DB0FHN

DB8AS  > VIRUS    17.09.15 19:35l 261 Lines 13929 Bytes #999 (0) @ DL
BID : H95DB0EAM000
Read: GUEST DK3UZ DD3IA
Subj: BSI Newsletter 150917
Path: DB0FHN<OE2XZR<OE6XPE<DB0RES<DB0EAM
Sent: 150917/1641z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:H95DB0EAM000
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 17.09.2015
Nummer: NL-T15/0019

Die Themen dieses Newsletters:
1. Viren: Erpresser-Software Shade in Deutschland erfolgreich
2. Android: Mail lädt Schadsoftware auf das Telefon
3. Malvertising: Kampagne blieb über Wochen unentdeckt
4. Microsoft: Update zum Patch Day
5. WordPress: Sicherheitsupdate schließt drei Sicherheitslücken
6. Apple: Sicherheitsupdate auf iTunes 12.3
7. Let's-Encrypt: Erstes Zertifikat der alternativen Zertifizierungsstelle
8. Ashley Madison: Beschämend schlechte Passwörter
9. Internet der Dinge: Intel gründet Initiative für IT-Sicherheit in Fahrzeugen
10. Open Source: Tag der Software-Freiheit

EDITORIAL
    Liebe Leserin, lieber Leser,

    wie viel Schaden vermieden werden könnte, wenn allen bewusst wäre, dass
    man Links in E-Mails nicht einfach folgt und Dateianhänge nicht einfach
    öffnet, zeigen zwei Artikel in unserem heutigen Newsletter.
    Gegen eine perfidere Art der Verteilung von Schadsoftware hilft dagegen
    auch keine Aufmerksamkeit: Es gibt laut dem Telekommunikationsunternehmen
    Cisco eine steigende Zahl Werbebanner, die von Scheinunternehmen
    geschaltet werden. Sie führen zu professionell gestalteten Webseiten, die
    bei bloßem Aufruf Schadsoftware installieren.

    Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
    immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
    globalen Netz wünscht Ihnen

    Ihr Buerger-CERT-Team

STÖRENFRIEDE
    1. Viren: Erpresser-Software Shade in Deutschland erfolgreich

    Besonders in Russland und Deutschland, aber auch in Österreich ist eine
    Erpresser-Software erfolgreich, die sich
    Shade [http://www.zdnet.de/88246416/kaspersky-warnt-vor-erpressersoftware-shade]
    nennt. Shade verschlüsselt die Festplatte eines Windows-Rechner und
    fordert Lösegeld, um Computer und Dateien wieder freizugeben. Dabei
    bleibt es jedoch nicht. Zugleich lädt Shade aus dem Internet weitere
    Schadsoftware nach. Darunter befindet sich auch ein Programm, das
    versucht, Passwörter zu knacken.

    Shade verbreitet sich über das Öffnen von Dateianhängen und über den
    Besuch infizierter Webseiten. Halten Sie deshalb Ihren Virenscanner und
    Browser aktuell. Der Virenscanner sollte zudem automatisch im Hintergrund
    aktiv sein, was manche Produkte nicht sind. Öffnen Sie Dateianhänge nicht
    unreflektiert. Dateien, die Ihnen unbekannte Personen zugeschickt haben,
    öffnen Sie besser gar nicht. Das gilt auch für Fälle, in denen sich
    Absender als Rechtsanwälte oder als vertrauenswürdige Organisationen
    ausgeben. Regelmäßige Sicherungskopien Ihrer Dateien auf einen externen
    Datenträger, zum Beispiel einen USB-Stick, verringern den Schaden nicht
    nur bei Virenbefall. Das Lösegeld sollten Sie dagegen nicht zahlen.

