GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 15:24 - 28.05.2015 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 28.05.2015 Nummer: NL-T15/0011 Die Themen dieses Newsletters: 1. Wieder Schadsoftware bei Google Play: Android 2. Geräte lassen sich nicht sicher zurücksetzen: Android 3. Manipulation an Routern führt zu gefälschten Angeboten: Phishing 4. Sicherheitsupdate für den Google Chrome Browser: Browserupdate 5. Sinnvolles Add-On für den Firefox-Browser: PassSec+ 6. Google stellt kritische Fragen zu Sicherheitsfragen: Passwörter 7. Einfallstor für Schadprogramme: E-Mail-Sicherheit 8. 14. Deutscher IT-Sicherheitskongress beendet: BSI EDITORIAL Liebe Leserin, lieber Leser, lassen Sie uns an dieser Stelle ausnahmsweise raten: Ihre Lieblingsfarbe ist blau. Nein? Dann raten wir noch etwas weiter oder schauen auf Ihrer Facebook-Seite nach, ob Sie diese dort verraten. Wenn ja, könnten wir womöglich hier oder da Ihr Passwort zurücksetzen. Die Antwort auf eine sogenannte Sicherheitsfrage zum Zurücksetzen eines vergessenen Passworts ist letztendlich nichts anderes als ein weiteres Passwort, und zwar eines, das relativ leicht zu erraten oder zu ermitteln ist. Mit Sicherheit hat das eher wenig zu tun, wie nun zwei Mitarbeiter von Google in einer Studie detailliert begründet haben. Auch die Antwort "blau" gegen "RAL 5019 Capriblau" zu ersetzen hilft demnach nicht weiter: komplexe oder sinnentstellende Antworten werden ebenso gerne vergessen wie komplizierte Passwörter. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Wieder Schadsoftware bei Google Play: Android Googles eigener Vertrieb für Android-Anwendungen, Google Play, gilt eigentlich als gute Bezugsquelle. Ein automatischer Mechanismus und menschliche Prüfer sollen Schadsoftware abweisen. Dennoch gelingt es Kriminellen immer wieder, eben diesen Schutz auszutricksen und bei Google Play Malware-Schleudern (siehe unser Newsletter hier https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0003 oder unwirksame Antiviren-Programme ("Fälschung" https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T14-0008#anchor4) anzubieten. Zuletzt hat Google 30 Apps aus dem Play Store entfernt http://www.spiegel.de/netzwelt/web/minecraft-fake-apps-bringen-schadsoftware-aufs-handy-a-1035524.html die vorgeblich Fans des Spiels "Minecraft" mit Rat und Schummelei zur Seite stehen wollten. Minecraft-Fans gibt es sehr viele, das Spiel http://www.taz.de/!5015080/ hat sich seit Erscheinen 2011 über 56 Millionen mal verkauft. Auf YouTube sind Videos, die Spielstrategien für Minecraft vermitteln, nach Musikclips die am häufigsten gesehenen Videos. Wie es häufig mit Populärem der Fall ist, ruft auch Minecraft Online-Kriminelle auf den Plan. Statt der versprochenen Hilfe erhielten Nutzer den Hinweis, ihr Gerät sei infiziert (was nunmehr stimmte) und ein teures Abonnement könne helfen - was nicht stimmte, sieht man von der finanziellen Hilfe für Online-Kriminelle ab. Die Apps wurden bis zur ihrer Entfernung hunderttausendfach heruntergeladen. Das BSI empfiehlt, nur wirklich benötigte Apps von vertrauenswürdigen Anbietern zu installieren. 2. Geräte lassen sich nicht sicher zurücksetzen: Android Wer sein Smartphone oder Tablet weitergibt, setzt es vorher auf den Werkszustand zurück. Sicherheitsforscher haben nun herausgefunden, dass das bei Android-Geräten nicht gelingt http://www.golem.de/news/android-schluessel-werden-auf-zurueckgesetzten-smartphones-nicht-geloescht-1505-114238.html. Von Apps, die vorgeben, alle Inhalte des Benutzers rückstandslos zu löschen, halten die Forscher ebenfalls nicht viel. In allen Fällen ließen sich die Daten wiederherstellen, und zwar auch dann, wenn diese zuvor verschlüsselt wurden. Abhilfe gibt es zur Zeit leider noch nicht, es sei denn, man möchte das Gerät mithilfe eines Vorschlaghammers zurücksetzen. 3. Manipulation an Routern führt zu gefälschten Angeboten: Phishing Webseiten lassen sich so manipulieren, dass mindestens 40 Router-Modelle umkonfiguriert werden können. Die manipulierten Router können auch dann zu gefälschten Online-Angeboten führen, wenn die Internet-Adresse korrekt eingegeben wurde. Wie Spiegel Online beschreibt http://www.spiegel.de/netzwelt/web/virenforscher-warnt-angreifer-veraendern-dns-einstellungen-von-routern-a-1035528.html, gelingt der Angriff über eine Änderung an den DNS-Einstellungen. Das Domain-Name-System (DNS) ist eine Art Wegweiser, der eine im Browser eingegebene Adresse wie „www.bsi.bund.de“ in die korrekte IP-Adresse („Anschlussnummer“) umwandelt. Verantwortlich für die Umwandlung von Namen in Ziffernfolgen sind sogenannte Nameserver, an die Router ihre Anfragen richten. Die Angreifer haben die befallenen Router so manipuliert, dass sie Anfragen an falsche Nameserver verschicken. Diese wiederum leiten zu gefälschten Online-Angeboten weiter, wo sich Passwörter und andere