Eine interessante Beobachtung kommt vom Hosted-Anti-Spam-Anbieter eleven: Zum Jahreswechsel, genauer gesagt zwischen dem 25. Dezember und dem 1. Januar, melden die Forscher einen massiven Einbruch beim Versand von Spam. Innerhalb kürzester Zeit betrug der Spam-Versand nur noch 20 bis 25 Prozent des normalen Monatsaufkommens. Gleichzeitig verzeichneten die Forscher allerdings einen deutlichen Anstieg am Versand von Viren. Nach einer ersten starken Welle folgten mehrere kleine Aussendungen – welche Malware genau verschickt wurde und was deren Fähigkeiten sind, wird noch untersucht.

Der Rückgang von Spam um die Weihnachtszeit ist laut eleven kein ungewöhnliches Ereignis, sondern lässt sich jedes Jahr beobachten. Zwei Erklärungen dafür sind, dass viele kompromittierte Rechner in Unternehmen stehen – und diese sind über die Feiertage meist ausgeschalten. Ein ähnliches Verhalten ist bei Endkunden zu beobachten: Wird zu Weihnachten ein neuer Rechner verschenkt, ersetzt dieser das eventuell verseuchte Gerät.

Diese beiden saisonalen Ereignisse erklären aber laut den Forschern nicht den kompletten Rückgang, zumal das Spam-Aufkommen seit Januar nur noch bei etwa 15 Prozent des Dezember-Niveaus liegt. Vielmehr scheint der Rückgang von den Betreibern der Botnets geplant worden zu sein. Dafür würde auch die zeitlich abgestimmte Aussendung der neuen Viren passen. Die eleven-Forscher mutmaßen, dass die Betreiber mit dieser Maßnahme der Abschaltung ihres Botnets zuvorkommen wollen.

Eine interessante Beobachtung ergab sich allerdings aus der Analyse des Spam-Rückgangs. Wird im Rahmen eines Spamfilters unerwünschte E-Mail abgewiesen, sprich, sendet der Server einen Code 550 aus, verzichten die Versender auf die weitere Verwendung der E-Mail-Adresse. Dies hat scheinbar mit der Pflege der Adress-Datenbank der Spammer zu tun.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Im Dezember 2010 wurde die Passwort-Datenbank des Gossip-Blogs Gawker gehackt. Das klingt zunächst noch nicht tragisch, wird aber umso ernster, wenn man sich die Reichweite des Blogs ansieht: Zu Gawker Media gehören insgesamt zehn verschiedene Webseiten, darunter so bekannte Blogs wie Gizmodo, Kotaku oder Lifehacker. All diese Seiten teilen sich eine gemeinsame Nutzer-Datenbank, schließlich soll der User dank Single-Sign-On auf jeder Seite des Zusammenschlusses ohne Probleme Kommentare hinterlassen kann. Die Passwort-Diebe, eine Gruppe namens Gnosis, konnten sich 1,25 Millionen Logindaten verschaffen. Gawker reagiert prompt und transparent: Unter anderem meldete jede Website im Verbund mehrfach den Angriff und riet Nutzern dazu, neue Passwörter zu wählen.

Das eigentliche Ausmaß wurde allerdings erst sichtbar, als die Daten kurze Zeit später im Bittorrent-Netzwerk auftauchten. Zwar waren die meisten Passwörter verschlüsselt, der Großteil war aber so einfach, dass simple Brute-Force-Attacken genügten. Das Blog des Wall Street Journal hat die 50 häufigsten Passwörter zusammengetragen und IT-Sicherheitsexperten werden die Hände über dem Kopf zusammenschlagen: Auf Platz 1 liegt „123456“, Platz zwei nimmt „password“ ein gefolgt von „12345678“. Weiter finden sich in der Datenbank so wenig exotische Kennwörter wie „internet“, „sunshine“, „starwars“ oder „letmein“. Der Fairness halber muss dazu gesagt werden, dass die in der Top 50 gesammelten Kennwörter sich aufgrund ihrer Einfachheit besonders leicht knacken ließen. Es darf aber getrost davon ausgegangen werden, dass komplexe Passwörter in der Gawker-Datenbank deutlich in der Unterzahl sind.

