Thema: Facebook ...

[SiLæncer]

Die Betrugsmasche missbraucht die "Gefällt mir"-Funktion. Sie basiert zudem auf Social Engineering. Hunderttausende haben am Wochenende ungewollt manipulierte Links auf ihren Profilseiten veröffentlicht.

Sophos hat vor einem neuen Angriff auf Facebook  gewarnt. Demnach haben Cyberkriminelle am vergangenen Wochenende die kürzlich eingeführte "Gefällt mir"-Funktion missbraucht, um Hunderttausende Nutzer des Sozialen Netzwerks per Clickjacking  dazu zu verleiten, Nachrichten mit manipulierten Links auf ihren Facebook-Seiten zu veröffentlichen.

Wie die meisten Betrugsmaschen basiert auch der neue Angriff auf Social Engineering. In Profilen von Freunden angezeigte Nachrichten wie "Dieser Mann nimmt seit acht Jahren täglich ein Bild von sich auf" oder "Dieses Mädchen wird verhaftet, nachdem die Polizei ihre Statusnachricht gelesen hat" sollen Nutzer dazu bringen, auf einen manipulierten Link zu klicken.

Der Link führt laut Sophos auf eine Webseite mit einem iFrame, die lediglich den Text "Click here to continue" enthält. Ein Klick irgendwo auf der Seite führe dazu, dass im Hintergrund und für den Nutzer nicht erkennbar die Schaltfläche "Gefällt mir" aktiviert und die Nachricht auf der eigenen Facebook-Seite veröffentlicht werde, so Sophos.

"Wer glaubt, dass er von der Attacke betroffen ist, sollte seine letzten Aktivitäten prüfen und die verdächtigen Nachrichten löschen", schreibt Graham Cluley, Senior Technology Consultant bei Sophos, in einem Blogeintrag. "Darüber hinaus sollte jeder sein Profil aufrufen und über den Tab 'Info' die Einträge unter 'Gefällt mir und Interessen' kontrollieren."

Technische Hintergründe des Angriffs, den Sophos nach dem "Like"-Button "Likejacking" nennt, beschreibt Cluley im Sophos-Blog. Laut Bitdefender ist Facebook über das Problem informiert und hat damit begonnen, die schädlichen Seiten zu entfernen.

Quelle : www.zdnet.de

[SiLæncer]

Derzeit breitet sich mal wieder ein Wurm rasant in Facebook aus. Ursache ist ein seit Wochen bekanntes Problem, das Facebook offensichtlich nicht in den Griff bekommt. Deshalb gibt es erneut eine Welle von manipulierten Status-Meldungen – diesmal zu einer Web-Seite, die angeblich "die heißesten Frauen der Welt" präsentiert.

Wer auf den Link klickt, landet auf einer recht neutralen Seite mit einem Bild von Jessica Alba und der Bitte "Click here to continue". Bis jetzt ist noch nichts böses passiert. Doch im Hintergrund hat die Web-Seite einen IFrame geöffnet, der diesen Link bei Facebook postet. Das funktioniert weil der Anwender beim Lesen seiner Nachrichten sowieso bei Facebook angemeldet ist. Allerdings ist normalerweise noch ein Klick auf den "Teilen"-Button erforderlich.

Der erscheint dann auch in dem IFrame – allerdings ist der komplett unsichtbar und ein wenig Skript-Code schiebt den Button immer genau unter die Maus. Egal wo man auf der Seite klickt, immer bestätigt man das Abschicken des Links. Der erscheint dann bei allen Facebook und weckt dann womöglich deren Neugier – und sei es nur aus Schadenfreude, um zu sehen worauf der Absender wohl reingefallen ist.

Erst im Quelltext entdeckt man den veräterischen Code.

Das grundsätzliche Problem ist bereits seit mehreren Wochen bekannt, und seit dem schwappen auch immer wieder Wurmwellen durch Facebook. Wer sich schützen will, kann zumindest bei Firefox die Erweiterung NoScript einsetzen. Die kann nämlich nicht nur JavaScript ausfiltern sondern sie entdeckt das Einschieben transparenter IFrames und warnt vor einem möglichen "Clickjacking Angriff" Allerdings treten dabei auch bisweilen Fehlalarme auf. Wer aus Versehen ungeschützt auf den Link geklickt hat, sollte in seinem Profil nachsehen, ob er ihn ebenfalls weiterverbreitet. Dort kann man ihn dann übrigens auch entfernen, um weiteres Unheil zu verhindern.

Quelle : www.heise.de

[SiLæncer]

Bots werden es künftig leichter haben, Facebook-Nutzer mit Spam und Phishing-Einladungen zu überhäufen. Grund ist ein neuer Crawler, mit dem sich die Namen und Links zu Facebook-Konten auslesen lassen. Ein 10-GByte-Datensatz mit 170 Millionen Links liegt Golem.de vor.

