahinter stecken oftmals Raubkopien, bei deren Download sich die Kunden strafbar machen. Die Betreiber haben es tatsächlich auf Kreditkartendaten abgesehen, die sie für Betrügereien nutzen.

Weit verbreitet sind nach wie vor Abo-Fallen: Dabei bieten Internetseiten etwa Kochrezepte, Spiele, einen Gehaltsrechner oder Routenplaner an. Im Kleingeschriebenen halsen sie dann den Nutzern ein teures Abo auf, drohen bei Nichtzahlung schnell per Mahnschreiben.

Das Fachmagazin Computerbild hat nun die 100 gefährlichsten Internetseiten zusammengestellt. Diese sollten besser nicht angesurft werden. Computerbild bietet auf der Heft-DVD (Ausgabe 15/2008) die Liste als Datei an – diese kann in den Browser übertragen werden, so dass der Nutzer die gefährlichen Seiten fortan nicht mehr ansurfen kann.

Die Risiken können zudem mit den bekannten Patentrezepten minimiert werden: aktuelle Anti-Viren-Software benutzen, Firewall einrichten (zum Beispiel die Windows-Firewall) und sämtliche Programme auf dem Computer per Patch auf dem neuesten Stand halten.

Ein neuer Schädling macht per Mail Runde und versucht wieder einmal, seine Empfänger in Angst und Schrecken zu versetzen, damit diese unbedacht auf den Anhang klicken. Die Mails geben vor, von einem Inkasso-Büro zu stammen, das mehrere Tausend Euro vom Konto abgebucht hat.

Sehr geehrte Damen und Herren!

Die Anzahlung Nr.885434211759 ist erfolgt Es wurden 5327.00 EURO Ihrem Konto zu Last geschrieben. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.

xxxxxx GmbH & Co. KG
xxxxx Str. 21

Glücklicherweise ist es mit dem Klick auf den Anhang allein nicht getan, um den eigenen Rechner zu infizieren. Zuvor muss das Opfer das mit einem Zipper gepackte Archiv auspacken und auf die Datei abrechnung.lnk klicken. Die hat es dann aber in sich: Sie ruft die Command-Shell (cmd.exe) mit der ebenfalls entpackten Datei scann.a als Argument auf, in welcher der eigentliche Schädling steckt.

Damit nutzen die Malware-Autoren einen Trick, vor dem heise Security bereits vor vier Jahren in einer Analyse der Sicherheitsfunktionen von Windows XP SP2 gewarnt hatte. Über die Shell lassen sich Dateien mit beliebigen Dateierweiterungen ausführen. Dieser Umweg über cmd.exe führt auch dazu, dass die ZoneID komplett ignoriert wird. Anhand der ZoneID erkennt Windows eine aus dem Internet heruntergeladene Datei auch später noch und kann vor dem Ausführen eine Warnung anzeigen.

Da die eigentliche Schaddatei die unverdächtige Endung .a trägt, dürfte so mancher Scanner die Datei ignorieren und somit den Schädling übersehen. Wenn er denn hinschaut, könnte ihn allerdings der ungewöhnliche Packer argwöhnisch machen. Aktuell (Stand 15:30) erkennt keiner der bekannten Antiviren-Hersteller den Schädling namentlich. Nach ersten Analysen von heise Security nimmt der Schädling Kontakt mit einem Server in China auf, um weitere Dateien nachzuladen.

Wie immer gilt: Nicht in Panik versetzen lassen und nicht unbedacht Archive öffnen und darin enthaltene Dateien anklicken, denn genau auf diese Reaktion setzen die Virenautoren. Weitere Hinweise zum Schutz vor Schädlingsbefall liefern die Antivirenseiten von heise Security.

