GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 16:01 - 03.09.2015 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 03.09.2015 Nummer: NL-T15/0018 Die Themen dieses Newsletters: 1. Android: Schadsoftware ab Händler 2. iOS: KeyRaider erbeutet Zugangsdaten und Bestechungsgelder 3. Router die Erste: Heimrouter mit schwachem Passwort 4. Router die Zweite: Heimrouter ohne Passwort 5. SmartTV: Freie Wahl bei Angriffspunkten 6. Google: Chrome Browser erhält Sicherheitsupdate 7. Mozilla: Sicherheitsupdates für Firefox und Thunderbird 8. Google: Sicherheitschef fordert Standards für das Internet der Dinge 9. BSI: Das BSI auf der D-A-CH Security EDITORIAL Liebe Leserin, lieber Leser, man sollte ja annehmen, dass sich Hersteller von Routern der Bedeutung von Geräte-Passwörten bewusst sind. Verschiedene Berichte in den Medien können daran jedoch Zweifel aufkommen lassen. Da sind Passwörter mancher Geräte fest vorgegeben und lassen sich zudem leicht ermitteln. Ein anderes Modell wird gleich ganz ohne Passwort für dessen Administrationsmenü ausgeliefert und enthält zudem diverse weitere Sicherheitslücken. Kurze Produktzyklen und vielleicht auch das Drängen in das Weihnachtsgeschäft, das in diesem Monat wieder anläuft, sorgen womöglich dafür, dass mancherorts Produktdesign größer geschrieben wird als Sicherheitsdesign. Das zeigt auch die Meldung über manche SmartTV-Geräte, die bezüglich Sicherheit ebenfalls nachrüsten sollten. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Android: Schadsoftware ab Händler Das Bochumer Softwarehaus G Data hat seinen Mobile Malware Report (download als PDF-Datei) https://public.gdatasoftware.com/Presse/Publikationen/Malware_Reports/G_DATA_MobileMWR_Q2_2015_DE.pdf des zweiten Quartals 2015 herausgegeben. Derartige Berichte von Unternehmen, die Antiviren-Software verkaufen möchten, stellen natürlich auch immer Eigenwerbung dar. Interessant ist jedoch auf jeden Fall, dass G Data seit 2014 eine steigende Zahl Smartphones findet, die bereits ab Verkauf mit Schadsoftware infiziert ist. Diese verstecke sich hinter vorinstallierten, harmlosen erscheinenden, tatsächlich aber manipulierten Apps wie der für Facebook. Unbemerkt vom Benutzer würde die manipulierte App ihre Zugriffsrechte auf das Gerät erweitern. Sie könne zudem unter anderem weitere Schadsoftware nachinstallieren und Kurzmitteilungen mitlesen. G Data verdächtigt dabei nicht die Gerätehersteller, sondern Zwischenhändler, beliebte Apps zu manipulieren. Sie würden vermutlich Nutzerdaten verkaufen, um ihre Gewinnmarge zu erhöhen. Im Fall der Facebook-App konnte die Schadsoftware zudem zwar mit Antiviren-Software gefunden, jedoch nicht gelöscht werden. Das liegt daran, dass die Facebook-App Teil der fest installierten Geräte-Firmware ist. Damit bleibt Besitzern nur, das Gerät beim Händler zu reklamieren. 2. iOS: KeyRaider erbeutet Zugangsdaten und Bestechungsgelder Ganz alleine sind Android-Nutzer mit Schadsoftware jedoch nicht. KeyRaider ist eine neue für iOS geschriebene Schadsoftware. Zu ihrem Einstand hat sie rund 225.000 Anmeldedaten für von Apple betriebene Dienste erbeutet. ZDNet http://www.zdnet.de/88245470/ios-malware-keyraider-entwendet-zugangsdaten-von-225-000-apple-nutzern rechnet nach, dass es vermutlich mehr als 20.000 Online-Kriminelle gibt, die von diesen Gebrauch machen. Zum Beispiel, indem sie In-App-Käufe tätigen, die nur für die Kriminellen kostenfrei bleiben. Einige Betroffene berichten bereits von ungewöhnlichen Käufen in Apples App-Store. Zusätzlich sperrt KeyRaider Geräte und verlangt zur Aufhebung der Sperre Lösegelder. Befallen sind auch Geräte aus