persönliche Daten abfangen lassen. Schutz bietet eigene Aufmerksamkeit und das Einhalten unserer Sicherheitstipps für LAN und WLAN https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/LAN/Sicherheitstipps/sicherheitstipps_node.html. SCHUTZMASSNAHMEN 4. Sicherheitsupdate für den Google Chrome Browser: Browserupdate Der Google Chrome Browser https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0040 vor Version 43.0.2357.65 enthält mehrere schwere Sicherheitslücken. Die Sicherheitslücken erlauben einem Angreifer aus dem Internet verschiedene Angriffe auf Ihr System wie beispielsweise das Ausführen beliebiger Befehle, das Manipulieren von Dateien und Umgehen von Sicherheitsvorkehrungen. Dadurch kann ein Angreifer Ihr System massiv schädigen. Das verfügbare Sicherheitsupdate behebt die Sicherheitslücken. 5. Sinnvolles Add-On für den Firefox-Browser: PassSec+ Zusammen mit Partnern hat die Technische Universität Darmstadt ein Add-On für Firefox entwickelt, das einen besseren Schutz von Passwörtern und Zahlungsdaten ermöglicht, die man im Internet eingeben muss, beispielsweise wenn man sich bei einem Online-Dienst anmeldet oder in einem Online-Shop etwas kaufen möchte. Das Add-On steht auf der Webseite der TU Darmstadt https://www.secuso.informatik.tu-darmstadt.de/de/research/results/passsec-deutsch/ zum kostenlosen Download zur Verfügung. PRISMA 6. Google stellt kritische Fragen zu Sicherheitsfragen: Passwörter "In welcher Stadt wurden Sie geboren?", "Wie hieß Ihr erstes Haustier?" - so oder ähnlich lauten Sicherheitsfragen zur Wiederherstellung verloren gegangener Passwörter. Elie Bursztein und Ilan Caron von Google haben jetzt in einer Studie begründet http://www.zdnet.de/88235627/google-sicherheitsabfragen-taugen-nichts/, was bislang eher ein Bauchgefühl war: Antworten auf solche Fragen sind entweder unschwer zu erraten oder oft schneller vergessen als das eigentliche Passwort. Die Autoren kommen auch zu der Feststellung, dass Antworten auf Fragen nach zum Beispiel dem Haustiernamen oder dem bevorzugten Reiseland gerne in sozialen Netzen ausgeplaudert werden. Bewusst falsche oder unsinnige Antworten werden dagegen genau so rasch vergessen wie komplexe. Die Frage nach dem Lieblingsessen, die gewiss nicht nur Amerikaner zu knapp 20 Prozent mit "Pizza" beantworten, wird also nicht tauglicher, wenn sie mit "Tamagoyaki" beantwortet wird, was immerhin noch essbar wäre. Die Autoren schlagen stattdessen eine Zwei-Faktor-Authentifizierung vor. 7. Einfallstor für Schadprogramme: E-Mail-Sicherheit In seinem Quartalsthema Thema Q2/2015: E-Mail-Sicherheit https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Themen/themenseite.html beschäftigt sich das BSI auf der Seite der Allianz für Cyber-Sicherheit mit den Bedrohungen der E-Mailkommunikation. E-Mails werden sowohl im beruflichen als auch im privaten Kontext häufig eingesetzt und sind - im Gegensatz zum analogen Brief - von überall abruf- und verschickbar. Dieser Fakt sorgt dafür, dass E-Mails als ein beliebtes Einfallstor für digitale Schädlinge aller Art angesehen werden. Über die digitale Post können sich Schadprogramme wie Viren, Würmer und Trojanische Pferde verbreiten. Unser Quartalsthema richtet sich schwerpunktmäßig an professionelle Nutzer und Administratoren von E-Mail-Diensten. Einige nützliche Tipps und Anregungen für Privatanwender sind jedoch auch dabei. Mehr Informationen zu den Risiken des E-Mail-Verkehrs und Empfehlungen, wie Sie sich schützen können, finden Sie natürlich auch auf der Seite BSI für Bürger https://www.bsi-fuer-buerger.de. 8. 14. Deutscher IT-Sicherheitskongress beendet: BSI Im Rahmen des vom BSI veranstalteten Deutschen IT-Sicherheitskongresses https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2015/Kongressabschluss_22052015.html informierten sich vom 19. bis 21. Mai Hersteller, Anwender und Dienstleister in Wirtschaft, Wissenschaft und Verwaltung über den Stand der nationalen und internationalen Entwicklungen zur IT-Sicherheit. Rund 600 Personen nahmen teil. Die inhaltliche Bandbreite mit Keynotes und Vorträgen zu Themen wie sichere Mobilkommunikation, Sicherheitsmanagement, Cloud Computing oder Industrial Security spiegelte den Bedeutungszuwachs der IT-Sicherheit in allen Teilen der Gesellschaft wieder. Zum Abschluss des Kongresses vergab das BSI zum fünften Mal den Best Student Award, der in diesem Jahr an Andreas Fießler von genua mbH verliehen wurde. Mit seinem Beitrag zum Thema "HardFIRE – ein Firewall-Konzept auf FPGA-Basis" legte Fießler einen innovativen und praxisorientierten Lösungsansatz für das immer drängendere Problem aktueller Firewalls vor, dem wachsenden Datenvolumen durch die stetig steigenden Bandbreiten zu begegnen, so die Begründung der Jury. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 28.05.2015 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.002120 | S: 1_2 |