Ein Jahr, nachdem die Preise für gestohlene Identitäten um gut ein Drittel gefallen waren, steigen sie jetzt offenbar wieder. Das berichtet Dark Reading mit Bezug auf den jüngsten Report von Dell SecureWorks über kriminelle Hacker-Märkte.
Gefälschte Identitäten wie Pässe, US-Sozialversicherungsnummern oder Führerscheine sind bei Betrügern demnach nach wie vor sehr begehrt. Eine neue Identität inklusive Name und Adresse kostet 250 Dollar, für 100 Dollar extra werden echte Gas- Wasser- oder Stromrechnungen angeboten, die zur Identitätsüberprüfung dienen. Gestohlene Identitäten sind dabei billiger als gefälschte, auch wenn die Preise auf dem Schwarzmarkt steigen. So kostet ein “Fullz”, also eine gestohlener, echter Ausweis jetzt 30 Dollar, letztes Jahr war er für 25 Dollar zu haben. In Großbritannien, Australien, Kanada, Asien und der EU kostet er 35 bis 45 Dollar, im Vorjahr waren es noch 30 bis 35 Dollar.
Die Zahl der gestohlenen Kreditkarten, die zum Verkauf angeboten werden, steigt ebenfalls – genau wie die Anzahl der Verkäufer, so Dell SecureWorks. Diese bieten zum Teil Garantien an und ersetzen Kartendaten, die nicht mehr funktionieren. Die kriminellen Hacker verstärken auch die “Dienstleistungen” in ihrem Bereich, zum Beispiel Anleitungen, wie man Betrug begeht, Geldautomaten knackt oder Online betrügt. Die Tutorials werden laut Dell zwischen einem Dollar und 30 Dollar angeboten.
Goldene und Platin-Kreditkarten werden häufig in Bündeln verkauft: Ein Anbieter offeriert zehn Karten für 13 Dollar das Stück und bis zu 2000 Kartendaten für 9 Dollar pro Stück. Einzelne Premium-Karten kosten bis zu 35 Dollar. Einige Webseiten geben an, dass auf ihnen bis zu 14 Millionen US-Kreditkarten angeboten werden.
Die Preise für ferngesteuerte Trojaner sind dagegen deutlich gefallen, von 25 bis 250 Dollar auf 20 bis 50 Dollar in diesem Jahr. Warum? Er liegt offenbar an der großen Anzahl der verfügbaren Trojaner und ausnutzbaren Schwachstellen. Die Anzahl der “Doxing Services” war dagegen rückläufig, berichtet Dell, ebenso die Preise dafür: Diese Dienste wurden 2014 zwischen 25 bis 100 Dollar angeboten. “Doxing” beschreibt das Vorgehen krimineller Hacker, alle on- und offline verfügbaren Informationen über bestimmte Menschen zu sammeln.
Die Preisentwicklungen auf dem Daten-Schwarzmarkt lassen sich hier im Detail nachlesen.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Liebe Podcast-Zuhörer,
Ausgabe 25/2014 des TechNet Newsflash vom 18. Dezember ist unter folgendem Link verfügbar:
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_25-2014.mp3
Der TechNet Newsflash in Schriftform wird hier zu finden sein:
http://www.microsoft.com/germany/technet/newsflash/25-2014.htm
Den RSS Feed können Sie Sich über den folgenden Link abonnieren:
http://www.microsoft.com/feeds/technet/de-de/newsflash/tn_flash_podcast_archiv.xml
Wie immer wünschen wir Ihnen viel Freude mit unser3em Podcast!
Auch an dieser Stelle wünschen wir allen ein paar erholsame Feiertage und einen guten Rutsch!
Bis bald und viele Grüße,
Heike & das TechNet Online-Team
Vom 11. bis 13. November fand in Berlin der Technical Summit 2014 statt. Großer Beliebtheit am ersten Tag erfreuten sich die Sessions zu Windows Server und Hyper-V. So stellte zum Beispiel Jeff Woosley die kommende Version von Windows Server vor und Benedikt Berger präsentierte Highlights und News rund um Hyper-V.
Windows Server vNext
Zum Auftakt der Vorträge am Dienstag gab es gleich ein spannendes Thema für IT-Professionals: Windows Server vNext. Seit kurzer Zeit können Interessierte die erste Technical Preview der nächsten Windows Server-Version testen. Es handelt sich dabei um eine sehr frühe erste Vorabversion, die für eine Evaluierung der ersten neuen Funktionen und nicht für den Produktiveinsatz gedacht ist.
Neuerungen finden sich derzeit u.a. in den Bereichen Infrastruktur, Networking, Storage, Remote Desktop sowie Identity und Access Management. Einen detaillierten Überblick zu neuen Features bei der Windows Server Technical Preview bietet die TechNet Library:
What's New in Networking in Windows Server Technical Preview
Windows Defender Overview for Windows Server Technical Preview
What's New in Remote Desktop Services in the Windows Server Technical Preview
What's New in Storage Services in Windows Server Technical Preview
What's New in Failover Clustering in Windows Server Technical Preview
What's New in Web Application Proxy in Windows Server Technical Preview
Virtual Machine Converter 3.0
Auf den sehr interessanten Auftakt mit Windows Server vNext folgte eine nicht minder interessante Session zu Hyper-V. Gleich zu Beginn seiner Session stellte Benedikt Berger die neue Version des Microsoft Virtual Machine Converter genauer vor. Dieses Stand Alone Tool von Microsoft wandelt auf VMware basierende virtuelle Maschinen und Disks in auf Hyper-V und Azure basierende virtuelle Maschinen um. Alternativ können damit auch physikalische Server ab Windows Server 2008 oder Betriebssysteme ab Windows Vista in virtuelle Maschinen umgewandelt werden, die auf Hyper-V laufen.
Zu den Neuerungen in Version 3.0 gehört u.a. die Möglichkeit, auch VMs, die offline sind, konvertieren zu können. Nähere Informationen zu den neuen Features finden Sie im Server & Cloud Blog. Den kostenlosen Download des Microsoft Virtual Machine Converter 3.0 gibt es auf dieser Seite.
Azure Site Recovery
Ebenfalls einen ausführlichen Teil seines Vortrags widmete Benedikt Berger dem Cloud Service Azure Site Recovery. Dieser bietet unter anderem automatische(n) Replikation und Schutz von virtuellen Maschinen, benutzerdefinierte Recovery-Pläne, abgestimmte Wiederherstellung im Bedarfsfall sowie Replizieren und Wiederherstellen auf Azure. Nähere Informationen und die Möglichkeit Azure Site Recovery zu testen, gibt es auf dieser Seite.
