Kategorie: Internet

Malware-Aussichten 2018

Thies Schreib einen Kommentar

Malware-Aussichten 2018Sophos, ein führender Anbieter von Endpoint- und Network-Security-Lösungen, hat in einem Whitepaper die diesjährige Schadsoftware und die voraussichtlichen Gefahren für 2018 analysiert. Im Ergebnis zeigt sich, dass Ransomware dominanter denn je ist und insbesondere Android-User 2018 betroffen sein dürften.

2017 ist fast schon wieder Geschichte und damit beginnt die Saison der Jahresrückblicke. SophosLabs hat die Schadware in 2017 analysiert und Prognosen erstellt. Ein dominantes Security-Thema in 2017 ist Malware für Mobilgeräte, vornehmlich für Android. SophosLabs analysierte, dass es bis Ende 2017 geschätzte 10 Millionen verdächtige Android-Apps geben wird, darunter auch Ransomware, wie sie beispielsweise über Fake-Versionen des populären Spiels „King of Glory“ verteilt wurde. 2016 lag Gesamtanzahl an schädlichem Code für Android noch bei 8,5 Millionen. Der größte Anteil von 77 Prozent fällt dabei auf Malware, 23 Prozent auf PUAs (potenziell unerwünschte Anwendungen).

Auffällig ist der deutliche, teilweise sprunghafte Anstieg der Anzahl schadhafter Apps in den letzten vier Jahren: waren es 2013 noch etwas mehr als eine halbe Millionen, folgte 2015 ein Anstieg auf knapp 2,5 Millionen – derzeit liegt der Wert bei 3,5 Millionen. Beim Blick auf die schadhaftesten Malware-Familien für Android seit Anfang des Jahres, steht Rootnik auf Platz 1 mit einem Anteil von 42%, wobei zahlreiche Apps auf Google Play mit Rootnik in Verbindung gebracht werden konnten. Aber auch die DirtyCow Linux Schwachstelle im September 2017 kann darauf zurückzuführen werden. Auf Platz 2 liegt dann PornClk mit 14%, danach folgen Axent (9%), Slocker (8%) und Dloadr (6%). Die Analyse der Malware-Varianten zeigt: Andr/Rootnik ist die produktivste Familie, verantwortlich für mehr als die Hälfte (53%) aller Android Schadsoftware.

PUAs bleiben ein dauerhaftes Problem, auch wenn deren Anzahl von knapp 1,5 Millionen in 2016 in diesem Jahr auf weit unter 1 Million deutlich gesunken sind. Per se schadhaft, sind diese aber lästig und unerwünscht, besonders wenn sie als Adware ständig aufpoppen. Von den PUAs, die SophosLabs dieses Jahr untersuchte, dominieren Android Skymobi Pay-Aktivitäten mit 38%. Android Dowgin liegt bei der Hälfte (16%), Android Riskware SmsReg sogar nur bei 12%.

WhatsApp: Start der Business-Funktion angekündigt

Thies Schreib einen Kommentar

WhatsApp: Start der Business-Funktion angekündigtWhatsApp ist und bleibt eine Erfolgsstory. Seitdem 2009 die erste Version des kostenlosen Messenger-Dienstes erschienen ist, steigen die Nutzerzahlen kontinuierlich an. Inzwischen nutzen ihn täglich weltweit eine Milliarde Menschen, die aktuell 55 Milliarden Nachrichten pro Tag verschicken. Dazu kommen täglich 4,5 Mrd. Fotos und eine Mrd. Videos. Ursprünglich als rein privater Dienst gedacht, kommt WhatsApp inzwischen auch verstärkt für eine Kommunikation mit und innerhalb von Unternehmen zum Einsatz. Daher ist es wenig verwunderlich, dass die Entwickler nun im offiziellen Blog mitgeteilt haben, dass an speziellen Business-Funktionen gearbeitet wird:

