News

19.04.2019

Wichtiger Hinweis: Probleme mit Windows Sicherheits-Update (KB4493467) und Sophos Endpoint

Microsoft hat Sicherheits-Updates veröffentlicht, die Auswirkungen auf die Lösungen einiger Sicherheitsanbieter haben. Bei einigen Kunden, die Windows 7, Windows 8.1, Windows Server 2008 R2 oder Windows Server 2012 nutzen, kommt es nach der Installation des Updates gelegentlich zu Systemabstürzen oder Problemen während des Boot-Vorgangs.

Einige wenige Sophos-Kunden haben berichtet, dass sie von diesem Problem betroffen sind. Sophos arbeitet aktuell eng mit Microsoft zusammen, um das Problem zu beheben. Microsoft hat temporär die Updates für Computer ausgesetzt, die Sophos Endpoint Software installiert haben. Zusätzlich haben wir einen Workaround für betroffene Kunden.

Wie finden Sie heraus, ob Ihr Kunde betroffen ist?

Betroffen sind nur Kunden, bei denen alle der unten aufgeführten Kriterien zutreffen. Anderenfalls sind die Kunden nicht betroffen.

1. Der Kunde nutzt Windows 7, Windows 8.1, Windows 2008 R2 oder Windows 2012.
2. Der Kunde nutzt ein Sophos Windows Endpoint oder Server Produkt. Wichtig: Intercept X Advanced und Intercept X Advanced with EDR sind ebenfalls betroffen. Ausgenommen sind wiederum Kunden, die ausschließlich Sophos Central Intercept X einsetzen.
3. Der Kunde hat das neueste Windows Sicherheits-Update installiert und nach vollständiger Installation des Updates einen Systemneustart durchgeführt.
Wichtiger Hinweis: Wenn Kunden noch keinen Systemneustart durchgeführt haben, sollten sie das neueste Windows Sicherheits-Update deinstallieren, bevor sie einen Systemneustart durchführen.

Da die Mehrzahl unserer Kunden offenbar nicht betroffen ist, besteht die Möglichkeit, dass während der aktuell laufenden Überprüfung weitere Kriterien zu den oben bereits genannten hinzukommen, um den Kreis eventuell betroffener Kunden weiter einzugrenzen. KBA 133945 wird fortlaufend mit den neuesten Informationen aktualisiert.

Wie unterstützen Sie betroffene Kunden?
Die aktuellsten Informationen zu diesem Problem und der Behebung finden Sie und Ihre Kunden im KBA 133945.

Wir werden alle Sophos Endpoint Kunden in einer E-Mail entsprechend informieren. Zudem wird KBA 133945 fortlaufend mit den neuesten Informationen aktualisiert.

Quelle: http://app.go.sophos.com/e/es?s=1777052651&e=691059&elqTrackId=e279c511881c468c9c136eeb565cb711&elq=44d7b5c5994c4b07841e2240346815c2&elqaid=7675&elqat=1

19.11.2018

Achtung: Rechnungs-Trojaner vom Kollegen

Mit einem miesen Trick versuchen Kriminelle, unvorsichtige Anwender mit Online-Banking-Trojanern zu infizieren.

Derzeit sollen gehäuft betrügerische E-Mails mit gefälschten Rechnungen als Dateianhang im Umlauf sein. Davor warnt das LKA Niedersachsen und spricht von einer „massiven Zunahme“.
Die Nachrichten sind in verschiedenen Varianten unterwegs und haben Betreffzeilen wie „Lastschrift konnte nicht vorgenommen werden“ oder „Ihr angegebenes Girokonto ist nicht ausreichend gedeckt“. Damit wollen die Betrüger Empfänger unter Druck setzen und dazu bringen, den Dateianhang zu öffnen. In diesen Fällen ist das in der Regel ein Zip-Archiv, in dem Malware für Windows lauert. Von der oft korrekten Anrede in einer derartigen Nachricht sollte man sich nicht täuschen lassen.
In ihrer Warnung listen sie neben weiteren Betreffzeilen noch ein paar Absenderadressen und Mail-Texte auf, sodass man die Spam-Nachrichten besser identifizieren kann.

Emotet ist hyperaktiv

Der zur Infektion genutzte Mechanismus ist immer noch der gleiche, wie bei den vorherigen Wellen. Im Anhang findet sich eine .doc-Datei mit einem Namen wie „Rechnung-GM47874650-786.doc“, die Makros enthält. Wer sie in Word öffnet und der Aufforderung folgt, deren Ausführung zu aktivieren, startet unsichtbar im Hintergrund Powershell-Befehle, die die eigentliche Online-Banking-Malware der Emotet-Gang nachladen und installieren.

Dabei haben die Kriminellen offensichtlich Erfolg. Im Juli veröffentlichte das US-CERT eine Warnung speziell zu Emotet Malware. Die Sicherheitsfirma Rapid7 berichtet, dass bei ihnen in den vergangenen Monaten über die Hälfte aller bestätigten Malware-Infektionen auf Emotet zurückzuführen sind. Unverlangt zugesandte .doc-Dateien sollte man grundsätzlich nicht öffnen. Wenn man unsicher ist, kann man bei Kollegen kurz nachfragen. Und auf gar keinen Fall sollte man die Makro-Funktionen aktivieren, wenn die Herkunft eines Dokuments nicht hundertprozentig sicher ist.

Quelle: https://www.heise.de/security/meldung/Achtung-Rechnungs-Trojaner-vom-Kollegen-4221813.html

28.06.2018

Spam-Mail-Welle: Vorsicht vor gefälschten Mails mit Rechnungen

Derzeit sollen gehäuft betrügerische E-Mails mit gefälschten Rechnungen als Dateianhang im Umlauf sein. Davor warnt das LKA Niedersachsen und spricht von einer „massiven Zunahme“.
Die Nachrichten sind in verschiedenen Varianten unterwegs und haben Betreffzeilen wie „Lastschrift konnte nicht vorgenommen werden“ oder „Ihr angegebenes Girokonto ist nicht ausreichend gedeckt“. Damit wollen die Betrüger Empfänger unter Druck setzen und dazu bringen, den Dateianhang zu öffnen. In diesen Fällen ist das in der Regel ein Zip-Archiv, in dem Malware für Windows lauert. Von der oft korrekten Anrede in einer derartigen Nachricht sollte man sich nicht täuschen lassen.
In ihrer Warnung listen sie neben weiteren Betreffzeilen noch ein paar Absenderadressen und Mail-Texte auf, sodass man die Spam-Nachrichten besser identifizieren kann.

Noch nicht alle AV-Scanner gerüstet

Mit dem alleinigen Empfang einer derartigen Mail passiert generell erst mal nichts. Den Anhang sollte man aber unter keinen Umständen öffnen. Am sichersten ist es, die Nachricht umgehend zu löschen. Vorsicht: Dem LKA zufolge springen derzeit noch kaum Virenscanner auf den Schadcode an. Es ist immer eine Frage der Zeit, bis AV-Anbieter die Signaturen von aktueller Malware in ihre Datenbanken aufnehmen. Was der Schädling konkret macht, ist derzeit unbekannt.

Die Masche mit den gefälschten Rechnungen gibt es bereits seit ein paar Jahren. Oft bringen diese auch ein mit Makros präpariertes Word-Dokument mit. Wer es öffnet und die Makros aktiviert, fängt sich in der Regel einen Erpressungstrojaner ein.

Zu spät

Wer auf so eine Mail hereingefallen ist, sollte umgehend einen Virenscan laufen lassen. Noch sicherer ist es, sein Windows mit einem Notfallsystem wie Desinfec’t zu untersuchen. Dann kann man auch gleich die wichtigsten Dateien aus einer abgeschotteten Umgebung heraus in Sicherheit bringen. (des)

Quelle: https://m.heise.de/security/meldung/Spam-Mail-Welle-Vorsicht-vor-gefaelschten-Mails-mit-Rechnungen-4092980.html

12.01.2018

Microsoft hat ein PowerShell-Modul veröffentlicht, mit dem sich Windows-Client- und -Server-Systeme darauf abklopfen lassen, ob sie anfällig für Meltdown- oder Spectre-Angriffe sind.

Praktisch alle aktuellen Windows-Rechner sind ungepatcht anfällig für die eine oder andere Variante von Angriffen, die die kürzlich bekannt gewordenen Sicherheitslücken Meltdown und Spectre ausnutzen (siehe dazu: Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau.
Das gilt sowohl für Client- als auch für Server-Maschinen und schließt – mit unterschiedlicher Größe der Lücke – Rechner mit fast allen einigermaßen aktuellen CPUs ein. Microsoft hat bereits eilig Sicherheits-Patches ausgeliefert, aber die lassen sich im Zusammenspiel mit bestimmter Antivirensoftware nicht installieren.
Ob eine bestimmte Windows-Maschine überhaupt anfällig für Angriffe ist, ob sie schon die letzten Patches zum Thema besitzt und ob die darin vorgesehenen Abhilfen auch aktiv sind, lässt sich mit Hilfe eines von Microsoft herausgegebenen PowerShell-Moduls nachprüfen. Die dazugehörige Anleitung hat Microsoft im Knowledge-Base-Artikel KB4073119 veröffentlicht.

Prüfroutine

Das Modul installiert sich mit dem Befehl Install-Module SpeculationControl selbst, sofern der NuGet-Provider für PowerShellGet installiert und Microsofts PowerShell Gallery dort als vertrauenswürde Modulquelle eingetragen ist. Diese Voraussetzungen prüft der Befehl aber selbstständig und schlägt im Fehlerfalle vor, sich automatisch um sie zu kümmern; dafür sind Administratorrechte nötig. Damit die PowerShell überhaupt Skripte ausführt, muss der Anwender außerdem einmal den Befehl Set-ExecutionPolicy RemoteSigned ausgeführt haben.
Anschließend liest das Kommando Get-SpeculationControlSettings die gewünschten Informationen aus und präsentiert sie dem Anwender. Dabei färbt die PowerShell der Übersicht halber Ergebnisse, die noch eine Aktion erfordern, rot ein und markiert bereits erledigte oder nicht notwendige Maßnahmen grün. Eine Zusammenfassung empfiehlt schließlich, was der Benutzer noch zu tun hat und wo er weitergehende Informationen findet.

