SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 25.10.2012
Nummer: NL-T12/0021

Die Themen dieses Newsletters:
1. Schwachstelle Browser: Anwender der Spiele-Plattform Steam sind angreifbar
2. Problematische Funktion: Hackerskript kann Telefonnummern massenhaft Facebook-Nutzern zuordnen
3. Kein Foto für dich: Malware verbreitet sich trickreich per Skype
4. Android-Apps auf dem Prüfstand: SSL-Verschlüsselung funktioniert oft nicht
5. Update für Java: Oracle schließt 30 Sicherheitslücken
6. VLC Mediaplayer aktualisiert: Neue Version behebt viele Schwachstellen
7. Mehr ansteckende Links: Spam-E-Mails werden gefährlicher
8. 560.000 Bundesbürger sind internetsüchtig: Junge Menschen besonders gefährdet

EDITORIAL
Guten Tag,
Instant-Messenger sind beliebt. Nachrichten lassen sich damit schneller
austauschen als etwa per E-Mail. Doch Gefahr droht, wenn es
Cyber-Kriminellen gelingt, die Anwender-Rechner per Social Engineering
mit Schadcode zu infizieren. Vorsicht ist selbst bei Nachrichten von
bekannten Kontakten angebracht – es könnte auch ein falscher Freund
dahinterstecken. Mehr Infos dazu sowie weitere Meldungen rund um die
Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende
Lektüre und sichere Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Schwachstelle Browser: Anwender der Spiele-Plattform Steam sind angreifbar

Der Online-Spiele-Hersteller Valve hat offenbar ein Sicherheitsproblem
mit seiner Distributionsplattform Steam. Dies berichtet
u.a.
golem.de http://www.golem.de/news/exploit-sicherheitsluecke-in-steam-entdeckt-1210-95134.html
in Berufung auf Recherchen des IT-Sicherheitsdienstleisters
ReVuln (englischsprachige
PDF-Datei [http://revuln.com/files/ReVuln_Steam_Browser_Protocol_Insecurity.pdf].
Steam nutzt ein eigenes Browser-Protokoll, über das beispielsweise Spiele
installiert, deinstalliert und gestartet werden. Über eine Lücke in
diesem Protokoll könnten Angreifer Zugriff auf Rechner von
Steam-Anwendern erlangen. Aktiv ausgenutzt wird die Schwachstelle laut
ReVuln bislang nicht.

2. Problematische Funktion: Hackerskript kann Telefonnummern massenhaft Facebook-Nutzern zuordnen

Gibt man auf der Website des sozialen Netzwerks Facebook eine Festnetz-
und/oder Mobilfunknummer in die Suchmaske ein, wird der dazugehörige Name
des Facebook-Mitglieds angezeigt. Angreifer können diese Suchweise
nutzen, um massenhaft mit Hilfe von automatisch generierten
Telefonnummern eine Verbindung zu Namen und Facebook-Profilen
herzustellen. Diese Informationen könnten dann für Spam-Attacken
missbraucht werden, warnt der IT-Sicherheistdienstleister
Sophos http://nakedsecurity.sophos.com/2012/10/10/phone-number-privacy-facebook.
Voraussetzung hierfür ist, dass das entsprechende Facebook-Mitglied diese
Funktion erlaubt. Laut
pc-welt.de http://www.pcwelt.de/news/Facebook-Telefonnummer-von-Script-auffindbar-6758529.html
können sich Facebook-Mitglieder schützen, indem sie in den
„Privatsphäre-Einstellungen“ → „Funktionsweise von Verbindungen“ →
„Einstellungen bearbeiten“ ihre Auffindbarkeit über eine Telefonnummer
ändern. Standardmäßig ist unter „Wer kann dich anhand der von dir
angegebenen E-Mail-Adresse oder Telefonnummer finden?“ die Option „Alle“
ausgewählt. Sicherer sind die Optionen „Freunde“ oder „Freunde von
Freunden“. Ganz abstellen lässt sich die Funktion nicht. Weitere
Informationen zu „Individuellen Einstellungen einiger Sozialer Netzwerke“
unter sicherheitskritischen Aspekten auf BSI für
Bürger https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/SozialeNetze/Anleitungen/anleitung_node.html.

