Love Scam – die fiese Masche der Liebesbetrüger | Servicezeit | WDR
Auf der Computer Security Conference in Las Vegas, die nächste Woche stattfindet, demonstrieren die Forscher die von ihnen entwickelte Software, die Online-Zugangsdaten von Benutzern beliebter Websites wie Facebook, eBay und Google stehlen kann.
Der Angriff beruht auf einer neuen Art von Hybrid-Datei, die für verschiedene Programme unterschiedlich aussieht. Indem sie diese Dateien auf Websites platzieren, die es Benutzern erlauben, ihre eigenen Bilder hochzuladen, können die Forscher Sicherheitssysteme umgehen und die Konten von Web-Surfern übernehmen, die diese Sites verwenden.
"Wir konnten ein Java entwickeln Applet, dass in jeder Hinsicht ein Bild ist ", sagte John Heasman, Vizepräsident der Forschung bei NGS Software.
Sie nennen diese Art von Datei ein GIFAR, eine Kontraktion von GIF (Graphics Interchange Format) und JAR (Java Archive), die zwei Dateitypen, die gemischt sind. Bei Black Hat zeigen die Forscher den Teilnehmern, wie sie das GIFAR erstellen und dabei einige wichtige Details weglassen, um zu verhindern, dass sie sofort bei einem umfassenden Angriff verwendet werden.
Die Datei sieht auf dem Webserver genau wie eine GIF-Datei aus. Die Java Virtual Machine eines Browsers öffnet sie jedoch als Java-Archivdatei und führt sie dann als Applet aus. Das gibt dem Angreifer die Möglichkeit, Java-Code im Browser des Opfers auszuführen. Seinerseits behandelt der Browser dieses bösartige Applet so, als sei es von den Entwicklern der Website geschrieben worden.
So würde ein Angriff funktionieren: Die bösen Jungs würden auf einer dieser populären Websites - Facebook zum Beispiel - ein Profil erstellen - und laden Sie ihre GIFAR als Bild auf der Website hoch. Dann würden sie das Opfer dazu verleiten, eine bösartige Website zu besuchen, die dem Browser des Opfers mitteilen würde, dass er das GIFAR öffnen soll. Zu diesem Zeitpunkt würde das Applet im Browser laufen und den Bösewichten Zugriff auf das Facebook-Konto des Opfers geben.
Der Angriff könnte auf jeder Site funktionieren, die Benutzern das Hochladen von Dateien ermöglicht, möglicherweise sogar auf Websites, die zum Hochladen verwendet werden Fotos von Bankenkarten oder sogar von Amazon.com, sagen sie.
Da GIFARs von Java geöffnet werden, können sie in vielen Browsern geöffnet werden.
Es gibt jedoch einen Haken. Das Opfer müsste auf der Website angemeldet sein, auf der das Image für den Angriff gehostet wird. "Der Angriff wird am besten funktionieren, wo immer du dich für lange Zeit eingeloggt bleibst", sagte Heasman.
Es gibt eine Reihe von Möglichkeiten, wie der GIFAR-Angriff vereitelt werden könnte. Websites könnten ihre Filterwerkzeuge verbessern, damit sie die Hybriddateien erkennen können. Alternativ könnte Sun die Java-Laufzeitumgebung straffen, um dies zu verhindern. Die Forscher erwarten, dass Sun nicht lange nach dem Black Hat-Gespräch eine Lösung findet.
Forscher sagen jedoch, dass zwar ein Java-Fix diesen einen Angriffsvektor deaktiviert, das Problem, dass bösartige Inhalte in seriösen Web-Anwendungen platziert werden größere und dornigere Ausgabe. "Es wird andere Wege geben, dies mit anderen Technologien zu tun", sagte GIFAR-Entwickler Nathan McFeters, ein Forscher des Advanced Security Centers von Ernst & Young.
"Langfristig müssen Web-Anwendungen die Kontrolle übernehmen der Inhalt ", sagte McFeters. "Es ist ein Web-Anwendungsproblem. Die Java-Attacke, die wir gerade benutzen, ist nur ein Vektor."
Er und seine Mitstreiter haben ihren Vortrag "Das Internet ist kaputt" betitelt.
Letztendlich werden Browser-Hersteller haben "Um auch grundlegende Änderungen an ihrer Software vorzunehmen", sagte Jeremiah Grossman, Chief Technology Officer von White Hat Security. "Es ist nicht so, dass das Internet kaputt ist", sagte er. "Die Browser-Sicherheit ist kaputt. Browser-Sicherheit ist wirklich ein Oxymoron."
Kann jemand meine Windows-Produkt-ID stehlen?
Ahmed Olatunde fragt sich, ob jemand seine Windows-Produkt-ID von dem Aufkleber auf seinem Laptop kopieren und verwenden kann um Windows auf einem anderen Rechner zu installieren.
AT & T hat letzten Freitag Abend Twitter benutzt, um bekannt zu geben, dass ein generalüberholtes iPhone 3G - speziell das schwarze 8GB Modell - jetzt für nur 49 US $ abgeholt werden kann, solange der Vorrat reicht. Das ist der halbe Preis eines ungeöffneten 8GB-Modells. Ein generalüberholtes 16GB iPhone 3G (schwarz oder weiß) kostet 99 $.
Dies könnte eine gute Option sein, wenn Sie nach einem 3G-fähigen iPhone suchen, sich aber nicht nach den schnelleren Spezifikationen und der verbesserten Kamera des neuen iPhone 3GS sehnen. Sie müssen sich jedoch trotzdem für einen Zweijahresvertrag registrieren.
Bewertung: Das Blurity-Photo-De-Unschärfe-Dienstprogramm versucht, CSI einen Schritt näher an das wirkliche Leben zu bringen handliches Dienstprogramm bietet eine einfache Schnittstelle für das Reparieren der Fotos, die durch Bewegungsunschärfe beschädigt werden. Es funktioniert nicht immer, aber es ist einen Versuch wert, wenn Sie ein wichtiges Foto durch Unschärfe getrübt haben.
Die Idee, ein verschwommenes Foto zu machen und es wieder scharf zu machen, klingt aufregend. Wie die Spracherkennung ist es eine der technologischen Visionen, die erst vor wenigen Jahren fest in die Welt der futuristischen Fantasy gehörten. Aber während leistungsstarke, zuverlässige Spracherkennung hier ist, hat Bild-De-Unschärfe noch einen langen Weg vor sich. Blurity ($ 49, Demo mit Wasserzeichen) ist ein Dienstprogramm, das versucht, einen Weg in das schwierige Feld zu ebnen, und es kann bes