Sehr interessant in diesem Zusammenhang ist auch die Session „Implementing Enterprise-Scale Disaster Recovery with Hyper-V Recovery Manager, Network Virtualization, and Microsoft System Center 2012 R2“ der TechEd North America 2014, die kostenlos auf Channel 9 zur Verfügung steht.
Weitere Informationen bietet Benedikt Berger in seinem Blog und außerdem auch der Microsoft Virtualization Team Blog:
Announcing the GA of Disaster Recovery to Azure using Azure Site Recovery
Disaster Recovery to Microsoft Azure – Part 1
Disaster Recovery to Microsoft Azure – Part 2
Networking 101 for Disaster Recovery to Microsoft Azure using Site Recovery
Migrate Windows Server 2012 R2 Virtualized Workloads to Microsoft Azure with Azure Site Recovery
Azure Site Recovery: Data Security and Privacy
ExpressRoute + ASR = Efficient DR solution
Hyper-V vNext
Ebenfalls getestet werden kann seit kurzer Zeit die kommende Version von Hyper-V. Auch hier handelt es sich um eine sehr frühe Preview-Version, die für erste Tests und erstes Feedback genutzt werden kann und nicht für den Produktiveinsatz gedacht ist.
Kurz zusammengefasst bietet Hyper-V vNext u.a. Neuerungen und Verbesserungen in folgenden Bereichen: Hyper-V Manager, VM-Versionen und deren Upgrades, Rolling Cluster Upgrades, Update der Integrationsdienste über Windows Update, neues Dateiformat für virtuelle Maschinen, Change-Log Tracking für Backup, Ressourcen zu virtuellen Maschinen hinzufügen und entfernen, Netzwerkkarten-Benennung, Production-Checkpoints sowie Hyper-V Replica. Detailliert listet die TechNet Library alles Neue der ersten Technical Preview.
Sehr empfehlenswert sind außerdem diese Blog-Beiträge von Benedikt Berger zu Hyper-V vNext:
vNext: Verbesserungen im Hyper-V Manager
vNext: VM Versionen und Formate
vNext: Rolling Cluster Upgrade
vNext: Online-Änderung von Hardware
vNext: Sonstige Neuerungen
Für alle die, die nicht auf dem Technical Summit dabei sein konnten oder das vor Ort Gesehene noch einmal rekapitulieren möchten, stehen auf Channel 9 die Aufzeichnungen der Konferenz kostenlos zur Verfügung:
Damit unsere Enterprise-Cloud-Dienste möglichst gut gegen aktuelle Bedrohungen geschützt sind, setzt Microsoft auf hochspezialisierte Gruppen von IT-Sicherheitsexperten, so genannte “Red Teams”. Sie attackieren die live im Internet verfügbaren Enterprise-Cloud-Dienste wie Microsoft Azure oder Office 365 an (Penetrationstests), um eventuell vorhandene Schwachstellen zu entdecken – bevor dies kriminellen Angreifern gelingt.
Diese Vorgehensweise ist bereits seit vielen Jahren Praxis, den meisten Kunden ist diese Arbeit “hinter den Kulissen” des Dienstes aber gar nicht bekannt. Daher haben die US-Kollegen jetzt ein Whitepaper veröffentlicht. Es wirft ein Schlaglicht darauf, wie Microsoft solche “Red Teams” einsetzt, um mögliche Einbrüche in die Systeme zu simulieren. Das Dokument gibt Anwendern zu dem Tipps, wie sie ihre eigene Infrastruktur mittels Penetrationstests abklopfen können. Microsoft erlaubt den Kunden der Azure-Dienste auch, ihre eigenen bei Azure betriebenen Anwendungen unter bestimmten Voraussetzungen anzugreifen. Details zu den Vorgaben und dem Ablauf einer solchen simulierten Attacke finden sich im Whitepaper.
Die Red Teams sind inzwischen zu einem der wichtigsten Teile beim Entwickeln und Absichern von Microsofts Cloud-Infrastruktur und -Diensten geworden. Daher sind wir der Meinung, dass möglichst viele Kunden und Anwender davon wissen und auch die Methoden verstehen sollten.
Weitere Infos über Sicherheit und Datenschutz rund um die Enterprise-Cloud-Angebote finden sich im Microsoft Azure Trust Center.
E-Zigaretten können Malware verbreiten, berichtet der britische Guardian. Schadprogramme würden sich über die Rauchutensilien verbreiten, wenn diese per USB-Ladekabel aufgeladen werden. Das gelte besonders für günstige E-Zigaretten aus nicht-vertrauenswürdigen Quellen. Erste Angriffe auf IT-Systeme seien bereits erfolgreich gewesen, berichtet ein IT-Mitarbeiter auf Reddit.
Als Quelle für eine Schadsoftware machte dieser offenbar eine in China hergestellte E-Zigarette aus, die Malware über das Ladekabel übertrage, sobald dieses an den USB-Port eines Rechners angeschlossen wird. Diese Malware werde auf dem Computer aktiv, “telefoniere nach Hause” und infiziere das System, so der Bericht.
Ein IT-Sicherheitsberater von Trend Micro hält dieses Szenario für nachvollziehbar, berichtet der Guardian. In den vergangenen Jahren hatte es bereits mehrere Berichte über digitale Bilderrahmen und MP3-Player gegeben, die für die Übertragung von Malware auf Computer genutzt wurden. Kürzlich wurden auch Android-Smartphones entdeckt, die ab Werk mit einer Trojaner-App ausgeliefert werden, wie die Experten von Lookout schreiben.
Überhaupt ist USB in den Mittelpunkt gerückt: IT-Sicherheitsforscher hatten bereits im August eine Methode präsentiert, mit der sich die Firmware in USB-Controllern von Peripheriegeräten manipulieren lässt. Der “BadUSB” getaufte Angriff nutzt aus, das die Gerätesoftware zum Schutz vor einer Neuprogrammierung fehlerhaft ist. So lässt sich beispielsweise ein USB-Stick in einen Überträger von Schadprogrammen verwandeln. Auf diesem Weg können auch Systeme befallen werden, die nicht mit dem Internet verbunden sind.
Eine Häufung der Angriffe über USB kann dazu führen, dass Unternehmen zukünftig die USB-Ports an Computern komplett deaktivieren – oder nur noch autorisierte Geräte daran zulassen werden. Eine Maßnahme, die sich in kritischen Umgebungen ohnehin schon seit langem empfiehlt.
