Sicherheitsinfos zum 15.11.2016

Zum Ende letzter Woche bzw. zum Wochenstart gab es mal wieder neue Hacks und Sicherheitslücken zu vermelden. Hier ein kleiner Überblick, was für euch ggf. relevant sein könnte.


Anzeige

AVMs Schlüsseldesaster bei Kabelmodems

Dem Berliner Router-Hersteller AVM ist ein geheimer Masterschlüssel entwichen. Sicherheitsforscher fanden den Schlüssel auf einer Fritz!Box für den Kabelanschluss. heise.de berichtete hier ausführlich. Hinter den Kulissen versuchen Kabelnetzanbieter und AVM den Schlüssel seit über einem Jahr auszutauschen. Zwischenzeitlich berichtet heise.de, dass der geheime Schlüssel wohl missbraucht worden ist, um falsche Zertifikate auszustellen. Die Provider haben das gemerkt und diese Zertifikate gesperrt.

Abzockmasche bei Amazon & Co.

In diesem Artikel weist heise.de auf eine bei Amazon im Marketplace laufende Abzockmasche hin. Unseriöse Händler kapern bestehende Webshops oder eröffnen neue und stellen gefälschte Angebote ein. Kunden, die das Angebot kaufen wollen, werden gebeten, per Mail Kontakt aufzunehmen und erhalten die Aufforderung, die Bestellung auf ein Auslandskonto zu überweisen (normalerweise wäre eine Bezahlung über Amazon vorzunehmen). Selbstredend bekommen die Besteller niemals die Ware. Im Blog von Botfrei ist ein solcher Mailverkehr mit den Betrügern dokumentiert. Die Abzock-Masche kann Online-Käufer auch anderswo treffen, da immer mehr Fake-Online-Shops im Internet zu finden sind. heise.de hat hier einen Artikel zum Thema veröffentlicht.

PwnFest 2016: Microsoft Edge und Google Pixel gehackt

Letzte Woche fand das Hacker-Event PwnFest 2016 statt. Googles Smartphone Pixel, Microsofts Edge-Browser, aber auch der Apple Safari-Browser wurden binnen kurzer Zeit gehackt. Details kann man bei apfeleimer.de, thehackernews.com, theregister.com und hier sowie bei heise.de nachlesen.

AdultFriendFinder: Hacker erbeuten über 420 Millionen Kontendaten

Es ist bereits der zweite Hack seit 2015: LeakedSource berichtet hier, dass über 421 Millionen Datensätze von Nutzerkonten durch Hacker erbeutet wurden. Bei der Sex-Plattform Adult Fried Finder sind wohl 340 Millionen Kundendatensätze abgeflossen. Nutzer der zum Netzwerk gehörenden Seiten Cams.com (62 Mio. Nutzer), Penthouse.com (7 Mio.), Stripshow.com (1,4 Mio.) und iCams.com (1,1 Mio.) sind ebenfalls betroffen.

Laut Sicherheitsanbieter Centrify belegt der Hack von 412 Millionen Accounts des Sex-Netzwerkes FriendFinder Networks (FFN), dass pikante Kundendaten ein beliebtes Ziel von Hackern werden und daher besonderen Schutz erfordern. LeakedSource schreibt aber, dass die Sessiondaten der letzten Anmeldung erbeutet worden, wobei die Passwörter mit SHA1 (unsicher) oder unverschlüsselt gespeichert wurden. So konnten die Betreiber von LeakedSource 99% der Kennwörter knacken.

Und noch problematischer: Wie es ausschaut, sind auch die Daten von Konten in den Datensätzen, die von den Besitzern längst gelöscht wurden. Centryfy schreibt, dass in dem Datensatz von Fried Finder Networks Informationen von über 15 Millionen Accounts entdeckt wurden, die eigentlich bereits von den Usern gelöscht wurden. Auch wurde durch den Hack publik, dass Kundendaten von der eigentlich im Februar verkauften Seite Penthouse.com noch im Besitz des Netzwerkes waren.

Da die Passwörter als Klartext oder als SHA1-Hash gespeichert wurden und auch Nutzernamen sowie Email-Adressen gestohlen wurden, sollten Nutzer der Seiten schnellstens überprüfen, ob sie dieselben Zugangsdaten für andere Services einsetzen und dann ändern. Einen deutschsprachigen Artikel zum Thema findet sich bei heise.de, ZDnet.com hat hier einen englischsprachigen Beitrag zum Hack.

