Archiv für Januar 2010

Das Bundesamt für Sicherheit in der Informationsgesellschaft (BSI) hat empfohlen, den Internet Explorer von Microsoft vorerst nicht zu benutzen.

Warnung vom Bundesamt für Sicherheit in der Informationstechnik

Laut heise.de reagiert das BSI hiermit auf eine bekannt gewordene Sicherheitslücke, von der gleich mehrere Versionen des Browsers betroffen sind.

Wenn man den Internet Explorer im “geschützten Modus” ausführe und zudem das Active Scripting abschalte, können man solche Angriffe zwar erschweren, jedoch nicht komplett verhindern.

Die Sicherheitslücke hatten Cyber-Spione ausgenutzt und – vermutlich von China ausgehend – vornehmlich US-amerikanische Firmen wie Adobe und Google angegriffen: Zunächst versandten die Spione E-Mails mit Links zu präparierten Websites.

Kritische Sicherheitslücke im Internet Explorer

Über diese schleusten sie fremden Code auf die betroffenen Rechner, installierten einen Trojaner-Downloader und luden mithilfe des Programms über eine SSL-Verbindung eine Backdoor nach. Diese ermöglichte ihnen sodann den ferngesteuerten Zugriff auf die betroffenen PCs.

Microsoft hat die Sicherheitslücke eingeräumt und arbeitet nach eigenen Angaben an einem Sicherheits-Patch, den das Unternehmen außerhalb des üblichen Update-Zyklus als “Emergency Patch” veröffentlichen will.

Auf die Nutzung des Internet Explorers, so das BSI, solle man bis zur Veröffentlichung des Sicherheits-Patches verzichten und stattdessen einen alternativen Browser verwenden.

Google Mail wird die Konten aller Nutzer standardmäßig auf die Verschlüsselung per https umstellen.

Laut Golem.de hatte Google diese Änderung  aus Geschwindigkeitsgründen bisher nicht vorgenommen. Alle Mail-Konten werden nach und nach umgestellt.

Wer die Verschlüsselung per https nicht standardmäßig beim Aufrufen der Google-Mail-Seite nutzen möchte, kann das Feature abschalten. Die Option hierfür befindet sich in den Einstellungen im Bereich “Browserverbindung” unter “Allgemein”. Für die Nutzung von Google Mail im Offlinemodus rät Google jedoch zur Abschaltung der https-Verschlüsselung.

Die Verschlüsselung per https für E-Mail-Konten hatte Google Mail im Juli 2008 eingeführt.

Ein Dieb, der ein Handy entwendet, kann sich freuen: Er kann auf Kosten des Besitzers telefonieren, hat Zugriff auf alle gespeicherten Daten und hat die Gewissheit, selbst bei Nutzung einer anderen SIM-Karte nicht so schnell entdeckt zu werden.

Mit der als “Anti-Theft” bezeichneten Software von F-Secure könnte sich dies nun ändern: Laut Chip Online kann man per Remote Lock von einem anderen Handy aus eine SMS mit einer vorher festgelegten Zeichenfolge an das gestohlene Handy verschicken. Hierauf wird das Handy gesperrt.

Die Software zum Handy-Diebstahlschutz von F-Secure

Loggt sich nun der Dieb mit seiner eigenen SIM-Karte in ein Mobilfunknetz ein, greift die Funktion Theft Control ein, sperrt den Zugang und schickt eine SMS mit der “neuen Telefonnummer” an den Eigentümer.

Als weiteres Feature beinhaltet die Software eine Funktion namens Remote Wipe, die, sobald sie mit einer einzigen SMS ausgelöst wird, sämtliche Daten auf dem Handy oder Smartphone löscht.

Anti-Theft läuft unter den Betriebssystemen Symbian (S60 3rd und 5th Edition), sowie Windows Mobile (Version 6 Professional und Standard).

Die Software kann man zum Preis von 9,95 Euro im F-Secure eStore per Download kaufen.

Anfang dieses Jahres konnten deutsche Bankkunden mit so genannten EMV-Karten vor allem im Ausland kein Geld vom Geldautomaten abheben. Wir berichteten.

In Deutschland ist das neue Jahrtausendproblem zwar behoben, doch können Bankkunden mit solchen EC- und Kreditkarten nach wie vor kein Geld im Ausland abheben.
Wie Heise Online meldet, will der Deutsche Sparkassen- und Giroverband (DSGV) Kunden mit fehlerhaften Karten einen Update-Service anbieten. Zunächst werden in etwa drei Wochen in Landesbanken und Sparkassen an zentral zugänglichen Punkten Terminals stehen, an denen Bank-Mitarbeiter dann das nur wenige Sekunde dauernde Update durchführen werden. Später sollen Bankkunden das Update auch selbst an den rund 25.700 Geldautomaten der Geldinstitute durchführen können.

EMV-Karten sind sehr verbreitet im Einsatz

Postbank-Kunden können ab Ende Februar an umgerüsteten Geldautomaten ihre Karten reparieren lassen. Das Update erfolgt dann automatisch. Auch prüfe die Postbank, ob defekte Karten an Kassenterminals automatisch “repariert” werden könnten.

Die Postbank sowie die Sparkassen und Landesbanken haben zugesichert, ihren Kunden die für die alternative Beschaffung von Bargeld entstandenen Kosten zurückzuerstatten.

Die Sicherheitsfirma SySS hat USB-Sticks geknackt, die mit einer Hardware-Verschlüsselung von AES 256 Bit und zusätzlicher FIPS-140-2-Zertifizierung des amerikanischen National Institute of Standards (NIST) versehen waren.

