Security

Kommission soll neuen Vorschlag zur umstrittenen Richtlinie vorlegen. Der Rechtsausschuss (JURI) des Europäischen Parlaments hat sich mit großer Mehrheit für einen Neustart des Verfahrens zur Softwarepatentrichtlinie ausgesprochen. Damit wird der Europäischen Kommission nahe gelegt, das Parlament erneut mit der Softwarepatentrichtlinie zu beschäftigen.

Verbesserter Schutz für Kommunikationsdienste angekündigt. Im ersten Quartal 2005 sollen sämtliche T-Online-E-Mail-Postfächer endlich mit einem postfachindividuellen Virenschutz und einem individuellen Spamschutz ausgestattet werden. Dies teilte das Unternehmen im Rahmen der Initiative "Deutschland sicher im Netz" mit. Bei den kostenpflichtigen Angeboten werden die Leistungen des "SicherheitsPakets", das für Erstbucher sechs Monate inklusive ist, erweitert.

Bringt Spiel auf die Versionsnummer 1.31. Das süddeutsche Entwicklerstudio Crytek hat für seinen erfolgreichen Shooter Far Cry einen Patch auf die Version 1.31 veröffentlicht. Damit soll ein bekannter Multiplayer-Exploit behoben werden.

Zehntausende Rechner infiziert, DoS-Attacken befürchtet. Die japanische Polizei warnt vor einem neuen Schadprogramm, das sich rasant verbreiten soll. Die in Presseberichten als "Virus" bezeichnete Software soll bereits über 20 so genannte Botnets gesponnen haben.

Kopierschutz analoger und digitaler Inhalte soll enger zusammenrücken. Macrovision will in Sachen Kopierschutz mit Microsoft zusammenarbeiten. Die Unternehmen wollen ihre DRM-Systeme aufeinander abstimmen, so dass diese miteinander kompatibel sind. Dabei sollen vor allem digitale und analoge Inhalte enger zusammenrücken.

CDU/CSU will auch Kommentar-Spam bestrafen. Mit der Änderung des Teledienstegesetzes will die Bundesregierung stärker gegen Spam vorgehen und "eine ärgerliche Lücke bei der Bekämpfung unerwünschter kommerzieller E-Mails" schließen. Geplant ist ein Bußgeld von bis zu 50.000 Euro für Spammer. Der CDU geht der Vorschlag aber noch nicht weit genug.

Behörde bei E-Mail-Spam zumeist machtlos - Telefon- und Fax-Spam im Visier. Die Regulierungsbehörde für Telekommunikation und Post (RegTP) will gegen Spam in Verbindung mit Rufnummernmissbrauch vorgehen. Dabei hat die RegTP unaufgeforderte Versendung von Werbung in Form von Telefax-Übermittlungen, Telefon-Anrufen, E-Mails oder SMS an Verbraucher und Unternehmen im Blick.

Browser soll vor gefährlichen Webseiten warnen. Im Februar 2005 soll eine Beta-Version von Netscape 8 erscheinen, die neue Sicherheitsfunktionen aufweisen wird, berichtet das US-Magazin CNet. Damit soll das Surfen im Internet deutlich sicherer gemacht werden, indem der Nutzer über die Gefährdung einer Webseite hingewiesen wird. Das Sicherheitskonzept baut auf Black- und Whitelists auf, um anhand dieser die Unbedenklichkeit oder eben Gefährdung einer Seite anzuzeigen.

Sober.J täuscht eine laufende E-Mail-Unterhaltung vor. Mit Sober.J verbreitet sich seit dem Wochenende nach einer längeren Ruhephase abermals eine Sober-Variante recht zügig im Internet. Der Wurm versendet sich in einer deutschsprachigen E-Mail und gibt vor, im Anhang Informationen zu einer E-Mail-Unterhaltung zu enthalten. Wie bei aktuellen Würmern üblich, fälscht auch dieser die Absenderadresse und verschleiert somit seine Herkunft.

