Security

Neue Demos vom Security-Experten Dave Maynor. Auf der in der vergangenen Woche in Las Vegas abgehaltenen BlackHat-Konferenz hat der in der Security-Branche recht bekannte Dave Maynor zusammen mit Robert Graham, beide inzwischen Besitzer von "Errata Security", seine neuen Erkenntnisse ausgebreitet. Die beiden zeigten dabei, wie man mit einfachsten Mitteln an WLAN-Hotspots fremde Identitäten annehmen kann, beispielsweise den Zugang zu einem E-Mail-Konto eines Webmailers.

Staatsanwaltschaft Zwickau ermittelt wegen des Ausspähens von Daten. Dem Chef des Bundespolizeiamts Chemnitz, Detlef Fritzsch, und vier seiner Mitarbeiter droht Ärger. Die Staatsanwaltschaft Zwickau hat nach Informationen des Focus ein Ermittlungsverfahren gegen die Personen eingeleitet, da sie im Verdacht stehen, Daten von Mitarbeitern ausgespäht zu haben.

Remote Forensic Software setzt physischen Zugriff auf den Rechner voraus. In die Frage, wie die umstrittenen Online-Durchsuchungen funktionieren, will die Zeitschrift Chip etwas Licht gebracht haben. Demnach ist die als "Bundestrojaner" bezeichnete Software eher eine Wanze, eine Software die direkt durch den physikalischen Zugriff auf dem Rechner der Zielperson installiert wird. Die Behörden müssen sich also einen direkten Zugang zum System verschaffen, z.B. in die Wohnungen eines Verdächtigen eindringen.

Manipulierbare Speicherkarten und Signaturfälschungen. Wahlcomputer, die bei den amerikanischen Präsidentschafts-Vorwahlen in Florida eingesetzt werden sollen, weisen deutliche Mängel auf und können das Ergebnis fälschen. In einem offenen Brief an die Firma Diebold Election Systems hat der für die Wahlen zuständige Minister Browning den Wahlmaschinenlieferanten über die Lücken informiert und um Nachbesserung gebeten.

Optionale Nahbereichskopplung mit NFC-Tags. Die Bluetooth Special Interest Group (SIG) veröffentlichte die Version 2.1 der Bluetooth-Spezifikation. Die neue Version 2.1+EDR (Enhanced Data Rate) soll mehr Schutz vor Angriffen bieten, die Leistungsaufnahme senken sowie den Kopplungsprozess vereinfachen.

Mozilla-Entwickler stopfen URI-Lücke auch in ihrem E-Mail-Client. Nachdem die Mozilla-Entwickler die URI-Lücke im Zusammenspiel zwischen Firefox und Internet Explorer 7 eindämmten, folgt nun auch ein entsprechendes Update für den E-Mail-Client Thunderbird. Die Sicherheitslücke erlaubt es Dritten, Applikationen auf fremden Rechnern zu starten und ist nicht auf die Mozilla-Produkte beschränkt.

87 Prozent aller befragten PatchLink-Kunden wollen bei Alt-Windows bleiben. Fast sechs Jahre ist Windows XP nun schon alt, Windows 2000 hat immerhin über sieben Jahre auf dem Buckel und beiden Betriebssystemen merkt man ihr Alter an: Treiber von anno dazumal, veraltete Oberfläche und eine Patch-Orgie die ihres gleichen sucht. Dennoch wollen IT-Profis nicht umsteigen, wie sich aus einer Umfrage unter den Kunden der Firma PatchLink schließen lässt. Eher werden alternative Betriebssysteme in Betracht gezogen.

Security Update 2007-007 für MacOS X 10.4.10 veröffentlicht. Apple hat ein erstes Update für sein iPhone veröffentlicht. Dieses schließt allerdings nur einige Sicherheitslücken, neue Funktionen bringt es nicht mit. Gleiches gilt für ein Patch-Paket für MacOS X das ebenfalls erschienen ist. Zudem wurde eine neue Beta-Version des Browsers Safari 3 für MacOS X und Windows veröffentlicht.

Windows XP mit Internet Explorer 7 gefährdet. Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Auch E-Mail-Postfächer von Personalräten unter der Lupe. Genauso wie Briefträger die Post nicht lesen dürfen, müssen auch Vorgesetzte ihre Neugier gegenüber den E-Mails der Mitarbeiter bremsen. Vielleicht wusste dies der Chef der Bundespolizei in Chemnitz nicht, als er einem Zeitungsbericht nach die E-Mail-Konten seiner Beamten heimlich ausforschen ließ.

