Forensic Investigations / Fi Blog

Fi Blog

Eine neue Studie (PDF /Kurzfassung PDF )der Messaging Anti-Abuse Working Group (MAAWG) zum Anwenderverhalten bei Spam-Emails belegt einmal mehr, dass die Risiken von Spam-Emails von Anwendern nach wie vor unterschätzt werden.

43% gaben laut der Studie an, Emails zu öffnen, die sie für Spam hielten, 11% klickten enthaltene Links an, 8% öffneten die enthaltenen Anhänge, 4% antworteten auf die Emails. Die Zahlen nahmen mit dem Alter der Befragten jeweils minimal ab.

Alle oben angegebenen Verhaltensweisen sind jedoch falsch. Bereits das Öffnen einer solchen Spam-Nachricht kann zur Infektion des Rechners führen, wenn Sicherheitslücken in der verwendeten Email-Software vorhanden sind.

Die Anhänge zu öffnen ist besonders gefährlich, selbst vermeintlich harmlose PDFs können zu Infektionen führen. Das Anklicken von Links öffnet sehr häufig Webseiten die Schadcode (sog. Exploits ) ausführen und den Rechner infizieren.

Besonders beliebt ist immer noch das Anklicken von "Unsubscribe"-Links zum angeblichen Austragen aus Listen. Aber Spammer sind Spammer und bleiben Spammer, sie nutzen diese "Unsubscribe" Funktion lediglich, um sich bestätigen zu lassen, dass die Email-Adresse des Anwenders existiert und gelesen wird, um die Adresse mit höherem Erlös weiterverkaufen zu können oder/und Infizieren sie auf dieser Seite mit Schadcode.

Das Gleiche passiert durch antworten auf die Email. Hier wüste Beschimpfungen reinzuschreiben, mag zwar innerlich befriedigend sein, ist aber dennoch nicht wirksam, da auf solchen Konten eh nur automatisierte Systeme laufen, und ist zudem wie schon gesagt sogar kontraproduktiv.

Als Gründe für ihr Verhalten gaben 57% an, sich nicht sicher gewesen zu sein, ob die Nachricht Spam ist, 33% klickten aus Versehen auf die Nachricht, aber immerhin noch 46% öffneten Spam-Nachrichten mit Absicht (25% um sich von der Liste abzumelden oder sich zu beschweren , 18% um zu sehen was passiert, und 15% aus Interesse an den angebotenen Produkten).

Zu große Neugier kann nicht selten ins Auge gehen. Öffnen Sie nur Nachrichten, die in jeder Hinsicht unverdächtig erscheinen, löschen Sie Spams direkt oder verschieben Sie in Ihren Spam-Ordner, und ignorieren Sie sie ansonsten vollständig.

Als in der Verantwortung stehend nannten 65% ihren Internet Service Provider, der i.d.R. gar nichts tut, Anti-Virus-Hersteller mit 54%, die der Bedrohungslage wohl ebenfalls nicht mehr gewachsen sind , und erst auf Platz 3 mit 48% sich selbst.

Während in Spanien und Kanada noch 69% bzw. 68% Angaben, Opfer von Virenbefall geworden zu sein, steht Deutschland hier mit 45% am hintersten Platz der untersuchten Länder. Weniger als ein Drittel der Deutschen (30%) hielten eine Infektion mit einem Bot für wahrscheinlich und bildet damit auch hier zusammen mit dem Vereinigten Köngreich (29%) das Schlusslicht in puncto Awareness. Angeführt wird die Liste von den Deutschen jedoch, dass sich hier mit 83% die meisten Anwender für wenigstens einigermaßen erfahren halten.

Die Praxis spricht jedoch eine andere Sprache, mit den tatsächlichen Infektionen liegt Deutschland selbst bevölkerungsbereinigt weit vor Kanada, Spanien und dem Vereinigten Königreich. Die Deutschen scheinen Infektionen also lediglich weniger zu bemerken. Dies ist auch kein Wunder, waren die genannten Methoden, wie Anwender Viren oder Botnetze erkennen, allesamt höchstens für zufällige Entdeckung in Einzelfällen geeignet. Die Ausnahme stellte die Benachrichtigung von Dritten wie der Kredikartenfirma/Bank (in diesem Fall ist dann wohl bereits Schaden entstanden) bzw. dem installierten Antivirusprogramm dar, auf das aber auch kein wirklicher Verlass ist. Es ist wohl an der Zeit, besonders die Deutschen Anwender einmal mehr an die Hacker-Regel Nummer 1 zu erinnern:

