Nach bundesweiten Ermittlungen hat die Polizei ein Netzwerk von Computer-Hackern aufgedeckt. Am Vortag seien die Wohnungen von sieben Tatverdächtigen in Niedersachsen, Hessen und Nordrhein-Westfalen durchsucht und 16 Computer beschlagnahmt worden, teilten die Stuttgarter Staatsanwaltschaft am Mittwoch mit.
Auslöser war der Angriff auf einen Anbieter von Internetdiensten in Esslingen (Baden-Württemberg), der einen Schaden von mehreren tausend Euro verursachte. Mit speziellen Programmen seien tausende Computer infiziert worden und Server außer Kraft gesetzt worden. Drei Tatverdächtige hätten sich mit Hilfe gefälschter Homepages und Mails Kreditkarten- und Kontodaten von Privatpersonen besorgt......

Gehackte Webserver schleusen Programmcode auf fremde Systeme
Wie das US-CERT in einer aktuellen Mitteilung bekannt gab, wurden weltweit mehrere Webserver gehackt, über die schädlicher Programmcode beim Aufruf von Webseiten mit dem Internet Explorer und aktiviertem Active-Scripting auf fremde Systeme geschleust werden. Das US-CERT empfiehlt Administratoren des betroffenen Internet Information Server 5 von Microsoft, ihre Server auf verdächtige Informationen zu untersuchen.
Das US-CERT empfiehlt Nutzern von Microsofts Internet Explorer dringend, Active Scripting im Browser zu deaktivieren. Es wird vermutet, dass die Internet Information Server über eine noch nicht bekannte Sicherheitslücke gehackt und darüber die Veränderungen an den Webseiten vorgenommen wurden. Die Eindringlinge hängen speziellen JavaScript-Code an die Webseiten an, worüber Programmcode von einem fremden Server aus auf andere Systeme geladen wird.
Es wird vermutet, dass befallene Systeme für den Aufbau eines späteren Spam-Bots genutzt werden. Die Einnistung des Trojaners soll über zwei im Internet Explorer enthaltene Sicherheitslücken möglich sein, die beide bislang nicht behoben wurden. Administratoren wird empfohlen, die eigenen Webseiten auf verdächtigen JavaScript-Code zu untersuchen, der sich immer am Ende einer Webseite befinden soll. Derzeit ist nicht bekannt, wieviele oder welche Webserver befallen sind. Anscheinend weden aber immer mehr Webserver entsprechend infiltriert.......

ine Sicherheitslücke in IBMs Groupware Lotus Notes ermöglicht es Angreifern beliebigen Code auf einem Rechner auszuführen.
Laut einem Advisory von iDefense sind die Versionen Lotus Notes 6.03 und 6.5 betroffen. Die Sicherheitslücke wirds für einen Anwender zum Risko wenn ein manipuliertes HTML-Dokument in Notes geöffnet wird.
Die Schwachstelle findet sich in dem mit Notes angelegten URI (Uniform Resource Identifier) "notes:". Mit einem entsprechenden URL (Uniform Resource Locator) ist es, aufgrund unzureichender Filterung möglich, den Pfad der Konfigurationsdatei "notes.ini" zu übergeben. Dieser kann dann auch auf einen fremden Rechner verweisen, von dem dann DLLs (Dynamic Link Libraries) nachgeladen werden können. IBM empfiehlt Anwendern auf die Notes-Versionen 6.04 oder 6.52 zu wechseln, die diesen Fehler nicht aufweisen sollen. Laut Herstellerangaben sollen aber auch gängige Firewalls ein Nachladen schädlichen Codes verhindern......