Ausgabe 24/2014 des TechNet Newsflash vom 04. Dezember ist unter folgendem Link verfügbar:
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_24-2014.mp3
http://www.microsoft.com/germany/technet/newsflash/24-2014.htm
Wie immer wünschen wir Ihnen viel Freude beim Zuhören und dem anschließenden Durchstöbern der angekündigten Ressourcen!
Viele Grüße,
Wie die IT-Sicherheitsfirma GironSec berichtet, agiert die Android-App von Uber wie Malware auf Android-Smartphones und sendet heimlich und ohne Erlaubnis des Nutzers dessen persönliche Daten an die Server von Uber.
Bei der Untersuchung der App stellten die Experten fest, dass große Mengen persönlicher Daten versendet werden. Darunter das Protokoll für Anrufe, SMS und MMS, welche Apps installiert sind oder ob das Gerät gerootet ist. Für nichts davon habe die App laut GironSec eine Erlaubnis.
Unter den Daten, die die App versendet, befinden sich zudem Accounts-Logs für E-Mail-Konten, die Name der installierten Apps, die gesendeten und empfangenen Datenmengen, der Akkustatus, die Geräte-Infos, der Standort (GPS), die angerufenen Telefonnummern sowie die Dauer der Gespräche, die Telefonnummern, an die SMS verschickt wurden, die IDs der benutzten Funkmasten oder die WLAN-Netze in der Umgebung.
Es gibt Vermutungen, dass es sich dabei um Anti-Missbrauchs-Maßnahmen handelt, mit denen Uber Fake-Accounts finden und bekämpfen kann. Experten sind jedoch der Ansicht, dass Apps, die Daten ohne Zustimmung des Nutzers sammeln und ohne Erlaubnis weitergeben, als Malware einzustufen sind. Ob die iPhone-App von Uber ebenfalls heimlich Nutzerdaten sammelt und sendet, ist noch unklar, so GironSec.
Microsoft verbessert die Verschlüsselungstechnik für seine Kunden entscheidend: Mein US-Kollege Matt Thomlinson erklärt in einem Blogpost, das die seit jeher in Windows 8.1 und Windows Server 2012 R2 integrierte Verschlüsselungstechnik (Perfect Forward Secrecy, PFS) ab sofort auch für ältere Windows-Versionen zur Verfügung stellt. Mit den November-Updates wird per Microsoft Update die bestmögliche Verschlüsselungstechnik an Hunderte von Millionen Kunden verteilt, die Windows 7, Windows 8, Windows Server 2008 R2 und Windows Server 2012 nutzen. Diese Betriebssysteme werden dadurch noch sicherer gegen fremde Zugriffe. PFS wechselt den Schlüssel bei jedem neuen Verbindungsaufbau. Ein Angreifer kann also nicht mit einem einmal geknackten Schlüssel sämtliche verschlüsselte Kommunikation in Klartext verwandeln. Der Aufwand für Attacken erhöht sich durch PFS immens.
Microsoft hatte bereits im Dezember 2013 erklärt, dass es die Verschlüsselungstechnik in seinen Diensten und Programmen verstärken wird. Dies ist kostenlos und ab sofort auch für die Nutzer älterer Windows-Versionen möglich.
Tim Rains, der Direktor für Cybersecurity und Clud Strategie bei Microsoft, erklärte, dies sei ein wichtiger Meilenstein auf dem Weg, die Daten aller Kunden noch sicherer zu machen.
Laut IBM Trusteer versuchen Kriminelle, mithilfe eine Keyloggers die Master-Passwörter von Passwort-Managern zu stehlen. Demnach taucht in der Konfigurationsdatei des Banking-Trojaners Citadel, mit deren Hilfe er sonst die Anzeige der Bankenwebseiten im Browser manipuliert, ein Eintrag auf, der zum Angriff auf die weit verbreiteten Passwort-Manager Password Safe und KeePass dienen: Nach dem Start der Tools versucht Citadel durch einen Keylogger das Master-Passwort abzufischen.
Sobald die Malware das Master-Passwort hat, stehen dem Angreifer alle im Passwort-Tresor gespeicherten Passwörter offen – und damit quasi das komplette digitale Leben des Opfers. Passwörter gelten generell als unsicher, da sie in der Regel per Brute-Force- beziehungsweise Wörterbuchattacke zu erraten sind und ohne Zwei-Schritt-Authentifizierung keine wirklichen Schutz für sensible Daten bieten. Passwort Manager sollen hier Abhilfe schaffen, denn sie erzeugen komplexe Passwörter und verhindern das Passwort-Recycling.
Hat Citdadel das Master-Passwort mitgeschnitten, wird es an einen ansonsten unschuldigen Webserver geschickt, der offenbar von den Kriminellen kompromittiert wurde. Ob dies Teil eines größeren Angriffs ist, steht laut IBM Trusteer noch nicht fest.
Laut IBM Trusteer sind Passwort-Manager trotz des aktuellen Angriffs Passwort-Manager empfehlenswert. Denn ihr Einsatz verhindert Password-Recycling und schwache Passwörter. Zudem lassen sich die Tresore durch einen zweiten Faktor wie den Yubikey absichern: Ohne physischen Zugriff auf den Key lässt sich der Tresor nicht entsperren, selbst wenn das Master-Passwort bekannt ist. Im Fall des von der aktuellen Attacke nicht betroffenen Tools LastPass steht zudem eine Bildschirmtastatur zur Verfügung, über die das Master-Passwort eingegeben werden kann.
Ausgabe 23/2014 des TechNet Newsflash vom 20. November ist unter folgendem Link verfügbar:
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_23-2014.mp3
Den TechNet Newsflash zu dieser Ausgabe in Schriftform finden Sie hier:
http://blogs.technet.com/b/germany/archive/2014/11/21/technet-newsflash-ausgabe-23-2014.aspx
Heike Ritter & das TechNet Online-Team
Ausgabe 22/2014 des TechNet Newsflash vom 07. November ist unter folgendem Link verfügbar:
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_22-2014.mp3
Diesen TechNet Newsflash in Schriftform finden Sie hier:
http://www.microsoft.com/germany/technet/newsflash/22-2014.htm
Ausgabe 21/2014 des TechNet Newsflash ist ab sofort online unter folgendem Link verfügbar:
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_21-2014.mp3
http://www.microsoft.com/germany/technet/newsflash/21-2014.htm
Sebastian Klenk & das TechNet Online-Team
P.S.: Ich hoffe, Ihnen hat der Microsoft Technical Summit 2014 in Berlin gefallen! Die Session-Recordings finden Sie in Kürze auf der Konferenz-Webseite. Vielen Dank, dass Sie dabei waren!
