SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 24.11.2011
Nummer: NL-T11/0024

Die Themen dieses Newsletters:
1. Spieleplattform Steam gehackt: Diebstahl von Kreditkartendaten möglich
2. Phishing-Angriff auf Xbox-Live-Konten: Kostenlose Punkte als Lockmittel
3. Webhoster warnt Kunden: Standard-Root-Passwörter möglicherweise gehackt
4. Gewalt und Pornographie: Spam-Attacke auf Facebook-Pinnwand
5. Wolf im Schafspelz: Malware tarnt sich mit digitalem Zertifikat
6. Realplayer aktualisiert: Sicherheitskritische Lücken geschlossen
7. Update für Flash-Player: Adobe beseitigt Sicherheitslücken
8. Schwachstellen beseitigt: Erstes Update für Chrome 15 veröffentlicht
9. Android 4-Feature ausgetrickst: Gesichterkennung ist nicht sicher
10. Hacker-Zugriff auf Wasserwerk: Steuerungstechnik unzureichend geschützt

EDITORIAL
Guten Tag,
im Jahr 2010 haben die Deutschen 1,86 Milliarden Euro für Computer- und
Videospielesoftware ausgegeben Quelle:
http://www.biu-online.de/de/fakten/marktzahlen.html [http://www.biu-online.de/de/fakten/marktzahlen.html].
Und der Markt wächst. Dabei gewinnen Online-Funktionen an Bedeutung:
Spieler vernetzen sich, kaufen Spiele und Erweiterungen direkt im
Internet. Das bleibt auch Cyberkriminellen nicht verborgen. Der aktuelle
Hackerangriff auf die Spiele-Plattform Steam und die Phishing-Attacke auf
Xbox-Live-Konten zeigt, dass sich Online-Gamer vor Datendieben in acht
nehmen sollten. Mehr Infos dazu sowie weitere Meldungen rund um die
Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende
Lektüre und sichere Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Spieleplattform Steam gehackt: Diebstahl von Kreditkartendaten möglich

Das US-amerikanische Unternehmen Valve entwickelt Computer- und
Konsolenspiele wie Half-Life, Left 4 Dead und Call of Duty. Die Spiele
werden über die firmeneigene Internetplattform namens Steam vertrieben,
nach eigenen Angaben an 35 Millionen Spieler in aller Welt. Wie Valve
auf der englischsprachigen Steam-Website
mitteilt http://www.valvesoftware.com/news/, ist es Hackern
möglicherweise gelungen, an vertrauliche Daten von Valve-Kunden zu
gelangen. Bemerkt wurden die Angriffe auf Steam-Nutzerforen und die
Kundendatenbank am 6. November. Valve hatte die Foren zeitweise
deaktiviert. Die Angreifer sollen Zugriff auf Namen, Passwörter,
Kaufbelegen, E-Mail- und Rechnungsadressen sowie verschlüsselte
Kreditkarteninformationen gehabt haben. Für einen Missbrauch dieser
Informationen gebe es laut Valve bisher jedoch keine Beweise. Das
Unternehmen empfiehlt seiner Kundschaft, Kreditkartenabrechnungen genau
zu prüfen. Zudem werden alle Forennutzer bei ihrem nächsten Login
aufgefordert, ein neues Passwort festzulegen, auch das Passwort für den
Shop-Account sollte geändert werden. Die Logins zu den Foren und den
Steam-Accounts seien voneinander getrennt. Nutzern wird empfohlen, für
beide Zugänge unterschiedliche Passwörter zu vergeben. Tipps zum Anlegen
sicherer Passwörter gibt es auf der Website. BSI FUER
BUERGER https://www.bsi-fuer-buerger.de/ContentBSIFB/MeinPC/Passwoerter/passwoerter.html