    2. Android: Mail lädt Schadsoftware auf das Telefon

    "Hiermit bestätigen wir Ihnen die erfolgreiche Zahlung von 99.99 EUR an
    Candyclub (Bag of Gems). Das Geld wird von Ihrem hinterlegten Konto in
    kürze abgebucht." Abgesehen von dem Rechtschreibfehler (es sollte "in
    Kürze" heißen), deutet optisch wenig darauf hin, dass die E-Mail nicht
    von Googles Play Store kommt, wie sie es vorgibt. Doch die
    Rechnung ist
    gefälscht [http://www.mimikama.at/allgemein/gefhrliche-mail-ldt-trojaner-auf-das-smartphone/].
    Hinter dem "Rechnungsmanager", der zum Widerspruch gegen die Zahlung
    genutzt werden soll, verbirgt sich ein
    Trojaner [https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Schadprogramme/TrojanischePferde/trojanischepferde_node.html].
    Auch hier gilt: Nicht einfach Links folgen, ein regelmäßig aktualisiertes
    Antiviren-Programm verwenden und die genutzte Software auf dem aktuellen
    Stand halten.

    3. Malvertising: Kampagne blieb über Wochen unentdeckt

    Malvertising ist eine Wortschöpfung aus Malware und Advertising. Es wird
    also für Schadsoftware geworben? Nicht ganz. Die Schadsoftware versteckt
    sich vielmehr entweder in der Werbung oder aber, die Werbung bewirbt
    Seiten, die mit Schadsoftware infiziert sind.
    Golem [http://www.golem.de/news/security-malware-angriff-aus-der-werbung-1509-116326.html]
    zitiert eine Untersuchung des Telekommunikationsunternehmens Cisco,
    wonach die Zahl solcher Werbebanner in den letzten Jahren stetig
    zugenommen habe. Im beschriebenen Fall sind Kriminelle so geschickt
    vorgegangen, dass prominenten Vertreibern von Werbung wie Doubleclick
    wochenlang nicht auffiel, dass die werbenden Unternehmen nicht wirklich
    existieren. Die Kriminellen hatten zum Teil schon Jahre zuvor Webseiten
    registriert, zum Beispiel vorgeblich als Immobilienmakler. Nun, Jahre
    nach der Registrierung, gaben Sie vor, Werbung schalten zu wollen. Die
    Werbebanner selbst waren ungefährlich. Die Schadsoftware verbarg sich auf
    den präparierten Webseiten. Die Banner selbst erschienen auch auf
    bekannten Seiten wie Ebay.
    Angreifer wünschen laut Infosec
    Island [http://www.infosecisland.com/blogview/14371-Malvertising-The-Use-of-Malicious-Ads-to-Install-Malware.html]
    (auf Englisch) häufig, dass ihre Werbung ab Freitag abends erscheint. Am
    nächsten Morgen aktivieren sie dann die Schadsoftware auf den beworbenen
    Webseite. Sie spekulieren offensichtlich darauf, dass bei den
    Werbeanbietern über das Wochenende niemand arbeitet, der den Kunden
    kontrolliert.

    Browser-Erweiterungen, die Werbung oder das Ausführen von aktiven
    Inhalten blockieren, bieten einen gewissen, aber keinen völligen Schutz.
    Dasselbe gilt für Virenscanner und den Verzicht darauf, Werbung zu
    folgen, die bestimmte Pillen oder raschen Reichtum versprechen.

SCHUTZMASSNAHMEN
    4. Microsoft: Update zum Patch Day

    Zum Patch Day am 8. September hatte Microsoft diverse
    Produkte [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0076%20UPDATE%201]
    sicherheitstechnisch überholt. Sollten Sie die Aktualisierung noch nicht
    installiert haben, holen Sie dieses bitte rasch nach.
    Inzwischen hat Microsoft das Sicherheits-Bulletin MS15-080 erneut
    veröffentlicht und weist darauf hin, dass das Update 3088502 für
    Microsoft Office für Mac 2016 jetzt verfügbar ist. Anwender der
    Bürosoftware für Mac OS sollten also erneut auf eine Aktualisierung
    achten.

