Leihfahrräder der DB gehackt

Mit mit "CallABike" bietet die Deutsche Bahn in Großstädten einen Mietservice für Fahrräder an, bei der Freischaltung und Abrechnung per Handy erfolgt. Jetzt ist es Hackern gelungen auch dieses System auszuhebeln, wie der CCC berichtete.
Die anonymen Hacker bauten die Elektronik eines nicht korrekt verschlossenen Fahrrads auseinander und machten sich daran, den Assembler-Code der Sicherungselektronik zu durchleuchten. Zwar wollte das System zunächst nicht booten, doch der Zufall half den Hackern, denn ein durch eine Glühlampe ausgelöster Infrarot-Sensor entriegelte das störrische System. So gelang es später, die von einem Scrambler generierten Ausleih- und Abgabecodes zu durchschauen und das Call-A-Bike letztendlich mit eigener Software samt HackABike-Logo und einer Hintertür auszustatten.                

Da notwendige Lockbits nicht gesetzt sind, konnte anschließend auch die Software anderer Räder modifiziert werden.
Die Backdoor erlaubt es, das "HackABike" mit einem speziellen Ausleihcode zu öffnen und so kostenlos "auszuleihen". Wird das "HackABike" aber wieder abgegeben, kann es danach ganz normal wieder ausgeliehen werden. (21.12.04, golem.de)

   Sicherheitslücke in Googles Desktop Search beseitigt

Eine Schwachstelle in Googles Desktop Search machte es Angreifern möglich, die Festplatte eines Opfers online zu durchsuchen und Teile von Dateien einzusehen. Das Problem beruht darauf, dass die Desktop Search an google.com gerichtete Suchanfragen mitliest und lokale Treffer in die zurückgelieferte Ergebnisliste mit einbaut, diese Option ist standardmässig aktiviert. Das Einfügen geschieht allerdings nur im Browser auf dem PC, das Tool schickt keine lokalen Suchergebnisse ins Internet. Allerdings gelang es, das Tool auszutricksen, sodass es die Ergebnisse auch in andere Seiten als google.com einbaute.
Der Anwender muss dazu aber eine präparierte Web-Seite besuchen, damit ein Angreifer die so fälschlicherweise eingebauten Inhalte wieder auslesen kann. So konnten zwar nur kurze Abschnitte von Texten angezeigt werden, die mit etwas Glück aber vielleicht gerade wichtige Daten wie Namen und Kennwort beinhalten könnten. Google hat eine neue Version der Desktop Search herausgegeben, die durch das automatische Update bereits auf den meisten betroffenen PCs installiert sein dürfte. (20.12.04, Heise)

   Konfigurations-Patch für XP SP2 erhältlich

Bisher waren PCs mit aktivierter Datei- und Druckerfreigabe durch fehlerhafte Einstellungen der Windows-Firewall vor Angriffen aus dem Netz ungeschützt. jetzt hat Microsoft reagiert und einen Konfigurationspatch bereitgestellt.
Laut dem Artikel KB886185 in Microsofts Knowledge Base sind nur Anwender, die über eine DFÜ-Verbindung ins Internet gehen, von dem Problem betroffen. Von einer Sicherheitslücke wollten die Redmonder jedoch nichts wissen. Es handle sich lediglich um ein Konfigurationsproblem.
Daher wurde der Fix auch nicht im Rahmen des Patch Day zur Verfügung gestellt, der ja erst am vergangenen Dienstag stattfand. Abseits aller Bewertungsfragen räumt Microsoft jedoch ein, dass die Lösung des seit September bekannten Problems nicht optimal verlaufen ist.
"Das ist zwischendurch gerutscht", so die Erklärung von Windows Product Manager Gary Schare. Da das Problem nicht als Sicherheitslücke eingestuft wurde, habe sich das Security-Team nicht zuständig gefühlt und das Produktteam sei nicht an den monatlichen Patch-Zyklus gewöhnt. Die Änderungen sollen über Windows Update oder auf der Microsoft-Website verfügbar gemacht werden. (18.12.04, ZDNet)