Das in Ruby geschriebene Script von Ron Bowes ist recht einfach. Aus dem offiziellen Facebook-Verzeichnis liest er die Namen und zugehörigen Links von Nutzerkonten aus. Davon gibt es mittlerweile weltweit rund 500 Millionen. Mit dem Crawler wurden von seinem Entwickler offenbar testweise US-Konten gesammelt - Ron Bowes ist laut seinem Blog Skullsecurity.org Nordamerikaner.

Die als Torrent-Datei zum Download angebotene Datei bringt es als um Dubletten bereinigter Datensatz mit 170 Millionen Account-Links auf 10 GByte. Es gibt weitere Dateien, in denen die Vor- und Nachnamen nach Häufigkeit sortiert sind und in denen einmalige Namen aufgelistet werden. Es dürfte kein Problem sein, mit einem leicht geänderten Crawler auch deutsche Facebook-Konten zu sammeln.

Um auch die Kontakte der Nutzer auszulesen, müssten deutlich mehr Daten verarbeitet werden, wozu der Entwickler des Crawlers derzeit keine Möglichkeiten hat. Pläne hat er trotzdem: "Ich würde das in der Zukunft angehen, wenn also irgendjemand Bandbreite zur Verfügung hat und spenden will, brauche ich nur einen ssh-Account und ein installiertes Nmap", so Bowes.

Private Daten auf Facebook werden durch den neuen Facebook-Crawler zwar nicht ausgelesen. Doch das damit erstellte "Facebook-Telefonbuch" kann als Ausgangspunkt für weitere Crawler und vor allem für Bots genutzt werden. Ein Beispiel sind Friend-Inviter, die in Verbindung mit eigens angelegten Facebook-Konten automatisch massenhaft Freundeseinladungen verschicken - etwa um dann Daten zu sammeln oder Werbung für etwas zu machen.

Es ist nicht das erste Mal, dass Nutzerdaten von Facebook und Co. ausgelesen werde. Soziale Netzwerke können sich gegen Sammelaktionen von öffentlichen Daten kaum schützen - vor allem dann nicht, wenn sie - wie Facebook - auch mit Suchmaschinenbetreibern wie etwa Google zusammen arbeiten. Immerhin müssen sich die Nutzer untereinander auch finden können. Zwar können sich Nutzer bei Facebook aus dem Suchindex ausblenden und Kontaktmöglichkeiten für Fremde deaktivieren, doch das erschwert gleichzeitig die Kontaktaufnahme.

Beim Schutz der nicht-öffentlichen Daten hat sich etwa Facebook-Konkurrent VZ Netzwerke (StudiVZ, SchülerVZ, MeinVZ) mehr ins Zeug gelegt als Facebook. Dennoch kann es seinen Nutzern nicht versprechen, dass sie komplett geschützt sind. Generell lässt sich das Auslesen von Daten aus sozialen Netzwerken - zumindest aus zentral organisierten - kaum verhindern. Einerseits weil sie eben vernetzen und andererseits, weil es bei manchen Nutzern ein Sport geworden ist, möglichst viele Kontakte zu sammeln, auch solche, die weder Freunde noch Bekannte sind.

Quelle : www.golem.de

[Jürgen]

Wenn es, wie es heisst, nur darauf ankommt, dass "irgendjemand Bandbreite zur Verfügung hat", dann ist das Server-System hinter FB grundsätzlich als primitiv bzw. mangelhaft anzusehen.
Es ist sicherlich nicht dienlich für den eigentlichen / vorgeblichen Zweck von FB, wenn irgendein angemeldeter Teilnehmer bzw. ein Rechner mit einer bestimmten IP auf mehr als z.B. zehn Profile anderer Teilnehmer pro Sekunde zugreifen kann.
Insbesondere kann auch gerne davon ausgegangen werden, dass kein Besucher mehr als z.B. 255 derartige Zugriffe pro Stunde erlaubt bekommen muss.
Ein einziges Byte als misuse counter umzuwidmen, das wird man ja wohl hinkriegen können...
Gegen verteilte Angriffe von Botnets gibt's bestimmt ebenfalls Mittel und Wege, weil auch diese nach gewissen Schemata vorgehen müssen, sofern sie irgendeine Art von Flächendeckung anstreben.

Wäre also eine derartige unaufwändige und sicher recht einfach einzubauende Begrenzung vorhanden, kann sich ja gerne jeder einmal ausrechnen, wie lange es dann dauern müsste, 170 Millionen accounts anzusteuern, um von da irgendetwas einzusammeln...

Auf prinzipiell ähnliche Art schützt man beispielsweise Diskussionsforen davor, von irgendwelchen Halbwilden mit Spam-Postings derartig geflutet zu werden, dass es kein Administratoren- bzw. Moderatoren-Team mehr schaffen könnte zeitnah aufzuräumen.

