Security

Microsoft nimmt Tester ausgewälhter Kunden und Partner. Um die Zuverlässigkeit und Kompatibilität von Sicherheits-Patches zu verbessern, will Microsoft derartige Patches künftig auch von externen Beta-Testern prüfen lassen, berichtet das US-Magazin eWeek. Damit soll der Prozess der Bereitstellung von Sicherheits-Patches verbessert und womöglich auch beschleunigt werden. Bislang wurden Sicherheits-Patches aus Redmond überwiegend intern getestet.

Personalausweise mit Chips für biometrische Identitätsüberprüfung kommen 2007. Um das Fälschen von Ausweisen weiter zu erschweren und vor allem um europäischen Bürgern ab Herbst 2005 weiterhin die visumfreie US-Einreise zu ermöglichen, müssen die EU-Staaten nun biometrische Reisepässe einführen. Die Kosten für die mit Funkchips versehenen Reisepässe soll der einzelne Bürger tragen. Politiker aus Reihen der Grünen und der FDP befürchten nun, die Kosten könnten um ein Vielfaches über die der aktuellen Reisepässe (26,- Euro) steigen und für den Bürger eine schwere Bürde werden.

Sicherheitsloch in E-Mail-Dienst gestattete Einblick in fremde E-Mails. In Googles E-Mail-Dienst Gmail wurde ein weiteres Sicherheitsloch entdeckt, worüber Angreifer Einblick in über Gmail laufende E-Mails erhalten haben. Mittlerweile wurde dieses Sicherheitsloch von Google geschlossen. Ein gezieltes Ausspähen bestimmter Nutzer war so nicht möglich, weil das Sicherheitsleck wohl die zuletzt vom Gmail-Server verarbeitete Nachricht angezeigt hatte.

Fragen zu Anlass und Verdeutlichung der Maßnahmen. Der Arbeitskreis Videoüberwachung und Bürgerrechte ruft dazu auf, mit den alltäglichen Videoüberwachern in Kontakt zu treten. Mit einem vorgefertigten Schreiben kann man Kamerabetreiber bitten, zum Umfang ihrer Maßnahmen Auskunft zu geben. Die Initiative möchte so die Anwendung privater Videoüberwachung im öffentlichen Raum dokumentieren und Überwacher in Bezug auf den Datenschutz sensibilisieren. Die Ergebnisse sollen anschließend anonymisiert veröffentlicht werden.

Angeblich Zugriff auf Kundendaten, E-Mails und Fotos. Einem Hacker gelang es angeblich, Zugang zu Servern von T-Mobile zu erlangen, berichtet SecurityFocus. Mindestens ein Jahr lang habe der Hacker Zugriff auf E-Mails des US-Sicherheitsdienstes Secret Service sowie Daten von T-Mobile-Kunden gehabt. Auch soll er Zugang zu Fotos gehabt haben, die Nutzer des Sidekick mit dem Gerät geschossen haben.

RFID-Etiketten vom Lieferanten bis zum Kunden geplant. Wie der Metro-Vorstand Zygmunt Mierdorf im Gespräch mit der WirtschaftsWoche angab, will der Düsseldorfer Handelskonzern mit RFID-Funketiketten die Lieferkette vom Hersteller bis zur Ladenkasse weitgehend automatisieren. Erste RFID-Tests der Metro Group in einem Extra-Markt in Rheinberg hatten Datenschützer mit Protesten begleitet, da RFID-Etiketten am Ladenausgang nicht zerstört wurden und wie eine RFID-Kundenkarte auch nach Verlassen des Ladens auslesbar gewesen sein sollen.

Wettbewerbsaufsicht erwirkt gerichtliche Verfügungen wegen Spam-Versand. Die US-Wettbewerbsaufsicht Federal Trade Commission (FTC) hat jetzt gerichtliche Verfügungen gegen ein Netzwerk von Firmen und Einzelpersonen wegen Spam erwirkt. Die Spammer sollen per E-Mail für Porno-Seiten geworben haben.

