GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 15:21 - 19.02.2015 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 19.02.2015 Nummer: NL-T15/0004 Die Themen dieses Newsletters: 1. Firmware: Der schwache Punkt? 2. Online-Kriminalität: Identitätsdiebstahl nimmt stark zu 3. Linux: Multifunktionaler Trojaner entdeckt 4. Lenovo: Gefährliche Adware als Feature 5. AVG: Sicherheitsupdate für AVG Internet Security 6. Microsoft: Sicherheitsupdates Februar 2015 7. Kryptografie: Die Uhrzeit, das Internet und das nicht Banale 8. Mozilla: Signatur soll Add-Ons sicherer machen 9. IT-Sicherheit: Big Data als Beifahrer EDITORIAL Liebe Leserin, lieber Leser, am 10. Februar fand der jährliche Safer Internet Day statt. Die Initiative der Europäischen Kommission rief wieder weltweit zu Veranstaltungen und Aktionen rund um das Thema Internetsicherheit auf. Dass solche Aktionen weiterhin nötig sind, zeigt die jüngste Statistik des Sicherheitsunternehmens Gemalto. Demnach stieg Datenmissbrauch gegenüber dem Vorjahr um 49 Prozent und Datendiebstahl sogar um 71 Prozent an. Was ebenfalls zunimmt, ist Elektronik im Auto – und damit die Möglichkeiten, selbige zu manipulieren oder Daten aus ihr abzuschöpfen. Da lassen sich Türen mit fremden Handys öffnen und KFZ-Versicherungen können das Fahrverhalten des Kunden ermitteln. Wann mehr tatsächlich besser ist, bleibt also häufig Ermessenssache. IT-Sicherheit im Auto gerät jedenfalls mehr ins Blickfeld von Datenschützern und IT-Unternehmen. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Firmware: Der schwache Punkt? Sie verwenden einen aktuellen Virenscanner, Sie installieren Software-Updates sobald diese erschienen sind? Das ist alles sinnvoll und wichtig, und doch sieht dieser nicht mehr ganz frische Kommentar von Golem http://www.golem.de/news/imho-sichert-firmware-endlich-nachpruefbar-ab-1501-111826.html eine Schwachstelle in der Firmware Ihres Geräts. Hersteller von Hardware, gleichgültig welchen Betriebssystems, hätten lange übersehen, dass auch Firmware angreifbar ist und darüber vergessen, diese abzusichern. Das Thema bleibt vor dem Hintergrund aktuell, dass die russische IT-Sicherheitsfirma Kaspersky Lab Informationen zu der als Equation Group bekannten Hacker-Gruppe http://www.zeit.de/digital/datenschutz/2015-02/equation-group-stuxnet-kaspersky veröffentlicht hat, die Firmware infiziert hat. 2. Online-Kriminalität: Identitätsdiebstahl nimmt stark zu Die Computerwoche zitiert das Sicherheitsunternehmen Gemalto http://www.computerwoche.de/a/identitaetsdiebstahl-auf-dem-vormarsch,3094017, wonach Online-Kriminalität weiter zunimmt. Bei 54 Prozent aller Angriffe hätten es die Kriminellen auf den Diebstahl von Identitäten angelegt, deren Auswirkungen in einem Drittel aller Fälle als "schwerwiegend" oder "katastrophal" eingestuft werden würden. 3. Linux: Multifunktionaler Trojaner entdeckt Für Linux geschriebene Schadsoftware ist vergleichsweise selten, doch jetzt wurde ein Trojaner entdeckt http://www.zdnet.de/88219238/dr-web-entdeckt-multifunktionalen-linux-trojaner/, der als Alleskönner durchgehen kann. Über einen infizierten Rechner lassen sich unter anderem DDoS-Angriffe durchführen, Dateien löschen und Zugangsdaten verschicken. Für die Installation des Schädlings benötigen Angreifer allerdings sogenannte Root-Rechte, die Administratorrechten anderer Betriebssystemen ähnlich sind. Ein wirklich gutes Passwort schützt Anwender also auch hier. 4. Lenovo: Gefährliche Adware als Feature Lenovo liefert verschiedene aktuelle Notebook-Modelle mit vorinstallierter Adware aus, die zudem den Schutz von HTTPS-Verbindungen aushebelt. Die vorinstallierte Software namens Superfish Visual Discovery analysiert Websites, die der Nutzer aufruft, um als passend zum aufgerufenen Inhalt erkannte Werbebanner einzublenden. Damit ist Superfish Visual Discovery als Adware oder als potenziell unerwünschte Software (PUP oder Bloatware) einzustufen. Erheblicher ist, dass das Programm den Schutz von verschlüsselten HTTPS-Verbindungen umgeht, um auch auf diesen Seiten Werbung anzeigen zu können. Dieser Angriffspunkt bleibt, wie Zeit Online schreibt http://www.zeit.de/digital/datenschutz/2015-02/superfish-lenovo-adware-hebelt-https-aus, auch bestehen, wenn Superfish deinstalliert wird. Lenovo habe "sich entschlossen, vorerst neue Geräte ohne Superfish auszuliefern". SCHUTZMASSNAHMEN 5. AVG: Sicherheitsupdate für AVG Internet Security Bei AVG Internet Security handelt es sich um das für Windows Systeme verfügbare Antivirenprogramm der Firma AVG. AVG hat Sicherheitsupdates https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0013 für die Versionen AVG Internet Security 2013.3495 und AVG Internet Security 2015.5315 veröffentlicht. 