"Don't think you are smart, you are NOT"

(Glaube nicht, dass Du pfiffig bist, Du bist es NICHT)


Laut dem Bericht von Heise Online wird den Discountern vorgeworfen, für PCs, Laptops, DVD/Blu-ray-Player, TV-Empfänger und -Geräte ihrer Hausmarken Tevion (Aldi) und Silvercrest (Lidl) keine MPEG-2-Patentgebühren abgeführt zu haben.

Ohne es genau recherchiert zu haben, gehe ich jetzt mal davon aus, dass Aldi und Lidl keine eigenen Entwicklungsabteilungen für Soft-und Hardware unterhalten, und die Geräte von irgendwelchen Herstellern, wahrscheinlich aus Fernost labeln lassen und zukaufen. Weiterhin gehe ich davon aus, dass ihnen die Patentrechtsverletzung durch die Geräte nicht bekannt war, als sie diese in den Handel brachten.

Fürs nächste Mal ist es deshalb für solch einen hypothetischen Fall womöglich eine gute Idee, einen Sachverständigen zu kontaktieren , und die Geräte auf Verletzung von Verletzung von Lizenz- und Patentrechten überprüfen zu lassen .

Im Zweifelsfall bleibt man ansonsten als große Handelskette auf nicht mehr verkaufbaren Geräten, Kosten für einstweilige Verfügungen, Gerichtsverhandlungen, Nachzahlung von Lizenzgebühren usw. sitzen, wenn sich die Fernost-Klitschen mit ihrer lokalen Gesetzgebung aus der Affäre ziehen oder einfach schnell pleite machen. Gerade Hersteller aus Fernost sind in puncto Qualitätsmanagement, Compliance und Normen auch oft nicht so auf der Höhe und schreiben nicht selten auch gerne alles Mögliche mit in den Vertrag, ohne es später zu halten, zu prüfen oder dafür gerade zu stehen.

Ob allerdings Patente überhaupt noch zeitgemäß sind, ist eine andere Frage, in der man durchaus geteilter Meinung sein kann.


Die Gartner Group stellt in einer Studie die Aussage auf, der Trend zur Virtualisierung führe in den nächsten Jahren zu weniger Sicherheit , berichtet. Heise Online.

Als Gründe werden hauptsächlich soziologische Aspekte wie fehlende Ausbildung im Umgang mit diesen Techniken, zu geringe Beachtung von Sicherheitsaspekten in Migrationsprojekten und unklare Verantwortlichkeiten genannt. Auch seien die Tools für diese Techniken nicht so ausgereift wie im konventionellen Sektor.

Als weiterer wichtiger technischer Aspekt wird benannt, die Virtualisierung hebele existierende Sicherungsmechanismen wie die Kontrolle des Netzwerkverkehrs effektiv aus. Durch Sicherheitslücken in virtuellen Maschinen könne ein "Single Point of Failure " entstehen und die Kompromittierung einer physikalischen Maschine größere Tragweite haben als bisher. Tatsächlich gab es solche Sicherheitslücken in virtuellen Maschinen schon, beispielsweise mit der "VMWare Directory Travesal Vulnerability (CVE-2009-3733) " eine besonders gravierende.

Gar nicht genannt werden hingegen die schon im letzten Jahr bekannt gewordenen von Joanna Rutkowska entdeckten Implementierungsfehler bei der Hardware-Virtualisierung auf Intel-Plattformen , die wirklich sichere Implementierung von virtuellen Maschinen gegenwärtig noch immer unmöglich macht.

UPDATE 18.03.2010: Gerade mal einen Tag nach meinem Blogeintrag ist eine weitere Sicherheitslücke bei der Implementierung von virtuellen Maschinen aufgetaucht . Diesmal in VirtualPC, und auch wenn es keine wirkliche "direkte" Sicherheitslücke ist, setzt sie die Sicherheit von virtuellen Maschinen herab und erhöht das Risiko der Ausnutzbarkeit von Lücken in anderer Software.


