SICHER o INFORMIERT Der Newsletter von buerger-cert.de Ausgabe vom 29.08.2013 Nummer: NL-T13/0018 Die Themen dieses Newsletters: 1. Außerhalb von Google Play auf dem Vormarsch: Android-Schädlinge 2. Bitcoin: Schwachstelle unter Android 3. Wartung eingestellt: Lücke in Java 5 und 6 wird ausgenutzt 4. Zurück aus dem Urlaub: Technik auf dem neuesten Stand? 5. Mixed-Content-Blocker: Firefox-Update 6. Standardmäßige Verschlüsselung: Mehr Sicherheit bei Google Cloud Storage 7. Windows XP End of Life: Microsoft warnt vor zukünftigen Sicherheitslücken 8. Soziale Netze: Das BSI bei Facebook und Xing EDITORIAL Guten Tag, wenn Sie in diesen Tagen aus dem Urlaub zurückkehren, sollten Sie Ihrem PC, Tablet und Smartphone einen Moment besondere Aufmerksamkeit gönnen: Schon bei einem Kurzurlaub verpasst man das ein oder andere Sicherheitsupdate, das es jetzt zu installieren gilt. Das zeigen nicht zuletzt die Aktualisierungen von Mozilla und die Update-Empfehlungen für ältere Java-Versionen, über die wir in diesem Newsletter berichten. Außerdem Thema: Schadsoftware für Android und die Sicherheit von Windows XP, dessen Support in einigen Monaten abläuft. Übrigens: Seit vergangener Woche ist das BSI auch bei Facebook vertreten. Wir freuen uns, Sie zusätzlich auf diesem Weg über aktuelle Themen der Internet- und IT-Sicherheit zu informieren und Ihre Fragen zu beantworten. Informationen zu diesen Themen und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Außerhalb von Google Play auf dem Vormarsch: Android-Schädlinge Mobile Geräte mit dem Betriebssystem Android werden immer beliebter – und das nicht nur bei den Nutzern. Denn je mehr Geräte im Umlauf sind, desto interessanter werden diese auch für Online-Kriminelle, die außerhalb des Google Play Stores ihr Unwesen treiben. So berichtete die russische IT-Sicherheitsfirma Kaspersky Lab [cio.de/android-tipps/2927017/] kürzlich, dass die Zahl entdeckter Schädlinge zur Jahresmitte auf über 100 000 kletterte. Installieren Sie daher Apps nur aus vertrauenswürdigen Quellen – etwa den im Smartphone voreingestellten App-Stores und Markets der Hersteller. Weitere Tipps zum Thema Apps finden Sie auf BSI für Bürger [https://bsi-fuer-buerger.de/BSIFB/DE/MobileSicherheit/BasisschutzApps/basisschutzApps.html]. 2. Bitcoin: Schwachstelle unter Android Bitcoin.org [bitcoin.org/en/alert/2013-08-11-android] warnt davor, dass alle Bitcoin-Wallet-Apps unsicher seien und gestohlen werden könnten. Grund dafür ist, dass Androids in Java realisierte Verschlüsselung (Java Cryptography Architecture, kurz: JCA) zu schwache Zufallszahlen verwendet. Damit ist potenziell nicht nur die digitale Währung Bitcoin betroffen, sondern alle Apps, die auf Android Smartphones Verschlüsselung einsetzen. Google hat nach eigener Aussage inzwischen Patches für seine Partner bereitgestellt, die sicherstellen sollen, dass ausreichend sichere Zahlen hergestellt werden. Dabei ist allerdings zu beachten, dass sich das Problem nicht ohne Weiteres durch ein Update der JCA oder auch der Apps beheben lässt, schreibt heise Security [heise.de/security/meldung/Androids-Verschluesselung-angreifbar-1936181.html]. Um weitere Diebstähle zu vermeiden, müssten zusätzlich alle erratbaren Schlüssel gelöscht werden. SCHUTZMASSNAHMEN 3. Wartung eingestellt: Lücke in Java 5 und 6 wird ausgenutzt Sollten Sie noch die Versionen 5 oder 6 von Java verwenden, ist ein Update auf die aktuellste Version derzeit besonders zu empfehlen. So berichtet heise [ heise.de/newsticker/meldung/Exploit-fuer-ungepatchte-Luecke-in-Java-6-aufgetaucht-1944261.html] unter Berufung auf die Sicherheitsfirma F-Secure von einer Lücke in den Java-Versionen 5 und 6, die bereits ausgenutzt wird. Java-Hersteller Oracle hat die Wartung jedoch für diese Java-Versionen eingestellt. Laut heise betrifft die Lücke nur im Browser ausgeführte Java-Anwendungen sowie von Webstart ausgeführte Programme. Die in Unternehmen weit verbreiteten Server-Installationen von Java sollen demnach nicht gefährdet sein. 4. Zurück aus dem Urlaub: Technik auf dem neuesten Stand? Wenn Sie in diesen Tagen aus dem Urlaub zurückkehren, sollten Sie Ihrem PC, Tablet und Smartphone ein kurzen Check [https://bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/IT-Sicherheit-und-Urlaub_2013.html] gönnen: Schon während eines Kurzurlaubs kann sich viel tun und es ist möglich, dass Ihre Geräte nicht mehr dem aktuellen Stand der Sicherheit entsprechen. Installieren Sie verpasste Sicherheitsupdates für Ihr Betriebssystem, Ihr Virenschutzprogramm, Ihre Firewall oder andere Software sofort nach. Wer nach dem Urlaub einen überquellenden virtuellen Briefkasten vorfindet, sollte alle E-Mails aufmerksam durchgehen und löschen, was verdächtig nach Spam oder Schadsoftware aussieht. 