Security

Wettbewerbszentrale schreitet gegen PlayStation-2-Werbung ein. Die deutsche Wettbewerbszentrale hat ein kürzlich verbreitetes Werbe-Mailing von Sony Computer Entertainment Deutschland abgemahnt. Die Werbepost, die laut Aussagen der Wettbewerbszentrale auch zu massiven Verbraucherbeschwerden geführt hat, bestand aus einem bräunlichen Umschlag mit einem Stempel "US Army Postal Service" und enthielt einen blutgetränkten Stofffetzen mit der Aufschrift "Wir stecken in der Scheisse - hol uns hier raus".

NetSky.V nutzt Sicherheitsleck im Internet Explorer zum Nachladen des Wurm-Codes. Die Hersteller von Antiviren-Lösungen berichten, dass mit NetSky.V eine Variante des Wurms aufgetaucht ist, die ohne Mail-Anhang versendet wird und eine Sicherheitslücke im Internet Explorer nutzt, um den Wurm-Code auf fremde Systeme zu laden. Mitte März 2004 erschien bereits ein Bagle-Ableger, der das gleiche Sicherheitsleck für die Einschleusung des Wurm-Codes nutzte. Nach den Erkenntnissen aus den Viren-Labors hat sich NetSky.V bislang nicht stark verbreitet.

Einsteigerversion für bis zu zehn Nutzer und eine Domain kostenlos. Ipswitch erweitert seinen Mail-Server IMail um neue Anti-Spam-Funktionen wie Worterkennung und verbesserte White-Lists. Insgesamt kombiniert IMail 20 Werkzeuge gegen Spam, zu denen auch Bayes-Filter, Header-Kontrolle und Blackhole-Listen gehören. IMail ist in drei Größen erhältlich; die Einsteigerversion IMail Express für bis zu zehn User ist kostenlos.

Microsoft deckt insgesamt 20 neue Sicherheitslecks im Windows-Betriebssystem auf. Am diesmonatigen Patch-Day veröffentlichte Microsoft vier Security Bulletins, worüber insgesamt 20 weitere Sicherheitslücken in dem Betriebssystem Windows bekannt wurden. Viele dieser Sicherheitslecks ermöglichen Angreifern Aktionen, die von der Ausführung von Programmcode bis zur kompletten Kontrolle über ein fremdes System reichen. Die zum Großteil von Microsoft als gefährlich eingestuften Sicherheitslöcher sollen bereitgestellte Patches beseitigen.

Präparierte Webseite startet Ausdrucke ohne Bestätigung des Nutzers. Wie der Sicherheitsspezialist Ben Garvey auf der Bugtraq-Mailingliste berichtet, weist die Druckfunktion des Internet Explorer 6 einen Programmfehler auf. Darüber können entsprechend formatierte Webseiten Ausdrucke initiieren, ohne dass der Anwender dies bestätigen muss.

Einstellung von Gmail gefordert , bis offene Datenschutzfragen geklärt sind. Mehrere US-amerikanische Datenschutz- und Bürgerrechts-Organisationen fordern Google in einem offenen Brief dazu auf, den Datenschutz des kürzlich angekündigten E-Mail-Dienstes Gmail zu verbessern und bis dahin den bisher nur für Beta-Nutzer zugänglichen Dienst abzuschalten. Besonders wird bemängelt, dass Gmail den Inhalt von E-Mails automatisch ausliest, um anhand der gesammelten Daten passende Werbung auszuliefern.

Patches bereinigen den Fehler. Cisco veröffentlichte ein Security Advisory, wonach die Wireless LAN Solution Engine (WLSE) und die Hosting Solution Engine (HSE) ein fest einprogrammiertes Paar aus Anmeldenamen und Kennwort enthalten. Somit könnten Angreifer unautorisierten Zugriff mit allen Rechten auf ein System erlangen, sofern das Name-Passwort-Paar bekannt ist. Eine manuelle Deaktivierung ist nicht möglich, so dass die bereitgestellten Patches installiert werden müssen.

Gesichtserkennung könnte Überwachungsmöglichkeiten verbessern. Der Datenschutzbeauftragte des Bundes, Peter Schaar, hat davor gewarnt, dass durch digitale Fotos im Reisepass in Verbindung mit der Ausweitung der Videoüberwachung die Erstellung von umfassenden Bewegungsbildern möglich werden könnte. Überlegungen zur Biometrisierung von Ausweisfotos sind angesichts der verschiedenen Verfahren zur maschinellen Identifizierung mit am aussichtsreichsten, da sie keine Neuerfassung der Bevölkerung anhand anderer Merkmale notwendig machen würden.

