IT-Sicherheit

Verschlüsselung kein Allheilmittel. US-amerikanische Zoll- und Einwanderungsbeamte haben das Recht, Notebooks sowie andere Datenträger ohne Angabe von Gründen näher zu untersuchen oder ganz zu beschlagnahmen. Dies berichtet die Berliner Zeitung unter Berufung auf einen Bericht des Congressional Research Service an den US-Kongress. Auch in Asien ist dies möglich.

Enttäuscht von Betrüger, der PSP-schrottende Firmware anbietet. Der Hacker Dark_AleX ist PSP-Besitzern mit Faible für Homebrew-Software vor allem für seine modifizierten Firmware-Versionen ein Begriff. Nun will er aufhören, da jemand seinen Namen missbrauchte, um anderen die PSPs mit falschen Firmware-Dateien kaputtzumachen.

Staatsanwaltschaft ermittelt wegen Betrugs. Nach einem Bericht der Süddeutschen Zeitung hat die Staatsanwaltschaft Stuttgart Ermittlungen gegen den Bezahlsender Premiere wegen Betrugsverdachts bei der Behandlung von Abo-Kündigungen aufgenommen. Hintergrund ist eine Sammelklage der Verbraucherzentrale Hamburg. Wer den Abo-Vertrag kündigt, muss die Smartcard zurücksenden. Premiere behauptete nach Angaben der Verbraucherschützer besonders häufig, dass die zurückgeschickten Karten nicht angekommen seien und fordere Schadensersatz.

Verbraucherschutz soll beim Telemediengesetz berücksichtigt werden. Bündnis 90/Die Grünen verlangen von der Bundesregierung, auch Verbraucherschutz-Interessen beim geplanten Telemediengesetz zu berücksichtigen. Zwar werde die Zusammenführung der Regelwerke für Tele- und Mediendienste zu mehr Einheitlichkeit und besserer Übersichtlichkeit führen, doch solle die Verfolgung von Spam-Untaten verbessert werden.

Angreifer können Zugangsdaten ausspähen. Im Kennwort-Manager von Firefox 2.0 steckt ein Programmfehler, über den Angreifer Zugangsdaten abgreifen können. Entsprechende Angriffe sollen bereits über gefälschte MySpace-Seiten laufen. Der Fehler liegt darin, dass der Kennwort-Manager nicht prüft, ob die Daten das richtige Ziel erreichen.

Software ist auch für FreeBSD erhältlich. Grisoft hat einige seiner Anti-Viren-Produkte für Linux und FreeBSD neu aufgelegt. Dabei sind sowohl Server- als auch Desktop-Versionen verfügbar, die also nicht nur E-Mails filtern, sondern auch Nutzer der freien Betriebssysteme direkt schützen sollen.

GnuPG 2.0 setzt auf eine neue, modulare Architektur. Der GNU Privacy Guard, kurz GnuPG, ist in der Version 2.0 erschienen. Mit der OpenPGP- und S/MIME-konformen Software lassen sich Daten verschlüsseln und digitale Signaturen erzeugen. Zudem stellt GnuPG ein Framework zur Public-Key-Kryptographie dar - samt Schlüsselverwaltung - und kann den SSH-Agent auf Wunsch komplett ersetzen. Dabei bringt die neue Version eine modulare Architektur mit.

Microsoft schließt auch Sicherheitslücke in Adobes Flash-Player. Am Patch-Day vom November 2006 beseitigt Microsoft Sicherheitslücken in Windows sowie dem Internet Explorer. Einige der von Redmond der Windows-Plattform zugeschriebenen Sicherheitslücken betreffen aber eher den Browser aus Seattle, weil sich darüber Programmcode ausführen lässt. Zudem korrigiert Microsoft am diesmonatigen Patch-Day mehrere Sicherheitslücken in Adobes Flash-Player.