Microsoft Word ist eines der meistgenutzten Textverarbeitungsprogramme und auf vielen PCs installiert. Umso schwerer fällt ins Gewicht, dass in Word-Dokumenten viele Informationen versteckt sind, die Herkunft und Entstehungsgeschichte des Textes verraten,....
Word fügt in jedes Dokument automatisch den Benutzer- und auch Firmennamen ein. Diese Informationen sind leicht zu finden. Sie stehen in den "Dokumenteneigenschaften" und stammen aus den Angaben, die der Anwender bei der Word-/Office-Installation gemacht hat. Ebenfalls vermerkt Word, wer die Datei zuletzt gespeichert hat und wie oft sie geändert wurde.
Problematisch wird es, wenn beim Sichern der Daten die Funktion "Schnellspeicherung" aktiviert ist. In diesem Fall markiert Word Textabschnitte, die der Nutzer entfernt, als gelöscht, sie bleiben aber in der Datei enthalten. Das kann weitreichende Folgen haben. Etwa wenn das Dokument geänderte Geschäftszahlen oder kritische Anmerkungen enthält. Denn mit einem einfachen Text-Editor können Datenschnüffler die gelöschten Datensätze wieder sichtbar machen.
Ähnliches gilt für die Word-Funktion "Änderungen nachverfolgen" im Menü "Extras". Hier können alle Streichungen, Korrekturen und Änderungen eingesehen werden, wenn nach der letzten Bearbeitung die Bearbeitungshistorie nicht gelöscht wurde.
Wer seine Word-Dokumente weitergeben will, etwa per E-Mail oder Internet, sollte die Dateien zuvor einer Grundreinigung unterziehen. Die einfachste Lösung ist, das Word-Dokument als RTF- Datei abzuspeichern. Damit verschwinden alle versteckten Informationen außer dem Benutzer- und Firmennamen. Allerdings muss dabei auf einige Word-Funktionen verzichtet werden. Wer dagegen für seine Dokumente lieber das Word-Format bevorzugt, sollte unter "Datei, Eigenschaften" auf der Registerkarte "Zusammenfassung" alle Daten aus den Eingabefeldern löschen und vor dem letzten Speichern die Option "Schnellspeicherung" deaktivieren.......
Anmerkung: Kostenlose Programme löschen versteckte Informationen

Die WLAN-Hotspots der Anbieter Vodafone und T-Mobile sind anfällig für den Missbrauch durch Hacker, warnt der IT-Sicherheitsdienstleister Integralis. Demnach können Hacker fremde Handys anzapfen und sich auf Kosten der Handy-Besitzer mit dem Internet zu verbinden, wenn Anwender ihre Mobiltelefone über die Hotspots bei den Anbietern anmelden. Dabei nutzen die Angreifer laut Integralis eine Schwachstelle in der Bluetooth-Schnittstelle aus, mit der viele neuere Handys ausgestattet sind....
Gefährlich sind diese Verfahren deshalb, weil Hacker via Bluetooth Mobilfunknummer und Zugangsdaten eines Teilnehmers ausspionieren können. Die Übeltäter surfen dann auf Kosten des ahnungslosen Handybesitzers. Integralis rät deshalb, die Bluetooth-Funktion am Handy standardmäßig zu deaktivieren und nur in sicheren Umgebungen zu verwenden. Neben Vodafone und T-Mobile sind auch die Services der Mobilfunkanbieter A1 (Österreich), SFR (Frankreich) sowie Cingular (USA) anfällig für Missbrauch dieser Art.....

In zwei ActiveX-Controls des IBM Access Support sind Sicherheitslöcher enthalten, mit denen nach Angaben des Sicherheitsdienstleisters eEye ein Angreifer verwundbare Systeme kompromittieren kann. Das Control acpRunner enthält die unsicheren Methoden DownLoadURL, SaveFilePath und Download, über die ein Webserver beim Aufruf Dateien an beliebigen Orten auf dem System ablegen kann -- zum Beispiel in den Autostart-Ordner. Auch das Control eGatherer bringt unsichere Funktionen mit. GetMake, GetModel, GetOSName, SetDebugging und RunEgatherer können ebenfalls zum Ablegen von Dateien benutzt werden. Ein Angreifer kann darüber mit einem manipulierten Webserver Trojaner und andere Malware in den PC einschleusen.
Nach Angaben von eEye dienen die Controls von IBM eigentlich als automatisierte Support-Lösung für die PCs des Herstellers; sie seien standardmäßig auf vielen Modellen von IBM installiert. Betroffen sind acpRunner Activex Version 1.2.5.0 und IBM Access Support (eGatherer) Activex Version 2.0.0.16. Der Hersteller hat bereits einen Patch zur Verfügung gestellt.....

