DB0FHN

DB8AS  > VIRUS    19.03.15 21:05l 192 Lines 9688 Bytes #999 (0) @ DL
BID : J35DB0EAM003
Read: GUEST DK3UZ
Subj: BSI Newsletter 150319
Path: DB0FHN<OE2XZR<OE6XPE<DB0RES<DB0EAM
Sent: 150319/1844z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:J35DB0EAM003
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 19.03.2015
Nummer: NL-T15/0006

Die Themen dieses Newsletters:
1. Microsoft: Zu Unrecht vergebenes Zertifikat im Umlauf
2. Makroviren: Totgesagte leben länger
3. Apple: iOS-PIN lässt sich durch Brute-Force-Methode knacken
4. Adobe: Elf kritische Lücken im Flash Player geschlossen
5. Apple: Sicherheitsupdate für den Browser Safari
6. Yahoo: Neuerungen bei Passwörtern und E-Mail
7. Microsoft: Windows 10 soll Biometrie beherrschen

EDITORIAL
    Liebe Leserin, lieber Leser,

    mit den Passwörtern ist das ja so eine Sache: Sie sollen möglichst nicht
    zu erraten sein und sich trotzdem leicht einprägen lassen.
    Auf BSI für Bürger finden Sie eine
    Eselsbrücke [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html],
    wie Sie beide sich scheinbar ausschließende Kriterien unter einen Hut
    bekommen. Dennoch werden Passwörter vergessen, und dieselben auf einem
    mobilen Gerät zu speichern, verbietet sich: Die Gefahr, das Gerät zu
    verlieren, ist zu groß. Abhilfe möchten Yahoo und Microsoft bieten.
    Ersteres Unternehmen durch Einmal-Passwörter, letzteres mithilfe von
    Biometrie. Ob sich die beiden Methoden durchsetzen, bleibt abzuwarten.

    Ein gut gewähltes Passwort ist sicherer als eine PIN. Rund 111 Stunden
    dauert es, die PIN zu knacken, die iPhones und iPads vor fremden Zugriff
    schützen soll. Dabei ist der Neustart des Geräts nach jedem missglücktem
    Versuch bereits eingerechnet.

    Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
    immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
    globalen Netz wünscht Ihnen

    Ihr Buerger-CERT-Team

STÖRENFRIEDE
    1. Microsoft: Zu Unrecht vergebenes Zertifikat im Umlauf

    Einem Finnen ist es gelungen, sich ein gültiges, jedoch zu
    Unrecht vergebenes
    Zertifikat [http://www.zdnet.de/88229143/microsoft-warnt-vor-gefaelschtem-ssl-zertifikat]
    für den von Microsoft angebotenen Dienst "Windows Live Services" zu
    beschaffen. Auch wenn der finnische Dienst von "Live Services" betroffen
    ist, sind alle Anwender von Windows, Windows Server und Windows Phone
    aufgefordert, eine Aktualisierung einspielen, um sogenannte
    Man-in-the-Middle-Angriffe zu verhindern. Windows 8, Windows 8.1 sowie
    Windows Phone 8 und 8.1 spielen die Aktualisierung von selbst ein. Für
    Anwender anderer Versionen stehen Updates zur manuellen
    Installation bereit [https://support.microsoft.com/de-de/kb/2917500].
    Damit werden jedoch nur die Browser geschützt, welche die Windows
    Zertifikateverwaltung verwenden, etwa der Internet Explorer und Google
    Chrome. Andere Browserhersteller werden voraussichtlich in Kürze
    Aktualisierungen bereitstellen.

    Der Finne, der das Zertifikat für äLive Services“ erhalten hat, jedoch
    nicht hätte erhalten dürfen, erklärte inzwischen, das Zertifikat
    nur "zum
    Spaß" [http://www.heise.de/security/meldung/Gefaelschtes-Microsoft-Zertifikat-zum-Spass-registriert-2577714.html]
    registriert zu haben. Wenn das stimmt und er somit keinen Missbrauch
    vorhatte, war das Glück. Allerdings zeigt dieses Beispiel, dass
    Zertifikate nicht immer erst nach hinreichender Prüfung vergeben werden.

    Nutzen Sie Windows, Windows Server oder Windows Phone, sollten Sie trotz
    der Versicherung des Finnen die Updates installieren.

    2. Makroviren: Totgesagte leben länger

    Wenn Sie schon gegen Mitte oder Ende der Neunziger Jahre Computer
    verwendet haben, werden Ihnen Makroviren ein Begriff sein. Ein Makro ist
    eigentlich eine Automatisierung von Arbeitsprozessen. Vor allem für
    Microsoft Office wurden jedoch auch Makros geschrieben, die etwa
    Formatvorlagen unbrauchbar machten oder ähnlichen, durchaus
    beträchtlichen Schaden anrichteten. Damit waren Makroviren geboren; sie
    verteilten sich zum Beispiel über Disketten, auf denen Word- oder
    Excel-Dateien gespeichert waren, in denen der Schadcode vorkam.
    Um diese Virengattung ist es still geworden, auch deshalb, weil Microsoft
    mit neuen Versionen von Office-Programmen die automatische Ausführung von
    Makros abschaffte. Seitdem müssen selbige mit dem Öffnen des Dokuments
    erst vom Anwender zugelassen werden.

