Security

Umfassende Verbindungsdatenerfassung nach deutschem Recht verfassungswidrig. Alarmiert reagiert der Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, Thilo Weichert, auf Meldungen, wonach nicht nur der Europäische Rat, sondern auch die EU-Kommission eine umfassende Überwachung der Telekommunikations-Verbindungsdaten fordert.

Bericht: Nutzung soll umfassend erfasst und Bewegungsprofile erstellte werden. Die Speicherung von Telekommunikationsdaten auf Vorrat will die EU-Kommission stärker als Mittel im Kampf gegen den islamistischen Terrorismus einsetzen, berichtet die Tageszeitung die Welt. Benutzer von Telefon, Handy und Internet sollen bei der Nutzung von der ersten bis zu letzten Sekunde beobachtet werden, so dass auch Bewegungsprofile erstellt werden können, berichtet das Blatt unter Berufung auf ein noch nicht veröffentlichtes Papier der Kommission.

GaduGadu gefährdet Instant-Messaging-Nutzer. Das KDE-Team warnt vor Sicherheitslücken im Instant-Messenger Kopete sowie den Text-Editoren Kate und KWrite. Fehler in einer von Kopete verwenden Bibliothek könne unter Umständen das Ausführen von fremden Code erlauben.

PSP-Firmware 2.0 unterstützt auch WPA-geschützte WLAN-Verbindungen. Am 27. Juli 2005 will Sony Computer Entertainment der bisher nur in den USA und Japan erhältlichen PlayStation Portable die neue Firmware-Version 2.0 mit integriertem Web-Browser spendieren. Bis jetzt gab es nur einen versteckten Web-Browser im Spiel Wipeout Pure.

Neue Version unterstützt nun auch das Onion-Routing-Netz TOR. Das AN.ON-Projekt der Universität Dresden hat eine neue Generation seines Anonymisierungs-Proxy JAP in Betrieb genommen. Die neue stabile JAP-Version 00.05.001 verspricht eine unter anderem deutliche Verbesserung hinsichtlich Bedienbarkeit und Benutzerfreundlichkeit sowie Unterstützung des ebenfalls beliebten und von der Electronic Frontier Foundation (EFF) unterstützen Anonymisierungsdienstes TOR.

Redmonder Software-Konzern erwirbt auch Beteiligung an Finjan. Microsoft hat eine weltweite, nicht-exklusive Lizenz für ausgewählte Patente des IT-Sicherheitsspezialisten Finjan Software erworben. Zugleich beteiligte Microsoft sich an dem Unternehmen als Minderheits-Aktionär.

Betrüger wollen Versand von Waren anstoßen. Nutzer der Handelsplattform Marketplace von Amazon.de sind in das Visier von Betrügern geraten. Im Internet wurden gezielt gefälschte E-Mails versendet, die einem Verkäufer suggerieren, ein über Amazons Marketplace angebotenes Produkt sei verkauft worden und müsse nun versendet werden. Der deutschsprachige Text einer solchen E-Mail weist jedoch derartig viele Fehler auf, dass dies bereits ein deutliches Warnsignal ist und auf eine Fälschung hindeutet.

Sicherheits-Experte veröffentlicht sechs nicht geschlossene Lücken. Alexander Kornbrust, Sicherheits-Spezialist für Oracle-Software, kritisiert den Software-Hersteller wegen dessen Umgang mit Sicherheitslücken und veröffentlichte zugleich sechs Advisories zu Sicherheitslücken in Oracle Forms und Reports, die derzeit nicht behoben sind.

Code-Basis soll jetzt gründlich nach Fehlern durchsucht werden. Mit der Version 2.0.17 von phpBB schließen die Entwickler der freien Board-Software eine kritische Sicherheitslücke, die Cross-Site-Scripting-Attacken (XSS) im Internet Explorer ermöglichte. Nach zunehmender Kritik aufgrund wiederholter Sicherheitsprobleme in phpBB wollen die Entwickler sich den schon in die Jahre gekommen Code nun nochmals gründlich vornehmen.

Kinderkleidung soll ebenfalls das Verschwinden von Kindern vereiteln. Im US-Bundesstaat North Carolina konnte mit Hilfe von RFID-Technik, die das Presbyterian Hospital in der Stadt Charlotte einsetzt, eine Kindesentführung verhindert werden. Das System stammt von VeriChip, die mit dem "Hugs RFID Infant Protection System" eine Sicherheits-Lösung für Krankenhäuser anbietet.

Forscher nutzen einzelne Photonen als Köder gegen Lauschangriffe. An der Universität von Toronto haben Wissenschaftler eine neue Methode entwickelt, um den Austausch von kryptografischen Schlüsseln zu sichern. Ein potenzieller Lauscher verrät sich dabei selbst, indem er auf Köder hereinfällt.

