SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 07.06.2012
Nummer: NL-T12/0011

Die Themen dieses Newsletters:
1. Gefahr aus der Cloud: Wie Passwortdiebe Google Docs missbrauchen
2. DNS-Changer weiter bedrohlich: 20.000 Deutsche ab 9. Juli womöglich ohne Internet
3. Neue E-Mail-Welle: Banking-Trojaner in PDF-Rechnungen für "Zusatzdienstleistungen"
4. Update für Fritzbox: AVM behebt Sicherheitslücke in Routern
5. Sicherheitsupdate für Mozilla Firefox, Thunderbird und SeaMonkey veröffentlicht: Mozilla behebt mehrere Sicherheitslücken
6. „Flame“ unter der Lupe: Spionagevirus stellt keine Bedrohung für Privatanwender dar
7. Klein, aber gefährlich: Miniatur Banking-Trojaner ist nur 20 Kilobyte groß
8. Nachrichten, die sich selbst zerstören: Dienst „Burn Note“ bietet Verfallsdatum für Textnachrichten
9. Ältere Deutsche haben die sichersten Passwörter: Studie untersucht 70 Millionen Yahoo-Zugansdaten

EDITORIAL
Guten Tag,
der Programmcode des Spionagevirus „Flame“ umfasst 20 Megabyte, der des
Banking-Trojaners „Tinba“ ist mit 20 Kilobyte tausendmal kleiner. Auch
wenn die Schadprogramme technisch kaum vergleichbar sind – sie sind beide
in der Lage private Daten auszuspähen und zu stehlen. Bei der medialen
Aufmerksamkeit die so gennanten „Cyberwaffen“ wie Stuxnet, Duqu und Co.
zuteil wird, sollten Anwender nicht vergessen: Im Cyberspace können auch
die kleinen, alltäglichen Störenfriede großen Schaden anrichten.
Mehr Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit
im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und
sichere Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Gefahr aus der Cloud: Wie Passwortdiebe Google Docs missbrauchen

Mutmaßliche Cyberkriminelle missbrauchen Googles Clouddienst Google Docs,
um an persönliche Daten von Anwendern zu gelangen. Dies berichtet der
IT-Sicherheitsdienstleister Sophos im unternehmenseigenen
Blog http://nakedsecurity.sophos.com/2012/05/30/phishing-with-help-from-google-docs.
In E-Mails werden demnach Anwender aufgefordert, einen Link zu einem
Google-Dokument anzuklicken und dort die Zugangsdaten für ihren
E-Mail-Dienst in eine Maske einzugeben. Angeblich soll so eine Sperrung
des E-Mail-Kontos verhindert werden. Speichern Anwender ihre Daten im
Dokument ab, können sich die Urheber der Phishing-Attacke Zugang zum
E-Mail-Konto verschaffen.
Laut Sophos nutzen die Cyberkriminellen offenbar die Tatsache, dass
Anwender dem Link vertrauensvoll folgen, allein weil es sich um eine
Google-Adresse handelt. Dabei sage diese Tatsache nichts über die
Seriösität des Dokumenten-Erstellers und E-Mail-Absenders aus.
Google-Dokumente kann jeder erstellen, der über einen Account bei Google
verfügt.
Anwender, die derartige Phishing-Attacken bemerken, haben die Möglichkeit
den Missbrauch von Google Docs an Google zu melden. Dazu gibt es unter
jedem Google-Dokument den Button „Missbrauch melden“. Dies birgt
allerdings Sicherheitsrisiken, weil dazu das Dokument über den Link
geöffnet werden muss. Anwender, die über einen Google-Account verfügen,
haben die Möglichkeit eine Missbrauchsmeldung auf einem sicheren Weg zu
versenden – Informationen hierzu gibt es auf einer Website
des
Google-Supports http://support.google.com/docs/bin/answer.py?hl=de&answer=2463296.

