Archive for category IT-Security
Antiviren-Software-Hersteller reagieren – Apple Fanboys wachen auf
in IT-Security, Software, Technik am 11. May 2012
(C) Apple
Fudzilla berichtet von diversen AV-Herstellern, die schnell reagieren. Sie bieten verschiedene Lösungen für MAC-User an, um diese vor den Gefahren des Internets zu schützen. Zuvor hat die Mehrheit der Apple-User auf die von Steve Jobs verkündigte sicherheitstechnische Überlegenheit des Apple-OS vertraut -bis der Flashback-Trojaner aufgetaucht ist und ein riesiges Botnet aus mehr als einer halben Millionen Apple-Fanboys aufbauen konnte.
Aufgrund der letzten Entwicklungen rund um diesen Trojaner wachen immer mehr Apple-Nutzer auf und überlegen sich AV-Software anzuschauen, da Apple, was Security angeht, doch etwas hinterher ist. Somit hätte man im Endeffekt die gleiche Situation, wie sie mit Microsofts Windows der Fall ist. Der große Unterschied ist allerdings, dass Windows wesentlich sicherer ist als Mac OS X, da Microsoft auf dem Gebiet einen Haufen Erfahrungen hat. Neue Methoden einsetzt, um Lücken zu finden und wirklich schnell ist, was das Fixen gefundener Lücken angeht.
“Sicherheitslücke”: Apple präsentiert User-Passwort in Log-File
in IT-Security, Software am 7. May 2012
(C) NakedSecurity
Bei Apple sind offenbar auch die besten der besten der besten Spezialexperten am Werk. Seit einem Update im Februar 2012 bietet MacOS einen nützlichen Bug – zwar nicht für unsereins, aber sicherlich wird da irgendwie irgendwer von profitieren können – jetzt, wo es public ist.
Kurz und knapp – automatisch wurde neben anderen Informationen auch das Passwort des Users in eine ungeschützte zugängliche Log-Datei geschrieben. Betroffen ist man, wenn man davor FileVault zum Verschlüsseln des User-Ordners genutzt hat und dann auf Mac OS X 10.7 aktualisiert hat. Die Anzahl an Leuten, die genau das gemacht haben, wird sicherlich nicht unerheblich sein.
Wie der Fehler entstehen konnte ist unklar. Es wird vermutet, dass diese Debug-Option aus versehen von einem Entwickler bei Apple aktiviert gelassen wurde bzw. dieser hat vergessen sie wieder zu deaktivieren. So kam eben sozusagen eine Test-Version von FileVault in Umlauf.
Solche Fehler sind unverzeihlich, so etwas darf nicht vorkommen. Zwar wird in den Medien überall nun von Sicherheitslücken geredet, aber im Endeffekt ist es ein Bug, mehr auch nicht. In den meisten Fällen wir dieser Bug zu keinem Missbrauch führen. Um an die Daten heranzukommen, bräuchte man physischen Zugriff auf den PC oder eben anderen Zugriff auf die Festplatte.
Lockheed Martin sorgt in Zukunft für die Cyber-Security
in IT-Security, Zukunft am 6. May 2012
(C) David B. Gleason | CC-by-SA 3.0
Das Pentagon hat mit Lockheed Martin nun endlich ein Unternehmen gefunden, das bereit ist sich den bösen ausländischen und inländischen Hackern und Crackern entgegen zu stellen.
Das Pentagon hat bereits ein “Cyber Crime Center” eingerichtet, dieses kämpft gegen Cyberangriffe auf diverse US-Behörden. Lockheed Martin bekommt nun die Aufgabe ab die technische Infrastruktur aufzubauen bzw. zu verbessert – außerdem sollen von dort Experten das “Cyber Crime Center” unterstützen.
Das Cyber Crime Center soll gegen die “kriminellen und terroristischen Drohungen oder Spionage” kämpfen und den Ermittlungsbehörden mit Rat und Tat zur Seite stehen. Der Auftrag hat ein Gesamtvolumen von 454 Millionen US-Dollar – in den USA kann man es sich schließlich leisten.
