Archiv für das Tag 'sicherheitslücke'

Jun 12 2014

Profile Image of holgi-w

TrueCrypt in letzter überprüfter Version erhältlich

TrueCrypt in letzter überprüfter Version erhältlich

Die letzte Version der Verschlüsselungs-Software wurde vom Open Crypto Audit Project überprüft und zum Download angeboten.

Nach dem Aus für die Verschlüsselungs-Software TrueCrypt können Benutzer davon ausgehen, dass entdeckte Lücken künftig nicht mehr geschlossen werden. Ein Umstieg auf alternative Verschlüsselungsprogramme wird empfohlen. TrueCrypt-Fans haben nun aber noch eine Chance, die aktuellste Version des Programms in einer überprüften Version herunterzuladen.

Die Überprüfung wurde vom Open Crypto Audit Project vorgenommen, berichtet WinFuture. Dahinter steckt ein Team von Sicherheitsexperten, die TrueCrypt seit Längerem überprüfen. Auf der Software-Plattform GitHub steht TrueCrypt 7.1a zum Download für Windows, OS X und Linux zur Verfügung.

Quelle: futurezone 11.06.2014

via Verwirrung um Verschlüsselungs-Software TrueCrypt.

Use a Highlighter on this page

Keine Kommentare

Mai 30 2014

Profile Image of holgi-w

Verwirrung um Verschlüsselungs-Software TrueCrypt

Verwirrung um Verschlüsselungs-Software TrueCrypt

Das Open-Source-Tool ist laut Angaben auf der offiziellen Webseite nicht mehr sicher, Nutzer sollen demnach zu Microsofts BitLocker wechseln.

TrueCrypt galt für viele Nutzer jahrelang als erste Wahl, wenn es um Verschlüsselungssoftware geht. Mit dem Tool konnte man Dateien oder wahlweise ganze Festplattenpartitionen verschlüsseln, verstecken und so vor unbefugtem Zugriff schützen. Seit kurzem leitet die offizielle URL von TrueCrypt jedoch zu einer SourceForge-Seite weiter, die ausdrücklich davor warnt, die Software weiterhin zu verwenden. „TrueCrypt zu verwenden ist nicht mehr sicher, da es offene Sicherheitslücken enthält“, heißt es dort.

Stattdessen sollen Nutzer auf das Windows-Bordmittel BitLocker zurückgreifen, was auch anhand von Bildern erklärt wird. Als Erklärung wird angegeben, dass die Entwicklung von TrueCrypt gestoppt wurde, nachdem Microsoft den Support von Windows XP eingestellt hat. Alle späteren Windows-Betriebssysteme hätten demnach ohnehin standardmäßig ein Verschlüsselungs-Tool integriert. Gleichzeitig wurde eine aktualisierte Version von TrueCrypt veröffentlicht, die ebenfalls diese Warnung enthält. Die Datei ist mit dem gleichen gültigen Schlüssel signiert, mit dem auch alle Versionen zuvor versehen waren. Eine offizielle Mittelung des Teams hinter TrueCrypt gibt es nicht.
Unklarheiten

Um welche Sicherheitslücke es sich dabei handelt, ist allerdings völlig unklar. Matthew Green, ein amerikanischer Verschlüsselungsexperte, der die letzte Sicherheitsüberprüfung von TrueCrypt Mitte April geleitet hat, gab auf Twitter an, er wisse nicht, was mit der Warnung gemeint sein könnte. In der umfangreichen Prüfung des Codes konnten damals zwar einige Bugs, aber keine sicherheitsrelevanten Probleme aufgedeckt werden. Das letzte, was er von den TrueCrypt-Verantwortlichen nach der Überprüfung hörte war, dass sie gespannt auf die Ergebnisse der zweiten Phase der Überprüfung warteten.

Eine offizielle Stellungnahme des Teams hinter TrueCrypt gibt es derzeit noch nicht. Teilweise wird, wie etwa von Heise, spekuliert, dass es sich bei dem plötzlichen Schritt um eine Reaktion auf eine Drohung der US-Regierung handelt. Die US Bundesbehörde Lavabit hatte bereits Ende 2013 Druck auf den Webmail-Service Lavabit ausgeübt und so dessen Schließung ausgelöst.

