Ein Online-Krimineller hat dem App-Entwickler Naoki Hiroshima seinen aufgrund des außergewöhnlichen Namens („@N“) wertvollen Twitter-Account abgenommen. In der Vergangenheit wurden Hiroshima bis zu 50.000 Dollar für das Konto geboten. Der Programmierer wirft in einem ausführlichen Blogbeitrag Paypal und GoDaddy vor, diese "feindliche Übernahme" durch mangelhafte Sicherheitsmechanismen überhaupt erst ermöglicht zu haben.
Die Schilderung der Abläufe ist ein weiteres Paradebeispiel dafür, wie leicht entsprechend motivierte Angreifer durch das Zusammentragen von verstreuten Informationen fremde Konten im Netz übernehmen können.
Am 20. Januar 2014 erhielt Naoki Hiroshima nach eigenen Angaben eine SMS des Bezahldienstes Paypal, mit einem Verifizierungs-Code: Offenbar versuchte gerade jemand, seinen Paypal-Account zu knacken, was Hiroshima zunächst ignorierte. Später erhielt er eine E-Mail von GoDaddy, eine “Account Setting Change-Confirmation”. Über GoDaddy hat Hiroshima unter anderem seine private und andere Domains angemeldet.
Die E-Mail bestätigte, dass die Einstellungen seines Accounts verändert wurden und fordert ihn auf, diese zu überprüfen. Hiroshima stellt fest, dass er sich nicht mehr in den Account einloggen konnte und rief den Anbieter an. Er wird am Telefon zur Verifikation nach den letzten sechs Stellen seiner Kreditkartennummer gefragt. Doch auch diese und weitere Informationen wurden bereits von dem Angreifer online geändert, so dass der legitime Eigentümer seinen Anspruch nicht mehr beweisen kann. GoDaddy schlägt ihm vor, ein Formular auf der Webseite auszufüllen und einen Ausweis als Identifikation zu verwenden. Dieser Vorgang könne bis zu 48 Stunden dauern. Hiroshima füllt das Formular aus und wartet.
Viele Webseiten nutzen E-Mails als Verifizierungsmethode. Doch gerät der E-Mail-Account unter die Kontrolle eines Angreifers – wie in diesem Fall durch Übernahme der dazu gehörigen Domain –, kann der Dieb so sehr einfach viele Passwörter von anderen Webseiten verändern und diese ebenfalls übernehmen.
Das Ziel des Domain-Hacks ist offensichtlich: Der Kriminelle will an den wertvollen Twitter-Account kommen. Hiroshima ändert daher die E-Mail-Adresse, die mit dem Twitter-Account verbunden ist, und die nicht angegriffen wurde.
Der Angreifer versucht daraufhin, das Twitter-Password zurückzusetzen, bekommt aber die Verifikations-E-Mails nicht, da sie an ein Adresse gehen, die der Angreifer nicht kennt. Gleichzeitig wurde jedoch auch Hiroshimas Facebook-Account wird von dem Angreifer gekapert und so der Druck erhöht. Per E-Mail erklärt er seinem Opfer sein Ziel und erklärt, wie er den Zugriff auf die Domains bei GoDaddy erlangt hat. Gleichzeitig droht er, diese zu verkaufen oder Inhalte zu verändern. Er verlangt, für ein paar Minuten Zugriff auf das Twitter-Konto zu bekommen und bietet als Gegenleistung die Herausgabe der gekaperten Accounts an.
GoDaddy erklärt inzwischen per E-Mail, Hiroshima sei offenbar nicht der “aktuelle Eigentümer” der Domains und erklärt den Fall für beendet. Offenbar fragte der Anbieter zwar den Angreifer bei Veränderungen am Account, aber bei der ursprünglichen Attacke nicht den tatsächlichen Besitzer.
Hiroshima stimmt dem Deal zu und gibt den Twitter-Account, den er seit 2007 besitzt, frei und wählt einen neuen Usernamen: “@N_is_stolen”. Er bekommt das Passwort zu seinem GoDaddy-Account. Anschließend erklärt der Angreifer auf Nachfrage, wie er den GoDaddy-Account übernommen hat: Durch Social Engineering eines PayPal-Mitarbeiters per Telefon. So habe er die letzten vier Ziffern von Hiroshimas Kreditkarte erlangt, mit der anschließend mit einem Trick bei GoDaddy die Domain-Übernahme absegnen ließ.
