GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene

    

 · Home · Impressum & Datenschutz · Suche

Seiten mit Postings:

zum Seitenende

 Forum Index —› PC Sicherheit —› SICHER • INFORMIERT vom 17.09.2015
 


Autor Mitteilung
Nubira
Moderator

Beiträge: 15134


Gesendet: 20:56 - 17.09.2015

SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 17.09.2015
Nummer: NL-T15/0019

Die Themen dieses Newsletters:
1. Viren: Erpresser-Software Shade in Deutschland erfolgreich
2. Android: Mail lädt Schadsoftware auf das Telefon
3. Malvertising: Kampagne blieb über Wochen unentdeckt
4. Microsoft: Update zum Patch Day
5. WordPress: Sicherheitsupdate schließt drei Sicherheitslücken
6. Apple: Sicherheitsupdate auf iTunes 12.3
7. Let's-Encrypt: Erstes Zertifikat der alternativen Zertifizierungsstelle
8. Ashley Madison: Beschämend schlechte Passwörter
9. Internet der Dinge: Intel gründet Initiative für IT-Sicherheit in Fahrzeugen
10. Open Source: Tag der Software-Freiheit

EDITORIAL
Liebe Leserin, lieber Leser,

wie viel Schaden vermieden werden könnte, wenn allen bewusst wäre, dass
man Links in E-Mails nicht einfach folgt und Dateianhänge nicht einfach
öffnet, zeigen zwei Artikel in unserem heutigen Newsletter.
Gegen eine perfidere Art der Verteilung von Schadsoftware hilft dagegen
auch keine Aufmerksamkeit: Es gibt laut dem Telekommunikationsunternehmen
Cisco eine steigende Zahl Werbebanner, die von Scheinunternehmen
geschaltet werden. Sie führen zu professionell gestalteten Webseiten, die
bei bloßem Aufruf Schadsoftware installieren.

Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Viren: Erpresser-Software Shade in Deutschland erfolgreich

Besonders in Russland und Deutschland, aber auch in Österreich ist eine
Erpresser-Software erfolgreich, die sich
Shade http://www.zdnet.de/88246416/kaspersky-warnt-vor-erpressersoftware-shade
nennt. Shade verschlüsselt die Festplatte eines Windows-Rechner und
fordert Lösegeld, um Computer und Dateien wieder freizugeben. Dabei
bleibt es jedoch nicht. Zugleich lädt Shade aus dem Internet weitere
Schadsoftware nach. Darunter befindet sich auch ein Programm, das
versucht, Passwörter zu knacken.

Shade verbreitet sich über das Öffnen von Dateianhängen und über den
Besuch infizierter Webseiten. Halten Sie deshalb Ihren Virenscanner und
Browser aktuell. Der Virenscanner sollte zudem automatisch im Hintergrund
aktiv sein, was manche Produkte nicht sind. Öffnen Sie Dateianhänge nicht
unreflektiert. Dateien, die Ihnen unbekannte Personen zugeschickt haben,
öffnen Sie besser gar nicht. Das gilt auch für Fälle, in denen sich
Absender als Rechtsanwälte oder als vertrauenswürdige Organisationen
ausgeben. Regelmäßige Sicherungskopien Ihrer Dateien auf einen externen
Datenträger, zum Beispiel einen USB-Stick, verringern den Schaden nicht
nur bei Virenbefall. Das Lösegeld sollten Sie dagegen nicht zahlen.

2. Android: Mail lädt Schadsoftware auf das Telefon

"Hiermit bestätigen wir Ihnen die erfolgreiche Zahlung von 99.99 EUR an
Candyclub (Bag of Gems). Das Geld wird von Ihrem hinterlegten Konto in
kürze abgebucht." Abgesehen von dem Rechtschreibfehler (es sollte "in
Kürze" heißen), deutet optisch wenig darauf hin, dass die E-Mail nicht
von Googles Play Store kommt, wie sie es vorgibt. Doch die
Rechnung ist
gefälscht http://www.mimikama.at/allgemein/gefhrliche-mail-ldt-trojaner-auf-das-smartphone/.
Hinter dem "Rechnungsmanager", der zum Widerspruch gegen die Zahlung
genutzt werden soll, verbirgt sich ein
Trojaner https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Schadprogramme/TrojanischePferde/trojanischepferde_node.html.
Auch hier gilt: Nicht einfach Links folgen, ein regelmäßig aktualisiertes
Antiviren-Programm verwenden und die genutzte Software auf dem aktuellen
Stand halten.