Laut einem Bericht von Spiegel Online soll Bin Ladens Terrornetzwerk Al-Qaida die Webseite eines US-amerikanischen Landvermessungsunternehmens geknackt haben, um dort ein Video abzulegen. Es zeigt den in die Hände der saudischen Al-Qaida gefallenen US-Bürger Paul Marshal Johnson. Der Link dorthin sei dann über islamistische Internetforen verbreitet worden. Darüber hinaus sollen in einem extra dafür angelegten Verzeichnis weitere Videos von Anschlägen sowie Online-Magazine der Terrorgruppe zu finden sein.
Der Betreiber der Seite "Silicon Valley Landsurveying Inc." soll nach Aussagen gegenüber Spiegel Online nichts von dem Einbruch bemerkt haben. Wie Al-Qaida in den Server eindringen konnte, ist unbekannt. Allerdings dürfte es sich, entgegen den Angaben des Spiegel, wohl kaum um ein so genanntes Defacement im eigentlichen Sinne gehandelt haben. Es scheint sich vielmehr um eine Vorgehensweise zu handeln, die Cracker anwenden: Sie legen oftmals auf geknackten Servern heimlich Unterverzeichnisse an, um dort Raubkopien sowie andere, illegale Inhalte abzulegen und ausgewählten Personen anzubieten. Die Homepage oder Startseite eines Servers bleibt in der Regel unberührt.
Allerdings ist es das erste Mal, dass die Verbreitung des Materials von Al-Qaida auf diese Weise bekannt wurde. Überrascht dürfte aber niemand sein, nutzen die Mitglieder und Sympathisanten doch seit langem das Internet zur Kommunikation....

Bislang stand Microsoft mit seinen Windows-Produkten im Fokus der Hacker und Virenschreiber. Doch das Interesse des Cyber-Untergrunds an Schwachstellen in SAP-Software wächst, wie die Computer Zeitung berichtet. Und die Bedrohung ist nicht nur theoretisch: "Die bekannten Löcher werden durchaus von bösartigen Hackern ausgenutzt", weiß der Berliner Cracker FX zu berichten. Insbesondere die Web-Software Internet Transaction Server weise "eine Unmenge Löcher auf", so der SAP-Spezialist.
"Wir arbeiten mit Hochdruck daran, hier nachzubessern", bestätigt SAPs Sicherheitschef Sachar Paulus. Das ist auch nötig, denn die SAP will ihre betriebswirtschaftliche Software zunehmend nutzen, um Geschäftsprozesse der Kunden über das öffentliche Netz abzuwickeln. Und wenn die Systeme erst einmal mit großer Zahl am Netz hängen, dann werden noch mehr Schwachstellen aufgedeckt, sind sich Experten einig. "Mit der Öffnung nach außen werden unsere Systeme verstärkt zum Angriffsziel", macht sich auch Paulus keine Illusionen......

Oracle warnt Nutzer seiner betriebswirtschaftlichen Standardsoftwarepakete "11i E-Business Suite" und "Applications 11.0" vor einem gravierenden Sicherheitsproblem. Angreifer könnten dieses missbrauchen, um sich Kontrolle über die unterliegende Datenbank zu verschaffen, heißt es. Jeder Nutzer mit Browser-Zugang und Spezialkenntnissen sei dazu in der Lage, heißt es. Die Sicherheitsfirma Secunia vergab für das Problem deswegen ihre zweithöchste Warnstufe "Highly Critical".
Entdeckt wurde das Problem von Stephen Kost, Chief Technology Officer der auf Software zur Absicherung geschäftskritischer Anwendungen spezialisierten Firma Integrigy. Deren Security Bulletin amüsiert sich geradezu darüber, wie einfach das Sicherheitsleck zu missbrauchen sei. Oracle hat bereits Patches veröffentlicht, die das Problem beheben....

Trotz der gestern veröffentlichten Microsoft-Patches weist der Redmonder Browser Internet Explorer weiterhin zwei ungepatchte Sicherheitslücken auf, die Hacker in Kombination missbrauchen können, um auf einem angegriffenen Rechner beliebigen Code auszuführen. Das berichtet unsere Schwesterpublikation Computerwoche.
Das Problem wurde am Montag durch ein Posting in der Sicherheits-Mailing-List "Bugtraq" bekannt und später auch von Symantec (dem Bugtraq gehört) bestätigt. Ein Microsoft-Sprecher hat das Problem bestätigt und erklärt, man untersuche es gegenwärtig und werde gegebenenfalls einen Patch außer der Reihe veröffentlichen, also vor dem nächsten monatlichen Security Bulletin......