Hiroshima zeigt sich schockiert, wie leicht Informationen von Paypal und GoDaddy am Telefon herausgegeben werden. Er rät, dass Web-Nutzer wo immer möglich eine Zwei-Faktor-Authentisierung nutzen sollen. Diese findet sich inzwischen bei vielen gängigen Online-Diensten wie Facebook, Google Mail, Outlook.com oder Twitter.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Laut einer Umfrage des IT-Security-Anbieters Sourcefire zum Thema “Hacker im öffentlichen Bewusstsein” glaubt jeder zweite Deutsche, dass er weder zu Hause, noch im Büro je gehackt wurde. Fast 60 Prozent der Befragten glauben zudem, dass sie einen kriminellen Hackerangriff durch “ungewöhnliches Verhalten des Rechners” bemerken würden. Diese Umfrage zeigt, dass viele Zeitgenossen bösartige Hacker falsch einschätzen und das Sicherheitsproblem als zu gering einschätzen.
Dabei ist es eher unwahrscheinlich, im Lauf des Lebens nicht einmal Opfer von Hackern zu werden – gleichzeitig aber sehr wahrscheinlich, dass dieser Angriff unbemerkt bleibt.
Mehr als 80 Prozent glauben laut der Umfrage, dass ein erfolgreicher Hack nur wenige Stunden dauert. Dass Hacker unter Umständen Wochen und Monate investieren, schätzen lediglich sechs Prozent der Befragten richtig ein. Für die Umfrage wurde Ende 2013 500 Deutsche befragt.
Systeme von Unternehmen zu infiltrieren erfordere laut Sourcefire jede Menge Vorbereitung, Testläufe und Überwachung. Selbst Attacken, die Endgeräte von privaten Anwendern zum Ziel haben – um etwa ein Botnet zu schaffen – seien sorgfältig geplant und dauern mindestens mehrere Wochen. Mit der Realität hat das weit verbreitete Klischee des (bösartigen) Hackers als eine Art harmloser Nerd nur wenig zu tun. 36 Prozent der Befragten sehen Hacker als einfache Kriminelle, die ihr Handwerk nun digital ausüben. Nur weniger als fünf Prozent der Befragten beschrieben ihr Bild vom kriminellen Hacker als „hochbezahlten Profi“.
Immerhin wissen laut der Umfrage mehr als die Hälfte der Befragten, dass Hackerangriffe ein andauernder Prozess sind und denken, dass beispielsweise Unternehmen den Schaden eines erfolgreichen Angriffs mindern könnten, indem sie Schwachstellen rechtzeitig erkennen und beseitigen.
Die Windows PowerShell bietet zahlreiche Möglichkeiten und Wege, Windows Server ohne grafische Benutzeroberfläche bereitzustellen, zu verwalten und zusätzliche Funktionen auch nachträglich noch zu installieren. Der IT-Journalist Thomas Joos ist jahrelanger Kenner der Windows PowerShell und hat jüngst zwei Artikel veröffentlicht, die hilfreiche Tipps und Tricks verraten.
In einem Beitrag für das Admin Magazin zeigt er Ihnen, wie sich die grafische Benutzeroberfläche für einen Core-Server installieren und anpassen lässt und über „Install-„ und „Include-„-Befehle zusätzliche Rollen und Features installiert werden können. Im weiteren Verlauf geht er zum Beispiel auch auf die Möglichkeit ein, per PowerShell Web Access browserbasiert von mobilen Endgeräten aus auf Server-PowerShells zuzugreifen.
Sein zweiter Artikel ist auf datacenter-insider.de erschienen und stellt sieben Tricks für die PowerShell 4.0 vor, die mit Windows 8.1 und Windows Server 2012 R2 Einzug in den Alltag von IT-Professionals gehalten hat, sich aber auch auf älteren Windows-Versionen installieren lässt. Von Desired State Configuration über das Deaktivieren automatischer Skriptausführung bis hin zur Vorstellung der PowerShell-Skripte in der TechNet Gallery gibt es hier jede Menge Wissen zur PowerShell 4.0.
Gerade für Einsteiger bietet die Microsoft Virtual Academy übrigens einen gelungenen Einsteigerkurs zur Windows PowerShell, Fortgeschrittene können Ihr Wissen anschließend in einem Kurs zur Skripterstellung vertiefen. Spätestens nach diesem Kurs dürfte Ihren ersten Schritten in der Verwaltung von Windows Server über die PowerShell nichts mehr im Wege stehen. Probieren Sie es doch einfach einmal aus!
