|
| Autor | Mitteilung |
Nubira Moderator  Beiträge: 15134 | Gesendet: 08:41 - 21.06.2013 SICHER o INFORMIERT Der Newsletter von www.buerger-cert.de Ausgabe vom 21.06.2013 Nummer: NL-T13/0013 Die Themen dieses Newsletters: 1. Inkasso-Forderungen bringen Schadsoftware: Gefälschte Anwaltspost 2. Bislang unbekannte Sicherheitslücken: Smartphone-Trojaner 3. Kritische Schwachstelle: Blackberry 10 4. BSI veröffentlicht Sicherheitsstudie: Content Management Systeme 5. Microsoft, Adobe und Oracle schließen Sicherheitslücken: Patchdays 6. EU will Strafen verschärfen: Cyber-Angriffe 7. Jugendliche sensibilisieren: Cybermobbing 8. Menschliche Fehler oder Hackerangriffe?: Sicherheitsverstöße EDITORIAL Guten Tag, die mobile Kommunikation wird für Angreifer zunehmend attraktiver: Schadprogramme, die Sicherheitslücken in Smartphones ausnutzen, beweisen das immer wieder auf's Neue. Aktuell berichten wir über eine Sicherheitslücke in Blackberry und einen neuen Trojaner, der eine bisher unbekannte Lücke in Android ausnutzt. Wer als Privatperson oder Unternehmen eine eigene Webseite mit einem Content Management System (CMS) betreibt, sollte sich auch bei dieser Software der Gefahr von Angriffen bewusst sein. Das BSI hat eine Studie veröffentlicht, die die Bedrohungslage und relevante Schwachstellen weit verbreiteter Open-Source-CMS untersucht. Fazit: Die Programme bieten ein angemessenes Sicherheitsniveau. Der Nutzer ist jedoch gefordert, die Software sachgemäß zu konfigurieren und kontinuierlich zu pflegen, um Sicherheitsrisiken zu minimieren. STÖRENFRIEDE 1. Inkasso-Forderungen bringen Schadsoftware: Gefälschte Anwaltspost Zurzeit sind angebliche Zahlungsaufforderungen von Inkasso-Anwälten per E-Mail im Umlauf, wie heise security http://www.heise.de/security/meldung/Virenpost-vom-Inkasso-Anwalt-1890936.html berichtet. In dem Anschreiben wird behauptet, der Empfänger habe eine Rechnung nicht bezahlt und habe nun mit zusätzlichen Inkasso-Gebühren zu rechnen. Der Empfänger wird dabei mit seinem echten Namen angesprochen. Wer eine solche Mail erhält, sollte die Forderung kritisch prüfen.und den Mailanhang nicht öffnen sondern die Mail löschen wenn die Forderung nicht zugeordnet werden kann. Die Angreifer ändern die Schadsoftware immer wieder, so dass die Antiviren-Programme mit einer Erkennung leicht hinterher hinken. Dennoch sollten Nutzer wie üblich auf einen aktuellen Virenschutz achten, um das Risiko zumindest zu reduzieren. Außerdem sollten für die verwendete Software alle Sicherheitsupdates installiert sein, um vorhandene Sicherheitslücken zu schließen. 2. Bislang unbekannte Sicherheitslücken: Smartphone-Trojaner Experten des Sicherheitsunternehmens Kaspersky https://www.securelist.com/en/blog/8106/The_most_sophisticated_Android_Trojan haben einen Trojaner entdeckt, der bislang unentdeckte Sicherheitslücken in Googles mobilem Betriebssystem Android ausnutzt. Der Trojaner „Backdoor.AndroidOS.Obad.a“ sei die bisher raffinierteste Schadsoftware für Android, so die Experten. Die Schadsoftware verbreite sich nicht über den Google Play Store sondern über alternative App-Stores und versucht das geladene Installationspaket über Bluetooth an andere Geräte zu versenden. Der Trojaner könne jedoch nur Geräte befallen, wenn die Option, Apps von Drittanbietern zu installieren, aktiviert ist. Zudem muss der Nutzer die Installation bestätigen. Weit verbreitet sei die Schadsoftware bislang noch nicht. Habe sie sich jedoch einmal installiert, werde man sie nur schwer wieder los. Denn der Trojaner nutze bislang unbekannte Schwachstellen in Android, um sich zu verstecken. BSI für Bürger https://www.bsi-fuer-buerger.de/BSIFB/DE/MobileSicherheit/BasisschutzApps/basisschutzApps_node.html rät, das Installieren von Apps aus unbekannten Quellen zu unterbinden. 