Deutsch Polnisches Forum

Elektronischer Personalausweis - BSI weist Sicherheitsbedenken des CCC zurück
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist die vom Chaos Computer Club geäußerten Sicherheitsbedenken zum elektronischen Personalausweis zurück.

Das BSI räumt ein, dass - wie vom Chaos Computer Club (CCC) geschildert - Schadsoftware wie Trojaner die PIN-Eingabe des neuen Personalausweises (nPA), wie der elektronische Personalausweis offiziell heißt, bei der Verwendung von Basislesegeräten mitschneiden kann. Während das aus Sicht der Hacker ein großes Sicherheitsrisiko darstellt, wiegelt das BSI ab.

---> GOLEM - Security-News vom 23.09.2010

Vodafone stopft Sicherheitsloch auf britischer Serviceseite
Auf den Supportseiten des Telefonkonzerns in Großbritannien war es bis zum Wochenende möglich, mit einfachen Tricks an E-Mail-Adressen und Telefonnummern von Kunden zu gelangen. Beim Login für die Kontoverwaltung erschienen nach dem Klicken auf den Button für ein vergessenes Passwort die privaten E-Mail-Adressen des Kunden. Bei weiteren Klicks kamen auch die Mobilfunk-Telefonnummern zum Vorschein. Um an die Daten von anderen Nutzern zu gelangen, musste man lediglich einen Anmeldenamen erraten oder bei Stöbern in den User-Foren aufschnappen.

---> Heise - Security vom 26.09.2010

Nokia will Straßenzüge fotografieren
Der finnische Mobiltelefon-Hersteller Nokia will ähnlich wie Google für seinen Dienst "Street View" in Europa und Nordamerika Straßenzüge und Häuser fotografieren. Laut einem Bericht der Wirtschaftswoche hat das Unternehmen zwei Jahre an dem Projekt gearbeitet, bei dem das Lasersystem LIDAR eingesetzt werden soll.

---> Heise - Online vom 27.09.2010

US-Regierung will Internetüberwachung verstärken
Die Obama-Regierung arbeitet mit Sicherheitsbehörden wie dem FBI und der National Security Agency (NSA) offenbar an einem Gesetzesentwurf zum einfacheren Abhören von Internet-Telefonaten, verschlüsselten E-Mails und Chat-Nachrichten. Laut einem Bericht der "New York Times" müssten Kommunikationsdienstleister, die den Austausch verschlüsselter Botschaften ermöglichen, Strafverfolgern und Geheimdiensten dann verdächtige Nachrichten im Klartext vorlegen. Ausländische Anbieter, die ihre Dienste in den USA anbieten, sollen demnach verpflichtet werden, ein Büro in den Vereinigten Staaten zu unterhalten, um darüber die Abhör- und Entschlüsselungsaktionen sicherzustellen. Entwickler von Software zur "Peer to Peer"-Kommunikation wie Instant Messaging würden angehalten, ihre Anwendungen schon vom Design her abhörfreundlich zu gestalten.

---> Heise - Online vom 27.09.2010

Banking-Trojaner ZeuS nimmt SMS-TAN-Verfahren ins Visier
Neue Varianten des Banking-Trojaners ZeuS nehmen jetzt das SMS-TAN-Verfahren (beziehungsweise mobile TAN, mTAN) ins Visier, berichtet der Sicherheitsdienstleister S21sec in seinem Blog. Beim SMS-TAN-Verfahren werden Transaktionsnummern (TANs) für Online-Bankgeschäfte auf das Handy des Kunden geschickt, mit denen dieser über einen Webbrowser dann etwa eine Online-Überweisung legitimiert. Dieser zweite Übertragungskanal soll übliche Phishing- und Trojanerangriffe ins Leere laufen lassen. Das Verfahren lässt sich nämlich nur dann aushebeln, wenn der Anwender die in der SMS angegebenen Daten nicht sorgfältig prüft, sein Handy gestohlen wird oder das Gerät mit einem Trojaner infiziert ist, der die SMS an den Phisher weiterleitet.

