IT-Sicherheit

Angreifer haben sich Zugang zum indischen Microsoft Store verschafft und dort angeblich Nutzerdaten entwendet, wobei die Passwörter im Klartext gespeichert wurden. Der von einem Drittanbieter betriebene Store ist derzeit offline.

Die Polizei in Nordrhein-Westfalen bekommt die Folgen eines schweren Hackerangriffs nicht in den Griff, der zuerst verheimlicht wurde. Seit zwölf Tagen sind die Webserver komplett abgeschaltet. Ein Ende der Offlinezeit ist nicht absehbar.

Update Zahlreiche Medien berichten, Anonymous hätte Server des Bundestages gehackt und geheime Dokumente zur Kunduz-Affäre veröffentlicht - doch das stimmt nicht. Die Unterlagen waren schon lange allgemein zugänglich, und das mit voller Absicht. Sie gehören zum Abschlussbericht des Untersuchungsausschusses.

Hacker haben den kompletten Sourcecode von Symantecs PC-Anywhere veröffentlicht. Symantec-Mitarbeiter hatten zuvor versucht, mit einem Hacker zu verhandeln - über eine Summe von 50.000 US-Dollar.

Gelöschte Fotos bei Facebook sind auch Jahre später nicht verschwunden. Da dies Facebook immer wieder vorgeworfen wird, sollen die Bilder jetzt nach 45 Tagen wirklich gelöscht werden, beteuert das Unternehmen.

Mit einfacher Ausrüstung lassen sich Gespräche via Satellitentelefon abhören. Forscher der Ruhr-Universität Bochum haben die Verschlüsselung von Satellitentelefonen geknackt.

Trendnet hat eine schwere Sicherheitslücke in seinen privaten IP-Überwachungskameras öffentlich eingeräumt. Rund 50.000 Kameras, die vor allem im privaten Bereich eingesetzt würden, seien weltweit betroffen. Neue Firmware für alle betroffenen Modelle ist in Vorbereitung.

Adam Langley aus Googles Sicherheitsteam kündigt in seinem privaten Blog an, dass Googles Browser Chrome bei SSL künftig nicht bei der CA anfragen wird, ob ein Zertifikat zurückgezogen wurde. Das erhöhe die Sicherheit nicht und dauere dadurch unnötig lang.

Update Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Empfehlungen für eine sichere Konfiguration von Windows-Computern veröffentlicht, nicht alle sind hilfreich. Zudem wird fleißig Werbung für Regierungsprojekte gemacht.

Über eine Pflichtmitteilung, die eigentlich nur Börsianer interessiert, ist jetzt herausgekommen, dass Verisign im Jahr 2010 angegriffen wurde und bei dem Angriff Daten entwendet wurden. Die SSL-Infrastruktur sei aber nicht kompromittiert worden, versicherte Symantec eilig.

Update Über eine schwere Sicherheitslücke in PHP 5.3.9 lässt sich Code einschleusen und ausführen, auch von entfernten Rechnern. Mit der Sicherheitserweiterung Suhosin lässt sich die Lücke schließen.

Die Webserver der Polizei in Nordrhein-Westfalen sind seit über zwei Tagen abgeschaltet. Bislang ist es nicht gelungen, die Sicherheitslücke zu schließen.

In einer Reihe von Android-Smartphones von HTC ist eine Sicherheitslücke gefunden worden, über die Angreifer WLAN-Zugangsdaten samt Kennwörtern ausspähen können. HTC ist gerade dabei, die betroffenen Geräte mit einem Patch zu versorgen.

Apple hat sein erstes Sicherheitsupdate des Jahres 2012 für Mac OS X 10.6 und 10.7 alias Snow Leopard beziehungsweise Lion veröffentlicht. Beseitigt werden Probleme in Windows-Umgebungen und es gibt mehr Unterstützung für moderne Digitalkameras.

Symantec hat Entwarnung für seine Software PC-Anywhere gegeben: Mit den bereitgestellten Patches sind alle Versionen wieder bedenkenlos nutzbar. Updates werden auch für ältere Versionen kostenlos angeboten.

Unerwünschte Werbung wird zunehmend auch über eigentlich saubere Dienste ausgeliefert. Facebook-Spammer nutzen dafür Amazon. Vorteil für Spammer: Facebook kann nicht einfach Amazon-Dienste auf die Blackliste setzen.

Update Das IT-Sicherheitsunternehmen Symantec warnt vor der Schadsoftware Android.Counterclank in einigen Android-Anwendungen. In den Augen des IT-Sicherheitsunternehmens Lookout handelt es sich dabei allerdings nicht um Schadsoftware.

Ein US-Sicherheitsexperte warnt, dass sich der private Schlüssel eines Smartphones aus Funkwellen, die das Geräte abstrahlt, auslesen lässt. Die Länge des Schlüssels ist dabei nicht relevant.

15 große E-Mail- und Technikanbieter, darunter Google, Microsoft, Yahoo und AOL, wollen mit DMARC wirksam gegen Spam und Phishing vorgehen. Dazu haben sie in den vergagenen 18 Monaten eine Spezifikation entwickelt, die jetzt der IETF zur Standardisierung vorgelegt werden soll.

Eine nicht repräsentative Studie von Sophos unter Nutzern, die sich überdurchschnittlich für IT-Sicherheit interessieren, hat eine klare Ablehnung von Facebooks Timeline ergeben. Nur acht Prozent gaben an, dass ihnen Timeline gefalle.

Update Immer wieder behaupten Innenpolitiker und Strafverfolger, fehlende Vorratsdatenspeicherung führe dazu, dass Kindesmissbrauch, Morde und islamistischer Terrorismus nicht konsequent verfolgt werden könnten. Eine Studie des Max-Planck-Instituts hat dafür keinen Beleg gefunden.

