SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 01.03.2012
Nummer: NL-T12/0004

Die Themen dieses Newsletters:
1. Altbekannter Störenfried: Botnetz Cutwail ist wieder aktiv 2. Safari und Internet Explorer: Google-Cookie umgeht Datenschutzeinstellungen 3. Bloßgestellt: Porno-Websites verlieren Kundendaten 4. Dialer sucht Freundschaft: Android-Maleware verbreitet sich über Facebook 5. Soziales Netzwerk Path: iPhone-App verschickt private Daten 6. Apple bessert nach: iOS-Update soll Anwenderdaten schützen 7. Chrome für Windows, Mac, Linux aktualisiert: Google verbessert Browser-Sicherheit 8. Updates für Mozilla-Software: Kritische Sicherheitslücken in Firefox, Thunderbird und SeaMonkey 9. Sicherheit für Macs: Erstes Update für Mac OS X in 2012 10. Kritische Schwachstellen im Flash- und Shockwave-Player: Adobe stellt Aktualisierungen bereit 11. Anwenderrechte gestärkt: App-Anbieter verpflichten sich zu mehr Datenschutz 12. Man-in-the-Browser-Angriff: BBC-Video erklärt Funktionsweise

EDITORIAL
Guten Tag,
wer im Internet aktiv ist, hinterlässt zwangsläufig Spuren. Dennoch
sollten Anwender die bestmögliche Kontrolle darüber haben, welche
persönlichen Informationen über sie im Netz verfügbar sind, und wer
darauf zugreifen kann. Die Interessen der Datensicherheit und der
Internetwirtschaft stehen dabei oft im Konflikt. Unternehmen wie Google
und Apple haben sich nun auf Drängen US-amerikanischer Behörden dazu
verpflichtet, die Daten von Anwendern ihrer Dienste besser zu schützen
und die informationelle Selbstbestimmung der Nutzer zu stärken.
Mehr Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit
im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und
sichere Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Altbekannter Störenfried: Botnetz Cutwail ist wieder aktiv

M86 Security Labs, Anbieter von IT-Sicherheitsdienstleistungen, hat
Hinweise darauf
gefunden [http://labs.m86security.com/2012/02/cutwail-drives-spike-in-malicious-html-attachment-spam/],
dass das berüchtigte Botnetz Cutwail (alias Pushdo, Pushu oder Pandex)
hinter einer aktuellen Malware-Kampagne steckt. Dem IT-Magazin
zdnet.de
zufolge [http://www.zdnet.de/news/41560250/forscher-botnetz-cutwail-ist-zurueck.htm]
wird versucht, Anwendern unerwünscht Werbung zuzustellen und Malware auf
deren Rechnern zu installieren. Entsprechende E-Mails mit Anhängen lauten
im Betreff „FDIC - Suspended bank account“, „End of August Statement“ und
„Xerox Scan“. Startet der Nutzer die angehängte HTML-Seite im Browser,
wird – u.a. über Sicherheitslücken in älteren Acrobat Reader-Versionen –
versucht, Schadsoftware auf den Computer zu übertragen. So wurde laut M86
Security Labs der Trojaner Cridex installiert, der Anwenderdaten
ausspionieren und an einen entfernten Rechner übertragen kann. Das
Botnetz Cutwail war bereits Mitte 2009 sehr aktiv und war damals für 35
Prozent aller verbreiteten Spam-E-Mails verantwortlich, ist auf zdnet.de
zu lesen. Das Blog botfrei.de führt weiter
aus [http://blog.botfrei.de/2012/02/das-cutwail-botnetz-ist-zuruck/],
dass zeitweise 1,6 Millionen Rechner mit dem Schadprogramm infiziert
waren.