DEP-Mechanismus kann umgangen werden. Das russische Unternehmen MaxPatrol berichtet, dass sie einen Programmfehler im Service Pack 2 für Windows XP entdeckt haben, womit sich ein Sicherheitsmechanismus zur unberechtigten Ausführung von Programmcode umgehen lässt. Von dieser Entdeckung geht derzeit keine akute Gefährdung aus.

Sicherheit von RFID-Chips nicht ausreichend. Forscher der Johns Hopkins Universität warnen vor unsicheren Autoschlüsseln auf Basis von RFID-Tags, die in den USA auch zum Benzinkauf genutzt werden können. Das System lasse sich mit preiswerten Mitteln umgehen und könnte so leichtes Spiel für Diebe bedeuten.

Probleme im Bereich des Datendiebstahls und Spams sollen beseitigt werden. Microsoft-Gründer Bill Gates sieht Nachholbedarf in der Computersicherheit. Nachdem die PC-Branche in den vergangenen Jahren viele technische Neuerungen entwickelt habe, drängten nun "einige wirklich ernste Themen auf die Agenda, bei denen wir sicherstellen müssen, dass sie gar nicht erst zum Problem werden", sagte er in einem Gespräch mit dem Spiegel.

Wartungsarbeiten ohne Disconnects durchgeführt. Die am Mittwoch, dem 26. Januar 2005, bekannt gewordene Sicherheitslücke in Juniper-Routern ist bei QSC vollständig behoben worden - auch wenn die Kunden dabei keine Trennung vom Netz bemerkt haben.

"Gebrauchsanleitungen" für illegale Kopierschutzknacker sind unzulässig. Das Urheberrechtsgesetz verbietet nicht nur die Herstellung und jede Form des Vertriebs von Software zum Knacken eines Kopierschutzes, sondern auch Umgehungsanleitungen und die Bewerbung von entsprechender Software. Doch genau dies werfen die deutschen Phonoverbände dem Heise-Verlag vor. In einem Online-Beitrag habe der Verlag ausführlich dargestellt, wie man sogar neue Kopierschutzsysteme "knacken" kann.

Schwache Root-Passwörter öffnen Wurm die Tür. Das SANS Internet Storm Center (ISC) warnt vor einem neuen "Bot", der sich über MySQL verbreitet. Der Wurm sucht auf dem MySQL-Port 3306 nach Opfern, die, einmal infiziert, über einen IRC-Server mit weiteren Instruktionen versorgt werden.

Internetverbindung als Hinweis auf Beschränkungen nicht ausreichend? Die Zwangskoppelung von Half-Life 2 an den Online-Dienst Steam, die zumindest zur ersten Installation benötigte Internet-Verbindung und die Verhinderung des Weiterverkaufs haben nicht nur Spieler auf die Palme gebracht. Der deutsche Dachverband der Verbraucherzentralen und verbraucherorientierten Verbände, die Verbraucherzentrale Bundesverband (vzbv), hat nun sowohl den Publisher Vivendi als auch den Spieleentwickler Valve abgemahnt.

...tun aber nicht genug für ihre Internetsicherheit. Viele deutsche Computernutzer interessieren sich nur wenig für das Thema Internetsicherheit, ergab eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebene Umfrage. Demnach nutzen 25 Prozent der deutschen Internetnutzer keinen Virenscanner und die Hälfte surft ohne Firewall. Dieser Umstand überrascht, zumal 90 Prozent der Nutzer sehr wohl wissen, dass ihr PC über das Internet einer Gefahr ausgesetzt ist.

Projekte - darunter auch Jabber - erhalten zwei Wochen Zeit Dateien zu prüfen. Wie jetzt bekannt wurde, ist bereits vor einem Jahr der Server der Website JabberStudio.org gehackt worden, auf der eine Vielzahl von Open-Source-Projekten residieren wie etwa das Instant-Messaging-Protokoll Jabber. Der Vorfall auf JabberStudio.org blieb ein Jahr unbemerkt, soll allerdings keinen Schaden verursacht haben. Dennoch sollen alle Projekte überprüft werden, wofür die Projektleiter zwei Wochen Zeit haben.

