|
| Autor | Mitteilung |
Nubira Moderator  Beiträge: 15134 | Gesendet: 17:43 - 14.03.2013 SICHER o INFORMIERT Der Newsletter von www.buerger-cert.de Ausgabe vom 14.03.2013 Nummer: NL-T13/0006 Die Themen dieses Newsletters: 1. Gefährliche Tastenkombination: Bildschirmsperre in Smartphones umgehbar 2. Riskante Worterweiterung: Samsung-Handys verraten Passwörter 3. Passwörter kopiert: Hacker-Angriff auf Online-Speicherdienst Evernote 4. Angriff auf Avast Vertriebspartner Avadas: Hacker greift auf Serverdaten zu 5. Gefährliche Rechnungen: Gefälschte E-Mails im Namen von Groupon 6. Unsicheres Java: Oracle muss erneut Updates herausgeben 7. Android-Sicherheit: Kostenloser Basisschutz für Smartphones und -Tablets 8. Update für Chrome: Zehn Sicherheitslücken in Googles Browser geschlossen 9. Adobe und Microsoft schließen Lücken: Patch-Day 10. Passwort-Manager: Sicheres Speichern sicherer Passwörter 11. Doppelt geprüft: Googles Aktivitäten gegen Spammer EDITORIAL Guten Tag, die aktuellen Entwicklungen zeigen mal wieder, wie wichtig drei Grundregeln der IT-Sicherheit sind: Sichere Passwörter, regelmäßige Updates und Vorsicht bei E-Mails mit Anhang. Doch gerade die Passwörter scheinen zurzeit eine besonders wichtige Rolle zu spielen: In manchen Smartphones werden unsichere Kennwörter im Klartext angezeigt, zwei Hacker-Angriffe entwenden sie massenhaft aus Datenbanken und versuchen damit vermutlich, sich Zugang zu anderen Anwendungen zu verschaffen. Nur sichere und unterschiedliche Passwörter können diesem vorbeugen. Wie man diese komfortabel und sicher verwaltet oder sich einfach merken kann – das und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr BUERGER-CERT-Team STÖRENFRIEDE 1. Gefährliche Tastenkombination: Bildschirmsperre in Smartphones umgehbar Vor einigen Wochen ist bekannt geworden, dass die Bildschirmsperre von Apples iPhone zu knacken ist, wenn man die richtige Reihenfolge der zu bedienenden Tasten weiß. Gleiches gilt jetzt auch für die Geräte Galaxy Note 2 http://www.zdnet.de/88146266/galaxy-note-2-sicherheitsluecke-umgeht-bildschirmsperre/ und Galaxy S III http://www.zdnet.de/88146329/auch-geratesperre-des-samsung-galaxy-s-iii-lasst-sich-umgehen von Samsung, berichtet das Online-Magazin ZDNet. Eine Privatperson hat herausgefunden, dass beim Galaxy Note 2 kurzzeitig der Home-Bildschirm erscheint, wenn man die Bildschirmsperre erfolgreich umgangen hat. Dann könne man Apps starten und, wenn das Widget „Direktwahl“ hinterlegt ist, Anrufe tätigen. Beim Galaxy S III könnten Fremde ebenfalls in das Telefon eindringen, in dem sie die Sperre aushebeln. Das sei nicht ganz einfach, schreibt ZDNet – doch wäre man einmal erfolgreich, sei die Sperre dauerhaft aufgehoben. 2. Riskante Worterweiterung: Samsung-Handys verraten Passwörter Manche Varianten der auf vielen Samsung-Handys installierten Funktion der automatischen Worterweiterung verraten teilweise auch Passwörter, schreibt das Online-Magazin heise security http://www.heise.de/security/meldung/Samsung-Smartphones-verraten-Passwoerter-1817565.html. Würde der Nutzer die ersten drei Buchstaben eines dem Smartphone bekannten Wortes eingeben, schlägt dieses auch auf dem Smartphone verwendete Passwörter vor – allerdings nur, wenn das Passwort aus Buchstaben ohne Sonderzeichen besteht. Buchstaben hinter Sonderzeichen werden nicht angezeigt, reine Ziffernabfolgen ebenfalls nicht. Woher das Passwort komme, sei unerheblich. Sowohl das Passwort für den Sperrbildschirm als auch solche, die im Browser für eine Anmeldung benötigt werden, würden von der Wortergänzung erfasst. Heise empfiehlt, nicht bekannte Wörter mit Sonderzeichen als Passwörter zu verwenden – erst recht, wenn das Smartphone von mehreren Personen genutzt würde. 