DB0FHN

DB8AS  > VIRUS    27.09.12 21:07l 239 Lines 13868 Bytes #999 (0) @ DL
BID : R92DB0EAM003
Read: DK3UZ GUEST
Subj: BSI Newsletter 120927
Path: DB0FHN<DB0MRW<DB0SIF<DB0EAM
Sent: 120927/1904z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:R92DB0EAM003
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 27.09.2012
Nummer: NL-T12/0019

Die Themen dieses Newsletters:
1. WhatsApp weiter unsicher: Identitätsdiebstahl problemlos möglich
2. Attacke auf Amazon-Kunden: Spammer haben Nutzerdaten im Visier
3. Unsichere iOS-Apps: Umgang mit Passwörtern erfolgt unverschlüsselt
4. Microsoft veröffentlicht Update: Kritische Lücke im Internet Explorer geschlossen
5. Update für iTunes: Mehr als 160 Schwachstellen ausgebessert
6. Mac OS X aktualisiert: Neues Betriebssystem erhöht die Sicherheit
7. iOS 6 veröffentlicht: Update schließt rund 200 Sicherheitslücken
8. BKA-Bericht zu Cybercrime 2011: Weniger Fälle, mehr Schaden
9. Weniger Betrugsfälle an Automaten: Sicherheitsmaßnahmen greifen

EDITORIAL
    Erfahren Sie mehr über das wichtige Sicherheits-Update für den Microsoft
    Internet Explorer, Hunderte Schwachstellen in Apple-Programmen und den
    BKA-Bericht Cybercrime 2011.

STÖRENFRIEDE
    1. WhatsApp weiter unsicher: Identitätsdiebstahl problemlos möglich

    Die Mini-Anwendung WhatsApp, ein beliebter Kurznachrichtendienst, hat
    eine Sicherheitslücke. Wie u.a.
    heise.de [http://www.heise.de/security/meldung/WhatsApp-Accounts-fast-ungeschuetzt-1708132.html]
    und
    sueddeutsche.de [http://www.sueddeutsche.de/digital/sicherheitsprobleme-bei-smartphone-app-whatsapp-ist-kaputt-richtig-kaputt-1.1470257]
    berichten, soll es für Hacker relativ einfach sein, fremde Accounts zu
    kapern und unbefugt zu nutzen. Voraussetzung ist allerdings, dass sich
    Anwender über öffentliche WLANs auf dem WhatsApp-Server anmelden. Hacker
    könnten dann leicht die Benutzerkonten knacken: Die Telefonnummer des
    Anwenders, die als Benutzername dient, wird den Berichten zufolge
    unverschlüsselt übertragen. Das zur Anmeldung am Server zusätzliche
    benötigte Passwort wird bei Android-Smartphones aus der Seriennummer des
    jeweiligen mobilen Geräts erstellt. Diese Nummer stehe oft auf dessen
    Rückseite und lasse sich auch per Tastenkombination (Code: *#06#) oder
    App auslesen. Besonders gefährdet sind Anwender des Apple-Betriebssystems
    iOS: Hier wird die sogenannte MAC-Adresse der WLAN-Schnittstelle des
    iPhones oder iPads zur Anmeldung verwendet. Diese ist innerhalb des
    genutzten Funknetzwerks für jeden angeschlossenen Anwender sichtbar. Sei
    der Account einmal geknackt, so heise.de, könne dieser nicht mehr
    abgesichert werden. Weil kein neues Passwort erzeugt werden könne. Die
    Angreifer können den Account also beliebig nutzen. Aktuell ist kein
    Sicherheitsupdate verfügbar, das die Schwachstelle in WhatsApp schließt.