Neue Versionen schließen Sicherheitslücken in Firefox 1.5 und Thunderbird 1.5. Mit Firefox 1.5.0.8 und Thunderbird 1.5.0.8 wurden Sicherheits-Updates für die beiden Mozilla-Applikationen veröffentlicht. Diese schließen eine Reihe von Sicherheitslücken und sollen die Stabilität der Produkte allgemein verbessern. Neue Funktionen gibt es daher nicht.

Kritik: Bundesjustizministerium steuert in Verfassungskonflikt. Nachdem durch eine Entscheidung des Bundesgerichtshofs (BGH) das Urteil des Landgerichts Darmstadt endgültig rechtskräftig wurde, nach dem T-Online die Internetverbindungsdaten eines Privatmannes nicht speichern darf, hat nun Sabine Leutheusser-Schnarrenberger die geplante Vorratsdatenspeicherung als rechtlich nicht haltbar bezeichnet.

Spam-E-Mails verleiten Nutzer zum Download von Dateien. Seit dem heutigen 7. November 2006 macht eine deutschsprachige Spam-E-Mail die Runde, die auf eine nachgebaute Wikipedia-Webseite verweist. Mit Hilfe des E-Mail-Textes sollen Opfer dazu verleitet werden, einen vermeintlichen Windows-Patch herunterzuladen und zu installieren. Diese Dateien könnten Schadcode enthalten, aber bislang gibt es dafür keine Bestätigung.

Chorizo nun auch in einer Intranet-Variante erhältlich. Mit Sicherheitsaudits für PHP-Applikationen will Mayflower die Sicherheit entsprechender Software erhöhen. Zugleich stellt das Münchner Softwarehaus auch eine Intranet-Version seines Security Scanners Chorizo! vor.

Anti-Terror-Datei verknüpft IT von Nachrichtendiensten und Polizei. Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, hat anlässlich der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestages zur Anti-Terror-Datei und zum Terrorismusbekämpfungsergänzungsgesetz in ungewöhnlich offener Form erklärt, dass das Gesetzesvorhaben einen weiteren Schritt auf dem Weg in eine Überwachungsgesellschaft darstelle.

Sicherheitslücke macht Zweckentfremdung möglich. Mit La Fonera stellt der WLAN-Anbieter Fon im Rahmen einer zeitlich begrenzten Aktion einen WLAN-DSL-Router kostenlos gegen das Versprechen zur Verfügung, Dritten die eigene DSL-Leitung zur Nutzung mit anzubieten, um damit letztlich den Telekom-Hotspots Konkurrenz zu machen. Zwei deutsche Studenten haben es nun geschafft, den La Fonera zu hacken - kurz vor der Verlängerung der Fon-Aktion bis zum 8. November 2006.

Sicherheitsleck in Windows-Komponente. In dem ActiveX-Control XMLHTTP steckt ein Sicherheitsloch, das zur Ausführung von Programmcode missbraucht werden kann und bereits durch einen aktiven Angriff verwendet wird. Der Fehler betrifft zahlreiche Windows-Plattformen und kann von Angreifern etwa durch die Bereitstellung einer präparierten Webseite ausgenutzt werden. Noch gibt es keinen Patch zur Abhilfe.

Angreifer kann beliebigen Programmcode ausführen. Im Internet Explorer 6 wurde eine neue Sicherheitslücke gefunden, für die bereits Schadcode im Internet aufgetaucht ist. Angreifer können über das Sicherheitsleck beliebigen Programmcode ausführen, um sich eine umfassende Kontrolle über einen fremden Rechner zu verschaffen. Einen Patch gibt es derzeit nicht, aber der Internet Explorer 7 soll den Fehler nicht mehr aufweisen.

Microsoft plant Patch nach abgeschlossenen Untersuchungen. In einem in Visual Studio 2005 enthaltenen ActiveX-Modul steckt eine Sicherheitslücke, durch die Angreifer über manipulierte Webseiten Code in ein System einschleusen können. Microsoft gibt Anleitungen, wie die Sicherheitslücke vermieden werden kann, ein Patch soll später folgen.

