IT-Sicherheit

Wettbewerb gestattet keine Sicherheitsbewertung. Auf einem Hacker-Wettbewerb auf der CanSecWest wurde ein MacOS-System nach nur zwei Minuten gehackt und auf ein Windows-System sind Hacker nach drei Tagen kurz vor Ablauf des Wettbewerbs ebenfalls eingedrungen. Nur das Linux-System blieb unangetastet - wie sich nun zeigt, ist das sogar wörtlich zu nehmen. Denn es gab einfach keinen Versuch, das Sony-Notebook mit Ubuntu zu hacken.

Version schließt Sicherheitslücke. Erst vor wenigen Tagen war die freie SSH-Implementierung OpenSSH 4.9 erschienen, nun legen die Entwickler die Version 5.0 nach. Zu spät hatten sie von einer Sicherheitslücke erfahren, die sie nun korrigiert haben. Die Version 4.9 enthielt auch neue Funktionen.

Mehrere Fehler ermöglichen Abstürze und Ausführungen von fremdem Code. Mit der neuen QuickTime-Version 7.4.5 schließt Apple insgesamt elf Sicherheitslücken sowohl für die Windows- als auch für die MacOS-Version. In der Liste der Probleme der Medienwiedergabe-Software finden sich unter anderem Abstürze und die Möglichkeit, Code auf anfälligen QuickTime-Versionen auszuführen. Eine Aktualisierung von QuickTime sollte möglichst schnell geschehen.

Golem.de im Gespräch mit Harvard-Professor Viktor Mayer-Schönberger. Sind Daten einmal im Internet gelandet, ist es schwierig, sie wieder zu entfernen. Erinnerung, kritisiert Viktor Mayer-Schönberger, ist im digitalen Zeitalter die Regel und das Vergessen die Ausnahme. Er fordert deshalb die Einrichtung von Verfallsdaten an Informationen. Warum digitales Vergessen so wichtig ist und wo Gefahren im Internet lauern, erklärt Mayer-Schönberger im Gespräch mit Golem.de.

KeeLoq-System nicht mehr sicher - weltweite Verbreitung. Forscher der Ruhr-Universität Bochum haben die in zahllosen Autos eingesetzten Funkschlüssel geknackt. Ihnen reichte das zweimal abgefangene Signal der KeeLoq-Schlüssel aus, um die Verschlüsselung zu knacken.

RFC-konforme Abweisung von unerwünschten E-Mails. T-Online hat seinen "Plattformschutz optimiert" und nimmt nun "offensichtlich unerwünschte E-Mails (SPAM, UCE, UBE, Phishing)" nicht mehr an, noch bevor sie den Spam-Filter erreichen. Einige T-Online-Nutzer sehen das durchaus übliche Vorgehen kritisch.

Auch Windows-System wurde geknackt. Nachdem bereits ein MacBook Air über eine Safari-Sicherheitslücke nach nur 2 Minuten im Rahmen eines Hacker-Wettbewerbs auf der CanSecWest gehackt wurde, ereilte ein Windows-System nun ein ähnliches Schicksal. Nur das am Wettbewerb ebenfalls beteiligte Ubuntu-System blieb unversehrt.

Fingerabdrücke im Pass: Hacker warnen vor sicherheitspolitischem Irrweg. Der Chaos Computer Club (CCC) widmet der Diskussion um die Erfassung biometrischer Daten für Pässe und Ausweise einen besonderen Beitrag: Der Hacker-Club veröffentlichte den Fingerabdruck von Bundesinnenminister Wolfgang Schäuble.

Version 7.2 soll im zweiten Quartal 2008 erscheinen. Astaro hat sein angekündigtes Update auf die Version 7.2 des Security Gateways als öffentliche Beta-Version freigegeben. Damit will der Karlsruher Linux-Anbieter erreichen, dass seine Sicherheitslösung vor der finalen Veröffentlichung ausgiebig getestet wurde. Die neue Version soll unter anderem durch Instant-Messenger und Peer-to-Peer-Anwendungen verursachten Datenverkehr besser erkennen können.

Viele kommen mit ungeeigneten Inhalten in Berührung. Kinder sind viel länger im Internet unterwegs als gemeinhin angenommen. Zu dem Ergebnis kommt eine Studie, die von der britischen Regierung initiiert wurde. Demnach verbringen 13- bis 18-Jährige rund 20 Stunden in der Woche im Internet. Das ist mehr als drei Mal so viel wie bisher angenommen wurde.