Anmerkung: Tests für Ihren IE-Browser...
c't-Browsercheck Demos für den Internet Explorer

Nach Werbemüll für Arzneimittel, Stärkungspräparate auf "rein pflanzlicher Basis" und Hypotheken gibt es neuerdings auch rassistischen Polit-Spam in deutscher Sprache.
Normalerweise würden wir so etwas gar nicht erwähnen, nur: die Spams werden mit gefälschten Absenderadressen verschickt.
Wenn Sie also diesen Müll mit unserem Absender erhalten, seien Sie versichert: von uns stammt das nicht, und dieser Spam wurde auch nicht über unsere Server verschickt, sondern über virusverseuchte Privatanwender-PCs. Wir und unsere Mitarbeiter haben mit dieser braunen Soße nichts zu tun und wollen damit auch nichts zu tun haben.
Wir distanzieren uns ausdrücklich von jedweden ausländerfeindlichen, rassistischen und antisemitischen Inhalten.
Weitere Infos finden Sie auf http://www.heise.de/newsticker/meldung/48121

Microsoft hat zwei Security Bulletins herausgegeben, in dem die Redmonder auf Sicherheitslücken in DirectPlay und dem Crystal Reports Web Viewer hinweisen. Beide Lücken schätzt der Hersteller als "Moderate" ein, was der zweiten Stufe von insgesamt vier entspricht.
Bulletin MS04-016 beschreibt den Fehler in DirectPlay, mit dem ein Angreifer darauf aufsetzende Applikationen zum Absturz bringen kann, typischerweise netzwerkbasierte Multi-Player-Spiele. Dazu reicht es einige manipulierte Pakete an ein verwundbares System zu senden. Anschließend ist ein Neustart der Anwendung erforderlich. Betroffen sind Windows 98, ME, 2000, XP und Server 2003 in verschiedenen Kombinationen mit DirectX. Nähere Angaben dazu sind dem Bulletin zu entnehmen. Das Update KB839643 soll das Problem beseitigen.
Der Fehler im Crystal Reports Web Viewer ermöglicht es unautorisiert Dateien über das Webinterface des Servers einzusehen und zu löschen. Der Viewer stammt nicht von Microsoft selbst, sondern vom Hersteller Business Objects. Microsoft liefert das Produkt aber zusammen mit Visual Studio .NET 2003, Outlook 2003 mit Business Contact Manager und Microsoft Business Solutions CRM 1 aus und sieht sich deshalb veranlasst auf den Fehler im Bulletin MS04-017 hinzuweisen. Für Outlook und Visual Studio stellt Microsoft eigene Updates bereit. Das CRM1-Update ist auf den Seiten von Business Objects zu finden...

Erster Tauschbörsen-User in Deutschland zu 8.500 Euro Strafe verurteilt - IFPI Österreich warnt: "Wir sammeln Beweise"
Erstmals ist in Deutschland ein junger Mann verurteilt worden, der illegal Musik über eine Internet-Tauschbörse angeboten hatte. Der 23-Jährige müsse insgesamt 8.500 Euro Strafe und Schadenersatz zahlen, weil er tausende Musiktitel im Netz angeboten habe, teilte das Amtsgericht Cottbus am Dienstag mit. Nach Angaben der deutschen Phonoverbände habe der Auszubildende über die Tauschbörse KaZaa die Musik ins Netz gestellt. Bei einer Durchsuchung seien 6.000 MP3-Dateien beschlagnahmt worden. Der Internet-Provider hatte die Identität des Musikpiraten der Staatsanwaltschaft mitgeteilt.
IFPI Österreich warnt
Auch in Österreich seien Klagen von illegalen Anbietern von Musik "nicht ausgeschlossen", teilte der Verband der Österreichischen Musikwirtschaft IFPI in einer Aussendung mit. "Jetzt ist die richtige Zeit mit illegalem file-sharing aufzuhören. Wir sammeln Beweise", so IFPI-Geschäftsführer Franz Medwenitsch.......