2. DNS-Changer weiter bedrohlich: 20.000 Deutsche ab 9. Juli womöglich
ohne Internet

Nach Erkenntnissen des BSI greifen täglich noch rund 20.000 Rechner aus
Deutschland auf einen von der US-amerikanischen Bundespolizei FBI
betriebenen DNS-Server zu. Dieser Server fängt übergangsweise die
Domain-Anfragen von Internetnutzern auf, deren Rechner mit dem
Schadprogramm DNS-Changer infiziert sind. Am 9. Juli 2012 wird das FBI
die Server abschalten. Anwender, deren Computer vom DNS-Changer befallen
sind, haben dann keinen Zugriff mehr auf das WWW. Google informiert diese
Anwender über das Problem mit einer auf der Startseite der Google-Suche
eingeblendeten Warnmeldung, wenn sie eine Suchanfrage über den FBI-Server
starten, dies berichtet
heise.de http://www.heise.de/security/meldung/Google-warnt-DNSChanger-Opfer-1582621.html.
Wie heise.de ebenfalls meldet, versendet die Telekom aktuell an
betroffene Kunden eine Warnung und
Verhaltenshinweise http://www.heise.de/security/meldung/Telekom-warnt-DNSChanger-Opfer-1585930.html
auf dem Postweg.
Anwender können einfach und schnell auf der Internetseite
http://www.dns-ok.de/ [http://www.dns-ok.de/] prüfen, ob
ihr Computer vom DNS-Changer befallen ist.

3. Neue E-Mail-Welle: Banking-Trojaner in PDF-Rechnungen für
"Zusatzdienstleistungen"

Am Dienstag (05.06.2012) wurde eine neue E-Mail-Welle beobachtet, die als
Dateianhang angebliche Rechnungen von ELSTER, der Telekom, Vodafone oder
o2 enthielt.
Tatsächlich wurden diese E-Mails nach BSI-Erkenntnissen aus mindestens 13
unterschiedlichen Ländern versendet. Der PDF-Anhang der angeblichen
Rechnung für nicht näher beschriebene "Zusatzdienstleistungen" enthielt
eine Banking-Trojaner-Variante, die zur Zeit nur von sehr wenigen
Anti-Virus-Lösungen erkannt wird.
Das BSI empfiehlt, die E-Mail ungelesen zu löschen. Benutzer, die den
Anhang bereits geöffnet haben müssen damit rechnen, dass ihr PC infiziert
wurde. Unwahrscheinlich ist eine Infektion des Rechners von Nutzern, die
zur PDF-Betrachtung den Adobe Reader X mit aktiviertem Sicheren Modus
("Sandbox") verwenden.
Die Erkennung des Banking-Trojaners ist für den Laien jedoch im
Normalfall nicht zu erkennen.
Wenn Sie unsicher sind, ob Ihr System von dem Trojaner befallen ist, dann
verzichten Sie vorerst auf Online-Banking-Vorgänge und aktualisierten
regelmäßig Ihr Antivirenprogramm.
Prüfen Sie zudem in kurzen Abständen Ihre Bankkonten auf illegitime
Vorgänge und ungewöhnliche Kontobewegungen und informieren Sie Ihre Bank
darüber.
Wenn Sie als Nutzer von dem Banking-Trojaner betroffen sind, ist die
einzig sichere Methode eine Neuinstallation des Rechner.

SCHUTZMASSNAHMEN
4. Update für Fritzbox: AVM behebt Sicherheitslücke in Routern

Hardware-Hersteller AVM meldet eine Schwachstelle in
einigen seiner
Fritzbox-Router http://www.avm.de/de/News/artikel/2012/Laborupdate_Medienserver.html?linkident=kurznotiert.
Bei einigen Modellen lassen sich beim Zugriff aus dem eigenen Netzwerk
über interne Dateipfadnamen unberechtigt Konfigurationsdateien auslesen.
Der Zugriff ist nur möglich, wenn der geräteinterne Medienserver
aktiviert ist. Über den Medienserver können Musik, Videos und Bilder
verwaltet und an angeschlossene Geräte im lokalen Netzwerk ausgeliefert
werden. Der Datenzugriff kann laut AVM nur aus dem eigenen Netzwerk
heraus erfolgen, es muss also ein Zugang zur Fritzbox per LAN-Kabel oder
WLAN bestehen. Ein Zugriff von außen, etwa über das Internet, sei nicht
möglich.
Ursprünglich wurde von AVM und heise.de
angenommen http://www.heise.de/security/meldung/Fritzbox-Mediaserver-verraet-Geheimnisse-2-Update-1581132.html,
dass bei mehreren Modellen durch den Zugriff u.a. das WLAN-Passwort im
Klartext ausgelesen werden kann. AVM hat für das Fritzbox-Modell 7390 ein
Sicherheitsupdate in der
Beta-Version [http://www.avm.de/de/Service/Service-Portale/Labor/7390_vorschau_release_candidate/labor_start_7390.php]
veröffentlicht. In Kürze soll eine offizielle Update-Version folgen.
Anwender, die sich nicht sicher sind, wer in ihrem Netzwerk Zugriff hat
und die nicht die Beta-Version des Sicherheitsupdates einsetzen möchten,
können bis zum offiziellen Update den Medienserver abschalten. Nicht
betroffen vom Auslesen des WLAN-Kennwortes im Klartext sind laut AVM die
Fritzbox-Modelle 31xx, 32xx, 71xx, 72xx sowie 7570.