Du sollst dem SysAdmin am letzten Freitag des Juli huldigen. Es ist mal wieder Sysadminday, genauer gesagt "System Administrator Appreciation Day", an dem die Anwender ihrem stets zur Stelle stehenden Sysadmin huldigen (sollten). Und trotzdem, ein paar Wolken ziehen auf und es gibt schon erste Vorboten, dass der Sysadminday in Zukunft etwas trüber ausfallen wird.

"Bundestrojaner" soll doch schnell beschlossen werden. Aussagen des Bundesjustizministeriums zufolge will Innenminister Wolfgang Schäuble die Reform des BKA-Gesetzes doch nicht ohne die Möglichkeit für die umstrittene Online-Durchsuchung von privaten PCs vornehmen lassen. Der Innenminister wies damit frühere Angaben der Justizministerin Zypries zurück.

Schäuble plant BKA-Gesetz wohl ohne heimliche Online-Durchsuchungen. Die von Bundesinnenminister Wolfgang Schäuble gewünschten heimlichen Online-Durchsuchungen scheinen zumindest vorerst vom Tisch. Schäuble plane das BKA-Gesetzt, in dem diese verankert werden sollten, den Ländern ohne diesen Punkt vorzulegen, sagte Bundesjustizministerin Brigitte Zypries der Berliner Zeitung.

Kanzlerin und Innenminister muss Schlappe einstecken. Die von Bundesinnenminister Schäuble geforderten neuen Befugnisse für das Bundeskriminalamt werden nun doch ohne die umstrittenen Online-Durchsuchungen kommen. Die SPD will diese weitreichenden Befugnisse für verdeckte Durchsuchungen nicht ins BKA-Gesetz pressen. Erst soll ein Urteil des Bundesverfassungsgerichts zu dem nordrhein-westfälischen Verfassungsschutzgesetz abgewartet werden, in dem Online-Durchsuchungen gestattet sind.

EMC veröffentlicht Geschäftszahlen für das zweite Quartal. Der Softwarekonzern EMC konnte seinen Umsatz im zweiten Quartal 2007 um 21 Prozent im Vergleich zum Vorjahr steigern. Bei der EMC-Tochter VMware ist sogar ein Umsatzzuwachs von 89 Prozent zu verbuchen. VMware steht derzeit kurz vor dem Börsengang.

Mit Angaben zu Einkommen und Vermögen die eigene Schufa-Bewertung verbessern? In einem Interview mit der Wirtschaftswoche hat der Schufa-Vorstandsvorsitzende Rainer Neumann den Vorschlag gemacht, dass Verbraucher der Schufa freiwillig mehr persönliche Daten liefern sollten. So sollen sie ihre Schufa-Bewertung verbessern können.

Firmware 1.90 in den Startlöchern. Mit dem Update auf die nun erhältliche Firmware 1.90 bringt Sony Computer Entertainment der PlayStation 3 (PS3) wieder neue Funktionen bei. Nachdem das Softwareupdate wie üblich zuerst in Japan erschien, können nun auch amerikanische und europäische Kunden ihre Spielekonsole aktualisieren.

Faxgeräte Multifax 500 und 700 betroffen. Die Deutsche Telekom warnt vor einer möglichen Brandgefahr. Betroffen sind die Faxgeräte Multifax 500 und 700, bei denen zumindest teilweise durch die unglückliche Kombination von beschädigten Druckerpatronen und einem Firmware-Fehler beim Selbstreinigungstest eine Überhitzung auftreten kann. Ein Software-Update soll den Fehler beseitigen.

Gespeichert Suchdaten werden nach 18 Monaten anonymisiert. Microsoft will gesammelte Daten mit sofortiger Wirkung nach 18 Monaten anonymisieren, die bei Nutzung von Redmonds Suchmaschine angefallen sind. Zudem soll der Microsoft-Kunde mehr Einflussmöglichkeiten erhalten, um die Rahmenbedingungen der Datenspeicherung durch Microsoft zu beeinflussen.

Angreifer können Daten ausspähen. Die Sicherheitsfirma Security Evaluators hat Sicherheitslecks in Apples iPhone entdeckt, das von Angreifern dazu missbraucht werden kann, Daten auszuspionieren. Die Sicherheitsanfälligkeiten treten im iPhone-Browser und im Zusammenspiel mit der WLAN-Funktion des Apple-Handys auf.

TeleSec droht Entzug der Akkreditierung durch die Bundesnetzagentur. Die Bundesnetzagentur erwägt der Telekom die Genehmigung zum Betrieb ihrer Zertifizierungsstelle TeleSec zu entziehen. Die Telekom hat Teile ihres akkreditierten Zertifizierungsdienstes örtlich verlagert und an anderem Standort neu in Betrieb genommen - ohne dies der Bundesnetzagentur als Aufsichtsbehörde mitzuteilen.