Sicherheitsloch im R3T-Plug-In; RealNetworks' Patches deinstallieren Plug-In. RealNetworks teilte mit, dass das R3T-Plug-In für den RealPlayer ein Sicherheitsloch aufweist, worüber Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Zur Abhilfe des Problems behilft sich RealNetworks damit, das betreffende Plug-In zu deinstallieren, anstatt den eigentlichen Fehler zu beheben.

Linux-Distributionen kritisieren Forrester-Report. Nachdem Forrester-Research in der letzten Woche in der Frage Is Linux more Secure than Windows? zu dem Schluss gekommen war, dass beide Systeme sicher eingesetzt werden können, Microsoft Sicherheitslücken aber schneller beseitigt, melden sich nun die Linux-Distributionen Debian, Mandrake, Red Hat und Suse gemeinsam zu Wort. Die Analyse behandle Sicherheitslücken gleich, unabhängig davon, wie kritisch diese sind und welches Risiko sie daher für Nutzer darstellen. Daher hätten die Schlüsse von Forrester in der Praxis weniger Wert.

Aktuelles Winamp 5.03 bereinigt das Problem. Sicherheitsspezialisten von NGSSoftware haben ein Sicherheitsleck in zahlreichen Winamp-Versionen entdeckt, worüber Angreifer beliebigen Programmcode auf einem fremden Rechner ausführen und damit die Kontrolle übernehmen können. In der aktuellen Fassung 5.03 von Winamp wurde diese Sicherheitslücke beseitigt, so dass Nutzer älterer Winamp-Fassungen diese aktualisieren sollten.

Starke Verbreitung des Sober-Neulings im deutschsprachigen Internet. Wie mehrere Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich mit Sober.F ein weiterer Ableger des Wurms derzeit besonders stark im deutschsprachigen Internet. Im Unterschied zu den weiterhin stark in Umlauf befindlichen Würmern Bagle und Netsky versendet sich der aktuelle Sober-Wurm - wie auch seine Vorgänger - mit deutschsprachigen E-Mail-Texten. Wie bei aktuellen Würmern üblich, fälscht auch dieser die Absenderadresse und verschleiert somit seine Herkunft.

Telekommunikationsanbieter sollen mehr Daten länger speichern. Der Bundesrat hat die neue Fassung des Telekommunikationsgesetzes abgelehnt und den Vermittlungsausschuss zur grundlegenden Überarbeitung des Gesetzes angerufen. Die Bundesratsmehrheit fordert vor allem eine längere und umfassende Datenspeicherung seitens der Telekommunikationsanbieter. Kritiker befürchten dadurch eine Ausdehnung der Telefonüberwachung.

"Buffalo Spammer" muss 3,5 Jahre ins Gefängnis. Howard Carmack - auch bekannt als "Buffalo Spammer" - ist von einem US-Gericht schuldig gesprochen worden. Carmack hat unter der Identität von zwei Bürgern aus der US-Stadt Buffalo mehrere hundert Millionen Spam-E-Mails verschickt und wurde im Mai 2003 deswegen angeklagt.

Pauschalgebühren als Alternative zur Kriminalisierung. Die Arbeitsgemeinschaft Wissensallmende des globalisierungskritischen Netzwerks Attac verurteilt die Klagen der deutschen Musikindustrie gegen Nutzer von Internet-Tauschbörsen und schließt sich dem Boykottaufruf des Chaos Computer Clubs (CCC, Hamburg) gegen die Musikindustrie an. Um dennoch die KünstlerInnen in der digitalen Welt für ihre Tätigkeit angemessen entlohnen zu können, schlägt Attac die Ausweitung des bestehenden Systems von Pauschalgebühren vor.

Postini hat sich Spam- und Viren-Filter erfolgreich patentieren lassen. Wie der E-Mail-Provider Postini mitteilt, erhielt das Unternehmen bereits im November 2003 ein Patent auf einen Spam- und Viren-Filter zugesprochen, der kaum technische Besonderheiten aufweist. Damit hat das US-Patentamt erneut allgemeine technische Verfahren patentiert, wie es in der jüngsten Vergangenheit mehrfach geschehen ist.