5. Sicherheitsupdate für Mozilla Firefox, Thunderbird und SeaMonkey
veröffentlicht: Mozilla behebt mehrere Sicherheitslücken

Mozilla hat die Version 13 für den Webbrowser Firefox und den
E-Mail-Client Thunderbird sowie die Version 2.10 für das Programmpaket
SeaMonkey veröffentlicht. Damit werden insgesamt sieben Schwachstellen
behoben, von denen vier als kritisch gewertet werden. Betroffen ist unter
anderem der Mozilla Updater unter Windows, bei dem eine Schwachstelle zur
Rechteerweiterung ausgenutzt werden kann. Eine Ausnutzung der weiteren
Schwachstellen kann zu dem Absturz der Anwendung, der Ausführung
beliebigen Codes, der Umgehung von Sicherheitsmaßnahmen sowie dem
Ausspähen von Informationen genutzt werden. Die Sicherheitsupdates stehen
jeweils über die integrierte Update-Funktion zur Verfügung.

PRISMA
6. „Flame“ unter der Lupe: Spionagevirus stellt keine Bedrohung für
Privatanwender dar

Nach Ansicht des BSI ist der Spionagevirus „Flame“ keine Bedrohung für
Privatanwender, dies sagte ein BSI-Sprecher in einem
Interview mit der Westdeutschen Allgemeinen
Zeitung http://www.derwesten.de/panorama/computervirus-flame-stellt-keine-gefahr-fuer-deutsche-privatnutzer-dar-id6707904.html.
Es gebe zudem keine Erkenntnisse darüber, dass die IT-Systeme von
Unternehmen und öffentlichen Einrichtungen in Deutschland mit dem
Schadprogramm infiziert seien. Bis jetzt sind nur Schadensfälle aus dem
Nahen Osten bekannt.
Flame unterscheide sich grundlegend vom Virus Stuxnet, der gezielt
industrielle Steuerungen sabotieren sollte. Flame hingegen sei darauf
ausgerichtet, Spionage zu betreiben und auf verschiedenen Wegen so viele
Informationen wie möglich bei den Betroffenen abzugreifen, so der
BSI-Sprecher. Die Schadsoftware enthalte neben den
Spionage-Funktionalitäten auch Funktionen zum Selbstschutz. Sie ist also
so programmiert, dass eine Entdeckung, Auswertung und Analyse erheblich
erschwert wird. Gängige Antivirensoftware sei gegen derartige
Angriffsmethoden machtlos, sagt Mikko Hypponen, Forschungsleiter beim
Antivirensoftwarehersteller F-Secure in einem Beitrag für
das US-amerikanische IT-Magazin
arstechnica.com [http://arstechnica.com/security/2012/06/why-antivirus-companies-like-mine-failed-to-catch-flame-and-stuxnet/].

7. Klein, aber gefährlich: Miniatur Banking-Trojaner ist nur 20 Kilobyte
groß

Er ist klein, aber deshalb nicht minder gefährlich: Experten vom
IT-Sicherheitsdienstleister CSIS haben einen Banking-Trojaner aufgespürt,
der nur 20 Kilobyte groß
ist http://www.csis.dk/en/csis/news/3566/. Das entspricht ungefähr der
Datenmenge einer mit Text gefüllten Seite, erstellt mit digitaler
Textverarbeitung. Trotz der Kürze des Schadcodes, soll der „Tiny Banker“
bzw. „Tinba“ getaufte Trojaner jede Menge Schaden anrichten können. Er
manipuliere Online-Banking-Websites, um Man-in-the-Browser-Attacken
durchzuführen, heißt es seitens CSIS. Er blende etwa zusätzliche
Eingabefelder für TANs ein, mit denen mögliche Cyberkriminelle dann
Überweisungen durchführen könnten. Zudem sei Tinba in der Lage,
Passwörter auszuspionieren und den Netzwerkverkehr zu überwachen. Die
gesammelten Daten werden über eine verschlüsselte Verbindung an einen
entfernten Server übermittelt, welcher dem Minitrojaner per Update neue
Befehle erteilen kann. Das Schadprogramm wird von gängigen
Antiviren-Programmen erkannt.