Am 10. Januar 2005 über Steam eingespielte Updates für HL2, Source und Server. Nach den letzten, eher kleineren Verbesserungen der Source Engine von Half-Life 2 (HL2) und Counter Strike: Source (CS:Source) hat Valve in dieser Woche via Steam ein größeres Update eingespielt. Vor allem bei der Speicherung von Spielständen sollen nun weniger Zwangspausen auftreten und der Speicher von Systemen mit mehr als 512 MByte RAM besser ausgenutzt und Ruckler vermieden werden.

Neues Generation ermöglicht IPSec-VPN ohne eigene IP-Adresse. GeNUA verspricht mit der neuen Version seiner VPN-Appliance GeNUBox 2.0 eine deutlich höhere Ausfallsicherheit. An die Box kann zum einen eine Fallback-Leitung angeschlossen werden, die beim Ausfall der Hauptanbindung automatisch einspringt. Zum anderen können die Appliances geclustert werden, so dass eine GeNUBox einspringen kann, wenn eine andere ausfällt.

Ein neuer Trick der Werbe-Gangster verlangsamt das DNS-System. Seit einem Jahr ist der "CAN-Spam-Act" in den USA in Kraft, nachdem unter anderem ungültige Adressen in Werbe-E-Mails unzulässig sind. Nach den ersten Urteilen gehen die Spammer auf Tauchstation - und treffen das Internet dabei im Nervensystem.

Popup-Fenster kann Download-Dialog und Sicherheitshinweise verdecken. Der Sicherheitsspezialist Michael Krax berichtet über eine Sicherheitslücke in Mozilla und Firefox, worüber Angreifer Daten auf den Rechner anderer Nutzer schleusen können, indem Popup-Fenster andere Dialoge überdecken. Das Sicherheitsloch steckt auch im Internet Explorer, stellt hier allerdings ein geringeres Risiko dar.

Lasco.A infiziert andere Symbian-Anwendungen. Für Symbian-Smartphones mit Series-60-Oberfläche wurde eine Abart des Cabir-Wurms entdeckt, der neben bislang bekannten Wurm-Funktionen auch Virenmechanismen zur Verbreitung nutzt, berichtet das Virenlabor von F-Secure. Der neu gefundene Schädling Lasco.A befällt nach einer Aktivierung die auf dem Symbian-Gerät befindlichen Anwendungen.

Mehr Fehler durch neues Entwicklungsmodell? Zusammen mit der neuen Version 2.1.0 der Linux-Sicherheitssoftware grsecurity hat Brad Spengler auf vier Sicherheitslücken im Linux-Kernel hingewiesen und sich über den Umgang mit Sicherheitslücken im Linux-Kernel sowie dessen Code-Qualität beschwert. Derweil meldet Paul Starzetz von Isec im Binary-Loader des Linux-Kernel eine Sicherheitslücke.

Auch Systeme mit Service Pack 2 für Windows XP betroffen. Wie das Internet Storm Center berichtet, wurde den Sicherheitsfachleuten ein Exploit eines mehrere Monate alten Sicherheitslochs im Internet Explorer gemeldet. Die Cross-Site-Scripting-Lücke in Microsofts Browser erlaubt es einem Angreifer, beliebigen Programmcode auf einem fremden System auszuführen und sich so eine umfassende Kontrolle darüber zu verschaffen. Einen Patch bietet Microsoft bislang nicht an.

JumpStart von Atheros und SecureEasySetup von Broadcom. Atheros und DLink auf der einen Seite sowie Broadcom, Linksys und HP auf der anderen Seite wollen die Installation und Konfiguration sicherer drahtloser Netzwerke vereinfachen. Bei Atheros und DLink heißt die entsprechende Technik "JumpStart", während Broadcom, Linksys und HP ihren Ansatz auf den Namen "SecureEasySetup" getauft haben.

Werkzeug soll wirksam vor Spyware schützen. Microsoft bietet ab sofort eine Beta-Version der Software Windows AntiSpyware an, nachdem das Unternehmen im Dezember 2004 das Anti-Spyware Softwarehaus Giant übernommen hatte. Die Software "Windows AntiSpyware" soll Spyware auf Windows-Systemen erkennen und bekämpfen, um künftig von solchen Plagegeistern verschont zu werden.