Quelle: https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Microsoft-veroeffentlicht-Pruefwerkzeug-fuer-Prozessor-Sicherheitsluecken-3936310.html

24.11.2017

31 lückenhafte Banking-Apps: Forscher entlarven App-TAN-Verfahren abermals als unsicher

Sicherheitsforscher zeigen eine nicht ganz triviale Methode auf, über die Angreifer Online-Banking-Apps manipulieren könnten. Auch in Deutschland sind Banken betroffen.

In insgesamt 31 Online-Banking-Apps steckt eine Sicherheitslücke, die es Angreifern ermöglicht, die Kontrolle über die Anwendungen zu übernehmen. Darauf weisen Sicherheitsforscher von der Friedrich-Alexander-Universität Erlangen hin. Der Süddeutschen Zeitung (SZ) demonstrierten sie „eine ganze Palette“ von Angriffen auf Smartphones.

Sie nutzten als Ausgangspunkt eine bereits bekannte, jedoch nicht näher ausgeführte Lücke in einem Smartphone. Um welches Gerät und Betriebssystem es sich dabei handelte, ist bislang unbekannt. Ebenfalls unklar ist, ob Angreifer physischen Zugriff auf das Gerät benötigen. Nähere Details zu ihrem Proof-of-Concept-Angriff wollen die Forscher Ende des Jahres beim Chaos Communication Congress (CCC) erläutern.

Während der Demonstration gelang es dem Team, die Apps mit der Identität des Smartphone-Besitzers unbefugt auf einem zweiten Gerät auszuführen und Transaktionsnummern (TANs) an beliebige Geräte zu versenden. Außerdem manipulierten sie IBAN-Nummern von Empfängerkonten einer Überweisung so, dass die Banking App dem Angriffsopfer weiterhin die ursprüngliche Empfänger-IBAN anzeigte, während das Geld in Wirklichkeit auf einem anderen Konten landete.

Angriffstechnik zielt nur auf App-TAN-Verfahren ab

In Deutschland sollen unter anderem Comdirect, die Commerzbank, die Fidor-Bank sowie die Stadtsparkassen betroffen sein. Die von den Forschern demonstrierten Angriffstechniken zielen allerdings ausschließlich auf Bankkunden ab, die App-basierte TAN-Verfahren verwenden.

Hierbei nutzt der Anwender neben einer Online-Banking-App eine TAN-App auf demselben Gerät. Letztere fordert über verschlüsselte Kommunikation mit der Bank eine TAN an, die sie anschließend anzeigt. Ein Klick befördert die TAN komfortabel in die Banking-App, wo der Anwender eine Überweisung abschließen kann.

Für die Umsetzung des App-TAN-Verfahrens in allen von den Forschern als unsicher identifizierten Apps ist das darauf spezialisierte Unternehmen Promon verantwortlich. Es hat nach eigenen Angaben rund 100 Kunden, deren insgesamt 100 Millionen Nutzer auf den Schutz ihrer App-TAN-Transaktionen vertrauen.

Aushebeln der Sicherheitsmechanismen nicht trivial

Den Forschern gelang es, die von Promon implementierten Sicherheitsmechanismen im Detail zu analysieren und sie schließlich – inklusive der kontinuierlich stattfindenden Kommunikation zwischen der jeweiligen App und Promon – vollständig abzuschalten. Dies sei allerdings gar nicht so einfach gewesen: Das Forscherteam bezeichnete die von Promon implementierten Mechanismen als „nicht so schlecht“. Demnach bräuchten selbst versierte Hacker für das Erstellen eines wirkungsvollen Angriffskonzepts schätzungsweise ein bis zwei Monate.

Promon selbst wies darauf hin, dass es bisher keinem Kriminellen gelungen sei, die Sicherheitsmechanismen zu umgehen. Das Unternehmen habe bereits begonnen, die Lücke zu schließen. Auch die Deutsche Kreditwirtschaft äußerte sich in einem Statement: Sie stehe mit der Universität Erlangen-Nürnberg in direktem Dialog, „um die Schwachstellen besser einschätzen und eine schnelle Abhilfe einleiten zu können.“ Eine Reihe von Banking-Apps werde bereits in den nächsten Tagen in abgesicherten Versionen bereitgestellt.

Nutzer tauschen Komfort gegen Sicherheit

App-basierte TAN-Verfahren sind per se für Angriffe prädestiniert, da der gesamte Online-Banking-Vorgang auf ein und demselben Gerät abläuft. Dennoch entscheiden sich immer mehr Nutzer aus Bequemlichkeit dafür. Das Erlanger Forscherteam zeigte die konzeptionelle Schwäche von App-TAN bereits vor zwei Jahren im Rahmen eines erfolgreichen Angriffs auf die App-Kombination Sparkasse und S-pushTAN auf.

Wer Wert auf Sicherheit beim Online-Banking legt, sollte somit auch künftig beim Konzept der Zweifaktor-Authentifizerung mit getrennter Hardware bleiben, wie sie etwa beim ChipTAN-Verfahren zum Einsatz kommt. (ovw)

Quelle: https://www.heise.de/security/meldung/31-lueckenhafte-Banking-Apps-Forscher-entlarven-App-TAN-Verfahren-abermals-als-unsicher-3900945.html

14.11.2017

Ordinypt: Erpressungstrojaner bedroht deutsche Firmen

Allem Anschein nach geht in Deutschland ein neuer Trojaner um, der auf Personalabteilungen zielt und Lösegeld erpresst. Der in Delphi verfasste Trojaner lässt Opfern allerdings keine Chance, ihre Daten wiederzubekommen.

Ein Erpressungstrojaner grassiert momentan in Deutschland und bedroht vor allem die Daten von Firmen. Laut einem Bericht der Sicherheitsfirma G-Data handelt es sich bei Ordinypt um einen Wiper-Trojaner, der vorgibt, wichtige Daten auf dem Rechner des Opfers zu verschlüsseln. Für die Opfer sieht also erst mal alles so aus, als sei das System von einer Ransomware befallen. Allerdings machen sich die Angreifer wohl nicht die Mühe, Daten zu verschlüsseln sondern löschen stattdessen deren Inhalt – das geforderte Lösegeld zu zahlen ist also sinnlos.
Angriff zielt erneut auf Personalabteilungen

G-Data
Der Trojaner hinterlässt diese Erpresserbotschaft Vergrößern
Bild: G-Data

Ähnlich wie damals beim Goldeneye-Angriff nutzen die Drahtzieher hinter Ordinypt (auch bekannt als HSDFSDCrypt) sehr sauber verfasste Phishing-Mails in nahezu fehlerfreiem Deutsch, die sie mit Vorliebe direkt an personalverantwortliche Personen in deutschen Firmen schicken. Interessanterweise ist der vermeintliche Erpressungstrojaner in Delphi geschrieben – was eine Programmiersprache für Malware angeht eine eher ungewöhnliche Wahl.

Anders als bei der Mischa/Petya/Goldeneye-Familie scheinen es die Kriminellen auch nicht darauf angelegt zu haben, sich mit gutem Branding einen Namen in der Szene zu machen. Der Trojaner ist eher unauffällig und legt für jedes Opfer-System eine eigene Bitcoin-Adresse an. Die Dateinamen der befallenen Dateien werden anscheinend zufällig vergeben.

G-Data geht davon aus, dass der Verfasser der Erpressernachricht des Trojaners ein deutscher Muttersprachler ist. Dass jedes Mal eine neue Bitcoin-Adresse angelegt wird, soll es wohl erschweren, die Zahlungen in der Bitcoin-Blockchain zu verfolgen. Ob und wie der Trojaner die Adressen und dazugehörige geheime Schlüssel an die Erpresser übermittelt, ist momentan unklar. Auch ist nicht bekannt ob die Urheber der Malware mit ihrem Schadcode Geld scheffeln wollen, oder ob es sich ähnlich wie im Fall NotPetya vorrangig um einen Angriff handelt, der einen möglichst großen Schaden anrichten soll.

Nach bisherigen Erkenntnissen zielt Ordinypt nur auf Windows-Rechner. Ob die Malware auf Windows-10-Rechnern erfolgreich zur Ausführung gebracht werden kann, ist momentan ungewiss. (fab)

Quelle: https://www.heise.de/security/meldung/Ordinypt-Erpressungstrojaner-bedroht-deutsche-Firmen-3887249.html

07.08.2017

Pwned Passwords: Neuer Dienst macht geknackte Passwörter auffindbar

Wurde mein Lieblings-Passwort schon einmal in einem Datenleck veröffentlicht und kann deswegen einfach für Bruteforce-Angriffe verwendet werden? Diese Frage beantwortet ein neuer Webdienst des Sicherheitsforschers Troy Hunt.

Der unabhängige Sicherheitsforscher Troy Hunt hat seinen Passwort-Prüfdienst Have I Been Pwned erweitert: Man kann dort nun nicht nur nach geknackten Mailadressen beziehungsweise Benutzernamen, sondern nun auch direkt nach geknackten Passwörtern suchen. Der Dienst beantwortet die Frage, ob ein bestimmtes Passwort, etwa correcthorsebatterystaple, in einem bekannten Datenleck enthalten war (die Antwort ist in diesem Fall ja). Dem Dienst liegt momentan ein Datensatz von 306 Millionen Passwörtern aus diversen Lecks zu Grunde.

Da Angreifer an diese Passwörter gelangen und damit leicht Wörterbuchlisten für Bruteforce-Angriffe bauen können, empfiehlt Hunt, solche bereits kompromittierten Passwörter nicht zu verwenden. Dabei beruft er sich auf Richtlinien der US-Standardisierungsbehörde NIST, die eine ähnliche Empfehlung enthalten. Diese empfiehlt Web-Admins außerdem, entsprechende Passwörter beim Anlegen von Konten gar nicht erst zu akzeptieren. Wer etwas ähnliches in seiner Web-App umsetzen will, für den hält Hunt ein API bereit, mit dem Abfragen an seinen Dienst automatisiert werden können. Neben Passwörtern können über den Dienst auch SHA1-Hashes von Passwörtern abgefragt werden.