3. Kritische Schwachstelle: Blackberry 10 Blackberry hat ein Advisory http://btsc.webapps.blackberry.com/btsc/viewdocument.do?externalId=KB34458 veröffentlicht, das eine kritische Schwachstelle in Blackberry 10 beschreibt. Betroffen ist das Blackberry Z10 mit Softwareversionen, die älter als 10.0.10.648 sind. Der Exploit nutzt Black Berry Protect. Mit dem Service kann der Nutzer sein Smartphone managen, in dem er zum Beispiel sein Passwort neu setzt oder das Gerät sperrt. Der Dienst ist standardmäßig deaktiviert und muss vom Benutzer eingeschaltet werden. Um einen Angriff zu ermöglichen muss der Nutzer sich dazu verleiten lassen, eine manipulierte App zu installieren. Diese ist dann in der Lage, die Daten bei einem Passwortwechsel abzufangen – mit denen sich ein Angreifer, sofern er physischen Zugang zum Gerät hat, wie der eigentliche Benutzer erfolgreich anmelden kann. BlackBerry empfiehlt, die Gerätesoftware mindestens auf die Version 10.0.10.648 zu aktualisieren. Für Z10 und Q10 steht darüber hinaus bereits BlackBerry 10.1 zur Verfügung. SCHUTZMASSNAHMEN 4. BSI veröffentlicht Sicherheitsstudie: Content Management Systeme Das BSI hat eine Studie zur Sicherheit von Content Management Systemen (CMS) https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html veröffentlicht. Diese beleuchtet relevante Bedrohungslagen und Schwachstellen der weit verbreiteten Open-Source-CMS Drupal, Joomla!, Plone, TYPO3 und WordPress, die sowohl im professionellen Bereich als auch von Privatanwendern genutzt werden, um Webseiten aufzubauen und zu pflegen. Mit der Durchführung der Studie hatte das BSI die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) beauftragt. Die Studie zeigt, dass die untersuchten CMS ein angemessenes Sicherheitsniveau bieten und einen hinreichenden Sicherheitsprozess zur Behebung von Schwachstellen implementiert haben. Um einen sicheren Betrieb einer Webseite zu gewährleisten, reicht es jedoch nicht aus, die untersuchten Lösungen in der Standardinstallation einzusetzen und zu betreiben. Vielmehr bedürfen die CMS einer sachgemäßen Konfiguration und kontinuierlichen Pflege, denn nur ein angemessenes Systemmanagement und ein umsichtiges Verwenden von Erweiterungen kann das Risiko unentdeckter Schwachstellen minimieren. 5. Microsoft, Adobe und Oracle schließen Sicherheitslücken: Patchdays Microsoft hat im Juni mit 6 Sicherheitsupdates 22 Schwachstellen geschlossen. Betroffen sind Windows XP, Windows Vista, Windows 7, Windows 8, Windows RT, Office und der Internet Explorer 6-10. Ein Angreifer kann die Schwachstellen ausnutzen, um beliebigen Schadcode mit den Rechten des angemeldeten Benutzers oder sogar mit administrativen Rechten auszuführen oder um Informationen offenzulegen oder zu manipulieren. Hierzu muss vom Benutzer in einigen Fällen eine speziell manipulierte Datei, E-Mail oder Webseite geöffnet werden. Dazu kann der Benutzer zum Beispiel in einer E-Mail oder beim Besuch einer Webseite aufgefordert werden. Das Bürger-Cert [url] https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0041[/url] empfiehlt die zeitnahe Installation der von Microsoft bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen. Adobe hat an seinem Juni-Patchday dieses Mal nur eine Schwachstelle in seinem Flash Player geschlossen. Diese Schwachstelle ist jedoch umso gravierender, denn ein entfernter, anonymer Angreifer kann sie für einen Denial-of-Service-Angriff ausnutzen. Das Bürger-Cert [url] https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0040[/url] empfiehlt auch hier die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstelle zu schließen. Oracle schließt mit seinem Patchday http://www.oracle.com/technetwork/java/javase/downloads/index.html rund 40 Lücken in Java. Betroffen von den Sicherheitslücken sind die Versionen 5, 6 und 7, jedoch