   Passwortdiebstahl mit Pop-Up-Fenster

Sicherheitsspezialist Secunia warnt vor Sicherheitslücken, die es bei gängigen Browsern ermöglichen, Passwörter mit Hilfe von Pop-Up-Fenstern auszuspionieren. Betroffen davon sind Internet Explorer, Mozilla Firefox, Opera, Netscape und Apples Safari.
So kann es einem Angreifer möglich sein, den Inhalt einer Website auszutauschen, um Passwörter oder andere persönliche Daten eines Anwenders auszuspionieren. Dem Hacker muss für einen erfolgreichen Angriff ein ActiveX- oder JavaScript in eine Website einbauen und zum Beispiel einen Link auf eine Website platzieren, die sich in einem neuen Browser-Fenster öffnet. In diese Web-Page kann der Angreifer dann beliebige Inhalte laden, zum Beispiel Formulare für Online-Banking oder -Bezahlsysteme.
Für eine Attacke dieser Art bieten sich nach Angaben der Sicherheitsexperten Pop-Ups an, bei denen die Adresszeile normalerweise nicht angezeigt wird. Somit erfährt der Angegriffene nicht, dass seine Daten ausspioniert werden.
Laut Secunia sind alle Entwickler der Browser-Software bereits über die Fehlfunktion informiert. Ein Update gibt es derzeit aber für keines der Programme. (10.12.04, Chip)

    Zehnfache CPU-Leistung bis 2008

Die Leistung der Prozessoren von Intel soll sich im Vergleich zu heute bis zum Jahre 2008 verzehnfacht haben. Damit korrigiert sich Intel zu den bisherigen Vermutungen, bei denen sich die Prozessorleistung bis dahin nur verdoppeln würde. Erreichen will Intel die Leistungssteigerung mit der Integration mehrerer Prozessorkerne in einen Chip.
Auf der Analystenkonferenz in New York stellte Intel erstmals einen "Dual-Core-Prozessor" vor,der auf 90-NM-Technik basierend gefertigt wird und ab 2005 im Handel erhältlich sein wird. Chips mit 65-NM-Technik sind für das Jahr 2006 geplant. Ende 2006 sollen rund 70 Prozent der verkauften Desktop- und Notebook-Systeme mit Dual-Core-Prozessoren ausgestattet sein. Im Server-Bereich sollen sogar rund 85 Prozent der verkauften Systeme über Chips mit zwei oder mehr Kernen verfügen.
Für den Desktop-Bereich plant Intel ab Anfang 2005 einen größeren L2-Cache (2 MByte), EIST (Enhanced Intel Speedstep Technology) und 64-Bit-Erweiterungen (EM64T). (08.12.04, Golem)

    Zwei neue Trojaner unterwegs

Gleich zwei neue Trojaner gelangen immer häufiger via E-Mail auf die heimischen Rechner, so warnt Sicherheitsspeziallist Microworld.
Der IRC Backdoor-Trojaner" Mabutu-A" kommt via E-Mail-Anhang oder über IRC Channel auf einen PC. Dort kopiert er sich selbst als EXE-Datei in das Windows Verzeichnis. Seinen Dateinamen wählt er sich von bestehenden DLL-Dateien aus. Um sicherzustellen, dass er bei einem System-Start mitgestartet wird, erstellt Mabutu-A folgenden Registry-Eintrag:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winupdt = "RUNDLL32.EXE ,_mainRD"
Der Trojaner sendet sich selbst als Attachment mit ZIP- oder SCR-Endung an alle Mail-Adressen, die sich auf dem infizierten PC in WAB-, HTM-, HTML- oder TXT-Dateien befinden. Mabutu-A sucht nach Informationen, die mit MSN-Messenger zu tun haben und sendet diese über IRC Channel an Remote User.
Die zweite Bedrohung, der Massenmailer "Atak-D" kommt via E-Mail mit den Betreffzeilen: "'First Match!" oder "It's begin here!" auf den Rechner. Der Dateianhang ist eine ZIP-Datei mit einem zufälligen Namen.

Der Wurm durchsucht alle festplatten Adressen, an die er sich weiter versenden kann. Wenn der Wurm gestartet wird, kopiert er sich als a1g.exe in das Windows System Verzeichnis und trägt folgendes in die win.ini ein: load = "Windows system foldersystem"\a1g.exe. (06.12.04, ZDNet)