    5. WordPress: Sicherheitsupdate schließt drei Sicherheitslücken

    Unter Bloggern ist WordPress ein beliebtes, kostenloses Redaktionssystem.
    Dessen Entwickler haben mit einer Aktualisierung drei Sicherheitslücken
    geschlossen. Wer die Funktion zur automatischen Aktualisierung
    abgeschaltet hat, sollte das Update auf der
    WordPress-Seite [https://wordpress.org/download/]
    (Webseite auf Englisch) herunterladen und installieren.

    6. Apple: Sicherheitsupdate auf iTunes 12.3

    Mit der Verfügbarkeit von iTunes 12.3 schließt Apple insgesamt
    66
    Sicherheitslücken [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0078],
    die von einem Angreifer aus dem Internet genutzt werden können, um Ihr
    System zu schädigen und wenigstens teilweise unter seine Kontrolle zu
    bringen. Die möglichen Auswirkungen sind so schwerwiegend, dass der
    Update-Empfehlung des Herstellers zügig gefolgt werden sollte.

PRISMA
    7. Let's-Encrypt: Erstes Zertifikat der alternativen
    Zertifizierungsstelle

    Wenn Sie die Webseite Ihrer Bank besuchen, werden Sie in der Adressleiste
    ein Schloss sehen, das eine verschlüsselte Übertragung garantiert. Die
    Ausstellung des dafür nötigen Zertifikats kostet Geld. Geld, dass Banken
    haben, andere Organisationen, bei denen Verschlüsselung ebenfalls
    sinnvoll wäre, jedoch nicht.
    Let's Encrypt ist ein Projekt der in den USA als gemeinnützig anerkannten
    Internet Security Research Group (ISRG). Es setzt sich zum Ziel,
    kostenlose Zertifikate auszugeben, um Verschlüsselung zu verbreiten.

    Auch wenn Let's Encrypt erst im vierten Quartal 2015 als
    Zertifizierungsstelle anerkannt sein möchte, liegt nunmehr
    ein
    Wurzelzertifikat [http://www.heise.de/security/meldung/Erstes-Zertifikat-von-Let-s-Encrypt-zum-Test-bereit-2814330.html]
    vor. Mit einem Wurzelzertifikat, auch Stammzertifikat genannt, wird die
    Gültigkeit aller untergeordneten Zertifikate kontrolliert. Das
    Wurzelzertifikat wird in den Browser installiert, unterschiedliche
    untergeordnete Zertifikate liegen dann auf unterschiedlichen Webservern.
    Ihr Browser überprüft und akzeptiert das von Ihrer Bank (zum Beispiel bei
    der Deutschen Telekom) gekaufte untergeordnete Zertifikat, weil der
    Browser von Haus aus mit einem einem entsprechenden Wurzelzertifikat (in
    unserem Beispiel der Deutschen Telekom) ausgestattet ist.

    Im Moment müssen Anwender das Wurzelzertifikat von Let's Encrypt noch
    manuell herunterladen
     [https://letsencrypt.org/2015/09/14/our-first-cert.html] (Webseite auf
    Englisch) und installieren. Let's Encrypt befindet sich jedoch im
    Gespräch mit Mozilla, Google, Apple und Microsoft, um das
    Wurzelzertifikat in deren Browser zu integrieren. Ziehen die Hersteller
    mit, kann Let's Encrypt an Betreiber von Webseiten kostenlose
    SSL/TLS-Zertifikate herausgeben, die von den Browsern so umstandslos
    akzeptiert werden, wie das Ihrer Bank.

    8. Ashley Madison: Beschämend schlechte Passwörter

    Über den Hack gegen den Vermittler von ehelichen Seitensprüngen, Ashley
    Madison, ist viel berichtet worden. Nachdem neben der Datenbank mit Namen
    der Mitglieder des Portals auch eine Liste mit verwendeten Passwörtern
    aufgetaucht ist, gibt es auch für uns etwas zu berichten: Die
    schlechtesten
    Passwörter [http://t3n.de/news/ashley-madison-hack-passwort-640543/]
    waren die beliebtesten. "123456" führt die Liste an, gefolgt von "12345"
    und dem nicht minder obszön einfältigen "password".