2. Safari und Internet Explorer: Google-Cookie umgeht
Datenschutzeinstellungen

Das Wall Street Journal (WSJ)
berichtet [http://www.wallstreetjournal.de/article/SB10001424052970204880404577228751885001084.html?mod=WSJDE_latestheadlines],
dass Google mithilfe eines Cookies das Surfverhalten von Anwendern des
Apple-Browsers Safari ohne deren Wissen und Einverständnis verfolgt hat.
Dazu musste Google die Datenschutzfunktion von Safari umgehen. Denn
eigentlich sperrt Safari Cookies von Drittanbietern standardmäßig.
Ausnahmen gibt es nur, wenn Anwender mit einer Website interagieren, etwa
ein Formular ausfüllen. Dann erlaubt Safari Cookies im Zusammenhang mit
dieser Website. Laut WSJ soll Google nun in einigen seiner Werbe-Anzeigen
Code in den „+1“-Button angefügt haben, damit Safari annimmt, ein
ausgefülltes Formular liegt vor und den Cookie zulässt. Google hat den
Code inzwischen entfernt und beteuert, keine persönlichen Anwenderdaten
gesammelt zu haben. Wie u.a. golem.de
berichtet [http://www.golem.de/news/cookies-microsoft-setzt-google-auf-die-schwarze-liste-1202-89910.html],
wirft auch Microsoft Google vor, gegen die Datenschutzbestimmungen im
Zusammenhang mit Cookies zu verstoßen.

3. Bloßgestellt: Porno-Websites verlieren Kundendaten

Persönliche Daten hunderttausender Nutzer von Porno-Webportalen waren
oder sind frei im Internet einsehbar. Wie u.a.
sueddeutsche.de [http://www.sueddeutsche.de/digital/nutzerdaten-im-netz-veroeffentlicht-datenschlamperei-entbloesst-youporn-chatter-1.1291560]
berichtet, haben die Websites YouPorn und Brazzers die Kontrolle über
Kundendaten verloren. Beide Websites werden von der Firma Manwin mit Sitz
in Luxemburg betrieben. Bei YouPorn sollen 6400 Datensätze betroffen
sein, bei Brazzers wurden 350.000 Datensätze entwendet. Um welche Daten
es sich im Fall Brazzers handelt, ist nicht bekannt. Kredtikartendaten
sollen einem Bericht auf heise
security [http://www.heise.de/security/meldung/Hacker-erbeutet-350-000-Nutzerdaten-von-Pornosite-1434692.html]
zufolge jedoch nicht in unbefugte Hände geraten sein. Bei YouPorn konnten
sich die Hacker über eine ungesicherte Manwin-Website Zugang zu
E-Mail-Adressen und Passwörtern von Anwendern des Chats verschaffen.
Manwin hat den Chat bis auf Weiteres geschlossen, heißt es in einer
Meldung des Branchen-Nachrichtendienstes
xbiz [http://newswire.xbiz.com/view.php?id=144587].
heise security berichtet
außerdem [http://www.heise.de/security/meldung/Nutzerdatenbank-von-Porno-Portal-offen-im-Netz-1439973.html],
dass eine Sicherheitslücke im Pornofilm-Portal videoz.com es ermöglicht,
ohne Angabe eines Passwortes auf mehrere hunderttausend Datensätze von
Kunden zuzugreifen. U.a. sollen Adressen, Passwörter, Kreditkartendaten
und Informationen zu Filmen, die heruntergeladen wurden, für Unbefugte
verfügbar sein.

4. Dialer sucht Freundschaft: Android-Maleware verbreitet sich über
Facebook

Mit Bouncer, einer Art Türsteher-Programm, durchsucht Google seit Anfang
Februar 2012 den Android-Market nach Schadsoftware. Der Bouncer soll
verhindern, dass Entwickler Schadsoftware in den App-Marktplatz
einstellen können. Das soll Anwender besser vor Schadsoftware schützen.
Cyberkriminelle nutzen deshalb alternative Wege, um Schadcode auf
Android-Smartphones unterzubringen. Wie
zdnet.de [http://www.zdnet.de/news/41560421/android-malware-verbreitet-sich-per-facebook.htm]
in Berufung auf den IT-Security-Dienstleister Sophos berichtet, erhalten
Anwender derzeit Freundschaftsanfragen für Facebook durch Unbekannte. Auf
der Profilseite des Anfragenden findet sich ein Link, der eine Website
öffnet, die automatisch Malware auf das Anwender-Gerät lädt. Das
Schadprogramm trägt den Namen „any_name.apk“. Dabei handelt es
laut
Sophos [http://nakedsecurity.sophos.com/2012/02/24/android-malware-facebook/]
um einen Dialer, der ohne Zustimmung des Smartphonebesitzers teure
Premium-Nummern anruft. Informationen zum sicheren Surfen im mobilen Netz
gibt es auf der Website BSI FÜR
BÜRGER [https://www.bsi-fuer-buerger.de/ContentBSIFB/MobileSicherheit/mobileSicherheit.html].