3. Kein Foto für dich: Malware verbreitet sich trickreich per Skype

„Hey, sag mal ehrlich, sind das deine Fotos?“: Nutzer von Skype und
anderen Instant-Messaging-Diensten, die in ihren Chatfenstern diese oder
ähnlich lautende Nachrichten samt eines vermeintlichen Google-Links
empfangen, sollten aufpassen. Derzeit verbreitet sich ein Internet-Wurm,
der versucht, Anwender-Rechner per Social Engineering mit Schadcode zu
infizieren. Dies berichtet u.a. die Website
botfrei.de http://blog.botfrei.de/2012/10/skype-hey-bist-du-das-auf-dem-bild-hier/.
Der Wurm versteckt sich in einem ZIP-Datei-Ordner, getarnt durch einen
Link, erzeugt mit Hilfe des Kurz-URL-Dienstes Goo.gl. Der Link enthält
den Namen des Adressaten, offenbar um dessen Vertrauen zu gewinnen. Wer
dem Link folgt, öffnet die ZIP-Datei und startet die Installation der
Malware. Mit dieser können die Angreifer u.a. Passwörter ausspionieren
und die Kontrolle über das Anwender-System übernehmen. Gleichzeitig
sendet sich der Wurm selbstständig an alle Instant-Messaging-Kontakte des
Anwenders.

4. Android-Apps auf dem Prüfstand: SSL-Verschlüsselung funktioniert oft
nicht

Forscher der Leibniz Universität Hannover und der Phillips Universität
Marburg haben die Sicherheit verschlüsselter
Datenübertragungen von Android-Apps untersucht
(PDF-Dokument) http://www2.dcsec.uni-hannover.de/files/android/p50-fahl.pdf.
Bei mehr als 1000 von 13.500 populären Apps gab es demnach Anzeichen für
eine fehlerhafte und unsichere Verwendung der
SSL/TLS-Verschlüsselungstechnik. Die Anwendungen seien dadurch anfällig
für sogenannte Man-in-the-Middle-Angriffe. 100 Apps wurden für nähere
Tests ausgewählt, bei 41 war dann ein konkreter Angriff erfolgreich.
Laut
pcwelt.de http://www.pcwelt.de/news/Studie-Viele_Android-Apps_verraten__sensible_Daten-6945497.html
gelang es den Forschern u.a. Anmeldedaten für Facebook, Twitter, Google,
Microsoft, WordPress und beliebige E-Mail-Konten sowie Kreditkarten- und
Kontodaten abzufangen. Die SSL/TLS-Verschlüsselungstechnik soll die
Datenübertragung im Internet absichern, etwa beim Online-Banking. Wie die
Technik funktioniert und was sie an Sicherheit bringt, lesen Sie auf der
Website
BSI-FUER-BUERGER https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrowser/SSL/ssl_node.html.

SCHUTZMASSNAHMEN
5. Update für Java: Oracle schließt 30 Sicherheitslücken

Software-Hersteller Oracle hat ein Update für die Laufzeitumgebung Java
herausgegeben, das 30 Sicherheitslücken schließt. Betroffen sind Java 7
Update 7 und vorherige Versionen sowie Java 6 Update 35 und vorherige
Versionen. Angreifer könnten die Schwachstellen u.a. ausnutzen, um die
vollständige Kontrolle über Computersysteme der Anwender zu übernehmen.
Auf Windows-Systemen wird die aktualisierte Version Java 7 Update 9 über
die automatische Aktualisierungsfunktion Windows-Update eingespielt. Eine
manuelle Installation ist über die
Java-Website http://www.java.com/de/ jederzeit möglich. Dort können
Anwender auch prüfen, welche Java-Version bereits
installiert ist http://www.java.com/de/download/installed.jsp und ob
ein Update notwendig ist.

