GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 19:04 - 03.03.2016 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 03.03.2016 Nummer: NL-T16/0005 Die Themen dieses Newsletters: 1. Ransomware: Verschlüsselungstrojaner weiter aktiv 2. Locky: Gefälschte BKA-E-Mails im Umlauf 3. Kabelloses Zubehör: Tastaturen und Mäuse lassen sich hacken 4. Google: Sicherheitsupdate für den Chrome Browser 5. Google: Aktualisierung für Chrome OS 6. Apple: Sicherheitsupdates für Apple-TV-Geräte 7. Vernetzte Welt: Smarte Mülltonnen versprechen clevere Abholung 8. Smart Home: Viele Sicherheitslücken entdeckt 9. Treuhandbetrug: Polizei warnt vor falschen Dienstleisterseiten EDITORIAL Liebe Leserin, lieber Leser, nach Schätzungen des Bundesministeriums für Wirtschaft und Energie soll der Umsatz im Bereich Smart Home in Deutschland von 2,3 Milliarden Euro in 2015 auf 19 Milliarden Euro im Jahr 2025 ansteigen. Diese Zahlen belegen, dass das intelligente Haus jetzt und in Zukunft in unserem Alltag eine große Rolle spielen wird. Die Vernetzung von Waschmaschine, Fernseher oder Heizung sorgt für mehr Komfort im Alltag und kann zudem zu Energieeinsparungen führen. Alle diese Geräte werden per Software gesteuert - beispielsweise via App von einem Smartphone ausgehend - und können über das Internet mit der Außenwelt und untereinander vernetzt werden. Gerade das bringt aber auch neue Risiken mit sich, die Nutzer im Blick haben sollten. Welche Sicherheitslücken eine aktuelle Studie bei Smart-Home-Anwendungen nachgewiesen hat, können Sie weiter unten nachlesen. Mehr zu aktuellen Cyber-Bedrohungen und wie Sie sich davor schützen können, erfahren Sie in dieser Ausgabe unseres Newsletters. Zudem finden Sie wie immer weitere Themen rund um die Sicherheit im WWW. Wir wünschen Ihnen eine spannende Lektüre. Ihr Bürger-CERT-Team STÖRENFRIEDE 1. Ransomware: Verschlüsselungstrojaner weiter aktiv Noch immer ist die Ransomware Locky aktiv. Aktuell wird die Malware unter anderem auch über JavaScript-Anhänge in E-Mails http://www.golem.de/news/ransomware-locky-kommt-jetzt-auch-ueber-javascript-1602-119331.html verteilt. Die E-Mails, an die eine Rechnung angehängt ist, stammen angeblich von einem mittelständischen Wursthersteller aus Ludwigslust. Ein weiterer Verbreitungsweg sind E-Mails, die sich wiederum als Faxbenachrichtigung des Anbieters sipgate tarnen. In beiden Fällen führt ein Öffnen des Anhangs zur Verschlüsselung der Dateien auf dem Gerät. Regelmäßig angelegte Daten- und System-Backups sind im Falle einer Infektion durch Ransomware oft die einzige Möglichkeit, die betroffenen Dateien und Systeme wiederherzustellen und größere Schäden zu vermeiden. Weitere Informationen können Sie auf der Webseite BSI für Bürger https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Schadprogramme/TrojanischePferde/trojanischepferde_node.html nachlesen. 2. Locky: Gefälschte BKA-E-Mails im Umlauf Vor Wellen mit Schadsoftware wird meist schnell in Online-Portalen, sozialen Netzwerken, Newslettern wie diesem hier oder anderen Medien gewarnt. Genau solche Warnungen nutzen Cyber-Kriminelle dann gerne wieder für ihre Zwecke: Derzeit sind E-Mails mit dem Betreff „Offizielle Warnung vor Computervirus Locky“ http://www.bka.de/DE/ThemenABisZ/Kriminalpraevention/Warnhinweise/160303__BKAEmails.html im Umlauf, die als Absender das Bundeskriminalamt (BKA) vorgeben. Diese E-Mails kommen nicht vom BKA und enthalten im Anhang Schadsoftware. Sie sollten sofort gelöscht werden. 