Wie Sie sicherlich wissen besitzen unsere Microsoft Learning Partner eine ausgezeichnete technische Expertise, daher dürfte es Sie freuen zu hören, dass Sie über unsere Microsoft Virtual Academy seit Kurzem die Möglichkeit haben, ausgewählte Trainingsbestandteile kostenlos als MVA-Kurs zu absolvieren.
Derzeit stehen Ihnen bereits einige Kurse zur Verfügung, beispielsweise zur Migration von Windows XP auf Windows 8.1 oder zur Hyper-V-Rolle in Windows Server 2012 R2 als Kernstück der Virtualisierung. Beide Kurse kommen von unserem Learning Partner the campus GmbH, und während der erste Kurs verschiedene Bereiche der Migration beleuchtet und so auf das baldige Support-Ende für Windows XP vorbereitet, zeigt der zweite Kurs, welche Virtualisierungs-Power in Windows Server 2012 R2 Hyper-V steckt.
Unser Partner ADN GmbH hat ebenfalls einen Kurs zur Servervirtualisierung beigesteuert und demonstriert die Fähigkeiten von Hyper-V Replica für Business-Kontinuität, während New Horizons bzw. die TrinityComputer.de GmbH Einblicke in die Vorbereitung auf den MCSA „Windows Server 2012“ und in die Essentials Edition von Windows Server 2012 vermitteln.
Die Rachfahl IT Solutions schließlich schlägt die Brücke zu VMware und gibt allen VMware-Profis einen speziellen Überblick über Hyper-V unter Windows Server 2012 R2. Das Education Support Center (ESC.de) zeigt Ihnen zu guter Letzt, welche Neuerungen Internet Explorer 11 in puncto Bereitstellung, Kompatibilität und Sicherheit mit sich bringen.
Diese und weitere Angebote unserer Learning Partner zur Zertifizierungsvorbereitung finden Sie nach Produkten geordnet auch in unserer TechNet IT Pro Academy, viel Spaß beim Stöbern und Weiterbilden!
Geschätzte Hörer,
die Ausgabe 1 vom 16. Januar 2014 des TechNet Flash liegt jetzt hier zum Anhören bereit:
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_01-2014.mp3
Link zum TechNet Newsflash in Schriftform:
http://www.microsoft.com/germany/technet/newsflash/aktuell.htm
Link zum RSS Feed:
http://www.microsoft.com/feeds/technet/de-de/newsflash/tn_flash_podcast_archiv.xml
Wir wüschen wie immer viel Freude mit unserem Podcast!
Euer TechNet-Team
Neue Angriffsvarianten auf PCs und Servern attackieren verstärkt Schwachstellen, die sich ober- oder unterhalb des Betriebssystems befinden. Das sagt McAfee in einer Bedrohungsprognose für 2014 voraus.
Dazu zählt die Securityfirma auch Schwachstellen in HTML5. Die Programmiersprache ermöglicht das Erstellen von interaktiven, personalisierten und funktionsreichen Webseiten, bietet aber laut McAfee auch zahlreiche neue Angriffsflächen.
So soll sich den Antivirenexperten zufolge mittels bösartigem, auf einem Webserver hinterlegten HTML5-Code beispielsweise der Browser-Verlauf eines Anwenders auslesen lassen. So ließe sich gezieltere Werbung an den Browser schicken, was wiederum höhere Einnahmen bedeuten kann. Viele HTML5-Anwendungen seien auf Mobilgeräte zugeschnitten. Daher erwartet McAfee Angriffe, die die Grenzen der Browser-Sandbox überwinden und Angreifern direkten Zugriff auf das Gerät und seine Dienste ermöglichen. Gleichzeitig werden viele Geschäftsanwendungen entwickelt, die auf HTML5 basieren. Um die Exfiltrierung der von diesen Anwendungen genutzten Daten zu verhindern, müssen von Anfang an Sicherheitsfunktionen in diese neuen Systeme integriert werden, erklärt der Security-Anbieter.
Auch Trend Micro warnt vor dem Missbrauch von HTML5-Funktionen. So seien beispielsweise Browser-basierte Botnetze machbar. Die „Einfachheit und Wirksamkeit der möglichen neuen Angriffsmethode sei erstaunlich”, so der Anbieter. HTML5 böte Cyber-Kriminellen “völlig neue Möglichkeiten”, so Trend Micro weiter.