6. Microsoft: Sicherheitsupdates Februar 2015 Mit dem Februar-Patchday stellt Microsoft Sicherheitsupdates für mehrere Produkte zur Verfügung, unter anderem für Windows, Microsoft Office und den Internet Explorer (1 https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0014, 2 https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0015). Zwar empfiehlt das BSI insgesamt die Installation der Sicherheitsupdates, doch auch in diesem Monat kam es bei einer Reihe von Anwendern zu Problemen. Bei einigen hängte sich der Windows-Rechner während der Installation auf http://www.heise.de/security/meldung/Vorsicht-Microsoft-Patch-legt-Rechner-lahm-2545913.html, während in anderen Fällen zum Beispiel Office 2003 einige Schrifttypen nunmehr unsauber anzeigt. Letzteres liegt daran, dass ein Patch die Kantenglättung mancher Schriftarten zerstört. Microsoft Office 2010 und andere Programme, die keinen Gebrauch von der systemseitigen Kantenglättung machen, sind nicht betroffen. Microsoft ist der Sachverhalt bekannt, das erstgenannte und deutlich größere Problem ist bereits behoben. PRISMA 7. Kryptografie: Die Uhrzeit, das Internet und das nicht Banale Moderne Betriebssysteme bieten die Möglichkeit, die Uhr, die der Computer anzeigt, über das Internet zu stellen. Das NTP-Protokoll, das dafür verwendet wird, wurde bereits Mitte der achtziger Jahre entwickelt und genügt heutigen Ansprüchen an IT-Sicherheit nicht mehr. Nun muss die Uhrzeit nicht verschlüsselt übertragen werden, sie ist schließlich nicht geheim. Doch NTP kann für Angriffe genutzt werden. Golem http://www.golem.de/news/openbsd-sichere-uhrzeit-mit-ntp-und-https-1502-112370.html beschäftigt sich mit der Frage eines Nachfolgers. 8. Mozilla: Signatur soll Add-Ons sicherer machen Add-Ons, auch als Browser-Plugins bekannt, erweitern einen Browser oft um sinnvolle Funktionen. Gleichzeitig bildet jede zusätzliche Software auch ein potenzielles Einfallstor für Online-Kriminelle, weshalb das BSI dazu rät, nicht (mehr) gebrauchte Software und Add-Ons wieder zu deinstallieren. Um wenigstens weitgehend auszuschließen, dass solche Add-Ons Schadsoftware installieren, möchte die Mozilla Foundation den offenen Internetbrowser Firefox in Zukunft etwas weniger offen http://www.sueddeutsche.de/digital/mozilla-addons-kritik-an-geplanten-digitalen-signaturen-1.2356364 gestalten: Add-Ons sollen sich nur noch installieren lassen, wenn diese zuvor von Mozilla überprüft und signiert wurden. 9. IT-Sicherheit: Big Data als Beifahrer Autos sollen uns vor allem sicher von A nach B bringen. Die Verkehrssicherheit nahm seit den Herren Daimler, Benz und Horch auch stets zu. Sicher ist allerdings auch, dass heute Elektronik in Autos verbaut wird als wären es Raumschiffe: Head-Up-Display hier, Bildschirm dort, GPS, Internet – und die Türen öffnen und schließen sich ebenfalls längst elektronisch. Eventuell auch von anderen Personen als den Besitzern, wie Tesla http://www.spiegel.de/auto/aktuell/tesla-model-s-von-hackern-fremdgesteuert-a-982481.html und BMW http://www.zeit.de/mobilitaet/2015-01/bmw-hacker-sicherheit bereits feststellen mussten. Zudem sammelt die Elektronik Daten, die der Blechkamerad Herstellern, Versicherungen oder gänzlich unbefugten Personen ausplaudern kann. Der Bundesverband der Verbraucherzentralen hat dazu ein Grundsatzpapier veröffentlicht http://www.vzbv.de/pressemeldung/gier-nach-autodaten, das vor Datensammelwut und Manipulation warnt. Golem sieht Autos gleich als "fahrende Sicherheitslücken" http://www.golem.de/news/datensicherheit-und-datenschutz-autos-sind-fahrende-sicherheitsluecken-1502-112258.html. Das Thema wird also diskutiert – im Juni dieses Jahres auch in Köln auf der Konferenz „IT Security for Vehicles“ https://www.bsi.bund.de/SharedDocs/Termine/DE/2015/VDI-IT-Sicherheit-in-Autos.html, auf der auch das BSI vertreten sein wird. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 19.02.2015 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.003912 | S: 1_2 |