 |
||||||||||||||||||||||||||||||||||||||||||
 |
||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||
|
Aktuelles CCC fordert wirksamen Schutz vor Datenverbrechen (02.06.2008) Anlässlich der Telekom-Spitzelaffäre fordert der Chaos Computer Club (wir sind Mitglied):
Nähere Details zu den Forderungen können Sie hier auf der entsprechenden CCC-Seite nachlesen.
Realsatire: Google-Gründer warnen vor Gier nach Nutzerdaten (20.05.2008) Ausgerechnet die Google-Gründer Larry Page und Sergey Brin machen sich Sorgen um den Datenschutz, wie die Financial Times berichtet, und zeigen mit dem Finger auf soziale Netzwerke und andere Webanbieter, die Nutzerdaten “aggressiv” für eigene Zwecke - wie gezielte Werbevermarktung - nutzen. Damit haben sie sicherlich recht (sehen Sie dazu auch diesen Beitrag) aber dies vom Suchmaschinenbetreiber “Google” zu hören entbehrt nicht einer gewissen Ironie, denn in Punkto Datensammelwut in Verbindung mit gnadenloser Vermarktung ist dieser wohl kaum zu schlagen. Eine Studie der TU Graz (PDF-Datei 7,08 MB) warnt sogar eindringlich vor der “Bedrohung der Menschheit” durch Google und fordert die Zerschlagung des Konzerns, weil der Suchmaschinen-Marktführer zunehmend die Wahrnehmung unserer Welt beeinflusse und in der Folge auch die Weltwirtschaft in Gefahr gerate. Und vor allem: Gerade Google möchte die Möglichkeit schaffen, soziale Netzwerke miteinander zu verbinden. So muss ein Angreifer nur noch EIN User-Profil hacken, um an alle anderen zu gelangen...der wahre Horror...Wie sicher Googles eigene Dienste sind? Lesen Sie dazu bitte diesen Beitrag.
Windows XP-32 Bit: Service Pack 3 über Windows-Update verfügbar (07.05.2008) Die Patchsammlung “Service Pack 3” für Windows XP ist seit geraumer Zeit fertig und seit heute über die Windows-Update-Funktion verfügbar. Das SP3 aktualisiert alle 32-Bit-Versionen von XP. Voraussetzung für eine Installation ist allerdings ein bereits installiertes Service Pack 1 oder 2.
Vorstösse zur heimlichen Online-Durchsuchung eine reine Farce (29.04.2008) Der neue, nun angepasste Referentenentwurf zur Novelle des BKA-Gesetzes (PDF-Datei von netzpolitik.org) ist im Kreuzfeuer der Kritik. Scheinbar liegt den Machern eine andere Entscheidung des Bundesverfassungsgericht zur Online-Durchsuchung vor. So soll das BKA gewonnene Informationen an den Verfassungsschutz weitergeben dürfen und anstatt eines Richters soll ein Angestellter des BKA u.a. entscheiden, was zum Kernbereich der privaten Lebensgestaltung gehört :-), und somit die Datenverwertung kontrollieren. Ferner fehlt im Entwurf auch die Nachkontrolle einer durchgeführten Massnahme durch einen Richter, um deren Verhältnismässigkeit zu prüfen. Es würde somit ein unkontrolliertes Instrument zur flächendeckenden Dauerüberwachung geschaffen. “Wenn der Gesetzgeber weiterhin in dieser Form mit Verfassungsgerichtsurteilen umgeht, geraten wir in eine schwere rechtspolitische Krise” warnte in diesem Zusammenhang der ehemalige Bundestagsvizepräsident Burkhard Hirsch und warf der Politik einen “Mangel an Ernsthaftigkeit” vor. Sollte der Entwurf so “abgenickt” werden, würde dies klar und zurecht weitere Verfassungsbeschwerden provozieren, deren Ausgang den Gesetzgeber sicherlich erneut in die grundrechtsmässige Schranken verweisen würde. Dieses “Spiel” meinte Herr Burkhard Hirsch wohl mit mangelnder Ernsthaftigkeit... Siehe auch Nähere Infos, Details und Hintergründe zur heimlichen Onlinedurchsuchung (“Bundestrojaner”)
Ist Ihr Web-Browser richtig konfiguriert? (28.04.2008) Im Hinblick auf aktuell zigtausend mit Viren & Co. verseuchten Websites - auch grosse, bekannte Webportale sind betroffen, indem Sicherheitslücken in den Webservern von Angreifern ausgenutzt wurden, um schädlichen Code zu plazieren, der dann die Besucher befällt (Keylogger, Trojaner...) - möchten wir nochmals auf die Gefahren bestimmter Browser-Einstellungen hinweisen. Z.B. standardmässig aktiviertes JavaScript u.s.w.. Sehen Sie dazu bitte folgende Beiträge auf unserer Website:
Um sicher zu surfen, sollten ferner diese Massnahmen ergriffen werden.
