| |
DB8AS > VIRUS 25.06.13 02:04l 229 Lines 12909 Bytes #999 (0) @ DL
BID : O63DB0EAM002
Read: DK3UZ GUEST DD3IA
Subj: BSI Newsletter 130621
Path: DB0FHN<OE2XZR<OE6XPE<DB0RES<DB0EAM
Sent: 130624/2352z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:O63DB0EAM002
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To: VIRUS @ DL
SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 21.06.2013
Nummer: NL-T13/0013
Die Themen dieses Newsletters:
1. Inkasso-Forderungen bringen Schadsoftware: Gefälschte Anwaltspost
2. Bislang unbekannte Sicherheitslücken: Smartphone-Trojaner
3. Kritische Schwachstelle: Blackberry 10
4. BSI veröffentlicht Sicherheitsstudie: Content Management Systeme
5. Microsoft, Adobe und Oracle schließen Sicherheitslücken: Patchdays
6. EU will Strafen verschärfen: Cyber-Angriffe
7. Jugendliche sensibilisieren: Cybermobbing
8. Menschliche Fehler oder Hackerangriffe?: Sicherheitsverstöße
EDITORIAL
Guten Tag,
die mobile Kommunikation wird für Angreifer zunehmend attraktiver:
Schadprogramme, die Sicherheitslücken in Smartphones ausnutzen, beweisen
das immer wieder auf's Neue. Aktuell berichten wir über eine
Sicherheitslücke in Blackberry und einen neuen Trojaner, der eine bisher
unbekannte Lücke in Android ausnutzt.
Wer als Privatperson oder Unternehmen eine eigene Webseite mit einem
Content Management System (CMS) betreibt, sollte sich auch bei dieser
Software der Gefahr von Angriffen bewusst sein. Das BSI hat eine Studie
veröffentlicht, die die Bedrohungslage und relevante Schwachstellen weit
verbreiteter Open-Source-CMS untersucht. Fazit: Die Programme bieten ein
angemessenes Sicherheitsniveau. Der Nutzer ist jedoch gefordert, die
Software sachgemäß zu konfigurieren und kontinuierlich zu pflegen, um
Sicherheitsrisiken zu minimieren.
STÖRENFRIEDE
1. Inkasso-Forderungen bringen Schadsoftware: Gefälschte Anwaltspost
Zurzeit sind angebliche Zahlungsaufforderungen von Inkasso-Anwälten per
E-Mail im Umlauf, wie heise
security [http://www.heise.de/security/meldung/Virenpost-vom-Inkasso-Anwalt-1890936.html]
berichtet. In dem Anschreiben wird behauptet, der Empfänger habe eine
Rechnung nicht bezahlt und habe nun mit zusätzlichen Inkasso-Gebühren zu
rechnen. Der Empfänger wird dabei mit seinem echten Namen angesprochen.
Wer eine solche Mail erhält, sollte die Forderung kritisch prüfen.und den
Mailanhang nicht öffnen sondern die Mail löschen wenn die Forderung nicht
zugeordnet werden kann.
Die Angreifer ändern die Schadsoftware immer wieder, so dass die
Antiviren-Programme mit einer Erkennung leicht hinterher hinken. Dennoch
sollten Nutzer wie üblich auf einen aktuellen Virenschutz achten, um das
Risiko zumindest zu reduzieren. Außerdem sollten für die verwendete
Software alle Sicherheitsupdates installiert sein, um vorhandene
Sicherheitslücken zu schließen.
2. Bislang unbekannte Sicherheitslücken: Smartphone-Trojaner
Experten des Sicherheitsunternehmens
Kaspersky [https://www.securelist.com/en/blog/8106/The_most_sophisticated_Android_Trojan]
haben einen Trojaner entdeckt, der bislang unentdeckte Sicherheitslücken
in Googles mobilem Betriebssystem Android ausnutzt.
Der Trojaner äBackdoor.AndroidOS.Obad.a“ sei die bisher raffinierteste
Schadsoftware für Android, so die Experten. Die Schadsoftware verbreite
sich nicht über den Google Play Store sondern über alternative App-Stores
und versucht das geladene Installationspaket über Bluetooth an andere
Geräte zu versenden.
Der Trojaner könne jedoch nur Geräte befallen, wenn die Option, Apps von
Drittanbietern zu installieren, aktiviert ist. Zudem muss der Nutzer die
Installation bestätigen.
Weit verbreitet sei die Schadsoftware bislang noch nicht. Habe sie sich
jedoch einmal installiert, werde man sie nur schwer wieder los. Denn der
Trojaner nutze bislang unbekannte Schwachstellen in Android, um sich zu
verstecken. BSI für
Bürger [https://www.bsi-fuer-buerger.de/BSIFB/DE/MobileSicherheit/BasisschutzApps/basisschutzApps_node.html]
rät, das Installieren von Apps aus unbekannten Quellen zu unterbinden.