---> Heise - Security vom 27.09.2010

Vorratsdatenspeicherung: Streit über "Quick Freeze" von TK-Daten
das "Einfrieren" elektronischer Nutzerspuren auf Zuruf der Ermittler als Alternative zur verdachtsunabhängigen Vorratsdatenspeicherung. Doch viele Vertreter aus der Telekommunikationsbranche sind dagegen. Dies zeigte sich während eines Workshops des Bundesjustizministeriums "zur Klärung praktischer, technischer und finanzieller Fragen" zur Aufbewahrung von Verbindungs- und Standortdaten am Montag in Berlin.

---> Heise - Online vom 28.09.2010

Union will Speicherung von Verbindungsdaten durchpauken
Die CDU will die FDP mit einer "öffentlichen Kampagne" schnell zu einem neuen Gesetz für die umstrittene Speicherung von Kommunikations-Verbindungsdaten bewegen. Wie das Nachrichtenmagazin "Der Spiegel" in seiner kommenden Ausgabe berichtet, haben konservative Abgeordnete das in einer internen Koalitionsrunde ankündigt. Ein Treffen zwischen Justizministerin Sabine Leutheusser-Schnarrenberger (FDP) und Innenminister Thomas de Maiziere (CDU) am vergangenen Montag hätte in diesem Punkt keine Einigung gebracht.

---> Heise - Online vom 02.10.2010

Kritische Reader-Lücke: Adobe zieht Patchday vor
Adobe will die kritische Sicherheitslücke in den aktuellen Versionen von Reader und Acrobat bereits außerplanmäßig am 5. Oktober schließen, wie das Unternehmen mitteilte. Der für den 12. Oktober angesetzte Patchday fällt dadurch aus. Die Lücke ist bereits seit Anfang September bekannt und ermöglicht es Angreifern, durch präparierte PDF-Dateien die Kontrolle über fremde Rechner zu übernehmen.

---> Heise - Security vom 01.10.2010

Bundesverfassungsgericht nimmt Beschwerde gegen Volkszählung nicht an
Das Bundesverfassungsgericht hat eine Beschwerde von vier Bürgern gegen das Gesetz über den registergestützten Zensus im Jahre 2011 nicht angenommen. Die Verfassungsbeschwerde genüge nicht den Anforderungen, die im Bundesverfassungsgerichtsgesetz gestellt werden. Nicht das gesamte Gesetz könne Gegenstand einer Verfassungsbeschwerde sein, vielmehr müssen die angegriffenen Bestimmungen genau bezeichnet werden. Die Beschwerdeführer hätten aber beantragt, das Zensusgesetz insgesamt als unvereinbar mit ihren Grundrechten zu vereinbaren, heißt es in dem nun veröffentlichten Beschluss vom 21. September.

---> Heise - Online vom 01.10.2010

Vorratsdatenspeicherung - Für 99,95 Prozent aller BKA-Ermittlungen unnötig
Bundeskriminalamt und Innenminister haben einige ungelöste Fälle vorgelegt, um für eine Neuauflage der Vorratsdatenspeicherung zu werben. Das belegte aber auch, dass die umstrittene Überwachung nur selten gebraucht wird.

---> GOLEM IT-News vom 08.10.2010

Rundfunkgebührenreform - Laut Sixt-Gutachten verfassungswidrig
Die geplante Reform der Rundfunkgebühren stößt nicht nur aus Datenschutzgründen auf Kritik, sondern soll laut eines neuen Gutachtens auch teilweise verfassungswidrig sein. Das Gutachten wurde vom Autovermieter Erich Sixt in Auftrag gegeben.

---> GOLEM IT-News vom 09.10.2010

Unechte Nutzerbewertungen - Fingierte Einkaufswelt von T-Online
Um das T-Online-Shopping-Portal Einkaufswelt lebendiger erscheinen zu lassen wurden Hunderte angeblicher Kundenbewertungen durch eine Textagentur erstellt. Gegenüber dem Spiegel machte die Telekom einen übereifrigen Dienstleister verantwortlich, der damit über das Ziel hinausgeschossen sei.