Update behebt Fehler in Windows-Version der DTP-Software. Für die DTP-Software PageMaker 7.0.1 bietet Adobe einen Patch an, der eine verbesserte Kompatibilität mit anderen Adobe-Applikationen bringen soll. Außerdem wurden einige Programmfehler bereinigt, so dass die Software nun zuverlässiger arbeiten soll. Der Patch gilt nur für die Windows-Version von PageMaker 7 und hievt die Software auf die Versionsnummer 7.0.1a.

Recht auf Privatkopie als Ausprägung der Informationsfreiheit. Nachdem die Phonoverbände Klagen gegen einzelne Tauschbörsennutzer angekündigt haben, fordert nun der Chaos Computer Club (CCC) zum Boykott der von der IFPI vertretenen Musikverlage auf. Die Branche solle nicht den Nutzern die Schuld geben, wenn sie selbst den Beginn des Informationszeitalters verschlafen und es versäumt hat, ihr Geschäftsmodell an die digitale Welt anzupassen, so der CCC.

Identity-Management-Funktionen für HP OpenView. HP übernimmt das US-amerikanische Software-Unternehmen TruLogica. Die Software von TruLogica ermöglicht automatisiertes User-Management und soll in heterogenen IT-Umgebungen das Zugriffsrecht-Management vereinfachen. Mit der geplanten Integration dieser Technologie in HP OpenView Select Access will HP in Kürze eine umfassende Software-Lösung für automatisierte Zugriffs- und Nutzer-Verwaltung anbieten.

Fedora Core 2 soll Basis von Red Hat Enterprise Linux 4 bilden. Red Hats freie Linux-Distribution Fedora Core 2 ist in einer zweiten Test-Version erschienen. Fedora Core 2, Test 2 bietet eine vollständige Unterstützung von Security Endhanced Linux (SELinux). Einzelne SELinux-Module werden bereits von der National Security Agency (NSA) genutzt. Fedora Core 2 soll auch die Basis für Red Hat Enterprise Linux Version 4 bilden, die Anfang 2005 auf den Markt kommen soll.

Angreifer können per Bluetooth Daten lesen und Handy-Funktionen ausführen. Wie das Unternehmen Integralis berichtet, weisen die Bluetooth-Protokolle in einem Nokia-Handy sowie einem Mobiltelefon von Sony Ericsson Sicherheitslücken auf, worüber Angreifer Zugriff auf die entsprechenden Geräte erlangen können. Sie können so etwa Kurzmitteilungen lesen, versenden sowie Anrufe tätigen.

Siemens zeigt Einsatz von RFID-Chip in Mobiltelefonen. Mit einer Studie demonstriert Siemens, wie Mobiltelefone künftig neue Funktionen durch Einsatz der RFID- und NFD-Technik erhalten können. Eine entsprechende Handy-Studie zeigt, wie das mobile Endgerät als Türschlüssel, aber auch als elektronische Brieftasche verwendet werden kann. Ein weiteres Einsatzfeld sieht Siemens darin, den Diebstahlschutz von Mobiltelefonen über Authentifizierungskarten zu verbessern.

Schutz des informationellen Selbstbestimmungsrechts. Zu der Forderung mehrerer Innenminister der Union, im Interesse der Terrorismusbekämpfung müsse das Datenschutzgesetz angepasst werden, erklärt der Bundesbeauftragte für den Datenschutz, Peter Schaar, dass die Behauptung, der Datenschutz stelle ein Hindernis für die Bekämpfung des Terrorismus dar, nicht zutreffend sei.

iKu bietet Anti-Spam-Appliance für Unternehmen und Provider an. Die iKu AG bietet mit Sponts/UCE einen Mail-Server an, der Spam besonders effektiv und nachhaltig bekämpfen soll. Wird eine Nachricht als Spam erkannt, wird dem Absender gemeldet, das Zielpostfach existiere nicht, so dass der Spam-Versender die Adresse im Regelfall aus seinem Adressbestand löscht, um Zeit und Bandbreite zu sparen, so der Hersteller.

PolyApply macht den Joghurtdeckel intelligent. Im europäischen Forschungsprojekt PolyApply (The Application of Polymer Electronics Towards Ambient Intelligence) arbeiten 20 europäische Partner aus Industrie und Forschung daran, RFIDs und andere elektronische Bausteine auf Basis polymer-elektronischer Technologie druckbar zu machen.