Die Webseite sagt dem Fragenden nur, ob das entsprechende Passwort in einem Leak gefunden wurde, das Hunt vorliegen hat. Welche Nutzerkonten zu dem Passwort gehören, hält Hunt geheim um die Nutzer zu schützen, die das Passwort verwendet haben. Der Forscher gibt außerdem zu bedenken, dass die Tatsache, dass er ein Passwort nicht in seinem Datensatz hat, nicht automatisch bedeutet, dass es sicher ist. (fab)

Quelle: https://www.heise.de/security/meldung/Pwned-Passwords-Neuer-Dienst-macht-geknackte-Passwoerter-auffindbar-3792707.html

29.06.2017

Rückkehr von Petya – Kryptotrojaner legt weltweit Firmen und Behörden lahm

Gegenwärtig findet offenbar erneut eine massive Angriffswelle mit einem Verschlüsselungstrojaner statt. Betroffen sind vor allem Russland und die Ukraine, Meldungen über gehackte Rechner gibt es aber auch schon aus anderen europäischen Ländern.

In mehreren Ländern sind Behörden und Konzerne offenbar Opfer einer Welle an Infektionen mit dem Erpressungstrojaner Petya geworden. Das geht aus ersten Berichten der Nachrichtenagenturen Tass und Reuters hervor. Den Sicherheitsforschern der Group-IB zufolge sind demnach in Russland Unternehmen wie Rosneft, Bashneft und Nivea Opfer des Angriffs. In der Ukraine hat es laut Reuters die Zentralbank getroffen, an Kiews Flughafen gibt es Beeinträchtigungen. Außerdem ist das Netzwerk der Regierung offline, twitterte Vizeministerpräsident Pawlo Rosenko. Dabei veröffentlichte er auch ein Foto seines Computerbildschirms und der zeigt einen Text, den Opfer vom Erpressungstrojaner Petya kennen.

Auch wenn die Berichte noch uneinheitlich sind und teilweise von einem „unbekannten Virus“ die Rede ist, erinnert der Ausbruch an den WannaCry-Angriff der Mitte Mai Rechner in aller Welt lahmlegte und unterschiedliche Unternehmen betraf. Ersten – noch unbestätigten – Analysen zufolge handelt es sich um Infektionen mit dem Erpressungstrojaner Petya, der Dateien auf befallenen Rechnern verschlüsselt. Gegen Bezahlung eines Lösegelds sollen die Dateien wieder freigegeben werden, aber darauf ist kein Verlass. Angeblich kommt bei der Angriffswelle erneut eine Sicherheitslücke zum Einsatz, die von der Equation Group entdeckt wurde, die angeblich zur NSA gehört. Deren Arsenal war von einer Hackergruppe namens Shadow Brokers veröffentlicht worden.

[Update 27.06.2017 – 16:50 Uhr] Inzwischen hat Avira bestätigt, dass gegenwärtig eine Angriffswelle mit dem Erpressungstrojaner Petya läuft, für die die Lücke namens „Eternal Blue“ ausgenutzt wird. Diese Sicherheitslücke in Windows Dateifreigaben (SMB) kam schon bei WannaCry zum Einsatz. Die dänische Redeerei Maersk hat derweil erklärt, die IT-Systeme seien an mehreren Standorten lahmgelegt. Mehr Details gab es bislang nicht. In der Ukraine berichtete auch die Eisenbahn von Problemen, bei der Polizei gingen mehrere Anzeigen ein und das Innenministerium erklärte, der Ursache würde nachgegangen. Derweil gibt es auch aus Spanien Berichte von Infektionen.

[Update 27.06.2017 – 17:10 Uhr] Petya hatte zuerst im März 2016 für Aufsehen gesorgt: Anders als andere Kryptotrojaner verschlüsselte der nicht nur bestimmte Dateien, sondern manipulierte den Boot-Bereich der primären Festplatte. Dadurch konnte kein Betriebssystem starten. Stattdessen erscheint eine Nachricht, in der das Lösegeld verlangt wird. Im aktuellen Fall wohl 300 US-Dollar, zu zahlen in Bitcoins. Dann solle man eine E-Mail schreiben, um den Schlüssel zur Rettung der Daten erhalten zu können. Mehrere Betroffene haben das offenbar bereits getan, denn erste Zahlungen an die Bitcoin-Wallet wurden bereits beobachtet. Für den ursprünglichen Trojaner war im April 2016 ein Passwort-Generator veröffentlicht worden. Aktuell dürfte aber eine neue Variante zum Einsatz kommen.

[Update 27.06.2017 – 17:30 Uhr]</strong Dem NDR zufolge ist auch der deutsche Beiersdorf-Konzern von dem Angriff betroffen. Dem gehört unter anderem das Kosmetikunternehmen Nivea, das bereits in russischen Berichten genannt worden war. Laut NDR geht seit Dienstagmittag in der Hamburger Konzernzentrale nichts mehr. Alle Computer sowie die Telefonanlage seien ausgefallen und viele Mitarbeiter seien deswegen frühzeitig nach Hause gegangen.
Radioaktivität um Tschernobyl manuell überwacht

[Update 27.06.2017 – 18:15 Uhr] Von dem Angriff sind auch Computer des 1986 havarierten KernkraftwerksTschernobyl betroffen. „Aufgrund der temporären Abschaltung der Windows-Systeme findet die Kontrolle der Radioaktivität manuell statt“, teilte die Agentur für die Verwaltung der Sperrzonemit. Alle technischen Systeme der Station funktionieren aber normal, hieß es. Im vergangenen Herbst wurde eine neue Stahlhülle über die Atomruine zum Schutz vor radioaktiver Strahlung geschoben. Der nach dem Unglück über dem Reaktor vier eilig errichtete „Sarkophag“ aus Beton war brüchig geworden. Dennoch muss die Umwelt ständig auf den Austritt von Radioaktivität überwacht werden.

[Update 27.06.2017 – 19:40 Uhr] Während sich immer mehr Unternehmen als betroffen herausstellen, hat die Analyse des Angriffswerkzeugs begonnen. Wie das BSI bestätigte, setzt die neue Variante von Petya auf die vom WannaCry-Angriff bekannte Lücke zum Einfall in ein Netzwerk: „In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.“ Zu den Opfern gehören bereits das US-Pharmaunternehmen Merck, die Anwaltskanzlei DLA Piper, der Nahrungsmittelriese Mondel?z (u.a. Milka), der Medienkonzern WPP und der Industriekonzern Saint Gobain.

Quelle: https://www.heise.de/security/meldung/Rueckkehr-von-Petya-Kryptotrojaner-legt-weltweit-Firmen-und-Behoerden-lahm-3757047.html

04.05.2017

Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt .

Kriminelle Hacker haben Konten von deutschen Bankkunden über Sicherheitslücken im Mobilfunknetz ausgeräumt, die seit Jahren bekannt sind. Eigentlich wollten die Provider schon 2014 entsprechende Gegenmaßnahmen ergreifen.

Kriminelle haben mit Zugriff auf das Online-Banking deutscher Bankkunden deren Konten ausgeräumt. Die gelang ihnen wohl, in dem sie Mobil-TANs (mTANs), die für die Geräte der Kunden bestimmt waren, umleiteten und so die Überweisungen autorisieren konnten. Diese Umleitungen wurden offenbar durch seit Jahren bekannte Sicherheitslücken im SS7-Protokoll des UMTS-Netzes ermöglicht. Erst Ende März hatten Experten wieder vor diesen Lücken gewarnt. O2 Deutschland bestätigte gegenüber der Süddeutschen Zeitung, dass im Januar diesen Jahres entsprechenden Angriffe im eigenen Netz stattgefunden haben.

Angriffe dieser Art werden meist wie folgt vorbereitet: Die Kriminellen sammeln die Konto- und Bank-Zugangsdaten des Opfers entweder mit Trojanern auf deren Rechnern ein oder locken sie auf Phishing-Webseiten, die denen der entsprechenden Bank täuschend ähnlich sehen. Dort geben die Opfer die Daten dann ein, wenn sie versuchen, sich anzumelden. Mit diesen Informationen können sich die Kriminellen dann in das Online-Banking der Betroffenen einloggen und deren Kontostände auslesen.

mTANs über Rufnummernumleitung abgegriffen
Um allerdings Überweisungen zu tätigen, brauchen sie entsprechende Transaktionsnummern (TANs). Benutzt der Bankkunde mTANs, können die Kriminellen zum Beispiel versuchen, dessen SIM-Karte vom Mobilfunkanbieter klonen zu lassen. Dafür geben sie sich in der Regel als der Kunde aus und beantragen eine zweite SIM, die etwa an eine gehackte Packstation oder ähnliche tote Briefkästen verschickt wird. Beim aktuellen Angriff gingen die kriminellen Hacker aber anscheinend noch raffinierter vor: Sie nutzen die SS7-Sicherheitslücken, um die SMS-Nachrichten mit den mTANs umzuleiten und so selbst zu empfangen. Wahrscheinlich taten sie das nachts, damit das Opfer nichts von der Umleitung mitbekommt.

Die Durchführbarkeit dieser Angriffe auf das mTAN-Verfahren ist seit langem bekannt. Sicherheitsforscher raten deswegen immer wieder davon ab, dieses Verfahren zu verwenden. Auch andere Systeme, die eine TAN auf ein Smartphone ausliefern, haben Schwachstellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Bankkunden, TAN-Generatoren wie das sogenannte ChipTAN-Verfahren zu verwenden. Manche Sicherheitsforscher schwören sogar noch auf altmodische TAN-Listen.

Eigentlich wollten die Provider ihre Kunden seit 2014 schützen
Welche Banken von den Angriffen betroffen waren, ist bisher nicht bekannt. Warum O2 sein Netz nicht wenigstens mit von Sicherheitsforschen empfohlenen Gegenmaßnahmen wie Plausibilitäts-Checks abgesichert hat, konnten wir bisher nicht in Erfahrung bringen. Eine Entsprechende Anfrage von heise online lies O2 Deutschland bisher unbeantwortet. Schon Ende 2014 wollten eigentlich alle großen deutschen Provider, darunter auch O2 und E-Plus (mittlerweile ein Unternehmen), entsprechende Sicherheitsmaßnahmen ergriffen haben.

