bei Computer-Problemen - DIREKT die Profis rufen: 02429 909-904
 

IT-Nachrichten für Kerpen und Umgebung:
Sicherheitsbericht vom 19.03.2015




bsi

Liebe Leserin, lieber Leser,

mit den Passwörtern ist das ja so eine Sache: Sie sollen möglichst nicht
zu erraten sein und sich trotzdem leicht einprägen lassen.
Auf BSI für Bürger finden Sie eine
Eselsbrücke (siehe Hyperlink)
wie Sie beide sich scheinbar ausschließende Kriterien unter einen Hut
bekommen. Dennoch werden Passwörter vergessen, und dieselben auf einem
mobilen Gerät zu speichern, verbietet sich: Die Gefahr, das Gerät zu
verlieren, ist zu groß. Abhilfe möchten Yahoo und Microsoft bieten.
Ersteres Unternehmen durch Einmal-Passwörter, letzteres mithilfe von
Biometrie. Ob sich die beiden Methoden durchsetzen, bleibt abzuwarten.

Ein gut gewähltes Passwort ist sicherer als eine PIN. Rund 111 Stunden
dauert es, die PIN zu knacken, die iPhones und iPads vor fremden Zugriff
schützen soll. Dabei ist der Neustart des Geräts nach jedem missglücktem
Versuch bereits eingerechnet.

Diese und weitere Meldungen rund um die Sicherheit im (siehe Hyperlink) Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Microsoft: Zu Unrecht vergebenes Zertifikat im Umlauf

Einem Finnen ist es gelungen, sich ein gültiges, jedoch zu
Unrecht vergebenes
Zertifikat (siehe Hyperlink)
für den von Microsoft angebotenen Dienst "Windows Live Services" zu
beschaffen. Auch wenn der finnische Dienst von "Live Services" betroffen
ist, sind alle Anwender von Windows, Windows Server und Windows Phone
aufgefordert, eine Aktualisierung einspielen, um sogenannte
Man-in-the-Middle-Angriffe zu verhindern. Windows 8, Windows 8.1 sowie
Windows Phone 8 und 8.1 spielen die Aktualisierung von selbst ein. Für
Anwender anderer Versionen stehen Updates zur manuellen
Installation bereit (siehe Hyperlink).
Damit werden jedoch nur die Browser geschützt, welche die Windows
Zertifikateverwaltung verwenden, etwa der Internet Explorer und Google
Chrome. Andere Browserhersteller werden voraussichtlich in Kürze
Aktualisierungen bereitstellen.

Der Finne, der das Zertifikat für „Live Services“ erhalten hat, jedoch
nicht hätte erhalten dürfen, erklärte inzwischen, das Zertifikat
nur "zum
Spaß" (siehe Hyperlink)
registriert zu haben. Wenn das stimmt und er somit keinen Missbrauch
vorhatte, war das Glück. Allerdings zeigt dieses Beispiel, dass
Zertifikate nicht immer erst nach hinreichender Prüfung vergeben werden.

Nutzen Sie Windows, Windows Server oder Windows Phone, sollten Sie trotz
der Versicherung des Finnen die Updates installieren.

2. Makroviren: Totgesagte leben länger

Wenn Sie schon gegen Mitte oder Ende der Neunziger Jahre Computer
verwendet haben, werden Ihnen Makroviren ein Begriff sein. Ein Makro ist
eigentlich eine Automatisierung von Arbeitsprozessen. Vor allem für
Microsoft Office wurden jedoch auch Makros geschrieben, die etwa
Formatvorlagen unbrauchbar machten oder ähnlichen, durchaus
beträchtlichen Schaden anrichteten. Damit waren Makroviren geboren; sie
verteilten sich zum Beispiel über Disketten, auf denen Word- oder
Excel-Dateien gespeichert waren, in denen der Schadcode vorkam.
Um diese Virengattung ist es still geworden, auch deshalb, weil Microsoft
mit neuen Versionen von Office-Programmen die automatische Ausführung von
Makros abschaffte. Seitdem müssen selbige mit dem Öffnen des Dokuments
erst vom Anwender zugelassen werden.

Mit sinkender Bedeutung von Makroviren ging offenbar auch das Wissen um –
und damit eine Vorsicht gegenüber Makros verloren. Dies nutzen dubiose
Programmierer nun offenbar aus und haben damit begonnen, Makroviren neu
zu beleben.

