Security

Enge Zusammenarbeit mündet in der Übernahme von IMlogic. Symantec hat sich mit IMlogic auf eine Übernahme verständigt, das Unternehmen hat sich auf Unternehmenssoftware für Instant Messaging spezialisiert. Symantec will mit dem Zukauf sein Portfolio in diesem Bereich erweitern.

Zwei Lecks gestopft, zwei Patches noch in Arbeit. Nachdem die Hackergruppe Phenoelit Ende Dezember 2005 auf dem 22. Chaos Communication Congress Sicherheitslücken in der von RIM betriebenen BlackBerry-Architektur aufgedeckt hat, wurden nun zum Teil Patches zur Abhilfe bereit gestellt. Drei der vier Sicherheitslücken betreffen ausschließlich RIMs Server-Software, während ein Sicherheitsrisiko auf den BlackBerry-Geräten auftritt.

Microsoft rät derzeit zum Abschalten von WMF-Bildern. Ende letzter Woche wurde eine bislang ungepatchte, aber kritische Sicherheitslücke in Microsofts Betriebssystem Windows bekannt, dank der sich über präparierte WMF-Bilddateien Code einschleusen und zur Ausführung bringen lässt. Mittlerweile warnen die Anti-Virenhersteller vor ersten Würmen und Spam, der das Problem ausnutzt. Allerdings steht mittlerweile auch ein Hotfix bereit, der Abhilfe schaffen soll - wenn auch nicht von Microsoft.

Technische Hintergründe weitestgehend unklar. Die Website Techshout.com berichtet von einem neuen Angriff auf Websurfer. Mit einer Schadsoftware infizierte Rechner produzieren gefälschte Google-Werbeanzeigen - die so formatiert sind wie die richtige Adsense-Werbung - und blenden diese auf Websites ein, die der ahnungslose Surfer besucht.

Rechtsarme Bürger: keine Befragung, keine Dokumentation. Die Kontenabfragen, die die Finanzverwaltung durchführen darf, werden schlampig durchgeführt, berichtet der Spiegel unter Berufung auf das Ergebnis einer vom Bundesbeauftragten für Datenschutz veranlassten Stichprobe. In drei nordrhein-westfälischen Finanzämtern stellte sich heraus, dass neun von zehn Kontenabfragen Mängel aufwiesen.

Europäischer Hackerkongress in Berlin geht zu Ende. Am Freitagabend ging der 22. Chaos Communication Congress zu Ende - ohne nennenswerte Zwischenfälle. Bevor die letzten der ca. 3.000 Besucher das Berliner Kongresszentrum verließen, wagten die Hacker noch einen Blick in die Glaskugel, um die Sicherheitsalbträume für 2006 vorherzusagen.

Von Tastaturen mit Display, Prozessoren mit mehreren Kernen und Wohlfühl-LCDs. Viele Themen bestimmten das Jahr 2005, einige davon wollen wir in unserem vierteiligen Jahresrückblick noch einmal Revue passieren lassen. Der Blick nach hinten mit etwas Abstand lässt das Eine oder Andere deutlicher werden und bietet zugleich Stoff zum Nachdenken, nachdenken über das, was 2006 zu erwarten ist. Dieser vierte und letzte Teil richtet seinen Blick auf die PC-Hardware, angefangen bei Maus und Tastatur über Prozessoren, die zunehmend mit mehr als einem Kern ausgestattet sind und Grafikkarten, die wieder im Doppelpakt auftreten, bis hin zu Visionen von Elektronik mit Bewusstsein.

Dunkles Kapitel der Musikindustrie. "Sonys digitaler Hausfriedensbruch", so der Titel eines Vortrags zum XCP-Kopierschutz, mit dem Sony in diesem Jahr Schlagzeilen machte. Markus Beckedahl und "fukami" zeichneten dabei den zeitlichen Ablauf des Debakels nach, das geprägt war von langsamen Reaktionen seitens Sony. Sammelklagen gegen Sony wurden allerdings erst kürzlich beigelegt.

