|
| Autor | Mitteilung |
Nubira Moderator  Beiträge: 15134 | Gesendet: 11:17 - 18.08.2011 SICHER o INFORMIERT Der Newsletter von www.buerger-cert.de Ausgabe vom 18.08.2011 ----------------------------------------------------------------------- Guten Tag, ob GPRS, UMTS, WLAN oder GSM: Im Alltag nutzen wir routiniert eine ganze Reihe von auf Funk basierenden Uebertragungstechniken, um kabellos kommunizieren und Daten austauschen zu koennen. Dabei geraten die Risiken fuer die Datensicherheit oft in Vergessenheit. In diesem Newsletter erinnern uns Sicherheitsexperten daran, dass ein ins Handy gesprochene Wort ein Ziel fuer Hackerangriffe sein kann. Mehr Informationen dazu sowie weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektuere und sichere Stunden im globalen Netz wuenscht Ihnen Ihr BUERGER-CERT-Team ----------------------------------------------------------------------- Die Themen dieses Newsletters: 1. Nicht zu loeschen: Cookies sollen sich selbst wieder herstellen koennen 2. Unerwuenscht abgehoert: Android-Spyware schneidet Telefonate mit 3. Unsichere Verbindung: Sicherheitsforscher knacken GPRS-Verschluesselungen 4. Einfallstor fuer Angreifer: Apple schliesst Sicherheitsluecken bei Quicktime 5. Der Microsoft Patch Day im August: Internet Explorer im Fokus 6. Zugriff verweigern: Festplatten-Verschluesselung bei Notebooks 7. Direktere Demokratie: Mit dem neuen Personalausweis Petitionen online starten und zeichnen 8. Ins Netz gegangen: Selbsternannter "Spam King" stellt sich 9. Luftangriff: Hacker-Drohne spioniert Funkdaten aus ----------------------------------------------------------------------- 1. STOERENFRIEDE: Cookies sollen sich selbst wieder herstellen koennen Nicht zu loeschen Gute Web-Browser bieten Funktionen, die helfen, die Privatsphaere des Internetnutzers zu schuetzen: Sie ermoeglichen etwa Einstellungen zur Akzeptanz von Cookies. Eine Studie der Universitaet Berkeley, USA, beschreibt nun ein Cookie, das diese Einstellungen offenbar umgeht: Besuchte Websites, die auf diese Technik setzen, speichern die Nutzerdaten neben einem gewoehnlichen Cookie noch andernorts auf dem Rechner. Selbst durch das Loeschen des Cookies bleiben diese Daten erhalten. Eine Nutzeridentifikation und Analyse des Surfverhaltens ist weiterhin moeglich - selbst beim Wechsel des Browsers. Das Cookie soll sich sogar selbst wieder herstellen koennen, berichtet das IT-Magazin t3n http://t3n.de/news/keine-privatsphare-web-forscher-finden-trackingmethode-323908/. Die Technik wird vom US-amerikanischen Tracking-Spezialisten KISSmetrics vertrieben. Die Studie der Universitaet Berkeley [http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1898390] ist in englischer Sprache abrufbar, ebenso eine Stellungnahme von KISSmetrics http://blog.kissmetrics.com/official-kissmetrics-response-to-data-collection-practices/. 2. STOERENFRIEDE: Android-Spyware schneidet Telefonate mit Unerwuenscht abgehoert Ein Mitarbeiter der IT-Sicherheitsfirma Total Defense berichtet in einem englischsprachigen Artikel fuer das CA Security Advisor Research Blog http://community.ca.com/blogs/securityadvisor/archive/2011/08/01/a-trojan-spying-on-your-conversations.aspx ueber eine neue Schadsoftware fuer Smartphones mit Android-Betriebssystem. Die Spyware tarnt sich als App "Android System Messenger". Einmal installiert, zeichnet das Programm alle ausgehenden und eingehenden Gespraeche auf und speichert sie mit den Verbindungs- und Standortdaten auf der SD-Speicherkarte im Handy. Beim folgenden Gespraech versucht die Malware die Daten an einen Server zu senden. Allerdings gelingt dies derzeit nicht - wegen eines Tippfehlers im Schadcode. Smartphone-Nutzer sollten bei der Installation von Apps darauf achten, welche Berechtigungen der jeweiligen Anwendung eingeraeumt werden. Der "Android System Messenger" weist bei der Installation darauf hin, dass er Gespraeche abfangen und Audiodaten aufzeichnen darf. Zum Thema "Mobile Endgeraete und mobile Applikationen" bietet das BSI auf BSI fuer Buerger "Informationen zum Basisschutz fuer das Handy" https://www.bsi-fuer-buerger.de/BSIFB/DE/MobileSicherheit/BasisschutzHandy/basisschutzHandy_node.html