IT-Sicherheit

Der oberste britische Datenschützer hat Google nach einer Prüfung der von dem Unternehmen im Rahmen seines Street-View-Programmes versehentlich gesammelten WLAN-Daten die Absolution erteilt. Kritiker bezeichnen diese Einschätzung als Persilschein für Google.

Die Android-App Jackeey Wallpaper sammelt persönliche Daten und verschickt sie an einen Server in Shenzhen in China, darunter auch die Nummer der SIM-Karte und das Voicemal-Passwort. Die App wurde bereits millionenfach heruntergeladen und installiert.

Bots werden es künftig leichter haben, Facebook-Nutzer mit Spam und Phishing-Einladungen zu überhäufen. Grund ist ein neuer Crawler, mit dem sich die Namen und Links zu Facebook-Konten auslesen lassen. Ein 10-GByte-Datensatz mit 170 Millionen Links liegt Golem.de vor.

Googles erweiterte Sicherheitsinitiative für Chrome zeigt Erfolg: Die Entdecker zweier Sicherheitslücken in Googles Browser erhielten die vom Anbieter ausgelobten 1.337 US-Dollar. Vier weitere Sicherheitslecks in Chrome wurden mit jeweils 500 US-Dollar prämiert.

Facebook will es Nutzern künftig einfacher machen, ihr Benutzerkonto zu löschen. Noch steht die einfachere Ausstiegsmöglichkeit nur bei einem begrenzten Teil der Nutzer testweise zur Verfügung.

Sophos hat ein kleines Windows-Programm veröffentlicht, das auf die Kontrolle von Verknüpfungen spezialisiert ist. Wird ein USB-Stick mit einer schädlichen Verknüpfung eingelegt, verhindert das Tool Shortcut Exploit Protection die Ausführung eines Angriffs.

In Belgien ist ein Betrügerring aufgeflogen, der mit Hilfe eines raffinierten Trojaners Onlinebanking-Kunden hereingelegt hat. Von den Konten der Betrogenen wurde teils mehrere tausend Euro nach Osteuropa geschafft.

Es ist möglich, ein WPA2-geschütztes WLAN von innen zu kompromittieren, ohne den Schlüssel zu knacken. Das Unternehmen Airtight Security will die Hole196 genannte Sicherheitslücke auf den Sicherheitskonferenzen Black Hat und Defcon demonstrieren.

Insgesamt 38 US-Bundesstaaten haben sich einer Untersuchung von Googles Datenschutz-Panne im Zusammenhang mit Street View angeschlossen. Google hatte bei seinen Fotofahrten WLAN-Daten aufgezeichnet, einschließlich E-Mails und Passwörtern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der gefährlichen Sicherheitslücke in Windows in Verbindung mit Verknüpfungen. Die bereits ausgenutzte Lücke erfordert Workarounds, die Microsoft als einfach zu bedienendes Fix it anbietet.

Dell hat eine Warnung an Kunden ausgegeben, die den Poweredge R410 Rack Server verwenden: In der Firmware des Mainboards, das auch eine Konfigurationssoftware mitbringt, hat sich Spyware eingenistet.

Im ersten Halbjahr 2011 will Microsoft die Arbeiten am Service Pack 1 für Windows 7 und Windows Server 2008 R2 abgeschlossen haben. Seit über einer Woche kann die Betaversion des Service Pack 1 ausprobiert werden.

Die aktuelle Version 1.5 der Linux-Distribution Damn Vulnerable Linux - Codename Infectious Disease - bietet ein vollkommen unsicheres System mit kaputten Anwendungen, an dem sich Hacker-Lehrlinge austoben können. Beigelegte Anleitungen informieren angehende Sicherheitsexperten über Buffer-Overflows, Shellcode-Entwicklung, Web-Exploits oder SQL-Injection.

Für das Finden gefährlicher Sicherheitslücken in Chrome oder Chromium hat Google die Prämie erhöht. Künftig werden bis zu 3.133,70 US-Dollar für eine Lücke bezahlt. Auch Mozilla hatte diesen Monat die Prämie für gefundene Sicherheitslücken aufgestockt.