Daten bei Dienstleister Michael Page gestohlen


Werbung

Es ist in den deutschsprachigen Medien bisher m.W. nicht thematisiert worden. Centrify wies mich in einer Info-Mail auf einen Hack bei Michael Page hin. Bei Michael Page handelt es sich um einen Personaldienstleister, der seine IT an Capgemini ausgelagert hat. Die Benutzerdaten wurden wohl von einem dort verwendeten Entwicklungs-Server abgezogen. Der Dienstleister warnte Anfang des Monats seine Kunden, dass Kennwörter und E-Mail-Adressen bekannt seien und dringend geändert werden sollten.

Internet of Things – Sorgenkind der Sicherheit

Dass das IoT sicherheitstechnisch ziemlich kaputt ist und uns noch viel Ärger bereiten wird, hatte ich im Blog ja häufiger thematisiert. Letzte Woche fand eine Branchenkonferenz in Köln statt, auf der sich “Fachleute” recht besorgt um die fehlende Sicherheit im Bereich IoT und Industrie 4.0 äußerten. Die Redaktion von heise.de hat einen Artikel mit einem Abriss der Konferenzinhalte veröffentlicht.

Für mich war es ein Déjà-vu, als ich eine Aussage von einem Bosch-Mitarbeiter las, dass die Computer in Büros nach 3 – 5 Jahren ausgetauscht würden, seien die Produktionssysteme auf 20 Jahre Lebenszeit ausgelegt. Und ein Patch-Management gebe es in der Produktions-IT nicht. Ich komme aus diesen Bereich (bin vor 23 Jahren aus der produktionsnahen IT einer Großchemie-Firma ausgestiegen). Für mich wird der Irrsinn der Entwicklung da schön deutlich. Hersteller wie Microsoft, Google & Co. versuchen ihre Produkte mehrfach im Jahr zu aktualisieren – mit teilweise undokumentierten, fehlerhaften und chaotischen Patches. Produktionsanlagen müssen teilweise sicherheitstechnisch zertifiziert werden – da ist ein solcher Ansatz überhaupt nicht machbar. Und er war auch viele Jahrzehnte nicht erforderlich – das größte Problem war, Ersatz für kaputte Komponenten bis zum Ende der Lebensdauer zu bekommen.

Und dann kommen Schlausprecher und wollen die Produktionsanlagen per Internet für Industrie 4.0 vernetzen, damit das Management per iPad auf die Daten zugreifen können. Da werden wir noch viel Freude an diesem Thema bekommen.

Kurz und krass zum Schluss

Golem hat einen Artikel Dieses Startup will Mieter ausspionieren, welcher zeigt, wo uns Big Data hinführen könnte. Klingt schräg und erst einmal positiv: In diesem MSPowerUser-Beitrag behauptet Microsoft, dass man Lungenkrebs an Hand der Bing-Suchanfragen mittels Maschinenintelligenz bereits ein Jahr früher als Ärzte mit einer Wahrscheinlichkeit von 40% vorhersagen könne. Diese Ansätze ließen sich natürlich auch auf andere Bereiche (Wahrscheinlichkeit einer Straftat, eines Arbeitgeberwechsels, des Eintritts einer anderen Krankheit und so weiter) anwenden. Schöne neue Welt der KI und Big-Data, die Schufa ist dann nur ein Waisenkind dagegen.

Nach dem Web of Trust-Skandal wehrt sich die Werbewirtschaft gegen den “pauschalen Spähverdacht”, wie heise.de hier schreibt. Da ist zwar was dran, aber die Werbewirtschaft hat die Zeichen der Zeit immer noch nicht wirklich erkannt. Tracking, eingebundene Nerv-Videos und was weiß ich, machen nicht wirklich Lust auf mehr.

Spiegel Online berichtet hier von einem WindTalker genannten Forschungsansatz, wo Passwörter  und PINs durch Analyse der Nutzerbewegungen abgreifen können. Der Schweizer Betreiber von Proton-Mail (sichere E-Mail) konnte nach dem Wahlsieg von Donald Trump einen sprunghaften Anstieg der Abonnentenzahlen verbuchen.

Das Microsoft-Tool EMET, welches vor allem im gewerblichen Bereich zum Härten von Software gegen Angriffe eingesetzt wird, sollte eigentlich im Support zum 17. Januar 2017 auslaufen. Microsoft hat die Unterstützung für EMET 5.5 aber bis zum 31. Juli 2018 verlängert, wie man u.a. bei deskmodder.de nachlesen kann.