Was Insidern längst bekannt ist, sickert nun in immer mehr Meldungen auch an die Breite Öffentlichkeit . Geheimdienste, Ermittler und Personalchefs benutzen die sozialen Netzwerke, um Meinungen, Beziehungsgeflechte und Aufenthaltsorte bestimmter Zielpersonen zu verfolgen.

Unter dem Stichwort "Open Source Intelligence" verdienen auch immer mehr Hersteller sehr gut an Auswertungssoftware, die mit einem Mausklick sämtliche offen verfügbaren Informationen aus Personensuchmaschinen, sozialen Netzwerken, Twitter, Newsgroups, IRC-Kanälen und vielen anderen frei verfügbaren Quellen grafisch aufbereitet und entsprechende Verknüpfungen herstellt.

Populäre Software zur Herstellung von Phantombildern kann längst mit der Google Bildersuche oder Facebook kombiniert werden, um Verdächtige aufzufinden, selbst frei verfügbare Handy-Software kann Personen vor der Kamera identifizieren .

Nicht zuletzt ist ja auch über die von Cryptome.org veröffentlichten Dokumente genau bekannt, welche Daten die sozialen Netzwerke verarbeiten, und welche Schnittstellen sie den Ermittlern dafür anbieten. Wenn sich also ein verdächtiger Mafiosi per Facebook-Tracking erwischt wird, ist er wohl wahrscheinlich im sprichwörtlichen Sinn dümmer als die Polizei erlaubt.


Nach dem Bericht von TheRegister, dass die Ende letzten Jahres unter dem Namen "Aurora" gelaufenen Angriffe auf Google, Adobe und andere von den getesteten Antivirusprodukten noch immer nicht erkannt werden , kann man diese Frage ernsthaft stellen. TheRegister bezieht sich dabei auf Informationen von NSS Labs , die festgestellt hätten, das lediglich McAfee Internet Security 2010 die Bedrohung erkannte, und die anderen getesteten Produkte AVG Internet Security 9.0, ESET Smart Security 4, Kaspersky Internet Security 2010, Norton Internet Security 2010, Sophos Endpoint Protection for Enterprise 9.0 und Trend Micro Internet Security 2010 allesamt nicht.

TrendMicro räumte ein, das vermehrt auf heuristische Untersuchungsverfahren gesetzt werden müsse, was auch den Einlassungen von Stefan Müller (Symantec) auf dem Workshop "Forensik & Computerkriminalität" des C.A.S.T. e.V. entspricht, der dort ebenfalls sagte, man werde der Flut an neuer Malware und dem "Hase & Igel" Spiel sonst nicht mehr Herr.

Ein weiteres Indiz dafür ist das von Kaspersky Labs gestartete Experiment, absolut virenfreie Dateien durch Ihren Scanner als Virus anzeigen zu lassen (absichtlich erzeugter sog. "false positive"), und die Dateien über VirusTotal anderen AV-Herstellern zugänglich zu machen. Binnen 10 Tagen hätten bis zu 14 AV-Produkte anderer Hersteller die unschädliche Datei auch als Virus erkannt, ein deutliches Indiz, dass einige Hersteller einfach vom Nachbarn "klauen", ohne ein Minimum an eigenen Untersuchungen durchzuführen.

Schuld an der Misere seien teilweise auch die Testmethoden der Journalisten, deren Testberichte sehr wichtig für den wirtschaftlichen Erfolg der AV-Hersteller seien, diese würden nicht verstehen was "false positives" wären. Die AV-Hersteller hätten hier zu viel Angst, neben dem Mitbewerb vermeintlich schlecht auszusehen, wenn ihr Produkt einen angeblichen Virus nicht erkenne.

Das der Flut nicht mehr Herr zu werden ist, implizieren auch die Zahlen der ShadowServer Foundation, die allein im Februar 2010 über 1,5 Millionen neue Binärdateien-Unikate über verschiedene Quellen gesammelt hat , polymorphe Varianten sind dabei so weit wie möglich bereits herausgerechnet. Die Zahlen für Februar sind dabei noch vergleichsweise moderat, Spitzenmonate lagen gar über 4 Millionen Dateien. Es dürfte zwar klar sein, das ein grosser Anteil hiervon auf "Nebelgranaten" entfällt, die absichtlich von Malware-Gangs in entdeckte Honeypots eingespeist werden, um den Sicherheitsherstellern ein paar mehr Hausaufgaben zu geben, dennoch erfordern auch diese eine Untersuchung.