Es sind nur noch wenige Tickets für den Workshop-Tag des Technical Summit am 13. November 2014 in Berlin verfügbar. Sichern Sie sich jetzt einen der letzten Restplätze und lernen Sie die Anwendung unserer Technologien von Profis aus erster Hand.
Am dritten Tag des Technical Summit stehen Ihnen unsere Microsoft-Experten und MVPs einen ganzen Tag zu den Themen Datacenter, Hybrid IT und Power BI zur Verfügung. In den jeweiligen Workshops geht es darum, dass Sie selbst mit den Tools und Technologien von Microsoft vor Ort arbeiten und die typischen Szenarien der Anwendung kennenlernen.
Im Workshop „Datacenter Modernization“ bauen Sie unter Anleitung unserer Experten eine Microsoft Private Cloud mit Windows Server 2012 R2 und System Center 2012 R2 in nur einem Tag auf. Lernen Sie darüber hinaus, wie Sie diese Private Cloud mit Microsoft Azure verbinden können, um hybride Szenarien zu ermöglichen. Sie lernen in diesem intensiven Hands-On Lab außerdem, was Windows Server als Storage-Lösung alles zu bieten hat und welche Vorteile Self Service IT für Ihren Arbeitsalltag bietet.
Im Workshop „Hybrid IT“ lernen Sie die Grundlagen von Microsoft Azure kennen und erfahren, welche Möglichkeiten Microsoft Azure in der modernen IT-Infrastruktur zu bieten hat. Für jeden Teilnehmer wird eine Azure-Umgebung erstellt und hybride Szenarien werden live in einer Trainingsumgebung ausprobiert. Mit virtuellen Maschinen, Netzwerken und PowerShell entstehen ganze Infrastrukturen auf Microsoft Azure. Anschließend werden hybride Themen vertieft, indem eine Brücke zum On-Premise-Rechenzentrum hergestellt wird.
Im englischsprachigen Workshop “Creating a Power BI Solution in one day” erfahren Sie an nur einem Tag, wie eine komplette Power BI-Lösung mithilfe aller zur Verfügung stehenden Power BI-Features erstellt werden kann. Sie lernen, wie Sie Power Query nutzen können und Daten aus den unterschiedlichsten Quellen importieren, integrieren und für weitere Auswertungen wiederverwerten können. Als Workshop-Leiter erwartet Sie Marco Russo, Buchautor und bekannter Experte nicht nur im Bereich Power BI, der Ihnen in diesem intensiven Training zeigt, wie Sie ein Power Pivot-Modell erstellen und ein Dashboard in Excel anhand Pivot-Tabellen, Power View und Excel-Formatierungen anfertigen. Nach diesem Workshop werden Sie nicht nur wissen, wie Sie Power View und Power Maps zur Visualisierung einsetzen, Sie werden alle Tools und Services für Power BI in Ihrem Unternehmen einzusetzen wissen.
Ein Ticket für den Workshop-Tag am 13. November 2014 gibt es nur in Kombination mit dem 2-Tages-Konferenz-Ticket für den 11. und 12. November 2014. An den beiden ersten Tagen erwarten Sie 50 Sprecher mit über 50 Sessions u.a. zu den Themen Windows Server, Internet of Things und SQL Server.
Profitieren Sie vom Wissen und der Erfahrung unserer Microsoft-Experten und MVPs und sichern Sie sich jetzt noch eines der letzten Tickets auch für den Workshop-Tag des Technical Summit am 13. November 2014 in Berlin.
Ich freue mich auf Ihren Besuch!
Ausgabe 20/2014 des TechNet Newsflash ist ab sofort online unter folgendem Link verfügbar:
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_20-2014.mp3
http://www.microsoft.com/germany/technet/newsflash/20-2014.htm
Offenbar speichert das neue OS X 10.10 – und wahrscheinlich auch schon die beiden Vorgängerversionen – ohne Hinweis noch nicht gespeicherte Dokumente automatisch in der iCloud des angemeldeten Anwenders. Dies schreibt der in Berlin lebende Jeffrey Paul in seinem Blog. Das Phänomen tritt laut Paul dann auf, wenn eine Apple-App wie Textedit das gerade offene Dokument automatisch speichert; diese Funktion inklusive einem automatischen Erzeugen von Versionen des Dokuments hat OS X schon seit längerem. Das System legt diese Versionen offenbar nicht nur lokal auf der Platte ablegt, sondern auch in der Cloud, wie Paul jetzt auffiel.
OS X 10.10 (Yosemite) stellt iCloud Drive in den Vordergrund. Der Online-Speicher ermöglicht unter anderem zwischen verschiedenen Apple-Geräten hin- und her zu wechseln und jeweils an der aktuellen Version eines Dokuments zu arbeiten. Dazu speichern die Apps beim Beenden automatisch nicht nur im lokalen Verzeichnis “Saved Application State”, um sie von dort bei Neustart der App wieder zu laden. Sondern sie packen sie auch in die Cloud, damit sie von anderen Geräten aus weiter editiert werden können. Erst wenn der Anwender die Datei mit einem Namen auf die lokale Platte speichert, verschwindet die Sicherheitskopie aus der Cloud.
Paul sieht das Problem darin, dass die Apps ohne weiteren Hinweis in der iCloud, also auf Apple-Servern speichern. Dieses tun laut Paul auch alle anderen Applikationen, die einen “Saved Application State” haben, wie zum Beispiel “think iA Writer” oder “Pixelmator” und andere.
“Das ist unakzeptabel”, schreibt Jeffrey Paul. Zwar ließe sich iCloud für einzelne Apps auch abschalten, doch der Punkt für ihn ist, dass Apple ab Werk und ohne explizite Erlaubnis des Nutzers lokale Dateien hochlade. Dies gilt offenbar auch für alle E-Mail-Adressen, mit denen man Mails austauscht, auch wenn diese Kontakte keinen iCloud-Account besitzen. Diese liegen eigentlich nur im Posteingang – und landen nun im Hintergrund auch auf Apples Servern.
Der seit einiger Zeit bekannte Schädling FinFisher ist bekanntlich ein Staatstrojaner. Analysen, zum Beispiel von Citizen Lab und dem Sicherheitsexperten Claudio Guarnieri, haben die Funktionen der umstrittenen Malware erstmals beschrieben. Jetzt liegt erstmals eine ausführliche Analyse von FinFisher auf Deutsch vor.