Demnach seien Angreifer mit HTML5 in der Lage, ein Botnetz zu erzeugen, das auf jedem Betriebssystem und auf jedem Gerät funktioniere. Es laufe vorwiegend im Hauptspeicher und berühre daher die Festplatte kaum. Dies mache es für signaturbasierte Anti-Viren-Programme schwierig, den Schadcode zu erkennen. Da der bösartige Code in JavaScript vorliegt, das sich technisch gesehen mit wenig Mühe verschleiern lasse, täten sich auch (signaturbasierte) Intrusion-Detection-Systeme schwer. Zudem könne der bösartige Code wegen seiner Einbettung im Browser auch die meisten Firewalls passieren.
Einmal erfolgreich in das System eines Anwenders eingedrungen, könnten Online-Kriminelle unbemerkt DDoS-Attacken starten, Spam- und Phishing-Mails versenden, Bitcoins generieren, Spionage betreiben und Angriffe verschleiern.
Es sei davon auszugehen, dass diese Angriffsarten im Lauf des Jahres 2014 zunehmen werden. Hilfe bietet zum Beispiel das Browser-Plugin “No Script” und ein Programm, das webbasierte Angriffe auf den Browser abwehrt.
Learning by doing: die Kollegen aus dem Microsoft Readiness Team haben eine ganze Reihe von technisch-orientierten Trainings aufgesetzt, in den IT-Consultant und Microsoft Partner kostenfrei lernen, wie Sie die neuen Möglichkeiten von Windows Server 2012 R2 bei der Erstellung von Lösungen für kleine und mittelständische Kunden optimal nutzen. Die Trainings richten sich insbesondere an Microsoft Value-Added Reseller (VAR). Themen sind: Virtualisierung und Cloud, Mobilität und Remotezugriff sowie Business Intelligence.
https://mspartner.microsoft.com/de/de/Pages/Training/aktuelle-trainingsangebote.aspx#techbootcamps
Trainings finden Sie von Januar bis März in den folgenden Kategorien
Virtualisierung und Cloud Lernen Sie in diesem Training die Schlüsseltechnologien in Windows Server 2012 R2 kennen, mit deren Hilfe kleine und mittelständische Kunden ihre Infrastruktur virtualisieren und gegebenenfalls in der Cloud bereitstellen können. Im Fokus stehen dabei die Themen Serverkonsolidierung, Backup und Notfallwiederherstellung und kosteneffizienter Speicher.
Mobiles Arbeiten und Remotezugriff Erwerben Sie in diesem Training die Kenntnisse, die Sie benötigen, um bei Ihren KMU-Kunden Lösungen für mobiles Arbeiten auf Grundlage von Windows Server 2012 R2 und Office 365 zu implementieren. Behandelt werden die Szenarien mobiles Arbeiten mit Windows 8-Geräten, Remotezugriff auf On-Premise-Geschäftsanwendungen und mobile Produktivität in der Cloud mit Office 365.
Business Intelligence Lernen Sie, wie Sie kleinen und mittelständischen Kunden leistungsfähige BI-Lösungen zur Verfügung stellen können, die die neuen Funktionen von Microsoft Office 2013, Power BI für Office 365 und SQL Server 2012 nutzen. Damit erhalten Ihre Kunden die Möglichkeit, unterschiedliche Datenquellen zu verknüpfen, über interaktive Dashboards bessere Einsichten in ihre Daten zu gewinnen und diese einfach innerhalb ihrer Organisation zu teilen.
Die Akademie der Deutschen Welle stellt in ihrem Online-Workshop „DigitalSafety for Journalists“ zehn Tools und Apps vor, die zeigen, welche Spuren Nutzer im Netz hinterlassen. Die Tipps sind natürlich nicht nur für Journalisten interessant, sondern im Endeffekt für jeden, der sich im Internet bewegt.
Die interaktive Visualisierung Trace My Shadow zeigt, was Smartphones und Computer an Datenspuren im Netz hinterlassen. Ausgewählt werden können zum Beispiel ein Android-Smartphone und die damit genutzten Dienste wie Google und Facebook. „Trace my shadow“ listet 26 verschiedene Spuren auf, die im Netz hinterlassen werden und gibt Tipps, wie man die Spuren beim Surfen vermeiden kann.
Welche Daten nutzen Facebook-Apps? Das Wall Street Journal zeigt online interaktiv, welche Nutzerdaten von über 100 beliebten Facebooks-Apps genutzt werden. Zum Beispiel die Foursquare-App, die Zugang zu 15 verschiedenen persönlichen Daten wie dem Geburtsdatum hat.