Werden Sorgen vor möglichem Missbrauch unter den Tisch gekehrt? RFID-Chips sollten möglichst nicht zu Identifizierung und Verfolgung von Personen eingesetzt werden. Diese Empfehlung gibt ein Unterkomitee des US-Heimatschutzministeriums (DHS), das sich mit den Risiken des RFID-Einsatzes auseinander gesetzt hat. Die Eigenheiten der Technik würden einem unbemerkten Missbrauch Vorschub leisten, so die Autoren eines Datenschutzgutachtens zum Thema RFID. Derweil scheint der breite Einsatz von RFID-Chips in Ausweisen aller Art nicht mehr aufzuhalten zu sein.

Beispiel-Code im Internet veröffentlicht. Im Internet Explorer wurde ein Sicherheitsloch gefunden, das derzeit von Microsoft untersucht wird. Fest steht bislang, dass der Browser durch einen Programmfehler gezielt zum Absturz gebracht werden kann. Möglicherweise lässt sich über das Sicherheitsloch aber auch Programmcode ausführen, womit sich das Risiko erhöhen würde.

78 Rufnummern mit Rechnungslegungs- und Inkassoverbot belegt. Im Rahmen eines umfangreichen Maßnahmenbündels hat die Bundesnetzagentur über 80 Netzbetreibern und Serviceprovidern die Rechnungslegung und das Inkasso für rechtswidrig genutzte Rufnummern untersagt. Eine Vielzahl von Verbrauchern hatte sich bei der Bundesnetzagentur über so genannte Ping-Anrufe und andere Formen von Telefon-Spam beschwert.

Qualität nur in einigen Projekten vorhanden. Auf der LinuxWorld Expo in London warnte Kernel-Hacker Alan Cox davor, zu glauben, Open-Source-Software sei zwangsläufig sicherer. Es würde viel Geld dafür ausgegeben, um Systeme zu knacken und viele Projekte veröffentlichten alles andere als sichere Software.

Fehler in Firefox seit August 2006 bekannt. Sowohl die Firefox-Macher als auch Microsoft haben für ihre neuen Browser-Versionen verbesserte Sicherheit versprochen. Doch beide Webbrowser weisen längst bekannte Sicherheitslücken auf, die bislang nicht geschlossen wurden. Das Sicherheitsleck in Firefox 2.0 kann zu einem gezielten Browser-Absturz missbraucht werden. Unbestätigt ist, dass darüber auch Programmcode ausgeführt werden kann.

Winamp 5.31 mit zahlreichen Fehlerkorrekturen. Mit einem Update für Winamp werden zwei schwere Sicherheitslücken geschlossen, worüber Angreifer Programmcode ausführen können. Winamp 5.31 schließt die beiden Sicherheitslecks und korrigiert weitere Programmfehler.

OLG Karlsruhe bejaht Markenverletzung durch gefälschte Absenderadressen. Microsoft hat ein Verfahren gegen einen in Schleswig-Holstein beheimateten Spammer gewonnen. Das Oberlandesgericht Karlsruhe verurteilte den Störenfried am 25. Oktober 2006. Zuvor hatte auch schon das Landgericht Mannheim ein Urteil wegen Spammings und Markenverletzung gefällt und den Beklagten zu Unterlassung, Auskunft und Schadensersatz verurteilt.

Programm öffnet komplettes Terminal. Der Informatikstudent Amir Alsbih hat eine Demonstration einer Linux-Backdoor veröffentlicht, die als Paket-Sniffer fungiert und dabei nicht auf die Software Tcpdump angewiesen ist. Ferner stellt das Backdoor-Programm ein komplettes Terminal bereit und verschlüsselt die Sessions.