Quelle: heise.de

H. D. Moore hat Version 3.2 seines Exploit-Frameworks Metasploit vorgelegt. Eine der wichtigsten Änderungen ist wahrscheinlich der Wechsel der Lizenz von GPL und Perl Artistic License auf die BSD-Lizenz. Damit darf ein Programm verändert und verbreitet werden, ohne dass der Weiterentwickler verpflichtet ist, den Quellcode der veränderten Software zu veröffentlichen. Somit ist BSD-lizenzierte Software insbesondere für kommerzielle Hersteller interessant. Allerdings sieht die BSD-Lizenz vor, dass der Copyright-Vermerk des ursprünglichen Programms enthalten bleibt.

H.D. Moore macht sich keine Illusionen darüber, dass die neue Lizenz zum kommerziellen “Missbrauch” von Metasploit führen wird. In seinem Blog äußert er jedoch die Hoffnung, dass das Projekt stark genug sei, um sich künftig mit anderen Herstellern messen zu können. Der Schlüssel zum Erfolg sei schließlich der schnelle Austausch von Informationen und Code innerhalb der Community. Moore rechnet mit speziellen Produkten für spezifische Anwendungen, etwa Sicherheitstools für SCADA-Systeme in der industriellen Leittechnik.

Neben der Lizenzänderung gab es zahlreiche technische Verbesserungen und Erweiterungen etwa beim Module-Format, dem Ruby-Assember METASM, den WinDBG-Erweiterungen sowie den PcapRub-, Scruby- und Packetfu-Bibliotheken. Das Framework steht für 2000/XP/2003/Vista als Installer bereit, für Linux, BSD und Mac OS X gibt es ein gepacktes Archiv.

• Metasploit 3.2 BSD Licensing, Blogeintrag vom H. D. Moore

Quelle: heise.de

Suns freie Entwicklungsumgebung Netbeans bringt in seiner gerade erschienenen Version 6.5 erstmals einen Editor für die Skriptsprache PHP mit. Er verfügt über Codevervollständigung, semantische und syntaktische Codehervorhebung, versteht Here-Dokumente und enthält Generatoren für MySQL-Code-Schnipsel. Der bereits in Entwicklung befindliche Nachfolger soll SQL-Kommandos in PHP-Strings vervollständigen können.

Weitere Neuerungen betreffen Javascript-Entwickler, die ihren Code jetzt via Browser-Plug-in mit Debuggern im Firefox und im Internet Explorer untersuchen können. Ein Monitor zeigt den HTTP-Verkehr zwischen Browser und Server an. Verbessert haben die Entwickler außerdem die Editoren für Javascript, CSS und SQL.

Erstmals lassen sich mit Netbeans Projekte in Suns JavaFX bearbeiten, das als Konkurrent zu Microsofts Silverlight und Adobes Actionscript auftritt. Der Editor bietet die üblichen Funktionen samt Codevervollständigung, Ein-/Ausklappen und Syntaxhervorhebung sowie Popups für Javadoc-Informationen. Verbesserungen gab es ebenfalls bei der Unterstützung für Groovy, Ruby, JavaME, JUnit und SQL.

Eine komplette Liste der Neuerungen hält die Projektseite bereit. Zum Download stehen fertige Pakete für Linux, Windows, Sparc und Mac OS X sowie eine plattformunabhängige Version bereit. Voraussetzung für den Betrieb ist ein JDK ab Version 5, Update 14. Die IDE steht unter der GPLv2 und der CDDL

Quelle: heise.de

Ich bin sauer! Leute die mich näher kennen wissen ja, dass ich nicht nur eine ICQ-Nummer besitze .. Ursprünglich wars dafür gedacht, dass ich auf mehreren Rechnern online sein kann. Seit ich Jabber benutze ist dies Gott sei dank nicht mehr norwendig, aber trotzdem betreibe ich noch meine alten ICQ-Nummern über die Transporter von jabber.codiert.org.

Aber nun zu meinem Problem: Ich erhalte pro Tag etwa 100 Kontaktanfragen auf 139209333, obwohl ich diese Nummer nicht mehr aktiv nutze und eigentlich au kaum online damit bin. Auf meiner anderen 6stelligen Nummer kommen vielleicht 5 Kontaktanfragen pro Woche, die sich als Spam herausstellen.

screenshot ICQ-Spam