3. Malvertising: Kampagne blieb über Wochen unentdeckt

Malvertising ist eine Wortschöpfung aus Malware und Advertising. Es wird
also für Schadsoftware geworben? Nicht ganz. Die Schadsoftware versteckt
sich vielmehr entweder in der Werbung oder aber, die Werbung bewirbt
Seiten, die mit Schadsoftware infiziert sind.
Golem http://www.golem.de/news/security-malware-angriff-aus-der-werbung-1509-116326.html
zitiert eine Untersuchung des Telekommunikationsunternehmens Cisco,
wonach die Zahl solcher Werbebanner in den letzten Jahren stetig
zugenommen habe. Im beschriebenen Fall sind Kriminelle so geschickt
vorgegangen, dass prominenten Vertreibern von Werbung wie Doubleclick
wochenlang nicht auffiel, dass die werbenden Unternehmen nicht wirklich
existieren. Die Kriminellen hatten zum Teil schon Jahre zuvor Webseiten
registriert, zum Beispiel vorgeblich als Immobilienmakler. Nun, Jahre
nach der Registrierung, gaben Sie vor, Werbung schalten zu wollen. Die
Werbebanner selbst waren ungefährlich. Die Schadsoftware verbarg sich auf
den präparierten Webseiten. Die Banner selbst erschienen auch auf
bekannten Seiten wie Ebay.
Angreifer wünschen laut Infosec
Island http://www.infosecisland.com/blogview/14371-Malvertising-The-Use-of-Malicious-Ads-to-Install-Malware.html
(auf Englisch) häufig, dass ihre Werbung ab Freitag abends erscheint. Am
nächsten Morgen aktivieren sie dann die Schadsoftware auf den beworbenen
Webseite. Sie spekulieren offensichtlich darauf, dass bei den
Werbeanbietern über das Wochenende niemand arbeitet, der den Kunden
kontrolliert.

Browser-Erweiterungen, die Werbung oder das Ausführen von aktiven
Inhalten blockieren, bieten einen gewissen, aber keinen völligen Schutz.
Dasselbe gilt für Virenscanner und den Verzicht darauf, Werbung zu
folgen, die bestimmte Pillen oder raschen Reichtum versprechen.

SCHUTZMASSNAHMEN
4. Microsoft: Update zum Patch Day

Zum Patch Day am 8. September hatte Microsoft diverse
Produkte https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0076%20UPDATE%201
sicherheitstechnisch überholt. Sollten Sie die Aktualisierung noch nicht
installiert haben, holen Sie dieses bitte rasch nach.
Inzwischen hat Microsoft das Sicherheits-Bulletin MS15-080 erneut
veröffentlicht und weist darauf hin, dass das Update 3088502 für
Microsoft Office für Mac 2016 jetzt verfügbar ist. Anwender der
Bürosoftware für Mac OS sollten also erneut auf eine Aktualisierung
achten.

5. WordPress: Sicherheitsupdate schließt drei Sicherheitslücken

Unter Bloggern ist WordPress ein beliebtes, kostenloses Redaktionssystem.
Dessen Entwickler haben mit einer Aktualisierung drei Sicherheitslücken
geschlossen. Wer die Funktion zur automatischen Aktualisierung
abgeschaltet hat, sollte das Update auf der
WordPress-Seite https://wordpress.org/download/
(Webseite auf Englisch) herunterladen und installieren.

6. Apple: Sicherheitsupdate auf iTunes 12.3

Mit der Verfügbarkeit von iTunes 12.3 schließt Apple insgesamt
66
Sicherheitslücken https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0078,
die von einem Angreifer aus dem Internet genutzt werden können, um Ihr
System zu schädigen und wenigstens teilweise unter seine Kontrolle zu
bringen. Die möglichen Auswirkungen sind so schwerwiegend, dass der
Update-Empfehlung des Herstellers zügig gefolgt werden sollte.

PRISMA
7. Let's-Encrypt: Erstes Zertifikat der alternativen Zertifizierungsstelle

Wenn Sie die Webseite Ihrer Bank besuchen, werden Sie in der Adressleiste
ein Schloss sehen, das eine verschlüsselte Übertragung garantiert. Die
Ausstellung des dafür nötigen Zertifikats kostet Geld. Geld, dass Banken
haben, andere Organisationen, bei denen Verschlüsselung ebenfalls
sinnvoll wäre, jedoch nicht.
Let's Encrypt ist ein Projekt der in den USA als gemeinnützig anerkannten
Internet Security Research Group (ISRG). Es setzt sich zum Ziel,
kostenlose Zertifikate auszugeben, um Verschlüsselung zu verbreiten.

Auch wenn Let's Encrypt erst im vierten Quartal 2015 als
Zertifizierungsstelle anerkannt sein möchte, liegt nunmehr
ein
Wurzelzertifikat http://www.heise.de/security/meldung/Erstes-Zertifikat-von-Let-s-Encrypt-zum-Test-bereit-2814330.html
vor. Mit einem Wurzelzertifikat, auch Stammzertifikat genannt, wird die
Gültigkeit aller untergeordneten Zertifikate kontrolliert. Das
Wurzelzertifikat wird in den Browser installiert, unterschiedliche
untergeordnete Zertifikate liegen dann auf unterschiedlichen Webservern.
Ihr Browser überprüft und akzeptiert das von Ihrer Bank (zum Beispiel bei
der Deutschen Telekom) gekaufte untergeordnete Zertifikat, weil der
Browser von Haus aus mit einem einem entsprechenden Wurzelzertifikat (in
unserem Beispiel der Deutschen Telekom) ausgestattet ist.