Gefälschte E-Mail versucht unvorsichtigen PayPal-Kunden Passwörter abzuluchsen. Einer angeblich von PayPal stammenden E-Mail an die Golem.de-Redaktion lässt sich entnehmen, dass erneut ein breit angelegter Betrugsversuch gegen die Nutzer des Online-Bezahldienstes stattfindet. Die HTML-E-Mail mit gefälschtem Absender und Betreffzeile "Your PayPal account is under review... Please read." gaukelt dem Empfänger eine angeblich nötige Sicherheitsüberprüfung des PayPal-Accounts vor, lockt mit offiziell aussehendem Link, leitet aber auf einen fremden Webserver um - wer hier seine Daten eingibt, ist sein PayPal-Konto und dessen Inhalte vermutlich los.

Patches für Excel 2003, Outlook 2003, Access 2002 sowie Office XP. Mit einem Schlag hat Microsoft Updates für die Office-Komponenten Excel 2003 und Outlook 2003 veröffentlicht, wobei der Outlook-Patch lediglich aktualisierte Spam-Filter-Definitionen umfasst. Als Weiteres wurden der Script Editor sowie das Text-Service-Framework aus Office XP aktualisiert und ein Problem in Access 2002 nach der Installation des Service Pack 3 für Office XP bereinigt.

Schaar: "Kunden müssen umfassend informiert werden.". Der Bundesbeauftragte für den Datenschutz, Peter Schaar, hat auf die datenschutzrechtlichen Anforderungen an die Ausgestaltung von Location Based Services (LBS) hingewiesen. Dabei könnten Datenpools entstehen, die nicht mehr zu kontrollieren seien, warnt Schaar.

NetSky.P verbreitet sich über E-Mail und P2P-Netzwerke. Wie Anbieter von Antiviren-Software berichten, konnte sich als weiterer NetSky-Ableger die P-Variante bereits stark verbreiten. Der Unhold nutzt eine uralte Sicherheitslücke im Internet Explorer, die eine angehängte Datei in Outlook oder Outlook Express automatisch bei Ansicht der E-Mail ausführt und im Falle des Wurmes den betreffenden Rechner infiziert, sofern das Sicherheitsleck nicht gestopft wurde.

CCC warnt vor automatisierter Kennzeichenerfassung. Wie in jedem Jahr will der Chaos Computer Club (CCC) auch in diesem Jahr einem Unternehmen auf der CeBIT einen ganz besonderen Standbesuch abstatten. Diesmal will man sich am Dienstag, dem 23. März 2004 um 15 Uhr gemeinschaftlich den Stand der Firma Vitronic ansehen, die Systeme zur automatischen Erkennung von Autokennzeichen anbieten.

Riverhead-Technik soll vor Distributed-Denial-of-Service-Angriffen schützen. Cisco gab jetzt ein Abkommen zur Übernahme von Riverhead Networks bekannt. Das Unternehmen hat sich auf die Entwicklung von Sicherheitstechnik gegen Distributed-Denial-of-Service-Angriffe (DDoS) und andere Sicherheitsrisiken in Unternehmens- und Service-Provider-Netzwerken spezialisiert.

Windows XP SP2 RC1 nur für Testzwecke vorgesehen. Wie bereits angekündigt, bietet Microsoft den Release Candidate 1 (RC1) für das Service Pack 2 (SP2) von Windows XP seit dem Wochenende kostenlos zum Download an. Dabei stehen Archive in englischer und deutscher Sprache zur Verfügung.

FAZ: Versand von Spam soll eine Straftat werden. Die SPD-Bundestagsfraktion plant offenbar Haftstrafen für Spam-Versender. Einen entsprechenden Entwurf eines "Anti-Spam-Gesetzes" habe die Arbeitsgruppe Telekommunikation der Fraktion ausgearbeitet, berichtet die Frankfurter Allgemeine Zeitung (FAZ), der der Vorentwurf vorliegt.

Akten suchen Diktate und umgekehrt. Die Firma Thax Software erweitert ihr Lokalisations- und Aktenmanagementsystem Findentity um ein digitales Diktiersystem. Durch die Verbindung von elektronischer Identifikation mittels RFID-Tags und digitaler Diktiertechnik soll sich Effizienz bei der Bearbeitung von Akten erhöhen lassen.

