Datensicherheit

Vorabinformation zu Microsofts Patch-Day am 10. Oktober 2006. Für den Oktober 2006 knöpft sich Microsoft zahlreiche Sicherheitslücken in Windows und Office vor. Während für Windows sechs Sicherheits-Patches geplant sind, sollen vier für Microsofts Office-Paket am Patch-Day für den 10. Oktober 2006 erscheinen.

Hardened-PHP-Projekt weist auf Designfehler hin. Stefan Esser warnt vor einem Fehler in der Scriptsprache PHP, mit der Nutzer auf Shared-Webhosting-Accounts aus ihrem "Verzeichnis-Gefängnis" ausbrechen können. Eigentlich soll über die Einstellung "open_basedir" verhindert werden, dass Nutzer auf solchen Maschinen außerhalb des ihnen zugedachten Verzeichnisses Dateien lesen und schreiben können, doch offenbar gibt es einen einfachen Weg dies zu umgehen.

Firefox-Entwickler rufen Hacker-Team zur Zusammenarbeit auf. Auf einer Hacker-Konferenz im kalifornischen San Diego sorgte die Bekanntgabe einer Sicherheitslücke in Firefox für einen Eklat. Die Hacker haben ein Sicherheitsleck so präsentiert, dass Angreifer den Fehler in der JavaScript-Implementierung des Mozilla-Browsers leicht ausnutzen können, berichtet das IT-Magazin ZDNet.com. Die Firefox-Entwickler zeigen sich wenig begeistert von diesem Vorgehen und riefen die Hacker zur Kooperation auf.

Auch Sicherheitslücken in Komponenten für Browser-Nutzung. Apple hat MacOS X erneut Sicherheits-Patches verpasst, um eine Reihe von Sicherheitslücken in dem Betriebssystem zu schließen. Hierbei geht es auch um Sicherheitslücken, die bei der Verwendung von Apples Safari-Browser auftreten. Einige der Sicherheitslecks gestatten das Ausführen beliebigen Programmcodes.

Neue Version 5.1.2 korrigiert den Fehler. In der freien Groupware PHProjekt ist ein Sicherheitsloch aufgetaucht, durch das Angreifer Skripte ausführen können. Eine neue Version steht bereits zum Download zur Verfügung, in der die Sicherheitslücke geschlossen wurde.

Fehlerkorrekturen und neue Funktionen. Die freie SSH-Implementierung OpenSSH ist in der Version 4.4 erschienen, die einige Sicherheitslücken schließt und neue Funktionen mitbringt. Darunter sind vor allem neue Konfigurationsoptionen und die Portable-OpenSSH-Version unterstützt nun auch die Sicherheitserweiterung SELinux.

Fertiges Gerät auch zum Kauf verfügbar. Das OpenPCD-Projekt hat ein RFID-Lesegerät mit offenem Hardware-Design und freier Software vorgestellt. Die Spezifikationen lassen sich herunterladen und das Gerät so selbst nachbauen, während die Firmware unter der GPL verfügbar ist. Zudem gibt es das fertige Gerät auch zum Kauf. Für Hersteller gibt es zudem eine kommerzielle Lizenz.

Weitere Angriffe von erleuchteter Bühne. Auch Intels ehemaliger Chief Technology Officer und jetziger Chef der Enterprise-Abteilung Pat Gelsinger ließ sich auf dem IDF dazu hinreißen, in seiner Keynote-Ansprache eine Spitze gegen AMD zu setzen. Zwar war Gelsinger dabei etwas dezenter als zuvor Justin Rattner mit seinem Opteron im Papierkorb, doch auch dieser Gag erscheint überflüssig.

VML-Dateien erlauben Ausführung von Programmcode. Überraschend hat Microsoft einen außerplanmäßigen Sicherheits-Patch für den Internet Explorer veröffentlicht. Für das am 20. September 2006 bekannt gewordene Sicherheitsloch in Microsofts Browser hatte ein Drittanbieter bereits einen Patch veröffentlicht. Dieser Schritt dürfte Redmond dazu gebracht haben, den Patch außerplanmäßig zu veröffentlichen. Denn gleichwohl beteuert Microsoft weiterhin, die Gefahr durch das Sicherheitsloch sei nur gering.

Mehrzahl der Internetangriffe richtet sich gegen Privat-PCs. Auch im ersten Halbjahr 2006 stellen Browser ein deutliches Sicherheitsrisiko für die Computersicherheit dar, heißt es in Symantecs halbjährlich erscheinendem Sicherheitsbericht "Internet Security Threat Report". Weiterhin haben Angreifer Privatpersonen im Visier, konzentrieren sich aber verstärkt auf Unternehmen insbesondere aus dem Finanzsektor.