Deutschland, allerdings nur jene mit einem sogenannten Jailbreak. Bei einem Jailbreak (deutsch: Gefängnisausbruch) wird iOS so modifiziert, dass sich dem Benutzer Möglichkeiten erschließen, die der Hersteller Apple nicht vorgesehen hat. Zum Beispiel lassen sich nach einem Jailbreak auch Apps verwenden, die nicht in Apples eigenem App-Store angeboten werden. Die Schadsoftware wurde dann auch mit einem außerhalb des Apple App-Stores angebotenem Programm vertrieben. Mit einem Jailbreak erlischt die Herstellergarantie. Schon aus diesem Grund ist von einem Jailbreak abzuraten; gleiches gilt für App-Einkäufe aus dubiosen Quellen. 3. Router die Erste: Heimrouter mit schwachem Passwort Auf mindestens fünf DSL-Heimroutern der Hersteller Asus, Digicom, Observa Telecom sowie Philippine Long Distance Telephone (PLDT) und von ZTE wurden voreingestellte Passwörter entdeckt, die sich leicht erraten, jedoch leider nicht von Anwendern ändern lassen. Bei einigen Routern ist das Problem bereits seit Ende 2013 bekannt, jedoch hat keiner der Hersteller bislang mit einem Update reagiert. Die Lücke führt dazu, dass sich die betroffenen Router http://www.heise.de/security/meldung/XXXXairocon-Router-von-fuenf-Herstellern-mit-Standardpasswort-2793242.html leicht über Telnet kapern lassen. Mangels Möglichkeit, das voreingestellte Passwort selbst zu ändern, wird empfohlen, die Firewallfunktionalität der Geräte zu nutzen und diese so zu konfigurieren, dass der Telnet-Dienst und der SNMP-Verkehr der Geräte unterbunden wird. Asus hat inzwischen mitgeteilt, sein betroffenes Gerät DSL-N12E sei in Deutschland nicht erhältlich. In Deutschland stünde stattdessen das optisch wie auch namentlich ähnliche Gerät DSL-N12E_C1 zum Verkauf. Dieses besitze jedoch eine andere Firmware, die bei der ersten Einrichtung zur Änderung des Passworts auffordere. 4. Router die Zweite: Heimrouter ohne Passwort Verwenden die oben genannten Router nur ein schwaches Passwort, kommt Belkins Heimrouter N600 DB von Haus aus gleich ohne ein solches für dessen Administrationsoberfläche aus. Zwar können Besitzer nachträglich ein solches vergeben, doch lässt sich dieses für Angreifer dank einer weiteren Sicherheitslücke leicht umgehen. Die Mängelliste, die das Computer Emergency Response Team (CERT) der Carnegie-Mellon-Universität in Pittsburgh dem Gerät ausstellt, ist damit noch nicht beendet, wie Heise Online http://www.heise.de/security/meldung/Router-Luecken-Belkin-N600-DB-macht-es-den-Hackern-einfach-2800853.html aufführt. Unter anderem können Angreifer Nutzern des Routers Phishing-Webseiten unterschieben. Das ist deshalb besonders heimtückisch, weil letztere auch dann zu einer Phishing-Seite umgeleitet werden können, wenn diese die Online-Adresse zum Beispiel ihrer Bank oder eines Online-Kaufhauses korrekt eingeben haben. Möglich macht das eine Schwachstelle, mit der sich DNS-Einstellungen verändern lassen. Der Domain-Name-Service (DNS) "übersetzt" einen in die Adressleiste eingegebenen Namen wie bsi.bund.de in die jeweilige IP-Adresse wie zum Beispiel 194.95.179.205. 5. SmartTV: Freie Wahl bei Angriffspunkten Sicherheitsforscher haben gleich mehrere Wege gefunden, SmartTV-Geräte anzugreifen http://www.heise.de/security/meldung/Per-Web-und-USB-Stick-Smart-TVs-vielfaeltig-angreifbar-2797227.html. Nämlich über präparierte Webseiten und präparierte Apps, über das heimische WLAN, ebenso wie über das Einstecken eines USB-Sticks. Ähnlich vielseitig fielen dann auch die Ergebnisse der Angriffe aus. So konnten die Forscher Nutzerdaten von zum Beispiel Facebook im Klartext auslesen, die Kamera einschalten und auf Dateien zugreifen, die in der Cloud abgelegt waren. Im Test befanden sich zwei Geräte von Samsung und eines von Grundig. Auf allen Geräten wurde die jeweils aktuelle Firmware genutzt. SCHUTZMASSNAHMEN 6. Google: Chrome Browser erhält Sicherheitsupdate Google hat nicht nur sein Logo neu gestaltet http://www.sueddeutsche.de/kultur/neues-google-logo-machtwille-hinter-vier-bunten-punkten-1.2631113, sondern auch schwere Sicherheitslücken im Browser Chrome https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0075 geschlossen. Sie sollten das Update rasch installieren. 