SICHER o INFORMIERT Der Newsletter des Bürger-CERT Ausgabe vom Nummer: NL-T15/0008

Transkript

1 SICHER o INFORMIERT Der Newsletter des Bürger-CERT Ausgabe vom Nummer: NL-T15/0008 Die Themen dieses Newsletters: 1. Apps: Hoher Anteil an Gray- und Schadsoftware 2. D-Link: Sicherheits-Update erhöht Zahl der Sicherheitslücken 3. Adobe: Sicherheitsupdates für Flash Player 4. Apple: Neue Updates für OS X und ios 5. Google: Sicherheitsupdate für den Chrome Browser 6. Microsoft: April-Update schließt diverse Sicherheitslücken 7. Verschlüsselung: Auch Mozilla möchte HTTPS zum Standard machen 8. Computer-Kriminalität: Mit Schadsoftware zum Jackpot? 9. Hacker-Angriffe: "Deutschland hat Glück gehabt" EDITORIAL Liebe Leserin, lieber Leser, die Hacker-Angriffe auf die belgische Zeitung Le Soir, den französischen Sender TV5Monde und auch erst unlängst Sony Pictures Entertainment werfen die Frage auf, ob das nicht auch in Deutschland passieren kann. Ja, kann es. Betroffen können statt Medienunternehmen auch andere kritische Infrastrukturen wie die Energie- oder Wasserversorgung sein. Zum Glück ist Deutschland bisher nicht von einem Hacker-Angriff mit weitreichenden Folgen betroffen gewesen. Hoffen auf Glück ist jedoch kein Konzept, und so sind weitere Anstrengungen nötig, Informationstechnik so sicher wie möglich zu gestalten. Was für Konzerne wie Sony Pictures gilt, gilt im übertragenen Sinne auch für kleine Unternehmen und Privatanwender. Symantec berichtet, dass von 6,3 Millionen getesteten Apps 1 Millionen Schadsoftware sind. Hinzu kämen noch weitere 2,3 Millionen Apps, die von den Testern als "Grayware" eingestuft werden, also nicht unmittelbar Schaden anrichten, dafür aber zum Beispiel Ihr Nutzerverhalten ausspionieren. Wenn private Smartphones oder Tablets auch dienstlich genutzt werden, vergrößert sich ein eingetretener Schadensfall schnell erheblich. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im Seite 1 von 5

2 globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Apps: Hoher Anteil an Gray- und Schadsoftware Symantec hat im vergangenen Jahr 6,3 Millionen mobile Apps analysiert und davon eine Millionen, 16 Prozent, als Schadsoftware eingestuft [http://www.zdnet.de/ /symantec-stuft-17-prozent-aller-android-apps-alsmalware-ein]. Besonders häufig betroffen sind für Android entwickelte Apps. Zu den von Symantec als Schadsoftware klassifizierte Apps kommen 2,3 Millionen weitere Apps, die das Unternehmen als "Grayware" betrachtet. Grayware schädigt nicht direkt Systeme, zeigt aber ein vermutlich unerwünschtes Verhalten. Zum Beispiel kann Grayware das Nutzerverhalten registrieren und den Entwicklern mitteilen. Symantec erwartet für 2015 nicht nur ein weiteres Wachstum von Schadsoftware für mobile Geräte. Sie wird, so die Prognose, zugleich "aggressiver und das Geld der Nutzer ins Visier nehmen". Bereits heute würde für Android geschriebene Schadsoftware Textnachrichten mit Anmelde-Daten der Banken ausgelesen und an Kriminelle weitergeleitet. Das BSI empfiehlt, nur so viele Apps wie nötig zu verwenden, diese aus vertrauenswürdigen Quellen zu beziehen und die Zugriffsberechtigungen der Apps zu kontrollieren. 2. D-Link: Sicherheits-Update erhöht Zahl der Sicherheitslücken Im März berichteten wir von "schutzbedürftigen Routern" [https://www.buerger-cert.de/archive?type=widnewsletter&nr=nl-t ] unter anderem der Firma D-Link, die Sicherheitslücken aufwiesen und nur unzureichende Patches erhalten hatten. Nun hat D-Link mit dem Versuch, drei weitere Sicherheitslücken bei den Modellen DIR-645 und DIR-890L zu schließen, offensichtlich nur erreicht, den bekannten Lücken eine weitere hinzuzufügen [http://www.heise.de/security/meldung/d-link-patch-ergaenzt-sicherheitsluecken-durchneue-luecke html]. Die ursprünglichen Lücken ermöglichen es, Schadcode einzuschleusen, ohne vorherige Anmeldung Admin-Funktionen auszuführen und einen sogenannten Stack-Überlauf auszunutzen. Stack-Überläufe können ebenfalls dazu genutzt Seite 2 von 5