Die App My Permissions zeigt, welche Apps von anderen Anbietern Zugriff auf Informationen in sozialen Netzen und Diensten wie Facebook, Flickr, Foursquare oder Dropbox haben. Es zeigt die installierten Apps an und ermöglicht es, deren Zugriffsrechte zu überprüfen oder sie zu entfernen. Verstößt eine App gegen die Zugriffsrichtlinien, kann sie gemeldet und entfernt werden.
Die App Lightbeam für Firefox untersucht, wie Applikationen mit verschiedenen Webseite Daten austauschen und zum Beispiel Anzeigenfirmen einem Nutzer auf verschiedene Webseiten verfolgen, mithilfe von Cookies oder durch einen typischen „Fingerabdruck“ des Browsers, den er auf dem Host-Server der Website hinterlässt. Dieser kann von verschiedenen Firmen zur Identifikation genutzt werden.
Panopticlick von der Electronic Frontier Foundation analysiert den Fingerabdruck des benutzten Browsers und zeigt, wie identifizierbar er anhand der verwendeten Zeitzone, Sprache, Schriften und Plugins ist.
What they know: Diese Visualisierung des WSJ zeigt, wie populäre Smartphone-Apps für Apple iOS und Android mit Daten umgehen, welche Daten an Marketingfirmen weitergeben werden und wie sie darüber den Nutzer informieren. Unter den Apps sind auch YouTube, Tweetdeck und Angry Birds.
Der iPhone Tracker funktioniert auf einem Mac, iPhone oder iPad. Das Tool zeigt alle im iPhone gespeicherten Bewegungsdaten auf einer Karte als digitale Spur an. Die Ortsdaten von Twitter-Nachrichten und Fotos zeigt Creepy auf einer Karte an. So lange das Geolocation-Feature nicht ausgeschaltet ist, können diese Informationen auch andere Nutzer anzeigen und auswerten.
WordPress ist aufgrund seines hohen Verbreitungsgrads natürlich auch hoch interessant für Angreifer und Botnetz-Betreiber. Ist eine mit WordPress gestaltete Site erst einmal unter der Kontrolle des Angreifers, missbraucht er die an sich harmlose Seite oftmals für den Versand von Spam-Nachrichten oder das Verbreiten von Malware.
Ein deutscher Security-Experte erläutert in seinem Blog, wie WordPress-Angriffe typischerweise stattfinden und wie sie abgewehrt werden können.
Fachmann Mike Kuketz beschreibt dazu einen mehrstufigen Penetrationstest. Zunächst werden Informationen über das Angriffsziel gesammelt und öffentliche Informationsquellen durchsucht. Diese Auswertung hilft dabei, den einfachsten Einbruchsweg zu finden. Als Handwerkszeug dient dem Angreifer hierbei die Linux-Distribution Kali, die alle Tools an Board hat. Gesammelt werden damit Informationen unter anderem über das Server-System, Anwendungsversion, verfügbare Netzwerk-Ports, laufende Services und Verteidigungsstrategien des Serverbetreibers.
Zu diesen Maßnahmen gehört oft das Verstecken der Versionsnummer von WordPress. Doch diese Security by Obscurity-Maßnahmen helfen wenig bis gar nicht: Infos über installierte Plugins liefert zum Beispiel Plecost. Diese lassen sich dann mit Detailwissen zu den jeweiligen Schwachstellen gezielt angreifen.
Ein Nmap-Portscan ist ebenfalls aufschlussreich, das eingesetzte Server-Betriebssystems liefert das OS-Fingerprinting. Um das Passwort für den Admin-Bereich zu knacken, reicht oft das Anhängen des Zusatzes “/?author=1” an die URL des Blogs. Rechtlich einwandfrei ist dies nur, wenn man Betreiber des betreffenden WordPress-Blogs ist. Wie Kuketz schreibt, bekommt bei einer Standard-Installation ein Administrator meist die eindeutige Identifikationsnummer „1“ zugewiesen. Falls nicht, könne man durch ausprobieren auch rasch ans Ziel kommen.
Kommt ein Security-Plugin zum Einsatz, werden die fehlgeschlagenen Zugriffsversuche mitgezählt und anfragende IP-Adressen für eine Stunde blockiert. “Script-Kiddies und dämliche Bots lassen sich von solchen Maßnahmen abschrecken – professionelle Angreifer hingegen weniger,” so Kuketz.
Die Gefahr eines Hacks ist umso größer, da diverse Hacker-Tools Plug-ins, Themes und WordPress-Versionen automatisch erkennen und auf Schwachstellen abklopfen. Dabei müssen diese Erweiterungen noch nicht einmal aktiviert sein, damit ihr Missbrauch klappt.