Date sent:        24. Sept. 1998 
Subject:          Hoax-Info-Newsletter Nr. 4/98
Send reply to:    E-Mail-Adresse

Hoax-Info-Newsletter Nr. 4

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, "echte" E-Mail-Viren und ähnliches.

Zur Zeit wird eine deutschsprachige Hoax-FAQ erarbeitet, die dann Bestandteil dieses Newsletters wird. Unter FAQ versteht man eine Sammlung häufig gestellter Fragen (Frequently Asked Questions) sowie der Antworten auf diese Fragen.

Bitte besuchen Sie einstweilen die WWW-Seite http://hoax-info.tubit.tu-berlin.de/hoax/

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes.


Inhalt:

Die vierte Ausgabe des Hoax-Info-Newsletter beschäftigt sich in einer Nachlese nochmals mit Berichten über Sicherheitslücken in populären E-Mail-Programmen.
Ferner geht es um wirtschaftliche Schäden in Unternehmen durch Hoaxes und Kettenbriefe.
Schliesslich wird noch kurz auf zwei Hacker-Tools namens Back Orifice (BO) und NetBus eingegangen, die Windows-Rechner ausspionieren und durch Trojanische Pferde auch per E-Mail auf Ihre Rechner gelangen können.

  1. MS Outlook + Netscape Messenger
  2. Schaden durch Hoaxes und Kettenbriefe
  3. Hacker-Tools Back Orifice und NetBus

 

1. Bug-Fixes für MS Outlook Express und Netscape Messenger

Die in den beiden vorherigen Ausgaben dieses Newsletters angesprochenen Sicherheitsprobleme mit sehr langen Dateinamen bei Attachments (Dateianhängen) können durch sog. Fixes bzw. Updates beseitigt werden. Für die englischen Versionen der Programme wurde dies schon in der letzten Ausgabe behandelt.
Auch für Benutzer der deutschen Versionen gibt es jetzt Abhilfe.

Microsoft:
http://www.eu.microsoft.com/ie_intl/de/security/?/ie_intl/de/security/oelong.htm

Netscape:
Es ist inzwischen die deutsche Version von Netscape 4.06 erhältlich, ein einzelnes Update für das E-Mail-Modul Messenger gibt es nicht.

Es sind nur die Windows-Versionen betroffen und nur für Windows gibt es derzeit eine deutsche Version 4.06.

http://home.netscape.com/download/index.html

Wenn der Server von Netscape zu langsam ist (bzw. Ihre Verbindung dorthin), versuchen Sie es doch zur Abwechslung mal hier:

http://hoax-info.tubit.tu-berlin.de/software/netscape.shtml

2. Wirtschaftliche Schäden durch Hoaxes und Kettenbriefe

Hoaxes richten in grösseren Unternehmen und Institutionen in ernstzunehmendem Umfang wirtschaftliche Schäden an. Wenn Sie Administrator oder Support-Mitarbeiter in einem grösseren, ans Internet angeschlossenen Netzwerk sind, wissen Sie sicher schon, was ich meine.

Die Support-Hotlines von Herstellern und Anbietern von Antivirus- und Sicherheitssoftware werden mit Anfragen besorgter Empfänger und/oder deren Admins überflutet.

Genauere Szenarien folgen in einer der nächsten Ausgaben, für heute nur soviel:

Stellen Sie sich ein Unternehmen vor, das mehrere hundert EDV-Arbeitsplätze mit E-Mail-Möglichkeit hat. Stellen Sie sich ferner vor, 10% dieser Mitarbeiter erhalten einen Hoax per E-Mail (oder Fax oder SMS (sic!)).
Der Hoax sagt: 'Schalten Sie sofort Ihren Rechner aus -- er ist mit dem Virus XY infiziert!'.
Sie können davon ausgehen, dass zwischen 10 und 50% der Benutzer prompt ihren Rechner ausschalten -- natürlich ohne ihre gerade bearbeiteten Dokumente zu speichern, die Anwendungen zu schliessen und den Rechner herunterzufahren.

Exkurs:
Man spricht hier von 'social engineering'. Durch Suggestion werden Menschen dazu gebracht, spontan Dinge zu tun, die sie aus eigenem Antrieb oder nach 1/2 min Nachdenken nie tun würden. Das funktioniert auch im Alltag (z.B. in der Werbung).

Die anderen schicken die Mail an mind. 10 weitere Kollegen, Freunde, Bekannte und an den Administrator und das User-Support-Team. Erstere tun wiederum das gleiche, usw.
Rechnen Sie das mal hoch und setzen Sie einfach nur 2 min. Arbeitszeit für das Lesen jeder Kopie dieser Mail an und dazu die Arbeitszeit von Admins und Support-Leuten.
Dazu kommt die Zeit, die für das Wiederherstellen der Daten (bzw. deren Neueingabe) bei den spontan ausgeschalteten Rechnern benötigt wird.
Multiplizieren Sie dies mit den Kosten für eine Arbeitsstunde (Gehalt + Lohnnebenkosten).