3. Passwörter kopiert: Hacker-Angriff auf Online-Speicherdienst Evernote Der Online-Notizdienst Evernote, bei dem Notizen, Bookmarks, Kochrezepte und mehr hinterlegt werden können, ist Opfer einer Hacker-Attacke geworden. Wie das IT-Magazin Computerwoche berichtet http://www.computerwoche.de/a/naechster-hacker-angriff-trifft-online-dienst-evernote,2533964, hätten sich Angreifer Zugriff auf E-Mail-Adressen und verschlüsselte Passwörter verschafft. Evernote fordert seine rund 50 Millionen Nutzer nun auf, die Passwörter zu ändern. Diese werden bei Evernote zwar verschlüsselt gespeichert, doch trotzdem bestehe Gefahr für jene Nutzer, die das Evernote-Passwort auch bei anderen Diensten verwenden. Das IT-News-Portal heise security erklärt http://www.heise.de/security/meldung/Raetselraten-um-Passwortsicherheit-nach-Evernote-Hack-1817987.html, warum die Passwörter bei Evernote nicht sicher genug aufgehoben werden. 4. Angriff auf Avast Vertriebspartner Avadas: Hacker greift auf Serverdaten zu Ein Hacker hat sich Zugang zu einer Datenbank von Avadas verschafft, dem Unternehmen, das in Deutschland Avast-Produkte vertreibt – etwa das bekannte Anti-Viren-Programm „avast! Free Antivirus für Windows“. Wie das Online-Magazin golem.de berichtet http://www.golem.de/news/hack-kundendaten-deutscher-avast-kaeufer-gestohlen-1303-98093.html, konnte der Angreifer ca. 16.000 Daten von Kunden kopieren. Sie enthalten unter anderem Informationen über die Bankverbindung, Anschrift als auch Passwörter. Golem.de empfiehlt Avast-Kunden ihre Passwörter auch bei anderen Diensten zu ändern, sollten sie dort dasselbe wie bei Avast verwenden. Das IT-Online-Magazin PC-Welt zitiert Avast http://www.pcwelt.de/news/Deutscher_Avast-Vertriebspartner_gehackt-Avadas-7672912.html: Für Avast-Nutzer, die nicht beim Vertreiber Avadas registriert sind, bestünde keine Gefahr. 5. Gefährliche Rechnungen: Gefälschte E-Mails im Namen von Groupon Zurzeit werden Spam-Mails im Namen des Rabatt-Dienstleisters Groupon verschickt. Darüber berichtet das Online-Magazin golem.de. http://www.golem.de/news/trojaner-mails-groupon-deutschland-oder-seine-partner-gehackt-1303-98077.html In der Spam-Mail würden die Empfänger dazu aufgefordert, einen Geldbetrag zu zahlen und den Anhang zu öffnen – der wiederum ist ein Trojaner, dessen Gefährlichkeit als „sehr hoch“ bewertet wird, so schreibt golem.de. Noch ist unklar, ob die Datenbank von Groupon gehackt wurde oder die E-Mail-Adressen der Groupon-Nutzer auf anderem Wege in die Hand der Spam-Versender gekommen sind. Ein Nutzer hätte golem.de berichtet, dass er seine E-Mail-Adresse ausschließlich bei Groupon nutze und dass es sich daher um einen Angriff auf die Datenbank handeln müsse. Groupon weist darauf hin, dass es von den Spam-Mails betroffene Nutzer gebe, die bei Groupon mit einer anderen E-Mail-Adresse registriert sind, an die keine Spam-Mails verschickt wurden. Davon abgesehen würden keine Rechnungen per E-Mail verschickt. SCHUTZMASSNAHMEN 6. Unsicheres Java: Oracle muss erneut Updates herausgeben Oracle muss für Java erneut Updates herausgeben. Für Java 7 ist Update 17, für die Version 6 Update 43 veröffentlicht. Das Online-Magazin PC-Welt schreibt http://www.pcwelt.de/news/Oracle_stellt_Notfall-Updates_fuer_Java_bereit-Java-Luecken-7617584.html: „Oracle kommt mit dem Schließen kritischer Java-Lücken kaum nach.“ Und spielt damit darauf an, dass Java bereits die vierte Update-Runde in diesem Jahr herausgegeben hat. Doch trotz der Updates würden weiterhin Sicherheitslücken bestehen. Laut PC Welt hätten Adam Gowdiak und sein polnisches Sicherheitsunternehmen Security Explorations mehrere Lücken an Oracle gemeldet, die auch mit den neuesten Updates nicht geschlossen würden. Das nächste Update soll es Mitte April geben. Das Online-Magazin heise security empfiehlt http://www.heise.de/security/meldung/Java-trotz-Notfall-Patch-verwundbar-1815992.html, das Java-Plug-in innerhalb des Browser zu deaktivieren. 7. Android-Sicherheit: Kostenloser Basisschutz für Smartphones und -Tablets Der IT-Sicherheitsdienstleister Kaspersky Lab bringt ab Mitte März für Android-Smartphones und -Tablets die aktualisierten Versionen der Apps „Mobile Security“ und „Tablet Security“ heraus. Das Unternehmen teilt mit http://www.kaspersky.com/de/news?id=207566670, dass es mit beiden Lösungen nun auch einen kostenfreien Basisschutz anbiete. Kaspersky weist auf die Notwendigkeit von IT-Sicherheitslösungen für Android hin: Aktuell gebe es über 50.000 einzelne Varianten beziehungsweise knapp 500 Familien mobiler Schädlinge. 