2. Phishing-Angriff auf Xbox-Live-Konten: Kostenlose Punkte als
Lockmittel

Wie die britische Tageszeitung „The Sun“ am 22. November in ihrer
Online-Ausgabe [http://www.thesun.co.uk/sol/homepage/news/3950691/Gamers-caught-in-Xbox-cyber-fraud.html]
meldet, ist es in den vergangenen Tagen zu Phishing-Attacken im
Zusammenhang mit Microsofts Online-Spieleplattform „XboxLive” gekommen.
Demnach sollen mögliche Betrüger E-Mails an Xbox-Live-Mitglieder
verschickt haben, die den Eindruck erwecken als kämen sie direkt von
Microsoft. Die Anwender werden aufgefordert Links zu folgen und ihre
persönlichen Login-Daten für ihren Xbox-Live-Account einzugeben. Die
Opfer wurden u.a. mit dem Versprechen gelockt, kostenlos Xbox-Live-Punkte
zu erhalten, die als virtuelle Währung den Kauf von Spielen ermöglichen.
Die Eingabe der Login-Daten über den betrügerischen Link gewährt den
Angreifern direkten Zugriff auf das entsprechende Xbox-Live-Konto mit den
gespeicherten Guthaben-Punkten und Kreditkarten-Daten. Laut „The Sun“
sind Gamer in über 35 Ländern betroffen. Der durchschnittliche
finanzielle Verlust pro Konto liege dabei zwischen 100 und 250 Euro.
Weiter heißt es: Microsoft könne nur für Schäden aufkommen, wenn Anwender
nachweisen können, dass sie ihre Zugangsdaten nicht selbst weitergegeben
haben. In einer
Stellungnahme http://www.bbc.co.uk/newsbeat/15837971
gegenüber dem BBC-Radiosender Newsbeat teilt der Konzern mit, es gebe
keine Hinweise auf Sicherheitslücken im Xbox-Live-System.

3. Webhoster warnt Kunden: Standard-Root-Passwörter möglicherweise
gehackt

Der in Berlin ansässige Webhoster „1blu“ ist möglicherweise Ziel eines
Hackerangriffs geworden. Wie u.a. das IT-Magazin PC
Welt http://www.pcwelt.de/news/Sicherheit-Wurde-der-deutsche-Webhoster-1blu-zum-Hacker-Opfer-3899202.html
berichtet, hat das Unternehmen seinen Kunden eine entsprechende Warnung
per E-Mail geschickt. Damit reagiert 1blu auf Hinweise, dass es unter
Umständen einen nicht autorisierten Zugriff auf Passwörter der Kunden
gegeben habe. Betroffen sein könnten Kunden, die immer noch ihr
Standard-Root-Passwort verwenden, das sie zur Einrichtung ihres
1blu-Kontos erhalten haben. Die Konten, die noch das
Standard-Root-Passwort nutzten, wurden gesperrt. Die infrage kommenden
Kunden sollen demnächst neue Root-Passwörter per Post erhalten und diese
umgehend in ein persönliches Kennwort umwandeln. Das Unternehmen teilte
am 17. November auf seiner
Facebookseite http://www.facebook.com/photo.php?fbid=301365303215682&set=a.159473340738213.35181.115839515101596&type=1
mit, dass Untersuchungen bis dato die Hinweise auf einen Angriff „nicht
verifizieren“ konnten. Dennoch habe man Anpassungen im
Kundenservicebereich vorgenommen: Passwörter für E-Mail-, FTP- und
Datenbank-Dienste werden jetzt nicht mehr im Kundenservicebereich
hinterlegt. Detaillierte Infos hierzu erhalten 1blu-Kunden nach dem Login
im Kundenservicebereich.

4. Gewalt und Pornographie: Spam-Attacke auf Facebook-Pinnwand

Der Hersteller von IT-Sicherheitsprodukten Sophos berichtet
in seinem firmeneigenen
Blog http://nakedsecurity.sophos.com/2011/11/16/facebook-explains-pornographic-shock-spam-hints-at-browser-vulnerability/
von einer Spam-Attacke in Zusammenhang mit Facebook. Demnach hätten
Facebook-Nutzer von Einträgen unbekannter Herkunft auf ihrer Pinnwand
berichtet. Gepostet wurden etwa pornographische Bilder und
Gewaltdarstellungen. In einer Stellungnahme gegenüber dem
Social-Media-Blog Mashable teilt Facebook
mit http://mashable.com/2011/11/15/facebook-spam-porn/, dass die
Plattform selbst nicht angegriffen wurde, sondern die Browser der Nutzer.
Ausgenutzt wurde demnach eine Sicherheitslücke, die Cross-Site-Scripting
(kurz: XSS, deutsch: Seitenübergreifendes Scripting) erlaubt. XSS
bezeichnet das Ausnutzen einer Computersicherheitslücke in
Webanwendungen. Schadcode wird aus einem Kontext, in dem er nicht
vertrauenswürdig ist, in einen anderen eingefügt, in dem er als
vertrauenswürdig eingestuft wird. Aus diesem vertrauenswürdigen Kontext
kann dann ein Angriff erfolgen. Im betreffenden Fall sollen Angreifer die
Facebook-Nutzer - etwa durch ein Gewinnspiel - dazu animiert haben, den
für die Spam-Attacke notwendigen schadhaften Javascript-Code mit ihrem
Browser auszuführen. Um solchen Attacken zu entgehen, sollten Anwender
stets die aktuellste Browserversion nutzen und keinen Links folgen, die
nicht absolut vertrauenswürdig erscheinen. Informationen, wie man seinen
Browser zusätzlich sicherer machen kann, hält die Website
BSI FUER
BUERGER https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrowser/derbrowser_node.html
bereit.