  
Meines erachtens sollte man an einem System, dass derartig wenig Wert auf elementaren Missbrauchsschutz legt, grundsätzlich nicht teilnehmen.
Mich kann dazu keiner bewegen.
Es gab ein Leben vor FB (& Co.), also geht's auch künftig ohne...
 
Well, maybe I am just wasting time beating a dead dog  

[SiLæncer]

Angreifer können über manipulierte Websites herausfinden, welchen Foren in sozialen Netzwerken ein Nutzer angehört – und daraus auf seine wahre Identität schließen.

Menschen werden oft nach ihrer Zugehörigkeit zu sozialen Gruppen kategorisiert – sei es nun Sportler, Computerfreak oder Hausfrau. Ähnlich läuft es auch bei unserer Online-Identität: Wer einen Account beim sozialen Netzwerk Facebook oder dem Business-orientierten Konkurrenten Linkedin besitzt, ist normalerweise Teilnehmer verschiedener Gruppen und Foren, die viel über die eigene Persönlichkeit aussagen können.

Forscher an der TU Wien, dem Eurecom-Institut und der University of California in Santa Barbara haben nun eine Methode entdeckt, mit deren Hilfe sich aus diesen Informationen Rückschlüsse auf die tatsächliche Identität eines Benutzers ziehen lassen. Angreifer könnten auf diese Art über eine manipulierte Website mit relativ einfachen technischen Tricks herausfinden, welchen Gruppen eine Person angehört und diese Daten dann für Identitätsdiebstahl oder personalisierte Angriffe nutzen.

Dabei kommt eine Technik zum Einsatz, die sich "History Stealing" nennt – der Angreifer saugt dabei Teile der im Browser abgespeicherten Verlaufsdatei ab, die die gesammelten Surftrips enthält. Werden darin nur genügend Gruppen aus bekannten sozialen Netzwerken entdeckt, lassen sich Rückschlüsse auf das Social Networking-Profil einer Person ziehen, das wiederum zumeist Klarnamen und andere wichtige Daten enthält. Das Programm, das die Forscher entwickelten, ist dabei erstaunlich erfolgreich – in 42 Prozent aller Fälle traf der Algorithmus das richtige Profil. Das bedeutet, dass ein sonst anonymer Nutzer persönlich identifiziert werden kann, wenn er nur eine entsprechend manipulierte Website besucht. Der unbekannte Surfer erhält einen Klarnamen, den Angreifer missbrauchen können.

"Der Browser fragt an, ob der Nutzer ein Mitglied der iPhone-Gruppe, der PC-Sicherheits-Gruppe oder der Gruppe XYZ ist. Macht man das häufig genug, lassen sich Schnittmengen bilden, die in vielen Fällen zur korrekten Identität einer Person führen", erläutert Gilbert Wondracek, Postdoc in Informatik an der TU Wien, der die Studie leitete.

Facebook, MySpace, Linkedin und andere große soziale Netzwerke veröffentlichen die Zugehörigkeit zu bestimmten Foren standardmäßig öffentlich. Doch es gibt noch andere frei auslesbare Attribute, die ebenfalls zur Identifizierung genutzt werden können, wenn sie in ausreichendem Umfang vorliegen: Facebook besitzt beispielsweise seit längerem einen "Like"-Knopf ("Ich mag das"), mit dem dargestellt wird, dass eine Person bestimmte Web-Angebote oder andere Inhalte mag.

Die meisten Menschen, die diesen Gruppen beitreten, wüssten nicht, dass dies auch ihre Privatsphäre gefährden könne, meint Elena Zheleva, die an der University of Maryland die Sicherheit sozialer Netzwerke erforscht. "Niemand denkt darüber nach, aber die Zugehörigkeit zu Gruppen und Foren ist ein Weg, über den Informationen zur Identität einer Person übertragen werden."

Das wäre eigentlich kein großes Problem, gäbe es nicht eine weitläufig bekannte Sicherheitslücke, mit der es einer Website möglich ist, zu überprüfen, ob sich bestimmte Links im Browser-Verlauf des Besuchers befinden. Zwar liegt beim History Stealing nicht die gesamte Surfgeschichte des Benutzers offen. Doch es kann problemlos im Ja/Nein-Verfahren gecheckt werden, ob ein Nutzer einen bestimmten Link besucht hat.

Ein Angreifer kann mit wenigen Codezeilen eine entsprechende Anfrage starten – so sind Tausende Links pro Sekunde überprüfbar. Er muss nur eine Datenbank mit genügend Möglichkeiten vorhalten. Wondracek und seine Kollegen zeigten dies unter anderen anhand des europäischen Business-Netzwerks Xing, indem sie den Browser-Verlauf auf entsprechende Gruppenseiten abfragten.