95 Prozent davon zielten auf Android. „Es gibt allen Grund anzunehmen, dass 2013 sowohl die Zahl der Android-Geräte, also auch die der schadhaften Apps weiter zunehmen wird“, prognostiziert Stefan Kremel von Kaspersky Lab. 8. Update für Chrome: Zehn Sicherheitslücken in Googles Browser geschlossen Google hat mehrere Sicherheitslücken im Browser Chrome geschlossen. Das Update steht für Windows, Linux und Mac OS X zur Verfügung, berichtet das Online-Magazin ZDNet http://www.zdnet.de/88146058/google-stopft-zehn-sicherheitslocher-in-chrome-25/. Es schließt insgesamt zehn Sicherheitslücken, wovon sechs als „hohes Risiko“ eingestuft werden. Neben dem Sicherheitsaspekt verbessern die Updates die generelle Stabilität des Browsers und beseitigt diverse Fehler, schreibt ZDNet. 9. Adobe und Microsoft schließen Lücken: Patch-Day In den regulären monatlichen Updates schließen Adobe und Microsoft verschiedene Lücken. Nach Informationen des Online-Magazin heise behebt Adobe http://www.heise.de/security/meldung/Flash-Unseren-monatlichen-Patch-gib-uns-heute-1821756.htmlSicherheitslücken in Android 2/3/4, Linux, Mac OS und Windows, sowie in sämtlichen AIR-Laufzeitbibliotheken und das Air-SDK. Bei Microsoft werden zwanzig Sicherheitslücken http://www.heise.de/security/meldung/Microsoft-Patchday-mit-vier-kritischen-Updates-1821758.html geschlossen. Von den Updates sind vier als kritisch eingestuft. Betroffen sind Windows, Internet Explorer, Silverlight, Office und die Microsoft Server Software. PRISMA 10. Passwort-Manager: Sicheres Speichern sicherer Passwörter Sichere Passwörter, die lang genug sind, Buchstaben, Ziffern und Sonderzeichen enthalten, sind nicht leicht zu merken. Leicht zu merkende Passwörter dagegen sind in der Regel nicht sicher. Abhilfe können Passwort-Manager schaffen, also Programme, die viele verschiedene, sichere Passwörter speichern und diese mit einem Master-Passwort gut verschlüsselt absichern. Es gibt einige verschiedene Passwort-Manager, alle mit bestimmten Vor- und Nachteilen. Die IT-Zeitschrift Computerwoche hat einige getestet http://www.computerwoche.de/a/die-besten-passwort-manager,2519783 und aufgeschrieben, für welchen Anwendungszweck welcher Passwort-Manager der am besten geeignete ist. Das Online-Magazin PC-Welt empfiehlt noch ein weiteres Programm http://www.pcwelt.de/news/Password_Depot_7-7576856.html: Password Depot 7, das in der neuen Version auch die Cloud-Dienste Dropbox und Google Drive unterstützt. Wer ohne Passwort-Manager auskommen will, findet auf der Webseite von BSI für Bürger Tipps https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html, wie man sich sichere Passwörter erstellt und einfach merken kann. 11. Doppelt geprüft: Googles Aktivitäten gegen Spammer Laut dem Online-Magazin heise security http://www.heise.de/security/meldung/Google-sperrt-hackende-Spammer-aus-1812655.html hat Google für sich eine Methode gefunden, Spammer effektiv daran zu hindern, sich in Google-Mail-Konten einzuloggen. So überprüfe Google, wie wahrscheinlich es ist, dass sich tatsächlich der Konteninhaber einzuloggen versucht. In der Bewertung „Echter Nutzer oder Spammer?“ werden laut heise über 120 Variablen berücksichtigt – etwa, ob ein Login-Versuch von einem anderen Kontinent als der vorherige erfolgt ist. Würde eine bestimmte Anzahl von Kriterien erfüllt, die Google vermuten lässt, ein Spammer sei am Werk, müsste sich der Anmelder nochmals legitimieren, etwa mit seiner Telefonnummer. Google konnte seit Juli 2011 die Anzahl der gesperrten Accounts nach Spammermissbrauch um 99,7 Prozent reduzieren. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 14.03.2013 - | zum Seitenanfang |
|
|
Version 3.1 | Load: 0.001387 | S: 1_2 |