Google bezahlt 20.000 US-Dollar für erfolgreiche Hacks
in IT-Security am 24. April 2012
(C) Google
Google hat den Trend erkannt – wer wirklich Sicherheit will, muss dafür zahlen – zusätzlich nutzt Google immer mehr die Expertise von unabhängigen IT-Experten oder welchen, die sich alles selbst beigebracht haben. Letztere sind nicht zu unterschätzen, trotz nicht absolviertem IT-Studium. Wie sagt man so schön – “Probieren statt Studieren”. Ich kenne einige solcher Fälle und staune immer wieder, was man alleine mit Hilfe des Internet lernen kann.
Wie dem auch sei – Google hat die Belohnung für Hacker und IT-Experten erhöht. Wer eine Sicherheitslücke findet könnte in Zukunft bis zu 20.000 US-Dollar Belohnung bekommen. Das Reward-Programm von Google und vielen anderen Unternehmen, beispielsweise Mozilla, ist mittlerweile nichts aufregendes und neues. Aber die Höhe der Belohnung ist schon durchaus erwähnenswert.
Man muss hier bedenken, dass Sicherheitslücken in z.B. Chrome auf dem IT-Schwarzmarkt für ähnlich hohe Preise weggehen können. Das geht dann meist auch mit einem Image-Schaden für das entsprechende Produkt einher, wenn diese Lücken (0days) von Kriminellen ausgenutzt werden. Google macht das einzig logische – es lohnt sich nicht mehr solche Lücken auf dem Schwarzmarkt zu verkaufen, wenn man legal dafür genauso viel bekommt. Hier kann man Google wirklich nur loben.
Hackerangriff: 3 Millionen Kunden von 10 iranischen Banken betroffen
in IT-Security, Technik am 17. April 2012
(C) Neitram | CC-by-sa 3.0up
Keine Sorge – kein westlicher Cyberangriff, um den Iran weiter zu schwächen. Tatsache ist, dass die Iranische Zentralbank nun Millionen von Kunden warnt. Insgesamt sind 10 iranischen Banken 3 Millionen Datensätze mit Namen, Kontonummern und den dazugehörigen PINs abhanden gekommen. Betroffene Kunden müssen ihre PIN ändern, bevor sie an ihr Geld können.
Der Angreifer ist schon ausgemacht – er heißt Khosro Zare und ist ehemaliger Bank-System-Spezialist. Vor dem Angriff hat er sich ins Ausland abgesetzt – vielleicht um einer möglichen Strafe zu entgehen. Seine Absichten scheinen aber gut zu sein – zuvor hat der ehemalige Angestellte rund 1000 Accounts gehackt und deren Informationen an die Manager und Zuständigen der Banken geleitet, um so auf die Lücke hinzuweisen.
Wie aber so oft bei Großkonzernen – die Gefahr wird nicht ernst genommen oder gar verharmlost. Oder einfach wegen unglaublicher Inkompetenz nicht korrekt erkannt. Die Gefahr wurde in der Vergangenheit von der Zentralbank heruntergespielt. Die Sicherheitslücken blieben so offen.
Kurzer Hinweis: Computec-Server wurden gehackt – PCGames und Co. verteilten Malware
in Internet, IT-Security am 17. April 2012
(C) HashBox | deviantart.com | THX!!
Mittlerweile scheint alles wieder in Ordnung zu sein – aber trotzdem ist ein Hinweis wichtig. Vor einigen Tagen wurden die Server von Computec erfolgreich gehackt. Wem Computec nichts sagt – das ist der Verlag, der für die PC Games, PC Games Hardware, Buffed.de und deren Websites verantwortlich ist. Hier handelt es sich um extrem populäre und daher oft besuchte Websites und Portale aus dem Gaming-Bereich.
Die Kriminellen konnten wohl die Quellcodes der Websites so abändern, dass diese zeitweise Malware verbreitet haben, die von Antiviren-Scannern nicht erkannt wurde (“FUD”). Desweiteren wurden die Downloads, die der Verlag angeboten hat, modifiziert. Weitere Informationen dazu stehen nicht zur Verfügung. Das Download-Angebot wurde aber vorrübergehend deaktiviert. Vermutlich haben die Angreifer die Downloads ebenfalls so modifiziert, dass man sich beim Ausführen mit Malware infiziert.
