|
DB8AS > VIRUS 02.10.14 20:04l 182 Lines 9262 Bytes #999 (0) @ DL
BID : 2A4DB0EAM002
Read: GUEST DK3UZ
Subj: BSI Newsletter 141002
Path: DB0FHN<OE2XZR<OE6XPE<DB0RES<DB0EAM
Sent: 141002/1756z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:2A4DB0EAM002
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To: VIRUS @ DL
SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 02.10.2014
Nummer: NL-T14/0020
Die Themen dieses Newsletters:
1. AVM: Fritz!Box-Sicherheitslücke wird immer noch ausgenutzt
2. Apple die Erste: Auch iOS 8 kann Apps verraten, mit wem Sie telefonieren
3. Apple die Zweite: Reset von iOS 8 kann Daten auf iCloud löschen
4. Bitcoins die Erste: Erpressung nach Identitätsdiebstahl
5. Bitcoins die Zweite: "Ist 'abcd' Ihr Passwort?"
6. Apple: OS X Sicherheitsupdate zum Bash-Bug
7. Anonymisierung: Tor bald Bestandteil von Browser?
8. Elektronische Verwaltung: Studie vergleicht internationale Nutzung und Akzeptanz von digitaler Verwaltung
EDITORIAL
Guten Tag,
nutzen Sie eBay, den Amazon-Marktplatz oder andere Handels-Plattformen?
Wenn ja, sollten Sie Aufforderungen potenzieller Käufer, eine Kopie Ihres
Ausweises und weitere persönliche Daten einzureichen, nicht nachkommen.
Der vermeintliche Käufer könnte sich als Erpresser entpuppen, der Ihnen
droht, mithilfe der Ausweiskopie Ihr Bankkonto aufzulösen oder Ihren
Telefonvertrag zu kündigen.
Erscheint ein neues Betriebssystem, werden im günstigen Fall bestehende
Sicherheitslücken geschlossen. Oft werden Lücken jedoch von einer Version
auf die folgende "vererbt". Oder es tun sich ganz neue Lücken auf. Bei
Apples neuem iOS 8 ist das leider nicht anders wie unsere Rubrik
"Störenfriede" zeigt.
Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen
Ihr Buerger-CERT-Team
STÖRENFRIEDE
1. AVM: Fritz!Box-Sicherheitslücke wird immer noch ausgenutzt
Im Februar hatte das BSI vor einer Sicherheitslücke in der Fritz!Box
gewarnt. Hersteller AVM hat nun darauf
hingewiesen [http://avm.de/aktuelles/kurz-notiert/2014/telefonbetrueger-suchen-gezielt-router-mit-aktiviertem-fernzugriff-die-update-versaeumt-haben/],
dass diese Sicherheitslücke immer noch ausgenutzt wird, da es nach wie
vor verwundbare Geräte gibt, die nicht aktualisiert wurden. Wenn Sie eine
Fritz!Box nutzen und das damals zur Verfügung gestellte Sicherheitsupdate
nicht eingespielt haben, dann sollten Sie dies schnellstmöglich
nachholen, damit niemand Ihre Fritz!Box missbrauchen kann, um auf Ihre
Kosten teure Telefonate zu führen.
2. Apple die Erste: Auch iOS 8 kann Apps verraten, mit wem Sie
telefonieren
Apps von Drittanbietern, die für iOS 8 geschrieben sind, können Metadaten
wie die eingegebene Nummer und die Dauer des Telefonats ermitteln. Damit
ist es möglich, Ihr Telefonierverhalten zu erfassen. Zudem können Apps
auf die Zwischenablage zugreifen. Das ist insbesondere dann
problematisch, wenn Sie Zugangsdaten kopiert haben.
Das sind zwei von drei iOS-8-Sicherheitslücken, die zwei
Forscher ermitteltet
haben [http://www.heise.de/security/meldung/iOS-8-verraet-Drittanbieter-Apps-mit-wem-man-telefoniert-2399812.html]
und die auch schon in iOS 7 bestanden.
Je mehr Apps Sie verwenden, desto größer ist auch das Risiko
unerwünschter Nebenwirkungen wie Sicherheitslecks, gleichgültig, ob diese
von den Programmierern beabsichtigt waren oder nicht. Das BSI empfiehlt
zudem, Apps nur die Berechtigungen zu erteilen, die unbedingt notwendig
sind.
3. Apple die Zweite: Reset von iOS 8 kann Daten auf iCloud löschen
Bereitet eine Software Probleme, kann ein Zurücksetzen der Einstellungen
auf den Zustand der Auslieferung ein wirkungsvoller Nothahn sein: Das
gilt zum Beispiel für Browser ebenso wie für Betriebssysteme. Bei iOS 8
kann das allerdings dazu führen, dass nicht nur die ursprünglichen
Probleme, sondern auch die eigenen Sicherungsdateien auf Apples
iCloud-Dienst wie weggewischt sind. Es gibt mehrere Klagen von
iPhone-Nutzern auf Macrumors.com (deutscher Artikel
hier [http://www.heise.de/mac-and-i/meldung/iOS-8-Einstellungs-Reset-kann-iCloud-Drive-Daten-loeschen-2405622.html]),
die sich darauf beziehen. Die einfachste Vorsichtsmaßnahme ist, von den
Dateien auf der iCloud eine Sicherheitskopie anzulegen, bevor Sie iOS 8
zurücksetzen.