    2. Attacke auf Amazon-Kunden: Spammer haben Nutzerdaten im Visier

    Mit Spam-Mails versuchen Kriminelle derzeit Kunden des Online-Kaufhauses
    Amazon abzuzocken. Dies berichtet das Magazin
    pcwelt.de [http://www.pcwelt.de/news/Achtung-Spam-Attacke-auf-Amazon-Kunden-6588004.html].
    In einer E-Mail werden Anwender aufgefordert ihre Kundendaten auf der
    Amazon-Website zu bestätigen. Dazu sollen sie einem Link folgen, der
    allerdings zu einer gefälschten Amazon-Website führt. In dem dort
    dargestellten Formular sollen die Anwender ihre E-Mail-Adresse, das
    Amazon.de-Passwort sowie Name, Anschrift, Geburtsdatum, Bankverbindung
    und Kreditkartennummer mit dem dreistelligen Sicherheitscode angeben. Die
    Daten landen nicht bei Amazon, sondern bei den Online-Kriminellen. Laut
    pcwelt.de lässt sich der Betrugsversuch daran erkennen, dass seriöse
    Internet-Unternehmen Kunden nie um die Preisgabe ihres Passworts bitten
    würden. Zudem erfolge der Aufruf der manipulierten Website nicht über
    eine gesicherte Verbindung (u.a. erkennbar am fehlenden
    Vorhängeschloss-Symbol und dem Präfix https in der Adresszeile des
    Browsers). Der Zugriff auf sensible Informationen auf der offiziellen
    Amazon-Website erfolgt stets über eine mit dem
    SSL-Verschlüsselungsverfahren gesicherte Verbindung. Mehr Informationen
    zum Thema SSL-Verschlüsselung erhalten Sie auf der Website
    BSI-FUER-BUERGER [https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrowser/SSL/ssl_node.html].

    3. Unsichere iOS-Apps: Umgang mit Passwörtern erfolgt unverschlüsselt

    Bitdefender, Hersteller von Anti-Viren-Software, warnt vor
    unsicheren
    Apps [http://www.bitdefender.de/news/passwoerter-als-klartext-versendet:-bitdefender-warnt-vor-verschiedenen-ios-apps-2582.html]
    für das Apple-Betriebssystem iOS. Einige Apps die vom Anwender Passwörter
    zur Authentisierung fordern, sollen diese unverschlüsselt zu den Servern
    der App-Betreiber übertragen. Für Angreifer sei es deshalb ein Leichtes,
    die Passwörter zu stehlen und sich damit Zugang zum mobilen Gerät des
    Anwenders zu verschaffen. Bitdefender nennt beispielhaft die Apps äWi-Fi
    Finder“, äTexthog“, äiWrecked“, äMelodis Voice Dialer“ und äAloha: Hang
    with friends!“. Alle genannten Anwendungen sind im offiziellen App-Store
    von Apple erhältlich. Informationen zum sicheren Umgang mit Apps erhalten
    Sie im Abschnitt äBasisschutz Apps“ auf der Website
    BSI-FUER-BUERGER [https://www.bsi-fuer-buerger.de/BSIFB/DE/MobileSicherheit/BasisschutzApps/basisschutzApps_node.html].

SCHUTZMASSNAHMEN
    4. Microsoft veröffentlicht Update: Kritische Lücke im Internet Explorer
    geschlossen

    Microsoft hat die am 17. September bekannt gewordene kritische
    Sicherheitslücke im Internet Explorer nach einer Woche mit einem Update
    geschlossen. Die Schwachstelle befand sich in den
    Internet-Explorer-Versionen 6 bis 9. Cyberkriminellen war es möglich,
    Computer mit Schadcode zu infizieren, wenn Anwender manipulierte
    Webseiten aufgerufen haben. Die Angreifer konnten so ganz oder teilweise
    die Kontrolle über die gekaperten Systeme übernehmen. Die
    Sicherheitslücke wurde bereits aktiv ausgenutzt. Die Aktualisierung wird
    automatisch über die Update-Funktion von Windows verteilt. Die
    Installation des Microsoft-Sicherheitsupdates geschieht für Windows
    Systeme einfach über die Aktivierung von automatischen
    Updates im Microsoft
    Sicherheitscenter [http://support.microsoft.com/kb/306525/de] oder über
    einen Besuch der äWindows
    Update“-Webseite [http://www.windowsupdate.com/]. In einem Eintrag
    im firmeneigenen Blog liefert
    Microsoft [http://blogs.msdn.com/b/ie_de/archive/2012/08/16/ie-9-0-9-available-via-windows-update.aspx]
    Informationen zu der Sicherheitslücke.