Lücke in FTP-Kioslave erlaubt E-Mail-Versand. Die Entwickler des freien Unix- und Linux-Desktops KDE warnen vor einer Sicherheitslücke in ihrer Software. Ähnlich wie beim Microsoft Internet Explorer lässt sich auch beim KDE-Browser Konqueror über präparierte FTP-URLs Unheil anrichten.

Spam-König will seine Spyware nicht länger verbreiten. Der inoffizielle "König des Spam" Sanford Wallace hat sich im Vorfeld eines Prozesses mit der US-Handelsaufsicht geeinigt. Auch ohne Urteil will er seine umstrittenen Programme nicht mehr in Umlauf bringen.

Neben kostenloser Version gibt es eine Abo-Variante mit weiteren Funktionen. Mit dem Erscheinen von Filtertechnics' Googlefilter 2.0 steht das Plug-In für den Internet Explorer nun in einer neuen Version in zwei Ausbaustufen bereit, nachdem es die erste Version ausschließlich als Gratis-Variante gab. Neben einer weiterhin kostenlosen Basisversion wird eine Premium-Variante angeboten, die mehr Funktionen liefert und im Jahresabonnement angeboten wird. Googlefilter sortiert Spam- und Dialer-Seiten aus den Google-Suchergebnissen heraus.

Gefälschte PuTTY-Version bei CNet zum Download. Die Entwickler der freien Telnet- und SSH-Implementierung PuTTY für Windows und Unix warnen, dass eine Version ihrer Software, die bei CNet zum Download angeboten wurde, diverse Spyware installiert.

SanDisk kauft israelisches Unternehmen MDRM. Der Flash-Speicher-Spezialist SanDisk übernimmt das israelische Unternehmen MDRM, mit dem die Firma schon zuvor eng zusammengearbeitet hatte. MDRM entwickelt End-to-End-Lösungen zur sicheren Verteilung digitaler Inhalte, beispielsweise um kopiergeschützte Schulbücher auf einem USB-Stick mitnehmen zu können.

Angreifer können Dateien in beliebigem Verzeichnis ablegen. In der ftp-Funktion vom Internet Explorer 6.0 wurde ein Sicherheitsleck entdeckt, worüber Angreifer Dateien in beliebigen Verzeichnissen ablegen können, was etwa dazu missbraucht werden kann, wichtige Dateien zu überschreiben. Zur Ausnutzung der Sicherheitsanfälligkeit müssen Dateien auf einem ftp-Server entsprechend präpariert werden.

Source-Code könnte jüngste Cabir-Ableger erklären. Der Antiviren-Hersteller Sophos berichtet, dass im Internet der Source-Code des Symbian-Wurms Cabir veröffentlicht wurde, was wohl der Grund dafür sein dürfte, dass in den vergangenen Tagen eine Reihe weiterer Cabir-Varianten entdeckt wurde. Wie bereits der erste Cabir-Wurm verbreiten sich auch die anderen Abarten per Bluetooth, weisen ansonsten aber keine Schadfunktionen auf.

Sicherheitsloch in Mozillas NNTP bekannt geworden. Wie erst später bekannt wurde, behebt die am 20. Dezember 2004 erschienene Version 1.7.5 der Web-Suite Mozilla ein Sicherheitsleck, über das Angreifer Programmcode auf einem fremden System ausführen können. Mittels überlanger NNTP-URLs kann ein Angreifer einen Buffer Overflow auslösen.

Noch kein einziger Bürgerhinweis. Zehn Monate nach ihrer Einführung steht die SMS-Fahndung offenbar vor dem Aus. Wie das Nachrichtenmagazin Focus berichtet, reagierte noch kein einziger Bürger auf die Aufrufe der Polizei, Hinweise auf Verbrecher oder vermisste Personen zu geben. Bundesweit wurden bisher 20 SMS-Fahndungen ausgelöst.

Schadensersatz bis zu 1.000 US-Dollar einforderbar. Entwickler von Programmen, die den Anwender ohne sein Wissen ausspionieren, könnten sich in Kalifornien künftig empfindlichen Strafen ausgesetzt sehen. Ab 1. Januar 2005 gilt ein neues Gesetz, das Anwender vor Spyware schützen soll.