Quelle: https://www.heise.de/security/meldung/Deutsche-Bankkonten-ueber-UMTS-Sicherheitsluecken-ausgeraeumt-3702194.html

04.04.2017

Smart-TV, Überwachungskameras, Heizungsthermostate und Schaltsteckdosen: Alles wird smart, alles kommuniziert über das Internet, am besten mit einer App auf dem Smartphone. Dafür durchlöchern die Gadgets die Router-Firewall wie einen Schweizer Käse. Arglose Kunden können das Risiko mangels Herstellerangaben unmöglich abschätzen.

Es gibt kaum mehr ein Gerät im Haushalt, das nicht mit dem Internet vernetzt ist – entweder über Ihr WLAN oder über eine Steuereinheit. So heizt das Smart Home schon ein, wenn Sie sich auf den Heimweg machen, das Smart-TV streamt Videos direkt aus dem Internet, die Webcam sieht im Garten nach dem Rechten und der Staubsauger-Roboter hält sie in Echtzeit über den Stand der Hausarbeiten auf dem Laufenden.

Damit solche Informationen nicht nur im lokalen Netz, sondern auch unterwegs abrufbar sind, untertunneln die Geräte regelmäßig die Firewall Ihres Routers und stellen eine direkte Verbindung mit Servern des Herstellers her. Diese Server dienen wiederum der App als zentrale Anlaufstelle, um jederzeit und von überall einen eigenen Tunnel ins Heimnetz graben und damit die Bilder der Webcam abrufen oder den Heizungsthermostat einstellen zu können.

Bedrohung von innen

Doch damit gewährt man auch den Herstellern indirekt Zugriff auf das eigene Netzwerk, mit dem die IoT-Geräte ständig verbunden sind. Hinzu kommt, dass man als Kunde weder Einblick in die Firmware noch in die exakte Hardwareausstattung der IoT- und Smart-Home-Geräte hat. Wer denkt, wir würden hier unbegründet Panik verbreiten, kann ab Seite 72 nachlesen, welche IoT-Geräte ungeschützte Root-Server, undokumentierte Web-Frontends oder gar Mikrofone enthalten, von denen der Käufer nichts weiß.

Wie viele Sicherheitslücken in IoT-Geräten schlummern, mit denen Angreifer die Geräte übernehmen oder sensible Informationen ausspähen können, kann der Kunde unmöglich abschätzen. Die Politik scheint das Problem inzwischen erkannt zu haben: So will die CDU noch in der laufenden Legislaturperiode ein neues Produkthaftungsgesetz für mangelhafte Software auf den Weg bringen. Schließt ein Hersteller bekannt gewordene Sicherheitslücken nicht, soll er künftig für daraus entstehenden Schaden haften.

Ungeahnter Mehrwert: Die von Aldi im Januar verkauften WLAN-Schaltsteckdosen enthalten ein nirgends dokumentiertes, nur mit Standard-Passwort gesichertes Web-Frontend. Darüber gelangt man sogar an das WLAN-Passwort.

Doch auch damit bleiben IoT-Geräte undurchschaubare Blackboxes, die keinesfalls im gleichen Netzwerk betrieben werden dürfen, wo PCs, Smartphones, Tablets und NAS arbeiten und sensible Informationen erbeutet werden könnten. Wie Sie Ihr Netz mit modernen Access Points und Netzwerk-Switches aufteilen und die IoT- und Smart-Home-Geräte sinnvoll voneinander und von anderen Geräten isolieren, erfahren Sie ab Seite 76.

Besonders kritisch sehen wir dabei versteckte Sensoren wie etwa ein Mikrofon in einer Schaltsteckdose, über deren Existenz der Hersteller nirgends ein Wort verliert: Das untergräbt das Vertrauen der Kunden und schürt verständlicherweise Ängste. Vielleicht muss auch hier ein Gesetz her, das die Hersteller verpflichtet, sämtliche enthaltenen Sensoren auf der Verpackung aufzulisten. Nur so könnten Kunden schon vor dem Kauf erkennen, dass ein Produkt potenzielle Überwachungstechnik enthält. Auf Prospekte, Produktspezifikationen und Handbücher ist heute nachweislich kein Verlass.

Quelle: https://www.heise.de/ct/ausgabe/2017-8-Wie-Sie-schnueffelnde-Geraete-isolieren-und-Ihre-Privatsphaere-schuetzen-3667338.html

11.01.2017

Über 1000 deutsche Online-Shops infiziert und angezapft

Bei über tausend deutschen Online-Shops ziehen Kriminelle jetzt gerade Kundendaten und Zahlungsinformationen ab – und das zum Teil schon seit Monaten. Laut BSI ignorieren viele Shop-Betreiber das Problem.

Über tausend deutsche Online-Shops wurden laut BSI-Informationen so manipuliert, dass Kundendaten und Zahlungsinformationen beim Bestellvorgang an Online-Kriminelle weitergeleitet werden. Betroffen sind Shop-Betreiber, welche die Online-Shop-Software-Magento in veralteten und akut angreifbaren Versionen einsetzen: Darin klaffen kritische Sicherheitslücken, durch die Angreifer beliebigen Code in die Shops einschleusen können.

Und das tun sie auch: Laut Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben Angreifer in über 1000 deutsche Webshops so JavaScript-Code mit Skimming-Funktion eingebunden. Während des Bestellvorgangs leitet der Code die eingegebenen Kundendaten einschließlich Zahlungsinformationen an die Täter weiter.

Shop-Betreiber wurden im Oktober informiert

Bereits im Oktober wurden die Ausmaße des Problems bekannt, nachdem der niederländische Sicherheitsexperte Willem de Groot hunderttausende Magento-Shops auf die Infektion hin untersucht und seine Ergebnisse veröffentlicht hatte. Er stieß weltweit auf fast 6000 infizierte Shops, darunter über 500 aus Deutschland. Das CERT-Bund des BSI bat daraufhin die zuständigen Provider darum, die betroffenen Kunden über das akute Problem zu informieren.

Leider fruchtete diese Maßnahme offensichtlich nicht: Die Zahl der betroffenen deutschen Shops hat seitdem stark zugenommen. Darunter befinden sich viele, die das CERT-Bund im Oktober kontaktiert hatte. „Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen“, erklärt das BSI in seiner Pressemitteilung.

Ob der eigene Shop betroffen ist, kann man über den Security-Check MageReport.com herausfinden. Das Tool klopft den Shop auf bekannte Sicherheitslücken ab, checkt, ob wichtige Security-Patches installiert sind und kann sogar den Skimming-Code der Online-Gavonen entdecken. MageReport empfiehlt betroffenen Shop-Betreibern die Notfall-Anleitung How to fix malicious JavaScript Credit card Hijack? des Magento-Hosters Hypernode.

Betreiber sind zur Absicherung verpflichtet

Grundsätzliche sollte jeder Betreiber eines Magento-Shop regelmäßig sicherstellen, dass die Installation auf dem aktuellen Patch-Stand ist. Online-Shops sind ein attraktives Ziel für Kriminelle, wie auch der aktuelle Fall zeigt. Das BSI weist darauf hin, dass Betreiber von Online-Shops nach § 13 Absatz 7 des Telemediengesetzes verpflichtet sind, „ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.“ Dies betreffe nicht nur Unternehmen, sondern auch Privatpersonen oder Vereine, „wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.“

Der oben beschriebe JavaScript-Skimmer ist bei weitem nicht der einzige Schädling, den Betreiber veralteter Magento-Installation fürchten müssen: Auch die Magento-Malware Visbot ist sehr verbreitet. Im Gegensatz zu dem JavaScript wird er direkt auf dem Server ausgeführt und ist schwieriger zu entdecken. (rei)

Quelle: https://m.heise.de/newsticker/meldung/Ueber-1000-deutsche-Online-Shops-infiziert-und-angezapft-3592281.html

22.12.2016

Hackerangriff auf Thyssenkrupp – Warum Unternehmen eine eigene Cyberabwehr brauchen

Der Spionageangriff auf Thyssenkrupp zeigt: Neben Werkschutz und Werksfeuerwehr brauchen Unternehmen auch eine Cyberwehr in einem eigenen Notfallzentrum. Nur so lassen Hackerbanden aufspüren und in die Flucht schlagen.

Es ist gerade mal ein paar Tage her, dass der Industriekonzern Thyssenkrupp den schlimmsten Spionageangriff in seiner 205-jährigen Geschichte abgewehrt hat. Doch Zeit zum Durchatmen bleibt in der Essener Konzernzentrale nicht. Den IT-Verantwortlichen im Unternehmen ist längst klar: Das war nur die erste Schlacht. Die jetzt vertriebenen Hacker werden nicht so schnell aufgeben und den nächsten Angriff vorbereiten.

Per Stellenanzeige sucht der Konzern gerade Verstärkung und hat die Stelle eines „IT Security Incident Handlers“ ausgeschrieben. Das sind die Spezialisten, die bei einem Cyberangriff an vorderster Front im Notfallzentrum kämpfen. Dieses Notfallzentrum, offiziell auch Computer Emergency Response Team (CERT) genannt, will Thyssenkrupp weiter ausbauen. Die Aufgabe des künftigen Mitarbeiters: Er soll „neue Angriffe analysieren“, um „die Auswirkungen aus den Konzern besser einzuschätzen und pro-aktive Maßnahmen empfehlen zu können“ – wie es im Anzeigentext heißt.

Dabei ist es nicht so, dass sich die Unternehmen nicht schützen würden. Gerade in Branchen, in denen Know-how mehr wert als Geld ist – Pharma, Auto, Maschinenbau, Rüstung – gehören häufige Passwort-Wechsel, abgetrennte Sicherheitsbereiche und die Ausschau nach verdächtigen Bewegungen im Firmennetz zum Standard. Dass die „Abwehrschlacht“ bei Thyssenkrupp sechs Monate dauerte und es nicht gelang, dem Abfluss zumindest „einiger Datensätze“ zu verhindern, beweist, wie komplex die Aufgabe ist.

