bei Computer-Problemen - DIREKT die Profis rufen: 02429 909-904
 

IT-Nachrichten für Kerpen und Umgebung:
Sicherheitsbericht vom 17.09.2015




bsi

Liebe Leserin, lieber Leser,

wie viel Schaden vermieden werden könnte, wenn allen bewusst wäre, dass
man Links in E-Mails nicht einfach folgt und Dateianhänge nicht einfach
öffnet, zeigen zwei Artikel in unserem heutigen Newsletter.
Gegen eine perfidere Art der Verteilung von Schadsoftware hilft dagegen
auch keine Aufmerksamkeit: Es gibt laut dem Telekommunikationsunternehmen
Cisco eine steigende Zahl Werbebanner, die von Scheinunternehmen
geschaltet werden. Sie führen zu professionell gestalteten Webseiten, die
bei bloßem Aufruf Schadsoftware installieren.

Diese und weitere Meldungen rund um die Sicherheit im (siehe Hyperlink) Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Viren: Erpresser-Software Shade in Deutschland erfolgreich

Besonders in Russland und Deutschland, aber auch in Österreich ist eine
Erpresser-Software erfolgreich, die sich
Shade (siehe Hyperlink)
nennt. Shade verschlüsselt die Festplatte eines Windows-Rechner und
fordert Lösegeld, um Computer und Dateien wieder freizugeben. Dabei
bleibt es jedoch nicht. Zugleich lädt Shade aus dem Internet weitere
Schadsoftware nach. Darunter befindet sich auch ein Programm, das
versucht, Passwörter zu knacken.

Shade verbreitet sich über das Öffnen von Dateianhängen und über den
Besuch infizierter Webseiten. Halten Sie deshalb Ihren Virenscanner und
Browser aktuell. Der Virenscanner sollte zudem automatisch im Hintergrund
aktiv sein, was manche Produkte nicht sind. Öffnen Sie Dateianhänge nicht
unreflektiert. Dateien, die Ihnen unbekannte Personen zugeschickt haben,
öffnen Sie besser gar nicht. Das gilt auch für Fälle, in denen sich
Absender als Rechtsanwälte oder als vertrauenswürdige Organisationen
ausgeben. Regelmäßige Sicherungskopien Ihrer Dateien auf einen externen
Datenträger, zum Beispiel einen USB-Stick, verringern den Schaden nicht
nur bei Virenbefall. Das Lösegeld sollten Sie dagegen nicht zahlen.

2. Android: Mail lädt Schadsoftware auf das Telefon

"Hiermit bestätigen wir Ihnen die erfolgreiche Zahlung von 99.99 EUR an
Candyclub (Bag of Gems). Das Geld wird von Ihrem hinterlegten Konto in
kürze abgebucht." Abgesehen von dem Rechtschreibfehler (es sollte "in
Kürze" heißen), deutet optisch wenig darauf hin, dass die E-Mail nicht
von Googles Play Store kommt, wie sie es vorgibt. Doch die
Rechnung ist
gefälscht (siehe Hyperlink).
Hinter dem "Rechnungsmanager", der zum Widerspruch gegen die Zahlung
genutzt werden soll, verbirgt sich ein
Trojaner (siehe Hyperlink).
Auch hier gilt: Nicht einfach Links folgen, ein regelmäßig aktualisiertes
Antiviren-Programm verwenden und die genutzte Software auf dem aktuellen
Stand halten.

3. Malvertising: Kampagne blieb über Wochen unentdeckt

Malvertising ist eine Wortschöpfung aus Malware und Advertising. Es wird
also für Schadsoftware geworben? Nicht ganz. Die Schadsoftware versteckt
sich vielmehr entweder in der Werbung oder aber, die Werbung bewirbt
Seiten, die mit Schadsoftware infiziert sind.
Golem (siehe Hyperlink)
zitiert eine Untersuchung des Telekommunikationsunternehmens Cisco,
wonach die Zahl solcher Werbebanner in den letzten Jahren stetig
zugenommen habe. Im beschriebenen Fall sind Kriminelle so geschickt
vorgegangen, dass prominenten Vertreibern von Werbung wie Doubleclick
wochenlang nicht auffiel, dass die werbenden Unternehmen nicht wirklich
existieren. Die Kriminellen hatten zum Teil schon Jahre zuvor Webseiten
registriert, zum Beispiel vorgeblich als Immobilienmakler. Nun, Jahre
nach der Registrierung, gaben Sie vor, Werbung schalten zu wollen. Die
Werbebanner selbst waren ungefährlich. Die Schadsoftware verbarg sich auf
den präparierten Webseiten. Die Banner selbst erschienen auch auf
bekannten Seiten wie Ebay.
Angreifer wünschen laut Infosec
Island (siehe Hyperlink)
(auf Englisch) häufig, dass ihre Werbung ab Freitag abends erscheint. Am
nächsten Morgen aktivieren sie dann die Schadsoftware auf den beworbenen
Webseite. Sie spekulieren offensichtlich darauf, dass bei den
Werbeanbietern über das Wochenende niemand arbeitet, der den Kunden
kontrolliert.