Neuer Bagle-Wurm verbreitet sich stark. Nach längerer Ruhephase verbreitet sich abermals ein weiterer Ableger des Bagle-Wurms im Internet stark, nachdem die in den vergangenen Monaten anderen entdeckten Bagle-Varianten nur eine mittelmäßige Verbreitung erreichten. Der neue Bagle-Wurm vermehrt sich wie seine Vorgänger per E-Mail sowie über Peer-to-Peer-Netzwerke. Auf befallenen Systemen öffnet er eine Hintertür, über die sich ein befallener Rechner zur Spam-Verbreitung missbrauchen lässt.

Router möglicherweise durch Denial-of-Service-Angriffe gefährdet. Cisco warnt vor drei Sicherheitslücken in seinem Internetwork Operating System (IOS), durch die sich entsprechende Router unter Umständen lahm legen lassen. Ein Problem im Multi Protocol Label Switching (MPLS) kann auch dann auftreten, wenn das System gar nicht für MPLS konfiguriert ist, warnt Cisco.

Wurm-Komfort unter Linux lässt zu wünschen übrig. Mit Wine lassen sich Windows-Applikationen auch unter Linux ausführen. Was aber mit vielen Applikationen funktioniert, muss nicht auch für Viren und Würmer gelten, die Windows-Nutzer auf Trab halten, zu diesem Schluss kommt Matt Moen, der bei Newsforge über seine Erfahrungen mit Klez, Sobig, MyDoom und Netsky.D berichtet.

Sicherheits-Update für MacOS X 10.2.8 und 10.3.7. Mit einem weiteren Sicherheits-Update bereinigt Apple zahlreiche Programmfehler und Sicherheitslücken in verschiedenen Komponenten von MacOS X. Damit wird auch ein Sicherheitsloch in Apples Safari-Browser beseitigt, das einem Angreifer erlaubt, gefälschte Inhalte in einem Pop-up-Fenster einzubinden.

Microsoft weitet Windows Genuine Advantage Program bald auf Deutschland aus. Nachdem bereits im September 2004 auf den US-Seiten von Microsofts Download Center ein neuer Dienst getestet wurde, der Updates und Patches für Windows 2000 und XP erst nach einer freiwilligen Prüfung der Gültigkeit der Windows-Lizenz bereitstellte, soll dies schon bald obligatorisch werden. In Kürze startet der Probebetrieb auch in Deutschland. Noch im Laufe des Jahres will Microsoft Updates nur noch Besitzern einer gültigen Windows-Lizenz zur Verfügung stellen.

Patent beschreibt Firewalls mit Kartographiefunktion. Das US-Patentamt hat McAfee jetzt ein Patent auf "Firewall-Systeme und Methoden mit Kartographiefunktionen" zugesprochen. Die patentierte Technik wird in verschiedenen Firewall-Produkten eingesetzt, die es beispielsweise erlauben, den Ursprung von potenziellen Netzwerkangriffen auf einer Weltkarte anzuzeigen.

Organisationsweite Verschlüsselung von mobilen Daten. Die Bundeswehr hat mit Utimaco einen Generalvertrag über 20.000 Lizenzen der Verschlüsselungssoftware SafeGuard Easy abgeschlossen. SafeGuard Easy soll sensitive Daten, die als Verschlusssache klassifiziert sind, im mobilen Umfeld vor fremden Zugriffen schützen.

Übernahme durch Lenovo könnte an Sicherheitsbedenken scheitern. Der Verkauf von IBMs PC-Sparte an das chinesische Unternehmen Lenovo könnte auf Grund nationaler Sicherheitsbedenken scheitern, berichtet die Nachrichtenagentur Bloomberg unter Berufung auf nicht näher genannte Quellen.

Angreifer kapern Funkverbindungen zu Hotspots. Dr. Phil Nobles von der Cranfield Universität warnt vor so genannten bösen Zwillingen, über die WLAN-Nutzern sensitive Daten entwendet werden können. Dabei positionieren Angreifer in der Nähe von Hotspots eigene Funktechnik, um die Signale des eigentlichen Hotspots zu überlagern.