Jeremiah Grossman, Technikchef beim Sicherheitsunternehmen WhiteHat Security, nennt die Studie "ein perfektes Beispiel für einen History-Hack". Die meisten sozialen Netzwerke nutzten relativ einfache Web-Links für Gruppen, so dass Nutzer sie einfach miteinander teilen könnten, sagt Wondracek. "Social Networks können solche Angriffe nur schwer verhindern." Zwar könnten sie versuchen, die Gruppen-Adressen zu verschleiern. Doch verschlechtere dies eben die Nutzbarkeit.

Abhilfe könnten eigentlich nur die Browser-Hersteller schaffen. Sie beginnen gerade damit, das History Stealing über technische Einschränkungen zu erschweren – unter anderem lässt sich die Anzahl der Links, die pro Sekunde überprüft werden können, limitieren. Doch solange viele Menschen nicht mit den allerneuesten Browsern unterwegs sind, wird dieser Angriff weiter funktionieren. "Und das wird noch eine ganze Weile so bleiben", meint Grossman.

Quelle : http://www.heise.de/tr/

[SiLæncer]

Vorgestern wurden die IP-Adressen unzähliger Unternehmen mitgeschnitten, die sich am Download der gecrawlten 100 Millionen Facebook-Profile beteiligen. Die Liste klingt wie das „Who is Who“ der Industrie. Die PR-Abteilungen dürften sich über diesen Fund freuen, denn das Archiv umfasst im komprimierten Zustand nicht weniger als 2,79 Gigabyte Daten.

Kürzlich wurde eine Torrent-Datei mit 100 Millionen Facebook-Profilen auf diversen BitTorrent-Tauschbörsen veröffentlicht, die jemand mithilfe des Crawlers von Ron Bowes von Skull Security zusammengetragen hatte. Das Interesse an den Daten scheint ungebrochen zu sein. Da die IP-Adressen der Interessenten leicht auszumachen sind, konnte unlängst festgestellt werden, wer alles von der Industrie Interesse an diesen persönlichen Daten hat. Unzählige Firmen mit Rang und Namen sind dabei vertreten:

Code: [Auswählen]

A.C. Nielsen
Agilent Technologies
Apple
AT&T - möglicherweise Macrovision
Baker & McKenzie
BBC
Bertelsmann
Boeing
Cisco Systems
Cox Enterprises
Davis Polk & Wardwell
Deutsche Telekom
Disney
Duracell
Ernst & Young
Fujitsu
Goldman Sachs
Halliburton
HBO & Company
Hilton Hospitality
Hitachi
HP
IBM
Intel
Intuit
Levi Strauss & Co.
Lockheed-Martin Corp
Lucasfilm
Lucent
Lucent Technologies
Matsushita Electric Industrial Co
Mcafee
MetLife
Mitsubishi
Motorola
Northrop Grumman
Novell
Nvidia
O'Melveny & Myers
Oracle Corp
Pepsi Cola
Procter and Gamble
Random House
Raytheon
Road Runner RRWE
Scientology
Seagate
Sega
Siemens AG
SONY CORPORATION
Sprint
Sun Microsystems
Symantec
The Hague
Time Warner Telecom
Turner Broadcasting system
Ubisoft Entertainment
Unisys
Univision
USPS
Vereinte Nationen
Viacom
Vodafone
Wells Fargo
Xerox PARC
Dass sich die BBC aus Interesse die Daten herunterlädt, ist noch nachzuvollziehen. Fraglich ist aber beispielsweise, was Scientology oder die Vereinten Nationen damit anstellen wollen. Betrachtet man die Masse der Firmen, die am Transfer beteiligt sind, fällt auf: Die Daten hätte der Urheber des Archivs auch gewinnbringend an den Meistbietenden verkaufen können. Die Liste der Downloader muss natürlich nicht bis ins letzte Detail stimmen. Manche IP-Adressen wechseln ständig, möglicherweise haben einige Unternehmen ihre IP-Adresse verschleiert oder aber es hat dort jemand ohne Auftrag der Firmenleitung am Transfer teilgenommen. Vielleicht hätten sich die Beteiligten das Archiv besser unbemerkt bei einem Filehoster besorgt.

Manche Angaben in der Datensammlung scheinen aber weniger ergiebig zu sein. So sollen unter anderem diverse Statusupdates und Nachrichten des Spieles Farmville im Archiv enthalten sein. Wer das Paket auswerten will, sollte ein wenig Zeit mitbringen. Manche User des BitTorrent-Idexers The Pirate Bay waren über diesen Leak indes weniger begeistert: Sie konnten dort ihre eigenen Profile auffinden. Bei anderen hingegen hängte sich der Texteditor auf, weil die Dateien schlichtweg zu groß waren.