3. Kritische Schwachstelle: Blackberry 10
Blackberry hat ein
Advisory [http://btsc.webapps.blackberry.com/btsc/viewdocument.do?externalId=KB34458]
veröffentlicht, das eine kritische Schwachstelle in Blackberry 10
beschreibt. Betroffen ist das Blackberry Z10 mit Softwareversionen, die
älter als 10.0.10.648 sind.
Der Exploit nutzt Black Berry Protect. Mit dem Service kann der Nutzer
sein Smartphone managen, in dem er zum Beispiel sein Passwort neu setzt
oder das Gerät sperrt. Der Dienst ist standardmäßig deaktiviert und muss
vom Benutzer eingeschaltet werden. Um einen Angriff zu ermöglichen muss
der Nutzer sich dazu verleiten lassen, eine manipulierte App zu
installieren. Diese ist dann in der Lage, die Daten bei einem
Passwortwechsel abzufangen – mit denen sich ein Angreifer, sofern er
physischen Zugang zum Gerät hat, wie der eigentliche Benutzer erfolgreich
anmelden kann.
BlackBerry empfiehlt, die Gerätesoftware mindestens auf die Version
10.0.10.648 zu aktualisieren. Für Z10 und Q10 steht darüber hinaus
bereits BlackBerry 10.1 zur Verfügung.
SCHUTZMASSNAHMEN
4. BSI veröffentlicht Sicherheitsstudie: Content Management Systeme
Das BSI hat eine Studie zur Sicherheit von Content
Management Systemen
(CMS) [https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html]
veröffentlicht. Diese beleuchtet relevante Bedrohungslagen und
Schwachstellen der weit verbreiteten Open-Source-CMS Drupal, Joomla!,
Plone, TYPO3 und WordPress, die sowohl im professionellen Bereich als
auch von Privatanwendern genutzt werden, um Webseiten aufzubauen und zu
pflegen. Mit der Durchführung der Studie hatte das BSI die ]init[ AG für
digitale Kommunikation und das Fraunhofer-Institut für Sichere
Informationstechnologie (Fraunhofer SIT) beauftragt.
Die Studie zeigt, dass die untersuchten CMS ein angemessenes
Sicherheitsniveau bieten und einen hinreichenden Sicherheitsprozess zur
Behebung von Schwachstellen implementiert haben. Um einen sicheren
Betrieb einer Webseite zu gewährleisten, reicht es jedoch nicht aus, die
untersuchten Lösungen in der Standardinstallation einzusetzen und zu
betreiben. Vielmehr bedürfen die CMS einer sachgemäßen Konfiguration und
kontinuierlichen Pflege, denn nur ein angemessenes Systemmanagement und
ein umsichtiges Verwenden von Erweiterungen kann das Risiko unentdeckter
Schwachstellen minimieren.
5. Microsoft, Adobe und Oracle schließen Sicherheitslücken: Patchdays
Microsoft hat im Juni mit 6 Sicherheitsupdates 22 Schwachstellen
geschlossen. Betroffen sind Windows XP, Windows Vista, Windows 7, Windows
8, Windows RT, Office und der Internet Explorer 6-10. Ein Angreifer kann
die Schwachstellen ausnutzen, um beliebigen Schadcode mit den Rechten des
angemeldeten Benutzers oder sogar mit administrativen Rechten auszuführen
oder um Informationen offenzulegen oder zu manipulieren. Hierzu muss vom
Benutzer in einigen Fällen eine speziell manipulierte Datei, E-Mail oder
Webseite geöffnet werden. Dazu kann der Benutzer zum Beispiel in einer
E-Mail oder beim Besuch einer Webseite aufgefordert werden. Das
Bürger-Cert [
https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0041]
empfiehlt die zeitnahe Installation der von Microsoft bereitgestellten
Sicherheitsupdates, um die Schwachstellen zu schließen.
Adobe hat an seinem Juni-Patchday dieses Mal nur eine Schwachstelle in
seinem Flash Player geschlossen. Diese Schwachstelle ist jedoch umso
gravierender, denn ein entfernter, anonymer Angreifer kann sie für einen
Denial-of-Service-Angriff ausnutzen. Das Bürger-Cert [
https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0040]
empfiehlt auch hier die zeitnahe Installation der vom Hersteller
bereitgestellten Sicherheitsupdates, um die Schwachstelle zu schließen.
