GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 20:56 - 17.09.2015 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 17.09.2015 Nummer: NL-T15/0019 Die Themen dieses Newsletters: 1. Viren: Erpresser-Software Shade in Deutschland erfolgreich 2. Android: Mail lädt Schadsoftware auf das Telefon 3. Malvertising: Kampagne blieb über Wochen unentdeckt 4. Microsoft: Update zum Patch Day 5. WordPress: Sicherheitsupdate schließt drei Sicherheitslücken 6. Apple: Sicherheitsupdate auf iTunes 12.3 7. Let's-Encrypt: Erstes Zertifikat der alternativen Zertifizierungsstelle 8. Ashley Madison: Beschämend schlechte Passwörter 9. Internet der Dinge: Intel gründet Initiative für IT-Sicherheit in Fahrzeugen 10. Open Source: Tag der Software-Freiheit EDITORIAL Liebe Leserin, lieber Leser, wie viel Schaden vermieden werden könnte, wenn allen bewusst wäre, dass man Links in E-Mails nicht einfach folgt und Dateianhänge nicht einfach öffnet, zeigen zwei Artikel in unserem heutigen Newsletter. Gegen eine perfidere Art der Verteilung von Schadsoftware hilft dagegen auch keine Aufmerksamkeit: Es gibt laut dem Telekommunikationsunternehmen Cisco eine steigende Zahl Werbebanner, die von Scheinunternehmen geschaltet werden. Sie führen zu professionell gestalteten Webseiten, die bei bloßem Aufruf Schadsoftware installieren. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Viren: Erpresser-Software Shade in Deutschland erfolgreich Besonders in Russland und Deutschland, aber auch in Österreich ist eine Erpresser-Software erfolgreich, die sich Shade http://www.zdnet.de/88246416/kaspersky-warnt-vor-erpressersoftware-shade nennt. Shade verschlüsselt die Festplatte eines Windows-Rechner und fordert Lösegeld, um Computer und Dateien wieder freizugeben. Dabei bleibt es jedoch nicht. Zugleich lädt Shade aus dem Internet weitere Schadsoftware nach. Darunter befindet sich auch ein Programm, das versucht, Passwörter zu knacken. Shade verbreitet sich über das Öffnen von Dateianhängen und über den Besuch infizierter Webseiten. Halten Sie deshalb Ihren Virenscanner und Browser aktuell. Der Virenscanner sollte zudem automatisch im Hintergrund aktiv sein, was manche Produkte nicht sind. Öffnen Sie Dateianhänge nicht unreflektiert. Dateien, die Ihnen unbekannte Personen zugeschickt haben, öffnen Sie besser gar nicht. Das gilt auch für Fälle, in denen sich Absender als Rechtsanwälte oder als vertrauenswürdige Organisationen ausgeben. Regelmäßige Sicherungskopien Ihrer Dateien auf einen externen Datenträger, zum Beispiel einen USB-Stick, verringern den Schaden nicht nur bei Virenbefall. Das Lösegeld sollten Sie dagegen nicht zahlen. 2. Android: Mail lädt Schadsoftware auf das Telefon "Hiermit bestätigen wir Ihnen die erfolgreiche Zahlung von 99.99 EUR an Candyclub (Bag of Gems). Das Geld wird von Ihrem hinterlegten Konto in kürze abgebucht." Abgesehen von dem Rechtschreibfehler (es sollte "in Kürze" heißen), deutet optisch wenig darauf hin, dass die E-Mail nicht von Googles Play Store kommt, wie sie es vorgibt. Doch die Rechnung ist gefälscht http://www.mimikama.at/allgemein/gefhrliche-mail-ldt-trojaner-auf-das-smartphone/. Hinter dem "Rechnungsmanager", der zum Widerspruch gegen die Zahlung genutzt werden soll, verbirgt sich ein Trojaner https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Schadprogramme/TrojanischePferde/trojanischepferde_node.html. Auch hier gilt: Nicht einfach Links folgen, ein regelmäßig aktualisiertes Antiviren-Programm verwenden und die genutzte Software auf dem aktuellen Stand halten. 