5. Wolf im Schafspelz: Malware tarnt sich mit digitalem Zertifikat

Experten des Antivirensoftware-Herstellers F-Secure haben ein
Schadprogramm entdeckt, das sich mit einem offiziellen digitalen
Zertifikat tarnt. Darüber berichten u.a. F-Secure im
firmeneigenen
Blog http://www.f-secure.com/weblog/archives/00002269.html und der
IT-Nachrichtendienst heise
Security http://www.heise.de/security/meldung/F-Secure-findet-Malware-die-mit-einem-gueltigen-Zertifikat-signiert-ist-1379599.html.
Demnach wurde das digitale Zertifikat „anjungnet.mardi.gov.my“ dem
malaysischen Institut für Landwirtschaftliche Forschung und Entwicklung
gestohlen. Mithilfe des digitalen Zertifikats kann das Schadprogramm die
Sicherheitssysteme von Computern umgehen, weil diese signierten Dateien
und Anwendungen teilweise blind vertrauen und nicht immer auf enthaltenen
Schadcode prüfen. Im betreffenden Fall werde laut F-Secure versucht, den
Trojaner namens „W32/Agent.DTIW“ über manipulierte PDF-Dateien zu
verbreiten, dabei werde eine Schwachstelle im Adobe Reader 8 ausgenutzt.
Ist ein System befallen, werde weiterer Schadcode von einem Server namens
worldnewsmagazines.org nachgeladen. Einige dieser Komponenten seien
ebenfalls signiert. „Es ist nicht alltäglich, signierte Malware zu
finden. Noch seltener ist es, dass sie mit einem offiziellen Schlüssel
einer Regierung signiert ist“, heißt es im F-Secure-Blog.

SCHUTZMASSNAHMEN
6. Realplayer aktualisiert: Sicherheitskritische Lücken geschlossen

Das Softwareunternehmen RealNetworks hat ein Update für seinen
Mediaplayer Realplayer veröffentlicht. Auf einer
Service-Website http://service.real.com/realplayer/security/11182011_player/de/
teilt das Unternehmen mit, dass 19 teilweise kritische Sicherheitslücken
mit dem Einspielen einer neuen Programmversion behoben werden können. Die
Lücken lassen sich u.a. dazu missbrauchen, Schadcode auf den Rechner zu
transportieren und auszuführen. Detaillierte Beschreibungen der
jeweiligen Fehler und der betroffenen Versionen finden sich auf der
Service-Website. Anwendern wird empfohlen, stets die aktuelle Version des
Players zu nutzen. Betroffen sind die Realplayer-Versionen für Windows-
und Mac-OS-Betriebssysteme. Unter Windows sind die Versionen der 1.x-,
11.x- und 14.x-Reihen betroffen. Die Lücken werden mit der Version 15
geschlossen. Unter Mac OS finden sich die Risiken bis inklusive der
Version 12.0.0.1701. Hier werden sie mit der Version 12.0.0.1703 behoben.

7. Update für Flash-Player: Adobe beseitigt Sicherheitslücken

Der Softwarehersteller Adobe hat ein Update für seinen Flash Player
veröffentlicht. Insgesamt werden zwölf Sicherheitslücken geschlossen. Wie
das Unternehmen in einem
Sicherheitshinweis http://www.adobe.com/support/security/bulletins/apsb11-28.html
mitteilt, sind Flash Player für Windows, Linux und MacOS in den Versionen
bis einschließlich 11.0.1.152 betroffen; Flash Player für Chrome
ebenfalls; und Flash Player für Android in den Versionen bis
einschließlich 11.0.1.153. Die Schwachstellen könnten einen Absturz der
Anwendung auslösen. Ein Angreifer könnte sich zudem die vollständige
Kontrolle über ein betroffenes System verschaffen. Das BUERGER-CERT
empfiehlt allen Anwendern das von Adobe bereitgestellte Sicherheitsupdate
auf Version 11.1.102.55 so bald wie möglich zu installieren. Beim Adobe
Flash-Player geschieht dies am einfachsten über die programmeigene
Update-Funktion oder über die
Adobe-Website http://get.adobe.com/de/flashplayer/.
Nutzern von Googles Mobilbetriebssystem steht im Android
Marketplace https://market.android.com/details?id=com.adobe.flashplayer&hl=de
die Version 11.1.102.59 zur Verfügung.

