Security News

Details

Veröffentlicht: 27. August 2002

Was sind die wirklichen Risiken

Die Washington Post berichtete im Juni ueber einen 12jaehrigen, der 1998 in das Computersystem, welches die Schleusen des Theodore-Roosevelt-Stausees in Arizona steuert, eindrang. Haette er die Tore des Stausees oeffnen koennen, waeren die Staedte Tempe und Mesa, die eine Population von 1 Million zaehlen, mit Wasser ueberflutet worden. Es gab gluecklicherweise ein Problem mit dem Bericht: Er war nicht echt! Es war ein 27jaehriger Mann, der Vorfall ereignete sich bereits 1994 und er hatte nie die Kontrolle ueber die Schleusen. Falschmeldungen sind wie eine Metapher heutiger Debatten ueber die Verwundbarkeit des Internets. Waehrend solche Warnungen zu Regierungen und Medien durchdringen, sind Weltuntergangsszenarien von Cyber-Terrorismus mit Massenvernichtungen hoechstens Stoff fuer Hollywood-Drehbuecher oder Verschwoerungstheorien.

Details

Veröffentlicht: 26. August 2002

Neue Viren im Umlauf

Das Virenlabor Kaspersky Labs warnt vor einem neuen Wurm, welcher sich ueber das KaZaA-Netzwerk verbreitet. Vom Schaedling namens “D U L O A D“ sind 2 Versionen im Umlauf. Gemaess Kaspersky Labs findet man den Wurm zur Zeit in 39 verschiedenen Dateien. Sobald eine der besagten Dateien geladen und ausgefuehrt wird, kopiert sich der Wurm als “S Y S T E M C O N F I G . E X E“ in das System-Verzeichnis von Windows. Zudem wird ein Verzeichnis namens “M E D I A“ abgelegt, welches wiederum einen Wurm namens “D U L O A D“ enthaelt. Nach einem Neustart der infizierten Geraete haben KaZaA-User auf das neu erstellte Verzeichnis “M E D I A“ Zugriff. Falls man die Variante “D U L O A D . A“ erwischt, wird zudem ein Trojaner auf dem System hinterlegt, welcher via Internet eine Fernsteuerung ermoeglicht.

Details

Veröffentlicht: 22. August 2002

US-Justiz plant Aktion

John Malcom, ein leitender Mitarbeiter der US-Justiz, kuendigte eine verschaerftere Durchsetzung des Urheberrechts an, berichten US-Zeitungen. Internetnutzer, die unbefugt Tauschboersen anbieten, sollen strafrechtlich belangt werden koennen. Malcom meint, es muesse ein Zeichen gesetzt werden. In besonders extremen Faellen sei nicht nur mit einer Geldstrafe zu rechnen, sondern waere eine Gefaengnisstrafe die Folge. Sprecher der Musik- und Filmindustrie befuerworten ein solch massives Vorgehen. Kritiker hingegen warnen vor einer Kriminalisierung von bis zu 70 Millionen US-Amerikaner. Ueber eine detaillierte Vorgehensweise des US-Justizministeriums ist noch nichts bekannt.

Details

Veröffentlicht: 20. August 2002

Ex-Hacker bemaengelt Sicherheitsverbesserungen

Kevin Mitnick, ex-Hacker aus Nevada, bemaengelt in einer Aussage die Sicherheitsverbesserungen der Telefongesellschaft Sprint. Zivilklaeger Eddie Munoz beschwerte sich bei der Oeffentlichen Kommission in Las Vegas, dass die Telefonfirma sein Geschaeft behinderte, indem sie seine Telefonate umleitete, ueberwachte und blockierte. Sprint hat die Vorwuerfe zurueckgewiesen und festgehalten, dass Munoz´ Probleme in seiner eigenen Ausruestung laegen und sie nie ein fremdes Eindringen in ihr System erlitten haetten. Es wurden eine Reihe von Anhoerungen durchgefuehrt und der Ex-Hacker Mitnick, der von Munoz als Berater und Sachverstaendiger angestellt wurde, bezeugte, dass er unerlaubte Kontrolle der Schaltsysteme durch Dial-ups hatte. Sprint bezeichnet nun Kevin Mitnick als Luegner und sieht ihn nicht als geeigneten Zeugen, da er nicht ueber genuegend technisches Know-how verfuege. Ein Urteil der Oeffentlichen Kommission wird diesen Herbst erwartet.