Browser-Erweiterungen, die Werbung oder das Ausführen von aktiven
Inhalten blockieren, bieten einen gewissen, aber keinen völligen Schutz.
Dasselbe gilt für Virenscanner und den Verzicht darauf, Werbung zu
folgen, die bestimmte Pillen oder raschen Reichtum versprechen.

SCHUTZMASSNAHMEN
4. Microsoft: Update zum Patch Day

Zum Patch Day am 8. September hatte Microsoft diverse
Produkte (siehe Hyperlink)
sicherheitstechnisch überholt. Sollten Sie die Aktualisierung noch nicht
installiert haben, holen Sie dieses bitte rasch nach.
Inzwischen hat Microsoft das Sicherheits-Bulletin MS15-080 erneut
veröffentlicht und weist darauf hin, dass das Update 3088502 für
Microsoft Office für Mac 2016 jetzt verfügbar ist. Anwender der
Bürosoftware für Mac OS sollten also erneut auf eine Aktualisierung
achten.

5. WordPress: Sicherheitsupdate schließt drei Sicherheitslücken

Unter Bloggern ist WordPress ein beliebtes, kostenloses Redaktionssystem.
Dessen Entwickler haben mit einer Aktualisierung drei Sicherheitslücken
geschlossen. Wer die Funktion zur automatischen Aktualisierung
abgeschaltet hat, sollte das Update auf der
WordPress-Seite (siehe Hyperlink)
(Webseite auf Englisch) herunterladen und installieren.

6. Apple: Sicherheitsupdate auf iTunes 12.3

Mit der Verfügbarkeit von iTunes 12.3 schließt Apple insgesamt
66
Sicherheitslücken (siehe Hyperlink)
die von einem Angreifer aus dem Internet genutzt werden können, um Ihr
System zu schädigen und wenigstens teilweise unter seine Kontrolle zu
bringen. Die möglichen Auswirkungen sind so schwerwiegend, dass der
Update-Empfehlung des Herstellers zügig gefolgt werden sollte.

PRISMA
7. Lets-Encrypt: Erstes Zertifikat der alternativen
Zertifizierungsstelle

Wenn Sie die Webseite Ihrer Bank besuchen, werden Sie in der Adressleiste
ein Schloss sehen, das eine verschlüsselte Übertragung garantiert. Die
Ausstellung des dafür nötigen Zertifikats kostet Geld. Geld, dass Banken
haben, andere Organisationen, bei denen Verschlüsselung ebenfalls
sinnvoll wäre, jedoch nicht.
Lets Encrypt ist ein Projekt der in den USA als gemeinnützig anerkannten
Internet Security Research Group (ISRG). Es setzt sich zum Ziel,
kostenlose Zertifikate auszugeben, um Verschlüsselung zu verbreiten.

Auch wenn Lets Encrypt erst im vierten Quartal 2015 als
Zertifizierungsstelle anerkannt sein möchte, liegt nunmehr
ein
Wurzelzertifikat (siehe Hyperlink)
vor. Mit einem Wurzelzertifikat, auch Stammzertifikat genannt, wird die
Gültigkeit aller untergeordneten Zertifikate kontrolliert. Das
Wurzelzertifikat wird in den Browser installiert, unterschiedliche
untergeordnete Zertifikate liegen dann auf unterschiedlichen Webservern.
Ihr Browser überprüft und akzeptiert das von Ihrer Bank (zum Beispiel bei
der Deutschen Telekom) gekaufte untergeordnete Zertifikat, weil der
Browser von Haus aus mit einem einem entsprechenden Wurzelzertifikat (in
unserem Beispiel der Deutschen Telekom) ausgestattet ist.

