08.01.2004 14:05
FBI setzt Spammer-Methoden zur Strafverfolgung ein
Einer Diskussion auf der Mailing-Liste Full-Disclosure zufolge hat das amerikanische FBI kürzlich Spammermethoden bei der Verfolgung eines Erpressers eingesetzt. Durch das Versenden so genannter Web-Bugs zusätzlich zu anderen Methoden konnte sie im Rahmen der Ermittlungen die Identität des Täters verifizieren. Der 25-jährige Thomas E. Ray III hatte das Unternehmen Best Buy mit E-Mails unter einem gefälschten Absender erpresst: Er drohte damit, eine Schwachstelle in deren Computersystem bekannt zu machen, wenn ihm nicht 2,5 Millionen US-Dollar gezahlt würden. Best Buy wandte sich daraufhin an das FBI, das mit Web-Bugs manipulierte E-Mails an den Täter zurücksandte. Beim Ansehen der Mail nahm dann der PC des Erpressers Kontakt mit einem FBI-Server auf.
Als Web-Bugs bezeichnet man in HTML-Mail eingebettete grafische Objekte, die der Mail-Client beim Anzeigen der Mail von einer Webseite nachlädt. Die Bilder sind meist nur 1 x 1 Pixel groß:
<IMG
src="http://webseite.net/bild.gif" width=1 height=1 border=0>
Da der Mail-Client beim Nachladen des Bildes eine normale HTTP-Verbindung aufbaut, überträgt er dabei auch die eigene IP-Adresse, den Browsertyp und andere Daten. Mit Skripten auf Servern und einer manipulierten Bild-URL kann man automatisch registrieren, ob der Empfänger die Nachricht angeschaut an:
<IMG SRC="http://webseite.net/cgi-bin/skript?x=spamid">
Prinzipiell lässt sich mit dieser Methode auch Scripting-Code nachladen und im Kontext des Anwenders ausführen. Bislang setzten Spammer diese Methode häufig ein, um E-Mail-Adressen auf ihre Gültigkeit zu verifizieren und zu sammeln. Prinzipiell sind alle E-Mail-Clients davon betroffen, die HTML-Mail unterstützen. Damit eine Mail "nach Hause telefoniert", reicht es aus, sie in der Vorschau anzusehen. Auch das Anwählen, um sie zu löschen, genügt zur Kontaktaufnahme. Anwender sollten die Anzeige von HTML-Mails deaktivieren. In einigen Mail-Clients kann man das Nachladen von Bildern bei HTML-Mails explizit unterdrücken.
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