Der Hack zeigt eindringlich, wie wenig sich Nutzer noch immer um starke Kennwörter kümmern – egal welche Hürden man auferlegt, es scheint als würden die User immer den Weg des geringsten Wiederstandes wählen. Zugegebenermaßen, nicht jeder kann sich ein fünfzehnstelliges Kennwort mit Groß/Kleinschreibung, Zahlen und Sonderzeichen merken, aber ein wenig mehr als „abc123“ sollte schon möglich sein.

Richtig problematisch wird es, wenn man daran denkt, dass die Anwender die gleiche Kombination aus E-Mail und Passwort wahrscheinlich bei mehreren Diensten oder gar im Unternehmensumfeld verwenden. Hat man einmal einen Dienst geknackt, muss ein Skript die Kombinationen nur noch in den anderen Angeboten überprüfen.

Dabei bieten nahezu alle modernen Browser die Möglichkeit, das vergebene Passwort sicher abzuspeichern – und bei Bedarf auch wieder anzuzeigen. Ebenso gibt es zahlreiche Passwort-Safe-Tools, die sich teilweise sogar mit mobilen Geräten abgleichen können. Vor allem Unternehmen sollten sich klar machen, wie wichtig der Schutz der Zugangsdaten ist – schließlich nützen die stärksten Sicherheitsvorkehrungen nichts, wenn ein Angreifer sich mit einem legalem Account und einem schwachen Kennwort Zugang verschaffen kann.

Die Technik spielt den dabei den Angreifern in die Hände. War die Rechenleistung vor einigen Jahren noch weit davon entfernt, längere Passwörter per Brute Force schnell zu knacken, erledigen aktuelle Tools und Systeme diese Aufgaben deutlich schneller. Das liegt zum einen an leistungsfähigen CPUs mit mehreren Rechenkernen, aber auch an moderneren Knack-Anwendungen. Aktuelle Programme nutzen neben der CPU auch die Rechenkraft der Grafikkarte. Laut einem Report des Georgia Tech Research Institutes eignen sich die GPUs ideal für die parallelen Rechenaufgaben, mit denen sich Passwörter knacken lassen. Deutlich schneller gehen Dictionary-basierte Attacken von statten, sprich, wenn das eigene Passwort in einem Wörterbuch auftaucht. Dieser Trend wird sich nicht umkehren, nicht zuletzt aufgrund der Möglichkeiten von Cloud-Computing. Bereits Ende 2009 hat ein Forscher erfolgreich demonstriert, wie man Amazons Cloud-Dienst EC2 nutzen kann, um ein Passwort zu knacken. Zieht man die dazu in Betracht, welche Rechenleistung hinter Botnets wie Conficker, Mariposa oder BredoLab steckt, wird klar, wozu sich diese Systeme neben dem Spam-Versand noch einsetzen lassen.

Es liegt also an den Nutzern, es den Angreifern möglichst schwer zu machen. Grundsätzlich sollte man natürlich möglichst lange Kennwörter verwenden, unser eigenes Security-Center rät zu 14 Zeichen oder mehr. Die Kollegen liefern dazu einen Ratgeber, wie man aus einer Passphrase sinnvoll ein möglichst langes, einfach zu merkendes Passwort erstellen kann.

Eine andere Möglichkeit sind Programme zur Passwortverwaltung. Kostenlos ist beispielsweise KeePass, eine Open-Source-Lösung. Diese lässt sich zudem über Plugins erweitern, etwa um ein On-Screen-Keyboard oder einen Passwort-Generator nachzurüsten. Die Software unterstützt auch eineportable Installation, etwa auf einem USB-Stick, um die eigenen Passwörterimmer verfügbar zu haben. Alternativ kann man die Datenbank auch an einen Dienst wie Dropbox oder Live-Mesh auf verschiedenen Systemen verfügbar machen.