Thyssenkrupp gehört zu den wenigen Unternehmen in Deutschland, die selber solch ein Notfallzentrum betreiben. Dabei müsste solche eine Cyberwehr bei allen größeren Unternehmen so selbstverständlich sein wie der Werkschutz und die Werksfeuerwehr. Denn solch ein Notfallzentrum schlägt nicht nur Eindringlinge zurück. Viel wichtiger für die dort beschäftigten Spezialisten ist, Angriffe überhaupt erst mal zu entdecken – und zwar rechtzeitig, bevor ein größerer Schaden entsteht.

Denn die professionellen Spione tarnen sich inzwischen so gut, dass sich unter dem Radar in den Firmennetzen bewegen und wertvolles Firmen-Know-how absaugen. Herkömmliche Firewalls und Virenschutzprograme schlagen noch nicht einmal Alarm. Das zeigt der jüngste Bedrohungsbericht des kalifornischen IT-Sicherheitsanbieters Fireeye. Danach kommen Unternehmen Datendieben erst nach durchschnittlich 146 Tagen auf die Spur. Ein Angreifer bleibt also 20 Wochen unentdeckt.

Thyssenkrupp hat zwar nur 45 Tage gebraucht. Doch auch damit sind die Verantwortlichen nicht zufrieden. Ihr Ziel: Das Versteckspiel auf wenige Stunden verkürzen. Das soll einer der Aufgaben von Cyberdetektiven sein wie dem jetzt von Thyssenkrupp gesuchten Spezialisten.

Sie durchleuchten unablässig mit intelligenten Analyseverfahren den riesigen Datenstrom, der tagtäglich bei Managern und Mitarbeitern ein- und ausgeht. Zudem suchen sie nach Hinweisen, die auf einen Cyberangriff schließen lassen, und spüren Schad- und Spionageprogramme im Idealfall schon beim ersten Versuch auf, bevor sie ins Unternehmensnetzwerk eindringen.

Der Einsatz solcher Früherkennungs- und Frühwarnsysteme gilt als großer Zukunftsmarkt. Fast alle IT- und Telekommunikationskonzerne buhlen inzwischen um die Gunst der Sicherheitsverantwortlichen in den Unternehmen und bieten an, den Betrieb solch eines Notfallzentrums auszulagern.

Marktforscher wie Gartner prophezeien ein Milliardengeschäft mit zweistelligen Zuwachsraten. Da gilt es, sich frühzeitig zu positionieren. Ob IT-Riesen wie IBM, Hewlett-Packard und Atos oder Telekommunikationskonzerne wie AT&T, Verizon, Orange (ehemals: France Télécom), die britische BT oder die japanische NTT – allesamt bauen eigene Cyberabwehreinheiten auf und bieten den IT-Verantwortlichen die konzernweite Überwachung des gesamten Datenverkehrs an.

So schön die Werbeversprechen der Anbieter sind: Unternehmen sollten sich nicht auf externe Anbieter verlassen und sich auch nicht vom Bau eines eigenen Notfallzentrums abbringen lassen. Denn bei einem externen Anbieter ist jedes Unternehmen nur einer von vielen Kunden, heißt es bei Thyssenkrupp.

So genau und engagiert wie die eigenen Spezialisten schauen die dann doch nicht in den Datenstrom. „Ein externer Anbieter hätte den Angreifer wahrscheinlich gar nicht erst gesehen“, sagt Alpha Barry, Chef der Task-Force „White Amflora“, die bei Thyssenkrupp den Angriff abwehrte.

Quelle: http://app.wiwo.de/unternehmen/it/hackerangriff-auf-thyssenkrupp-warum-unternehmen-eine-eigene-cyberabwehr-brauchen/14968364.html?mwl=ok_xing_share%3Dnews

07.12.2016

Aufgepasst: Neuer Verschlüsselungstrojaner Goldeneye verbreitet sich rasant

Ein bisher unbekannter Verschlüsselungstrojaner tarnt sich als Bewerbungs-E-Mail und versucht, Systeme in ganz Deutschland zu verschlüsseln. Momentan wird er von vielen Virenscannern noch nicht erkannt.

Ein neuer Verschlüsselungstrojaner treibt seit heute morgen in Deutschland sein Unwesen. Die Ransomware Goldeneye (anscheinend eine Anspielung auf die EMP-Waffe aus Pierce Brosnans erstem James-Bond-Film) wird per E-Mail verbreitet, an der eine XLS-Datei hängt. Die Mails sind als Bewerbung getarnt und in fehlerfreiem Deutsch formuliert, was die Erkennung als potenzielle Gefahr erschwert.

Öffnet der Nutzer die angehängte Excel-Datei, wird er im Dokument darum gebeten, die „Bearbeitungsfunktion“ des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Tut man dies und erlaubt dem Programm so, Makros auszuführen, ist es zu spät. Der Trojaner erzeugt dann zwei EXE-Dateien, führt sie aus und verschlüsselt Daten auf dem System, um anschließend Lösegeld zu fordern.

Ähnlichkeiten zum Petya-Trojaner

Mehrere Leser von heise Security haben uns auf den Goldeneye-Trojaner hingewiesen. Der Schadcode scheint, ähnlich wie Petya und seine Ableger, den Rechner zu einem Neustart zu zwingen und dann unter Vorwand eines gefakten Chkdsk-Bildschirms die Daten zu verschlüsseln. Verschlüsselte Dateien hatten bei mindestens einem betroffenen Nutzer die Endung „uDz2j8mv“. Es ist allerdings denkbar, dass diese Endung variiert. Das Virentestlabor AV-Test, welches uns Samples des Trojaners zur Verfügung gestellt hat, beobachtet rapide Veränderungen an der XLS-Datei, welche die Infektion auslöst. Das soll höchstwahrscheinlich Virenjäger auf die falsche Fährte locken.

Auf der Festplatte hinterlegt der Trojaner eine Textdatei die ankündigt, Daten seien von der „GOLDENEYE RANSOMWARE“ verschlüsselt. Diese Warnung wird auch auf Netzlaufwerken abgelegt. Bisher gibt es allerdings keine Anzeichen, dass auch hier Daten verschlüsselt werden.

Momentan werden die bösartigen EXE-Dateien nach Erkenntnissen von AV-Test von nur sehr wenigen Virenscannern entdeckt. Ergebnisse beim Online-AV-Aggregator VirusTotal bestätigen dies. Bei den Excel-Dateien sieht es mit den Entdeckungsraten schon besser aus, weswegen die Drahtzieher des Trojaners diese wohl ständig ändern.

Update – 06.12.2016, 14:36 Uhr.

Der Schadcode läuft ersten Erkenntnissen nach nicht auf allen Betriebssystemen. Während der Trojaner unter Windows 7, Windows 10 und Server 2008 anscheinend problemlos Daten verschlüsselt, scheint dies auf Windows Server 2012 nicht zu funktionieren.

Update – 06.12.2016, 15:25 Uhr

Angaben zu den Betriebssystemen, auf denen der Trojaner verschlüsselt, mit neuen Informationen ergänzt.

Update – 06.12.2016, 18:02 Uhr

Einige Leser berichten davon, dass Daten auf eingebundenen Netzlaufwerken verschlüsselt wurden, bei anderen Opfern wurden die Netzlaufwerke offenbar nicht angetastet.

Quelle: http://m.heise.de/security/meldung/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant-3561396.html?wt_ref=http%3A%2F%2Fm.facebook.com&wt_t=1481045996486

01.12.2016

Nach Großstörung bei der Telekom: heise Security bietet TR069-Test

Mit dem heise Security Netzwerkcheck kann man schnell und einfach testen, ob der eigene Router aus dem Internet angreifbar ist.

Mit einem weltweiten Angriff auf Router haben Unbekannte am Wochenende hunderttausende von Internet-Verbindungen von Telekom-Kunden gekappt. Dabei war das nur ein Nebeneffekt der schlecht programmierten Angriffssoftware. Der eigentliche Plan war, die Router zu kapern. Mit dem Netzwerkcheck von heise Security können Sie jetzt testen, ob auch Ihr Router aus dem Internet angreifbar wäre.

Die Angriffe richten sich auf den Fernwartungs-Port 7547 für TR-069. Durch einen dummen Fehler in der Implementierung des Protokolls kann man manche Router offenbar durch eine geschickt gestrickte Anweisung, einen neuen Zeitserver zu verwenden (NTP) dazu bewegen, eine Datei aus dem Internet herunterzuladen und auszuführen.

Router selbst auf TR-069 testen

Mit dem Netzwerkcheck von heise Security kann man ganz einfach testen, ob der eigene Router auf TR-069-Anfragen aus dem Internet antwortet.

Dieser Test überprüft, ob bei Ihrem Router auf dem zugehörigen Netzwerk-Port ein Dienst antwortet. Erscheint in der Zeile zu Port 7547 ein grünes gefiltert oder geschlossen besteht akut keine Gefahr. Dann ist entweder auf dem Router selbst kein TR-069 erreichbar oder Ihr Provider filtert die Zugriffe. Darüber hinaus kann es aber auch sein, dass Ihr System bereits infiziert ist. Wenn die Angriffs-Software nämlich funktioniert, sperrt sie ebenfalls Zugriffe auf den TR-069-Port, um eine erneute Infektion zu verhindern. Wir haben derzeit keine Möglichkeit, diesen Sachverhalt zu entdecken. Wenn der Port für TR-069 aus dem Internet erreichbar ist, haben Sie unter Umständen ein Problem.
Wenn der Port für TR-069 aus dem Internet erreichbar ist, haben Sie unter Umständen ein Problem.

Zeigt der Test jedoch ein rotes offen an, dann konnte unser Test TR-069 auf Ihrem System erreichen. Das heißt noch nicht, dass Ihr Router die gerade ausgenutzte Lücke auch tatsächlich aufweist. Denn der Test führt keinen Angriff durch. (Das machen derzeit offenbar tausende von bereits infizierten Routern. Bei unseren eigenen Tests des Netzwerkchecks simulierten wir mit „netcat -l -p 7547“ einen offenen TR-069-Port. Der wurde schneller von fremden System angegriffen, als wir selbst unsere Tests starten konnten).

Die Angriffe aus dem Internet kamen schneller als wir unsere eigenen Tests starten konnten.