Wir entwickeln für Menschen – und jetzt auch Unternehmen. [..] Mit der Zeit benutzen immer mehr Leute WhatsApp aber auch dazu, um mit Unternehmen, die ihnen wichtig sind, zu kommunizieren, z. B. um eine Bestellung beim örtlichen Bäcker aufzugeben, oder um die neuesten Trends in einem Modegeschäft anzusehen. Das geschieht allerdings im Moment noch auf ziemlich rudimentäre Art und Weise. Wir haben von Geschäftseigentümern gehört, die mit hunderten von Kunden von einem einzigen Smartphone aus kommunizieren, und von Leuten, die sich nicht sicher sind, ob das Geschäft, mit dem sie über WhatsApp kommunizieren, authentisch ist. […] Wir wissen, dass Unternehmen viele Anforderungen stellen. Sie möchten zum Beispiel eine offizielle Präsenz – ein verifiziertes Profil, das sie klar als das Unternehmen identifiziert – und eine einfachere Möglichkeit, auf Nachrichten zu reagieren. Wir entwickeln und testen neue Tools, die wir über folgende Neuerungen verfügbar machen: eine kostenlose WhatsApp Business-App für kleine bis mittelgroße Unternehmen, und eine Unternehmenslösung für Großunternehmen mit globaler Kundschaft, wie zum Beispiel Fluggesellschaften, Onlinehandel und Banken. Diese Unternehmen werden unsere Lösungen dazu nutzen können, um ihre Kunden über nützliche Informationen wie Flugzeiten, Lieferbestätigungen und andere Informationen zu benachrichtigen.

Damit einher geht der Aufbau eines komplett neuen Geschäftsbereichs: die Einführung von kostenpflichtigen Diensten. Ein Schritt, der auch für das Mutterunternehmen Facebook, welches 2014 für rund EUR 22 Mio. WhatsApp gekauft hatte, Neuland ist. Dieser finanziert seine Dienste maßgeblich über Werbung.

Einen konkreten Zeitplan für die Einführung der Business-Funktionen wurde bisher nicht genannt, es wird lediglich von den kommenden Monaten gesprochen.

WordPress Security-Fix auf v. 4.4.1

Thies Schreib einen Kommentar

WordPress Security-Fix auf Version 4.4.1Das Schliessen einer XSS (Cross-Site-Scripting) Sicherheitslücke sowie das Beheben von 52 Bugs – das ist das Ergebnis eines aktuellen Updates der Open-Source-Blogsoftware WordPress, welche gestern veröffentlicht wurde. Zu den Bugfixes gehören ein verbesserter Emoji-Support, um die neuesten Emojis zu unterstützen, sowie ein zeitweilig auftretender Defekt bei der URL-Weiterleitung.

Die XSS-Lücke betrifft alle WordPress-Ausgaben bis einschließlich Version 4.4 – Nutzer der automatischen WordPress-Update-Funktion dürften das Sicherheitsupdate bereits eingespielt haben. Allen anderen wird schnellstmöglich eine manuelle Installation empfohlen, die hier heruntergeladen werden kann. Wer noch eine ältere WordPress-Version nutzen sollte, muss die jeweiligen WordPress-Patches 4.3.2, 4.2.6, 4.1.9, 4.0.9, 3.9.10, 3.8.12 oder 3.7.12 einspielen.

WordPress Version 4.4 erschienen

Thies Schreib einen Kommentar

WordPress Version 4.4 erschienenDie Open-Source-Blogsoftware WordPress hat ein umfangreiches Update auf die Version 4.4 erhalten, das den Beinamen Clifford trägt – benannt nach dem Jazztrompeter Clifford Brown (1930-1956).
Und die neue Version hat wieder eine Reihe von Neuerungen im Gepäck:

Passend zum Jahreswechsel kommt die neue Standard-Theme Twenty Sixteen (2016), die nach dem Mobile First Approach-Ansatz designed wurde, also zunächst für die Anzeige auf mobilen Geräten optimiert und dann wurde aus der mobilen eine Desktop-Version entwickelt. Twenty Sixteen wird im Gegenzug zu den früheren Themes nicht auch automatisch beim Update auf die neue Version installiert, sondern nur bei einer Neuinstallation. Jeder Nutzer kann die Theme aber direkt bei wordpress.org herunterladen resp. in seiner WordPress-Version installieren.