Auf der Sicherheitsmailing-Liste Full Disclosure ist ein Security Advisory erschienen, das auf neue Fehler im Internet Explorer 6.0 hinweist, mit der es Angreifern möglich sein soll, beliebigen Code auf das System eines Opfers zu laden und auszuführen. Dem Advisory zufolge werden diese Fehler bereits von einigen Webseiten aktiv ausgenutzt. Dabei reiche der Besuch einer Webseite ohne weitere Benutzerinteraktion aus, um unbemerkt Trojaner und Adware installiert zu bekommen.
Der bereits durch frühere Veröffentlichungen zu Sicherheitslücken in Microsofts Browser bekannte Sicherheitsspezialist Jelmer analysiert in seinem Advisory detailliert die Funktion des neuen Angriffs, der aus einer Kombination mehrerer alter und mindestens zwei bisher unbekannter Lücken im Internet Explorer 6.0 besteht. Der mehrstufige Exploit lädt unter anderem besonders codiertes JavaScript auf das System, um die Arbeitsweise zu verschleiern und Virenscanner auszutricksen. Außerdem setzt er diverse Tricks ein, um den eigentlich zur Internet-Zone gehörenden Code in der lokalen Zone -- die standardmäßig fast keine Sicherheitseinschränkungen kennt -- auszuführen.
Offensichtlich suchen Virenbastler mittlerweile selbst aktiv nach neuen Sicherheitslöchern im Internet Explorer. Wer Active Scripting für die Internet-Zone eingeschaltet hat, muss künftig noch mehr damit rechnen sich ohne Vorwarnung auf Web-Seiten Viren und Trojaner einzufangen. Selbst wer das Surfen auf vermeintlich vertrauenswürdige Sites beschränkt, ist nicht auf der sicheren Seite. Cracker brechen mittlerweile auch vermehrt in fremde Server ein und fügen dort nur wenige Zeilen hinzu, die den Schädling installieren. Anders als prominent platzierte Defacements bleiben solch minimale Änderungen oft längere Zeit unbemerkt. Tipps wie Sie Ihren Browser sicher konfigurieren können, gibt der c't-Browsercheck

Ein neuer Wurm dreht seine Runde im Internet. Der auf Plexus.a getaufte Wurm nutzt einige bereits bekannte und von Microsoft längst geschlossene Sicherheitslücken, um auf einen Rechner zu gelangen. Laut den russischen Sicherheitsspezialisten von Kaspersky Lab sorgt der Wurm auf infizierten Rechnern dafür, dass eine installierte Antiviren-Software wirkungslos wird. Sie kann dann keine automatischen Updates mehr herunterladen.
Plexus.A verbreitet sich über lokale Netzwerke, als Mail-Anhang und auch über Online-Tauschbörsen. Wer generell keine Mail-Anhänge öffnet, ist dennoch nicht sicher, denn die meisten Infektionen erfolgen, indem der Wurm altbekannte Schwachstellen in den Windows-Diensten LSASS und RPC/DCOM ausnutzt, um auf einen Rechner zu gelangen. Die LSASS-Lücke nutzte beispielsweise der Sasser-Wurm für seine Attacken Anfang Mai aus. Rechner, bei denen nicht die seit langem bereitliegenden Microsoft-Patches installiert sind, können somit von dem Wurm befallen werden, sobald eine Verbindung zum Internet erstellt wird.....

Es begann langsam und schleichend, mittlerweile mehren sich die jedoch die Meldungen über einen neuen und schnellen Virenbefall. Korgo.F infiziert Computersysteme über die altbekannte LSASS-Sicherheitslücke in Windows.
Korgo ist ein Wurmvirus, der sich in den Versionen A bis F im Internet verbreitet. Unverständlich: nach der riesigen Sasser-Epidemie, die vor wenigen Wochen genau dieselbe Schwachstelle ausnutzte, haben einige User ihre Systeme anscheinend immer noch nicht mit dem kostenlos erhältlichen Patch ausgestattet, um die Lücke zuverlässig zu schließen. Die Folge der massiven Verbreitung ist, das Symantec Korgo.F mittlerweile mit dem Gefährdungsrisiko 3 einstuft.
Korgo.F infiziert die Rechner über den Port 445 und nutzt außerdem die Ports 113 und 3067, um sich darüber an andere Rechner zu versenden. Anschließend versucht der Wurm mit verschiedenen IRC-Servern Kontakt aufzunehmen. Die Antivirensoftwarehersteller haben mittlerweile entsprechende Updates zur Entfernung der Korgo-Familie online gestellt.....

