Security

Spiel soll im Frühjahr 2004 erscheinen. In Cy Girls werden es PlayStation-2-Besitzer laut Konami gleich mit zwei der "charmantesten, bestaussehendsten und tödlichsten" Geheimagentinnen zu tun bekommen, die man bisher in einem Videospiel zu sehen bekam. Das Spionage-Adventure ist für das Frühjahr 2004 angekündigt und soll auf zwei DVDs ausgeliefert werden.

Patch soll die Stabilität von StarOffice 7 erhöhen. Sun bietet einen Patch für das Office-Paket StarOffice 7.0 zum Download an, das zahlreiche Programmfehler beheben und eine höhere Stabilität bringen soll. Es stehen Download-Archive für Windows, Linux und Solaris auf den Sun-Servern bereit.

Website des Unternehmens erneut durch DDoS-Angriffe lahm gelegt. Die SCO Group beklagt sich einmal mehr über Distributed-Denial-of-Service-(DDoS-)Attacken. Auf Grund der Angriffe sei ab Mittwoch, den 10. Dezember, die Website des Unternehmens ausgefallen, aber auch der E-Mail-Verkehr, das Intranet des Unternehmens und der Kunden-Support seien betroffen.

Microsoft bietet bislang keinen Patch zur Abhilfe an. Im Internet Explorer wurde ein Fehler entdeckt, um die tatsächliche URL in der Adresszeile zu verschleiern und vorzugeben, eine ganz andere Webseite zu besuchen. Damit können Anwender dazu gebracht werden, sensitive Daten an eine bösartige Webseite zu übermitteln und dabei in den Glauben versetzt werden, diese Daten an eine vertrauenswürdige Seite zu senden.

Schily: CERT für Bürger kommt 2004. Das bereits am 15. Mai 2003 angekündigte Projekt Mcert vom "Bundesverband Informationstechnologie, Telekommunikation und neue Medien e.V." (BITKOM), dem Bundesministerium des Innern (BMI) und des Bundesministeriums für Wirtschaft und Arbeit (BMWA) ist jetzt gestartet. Es soll dem deutschen Mittelstand vorbeugenden Schutz gegen Bedrohungen von IT-Systemen bieten und so die Sicherheit im Internet verbessern.

Trotz bekannter Sicherheitslecks keine Sicherheits-Patches für Dezember 2003. Wie Microsoft bekannt gab, wird das Unternehmen im Dezember 2003 auf die Veröffentlichung der monatlichen Sicherheits-Patches verzichten. Die Ankündigung überrascht, da Ende November 2003 weitere schwere Sicherheitslöcher im Internet Explorer entdeckt wurden, ohne dass Microsoft bislang entsprechende Patches veröffentlicht hätte.

Keine Download-Möglichkeit für die werbefreie Software mehr. Laut einer News-Meldung auf der Website PeerGuardian hat Sharman Networks, der Rechteinhaber der populären P2P-Software Kazaa, die Entwickler von Kazaa Lite zur Aufgabe gezwungen. Die Software steht daher auch nicht mehr unter www.kazaalite.tk zum Download bereit.

Pay-TV-Sender geht auf Forderungen von Filmstudios ein. Premiere will Filme, die über Premiere Direkt als Pay-per-View angeboten werden, mit einem Kopierschutz von Macrovision schützen, um so deren Aufzeichnung mit Hilfe von Video-, Festplatten-, DVD-Rekordern oder PCs zu verhindern. Über Premiere Direkt werden Filme mitunter 18 Monate vor ihrer Free-TV-Premiere ausgestrahlt.

BSI-Studie: "Man weiß nicht, dass man nichts weiß". Eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebene Studie bescheinigt Jugendlichen zwar, dass Viren, Dialer und Spam für diese keine Fremdwörter sind, trotzdem herrsche beim Thema Sicherheit im Internet Sorglosigkeit und Ignoranz. Ebenfalls ein kritisches Thema bei der Internet-Nutzung sei die Verletzung des Urheberrechts durch illegale Downloads und Kopien.