Erst das Hirn, dann den Computer einschalten. Seit 1984 findet mit dem Chaos Communication Congress der größte deutsche Hackerkongress statt. Die Teilnehmer erwarten in Berlin bis zum 30. Dezember 2005 vier Tage Vorträge, die sich neben der Technologie vor allem auch den Themen Politik und Ethik widmen.

Angreifer derzeit noch unbekannt. Ausgerechnet in der Vorweihnachtszeit wurden vier Websites, die sich den Themen Sicherheit und Verbraucherschutz widmen, Opfer von DDoS-Attacken (Distributed Denial of Service). Die Websites Dialerschutz.de, Computerbetrug.de und Antispam.de sowie Gulli.com lagen dabei im Visier der noch unbekannten Täter.

Kernelwechsel, neue Konfiguration und Virtualisierung. Nach rund 34 Monaten Entwicklungszeit ist die Version 3.0 der Routerdistribution fli4l (floppy isdn for linux) erschienen. Mit der neuen Version wurde auf Linux 2.4 umgestellt und eine neue Art der Paketfilterung integriert. Die auf iptables basierten Paketfilter sollen nach Entwicklerangaben nun umfangreicher und flexibler sein. Das bedeutet aber auch, dass sich die Konfiguration in diesem Bereich vollständig ändert.

Thunderbird 1.5 soll im Januar 2006 erscheinen. Wie die Mozilla-Entwickler bereits in Aussicht stellten, ist nun ein zweiter Release Candidate für Thunderbird 1.5 erschienen. Dieser korrigiert Fehler im E-Mail-Client, die nach der Veröffentlichung des ersten Release Candidates aufgefallen waren, bietet aber keine neuen Funktionen.

FTC fordert internationale Anstregungen gegen Spam. Das in den USA 2003 eingeführte Gesetz, das unter dem Kürzel CAN-SPAM Act bekannt wurde und die US-Bürger vor ungewünschter Werbung schützen soll, ist nun auf seine Effektivität hin überprüft worden. Dafür wurde von der Federal Trade Commission ein umfangreiches Evaluierungsverfahren durchgeführt, bei dem unter anderem sowohl neun große ISPs als auch Privatpersonen, Verbraucherorganisationen, E-Mail-Marketing-Unternehmen, Rechtswissenschaftler und andere Experten befragt und natürlich auch die eigenen Erfahrungen ausgewertet wurden.

Neue Sicherheitsfunktionen sowie Interface-Veränderungen. Microsoft hat die dritte Community Technology Preview (CTP) von Windows Vista freigegeben. Mit diesen Vorabversionen soll der Nachfolger von Windows XP besser entwickelt werden können als mit Beta-Testversionen. Die CPT ist nicht für jedermann erhältlich, sondern außer für Microsoft-MSDN- und TechNet-Entwickler auch noch für eine Reihe von Partnern und Kunden.

Anwender von Versionen ab v4.2 von Sicherheitslücke betroffen. Der E-Mail-Client Pegasus Mail in Version 4.31 ist von David Harris zum Download freigegeben worden. Die Software sieht von der Oberfläche her gegenüber der v4.21 nicht besonders anders aus, doch wurden bis zum Erscheinen der v4.3 nach Entwicklerangaben knapp 60 Betas und 14 Release-Kandidaten getestet. V4.3 ist Resultat einer umfangreichen Code-Pflege, die die Software zukunftssicher machen soll, so die Entwickler. Die nächste Version soll V5 sein. Zugleich wurde ein Sicherheitsleck bei Pegasus-Mail-Versionen ab v4.2 entdeckt.

Workshop zur Web-Authentifizierung. Das World Wide Web Consortium (W3C) veranstaltet einen Workshop, um Methoden zu finden, die sicheres und vertrauenswürdiges Browsen einfacher machen und Nutzer effektiv vor Betrügerein im Internet, wie Phishing, schützen. Noch bis Ende Januar 2006 sammelt das W3C Themenvorschläge für den im März 2006 stattfindenden Workshop.