Open-Source-Software xpy kann Windows-Komponenten deaktivieren. Die Open-Source-Software xpy deaktiviert - wie auch die Freeware XP AntiSpy - eine Reihe von Datenübermittlungskomponenten in Windows 2000, XP sowie Windows Server 2003 und erlaubt das Abschalten einiger Windows-Funktionen, die als Einfallstor für Angriffe ausgenutzt werden können. Die aktuelle Version 0.86 von xpy erhielt einige neue Einstellungen und liegt mit deutschsprachiger Oberfläche vor.

Dialoge warnen vor Aufruf möglicher Phishing-URLs. Die Entwickler von Thunderbird arbeiten derzeit an einem Schutz vor Phishing-URLs, was in einer kommenden Version des E-Mail-Clients integriert werden soll. Dazu versucht das Programm Phishing-URLs zu erkennen und warnt vor dem Öffnen einer entsprechenden Adresse davor.

Durchsuchbares Netzwerk nutzt Bittorrent und macht zentrale Tracker unnötig. Die durch den ehemaligen Tracker-Aggregator Suprnova.org unterstützte kommerzielle Filesharing-Software Exeem ist nun in die offene Beta gegangen. Der Entwickler Swarm Systems Inc. will damit die Peer-to-Peer-Welt revolutionieren - das per Cydoor werbefinanzierte Exeem macht das von Bram Cohen entwickelte Filesharing-Protokoll BitTorrent unabhängig von zentralen Server-Anwendungen zur Dateitransfer-Organisation.

Sun behebt weiteres Sicherheitsloch in Java-Virtual-Machine. Suns Java-Plug-In für den Internet Explorer weist eine schwere Sicherheitslücke auf, die es Angreifern erlaubt, beliebigen Programmcode auf einem fremden Rechner auszuführen. Bereitgestellte Updates sollen das Sicherheitsloch schließen und ein weiteres Leck in Suns Java-Virtual-Machine stopfen, das einem Java-Applet gestattet, ein anderes Applet ohne entsprechende Berechtigungen zu beeinflussen.

Amateurfehler macht Verschlüsselung in Microsofts Applikationen angreifbar. Die Dokumentenverschlüsselung in Word und Excel lässt sich leicht umgehen, weil Microsoft bei der Implementierung der entsprechenden Verschlüsselungstechnik geschlampt hat. Entgegen den üblichen Gepflogenheiten verwendet Microsoft bei der Dokumentenverschlüsselung den gleichen Initialisierungsvektor für zwei unterschiedliche Dokumente. Pikanterweise wurde der gleiche Fehler auch schon vor rund fünf Jahren bei der Verschlüsselung in Windows NT 4.0 gemacht.

Neues Angriffsszenario für Sicherheitsloch im Internet Explorer entdeckt. Das eigentlich mit einem Patch behobene Sicherheitsloch im Internet Explorer kann weiterhin von Angreifern für Attacken auf fremde Rechner missbraucht werden, berichten die Sicherheitsexperten von GeCAD NET. Zwar wurde von Microsoft das seinerzeit berichtete Angriffsszenario mit dem Patch behoben, aber mittlerweile wurde eine weitere Möglichkeit gefunden, das betreffende Sicherheitsloch auszunutzen.

Fragebögen und RFID-Tickets für Fußballfans. Der FoeBuD e.V. aus Bielefeld kritisiert die zur Fußball-WM 2006 eingeführten Eintrittskarten mit RFID-Chips und die angeblich zur Bestellung notwendigen ausufernden Datenangaben, die man vor Erhalt der Tickets ausfüllen müsse.

ESS-Chip beherrscht nur ASP/H.263-basierten Nero-Digital-Codec. Anders als von der MAS Elektronik AG erst angegeben, werden die bestehenden DivX-DVD-Player Xoro HSD 310 und HSD 415 doch per Fimware-Update um Unterstützung für das Videokompressionsformat erweitert werden können. Vorher hieß es noch, dass nur ein leicht veränderter und für den 17. Januar 2005 angekündigter HSD 415 neben DivX und Xvid auch das vom Brenner-Software-Entwickler Nero (ehemals Ahead) unterstützte Nero Digital abspielen kann.