gibt es nur für Java 7 ein öffentlich zugängliches Update. Für die früheren Versionen endet der Support. Nutzer sollten daher auf die aktuelle Version 7 umsteigen. PRISMA 6. EU will Strafen verschärfen: Cyber-Angriffe Der Innenausschuss des EU-Parlaments hat einen Richtlinienentwurf http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+IM-PRESS+20130603IPR11005+0+DOC+XML+V0//EN über Angriffe auf Informationssysteme verabschiedet, der einheitliche und hohe Strafen für Cyberkriminelle fordert. Zwischen zwei und fünf Jahren sollen kriminelle Hacker demnach ins Gefängnis kommen. Als schwerwiegende Angriffe werden unter anderem Botnetz-Attacken, der Missbrauch personenbezogener Informationen oder Attacken auf Kritische Infrastrukturen gewertet. Die Richtlinie sieht jedoch auch Strafen vor, wenn Hackerwerkzeuge verkauft, beschafft und verbreitet werden, mit denen sich Cyber-Angriffe ausführen lassen. Der Richtlinienentwurf hat auch zum Ziel, dass IT-Systeme besser gegen Angriffe geschützt und die Sicherheitsvorkehrungen erhöht werden. Dazu werden die Mitgliedstaaten z.B. verpflichtet, rund um die Uhr besetzte nationale Kontakt- und Meldestellen für den Informationsaustausch über Cyber-Attacken und Internetkriminalität einzurichten. Die Kooperation zwischen Staat, Wirtschaft und Bürgern im Kampf gegen Cyberkriminalität soll verbessert werden. In Deutschland traten bereits 2007 verschärfte Regelungen zu Cyber-Kriminalität in Kraft. Nun soll mit der europaweiten Richtlinie mehr Einheitlichkeit geschaffen und der Internationalisierung der Cyberkriminalität Rechnung getragen werden. 7. Jugendliche sensibilisieren: Cybermobbing Nur wenige Fälle von Cybermobbing nehmen solche Ausmaße an, wie der, der vor kurzem vor dem Bonner Landgericht verhandelt wurde: Dort erhielt ein 13-jähriger Schüler 5.000 Euro Schmerzensgeld, weil zwei Gleichaltrige ihn und seine Familie in einem Youtube-Video rassistisch und sexistisch verunglimpft hatten. Weniger schwere Fälle sind jedoch vielen Kindern und Jugendlichen bekannt. Um für die Problematik zu sensibilisieren unterstützt die Internetinitiative klicksafe ein neues Computerspiel für Kinder und Jugendliche welches in Koproduktion des Deutschen Kinderschutzbund Landesverband Bayern und Digital Treasure Entertainment entwickelt wurde. Mit „Jakob und die Cybermights“ http://www.jakob-und-die-cyber-mights.de/ haben Eltern und Lehrer die Möglichkeit, dem Nachwuchs Methoden und Strategien für einen sicheren Umgang mit modernen Medien auf unterhaltsame Weise näher zu bringen. Durch das Spiel sollen sich die Kinder und Jugendlichen nicht nur Sachwissen, zum Beispiel über Verhalten in Sozialen Netzwerken, die Verwendung von Pseudonymen und Nicknames und über sichere Passwörter aneignen, sondern auch ausprobieren, wie man sich gegen ungerechte Angriffe und Beleidigungen auch im Internet sinnvoll wehren kann. 8. Menschliche Fehler oder Hackerangriffe?: Sicherheitsverstöße Nach einer Studie des IT-Sicherheitsunternehmens Symantec http://www.symantec.com/about/news/release/article.jsp?prid=20130605_01 sind menschliche Fehler weltweit in fast zwei Dritteln aller Fälle der Auslöser für Sicherheitsverstöße und Datenpannen in Unternehmen. Anders jedoch in Deutschland: Laut der Studie wurden hier im vergangenen Jahr 48 Prozent der Datenpannen durch Hackerangriffe verursacht. Menschliche Fehler waren nur in 36 Prozent der Fälle der Auslöser und Systemfehler für die restlichen 16 Prozent verantwortlich. Die Kosten für den Verlust vertraulicher Informationen in Unternehmen steigen dabei weiter ungebrochen: Symantec beziffert die Kosten deutschlandweit mit 3,67 Millionen Euro in 2012. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER o INFORMIERT vom 21.06.2013 - | zum Seitenanfang |
|
|
Version 3.1 | Load: 0.001160 | S: 1_2 |