Quelle: futurezone

via Verwirrung um Verschlüsselungs-Software TrueCrypt.

Use a Highlighter on this page

Keine Kommentare

Mrz 08 2013

Profile Image of holgi-w

Kaspersky: “Flash und Java bleiben ein Problem”

Adobe und Oracle kommen mit dem Stopfen von Sicherheitslücken in Flash und Java kaum nach. Woche für Woche werden neue Angriffe und Zero-Day-Exploits bekannt, was die Browserhersteller sogar dazu veranlasste, die besagten Plug-ins zu sperren oder vorübergehend zu deaktivieren. “Die Situation wird sich auf kurze Sicht nicht bessern”, sagt Kaspersky-Virenanalyst Costin Raiu im Gespräch mit der futurezone auf der CeBIT.

“Flash ist und bleibt ein Problem, vor allem da es keine wirkliche Alternative gibt und viele Seiten immer noch Flash verwenden”, meint Raiu. Aber auch Java, das man natürlich deaktivieren könne, sei immer noch mehr oder weniger stark verbreitet. “Ich kann derzeit beispielsweise mein Online-Banking nicht verwenden”, so Raiu, der auch Versäumnisse bei den Hersteller-Firmen ortet.

Microsoft als Vorbild
Während Adobe und Oracle schleunigst entsprechende Maßnahmen treffen müssten, habe Microsoft vorgemacht, wie man derartige Probleme zumindest eindämmen könne. “Bill Gates hat vor mittlerweil elf Jahren erkannt, dass Sicherheit nicht auf die leichte Schulter zu nehmen ist und das Thema zur konzernweiten Priorität erklärt. Nun, ein Jahrzehnt später, sieht man die Früchte des Erfolgs. Im Vergleich zu früher sind viel weniger Microsoft-Produkte von derartigen Schwachstellen und Attacken betroffen”, erklärt Raiu.

Da derartige Initiativen aber nicht von heute auf morgen greifen, sei wohl auch in absehbarer Zukunft mit Problemen bei Flash und Java zu rechnen. Abhilfe würden in einigen Fällen auch neue Anti-Malware-Technologien schaffen, mit denen etwa Zero-Day-Attacken, also Angriffe, für die noch kein Patch oder keine Antiviren-Signatur vorhanden sind, verhindert werden können. Mit “Whitelisting”, also entsprechenden Verzeichnissen, die vertrauenswürdige Seiten und Programme anführen, habe man schon gute Erfolge gefeiert. Problematisch werde es aber, wenn Malware, wie im Fall von Adobe mit einer ebenfalls gestohlenen offiziellen digitalen Signatur versehen sei. Dann stoße auch das Whitelisting an seine Grenzen, so der Kaspersky-Virenanalyst.

Zwei-Weg-Authentifizierung einziger Schutz
Auch groß angelegte Hacks, wie derjenige bei der Notiz-Plattform Evernote würden sich in Zukunft kaum vermeiden lassen. Dass Evernote nur wenige Tage, nachdem alle User aufgefordert wurden, ihre Passwörter zu ändern, eine Zwei-Weg-Authentifzierung angekündigt hat, bewertet Raiu positiv. “Das ist der einzige Weg, um User in so einem Fall zu schützen. Denn selbst wenn das Passwort abhanden kommt, ist es für den Angreifer unbrauchbar, da man zum Log-in von einem anderen Computer auch einen SMS-Code bzw. das Handy des Users benötigt”, erklärt Raiu.

In diesem Bereich habe Google gute Vorarbeit geleistet, indem der Konzern eine Zwei-Weg-Authentifizierung bei seinen Services eingeführt habe und auch bewerbe. Raiu rät daher allen Usern, die noch per einfacher Passwort-Eingabe in ihre Google-Services einsteigen, auf die sichere Variante umzusteigen. Wie das Ganze funktioniert, erklärt Google in den Sicherheitseinstellungen unter dem Punkt “Bestätigung in zwei Schritten”.