7. Mozilla: Sicherheitsupdates für Firefox und Thunderbird Auch in den Browsern Firefox und Firefox ESR https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0074 wurden zwei kritische Sicherheitslücken geschlossen. Das E-Mail-Programm Thunderbird https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0073 aus gleichem Haus wurde bereits einige Tage zuvor auf die neueste Version 38.2 aktualisiert. Auch dieses Update schließt mehrere kritische Sicherheitslücken. PRISMA 8. Google: Sicherheitschef fordert Standards für das Internet der Dinge In Ausgabe 35 des Magazins Der Spiegel http://www.spiegel.de/netzwelt/web/google-sicherheitschef-fordert-standards-fuer-das-internet-der-dinge-a-1049334.html findet sich ein Interview mit Gerhard Eschelbeck, der bei Google verantwortlich für IT-Sicherheit und Datenschutz ist. Darin fordert er gemeinsame Sicherheitsstandards für das Internet der Dinge. Es müsse sich dringend ändern, dass jeder Hersteller "allein vor sich hin (wurschelt) und entscheidet, was sicher ist und wie viel Aufwand dafür betrieben wird." In die Schlagzeilen geriet das Internet der Dinge zuletzt wegen gehackter Autos http://www.sueddeutsche.de/auto/auto-aus-der-ferne-gehackt-der-fahrer-ist-machtlos-1.2577174, Narkosegeräte http://www.gulli.com/news/26379-narkosegeraet-in-einem-krankenhaus-konnte-gehackt-werden-2015-08-09, möglicherweise auch Flugzeuge http://www.heise.de/tp/artikel/44/44953/1.html und mehr Autos http://www.heise.de/newsticker/meldung/VW-Wegfahrsperre-Volkswagen-Hack-endlich-veroeffentlicht-2778632.html. Um die dringend benötigte Sicherheit zu gewährleisten, müsse über "eine einheitliche Zertifizierung für die Sicherheit solcher Geräte" nachgedacht werden, so Eschelbeck. Das BSI erteilt Zertifikate und Anerkennungen https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/zertifizierungundanerkennung_node.html gemäß § 9 des BSI-Gesetzes zum Beispiel auf der Grundlage der Common Criteria oder ITSEC. Auch Hersteller von zum Beispiel Automobilen oder deren Zubehör können auf dieser Grundlage einzelne Komponenten oder auch komplette Systeme durch das BSI zertifizieren lassen. Verpflichtet sind sie dazu jedoch nicht. 9. BSI: Das BSI auf der D-A-CH Security D-A-CH Security http://www.syssec.at/dachsecurity2015 bietet eine interdisziplinäre Übersicht zum aktuellen Stand der IT-Sicherheit in Industrie, Dienstleistung, Verwaltung und Wissenschaft in Deutschland, Österreich und der Schweiz. Insbesondere werden Aspekte aus den Bereichen Forschung und Entwicklung, Lehre, Aus- und Weiterbildung vorgestellt, relevante Anwendungen aufgezeigt sowie neue Technologien und daraus resultierende Produktentwicklungen konzeptionell dargestellt. Diverse Referenten des BSI vertreten das Bundesamt auf der D-A-CH Security und stellen eine Vielzahl aktueller Themen vor. Diskutiert werden unter anderem das IT-Notfallmanagement sowie die Sicherheit von Instant Messengern und elektronischen Gesundheitskarten. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 03.09.2015 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.004059 | S: 1_2 |