Patch-Einspielung gelingt nur mit dem Internet Explorer. Für die am 3. Dezember 2003 bekannt gewordene Sicherheitslücke im Yahoo Messenger bietet Yahoo einen Patch, um das Problem zu bereinigen. Während der Entdecker das Sicherheitsleck als gefährlich einstuft, sieht Yahoo keine große Gefahr darin.

TC - Trusted-, Trustworthy- oder doch eher Treacherous-Computing? TC steht als Abkürzung je nach Standpunkt des Betrachters für "Trusted Computing", "Trustworthy Computing" oder auch "Treacherous Computing" und gehört zu den umstrittensten aktuellen Entwicklungen im IT-Bereich. Während die einen TC als unabdingbar zur Steigerung der IT-Sicherheit bezeichnen, sehen andere darin eine Gefahr für die Privatssphäre von Verbrauchern sowie deren Rechte. Golem.de sprach mit Thorsten Stremlau, ThinkVantage Consultant bei IBM für Europa, den Mittleren Osten und Afrika, über die Möglichkeiten und Vorteile von TC sowie die Kritik, die den Plänen der Trusted Computing Group (TCG) vor allem aus den Bereichen Verbraucher- und Datenschutz entgegenschlägt.

Nun auch kostenlose E-Mail-Postfächer mit Schutz vor infizierten Dateianhängen. Web.de bietet nun auch für seine kostenlosen E-Mail-Postfacher ("FreeMail") einen Virenschutz. Bisher war Derartiges zahlender Web.de-Kundschaft vorbehalten.

Palm bietet Patches für Tungsten E sowie Zire 71, Tungsten T, T2, T3 und C an. Nach dem jüngsten Desaster mit den Schwierigkeiten, die der Tungsten T3 mit SD-Cards bereitete, muss Palm erneut Patches im Zusammenspiel mit Speicherkarten bereitstellen. Der aktuelle Fall betrifft einen möglichen Datenverlust im Zusammenspiel mit Backup-Speicherkarten. Während der eine Patch für die Modelle Zire 71, Tungsten T, T2, T3 und C bei Nutzung mit der Palm-Backup-SD-Card mit 64 MByte geeignet ist, steht ein weiterer Patch speziell für den Tungsten E bereit.

Free Software Foundation und Debian wollen eng zusammenarbeiten. Nachdem am 21. November 2003 bekannt wurde, dass Unbekannte eine Sicherheitslücke im Linux-Kernel nutzten und in die Server des Debian-Projekts eingedrungen sind, wurden jetzt auch Einbrüche in Server von Gentoo und der Free Software Foundation (FSF) bekannt.

Erfolgreiche Einspeisung eines Trojanischen Pferdes belegt Gefährlichkeit. Gemäß den Informationen von Tri Huynh weist der Yahoo Messenger der Version 5.6.0.1347 und niedriger ein schwerwiegendes Sicherheitsleck auf, worüber Angreifer Programmcode auf ein System schleusen und diesen ausführen können. Nach Erkenntnissen von Tri Huynh ließ sich so ohne großen Aufwand etwa ein Trojanisches Pferd in ein System einschleusen, um den betreffenden Rechner so zu belauschen.

Behörden sollen stärker unterstützt werden. Bundesinnenminister Otto Schily hat anlässlich der jährlichen Herbsttagung des Bundeskriminalamtes (BKA) in Wiesbaden betont, dass im Kampf gegen die Computerkriminalität alle gefordert seien, die die neuen Technologien entwickeln, verbreiten und in Anspruch nehmen. Staatliches Handeln allein könne eine effektive und umfassende Bekämpfung der IuK-Kriminalität nicht leisten. Daher sei es notwendig, dass der Staat insbesondere mit Industrie und Wirtschaft eng kooperiere und gemeinsam mit dem Bürger gegen die rechtwidrige Nutzung vorgehe.

Neue elektronische Etiketten sind bis 25 Mal schneller als herkömmliche. Mit neuartiger RFID-Technologie will Infineon elektronischen Etiketten für industrielle und Logistikanwendungen einen neuen Schub verpassen. Die jetzt vorgestellten Chips können per Funk gelesen und beschrieben werden und eignen sich so für die berührungslose elektronische Identifizierung von schnell bewegten Objekten.