Quelle: futurezone

via Kaspersky: “Flash und Java bleiben ein Problem”.

Use a Highlighter on this page

Keine Kommentare

Mrz 07 2013

Profile Image of holgi-w

Sicherheitslücke: Galaxy-S3-Sperre kann ausgehebelt werden

Abgelegt unter Handy-Ecke

Laut mehreren Berichten kann der Sperrbildschirm durch eine Tastenkombination umgangen und so gleichzeitig auch bis zum nächsten Neustart deaktiviert werden. Außerdem wurde bekannt, dass die Samsung-Tastatur teilweise Passwörter speichert.

Nachdem vor einigen Wochen ein Problem mit dem Sperrbildschirm unter Apples iOS bekannt wurde, trifft es nun auch Android-Geräte von Samsung. Demnach reicht eine Tastenkombination, mit der die Sperre des Gerätes umgangen und gleichzeitig deaktiviert werden kann. Dabei spielt es keine Rolle, ob das Smartphone durch ein Muster oder durch einen Code gesperrt ist.

Der Angreifer muss beim Sperrbildschirm lediglich die Notruf-Option auswählen und anschließend die Notfall-Kontaktliste öffnen. Dann muss der Home-Button, rasch gefolgt vom Power-Button gedrückt werden. Erwischt man den richtigen Zeitpunkt, wird das Smartphone anschließend beim erneuten Druck auf den Power-Button entsperrt. Die Sperre ist dann bis zum nächsten Neustart des Handys deaktiviert.

Der Bug wurde von mehreren Quellen (ZDNet, Ars Technica und Engadget) unter der offiziellen Firmware auf Basis von Android Jelly Bean (4.1) bestätigt. Um das richtige Timing zu erwischen, sind laut den Berichten jedoch sehr viele Versuche notwendig.

Samsung hat auf die Lücke noch nicht reagiert, es ist nicht bekannt, ob der Bug bereits in der kommenden Firmware auf Basis von Android 4.2 behoben ist.

Tastatur

Gleichzeitig wird von einer Sicherheitslücke im offiziellen Samsung-Keyboard unter Android berichtet. Demnach speichert die automatische Vervollständigung auch das, was man in Passwortfeldern eingibt. Gibt man an anderer Stelle die ersten Buchstaben des Passworts ein, wird das korrekte Wort in einigen Fällen von der Tastatur vorgeschlagen. Das geschieht nur, wenn man Text in normalen Textfeldern eingibt, in Passwortfeldern werden von der Tastatur keine Vorschläge gemacht.

Das Problem tritt lediglich bei Passwörtern auf, die rein aus Buchstaben bestehen. Tippt man sie dem Bericht zufolge mehr als zwölf Mal in Passwortfelder ein, werden sie vollständig in das Wörterbuch aufgenommen und wieder angezeigt.

Eine Spur sicherer sind die Nutzer, bei denen Sonderzeichen im Passwort vorkommen. Dann schneidet die Tastatur den Teil hinter den Sonderzeichen bei den Vorschlägen weg. Auch reine Zahlenkombinationen werden nicht in das Wörterbuch aufgenommen, Kombinationen aus Buchstaben und Zahlen jedoch schon.

Quelle: futurezone

via Sicherheitslücke: Galaxy-S3-Sperre kann ausgehebelt werden.

Use a Highlighter on this page

Ein Kommentar

Mrz 04 2013

Profile Image of holgi-w

Evernote gehackt – Alle Passwörter betroffen

Wie Evernote in einem Blog-Post mitteilt, haben sich Unbekannte Zugriff auf User-Informationen verschafft. Sowohl User-Namen, als auch E-Mail-Adressen und Passwörter sollen gestohlen worden sein. Eine unmittelbare Gefahr herrscht laut Evernote nicht, alle User sind aber aufgerufen, ihre Passwörter zu ändern.

Wer sich heute bei Evernote einloggen will, wird aufgefordert, ein neues Passwort zu wählen. Die Erklärung folgt auf dem offiziellen Blogeintrag von Evernote, der nach Bekanntwerden des Hacks aber nur schwer zu erreichen war. In diesem gibt Evernote zu Protokoll, dass man am 28. Februar unautorisierte Aktivitäten bemerkt.