De-Mail ist nicht sicher, meldet die Frankfurter Rundschau. De-Mails würden bei dem System nicht durchgängig verschlüsselt, sondern auf den Servern entschlüsselt und neu verschlüsselt.

Mit der Veröffentlichung von Firefox 3.6.7 und Thunderbird 3.1.1 schließen Mozilla und Mozilla Messaging diverse Sicherheitslücken in der Software. Parallel dazu erschienen Firefox 3.5.11, Thunderbird 3.0.6 sowie Seamonkey 2.0.6, um vor allem Sicherheitslecks zu beseitigen.

Apple hat sich zu den Änderungen der Datenschutzbestimmungen für iPhone- und iPad-Besitzer geäußert und nennt Details. Wenn der Nutzer zustimmt, sammelt Apple umfassend Standortdaten von iPhone- und iPad-Kunden, aber auch von Nutzern von Mac OS und Safari.

Anonymität, Schutz der Privatsphäre, Netzneutralität, neues Urheberrecht - das sind Bedingungen, um das Netz lebenswert zu machen, sagt der Chaos Computer Club. Die Organisation hat elf Thesen zusammengestellt. Ein Gegenentwurf zu dem Internet, das Innenminister Thomas de Maizière vorschwebt.

Die freie Verschlüsselungssoftware Truecrypt unterstützt in der Version 7.0 Hardwarebeschleunigung, wenn es um das Verschlüsseln mit AES geht. Zudem bietet die Software weitere Verbesserungen.

Apple hat eine neue Version von iTunes veröffentlicht. Sie beseitigt kleinere Fehler und eine Sicherheitslücke, die für Angriffe genutzt werden könnte.

Mozilla zahlt jetzt 3.000 US-Dollar für eine gefundene Sicherheitslücke. Damit erhalten Sicherheitsforscher deutlich mehr Geld als bisher, wenn sie ein Sicherheitsleck in einem Mozilla-Produkt finden und melden.

Die Schufa erfüllt die seit 1. April 2010 geltenden weitgehenden Transparenzregeln beim Scoring nicht, kritisiert das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein. Sparkassen, Banken und andere Unternehmen in Schleswig-Holstein dürften daher die Scoringwerte der Schufa nicht verwenden.

Diverse Heimrouter enthalten eine Sicherheitslücke, die sie anfällig für eine neue Form von DNS Rebinding-Angriffen machen. Der Sicherheitsexperte Craig Heffner will bei der Black-Hat-Konferenz eine Software veröffentlichen, die die Schwachstelle in verschiedenen, weitverbreiteten Modellen ausnutzt.

USB-Sticks, SD-Karten, externe Festplatten - all diese Datenträger können für eine neu entdeckte Sicherheitslücke verwendet werden, die durch gezielte Angriffe bereits ausgenutzt wird.

Fristgerecht hat ein Teil des Arbeitskreises Vorratsdatenspeicherung eine Verfassungsbeschwerde gegen die kommende Volkszählung abgegeben. Damit besteht die Möglichkeit, dass die Volkszählung in der geplanten Form nicht durchgeführt werden kann.

Die deutsche Backtrack-Community trifft sich zum Backtrack-Day am 6. und 7. November in Fulda. Die Veranstaltung bietet Vorträge und Workshops sowie den nächtlichen Hacking-Wettbewerb Hacking Night.

Wie angekündigt beseitigt Microsoft diesen Monat mit vier Patches fünf Sicherheitslöcher in Windows und Office. Wie zu befürchten war, bleibt das seit einer Woche bekannte Sicherheitsleck in Windows 2000 für alle Zeiten bestehen, weil es keinen Support mehr für Windows 2000 gibt.

Insgesamt 59 Sicherheitslücken schließt Oracle im Rahmen seines Juli-Patchdays in seinen diversen Produkten. Darunter sind insgesamt 36 Lücken, die sich aus der Ferne ausnutzen lassen.