Firewall auf Windows-Kernel-Ebene soll präventiv schützen. Mit einer neuen Strategie soll Zone Alarm 6.0 von vornherein die Installation von Spyware und anderen Schädlingen verhindern und nicht erst nach einem angerichteten Schaden sowie einem System-Scan die unerwünschte Software entfernen. Stattdessen soll eine Firewall auf Ebene des Betriebssystem-Kerns zur Laufzeit verdächtige Aktivitäten aufspüren, die das Betriebssystem, Anwendungen und Dateien in Mitleidenschaft ziehen würden.

Sicherheitsloch bei der Wiedergabe von MP3-Dateien. In zahlreichen Winamp-Versionen wurde ein schweres Sicherheitsloch entdeckt, womit Angreifer über präparierte MP3-Dateien beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über fremde Systeme verschaffen können. Der Hersteller bietet eine aktuelle Version der Software an, die das Sicherheitsloch bereinigen soll.

Auch Attacken auf Kunden der Deutschen Bank und der Sparkasse. Seit einigen Tagen geistern vermehrt betrügerische Phishing-E-Mails durch das Internet. Neben Postbank-Kunden haben die Angreifer auch Kontoinhaber der Deutschen Bank und der Stadtsparkasse München im Visier. Zudem machen gefälschte eBay- und PayPal-E-Mails die Runde.

Erste Prototypen im Labor entwickelt. Die niederländischen Forscher von Philips machen Fortschritte auf dem Weg zu Recheneinheiten, die vollständig aus Kunststoffen hergestellt sind. Erstmals gelang jetzt die dauerhafte Datenspeicherung auf einem Polymer-Chip, der sich wie Flash-Speicher neu beschreiben lässt.

Denial-of-Service-Angriffe per Fernwartungsfunktion. Über ein aktuelles Security Advisory hat Microsoft eine Sicherheitslücke in den Windows-Komponenten Terminal Services sowie Remote Desktop Services bestätigt. Über das Sicherheitsloch kann ein Angreifer ein anderes System gezielt per Denial-of-Service-Attacke zum Absturz bringen. Die Kontrolle über einen fremden Rechner erhält man damit aber nicht.

Rückgang von Straftaten videoüberwachter Plätze. Bislang ging man meistens davon aus, dass die Videoüberwachung von einzelnen Plätzen die Kriminalität nur an andere Orte verdrängen würde, sie aber nicht wirksam eindämmen könnte. Dies hat sich als Trugschluss erwiesen, so der Focus unter Berufung auf interne Polizeiberichte.

Anzeige funktioniert auch ohne Strom. Fujitsu hat ein biegsames elektronisches Papier auf Basis eines Filmsubstrats entwickelt. Es zeigt farbige Bilder, ohne dass sich die Qualität der Darstellung beim Biegen des Displays ändert. Zur dauerhaften Darstellung eines Bildes bedarf es dabei keiner Stromzufuhr.

Release Candidate von Thunderbird 1.1 Alpha 2 zum Download. In Kürze wird die zweite Alpha-Version des E-Mail-Clients Thunderbird 1.1 erwartet, womit sich der geplante Erscheinungstermin der neuen Thunderbird-Version deutlich nach hinten verschiebt. Die Entwickler haben einen Release Candidate von Thunderbird 1.1 Alpha 2 bereitgestellt, der von interessierten Testern ausprobiert werden kann.

Sicherheits-Truck tourt durch Deutschland; Sicherheits-Check bei PC-Händlern. Die Initiative "Deutschland sicher im Netz" führt den zur CeBIT 2005 erprobten Sicherheits-Check für Windows-Rechner nun deutschlandweit durch und startet damit am 18. Juli 2005 in Berlin. In den folgenden Monaten ist die Initiative in mehreren deutschen Städten vor Ort, wo Computerbesitzer ihre PCs auf ausreichende Online-Sicherheit hin überprüfen lassen können. Es ist vorgesehen, diese Sicherheitsüberprüfung auch von PC-Fachhändlern vornehmen zu lassen.

Konsolidierung im Bereich IT-Sicherheit schreitet weiter voran. VeriSign schluckt den IT-Sicherheitsspezialisten iDefense für rund 40 Millionen US-Dollar, um die eigene Position im Bereich IT-Sicherheit zu stärken. Entsprechende US-Medienberichte bestätigte VeriSign Deutschland gegenüber Golem.de.

Payray verstößt nach Ansicht von Midray nicht gegen Patent DE10218729. Ende Juni 2005 hatte Andawari unter anderem Midray wegen dessen mobilen Zahlungssystems Payray abgemahnt, da dieses nach Ansicht von Andawari eines der eigenen Patente verletzt. Midray hat die Vorwürfe mittlerweile geprüft und weist die Patentverletzung nicht nur zurück, sondern droht Andawari nun seinerseits mit rechtlichen Schritten.