Die entwendeten Passwörter stellen zwar kein unmittelbares Risiko dar, da diese verschlüsselt auf dem Server gespeichert waren. Aus Sicherheitsgründen müssen Evernote-User dennoch das Passwort austauschen.

Quelle: futurezone

via Evernote gehackt – Alle Passwörter betroffen.

Use a Highlighter on this page

Keine Kommentare

Feb 27 2013

Profile Image of holgi-w

Flash Player: Adobe warnt vor Security-Lecks (aktuell, 27.02.2013)

Abgelegt unter PC-Ecke

Zweites Notfall-Update in Folge soll kritische Schwachstellen schließen

San Jose (pte012/27.02.2013/11:40) – Adobe hat bei seinem Flash Player weiterhin gravierende Sicherheitsprobleme. Wie das kalifornische Unternehmen in einer offiziellen Stellungnahme wissen lässt, wurden im Code der aktuellen Version der Multimediasoftware zwei kritische Sicherheitslücken entdeckt, die von Cyber-Kriminellen bereits aktiv ausgenutzt werden. Um User vor ungewollten Attacken zu schützen, wurde nun eiligst ein “Notfall-Update” veröffentlicht, das die gefährlichen Schwachstellen schließen soll. Der letzte derartige Security-Patch ist dabei gerade einmal zwei Wochen alt.

“Flash ist eine weit verbreitete Software. Je größer die Verbreitung, desto attraktiver ist sie für Hacking-Angriffe”, erklärt Martin Penzes, Geschäftsführer von Safetica Österreich. Insofern sei es auch keine Überraschung, dass dortige Sicherheitslücken besonders häufig ausgenutzt werden. “Dass gleich zwei Notfall-Updates in so kurzer Zeit veröffentlicht werden, ist schon etwas auffällig”, meint Penzes. Aus User-Sicht sei aber nur wichtig, dass bekannte Schwachstellen immer so schnell wie möglich geschlossen werden.

Windows, Mac und Linux

Betroffen von den Sicherheitslücken sind laut Adobe alle Versionen des Flash Players bis einschließlich 11.6.602.168 unter Windows, 11.6.602.167 unter Mac OS X und 11.2.202.270 unter Linux. “Mit dem Update schließen wir verwundbare Stellen, die dazu führen können, dass die Software zum Absturz gebracht und Schadcode ausgeführt werden kann”, heißt es in der Stellungnahme. Angreifer könnten auf diese Weise zudem prinzipiell sogar die Kontrolle über die betroffenen Systeme erlangen, warnt das Unternehmen.

Einige der Schwachstellen, die nun hastig geschlossen werden sollen, werden Adobe zufolge von Cyber-Kriminellen bereits aktiv ausgenutzt. “Uns liegen Berichte vor, dass CVE-2013-0643 und CVE-2013-0648 bereits in Form von Targeted Attacks ausgenutzt werden, die User dazu bringen sollen, auf einen bestimmten Link zu klicken, der sie dann auf eine Webseite mit schadhaftem Flash-Content führt”, beschreibt der Softwarekonzern das Prozedere. Die derzeit bekannten Exploits würden sich dabei gegen Firefox richten.

So schnell wie möglich updaten

Der aktuelle Notfall-Patch ist mittlerweile bereits das dritte Sicherheitsupdate, das für den Flash Player im Februar veröffentlicht worden ist und das zweite innerhalb von nur zwei Wochen. Adobe rät seinen Kunden, so schnell wie möglich die aktualisierte Flash-Version 11.6.602.171 (Windows und Mac OS X) sowie 11.2.202.273 (Linux) zu installieren. Der in Google Chrome und den Internet Explorer 10 integrierte Flash Player wird automatisch auf 11.6.602.171 aktualisiert. Entsprechende Downloads stehen unter https://get.adobe.com/de/flashplayer/ bereit.

Quelle:pressetext.com

via Flash Player: Adobe warnt vor Security-Lecks (aktuell, 27.02.2013).