Anfang Dezember 2011 hat es eine Signalstörung auf einer Eisenbahnlinie im Nordwesten der USA gegeben. Unbekannte hatten sich Zugang zu den Systemen einer Eisenbahngesellschaft verschafft und die Signale manipuliert.

In Symantecs Software PC-Anywhere sind gefährliche Sicherheitslücken entdeckt worden, vor denen Symantec ausdrücklich warnt. Die Software soll, wenn überhaupt, nur mit eilig zusammengestellten Patches genutzt werden, denn irgendjemand sucht offenbar bereits nach anfälligen Installationen.

O2 hat in Großbritannien beim mobilen Surfen die Mobilfunknummer des Nutzers an die aufgerufenen Websites übermittelt. Ein Fehler, für den sich das Unternehmen jetzt entschuldigt hat. Es wies aber zugleich darauf hin, dass dies in gewissen Grenzen branchenüblich ist.

Timeline wird bei Facebook für alle verpflichtend eingeführt. Laut Thilo Weichert widerspricht dies den Zusicherungen des Betreibers in Europa, bei Veränderung der Profileinstellungen die Einwilligung des Nutzers einzuholen.

Der vor allem durch das Knacken von iPhone und Playstation 3 (PS3) bekanntgewordene Hacker George 'Geohot' Hotz ist nicht mehr bei Facebook angestellt. Stattdessen entwickelt er nun auf eigene Faust eine Verknüpfung von Facebook und Google Maps.

Update Das geplante EU-Verbraucherrecht auf digitales Vergessen hält Verbraucherministerin Ilse Aigner für gefährlich: Sie fürchtet, dass damit Onlineredaktionen zur Löschung unerwünschter Nachrichten in ihren Archiven gezwungen werden könnten.

Eine US-Bürgerin soll in einem Verfahren ihre Notebookfestplatte entschlüsseln. Ihre Weigerung, die mit PGP gesicherten Daten offenzulegen, stelle eine Missachtung des Gerichts dar.

Twitter holt ein Team von Experten für Security ins Unternehmen, die Schadsoftware in Onlinewerbung und auf Websites aufspüren können.

Der Bildschirmschoner in einigen Linux-Distributionen kann ohne Passwort deaktiviert werden. Ein Fehler im X-Server von X.org ermöglicht das Entsperren des Bildschirms mit einer Tastenkombination.

Symantec hat zugegeben, dass Hacker nicht nur mehr Quellcode seiner Produktpalette erbeutet haben als bisher bekannt, sondern auch, dass für einige Anwender Gefahren von dem Datenklau ausgehen.

Nokia hat für das Windows-Phone-7.5-Smartphone Lumia 800 den zweiten angekündigten Patch veröffentlicht. Damit soll die Akkulaufzeit des Mobiltelefons verlängert und die WLAN-Funktion verbessert werden.

Im IPv4-Netzwerkstack des Linux-Kernels ist seit Version 2.6.36 ein Fehler, der unter Umständen zum Absturz des Systems führen kann. Patches wurden bereits in aktuellen Kernel-Versionen eingefügt.

Facebook und ein Hamburger haben die Identität der Programmierer der Schadsoftware Koobface ermittelt, mussten aber auf Anordnung des FBI jahrelang stillhalten. Die Malwareentwickler agierten die ganze Zeit ungeniert in der Weböffentlichkeit.

Update Eine Klage eines Anwenders in den USA soll beweisen, dass Symantec seine kostenlosen Testversionen als Scareware verbreitet. Eine indische Hackergruppe, die den Quellcode früherer Versionen erbeutete, will ihn zur Unterstützung des Klägers veröffentlichen.

Hacker haben sich Zugang zu den Servern und Kundendaten der mehr als 24 Millionen US-Kunden des Onlinehändlers Zappos verschafft. Jetzt müssen alle Kunden der Amazon-Tochter ihre Passwörter erneuern.

RFID-Chips, die in Kleidung eingenäht sind, lassen sich aus mehreren Metern Entfernung noch auslesen. Das haben die Datenschützer des Bielefelder Vereins Foebud bei einer Protestaktion gezeigt.

Der freie Netzwerk- und Sicherheitsscanner OpenVAS-5 ist als Betaversion zum Testen freigegeben worden. Eine verbesserte Einbindung des Sicherheitsprotokolls Scap soll den Anforderungen der US-Behörde Nist genügen.

Das BSI rät Anwendern, ihre Rechner nach der Schadsoftware DNS-Changer zu untersuchen. Im März 2012 sollen die Ersatz-DNS-Server abgeschaltet werden, die das FBI prophylaktisch eingesetzt hatte.

Microsoft hat sechs Patches für die Windows-Plattform veröffentlicht, mit denen insgesamt sieben Sicherheitslücken beseitigt werden. Dazu gehört auch ein bereits verschobener Patch für das SSL-Sicherheitsloch vom September 2011.

Adobe hat einen Patch für die PDF-Anwendungen Adobe Reader und Acrobat veröffentlicht, um insgesamt sechs gefährliche Sicherheitslücken zu beseitigen. Zudem bringt das Update eine Whitelist-Funktion für Javascript.

Update Die Hackergruppe The Lords of Dharmaraja will Dokumente besitzen, die belegen, dass Apple, Nokia und RIM einem indischen Geheimdienst Zugang zu den E-Mails ihrer Kunden gewähren.

Misstrauen eines Bundespolizisten gegenüber seiner Tochter scheint einen spektakulären Angriff auf die Computer der Bundespolizei ausgelöst zu haben: Ausgangspunkt war eine Schadsoftware, die der Vater auf dem Computer der Tochter installiert hatte.