Zwei neue Features in WordPress 4.4 betreffen den Umgang mit Responsive Images sowie das Einbetten von Inhalten mittels oEmbed-Technik:

Um die Darstellung von Bildern generell in Abhängigkeit von der Display-Auflösung des Besuchers zu gewährleisten, also insbesondere auf Smartphones und Tablets, werden unabhängig von der jeweils genutzten Theme die Attribute srcset und sizes in Thumbnails oder Bildergalerien hinzugefügt. Somit werden nun diese eingebetteten Images automatisch an die Displaygröße des Endgeräts angepasst ohne dass hierfür externe Scripte oder Dienste zum Einsatz kommen müssen. Und auch das Einbetten weiterer Inhalte per URL, so wie man es z.B. bereits mit YouTube Videos, Twitter-Tweets, Facebook-Posts oder Instagram Bildern handhaben konnte, wurde integriert. Diese neuen Dienste sind Cloudup, Reddit, ReverbNation, Speaker Deck, VideoPress und vor allem auch WordPress-Beiträge von anderen Seiten! Letzteres sorgt dafür, dass Titel, ein Teil des Contents inkl. Post-Thumbnail, Website-Icon sowie Links zum Kommentieren und Teilen angezeigt werden.

Selbstverständlich gibt es ferner noch eine Reihe von Änderungen in der Core-Struktur von WordPress. Dazu zählen umfangreiche Änderungen der Taxonomie, die nun auch um Metadaten ergänzt werden können, interne Anpassungen der Kommentarfunktion, deren Performance durch Cache-Handling verbessert wird, sowie die Integration der Infrastruktur des Plugins WordPress REST API direkt in den WordPress Core. Eine Übersicht aller Änderungen findet Ihr natürlich auf der offiziellen WordPress-Website.

Flipbooks – Vom Daumenkino zum digitalen Magazin

Thies Schreib einen Kommentar

Flipbooks - Vom Daumenkino zum digitalen Magazin - Image copyright convote.deDank Internet sowie moderner Telekommunikationsgeräten wie Smartphones, iPads und Tablet-PCs hat sich vieles in unserem Leben massiv geändert, insbesondere auch im Bereich Marketing. Ich erinnere mich noch gut an meine Kindheit zurück, in der eine Vielzahl von Broschüren und Katalogen im Briefkasten landeten – sei es von grossen (teilweise nicht mehr existenten) Versandhäusern oder von lokalen Unternehmen. Diese klassischen Vertriebswege wurden aber in den letzten Jahren sukzessive abgelöst durch digitale Alternativen. Einerseits um ein zielgruppenorientierteres Marketing zu ermöglichen, andererseits um die Kosten zu reduzieren. Gängige Medienformate sind heutzutage die Website – ggf. inkl. Shop – und vor allem die Nutzung von PDF-Dateien.

Zwischenzeitlich gibt es eine innovative und moderne Alternative zur PDF-Datei im Bereich des Content Marketing: das sogenannte Flipbook! Weiterlesen

Erneute Sicherheitslücke im Adobe Flash-Player

Thies Schreib einen Kommentar

Adobe-Flash-PlayerZum wiederholten Male ist im Adobe Flash-Player eine kritische Sicherheitslücke entdeckt worden, der im Web immer noch als Standard-Anwendung für die Darstellung von Video-Inhalten eingesetzt wird. Herausgekommen ist die Sicherheitslücke nach einem Hacker-Angriff auf den italienischen Überwachungssoftware-Anbieter Hacking Team. Dabei wurden auch Informationen über weitere, bisher unbekannte Schwachstellen im Adobe Flash-Player bekannt, auf denen Hacking Team ihre Überwachungsprogramme für Sicherheitsbehörden aufbaute. Aufgrund der Vielzahl von Schwachstellen in den letzten Monaten haben die Entwickler des Webbrowsers Firefox sogar temporär die Ausführung des Flash-Player standardmäßig blockiert!