Bundestrojaner: Seite Politiker-Zitate 500.000 mal gelesen (19.04.2008) Ein kleines Jubiläum. Unsere gesammelten und kommentierten Zitate der Befürworter des “Bundestrojaners” wurden mit dem gestrigen Tag über eine halbe Million mal angeklickt. Schön, dass so viele Menschen nun Kenntnis vom Sachverstand unserer Politiker haben. Weitere Infos zum Thema: Details zur Remote Forensic Software (RFS) oder kurz “Bundestrojaner”.
Firefox Version 2.0.0.14 ausgeliefert (17.04.2008) Mit dem neuen Release wurde ein Sicherheitsleck geschlossen, welches durch ein zuvor ausgeliefertes Update aufgerissen wurde. Es handelt sich um eine Schwachstelle im JavaScript-Garbage-Collector, über die es einem Angreifer möglich ist, (Schad-)Code in das verwundbare System einzuschleusen. Die Aktualisierung des Firefox-Browsers sollte deshalb von Anwendern umgehend erfolgen, sofern nicht bereits durch die automatische Update-Funktion bereits geschehen!
MS-Patchday: Acht Sicherheitsupdates (09.04.2008) Am heutigen Patchday lieferte Microsoft acht Sicherheitsupdates aus, von denen fünf als kritisch eingestuft werden. D.h. diese beheben Schwachstellen, welche potentiellen Angreifern u.U. die Ausführung von beliebigem (Schad-)Code auf dem ungepatchten, verwundbaren System ermöglichen. Windows-Anwender sollten die Patches deshalb zügig installieren. Hernach ist ein Reboot des Systems fällig.
Mozilla-Firefox: Version 2.0.0.13 ausgeliefert (26.03.2008) Das Update auf Version 2.0.0.13 behebt einige kritische Lücken; u.a. bzgl. der JavaScript-Ausführung des Browsers, über die es einem Angreifer möglich ist fremden (Schad-)Code einzuschleusen und mit max. Browserrechten auszuführen. Anwender sollten den Browser deshalb zügig aktualisieren! Tipp: Um sich vor zukünftigen Sicherheitslecks zu schützen, lässt sich die JavaScript-Ausführung im Firefox-Browser sehr komfortabel mit dem Add-on “NoScript” (OpenSource) konfigurieren - sprich man kann einstellen (zwei Mausklicks), welche Website einmalig oder dauerhaft was (nicht) darf. - Sehr zu empfehlen und u. E. viel besser gelöst als die Zoneneinstellung im Internet Explorer.
