Google Online Security Blog: Phishers and Malware authors beware!

Google Online Security Blog: Phishers and Malware authors beware! Google hat die Safe Browsing API öffentlich verfügbar gemacht und läutet damit eine neue Runde im Kampf gegen Online-Bedrohungen ein. Brian Rakowski und Garrett Casto vom Google Online Security Blog zufolge befindet sich die veröffentlichte API zwar noch im "experimental" Stadium, allerdings kann man annehmen, dass das Interesse der Entwicklergemeinde schon in dieser Phase recht groß sein wird. Ebenso groß wie die Aufmerksamkeit etablierter Anbieter von Sicherheitslösungen, die um das wichtige Geschäftsfeld der Web Threats bangen.

A new Level!

Heute hat Google seine Safe Browsing API öffentlich zugänglich gemacht. Die API erlaubt es Entwicklern Googles Phishing und Malware Blacklist zu nutzen und so Anwendungen zu erschaffen, die den Benutzern mehr Sicherheit vor gefährlichen Websites bieten.

Schon vor einigen Wochen wurde Firefox mit der entsprechenden Funktionalität ausgerüstet, was einige Anbieter von Sicherheitslösungen, wie McAfee (SiteAdvisor) und Trend Micro (TrendProtect) etc. aufhorchen ließ. Jetzt ist Google in die nächste Runde gestartet.
Es bleibt allerdings abzuwarten, wie die API von der Entwicklergemeinde angenommen wird und welche Auswirkungen auf den Umgang mit Online Bedrohungen das Angebot im Rahmen von Googles Online-Sicherheitsinitiative haben wird.

Originally posted im OpenSecurityCLUB Blog

Google Developer Guide zur Safe Browsing API

Google Online Security Blog: Phishers and Malware authors beware!

Weiter Informationen auf OpenSecurityCLUB

Web Threats Unleashed

Am letzten Wochenende wurde einige 1000 europäische Webserver (hauptsächlich in Italien) dazu missbraucht, nichtsahnenden Besuchern, Malicious Code unterzujubeln.
Dabei handelte es sich hauptsächlich um harmlose Websites wie Reise-/Touristik- oder Kino-Seiten.

In den entsprechenden Webseiten wurde eine I-Frame eingefügt, der von einem weitereen Server bösartigen Code nachgeladen hat. Auf diesem Server wurde das Web-Exploit-Toolkit MPACK ausgeführt, das automatisch Betriebssystem und Browser des Oper-Rechners erkennt und auf bekannte Sicherheitslücken und Schwachstellen untersucht. Dabei konzentriert sich das Tool nicht nur auf den Internet Explorer, sondern versucht ebenso ungepatchte Lücken in anderen Browsern wie Firefox oder Anwendungen wie QuickTime etc. auszunutzen.

Offensichtlich wird versucht auf diese Weise an eine große Menge von Bankkonto-Zugangsdaten etc. zu gelangen. Außerdem wird ein Keylogger installiert, um vertrauliche Daten auszuspähen.

Man geht davon aus, dass bereits mehrere 10000 Rechner infiziert wurden.
Wieviel materieller Schaden bereits angerichtet wurde, ist nicht bekannt.
Einige Anbieter von Sicherheitslösungen haben zeitnah über die Epidemie/Attacke berichtet und scheinen sich über die Tragweite des Web Threat Angriffs bewußt zu sein (Websense, Trend Micro), die Mehrzahl der Anbieter scheint jedoch überfordert, um adequat darauf zu reagieren zu können geschweige denn pro-aktive Schutzmaßnahmen anbieten zu können.

Diese Attacke, im Blog von Trend Micro wird sie schlicht "The Italian Job" genannt, ist ein deutlicher Beweis, welchen Schaden Web Threats anrichten können und welchen Stellenwert sie in zukünftigen Sicherheitsüberlegungen spielen müssen.

Beitrag original gepostet auf www.opensecurityclub.com

Weitere Infos unter heisec.de

Virtualisierung ist kein Sicherheits-Allheilmittel

Tavis Ormandy vom Google Security Team hat einen neuen Beitrag zum Thema Virtualisierung und Sicherheit im Goolge Security Blog gepostet. Darin stellt er die Sicherheit von Virtuellen Maschinen in Frage.

Virtuelle Maschinen gelten gemeinhin als undurchdringbare Barrieren zwischen Host und Gastsystem. Aus diesem Grund werden sie oft in Sicherheitsumgebungen eingesetzt, um Malware wie Viren, Würmer etc. in einer Sandbox analysieren zu können.

Virtuelle Maschinen sind komplexe Anwendungen mit einer riesigen Codebasis. Genau hier setzt Tavis Ormandy an und unterstellt, dass komplexe Systeme niemals fehlerfrei sein können. Leider sind das keine bloßen Behauptungen, sondern er belegt diese These in seiner Studie zum Thema Sicherheit von Virtuellen Machinen (An Empirical Study into the Security Exposure to Hosts of Hostile Virtualized Environments), die er auf der CanSecWest in Frühjahr 2007 präsentierte.
In dieser Studie führt er einige Schwachstellen von Virtuellen Maschinen auf, die Angreifer dazu nutzen könnten aus Gastsystem auszubrechen und in das Host-System einzudringen.
Anhand eines einfachen Tools (iofuzz) konnte nachgewiesen werden, dass die meisten, wenn nicht alle zur Zeit verfügbaren Virtuellen Maschinen Sicherheitsmängel aufweisen.
Die Ergebnisse seiner Untersuchung können als Proof-of-Concept betrachtet werden und zeigen in jedem Fall, dass weitere Forschung, wenn nicht sogar ein Überdenken des Sicherheitsmodells von Virtualisierungs-Architekturen angebracht sind.

In der Zwischenzeit ist man gut beraten grundlegende Sicherheitsrichtlinien zu befolgen. Um die Angriffsfläche für Hacker & Malware so klein wie möglich zu machen, sollten Features, Dienste und emulierte Devices die nicht gebraucht werden, deaktiviert werden. Alle Software sollte aktuell gehalten werden und möglichst wenig sollte mit root/admin Rechten ausgeführt werden.
Auf alle Fälle sollte man sich vor Augen führen, dass Virtuelle Maschinen kompromittierbar sind. Ein bewusster Umgang ist der Schlüssel zu mehr Sicherheit. Diese goldene Regel gilt auch für die Virtualisierung.

Original posting "Virtualisation Is No Security Panacea!" auf OpenSecurityCLUB. Der zugrundeliegende Artikel wurde ursprünglich unter dem Titel "Google Online Security Blog: On virtualisation" veröffentlicht.