Wie auch immer. Beim Betrachten der Liste kommt einem der Slogan des neuesten Videos (siehe unten) von Filmemacher Alexander Lehmann hoch: „facebook - wir wollen dich doch nur kennenlernen“. Es ist nur eine Frage der Zeit, bis der nächste Leak veröffentlicht wird. Die PR-Agenturen dürften sich schon jetzt die Hände reiben.

Quelle : www.gulli.com

[SiLæncer]

Die öffentlichen Nutzerdaten von Facebook  sollen sich nicht nur über das Nutzerverzeichnis, sondern auch über die Sitemap gut auslesen lassen. Grund ist ein Versäumnis von Facebook.

Günter Grodotzki hatte bereits im April 2010 herausgefunden, wie sich der öffentliche Teil von Facebook-Profilen massenhaft auslesen lässt. Anders als der Crawler von Ron Bowes, dessen Blog derzeit unerreichbar ist, liest der Crawler von Grodotzki nicht das Facebook-Verzeichnis, sondern die Sitemap des sozialen Netzwerks aus. Das sei "viel einfacher", sagte Grodotzki Golem.de, obwohl auch damit nur so viele Daten auslesbar seien, wie es der Facebook-Nutzer zulasse.

Eine Sitemap ist eine XML-Datei mit allen URLs der Webseite, die von Suchmaschinen wie Google gecrawlt und indexiert werden sollen. Auf sie kann eigentlich nur von berechtigten Hostnamen zugegriffen werden. Darunter laut Grodotzki auch diejenigen, die sich als Googlebot ausweisen. Diesen Hostnamen fälschte Grodotzki und machte sich zu Nutze, dass Facebook sich nicht mittels Cross-Checking absichert. Letztlich sind dann alle die Daten auslesbar, die regulär von Google gesehen werden.

Schneller Auslesen

Durch das Auslesen der Sitemap ist umfangreiches Crawling ohne Captcha-Hürden möglich. Und das "mit einem viel höheren Datendurchsatz, da man es auch ausgeloggt durchführen kann und es wegen des gefälschten Hostnamen nicht auffällt", so Grodotzki.

Ausprobiert hat er das bereits, indem er laut eigenen Aussagen etwa 10 GByte an reinen XML-Dateien ausgelesen hat. Diese enthielten Links zu den Nutzerprofilen, Profilbildern, Gruppen, Pages und Kontakten. Um auch die Inhalte dieser URLs auszulesen, würden jedoch 2 Terabyte oder mehr Speicherplatz anfallen.

Das Auslesen von öffentlichen Daten aus sozialen Netzwerken lässt sich kaum verhindern. Auch der Facebook-Konkurrent VZ Netzwerke, wie Golem.de zugehörig zur Verlagsgruppe Georg von Holtzbrinck, sammelt auf SchülerVZ, StudiVZ und MeinVZ weiter Erfahrungen mit Crawlern.

Die mit Crawlern gewonnenen Profillinks haben durchaus einen Wert - sie können etwa Ziele für unerwünschte Werbung und Phishingversuche werden. Die persönlichen Daten bleiben den Bots und anderen allzu Neugierigen verborgen, sofern die Nutzer von den sinnvollen Einstellungen für mehr Privatsphäre Gebrauch machen.

Quelle : www.golem.de

[SiLæncer]

Ein neu entdeckter  Bug im Social Network Facebook sorgt derzeit für Aufsehen. Der vollständige Name und das Profilbild eines jeden Nutzers sind einsehbar, egal welche Einstellungen man für die Privatsphäre gewählt hat.

Die Schwachstelle liegt im Login-System. Gibt man bei der Anmeldung eine bestimmte E-Mail-Adresse in Kombination mit einem beliebigen Passwort ein, erscheint eine Meldung, in der man auf die fehlerhafte Eingabe hingewiesen wird. Gehört die E-Mail-Adresse zu einem Facebook-Mitglied, so werden dessen Name sowie sein Profilbild innerhalb dieser Meldung eingeblendet.

Die Schwachstelle lässt sich von jedermann ausnutzen, auch wenn er kein Mitglied bei Facebook ist. Facebook-Nutzer, die ihre Privatsphäre-Einstellungen so gewählt haben, dass sie nur von bestimmten Personen gefunden werden können, sind ebenfalls betroffen. In jedem Fall sind der vollständige Name und das Profilbild einsehbar.

Kriminelle könnten den Bug nutzen, um automatisiert eine Liste mit E-Mail-Adressen und den dazugehörigen Namen sowie Bildern anzulegen. Spam-Versender dürften daran Interesse haben, denn so können sie ihre "Kundschaft" mit dem echten Namen anreden.

Update

Nur 10 Stunden nach der Bekanntmachung der Sicherheitslücke auf der Mailing-Liste Full Disclosure hat Facebook das Problem beseitigt. Der Bug lässt sich inzwischen nicht mehr ausnutzen.