Die Angriffe aus dem Internet kamen schneller als wir unsere eigenen Tests starten konnten. Vergrößern Es kann also durchaus sein, dass Ihr Router zwar TR-069 spricht, aber für den NTPServer-Trick nicht anfällig ist. Aber vielleicht weist er eine andere TR-069-Schwachstelle auf. Es ist in solchen Fällen eine gute Idee, in der Router-Konfiguration TR-069 abzuschalten. Geht das nicht, etwa weil der Router von Provider gestellt und gewartet wird, sollten Sie diesen auf das mögliche Problem hinweisen.

Betroffen sind unter anderem viele Speedport-Modelle der Telekom; aber auch andere Router weisen dieses Problem auf. Bereits 2014 wurde bekannt, dass Millionen DSL-Router durch TR-069-Fernwartung kompromittierbar sind. Es ist also keine gute Idee, wenn das komplette Internet auf diesen TR-069-Port des Routers zugreifen kann. Mittlerweile erklärt zumindest die Telekom, dass sie in Ihrem Netz alle Zugriffe auf TR-069 blockieren will. (ju)

Quelle: https://www.heise.de/newsticker/meldung/Nach-Grossstoerung-bei-der-Telekom-heise-Security-bietet-TR069-Test-3507134.html

18.11.2016

Forensik-Tool-Hersteller: Apple speichert iPhone-Anrufprotokolle in iCloud – für viele Monate

Apple synchronisiert die Anrufhistorie von iCloud-Nutzern automatisch ohne darauf explizit hinzuweisen. Die Software des Herstellers soll Strafverfolgungsbehörden ermöglichen, dies auszulesen – „nahezu in Echtzeit“.

Zu den von iCloud synchronisierten Daten zählt seit iOS 9 auch die iPhone-Anrufliste des Nutzers. Das Anrufprotokoll wird automatisch – und ohne expliziten Hinweis – auf Apples Server übertragen, eine einfache Möglichkeit zur Deaktivierung der Funktion gibt es nicht. Der einzige Weg, dies zu unterbinden, liege in der Deaktivierung von iCloud Drive, erklärt der Forensik-Software-Hersteller Elcomsoft. Damit werden aber auch andere iCloud-Funktionen beeinträchtigt, unter anderem der Abgleich von Dokumenten.

Apple speichert die Anrufliste in vollem Umfang in iCloud, schreibt Elcomsoft. Sie enthält also neben Datum und Uhrzeit auch Nummer und den im Adressbuch hinterlegten Namen des Kontakts, die Dauer des Anrufs sowie Statusinformationen – ob ein Anruf beispielsweise verpasst wurde. Durch die Systemintegration von VoIP-Apps in iOS 10 gelangen zusätzliche Daten in die Liste, etwa verpasste WhatsApp- oder Skype-Anrufe. Neben Mobilfunktelefonaten werden dort ansonsten auch die über Apples Kommunikationsdienst FaceTime geführten Gespräche verzeichnet und synchronisiert.

Stellungnahme von Apple
In einer Stellungnahme gegenüber US-Medien erklärte Apple, man stelle die Synchronisation der Anrufdaten als Komfortfunktion bereit, damit Nutzer verpasste Anrufe von jedem ihrer Geräte beantworten können. Das Unternehmen sei sehr darauf bedacht, Nutzerdaten zu schützen. Apple empfiehlt die Verwendung eines starken Passwortes sowie die Aktivierung der Zwei-Faktor-Authentifizierung.

Der Forensik-Software-Hersteller Elcomsoft hat das hauseigene Tool “Phone Breaker” angepasst, um die von Apple in iCloud gespeicherte iPhone-Anrufliste auszulesen. Die Anrufhistorie ist auch Teil des automatisch aktiven iCloud-Backups, das sich aber jederzeit leicht abschalten lässt. Im Unterschied zu dem möglicherweise älteren Stand des Backups können Strafverfolger durch die eigenständige iCloud-Anrufliste „nahezu in Echtzeit“ Zugriff auf das Telefonierverhalten einer Zielperson erhalten – vorausgesetzt wird die Kenntnis von Apple ID und Passwort oder ein vom Computer des Überwachten entwendeter Authentifizierungs-Token.

Über den Download des synchronisierten Anrufprotokolls werde der Nutzer zudem nicht von Apple informiert, betont der Forensik-Software-Hersteller – im Unterschied zum Bezug eines Backups auf einem neuen Gerät, auf das der iPhone-Hersteller per E-Mail hinweist. Elcomsoft war nach eigener Angabe außerdem in der Lage, Daten aus der iCloud-Anrufliste zu extrahieren, die älter als vier Monate sind.

Zugriff für Strafverfolger?

Ob Apple Strafverfolgungsbehörden direkten Zugriff auf die iCloud-Anrufliste einräumt, bleibt unklar. Auf richterlichen Beschluss behält sich das Unternehmen vor, eine Reihe von iCloud-Daten herauszurücken: Darunter fallen etwa vollständige iCloud-Backups, die neben der Anrufhistorie auch iMessage-Konversationen umfassen. Auch Metadaten zu dem Ende-zu-Ende-verschlüsselten iMessage-Dienst (und FaceTime) gibt Apple heraus, diese sollen aber nur für 30 Tage vorgehalten werden – und zeigen nicht, ob eine Kommunikation tatsächlich stattgefunden hat. Ein Großteil der anderen iCloud-Dienste ist derzeit nicht Ende-zu-Ende-verschlüsselt. Die Nutzerdaten liegen zwar verschlüsselt auf Apples Servern, der Konzern besitzt aber den Schlüssel.

Andere Plattformen, gleiches Problem

Die Synchronisation der Anrufliste sei keine Eigenheit von Apple respektive iOS, merkt Elcomsoft an. Auch Android-Geräte übertragen die Anrufe seit Version 6.0 auf Googles Server, wenn der Nutzer für die Google Play Services angemeldet ist. Windows 10 gleiche die Anrufprotokolle ebenfalls zwischen allen Geräten ab, auf denen der Nutzer mit seinem Account angemeldet ist. (lbe)

Quelle: http://m.heise.de/security/meldung/Forensik-Tool-Hersteller-Apple-speichert-iPhone-Anrufprotokolle-in-iCloud-fuer-viele-Monate-3490866.html?wt_ref=http%3A%2F%2Fm.facebook.com&wt_t=1479444370465

28.10.2016

Microsoft warnt vor Support-Scammern: Jeder zweite Deutsche betroffen

Drei Prozent der Angerufenen erlitten durch die Betrugsmasche finanziellen Schaden. Unter denen, die auf die Anrufe eingehen, befinden sich überraschend viele junge Menschen aus der Millennial-Generation im Alter zwischen 18 und 34 Jahren.

Es sind weit mehr Menschen von Support-Telefonbetrug betroffen als allgemein hin angenommen und viele der Opfer sind jünger als erwartet – lautet der Tenor einer von Microsoft veröffentlichten Studie zu bösartigen Support-Anrufen. Die Firma warnt davor, dass in Deutschland die Hälfte aller von ihr befragten Nutzer bereits mindestens einmal mit Betrügern zu tun hatten, die sich als Microsoft-Mitarbeiter ausgegeben haben.

Die Hälfte aller Opfer, die sich auf Grund der Anrufe zu weiteren Aktionen verleiten ließen, sind im Alter zwischen 18 und 34 Jahren. Dabei rechnet Microsoft allerdings nicht nur Anrufe, sondern auch Online-Werbung und Spam-Mails, die im Namen der Firma Lösungen für nicht existierende Computerprobleme vorgaukelt.

Ein c’t-Leser schildert den Betrugsanruf im Detail

Betrügerische Anrufe von angeblichen Microsoft-Mitarbeitern sind keine neue Erscheinung; heise Security erhält entsprechende Leserhinweise seit Jahren. In jüngster Zeit scheinen sich die Kriminellen allerdings zunehmend zu professionalisieren. Obwohl der Polizei auch Erfolge gegen betrügerische Callcenter gelingen, scheint die Anzahl der Anrufe nicht nachzulassen – ganz im Gegenteil. In c’t-Augabe 23/16, die ab nächsten Samstag am Kiosk erhältlich ist, beschreibt Hajo Schulz den Fall eines Lesers, der auf einen solchen Anruf eingegangen ist, im Detail.

Wichtigste Erkenntnis: Am besten sofort auflegen. Wer sich von den Anrufern in ein Gespräch verstricken lässt, kann nicht gewinnen. Die Anrufer sind gut geschult und schaffen es offensichtlich auch, intelligente und informierte Menschen durch Redekunst dazu zu bringen, ihnen einen Zugang auf den eigenen Rechner zu verschaffen. Ist das erst einmal passiert, ist es zu spät. Die beste Verteidigung gegen die Kriminellen ist also, sie zu ignorieren und alle Verwandten und Kollegen über diese Art der Angriffe zu informieren.
Microsoft ruft nie an und es gibt keine „Microsoft-Lotterie“

Microsoft betont im Rahmen der eigenen Studie noch einmal, dass die Firma Privatanwender unter keinen Umständen unaufgefordert anruft. Offizielle Support-Anfragen beantworte sie fast ausschließlich per E-Mail. Auch eine „Microsoft-Lotterie“ existiert nicht, erklärt die Firma.

Laut der Umfrage entsteht global gesehen jedem Zehnten, der von den Scammern angerufen wird, ein finanzieller Schaden. In Deutschland liegt die Quote mit drei Prozent deutlich darunter, ist aber immer noch hoch genug, um den Betrug äußerst lukrativ zu machen. Die Betrüger verlangen dabei nicht nur Bezahlung für den angeblich geleisteten Support, sondern versuchen auch, die Anmeldedaten für Online-Zahlungsmethoden abzugreifen.

Es stellt sich allerdings die Frage, wie repräsentativ die von Microsoft durchgeführte Umfrage ist. Nach Angaben der Firma wurden ungefähr tausend Nutzer in je zwölf Ländern befragt, die Firma machte aber auch auf Nachfrage von c’t keine Angaben dazu, wie die Befragten ausgewählt wurden. (fab)

Quelle: https://www.heise.de/security/meldung/Microsoft-warnt-vor-Support-Scammern-Jeder-zweite-Deutsche-betroffen-3358820.html

10.10.2016

KNOXout: Sicherheits-Mechanismus macht Samsung Galaxy-Geräte unsicher

Eigentlich soll die Knox-Plattform Samsung-Smartphones sicherer und so für den Einsatz in Unternehmen tauglich machen. Doch mehrere Sicherheits-Lücken untergraben das Konzept.