Sicherheitstechniken in Open Specification Promise aufgenommen. Microsoft weitet sein Open Specification Promise aus und erlaubt nun auch die Nutzung verschiedener Sicherheitstechniken. Darunter ist das Spam-Bekämpfungsverfahren der Sender ID. Die insgesamt vier neu in das Open Specification Promise aufgenommenen Techniken sind bereits experimentelle Request for Comments (RFC).

Negativpreis für Datenkraken in Bielefeld verliehen. Lebenslange Schüler-IDs, verdachtsunabhängige Tonaufzeichnungen, Anti-Terror-Datei, Seriennummern auf gebrannten CDs, Warn- und Hinweisdateien der Versicherungswirtschaft und die Übermittlung von Überweisungsdaten an US-Behörden durch SWIFT wurden in diesem Jahr mit dem Negativpreis Big Brother Award ausgezeichnet. Der Preis wird jährlich an Firmen, Organisationen und Personen verliehen, die in besonderer Weise und nachhaltig die Privatsphäre von Menschen beeinträchtigen oder persönliche Daten Dritten zugänglich machen.

Aktualisierter Sicherheits-Patch für Windows 2000. Bereits in den letzten beiden Monaten musste Microsoft Sicherheits-Updates überarbeiten, die am allmonatlichen Patch-Day veröffentlicht wurden. Auch im Oktober 2006 wurde ein Fehler in einem Sicherheits-Patch erst nach Erscheinen bemerkt. Microsoft hat nun einen überarbeiteten Patch für Windows 2000 veröffentlicht.

Sicherheitsleck in Komponente von Outlook Express. Microsoft reagierte auf das einen Tag nach Erscheinen des Internet Explorer 7 gefundene Sicherheitsloch zerknirscht. Nach Aussage aus Redmond stecke das Sicherheitsleck nicht im Internet Explorer 7, sondern in Outlook Express. In Windows Vista sei das Sicherheitsleck bereits korrigiert, in Windows XP werde an einem Patch gearbeitet.

Sicherheitslücke liegt in der Qt-Bibliothek. In der Qt-Bibliothek ist eine Sicherheitslücke aufgetaucht, die Auswirkungen auf den KDE-Browser Konqueror hat. Dieser nutzt Qt so, dass es Angreifern möglich sein soll, beliebigen Programmcode auszuführen. Dazu reicht eine manipulierte Webseite aus.

Auch Service Pack 2 für Windows Server 2003 verzögert sich. Klammheimlich hat Microsoft das Veröffentlichungsdatum für das Service Pack 3 für Windows XP nach hinten verschoben. Bisher sollte das Update im zweiten Halbjahr 2007 kommen. Nach neuer Planung zieht es sich nun noch mindestens bis zur ersten Jahreshälfte 2008 hin, bis das dritte Service Pack für Windows XP kommt. Eine Terminverschiebung gibt es auch für das Service Pack 2 für Windows Server 2003.

Sicherheitsloch erlaubt Ausspähen von Daten. Der Internet Explorer 7 ist nicht mal einen Tag alt, da wurde schon eine Sicherheitslücke in Microsofts neuem Browser entdeckt. Das Sicherheitsleck erlaubt Angreifern das Ausspähen von Daten und wird als wenig kritisch eingestuft. Einen Patch zur Abhilfe gibt es bislang nicht.

Netzwerk-Shooter hat Probleme mit Windows-XP-Kernel-Patch. Electronic Arts sorgt erneut für Unmut bei Kunden: Für den futuristischen Netzwerk-Shooter Battlefield 2142 ist seit dieser Woche der erste Patch erhältlich, der unter Windows XP Probleme mit einem wichtigen Kernel-Sicherheitsupdate hat. EA empfiehlt kurzerhand dessen Deinstallation und nimmt in Kauf, dass die Rechner der Kunden damit angreifbarer werden.

Alle Plattformen vom Flash Player betroffen. Adobe berichtet über zwei bislang nicht geschlossene Sicherheitslecks im Flash-Player. Darüber können Angreifer verschiedene Kommandos ausführen, um etwa an vertrauliche Daten zu gelangen. Noch arbeitet der Hersteller an einem Patch, so dass derzeit keine Abhilfe zur Verfügung steht.

