Archiv der Kategorie: Sicherheit

MySQL.com verbreitet Windows-Malware

Schreibe eine Antwort

Die Seite MySQL.com ist eine der beliebtesten Open-Source-Seiten im Web. Hacker kaperten die Seite und verbreiteten so Schadsoftware.

Über MySQL wurden Nutzer von Windows-PCs infiziert, bevor das Sicherheitsleck auf der Seite geschlossen wurde. MySQL.com hatte schnell auf die Bedrohung reagiert und die Malware von den Servern wieder entfernt. Erst vor wenigen Wochen wurde mit Linux.org ebenfalls ein Open-Source-Repository von Hackern gekapert.

Allerdings liegen derzeit keine Zahlen vor, wie lange die Webseite von den Hackern kompromittiert war oder wie viele Besucher über MySQL.com infiziert wurden. Schätzungen zufolge, wird über 100.000 Mal täglich auf MySQL.com zugegriffen und im Schnitt sind das bis zu 34.000 Unique User.

Die Verbreitungsraten bei solchen Attacken sind in der Regel recht hoch. Derzeit ist aber auch noch unklar, wie groß die Bedrohung für die infizierten Nutzer ist. Der Chef des Sicherheitsanbieters Armorize Wayne Huang erklärt in einem Blog, dass diese Form der Malware vermutlich sehr schwer zu entfernen ist.

„Wir haben noch keine grundlegende Analyse erstellt, was genau diese Malware macht. Wir wissen, dass es einige der Windows .dll (Dynamic Link Libraries) verändert, vermutlich um die Malware dauerhaft zu installieren und sie ständig aktiv zu halten. Man kann es vermutlich wieder entfernen, aber es ist sicherlich kein trivialer Prozess.“

Inzwischen ist das Sicherheitsloch gestopft, doch eine Zeit lang konnten die Hacker die Besucher der Seite auf eine Seite mit einem BlackHole-Exploit umleiten, die den Browser zwingt, Malware auf dem Rechner zu installieren. Wie es von Armorize heißt: Ohne dass der Nutzer etwas davon merkt.“ Denn der Besucher muss nichts klicken oder installieren. Allerdings können derzeit laut Armorize nur vier von 44 Anbietern von Sicherheitssoftware die Malware auch erkennen.

Brian Krebs von dem Blog Krebs on Security berichtete, dass er vor einigen Tagen in einem russischen Forum ein Angebot gesehen habe, das für 3000 Dollar administrativen Zugriff auf MySQL.com versprach. „Ich glaube, dass es sehr wahrscheinlich ist, dass dieser Angriff speziell mit diesen russischen Foren zusammenhängt“, erklärt daher auch Huang.

Weder von den Verantwortlichen von MySQL.com noch von Oracle liegt derzeit ein Kommentar vor.

Den originalen Artikel mit allen Links und einem Video von Armorize in Englisch von Martin Schindler, findet ihr unter MySQL.com verbreitet Windows-Malware von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Facebook bestätigt Tracking ausgeloggter Nutzer

Schreibe eine Antwort

Ein Eingeständnis, das Vertrauen kostet: Facebook muss zugeben, das Nutzungsverhalten seiner Mitglieder auch im ausgeloggten Zustand aufzuzeichnen. Als Gründe gibt das Unternehmen den Kampf gegen Spam und mehr Komfort für den Einzelnen an.

„Sich aus Facebook auszuloggen genügt nicht“, ist der Beitrag des IT-Bloggers Nik Cubrilovic überschrieben. Dort beschreibt der Software-Entwickler minutiös, wie Seiten mit „Gefällt-mir“- oder „Teilen“-Knopf die Facebook-Konto-ID eines Nutzers erkennen, auch wenn dieser sich bereits ausgeloggt hat.

Dafür verantwortlich ist ein Cookie, also ein Mini-Programm zur Identifizierung eines Nutzers, das beim Einloggen in Facebook aktiviert wird. Dieser Cookie lässt sich allerdings nicht durch Logout, sondern nur durch entsprechende Löschung im Browser oder den Wechsel des Surfprogramms deaktivieren.