Sicherheitsforscher der Viral Security Group sind auf drei Schwachstellen in der Sicherheits-Plattform Knox von Samsung gestoßen. Nutzt ein Angreifer die Lücken aus, kann er ganze Geräte kapern. In einem Whitepaper führen sie das Angriffsszenario weiter aus.

Knox kommt zum Beispiel auf Geräten der Galaxy-Serie zum Einsatz und legt etwa isolierte Bereiche auf Geräten an, die komplett vom System abgeschottet sind. In diesem verschlüsselten Bereich kann man etwa wichtige Geschäftsdaten ablegen.

Der Auflistung von Samsungs monatlichen Sicherheits-Updates zufolge, hat der Konzern die von den Sicherheitsforschern KNOXout getaufte Lücke mit der Kennung CVE-2016-6584 noch nicht gestopft.

Weitere Lücke als Voraussetzung

Damit ein Übergriff aber überhaupt funktioniert, müssen Angreifer die schon länger bekannte Schwachstelle mit der Kennung CVE-2015-1805 ausnutzen. Samsung hat diese Lücke im Mai dieses Jahres geschlossen. Galaxy-Besitzer sollten sicherstellen, dass sie dieses Sicherheits-Update installiert haben.

Auf den Testgeräten der Sicherheitsforscher Galaxy S6 und Note 5 war das offensichtlich nicht der Fall: Sie konnten sich höhere Rechte erschleichen und die Real-time Kernel Protection (RPK) von Knox umgehen. Anschließend kamen die von ihnen entdeckten Schwachstellen ins Spiel und eigenen Angaben zufolge konnten die Sicherheitsforscher eigenen Code ausführen und unter anderem RPK deaktivieren. Angreifer könnten so etwa von Opfern unbemerkt legitime Apps gegen Apps mit Schad-Code austauschen. Ihr Proof of Concept ist auf Github verfügbar.

Bereits in der Vergangenheit sorgte Knox aufgrund von Sicherheitslücken für Schlagzeilen. (des)

Quelle:

12.09.2016

Eine Linux-Malware greift aktuell IoT-Geräte wie IP-Kameras mit veralteter Firmware an. Das Besondere an diesem Schädling: Nach der Infektion verwischt er seine Spuren und bleibt nur im Arbeitsspeicher der Geräte präsent. Das erschwert die Analyse.

Auf dem Telnet-Honeypot der tschechischen Domainregistratur gab es ab Juni einen sprungartigen Anstieg der Aktivität. Laut deren Blog ein Anzeichen für ein Botnetz, das nach ungesicherten Telnet-Zugängen sucht, um sich zu verbreiten. Die Angriffe kommen von infizierten IoT-Geräten wie IP-Kameras, die häufig eine veraltete, auf Linux basierende Firmware benutzen, die offene Sicherheitslücken hat. Als die Tschechen eine infizierte Kamera kauften, fanden sie aber keinen Virus.

Securityaffairs.co berichtet nun, dass die Experten von MalwareMustDie eine Malware gefunden haben, die sich auf IoT-Geräten einnistet, dort aber sämtliche Spuren verwischt. Die Malware verbleibt demnach ausschließlich im Arbeitsspeicher, wo sie schwer zu entdecken ist. Ein Reboot entfernt eine solche Malware. Da IoT-Geräte aber selten neu gestartet werden, setzt sie sich trotzdem lang fest.

Die Experten raten dazu, Telnet auf IoT-Geräten grundsätzlich zu deaktivieren und die Geräte hinter einer Firewall zu betreiben. Insbesondere Port 48101 sollte vom Internet nicht erreichbar sein. (jme)

Quelle: http://m.heise.de/security/meldung/Sicherheitsexperten-finden-IoT-Botnet-3317830.html

29.08.2016

Sicherheitslücke entdeckt Beispiellose Spionage auf iPhones

Desaster für Apple: Experten haben eine neue Spionagesoftware entdeckt, die gleich drei iOS-Sicherheitslücken nutzt. Apple schloss die Lücken zwar sofort, doch der Imageschaden ist gewaltig – zumal auch Menschenrechtler Ziel der Spionage waren.

Eine neu entdeckte Spionagesoftware hat sich einen beispiellosen Zugriff auf iPhones und andere Apple-Geräte verschafft. Laut Angaben der IT-Sicherheitsfirma Lookout las das Programm dank dreier bisher unbekannter Software-Schwachstellen unter anderem Nachrichten und E-Mails mit, verfolgte Anrufe, griff Passwörter ab, machte Tonaufnahmen und verfolgte den Aufenthaltsort des Nutzers. Dies sei „die ausgeklügeltste Attacke, die wir je auf einem Endgerät gesehen haben“, resümierte Lookout. Mit der App der Sicherheitsfirma lässt sich „Pegasus“ auf Endgeräten entdecken.

Apple schloss die Sicherheitslücken im iPhone-System iOS gestern nur zehn Tage nach dem ersten Verdacht. Dafür gibt es ein Update auf die iOS-Version 9.3.5. Ein Lücke befand sich im Safari-Browser, zwei im Betriebssystem iOS selbst. Gefährdet sind alle iOS-Versionen ab Nummer 7.

Es ist beispiellos, dass eine Überwachungssoftware mit solchen Fähigkeiten, die meist nur Geheimdiensten zugeschrieben werden, entdeckt und analysiert werden konnte. Den Experten zufolge steckt hinter dem Programm das israelische Unternehmen NSO Group.

Menschenrechtler schöpft Verdacht

Aufgeflogen sei das Schadprogramm, als ein bekannter Menschenrechtler aus den Vereinigten Arabischen Emiraten Verdacht bei einer Nachricht mit einem Link zu angeblichen Informationen über Folter von Häftlingen in dem Land geschöpft habe, hieß es. Statt den Link anzuklicken, habe Ahmed Mansur die Sicherheitsforscher eingeschaltet. Sie gaben dem entdeckten Überwachungsprogramm den Namen „Pegasus“.

Das kanadische Institut Citizen Lab an der Universität Toronto fand auch Hinweise darauf, dass ein mexikanischer Journalist und bisher nicht näher bekannte Personen in Kenia mit „Pegasus“ ausgespäht worden seien. Insgesamt blieb jedoch zunächst unklar, wie breit und wie lange sie eingesetzt worden sein könnte.

Ein Sprecher der als Urheber vermuteten Firma NSO Group erklärte der „New York Times“, grundsätzlich verkaufe man nur an Regierungsbehörden und halte sich an Ausfuhrbestimmungen. Er machte keine Angaben dazu, ob seine Firma „Pegasus“ entwickelte.

Desaster für Apple

Für den Apple-Konzern ist das Spionageprogramm ein großes Problem: Die Sicherheit der Geräte ist ein wichtiger Pfeiler des Apple-Marketings, und der Konzern investiert viel in Verschlüsselung und andere Sicherheitsmechanismen. Er betonte, man empfehle den Nutzern immer, die neueste iOS-Version zu nutzen.

Apple, das sich lange dagegen gesträubt haben soll, eine Belohnung für gefundene Schwachstellen zu zahlen, bietet seit einigen Wochen bis zu 50.000 Dollar für die Aufdeckung von Lücken im Betriebssystem an.

„Zero Day“-Sicherheitslücken, die dem Anbieter einer Software nicht bekannt sind, werden von Geheimdiensten und kriminellen Hackern genutzt. Auch der Computer-Wurm „Stuxnet“, der das iranische Atomprogramm sabotierte, griff mehrere solcher Lücken an. „Zero Day“-Schwachstellen in iPhones werden teuer gehandelt und können auch eine Million Dollar kosten. Dass „Pegasus“ gleich drei von ihnen nutzte, ist deshalb relativ ungewöhnlich.

Quelle: http://www.tagesschau.de/wirtschaft/apple-spionageprogramm-101.html

18.07.2016

+++ Nicht abgesichert: Steuerungen deutscher Wasserwerke über das Internet manipulierbar +++

Zwei Sicherheitsforscher hatten Zugriff auf die Steuerungs-Systeme verschiedener Wasserwerke aus Deutschland. Dabei hätten sie die Anlagen sabotieren können. Einzelfälle seien das nicht.

Die beiden Sicherheitsforscher Tim Philipp Schäfers und Sebastian Neef von Internetwache.org konnten über das Internet auf verschiedene Industrie-Steuer-Anlagen zugreifen. Darunter etwa Blockheizkraftwerke und drei deutsche Wasserwerke, berichtet Spiegel Online.

Eigenen Angaben zufolge gelang der Zugriff mit überschaubaren Aufwand. Ein Übergriff soll über einen Webbrowser von Computern und Smartphones aus gelingen. Im schlimmsten Fall hätten sie auf diesem Weg Daten auslesen oder dank Admin-Rechten sogar ganze Anlagen lahmlegen können. In einem Wasserwerk hierzulande hatten sie die Kontrolle über eine Pumpen-Steuerung und hätten so ganzen Landstrichen das Wasser abdrehen können.

Nicht optimal oder gar nicht abgesichert

Für den vergleichsweise einfachen Zugriff auf die Steuer-Anlagen kritischer Infrastrukturen machen Neef und Schäfers unzureichende Sicherheits-Konfigurationen verantwortlich; in einigen Fällen seien Anlagen komplett ungeschützt gewesen. In einem Artikel auf der IT-Nachrichtenseite Golem.de beschreiben die Sicherheitsforscher ihre Erfahrungen.

Um Angriffspunkte ausfindig zu machen, haben die beiden Sicherheitsforscher mithilfe einer eigens entwickelten Software mehr als vier Milliarden Internet-Adressen gescannt, erläutert Spiegel Online. Dabei stießen sie auf 80 ungeschützte Steuer-Anlagen vom gleichen Software-Hersteller.

Mittlerweile seien die Anlagen nicht mehr über das Internet erreichbar. Der Hersteller der Software sei sich Spiegel Online zufolge bewusst, dass es Risiken gebe. Für die sichere Konfiguration der Systeme sei jedoch der Kunde verantwortlich.