Als Evita.de-Preisvergleich getarnte Website installiert Trojaner. Wer in der beliebten Suchmaschine Google das Stichwort Preisvergleich eingibt, könnte Opfer eines Trojanischen Pferdes werden: Die rechts neben den Suchergebnissen eingeblendete, zum Suchbegriff passende Werbung enthält derzeit auch einen Link auf eine böswillige Website, die Internet-Explorer-Nutzer sofort mit der automatischen Installation eines Trojaners "beglücken" will.

Bluetooth-Angriffe auf Handys nicht mehr nur mit dem Notebook möglich. Bluetooth-Handys sind auf Grund teils eher schlampiger Bluetooth-Integration nicht so sicher, wie ihre Nutzer es wähnen - insbesondere da Angreifer zum Ausspähen, Daten-Sammeln und SMS-Verschicken statt eines Notebooks mittlerweile auch ein normales Bluetooth-Handy nutzen können. Die Sicherheitsproblematik demonstrierte das trifinite-Team nun auf dem Chaos Communication Congress in Berlin mit einer neueren, als "recht stabil" geltenden Version ihrer "Blooover" getauften Handy-Software.

2004 ging durchgeleiteter Spam um 75 Prozent zurück. AOL hat im Kampf gegen den Spam Erfolge gemeldet. So sollen im Jahre 2004 insgesamt 75 Prozent weniger Spam an die Mitglieder des weltgrößten Onlinedienstes ausgeliefert worden sein, als noch ein Jahr zuvor. Diese Zahl errechnete sich nach den Spam-Meldungen der Mitglieder an den Onlinedienst.

Kostenlose "Anti-Phishing Toolbar" für Internet Explorer. Der britische Internet-Dienstleister Netcraft will Nutzer von Microsofts Internet Explorer (IE) durch eine kostenlos zum Download angebotene Toolbar vor Phishing-Angriffen schützen. Das IE-Plug-in nutzt die riesigen Statistik-Datenbanken von Netcraft, um alle wichtigen Charakteristika einer besuchten Website anzuzeigen, vereitelt übliche Phishing-Tricks wie gefälschte Links und erlaubt es, Phishing-Sites zu melden und sperren zu lassen.

Datenschutz sei durch bestehende Gesetze gewährleistet. Die RFID-Technologie hat nach Einschätzung des Branchenverbandes Bitkom das Potenzial, in Deutschland einen Schub für mehr Wachstum und Beschäftigung auszulösen. Die neuen Funketiketten sollen demnach nicht nur die Logistik revolutionieren, sondern auch die Produktsicherheit erhöhen und den Verbraucherschutz verbessern.

Alle Mitarbeiter können auf alle Daten zugreifen. Die Software zur Erfassung des neuen Arbeitslosengeldes II soll nach Angaben des Bundesdatenschutzbeauftragten Peter Schaar überarbeitet werden, um Missbrauch mit den Daten der drei Millionen Langzeitarbeitslosen zu verhindern. Dem "Tagesspiegel" sagte Schaar, die Bundesagentur für Arbeit (BA) und das Bundeswirtschaftsministerium hätten zugesagt, in der ersten Jahreshälfte 2005 nachzubessern.

Kombination ungepatchter Lücken im Internet Explorer bedroht Windows-Systeme. Michael Evanchik weist zusammen mit "Paul von Greyhats Security" auf eine Sicherheitslücke hin, mit der Windows-Systeme beim bloßen Betrachten von präparierten Webseiten per Internet Explorer infiziert werden können. Dabei handelt es sich eigentlich um keine neue Sicherheitslücke, vielmehr um eine Kombination bereits bekannter Sicherheitslücken, die auch das Service Pack 2 für Windows XP nicht schließt.

Wurm sorgt für Last auf Webseiten mit PHP-Scripten. Am 21. Dezember 2004 begannen Anti-Virenhersteller, vor dem Wurm "Santy.A" zu warnen. Dieser nutzt eine Sicherheitslücke in der Foren-Software phpBB aus, um so verwundbare Server anzugreifen. Mittlerweile sind neue Varianten des Wurms im Umlauf, die mitunter wahllos versuchen, PHP-Scripte auf Server anzugreifen.