Sicherheitslücken in Dashboard- und TCP/IP-Funktionen behoben. Apple hat MacOS X 10.4.2 veröffentlicht, um einige Verbesserungen am Betriebssystem vorzunehmen und zwei Sicherheitslücken zu schließen. Die jeweiligen Updates stehen für die Desktop- und Server-Ausführungen von MacOS X 10.4.x bereit.

Sicherheitslücken erlauben Ausführung von fremdem Code. Die Mozilla-Entwickler beheben mit dem Sicherheits-Update auf Firefox 1.0.5 zwölf Sicherheitslücken in ihrem Browser. Darunter sind auch zwei als kritisch eingestufte Probleme, die das Ausführen von fremdem Code erlauben.

Ein weiteres kritisches Sicherheitsloch in Microsoft Word. Microsoft stellt am Patch-Day für den Monat Juli 2005 insgesamt drei Patches zur Verfügung, um Sicherheitslücken zu schließen, über die Angreifer beliebigen Programmcode auf fremden Systemen ausführen können, um sich so eine umfassende Kontrolle über andere Rechner zu verschaffen. Zwei der Sicherheitslücken betreffen Windows, während ein Sicherheitsleck in Microsoft Word steckt.

Bizarre Klage gegen das Internet Archive. Eine bizarre Klage hat die Firma Healthcare Advocates gegen die Anwaltskanzlei Harding, Earley, Follmer & Frailey und das Internet Archive angestrengt. Im Kern lautet der Vorwurf, Harding, Early, Follmer & Frailey hätten durch den Zugriff auf die Wayback-Machine des Internet Archive einen Kopierschutz umgangen und so gegen den Digital Millennium Copyright Act (DMCA) verstoßen.

Interessierte können Spyware-Definition mitgestalten. Die Anti-Spyware Coalition (ASC) hat eine Spyware-Definition vorgelegt, deren Inhalt von Interessierten bis Mitte August 2005 modifiziert werden kann. Damit soll eine möglichst allgemein gültige Definition des Begriffs Spyware gefunden werden. Die ASC ist ein Zusammenschluss mehrerer Organisationen und Firmen, die gemeinsam gegen Spyware vorgehen wollen.

Neue Version beseitigt Speicherfehler. Zwar ist PHP 5 seit geraumer Zeit fertig und bietet zahlreiche Vorteile gegenüber PHP 4, doch die Entwickler der freien Scriptsprache pflegen auch die 4er-Reihe weiter. Allerdings enthält PHP 4.4.0, auch wenn es die Versionsnummer anders vermuten lässt, keine neuen Funktionen.

Datenschützer Sachsen-Anhalts gegen zusätzliche Überwachungsmaßahmen. Der Landesbeauftragte für den Datenschutz, Dr. Harald von Bose, hat sich gegen eine Verschärfung von Sicherheitsgesetzen im Zuge der Londoner Anschläge ausgesprochen. Die Ereignisse eigneten sich nicht - auch nicht im Zusammenhang mit Wahlprogrammen für eine eventuell vorgezogene Bundestagswahl - für hektische Gesetzesänderungen.

Verletzung des Gesetzes über den unlauteren Wettbewerb. Das Verwaltungsgericht Köln hat das Einschreiten der Regulierungsbehörde für Telekommunikation und Post gegen die Versendung unerwünschter Werbefaxe für rechtmäßig erklärt (Az.: 11 L 765/05). Zuvor hatte ein Versender derartiger Traktate gegen diese Praxis geklagt.

Fehler blockiert laut Heise-Bericht die Prozessor-Halt-States. Glaubt man einem Bericht von Heise.de, signalisiert Windows 2000 SP4 nach Einspielen des Update Rollup 1 der CPU nicht mehr den Idle-Modus. Das Resultat: Der Prozessor wechselt nicht mehr in einen seiner Stromsparmodi und läuft auch bei Untätigkeit mit voller Leistung.

Verlust von 1.000 Arbeitsplätzen abgewendet. Die geplante Abwanderung großer Teile von AMDs Niederlassung in Dresden ist abgewendet. Das Unternehmen verpflichtete sich gegenüber Bundeskanzler Gerhard Schröder zum Verbleib in Sachsen und darf im Gegenzug einen Technologie-Transfer nach Singapur vornehmen.

Wiederholte Sicherheitsprobleme machen der Board-Software zu schaffen. Einige Web-Hoster verbannen die populäre, freie Board-Software phpBB wegen wiederholter Sicherheitsprobleme, berichtet Netcraft. Sicherheitslöcher in der weit verbreiteten Software hatten wiederholt Angriffe nach sich gezogen. Im Dezember hatte der Wurm Santy diverse Webseiten verunstaltet.