3 werden, um Schadcode auszuführen. Nach Ansicht der Hacker-Gruppe /dev/ttys0 [http://www.devttys0.com/2015/04/what-the-ridiculous-fuck-d-link/] (Seite auf englisch) schließt das zur Verfügung gestellte Update der Firmware diese Lücken nicht, ermöglicht jedoch, einen weiteren Stack-Überlauf auszunutzen. SCHUTZMASSNAHMEN 3. Adobe: Sicherheitsupdates für Flash Player Adobe hat mehrere Sicherheitslücken im Flash Player [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=tw-t ] für Windows, OS X und Linux geschlossen. Die Aktualisierung erhalten Sie über das Adobe Flash Player Download Center, sofern Sie nicht die automatische Update-Funktion innerhalb des Produktes nutzen. Für Google Chrome und Internet Explorer unter Windows 8.x wird der Adobe Flash Player automatisch auf die Version aktualisiert. 4. Apple: Neue Updates für OS X und ios Apple hat ein Sicherheitsupdate für Apple OS X Yosemite auf die Version sowie Aktualisierungen für die Versionen und herausgegeben. Es werden mehrere Sicherheitslücken geschlossen [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=tw-t ], durch die ein nicht als Benutzer angemeldeter Angreifer aus dem Internet unter anderem die Kontrolle über Ihr System erlangen kann. Mit dem Update soll auch das Risiko von Adware reduziert werden [http://www.heise.de/security/meldung/os-x soll-gegen-adware-helfen html]. Adware wird zunehmend kostenlos verteilten Programmen beigelegt und verändert unter anderem Browser-Einstellungen. Außerdem hat Apple die Versionsnummer des Betriebssystems ios mit einem weiteren Update auf 8.3 erhöht und damit mehrere, auch sehr schwerwiegende Sicherheitslücken der Vorgängerversion geschlossen [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=tw-t ]. 5. Google: Sicherheitsupdate für den Chrome Browser Der Google Chrome Browser für Linux, OS X und Windows enthält mehrere Sicherheitslücken, die von dem verfügbaren Sicherheitsupdate Seite 3 von 5

4 [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=tw-t ] behoben werden. Die Sicherheitslücken erlauben einem Angreifer aus dem Internet verschiedene Angriffe, durch die Ihr System massiv geschädigt werden kann. 6. Microsoft: April-Update schließt diverse Sicherheitslücken Der zweite Dienstag des Monats ist Microsoft Patchday, an dem das Unternehmen gebündelt Programm-Aktualisierungen veröffentlicht. Der April-Patchday lag in diesem Jahr nicht nur in zeitlicher Entfernung zu den Späßen zum Monatsanfang, sondern schloss gleich 26 Sicherheitslücken [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=tw-t ]. Von diesen werden diverse als kritisch eingestuft. Sofern noch nicht geschehen, sollten Sie alle Aktualisierungen umgehend installieren. PRISMA 7. Verschlüsselung: Auch Mozilla möchte HTTPS zum Standard machen Die Mozilla Foundation, die unter anderem den Browser Firefox herausgibt, schließt sich dem Trend an, verschlüsselte Verbindungen zum Standard zu erheben [http://www.golem.de/news/verschluesselung-auch-mozilla-will-https-zum-standardmachen html]. Langfristig solle im Internet nur noch über HTTPS-Verbindungen kommuniziert werden. Zwar handelt es sich hierbei nur um eine Diskussionsgrundlage, allerdings sind zuletzt häufig Rufe nach genereller Verschlüsselung von Internet-Kommunikation laut geworden. Verschlüsselung kann auch verhindern, dass durch einen Man-in-the-Middle-Angriff Informationen manipuliert werden. 8. Computer-Kriminalität: Mit Schadsoftware zum Jackpot? Ein Amerikaner soll mithilfe einer selbst entwickelten Schadsoftware einen Lotterie-Computer so manipuliert haben, dass ihm ein Gewinn in Höhe von 14,3 Millionen Dollar zufiel [http://www.spiegel.de/netzwelt/games/lotterie-in-den-usa-mann-sollcomputer-manipuliert-haben-a html]. Der mutmaßliche Täter ist ein 51-jähriger ehemaliger Mitarbeiter der Seite 4 von 5

5 Lotteriegesellschaft. Er soll seine privilegierte Stellung ausgenutzt haben, um in einen gesicherten Raum zu treten, in dem der elektronische Zufallsgenerator steht. Über einen USB-Stick habe er eine Schadsoftware eingespielt, die dem Zufall die Unberechenbarkeit nahm und ihm dafür eine Gewinngarantie gab. 9. Hacker-Angriffe: "Deutschland hat Glück gehabt" Die Hacker-Angriffe auf den französischen Sender TV5Monde [http://www.zeit.de/digital/internet/ /hackerangriff-deutschlandbsi-bericht] und die belgische Zeitung Le Soir [http://www.mz-web.de/politik/nach-hackerangriff-auf-tv5-hackerangriff-aufdeutsche-tv-sender-moeglich, , html] haben die Frage aufgeworfen, ob vergleichbares auch in Deutschland möglich ist. Grundsätzlich lautet die Antwort: "Ja." Bereits zum Jahresanfang hatte BSI-Präsident Michael Hange vor einer "digitalen Sorglosigkeit" gewarnt. Grund zur Häme gegenüber TV5 ist das jedoch nicht. Deutschland habe bislang "Glück gehabt", nicht von einem Hacker-Angriff mit weitreichenden Folgen betroffen gewesen zu sein, sagt Andreas Könen, Vizepräsident des BSI, der ARD. Das Hoffen auf Glück ist jedoch kein Konzept. Zwar ist Deutschland in der Sicherung der Regierungsnetze gut aufgestellt, doch es müssen weitere Anstrengungen unternommen werden, um digitale Infrastrukturen zu schützen Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: Seite 5 von 5