    Problematisches IFrame Patch

Einigen Berichten zufolge installiert sich das neue IFrame Patch für den Internet Explorer unter Umständen nicht immer korrekt. So berichtet beispielsweise der Diensthabende im Internet Storm Center, dass nach der Installation via Windows-Update die Versionen der DLLs nicht mit denen übereinstimmten, die in Microsofts Security Bulletin angegeben sind. Erst nach dem Herunterladen und der manuellen Installation des Patches habe er die richtigen Versionen auf seinem System vorgefunden.
Auch sollen die Demo-Exploits nach einer Installation über die Windows Update Funktion in einigen Fällen noch ausgeführt werden können.
Wer auf Nummer sicher gehen will, dass der Patch richtig installiert ist und die IFrame-Lücke des Internet Explorer tatsächlich geschlossen ist, sollte die Versionsnummern der neu installierten DLLs überprüfen. Sie finden sich im Security Bulletin MS04-040 unter "Informationen zum Sicherheitsupdate" im Unterpunkt "Dateiinformationen". Direkt darunter ist auch beschrieben, wie man die Versionsnummern vergleicht.

Links zum manuellen Download der Patches finden sich weiter oben unter "Betroffene Komponenten". (03.12.04 Heise)

    Sicherheitspatch für den Internet Explorer

Microsoft stopft nun endlich die schon seit Wochen bekannte IFrame Sicherheitslücke des Internet Explorers. Immer häufiger wurde in letzter Zeit mit speziell präparierte Webseiten diese Lücke ausgenutzt. Der Fehler tritt bei überlangen Attributen eines IFrame-Tags auf, über das Web-Seiten Inhalte anderer Sites quasi einbetten können. Durch einen Pufferüberlauf konnte so beliebiger Code auf den Windows Systemen ausgeführt werden.
Seit geraumer Zeit kursieren Exploits für die Lücke, die auch als BOFRA bezeichnet wird. Eine nicht sonderlich weit verbreitete Mydoom-Variante nutzte diese Schwachstelle bereits aus und letzte Woche gelang es Angreifern, Anzeigen-Server mit BOFRA-Exploits zu präparieren. Anschließend infizierten viele Anwender ihr System, nur weil sie Web-Sites aufsuchten, die Anzeigen von diesen Servern einbetteten.
Betroffen sind alle Windows-Versionen mit Internet Explorer 6.0 außer Windows XP mit Service Pack 2. Nutzer, die Windows 98, ME oder 2000 nutzten oder bei XP das Service Pack 2 nicht installiert haben. sollten schnellstmöglich das Sicherheitspatch installieren, da mit weiteren IFrame-Angriffen über Würmer oder gehackte Web-Seiten zu rechnen ist. (02.12.04, Heise)

    Neuer Netscape Browser als Preview

AOL-Tochter Netscape meldet sich überraschend mit einer Vorschau-Version ihres neuen Browsers zurück. Grundsätzlich basiert dieser auf dem Open-Source-Browser Firefox der Mozilla Foundation, bei Bedarf kann er aber auch auf die Rendering-Engine des Internet Explorer von Microsoft zurückgreifen. Wenn der neue Netscape-Browser eine Seite mit der Gecko-Engine von Mozilla nicht korrekt anzeigt, genügen zwei Klicks, um sie stattdessen mit der Engine des IE zu präsentieren. Welche Engine bei künftigen Aufrufen genutzt wird, speichert Netscape individuell für jede Seite in den Voreinstellungen. So wird der Tatsache Rechnung getragen, dass wegen des dominierenden Marktanteils des IE viele Websites speziell für den Microsoft-Browser optimiert sind und dessen Spezialtechniken wie ActiveX nutzen, statt sich an die offiziellen Webstandards des World Wide Web Consortium. Netscape bringt bei der Installation nicht die IE-Engine mit, sondern nutzt die auf einem Rechner bereits vorhandene. Deswegen läuft der neue Browser leider auch nur unter Windows und nicht wie der Firefox auch auf Linux- und Macintosh-Rechnern.
Zu den weiteren Neuigkeiten gehören detaillierte Sicherheitseinstellungen, etwa das Site-spezifische Blockieren von PopUps und Cookies, oder Vorgaben, ob ActiveX (im IE-Modus), Javascript und Java ausgeführt werden dürfen. Ebenfalls integriert wurde die Anzeige von RSS-Feeds, die - anders als bei den dynamischen Lesezeichen von Firefox - rotierend in einer speziellen Task Bar erscheinen.
Die Vorschauversion des neuen Browsers ist nur für ausgewählte Tester erhältlich. Eine öffentliche Beta sowie die endgültige Version sind für das kommende Jahr geplant. 01.12.04, tecchannel.de)