Notfallfingerabdruck hilft bei erzwungenen Transaktionen. Zusammen mit der Schweizer Firma AXSionics will Siemens einen speziellen Internetausweis im Scheckkartenformat im Sommer 2008 auf den Markt bringen. Damit sollen Onlinebankgeschäfte sicherer gemacht werden und damit lassen sich zudem Onlineeinkäufe abwickeln. Zur Identifizierung des Nutzers dient ein Fingerabdruckscanner und spezielle Flickercodes von der Bank werden von dem Internetausweis analysiert.

Sechs Sicherheitslecks werden geschlossen. In dem Webbrowser Firefox wurden insgesamt sechs Sicherheitslöcher beseitigt, über die sich unter anderem beliebiger Schadcode ausführen ließ. Auch die auf Firefox basierende Browser-Suite SeaMonkey wurde aktualisiert und korrigiert die betreffenden Sicherheitslecks. Alle diese Sicherheitslücken finden sich auch in Thunderbird, aber eine neue Version des E-Mail-Clients ist bislang nicht erschienen.

Ein Sicherheitsloch erlaubt Ausführung von Schadcode. In der Windows-Ausführung von Safari 3.1 wurden zwei Sicherheitslücken gefunden, die bislang nicht geschlossen wurden. Über eines der Sicherheitslöcher können Angreifer unter Umständen auch Schadcode ausführen. Das andere Sicherheitsleck kann für Spoofing-Angriffe genutzt werden.

Sicherheitslücke steckt in Jet Database Engine. Microsoft untersucht derzeit eine offene Sicherheitslücke, die Angreifer mit schadhaften Word-Dokumenten ausnutzen können. Das eigentliche Sicherheitsloch befindet sich in Microsofts Jet Database Engine und es kann zum Ausführen von schadhaftem Programmcode missbraucht werden.

Betrügerische Mail zum Ausspionieren der Account-Daten. Steam-Nutzer aufgepasst: In der Nacht zum Karfreitag wurden Phishing-Mails mit der Betreffzeile "STEAM - Account Bestätigung!" verschickt. Damit - und einer gefälschten Steam-Anmeldeseite - sollen deutschsprachige Nutzer von Valves Software-Distribitionsplattform und Gamer-Community Steam dazu verlockt werden, ihre Anmeldedaten freizugeben.

Angreifer können schädlichen Programmcode einschleusen. In Adobes Produkten Flash Basic 8, Flash Professional 8 sowie Flash CS3 Professional für die Windows-Plattform befindet sich ein Sicherheitsleck, über das Angreifer Schadcode ausführen können. Die Mac-Ausführungen der Software sollen davon nicht betroffen sein. Einen Patch gibt es bislang nicht.

Sicherheits-Patch neu aufgesetzt. Ein in der vergangenen Woche veröffentlichter Sicherheits-Patch für Excel 2003 führt dazu, dass sich die Tabellenkalkulation verrechnet. Dieser Fehler wurde nun korrigiert, so dass auch abgesicherte Systeme mit Excel 2003 wieder korrekt rechnen.

Erste Reaktionen auf Karlsruher Eilentscheid. Die Eilentscheidung des Bundesverfassungsgerichts zur Vorratsspeicherung von Telefon- und Internetdaten am heutigen Mittwoch wird von Bürgerrechtlern und Politikern unterschiedlich interpretiert. Der Bundesdatenschutzbeauftragte Peter Schaar begrüßt, dass Karlsruhe die Verwendung der verdachtsunabhängig zu speichernden Telefon- und Internetdaten erheblich eingeschränkt hat. Dies habe "ganz erhebliche Konsequenzen" für die Praxis der Musikindustrie zur Abfrage hinter IP-Adressen stehender persönlicher Nutzerdaten. Bundesjustizministerin Brigitte Zypries erwartet hingegen nur "geringfügige Einschränkungen".

Gründe dafür sind bislang unklar. Wer Windows Vista in der empfohlenen Konfiguration verwendet, bekommt früher als angekündigt das Service Pack 1 installiert. Eigentlich sollte die automatische Verteilung erst Mitte April 2008 starten. Nun wird das Update-Paket bereits automatisch installiert. Welche Ursache es dafür gibt, ist bislang nicht bekannt.