5. Soziales Netzwerk Path: iPhone-App verschickt private Daten

Um soziale Netzwerke auch per Smartphone nutzen zu können, brauchen
Anwender entsprechende Anwendungen. Die App des sozialen Netzwerks Path
ist für iOS- und Android-Smartphones kostenlos erhältlich. Path musste
nach einem Bericht des Bloggers Arun
Thampi [http://mclov.in/2012/02/08/path-uploads-your-entire-address-book-to-their-servers.html]
nun
eingestehen [http://blog.path.com/post/17274932484/we-are-sorry],
dass die iPhone-Version der App Anwenderdaten ungefragt an einen Server
des Netzwerkbetreibers schickte. Übertragen wurde das gesamte Adressbuch,
einschließlich Telefonnummern, E-Mail-Adressen und Postanschriften der
Kontakte. Dies sollte laut Path dazu dienen, Anwender auf Freunde und
Bekannte hinzuweisen, die den Dienst ebenfalls nutzen. Die übermittelten
Daten wurden bei Path gespeichert. In Folge der Kritik habe Path nun alle
über die App gesammelten Nutzerdaten von seinen Servern gelöscht. Ein
Update der Anwendung ist in Apples
App-Store [http://itunes.apple.com/de/app/path/id403639508?mt=8]
veröffentlicht. In der Version 2.0.7 haben Anwender nun die Möglichkeit
selbst zu entscheiden, ob Daten an das Unternehmen weitergegeben werden
oder nicht. Wer sein Einverständnis zu einem späteren Zeitpunkt
widerrufen möchte, soll eine entsprechende E-Mail an service@path.com
senden.

SCHUTZMASSNAHMEN
6. Apple bessert nach: iOS-Update soll Anwenderdaten schützen

Laut Apple verletzen derzeit einige Apps für das iPhone und das iPad
Richtlinien des Konzerns, weil sie ohne Zustimmung des Anwenders dessen
Daten sammeln und übertragen. Dies meldet das IT-Magazin
zdnet.de [http://www.zdnet.de/news/41560210/ios-update-soll-heimliches-auslesen-von-kontaktdaten-verhindern.htm].
Ein Update des iOS-Betriebssystems soll dies künftig verhindern. Daten,
etwa zum Standort oder aus Adressbüchern, werden dann nur noch an Dritte
weitergeleitet, wenn der Anwender dem zugestimmt hat. Apple reagiert
damit auf die Vorkommnisse im Zusammenhang mit der App für das soziale
Netzwerk Path, das ungefragt Nutzerdaten gesammelt und gespeichert hat
(siehe oben stehende Meldung).

7. Chrome für Windows, Mac, Linux aktualisiert: Google verbessert
Browser-Sicherheit

Google stellt ein Sicherheitsupdate für seinen Browser Chrome auf den
Betriebssystemen Windows, Mac und Linux bereit. Mit der Aktualisierung
auf Version 17.0.963.56 schließt Google 13 Schwachstellen. Eine kritische
Sicherheitslücke ist nicht dabei, sieben sind jedoch der Risikostufe
„hoch“ zugeordnet. Die Schwachstellen könnten beispielsweise von
entfernten Angreifern ausgenutzt werden, um Zugriffsbeschränkungen zu
umgehen, Daten zu manipulieren, den Browser zum Absturz zu bringen und
Schadcode innerhalb der Browser-Sandbox auszuführen. Das
Bürger-CERT
empfiehlt [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0012]
die Aktualisierung des Webbrowsers auf die neueste Version, um eine
Ausnutzung der Schwachstellen zu verhindern. Anwender aktualisieren
Chrome am einfachsten über die automatische Update-Routine des Browsers.
Das Update wird dabei im Hintergrund heruntergeladen und mit dem Beenden
des Browsers installiert. Die aktuelle Chrome-Version kann auch von der
Google-Website [http://chrome.google.de/] heruntergeladen
werden.

