Deutsch Polnisches Forum

iPhone und Android-Smartphones sind zu mobilen Taschencomputern avanciert, deren Besitzer damit oft häufiger im Netz unterwegs sind, als mit dem heimischen PC. Somit wird das Smartphone für Kriminelle zur lukrativen Zielscheibe, um dem Nutzer Zugangsdaten zu Diensten, Kreditkartendaten und andere wertvolle Informationen zu stehlen.

Die Artikel "Mobile Bedrohungen - Spionageangriffe und Abzocke auf Android und iPhone" und "Ungesicherte Einsichten - Sicherheit von Apps für Android und iPhone" setzen sich mit der Sicherheit der Plattformen sowie der darauf laufenden Anwendungen auseinander. Sie zeigen, welche technischen und organisatorischen Maßnahmen die Hersteller ergriffen haben, um Angriffen Einhalt zu gebieten, wie erfolgreich diese sind und wie man sich und sein Gerät selbst schützen kann.

---> Heise - Security
---> Mobile Bedrohungen - Spionageangriffe und Abzocke auf Android und iPhone
---> Ungesicherte Einsichten - Sicherheit von Apps für Android und iPhone

Libreoffice 3.3 - Erste stabile Version des Openoffice.org-Ablegers
Die Document Foundation hat Libreoffice 3.3 veröffentlicht. Es ist die erste stabile Version des Openoffice.org-Ablegers. Im Unterschied zu Openoffice.org 3.3 bringt die neue Libreoffice-Version einige Verbesserungen.

---> GOLEM - IT-News vom 25.01.2011

Google veröffentlicht Datenschutz-Erweiterung
Online-Werbenetzwerke benutzen häufig Cookies, um Surfer (genauer gesagt: deren Browser) wiederzuerkennen. Auf diese Weise sammeln sie im Laufe der Zeit aus den besuchten Sites und Seiten mehr und mehr Informationen über den Surfer. Aus diesen Profilen können sie auf den Surfer maßgeschneiderte Werbung schalten.

---> Heise - Online vom 25.01.2011

Datenschützer wirft Unternehmen Verstöße vor
Eklatante Verstöße gegen den Datenschutz hat der rheinland-pfälzische Landesdatenschutzbeauftragte bei zahlreichen Unternehmen im Land beklagt. Dabei geht es zum einen um die Nutzung von Googles Statistik-Dienst Analytics, der nach Darstellung des Datenschützers in der derzeitigen Fassung nicht mit den Schutzvorschriften in Einklang steht. 400 von 460 überprüften Unternehmen setzten diese Software ein, die Statistiken zur Nutzung einer Website erstellt. 60 Prozent der 400 hielten sich außerdem nicht an die Vorschrift, die Nutzer darüber zu informieren, dass der Dienst verwendet werde und Nutzungsprofile erstellt würden.

---> Heise - Online vom 25.01.2011

Sicherheitsexpertin baut Android-Botnetz
Smartphones sind nichts weniger als kleine, tragbare Computer mit ständiger Netzverbindung. Da wundert es wenig, dass sich mittlerweile auch Internet-Kriminelle für die Technik interessieren; erste mobile Viren sind schon vor mehreren Jahren aufgetaucht.

Die Sicherheitsexpertin Georgia Weidman will nun zeigen, wie sich aus mobilen Geräten mit dem Google-Betriebssystem Android ein Botnetz aufbauen lässt, berichtet Technology Review in seiner Online-Ausgabe. Zur Steuerung dieser einzelnen "Zombie-Handys" dienen schlichte SMS. Weidman plant einen Vortrag zum Thema auf der Hacker-Konferenz Shmoocon, die Ende Januar in Washington stattfindet.

--> Heise - Technology Review vom 25.01.2011

Opera 11.01 schließt kritische Lücke
Die neue Version schließt die anfangs der Woche gemeldete kritische Lücke im Web-Browser Opera, durch die Angreifer einen Rechner unter ihre Kontrolle bekommen können. Ursache des Problems ist ein Fehler bei der Verarbeitung von HTML-Dokumenten, die Select-Elemente mit einer sehr großen Zahl von Child-Elementen enthalten. Dadurch lässt sich mit weiteren Tricks Code einschleusen und ausführen.

