Vorab das: natürlich meine ich trojanische PFERDE und nicht Trojaner, der (historische) Unterschied ist mir durchaus bekannt und bewusst, aber die Headlines sollen ja kurz, prägnant und knackig sein, gell? 😉

Aber zur Sache: Irgendwie finde ich die Pläne unserer Sicherheitsorgane ja schon ein klein wenig süß und naiv. Da lese ich doch gerade unter tagesschau.de:

Das Bundeskriminalamt arbeitet bereits an einem Projekt, das verschleierte Online-Durchsuchungen ermöglichen könnte, wie neulich bekannt wurde. Wegen einer rechtlichen Bewertungsstreites innerhalb der Bundesregierung liegt das Projekt allerdings vorerst auf Eis. Mit Online-Durchsuchungen würden die staatlichen Fahnder im einfachsten Fall auf klassische Weise per E-Mail digitale trojanische Pferde und anderer Schadsoftware auf den Ziel-PC einschleusen. Möglich wäre aber auch, dass die Zielperson zum Ansurfen einer unverdächtigen Website gelockt wird, von wo sich unbemerkt im Hintergrund das Spionageprogramm installiert. In hartnäckigen Fällen könnten die BKA-Beamten den PC durch einen gezielten Internet-Angriff über undokumentierte Schwachstellen des Betriebssystems und der Browser-Software „aufhebeln“.

Mal ganz abgesehen von der Tatsache, dass nun mal nicht alle Welt Windows verwendet – wer öffnet heutzutage noch vollkommen unbedarft Anhänge einer Mail? Von einigen Immer-DAUs mal abgesehen. Natürlich, man könnte Schwachstellen in Mailprogrammen ausnutzen, aber da stünde man schon vor einer weitaus größeren Vielfalt. Von installierten Virenscanner mal abgesehen. Über kurz oder lang würde sicherlich jeder Scanner so etwas erkennen und sei es nur über die Heuristik. Ich musste auch grad schmunzeln bei dem Gedanken, es könnten dann Mails verschickt werden, in denen nette Links zu den Download-Versionen für die unterschiedlichen Betriebssysteme enthalten sind 😉 „Klicken Sie hier für Linux…“
Natürlich verbreiten sich heutzutage nach wie vor Viren und Trojanische Pferde, aber gezielt jemanden dazu zu bringen, sich so etwas einzufangen? Schwer vorstellbar.

Zudem, ihr tüchtigen Internet-Fahnder: Wer heutzutage etwas zu verbergen hat, hat auch genügend Möglichkeiten, es tatsächlich zu verbergen. Und ist auch geübt darin, ebenso im Umgang mit dem Internet. Zu glauben, auf diese Weise wirklichen Kriminellen (oder den Terroristen, für die das Internet ja laut Herrn Schäuble das Trainingscamp ist) das Handwerk legen zu können, ist in meinen Augen schon ein wenig mehr als nur naiv.

Die einzigen, die man mit dieser Methode fangen kann sind die armen Wichte, die sich keine Gedanken über die Sicherheit ihres PCs machen und auf deren Festplatten diverse MP3-Files und Videofilmchen kreiseln. Aber vielleicht ist das, wie auch für die Vorratsdatenspeicherung, ja der eigentliche, wahre Zweck dieser Ideen…

StudiVZ ist seit heute Mittag nicht mehr erreichbar und inzwischen vermehren sich die Gerüchte, ein XSS-Worm hätte zum Abschalten des Dienstes durch die Betreiber geführt. Wie gesagt, es sind Gerüchte, wieviel an diesen Aussagen dran ist, können im Augenblick wohl nur die Betreiber selbst sagen. Diese jedoch hüllen sich in Schweigen. Und wenn man die letzten Tage und Wochen Revue passieren lässt ist anzunehmen, dass die Ursache für die Abschaltung wohl auch weiterhin im Dunkeln liegen bleiben wird…

Nun, es wär zumindest nicht das erste Mal, dass ein „Social Network“ (bzw. die Nutzer) von einer Cross-Site-Scripting-Attacke betroffen ist: wir erinern uns an myspace. Aber, sollten die Aussagen zutreffen, die in dem folgenden Zitat eines Kommentators bei YAMB.BETA2 zu lesen sind – dann hätten sich wohl all die Warnungen und Befürchtungen der letzten Tage bewahrheitet. Sollte es wirklich so abgelaufen sein, wie es hier beschrieben wurde, wäre das ein heftiger Schlag ins Gesicht für die Betreiber und Entwickler von StudiVZ. Derartige Lücken dürfen einfach nicht auftreten, hier wurden augenscheinlich grundlegende Regeln bei der Entwicklung missachtet und die überdeutlichen Hinweise in letzter Zeit ignoriert.

Hier nun der eben erwähnte Kommentar:

XSS-Wurm!