Datenschutzbeauftragte kritisieren Entwurf zum neuen Telekommunikationsgesetz. Die Datenschutzbeauftragten des Bundes und der Länder meinen, dass der Entwurf der Bundesregierung für ein neues Telekommunikationsgesetz (TKG) gravierende Verschlechterungen des Datenschutzes mit sich bringe. Die Datenschutzbeauftragten sehen erhebliche verfassungsrechtliche Bedenken gegen die vom Rechtsausschuss des Bundesrates geforderte Verpflichtung der Diensteanbieter zur sechsmonatigen Speicherung der Verbindungsdaten.

Linux-Kernel schuld am Einbruch in die Server des Debian-Projekts. Vor knapp zwei Wochen wurde ein Einbruch in einige Server des Debian-Projekts bekannt. Dabei wurde offenbar eine Sicherheitslücke im Linux-Kernel ausgenutzt, die es lokalen Nutzern erlaubt, Root-Rechte zu erlangen. Im Fall des Debian-Projekts wurde der Account eines Entwicklers genutzt.

Abzocke, die zum Himmel stinkt. Die allseits beliebten Dialer-Entwickler haben eine neue und besonders teure Idee entwickelt, den ahnungslosen Anwendern Geld aus der Tasche zu ziehen. Die illegalen Wählprogramme wählen sich über hochtarifierte Satelliten-Nummern ins Netz ein. Mehrere Betroffene sind bereits bekannt, die Täter noch nicht.

LDAP-Server müssen sich gegenüber MacOS X nicht authentifizieren. Ein Security Advisory von William Carrel beschreibt Probleme von MacOS X beim Umgang mit LDAP-Servern, da entsprechende Zugriffe nicht korrekt geprüft werden. So kann ein Angreifer etwa über ein WLAN-Netzwerk ohne großen Aufwand auf Daten eines PCs mit MacOS X zugreifen, ohne dass der Nutzer etwas davon bemerkt. Derzeit bietet Apple nur einen Workaround an; einen Patch zur Behebung dieses Architektur-Problems gibt es bislang nicht.

Werbeaussagen in der Kritik. Das Softwarehaus G-Data Software AG wurde wegen vergleichender Werbung vom amerikanischen Mitbewerber Symantec abgemahnt. G-Data hatte nach eigener Darstellung in verschiedenen Fachmagazinen für seine neue Anti-Viren-Software "AntiVirenKit 2004" geworben. Insbesondere Headlines wie "Schluss mit Gelbsucht" und die Darstellung eines "Norton AntiVirus", dessen Verpackung von einem darauf fallenden AntiVirenKit 2004 zerknautscht wird, möchte Symantec nicht wiederholt sehen.

Exchange Server 2003 verträgt sich nicht mit SharePoint Services 2.0. Wie Microsoft in einem aktuellen Support-Dokument berichtet, verträgt sich der Exchange Server 2003 nicht mit den aus Redmond stammenden SharePoint Services 2.0. In dieser Konfiguration wird die Kerberos-Verschlüsselung umgangen und Angreifer erhalten über die Komponente Outlook Web Access Zugriff auf Postfächer, ohne die betreffenden Passwörter zu kennen.

Mit GnuPG erzeugte ElGamal-Schlüssel sind kompromittierbar. Die freie Verschlüsselungssoftware GnuPG enthält eine schwere Sicherheitslücke, die es erlaubt, mit ihr generierte ElGamal-Schlüssel zu kompromittieren. Die Sicherheitslücke ermöglicht es, entsprechende Schlüssel in Sekunden zu knacken, warnt Entwickler Werner Koch, der zugleich einen entsprechenden Patch veröffentlichte.

Gesetzentwurf passiert US-Senat nach kleinen Veränderungen. Nach einigen kleineren Änderungen ist der Anti-Spam-Gesetzentwurf "Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003", kurz "CAN-SPAM Act of 2003", vom US-Senat akzeptiert worden. In Kraft treten kann der mit Kritik bedachte Gesetzentwurf gegen unerwünschte und betrügerische E-Mail-Werbung allerdings erst, wenn nun noch das Abgeordnetenhaus und schließlich auch der US-Präsident zustimmt.