sowie Informationen zum Thema "Mobile Kommunikationssysteme" an. 3. STOERENFRIEDE: Sicherheitsforscher knacken GPRS-Verschluesselungen Unsichere Verbindung Wer mit seinem Smartphone ins Internet geht, tut dies in der Regel per UMTS-Verbindung. Wo diese nicht verfuegbar ist, ist der aeltere und weniger leistungsfaehige GPRS-Standard eine Alternative. Beide Verbindungswege galten bisher als sicher. Wie u.a. die Sueddeutsche Zeitung [http://www.sueddeutsche.de/digital/mangelhafte-gprs-verschluesselung-deutscher-sicherheitsexperte-knackt-mobiles-internet-1.1130387] berichtet, hat nun die Berliner IT-Sicherheitsfirma Security Research Labs http://srlabs.de/ einen Weg gefunden, europaweit in GPRS-Netze einzubrechen, die nicht mit aktuellen Verschluesselungstechniken geschuetzt sind. Mithilfe eines Handys mit angepasster Software und einem Notebook gelang es, ueber die mobile Internetverbindung gesendete Daten anderer Nutzer aufzunehmen und zu entschluesseln. Betroffen koennten nicht nur Handys sein, die per GPRS kommunizieren, sondern auch Steuerungsanlagen in der Industrie. 4. SCHUTZMASSNAHMEN: Apple schliesst Sicherheitsluecken bei Quicktime Einfallstor fuer Angreifer Apple hat ein Update fuer den kostenlosen Mediaplayer Quicktime veroeffentlicht. Laut den Apple-Informationen http://support.apple.com/kb/HT4826?viewlocale=de_DE werden mit der Version 7.7 fuer Windows und Mac-Betriebssysteme 14 Sicherheitsluecken geschlossen. Gleich 13 dieser Schwachstellen haetten Angreifer auszunutzen koennen, um auf einem Anwenderrechner Schadcode einzuschleusen und auszufuehren. Durch die fehlerhafte Verarbeitung entsprechend praeparierter Bild-, Video- oder Audiodateien, konnte es zum Absturz der Anwendung und zur Ausfuehrung eingeschleusten Schadcodes kommen. Anwender, die Quicktime auf folgenden Betriebssystemen einsetzen, sollten ein Update durchfuehren: Mac OS X 10.5 (Leopard), Mac OS X 10.6 (Snow Leopard) und Microsoft Windows (XP, Vista, Windows 7). Weitere Hinweise und einen Link zum Update-Download finden Sie in der technischen Warnung des BUERGER-CERT http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2F0plfoZFVLjW4dHQ%253d%253d. 5. SCHUTZMASSNAHMEN: Internet Explorer im Fokus Der Microsoft Patch Day im August Seit dem 1. Oktober 2003 veroeffentlicht Microsoft immer am zweiten Dienstag jeden Monats, dem "Patch Day", Sichherheits-Updates fuer seine Windows-Betriebssysteme. Beim Patch Day fuer diesen August [http://www.microsoft.com/germany/protect/computer/updates/bulletins/201108.mspx] steht der Internet Explorer im Fokus. Hier werden sieben kritische Sicherheitsluecken geschlossen. Darunter die Moeglichkeit zur Remotecode-Ausfuehrung: Oeffnet ein Anwender eine manipulierte Webseite mit dem Internet Explorer, kann ein Angreifer die gleichen Benutzerrechte wie der lokale Anwender erlangen. "Fuer Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als fuer Benutzer, die mit administrativen Benutzerrechten arbeiten", heisst es auf der Microsoft-Website http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms11-057.mspx. Das BSI empfiehlt die umgehende Installation der von Microsoft bereitgestellten Sicherheitsupdates, um eine Ausnutzung der Schwachstellen zu verhindern. Dies geschieht am einfachsten ueber einen Besuch der "Windows Update"-Website http://www.windowsupdate.com/. Ausserdem sollten Anwender Benutzerkonten mit eingeschraenkten Zugriffsrechten verwenden und moeglichst nicht mit administrativen Rechten arbeiten, um eventuelle Schaeden durch Angriffe gering zu halten. Mehr Informationen hierzu finden Sie auf BSI-fuer-Buerger.de https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/BenutzerkontenNetzwerk/PCMehrfachnutzung/pcmehrfachnutzung_node.html. 6. SCHUTZMASSNAHMEN: Festplatten-Verschluesselung bei Notebooks Zugriff verweigern Netbooks, Notebooks und andere mobile Computer koennen leichter verloren gehen oder gestohlen werden als stationaere Geraete zuhause oder im Buero. Der Diebstahl des Geraets selbst ist schon aergerlich genug - was aber, wenn etwa firmeninterne Daten in die Haende Unbefugter gelangen? Die Daten auf der Festplatte sollten deshalb verschluesselt werden. Die Zeitschrift Computerwoche http://www.computerwoche.de/security/2484630/ hat dazu einen ausfuehrlichen Ratgeber veroeffentlicht, der die Moeglichkeiten und Grenzen der in Microsoft-Windows-Betriebssysteme integrierten Verschluesselungsverfahren erklaert und ein kostenloses Alternativprogramm vorstellt. 