Patch steht seit Oktober zur Verfügung. Ein als Dasher.B bezeichneter Wurm verbreitet sich zunehmend im Internet und installiert ein Rootkit inklusive Keylogger auf betroffenen Windows-Systemen. Ein Patch für die verantwortliche Sicherheitslücke existiert bereits seit Oktober 2005.

Reproduzierbarer Beweis muss in Moskau erbracht werden. Der vor allem bei Spielen eingesetzte Kopierschutz des russischen Anbieters StarForce sorgt immer wieder für heftige Diskussionen: Angeblich zerstört die Kopierschutz-Software Laufwerke, verlangsamt PCs oder lässt Systeme instabil werden. Der Hersteller streitet dies ab und verspricht nun eine Belohnung, sollte jemand entsprechende Probleme reproduzierbar vorführen können.

Einfaches Erstellen von Community-Portalen. Mit dem Java System Portal Server 7 erweitert Sun das Java Enterprise System und möchte die Erstellung von "Communitys" erleichtern. Dabei können aktuelle Webtechniken wie RSS-Feeds, Blogs oder Wikis eingesetzt und zusammen mit AJAX Webapplikationen entwickelt werden.

Patch-Pakete mit aktuellem Patch für Windows und Internet Explorer. Die von Winboard.org bereitgestellten Update-Pakete für Windows 2000 sowie Windows XP wurden aktualisiert und umfassen nun die Sicherheits-Patches für Windows und den Internet Explorer. Auch eine überarbeitete Update-Pack-CD mit den gesammelten Patch-Paketen ist bereits verfügbar. Zudem bietet WinFuture.de ein Update-Paket für Windows XP und erstmals auch ein Patch-Paket für die 64-Bit-Ausführung von Windows XP an, während auf Winhelpline.de aktualisierte Update-Setup-Routinen für Windows 2000 sowie XP zu finden sind.

Datensicherheit und Datenschutz sollen gewährleistet sein. Die Gesellschaft gematik hat das Testlabor für die Erprobung der elektronischen Gesundheitskarte, die die Versichertenkarte ablösen soll, nun in Betrieb genommen. Außerdem wurden die Spezifikationen der Karte nun öffentlich gemacht.

Neuer Titel soll für alle Plattformen im Frühjahr 2006 erscheinen. Ubisoft hat den Namen des vierten Teils der Splinter-Cell-Reihe und einige Details zum Spiel mitgeteilt. Tom Clancy's Splinter Cell Double Agent, wie der neue Titel heißen wird, soll im Frühjahr 2006 für Xbox 360, Xbox, PlayStation 2, GameCube und Windows veröffentlicht werden.

Drei gefährliche Sicherheitslücken im Internet Explorer. Am monatlichen Patch-Day für den Dezember 2005 schließt Microsoft gleich vier Sicherheitslecks im Internet Explorer ab der Version 5.01. Drei der vier Sicherheitslücken erlauben das Ausführen von Programmcode über das Internet, so dass das entsprechende Risiko als gefährlich eingestuft wird. Darüber hinaus hat Microsoft einen Patch für Windows veröffentlicht, der ein Sicherheitsloch im Kernel schließt, worüber lokale Angreifer erweiterte Rechte erhalten können.

Neue Version steht nicht mehr unter der GPL. Die Sicherheits-Software Nessus, die Systeme auf bekannte Sicherheitslücken hin untersuchen kann, erschien jetzt in der Version 3.0. Mit der neuen Version wird die bisher als Open Source angebotene Software "Closed Source" aber weiterhin kostenlos abgegeben.

ClamAV könnte in kommerzielle Firewall-Produkte integriert werden. Die IT-Sicherheitsfirma eEye plant, eine Antivirus-Funktion in ihre Firewall-Produkte zu integrieren. Die Wahl könnte dabei auf die Open-Source-Lösung Clam AntiVirus fallen, wobei eEye sich aktiv an der Verbesserung der Software beteiligen würde. Außerdem entwickelt die Firma ihre eigene Antiviren-Lösung.