Google hat mal wieder einen Blog-Beitrag veröffentlicht, wie man den Play Store frei von Betrugs- und Spam-Apps halten will. Und in diesem Beitrag (hier in deutsch) berichtet ZDNet.com, dass Google Webseiten, die wiederholt Malware ausliefern, im Google Chrome für 30 Tage geblockt werden. Die Möglichkeit für den Site-Betreiber, die Webseite nach einer Malware-Bereinigung vom Google-Team überprüfen zu lassen, wird dadurch kräftig beschnitten bzw. mit einer Pönale von 30 Tagen belegt.

Wusstet ihr eigentlich, dass der größte Teil des über Tor erreichbaren Teil des Dark Net legale Inhalte bereithält? Details könnt ihr bei neowin.net nachlesen. Und für die Leute, die permanent in sozialen Netzwerken angemeldet sind, empfiehlt sich ein Blick auf die Webseite Your Social Media Fingerprint. Dort wird aufgelistet, welche sozialen Netzwerke im Browser angemeldet sind – so dass dort abgefragt werden kann, was ihr tut. Mobiflip.de hat hier einen Beitrag zum Thema.

Ähnliche Artikel:
Datenskandal: ‘bist Du gläsern?’ Millionen Daten von deutschen Surfern offen gelegt
Ergänzung zum #Surfgate: Politikerdaten aufgetaucht,
Datenskandal: Mozilla und Google werfen “Web of Trust” raus
WoT: Oh, sorry, wir haben eure Daten unabsichtlich verkauft
iOS 10.1 und Mac OS 10.12.1 schließen Sicherheitslücken
Sicherheitsinfos 21.10.2016


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Responses to Sicherheitsinfos zum 15.11.2016

  1. 1ei sagt:

    D A N K E !!!

  2. Tim sagt:

    “In diesem MSPowerUser-Beitrag behauptet Microsoft, dass man Lungenkrebs an Hand der Bing-Suchanfragen mittels Maschinenintelligenz bereits ein Jahr früher als Ärzte mit einer Wahrscheinlichkeit von 40% vorhersagen könne. Diese Ansätze ließen sich natürlich auch auf andere Bereiche (Wahrscheinlichkeit einer Straftat, eines Arbeitgeberwechsels, des Eintritts einer anderen Krankheit und so weiter) anwenden. Schöne neue Welt der KI und Big-Data, die Schufa ist dann nur ein Waisenkind dagegen.”

    Was soll das alles?
    Können wir es nicht einfach machen und direkt nen Fragebogen ausfüllen und festlegen was wir in unserem Leben noch so zu tun und zu lassen haben und wann wir in die Entsorgung zu verschwinden haben? Könnt so einfach sein… jeder hätte seinen Platz und Arbeitslos wär auch keiner, Arm und Reich wär auch egal, wird ja alles festgelegt… Ok, es gäbe auch keine echte freie Wirtschaft…
    Mit den richtigen Antworten, ergeben einige Dinge halt auch keinen Sinn mehr, weil man die Antworten halt kennt und schon vorher berechnet.

    Wenn Bing alles weiß, ist es ja gut und endlich lösen sich die Probleme dieser Welt in Wohlgefallen auf…
    Hoffentlich wird Bing nicht zu schlau mit den Antworten, sonst zieht ein dummer Mensch mal schnell den Stecker…

    • Dekre sagt:

      Das Ganze mit der Analyse der Suchwörter in den Suchmaschinen ist nicht neu, sondern wird von den Diensten (egal was das ist und wer dahinter steht) immer mal wieder aufgefrischt und dann wertet es Irgendjemand aus und gibt es zur Veröffentlichung frei. Dann setzt sich die nächste Maschinerie in Gang und so geht es immer weiter. Grob gesagt: an den Ganzen ist schon was dran. Beschäftigt sich man auch nur sehr laienhaft mit Wahrscheinlichkeitsrechnung, so kommt man schnell drauf.
      Alle Analyseprogramme laufen so und das weltweit!
      Das Probelm sind nicht die Daten, sondern deren qualifizierte Auswertung. An der qualifizierten Auswertung hapert es. Es ist das sog “99:1-Beispiel auf Basis 100”.
      Die Wertung und Beurteilung und richtige Auswertung dieser Daten ist eben serh subjektiv. So wird in dieser Welt viel Intelligenzmüll für Soziologen produziert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.