Der Securitysoftware-Hersteller Eset hat in seinen Virenlaboren Malware-Samples des Staatstrojaners FinFisher unter die Lupe genommen und einen ausführlichen deutschsprachigen Report verfasst. Laut WikiLeaks ist Eset der Antiviren-Hersteller, der FinFisher als Trojaner identifiziert hat. Der Staatstrojaner, der auch “FinSpy” genannt wird, wurde vom britisch-deutschen Unternehmen FinFisher (ehemals Gamma) entwickelt.
Sogenannte Staatstrojaner und insbesondere FinFisher sind in ihren Funktionen modernen Schadprogrammen relativ ähnlich, die vor allem Privatpersonen angreifen. Der Hauptunterschied liegt darin, dass der Code der Malware auf dem infizierten System nicht enttarnt, entpackt oder entschlüsselt wird. Da gerade diese Vorgänge in der Regel zu einer Erkennung durch eine Antiviren-Software führen, wird bei dieser Malware konsequent auf die Tarnung verzichtet.
Bei normaler Malware wird der Code üblicherweise nicht offen ausgeliefert. Deren enorme Verbreitung würde nach kurzer Zeit bewirken, dass dieser Schadcode analysiert und dadurch zuverlässig von Antivirenprogrammen erkannt wird. Eine manuelle Modifikation durch den Malware-Entwickler wäre damit nötig. Da FinFisher aber nicht breit gestreut, sondern vermutlich gezielt eingesetzt wird, konnten die Macher bis vor kurzem Analysen und Erkennung entgehen. Trotz aller Bemühungen, Licht ins Dunkel dieser Malware zu bringen, sind die Erkennungsraten mancher Komponenten bei vielen Antiviren-Programmen nur gering.
Einmal auf dem Computer gelandet, sammelt die FinFisher Daten über sein Opfer, zeichnet Audio- und Videodateien – beispielsweise von Skype – auf, durchsucht und löscht Dateien und führt Befehle aus. Die Samples, die Eset untersucht hat, können Tastenanschläge aufzeichnen, Audio-Mitschnitte vom Mikrofon und Videos vom Desktop oder der Webcam des Nutzers aufnehmen sowie bearbeitete, gelöschte oder an Drucker gesendete Dokumente heimlich versenden. Darüber hinaus sammelt das Schadprogramm Informationen wie IP-Adresse, Computername, Nutzername, Windows-Version, Zeitzone, aktuelles Datum und die eingestellte Zeit.
Die Installation des Staatstrojaners erfolgt entweder durch direkten, physischen Zugriff auf ein System oder wird dem Anwender als “Köderdatei”, getarnt als ein Bild, per E-Mail-Anhang zugeschickt. Die Malware ist im Code der Datei getarnt versteckt und wird bei Öffnen des Bildes aktiviert. Einmal ausgeführt, überprüft die Malware, ob der Rechner des Opfers bereits infiziert ist und beginnt, Dienste zu starten und Treiber bereitzustellen, die den Zugriff durch Dritte auf die Geräte des Systems ermöglichen. Die Kommunikation läuft laut Eset getarnt über den Internet Explorer.
Offenbar kann das Programm sogar sein Verhalten ändern, wenn es eine Sicherheitssoftware erkennt, die versucht, die Ausführung von FinFisher zu stoppen oder zu blockieren. Außerdem kann sich die Malware mittels Befehl oder zuvor eingestelltem Zeitplan selbst löschen - und so seine Entdeckung verhindern.
Das Verständnis von Mitarbeitern für die Sicherheitsrisiken in der Unternehmens-IT wird immer wichtiger. Mehr Sensibilität und Bewusstseind sind hier dringend notwendig, um die Sicherheit verbessern zu können. Doch der “Faktor Mensch” ist ein Sicherheitsfaktor, der häufig unterschätzt wird.
Fehler, die von Menschen verursacht werden, lösen laut Jon Ramsey von Dell über die Hälfte aller Sicherheitsprobleme in der IT aus. Geübte und geschulte Mitarbeiter sind laut Ramsey das beste Mittel gegen kriminelle Hacker. “Es ist an der Zeit, dass Menschen mehr Verantwortung für die Sicherheit von Informationen übernehmen, mit denen sie jeden Tag arbeiten” fordert er. Die Zahlen geben ihm Recht: In Unternehmen, deren Mitarbeiter ein Awareness-Programm absolviert haben, kommt es nur zu halb so vielen Sicherheitsvorfällen durch Mitarbeiter wie in anderen Organisationen. Auch wenn sich diese Risiken nicht komplett eleminieren lassen, sind nur wenige Maßnahmen ähnlich effektiv wie ein IT-Sicherheitstraining für Mitarbeiter.
Ähnliche Ansichten vertritt auch die PSW-Group. Sie kritisiert, dass im Rahmen von IT-Sicherheit vorrangig die Technik betrachtet wird, so wie Firewalls, Virenschutzsysteme und verschlüsselte Kommunikationswege. Die Mitarbeiter, welche die IT-System bedienen, müssen ebenfalls sensibilisiert werden, fordert PSW. Jeder technische Schutz habe ohne Mitarbeiterkompetenz nur wenig Wert. Durch die Sensibilisierung der Mitarbeiter müssen Betroffene zu Beteiligten werden.
Ein gutes Beispiel für eine gelungene Sensibilisierungs-Kampagne ist laut PSW Microsoft Deutschland. Hier startete kürzlich eine Undercover-Security Awareness-Kampagne unter dem Titel "Microsoft jagt das Phantom". Das Fazit: Die Informationssicherheit bei Microsoft wurde messbar verbessert. Läuft diese Sensibilisierung kontinuierlich weiter, ist ihr der Erfolg sicher, so PSW.
Drei Schritte führen zu einer stärkeren Sensibilisierung:
Unternehmen sollten für Sicherheitsfragen einen oder mehrere feste Ansprechpartner benennen. Kam es bereits zu Sicherheitsrisiken oder -problemen, sollten diese möglichst konkret benannt werden. Nur so werden abstrakte Sicherheits-Bedrohungsszenarien konkret greifbar, betont PSW.
Ich möchte Sie auf eine interessante Veranstaltung aufmerksam machen und Sie zu den kostenlosen Business Breakfast-Veranstaltungen zum Thema „Applikationen auf Azure“ einladen. Ein weiteres Mal möchten wir ein reichhaltiges Frühstück mit den neuesten Informationen rund um Azure, der flexiblen Cloud-Plattform von Microsoft, kombinieren und Sie im Rahmen eines Business Breakfast „kulinarisch“ und „thematisch“ stärken.