3. Kabelloses Zubehör: Tastaturen und Mäuse lassen sich hacken Sicherheitsforscher von Bastille http://www.heise.de/security/meldung/MouseJack-Hacker-koennen-kabellose-Maeuse-und-Tastaturen-fernsteuern-3117303.html haben entdeckt, dass sich kabellose Eingabegeräte wie Mäuse und Tastaturen, die mit USB-Dongles ohne Bluetooth genutzt werden von Hackern aus der Ferne steuern lassen. Viele Hersteller von kabellosen Eingabegeräten, die kein Bluetooth verwenden, setzten einen speziellen Chip des Typs nRF24L von Nordic Semiconductor ein. Unter dem Einsatz dieses Chips werden die Tastatureingaben auf dem Weg zwischen Tastatur und Empfänger-Dongle zwar verschlüsselt, nicht aber die Klicks und Gesten, die mit der Funkmaus durchgeführt werden. Die betroffenen Geräte überprüfen also nicht, ob Eingaben, die vermeintlich über eine Maus erfolgen, nicht möglicherweise auch von einer Tastatur ausgehen. Auf diese Weise ist es möglich, dass die Geräte auch unverschlüsselte Tastaturbefehle verarbeiten. MouseJack nennen die Sicherheitsexperten ein solches potenzielles Angriffsszenario. Welche Geräte betroffenen sind, hat Bastille aufgelistet https://www.bastille.net/affected-devices. Für Produkte von Logitech sind Firmware-Updates erhältlich, für alle anderen getesteten Geräte bleibt im Moment nur die Option, diese nicht zu verwenden. Eine Alternative sind Eingabegeräte, die Bluetooth nutzen oder klassische, verkabelte Mäuse und Tastaturen. SCHUTZMASSNAHMEN 4. Google: Sicherheitsupdate für den Chrome Browser Google veröffentlicht die Version 48.2564.116 des Chrome Browsers und schließt damit eine kritische Sicherheitslücke https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T16-0021. Diese ermöglichte, dass Inhalte aus nicht vertrauenswürdigen Quellen auf das System gelangen konnten. Dadurch konnte ein Angreifer Ihren Rechner massiv schädigen. Aufgrund der Schwere der Sicherheitslücke sollten Sie die von Google für den Chrome Browser bereitgestellten Sicherheitsupdates möglichst zeitnah installieren https://www.google.com/chrome/browser/desktop/index.html. 5. Google: Aktualisierung für Chrome OS Google Chrome OS vor Version 48.0.2564.116 enthält mehrere Sicherheitslücken https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T16-0020, die unbekannte Auswirkungen auf ein System haben. Diese werden mit dem aktuellen Sicherheitsupdate behoben. Explizit wird von Google nur eine Sicherheitslücke aufgeführt, die einem potenziellen Angreifer direkten Zugriff auf das Gerät und somit das Erlangen von Administrationsrechten und damit eine weitgehende Kontrolle über das System ermöglicht. Die Schwachstelle wurde auch schon mit der stabilen Chrome OS Version 48.0.2564.92 adressiert, vermutlich aber nicht vollständig behoben. Spielen Sie die Aktualisierung möglichst rasch ein, um gegen einen Angriff geschützt zu sein. 6. Apple: Sicherheitsupdates für Apple-TV-Geräte Apple hat für die dritte Generation der Multimediabox Apple-TV das Software-Update 7.2.1 veröffentlicht http://www.heise.de/mac-and-i/meldung/Sicherheitsupdate-fuer-aeltere-Apple-TV-Geraete-3118206.html. Die Aktualisierung schließt mehr als 30 Sicherheitslücken, die beispielsweise den Zugriff auf gespeicherte Daten in der iCloud oder eine Infektion des Systems mit schadhafter Software ermöglichen. Daher sollten Sie die neue Version möglichst schnell einspielen. Die Aktualisierung ist über die Update-Funktion der Box möglich. Ist hier „automatisch“ eingestellt, müssen Anwender nichts tun, das Update wird nach einiger Zeit automatisch installiert. PRISMA 7. Vernetzte Welt: Smarte Mülltonnen versprechen clevere Abholung Das Internet der Dinge – die intelligente Vernetzung von Geräten und Maschinen – hält zunehmend Einzug in den Alltag. Auf dem Mobile World Congress 2016 in Barcelona hat das französische Unternehmen Sigfox kürzlich ein günstiges, batteriebetriebenes Netzwerk vorgestellt, das beispielsweise