Die Lücke findet sich nicht nur in der Windows-Version, sondern auch in der für Mac und Unix und wurde dort ebenfalls geschlossen. Daneben beseitigt das Update in allen Betriebssystemversionen eine Clickjacking-Lücke im Zusammenhang mit der Browserkonfiguration sowie eine Schwachstelle, durch die Webseiten lokale Dateien auslesen können.

Die einzige Neuerung, die das Update einführt, ist die Unterstützung des DOM-Objekts window.DOMStringList. Daneben bringt das Update einige Verbesserungen mit und korrigiert zahlreiche Fehler. Das Update steht ab sofort zum Download für alle unterstützten Plattformen zur Verfügung.

Quelle: ---> Heise - Online vom 27.01.2011

Hi .... super, dass endlich mal jemand fragt! Darauf habe ich eigentlich schon ein paar Tage gewartet.

Heidi, grundsätzlich ist das richtig. Wie fast immer gibt es auch hier ein "aber" und das lautet folgendermaßen:

1. Die FAZ ist für solche Information keine gute Quelle (heißt aber nicht, dass sie schlecht ist)!

2. Das komfortable Surfen im Internet ist heutzutage bei den gebotenen Inhalten auf den meisten Portalen - Websites ohne Cookie-Annahme kaum noch möglich. Verweigert man die Annahme der Cookies, bleiben einem viele Details verborgen und kann oftmals nicht mit ein zwei Klicks die nächste gewünschte Seite aufrufen.

3. Der Aufruf der ADOBE-Seite wird gern genannt (sicher auch um Traffic zu generieren), ist aber definitv nicht notwendig. Die Cookies müssen nämlich auf Deinem PC abgelegt werden! Das bedeutet, dass beim Besuch der entsprechenden Hilfe-Seite von Adobe die Cookies augelesen werden (können). Das private Surfen soll natürlich untersucht werden; weil es mittlerweile auch immer mehr Möglichkeiten gibt, private Daten teilweise zu anonymisieren, suchen die Hersteller natürlich auch nach Wegen, den Besucher der Webseite wieder zu erkennen.

4. Derzeit gibt es keine wirkliche Alternative zum Flashplayer ...

So, und nun zur Möglichkeit, die entsprechenden Flashcookies zu entfernen.
Es gibt mehrere Wege das zu tun; man kann in das entsprechende Verzeichnis auf seinem PC gehen und die Cookies dort entfernen.

Das Verzeichnis heißt (fast immer): C:\Dokumente und Einstellungen\DEIN BENUTZERNAME\Anwendungsdaten\Macromedia\Flash Player - alle in diesem Ordner vorhandenen Verzeichnisse können gelöscht werden. Dann bist Du die Flash-Cookies los.

Da es aber noch eine recht unübersichtliche Anzahl temporärer Dateien mehr auf jedem PC gibt, sollte man sich auch hier eines Tools bedienen, das die Aktionen wesentlich vereinfacht und schneller macht.

Das Tool heißt Clear Prog (1.6.0 final).
Damit kann wunderbar konfiguriert werden, welche Dateien gelöscht werden sollen; das Hinzufügen des oben genannten Verzeichnisses ist unter dem Menüpunkt "Eigene Ordner" möglich.

So .... we did it again Security and data protection rulez!

Bei Fragen ... einfach anrufen .... melden hier im Forum, per PN ..... wie auch immer.

Beste Grüße
Frank

Sorglosigkeit .... sollte man wirklich nicht mehr vorherrschen lassen.

Das grundlegende menschliche Problem ist - wie fast immer - die Faulheit.
Wenn man das von mir genannte Werkezeug regelmäßig nutzt (ich nutze es bei jedem Herunterfahren des PCs), dann ist man schon halbwegs undurchsichtig. Zusätzlich sollte sich jeder Internetnutzer mindestens eine Mailadresse zulegen, die wenig über den eigenen Namen aussagt und zusätzlich bei einem sogenannten Freemailer gehostet wird. Niemals auf Spam antworten, niemals irgendwelche Links in Mails von unbekannten Empfängern klicken (es sei denn, man weiß, was man tut), Facebook MEIDEN .... da gibt es so viele Dinge, die zur eigenen Sicherheit und Anonymität beitragen (können), dass ich sie gar nicht alle anführen kann.

Aber schön, dass ich Dir helfen konnte!