Mit Infrastructure-as-a-Service unterstützt Microsoft Azure den Einsatz virtueller Maschinen (Azure-VMs). Mit Azure-VMs können beliebig viele Server innerhalb kurzer Zeit in Betrieb genommen und nach Gebrauch wieder deaktiviert werden. Das macht die Plattform interessant für Test & Entwicklung sowie den Betrieb unterschiedlichster Anwendungen. Erfahren Sie in diesem Business Breakfast an den Beispielen SharePoint Server, SQL Server, SAP und Oracle, wie sich Applikationen in Azure und hybriden Umgebungen bereitstellen lassen. Auf der Agenda steht aber auch das Thema Datenschutz, Compliance & IT-Sicherheit in Microsoft Azure-Rechenzentren.
Sie möchten Microsoft Azure testen? Hier können Sie Azure einen Monat lang kostenlos testen und erhalten 150 Euro für alle Azure-Dienste.
Termine der Business Breakfast-Veranstaltungen sind:
15. Oktober 2014 in München
16. Oktober2014 in Berlin
23. Oktober 2014 in Köln
Melden Sie sich jetzt kostenlos mit einer E-Mail an ebcmuc@microsoft.com mit dem Hinweis „Azure“ an und erhalten Sie weitere Informationen zu den Veranstaltungen.
Eine aktuelle Studie zeigt, dass viele Unternehmen in Deutschland nach wie vor Bedenken haben in Sachen Sicherheit ihrer Daten in der Cloud: Das Ponemon Institute befragte im Auftrag von Netskope für die Studie „Data Breach: The Cloud Multiplier Effect in European Countries“ 1059 IT-Sicherheits-Experten in Europa - darunter 514 aus Deutschland.
75 Prozent aller befragten deutschen Unternehmensvertreter gehen davon aus, dass Cloud-Anbieter sich nicht an die gesetzlichen Vorschriften für Datenschutz und Privatsphäre halten und Compliance-Richtlinien verletzen – ganz egal, ob der jeweilige Cloud-Anbieter schon einmal negativ auffiel. Über die Hälfte der IT-Security-Verantwortlichen glauben, dass sich die Wahrscheinlichkeit für Datenlücken durch den Einsatz von Cloud-Computing erhöht. Sie befürchten, dass sich der wirtschaftliche Schaden in Zukunft verdreifachen könnte, den Datenlecks in der Cloud verursachen.
Der dafür verantwortliche „Cloud Multiplikator Effekt“ ist vom jeweiligen Cloud-Einsatz-Szenario abhängig. Ausgehend von 136 Euro Schaden pro betroffenen Datensatz, würde der Verlust oder Diebstahl von 100 000 Kundendatensätzen bei einem Unternehmen einen finanziellen Schaden von 13,6 Millionen Euro verursachen. Aufgrund ihres mangelnden Vertrauens rechnen die IT-Verantwortlichen bei starker Nutzung von Cloud-Diensten hier mit einem möglichen Schaden von bis zu 39 Millionen Euro.
Die weiteren Ergebnisse der Studie:
Doch die knappe Mehrheit der Befragten (54 Prozent) schätzt die Cloud “gleich sicher” oder “sicherer” ein, wie die lokale IT. 51 Prozent der befragten Teilnehmer aus den USA denken, die Effektivität ihres Unternehmens bei der Sicherung von Daten und Anwendungen sei „gering“, in Europa sind es nur 25 Prozent, in Deutschland 27 Prozent. 52 Prozent der europäischen IT-Experten bewerten die Datenschutz-Fähigkeiten ihres Unternehmens als „hoch“, in den USA sind es nur 26 Prozent.
Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute: „Datenschutzgesetze und -Richtlinien werden vor allem in Europa sehr genau überprüft. Vermutlich ist das geringe Vertrauen in die Cloud-Anbieter auf diese verstärkte Kontrolle und die Angst vor dem Unbekannten zurückzuführen. Dieses Misstrauen lässt sich nur überwinden, wenn Provider ihre Sicherheitsmaßnahmen offen legen und diese Bedenken zerstreuen. Dann werden viel mehr Unternehmen die Cloud nutzen.“
Unabhängig von Ponemons Forderung hat beispielsweise Microsoft schon seit einiger Zeit alle relevanten Sicherheits- und Complianceinformationen rund um die großen Cloud-Dienste Azure und Office 365 auf eigenen Seiten (Vertrauenscenter, Trust Center) zusammen gefasst. Das Vertrauenscenter für Azure findet sich hier, das englischsprachige Trust Center für Office 365 bei den US-Kollegen.
der Podcast Ausgabe 19/2014 des TechNet Newsflash ist live.
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_19-2014.mp3
Link zum TechNet Newsflash in Schriftform:
http://www.microsoft.com/germany/technet/newsflash/aktuell.htm
Link zum RSS Feed:
Wie immer: viel Freude beim Zuhören und späteren Durchstöbern der angekündigten Ressourcen!
Euer TechNet-Team!
☁ Heike
Die Universität von Maryland hat neue Metriken entwickelt, die System- und Netzwerkadministratoren ein besseres Risikomanagement ihrer Umgebung ermöglichen sollen. Dank der besseren Bewertung sollen Admins Patches besser priorisieren und die Gefahren von Online-Angriffen besser einzuschätzen können.
Wirksame Sicherheitsmetriken waren bislang ein scheinbar unerreichbares Ziel, besonders wenn es um die Sicherheit von Software ging. Oft haben sich die Organisationen einfach auf das Zählen von Verwundbarkeiten in einem Betriebssystem oder einem Programm verlassen, um so die Sicherheit zu messen. Aber zu oft vermitteln diese Variablen einen falschen Eindruck.
Zu dem Thema “Messen von Verwundbarkeiten” wurde die Studie “Einige Schwachstellen sind anders als andere: Untersuchung von Schwachstellen und Angriffsflächen in der Praxis” auf einem IT-Security-Symposium in Schweden vorgestellt. Die Autoren der Studie hoffen damit ein neues Messverfahren zu etablieren, das auf den Daten von Schwachstellen und Daten von Exploits basiert, die weltweit gesammelt werden.
Sie widerlegen in ihrer Studie die Behauptung, dass das Zählen von Schwachstellen die beste Messmethode ist, denn die meisten Lücken würden nie missbraucht. Die Angriffsfläche, die eine Software bietet, ist ebenfalls problematisch zu messen: Nutzer vergrößern diese oft, indem sie zum Beispiel einem Betriebssystem Programme hinzufügen und die Konfiguration verändern.