    5. Update für iTunes: Mehr als 160 Schwachstellen ausgebessert

    Apple hat die iTunes-Version 10.7 für Mac- und Windows-Betriebssysteme
    veröffentlicht. Die neue Version schließt 163 Schwachstellen, darunter
    auch Sicherheitslücken. Dies geht aus den englischsprachigen
    Sicherheitshinweisen zum
    Update [http://support.apple.com/kb/HT5485] hervor. Mac-Anwender
    erhalten das Update automatisch über die Update-Funktion des
    Safari-Browsers. Windows-Anwender können das Aktualisierung über die im
    Programm integrierte Update-Funktion einspielen oder iTunes
    10.7 manuell von der Apple-Website
    herunterladen [http://www.apple.com/de/itunes/].

    6. Mac OS X aktualisiert: Neues Betriebssystem erhöht die Sicherheit

    Apples Betriebssystem OS X ist in einer neuen Version verfügbar. Mac OS X
    10.8.2 Mountain Lion schließt mehrere Sicherheitslücken.
    Den englischsprachigen Sicherheitshinweisen von Apple
    zufolge [http://support.apple.com/kb/HT5501] war es Angreifern etwa
    möglich, Denial-of-Service-Attacken durchzuführen, Schadcode auf dem
    Anwender-System auszuführen und vertrauliche Informationen wie Passwörter
    oder persönliche Daten auszuspähen. Die Aktualisierung erfolgt
    automatisch durch das Betriebssystem oder kann manuell über die
    Softwareaktualisierung ausgelöst werden. Mac OS X 10.8.2 Mountain Lion
    ist auch auf der Apple-Website
    verfügbar [http://support.apple.com/kb/DL1580?viewlocale=de_DE]. Das
    Update steht auch für die älteren Betriebssysteme Mac OS X
    10.7 Lion [http://support.apple.com/kb/DL1582?viewlocale=de_DE] sowie
    Mac 10.6 Snow
    Leopard [http://support.apple.com/kb/DL1586?viewlocale=de_DE] auf der
    Apple-Website zum Download bereit.

    7. iOS 6 veröffentlicht: Update schließt rund 200 Sicherheitslücken

    Apple hat das Betriebssystem iOS 6 für mobile Geräte veröffentlicht und
    den Anwendern zum Download zur Verfügung gestellt. Die neue Version
    schließt rund 200 Sicherheitslücken gegenüber der Vorgängerversion. Dies
    geht aus den englischsprachigen
    Sicherheitshinweisen [http://support.apple.com/kb/HT5503] hervor.
    Dem Magazin zdnet.de
    zufolge [http://www.zdnet.de/88124328/apple-veroffentlicht-liste-der-197-sicherheitsupdates-in-ios-6/]
    wurden beispielsweise drei Schwachstellen geschlossen, die es Angreifern
    erlaubten die Passwortsperre von iOS zu umgehen. Über mindestens zehn
    Schwachstellen soll es möglich gewesen sein, Schadcode auf iOS-Geräte zu
    schleusen und dort auszuführen. Besitzer des iPhone 3GS, 4 oder 4S, des
    iPad 2 oder 3 oder des iPod touch der vierten Generation erhalten iOS 6
    kostenlos. Die Installation erfolgt am Einfachsten über die
    Softwareaktualisierung in iTunes 10.7 oder über die
    Aktualisierungsfunktion im mobilen Gerät.