Derzeit scheint es eher so, alsob die Notbremse wegen eines XSS-Wurmes gezogen wurde, welcher sich automatisch ueber die Pinnwand als Link verteilt hat 🙂
Sobald auf diesen Gruppenlink geklickt wurde, wurde die E-Mailadresse des aktuellen Users auf eine nicht oeffentliche Pinnwand geschrieben und die Loginseite angezeigt. Das hier angegebene Passwort wurde ebenfalls auf die Pinnwand geschrieben, der User wurde auf die Gruppe “Datenschutz im StudiVZ” weitergeleitet.
Gleichzeitig lief das Skript im Hintergrund weiter, fragte die Freundesliste ab und begann damit die Pinnwaende der Freunde mit einem aus Bloecken zusammengewuerfelten Text zu beschreiben “Hallo *vorname*, schau Dir mal die Gruppe an… *url* Gruss, *vorname des users*”. Da sich das Skript zwischen Browser und Web legte (als Man-in-the-middle) und die geklickten Links per XMLHttpobj abfragte und darstellte, ist/war es moeglich, dass es im Hintergrund weiterlief und sich somit effektiver verbreiten konnte.

Bis um 11:55 der Customer Support ebenfalls auf die Gruppe klickte – 4 Minuten spaeter stand “Kaffeepause” – weitere 2 Minuten spaeter wurde der Stecker gezogen.

Ich denke eher dass _dies_ der Grund fuer den “Ausfall” ist. Ein feiner Web2.0 Wurm/Virus, der im Browser des Besuchers und mit dessen angemeldeter Session lief, das JavaScript wurde ueber den im Titel nicht geparsten Gruppennamen eingefuegt.

Web2.0, viralen Marketing,
Wurm2.0, virale Verteilung 🙂

Ein Beispiel von der Pinnwand (Emailadresse von mir verschleiert,Passwoerter vom Wurm direkt – er ist nicht destruktiv gebaut-):

mail|1164558979|BTjk8z|thommybee@xxx
data|1164559219|5wn3jL|2904F****
mail|1164559217|5wn3jL|timonschroeter@xxx
mail|1164559778|Xg586z|m.stoeckemann@xxx
data|1164560080|Skw2Lz|bil****
mail|1164560069|Skw2Lz|hendrik-7-schulze@xxx
data|1164559857|n7SRkg|c****
mail|1164559854|n7SRkg|christian.schumacher@xxx

Hm.. ein Grund den Stecker zu ziehen? 🙂

StudiVZ – wann lernt ihr es endlich?

Schoen Gruss,
“Juergen Kuester”

Update: Vor 2 Minuten haben die Macher von StudiVZ nun ein Statement abgegeben. In ihrem Blog heißt es jetzt:

Alles wird gut

Liebe studiVZler,

liebe Blogger,

studiVZ hat heute um 12 Uhr einen Pishing-Angriff bemerkt und erfolgreich abgewehrt. Um die Datensicherheit von studiVZ für die Nutzer zu gewährleisten wurde die Seite offline geschaltet. Die Seite ist im Laufe des Abends wieder online.
Euer studiVZ Team

Ich werde das jetzt NICHT kommentieren. 😉

Donald Crowdis lebt in Toronto und ist mit seinen 92 Jahren wahrscheinlich der älteste Blogger der Welt, ganz sicher jedoch einer der ältesten. 1913 in Halifax geboren und immer noch aktiv, seit Mitte dieses Jahres auch mit seinem eigenen Blog Don to Earth online.

Ich finds wirklich beeindruckend, wenn jemand in so hohem Alter diesen Dingen noch so aufgeschlossen gegenüber steht und auch deshalb wird er sicherlich von mir ein paar Geburtstagsgrüße zu seinem 93. bekommen, den er am 24. Dezember feiert. Die bekommt er aber natürlich auch, weil man schon ziemlich angeschmiert ist, wenn man ausgerechnet an Heiligabend Geburtstag hat 😉

via Napolux

Und es geht doch noch etwas älter: Allan Lööf aus Schweden ist 94 – und bloggt ebenfalls. Allerdings auf schwedisch…

via Quick online tips

Man findet doch immer wieder den einen oder anderen Webmaster oder Blogger, der bis heute den Sinn des Internets nicht begriffen hat. Aktuelles Beispiel:

Aus welchem Blog stammt wohl dieses Bildzitat? Ich gebe Euch einen kleinen Tipp – Dieses Blog fällt durch 2 Dinge auf: Dieser Blogger spamt derzeit in den Kommentaren unterschiedlichster Blogs und hinterlässt dort Links zu seinem Weblog (inkonsequent? Nein…ach was…) und hat sich zudem der moralischen Überwachung der deutschen Blogosphäre verschrieben.

Na, wer kommt als erstes dahinter?