8. Nachrichten, die sich selbst zerstören: Dienst „Burn Note“ bietet Verfallsdatum für Textnachrichten

Nachrichten, die sich nach gewisser Zeit selbst zerstören - das kannte
man bis jetzt nur aus der Fernsehserie bzw. der Kinofilmreihe „Mission
Impossible“. Mit dem Onlinedienst „Burn Note“ kann sich nun jeder
Anwender wie ein Geheimagent fühlen. Auf der Website burnnote.com können
Anwender einen Text eingeben. Auf den Text erhält der Empfänger Zugriff
über eine Kurz-URL, die er nur einmal aufrufen kann. Der Absender kann
etwa festlegen, nach welcher Zeit der Text gelöscht wird, ob er kopiert
werden darf oder ob der Text in kurz sichtbaren Fragmenten unterteilt
dargestellt werden soll, um das Mitlesen durch Unbefugte zu erschweren.
Nach Angaben der Betreiber werden die Nachrichten nur so lange auf den
Burn-Note-Servern verschlüsselt gespeichert, bis die Nachricht abgerufen
wurde. Wird sie gar nicht abgerufen, wird sie nach 72 Stunden automatisch
gelöscht. Der Dienst kann anonym genutzt werden. Wer einen Account
anlegt, erhält Nachricht darüber, sobald ein Empfänger eine URL geöffnet
hat. Der IT-Newsdienst golem.de weist darauf
hin http://www.golem.de/news/burnnote-diese-nachricht-zerstoert-sich-in-3-minuten-selbst-1205-91911.html,
dass Burn Note eine verschlüsselte Kommunikation nicht ersetzen kann,
aber eine Alternative für den Versand privater Nachrichten sei, die, wie
es heißt, nicht „allzu sicher sein müssen“.
Wie Sie E-Mails sicher verschlüsselt versenden können, erfahren Sie auf
der Website BSI FUER BUERGER im Kapitel „Verschlüsselt
kommunizieren“ https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/Verschluesseltkommunizieren/verschluesselt_kommunizieren_node.html.

9. Ältere Deutsche haben die sichersten Passwörter: Studie untersucht 70
Millionen Yahoo-Zugansdaten

Eine Studie der britischen Universität Cambridge hat die Sicherheit von
Passwörtern untersucht. Dafür standen rund 70 Millionen anonymisierte und
verschlüsselte Accounts von Yahoo-Nutzern aus aller Welt zur Verfügung.
Wie das Computer-Magazin zdnet.de
berichtet http://www.zdnet.de/news/41562630/studie-deutsche-ueber-55-waehlen-die-sichersten-passwoerter.htm,
konnte der Informatiker Joseph Bonneau auch demografische Daten zu den
Accountbesitzern analysieren. Die wichtigsten Ergebnisse der
Untersuchung: Ältere Anwender über 55 Jahre wählen häufiger sicherere
Passwörter als Anwender unter 25 Jahre. Die sichersten Passwörter nutzen
deutschsprachige und koreanisch sprechende Anwender, während indonesisch
sprechende Yahoo-Nutzer die schwächsten Passwörter wählen. Wer seine
Zugangsdaten häufiger ändert, tendiert überdies dazu sicherere Passwörter
anzulegen. Zu mehr Sicherheit tendieren ebenso Anwender, die sich
häufiger über verschiedene Computer bei Yahoo-Diensten anmelden.
Eine Zusammenfassung der englischsprachigen Studie steht als PDF-Datei
auf der Website der Universität Cambridge kostenlos zum
Download http://www.cl.cam.ac.uk/~jcb82/doc/B12-IEEESP-analyzing_70M_anonymized_passwords.pdf
bereit.
Auf der Website BSI FUER BUERGER erfahren Sie im Kapitel
„Passwörter“ https://www.bsi-fuer-buerger.de/ContentBSIFB/MeinPC/Passwoerter/passwoerter.html
was ein sicheres Passwort ausmacht und was bei der Erstellung zu beachten
ist.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de