21C3: Schutz der Privatssphäre im Mittelpunkt der Veranstaltung. Vom heutigen Montag, dem 27. Dezember, bis zum 29. Dezember 2004 veranstaltet der Chaos Computer Club e.V. den 21. Chaos Communication Congress im Berliner Congress Center (bcc) am Alexanderplatz. Die Hackerparty, aufgeteilt in praktische Vorführungen, technische Installationen und spielerisch künstlerische Bereiche, dreht sich dabei um ein Konferenzprogramm, das in rund 100 Vorträgen und Podiumsdiskussionen in parallelen Konferenzräumen mittlerweile auch mit rund einem Drittel englischsprachigem Anteil dem zunehmend internationalerem Publikum gerecht werden möchte.

JavaScript lässt sich über GET- oder POST-Request einschleusen. Anfang Dezember untersuchte der IT-Sicherheitsexperte Michael Krax alias "mikx" zahlreiche Websites auf Cross-Site-Scripting-Probleme (XSS). Die meisten untersuchten Websites waren in irgendeiner Art und Weise verwundbar. Jetzt veröffentlichte Krax eine Liste der gefundenen Probleme auf 175 Websites.

Tor soll Privatsphäre schützen und Anonymität im Netz erlauben. Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) kündigte jetzt an, das Projekt Tor künftig zu unterstützten. Das "Netz im Netz" soll Organisationen und Einzelpersonen eine anonyme Kommunikation über das Internet erlauben und vor einer Traffic-Analyse schützen.

Sicherheitslücke in phpBB wird ausgenutzt. Ein von Kaspersky Lab mittlerweile auf den Namen "Net-Worm.Perl.Santy.a" getaufter Wurm hat diverse, darunter auch deutsche Websites verunstaltet. Er nutzt eine seit einigen Wochen bekannte Sicherheitslücke in der Foren-Software phpBB aus und verbreitet sich rasch.

Kooperation mit der Wirtschaftsinformatik an der Humboldt-Universität zu Berlin. Das "Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein" (ULD) soll im Auftrag des Bundesministeriums für Bildung und Forschung die Folgen des "ubiquitären Computing", also die allgegenwärtige Datenverarbeitung und die datenschutzkonformen Gestaltungsmöglichkeiten dieser neuen Technologie untersuchen.

Modifizierte Fahrräder können von den Hackern kostenlos genutzt werden. Die Deutsche Bahn bietet mit "CallABike" in einigen Großstädten und Ballungsräumen einen Mietservice für Fahrräder an. Die Drahtesel stehen am Straßenrand und können kostenpflichtig ausgeliehen werden. Die Freischaltung der Räder und Abrechnung erfolgt per Handy. Doch das System hat Lücken, berichtet jetzt der CCC in der "Datenschleuder". Demnach ist es Hackern mit etwas Bastelarbeit gelungen, die Elektronik der Fahrräder zu modifizieren.

Auch Torrentbits.org ist offline und LokiTorrent bittet um Geld für Anwalt. Kaum hat die Filmindustrie ihren Kampf auf BitTorrent-Tracker und entsprechende, auf illegale Kopien verweisende Websites ausgedehnt, scheint es schon erste Opfer der angekündigten Klagewelle zu geben. Allen voran die Website SuprNova.org, die vorerst nicht wiederkommen soll - und wenn doch, dann nicht mit Links auf Torrents.

Load Balancing und Hochverfügbarkeit bei VPN-Tunneln. Lancom weitet den Funktionsumfang seiner Router mit einem weiteren Update seines Lancom Operating System (LCOS) aus. So sollen die VPN-Router des Herstellers mit der neuen Firmware bis zu acht verschiedene, redundante VPN-Gateways für einen einzelnen VPN-Tunnel nutzen können, um eine gleichmäßige Lastverteilung und höhere Ausfallsicherheit des Tunnels zu erreichen.

Google Desktop Search deckt allerdings Sicherheitsprobleme anderer Software auf. Laut eines Artikels der New York Times hat Google bekannt gegeben, dass eine von der Rice University entdeckte Sicherheitslücke in der seit Oktober 2004 erhältlichen "Google Desktop Search" geschlossen wurde. Die kostenlose Windows-Software erlaubte es Dritten bis vor kurzem, über das Internet unentdeckt die Inhalte fremder PCs zu durchsuchen.