IT-Sicherheit

Die Vasco-Tochter Diginotar hat das Vertrauen einer weiteren Firma verloren. Nun patcht auch Apple die Root-Zertifikate aus seinen Betriebssystemen, allerdings nur bei Lion und Snow Leopard.

Google hat iranischen Nutzer nahegelegt, die Einstellungen ihrer Gmail-Konten zu überprüfen und danach ihre Passwörter zu ändern. Auch andere Google-Apps, etwa Docs, könnten durch die gefälschten Zertifikate von Diginotar betroffen sein.

Microsoft hat Patches für sämtliche Windows-Versionen veröffentlicht, die die Root-Zertifikate von Diginotar entfernen. Etliche große Linux-Distributionen stellen entsprechende Updates bereit. Ein Patch für Mac OS X ist noch nicht verfügbar.

Mit der Veröffentlichung von Openssh 5.9 führen die Entwickler eine Sandbox-Option für den Child-Prozess einer Privilege Separation ein. Die noch experimentelle Funktion soll zum Standard werden.

Seit dem 4. September führt eine türkische Hackergruppe Angriffe auf DNS-Systeme von britischen Providern aus. Einige Webseiten wie The Register sind weiter nicht erreichbar.

Angreifer haben Admin-Rechte für den Hauptserver der Webseite Kernel.org erlangt. Über die Seite wird unter anderem der Quellcode von Linux verteilt. Allerdings wurde wohl kein Code verändert.

Die jüngst bekanntgewordene Sicherheitslücke im Apache-Web-Server ist geschlossen worden. Updates mit entsprechenden Bugfixes stehen zum Download bereit. Allerdings ist das Problem nicht ganz behoben, denn der Fehler betrifft auch das darunterliegende Protokoll.

Die pakistanischen Behörden haben die Nutzung von VPNs verboten. Sie begründen diese Maßnahme mit dem Kampf gegen den Terrorismus.

Nokia hat sein Entwicklerforum vorerst geschlossen, nachdem sich Hacker durch Ausnutzung einer Sicherheitslücke Zugang zu den E-Mail-Adressen und weiteren Daten der Nutzer verschafft haben.

Die größte Schwachstelle an einem Rechner ist der Nutzer - zu diesem Schluss könnte kommen, wer sich den Morto-Wurm anschaut: Er nutzt keine Softwareschwachstelle, sondern geht nur simple Passwörter durch. Die Angreifer wollen so per RDP Rechner übernehmen.

Hacker können weiter in das Netzwerk der Bundespolizei eindringen. Um die IT-Sicherheit steht es laut einem internen Prüfbericht schlecht.

Anonymous hat dem Sprecher des Nahverkehrsunternehmens BART die Hosen heruntergelassen: Die Gruppe hat ein Foto veröffentlicht, das ihn nackt zeigen soll. Zuvor hatte Anonymous bereits persönliche Daten von ihm ins Netz gestellt. Die Auseinandersetzung dreht sich immer noch um die Abschaltung des Mobilfunks in mehreren BART-Stationen.

Angreifer haben vor über zwei Jahren die Union Betriebs-GmbH gehackt, die die Mitgliedsdaten der CDU verwaltet. Die Namen und E-Mail-Adressen sind jetzt im Internet aufgetaucht. Wie viele der rund 500.000 Mitglieder der Union betroffen sind, ist bislang nicht bekannt.

Veraltete Software, vernachlässigte Server: Bei Zynga gibt es angeblich eine Reihe kritischer Sicherheitslücken. Spieler von Socialgames wie Farmville, Cityville oder Empires & Allies droht unter anderem Schaden durch Phishing-Angriffe.

Update Gamescom Der Beitrag von RTL-Explosiv zu den Besuchern der Gamescom 2011 ruft Anonymous auf den Plan. Das Hackerkollektiv droht dem Sender und ruft die Zuschauer zum Boykott auf. RTL hat sich inzwischen offiziell für den Beitrag entschuldigt.

Eine Untersuchung durch ein Beratungsunternehmen hat gezeigt, dass die Computersysteme von VW nicht ausreichend gesichert sind. In den kommenden Jahren will der Autohersteller einen dreistelligen Millionenbetrag für IT-Sicherheit ausgeben.

Zum Konkurrenten für Steam möchte EA sein Spieleportal Origin ausbauen - und räumt sich selbst das Recht ein, Informationen über die Hardware und Software des Kunden zu sammeln. Wer das nicht möchte, bleibt unter anderem von Battlefield 3 ausgeschlossen.

Aktuelle Versionen des weit verbreiteten Apache-Webservers können durch Fehler in der Behandlung von Byte-Range-Requests missbraucht werden, um den gesamten Server innerhalb weniger Sekunden zum Stillstand zu bringen.

Der Webserver der Gema stand im Intranet; nachdem sie ihn gehackt hatten, konnten Anonymous-Aktivisten nach eigener Darstellung von System zu System springen. Durch die Verwendung von Standardpasswörtern bei kritischen Systemen hatten sie leichtes Spiel.

Update Der deutsche Computerhändler K&M ist offenbar ein zweites Mal binnen weniger Monate gehackt worden. Noch schweigt das Unternehmen zu den Veröffentlichungen der Hackergruppe 0xx0.

Update Eine Vielzahl der Router, die von Providern an DSL-Kunden geliefert werden, lassen recht einfache Einbrüche in ihr WLAN zu. Die voreingestellten WPA-Schlüssel lassen sich leicht erraten, die Abhilfe ist aber ebenso einfach.

Ermittler wollen führende Mitglieder der No Name Crew gefasst haben. Sie hätten sich nach bundesweiten Durchsuchungen geständig gezeigt und Verschlüsselungsdaten herausgegeben.