3. Malvertising: Kampagne blieb über Wochen unentdeckt Malvertising ist eine Wortschöpfung aus Malware und Advertising. Es wird also für Schadsoftware geworben? Nicht ganz. Die Schadsoftware versteckt sich vielmehr entweder in der Werbung oder aber, die Werbung bewirbt Seiten, die mit Schadsoftware infiziert sind. Golem http://www.golem.de/news/security-malware-angriff-aus-der-werbung-1509-116326.html zitiert eine Untersuchung des Telekommunikationsunternehmens Cisco, wonach die Zahl solcher Werbebanner in den letzten Jahren stetig zugenommen habe. Im beschriebenen Fall sind Kriminelle so geschickt vorgegangen, dass prominenten Vertreibern von Werbung wie Doubleclick wochenlang nicht auffiel, dass die werbenden Unternehmen nicht wirklich existieren. Die Kriminellen hatten zum Teil schon Jahre zuvor Webseiten registriert, zum Beispiel vorgeblich als Immobilienmakler. Nun, Jahre nach der Registrierung, gaben Sie vor, Werbung schalten zu wollen. Die Werbebanner selbst waren ungefährlich. Die Schadsoftware verbarg sich auf den präparierten Webseiten. Die Banner selbst erschienen auch auf bekannten Seiten wie Ebay. Angreifer wünschen laut Infosec Island http://www.infosecisland.com/blogview/14371-Malvertising-The-Use-of-Malicious-Ads-to-Install-Malware.html (auf Englisch) häufig, dass ihre Werbung ab Freitag abends erscheint. Am nächsten Morgen aktivieren sie dann die Schadsoftware auf den beworbenen Webseite. Sie spekulieren offensichtlich darauf, dass bei den Werbeanbietern über das Wochenende niemand arbeitet, der den Kunden kontrolliert. Browser-Erweiterungen, die Werbung oder das Ausführen von aktiven Inhalten blockieren, bieten einen gewissen, aber keinen völligen Schutz. Dasselbe gilt für Virenscanner und den Verzicht darauf, Werbung zu folgen, die bestimmte Pillen oder raschen Reichtum versprechen. SCHUTZMASSNAHMEN 4. Microsoft: Update zum Patch Day Zum Patch Day am 8. September hatte Microsoft diverse Produkte https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0076%20UPDATE%201 sicherheitstechnisch überholt. Sollten Sie die Aktualisierung noch nicht installiert haben, holen Sie dieses bitte rasch nach. Inzwischen hat Microsoft das Sicherheits-Bulletin MS15-080 erneut veröffentlicht und weist darauf hin, dass das Update 3088502 für Microsoft Office für Mac 2016 jetzt verfügbar ist. Anwender der Bürosoftware für Mac OS sollten also erneut auf eine Aktualisierung achten. 5. WordPress: Sicherheitsupdate schließt drei Sicherheitslücken Unter Bloggern ist WordPress ein beliebtes, kostenloses Redaktionssystem. Dessen Entwickler haben mit einer Aktualisierung drei Sicherheitslücken geschlossen. Wer die Funktion zur automatischen Aktualisierung abgeschaltet hat, sollte das Update auf der WordPress-Seite https://wordpress.org/download/ (Webseite auf Englisch) herunterladen und installieren. 6. Apple: Sicherheitsupdate auf iTunes 12.3 Mit der Verfügbarkeit von iTunes 12.3 schließt Apple insgesamt 66 Sicherheitslücken https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0078, die von einem Angreifer aus dem Internet genutzt werden können, um Ihr System zu schädigen und wenigstens teilweise unter seine Kontrolle zu bringen. Die möglichen Auswirkungen sind so schwerwiegend, dass der Update-Empfehlung des Herstellers zügig gefolgt werden sollte. PRISMA 7. Let's-Encrypt: Erstes Zertifikat der alternativen Zertifizierungsstelle Wenn Sie die Webseite Ihrer Bank besuchen, werden Sie in der Adressleiste ein Schloss sehen, das eine verschlüsselte Übertragung garantiert. Die Ausstellung des dafür nötigen Zertifikats kostet Geld. Geld, dass Banken haben, andere Organisationen, bei denen Verschlüsselung ebenfalls sinnvoll wäre, jedoch nicht. Let's Encrypt ist ein Projekt der in den USA als gemeinnützig anerkannten Internet Security Research Group (ISRG). Es setzt sich zum Ziel, kostenlose Zertifikate auszugeben, um Verschlüsselung zu verbreiten. Auch wenn Let's Encrypt erst im vierten Quartal 2015 als Zertifizierungsstelle anerkannt sein möchte, liegt nunmehr ein Wurzelzertifikat http://www.heise.de/security/meldung/Erstes-Zertifikat-von-Let-s-Encrypt-zum-Test-bereit-2814330.html vor. Mit einem Wurzelzertifikat, auch Stammzertifikat genannt, wird die Gültigkeit aller untergeordneten Zertifikate kontrolliert. Das Wurzelzertifikat wird in den Browser installiert, unterschiedliche untergeordnete Zertifikate liegen dann auf unterschiedlichen Webservern. Ihr Browser überprüft und akzeptiert das von Ihrer Bank (zum Beispiel bei der Deutschen Telekom) gekaufte untergeordnete Zertifikat, weil der Browser von Haus aus mit einem einem entsprechenden Wurzelzertifikat (in