4. Bitcoins die Erste: Erpressung nach Identitätsdiebstahl
Die Polizei Niedersachsen berichtet von einer neuen Masche
der
Erpressung [http://www.polizei-praevention.de/aktuelles/aktuelles-detailansicht/erpressung-nach-identitaetsdiebstahl.html].
Darin fordert ein vermeintlicher Käufer den Verkäufer auf, Bankverbindung
und eine Kopie des Personalausweises einzureichen, damit der Kauf
äsicher“ vonstatten gehen könne. Nach Erhalt der persönlichen Daten wird
der Händler erpresst: Der Kriminelle droht, diese zum Beispiel für die
Kündigung des Bankkontos oder des Telefonvertrages einzusetzen, wenn
nicht ein bestimmter Betrag in Bitcoins (1 Bitoin entspricht zur Zeit
mehr als 300 Euro) überwiesen wird.
5. Bitcoins die Zweite: "Ist 'abcd' Ihr Passwort?"
Es gibt noch mehr, die ihre Bitcoins oder Euros haben möchten. Zur Zeit
werden E-Mails verschickt, in denen im Betreff ein Passwort steht –
zusammen mit der Frage, ob dieses von Ihnen verwendet wird. Ein
selbsternannter
"Undercover-Engel" [http://www.heise.de/security/meldung/Undercover-Engel-warnt-Opfer-von-Passwortklau-2408702.html]
gibt an, er habe das Passwort "in den 'dunklen Ecken' des Internets
gekauft". Aus reiner Nächstenliebe wolle er darauf aufmerksam machen,
dass mit einem Ihrer Passwörter Handel betrieben wird – und bittet dafür
um Bitcoin-Spenden.
Gehören Sie zu den Empfängern derartiger Post, sollten Sie vor allem
überall dort das Passwort ändern, wo Sie das im Betreff der Mail
angegebene verwenden. Dieses, zumal Ihr Passwort womöglich noch bekannter
geworden ist, nachdem es unverschlüsselt im Betreffsfeld einer E-Mail
stand.
SCHUTZMASSNAHMEN
6. Apple: OS X Sicherheitsupdate zum Bash-Bug
Von dem in der Presse bereits ausführlich vorgestellten Bash-Bug sind
auch Anwender von Apples Betriebssystem OS X betroffen. Apple hat darauf
reagiert und empfiehlt dringend, die zur Verfügung gestellten Updates zu
installieren. Weitere Informationen und einen Link, von wo aus Sie das
Update herunterladen können, finden Sie auf den Seiten des
BürgerCERT [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0093].
Es findet sich jedoch auch Kritik, dass der Patch nur zwei
von drei bekannten
Lücken [http://www.zdnet.de/88206984/apple-veroeffentlicht-unvollstaendigen-shellshock-patch-fuer-os-x/]
schließt.
PRISMA
7. Anonymisierung: Tor bald Bestandteil von Browser?
Tor [https://www.torproject.org/] ist eine freie Software,
die Online-Verbindungen anonymisiert. Tor verschleiert die individuelle
IP-Adresse eines Nutzers, indem es seine Seitenaufrufe über verschiedene,
zufällig ausgewählte sogenannte Proxyserver leitet. Diese Server bilden
das Tor-Netzwerk. Die Entwickler möchten damit Anwender vor der Analyse
Ihres Online-Verhaltens schützen. Andrew Lewman, Executive Director von
Tor, möchte den Dienst nun erheblich populärer machen. Die
Zeit
Online [http://www.zeit.de/digital/internet/2014-10/tor-integration-browser-firefox]
sieht vor allem den Browser Firefox als Kandidat, den Zugang zum
Tor-Netzwerk fest zu integrieren. Damit wäre, wie es im Artikel heißt,
"eines der mächtigsten Programme zum Schutz der Privatsphäre plötzlich
ein Mainstream-Produkt."
8. Elektronische Verwaltung: Studie vergleicht internationale Nutzung und
Akzeptanz von digitaler Verwaltung
Seit 2010 veröffentlichen die Initiative D21 e.V. und ipima jährlich eine
"Monitor" genannte Studie zur Nutzung von Online-Angeboten
der Verwaltungsbehörden [http://www.egovernment-monitor.de/]
("eGovernment"). Unter anderem vergleicht die Studie in den Disziplinen
Nutzung, Zufriedenheit, Treibern und Barrieren Deutschland mit
Österreich, der Schweiz und Schweden. In den drei Vergleichsländern ist
demnach die Zufriedenheit der Bürger mit eGovernment-Angeboten höher.
Auch seien nur wenigen Deutschen die Angebote ihrer Behörden bekannt.
Dennoch würden von durchschnittlich fünf Behördenkontakten pro Person und
Jahr 2,4 online stattfinden.
-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.
Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------
Veröffentlichung mit genehmigung vom BSI.
vy 73, Jochen
db8as@db0eam.deu.eu
Read previous mail | Read next mail
| |