Beste Grüße
Frank

SSL-GAU zwingt Browser-Hersteller zu Updates
Der Herausgeber von SSL-Zertifikaten Comodo wurde nach Angaben des Tor-Entwicklers Jacob Appelbaum und laut einem Blogeintrag der Mozilla Foundation möglicherweise kompromittiert. In der Folge gelangten Kriminelle an neun Zertifikate bereits existierender Webseiten, darunter auch addons.mozilla.org. Ob der Fehler auf die mangelnde Prüfung bei der Ausstellung oder auf die Kompromittierung der Infrastruktur von Comodo zurückzuführen ist, ist derzeit offiziell nicht bekannt.

---> Heise - Online vom 23.03.2011

Webbrowser Firefox 4 offiziell freigegeben
Mehr als acht Monate Betaphase hat sich die Mozilla-Stiftung für Firefox 4 Zeit gelassen, jetzt liegt der Browser bereit – nachdem übereifrige Vorabmeldungen einige Nutzer schon auf die FTP-Server geleitet hatten, während die Entwickler noch mit der Befüllung der Server und Mirror-Sites mit dem Release beschäftigt waren. Das endgültige Release gibt es nun auch offiziell freigegeben in diversen Landessprachen für Windows, Mac OS X und Linux zum Download.

---> Heise - Online vom 22.03.2011

SSL-GAU: Ein Angriff im Cyberwar?
Comodo hat weitere Informationen zu der Kompromittierung seiner Certificate Authority veröffentlicht, bei der ein unbekannter Angreifer an SSL-Zertifikate für bereits bestehende Webseiten gelangt ist. Zu den Domains gehören login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org sowie ein nicht näher bezeichneter "Global Trustee".

---> Heise - Security vom 24.03.2011

Kradzież certyfikatów zmusza producentów przeglądarek do aktualizacji
Wydawca certyfikatów SSL Comodo mógł ulec zdyskredytowaniu. Tak wynika z informacji jednego z programistów projektu Tor Jacoba Appelbauma i z artykułu w blogu Mozilla Foundation. W następstwie tego włamania w ręce kryminalistów dostało się dziewięć certyfikatów już istniejących stron, w tym także addons.mozilla.org. Na razie nie wiadomo jeszcze oficjalnie, czy błąd może wynikać z niewystarczającej kontroli przy wystawianiu certyfikatów, czy też jego przyczyną jest włamanie do infrastruktury Comodo.

---> Heise - Security Polska 24.03.2011

Microsoft Security Advisory (2524375)
Executive Summary

Microsoft is aware of nine fraudulent digital certificates issued by Comodo, a certification authority present in the Trusted Root Certification Authorities Store on all supported versions of Microsoft Windows. Comodo advised Microsoft on March 16, 2011 that nine certificates had been signed on behalf of a third party without sufficiently validating its identity. These certificates may be used to spoof content, perform phishing attacks, or perform man-in-the-middle attacks against all Web browser users including users of Internet Explorer.

These certificates affect the following Web properties:
° login.live.com
° mail.google.com
° google.com
° login.yahoo.com (3 certificates)
° login.skype.com
° addons.mozilla.org
° "Global Trustee"

Comodo has revoked these certificates, and they are listed in Comodo's current Certificate Revocation List (CRL). In addition, browsers which have enabled the Online Certificate Status Protocol (OCSP) will interactively validate these certificates and block them from being used.

An update is available for all supported versions of Windows to help address this issue. For more information about this update, see Microsoft Knowledge Base Article 2524375.

Typically, no action is required of customers to install this update, because the majority of customers have automatic updating enabled and this update will be downloaded and installed automatically. For more information, including how to manually install this update, see the Suggested Actions section of this advisory.

---> weitere Infos auf Microsoft Technet

Interview mit Sascha Adamek über gravierende Risiken und Nebenwirkungen des Internet-Giganten

Die Facebook-Falle
In der öffentlichen Wahrnehmung ist Facebook vor allem ein riesiges soziales Netzwerk, das den Kontakt von Menschen quer über den Globus erleichtert. Doch der Kommunikationskonzern ist keineswegs eine neutrale Kontaktbörse und Mitteilungs-Plattform, sondern ein kommerziell ausgerichtetes Unternehmen. Facebook erzielt Milliardengewinne mit der Entprivatisierung seiner Nutzer, indem es deren Daten erfasst und zu präzisen Werbezwecken an Dritte weitergibt. Dass dabei nicht nur die Privatsphäre der User, sondern auch Datenschutz und Urheberrecht nach deutscher Rechtsprechung auf der Strecke bleiben, scheint das Unternehmen, das bei genauerer Recherche immer dubioser wird, nicht zu stören. Sascha Adamek war dem zweifelhaften Internet-Giganten auf der Spur und fördert in seinem Buch "Die Facebook-Falle" Brisantes zutage.