Industrie-Anlagen im Fokus von Hackern

Regelmäßig warnen Sicherheitsforscher vor den Gefahren, wenn Hacker Steuerungs-Systeme kritischer Infrastrukturen infiltrieren. So gehen Sicherheitsexperten davon aus, dass die Stromausfälle in der Ukraine Ende vergangenen Jahres zum Teil durch einen Hacker-Angriff ausgelöst wurden.

Bereits vor rund einem Jahr warnten die Sicherheitsforscher Johannes Klick und Stephan Lau vor aus dem Internet zugänglichen Programmable Logic Controller (PLC) zum Steuern von Industrie-Systemen. Während ihrer Forschung stießen sie auf 28.000 über das Internet erreichbare PLC. (des)

Quelle: http://m.heise.de/security/meldung/Nicht-abgesichert-Steuerungen-deutscher-Wasserwerke-ueber-das-Internet-manipulierbar-3268693.html

05.07.2016

+++ Axis Service Releases aufgrund von Sicherheitslücken veröffentlicht +++

Service Releases aufgrund von Sicherheitslücken veröffentlicht
Kürzlich wurden kritische Sicherheitslücken bei einigen Axis-Produkten entdeckt, die über das Internet zugänglich sind.

Axis hat für die Mehrzahl der Produkte Firmware Service Releases veröffentlicht. Diese stehen unter www.axis.com/support/product-security zum Download zur Verfügung.

Axis empfiehlt seinen Nutzern, bei den betroffenen Produkten so schnell wie möglich ein Update durchzuführen, vor allem dann, wenn die Produkte über das Internet zugänglich sind.

Quelle: Axis Communications

26.04.2016

+++ Schadsoftware im AKW Gundremmingen +++

Im Atomkraftwerk Gundremmingen ist in Block B Computer-Schadsoftware gefunden worden. Der Schädling hatte unter anderem das Ziel, eine ungewollte Verbindung zum Internet herzustellen. Der Betreiber geht nicht von einer gezielten Attacke aus.

Der betroffene Computer gehört zur Brennelement-Lademaschine des Kraftwerks. Diese hebt beispielsweise alte Brennelemente aus dem Reaktorkern und transportiert sie zum Lagerbecken. Einen Einfluss auf die Steuerung dieser Lademaschine hat der infizierte Computer nach Angaben des Betreibers aber nicht. Er diene dazu, Protokolle zu erstellen.

Schadsoftware möglicherweise mittels USB-Stick verbreitet

Allem Anschein nach handelt es sich nicht um einen gezielten Angriff auf das AKW Gundremmingen, sondern um einen Schädling, wie er immer wieder auf Büro- und Privatrechnern zu finden ist. Noch ist nicht geklärt, wie der Protokollrechner im AKW infiziert wurde. Möglicherweise wurde die Schadsoftware auf einem USB-Stick weitergetragen, den ein Mitarbeiter zuvor an einem Computer im Büro benutzt hatte.

Der Betreiber betont, dass alle Maschinen im AKW, die direkt mit radioaktiven Elementen in Berührung kommen, ausschließlich analog gesteuert werden. So soll ein Einfluss von außen verhindert werden.

(Quelle: http://www.br.de/nachrichten/schwaben/inhalt/kkw-gundremmingen-schadsoftware-akw-100.html)

24.02.2016

+++ Virus Warnung +++

Erpresser-Virus „Locky“ verbreitet sich rasant
Ein aggressiver Trojaner befällt Computer in Deutschland. Der „Locky“ genannte Virus wird durch E-Mails verbreitet, die als Rechnungen getarnt sind. Gängige Antivirus-Programme erkennen ihn derzeit noch nicht.

Das Bundesamt für Sicherheit in der Informationstechnik rät, auf keinen Fall auf die Lösegeldforderungen einzugehen, sondern Anzeige zu erstatten.

(Quelle: http://www.faz.net/aktuell/technik-motor/computer-internet/erpresser-virus-locky-verbreitet-sich-rasant-in-deutschland-14080201.html)

05.02.2016

Hackerangriff auf Webcam

Ein Mann und eine Frau schrecken aus dem Schlaf – eine verzerrte Stimme befiehlt ihnen aufzustehen. Hacker haben sich auf die mit dem Internet verbundene Kamera aufgeschaltet und spionieren so die ahnungslosen Nutzer aus. Svea Eckert über eine Sicherheitslücke und was man dagegen tun kann.

(Quelle: www.tagesschau.de)

01.02.2016

+++ Virus Warnung +++

Zurzeit bekommen viele Kunden Mails von „copier@ihre-domäne.de“ mit einem Word-Anhang. Dabei handelt es sich um einen Trojaner. Bitte löschen Sie diese Mails umgehend.

(Quelle: https://www.sophos.com/de-de/threat-center/threat-analyses/viruses-and-spyware/Troj~DocDl-AYI/detailed-analysis.aspx)

21.10.2015

BSI veröffentlicht Entwurf eines Testkonzepts für Breitband-Router

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Entwurf eines Testkonzepts für Breitband-Router veröffentlicht. Ziel ist es, die Sicherheit von Breitband-Router, wie xDSL-, Kabel-Router und ähnlichen, messbar zu machen und ein einheitliches Sicherheitsniveau der Geräte zu erreichen. Insbesondere vor dem Hintergrund der Gesetzesinitiative zur Abschaffung des so genannten Routerzwangs, die im Falle der Umsetzung Internetnutzern mehr Möglichkeiten bei der Auswahl ihres Routers bietet, ist die Sicherheit eines solchen Gerätes ein wichtiges Entscheidungskriterium beim Kauf.

Das Testkonzept des BSI richtet sich vornehmlich an Internet Service Provider und an Hersteller von Breitband-Routern. Es verfolgt eine transparente Vorgehensweise und ermöglicht die Überprüfung relevanter Sicherheitseigenschaften von Routern. Die zentralen Punkte des Testkonzepts befassen sich mit grundlegenden sicherheitsrelevanten Funktionen sowie mit der Unterstützung und Einhaltung etablierter Sicherheitsstandards. Darüber hinaus behandelt das Testkonzept exemplarisch bekannte Sicherheitsrisiken und Angriffsszenarien.

(Quelle: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2015/Testkonzept_Breitband-Router_20102015.html)

24.09.2015

Risiko Firmware: Vom gehackten Auto bis zum bösartigen USB-Stick

Eine Sonde verglüht in der Marsatmosphäre, weil sie Einheiten verwechselt. Kirchenglocken kann jedermann per Mausklick läuten. Einbrecher kapern Autos, sie knacken Safes mit USB-Sticks; der DSL-Router mutiert zur Angriffswaffe und der Fernseher spioniert bereits ab Werk. Dystopie? Keineswegs! Von der Webcam bis zur Infusionspumpe: Ohne Firmware geht nichts mehr. Mit zunehmender Vernetzung steigen Risiko und Verantwortung. Eine Bestandsaufnahme.

(Quelle: http://www.heise.de/ct/ausgabe/2015-21-Risiko-Firmware-Vom-gehackten-Auto-bis-zum-boesartigen-USB-Stick-2812713.html)

06.07.2015

Checken Sie Ihren Serverraum – 5 Minuten für die Sicherheit Ihres Unternehmens

Kentix mit Sitz in Idar-Oberstein ist Hersteller professioneller Monitoringsysteme für die Überwachung von IT Räumen, Rechenzentren und Infrastruktur. Das Unternehmen entwickelt und produziert seine Produkte ausschließlich in Deutschland nach höchsten Qualitätsmaßstäben. Mit Kentix Produkten sichern Behörden und Unternehmen aus allen Branchen der Wirtschaft ihre IT-Systeme gegen physische Gefahren ab. Durch die Fusion vieler verschiedener Sensoren in einer Funktionseinheit, dem Kentix MultiSensor, sind die Überwachungssysteme im Marktvergleich sehr effizient.

Als zertifizierter Partner mit langjährigem Know How steht Ihnen die tesinet GmbH für alle in diesem Zusammenhang anfallenden Fragen gern zur Verfügung.

(Quelle: http://kentix.com/downloads/Kentix-Serverraum-Check.pdf)

16.05.2015

Cyberangriff auf deutschen Bundestag:

Bislang unbekannte Täter haben nach Informationen von SPIEGEL ONLINE das interne Datennetz des Deutschen Bundestags attackiert. Wie Bundestagssprecher Ernst Hebeker am Freitag auf Anfrage bestätigte, seien „die IT-Systeme des Bundestags“ Ziel eines elektronischen Angriffs geworden. Hebeker zufolge arbeiteten Experten der Bundestagsverwaltung und des Bundesamts für Sicherheit in der Informationstechnik (BSI) derzeit an der Analyse und Behebung des Problems..

(Quelle: http://www.spiegel.de/netzwelt/netzpolitik/cyber-angriff-auf-den-deutschen-bundestag-a-1033984.html)

19.12.2014

Sicherheitsbericht des BSI – Cyber-Angriff auf deutsches Stahlwerk:

Das Bundesamt für Sicherheit in der Informationstechnik bilanziert jeden Monat mehr als eine Millionen Angriffe durch Schadprogramme. Das gab das BSI in seiner Zusammenfassung der IT-Sicherheitslage in Deutschland bekannt.

Doch das eigentlich schockierende ist eine konkrete Beschreibung eines bisher unbekannten Angriffs auf ein deutsches Stahlwerk. Hacker beschädigten bei einem Angriff einen Hochofen eines Stahlwerks sehr schwer. Doch laut BSI sind nicht nur Industrieanlagen von gezielten Angriffen bedroht, sondern auch Endanwender.

(Quelle: http://www.informatik-aktuell.de/aktuelle-meldungen/2014/dezember/sicherheitsbericht-des-bsi-cyber-angriff-auf-deutsches-stahlwerk.html)

03.12.2014

Kennen Sie schon Argus, das Maskottchen des BSI?

Argus hat eingewilligt, über die Adventszeit Einblick in sein Tagebuch zu bieten und zwar hier auf BSI-fuer-Buerger.de ebenso wie auf Facebook. Begleiten Sie Argus bei seinen Erlebnissen.