Use a Highlighter on this page

Keine Kommentare

Nov 14 2012

Profile Image of holgi-w

Sicherheitslücke: Galaxy SIII sichert Passwörter im Klartext

Abgelegt unter Handy-Ecke

Beim beliebten Samsung Galaxy SIII ist eine Sicherheitslücke gefunden worden. Die interne App S-Memo speichert Passwörter im Klartext. Damit wird es möglich, dass jeder, der sich Zugriff beschaffen kann und weiß, wo das entsprechende File liegt, dieses auch tatsächlich lesen kann.

Einem Bericht von geek.com zufolge ist es möglich, Passwörter, die in der S-Memo-App von Samsung gespeichert werden, im Klartext aufzurufen. Jeder, der zum entsprechenden File Zugang habe, könne dieses auch lesen. Zugang zu dem File bekommen Angreifer allerdings nur dann, wenn das Android-Phone gerootet ist. Daher betrifft die Sicherheitslücke nur wenige User.

Nichtsdestotrotz sollte die Sicherheitslücke möglichst rasch behoben werden, denn wenn ein Galaxy SIII tatsächlich gerootet wird, können dadurch beispielsweise die Login-Daten für den Google-Account entwendet werden. Samsung sei daher dazu aufgerufen, die Passwörter im S-Memo nicht mehr im Klartext abzuspeichern.

Quelle: futurezone

via Sicherheitslücke: Galaxy SIII sichert Passwörter im Klartext.

Use a Highlighter on this page

Keine Kommentare

Jul 12 2012

Profile Image of holgi-w

Yahoo: 450.000 Klartext-Passwörter gestohlen

12.07.2012 – Angreifer konnten in eine Datenbank von Yahoo eindringen und in großem Ausmaß Nutzerdaten kopieren. Die E-Mail-Adressen und Passwörter waren offenbar unverschlüsselt gespeichert und wurden kurz darauf veröffentlicht.

Wie das Sicherheitsunternehmen TrustedSec berichtet, stammen die Zugangdaten mit hoher Wahrscheinlichkeit von dem Voice-over-IP-Dienst „Yahoo! Voice”. Für den Angriff wurde offenbar eine SQL-Injection eingesetzt. Diese Art der Attacke weist in der Regel auf stark mangelhafte Sicherheitsvorkehrungen von Webseitenbetreibern hin.

Insgesamt wurden genau 453,492 Zugangsdaten entwendet und online gestellt. Die veröffentlichten E-Mail-Adressen stammen dabei von verschiedenen Providern wie Gmail, AOL und andere. Die komplette Liste mit Adressen und Passwörter war von TrustedSec verlinkt, kann aber zum aktuellen Zeitpunkt nicht mehr aufgerufen werden.

“Viele weitere Sicherheitslücken”
Neben den Daten findet sich in dem entsprechenden Textdokument noch eine Notiz der vermeintlichen Angreifer: „Wir hoffen, dass alle Sicherheitsverantwortlichen für diese Subdomain das als Weckruf und nicht als Bedrohung sehen. Es gibt viele Sicherheitslücken in Yahoo-Webservern, die viel größere Schäden angerichtet haben als unsere Enthüllung.” Details zu den weiteren Lücken nennen die Angreifer nicht, laut eigenen Angaben „um noch mehr Schaden zu verhindern”.

Yahoo-Nutzern wird geraten, das eigene Passwort so schnell wie möglich zu ändern. Falls die gleichen Daten auch bei anderen Diensten genutzt werden, sollten diese Accounts ebenfalls umgehend geändert werden.

Quelle: futurezone

via Yahoo: 450.000 Klartext-Passwörter gestohlen.

Use a Highlighter on this page

Keine Kommentare

Mai 07 2012

Profile Image of holgi-w

Schwere Sicherheitslücke bei Mac OS X Lion

Abgelegt unter PC-Ecke

Beim Update auf das Mac-Betriebssystem OS X Lion 10.7.3. hat ein Apple-Programmierer eine „Kleinigkeit” an Code-Zeilen bei den Log-Files vergessen. Seit dem werden Passwörter von User-Logins im Klartext gespeichert.