Wie Adobe mitgeteilt hat, tritt die Lücke unter Windows und OS X im Flash Player bis zur Version 18.0.0.194 sowie unter Linux bis zur Version 11.2.202.468 auf . und ermöglicht es Angreifern, das System zum Absturz zu bringen oder sogar die Kontrolle zu übernehmen. Seit gestern (14.07.2015) steht für Windows- und Mac-OS-Nutzer ein Flash-Update auf die Version 18.0.0.209 zum Download bereit, welches den Bug behebt und daher umgehend installiert werden sollte. Nutzer des Google Chrome auf Windows, Mac OS X und Linux sowie des Internet Explorers 10 und 11 für Windows 8 und 8.1 erhalten das Update automatisch.

WordPress Sicherheitsupdate auf Version 4.2.2

Thies Schreib einen Kommentar

WordPress Sicherheitsupdate auf Version 4.2.2Für die Open-Source-Blogsoftware WordPress ist ein wichtiges Update auf die Version 4.2.2. veröffentlicht worden, da erneut eine XSS Cross-Site-Scripting-Sicherheitslücke gefunden wurde. Das Sicherheitsunternehmen Sucuri hatte die DOM-basierte Softwarelücke entdeckt und vor den Folgen eines Angriffs gewarnt. Mit dieser Schwachstelle ist es Angreifern möglich das Document Object Model (DOM) im Browser des Opfers durch das Original-Script zu modifizieren und bösartige JavaScript-Schadcodes auszuführen. Sollte der Nutzer dabei als WordPress-Administrator eingeloggt sein, könnte der Angreifer sogar die komplette Website übernehmen.

Verursacher dieser Sicherheitslücke ist die Beispieldatei des Genericons-Icon-Sets, die sowohl im Default-Theme Twenty Fifteen vorkommt sowie über das Plugin Jetpack integriert wird. Makaber dabei ist, dass diese Beispielsatei vollkommen unnötig ist und lediglich für Tests der Entwickler benötigt wird.

Mit dem WordPress 4.2.2 Sicherheitsupdate wird die Beispieldatei automatisch entfernt und WordPress versucht weiterhin zu erkennen, ob andere installierte Themes oder Plugins diese verwundbare Datei mitliefern. Wer die automatische Update-Funktion in seinen WordPress-Einstellungen aktiviert hat, dürfte das Sicherheitsupdate bereits eingespielt haben. Allen anderen wird eine manuelle schnellstmöglich Installation empfohlen!

Adobe Flash-Player: Dringend aktualisieren!

Thies Schreib einen Kommentar

Adobe Flash-Player: Dringend aktualisieren!In den letzten Tagen gab es kaum einen Tag, an dem man nicht neue Informationen über ein massives Sicherheitsleck im Adobe Flash-Player im Netz lesen konnte, sogar das komplette Abschalten des Tools wurde empfohlen. Hintergrund ist eine kritisch eingestufte Sicherheitsschwachstelle, die so gravierend ist, dass es Angreifern ermöglicht, Schadsoftware über den Besuch einer präparierten Webseite (u.a. das beliebte Videoportals Dailymotion war betroffen) durch Downloads im Hintergrund auf das eigene System zu installieren. Besonders betroffen durch diese Sicherheitslücke waren Nutzer des Mozilla Firefox und Internet Explorers unter Windows-Betriebssystemen. Adobe hat daraufhin die folgenden Versionen des Flash-Players als verwundbar angebeben:

  • Adobe Flash Player 16.0.0.296 und älter für Windows und Macintosh
  • Adobe Flash Player 13.0.0.264 und älter
  • Adobe Flash Player 11.2.202.440 und älter für Linux

Zwischenzeitlich wurde ein Sicherheits-Update für den Flash-Player (Version 16.0.0.305 resp. 13.0.0.269 bzw. für Linux 11.2.202.442) veröffentlicht, der diese Sicherheitslücke schliesst und darüber hinaus 17 weitere Schwachstellen behebt. Nutzer der Google Chrome erhalten diese Patch automatisch mit dem aktuellen Update auf Chrome 40.0.2214.111 installiert.