Private PCs auf Ethernet-Ebene verbunden, nicht per Internet. In der am Montag, den 23. Juli 2007 erscheinenden Ausgabe berichtet die Zeitschrift c't über Fehlkonfigurationen bei DSL-Providern. Dadurch kann man auf Kosten anderer Nutzer - und mit deren IP-Adresse - mitsurfen, aber unter Umständen auch Windows-Freigaben einsehen. Bereits die Vorab-Berichterstattung sorgte für viel Wirbel und zahlreiche Missverständnisse.

Ask.com lässt Nutzer Suchgeschichte löschen. Im Kampf um die Aufmerksamkeit der Internet-Bevölkerung setzen die Betreiber der Suchmaschine Ask.com ein deutliches Zeichen für den Datenschutz. Ein neues Werkzeug namens AskEraser soll Ask.com-Nutzer ihre Suchgeschichte löschen lassen.

Windows-Freigaben werden bei Providern durch ganze Subnetze verteilt. Bei einigen deutschen DSL-Providern weisen die internen Netze massive Fehlkonfigurationen auf. Dadurch kann man beispielsweise die Festplatten seines Nachbarn durchsuchen - oder auf dessen Kosten surfen.

Updates schließen Sicherheitslücken. Nachdem kürzlich Firefox in der Version 2.0.0.5 erschienen ist, um Sicherheitslücken zu schließen, stehen nun auch die Mozilla-Applikationen Thunderbird, SeaMonkey und Flock in korrigierten Fassungen bereit. Mit Thunderbird 2.0.0.5 werden zwei als gefährlich eingestufte Sicherheitslecks geschlossen.

Bislang keine Anfragen von Regierungsstellen bekannt. Namhafte Anbieter von Anti-Spyware würden staatlichen Ermittlungsbehörden bei der Durchsuchung von Computern nicht helfen, selbst wenn sie sie dazu aufgefordert würden. Die IT-Sicherheitsfirmen würden auch Spionage-Software erkennen, wenn diese von staatlicher Seite stammen, wie eine Umfrage ergab.

Geplante Online-Durchsuchung macht PC-Nutzer zum gläsernen Bürger. Mit einer Internetaktion wollen die Grünen gegen die Pläne von Bundesinnenminister Wolfgang Schäuble (CDU) protestieren, zur Stärkung des Rechtsstaates Online-Durchsuchungen zuzulassen. Nach dem Willen von Schäuble sollen Strafverfolger unbemerkt in Computer über das Internet eindringen und alle darauf befindlichen Daten auslesen können.

Update schließt Sicherheitslücken und bringt einige Verbesserungen. Der Web-Browser Opera steht ab sofort in der Version 9.22 als Download zur Verfügung. Die neue Version beseitigt unter anderem ein Sicherheitsleck, das für Phishing-Angriffe missbraucht werden kann. Ansonsten hat der Browser Fehlerkorrekturen erfahren und soll insgesamt zuverlässiger agieren.

Beta des Service Pack 1 für Windows Vista in den nächsten Tagen erwartet. ZDNet-Reporterin Mary Jo Foley hatte vor einigen Tagen Microsoft-Quellen zitiert, wonach eine erste Beta-Version des Service Pack 1 für Windows Vista am 16. Juli 2007 erscheinen wird. Daraus wurde aber nichts. Nun erwartet Foley die Veröffentlichung für den 19. Juli 2007.

Übersicht soll bei Beurteilung der Updates helfen. Mit der Patch-Sammlung für Juli 2007 schließt Oracle insgesamt 45 Sicherheitslöcher in seinen Produkten. In einer Risk Matrix gibt Oracle wieder an, wie wichtig die einzelnen Updates einzustufen sind.

Firefox 2.0.0.5 bereits in deutscher Sprache verfügbar. Das Mozilla-Team hat ein Update für Firefox veröffentlicht, das verschiedene Sicherheitslücken schließt. Außerdem behebt Firefox 2.0.0.5 einige kleine Programmfehler und der Browser hat minimale Verbesserungen erhalten.

Angreifer können Telefonate verfolgen oder selbst Anrufe starten. Der Sicherheitsspezialist SPI Labs warnt iPhone-Besitzer davor, über den iPhone-Browser Telefonnummern auf Webseiten anzuwählen. Durch antippen kann eine Rufnummer innerhalb einer Webseite aus dem Browser heraus angerufen werden, indem diese an die Telefonapplikation übergeben wird. Hierbei tritt eine Sicherheitslücke auf, die sich Hacker zunutze machen können, um Schadcode auszuführen.

Lebensdauer der Cookies wird auf zwei Jahre verkürzt. Google reagiert mit kleinen Schritten auf die Kritik von Datenschützern und ändert nun seine Cookie-Politik: Künftig sollen Cookies nur zwei Jahre halten, bislang hatte Google seinen Cookies eine Lebenszeit bis zum Jahr 2038 verpasst.