Alle Nutzer, die vor dem Update auf Lion das Verschlüsselungssystem FileVault genutzt haben, seien betroffen, heißt es in einem Bericht von „Zdnet”. FileVault 2 sei davon nicht betroffen. Das heißt, es ist ist nur ein Teil der Mac OS X Lion-Nutzer betroffen.

Die Lücke ist aber insofern immens, als dass jeder ohne Administrator-Rechten nun auch die Zugangsdaten für von einzelnen Nutzern verschlüsselten Files hat. Die Log-Datei kann einfach über den FireWire-Target-Disk-Modus geöffnet werden, wenn sie von der Lion-Wiederherstellungs-Partition booten.

David Emery, ein Sicherheitsexperte, deckte die Lücke auf und veröffentlichte sie auf der Cryptome-Mailinglist. Auch Time Machine-Backups auf externen Festplatten sollen von der Lücke betroffen sein, die seit 1. Februar 2012, seit dem Update auf die Version 10.7.3., existiert. Apple hat bisher nicht reagiert, das heißt es gibt noch keine Hilfe. Emery empfiehlt den Nutzern, regelmäßig das Passwort zu ändern und niemals wieder auf das Passwort zurückzugreifen, das im Klartext gespeichert wurde.

Quelle: futurezone

via Schwere Sicherheitslücke bei Mac OS X Lion.

Use a Highlighter on this page

Keine Kommentare

Mrz 12 2012

Profile Image of holgi-w

Wettbewerb: Auch Firefox und Internet Explorer gehackt

Nach dem Chrome-Hack (Wettbewerb: Google-Browser Chrome konnte in fünf Minuten geknackt werden) wurden auch Sicherheitsücken bei dessen Browser-Rivalen gefunden. Die Security-Experten, die die Browser geknackt haben, wurden im Rahmen des Pwn2Own-Wettbewerbs mit Preisgeldern von bis zu 60.000 Dollar belohnt. Als nächstes soll Apples Safari dran glauben müssen.

Im Rahmen des Hacker-Wettbewerbs Pwn2Own wurden nach Googles Chrome-Browser (die futurezone berichtete) auch dessen Konkurrenten gehackt. So schafften es die beiden Security-Experten Vincenzo Iozzo und Willem Pinckaers, dem Firefox über eine bisher unbekannte Sicherheitslücke – ein so gnannter “Zero Day Exploit” – Schadcode unterzujubeln. Sie verdienten sich damit ein Preisgeld von 30.000 Dollar. Geknackt wurde der Firefox 10.0.2 unter Windows 7 SP 1, bei dem Hack wurden mit DEP und ALSR zwei wichtige Sicherheitsfunktionen des Windows-Betriebssystems ausgehebelt. Besonders anfällig ist Firefox offensichtlich, weil er anders als andere Browser keine Sandbox-Technologie bietet.

60.000 Dollar für Chrome- und IE-Hack
Diese Sandbox-Technologie schützte aber weder Chrome noch den Internet Explorer. Experten des Sicherheits-Unternehmens Vupen konnten den Internet Explorer 9 auf Windows 7 knacken und mit Hilfe einer präparierten Webseite Schad-Software auf dem betreffenden Rechner installieren. Vupen war es auch, die den Chrome-Browser von Google in nur fünf Minuten in die Knie zwangen. Die Firma hat sich mit den Hacks 60.000 Dollar verdient – ganz dem Geschäftsmodell des Unternehmens entsprechend.

Apple blieb verschont

Nun liegt es an den Browser-Herstellern, die Sicherheitslücken zu schließen. Google hat das bereits getan. Als einziger Anbieter ist bis dato Apple mit seinem Safari von Hacks verschont geblieben. Allerdings hat Vupen in einem Tweet bereits verlautbart, einen “Zero Day Exploit” auch in dem Apple-Browser entdeckt zu haben.

Quelle: futurezone

via Wettbewerb: Auch Firefox und Internet Explorer gehackt.

Use a Highlighter on this page

Keine Kommentare

Ältere Einträge »