GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 18:44 - 04.09.2014 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 04.09.2014 Nummer: NL-T14/0018 Die Themen dieses Newsletters: 1. Kabel Deutschland: App mit Datenleck 2. WLAN: WPS-PIN lässt sich leicht ermitteln 3. Facebook: Vorsicht vor gefälschter Abmahnung 4. Mozilla die Erste: Neue Versionen von Firefox, Firefox ESR und Thunderbird 5. Mozilla die Zweite: Sicherheitsupdate für Mozilla Firefox für Android 6. VirusTotal: Cyber-Kriminelle nutzen Dienst zur Verfeinerung von Schadsoftware 7. IFA: Das BSI auf der Internationalen Funkausstellung EDITORIAL Guten Tag, noch vor wenigen Jahren war eine Armee an verschiedenen Fernbedienungen im Wohnzimmer nicht unüblich: Eine für den Fernseher, einen für den Rekorder und eine dritte für die Audio-Anlage. Heute übernehmen das gerne Apps, womit das Smartphone nicht nur das Telefon und den Stadtplan ersetzt, sondern auch Fernbedienungen. Dumm nur, wenn die App Ihre Zugangsdaten zu Bezahl-Fernsehen und E-Mail im Klartext verschickt. So hält es die App von Kabel Deutschland, deren Entwickler sich der fahrlässigen Annahme hingaben, ohne Verschlüsselung auskommen zu können. Natürlich lässt sich grundsätzlich jede Verschlüsselung knacken und jedes Passwort ermitteln. Die Frage ist, wie schwer man es Angreifern macht. Bei kabellosen Netzwerken, WLAN, gibt es häufig eine PIN, die der Hersteller vergibt und von der es seit Langem hieß, sie sei zu einfach zu ermitteln: Die WPS-PIN. Nun stellt sich heraus, dass es nicht höchstens 11.000 Versuche, sondern nur einen und etwas Rechenarbeit braucht, um in das Netzwerk einzubrechen. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Kabel Deutschland: App mit Datenleck Die von Kabel Deutschland angebotene Programm-Manager-App für Android und iOS überträgt die Zugangsdaten ihrer Nutzer im Klartext. Zum Beispiel jedes Mal beim Einloggen. Ein Angreifer kann die Daten daher mühelos abfangen und damit den Kabel-Deutschland-Anschluss des App-Nutzers manipulieren. Zwar lässt sich mit der App selbst nur der digitale TV-Rekorder programmieren, mit den Zugangsdaten kann sich ein Angreifer jedoch auch in den Kundenbereich von Kabel Deutschland einwählen. Dort kann er zum Beispiel kostenpflichtige Angebote buchen oder auf die E-Mails und die Dateien in der Cloud des Opfers zugreifen. Der Consultant Peter Hämmerlein hatte das Sicherheitsproblem bereits Anfang des Jahres entdeckt und daraufhin Kabel Deutschland informiert. Weil er, was ebenfalls bedenklich ist, darauf keine Reaktion erhielt, wandte er sich an heise Security http://www.heise.de/-2305468.html. 2. WLAN: WPS-PIN lässt sich leicht ermitteln WiFi Protected Setup (WPS) erleichtert die Konfiguration von WLAN. Soweit die gute Seite der Nachricht. Die Schlechte ist, dass die Ziffernfolge, auf die sich WPS stützt, die WPS-PIN, leicht ermittelt werden kann: Ein Schweizer Hacker brauchte nur einen Einbruchsversuch http://www.spiegel.de/netzwelt/web/wps-hacker-warnt-vor-router-schutzfunktion-a-989173.html und konnte im Anschluss die korrekte Ziffernfolge errechnen. Damit kann die WPS-PIN (noch) schneller gehackt werden als zuvor bekannt. Das BSI empfiehlt https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheitstipps/sicherheitstipps_node.html deshalb, die Konfiguration per WPS nicht dauerhaft eingeschaltet zu lassen sowie nicht benötigte Funktionen generell abzuschalten. Denn jede Funktion bildet ein potenzielles Angriffsziel für Cyber-Kriminelle. 3. Facebook: Vorsicht vor gefälschter Abmahnung Es machen wieder gefälschte Abmahnungen die Runde. Dieses Mal werden sie von einem vorgeblichen Rechtsanwalt verschickt, der angibt, die "Facebook GmbH" zu vertreten. Gemahnt wird ein überschaubarer Betrag von gut 50 Euro, der angeblich fällig würde, weil Ihr Girokonto nicht gedeckt war. Wenig überraschend befinden sich im Dateianhang nicht nur die versprochenen Details, sondern auch Schadsoftware. Ein Exemplar der gefälschten E-Mail finden Sie auf Spam-Info.de http://www.spam-info.de/4428/vorsicht-vor-gefaelschter-facebook-abmahnung/. Sollten Sie zu den Empfängern gehören, löschen Sie die E-Mail. SCHUTZMASSNAHMEN 4. Mozilla die Erste: Neue Versionen von Firefox, Firefox ESR und Thunderbird Mozilla schließt mehrere Schwachstellen https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0083, durch die ein Angreifer die genannten Anwendungen zum Absturz bringen, Informationen ausspähen oder beliebige Befehle ausführen kann. Insbesondere über die Befehlsausführung kann ein Angreifer auf Ihrem System Schaden anrichten. Darum sollten Sie das Sicherheitsupdate zügig installieren. 5. Mozilla die Zweite: Sicherheitsupdate für Mozilla Firefox für Android Auch für das Betriebssystem Android schließt Mozilla eine Sicherheitslücke https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0082, durch welche ein Angreifer zum Teil sensible Informationen ausspähen kann. Auch hier finden Sie auf der verlinkten Seite eine Referenz, die Sie nutzen können, um Ihren Firefox Browser zu aktualisieren. PRISMA 6. VirusTotal: Cyber-Kriminelle nutzen Dienst zur Verfeinerung von Schadsoftware Entwickler von Schadsoftware laden offenbar bereits seit Jahren ihre Viren und Trojaner bei VirusTotal hoch. Letzterer ist ein inzwischen von Google übernommener Dienst, der Dateien auf Schadsoftware überprüft. VirusTotal wird wohl missbraucht, um Schadcode zu perfektionieren und Anti-Viren-Programme auszutricksen, berichtet Heise online http://www.heise.de/security/meldung/Cyberkriminelle-nutzen-Antiviren-Webdienst-VirusTotal-um-Schadcode-zu-verfeinern-2314500.html. 7. IFA: Das BSI auf der Internationalen Funkausstellung Die Internationale Funkausstellung IFA http://b2c.ifa-berlin.de öffnet auf dem Messegelände in Berlin wieder ihre Toren. Vom 5. bis zum 10 September können Sie sich über neue Produkte und Tendenzen in der Unterhaltungselektronik informieren und Antworten auf Fragen finden. Ihre Fragen zur Sicherheit in der Informationstechnik beantworten wir vom BSI gerne am Stand der Deutschen Telekom 4/100 im Bereich "Pink Service". Wir freuen uns auf Ihr Kommen. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 04.09.2014 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.001888 | S: 1_2 |