In der aktuellen Skype-Version hat der Sicherheitsexperte Levent Kayan alias Noptrix eine Sicherheitslücke entdeckt. Der Fehler kann zum Einschleusen von HTML- oder Javascript-Code missbraucht werden.

Gamescom G-Data bietet bald eine Sicherheitssoftware für Windows-basierte Heimserver. Damit lassen sich auch bis zu fünf weitere PCs schützen.

Rund 27.000 iPhone-Nutzer in Südkorea haben eine Sammelklage gegen Apple eingereicht. Sie fordern von dem Technologiekonzern Schadensersatz für die heimliche Aufzeichnung von Bewegungsdaten.

Mitten im Feierabendverkehr hat der Verkehrsbetrieb Bart vier Stationen in der Innenstadt von San Francisco für gut zwei Stunden gesperrt. Der Grund: Mehrere Teilnehmer der von Anonymous organisierten Demonstration blockierten Zugtüren. Der Mobilfunk wurde diesmal nicht abgeschaltet.

Weil osCommerce von vielen Shopbetreibern nicht aktualisiert wird, werden tausende Onlineshops zur Malware-Plattform. Das BSI fordert die Betreiber zum Update auf.

Aus Protest gegen den Verkehrsbetrieb von San Francisco (BART) ist Anonymous in das System des Unternehmens eingedrungen und hat die persönlichen Daten von über 2.000 Kunden ins Netz gestellt. Sicherheitsleute von BART hatten zwei Menschen erschossen.

Der mutmaßliche Rewe-Angreifer ist in Untersuchungshaft. Die Wohnung des jungen Mannes wurde zuvor durchsucht. Gegen den 23-Jährigen war auch wegen Einbruchdiebstahls gefahndet worden.

CC-Camp Wenige Hersteller, einfacher Code und ein nicht patchbares Betriebssystem: Smart Cards sind kleine Minicomputer, die sich mit einer Sehhilfe analysieren lassen. Karsten Nohl forderte die Hacker auf, sich zur Abwechslung an leicht zu analysierenden Smart Cards zu versuchen.

Ein Angreifer behauptet, die Axel-Springer-Plattform Welt Online gehackt zu haben. Angeblich hat Headpuster die Kreditkarteninformationen von allen 30.264 Nutzern erbeutet. Ein Sprecher von Welt Online hat das dementiert.

Anonymous und Lulzsec haben im Rahmen von Antisec Akten der brasilianischen Polizei veröffentlicht. Sie stammen aus einer Ermittlung zu einer Geldwäscheaffäre und sollen die Korruption in dem südamerikanischen Land aufzeigen.

Das von Visa und Mastercard verwendete Sicherheitsverfahren 3D-Secure ist doppelt unsicher, kritisieren Verbraucherschützer. Neben der Möglichkeit, das Verfahren zu überlisten, hat sich eine Bank sogar geweigert, einer deutschen Kundin, die 3D-Secure verwendet hatte, einen Schaden zu ersetzen.

CC-Camp Karsten Nohl und Luca Melette haben mit Wardriving your Country demonstriert, dass Mobilfunkverbindungen so unsicher sein können wie ein offenes WLAN. Die Netzbetreiber könnten jedoch mit wenig Aufwand die Sicherheit verbessern, heißt es.

Knapp ein Viertel der Berufstätigen in Deutschland verzichtet auch im Urlaub nicht auf den Zugriff auf berufliche E-Mails und auf Daten in Firmennetzwerken, ergab eine repräsentative Umfrage. Symantec empfiehlt, allein aus Sicherheitsgründen während eines Urlaubes nicht auf Firmendaten zuzugreifen.

Adobe hat einen Patch für den Flash Player veröffentlicht, um 13 gefährliche Sicherheitslöcher zu schließen. Angreifer können die Fehler im Flash Player dazu missbrauchen, beliebigen Programmcode auf fremden Systemen auszuführen.

CC-Camp Karsten Nohl ist es gelungen, den GPRS-Datenverkehr von Providern in Europa abzufangen und zu entschlüsseln. Nohl bezeichnet die Verschlüsselung generell als "schwach". Einige Provider verzichteten sogar komplett auf Verschlüsselung.

Anonymous-Aktivisten distanzieren sich per Twitter von der geplanten Vernichtung von Facebook. "Seid nicht albern!", mahnen sie diejenigen, die im Namen des Kollektivs zur "Operation Facebook" aufgerufen haben.

Microsoft hat in diesem Monat 13 Patches veröffentlicht, um insgesamt 22 Sicherheitslücken zu beseitigen. Acht von ihnen können zur Schadcodeausführung missbraucht werden. Allein für die Windows-Plattform wurden acht Patches veröffentlicht.

Die Crackergruppe Teampoison warnt Research in Motion (RIM) davor, persönliche Nachrichten und Kundendaten an die britische Polizei zu übergeben. Anderenfalls würden die Adressen von RIM-Angestellten an die Randalierer von London weitergeleitet.

Anonymous hat sich vorgenommen, im November 2011 Facebook zu zerstören. Damit will das Aktivistenkollektiv die Nutzer des sozialen Netzwerks vor sich selber schützen.

Jan Schejbal hat erneut auf eine Sicherheitslücke beim elektronischen Personalausweis aufmerksam gemacht. Betrüger können über Webseiten Zugriff auf den ePerso erlangen und sich damit bei anderen Webseiten ausweisen, heißt es.

Zwei Sicherheitsexperten haben demonstriert, wie die Zukunft des Hackens aussehen könnte: ein unbemanntes Flugzeug, das unbemerkt Handys abhört und WLAN-Daten sammelt - zusammengebaut aus Teilen für wenige Tausend Dollar, die jeder legal erwerben kann.