Im Moment müssen Anwender das Wurzelzertifikat von Lets Encrypt noch
manuell herunterladen
(siehe Hyperlink) (Webseite auf
Englisch) und installieren. Lets Encrypt befindet sich jedoch im
Gespräch mit Mozilla, Google, Apple und Microsoft, um das
Wurzelzertifikat in deren Browser zu integrieren. Ziehen die Hersteller
mit, kann Lets Encrypt an Betreiber von Webseiten kostenlose
SSL/TLS-Zertifikate herausgeben, die von den Browsern so umstandslos
akzeptiert werden, wie das Ihrer Bank.

8. Ashley Madison: Beschämend schlechte Passwörter

Über den Hack gegen den Vermittler von ehelichen Seitensprüngen, Ashley
Madison, ist viel berichtet worden. Nachdem neben der Datenbank mit Namen
der Mitglieder des Portals auch eine Liste mit verwendeten Passwörtern
aufgetaucht ist, gibt es auch für uns etwas zu berichten: Die
schlechtesten
Passwörter (siehe Hyperlink)
waren die beliebtesten. "123456" führt die Liste an, gefolgt von "12345"
und dem nicht minder obszön einfältigen "password".

Die Liste spiegelt ein Drittel der Konten von Ashley Madison, und dass
diese gehackt wurden, ist bei der Wahl der Passwörter nicht überraschend.
Die Meldung zeigt aber auch, dass sich komplexe Passwörter nicht ohne
weiteres knacken lassen. Sie tauchen in der Liste nicht auf. Wir
verweisen deshalb gerne noch einmal auf unsere
Tipps (siehe Hyperlink)
wie Sie sich komplexe Passwörter zulegen können, die sich dennoch merken
lassen.

9. Internet der Dinge: Intel gründet Initiative für IT-Sicherheit in
Fahrzeugen

IT-Sicherheit bei Fahrzeugen war immer wieder Thema unseres Newsletters,
so auch in der letzten
Ausgabe (siehe Hyperlink).
Nun hat Intel, Branchenriese unter den Chipherstellern, eine Initiative
gegründet, die ASRB (Automotive Security Review
Boards) (siehe Hyperlink)
heißt und Cyber-Sicherheit in Fahrzeugen fördern soll. Die Experten, die
sich im ASRB versammeln, sollen Sicherheitstests und Audits durchführen,
um der Automobilindustrie Empfehlungen an die Hand zu geben. Der damit
erfolgreichste Experte erhält einen Preis: Ein Auto.

10. Open Source: Tag der Software-Freiheit

Pippi Langstrumpf, deren vollen Namen wir aus Platzgründen weglassen,
bärenstarke Pferde-Hochheberin, Schreck aller Bildungsspießer und Heldin
unzähliger Kinder, macht sich ihre Welt, wie sie ihr gefällt. Ein
bisschen von dieser Einstellung haben Entwickler Freier Software: Wenn
etwas fehlt oder nicht stimmt, machen sie sich die Software-Welt eben
selbst. Ohne Patente oder andere Rechte zu verletzen. Freie Software,
auch Open Source genannt, ist meistens kostenlos und häufig so
ausgereift, dass sie kaum hinter teurer kommerzieller Software
zurückstehen muss: Sei es Linux als Betriebssystem, Gimp für die
Bildbearbeitung oder LibreOffice als Sammlung typischer Büro-Programme.

Ein Aspekt der Sicherheitsstrategie des BSI ist es, IT-technische
Monokulturen zu vermeiden, weil sich diese leichter angreifen lassen. Das
BSI unterstützt deshalb seit langem die Entwicklung Freier Software, die
zu einer größeren Auswahl an Programmen führt und damit
Hersteller-Unabhängigkeit fördert. Zudem verhindert Software-Vielfalt die
Bildung von Monopolen und deren negativen finanziellen Auswirkungen, auch
auf den Haushalt des Bundes und der Länder. Die Unterstützung des BSI
zeigt sich nicht nur in der Anwendung, sondern auch in der
(Mit-)Entwicklung Freier Software.

Wir wissen nicht, ob es einen Pippi-Langstrumpf-Tag gibt, aber es gibt
einen Tag der
Software-Freiheit (siehe Hyperlink) (Webseite auf
Englisch). Es ist in diesem Jahr der 19. September. Weltweit werden
Veranstaltungen Freie Software in den Blick der Öffentlichkeit stellen.

SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)









Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de