Eine andere Alternative für Nutzer mit verschiedenen Systemen ist LastPass, oder vielmehr die kostenpflichtige Premium-Version davon. LastPass kann die gespeicherten Kennwörter zwischen verschiedenen Rechnern synchronisieren. Das klappt nicht nur mit Windows oder Mac OS; sondern auch mit mobilen Betriebssystemen wie Windows Phone, Android oder iOS.

Ideal für Unternehmen ist der in einem älteren Blog-Beitrag beschriebene Weg von Psylock. Deren Verfahren ersetzt das Passwort durch die Eingabe eines ganzen Satzes, wobei nicht die eingegebenen Zeichen überprüft werden, sondern das Tippverhalten.

Übrigens: Wer überprüfen will, ob seine eigene E-Mail in der veröffentlichten Gawker-Datenbank war, kann dies über ein Widget des Blogs Slate abfragen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Bereits im vergangenen Jahr tauchten verschiedene Proof-of-Concepts für Malware und Botnets auf Basis des Smartphone-Betriebssystems Android auf. Nun scheint der erste echte Schädling in freier Wildbahn aufgetaucht zu sein, Forscher haben ihm den Namen „Gemini“ gegeben. Einmal installiert, verbindet sich Gemini mit einem zentralen Server um weitere Kommandos vom Bot-Herder zu empfangen.

Gemini infiziert Smartphones, indem die Malware in legitimen Anwendungen versteckt wird – beispielsweise in geknackten Versionen von ansonsten kostenpflichtiger Software. Laut den Forschern der Android-Sicherheitssoftware Lookout ist das eigentliche Ziel von Gemini unklar – die Möglichkeiten reichen von einem mobilen Botnet bis hin zu einem gekaperten Werbenetzwerk.

Die Forscher haben den Schädling zumindest teilweise analysiert. Gemini kann etwa die aktuelle Position des Smartphones auslesen und an den Kontroll-Server übertragen, zusammen mit Informationen wie der IMEI und der IMSI oder der auf dem Gerät installierten Anwendungen. Die Malware verfügt außerdem über einen ausgefeilten Update- und Schutzmechanismus. Gemini kann verschiedene Applikationen im Hintergrund herunterladen und den Nutzer anschließend auffordern, die App zu installieren. Umgekehrt kann die Malware den Nutzer auch auffordern, auf dem Gerät enthaltene Programme zu entfernen.

Gemini verteilt sich in erster Linie über alternative Anwendungsverzeichnisse, derzeit vor allem in China. Laut Lookout können sich Android-Nutzer relativ einfach schützen – abgesehen von der Installation einer mobilen AV-Lösung. Wer sicher gehen möchte, sollte die Installation von 3rd-Party-Applikationen unterbinden und Anwendungen nur aus dem offiziellen App Market installieren. In jedem Fall sollte man darauf achten, welche Berechtigungen sich die jeweilige Applikation bei der Installation sichern will. Beim Einsatz alternativer App-Verzeichnisse sollte man in jedem Fall auf das Rating achten und die Bewertungen durchlesen.

Sicher sind Android-Anwender auch, wenn sie die Voreinstellung des Systems nutzen und somit die Installation von Software aus unbekannten Quellen deaktiviert ist. Auch installiert sich Gemini nur durch das Zutun der Nutzer, allerdings ist diese eine kleine Hürde. Interessant ist, dass es die Malware nicht nur auf die sensiblen Daten der Nutzer abgesehen hat, sondern auch die Funktion zum Aufbau eines Werbe-Netzwerkes enthalten ist. Damit können die Angreifer nicht nur direkt Geld verdienen, sondern beispielsweise auch Links zu manipulierten Webseiten einblenden – die etwa später einmal eine Infektion ohne Bestätigung des Nutzers ermöglichen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.