IBM stellt Centrino-Notebook mit "Antidote Delivery Manager" vor. Mit dem ThinkPad T43 erweitert auch IBM seine Produktpalette um ein Notebook auf Basis von Intels neuer Centrino-Generation Sonoma. Das Gerät soll sich durch die Anti-Viren-Technik "Antidote Delivery Manager" von den Modellen anderer Anbieter abheben.

Linux-Entwickler sehen keine steigende Zahl von Sicherheitslücken im Kernel. Nachdem in den letzten Monaten wiederholt Sicherheitslücken im Linux-Kernel entdeckt wurden, kam in der Linux-Kernel-Mailingliste die Frage auf, inwieweit der Kernel-Code auf Sicherheit überprüft und wie sicher der Kernel letztendlich ist. Während Brad Spengler kürzlich das neue Entwicklungsmodell für zunehmende Sicherheitslücken verantwortlich machte, sehen die Kernel-Entwickler Alan Cox und Theodore Ts'o eher einen positiven Trend.

Kommentar-Spam in Blogs soll indirekt bekämpft werden. Mit einem neuen Link-Tag für Webseiten will Google so genannten Kommentar-Spam bekämpfen, also Spam, der nicht per E-Mail verschickt, sondern in Form von Kommentaren z.B. in Blogs eingestellt wird. Spammer versuchen auf diese Weise, ihre Position in Suchmaschinen wie Google zu erhöhen.

Automatische Überführung für eDonkey- und Bittorent-Vergehen. Mit einem neuen Überwachungsdienst will BayTSP Unternehmen aus der Software- und Unterhaltungsbranche im Kampf gegen unerlaubten Datentausch über Filesharing-Netzwerke unter die Arme greifen. Das als FirstSource bezeichnete Überwachungssystem soll die Nutzer aufspüren, die urheberrechtlich geschütztes Material als erste ins eDonkey-Netz oder in Bittorrent-Tracker einspeisten und für andere zum Download anbieten.

Astaro Security Gateway in vier Modellvarianten angekündigt. Hatte sich Astaro bislang vor allem auf Software für Security-Appliances auf Basis von Linux konzentriert, nimmt das Unternehmen nun auch eigene Geräte ins Programm. Die vier Modelle der Reihe "Astaro Security Gateways" richten sich an kleine und mittlere Unternehmen sowie Abteilungen großer Firmen oder Behörden.

Musik- und Buchwirtschaft schließen Vereinbarung mit der Nationalbibliothek. Die Deutsche Bibliothek darf künftig Musikaufnahmen, E-Books und Büchern beiliegende CD-ROMs trotz Kopierschutz für wissenschaftliche und kulturelle Zwecke kopieren, das kündigten jetzt der Bundesverband der Phonographischen Wirtschaft und der Börsenverein des Deutschen Buchhandels an.

Derzeitiger Erfassungskreis sei angemessen groß. Nach dem schnellen Fahndungserfolg im Mordfall Moshammer wird die Forderung nach Ausweitung von DNA-Analysen wieder lauter. Doch davor warnte Peter Schaar, Bundesbeauftragter für den Datenschutz im "ZDF-Mittagsmagazin". Er fragt sich, ob es sehr viel Sinn hat, jetzt und immer wieder weitere Ausweitungen der DNA- Analysen zu fordern.

Ab Ende 2005 Reisepässe mit Chip, ab 2007 auch Personalausweise. Vom Jahr 2007 an will die Bundesregierung auch Personalausweise mit biometrischen Daten einführen, wie im Rahmen der Diskussion um die zu erwartenden Kosten für die ab Ende 2005 mit Chips ausgestatteten Reisepässe bekannt wurde. Die FDP-Innenpolitikerin Gisela Piltz sieht für das Vorhaben "überhaupt keine Notwendigkeit".