Das Konzept, in ausreichender Geschwindigkeit Pattern-Updates zur Verfügung zu stellen ist dadurch meiner Meinung nach gescheitert, der Mythos der 100%-Erkennung, wie von so mancher Marketing-Abteilung noch bis in die Neuzeit gepredigt wird, ist tot. Tatsächlich wurde bei Untersuchungen in der Praxis festgestellt, das 32% der untersuchten Rechner trotz aktuellem Virenschutz infiziert waren , gegenüber 46% Infektionen bei den Kandidaten ohne oder ohne aktuellen Schutz. Heuristik kann etwas Linderung verschaffen, jedoch ist die Analyse von Malware-Techniken und Entwicklung von Abwehrmechanismen aufwändiger, als einfach per statischer Analyse vom Mitbewerb zu "klauen", außerdem ist das Konzept, ständig Updates zu verkaufen, wirtschaftlich einfach zu reizvoll, solange die Kunden daran glauben. Fehlende unabhängige Testmethoden tragen ihr Übriges dazu bei.

Bereits anlässlich der it-sa Nürnberg im Oktober 2009 hatte ich die Marketing-Praktiken vieler Hersteller kritisiert und im Blog-Eintrag über Botnetz-Bekämpfung über die mangelnden Desinfektionsfähigkeiten der Produkte nach einer Infektion verwiesen.

Ich will hier jedoch nicht nur einseitig auf den AV-Herstellern herumtrampeln, die zum Teil den Umständen entsprechend noch relativ gute Arbeit machen. Schuld an der exorbitanten Verbreitung von Malware ist sicher auch die Tatsache, das es einfach zu gut und leicht funktioniert. Ein Großteil der Verbreitung geht auf Sicherheitslücken in Betriebssystemen und Netzwerksoftware zurück, allen voran Email-Clients, Web-Browser, Flash und Adobe Reader . Hier ist den Herstellern die Sicherheit ihrer Kunden einfach immer noch viel zu wenig wert . H.D. Moore, der Initiator des Metasploit Projekts wird bei Heise Online zitiert , dass "Softwarehersteller einen Fix für die vom Forscher entdeckte Lücke nie in der Zeit fertig stellen, die sie ursprünglich veranschlagen. Ganz egal, ob 30, 60, 90 oder 120 Tage, die Termine werden nie gehalten". Wenn aber ein öffentlicher Exploit zur Verfügung stünde, ginge es plötzlich auch innerhalb von 10 Tagen. Auch deshalb standen die Hersteller auch schon vielfach in der Kritik .


Die Schäden durch Cybercrime verdoppelten sich laut Jahresbericht 2009 (PDF ) des "Internet Crime Complaint Center" (IC3 ) des FBI im Vergleich zum Vorjahr, obwohl die Anzahl der gemeldeten Fälle lediglich um 22,3% gestiegen sei, berichtet Heise Online.

Wie dem IC3-Bericht zu entnehmen ist, erhöhten sich die Schäden der gemeldeten Fälle von 17,8 Millionen US-Dollar in 2001, dem ersten Jahr der Statistikführung, über 264,6 Millionen US-Dollar in 2008 auf 559,7 Millionen US-Dollar im vergangenen Jahr 2009, was dem Faktor 31 seit Beginn der Statistikaufzeichnung entspricht.

In über 41% der Fälle 2009 entstand ein Schaden von mehr als 1000 US-Dollar, in mehr als 13% waren es über 5000 US-Dollar, und immerhin in noch 1% der Fälle sogar über 100.000 US-Dollar.

Die zunehmende Schadenshöhe pro Geschädigtem spricht zudem für eine zunehmende 'Professionalisierung' des Cybercrime, auch wenn die Statistik nicht repräsentativ ist. In der Statistik sind auch nur gemeldete Schäden, die US-Bürgern entstanden sind berücksichtigt; daneben verbleibt wohl eine hohe Dunkelziffer.

Weltweit dürfte der Schaden durch Cybercrime inzwischen mehrere Milliarden Euro pro Jahr betragen.