Die Angriffe bzw. Verteilung der Malware soll an den Wochenenden vom 7. bis 8. April sowie 14. bis 15. April stattgefunden haben. User, die sich an diesen Tagen auf den Websites rumgetrieben haben, sollte vielleicht ihren PC checken.
Sabpab greift Mac-Nutzer an – die “sicheren” Zeiten sind vorbei
in IT-Security am 16. April 2012
(C) Apple
Vor gut 2 Jahren habe ich die ersten Artikel zum Thema Sicherheit auf Mac-Computern geschrieben und immer hingewiesen, dass MacOSX nicht sicherer ist als z.B. Windows. Es ist bzw. war einfach nur nicht soweit verbreitet, dass es sich für Cyber-Kriminelle lohnen würde da Malware für zu entwickeln. Trotzdem existierten die ersten Malware-Typen bereits.
Immer wieder durfte man sich anhören, wie schlecht Windows verglichen mit MacOSX ist, wenn es um die Sicherheit geht. Immer wieder muss man solchen Leuten erklären, dass Microsoft mit Windows einen großartigen Job macht, was Sicherheitslücken angeht. Sie werden schnell geschlossen. Microsoft ist im Fokus Krimineller. Nonstop wird dort nach Lücken gesucht, dementsprechend tauchen öfter neue Lücken auf. Bei MacOSX ist das nicht der Fall gewesen.
Zukünftige Terroristen – Jugendlicher (15 Jahre) hackt 259 Unternehmen
in Internet, IT-Security am 15. April 2012
(C) HashBox | deviantart.com | THX!!
Wen wundert es, dass Politiker und “Experten” immer drakonischere Gesetze gegen Cybercrime fordern – es ist das einzige Mittel, dass sie kennen und ihnen zur Verfügung steht, um halbwegs etwas gegen die zukünftigen Terroristen aus dem Inneren zu unternehmen. Immer mehr Gesetze zur Überwachung und Vorratsdatenspeicherungen sollen kommen. Immer besser soll das Überwachen aller Menschen funktionieren – nonstop.
Dazu passt irgendwie ein aktueller Fall aus Österreich. Dort hat ein 15 jähriger Jugendlicher bewiesen, dass man wirklich nicht viel braucht, um eine Gefahr für die Wirtschaft darzustellen. Das ein oder andere Tool aus irgendeinem Hacker-Forum für ein paar Dutzend Euro und schon können die Angriffe auf teils kritische Infrastruktur losgehen.
Viel Fachwissen scheint der 15 jährige Hauptschüler nicht gehabt zu haben – braucht man heutzutage auch nicht. Es reichen simple Tools, wie SQLMap und man kann sich sicher sein irgendwo irgendwelche Sicherheitslücken zu finden. Gefühlt ist es so, dass die Leute, die sich um diese Sicherheitslücken kümmern sollten, von der Kompetenz her auf dem Level eines 11 jährigen sind. intval() oder mysql_real_escape_string() – unbekannte Funktionen. Braucht man nicht als studierter Informatiker. Aber was soll man solchen Leuten erzählen – die haben ja studiert und wissen es ohnehin besser. Pustekuchen.
-
You are currently browsing the archives for the IT-Security category.
Neues von TechPreis
TechBlog in Social Networks
Meist besuchte Artikel
Apple IPad 2: Offensichtlich WLAN-Probleme 
Apple iPad 2 W-Lan-Probleme und Lösungsvorschläge der Leser 
Facebook verfolgt und trackt – auch wenn man ausgeloggt ist 
British Telecom verklagt Google wegen Android, Google Mail, Google Maps, Google Music,… 
Stratolaunch: Paul Allen will das größte Flugzeug der Welt bauen 
Luxusfernseher von B&O mit 65 Zoll – BeoVision 12 für $19749 
Leak: Produktfoto des Samsung Galaxy S3 aufgetaucht – Vorstellung am 22. Mai 2012 (UPDATED) 
Löschen von Applikationen auf Facebook 
Trailer zu Titanic 2 – Fortsetzung des Filmklassikers 
Geleakte Intel-Roadmap zeigt Ivy Bridge ab 2.Quartal 2012