Angreifer kann beliebigen Programmcode installieren und ausführen. Im Internet Explorer wurden vier weitere Sicherheitslecks entdeckt, womit sich in Kombination der verschiedenen Verfahren Programme installieren und ausführen lassen. Nach derzeitigem Kenntnisstand soll der Internet Explorer in der Version 6.0 betroffen sein, womöglich tritt das Problem aber auch mit dem Internet Explorer 5.x auf. Microsoft bietet bislang keinen Patch an.

Online-Backup für die mittelständische Wirtschaft ab 100,- Euro im Monat. Unter dem Namen "Secure Data Service" (SDS) hat die Interxion Telecom GmbH einen neuen Datensicherungsdienst in Deutschland gestartet. Mit dem SDS-Dienst können Unternehmen ihre wichtigen Betriebsdaten über das Internet im Rechenzentrum von Interxion in Frankfurt am Main sichern und im Notfall von dort wieder zurückholen.

OFRO sichert Außengelände. Die Berliner Roboterschmiede Robowatch Technologies präsentiert nach MOSRO 1 und MOSRO Mini nun einen neuen Wachroboter. OFRO wurde für den Einsatz in großen Außenarealen konzipiert und rollt auf Gliederketten herum. Das Gerät ist unbewaffnet.

Message Identification Services für Ordnung im elektronischen Briefkasten. Tobit Software bietet für die David-Produktlinie ab sofort die "Message Identification Services" an. Ein neuer Service, der dafür sorgt, dass eingehende E-Mails direkt nach verschiedenen Kriterien identifiziert werden. Der Benutzer kann dabei eigene Einstellungen vornehmen und so der täglichen E-Mail-Flut Herr werden. Ein nützlicher Nebeneffekt der Message Identification Services ist, dass der Benutzer automatisch vor lästigen Spam-Nachrichten geschützt wird.

Quellcode der zlib 1.2.1 steht zum Download bereit. Die Kompressionsbibliothek zlib ist jetzt in der Version 1.2.1 erschienen. Die Entwickler versprechen zahlreiche Verbesserungen, darunter mitunter deutliche Leistungssteigerungen einiger Programmteile von über 50 Prozent.

Auch hohe Erkennungsraten sorgen für viele falsch Verdächtigte. Der Vorstoß des "Bund Deutscher Kriminalbeamten" (BDK), biometrische Merkmale aller europäischen Bürger in einer zentralen Datenbank zu speichern, stößt beim Chaos Computer Club auf schwerste Bedenken; das Grundrecht auf informationelle Selbstbestimmung wäre damit in einem wesentlichen Gebiet abgeschafft - während der Nutzen für die Verbrechensbekämpfung nicht einmal nachgewiesen ist, so die Position des Vereins.

Debian GNU/Linux 3.0r2 veröffentlicht. In einige Server des Debian-Projekts wurde kürzlich eingebrochen, warnen die Entwickler der freien Linux-Distribution. Das Haupt-Archiv (main) sei davon zwar nicht betroffen, wohl aber zahlreiche andere Archive, darunter der Server für Sicherheitsupdates.

Opera 7.23 für Windows, Linux, Solaris und FreeBSD soll für Abhilfe sorgen. Im Opera-Browser der Version 7.x wurden zwei Sicherheitslücken bekannt, die es einem Angreifer erlauben, Programmcode auszuführen oder über eine Backdoor Zugang zum System zu erlangen. Außerdem wurde eine Sicherheitslücke in OpenSSL bereinigt. Zum Stopfen der Sicherheitslücken bietet Opera lediglich eine Vollinstallation in Form von Opera 7.23 für die betroffenen Plattformen Windows, Linux, Solaris und FreeBSD an.

Sicherheitslücken in MacOS X 10.2.8 sowie MacOS X 10.3.1. Erneut bietet Apple Sicherheits-Patches an, wobei dieses Mal zeitgleich Updates für MacOS X 10.2.8 MacOS X 10.3.x erschienen sind. Mit den Patches werden sieben Sicherheitslücken in MacOS X 10.2.8 behoben, während zwei davon auch in MacOS X 10.3.1 stecken, wogegen das Update für Abhilfe sorgen soll.