6. VLC Mediaplayer aktualisiert: Neue Version behebt viele Schwachstellen

Der quelloffene Mediaplayer VLC ist in einer neuen Version verfügbar. Die
Version 2.0.4 behebt nach Angabe der Entwickler Hunderte funktionale
Schwachstellen, bietet zahlreiche neue Funktionen und schließt auch
einige Sicherheitslücken gegenüber der Vorgängerversion 2.0.3. Der
kostenlose VLC Media Player spielt zahlreiche Multimediaformate wie MP3,
MOV, FLV, Video-CD, DVD, DivX, MPEG, REAL sowie den freien
Open-Source-Audiocodec Opus ab. Der VLC Mediaplayer kann von der
Website der Entwicklerorganisation VideoLAN
Organisation http://www.videolan.org/vlc/ heruntergeladen werden.

PRISMA
7. Mehr ansteckende Links: Spam-E-Mails werden gefährlicher

Der deutsche E-Mail-Sicherheitsdienstleister Eleven
berichtet über eine massive Zunahme von gefährlichen
Spam-E-Mails http://www.eleven-securityblog.de/2012/10/die-zahl-des-monats-oktober-2012/,
die sogenannte Drive-by-Malware enthalten. Wie das Unternehmen im
firmeneigenen Blog schreibt, enthielt im vergangenen September jede
zehnte Spam-E-Mail einen Link zu einer Website die mit Schadcode
ausgestattet war. Gegenüber dem August stieg die Zahl um mehr als das
80-fache. Im August war nur etwa jede tausendste Spam-E-Mail derart
bösartig. Nach Angaben von Eleven reicht oft bereits ein Klick auf den
Link, um ein System mit einem Virus zu infizieren.

8. 560.000 Bundesbürger sind internetsüchtig: Junge Menschen besonders
gefährdet

Etwa ein Prozent der 14- bis 64-jährigen in Deutschland gelten als
internetsüchtig - das sind rund 560.000 Menschen. Zu diesem Ergebnis
kommt die Studie „Prävalenz der Internetabhängigkeit (PINTA
I)“ http://www.drogenbeauftragte.de/presse/pressemitteilungen/2011-03/pinta-studie.html
der Universität Lübeck und der Universität Greifswald die von der
Drogenbeauftragten der Bundesregierung, Mechthild Dyckmans, vorgestellt
wurde.. Rund 2,5 Millionen Bürger zwischen 14 und 64 Jahren werden
zusätzlich als problematische Internetnutzer angesehen.
Auffällig ist, dass in der Altersgruppe der 14- bis 16-Jährigen deutlich
mehr Mädchen als Jungen internetabhängig sind. Die Mädchen nutzen
vorwiegend soziale Netzwerke im Internet und seltener Onlinespiele wie
die Jungen. „Wir vermuten, dass Mädchen und junge Frauen besonders
empfänglich sind für die Bestätigungen, die man in sozialen Netzwerken
findet, und dadurch auch eher eine Abhängigkeit entwickeln können“, sagt
Hans-Jürgen Rumpf von der Universität Lübeck.
In der Studie gilt als internetsüchtig, wer fast nur noch in der
virtuellen Welt des Internets lebt. Die Betroffenen verlieren die
Kontrolle darüber, wie viel Zeit sie im Internet verbringen, sie leiden
unter Entzugserscheinungen wie Missstimmung, Angst, Reizbarkeit oder
Langeweile, wenn sie nicht online sind. Abhängige nutzen das Internet, um
schlechten Gefühlszuständen zu entrinnen und nehmen dabei auch negative
Konsequenzen in Kauf. Sie gehen nicht mehr zur Arbeit oder zur Schule,
vernachlässigen soziale Kontakte und verwahrlosen teilweise sogar
körperlich. Wenn mehrere von diesen Kriterien gleichzeitig vorliegen,
spricht die Studie von einer Internetabhängigkeit.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de