In letzter Zeit jedenfalls finden sich wieder vermehrt Makroviren im
Verkehr, wie Microsoft und Sicherheitsanbieter Sophos
berichten (siehe Hyperlink).
Die verseuchten Office-Dateien werden wenig überraschend nicht mehr auf
Diskette, sondern als E-Mail-Anhang oder zum Beispiel über Facebook
vertrieben. Abhilfe ist einfach: Seien Sie skeptisch bevor Sie
Dateianhänge öffnen und lehnen Sie die Ausführung von Makros im
Normalfall ab.

3. Apple: iOS-PIN lässt sich durch Brute-Force-Methode knacken

Wenn Sie Ihr iPhone mit einer vierstelligen PIN gesichert haben und es
nutzen möchten, so haben Sie zehn Versuche, die richtige PIN einzugeben.
Danach tritt die Gerätelöschfunktion in Kraft, sofern Sie diese
eingeschaltet haben. Mit einem speziellen Gerät, das auf dem Markt für
rund 280 Euro erhältlich ist, kann die PIN jedoch auch dann
über die Brute-Force-Methode genackt
werden (siehe Hyperlink).
Mit der Brute-Force-Methode werden alle möglichen Kombinationen
ausprobiert, was zehn Versuche schnell überschreiten lässt. Denn besagtes
Gerät startet das iPhone nach falscher PIN-Eingabe so rasch neu, dass der
missglückte Versuch nicht in den Gerätespeicher geschrieben wird. Nach
knapp fünf Tagen ist das Gerät entsperrt. Betroffen sind zumindest alle
Geräte unter iOS 8.1.

Abhilfe bietet wenn nicht eine Aktualisierung von Apple die Verwendung
eines gut gewählten Passworts anstelle einer PIN.

SCHUTZMASSNAHMEN
4. Adobe: Elf kritische Lücken im Flash Player geschlossen

Adobe hat seinen Flash Player auf Version 17 aktualisiert und damit
gleich elf als kritisch eingestufte Sicherheitslücken
beseitigt (siehe Hyperlink).
Im schlimmsten Fall kann ein Angreifer unter Ausnutzung dieser
Sicherheitslücken das System übernehmen. Die Aktualisierung liegt für
Windows, OS X und Linux vor. Sie sollten diese rasch einspielen.

5. Apple: Sicherheitsupdate für den Browser Safari

Ein Sicherheitsupdate für
Safari (siehe Hyperlink)
bügelt diverse schwerwiegende Sicherheitslücken des Browsers unter OS X
aus.

PRISMA
6. Yahoo: Neuerungen bei Passwörtern und E-Mail

Yahoo hat seinen Nutzern bis zum Jahresende ein
E-Mail-Plugin in Aussicht
gestellt (siehe Hyperlink)
das eine Ende-zu-Ende-Verschlüsselung ermöglichen soll. Damit wären über
Yahoo verschickte E-Mails vom Versenden bis zum Empfang durchgängig
verschlüsselt. Das Plugin soll dabei einfacher zu bedienen sein als
bisherige auf PGP (Pretty Good Privacy) beruhende Angebote.

Außerdem hat Yahoo Einmal-Passwörter
eingeführt (siehe Hyperlink)
– vorerst allerdings nur für amerikanische Kunden. Dafür registrieren
Nutzer eine Telefonnummer, an die Yahoo auf Verlangen ein Passwort
schickt, dessen Gültigkeit nach einer Verwendung erlischt.

7. Microsoft: Windows 10 soll Biometrie beherrschen

Biometrische Verfahren zur Zugangskontrolle setzen auf den Vergleich von
zum Beispiel Fingerabdrücken oder der Iris. Biometrie soll nicht nur
Passwörter ersetzen, sondern auch die Sicherheit verbessern. Bislang sah
das vor allem in Kinofilmen beeindruckend aus. In der realen Welt dagegen
gelang es beispielsweise, die Scanner für Fingerabdrücke von
Apples iPhone 5S und iPhone 6 genau so zu überlisten wie
den von Samsungs Galaxy
S5 (siehe Hyperlink).

Microsoft möchte es mit der für den Sommer dieses Jahres angekündigten
Version 10 von Windows besser machen. Wie Golem
berichtet (siehe Hyperlink)
würde immerhin die Notwendigkeit für spezielle Treibersoftware wegfallen.

SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)









Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de