Sicherheitsupdate für MacOS X 10.4 und 10.5. Nachdem Apple bereits mit der neuen Browserversion Safari 3.1 einige Einfallstore geschlossen hat, schließt das nun veröffentlichte zweite große Sicherheitsupdate 2008-002 eine fast schon unüberschaubar hohe Anzahl von Sicherheitslücken in verschiedenen Versionen von MacOS X.

Datenschutz hat Vorrang. Der italienische Datenschutzbeauftragte hat entschieden, dass die im Auftrag von Rechteinhabern agierende Schweizer Firma Logistep gegen italienisches Datenschutzrecht verstoßen hat, als sie die IP-Adressen von P2P-Nutzern verarbeitete.

Max-Planck-Forscher prüfen Effizienz der Telekommunikationsüberwachung. Das Freiburger Max-Planck-Institut für ausländisches und internationales Strafrecht hat in einem Gutachten festgestellt, dass die umstrittene Speicherung von Verbindungsdaten kein Allheilmittel für die Strafverfolgung ist. Auftraggeber des Gutachtens ist das Bundesjustizministerium.

Viele verschiedene Verbesserungen versprochen. Ab sofort steht das Service Pack 1 für Windows Vista als Download bereit. Das Patch-Paket verspricht verschiedene Verbesserungen für Windows Vista, besonders für Notebook-Anwender. Für die Installation des Service Pack 1 (SP1) sollte allerdings einige Zeit eingeplant werden.

gematik: Kein flächendeckender Rollout 2008. Die elektronische Gesundheitskarte (eGK) sollte bereits vor zwei Jahren eingeführt werden. Für die Bundesregierung ist sie ein Prestigeprojekt ihrer Hightech-Strategie. Der Chaos Computer Club warnt jedoch vor der Einführung wegen gravierender Sicherheits- und Datenschutzmängel.

Tim Berners-Lee im Interview mit der BBC. Tim Berners-Lee, Erfinder des World Wide Web, äußert sich im Interview mit der BBC zufrieden mit der Entwicklung des Internets. Er warnt jedoch eindringlich vor Webtracking und mahnt Datenschutz an.

Londoner Inhaber von Monatskarten im Visier. Der britische Geheimdienst MI5 will mit Datamining die Bewegungsprofile im Londoner Nahverkehr auswerten. Betroffen wären alle Besitzer der elektronischen Monats- und Jahreskarte Oyster Card.

Mandatory Access Control aus Basis von Flask. Gemeinsam wollen Sun und die National Security Agency (NSA) an weiteren Sicherheitsmechanismen für das Betriebssystem OpenSolaris forschen. Dieses soll die Solaris Trusted Extensions vervollständigen.

Angeblich bereits mehr als 10.000 Webseiten betroffen. Stecken chinesische Gold-Farmer hinter den jüngsten Angriffen auf Onlinespiele? Seit einigen Tagen finden laut McAfee massive, automatisch ablaufende Hackversuche statt. Angeblich versuchen die Hacker, an Passwörter für Onlinespiele zu gelangen.

Unbefugte erhalten Zugriff auf eBay-Kontodaten. Im Onlineauktionshaus eBay befindet sich ein Sicherheitsloch, das Angreifer zum Ausspähen fremder eBay-Kontodaten missbrauchen können, wie Falle-Internet.de berichtet. Um Opfer eines solchen Angriffs zu werden, muss lediglich eine entsprechend präparierte eBay-Auktion im Browser geöffnet werden. In einer Stellungnahme bestätigte eBay das Problem grundsätzlich, hält die Gefahren allerdings für relativ gering, da nur Nutzer, die zuvor überprüft wurden, die entsprechenden Techniken nutzen dürfen.

US-Wissenschaftler finden Sicherheitslücken in Implantaten. Wissenschaftler aus den USA haben herausgefunden, dass Herzschrittmacher mit einer Funkschnittstelle gehackt werden können - mit tödlichen Folgen.

Lokale Nutzer können Rechte ausweiten. Ein Fehler in der Unix-Version des Adobe Reader 8.1.2 ermöglicht es Nutzern, ihre Rechte auszuweiten und so beispielsweise Dateien zu manipulieren, auf die sie normal keinen Zugriff haben. Ein Update ist laut Adobe in Vorbereitung.

Sicherheitslücken erlauben Ausführung von Schadcode. Zum Patch-Day für den Monat März 2008 hat Microsoft vier Patches für die Office-Produkte aus Redmond angekündigt und dies auch eingehalten. Damit werden insgesamt zwölf Sicherheitslecks geschlossen. Alleine acht Sicherheitslöcher müssen in der Tabellenkalkulation Excel beseitigt werden.