“Die Wirkung, die solche Faktoren haben, können nicht von den vorhandenen Sicherheits-Metriken abgebildet werden”, schreiben die Autoren in ihrer Studie. Sie schlagen stattdessen mehrere neue Messmethoden vor, die genau messen, ob aufgedeckte Schwachstellen ausgenutzt werden und wie oft dies passiert.
Dazu wird zum Beispiel die Anzahl der ausgenutzten Schwachstellen gemessen, zusammengestellt aus einer Reihe vertrauenswürdiger Quellen, inklusive The National Vulnerability Database, Vendor IPS und Antivirus-Signatur-Datenbanken.
Ebenfalls gemessen wird das Verhältnis zwischen gefundenen Schwachstellen und deren Missbrauch innerhalb eines bestimmten Zeitraumes, das die Wahrscheinlichkeit ausdrückt, dass eine Schwachstelle ausgenutzt wird. Das von den Forschern beschriebene “Angriffsvolumen” drückt aus, wie häufig ein Programm innerhalb eines bestimmten Zeitraumes angegriffen wird.
Dazu kommt noch die “bestätigte Angriffsfläche”. Sie steht für die Größe der Schwachstellen, die über einen bestimmten Zeitraum angegriffen werden. Diese zeigt im Wesentlichen auch die Anzahl der Verwundbarkeiten, die ausgenutzt werden.
Die Autoren der Studie verwendeten eine ganze Reihe von Datenquellen, darunter die “National Vulnerability Database” sowie Antivirus-Signatur-Daten von mehr als 6,3 Millionen Hosts. Sie untersuchten auch jede Version von Windows, von XP bis Windows 7, ebenso wie die letzten Versionen von Adobe Reader, Microsoft Office und Internet Explorer. Sie entdeckte dabei, dass weniger als 35 Prozent aller entdeckten Schwachstellen in diesen Software-Produkten ausgenutzt werden. Eine Kombination aller dieser Produkte verringert diese Quote auf 15 Prozent und die Quote nimmt mit neueren Versionen ab. So zeigte sich auch, dass Sicherheitsfunktionen wie ASLR und DEP Windows 7 deutlich sicherer machten, als dies bei den Vorgängerversionen der Fall war.
Übersetzter Gastbeitrag von Scott Charney – Corporate Vice President, Trustworthy Computing
Als Bill Gates 2002 die Initiative Trustworthy Computing ins Leben rief, war er von einem fest überzeugt: Wenn wir wirklich zu fundamentalen Veränderungen bei unseren Produkten kommen wollen, müssen wir auch unsere Prozesse und unsere Kultur verändern. Damit diese Veränderungen tatsächlich geschehen, wurde eine zentrale Gruppe damit beauftragt, die Pionierrolle in dieser Initiative zu übernehmen. Beim zehnjährigen Jubiläum im Jahr 2012 zeigten sich die erreichten Fortschritte in vielerlei Hinsicht. Ein wesentliches Ergebnis ist, dass es im ganzen Unternehmen mittlerweile zahlreiche entsprechende Spezialisten und Verfahren gibt. Heute befasst sich jede Gruppe bei Microsoft intensiv mit diesen Fragen und arbeitet an innovativen Lösungen in Sachen Sicherheit, Datenschutz und Zuverlässigkeit.
Aber seit 2002 hat sich die Welt enorm verändert. Mit der Zunahme von Advanced Persistent Threats (APTs), von Cyber-Aktivitäten durch Nationalstaaten und angesichts einer vom Prinzip „Mobile first, Cloud first“ geprägten Welt reichen Sicherheitsprozesse einfach nicht mehr aus, die einst für Paketprodukte mit einem Auslieferungszyklus von drei Jahren entwickelt wurden. Oder anders formuliert: Da die Sicherheit geradezu in unserer DNA verwurzelt ist, lautet die Frage nun, wie wir sie in einer Mobile-first-, Cloud-first-Welt mit neuen Entwicklungskadenzen (z. B. Flighting, Test-in-Production) und angesichts neuer Bedrohungen (z. B. APTs durch Nationalstaaten) verbessern können. Aus meiner Sicht bedarf es dazu zwar weiterhin eines gewissen Levels an zentralisierten Tools und Übersicht, doch das reicht einfach nicht aus.
Trustworthy Computing bleibt also eine kritische Komponente in Microsofts Versprechen an unsere Kunden. Damit wir das Unternehmen sind, das unsere Kunden brauchen, müssen wir in der Lage sein, die bewährten Prozesse beizubehalten, sie aber gleichzeitig an diese neue Welt anzupassen. Die Veränderungen der letzten Woche haben bestätigt, dass unsere Mission kritisch bleibt. Und sie wird uns helfen, in den kommenden Jahren noch wirkungsvoller zu sein, indem wir unsere Arbeitsweise vereinfachen, unsere Agilität verbessern, mehr Verantwortlichkeit anstreben sowie schlankere und effizientere Support-Modelle schaffen.
Durch Konsolidierung der Arbeit innerhalb des Unternehmens und Änderung einiger Berichtsstrukturen wird Microsoft in der Lage sein, viele Entscheidungen zu Fragen des Vertrauensschutzes schneller zu treffen und Pläne mit größerem Tempo umzusetzen – sei es mit dem Ziel, unseren Kunden Innovationen verfügbar zu machen, unsere Engineering-Systeme zu verbessern, die Compliance mit Vorschriften oder Unternehmensrichtlinien zu gewährleisten oder unsere Zusammenarbeit mit den Regulierungsbehörden rund um den Globus zu optimieren.
Ich werde weiterhin an der Spitze des Trustworthy Computing Teams stehen, das nun beim neuen Geschäftsbereich Cloud & Enterprise angesiedelt ist. Maßgeblich ist, dass Trustworthy Computing weiterhin die unternehmensweite Verantwortung für zentral ausgelegte Programme wie Security Development Lifecycle (SDL) und Online Security Assurance (OSA) behält. Diese Veränderungen werden es uns aber auch ermöglichen, uns noch intensiver im Geschäftsbereich Engineering zu engagieren, der die größte Verantwortung für die Zukunft von Cloud und Sicherheit trägt. Gleichzeitig werden wir die Wirkung unserer entscheidenden Arbeit auf Datenschutzfragen weiter erhöhen, indem wir solche Funktionen direkt in die entsprechenden Engineering- und rechtspolitischen Abteilungen integrieren.