Seitens Adobe kann man auf der Flash-Player-Testseite abrufen, welche Version auf dem eigenen Computer installiert ist. Handelt es sich um eine niedrigere Version als die aktuelle, sollte man unbedingt die neueste Version direkt auf der Adobe-Website herunterladen und installieren!

Betrugsmasche: Anruf eines angeblicher Microsoft-Mitarbeiters

Thies Schreib einen Kommentar

Betrugsmasche: Anruf eines angeblicher Microsoft-MitarbeitersDiese Betrugsmasche ist zwar nicht neu, scheint aber in den letzten Wochen wieder deutlich zugenommen zu haben: ein angeblicher Mitarbeiter vom Microsoft-Supportteam meldet sich per Telefon und informiert, meist in Englisch, dass eine Maleware-Infektion, ein Systemproblem oder der Ablauf einer Laufzeitgarantie auf dem Computer des Angerufenen festgestellt wurde. Und natürlich wird auch gleich Hilfe bei der Beseitigung des Problems angeboten.

Um es gleich vorweg zu nehmen: der Angerufene ist natürlich nicht von Microsoft, sondern ein Internetbetrüger!

Mich erreichte so ein Anruf letzte Woche, als ich gerade dabei war, den Laptop meines Schwiegervaters neu aufzusetzen. Da ich auf dem Laptop die persönliche Daten noch nicht wieder neu aufgespielt hatte (der Rechner also komplett „datenfrei“ war), „spielte“ ich den Ahnungslosen und ließ den angeblichen Support-Mitarbeiter gewähren. Zunächst musste ich eine Remote-Software (Ammyy resp. Teamviewer) aufspielen, die genutzt wurde, um mir Fehlermeldungen zu präsentieren. Ferner teilte er mir mit, dass die Lizenz seines Betriebssystems abgelaufen sei und er nutzte die Remote-Software, um ein Systempasswort in Windows zu hinterlegen. Ein „normaler“ Nutzer hätte ab diesem Zeitpunkt seinen Rechner nicht mehr nutzen können, ohne auf externe Hilfe zurückzugreifen. Damit mein System wieder freigeschaltet wird, sollte ich einen kleinen Beitrag (8 – 15 Euro je nach Lizenz-Laufzeit) an Microsoft überweisen und hierfür fing der freundliche Mitarbeiter von Microsoft auch gleich an, bei Western Union ein Online-Konto für mich anzulegen – natürlich mit einem von ihm gewählten Passwort -, wo ich dann nur noch meine Kredikarten- oder Bankdaten hinterlegen müsste – was er Dank der Remote-Software hätte mitschreiben können – und schon wäre das leidige Thema erledigt. Zu diesem Zeitpunkt kappte ich dann die Internet-Verbindung zum Laptop, bdankte mich „freundlich“ und legte auf.

Der Anruf diente natürlich nur einem Zweck: dem Abgreifen von Konto- und Kreditkarten, um damit Geldtransfers auszulösen. Microsoft ist diese Vorgehensweise seit Herbst 2011 bekannt und gibt hierzu folgende Hinweise:

  • Microsoft schickt unaufgefordert weder E-Mails noch fordert das Unternehmen per Telefonanruf persönliche oder finanzielle Daten an.
  • Microsoft unternimmt keine unaufgeforderten Telefonanrufe, in denen das Unternehmen anbietet, einen Rechner zu reparieren.
  • Bei manchen Anrufen gibt sich der Anrufer als Mitarbeiter einer Microsoft-Lotterie aus. Eine derartige Lotterie gibt es nicht.
  • Microsoft fragt nicht aktiv nach Kreditkarteninformationen, um die Echtheit von Office oder Windows zu verifizieren.
  • Microsoft kontaktiert Nutzer nicht ungefragt, um über neue Sicherheitsupdates zu informieren.