in öffentlichen Mülltonnen eingesetzt werden kann, wie gulli.de http://www.gulli.com/news/27157-die-vernetzte-muelltonne-kommt-2016-02-24 berichtet. Damit können Entsorgungsunternehmen sehen, wann eine Mülltonne oder ein Container voll ist und abgeholt werden muss. Ineffiziente Leerungen von halbvollen Behältern werden auf diese Weise vermieden. Dank der Technologie von Sigfox sind aber auch andere, gewerbliche Einsatzgebiete denkbar: Beispielsweise Barbesitzer zu informieren, wenn das Bier im Keller ausgeht oder bei einer falschen Temperatur gelagert wird. Zudem könnte die Lösung auch einen Hinweis an die Feuerwehr weiterleiten, wenn der Wasserdruck eines Hydranten nicht korrekt ist. So kann diese – wenn notwendig – sofort reagieren. Einsparungen bei stetig steigenden Nebenkosten können auf diese Weise ein positiver Effekt von smarten Nutzgegenständen sein. 8. Smart Home: Viele Sicherheitslücken entdeckt Während ein vernetztes Entsorgungssystem wie oben beschrieben noch nicht im Alltag angekommen ist, sind Smart Home-Lösungen wie Rauchmelder, Überwachungssysteme, Heizungssteuerung und Beleuchtung bereits vielfach im Einsatz. Allerdings bringen Komponenten, die über das Internet vernetzt sind, auch einige Risiken mit sich. Die Sicherheitsfirma AV-Test hat sieben aktuelle Smart-Home-Anwendungen untersucht und im Zuge dessen teilweise schwerwiegende Sicherheitslücken entdeckt. Im Fokus der Untersuchungen standen die Verschlüsselung der Kommunikation, eine aktive Authentifizierung, die Möglichkeiten der Manipulation durch Externe und eine gesicherte Fernsteuerung. Nur drei von sieben Smart-Home-Sets waren sicher. Den gesamten Test können Sie auf chip.de http://www.chip.de/artikel/Sicherheitsluecke-Smart-Home-Partnerinhalt_83826990.html#!/ nachlesen. 9. Treuhandbetrug: Polizei warnt vor falschen Dienstleisterseiten Laut der Polizei Niedersachen http://www.polizei-praevention.de/aktuelles/gefaelschte-transportunternehmen-suggerieren-seriositaet.html setzen Cyber-Kriminelle bei vorgetäuschten Handeln falsche Treuhänder ein, um ihre Opfer dazu zu bringen, ihnen Geld zu überweisen. Bei dem sogenannten Treuhandbetrug bieten Kriminelle Ware zum Kauf oder Verkauf an und kontaktieren ihre Opfer oftmals über bekannte, seriöse Verkaufsplattformen im Internet, beispielsweise für Autoverkäufe, Immobilien oder Kleinanzeigen. Als Verkäufer einer Ware geben die Betrüger vor, sich zeitweilig außer Landes zu befinden, weswegen der Kauf über einen Treuhänder oder Transportdienstleister abgewickelt werden sollte. Dieser wird über eine gut gestaltete Homepage als seriöses Unternehmen dargestellt. Sobald Interessenten ihr Geld überweisen, sind sie bereits in die Falle getappt, denn den angeblichen Treuhänder gibt es gar nicht. Manchmal gehen Kriminelle auch umgekehrt vor, indem sie Verkäufern vorgaukeln, dass sie das Geld für eine Ware bereits auf dem Konto eines seriösen Treuhänders eingezahlt hätten. Damit wollen sie erreichen, dass der Verkäufer die Ware unbezahlt versendet. Um sich vor solchen Betrügern zu schützen, sollten Sie bei Angeboten oder Kaufgesuchen aus dem Ausland oder in englischer Sprache vorsichtig sein. Außerdem sollten Sie nur bekannte und seriöse Zahlungs- beziehungsweise Treuhanddienste oder Transportdienstleister nutzen – um dies herauszufinden, hilft meist schon eine Recherche über Suchmaschinen. Prüfen Sie Schecks immer bei Ihrer Bank, bevor Sie Ware versenden. Außerdem haben Sie die Möglichkeit, bei der Polizei nachzufragen und beispielsweise zugesandte Ausweiskopien überprüfen zu lassen. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 03.03.2016 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.002712 | S: 1_2 |