Adobe Reader wäre nun die meistausgenutzte Software mit Sicherheitslücken und hätte damit nun Microsoft Word abgelöst, berichtet TheRegister unter Bezug auf Zahlen des AntiVirus-Herstellers F-Secure.

Als Grund nennt F-Secure, der Adobe Reader habe einfach mehr Sicherheitslücken als Word.

Adobe Reader belgt laut deren Zahlen mit rund 49% Anteil vor Word mit rund 39% den unrühmlichen ersten Platz.

Die Microsoft Office Applikationen PowerPoint und Excel seien von noch rund 20% bzw. 17% Anteil an ausgenutzten Lücken in 2008 im letzten Jahr jeweils in den einstelligen Prozentbereich zurückgegangen.

Dennoch stellen an E-Mails angehängte oder heruntergeladene PDF- und Office-Dokumente neben Adobe Flash, das in der Untersuchung offenbar nicht berücksichtigt wurde, wohl noch eine der gefährlichsten Bedrohungen bei der Internetnutzung dar.

Ein anderer Grund für die hohe Infektionsrate durch PDFs könnte meines Erachtens nach sein, dass es sich für Office-Dokumente bereits herumgesprochen hat, dass diese gefährliche Schadsoftware in Form von Makros enthalten können, während dies für JavaScripte in PDF-Dateien noch relativ unbekannt zu sein scheint.

Abschalten von JavaScript in Adobe Reader kann Risiken senken, wenn auch nicht gänzlich ausschließen. Eine Funktion, JavaScript lediglich in vertrauenswürdig signierten Dokumenten zuzulassen gibt es leider nicht.


Prof. Dr. Thomas Hoeren vom Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster hat eine aktualisierte Fassung seines Skripts Internet-Recht veröffentlicht.

Auf über 500 Seiten widmet er sich den Themen Namensrechte, Urheberrecht, Werbung und Vertragsabschluss, Datenschutzrecht, Haftung von Online-Diensten und Strafrecht im Internet inklusive Formulierungsvorschlägen, Gestaltungshinweisen und Musterverträgen.

Gegenüber der vorigen Fassung seien 300 Urteile und Literaturfundstellen ergänzt worden sowie die Novellierungen des Bundesdatenschutzgesetzes eingeflossen, berichtete Heise Online.

UPDATE 09.10.2010: Die aktualisierte September-Fassung des Skripts Internet-Recht liegt nun vor und bietet Überarbeitungen im Hinblick auf die neuen Rom-I- und Rom-II-Verordnungen sowie zu De-Mail . Neu aufgenommen wurden u.a. Themen wie Zugangserschwerungsgesetz , Vorratsdatenspeicherung und Leistungsschutzrecht .


Die spanische Guardia Civil habe ein gigantisches Botnetz mit 12,7 Millionen infizierten PCs, mit sogenannten 'Zombie '-Rechnern vom Netz genommen und die Hintermänner verhaftet, berichteten Heise Online und TheRegister.

Damit dürfte mit Hilfe des spanischen Anti-Viren-Softwareherstellers Panda Software , dem FBI, der kanadischen Sicherheitsfirma Defence Intelligence und anderen einer der empfindlichsten Schläge gegen die organisierte Kriminalität im Internet der letzten Jahre gelungen sein.

Sichergestellt wurden u.a. gestohlene private Daten und Kennwörter von über 800.000 Personen , unter den Opfern sollen auch mehr als 500 der 'Fortune 1000 Companies' gewesen sein . Wer bisher noch glaubte, Datendiebstahl beträfe ihn nicht, wird damit jäh eines Besseren belehrt.

UPDATE 10.03.2010: Vodafone Smartphone ab Werk mit Bot Mariposa , laut Vodafone ein Einzelfall mit einem vom Kunden infizierten und umgetauschtem Telefon

UPDATE 17.03.2010: Nächster 'Einzelfall' mit Mariposa bei Vodafone

UPDATE 19.03.2010: Und noch 2998 'Einzelfälle' – nein jetzt wohl nicht mehr – Vodafone Spanien gesteht ein, 3000 SmartPhones mit Bot Mariposa geliefert zu haben

UPDATE 03.09.2010: Der geistige Vater des Mariposa Botnets, ein 23-jähriger Hacker mit dem Spitznamen "Iserdo", sei im Juli in Maribor, Slovenien verhaftet worden berichtete The Register .



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31