    Die Liste spiegelt ein Drittel der Konten von Ashley Madison, und dass
    diese gehackt wurden, ist bei der Wahl der Passwörter nicht überraschend.
    Die Meldung zeigt aber auch, dass sich komplexe Passwörter nicht ohne
    weiteres knacken lassen. Sie tauchen in der Liste nicht auf. Wir
    verweisen deshalb gerne noch einmal auf unsere
    Tipps [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html],
    wie Sie sich komplexe Passwörter zulegen können, die sich dennoch merken
    lassen.

    9. Internet der Dinge: Intel gründet Initiative für IT-Sicherheit in
    Fahrzeugen

    IT-Sicherheit bei Fahrzeugen war immer wieder Thema unseres Newsletters,
    so auch in der letzten
    Ausgabe [https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0018#anchor7].
    Nun hat Intel, Branchenriese unter den Chipherstellern, eine Initiative
    gegründet, die ASRB (Automotive Security Review
    Boards) [http://www.zdnet.de/88246410/intel-gruendet-initiative-fuer-verbesserte-cybersicherheit-in-fahrzeugen/]
    heißt und Cyber-Sicherheit in Fahrzeugen fördern soll. Die Experten, die
    sich im ASRB versammeln, sollen Sicherheitstests und Audits durchführen,
    um der Automobilindustrie Empfehlungen an die Hand zu geben. Der damit
    erfolgreichste Experte erhält einen Preis: Ein Auto.

    10. Open Source: Tag der Software-Freiheit

    Pippi Langstrumpf, deren vollen Namen wir aus Platzgründen weglassen,
    bärenstarke Pferde-Hochheberin, Schreck aller Bildungsspießer und Heldin
    unzähliger Kinder, macht sich ihre Welt, wie sie ihr gefällt. Ein
    bisschen von dieser Einstellung haben Entwickler Freier Software: Wenn
    etwas fehlt oder nicht stimmt, machen sie sich die Software-Welt eben
    selbst. Ohne Patente oder andere Rechte zu verletzen. Freie Software,
    auch Open Source genannt, ist meistens kostenlos und häufig so
    ausgereift, dass sie kaum hinter teurer kommerzieller Software
    zurückstehen muss: Sei es Linux als Betriebssystem, Gimp für die
    Bildbearbeitung oder LibreOffice als Sammlung typischer Büro-Programme.

    Ein Aspekt der Sicherheitsstrategie des BSI ist es, IT-technische
    Monokulturen zu vermeiden, weil sich diese leichter angreifen lassen. Das
    BSI unterstützt deshalb seit langem die Entwicklung Freier Software, die
    zu einer größeren Auswahl an Programmen führt und damit
    Hersteller-Unabhängigkeit fördert. Zudem verhindert Software-Vielfalt die
    Bildung von Monopolen und deren negativen finanziellen Auswirkungen, auch
    auf den Haushalt des Bundes und der Länder. Die Unterstützung des BSI
    zeigt sich nicht nur in der Anwendung, sondern auch in der
    (Mit-)Entwicklung Freier Software.

    Wir wissen nicht, ob es einen Pippi-Langstrumpf-Tag gibt, aber es gibt
    einen Tag der
    Software-Freiheit [http://www.softwarefreedomday.org/] (Webseite auf
    Englisch). Es ist in diesem Jahr der 19. September. Weltweit werden
    Veranstaltungen Freie Software in den Blick der Öffentlichkeit stellen.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Veröffentlichung mit Genehmigung vom BSI.

vy 73, Jochen

db8as@db0eam.deu.eu



Read previous mail | Read next mail