---> GOLEM IT-News vom 09.10.2010

16-jähriger demonstriert Sicherheitslücken bei 17 Banken
Die nächste Ausgabe des c't magazins berichtet, dass der 16-jährige Schüler Armin Razmdjou auf den Web-Seiten von 17 Banken Sicherheitslücken entdeckt hat. Bei den Lücken handelt es sich um sogenannte Cross-Site-Scripting-Probleme, die eine besonders raffinierte Form des Phishings ermöglichen.

---> Heise - Security vom 09.10.2010

Microsoft: Infizierte Internet-PCs sollen in Quarantäne
Um die wachsenden Probleme mit Botnetzen unter Kontrolle zu bekommen, sollen infizierte PCs vom Internet isoliert werden. Das schlug Microsofts Vizepräsident für Trustworthy Computing, Scott Charney, auf der Sicherheitskonferenz ISSE 2010 in Berlin vor. In seinem vorgelegten Bericht "Collective Defense - Applying Public Health Models to the Internet"führt er als Vorbild das Gesundheitssystem an, in dem infizierte Personen in Quarantäne kommen würden, um keine weiteren Personen anzustecken.

---> Heise - Security vom 08.10.2010

Android-Lücke ermöglicht Datenklau
Der Sicherheitsexperte Thomas Cannon hat eine Sicherheitslücke im Android-Browser entdeckt, die es Angreifern erlaubt, lokale Dateien des Anwenders vom Smartphone auszulesen, wenn dieser eine präparierte Webseite besucht. Offenbar betrifft die Schwachstelle sämtliche Android-Versionen, einschließlich der derzeit aktuellen Version 2.2 (Froyo). heise Security konnte dies auf einem Google Nexus One und einem Samsung Galaxy Tab jeweils mit Android 2.2 nachvollziehen. Cannon hat es eigenen Angaben zufolge mit einem HTC Desire (2.2) und dem Android-Emulator (1.5, 1.6 und 2.2) aus Googles SDK verifiziert.

---> Heise - Online vom 23.11.2010

Weitere Zero-Day-Lücke in Windows
In einem chinesischen Forum ist ein Exploit für eine bislang unbekannte Sicherheitslücke im Kernel-Mode-Treiber win32k.sys von Windows aufgetaucht, wie Prevx berichtet. Durch die Lücke können Angreifer, die bereits in das System eingedrungen sind, ihre Rechte ausweiten, um etwa ein Rootkit tief im Betriebssystem zu verankern. Laut Prevx sind Windows XP, Vista und 7 betroffen, sowohl in der 32- als auch in der 64-bit-Version.

---> Heise - Online vom 25.11.2010

Verbraucherschützer fordern Beschränkungen für Datensammler
Verbraucherschützer haben der Internetwirtschaft in Deutschland vorgeworfen, im großen Stil Daten der Web-Anwender meist ohne deren Einverständnis zu sammeln und auszuwerten. "Der gläserne Verbraucher ist im Internet bereits Realität", sagte Gerd Billen, Vorstand der Verbraucherzentrale Bundesverband (vzbv). Der Verband verlangte, die Web-Unternehmen müssten sich zunächst "eine aktive, informierte Einwilligung von den Anwendern" einholen, bevor sie Daten erheben und verarbeiten.

---> Heise - Online vom 26.11.2010

Internet Explorer 9 erhält Trackingabwehr
Microsoft will den Datenschutz im Internet verbessern und die Funktion Tracking Protection in den Internet Explorer 9 integrieren. Damit soll die Privatsphäre der Nutzer besser geschützt werden. Anwender können bestimmen, welche Webseiten Informationen über den Nutzer sammeln dürfen.

---> GOLEM - IT-News vom 07.12.2010

Updates für Firefox, Thunderbird und Seamonkey
Für Firefox, Thunderbird und Seamonkey sind jeweils Updates erschienen, um eine Reihe von Sicherheitslücken zu beseitigen. Die Mehrzahl der Fehler kann zur Ausführung von Schadcode missbraucht werden. Weitere Fehlerkorrekturen gibt es nur für Thunderbird 3.1.7.