unserem Beispiel der Deutschen Telekom) ausgestattet ist. Im Moment müssen Anwender das Wurzelzertifikat von Let's Encrypt noch manuell herunterladen https://letsencrypt.org/2015/09/14/our-first-cert.html (Webseite auf Englisch) und installieren. Let's Encrypt befindet sich jedoch im Gespräch mit Mozilla, Google, Apple und Microsoft, um das Wurzelzertifikat in deren Browser zu integrieren. Ziehen die Hersteller mit, kann Let's Encrypt an Betreiber von Webseiten kostenlose SSL/TLS-Zertifikate herausgeben, die von den Browsern so umstandslos akzeptiert werden, wie das Ihrer Bank. 8. Ashley Madison: Beschämend schlechte Passwörter Über den Hack gegen den Vermittler von ehelichen Seitensprüngen, Ashley Madison, ist viel berichtet worden. Nachdem neben der Datenbank mit Namen der Mitglieder des Portals auch eine Liste mit verwendeten Passwörtern aufgetaucht ist, gibt es auch für uns etwas zu berichten: Die schlechtesten Passwörter http://t3n.de/news/ashley-madison-hack-passwort-640543/ waren die beliebtesten. "123456" führt die Liste an, gefolgt von "12345" und dem nicht minder obszön einfältigen "password". Die Liste spiegelt ein Drittel der Konten von Ashley Madison, und dass diese gehackt wurden, ist bei der Wahl der Passwörter nicht überraschend. Die Meldung zeigt aber auch, dass sich komplexe Passwörter nicht ohne weiteres knacken lassen. Sie tauchen in der Liste nicht auf. Wir verweisen deshalb gerne noch einmal auf unsere Tipps https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html, wie Sie sich komplexe Passwörter zulegen können, die sich dennoch merken lassen. 9. Internet der Dinge: Intel gründet Initiative für IT-Sicherheit in Fahrzeugen IT-Sicherheit bei Fahrzeugen war immer wieder Thema unseres Newsletters, so auch in der letzten Ausgabe https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0018#anchor7. Nun hat Intel, Branchenriese unter den Chipherstellern, eine Initiative gegründet, die ASRB (Automotive Security Review Boards) http://www.zdnet.de/88246410/intel-gruendet-initiative-fuer-verbesserte-cybersicherheit-in-fahrzeugen/ heißt und Cyber-Sicherheit in Fahrzeugen fördern soll. Die Experten, die sich im ASRB versammeln, sollen Sicherheitstests und Audits durchführen, um der Automobilindustrie Empfehlungen an die Hand zu geben. Der damit erfolgreichste Experte erhält einen Preis: Ein Auto. 10. Open Source: Tag der Software-Freiheit Pippi Langstrumpf, deren vollen Namen wir aus Platzgründen weglassen, bärenstarke Pferde-Hochheberin, Schreck aller Bildungsspießer und Heldin unzähliger Kinder, macht sich ihre Welt, wie sie ihr gefällt. Ein bisschen von dieser Einstellung haben Entwickler Freier Software: Wenn etwas fehlt oder nicht stimmt, machen sie sich die Software-Welt eben selbst. Ohne Patente oder andere Rechte zu verletzen. Freie Software, auch Open Source genannt, ist meistens kostenlos und häufig so ausgereift, dass sie kaum hinter teurer kommerzieller Software zurückstehen muss: Sei es Linux als Betriebssystem, Gimp für die Bildbearbeitung oder LibreOffice als Sammlung typischer Büro-Programme. Ein Aspekt der Sicherheitsstrategie des BSI ist es, IT-technische Monokulturen zu vermeiden, weil sich diese leichter angreifen lassen. Das BSI unterstützt deshalb seit langem die Entwicklung Freier Software, die zu einer größeren Auswahl an Programmen führt und damit Hersteller-Unabhängigkeit fördert. Zudem verhindert Software-Vielfalt die Bildung von Monopolen und deren negativen finanziellen Auswirkungen, auch auf den Haushalt des Bundes und der Länder. Die Unterstützung des BSI zeigt sich nicht nur in der Anwendung, sondern auch in der (Mit-)Entwicklung Freier Software. Wir wissen nicht, ob es einen Pippi-Langstrumpf-Tag gibt, aber es gibt einen Tag der Software-Freiheit http://www.softwarefreedomday.org/ (Webseite auf Englisch). Es ist in diesem Jahr der 19. September. Weltweit werden Veranstaltungen Freie Software in den Blick der Öffentlichkeit stellen. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 17.09.2015 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.001945 | S: 1_2 |