Quelle : http://winfuture.de

[SiLæncer]

Der "Dislike-Button" ist ein Feature, das die Facebook-Macher den Nutzern des sozialen Netzwerks trotz starker Nachfrage hartnäckig vorenthalten. Das machen sich Spammer zu Nutze, deren falsche "Dislike"-App sich derzeit wie ein Wurm über die Profile der Nutzer verbreitet. Facebook-Mitglieder können mit einem Klick auf "Like" oder "Gefällt mir" die Inhalte anderer Nutzer kommentieren. Eine entsprechende "Gefällt mir nicht"-Funktion bietet Facebook dagegen nicht an, obwohl sich viele Nutzer das wünschen.

Virenforscher warnen, die falsche Anwendung würde sich Zugriff auf die Profileinstellungen verschaffen. Das Sicherheitsteam von Facebook betont dazu erneut, das Nutzer nicht auf verdächtige Links klicken sollten. Anwendungen wie der falsche "Dislike"-Button verbreiten sich allerdings über die Profilnachrichten der Nutzer und wirken damit auf den ersten Blick unverdächtig. Klickt ein Nutzer in den Nachrichten eines Freundes auf einen entsprechenden Link und installiert die Anwendung, setzt diese mit einem Trick auf dem eignen Profil des Nutzers wiederum eine Nachricht mit dem Link ab.

Auch andere begehrte Funktionen, die es auf Facebook nicht gibt, werden von Spammern auf diese Art ausgenutzt. So sind schon wiederholt Pseudo-Apps aufgetaucht, mit denen Nutzer angeblich sehen können, wer ihr Profil besucht hat. Facebook betont, dass es diese Funktion nicht gibt und auch Anwendungen von Drittanbietern das nicht können.

Quelle : www.heise.de

[SiLæncer]

Facebook  hat eine Schwachstelle geschlossen, die Spammer Anfang der Woche ausgenutzt hatten, um unerwünschte Werbemails über das System zu verschicken. Dabei genügte es, dass ein Facebook-Nutzer auf einen Link in der Nachricht eines anderen Anwenders klickte, um Spam-Nachrichten automatisch an alle Freunde zu versenden.

Die Mails warben unter anderem für ein angebliches Gewinnspiel von Walmart und enthielten einen vorgeblichen Link zu einer Facebook-App. US-Medienberichten zufolge nutzen die beim Klick auf den Link geladenen und gestarteten Facebook-Apps eine Cross-Site-Request-Forgery-Lücke aus, um die Mails ohne Zutun des Anwenders zu versenden.

Quelle : www.heise.de

[SiLæncer]

Das Internet-Netzwerk Facebook  sieht sich neuen Vorwürfen ausgesetzt, gegen den Datenschutz zu verstoßen. Nach Recherchen der "Frankfurter Allgemeinen Sonntagszeitung" ermöglicht es der Onlinedienst, E-Mail-Kontakte von Nichtmitgliedern auszuforschen. Allein mit einer E-Mail-Adresse ließen sich – auch ohne das Passwort zu kennen – bis zu 20 Personen ermitteln, mit denen der Besitzer der Adresse Kontakt hatte. Dies sei möglich, weil bei der Eröffnung eines Mitgliedskontos nicht geprüft werde, ob es sich tatsächlich um den Besitzer der angegebenen E-Mail-Adresse handele.

Die Bundesregierung reagierte empört: "Die Aufdeckung dieser weiteren Schutzlücke zeigt, wie wenig Beachtung Facebook immer noch dem sorgsamen Umgang mit persönlichen Daten schenkt", teilte Justizministerin Sabine Leutheusser-Schnarrenberger (FDP) am Sonntag mit. Erst Anfang des Jahres sei die Datensicherheit bei Facebook von der Stiftung Warentest als mangelhaft bezeichnet worden. "Es wäre bereits schlimm genug, wenn sich hier um eine unbeabsichtigte Panne handelte – tatsächlich entspricht die Weitergabe persönlicher Daten aber offenbar einer Standardfunktion von Facebook."

Bundesverbraucherministerin Ilse Aigner (CSU) sagte der "Frankfurter Allgemeinen Sonntagszeitung": "Dass die Kenntnis einer E-Mail-Adresse ausreicht, um bei Facebook recherchieren zu können, mit wem jemand in Kontakt steht, der selbst Facebook gar nicht nutzt dies zeigt ein weiteres Mal, wie wenig Respekt Facebook vor der Privatsphäre der Internet-Nutzer hat." Aus ihrer Sicht reihe sich dieser Regelverstoß ein in eine ganze Reihe fragwürdiger Praktiken ein. "Es ist geradezu grotesk, wenn ein Netzwerk, das sich sozial nennt, sein Profitstreben permanent über die Privatsphäre seiner Mitglieder stellt."