Wie die Betrüger auf mich gekommen sind, habe ich leider nicht rausfinden können. Ich befürchte, dass die Windows-Recovery-Daten auf dem Computer infiziert waren und daher bei der Re-Installation eine entsprechende Malware zum Einsatz kam, die weder vom SpyBot noch vom Antiviren-Programm erkannt wurde. Den Laptop meines Schwiegervaters habe ich danach dann natürlich komplett gelöscht, die Festplatte formattiert und Windows neu von CD installiert.

Fazit:
Wenn jemand von Microsoft anruft und seinen Support unaufgefordert anbietet: Auflegen!

TimThumb: Potentielle Sicherheitslücke in einigen WordPress-Themes

Thies Schreib einen Kommentar

TimThumb: Potentielle Sicherheitslücke in einigen WordPress-ThemesDa spielt man regelmäßig die Updates von WordPress und den Plugins ein, um ja keine Sicherheitslücken offen zu haben, und trotzdem hat mich diese Woche mein Provider darauf aufmerksam gemacht, dass bei einem meiner Web-Projekte ein Malware-Schädling aufgetreten ist. Anhand der Log-Files konnte ich dann auch schnell den Übeltäter identifizieren und war etwas überrascht. Die Sicherheitslücke verursachte weder der Core-Part von WordPress noch irgendein Plugin, nein, der Übeltäter ist war ein kleines, aber feines Tool namens TimThumb, welches Bestandteil der in dem Projekt genutzten Theme ist.

Dieses PHP-Script kann Bilder auf beliebige Grössen zuschneiden und wählt dabei den bestmöglichen Ausschnitt. TimThumb wird vielen kostenlosen wie -pflichtigen Plugins und Themes verwendet, da es für die Entwickler einen geringeren Arbeitsaufwand bedeutet. Nur leider exisitiert in älteren Versionen dieses eigentlich sinnvollen Scripts eine Sicherheitslücke, mit der beliebige PHP-Dateien in dessen Cache-Verzeichnis eingeschleust und ausgeführt werden können. Und da dieses Script nicht automatisch durch WordPress auf eine notwendige Aktualisierung überprüft werden kann, fällt diese Sicherheitslücke meistens erst auf, wenn es zu spät ist!

Was kann resp. muss man nun also machen? Wenn man das Script nicht durch eine neuere Version ersetzen will, sollte man einfach die folgende Zeile suchen:

$allowedSites = array (
'flickr.com',
'picasa.com',
'blogger.com',
'wordpress.com',
'img.youtube.com',
);
und ersetzen mit

$allowedSites = array ();

Sinnvoller ist es aber natürlich, sich die neueste Version von TimThumb herunterzuladen und auf den Server zu spielen! Das habe ich gemacht und parallel dazu das WordPress Plugin Timthumb Vulnerability Scanner installiert. Mittels dieses Plugin können alle veralteten TimThumb Skripte angezeigt und automatisch auf den neuesten Stand gebracht werden. Und natürlich habe ich den Aufruf von Dateien auf externen Seiten komplett deaktiviert. Damit kann dieses Schlupfloch gar nicht mehr genutzt werden!

Auch wenn diese TimThumb-Sicherheitslücke nun bereits seit fast genau einem Jahr bekannt ist, hatte ich bisher davon nichts gelesen. Daher poste ich diesen Artikel heute, um eventuell anderen WordPress-Nutzern eine Hilfestellung zu geben resp. für dieses Thema zu sensibilisieren.