250.000 US-Dollar für zwei Tippgeber. Nach der Verurteilung des Urhebers des Sasser-Wurms im Prozess vor dem Landgericht Verden wird Microsoft 250.000 US-Dollar (ca. 209.290 Euro) an die Personen auszahlen, deren Hinweise im Mai 2004 zur Ermittlung des Täters geführt hatten. Nach Medienberichten handelt es sich bei den beiden Personen um Schulkameraden des Täters.

Gericht bleibt knapp unter der Forderung der Staatsanwaltschaft. Der Autor der Würmer "Sasser" und "Netsky" wurde zu einer Jugendstrafe von einem Jahr und neun Monaten verurteilt, die zur Bewährung ausgesetzt wird. Damit blieb das Gericht leicht unter dem Antrag der Staatsanwaltschaft, die eine zweijährige Jugendstrafe gefordert hatte, diese aber auch zur Bewährung ausgesetzt sehen wollte.

Opera ist Vorbild für neue IDN-Unterstützung in Mozilla-Browsern. Wie die Mozilla-Stiftung mitteilt, wird man die Unterstützung für "International Domain Names" (IDN) in den von der Stiftung angebotenen Browsern abermals überarbeiten. Damit wird etwa Firefox in Kürze zumindest eine Auswahl an IDN wieder korrekt anzeigen und diese nicht mehr nur im so genannten Punycode darstellen.

Peter Schaar: "Bundesbehörden müssen jetzt tätig werden". Der Bundesrat hat heute das so genannte Informationsfreiheitsgesetz (IFG) gebilligt, das den Zugang zu Informationen des Bundes regelt. Das Gesetz kann damit am 1. Januar 2006 in Kraft treten.

Vorabinformationen zu Microsofts Patch-Day am 12. Juli 2005. Auch in diesem Monat wird Microsoft am Patch-Day mehrere Sicherheits-Patches veröffentlichen. Gemäß den Vorabinformationen stehen Sicherheits-Patches für Windows und die Office-Suite aus Redmond an. Ein Großteil der zu beseitigenden Sicherheitslöcher wird von Microsoft als kritisch eingestuft.

Bundesarbeitsgericht sieht Pflichtverletzung, drängt aber auf Einzelfallprüfung. Auch wenn der Arbeitgeber die Privatnutzung nicht ausdrücklich verboten hat, verletzten Arbeitnehmer ihre arbeitsvertraglichen Pflichten, wenn sie in großem Umfang zu privaten Zwecken im Internet surfen. Das gilt insbesondere dann, wenn der Arbeitnehmer auf Internetseiten mit pornografischem Inhalt zugreift und kann ein wichtiger Grund zur fristlosen Kündigung des Arbeitsverhältnisses sein, entschied jetzt das Bundesarbeitsgericht.

Crossfire-Master-Karten bleiben wichtig für doppelte Radeon-Leistung. Wie ATI nun angab, funktioniert der von HKEPC veröffentlichte Crossfire-Hack doch nicht so gut wie zunächst vermutet: Die erzielte Leistung ist zwar etwa die gleiche, doch werden auf normalen Radeons mit modifiziertem BIOS auf Grund des fehlenden Crossfire-Chips der Master-Karten auch nur die Hälfte der Bilder angezeigt.

Fehler wirkt sich auf zahlreiche Applikationen aus. Die in zahlreicher Software eingesetzte Kompressionsbibliothek zlib enthält eine Sicherheitslücke, die Denial-of-Service-Angriffe auf Applikationen erlaubt, welche die zlib einsetzen. Möglicherweise ist es darüber aber auch möglich, fremden Code einzuschleusen.

Chinesische Hardware-Website hackte Crossfire-BIOS. Auch ohne eine als Master-Grafikkarte dienende Radeon X800 oder X850 soll ATIs SLI-Konkurrent Crossfire den gekoppelten Betrieb zweier Radeon-Grafikkarten erlauben. Dies will zumindest HKEPC durch einen BIOS- und Treiber-Hack geschafft haben - selbst mit Radeon-Grafikkarten mit X700- und X300-Chips, die eigentlich nicht für den Crossfire-Betrieb gedacht sind. Nachtrag: Mittlerweile hat ATI seine erste Aussage revidiert - der Hack funktioniert doch nicht so wie erhofft.

Security-Updates sollen wieder regulär erscheinen. Das Debian-Team hat seine Probleme im Hinblick auf Sicherheits-Updates in den Griff bekommen. Künftig sollen entsprechende Updates wieder regelmäßig zur Verfügung gestellt werden, aber bereits in den letzten Tagen erschienen einige Sicherheits-Updates.