VMWare Browser Appliance soll ungefährliches Surfen ermöglichen. VMWare hat mit dem kostenlosen Zusatzprodukt "Browser Appliance" einen virtuellen PC mit Ubuntu und einem installierten Mozilla Firefox vorgestellt. Damit will man dem Anwender ermöglichen, besonders sicher zu surfen, d.h. die Originalinstallation auf dem Gastrechner unberührt lassen. Voraussetzung ist der ebenfalls kostenlose VMWare Player.

Chemiekonzern Degussa AG und Forschungszentrum Karlsruhe kooperieren. Im Rahmen einer strategischen Allianz wollen die in Düsseldorf beheimatete Degussa AG und das Forschungszentrum Karlsruhe in den nächsten 30 Monaten neue Funktionsmaterialien für druckbare Elektronik auf Basis halbleitender Nanopartikel entwickeln. Die Forschungskooperation hat einen Umfang von 2 Millionen Euro, die je zur Hälfte von beiden Partnern getragen werden.

Attac, CCC, FoeBuD, VDZ und VATM appelieren an das EU-Parlament. Die geplante Vorratsdatenspeicherung von Verbindungsdaten ruft Proteste bei den unterschiedlichsten Interessengruppen hervor. Die Attac AG Wissensallmende, der FoeBuD und der Chaos Computer Club protestieren gegen die Pläne, aber auch der VATM (Verband der Anbieter von Telekommunikation (VATM) und der Verband Deutscher Zeitschriftenverleger (VDZ) drängen die EU-Parlamentarier, an ihren bisherigen Positionen festzuhalten und sich nicht dem Druck des EU-Ministerrats zu beugen. Die Interessen sind dabei durchaus unterschiedlich.

Chip als Ergänzung für herkömmliche Virenscanner vorgesehen. Intel arbeitet derzeit an einem Chip, der auf Hardware-Ebene Rootkits auf Computersystemen erkennen können soll. Damit will Intel jedoch nicht in Konkurrenz zu bisherigen Sicherheitslösungen treten, sondern diese ergänzen. Erste Produkte aus diesen Überlegungen sind jedoch frühestens 2008 zu erwarten.

Verbesserte WLAN-Funktion und MP3-Wiedergabe für den LifeDrive. Für den PalmOS-PDA LifeDrive bietet Palm nun auch in Deutschland das LifeDrive-Update 2.0 an, nachdem es bereits seit einer Weile in den USA für die englischsprachigen Modelle verfügbar ist. Das Update soll die WLAN-Funktionen, die Klangqualität bei der MP3-Wiedergabe und den Browser-Einsatz verbessern.

Sober will am 5. Januar 2006 Programmcode nachladen. Die Hersteller von Antivirenlösungen befürchten für den 5. Januar 2006 eine Neuauflage einer E-Mail-Flut, wie sie etwa im Mai 2005 in Form von rechten Propaganda-E-Mails auftrat. Abermals könnten dann die E-Mail-Postfächer etlicher Nutzer verstopft werden, da die jüngste Sober-Version an dem genannten Datum versuchen wird, Programmcode aus dem Internet nachzuladen.

Fünf weitere Software-Updates für 13. Dezember 2005 vorgesehen. Wie gewohnt hat Microsoft nun Vorabinformationen zum geplanten Patch-Day am 13. Dezember 2005 bekannt gegeben. Demnach sind zwei Security Bulletins für die Windows-Plattform geplant, um Sicherheitslücken zu stopfen, die als gefährlich eingestuft werden.

Besonders dünne Batterie ist in nur 30 Sekunden aufladbar. NEC stellt eine besonders dünne und wieder aufladbare Batterie vor, die sich zudem verbiegen lässt. Mit der neuen Batterie eröffnen sich auch neue Anwendungsgebiete - so können mit der Technik auch Geräte mit Energie versorgt werden, die stärkeren Belastungen durch Verformungen ausgesetzt sind.

Beispielcode belegt Programmabsturz. Im kürzlich vorgestellten Firefox 1.5 wurde eine Sicherheitslücke entdeckt, die zu einem wiederholten Absturz des Browsers führen kann. Die Entdecker des Sicherheitslochs behaupten zudem, dass sich über dieses Sicherheitsleck auch Programmcode ausführen lässt.