8. Updates für Mozilla-Software: Kritische Sicherheitslücken in Firefox,
Thunderbird und SeaMonkey

Mit der Veröffentlichung von Firefox 10 Anfang Februar hat Mozilla
bereits zahlreiche Sicherheitslücken des Firefox-Browsers geschlossen,
wie u.a. heise
security [http://www.heise.de/security/meldung/Mozilla-Updates-stopfen-kritische-Luecken-1426024.html]
berichtete. Ein weiteres Update schloss eine von
Mozilla [https://www.mozilla.org/security/announce/2012/mfsa2012-10.html]
als „kritisch“ eingestufte Schwachstelle, die nur im Firefox 10 auftritt.
Nun gibt es noch ein Update – auf Version 10.0.2 – das auch ältere
Firefox-Versionen sowie die Programme Thunderbird und SeaMonkey betrifft.
Dem
Bürger-CERT [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0013]
zufolge steht die Schwachstelle in Zusammenhang mit der Bibliothek zur
Verarbeitung von PNG-Grafikdateien. Ein entfernter, anonymer Angreifer
kann diese Schwachstelle ausnutzen, um beliebigen Code mit den Rechten
des angemeldeten Benutzers auszuführen, heißt es. Zur erfolgreichen
Ausnutzung dieser Schwachstelle muss der Angreifer den Anwender dazu
bringen eine manipulierte E-Mail oder Webseite zu öffnen. Das
Bürger-CERT
empfiehlt [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0013]
die betroffenen Programme schnellstmöglich zu aktualisieren. Dies kann
über die automatische Updatefunktion oder über die manuelle Installation
der neuesten Version erfolgen. Die aktuelle
Firefox- [http://www.mozilla.com/firefox],
Thunderbird- [http://www.mozilla.com/thunderbird] und
SeaMonkey-Version [http://www.seamonkey-project.org/releases/]
können kostenlos von den entsprechenden Websites heruntergeladen werden.

9. Sicherheit für Macs: Erstes Update für Mac OS X in 2012

Apple hat ein Update für sein Betriebssystem Mac OS
X [http://support.apple.com/kb/HT5130?viewlocale=de_DE] veröffentlicht.
Die neue Version Mac OS X Lion v10.7.3 beseitigt Fehler in der Anwendung
und behebt mit dem Sicherheitsupdate 2012-001 mehrere Schwachstellen in
der PC- und in der Server-Version der Software. Die Schwachstellen
ermöglichen etwa das Ausführen von Schadcode oder das Ausspionieren von
Anwenderdaten. Eine detaillierte Aufstellung der behobenen
Sicherheitslücken gibt es auf der Website des
Apple-Supports [http://support.apple.com/kb/HT5130?viewlocale=de_DE].
Mac OS X 10.7.3 wird über die Softwareaktualisierung von Mac OS X zur
Verfügung gestellt, kann aber auch über den
Download-Bereich von
Apple [http://support.apple.com/kb/DL1484] heruntergeladen werden.