Details

Veröffentlicht: 19. August 2002

Hacker werden mit zwielichtigen Methoden ueberfuehrt

Ein FBI-Agent wurde durch die russische Spionageabwehr ueberfuehrt. Der Agent wird beschuldigt, sich im Rahmen einer FBI-Operation illegal Zugang zu russischen Systemen verschafft zu haben. Der FBI-Ermittler Michael Schuler hatte vor zwei Jahren zwei mutmassliche russische Hacker mit einem fiktiven Job-Angebot der Scheinfirma Invita Security in die USA gelockt, bei einem ebenso fingierten Eignungstest Passwoerter gestohlen und damit spaeter Beweismaterial von deren Rechner in Russland herunter geladen um dieses vor Gericht gegen sie zu verwenden. “Falls die Hacker auf Basis der illegal erworbenen Informationen verurteilt werden, koennte dies bedeuten, dass sich das FBI kuenftig vermehrt auf illegale Weise Zugang zu heiklen Informationen in Russland und in anderen Laendern verschaffen kann,“ schreibt die russische News-Agentur Interfax.

Details

Veröffentlicht: 19. August 2002

Testen Sie jetzt, ob Ihr Internet Explorer durch die aktuellste “Data Object“-Schwachstelle angreifbar ist. Durch diese Schwachstelle könnte eine Webseite, eine Email oder ein Newsgroup-Beitrag ohne Ihr Wissen beliebige Programme auf Ihr System laden und ausführen, zum Beispiel auch Dialer. Der Test wird von Secunia durchgeführt. [pcs]

http://de.secunia.com/ms03-032/

Details

Veröffentlicht: 19. August 2002

Die neue Version des kostenlosen Verschlüsselungswerkzeugs wurde für Multi-Core-CPUs angepasst und erlaubt es, ein Windows-Betriebssystem in einem unsichtbaren Volume zu installieren.

Mit Truecrypt verschlüsselt der Anwender Daten auf einem Notebook. Das kostenlose Open-Source-Werkzeug erzeugt ein virtuelles Volume. Alle Dateien, die der Nutzer verschlüsseln will, speichert er darin ab.

Mittlerweile steht Version 6.0a zur Verfügung. Sie gestattet es, die Partition oder Festplatte, auf dem Windows Vista und Windows Server 2008 installiert sind, zu verschlüsseln. Mit Windows XP ist das hingegen nicht machbar.

Zudem kann man nun ein “unsichtbares“ Betriebssystem ablaufen lassen. Dieses wird in einem “Hidden Volume“ installiert. Ein solcher Festplattenbereich. Hierzu muss der Nutzer allerdings ein paar Regeln beachten.

Absichern lassen sich neben Festplatten auch USB-Speicher. Zum Kodieren nutzt das Tool unter anderem den Algorithmus AES-256 (Advanced Encryption Standard).

Da Datenverschlüsselung immer mit Leistungseinbußen einhergehen, haben die Entwickler die Software erweitert, so dass sie nun auch Multi-Core-Prozessoren sowie Rechner mit mehr als einer CPU unterstützen. Auf der Truecrypt-Site finden sich dazu Benchmarks. Unter Linux verwendet das Programm Verschlüsselungsdienste auf Kernel-Ebene, was auch unter dem quelloffenen Betriebssystem zu mehr Leistung führt.

Truecrypt 6.0a ist für Windows ab XP, Linux und Mac OS X verfügbar.

Quelle: www.computerwoche.de

Details

Veröffentlicht: 19. August 2002

Zukünftig will Yahoo den Nutzern, die Sicherheitslücken melden, mit einem Geldbetrag zwischen 150 und 15.000 Dollar belohnen – je nachdem, wie neu und wie gefährlich die Schwachstelle ist. Somit hofft der Webdienst, die Beziehung zur Sicherheits-Community zu verbessern und künftig Schwachstellen effizienter zu bekämpfen. Ab 31.Oktober 2013 sollen die neuen Regeln gelten, geprüft werden rückwirkend auch alle seit 1. Juli 2013 gemeldeten Schwachstellen. Das dürfte demzufolge auch für die von den Sicherheitsforschern von High-Tech Bridge gemeldeten vier Schwachstellen bei Yahoo gelten, für die der Webdienst zunächst nur mit einem T-Shirt im Wert von 12.50 US-Dollar pro Lücke belohnt werden.

Quelle: heise.de (03.10.2013, ur)