Sie erhalten je nach Zahl der Benutzer einen erschreckend hohen DM-Betrag. Dabei ist noch nicht berücksichtigt, wieviel Geld der Firma dadurch verloren geht, dass diese Leute in dieser Zeit keine produktive Arbeit geleistet haben und womöglich wichtige Daten verloren gegangen sind.

Ähnliche Probleme bereiten Kettenbriefe. Mehr darüber können Sie auf der Hoax-WWW-Seite an der TU Berlin lesen.

Derzeit gibt es noch keine handlichen Lösungen, diese Mails gar nicht erst zu den Benutzern gelangen zu lassen oder wenigstens nach der ersten Welle die weitere Verbreitung innerhalb der Firma zu stoppen. Für letzteres gibt es aber schon Ideen und Ansätze, die derzeit geprüft und dann implementiert werden. Bis dahin müssen wir alle weiterhin auf Information und den gesunden Menschenverstand setzen (o weh!).

3. Hacker-Tools: Back Orifice und NetBus

Der Trend in der Antivirus- und Security-Branche geht auf Grund der aktuellen Entwicklungen immermehr in die Richtung, nicht mehr (nur) von Viren zu sprechen, sondern vielmehr von Malware ('böse Software') oder 'malicious code'.

In diese Kategorie fallen u.a. Hoaxes und Hacker-Tools wie 'T-Online Power Tools' (TPT), 'Back Orifice' und 'NetBus'.

Da dies eigentlich nicht mehr viel mit E-Mails zu tun hat, wird dieses Thema hier nur kurz angerissen, weil diese Programme natürlich -- wie jedes andere auch -- als Attachment einer E-Mail auf Ihren Rechner gelangen können.

Führen Sie also Programme, die Sie unaufgefordert auf diesem Wege erhalten, nicht aus, ohne sie genau geprüft zu haben.
Sie werden gerne als überaus nützliche Utilities (Hilfsprogramme) dargestellt, enthalten aber u.U. einen Trojaner, der BO oder andere Malware auf Ihrem Rechner installiert.

Die bis Anfang dieses Jahres verteilte Version von TPT enthält tatsächlich nützliche Hilfsprogramme, aber auch Programmcode, der T-Online-Zugangs-Daten ausspionierte und bei der Online- Registrierung von TPT diese an die Autoren übermittelte.

Mehr über den 'T-Online-Hack' auf der Hoax-WWW-Seite an der TU Berlin.

Die Autoren von TPT haben dies inzwischen öffentlich gemacht und diesen Teil des Programmcodes aus TPT entfernt. Aktuelle Versionen sollen also 'sauber' sein.

Die beide anderen Programme nisten sich versteckt in Windows-Rechnern ein (sie tarnen sich als System-Dienste, tauchen in der Task-Liste nicht auf) und können dann einem Angreifer von aussen nahezu beliebige Informationen über den Wirtsrechner übermitteln (bishin zur Protokollierung von Tastenanschlägen).

Sie können sich das vorstellen wie eine Fernwartungssoftware (pcAnywhere, CarbonCopy,..). Für diesen Zweck könnte man sie im Prinzip sogar nutzbringend einsetzen. ;-)

Während Back Orifice nur unter Windows 9x (95/98) läuft, kann das weitaus unbekanntere NetBus auch NT-Rechner kompromittieren.

Die aktuellsten (!) Versionen der besseren Antivirus-Applikationen enthalten inzwischen Routinen zur Erkennung dieser Spionage-Tools. Ferner gibt es im Internet verfügbare Programme, die auf die Erkennung und Entfernung von BO spezialisiert sind. Nicht alle taugen allerdings etwas.

Nähere Informationen (engl.) dazu finden Sie u.a. hier:
http://www.iss.net/xforce/alerts/advise5.html
http://www.iss.net/xforce/alerts/advise8.html (Update)
http://www.nwi.net/~pchelp/bo.html

Falls Sie Bedarf an Infos über BO und NetBus in deutscher Sprache haben, schreiben Sie mir (E-Mail-Adresse). Ich werde dann eine Zusammenfassung in die nächste Ausgabe des Newsletters aufnehmen oder falls ich bis dahin eine geeignete Quelle gefunden haben sollte, diese angeben.

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber


Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright TU Berlin, Frank Ziemann, 1998, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors.


Wenn Sie den Hoax-Info-Newsletter abbestellen möchten, schreiben Sie eine E-Mail an

  majordomo@zrz.tu-berlin.de

Das Betreff- (Subject-) Feld können Sie leer lassen oder irgendwas hineinschreiben, es wird nicht ausgewertet. In den eigentlichen Text der Mail (Body) schreiben Sie genau zwei Zeilen:

  unsubscribe hoax-info [e-mail-adresse]
  end

Die Angabe der E-Mail-Adresse ist nur nötig, wenn sie von der Absender-Adresse abweicht und sollte dann ohne die []-Klammern erfolgen.


Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.tubit.tu-berlin.de/hoax/
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]