PRISMA
    8. BKA-Bericht zu Cybercrime 2011: Weniger Fälle, mehr Schaden

    Das Bundeskriminalamt (BKA) hat das äLagebild Cybercrime
    2011“
    veröffentlicht [http://www.bka.de/nn_233148/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrime__node.html?__nnn=true].
    Demnach sind im vergangenen Jahr die durch Internetkriminalität
    verursachten Schäden erneut gestiegen. Bei insgesamt stagnierenden
    Fallzahlen nehmen bestimmte Delikte wie das Phishing zu. Der Diebstahl
    digitaler Identitäten entwickele sich zu einem Massenphänomen, das immer
    größere Schäden anrichte, heißt es in einer gemeinsamen
    Pressemeldung des BKA und des Verbands der
    Hightech-Industrie
    Bitkom [http://www.bka.de/DE/Presse/Pressemitteilungen/Presse2012/120917__BundeslagebildCybercrime2011.html?__nnn=true].
    Die Intensität der kriminellen Aktivitäten im Bereich Cybercrime und
    damit das für jeden Internetnutzer bestehende Gefährdungspotenzial habe
    weiter zugenommen. äDiese Entwicklung lässt sich an der gestiegenen
    Professionalität der eingesetzten Schadsoftware ablesen. Auch sich
    ständig ändernde Vorgehensweisen zeigen, wie flexibel, schnell und
    professionell die Täterseite auf neue technische Entwicklungen reagiert
    und ihr Verhalten entsprechend anpasst“, sagt BKA-Präsident Jörg Ziercke.
    Nach der Polizeilichen Kriminalstatistik beläuft sich die Zahl der
    erfassten Fälle von Cybercrime - also aller Straftaten, die unter
    Ausnutzung moderner Informations- und Kommunikationstechnik oder gegen
    diese begangen wurden - im Jahr 2011 auf 59.494 Fälle. Im Jahr 2010 waren
    es rund 400 Fälle mehr. Der durch alle Cybercrime-Delikte verursachte
    Schaden ist im Jahr 2011 um 16 Prozent auf insgesamt 71,2 Millionen Euro
    gestiegen (2010: 61,5 Millionen Euro).

    9. Weniger Betrugsfälle an Automaten: Sicherheitsmaßnahmen greifen

    Nicht nur im Internet haben es Kriminelle auf Girocard- und
    Kreditkartendaten abgesehen, auch an Geld-, Tank- und Fahrkartenautomaten
    können diese sensiblen Daten unbefugt abgegriffen werden (sogenanntes
    Skimming). Laut dem Bericht äZahlungskartenkriminalität
    2011“ [http://www.bka.de/nn_233148/DE/Publikationen/JahresberichteUndLagebilder/Zahlungskartenkriminalitaet/zahlungskartenkriminalitaet__node.html?__nnn=true]
    des Bundeskriminalamts (BKA) sind die Fallzahlen hier rückläufig. 2011
    wurden in Deutschland insgesamt 1296 Angriffe auf Geldautomaten
    registriert, was einem Rückgang von rund 59 Prozent gegenüber dem Vorjahr
    entspricht. Ein ähnliches Bild zeichnet sich bei der Zahl der betroffenen
    sonstigen Automaten ab: In 2011 wurden 784 Geräte attackiert, circa 56
    Prozent weniger als noch 2010. Das BKA schätzt den Schaden, der durch den
    Einsatz gefälschter Karten mit deutschen Kartendaten in 2011 entstanden
    ist, auf rund 35 Millionen Euro (2010: 60 Millionen Euro).
    Am Vorgehen der Kriminellen hat sich wenig geändert: Die Täter
    installieren weiterhin Vorbaugeräte, sogenannte äSkimmer“, zum Auslesen
    der Kartendaten und kleinste Kameras oberhalb der Tastatur des
    Geldautomaten, um die Eingabe der Geheimnummer aufzuzeichnen. Mitunter
    wird auch auf der Tastatur eines Geldautomaten eine Tastaturattrappe
    befestigt, mit deren Hilfe die eingegebenen Geheimzahlen gespeichert
    werden. Die zunehmende Ausstattung der Automaten mit
    Anti-Skimming-Modulen sowie neue Sicherheitsstandards bei den Girocards
    erschweren den Tätern laut BKA allerdings zunehmend den Einsatz ihrer
    Technik.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.

vy 73, Jochen

ax.25 : db8as at db0eam.deu.eu
e-mail: db8as at db0eam.de



Read previous mail | Read next mail