Freie Software in zwei Ausführungen verfügbar. ZRM ist eine freie Backup-Lösung für MySQL-Datenbanken und kann entweder direkt auf dem Datenbank-Server oder einem anderen System installiert werden. Bei der Sicherung hält sich die Software an vom Administratoren festgelegte Regeln und arbeitet mit vorhandenen Backup-Lösungen zusammen.

Bundesregierung legt Entwurf für neues Strafgesetz zur Computerkriminalität vor. Zur Bekämpfung von Computerkriminalität will die Bundesregierung das Strafrecht verändern und hat dazu am 20. September 2006 einen Gesetzentwurf beschlossen, der z.B. beim Chaos Computer Club (CCC) auf heftige Kritik stößt. Nach Ansicht der Hacker wird mit dem Gesetz unter anderem Software kriminalisiert, die zur Analyse von Sicherheitslücken zwingend erforderlich ist. Der CCC fürchtet daher, dass die Umsetzung des Entwurfes die Sicherheit von Computersystemen gefährdet und schlägt stattdessen eine drastische Verschärfung der Strafen für Datenverbrechen vor.

Schärfere Gesetze sollen abschrecken. Nach einem Bericht des Tagesspiegels will die Bundesregierung stärker gegen unerwünschte Telefonwerbung bei Verbrauchern vorgehen. Derzeit prüfe man, ob die bestehenden Gesetze verschärft werden sollten. Schon seit 2004 ist es Werbern verboten, ohne Einwilligung des Verbrauchers anzurufen.

Angreifer können beliebigen Programmcode ausführen. In Apples WLAN-Implementierung namens AirPort wurden drei Sicherheitslücken gefunden, die ein Patch beseitigen soll. Über die Sicherheitslecks in dem Treiber kann ein Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen.

Kontinuierliche Datensicherung im Hintergrund. Mit Carbonite ist ein kommerzieller Dienst ins Leben gerufen worden, der den Backup-Vorgang vor allem für private Anwender so vereinfachen soll, dass er möglichst nur einmal eingerichtet und danach im besten Falle vergessen werden kann - weil er im Hintergrund abläuft. Ein Medienwechsel ist nicht nötig - denn der Client von Carbonite schaufelt die Daten der ausgewählten Ordner über das Internet auf einen Server des Unternehmens.

Maximal 1,5 TByte Speicherkapazität mit USB- und FireWire400-Anschluss. Buffalo Technology bringt mit der "DriveStation Duo"-Serie zwei externe Festplattenverbundsysteme auf den Markt. Der Speicher besteht aus zwei Serial-ATA-Festplatten, die als RAID-1 oder auch im Spanning-Verfahren bzw. einzeln betrieben werden können.

Opera 9.02 schließt Sicherheitsleck. Mit Opera 9.02 wird ein Sicherheitsloch in dem Browser geschlossen und die neue Version bringt einige Fehlerkorrekturen. So wurde Hand an die Rendering-Engine gelegt, so dass Webseiten fehlerfrei dargestellt werden sollten.

Datenschützer: Daten unbeteiligter Personen dürfen nicht gespeichert werden. Schwerwiegende verfassungsrechtliche Risiken sieht der Bundesdatenschutzbeauftragte Peter Schaar im Gesetzentwurf zur Anti-Terror-Datei. Vor allem die Daten unbeteiligter Personen dürften in keinem Fall gespeichert werden.

Neuauflage von Internet Security vorgestellt. Mit einigen Neuerungen kommt der Virenscanner von G Data in Kürze auf den Markt. Sowohl die beiden Scan-Engines als auch der OutbreakShield sollen effizienter zu Werke gehen. Außerdem wurde die Sicherheitssoftware InternetSecurity neu aufgelegt, die zusätzlich eine Firewall, einen Kinderschutz und einen Spam-Filter umfasst.

Noch kein Patch verfügbar. Eine neue Sicherheitslücke im Internet Explorer wird bereits aktiv ausgenutzt und wurde von Microsoft bestätigt. Über das Sicherheitsleck können Angreifer beliebigen Programmcode ausführen, um sich eine umfassende Kontrolle über einen fremden Rechner zu verschaffen. Microsoft beschwichtigt, das reale Risiko sei gering, während Sicherheitsexperten von Secunia und McAfee die Gefahr als hoch einschätzen.

Funk-Chips werden in Originalmedien eingebettet. Die taiwanische Firmengruppe Ritek arbeitet an einem System namens "Chip on Disc" (COD), mit dem sich optische Medien mit Originalinhalten sicher identifizieren lassen. Damit will man nicht nur Produktfälschungen verhindern, sondern auch Schwarzkopien mit einem Abspielschutz versehen.