Hamburgs Datenschutzbeauftragter Johannes Caspar sagte der Zeitung, es handele sich um "eine konsequente Folge davon, dass Facebook Daten über Nichtmitglieder sammelt. Das ist in der Tat ein großes Problem."

Leutheusser-Schnarrenberger plädierte für schärfere Datenschutzregelungen: "Die Rechte der Einzelnen, in eine Verwendung ihrer Daten einzuwilligen, muss deutlicher ins Datenschutzrecht aufgenommen werden." Sie werbe auch gegenüber dem zuständigen Innenminister Thomas de Maizière (CDU), "entsprechende Regelungen zügig in Angriff zu nehmen".

Facebook hat inzwischen weltweit mehr als 500 Millionen Mitglieder. Politiker und Datenschützer hatten das Netzwerk in der Vergangenheit immer wieder wegen des Umgangs mit der Privatsphäre seiner Mitglieder kritisiert und ihm Verstöße gegen den Datenschutz vorgeworfen. Deswegen hat auch Aigner ihre Mitgliedschaft bei Facebook beendet.

Quelle : www.heise.de

[SiLæncer]

Das rumänische IT-Sicherheitsunternehmen BitDefender analysierte das Malware-Aufkommen im Sozialen Netzwerk Facebook mit Hilfe der Applikation "safego". Das unerfreuliche Ergebnis: mittlerweile ist eine von fünf Nachrichten auf Facebook mit Malware-Links verseucht.

Weiterhin stellte man fest, dass rund 60% der bösartigen Links von Drittanbieter-Anwendungen verschickt wurden. Diese "Apps" werden über die Entwickler-Plattform von Facebook erstellt. Die meisten sind harmlose Spiele oder bieten zusätzliche Funktionalität. Allerdings wird diese Möglichkeit zunehmend auch von Online-Kriminellen genutzt. Die bösartigen Apps bieten Features wie beispielsweise Boni für beliebte Spiele wie "Farmville" an, um Benutzer zu überzeugen, die App zu installieren. Zu einiger Bekanntheit brachte es auch eine Malware-Kampagne, die zusätzlich zu der "like"-Funktion (deutsch: "gefällt mir") einen "dislike"-Button anbot.

Für die anderen 40% der Malware-Links sind vor allem Würmer und Phishing-Nachrichten verantwortlich.

Bei der App "safego", auf die sich BitDefender bei seiner Analyse stützt, handelt es sich um einen Malware-Scanner. Dieser überprüft die Pinnwand, privaten Nachrichten und Kommentare des Benutzers auf destruktive Inhalte. Die App wurde bisher rund 14.000 Mal heruntergeladen und scannte dabei über 17 Millionen Postings.

Andere Unternehmen wie beispielsweise WebSense, die ähnliche Tools für Facebook anbieten, berichten von Statistiken, die sich zwar von den von BitDefender vorgestellten unterscheiden, sich aber in einer ähnlichen Größenordnung bewegen. "Basierend auf dem, was wir sehen, enthalten ungefähr 40% aller Status-Updates eine URL und von diesen sind etwa 10% Spam oder bösartig," so Patrik Runald von WebSense.

Quelle : www.gulli.com

[SiLæncer]

Facebook-Nutzer, die versuchen, sich unter facebook.de bei Facebook anzumelden, erhalten eine Warnung. Das verwendete SSL-Zertifikat passt nicht.

Das für facebook.de hinterlegte SSL-Zertifikat ist auf die Domain facebook.com und www.facebook.com ausgestellt. Wer versucht, sich über die deutsche Website bei Facebook anzumelden, wird vor einem ungültigen Zertifikat gewarnt.

Je nach Browser wird die Anmeldung unter facebook.de blockiert. Firefox beispielsweise warnt: "Dieser Verbindung wird nicht vertraut". Die Anmeldung unter facebook.com läuft dementsprechend ohne Fehlermeldung ab und ist daher im Zweifel vorzuziehen.

Quelle : www.golem.de

[SiLæncer]

Am vergangenen Wochenende rückte ein neuer Facebook-Wurm in den Fokus von Sicherheitsexperten. Der Schädling verbreitete sich über ein angebliches Bildbetrachtungs-Programm, der in Wirklichkeit den Schadcode enthält. Mittlerweile hat die Facebook-Sicherheitsabteilung reagiert und die verseuchte Application entfernt.

Infiziert wurden die Opfer über eine Nachricht eines ihrer Freunde, die zu einem Link auf "app.facebook.com/CENSORED" führte. Beim Besuch der URL wurde der Virus in vielen Fällen automatisch - ohne aktives Zutun des Benutzers - heruntergeladen. In den anderen Fällen erschien eine Dialogbox mit dem Inhalt, das betreffende Foto sei verschoben worden und man solle zum Ansehen des Fotos auf den mit "View Photo" beschrifteten Button klicken. Dieser Klick lud dann ebenfalls den Wurm herunter.