Handys werden zu Wanzen. Früher brauchte die Polizei teure Abhörgeräte und einen Zugang zur Wohnung des Verdächtigen, den es abzuhören galt. Nun kaufen sich die Verdächtigen die Technik selbst, mit der sie überwacht werden. Nach einem Bericht des Spiegel nutzen deutsche Ermittlungsbehörden zum Abhören von Tatverdächtigen deren Mobiltelefone.

Verbraucherschutz und Strafrecht hinterfragt. Die Durchsetzung von Urheberrechten und der Schutz der Verbraucher gehen nicht immer Hand in Hand. Gleichzeitig ist die strafrechtliche Verfolgung von Urheberrechtsverletzungen nicht umsonst zu haben. Der Frage nach der richtigen Balance gingen Experten auf dem Jahreskongress der Society for Economic Research on Copyright Issues (SERCI) in Berlin nach.

Richtervorbehalt und Informationspflicht gefordert. In der Debatte um den so genannten "Bundestrojaner", der das heimliche Durchsuchen der Festplatten von privaten PCs ermöglichen soll, hat der Innen-Experte der SPD nun Bedingungen genannt, unter denen er sich ein entsprechendes Gesetz vorstellen kann. So sollen die Aktionen stets von einem Richter genehmigt werden müssen und dürften zudem nicht ganz ohne Wissen des Verdächtigten ablaufen.

Schadensersatz wegen angeblichen Fehlern in "MediaMax 5". In den USA hat der Musik-Gigant Sony BMG Klage gegen das Nachfolge-Unternehmen der "SunnComm" eingereicht, die den bis zum Jahr 2005 auf Sony-CDs eingesetzten Kopierschutz "MediaMax" entwickelt hatten. Sony BMG will wegen Fehlern in der Kopiersperre bis zu 12 Millionen US-Dollar Schadensersatz erhalten.

Neue Version schließt acht gefährliche Sicherheitslücken in QuickTime. Mit der aktuellen Version erhält die Gratis-Version von QuickTime endlich eine Option, um Videos im Vollbildmodus darzustellen. Zudem weist Apples QuickTime acht gefährliche Sicherheitslecks auf, die sowohl die Windows- als auch die Mac-Ausführung betreffen und mit dem Update geschlossen werden sollen. Im Zuge dessen wurde auch iTunes aktualisiert, um einen Fehler beim Zugriff auf die iTunes-Bibliothek zu beseitigen.

Beleuchtungsverhältnisse beeinflussen stark die Erkennungsfähigkeit. Das Bundeskriminalamt (BKA) führte von Oktober 2006 bis Januar 2007 im Auftrag des Bundesinnenministeriums im Mainzer Hauptbahnhof ein Biometrieprojekt durch. Dabei wurde versucht, 200 freiwillige Testpersonen aus der Masse der Reisenden automatisch per Video-Überwachung herauszufinden. Nun liegt der Bericht zur "Foto-Fahndung" vor - und ist ernüchternd für die Fahnder.

Angreifer können fremde Systeme unter ihre Kontrolle bringen. Adobe beseitigt einige Sicherheitslücken in Photoshop CS2 und CS3, mit denen sich Angreifer Kontrolle über entsprechende Systeme verschaffen können. Auch für den Flash-Player wurde ein wichtiges Update veröffentlicht.

Fehler in Firewall von Windows Vista. Allein drei Sicherheitslücken korrigiert Microsoft mit einem Patch in der Tabellenkalkulation Excel und ein weiteres Sicherheitsleck steckt in der Office-Komponente Publisher. Zudem muss Microsoft am diesmonatigen Patch-Day insgesamt vier Sicherheitslöcher in Windows beseitigen. Ein Fehler davon betrifft die Firewall von Windows Vista.

Beta-Version des Service Pack 1 soll Mitte Juli 2007 erscheinen. Um den Erscheinungstermin für das Service Pack 1 für Windows Vista gibt es einige Verwirrung. Nach Insider-Informationen soll die Beta-Version des Service Pack 1 für Windows Vista noch im Juli 2007 erscheinen, so dass die Final-Version doch im November 2007 erscheinen könnte.

Verteidigungsministerium gibt gelöschte Dokumente verloren. Das Verteidigungsministerium rechnet nicht mehr damit, dass die gelöschten Dokumente aus den Jahren 1999 bis 2003 wieder auftauchen. Bei einer Datenpanne wurde der gesamte Bestand an Geheimdienstinformationen aus den Jahren 1999 bis 2003 im "Amt für Nachrichtenwesen der Bundeswehr" vernichtet.