Keine Intranetzone mehr für Heimanwender. Für den Internet Explorer 7 wird das bisherige Zonenmodell überarbeitet, um die Sicherheitsanfälligkeiten zu verringern, die durch die bisherige Umsetzung des Zonenmodells immer wieder auftraten. Eine deutliche Sicherheitsverbesserung verspricht sich Microsoft davon, die Intranetzone bei Heimanwendern komplett zu deaktivieren. Außerdem erhalten zwei weitere Internetzonen geringere Rechte als bisher, um so möglichen Angriffen vorzubeugen.

VoiceXML 3.0 wird Verifizierung des Gesprächspartners erlauben. Das World Wide Web Consortium (W3C) arbeitet weiter an den beiden XML-Sprachspezifikationen SSML und VoiceXML. Damit soll der sprachgesteuerte Zugang zum Internet ermöglicht und Spracheingabe zum wesentlichen Bestandteil von E-Business-Anwendungen werden. Telefone könnten so besser als Internet-Clients dienen.

Großauftrag an T-Mobile soll wegen Sicherheitsbedenken storniert werden. Die Bundeswehr soll einem Bericht der Wirtschaftswoche zufolge die Beschaffung von Blackberrys für die politische und militärische Führungsebene gestoppt haben. Die zum mobilen Abruf von E-Mails, Aufgaben und Terminen konzipierten Geräte des kanadischen Herstellers Research in Motion (RIM) sollten ursprünglich über T-Mobile beschafft werden.

Betrugsabteilung von eBay fällt auf Phishing-Trick herein. In den USA wurde ein Phishing-Angriff auf eBay-Kunden entdeckt, der offenbar so glaubwürdig war, dass er selbst die Betrugsabteilung von eBay täuschte. Ein Sicherheitsberater informierte eBay über diesen Phishing-Angriff und war sehr überrascht, als eBay die betreffende Mitteilung als offiziell klassifizierte, wie das US-Magazin PCWorld.com berichtet.

Kopierschutz MediaMax 5 erlaubt Einschleusung beliebigen Programmcodes. Nach dem Skandal um das DRM-System XCP auf verschiedenen Musik-CDs aus dem Hause Sony BMG macht nun der gleichfalls von Sony BMG eingesetzte Kopierschutz MediaMax 5 Probleme. Ein Sicherheitsloch in MediaMax 5 erlaubt einem Angreifer, schadhaften Programmcode auf fremde Rechner zu schleusen und verhilft diesem zu einer umfassenden Kontrolle über fremde Systeme.

Manipulierte PDF-Dateien können Heap Overflows verursachen. Der freie PDF-Betrachter Xpdf enthält vier kritische Sicherheitslücken, durch die Angreifer beliebigen Programmcode ausführen können. Auch die aktuelle Version 3.01 ist betroffen, die Entwickler bieten aber bereits einen Patch an.

Rundum-Sicherheitslösungen für das E-Business geplant. Das Sicherheitsunternehmen RSA Security will das in New York beheimatete Unternehmen Cyota aufkaufen. Die Hauptprodukte des Übernahmekandidaten sind Online-Sicherheits- und Anti-Phishing-Lösungen, die vornehmlich an Finanzinstitutionen weltweit verkauft werden.

Harsche Kritik am Kompromiss zur Vorratsdatenspeicherung. Nachdem sich die Justizminister der Europäischen Union (EU) am Freitag, dem 2. Dezember 2005, auf einen "Kompromissvorschlag" bei der Speicherung von Telekommunikationsverbindungsdaten geeinigt haben, kommt nun harte Kritik von Seiten der Datenschützer. Nach dem Kompromiss müssten in allen EU-Staaten bei sämtlichen Formen der Telekommunikation die so genannten Verkehrsdaten mindestens sechs Monate lang gespeichert werden, kritisiert das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

Bisheriges Identifikationssystem soll ersetzt werden. Einem Bericht des Nachrichtenmagazins "Der Spiegel" zufolge soll bei manchen Voice-over-IP-Anbietern die übertragene Nummer des Anrufers geändert werden können, so dass man damit Handy-Mailboxen von Dritten abhören kann.