7. PRISMA: Mit dem neuen Personalausweis Petitionen online starten und zeichnen Direktere Demokratie Mit einer Unterschriftenaktion kann jeder Buerger in Deutschland sein Anliegen direkt an die politischen Entscheidungstraeger herantragen. Mit dem neuen Personalausweis geht dies nun noch einfacher: Ueber die privat initiierte Internetplattform openpetition.de openPetition http://www.openpetition.de/ lassen sich mittels des neuen Personalausweises Online-Petitionen starten und zeichnen. Mit der Online-Ausweisfunktion des neuen Personalausweises koennen Buerger, Vereine und Organisationen laut Bundesdruckerei http://www.bundesdruckerei.de/de/presse/presse_meldungen/pm_2011_08_03.html erstmals verbindliche und verifizierte Unterschriften der Petitionszeichner ueber das Internet sammeln. Unterstuetzer koennen sich eindeutig mit ihrem Ausweis auf der Internetseite ausweisen. Mehr Informationen zum neuen Personalausweis finden Sie auf www.personalausweisportal.de http://www.personalausweisportal.de. 8. PRISMA: Selbsternannter "Spam King" stellt sich Ins Netz gegangen Sanford Wallace ist in Haft. Der 43-jaehrige US-Amerikaner und selbsternannte "Spam King" stellte sich Anfang August dem FBI. Wallace wurde in den vergangenen Jahren mehrfach angeklagt und wegen Spam- und Spyware-Attacken zivilrechtlich zu Geldstrafen in Millionenhoehe verurteilt. 2010 verurteilte ihn ein US-Gericht zur Zahlung von 710 Millionen US-Dollar an Facebook. Er hatte Phishing-Websites aufgebaut, um Mitglieder des sozialen Netzwerks zu betruegen. Der US-amerikanischen, englischsprachigen Website cnet http://news.cnet.com/8301-1023_3-20088487-93/spam-king-wallace-indicted-for-facebook-spam/ zufolge, wird ihm aktuell vorgeworfen, mit einem selbst entwickelten Programm die Spam-Filter von Facebook umgangen zu haben. Ueber diesen Weg sollen 500.000 Facebook-Mitglieder von November 2008 bis Maerz 2009 mehr als 27 Millionen Spam-Nachrichten erhalten haben. Wallace drohen nun eine weitere Geldstrafe und bis zu 40 Jahre Haft. 9. PRISMA: Hacker-Drohne spioniert Funkdaten aus Luftangriff Eine Wespe demonstriert, wie die Zukunft der Daten-Spionage aussehen koennte: Die Wespe - oder genauer: WASP - ist eine umgebaute Militaerdrohne. Laenge und Spannweite betragen etwa 1,8 Meter; sie ist vollgestopft mit Elektronik und sie fliegt dank eines batteriebetriebenen Propellers. WASP steht fuer "Wireless Aerial Surveillance Platform" (etwa: Kabellose Plattform zur Gebietsueberwachung). Auf der Hackerkonferenz Defcon Defcon [https://www.defcon.org/html/defcon-19/dc-19-index.html] in Las Vegas zeigten zwei IT-Sicherheitsexperten, wie sie mit der Drohne GSM- und WLAN-Datentransfers aus der Luft ausspionieren koennen. Wie das IT-Onlinemagazin Golem http://www.golem.de/1108/85554.html berichtet, sendet WASP ein starkes GSM-Signal und die Handys verbinden sich automatisch mit dem vermeintlichen Sendemast, der die Verbindungen dann entschluesselt. Gespraeche koennen so mitgehoert und aufgezeichnet werden. Auch ungesicherte WLAN-Netze lassen aus der Luft leicht aufspueren. Der Bau der WASP soll nicht mehr als 6000 Dollar gekostet haben. Es ist ein Freizeitprojekt der beiden Entwickler, die als freie Sicherheitsberater fuer US-Ministerien arbeiten. ----------------------------------------------------------------------- Dieser Newsletter ist ein kostenloses Service-Angebot des Buerger-CERT. Er erscheint im Abstand von 14 Tagen. Die Informationen werden vom Bundesamt fuer Sicherheit in der Informationstechnik, http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht uebernommen werden. Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER o INFORMIERT vom 18.08.2011 - | zum Seitenanfang |
|
|
Version 3.1 | Load: 0.004211 | S: 1_2 |