---> GOLEM - IT-News vom 10.12.2010

Kritische Lücke im Internet Explorer
Wer an den bevorstehenden Feiertagen mit dem Internet Explorer im Netz unterwegs ist, muss Vorsicht walten lassen: Durch eine kritische Sicherheitslücke im IE, für die seit Kurzem auch ein Exploit kursiert, kann man seinen Rechner beim Besuch einer verseuchten Webseite mit Schadcode infizieren. Jetzt warnt auch Microsoft in einem Advisory vor der Gefahr und bestätigt die Berichte, nach denen die Internet-Explorer-Versionen 6 bis 8 unter sämtlichen Windows-Ausgaben verwundbar sind.

---> Heise - Security vom 23.12.2010

Weihnachtsgrüße mit Folgen: Microsoft warnt vor Office-Trojaner
hat sich möglicherweise unerwünschten Besuch ins Haus geholt: Das Microsoft Malware Protection Center warnt vor einem Schädling, der eine im November gepatchte Lücke in Office XP SP3 bis 2010 ausnutzt, um sich im System einzunisten. Die Lücke ist in Microsoft Word enthalten, sie betrifft jedoch auch andere Programme, die von der Word-Anzeigekomponente Gebrauch machen.

---> Heise - Online vom 03.01.2011

Android verschickt SMS an falsche Empfänger
Nachrichten bei einem falschen Empfänger landen können. Der Fehler ist in Android-Versionen bis mindestens 2.2 vorhanden, aber es existieren keine Informationen darüber, unter welchen Bedingungen und wie häufig das Problem tatsächlich auftritt. Ob eigene SMS falsch abgeschickt worden sind, soll man in der SMS-App überprüfen können: Unter "Nachrichtendetails anzeigen" in dem Kontextmenü, das sich beim langen Drücken auf eine abgesendete SMS öffnet, zeigt Android die Telefonnummer des tatsächlichen Empfängers an.

---> Heise - Security vom 03.01.2011

nPA: AusweisApp für Windows ist da
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Version 1.0.2 der AusweisApp zum Download freigegeben. Die vorerst nur in der Windows-Variante verfügbare Software zum Zugriff auf den neuen Personalausweis (nPA) kann über das AusweisApp-Portal geladen werden. Varianten für Linux und Mac OS sollen demnächst folgen.

---> Heise - Security vom 03.01.2011

Microsoft warnt vor Thumbnail-Lücke in Windows
In einem Security Advisory warnt Microsoft vor einer neuen, bislang unbekannten Sicherheitslücke in Windows, die sich ausnutzen lässt, um Code einzuschleusen und auszuführen. Code, der demonstriert, wie sich das konkret bewerkstelligen lässt, wurde ebenfalls schon veröffentlicht.

---> Heise - Security vom 04.01.2011

DoS-Angriff mit Gleitkommazahl
Ein Fehler bei der Umwandlung bestimmter Zahlen führt unter der Skriptsprache PHP zu einer Vollauslastung des Systems. So führt die Übersetzung der Zeichenkette "2.2250738585072011e-308" in eine Gleitkommazahl in der Funktion zend_strtod auf 32-Bit-Systemen zu einer Endlosschleife, in dessen Folge die CPU voll ausgelastet wird.

Betroffen sind PHP 5.2 und 5.3, allerdings offenbar nur auf Intel-CPUs, auf denen der x87-Koprozessor für die Verarbeitung von Gleitkommazahlen genutzt wird. Das x87-Design enthält einen seit Längerem bekannten Fehler, der bei der rechnerischen Annäherung an eine 64-Bit-Gleitkommazahl zu dem Problem (PDF) führt. 64-Bit-Systeme nutzen standardmäßig die Befehlserweiterung SSE, bei der der Fehler nicht auftritt. Die Verarbeitung der Zahlen 0.22250738585072011e-307, 22.250738585072011e-309 und 22250738585072011e-324 soll ebenfalls in eine Endlosschleife führen.