Oracle schließt mit seinem
Patchday [http://www.oracle.com/technetwork/java/javase/downloads/index.html]
rund 40 Lücken in Java. Betroffen von den Sicherheitslücken sind die
Versionen 5, 6 und 7, jedoch gibt es nur für Java 7 ein öffentlich
zugängliches Update. Für die früheren Versionen endet der Support. Nutzer
sollten daher auf die aktuelle Version 7 umsteigen.
PRISMA
6. EU will Strafen verschärfen: Cyber-Angriffe
Der Innenausschuss des EU-Parlaments hat einen
Richtlinienentwurf [http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+IM-PRESS+20130603IPR11005+0+DOC+XML+V0//EN]
über Angriffe auf Informationssysteme verabschiedet, der einheitliche und
hohe Strafen für Cyberkriminelle fordert. Zwischen zwei und fünf Jahren
sollen kriminelle Hacker demnach ins Gefängnis kommen.
Als schwerwiegende Angriffe werden unter anderem Botnetz-Attacken, der
Missbrauch personenbezogener Informationen oder Attacken auf Kritische
Infrastrukturen gewertet. Die Richtlinie sieht jedoch auch Strafen vor,
wenn Hackerwerkzeuge verkauft, beschafft und verbreitet werden, mit denen
sich Cyber-Angriffe ausführen lassen.
Der Richtlinienentwurf hat auch zum Ziel, dass IT-Systeme besser gegen
Angriffe geschützt und die Sicherheitsvorkehrungen erhöht werden. Dazu
werden die Mitgliedstaaten z.B. verpflichtet, rund um die Uhr besetzte
nationale Kontakt- und Meldestellen für den Informationsaustausch über
Cyber-Attacken und Internetkriminalität einzurichten. Die Kooperation
zwischen Staat, Wirtschaft und Bürgern im Kampf gegen Cyberkriminalität
soll verbessert werden.
In Deutschland traten bereits 2007 verschärfte Regelungen zu
Cyber-Kriminalität in Kraft. Nun soll mit der europaweiten Richtlinie
mehr Einheitlichkeit geschaffen und der Internationalisierung der
Cyberkriminalität Rechnung getragen werden.
7. Jugendliche sensibilisieren: Cybermobbing
Nur wenige Fälle von Cybermobbing nehmen solche Ausmaße an, wie der, der
vor kurzem vor dem Bonner Landgericht verhandelt wurde: Dort erhielt ein
13-jähriger Schüler 5.000 Euro Schmerzensgeld, weil zwei Gleichaltrige
ihn und seine Familie in einem Youtube-Video rassistisch und sexistisch
verunglimpft hatten.
Weniger schwere Fälle sind jedoch vielen Kindern und Jugendlichen
bekannt. Um für die Problematik zu sensibilisieren unterstützt die
Internetinitiative klicksafe ein neues Computerspiel für Kinder und
Jugendliche welches in Koproduktion des Deutschen Kinderschutzbund
Landesverband Bayern und Digital Treasure Entertainment entwickelt wurde.
Mit äJakob und die
Cybermights“ [http://www.jakob-und-die-cyber-mights.de/] haben Eltern
und Lehrer die Möglichkeit, dem Nachwuchs Methoden und Strategien für
einen sicheren Umgang mit modernen Medien auf unterhaltsame Weise näher
zu bringen. Durch das Spiel sollen sich die Kinder und Jugendlichen nicht
nur Sachwissen, zum Beispiel über Verhalten in Sozialen Netzwerken, die
Verwendung von Pseudonymen und Nicknames und über sichere Passwörter
aneignen, sondern auch ausprobieren, wie man sich gegen ungerechte
Angriffe und Beleidigungen auch im Internet sinnvoll wehren kann.
8. Menschliche Fehler oder Hackerangriffe?: Sicherheitsverstöße
Nach einer Studie des IT-Sicherheitsunternehmens Symantec
[http://www.symantec.com/about/news/release/article.jsp?prid=20130605_01]
sind menschliche Fehler weltweit in fast zwei Dritteln aller Fälle der
Auslöser für Sicherheitsverstöße und Datenpannen in Unternehmen. Anders
jedoch in Deutschland: Laut der Studie wurden hier im vergangenen Jahr 48
Prozent der Datenpannen durch Hackerangriffe verursacht. Menschliche
Fehler waren nur in 36 Prozent der Fälle der Auslöser und Systemfehler
für die restlichen 16 Prozent verantwortlich.
Die Kosten für den Verlust vertraulicher Informationen in Unternehmen
steigen dabei weiter ungebrochen: Symantec beziffert die Kosten
deutschlandweit mit 3,67 Millionen Euro in 2012.
-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.
Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------
Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.
vy 73, Jochen
ax.25 : db8as at db0eam.deu.eu
e-mail: db8as at db0eam.de
Read previous mail | Read next mail
| |