Nachdem der Blogbeitrag am Wochenende für einige Aufregung sorgte, hat nun Facebook zu der Angelegenheit Stellung bezogen. Im Wall Street Journal bestätigte ein Sprecher des Unternehmens die Übermittlung der Nutzer-ID, erklärte aber, „keine der erhaltenen Informationen, die wir beim Besuch einer Seite mit Social Plugin erhalten, wird für das Ausspielen von Anzeigen genutzt.“

Die Daten würden auch stets sehr schnell gelöscht, an einer Lösung, diese Informationen überhaupt nicht abzufragen, arbeite man. Dies werde jedoch „eine Weile dauern“, sagte Arturo Bejar, Leiter der Technik-Abteilung bei Facebook.

Komfort und Spam-Bekämpfung

Hintergrund der Datenerhebung sei Facebook zufolge die Vermeidung von Spam und Phishing-Attacken, aber auch der Komfort. Nutzer müssten sich zum Beispiel nicht ständig neu identifizieren, wenn sie sich bei dem Portal von einem bereits bekannten Computer einloggten.

Mitglieder, die Facebook auf verschiedenen Rechnern nutzen, kennen den Sicherheitsmechanismus: Facebook fragt dann trotz Erhalt der Login-Daten noch nach persönlichen Informationen oder lässt den Nutzer Freunde identifizieren, um Identitätsdiebstahl zu verhindern. Die Cookies erlauben es, sich ohne diese Zusatzschritte anzumelden.

Die Frage, welche Informationen Seiten mit „Gefällt-mir“-Buttons weitergeben, wird auch gerade in Deutschland heftig diskutiert. Der schleswig-holsteinische Datenschützer Thilo Weichert hatte kritisiert, dass Facebook-Cookies auch von nicht-eingeloggten Besuchern von Seiten mit eingebautem „Gefällt-mir“-Knopf Verkehrsdaten in die USA weitergeben würden. Derzeit laufen Gespräche mit dem Unternehmen, nachdem Weichert Geldstrafen für den Einbau des Buttons angekündigt hatte.
Abonnier-Funktion: Hoax auf Pinnwänden

Ein Fehlfunktion in Folge der Einführung der Abonnieren-Funktion, auf die derzeit viele Facebook-Nutzer hinweisen, ist jedoch ein Hoax. Auf ihren Pinnwänden bitten Mitglieder ihre Freunde darum, bei der Funktion „Abonniert“ unter „Kommentare und Gefällt mir“ den Haken zu entfernen. Sonst, so die Angst, würden beim Klick auf den Like-Button die geteilten Inhalte allen Facebook-Nutzern zugänglich sein.

In Wirklichkeit, so steht es auch auf der Facebook-Hilfeseite zu lesen, können Nutzer selbst bestimmen, wer ihre Beiträge sieht. Wenn im Menü rechts neben einem Beitrag zum Beispiel die Zielgruppe „Kollegen“ angewählt wurde, sind diese Beiträge nicht für Freunde außerhalb der Gruppe oder Kontakte dieser Kollegen zu sehen – auch, wenn ein Kollege den „Gefällt-mir“-Button geklickt hat.

Den originalen Artikel mit Links von (sueddeutsche.de/joku/mri), findet ihr unter Facebook bestätigt Tracking ausgeloggter Nutzer von sueddeutsche.de.

Freundliche Grüße
das OSS-Haus Team

Verfolgt Facebook auch ausgeloggte Nutzer?

Schreibe eine Antwort

Facebook wehrt sich gegen Berichte, das Social Network würde seinen Nutzern auch dann folgen, wenn diese sich bei dem Dienst ausgeloggt haben. Ein Facebook-Verantwortlicher sagte nun, dass Facebook Cookies grundsätzlich nicht für Tracking einsetze. Dennoch sorgen anderslautende Berichte für Unruhe bei den Anwendern.

Hintergrund ist ein Bericht des selbsternannten Hackers Nik Cubrilovic vom Wochenende. Darin hatte er nach einer Analyse des http-Headers behauptet, dass Facebook die Tracking-Cookies verändert, sobald sich ein Nutzer ausloggt – anstatt diese zu ändern. So werde auch ein Cookie mit der individuellen Nutzer-ID nicht gelöscht.

Dementsprechend bekomme es Facebook weiter mit, wenn ein Nutzer eine Webseite besucht, auf der das Facebook-Plugin – also der Like-it-Button – integriert ist. Eben auch dann, wenn der Nutzer nicht eingeloggt ist.

