SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 16.04.2015
Nummer: NL-T15/0008

Die Themen dieses Newsletters:
1. Apps: Hoher Anteil an Gray- und Schadsoftware
2. D-Link: Sicherheits-Update erhöht Zahl der Sicherheitslücken
3. Adobe: Sicherheitsupdates für Flash Player
4. Apple: Neue Updates für OS X und iOS
5. Google: Sicherheitsupdate für den Chrome Browser
6. Microsoft: April-Update schließt diverse Sicherheitslücken
7. Verschlüsselung: Auch Mozilla möchte HTTPS zum Standard machen
8. Computer-Kriminalität: Mit Schadsoftware zum Jackpot?
9. Hacker-Angriffe: "Deutschland hat Glück gehabt"

EDITORIAL
Liebe Leserin, lieber Leser,

die Hacker-Angriffe auf die belgische Zeitung Le Soir, den französischen
Sender TV5Monde und – auch erst unlängst – Sony Pictures Entertainment
werfen die Frage auf, ob das nicht auch in Deutschland passieren kann.
Ja, kann es. Betroffen können statt Medienunternehmen auch andere
kritische Infrastrukturen wie die Energie- oder Wasserversorgung sein.
Zum Glück ist Deutschland bisher nicht von einem Hacker-Angriff mit
weitreichenden Folgen betroffen gewesen. Hoffen auf Glück ist jedoch kein
Konzept, und so sind weitere Anstrengungen nötig, Informationstechnik so
sicher wie möglich zu gestalten.

Was für Konzerne wie Sony Pictures gilt, gilt im übertragenen Sinne auch
für kleine Unternehmen und Privatanwender. Symantec berichtet, dass von
6,3 Millionen getesteten Apps 1 Millionen Schadsoftware sind. Hinzu kämen
noch weitere 2,3 Millionen Apps, die von den Testern als "Grayware"
eingestuft werden, also nicht unmittelbar Schaden anrichten, dafür aber
zum Beispiel Ihr Nutzerverhalten ausspionieren. Wenn private Smartphones
oder Tablets auch dienstlich genutzt werden, vergrößert sich ein
eingetretener Schadensfall schnell erheblich.

Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Apps: Hoher Anteil an Gray- und Schadsoftware

Symantec hat im vergangenen Jahr 6,3 Millionen mobile Apps analysiert und
davon eine Millionen, 16 Prozent, als Schadsoftware
eingestuft http://www.zdnet.de/88231599/symantec-stuft-17-prozent-aller-android-apps-als-malware-ein.
Besonders häufig betroffen sind für Android entwickelte Apps.
Zu den von Symantec als Schadsoftware klassifizierte Apps kommen 2,3
Millionen weitere Apps, die das Unternehmen als "Grayware" betrachtet.
Grayware schädigt nicht direkt Systeme, zeigt aber ein vermutlich
unerwünschtes Verhalten. Zum Beispiel kann Grayware das Nutzerverhalten
registrieren und den Entwicklern mitteilen.
Symantec erwartet für 2015 nicht nur ein weiteres Wachstum von
Schadsoftware für mobile Geräte. Sie wird, so die Prognose, zugleich
"aggressiver und das Geld der Nutzer ins Visier nehmen". Bereits heute
würde für Android geschriebene Schadsoftware Textnachrichten mit
Anmelde-Daten der Banken ausgelesen und an Kriminelle weitergeleitet.
Das BSI empfiehlt, nur so viele Apps wie nötig zu verwenden, diese aus
vertrauenswürdigen Quellen zu beziehen und die Zugriffsberechtigungen der
Apps zu kontrollieren.

2. D-Link: Sicherheits-Update erhöht Zahl der Sicherheitslücken

Im März berichteten wir von "schutzbedürftigen
Routern" https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0005
unter anderem der Firma D-Link, die Sicherheitslücken aufwiesen und nur
unzureichende Patches erhalten hatten. Nun hat D-Link mit dem Versuch,
drei weitere Sicherheitslücken bei den Modellen DIR-645 und DIR-890L zu
schließen, offensichtlich nur erreicht, den bekannten
Lücken eine weitere
hinzuzufügen http://www.heise.de/security/meldung/D-Link-Patch-ergaenzt-Sicherheitsluecken-durch-neue-Luecke-2607642.html.
Die ursprünglichen Lücken ermöglichen es, Schadcode einzuschleusen, ohne
vorherige Anmeldung Admin-Funktionen auszuführen und einen sogenannten
Stack-Überlauf auszunutzen. Stack-Überläufe können ebenfalls dazu genutzt
werden, um Schadcode auszuführen. Nach Ansicht der
Hacker-Gruppe
/dev/ttyS0 http://www.devttys0.com/2015/04/what-the-ridiculous-fuck-d-link/
(Seite auf englisch) schließt das zur Verfügung gestellte Update der
Firmware diese Lücken nicht, ermöglicht jedoch, einen weiteren
Stack-Überlauf auszunutzen.

SCHUTZMASSNAHMEN
3. Adobe: Sicherheitsupdates für Flash Player

Adobe hat mehrere Sicherheitslücken im Flash
Player https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0030
für Windows, OS X und Linux geschlossen. Die Aktualisierung erhalten Sie
über das Adobe Flash Player Download Center, sofern Sie nicht die
automatische Update-Funktion innerhalb des Produktes nutzen. Für Google
Chrome und Internet Explorer unter Windows 8.x wird der Adobe Flash
Player automatisch auf die Version 17.0.0.169 aktualisiert.