Hotfix soll Fehler beseitigen. Die Fehlerkette bei Microsofts Sicherheits-Patches reißt nicht ab. Auch ein in diesem Monat veröffentlichter Sicherheits-Patch macht gehörigen Ärger. Unter bestimmten Umständen zerstört ein Sicherheits-Patch für Windows 2000 Dateien, so dass diese nicht mehr lesbar sind. Microsoft hat bereits einen Hotfix zur Beseitigung des Fehlers veröffentlicht, ein korrigierter Patch steht noch aus.

Nutzerkennungen und Passwörter sollen sich leicht ausspähen lassen. Der drahtlose Internetdienst FON hat laut der Untersuchungen eines Nutzers eine gravierende Sicherheitslücke im Login-Vorgang. Diese erlaube es Fremden, die Nutzernamen und zugehörigen Passwörter auszuspähen. FON bestätigte die Sicherheitslücke gegenüber Golem.de.

Bundesinnenministerium interessiert. IBM hat nach einem Bericht des Spiegel das in Großbritannien schon eingeführte Überwachungssystem für Reisende aus dem Ausland auch der Bundesregierung und ihren Partnern in der EU angeboten. Die Software soll bereits beim Kauf eines Flugtickets, einer Schiffspassage oder Bahnfahrkarte im Ausland persönliche Daten sofort an die Zielländer weiterleiten, wo sie mit Warnlisten oder Bewegungsdateien von Einreisebehörden, Polizei und Geheimdiensten abgeglichen werden.

Neu aufgelegte Version von Norton Internet Security angekündigt. Symantec hat sowohl von Norton AntiVirus als auch von Norton Internet Security neue Programmversionen angekündigt. Der Virenscanner bringt als Neuerung eine Erkennung bislang unbekannter Wurm-Varianten und soll Rootkits und Spyware besser erkennen und beseitigen können.

Neuer Googlefilter 2.1 unterstützt nun auch Firefox und SeaMonkey. Der von Filtertechnics angebotene Googlefilter unterstützt in der aktuellen Version neuerdings die Browser Firefox sowie SeaMonkey und liefert einige Verbesserungen. Mit Googlefilter werden Spam- und Dialer-Seiten aus den Google-Suchergebnissen aussortiert. Neben einer Gratisversion wird die Software als kostenpflichtiges Jahresabo mit größerem Funktionsumfang angeboten.

Auf Patch von Microsoft folgte neuer Crack. Der britische TV-Sender Sky hat sein Download-Angebot abgeschaltet, da der benutzte Kopierschutz geknackt wurde. Nach dem Auftauchen eines ersten Cracks bot Microsoft zwar einen Patch an, doch auch die neue Version wurde wieder geknackt.

Apple bietet neue QuickTime-Version. Gleich sechs Sicherheitslücken in QuickTime schließt Apple mit der aktuellen Version. Die Sicherheitslecks erlauben Angreifern das Einschleusen und Ausführen von Programmcode. Alle Sicherheitslöcher wurden sowohl für die Windows- als auch die MacOS-X-Version von QuickTime bestätigt.

Update schließt Sicherheitsleck. Über ein gefährliches Sicherheitsleck im Flash-Player von Adobe können Angreifer beliebigen Programmcode auf ein fremdes System schleusen. Ein Opfer muss lediglich dazu gebracht werden, eine entsprechend manipulierte SWF-Datei zu öffnen. Adobe bietet Patches an, um das Problem in allen davon betroffenen Applikationen zu beheben.

Sicherheitsloch in Word 2000 bleibt offen. Zwei Sicherheitslücken in Windows und ein Sicherheitsleck in Publisher knöpft sich Microsoft an dem Patch-Day für den Monat September 2006 vor. Zudem hat Redmond zwei Sicherheits-Patches aus dem Vormonat überarbeitet, um Sicherheitsanfälligkeiten sowie Probleme zu beseitigen. Für das bereits bekannte Sicherheitsloch in Word 2000 gibt es bislang keinen Patch.

Daten auf Bändern auch bei Diebstahl sicher aufgehoben. Mit einem Bandlaufwerk, das Daten komplett verschlüsselt, will IBM Unternehmen zu mehr Datensicherheit verhelfen. Die Daten seien so auch im Fall von Diebstahl oder anderweitigem Verlust vor unerlaubtem Zugriff geschützt.

Fortwährender Kampf für Informationsfreiheit. Der Chaos Computer Club (CCC) versteht sich als ein Forum der Hackerszene, als eine Instanz zwischen Hackern, Systembetreibern und der Öffentlichkeit. Nun ist der Verein 25 Jahre alt geworden - seit dieser Zeit setzt sich der CCC für Informationsfreiheit, die Förderung von technischem Wissen und ein "Menschenrecht auf zumindest weltweite, ungehinderte Kommunikation" ein.