Kinostart von "Harry Potter und der Gefangene von Askaban" könnte Netsky-P-Flut ansteigen lassen
Tausende neue Reports zum Netsky-P Wurm haben die Virenexperten von Sophos erneut in Alarmbereitschaft versetzt. Obwohl es bereits seit März Schutzsoftware gegen den Wurm gibt, ist er noch immer extrem aktiv. Tausende Netsky-P Exemplare wurden in den letzten Tagen im Umlauf gesichtet.
Der Grund für die Beharrlichkeit des Schädlings liegt laut Sophos in seiner populären Tarnung: Der Wurm gibt sich als Harry Potter-Computerspiel aus. Mit dem heutigen Kinostart von ‘Harry Potter und der Gefangene von Askaban’ sind alle Potter- Fans besonderes Angriffsziel dieses Wurms. Seinem andauernden ‘Erfolg’ nach zu urteilen, scheinen sie am PC weniger Vorsicht walten zu lassen und ganz versessen darauf zu sein, das Spiel auszuprobieren.
‘Im Jahr 2000 hat der Pikachu Wurm diesen Trick vorgemacht, junge Computeranwender über Dinge, die mit Harry Potter-Büchern und -Filmen zu tun haben, zum Klick auf die verseuchte E-Mail zu verführen’,......

Der Schädling verbreitet sich via E-Mail im HTML-Format, steckt jedoch nicht in einem Dateianhang. Vielmehr wird er über eine Verknüpfung auf eine gefälschte Yahoo-Seite (drs.yahoo.com) im Nachrichtentext nachgeladen. Wallon bleibt inaktiv, bis Anwender versuchen, auf infizierten Rechnern eine Sound- oder Video-Datei mit dem Windows Media Player zu öffnen. Dann legt der Virus mehrere Schlüssel in der Registrierdatenbank an, über die fünf neue Schaltflächen in der Werkzeugleiste des Internet Explorers erzeugt werden. Sie verweisen allesamt auf die Internet-Adresse www.google.com.super-fast-search.apsua.com. Außerdem kopiert er von dieser Adresse die Datei "Alpha.exe" in das Wurzelverzeichnis und versendet sich selbständig an die im Windows-Adressbuch vorhandenen Einträge. Die angewählte Multimedia-Datei wird indes nicht angezeigt und der Mediaplayer zerstört.
Stuart Okin, Chief Security Officer bei Microsoft UK, empfiehlt, den im April mit dem Sicherheits-Bulletin MS04-013 veröffentlichten Patch zu installieren.......

Das Stehlen von Benutzeridentitäten ("Phishing") hat Konjunktur: Nach Angaben der Anti-Phishing Working Group gab es im April 1125 Vorfälle, bei denen Kriminelle versucht haben, sich personenbezogene Daten wie Passwörter oder Kreditkartennummern zu erschleichen. Allein die Citibank-Kunden wurden von 475 solcher Attacken heimgesucht. Einen Monat zuvor waren es noch 98. Beliebtes Ziel war und ist Paypal, ein Internet-Bezahldienst, der dem Online-Auktionshaus Ebay gehört. Hier wurden 356 Angriffe vermeldet, gegenüber 173 im März.
Die Phisher versenden gefälschte E-Mails an ihre Opfer, die so aussehen wie die der betreffenden Unternehmen. Zudem richten sie Websites ein, die dem Original ähnlich sehen. Solche Versuche gab es schon früher, doch hat ihre Anzahl dramatisch zugenommen: Nach Angaben des Beratungshauses Gartner sind im vergangenen Jahr allein in den USA durch Phishing Schäden in Höhe von 1,2 Milliarden Dollar entstanden. Den Analysten zufolge haben rund 57 Millionen Amerikaner betrügerische E-Mails erhalten. Ungefähr jeder Fünfte von ihnen soll die elektronische Botschaft geöffnet haben. Drei Prozent, also immerhin 1,78 Millionen US-Bürger, haben den Betrügern persönliche oder Finanzdaten anvertraut.......