Von dem Social Network gibt es bislang kein offizielles Statement zu den Vorwürfen, allerdings hat sich Facebook-Ingenieur Arturo Bejar in einem Posting im Blog des ZDNet.com-Autors Emil Protalinski zu den Vorwürfen geäußert. Im Wesentlichen heißt es in dem Posting, dass Cubrilovic einige gute Punkte angesprochen und interessante Ergebnisse vorgelegt habe. Allerdings ziehe er daraus die falschen Rückschlüsse.

Die fraglichen Cookies seien für Facebook zwar aus verschiedenen Gründen nützlich. Etwa, um personalisierte Inhalte einzublenden oder um Spammer und Phisher zu identifizieren. Keinesfalls würde man die Cookies aber dafür verwenden, Nutzer zu verfolgen. „Ich habe schon so oft gehört, dass wir Nutzerdaten teilen und verkaufen, aber das ist nicht wahr“, schreibt Bejar und verweist gleichzeitig auf den entsprechenden Hilfebereich von Facebook.

Hier heißt es wörtlich: „Wenn du eine Webseite mit einem sozialen Plug-in besuchst, dann sieht Facebook das Datum und die Uhrzeit deines Besuchs, die Webseite, auf der du dich befindest (die URL) sowie weitere technische Informationen wie z.B. die IP-Adresse, den Browser und das von dir verwendete Betriebssystem. Dies sind branchenübliche Daten, mit denen wir dein Erlebnis optimieren können, je nachdem, welchen Browser du verwendest und ob du bei Facebook angemeldet bist oder nicht.“

Den kompletten Artikel mit Links und Fotogalerien von Sibylle Gassner, findet ihr unter Verfolgt Facebook auch ausgeloggte Nutzer? von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Server der Linux Foundation kompromittiert

Schreibe eine Antwort

Nach dem Zwischenfall bei Kernel.org hat nun auch die Linux Foundation Ihren Webauftritt vorübergehend vom Netz genommen, da man davon ausgeht, dass Nutzerdaten kompromittiert wurden.

Die Linux Foundation hat am Sonntag sämtliche Benutzer per Mail über einen Einbruch auf Linux.com und Linuxfoundation.org informiert. Demnach haben die Betreiber der Seite am 8. September ein Sicherheitsleck entdeckt, über das eventuell Nutzerdaten wie Login-Name, Passwort, E-Mail-Adresse und andere Angaben gestohlen wurden.

Die Linux Foundation geht aktuell davon aus, dass der Angriff mit dem Einbruch auf Kernel.org zusammenhängt (wir berichteten). Hier gelang es einem Angreifer über einen kompromittierten SSH-Schlüssel Ende August auf dem Server Hera einzubrechen.

Den originalen Artikel von Marcel Hilzinger, findet ihr unter Server der Linux Foundation kompromittiert von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

Mozilla schließt kritische Lücken in Firefox, Thunderbird und SeaMonkey

Schreibe eine Antwort

Mozilla hat zahlreiche Sicherheitslücken in Firefox, Thunderbird und SeaMonkey geschlossen, von denen sich viele zum Einschleusen von Schadcode eignen. So ist Firefox 5 etwa für einen Buffer Overrun bei der Verarbeitung von WebGL-Shadern anfällig, durch die ein Angreifer beim Besuch einer präparierten Webseite das System kompromittieren kann. Diesen und weitere Fehler der Risikoklassen „kritisch“ und „hoch“ hat das Entwicklerteam mit der Firefox-Version 6 geschlossen.

Auch der Versionszweig 3.x hat mit Firefox 3.6.20 ein Sicherheitsupdate bekommen, ohne das man sich angesichts der Vielzahl der geschlossenen kritischen Lücken nicht mehr im Netz bewegen sollte. Ebenfalls aktualisiert wurden Thunderbird (Version 3.1.12 und 6) und SeaMonkey (Version 2.3). Da sich die Programme Bestandteile des Quellcodes teilen, finden sich einige der geschlossenen Lücken in mehreren Projekten wieder.

Den originalen Artikel mit allen Links von Ronald Eikenberg, findet ihr unter Mozilla schließt kritische Lücken von heise.de.

Freundliche Grüße
das OSS-Haus Team