Unter Umständen lassen sich auch Serversysteme aus der Ferne auf diese Weise aus dem Tritt bringen, dazu könnte bereits das Senden des Wertes als Parameter in einem GET-Request genügen. Die PHP-Entwicker haben den Fehler in der kommenden Version 5.3.5 beseitigt. Für Version 5.2.16 steht ein Patch im Repository bereit.

---> Quelle: Heise - Online vom 05.01.2011

IPv6 - Globaler Test für das Internet der Zukunft
Am 8. Juni 2011 veranstalten einige der weltweit größten Internet-Sites den World IPv6 Day. Für einen Tag aktivieren sie zusätzlich zum alten IPv4 das kommende Protokoll IPv6 (Dual-Stack-Betrieb). Nach eigenen Angaben wollen sie damit Internet Provider, Hardware- und Betriebssystemhersteller sowie andere Websites motivieren, die Einführung von IPv6 voranzutreiben.

---> Heise - Online vom 12.01.2011

Innenminister drängen auf Vorratsdatenspeicherung
Die Innenminister der Länder drängen auf eine rasche Regelung zur Vorratsspeicherung von Internet- und Telefonverbindungen. Derzeit gebe es eine erhebliche und gefährliche "Schutzlücke", sagte der neue Vorsitzende der Innenministerkonferenz und hessische Innenminister Boris Rhein (CDU). Dabei gehe es nicht nur um die Abwehr von Terrorgefahren, sondern auch um den Kampf gegen Kinderpornografie und organisierte Kriminalität.

---> Heise - Online vom 11.01.2011

IPv6: Smartphones gefährden Privatsphäre
Apples iPhones, iPads und iPods beherrschen seit der Version 4 des Betriebssystems iOS IPv6, und auch die meisten Android-Geräte seit Version 2.1 können damit umgehen. Doch wie die c't in ihrer nächsten Ausgabe 3/11 berichtet, übertragen sie dabei eine ID, die Rückschlüsse auf den Benutzer zulässt: In der Regel bestimmen Geräte die Hälfte ihrer IPv6-Adresse selbst (den so genannten Interface Identifier). Dabei geben sich die Smartphones im WLAN zu wenig Mühe; sie ergänzen lediglich die weltweit eindeutige MAC-Adresse um zwei immer gleiche Bytes und verwenden sie als Teil der Adresse. Damit übertragen sie bei jedem Kontakt zu einem IPv6-tauglichen Server eine eindeutige Hardware-ID.

---> Heise - Security vom 14.01.2011

Hamburger Datenschutzbeauftragter schaltet sich selbst ab
Hamburgs Datenschutzbeauftragter, Johannes Caspar, hat seinen Internetauftritt abschalten lassen, da auf der Seite "unzulässige Trackingsoftware" zum Einsatz kam.

Nach seiner erneuten Kritik an Google Analytics und der Drohung, mit Bußgeldern und gegebenenfalls einem Musterprozess gegen Nutzer von Googles Webanalysedienst vorzugehen, ist der Hamburger Datenschutzbeauftragte Johannes Caspar selbst in die Kritik geraten. Rechtsanwalt Thomas Stadler wies darauf hin, dass auch auf dem Onlineauftritt des Hamburger Datenschutzbeauftragten unter datenschutz-hamburg.de "Tracking-Technologie eingesetzt und dort kräftig getrackt" werde.

---> GOLEM - IT-News vom 14.01.2011

Windows 7 - Service Pack 1 kommt womöglich in Kürze
Es gibt Hinweise darauf, dass das Service Pack 1 für Windows 7 und Windows Server 2008 R2 in Kürze erscheint. Microsoft hat ein vorbereitendes Update veröffentlicht, das auch schon für die Vorabversionen des Service Pack 1 benötigt wurde.

---> GOELM - IT-News vom 13.01.2011

Outlook 2007 - Sicherheitspatch vom Dezember wurde korrigiert
Microsoft hat den zurückgezogenen Sicherheitspatch für Outlook 2007 vom Dezember 2010 neu aufgelegt. Die drei mit dem Patch eingeführten Fehler sollen nun nicht mehr auftreten.

---> GOLEM - IT-News vom 14.01.2011