Bisher wurde Microsofts Cloud-Computing-Angebot Windows Azure ausschließlich in Microsofts eigenen Rechenzentren betrieben. Das soll sich mit "Windows Azure Platform Appliance" ändern. Zudem veröffentlichte Microsoft Betas von Windows Server 2008 R2 SP 1 und Windows 7 SP 1.

Per Reverse Engineering hat der Kryptologe Sean O'Neil nach eigenen Angaben das Skype-Protokoll entschlüsselt - durch ein Versehen seien die Ergebnisse mittlerweile in die Hände von Hackern und Spammern gelangt.

Die Länder wollen Google Street View reglementieren und haben dazu im Bundesrat einen Gesetzentwurf verabschiedet, mit dem die Privatsphäre der Bürger besser gewahrt werden soll.

Diesen Monat will Microsoft insgesamt fünf Sicherheitslecks mit vier Patches beseitigen. Die Mehrzahl der zu schließenden Sicherheitslücken wird als gefährlich eingestuft. Es werden auch zwei bereits bekannte Sicherheitslücken beseitigt.

Facebooks Tool Friendfinder ist seit heute Gegenstand eines Bußgeldverfahrens in Deutschland. Hamburgs Datenschützer sieht in der Erfassung und Speicherung von Daten unbeteiligter Dritter ein erhebliches Problem. Er erklärte Golem.de die Hintergründe.

In Windows 2000 und XP wurde ein neues Sicherheitsleck entdeckt. Darüber können Angreifer beliebigen Programmcode ausführen. Derzeit untersucht Microsoft das Sicherheitsloch.

Der Entwickler Thuat Nguyen darf seine iPhone-Anwendungen nicht mehr im iTunes App Store verkaufen. Apple wirft ihm vor, auf betrügerische Weise seine Verkäufe gesteigert zu haben.

Die aktuelle Version der Linux-basierten Firewall-Distribution IPFire 2.7 wechselt von Openswan auf Strongswan. Ein Update soll dennoch möglich sein, sofern vorher einige Konfigurationsschritte getan werden.

United Internet startet Hybridmail, um Briefe per E-Mail zu verschicken. Der Dienst kostet inklusive Druck, Kuvert, Porto und Zustellung 54 Cent. Auch die Deutsche Post wird den E-Postbrief wahrscheinlich billiger als 55 Cent machen.

Teenie-Star Justin Bieber ist am vergangenen Wochenende Ziel einer Attacke auf seine Youtube-Videos geworden. Mittels Cross-Site Scripting leiteten Scherzbolde die Besucher von Biebers Videos auf nicht jugendfreie Seiten um. Möglich war das durch eine Sicherheitslücke bei Youtube, die inzwischen geschlossen ist.

Seit dem 1. Januar sind die Arbeitgeber verpflichtet, die Entgeltdaten ihrer Beschäftigten an eine bei der Deutschen Rentenversicherung angesiedelte zentrale Speicherstelle zu übermitteln. Nun will Bundeswirtschaftsminister Rainer Brüderle die groß angelegte Speicherung der Arbeitnehmerdaten vorerst aussetzen.

Zahlreiche Accounts von Kunden des iTunes-Stores sind von Dritten übernommen worden. Sie haben dann zeitweise Anwendungen eines bestimmten Entwicklers gekauft, vor allem E-Books. US-Blogs berichten von unberechtigten Einkäufen über mehrere hundert Dollar.

Forscher haben ein Sicherheitssystem entwickelt, das Menschen vor Verletzungen durch Roboter schützen soll. Sensoren registrieren eine Berührung und stoppen den Roboter. Sie sitzen in einer Haut, mit der Roboter oder Fußböden bezogen werden.

Mit dem Kauf von Bigfix baut IBM sein Angebot an Sicherheitssoftware aus. Bigfix schafft auf einer Oberfläche den Überblick, ob alle Rechner im Firmennetzwerk über aktuelle Sicherheitsupdates und Bugfixes verfügen.

Der aktuelle Patch für den Adobe Reader sollte eigentlich ein drei Monate altes Sicherheitsloch beseitigen. Das Sicherheitsleck lässt sich aber weiterhin ausnutzen, um beliebigen Programmcode auszuführen.