Was Sicherheitsexperten den Schlaf raubt

Woche 41: Wenn beim Verschlüsseln das Verbergen vergessen geht

Uhr
von Coen Kaat

US-Amerikaner entdecken Leck in Schweizer Software, minimalistische Malware greift Bankomaten an, und Swisscoms CSIRT Team erblickt das Licht der Welt – auf Twitter. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Source: Ciolanescu / Shutterstock.com / Netzmedien)
(Source: Ciolanescu / Shutterstock.com / Netzmedien)

Der US-amerikanische Sicherheitsanbieter Rapid7 hat eine Sicherheitslücke entdeckt – in einer Schweizer Software. Bei der betroffenen Anwendung handelt es sich um die E-Commerce-Lösung Smartvista von BPC Banking, wie dem Blogeintrag von Rapid7 zu entnehmen ist.

Das Unternehmen hat den Entwickler mit Sitz in Baar nach eigenen Angaben bereits im Mai kontaktiert – Aber noch keine Reaktion erhalten. Unterdessen sollen auch das US-amerikanische und das Schweizer Computer Emergency Response Team (GovCERT) versucht haben, sich bei BPC Banking bezüglich der Schwachstelle zu melden – ebenfalls ohne Erfolg.

Die Sicherheitslücke ermöglicht es einem gewieften Hacker mittels SQL-Injektion an sensible Daten zu kommen. Bei dieser Methode gibt ein Hacker im Frontend einen Befehl ein, über diesen er Daten aus der SQL-Datenbank im Backend ablesen kann. Möglich wird dies dadurch, dass die Benutzereingaben ungenügend maskiert oder überprüft werden.

Im Falle von Smartvista könne ein Hacker auf diese Weise Zugriff auf Benutzernamen und Passwörter aus der Datenbank erhalten. Rapid7 empfiehlt Benutzern der Software, mit BPC Banking Kontakt aufzunehmen. Eine geeignete Firewall könne jedoch auch schon SQL-Injections stoppen.

Wenn beim Verschlüsseln das Verbergen vergessen geht

Wer nicht will, dass ein anderer seine E-Mails liest, verschlüsselt diese. So kann er beruhigt schlafen, wissend, dass nur der Empfänger weiss, was in dem Schreiben stand. Es sei denn er verwendet Outlook. Microsofts E-Mail-Programm leidet nämlich an einem aberwitzigen Bug.

Das Security-Beratungsunternehmen SEC Consult beschreibt den Bug auf seinem Unternehmensblog. Die Verschlüsselung funktioniert demnach ordnungsgemäss. Aber wenn der Nutzer S/MIME nutzt, um seine E-Mails zu verschlüsseln und als Klartext formatiert, macht Outlook etwas Dummes: Es fügt der E-Mail eine unverschlüsselte Kopie als Anhang hinzu.

Wer also so ein Schreiben abfängt, kann zwar die E-Mail nicht lesen, weiss aber Dank der Kopie dennoch, was alles geschrieben wurde. SEC Consult fand den Bug nach eigenen Angaben per Zufall. Das Unternehmen habe Microsoft bereits im Mai kontaktiert, aber keine Reaktion erhalten.

Microsoft hat das Problem im Oktober per Patch behoben, wie The Register berichtet. Das Unternehmen behauptet gemäss dem Bericht, es sei unwahrscheinlich, dass Hacker die Schwachstelle tatsächlich ausgenutzt haben. Gemäss The Register seien einige Sicherheitsexperten jedoch anderer Meinung.

Minimalistische Malware macht Moneten-Maschinen mächtig melancholisch

Der russische Sicherheitsanbieter Kaspersky Lab kämpft derzeit mit Schlagzeilen und Skandalen. Die Sicherheitsforscher des Unternehmens arbeiten aber wie gewohnt weiter und analysieren fleissig neue Malware – wie etwa ATMii.

Die Malware infiziert nur Bankomaten, wie Kaspersky in einem Blogeintrag schreibt. Daher auch der Name. Die Abkürzung ATM steht für Automated Teller Machine und bezeichnet im englischsprachigen Raum Geldautomaten. Die Malware ATMii besteht aus lediglich zwei Dateien: exe.exe und dll.dll – der Angreifer muss lediglich beide Dateien entweder über das Netzwerk oder per USB auf das Gerät bringen.

Läuft die Malware auf dem Automaten, kann der Angreifer gemäss Kaspersky drei Funktionen ausführen. Sie können die Geldbestände auslesen oder den Automaten anweisen, einen gewünschten Betrag auszuspucken. Schliesslich können sie der Malware auch befehlen, sich selbst zu sabotieren indem sie die lokale Config-Datei löscht.

ATMii weist aber noch eine seltsame Eigenart auf. Sie attackiert lediglich Bankomaten, die auf Windows 7 oder Windows Vista laufen. Die meisten Geräte nutzen gemäss dem Blogeintrag aber noch Windows XP. Dies deutet darauf, dass der Entwickler sehr bewusst nur die Automaten eines bestimmten Netzwerks attackieren wollen, wie Bleepingcomputer berichtet. Kaspersky jedoch schreibt, dass es sich nicht um eine sonderlich fortschrittliche Malware handelt.

Und Swisscoms CSIRT-Team zwitschert zum ersten Mal

Das Computer Security Incident Response Team (CSIRT) von Swisscom hat seinen eigenen Twitter-Kanal erhalten. Das CSIRT informiert neu auf dem Kanal @swisscom_csirt über sicherheitsrelevante Themen wie Cyber-Attacken und Sicherheitslücken, wie das Unternehmen per E-Mail mitteilt.

Den ersten Tweet publizierte das Team am Dienstag: in einem kurzen Video stellt das CSIRT sich selbst und seine Aufgaben rasch vor. Gemäss dem Video hilft das Team etwa externen Kunden, die nach Angriffen erpresst werden oder deren Website lahmgelegt wurden. Zudem sorgt das Team auch für die Sicherheit am Swisscom-Arbeitsplatz, denn auch der Telko gerate zuweilen ins Visier von Hackern.

Auf seiner Facebook-Präsenz warnt der Telko derweil vor Betrügern. Diese würden sich über gefälschte Telefonnummern als Supportmitarbeiter von Swisscom ausgeben. Wie Swisscom schreibt, sollen sie den potenziellen Opfern vorgaukeln, ihre Rechner seien infiziert. Um zu helfen, müssten sie eine Software herunterladen und den falschen Supportmitarbeitern sensible Kundendaten preisgeben.

Swisscom versichert in dem Post allerdings, dass das Unternehmen niemals per Telefon oder E-Mail nach Kundendaten und Passwörtern fragen würde. Mehr Infos zum Thema Sicherheit bietet der Telko auf seiner Website.

Und noch zum Nachschlagen: das kleine IT-Security-ABC. Über den Direktlink oder einfach Webcode SecurityABC in das Suchfeld eingeben.

Webcode
DPF8_62642