43.000 Zulieferbetriebe betroffen. Die US-Streitkräfte haben alle 43.000 Zulieferbetriebe verpflichtet, Radio-Frequency-Identification-(RFID-)Etiketten zu verwenden. Damit soll die Inventarisierung und die Materialverfolgung des Nachschubs erheblich vereinfacht und genauer werden.

Global Win will "Travel Box Dorri" nach der CeBIT 2004 ausliefern. Der taiwanesische Hersteller Global Win hat auf der CeBIT 2004 das externe USB-2.0-Festplattengehäuse "Travel Box Dorri" vorgestellt. Vom großen Konkurrenzangebot soll sich das Produkt dank der integrierten Verschlüsselungshardware, die Daten vor unbefugtem Zugriff schützt, absetzen.

Service Pack 2 für Windows XP kommt im Sommer 2004; weitere Details genannt. Es ist bereits bekannt, dass Microsoft sich mit dem Service Pack 2 (SP2) für Windows XP vor allem auf eine bessere Absicherung von Internet-Attacken, Wurm-Epidemien und Ähnlichem konzentrieren will. Allerdings lagen bislang nur wenige Details vor, wie das in die Praxis umgesetzt werden soll. Auf der CeBIT 2004 hatte Golem.de die Möglichkeit, einen Blick auf den aktuellen Release Candidate 1 vom SP2 zu werfen. Unter anderem erhielt der E-Mail-Client Outlook Express Sicherheitseinschränkungen beim Umgang mit Anhängen und HTML-Inhalten.

ARccOS soll Kopieren, Rippen und Re-Komprimieren von DVDs verhindern. Sony DADC will eine Kopierschutzlösung für DVD-Videos unter dem Namen ARccOS auf den Markt bringen. Dabei handelt es sich um ein neu entwickeltes System auf digitaler Basis, das illegales Kopieren von DVDs am PC verhindern soll.

3D-System soll Erkennungsleistung verbessern. NEC präsentiert zur CeBIT 2004 ein erstes funktionsfähiges System für eine dreidimensionale Gesichtserkennung. Das 3D-System verbessert gegenüber einem 2D-System die Erkennungsleistung und erlaubt den simultanen Abgleich von 2D- und 3D-Daten.

directVPN für kleine und mittlere Unternehmen. Für kleine und mittelständische Unternehmen bietet T-Online Business nun einen VPN-Service an, der es ermöglicht, ohne zusätzliche Hardware ein virtuelles privates Netz (VPN) aufzubauen. DirectVPN ist eine rein softwarebasierte Lösung, wodurch die Integration in eine bestehende Netzwerkinfrastruktur leichter möglich sein dürfte als mit zusätzlicher Hardware.

Ungepatchtes Outlook lädt automatisch Wurm aus dem Internet. Wie zahlreiche Hersteller von Antiviren-Software warnen, verbreiten sich zwei neue Varianten des Bagle-Wurms, die eine Sicherheitslücke im Internet Explorer ausnutzen. Bagle.Q und Bagle.R infizieren allerdings nicht wie üblich ein System über einen mit der E-Mail versendeten Anhang, sondern laden den Programmcode automatisch über eine Sicherheitslücke auf einen fremden Rechner.

Nahfeldkommunikation "NFC" fürs Wohnzimmer, das Handy und die Kreditkarte. Sony und Philips wollen einen neuen drahtlosen Vernetzungsstandard etablieren, der nicht nur eine einfache Vernetzung von benachbarter Unterhaltungs- und Kommunikationselektronik ermöglichen soll. Die als "Nahfeldkommunikation" (engl. Near Field Communication, NFC) bezeichnete Technik verbindet kontaktlose eindeutige Geräteidentifikation via RFID, um den gesicherten drahtlosen Datenaustausch zweier aneinander gehaltener Geräte zu ermöglichen; eingesetzt werden soll die Technik nicht nur in Unterhaltungselektronik, sondern auch in mobilen Endgeräten sowie Kreditkarten.

Nachrichtentext erwähnt BSI, um Seriosität vorzugaukeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aus aktuellem Anlass vor einem Dialer, der eine Nachricht über den Windows-Nachrichtendienst versendet. Der dann erscheinende Text suggeriert, dass man auf einer Webseite Hilfe gegen den aktuellen NetSky-Wurm erhalte. Um Seriosität vorzutäuschen, wird das BSI im Text erwähnt, was Opfer in Sicherheit wiegen soll und diese zum Aufruf der angegebenen Webseite bringen soll.