4. Apple: Neue Updates für OS X und iOS

Apple hat ein Sicherheitsupdate für Apple OS X Yosemite auf die Version
10.10.3 sowie Aktualisierungen für die Versionen 10.9.5 und 10.8.5
herausgegeben. Es werden mehrere Sicherheitslücken
geschlossen https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0029,
durch die ein nicht als Benutzer angemeldeter Angreifer aus dem Internet
unter anderem die Kontrolle über Ihr System erlangen kann. Mit dem Update
soll auch das Risiko von Adware reduziert
werden http://www.heise.de/security/meldung/OS-X-10-10-3-soll-gegen-Adware-helfen-2601940.html.
Adware wird zunehmend kostenlos verteilten Programmen beigelegt und
verändert unter anderem Browser-Einstellungen.

Außerdem hat Apple die Versionsnummer des Betriebssystems iOS mit einem
weiteren Update auf 8.3 erhöht und damit mehrere, auch sehr
schwerwiegende Sicherheitslücken der Vorgängerversion
geschlossen https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0028.

5. Google: Sicherheitsupdate für den Chrome Browser

Der Google Chrome Browser für Linux, OS X und Windows enthält mehrere
Sicherheitslücken, die von dem verfügbaren
Sicherheitsupdate https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0032
behoben werden. Die Sicherheitslücken erlauben einem Angreifer aus dem
Internet verschiedene Angriffe, durch die Ihr System massiv geschädigt
werden kann.

6. Microsoft: April-Update schließt diverse Sicherheitslücken

Der zweite Dienstag des Monats ist Microsoft Patchday, an dem das
Unternehmen gebündelt Programm-Aktualisierungen veröffentlicht. Der
April-Patchday lag in diesem Jahr nicht nur in zeitlicher Entfernung zu
den Späßen zum Monatsanfang, sondern schloss gleich 26
Sicherheitslücken https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0031.
Von diesen werden diverse als kritisch eingestuft.

Sofern noch nicht geschehen, sollten Sie alle Aktualisierungen umgehend
installieren.

PRISMA
7. Verschlüsselung: Auch Mozilla möchte HTTPS zum Standard machen

Die Mozilla Foundation, die unter anderem den Browser Firefox herausgibt,
schließt sich dem Trend an, verschlüsselte Verbindungen zum
Standard zu
erheben http://www.golem.de/news/verschluesselung-auch-mozilla-will-https-zum-standard-machen-1504-113489.html.
Langfristig solle im Internet nur noch über HTTPS-Verbindungen
kommuniziert werden. Zwar handelt es sich hierbei nur um eine
Diskussionsgrundlage, allerdings sind zuletzt häufig Rufe nach genereller
Verschlüsselung von Internet-Kommunikation laut geworden. Verschlüsselung
kann auch verhindern, dass durch einen Man-in-the-Middle-Angriff
Informationen manipuliert werden.

8. Computer-Kriminalität: Mit Schadsoftware zum Jackpot?

Ein Amerikaner soll mithilfe einer selbst entwickelten Schadsoftware
einen Lotterie-Computer so manipuliert haben, dass ihm ein
Gewinn in Höhe von 14,3 Millionen Dollar
zufiel http://www.spiegel.de/netzwelt/games/lotterie-in-den-usa-mann-soll-computer-manipuliert-haben-a-1028455.html.
Der mutmaßliche Täter ist ein 51-jähriger ehemaliger Mitarbeiter der
Lotteriegesellschaft. Er soll seine privilegierte Stellung ausgenutzt
haben, um in einen gesicherten Raum zu treten, in dem der elektronische
Zufallsgenerator steht. Über einen USB-Stick habe er eine Schadsoftware
eingespielt, die dem Zufall die Unberechenbarkeit nahm und ihm dafür eine
Gewinngarantie gab.

9. Hacker-Angriffe: "Deutschland hat Glück gehabt"

Die Hacker-Angriffe auf den französischen Sender
TV5Monde http://www.zeit.de/digital/internet/2015-04/hackerangriff-deutschland-bsi-bericht
und die belgische Zeitung Le
Soir http://www.mz-web.de/politik/nach-hackerangriff-auf-tv5-hackerangriff-auf-deutsche-tv-sender-moeglich,20642162,30393674.html
haben die Frage aufgeworfen, ob vergleichbares auch in Deutschland
möglich ist. Grundsätzlich lautet die Antwort: "Ja." Bereits zum
Jahresanfang hatte BSI-Präsident Michael Hange vor einer "digitalen
Sorglosigkeit" gewarnt. Grund zur Häme gegenüber TV5 ist das jedoch
nicht. Deutschland habe bislang "Glück gehabt", nicht von einem
Hacker-Angriff mit weitreichenden Folgen betroffen gewesen zu sein, sagt
Andreas Könen, Vizepräsident des BSI, der ARD. Das Hoffen auf Glück ist
jedoch kein Konzept. Zwar ist Deutschland in der Sicherung der
Regierungsnetze gut aufgestellt, doch es müssen weitere Anstrengungen
unternommen werden, um digitale Infrastrukturen zu schützen.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de