5. Mixed-Content-Blocker: Firefox-Update Mozilla hat die Version 23 seines Firefox-Browsers [mozilla.org/en-US/firefox/23.0/releasenotes/] veröffentlicht. Neben einigen neuen und überarbeiteten Funktionen gibt es auch Erweiterungen bei der Sicherheit: Ein sogenannter Mixed-Content-Blocker ist nun standardmäßig im Browser aktiviert. Er verhindert, dass beim Besuch von HTTPS-Seiten auch unverschlüsselte HTTP-Inhalte ausgeliefert werden. Dadurch wird das Risiko verringert, beim Besuch solcher Mixed-Content-Seiten Opfer von „Man-in-the-Middle"-Angriffen zu werden. Durch ein kleines graues Schutzschild in der Adresszeile wird der Nutzer über geblockte Inhalte informiert und kann die Blockade für einzelne Seiten auch selbst wieder aufheben, wenn gewünscht. Nicht mehr so einfach abschalten lässt sich bei der neuen Version JavaScript: Die Option zum Aus- und Einschalten wurde aus den Einstellungen entfernt. JavaScript bleibt damit zunächst bei allen Nutzern automatisch eingeschaltet. Im Konfigurationsdialog about:config lässt sich dies aber weiterhin ändern. Alternativ kann die Browser-Erweiterung No Script [https://bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/SozialeNetze/Basisschutz/SicherePC/DerSicherePC.html] genutzt werden, mit der der Nutzer selbst bestimmen kann, bei welchen (vertrauenswürdigen) Webseiten JavaScript, Java und anderen Plugins ausgeführt werden. 6. Standardmäßige Verschlüsselung: Mehr Sicherheit bei Google Cloud Storage Google führt für seinen Cloud Storage-Dienst eine kostenlose automatische serverseitige Verschlüsselung [googlecloudplatform.blogspot.de/2013/08/google-cloud-storage-now-provides.html] ein. Neu hinzugefügte Dateien werden beim Hochladen zu Cloud Storage und vor der Speicherung ab sofort auf einem Laufwerk verschlüsselt. Schon länger abgelegte Dateien sollen in den kommenden Monaten sukzessive verschlüsselt werden. Die Nutzer müssten keine eigenen Einstellungen vornehmen, um den Service zu nutzen, so Google. Es ändere sich auch nichts beim Zugriff auf den Dienst oder bei der Performance. PRISMA 7. Windows XP End of Life: Microsoft warnt vor zukünftigen Sicherheitslücken Der Support für Windows XP endet in wenigen Monaten: Ab April 2014 wird es keine Updates und Patches mehr geben. Dennoch läuft das aus dem Jahr 2011 stammende Betriebssystem laut statistischem Bundesamt [de.statista/statistik/daten/studie/158102/umfrage/marktanteile-von-betriebssystemen-in-deutschland-seit-2009/] immerhin noch auf rund 15 Prozent der deutschen PCs. Weltweit sind es sogar noch über 20 Prozent. Microsoft warnte [blogs.technet/b/security/archive/2013/08/15/the-risk-of-running-windows-xp-after-support-ends.aspx] daher seine Kunden eindringlich vor Sicherheitsproblemen nach dem „End of Life“ des Betriebssystems: Hacker würden systematisch prüfen, ob Sicherheitslücken neuerer Betriebssysteme auch bei XP vorhanden sind, die dann nicht mehr durch Security Updates geschlossen werden. 8. Soziale Netze: Das BSI bei Facebook und Xing Millionen Deutsche nutzen soziale Netzwerke: In einer repräsentativen Umfrage von TNS Emnid, die das BSI in Auftrag gegeben hat, gaben über die Hälfte der Befragten an, in sozialen Netzwerken aktiv zu sein. Daher möchten wir Sie auch dort mit wichtigen Informationen rund um die Themen Internet- und IT-Sicherheit informieren: Bei Facebook hat das BSI ein Unternehmensprofil [https://facebook/bsi-fuer-buerger]. Wer bei Facebook registriert ist und bei der BSI-Seite „Gefällt mir" wählt, erhält regelmäßig Neuigkeiten, Tipps und Hinweise zu IT-Sicherheitsthemen. Außerdem gibt es die Möglichkeit, das BSI direkt zu kontaktieren und mit uns zu diskutieren. Bei der Business-Plattform Xing existiert ein Arbeitgeberprofil [https://xing/companies/bundesamtfÜrsicherheitinderinformationstechnik] des BSI. Wer Mitglied bei Xing ist und die Unternehmensseite abonniert, erhält regelmäßig Informationen, unter anderem auch zu Stellenangeboten oder Job-Messen, bei denen BSI-Mitarbeiter vor Ort sind. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: [email protected]
Posted on: Thu, 29 Aug 2013 17:21:45 +0000
Trending Topics
Recently Viewed Topics
© 2015