Bei der installierten Malware handelte es sich um den als "W32/Palevo-BB" bekannten Schädling (von Kaspersky wird dieser als "IM-Worm.Win32.Yahos.jh" bezeichnet). Dieser befällt Windows-Rechner.

Facebook reagierte mittlerweile. Die bösartige Anwendung, über die sich der Virus verbreitete, wurde aus dem Sozialen Netzwerk entfernt. Somit scheint die Epidemie zumindest momentan gestoppt zu sein.

Die Verbreitung von Viren über Multimedia-Dateien wie Bilder, aber auch Videos und Tondateien, ist ein bekannter und beliebter Trick von Cyberkriminellen. Gerade der Trick, angebliche Zusatz-Software oder Codecs vom Benutzer herunterladen zu lassen, ist bereits seit Jahren verbreitet. Hintergrund-Informationen zu diesem Thema lieferte beispielsweise Dr. Alexandr Yampolskiy auf der IT-Sicherheitskonferenz DeepSec in seinem Vortrag "Malware goes to the Movies".

Quelle : www.gulli.com

[SiLæncer]

Derzeit wird eine vermutlich schadhafte Anwendung unter Facebook-Nutzern verteilt. Statt Stalker aufzuspüren verteilt sich die Anwendung allerdings selbst bei Freunden und Bekannten, die ihre Pinnwand offen haben.

Seit mehreren Stunden verteilt sich im sozialen Netzwerk Facebook eine Anwendung mit dem Namen We Catch Stalkers. Begünstigt wird die Verteilung durch einen klickfreudigen Bekanntenkreis. Wer die Anwendung installiert hat, verteilt offenbar automatisch unter seinen Freunden Links zu der Anwendung. Auf der Pinnwand der Opfer wird dabei folgender Text hinterlassen: "I've just seen who STALKS me here on Facebook. You can see who creeps around your profile too!". Hinter dem Text findet sich ein Link zu der schädlichen Anwendung, so dass die Verteilung weitergehen kann. Entsprechende Links wurden von mehreren Golem-Lesern beobachtet.

Schlaue Linkumleitung

Es ist allerdings kein direkter Link, der auf die Pinnwände geschrieben wird, sondern ein Link zu einer Domain, die laut Whois-Abfrage erst am 4. Februar 2011 gegen 18 Uhr (UTC/GMT) erstellt wurde. Die Domain lautet redirectway.com und bleibt beim Aufruf einfach leer. Erst mit dem Hinzufügen der Zeichenkette Stalker in die URL wird die eigentliche Aufgabe der Domain ersichtlich. Sie verweist auf zahlreiche Facebook-Apps, deren Namen nach einem Zufallsprinzip aufgebaut sind.

Facebook selbst hat schon reagiert und einzelne Anwendungen gelöscht. Auch Postings der Anwender, die die App installiert hatten, wurden schon gelöscht. Mit dem unangenehmen Nebeneffekt, dass Opfer der Facebook-App unter Umständen nicht einmal mitbekommen, dass da etwas passiert ist. Da der Redirect jedoch immer auf eine andere Anwendung zeigt, läuft das Löschen der Anwendungen derzeit zum Teil ins Leere.

Der Sinn dieser Anwendung ist bisher unbekannt. Es ist durchaus möglich, dass diese erzeugt wurde, um Daten der Facebook-Nutzer im großen Stil auszuspähen. Klickfreudige Facebook-Nutzer, die unbedingt wissen wollen, wer sie verfolgt, werden dabei zu Helfern der Angreifer.

Abwehrmaßnahmen

Grundsätzlich sollten Facebook-Nutzer nicht einfach Anwendungen installieren. Insbesondere wenn die URL schon verdächtig aussieht. Die Anwendung hat im Link einen zufällig erzeugten Namen, der aus acht Buchstaben besteht. Wer eine Schadanwendung installiert verrät nicht nur seine eigenen Daten, sondern in der Regel auch Daten seines gesamten Freundeskreises. Erwischt es dabei jemanden, der ein paar hundert Freunde hat, ist der Schaden entsprechend groß. Selbst wer die App nicht installiert offenbart bei falschen Sicherheitseinstellungen der Angriffs-Anwendung zahlreiche Daten.

In den Privatsphäreneinstellungen gibt es einen entsprechenden Eintrag, der kontrolliert, welche Informationen Anwendungen offenbart werden, die im Freundeskreis installiert werden.

Eine gute Idee ist es auch die Pinnwand zu sperren. Die promintent platzierten jährlichen Geburtstagswünsche gehen dann zwar verloren, allerdings kann sich dann auch keine Schadanwendung so gut sichtbar platzieren.

Quelle : www.golem.de