Lassen Sie mich mit einer wichtigen Bemerkung schließen: Ich bin der Architekt dieser Veränderungen. Es geht dabei nicht um einen Verlust an Fokussiertheit des Unternehmens oder um ein Nachlassen unseres Engagements. Vielmehr sind diese Veränderungen aus meiner Sicht notwendig, wenn wir beim Vertrauen in das Computing wirklich vorankommen wollen. Als ich 2002 zu Microsoft kam, ging es gerade darum, die Blutungen zu stillen, das Ökosystem zu heilen und – wenn ich das so sagen darf – manchmal auch darum, weiterhin ganz vorne mithalten zu können. Doch in der Zukunft wäre es angesichts neuer Entwicklungskadenzen und einer Mobile-first-, Cloud-first-Welt gefährlich, sich auf vergangene Paradigmen zu verlassen, die für eine ganz andere Umgebung geschaffen wurden. Natürlich bin ich stolz auf unsere Vergangenheit, aber wir müssen für die Zukunft planen.
Wie den Medien, unter anderem heise security zu entnehmen ist, gibt es Änderungen rund um unsere zentrale Sicherheitsgruppe Trustworthy Computing Group (TwC). Diese Änderungen haben keinerlei Einfluss darauf, dass IT-Sicherheit natürlich weiterhin von fundamentaler Bedeutung für Microsoft – und die übrige IT-Industrie – sein wird. Die Umstrukturierungen stehen also nicht für eine sinkende Relevanz des Themas. Im Gegenteil: Vielmehr wollen wir durch das Aufteilen der bisherigen Teilbereiche von TwC für kürzere Wege und raschere Entscheidungen sorgen. Trustworthy Computing gehört also weiterhin zu den Versprechen, die wir unseren Kunden machen.
Aber Änderungen sind nötig. Denn wir bewegen uns schnell weg von einer Welt, in der auf CD/DVD gepresste Softwareprodukte in Schachteln verkauft wurden, die anschließend quasi unverändert für einige Jahre auf den Rechnern der Kunden liefen. Heute sind wir in einer Welt, in der vieles in der Cloud und vieles auf mobilen Endgeräten stattfindet. Die hierfür benötigte Software wird auf andere Arten gepflegt als dies früher der Fall war. Somit ist es auch Zeit für andere Prozesse zur Sicherung der Software.
Ein großer der Teil der heute unter dem Dach von TwC angesiedelten Teams gehört samt dem Leiter der Trustworthy Computing Group, Scott Charney, ab sofort zu unserem Bereich Cloud & Enterprise (C &E). Scott wird die Teams weiterhin führen wie gewohnt und gehört ab sofort zu den Führungskräften von Cloud & Enterprise. Die bislang zur Engineering Excellence-Gruppe von Trustworthy Computing gehörenden Mitarbeiter arbeiten nun in der Developer Division von Microsoft.
Zu den ab sofort bei C&E angesiedelten Teams gehören unter anderem:
Die bisherigen TwC-Führungskräfte wie Matt Thomlinson, John Lambert, Paul Nicholas oder Chris Betz werden auch weiterhin Verantwortung für ihre Mitarbeiter tragen. Einzig der Bereich Network Security gehört ab sofort zu unserer Abteilung Legal and Corporate Affairs, da diese Kollegen sehr viel mit Strafverfolgern weltweit zusammen arbeiten. Unverändert weiter laufen wird auch die Kommunikation rund um unsere sämtlichen Sicherheitsprozesse, darunter auch die am Update-Dienstag veröffentlichten Bulletins.
Weitere Details zu den Veränderungen, den hierfür verantwortlichen Gründen und Gedanken rund um die Rolle von IT-Sicherheit bei Microsoft liefert die folgende Nachricht vom TwC-Leiter Scott Charney (veröffentlicht am 22. September 2014):
Ein Blick in die Zukunft: Trustworthy Computing
Scott Charney, Corporate Vice President, Trustworthy Computing
Laut einer aktuellen Studie der IT-Sicherheitsfachleute von Blue Coat Systems bestehen 71 Prozent aller Host-Namen nur maximal 24 Stunden. Die Kurzzeit-Websites werden dabei häufig von kriminellen Hackern zum Aufbau von Botnetzen genutzt. Außerdem lassen sich durch neue Subdomains gängige Filtertechniken umgehen.
Im Rahmen der Studie hat Blue Coat 660 Millionen einzigartige Host-Namen geprüft - URLs, Sub-Domains und weitere Unterseiten dieser „Eintagsseiten“. Ergebnis: Innerhalb von 90 Tagen existierten 470 Millionen Host-Namen nur maximal einen Tag lang. Unter den Top 50 der übergeordneten Domains enthielt jede fünfte (22 Prozent) Schadprogramme.
Neben vielen legalen Anbietern erzeugen Malnet-Betreiber eine hohe Anzahl an Subdomains auf vergleichsweise wenigen Domains. Dies ermöglicht laut Blue Coat das einfache Hinzufügen neuer Bots und eine langfristige Nutzung des Botnets. Ein-Tages-Domains lassen sich auch dazu nutzen, einzigartige Subdomains für jede Spam-Mail zu erzeugen und damit entsprechende Filter zu umgehen.
Der aktivste Erzeuger von gefährlichen Subdomains liegt bereits auf Platz 12 der Liste aller Domains, die am meisten „Eintagsseiten” herausbringen. Es handelt sich hier um einen Command-and-Control-Server für einen Trojaner-Dialer. Er erzeugte in 90 Tagen mehr als 1,3 Millionen Subdomains. Laut Studie sind zehn weitere ähnliche Domains ebenfalls extrem aktiv.
Die große Mehrheit der kurzlebigen Websites ist legal und stellt keine Gefahr dar, stellt die Studie fest. Sie werden etwa im Zusammenhang mit Content Delivery Networks oder Blogging-Plattformen, aber auch Pornografie-Angeboten eingesetzt. Die große Masse legaler Websites bietet aber gefährlichen Domains eine gute Deckung.
Die meisten „Eintagsfliegen“ werden unter der Top-Level-Domain .com (72 Prozent) registriert, gefolgt von .net (18 Prozent) und .info (1,8 Prozent). Obwohl .de bereits an vierter Stelle liegt, ist der Anteil mit 0,77 Prozent relativ gering.
Nach Domain erzeugt Google unter .gstatic.com fast die Hälfte aller kurzlebigen Websites (46,5 Prozent), vor einem Unternehmen für Web-Performance-Optimierung (.cedexis-radar.net: 5,5 Prozent) und Amazon (.cloudfront.net: 4,6 Prozent).
Bei den Ländern führen die USA (29 Prozent) vor China (11 Prozent) und Japan (4,6 Prozent), auf Platz 8 liegt Deutschland mit 3 Prozent.
der Podcast Ausgabe 18/2014 des TechNet Newsflash ist live.
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_18-2014.mp3