Betreiber lässt alle Nutzer aus Sicherheitsgründen Passwörter ändern. Linden Lab, Betreiber der virtuellen Realität Second Life, hat seine Kunden über eine in der vergangenen Woche entdeckte Sicherheitslücke informiert. Dritte hätten Einblick in persönliche Daten der Nutzer bekommen können, die Kreditkarten-Informationen wären aber nicht abrufbar gewesen.

Bestellung auf Kosten anderer mit einfachsten Mitteln. Über Wochen wies der Online-Shop Quelle.de eine Sicherheitslücke auf, durch die man auf Kosten anderer Kunden oder der Quelle-Agenturen Waren bestellen konnte. Das Unternehmen hat das Loch inzwischen gestopft und Strafanzeige gestellt.

Neues Urheberrecht für eine offene, effiziente und gerechte Wissensgesellschaft. Am Sonntag, den 10.9.2006, wurde in Berlin eine deutschen Piratenpartei gegründet. Sie orientiert sich am schwedischen Original, will sich aber inhaltlich differenzierter und vielfältiger aufstellen. Die Partei fordert unter anderem eine grundlegende Reform des Urheber- und Patentrechts, aber auch Themen wie Schutz der Privatsphäre und die Transparenz des Staatswesens stehen im Programm.

Für MacOS vorformatierte Backup-Festplatten. Seagate hat seine externe Backup-Festplattenserie Maxtor OneTouch III nun auch in einer speziellen Mac-Version im Programm. Die Geräte unter dem Namen OneTouch III sind mit Kapazitäten von 200, 300, 320 und 500 GByte erhältlich und mit HFS Plus vorformatiert.

Adressen von Funkmodulen künftig nicht mehr fälschbar? Jedes Netzwerkgerät hat eine - eigentlich - weltweit einheitliche Seriennummer, die MAC-Adresse. Bei vielen Access-Points und Routern kann man nur eingetragene MAC-Adressen zur Verbindung zulassen, die Nummern werden jedoch unter Umständen unverschlüsselt übertragen, können abgefangen und gefälscht werden. Eine kanadische Wissenschaftlerin will nun ein Gegenmittel gefunden haben.

Window Snyder war einst Senior Security Strategist bei Microsoft. Window Snyder soll sich künftig um die Sicherheit bei Mozilla kümmern und wechselt zur Mozilla Corporation. Snyder war einst als Senior Security Strategist für Microsoft tätig und dort für wichtige Teile des Windows XP Service Pack 2 verantwortlich.

Alioth wurde als IRC-Proxy missbraucht. Erneut wurde ein Server des Debian-Projektes geknackt. Betroffen war dieses Mal Alioth, ein Dienst, bei dem Entwickler ihre Projekte einstellen können. Am gestrigen 5. September 2006 war der Server daher nicht erreichtbar.

Software anfällig für Denial-of-Service-Angriffe. Die bekannte Nameserver-Software BIND lässt sich über spezielle Anfragen zum Absturz bringen. Updates zur Fehlerbereinigung hat der Hersteller bereits veröffentlicht.

Projekt hat bereits Updates veröffentlicht. Signaturen der freien SSL- und TLS-Implementierung OpenSSL lassen sich fälschen. Davon betroffen sind alle Systeme, auf denen die OpenSSL-Bibliotheken vorhanden sind. Updates, die den Fehler beseitigen, sind bereits verfügbar.

Firmware-Schloss schützt vor Festplatten-Chirurgie. Der Festplattenspezialist LaCie hat neue Modelle der externen Festplatte SAFE vorgestellt. Die Geräte sollen auf zwei verschiedene Arten vor unberechtigten Zugriffen geschützt sein. Zum einen verfügen die Geräte über eine biometrische Zugriffskontrolle in Form eines Fingerabdrucksensors und zum anderen soll man selbst beim Ausbau der Festplatte aus dem Gerät mit den Daten nichts anfangen können. Eine Firmware-Sperre verhindert laut Hersteller den Zugriff unberechtigter Personen, auch wenn diese die Platte ausbauen und an den Rechner hängen.

Kein unbeschränkter Einsatz von Trusted Computing. Eine neuseeländische Regierungskommission hat heute erste Empfehlungen zum Umgang mit "Trusted Computing" (TC) und "Digital Rights Management" (DRM) vorgelegt. Weder Trusted Computing noch Digital Rights Management dürfen so eingesetzt werden, dass der zukünftige Zugang zu Regierungsdokumenten versperrt werden könnte. Der Einsatz entsprechender Technik darf nur in einer Weise erfolgen, dass der Schutz der Privatsphäre gewährleistet ist. Und schließlich dürfe die Sicherheit der Regierungscomputer nicht durch TC oder DRM gefährdet werden, empfiehlt die zuständige State Service Commission.