RavMonE.exe kurzzeitig mit auf Apples Musikspieler. Apple muss eine peinliche Schlappe verzeichnen: Ausgerechnet auf dem Musikspieler iPod war in einigen Fällen ein Windows-Virus installiert worden. Apple hat zugegeben, dass weniger als ein Prozent der seit dem 12. September 2006 ausgelieferten iPod Videos mit dem Virus RavMonE.exe verseucht sind. Mittlerweile ist das Problem in der Produktion abgestellt worden.

"Executive Summeries" bieten mehr Informationen. 101 Sicherheitslücken schließt Oracles Patch-Paket für den Monat Oktober 2006. Die meisten Korrekturen sind für die Datenbank-Produkte.

BSD- und Solaris-Treiber enthalten Sicherheitslücke vermutlich auch. Die Linux-Treiber von Nvidia enthalten eine Sicherheitslücke, durch die sich beliebiger Programmcode mit Root-Rechten ausführen lässt. Ein Angriff soll auch von einem entfernten Rechner aus möglich sein. Unter Umständen sind auch die BSD- und Solaris-Treiber betroffen, wobei Nvidia der Fehler angeblich bereits seit zwei Jahren bekannt ist. Ein Exploit existiert schon.

Abfluss geheimer Informationen soll auf jedem Kanal verhindert werden. McAfee hat den israelischen Softwarehersteller Onigma übernommen. Onigma entwickelt Sicherheitssoftware für Unternehmensnetzwerke und soll das Portfolio von McAfee in diesen Bereichen aufbessern.

Digitales Rechtemanagement mit Smartcard. Die amerikanisch-israelische Firma Aladdin hat einen Prototypen vorgestellt, der optisches Speichermedium und Smartcard-Speicher kreuzt. Die unregelmäßig geformte XCD ist so dick wie eine normale DVD und soll in entsprechenden Laufwerken mit Schubladen auch abgespielt werden können. Außerdem ist in dem Medium eine Smartcard eingebunden.

Zahlreiche Notebooks betroffen, erster Patch verfügbar. In den Treibern der bei vielen Marken-Notebooks verbauten Bluetooth-Module von Toshiba steckt eine schwere Sicherheitslücke. Ein Angreifer kann darüber Code einschleusen und ausführen - oder Windows XP zum Absturz bringen. Von Toshiba selbst gibt es bereits einen Patch.

Update-Pakete von Winboard.org, Winhelpline.de und WinFuture.de. Bereits am Patch-Day hatten Winboard.org und WinFuture.de erste inoffizielle Patch-Pakete für Windows XP fertig gehabt. Nun stehen die Patch-Sammlungen für alle betroffenen Windows-Ausführungen bereit und auch Winhelpline als dritter deutscher Anbieter solcher Patch-Pakete hat nachgezogen. Die Patch-Sammlungen enthalten die in diesem Monat veröffentlichten Sicherheits-Patches für Windows.

Neues Verfahren versteckt Nutzdaten im Rauschen. US-Wissenschaftler haben eine Methode entwickelt, um über Glasfaser-Verbindungen Daten zu übertragen, die nur sehr schwer abzufangen und zu entschlüsseln sind. Das Verfahren bedient sich dabei der optischen Eigenschaften der Glasfaser und nicht einer Kodierung durch Software.

Viele Sicherheitslücken erlauben Ausführung beliebigen Programmcodes. Am Patch-Day für den Monat Oktober 2006 schließt Microsoft insgesamt neun Sicherheitslücken in Windows und 16 Sicherheitslecks in Microsofts Office-Paket. Viele der geschlossenen Sicherheitslücken werden als gefährlich eingestuft, weil Angreifer darüber beliebigen Programmcode einschleusen können. Zudem wird ein Fehler im .NET Framework 2.0 korrigiert.