Neue europäische Agentur soll Anfang 2004 in Brüssel ihre Arbeit aufnehmen. Die EU hat jetzt die Errichtung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) beschlossen. Die Kommission hatte die Einrichtung vor rund neun Monaten vorgeschlagen; Rat und Parlament stimmten jetzt zu, nachdem eine Kompromissfassung der Verordnung erarbeitet wurde.

Spam Avenger verwendet autorisierte Absenderliste zum Kampf gegen Spam. Mit dem Windows-Tool Spam Avenger 2.0 wird für die PIM- und E-Mail-Applikation Microsoft Outlook ein Spam-Bekämpfer angeboten, womit nur noch E-Mails von bekannten Absendern akzeptiert werden. Nachrichten anderer Absender werden so ausgesperrt, womit das Bekämpfen von lästigen Spam-Mails effizienter werden soll.

Bedrohung von Anonymität durch Funkchips befürchtet. Internationale Verbraucherschutz- und Bürgerrechtsorganisationen haben in einem Positionspapier die nach ihrer Meinung entstehenden Gefahren für Privatsphäre und Bürgerrechte erläutert, die durch RFID-Etiketten (Transponder) auf und in Waren entstehen können.

Client-PCs ohne ausreichend Schutz erhalten keinen Zugang zum Netzwerk. Mit dem Network Admission Control Programm will Cisco seinen Kunden ermöglichen, Client-PCs oder Server ohne installierte Virenscanner von entsprechenden Routern fernzuhalten, um so eine Wurm-Epidemie im Vorfeld zu verhindern. Dabei arbeitete Cisco mit Anti-Viren-Herstellern wie Network Associates, Symantec und TrendMicro zusammen.

Kreditkartendaten werden über fingiertes PayPal-Fenster gesammelt. Nur wenige Tage nach Auftauchen des Wurms Paylap oder auch Mimail.I warnen Anbieter von Anti-Viren-Produkten vor einer weiteren Variante des Wurms, der nun einheitlich als Mimail.J bezeichnet wird. Der neue Wurm macht sich die gleichen Techniken wie sein Vorgänger zu Nutze, weist lediglich in den Merkmalen kleine Änderungen auf.

Patch von Mitte Oktober 2003 ersetzt eine Datei unter Windows XP nicht korrekt. Mitte Oktober 2003 veröffentlichte Microsoft sieben verschiedene Sicherheits-Patches für mehrere Microsoft-Produkte. Eines der Patches arbeitet auf Systemen mit Windows XP allerdings nicht korrekt, so dass dieser Patch erneuert werden musste und entsprechenden Nutzern die erneute Einspielung des Patches empfohlen wird.

Fingiertes PayPal-Fenster bringt Opfer zur Eingabe von Kreditkartendaten. Mehrere Anbieter von Anti-Viren-Produkten berichten, dass sich im Internet zunehmend ein neuer Wurm verbreitet, der versucht, auf ziemlich perfide Weise Kreditkartendaten zu sammeln. Dazu öffnet sich nach Öffnen des Wurmanhangs ein vermeintliches PayPal-Fenster und fordert zur Eingabe der Kreditkartendaten auf. Der Wurm wird je nach Hersteller als Paylap oder Mimail.I bezeichnet.

Update soll Stabilität von Java erhöhen. Apple bietet ab sofort ein Java-Update für MacOS X 10.3 und höher an, das die Zuverlässigkeit und Stabilität bei der Nutzung von Java-Applets verbessern soll.

Nur Windows 2000 mit Service Pack 4 von dem Problem betroffen. Wie Microsoft mitteilt, wurde ein aus dem September 2002 stammendes Security Bulletin überarbeitet, weil der darin enthaltene Patch unter bestimmten Umständen vom Service Pack 1 für den Internet Explorer 6.0 außer Kraft gesetzt wird. Der Patch behebt eine Sicherheitslücke beim Prüfen von SSL-Zertifikaten in mehreren Windows-Systemen sowie in MacOS-Software aus Redmond.