10. Kritische Schwachstellen im Flash- und Shockwave-Player: Adobe stellt
Aktualisierungen bereit

Der Softwarehersteller Adobe hat für seine Media-Player Shockwave und
Flash-Player Aktualisierungen veröffentlicht. Mit dem Update auf Version
11.6.4.634 werden neun als kritisch beschriebene
Sicherheitslücken [http://www.adobe.com/support/security/bulletins/apsb12-02.html]
im Shockwave-Player geschlossen, die u.a. zum Einschleusen von Schadcode
missbraucht werden könnten. Dazu genüge es etwa, wenn ein Anwender eine
speziell präparierte Webseite öffnet. Betroffen sind laut Adobe die
Shockwave-Player-Versionen 11.6.3.633 und ältere für Windows und Mac OS
X. Das Update kann von der Website des
Unternehmens [http://get.adobe.com/de/shockwave/] heruntergeladen
werden. Ob Anwender Shockwave bereits installiert haben und wenn ja,
welche Version, lässt sich einfach mit einer Test-Website
von Adobe [http://www.adobe.com/shockwave/welcome/] prüfen.
Das Update für den Flash-Player beseitigt insgesamt sieben
Schwachstellen, deren Risiko Adobe „kritisch“ bewertet. Sechs
Schwachstellen können Angreifer ausnutzen, um einen PC über präparierte
Webseiten mit Schadcode zu infizieren. Eine sogenannte
Cross-Site-Scripting-Lücke wird nach
Unternehmensangaben [http://www.adobe.com/support/security/bulletins/apsb12-03.html]
bereits von Hackern ausgenutzt. E-Mails mit Links zu manipulierten
Websites seien im Umlauf. Gefährdet seien aber nur Anwender des Internet
Explorers für Windows.
Die aktuelle Flash-Player Version 11.1.102.62 stellt Adobe
als Download bereit [http://get.adobe.com/de/flashplayer/], die Version
für mobile Endgeräte mit Android-Betriebssystem kann über den Android
Market heruntergeladen werden.

PRISMA
11. Anwenderrechte gestärkt: App-Anbieter verpflichten sich zu mehr
Datenschutz

Auf Drängen des US-Bundesstaates Kalifornien haben sich die Unternehmen
Apple, Google, Microsoft, Research in Motion (RIM), Hewlett-Packard und
Amazon dazu verpflichtet, den Schutz ihrer Kundendaten zu verbessern.
Hierüber berichten u.a.
tagessschau.de [http://www.tagesschau.de/wirtschaft/datenschutzapps100.html]
und
magnus.de [http://www.magnus.de/news/apple-und-google-verpflichten-sich-zu-mehr-datenschutz-bei-apps-1253716.html].
Alle Apps dieser Anbieter müssen der Vereinbarung zufolge strengere
Datenschutzstandards erfüllen. So sollen Anwender in Zukunft besser
darüber informiert werden, welche persönlichen Daten eine auf ihrem
Smartphone oder Tablet-Computer installierte App erfasst und was sie
damit anstellt. Außerdem sollen die Unternehmen Kommunikationskanäle
bereitstellen, über die Anwender Probleme mit dem Datenschutz melden
können. Von der Vereinbarung sollen nach Ansicht des kalifornischen
Staates auch Anwender außerhalb der USA profitieren.

12. Man-in-the-Browser-Angriff: BBC-Video erklärt Funktionsweise

Die britische Fernseh-Sender BBC erklärt in einem rund zweiminütigen
Video [http://news.bbc.co.uk/2/hi/programmes/click_online/9692842.stm]
anschaulich und in englischer Sprache die Funktionsweise von sogenannten
Man-in-the-Browser-Attacken. Cyberkriminelle nutzen diese Taktik etwa, um
an Anwenderdaten beim Online-Banking zu gelangen. Dazu setzt sich eine
Phishing-Software im Anwender-System fest und wartet, bis der Anwender
sein Online-Banking-Portal aufruft. Der Trojaner öffnet nun Fenster, die
augenscheinlich zum Portal des Bankinstituts gehören, und fragt
Passwörter, PINs und andere Daten ab. Diese Daten werden dann an die
Angreifer weitergeleitet. Durch laufende Veränderungen des Programmcodes
sind die Schadprogramme von Schutzprogrammen nur schwer zu identifizieren
– das macht sie besonders gefährlich, heißt es in einem weiterführenden
Artikel auf BBC
News [http://www.bbc.co.uk/news/technology-16812064]. In dem Artikel
erhalten Anwender Tipps, wie sie einen Man-in-the-Browser- Angriff
erkennen können und wie sie sich im Fall eines Angriffs verhalten
sollten.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de