    Mit sinkender Bedeutung von Makroviren ging offenbar auch das Wissen um –
    und damit eine Vorsicht gegenüber Makros verloren. Dies nutzen dubiose
    Programmierer nun offenbar aus und haben damit begonnen, Makroviren neu
    zu beleben.

    In letzter Zeit jedenfalls finden sich wieder vermehrt Makroviren im
    Verkehr, wie Microsoft und Sicherheitsanbieter Sophos
    berichten [http://www.itespresso.de/2014/07/14/sophos-stellt-renaissance-der-makro-viren-fest/].
    Die verseuchten Office-Dateien werden wenig überraschend nicht mehr auf
    Diskette, sondern als E-Mail-Anhang oder zum Beispiel über Facebook
    vertrieben. Abhilfe ist einfach: Seien Sie skeptisch bevor Sie
    Dateianhänge öffnen und lehnen Sie die Ausführung von Makros im
    Normalfall ab.

    3. Apple: iOS-PIN lässt sich durch Brute-Force-Methode knacken

    Wenn Sie Ihr iPhone mit einer vierstelligen PIN gesichert haben und es
    nutzen möchten, so haben Sie zehn Versuche, die richtige PIN einzugeben.
    Danach tritt die Gerätelöschfunktion in Kraft, sofern Sie diese
    eingeschaltet haben. Mit einem speziellen Gerät, das auf dem Markt für
    rund 280 Euro erhältlich ist, kann die PIN jedoch auch dann
    über die Brute-Force-Methode genackt
    werden [http://www.heise.de/mac-and-i/meldung/Bruteforce-Angriff-auf-iOS-PIN-auch-mit-aktiver-Geraeteloeschfunktion-moeglich-2578934.html].
    Mit der Brute-Force-Methode werden alle möglichen Kombinationen
    ausprobiert, was zehn Versuche schnell überschreiten lässt. Denn besagtes
    Gerät startet das iPhone nach falscher PIN-Eingabe so rasch neu, dass der
    missglückte Versuch nicht in den Gerätespeicher geschrieben wird. Nach
    knapp fünf Tagen ist das Gerät entsperrt. Betroffen sind zumindest alle
    Geräte unter iOS 8.1.

    Abhilfe bietet wenn nicht eine Aktualisierung von Apple die Verwendung
    eines gut gewählten Passworts anstelle einer PIN.

SCHUTZMASSNAHMEN
    4. Adobe: Elf kritische Lücken im Flash Player geschlossen

    Adobe hat seinen Flash Player auf Version 17 aktualisiert und damit
    gleich elf als kritisch eingestufte Sicherheitslücken
    beseitigt [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0021].
    Im schlimmsten Fall kann ein Angreifer unter Ausnutzung dieser
    Sicherheitslücken das System übernehmen. Die Aktualisierung liegt für
    Windows, OS X und Linux vor. Sie sollten diese rasch einspielen.

    5. Apple: Sicherheitsupdate für den Browser Safari

    Ein Sicherheitsupdate für
    Safari [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0022]
    bügelt diverse schwerwiegende Sicherheitslücken des Browsers unter OS X
    aus.

PRISMA
    6. Yahoo: Neuerungen bei Passwörtern und E-Mail

    Yahoo hat seinen Nutzern bis zum Jahresende ein
    E-Mail-Plugin in Aussicht
    gestellt [http://www.zdnet.de/88228949/yahoo-zeigt-plug-in-fuer-e-mail-verschluesselung],
    das eine Ende-zu-Ende-Verschlüsselung ermöglichen soll. Damit wären über
    Yahoo verschickte E-Mails vom Versenden bis zum Empfang durchgängig
    verschlüsselt. Das Plugin soll dabei einfacher zu bedienen sein als
    bisherige auf PGP (Pretty Good Privacy) beruhende Angebote.

    Außerdem hat Yahoo Einmal-Passwörter
    eingeführt [http://www.zdnet.de/88228926/yahoo-fuehrt-on-demand-passwoerter-ein]
    – vorerst allerdings nur für amerikanische Kunden. Dafür registrieren
    Nutzer eine Telefonnummer, an die Yahoo auf Verlangen ein Passwort
    schickt, dessen Gültigkeit nach einer Verwendung erlischt.

    7. Microsoft: Windows 10 soll Biometrie beherrschen

    Biometrische Verfahren zur Zugangskontrolle setzen auf den Vergleich von
    zum Beispiel Fingerabdrücken oder der Iris. Biometrie soll nicht nur
    Passwörter ersetzen, sondern auch die Sicherheit verbessern. Bislang sah
    das vor allem in Kinofilmen beeindruckend aus. In der realen Welt dagegen
    gelang es beispielsweise, die Scanner für Fingerabdrücke von
    Apples iPhone 5S und iPhone 6 genau so zu überlisten wie
    den von Samsungs Galaxy
    S5 [http://www.heise.de/security/meldung/Fingerabdrucksensor-des-iPhone-6-ueberlistet-2399891.html].

    Microsoft möchte es mit der für den Sommer dieses Jahres angekündigten
    Version 10 von Windows besser machen. Wie Golem
    berichtet [http://www.golem.de/news/biometrie-in-windows-10-windows-hello-soll-passwoerter-ersetzen-1503-113021.html],
    würde immerhin die Notwendigkeit für spezielle Treibersoftware wegfallen.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Veröffentlichung mit genehmigung vom BSI.

vy 73, Jochen

db8as@db0eam.deu.eu



Read previous mail | Read next mail