Im Moment müssen Anwender das Wurzelzertifikat von Let's Encrypt noch
manuell herunterladen
https://letsencrypt.org/2015/09/14/our-first-cert.html (Webseite auf
Englisch) und installieren. Let's Encrypt befindet sich jedoch im
Gespräch mit Mozilla, Google, Apple und Microsoft, um das
Wurzelzertifikat in deren Browser zu integrieren. Ziehen die Hersteller
mit, kann Let's Encrypt an Betreiber von Webseiten kostenlose
SSL/TLS-Zertifikate herausgeben, die von den Browsern so umstandslos
akzeptiert werden, wie das Ihrer Bank.

8. Ashley Madison: Beschämend schlechte Passwörter

Über den Hack gegen den Vermittler von ehelichen Seitensprüngen, Ashley
Madison, ist viel berichtet worden. Nachdem neben der Datenbank mit Namen
der Mitglieder des Portals auch eine Liste mit verwendeten Passwörtern
aufgetaucht ist, gibt es auch für uns etwas zu berichten: Die
schlechtesten
Passwörter http://t3n.de/news/ashley-madison-hack-passwort-640543/
waren die beliebtesten. "123456" führt die Liste an, gefolgt von "12345"
und dem nicht minder obszön einfältigen "password".

Die Liste spiegelt ein Drittel der Konten von Ashley Madison, und dass
diese gehackt wurden, ist bei der Wahl der Passwörter nicht überraschend.
Die Meldung zeigt aber auch, dass sich komplexe Passwörter nicht ohne
weiteres knacken lassen. Sie tauchen in der Liste nicht auf. Wir
verweisen deshalb gerne noch einmal auf unsere
Tipps https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html,
wie Sie sich komplexe Passwörter zulegen können, die sich dennoch merken
lassen.

9. Internet der Dinge: Intel gründet Initiative für IT-Sicherheit in
Fahrzeugen

IT-Sicherheit bei Fahrzeugen war immer wieder Thema unseres Newsletters,
so auch in der letzten
Ausgabe https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0018#anchor7.
Nun hat Intel, Branchenriese unter den Chipherstellern, eine Initiative
gegründet, die ASRB (Automotive Security Review
Boards) http://www.zdnet.de/88246410/intel-gruendet-initiative-fuer-verbesserte-cybersicherheit-in-fahrzeugen/
heißt und Cyber-Sicherheit in Fahrzeugen fördern soll. Die Experten, die
sich im ASRB versammeln, sollen Sicherheitstests und Audits durchführen,
um der Automobilindustrie Empfehlungen an die Hand zu geben. Der damit
erfolgreichste Experte erhält einen Preis: Ein Auto.

10. Open Source: Tag der Software-Freiheit

Pippi Langstrumpf, deren vollen Namen wir aus Platzgründen weglassen,
bärenstarke Pferde-Hochheberin, Schreck aller Bildungsspießer und Heldin
unzähliger Kinder, macht sich ihre Welt, wie sie ihr gefällt. Ein
bisschen von dieser Einstellung haben Entwickler Freier Software: Wenn
etwas fehlt oder nicht stimmt, machen sie sich die Software-Welt eben
selbst. Ohne Patente oder andere Rechte zu verletzen. Freie Software,
auch Open Source genannt, ist meistens kostenlos und häufig so
ausgereift, dass sie kaum hinter teurer kommerzieller Software
zurückstehen muss: Sei es Linux als Betriebssystem, Gimp für die
Bildbearbeitung oder LibreOffice als Sammlung typischer Büro-Programme.

Ein Aspekt der Sicherheitsstrategie des BSI ist es, IT-technische
Monokulturen zu vermeiden, weil sich diese leichter angreifen lassen. Das
BSI unterstützt deshalb seit langem die Entwicklung Freier Software, die
zu einer größeren Auswahl an Programmen führt und damit
Hersteller-Unabhängigkeit fördert. Zudem verhindert Software-Vielfalt die
Bildung von Monopolen und deren negativen finanziellen Auswirkungen, auch
auf den Haushalt des Bundes und der Länder. Die Unterstützung des BSI
zeigt sich nicht nur in der Anwendung, sondern auch in der
(Mit-)Entwicklung Freier Software.

Wir wissen nicht, ob es einen Pippi-Langstrumpf-Tag gibt, aber es gibt
einen Tag der
Software-Freiheit http://www.softwarefreedomday.org/ (Webseite auf
Englisch). Es ist in diesem Jahr der 19. September. Weltweit werden
Veranstaltungen Freie Software in den Blick der Öffentlichkeit stellen.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de

Seiten mit Postings:

- SICHER • INFORMIERT vom 17.09.2015 -

zum Seitenanfang



 Forum Index —› PC Sicherheit —› SICHER • INFORMIERT vom 17.09.2015
 



Version 3.1 | Load: 0.001945 | S: 1_2