Kingston DataTraveler Blackbox

Bislang galt diese Verschlüsselung als sicher. Betroffen sind die Sticks Kingston DataTraveler BlackBox, SanDisk Cruzer Enterprise FIPS Edition und Verbatim Corporate Secure FIPS Edition.

Wie Heise Online berichtet, gelangten die Sicherheitsexperten ohne Schwierigkeiten an das Passwort: Bei Sticks desselben Typs sendet das auf dem Rechner für die Anmeldung am Stick zuständige Tool bei jeder Anmeldung unabhängig vom eingegebenen Passwort immer die gleiche Zeichenfolge an den Stick.

Nun griffen die Experten mit einem selbstgeschriebenen Tool zu folgendem Trick: Das im Arbeitsspeicher bei der Passworteingabe laufende Programm sendete den erforderlichen String an den Stick und im Nu erhielten die Sicherheitsexperten Zugriff auf die gespeicherten Daten.

Während Kingston für die betroffenen Sticks eine Rückrufaktion startete, sollen Sandisk und Verbatim nur mit einer entsprechenden Sicherheitsnotiz über “potenzielle Verwundbarkeit im Zugangsschutz” reagiert haben.

In Europa, so Verbatim Europa auf Nachfrage von Heise Security, sei noch kein Stick des von der Sicherheitslücke betroffenen Typss verkauft worden. Die Auslieferung erfolge erst nach Behebung der Sicherheitslücke.

Nachdem Ende 2009 in der Justizvollzugsanstalt Offenburg Handyblocker installiert wurden, plant die Baden-Würtembergische Landesregierung die Einführung dieser Technik auch in anderen Gefängnissen. Dies meldete der Online-dienst Heise.de.

“Dort herrscht erwartungsgemäß Funkstille, was die unerlaubte Nutzung von Handys anbelangt”, so Justizminister Ulrich Goll gegenüber der dpa. Für die Installation der Handyblocker investierte das Land Baden-Würtemberg rund eine Million Euro. Möglich wurde die Inbetriebnahme der Anlage durch die Föderalismusreform, der zufolge jedes Bundesland selbst Gesetze zur Installation solcher Anlagen in Gefängnissen verankern kann.

Neben der Anlage in Offenburg plant das Land Baden-Würtemberg weitere Störsender in der Außenstelle Lörrach der JVA Waldshut-Tiengen sowie im Stuttgarter Gefängnis Stammheim. Laut Goll liege für die zurzeit in Sanierung befindliche Anlage in Lörrach bereits die Genehmigung der Bundesnetzagentur vor.

In Stammheim wird in diesem Jahr mit dem Bau neuer Gebäude begonnen. Das alte, vor allem durch den Konflikt der Rote Armee Fraktion bekannt gewordene Gefängnishochhaus soll 2012 abgerissen werden, da eine Sanierung zu teuer sei.

Beliebt sind vor allem günstige Handys

Dass sich in Haftanstalten einsitzende Gefangene rege der modernen Technik bedienen, ist nicht von der Hand zu weisen: So wurden 2006 171, 2007 153, 2008 219 und im vergangenen Jahr 286 Handys beschlagnahmt.

Die Handyblocker, so Baden-Würtembergs Justizminister Goll, seien am effektivsten. Diese Anlagen schalten sich erst bei einem vorhandenen Signal ein. Somit ist nun auch für Besucher und Anwälte das Telefonieren per Handy auf dem gelände der JVA unmöglich.

Das Problem bisher: das Gefängnispersonal darf Besucher nicht willkürlich durchsuchen und Anwälte überhaupt nicht kontrollieren.

Am vergangenen Wochenende konnten zahlreiche Kunden der Postbank, deren Kredit- und EC-Karten mit so genannten EMV-Chips ausgestattet sind, kein Geld abheben. Dies berichtet der Online-Dienst Heise.de.

Derzeit, so Hartmut Schlegel, Sprecher der Postbank gegenüber der dpa, seien Experten mit der Fehlersuche beschäftigt. Noch wisse man nicht, wie viele Kartenbesitzer von diesem Problem betroffen seien. Laut Schlegel seien neben der Postbank auch andere Banken betroffen. Der Zentrale Kreditausschuss (ZKA) beabsichtige, heute hierzu Stellung zu nehmen.

Postbank: Probleme mit neuen EC-Karten

Um die Echtheit einer Karte zu prüfen, sind derzeit die Verfahren Static Data Authentication (SDA), Dynamic Data Authentication (DDA) und Combined Dynamic Data Authentication (CDA) im Einsatz. Die vor allem in Großbritannien weit verbreiteten und mit Magnetstreifen versehenen Karten mit SDA-Chips sind in der Herstellung günstig, jedoch unsicher, da Skimmer die Kommunikation zwischen Karte und Terminal mit einem auf dem Einsteckschlitz angebrachten Gerät abfangen und so an die PIN gelangen.

Die in Deutschland eingesetzten Karten mit DDA-Chips sind zwar sicherer, besitzen jedoch weiterhin einen kopierbaren Magnetstreifen. Dies ist darauf zurückzuführen, dass an den Verkaufsstellen beide Bezahlmöglichkeiten (per Magnetstreifen- und Chip-Karte) anbieten müssen. DerEMV-Standard wird bislang nur in Deutschland unterstützt.

Wer jedoch im Ausland seine EC- oder Kreditkarte zum Bezahlen nutzt, schützt seit 2005 die so genannte Haftungsumkehr. Sie besagt, dass bei Betrugsfällen im Zahlungsverkehr der nicht EMV-fähige Geschäftspartner, also das Geschäft oder die Bank, haftet.