8. Schwachstellen beseitigt: Erstes Update für Chrome 15 veröffentlicht

Nur wenige Tage nach der Veröffentlichung der Version 15 des
Google-Browsers Chrome wurden die ersten Schwachstellen entdeckt und
durch Google behoben. Dies geht aus einem
Sicherheitshinweis http://googlechromereleases.blogspot.com/search/label/Stable%20updates
des Unternehmens hervor. Das Unternehmen stuft sechs der durch die acht
Sicherheitslücken bedingten Risiken als „hoch“ ein. Angreifer könnten
einige der Lücken ausnutzen, um Schadcode auf die Computer der
Chrome-Anwender zu schleusen und auszuführen. Google Chrome aktualisiert
sich bei neuen Version automatisch. Anwender müssen nichts unternehmen,
um neue Versionen zu erhalten.

PRISMA
9. Android 4-Feature ausgetrickst: Gesichterkennung ist nicht sicher

Das Betriebssystem Android 4 für mobile Geräte bietet die Möglichkeit,
Smartphones per Gesichtserkennung zu entsperren. Dazu muss das Gerät vor
das Gesicht des Anwenders gehalten werden. Der Blog SoyaCincau
zeigt nun ein (englischsprachiges)
Video http://www.soyacincau.com/2011/11/10/first-impressions-google-galaxy-nexus/,
das beweisen soll, dass sich die optische Gerätesperre durch ein Foto,
das sich auf dem Bildschirm eines anderen Smartphones befindet, umgehen
lässt. Dem IT-Newsdienst
ZDNet http://www.zdnet.de/news/41557933/androids-gesichtserkennung-laesst-sich-per-foto-ueberlisten.ht
sagte ein Google-Sprecher daraufhin, die Funktion der Entsperrung durch
Gesichtserkennung sei experimentell und biete nur geringe Sicherheit.
Nutzer werden zudem von der Anwendung darauf hingewiesen, dass die
Entsperrung per Gesichtserkennung unsicherer ist als ein Eingabemuster,
eine PIN oder ein Passwort. Personen, die dem Anwender ähnlich sehen,
könnten das Gerät entsperren. Laut ZDNet sei die Verschlüsselung per
Gesichterkennung aber sicherer als gar keine Zugangsperre. Immerhin
müsste ein Angreifer sowohl über das Gerät, als auch über ein Foto des
Besitzers verfügen, um sich Zugang zu Gerätedaten zu verschaffen.

10. Hacker-Zugriff auf Wasserwerk: Steuerungstechnik unzureichend
geschützt

Ein Hacker namens „pr0f“ hat sich zu einem Hackerangriff auf die
Steuerungssysteme eines Wasserwerks im texanischen South Houston bekannt.
Darüber berichtet u.a. der IT-Newsdienst
Golem http://www.golem.de/1111/87872.html. Gegenüber dem Blog
Threatpost des Sicherheitssoftwareherstellers Kasperky
sagte
pr0f http://threatpost.com/en_us/blogs/hacker-says-texas-town-used-three-character-password-secure-internet-facing-scada-system-11201,
er wollte mit seinem Angriff zeigen, wie bedroht Versorgungssysteme sind.
Ein Schaden wurde nicht verursacht. Das Steuerungssystem habe er mithilfe
eines Scanners aufgespürt, der nach digitalen Spuren von
Supervisory-Control-and-Data-Acquisition-Systemen (Scada) sucht.
Scada-Systeme dienen dem Überwachen und Steuern technischer Prozesse
mittels eines Computer-Systems. Laut pr0f sei das System des Wasserwerks
über das Internet zugänglich und nur mit einem dreistelligen Passwort
gesichert gewesen. Wie Golem in einem zweiten Artikel
berichtet http://www.golem.de/1108/85451.html, sehen
Sicherheitsexperten Scada-Systeme insgesamt kritisch und als
angriffsgefährdet an. Sie seien häufig nicht nur über das Internet
erreichbar, sondern könnten auch mit Suchmaschinen gefunden werden.
Außerdem nutzten viele dieser Systeme keine Sicherheitsmechanismen wie
Verschlüsselung oder Authentifizierung.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de