kompromittierende | dating-mitgliederdaten

gestern wurde eine dating-webseite gehackt, ich vermute, es war whatsyourprice.com. dahinter steckt brendon wade, der eine dating-webseite nach der anderen in die welt setzt. ich hatte nie davon gehört, lese aber, dass wades ideen gern mit einer modernen form der prostitution in verbindung gebracht werden. man buhlt um den ausgeh-partner, indem man geld bietet, wie bei einer auktion. kann sein, dass es bestimmte leute genervt hat, wie hier mit liebe umgegangen wird. jedenfalls wurde eine seite mit “…your…com” auseinandergenommen, mittels eines alten tricks namens SQL-injection, also einem datenbankangriff. die gruppe, die das erledigt hat, nennt sich siph0n, anstelle des o eine null. so sieht der begrüßungstext des vorhin veröffentlichten hacks aus, mit der ankündigung, es werden weitere daten folgen:

siph0n-hack-datingWebsite

ich habe mal markiert, was hier geleakt wird: die mitgliedsnummer (rot), die email-adresse (in ocker), das passwort zum einloggen in die seite (in grüngelb) und der mitgliedername (grün). angeblich sind 23.647 namen ausgelesen worden; als beweis liefert die gruppe zwei seiten mit diesen empfindlichen daten, rund um den buchstaben l. die unkenntlichmachungen sind von mir; in den dokumenten ist alles schön klar zu lesen:

siph0n-hack-datingWebsite_details

mit diesen daten kann man sich versuchen, in die dating-seite einzuloggen; es würde mich allerdings wundern, wenn das ginge, denn sicher hat sie wind davon bekommen und die passwörter zurückgesetzt. man kann davon ausgehen, dass viele mitglieder dieselben passwörter auch für andere dienste nutzen, vielleicht für ebay oder online-banking. ich habe testweise eine email-adresse in den browser eingegeben und fand sofort ein bild der frau bei instagram. sie macht schulungen in skype und heißt bei dem dating-portal … [sag ich jetzt nicht]

paerls statt pearls | böser word-anhang

cisco_paerl_sec2analyse eines phishing-angriffs für ein microsoft word dokument (quelle: cisco, craig williams)

microsoft word ist seit vielen jahren nicht mehr in den schlagzeilen in sachen viren. als microsoft für WORD → makros einführte, also möglichkeiten, bestimmte tätigkeiten zu automatisieren, zeigte sich schnell, dass vermeintlich liebe makros auch böses tun können. das thema ist so weit vergessen, dass heutzutage bewusste email-leser zwar pdf- oder exe-anhänge nicht öffnen, einen word-text vielleicht aber schon.

der größte netzwerkelektronikhersteller der welt, cisco, hat ein großes interesse, solche angriffe von seinen lieben, zahlenden kunden in den banken, versicherungen und telekoms fernzuhalten und analysierte jetzt einen solchen microsoft word makro-virus. er funktioniert so, dass der empfänger eine mail erhält, dem ein doc angehängt ist. öffnet er diese textdatei, sieht er nur einen hinweis, er soll bitte die makro-ausführung erlauben, denn sonst könne der text nicht angezeigt werden. spätestens hier sollten die alarmglocken läuten. erlaubt man dem dokument die ausführung seines makros, ruft diese programmierroutine den besuch eines öffentlichen dropbox-links auf, wo eine exe-datei liegt. diese datei wird dann ohne weiteres zutun des anwenders ausgeführt. sie enthält den eigentlichen schadcode und tut dann das, was der herr ihr befiehlt. im IT-jargon: das programm nimmt kontakt mit dem “bösen” server auf und empfängt dann befehle, was zu tun ist. im einfachsten fall werden passwörter abgegriffen, im komplexeren fall nimmt die datei an einem konzertieren angriff auf bestimmte webseiten teil (DNS-angriff).

das angriffsszenario spielt mit einem tippfehler: statt pearls.co.uk steht hier paerls.co.uk als eine webadresse.

ich poste das hier, weil ich a) vor den WORD-anhängen unbekannter absender warnen und b) zeigen möchte, wie eine analyse solch eines infektionswegs vor sich geht. sehr detailliert. → hier im cisco blog nachzulesen. nach langem suchen nach querverbindungen kommt am schluss ganz nebenbei bei einer entschlüsselung das hier raus (es ist für den fall völlig irrelavant, aber für die welt der black hat hacker typisch):

thisshitismoresafethanpentagonfuckyoufedsbecausethisisaf.com/image.php

einen tag, nachdem ich das schrieb, bekam ich selbst mal wieder einen doc-anhang von unbekannt. der spam-filter meines mail-providers griff in diesem fall direkt zu und stellte die email in den ordner mit spam-verdacht.

vorsicht_doc-dateiinhalt des spams mit angehängtem virus: hinweis auf DOC-datei und falsche umlaute. alles verdächtig.

auffällig war, dass das adressaten-feld leer war. da müsste ja eigentlich meine mailadresse stehen. von spammer-seite her gut gewählt war der titel der mail:

ELSTER Finanzamt 2014. Ident 1660346.

und der anhang war natürlich so verdächtig, dass man keinen zweiten gedanken auf ihn verschwenden musste: eine nur 26,3 kB große zip-datei mit dem namen

order_68.zip

in diesem zip-archiv steckt das besagte word-dokument drin, ziemlich sicher (ich will gar nicht soweit nachsehen) mit einem bösen makro.

big brother und der computer virus | the times 1984

Stephen Johnson- Ben Knox - Hackers - 1984the times 1984: computerviren spähen uns aus!

mit der verbreitung der PCs ab 1984 kamen die ersten viren auf, und das wort “hacker” machte erstmals die runde. hier in einem sehr besorgt klingenden artikel von ben knox in der londoner times, illustriert von stephen johnson. als besonderen schwachpunkt gibt der autor die telefonleitungen an, über die die meisten datenverbindungen damals liefen. nachzulesen in der times vom 17. juli 1984, seite 20.