Laut CERT BUND sind alle Versionen des beliebten Browsers Firefox vor 58.0.1 von einer kritischen Sicherheitslücke betroffen. Bereits der Besuch einer präparierten Webseite reicht aus, um Schadcode auf den PC des Besuchers zu bringen und auzuführen. Es wird dringend geraten, das Update auf die Version 58.0.1 zeitnah durchzuführen. Im Zweifel manuell anstoßen, nicht auf das Auto-Update warten.
Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren
Seit geraumer Zeit rumort es in Anwaltskreisen. Grund ist das besondere elektronische Postfach, kurz beA genannt. Dies sollte eigentlich zum 01.01.2018 verpflichtend zum Einsatz kommen. Doch daraus wurde nichts. Was mit der Entdeckung eines falsch zur Verfügung gestellten Zertifikats Ende 2017 begann (der private Schlüssel wurde mit verteilt), findet nun seinen Höhepunkt. Die Bundesrechtsanwaltskammer (BRAK) empfiehlt in einer Pressemeldung die Client Security zu deaktivieren, besser den Client gleich komplett zu deinstallieren. Wie es dazu kommen konnte, das trotz angeblicher Sicherheitsüberprüfungen ein unsicheres Produkt an die Rechtsanwaltszunft verteilt wurde, klärt die Pressemeldung nicht auf.
BRAK-Vizepräsident Abend erklärt, das “beA erst dann wieder in Betrieb gehen wird, wenn alle relevanten Sicherheitsfragen geklärt sind.”
Suchmaschine für gehackte Passwörter
Statt nach kompromittierten Email-Adressen der eigenen Webaccounts zu suchen, besteht nun auch die Möglichkeit, seine genutzten Passwörter zu überprüfen. Ob diese bei einem Hack erfolgreich geknackt wurden und somit meist in einschlägigen Kreisen bekannt sind, kann durch einen neuen Online-Service geprüft werden. Pfiffige Admins nutzen die bereitgestellte API und schließen diese gehackten Passwörter in eigenen Netz von vornherein aus. Mehr Infos und den Link zum Prüfservice finden Sie im Blogbeitrag.
Fritz!Box — der Spion im eigenen Haus
Wer sich über Hacking informiert, stößt zu Beginn schnell auf Begriffe und Tools wie nmap, Wireshark oder das Hacking-Betriebssystem Kali-Linux (als virtuelle Maschine ready to go zum Herunterladen). Doch so tief muss man gar nicht einsteigen. Die weit verbreitete Fritz!Box enthält eine im Anwender-Handbuch undokumentierte Mitschneide-Möglichkeit des KOMPLETTEN Datenverkehrs im internen Netzwerk (egal ob kabelgebunden oder WLAN). Und das in jedem von uns getesteten Modell und das seit Jahren. Sofern Remote-Zugriffe auf die Fritz!Box möglich sind, kann der Netzwerkverkehr auch von außen abgegriffen werden. Eigentlich eine sinnvolle Funktion zur Fehleranalyse, bringt diese Funktion erhebliches Schadenspotential mit sich. Und die Fritz!Box ist bei Unternehmen, Behörden und Privatanwendern sehr beliebt. Entsprechend hoch die Verbreitung. Wohl dem, der einige Sicherheitsmaßnahmen getroffen hat. Mehr lesen Sie in unserem kompletten Blogbeitrag.
Handlungsbedarf für Owncloud- und Nextcloud-Betreiber — kritische Sicherheitslücke
Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktuellen Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kritischen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind potentiell verwundbar. Betroffen sind u.a. große und mittelständische Unternehmen, öffentliche und kommunale Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und private Nutzer.
Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hingewiesen. Sehr viel ist seither nicht passiert, wie man der aktuellen Meldung entnehmen kann. Lediglich ein Fünftel der informieren Einrichtungen hat reagiert und die Schwachstelle geschlossen. Ob die eigene Cloud-Installation betroffen ist, kann mit dem Security-Scanner von Nextcloud online geprüft werden. Sollten Sie in Ihrer Organisation oder privat eine Instanz von Owncloud oder Nextcloud betreiben, so prüfen Sie bitte zeitnah unter den Links im Blogbeitrag, ob Ihre Installation betroffen ist. Generell sollte eine regelmäßige Prüfung auf Updates und deren Installation selbstverständlich und ein fester wiederkehrender Termin im Kalender sein.
Wir bauen uns einen Erpressungstrojaner per Mausklick
Erpressungstrojaner im Web per Mausklick zusammenstellen und präparierte Word-Makros und Windows-Hilfe-Dateien zur Verbreitung erhalten — das bieten die Drahtzieher hinter der Ransomware Satan. Über das Tor-Netzwerk geht das mittels Webinterface. 30% Provision werden fällig für die Nutzung. Erste Scanner erkennen die Bedrohung, doch es gibt noch keine Entwarnung. Details im Blogbeitrag.
Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit
Verschlüsselungstrojaner “Goldeneye” greift gezielt und massiv Personalabteilungen an. Eine Bewerbung in perfektem Deutsch auf teilweise aktuelle Stellenangebote sowie unter Nennung organisationsinterner Details soll den Empfänger dazu verleiten, eine angehängte XLS Tabelle zu öffnen. Geschieht dies und ist kein Schutz vor Ausführung von Makros aktiv oder wird dieser vom Nutzer ausgehebelt, verrichtet Goldeneye seinen Dienst analog zu seinem wohl verwandten Krypto-Kollegen Petya. Als Absender werden Email-Adressen eines Ingenieurbüros genutzt, dass unter anderem Hilfe bei der Entschlüsselung von befallenen Petya-Systemen anbietet. Erfahren Sie mehr im ganzen Blog-Beitrag und sensibilisieren Sie Ihre Mitarbeiter — gerne unter Nutzung unseres Beitragstexts.
Wie sicher ist Ihre Bank?
SMS TAN sind in Verbindung mit weiteren Schutzmaßnahmen eine gute Möglichkeit, Online Banking sicher zu nutzen. Doch wenn die benötigte SMS aufgrund der SMS Formatierung bereits im Sperrbildschirm des Endgeräts abrufbar ist, ohne den PIN Code für das Endgerät kennen zu müssen, dann läuft was schief. Was einige Banken bereits clever gelöst haben (die TAN steht einfach am Ende der SMS und nicht gleich zu Beginn), stellt andere Banken vor Probleme. Oder sie wälzen das Problem einfach auf den Nutzer ab mit dem Tipp “Schalten Sie einfach die Benachrichtigungen für den Sperrbildschirm ab”. In diesem Fall geht das nur, wenn man die Anzeige aller SMS im Sperrbildschirm deaktiviert. Wie hält es Ihre Bank damit? Wir freuen uns auf Ihre Kommentare. Lesen Sie den ganzen Beitrag online im Blog
Online Passwort Speicher Lastpass mit Sicherheitslücke
Entgegen aller nachvollziehbaren Bedenken werden Online Passwort Speicher nach wie vor gerne genutzt. Dabei liegen die gesammelten Passwörter nicht mehr im Einflussbereich des jeweiligen Inhabers, sondern auf (meist amerikanischen) Servern. Die Nutzerzahlen lassen den Schluss zu, die Anwender vertrauen diesen Services ungebrochen gerne ihre Passwörter an. Gesichert sind diese dort mit einem Masterpasswort und diversen Techniken wie Verschlüsselung etc.
Doch ist das Vertrauen in solche Services gerechtfertigt. Aktuell steht der Online Passwort Dienst LastPass in der Kritik. Jedoch nicht mit einem neuen Sicherheitsproblem, sondern mit einem älteren, das nicht konsequent beseitigt wurde. Lesen Sie mehr im Blogbeitrag.
SaaS = “Schadsoftware as a Service”, Hack zum Schnäppchenpreis im Web
“Welcome back to the underground where it’s a good time to be a bad guy”, mit diesen Worten leitet SecureWorks den “2016 Underground Hacker Marketplace Report” ein.
Wollten Sie schon immer mal fremde Webseiten (oder die eines Wettbewerbers) mittels DoS-Attacke (Denial of Service) lahmlegen? Kein Problem mehr, denn für 5 US Dollar in der Stunde können Sie die dazugehörige Technik samt Bot-Netz dazu anmieten. Aktuelle Krypto-Trojaner erhalten Sie bereits für 80 US Dollar und das Angler Exploit Kit ist gerade mal 20 US Dollar teurer. Angler untersucht die Browser von Webseitenbesuchern automatisch auf bekannte Schwachstellen und liefert dazu passenden Schad-Code aus. Die passende Hardware für das Skimming von EC-Geräten wird für unter 400 US Dollar feilgeboten. Sollten Sie noch nicht ganz firm im Umgang mit diesen Techniken sein, so gibt es Online-Tutorials für 20 US Dollar gleich dazu.
Diese Zahlen präsentiert SecureWorks im “2016 Underground Hacker Marketplace Report”. Besonders betont SecureWorks den Fokus der Anbieter auf Kundenzufriedenheit. Nicht nur, dass sich die Anbieter auf den Untergrund-Software-Märkten mit Profil und genauen Angaben zur Erfahrung in diesem Métier darstellen. Das hohe Level überrascht jedoch weniger. Interessanter ist der Aspekt, dass der “Kunde” erst zahlt, wenn der gewünschte Erfolg erreicht ist. Das ist doch mal ein Service.
Link zum Report im PDF Format im Blog-Text.