---> Interview Teil 1

"Der Segen der schnellen Vernetzung kann zugleich zum Fluch werden"
Facebook-Gründer Mark Zuckerberg gibt sich unpolitisch. Doch sein Unternehmen birgt erhebliches Potenzial für Geheimdienste, die die weltweit sechshundert Millionen Nutzer des sozialen Netzwerks mühelos ausspionieren können. Personelle Verstrickungen im Facebook-Aufsichtsrat mit der Neocon-Bewegung und der CIA-Cyberfirma In-Q-Tel legen zumindest den Verdacht sehr nahe, hier gehe es eher um den flächendeckenden Zugang auf persönliche Daten für das Pentagon, als um die propagierte Internet-Demokratie. Auch die Rolle Facebooks bei den Volkserhebungen in Nordafrika und in Iran ist nicht so eindeutig positiv, wie oft dargestellt. Denn die Internet-Plattform wird nicht nur von den Aufständischen, sondern auch von staatlichen Repressionsorganen für ihre Zwecke genutzt.

---> Interview Teil 2

PDF-Panne: Briten veröffentlichen geheime Infos über Atom-U-Boote
Das britischen Verteidigungsministerium hat versehentlich geheime Informationen über ihre nuklear angetriebene U-Bootflotte ins Netz gestellt, wie das Boulevardblatt Daily Star berichtet. Die Informationen befanden sich in einem PDF-Dokument, das die Behörde selbst auf ihrer Webseite veröffentlicht hat – allerdings in dem Glauben, die vertraulichen Passagen erfolgreich geschwärzt zu haben.

---> Heise - Security vom 18.04.2011

Wirbel um Aufzeichnung von Ortungsdaten im iPhone
Die Aufzeichnung von geografischen Ortungsdaten durch mobile Geräte von Apple über einen längeren Zeitraum sorgt weiter für Wirbel. Zwei IT-Experten, Alasdair Allan und Pete Warden, berichteten gestern über die Praxis. Der ehemalige Apple-Mitarbeiter Warden stellte zudem eine Software namens iPhoneTracker bereit, mit der jeder iPhone- oder iPad-3G-Besitzer die Speicherung der Ortsdaten auf einer Karte darstellen kann. Betroffen sind nach aktuellem Kenntnisstand nur Informationen zu den umgebenden Funkzellen sowie Daten zu den WLAN-Basisstationen im Umfeld.

---> Heise - Security vom 21.04.2011

Der "ehrliche Achmed" bittet um Vertrauen
Unter dem Pseudonym "Honest Achmed" hat ein Unbekannter bei Mozilla beantragt, als vertrauenswürdige Zertifizierungsstelle akzeptiert zu werden. Dabei macht der angebliche Gebrauchtwagenhändler ("Honest Achmed's Used Cars") kein Hehl aus seinem Plan: Als Certification Authority (CA) wolle er "haufenweise andere Zertifikate verkaufen und eine Menge Geld machen".

---> Heise - Security vom 20.04.2011

Bin auch uncool und besitze kein iPhone.
Allerdings stelle ich wiederholt fest, dass, dass diese Datenschleuder immer mehr im Umlauf ist.
Kaum jemand zählt ein iPhone nicht zu seinem Eigentum. Fast jeder hat ein solches.

Schon allein das ist ein Grund für mich, dieses Ding nicht zu kaufen.

... Smartphones verraten richtige und falsche Geodaten
Seit die Entwickler Alasdair Allan und Pete Warden am vergangenen Mittwoch ihre quelloffene Anwendung iPhone Tracker veröffentlicht haben, hat sich eine breites öffentliches Interesse am bislang nur unter Insidern bekannten Umgang von Smartphones mit Ortungsdaten entwickelt. Die jetzt gesteigerte Aufmerksamkeit fördert Erkenntnise darüber zutage, wie iPhones und Smartphones anderer Plattformen, zum Beispiel Android, mit gesammelten Geodaten umgehen.

---> Heise - News vom 24.04.2011