Unzureichender Datenschutz bemängelt. Peter Schaar, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, findet harsche Worte zu dem Datentauschabkommen zwischen Deutschland und den USA. Er bemängelt einen unzureichenden Datenschutz und sieht die Gefahr, dass der Bürger keine Kontrolle darüber hat, was mit seinen Daten geschieht.

Neue Version mit Geschwindigkeitssteigerung. Die Open-Source-Verschlüsselungssoftware Truecrypt ist nun in der Version 5.1 erschienen. Diese bietet einige Verbesserungen, die sich vor allem in einer höheren Geschwindigkeit niederschlagen sollen und der Ruhezustand auf Windows-Rechnern wird unterstützt.

Maßgeschneiderte Anzeigen dank Paketinspektion? Der Werbedienstleister Phorm will mit seiner OIX-Plattform das lukrative Geschäft mit Onlinewerbung revolutionieren. Verträge mit Internetprovidern erlauben Phorm dazu den direkten Zugriff auf den Klick-Stream der Anwender.

Deutschland will Visa-Vergabe mit biometrischen Daten verknüpfen. Deutschland will seine Visa-Bestimmungen verschärfen. Bereits ab dem Sommer 2008 sollen Einreisewillige, die länger als drei Monate ins Land kommen wollen, biometrische Merkmale hinterlassen.

Mit Kennwortverwaltung, Backup-Funktion und Optimierungswerkzeugen. Die Windows-Sicherheitssoftware Norton 360 liegt in einer neuen Version vor. Zahlreiche Verbesserungen sollen die Sicherheit von Windows-PCs erhöhen, indem Schädlinge frühzeitig erkannt und abgewehrt werden.

Nur Office-Patches erscheinen am 11. März 2008. Insgesamt vier Security Bulletins wird Microsoft am diesmonatigen Patch-Day veröffentlichen. Der Softwaregigant korrigiert dabei nur Fehler in der Office-Software des Konzerns, die allesamt als kritisch eingestuft werden. Denn Angreifer können darüber beliebigen Schadcode ausführen.

Neues Hardware-Angebot und Update für Security Gateway. Auf der CeBIT hat der Karlsruher Sicherheitsanbieter Astaro mit dem Web Gateway eine neue Hardware-Appliance vorgestellt, die den Internetverkehr in mittelständischen Unternehmen kontrollieren kann. Wie auch bei den anderen Astaro-Produkten wird dabei auf Linux und Open Source gesetzt. Zusätzlich ist ein neues Update für das Security Gateway verfügbar.

Kleines Programm schreibt den Hauptspeicherinhalt auf USB-Sticks. Wesley McGrew hat ein Tool entwickelt, das die Idee der Cold-Boot-Attacke nutzt, um Passwörter im Arbeitsspeicher zu erspähen. Die Cold-Boot-Attacke macht sich zunutze, dass der Inhalt vom Arbeitsspeicher nicht sofort verschwindet. Wird ein Rechner schnell genug neu gestartet, ist so ein Zugriff auf die Daten möglich. Der McGrew Security RAM Dumper - kurz msramdmp - kann für diesen Zweck von einem USB-Stick gestartet werden und schreibt anschließend den Inhalt des Arbeitsspeichers auf den Stick.

Remote-Wartung über Webinterface. Auf der CeBIT 2008 zeigt G Data aktualisierte Sicherheitsprodukte für den Unternehmenseinsatz. Als Neuerung wird ein Virenscanner für Linux-Clients mitgeliefert, so dass nicht mehr nur Windows-Clients unterstützt werden. Alle neuen Funktionen stehen für die vier Business-Lösungen von G Data bereit.

Fälschungssicherheit durch Einheit von Farbe und Karte. Die Bundesdruckerei präsentiert auf der CeBIT neue Karten aus Polycarbonat (PC) für Dokumente wie Personalausweise. Diese Karten sind nach Angaben der Bundesdruckerei besonders fälschungssicher.

Auch Virenschutz für Unternehmenskunden vorgestellt. Kaspersky stellt auf der CeBIT 2008 in Hannover eine neue Version der Sicherheitslösung für Smartphones vor. Kaspersky Mobile Security 7.0 bietet neben einem Virenscanner und einem Spam-Filter für Kurzmitteilungen Mechanismen, um Unbefugten den Zugriff auf vertrauliche Daten zu erschweren.