Vorratsdatenspeicherung: Einstweilige Anordnung des Bundesverfassungsgericht (19.03.2008) Das Bundesverfassungsgericht schränkte am 11.03.2008 die Vorratsdatenspeicherung durch eine einstweilige Anordnung ein. Die Verkehrsdaten müssen zwar vorläufig (bis zur endgültigen Entscheidung in der Hauptverhandlung) weiter von Internetprovidern und TK-Unternehmen gespeichert werden aber der Zugriff darauf wurde auf schwere, durch bestimmte (genau definierte) Tatsachen begründete, Straftaten begrenzt. D.h. es darf nicht verdachtsunabhängig, präventiv oder bei “mittels Telekommunikation begangener Straftaten” in den Daten gewühlt werden, wie es das verabschiedete Gesetz dem entgegen eigentlich vorsieht. Der Beschluss ist somit ein Signal an die Politik und als Teilerfolg für die über 34.000 Beschwerdeführer zu werten! “In dem Verkehrsdatenabruf selbst liegt ein schwerwiegender und nicht mehr rückgängig zu machender Eingriff in das Grundrecht aus Art. 10 Abs. 1 GG (Schutz des Telekommunikationsgeheimnisses). Ein solcher Datenabruf ermöglicht es, weitreichende Erkenntnisse über das Kommunikationsverhalten und die sozialen Kontakte des Betroffenen zu erlangen.” Das Gericht will nun geprüft haben, ob aus der Vollziehung des Gesetzes den betroffenen Bürgern ein besonders schwerwiegender und irreparabler Schaden droht. Aus diesem Grund muss die Bundesregierung bis zum 01.09. dieses Jahres einen Bericht über die praktischen Folgen der Vorratsdatenspeicherung vorlegen. Mit dem Beginn der Hauptverhandlung ist deshalb auch nicht vor diesem Termin zu rechnen. Bleiben die Verfassungsrichter Ihrer Linie treu und kann der Praxis-Bericht der Bundesregierung keine “Erfolge” aufweisen, wovon auszugehen ist - denn eine Studie des Max-Planck-Instituts (PDF-Datei) sowie eine Studie des Bundeskriminalamt (ausgerechnet! :-) selbst ergaben, dass die teure Vorratsdatenspeicherung kein adäquates Mittel zur Verbrechensbekämpfung ist - , werden sie die verdachtslose Speicherung und Überwachung sicherlich zu Fall bringen. Im Detail kann der Beschluss über nachstehenden Link (Pressemitteilung des Bundesverfassungsgericht als PDF-Datei) nachgelesen werden: ‘Eilantrag in Sachen “Vorratsdatenspeicherung” teilweise erfolgreich’
Sammelverfassungsbeschwerde zur Vorratsdatenspeicherung (15.03.2008) Am 29.02.2008 wurde diese im Namen von 34.451 Beschwerdeführer (auch wir sind dabei) beim Bundesverfassungsgericht in Karlsruhe eingereicht (AZ: 1 BVR 256/08), weil der Bundestag am 09.11.2007 (wir berichteten) das umstrittene Gesetz zur Vorratsdatenspeicherung verabschiedet und Bundespräsident Köhler am 27.12.2007 unterschrieben hat (wir berichteten).
MS-März-Patchday: 12 Office-Lücken geschlossen (12.03.2008) Sieben der zwölf Lücken betreffen allein Excel, zwei betreffen Lecks in Office allgemein sowie zwei Patches sind für Office Web bestimmt. Die letzte geschlossene Lücke betrifft Outlook. Alle betroffenen Sicherheitslecks stuft Microsoft als kritisch ein, da es über diese möglich ist (Schad)Code in ein betroffenes System einzuschleusen. Die zwölf Patches wurden in vier Sicherheitsupdates zusammengepackt und sollten zügig installiert werden. Nähere Infos: siehe MS-Security-Bulletin für März 2008.
Login per Firewire-Port/1394 (08.03.2008) Wer physikalischen Zugang zu einem System hat (z.B. Windows, Linux, Mac OS X), kann sich mit einigen Tricks über den Firewire-Port - ohne Kenntnis des Anmeldepasswortes - ein Login verschaffen. Die Geschichte ist nicht neu, denn bereits in 2006 wurde die 1394-Lücke durch den Sicherheitsexperten Adam Boileau kommentiert. Boileau setzt aktuell noch einen drauf, indem er das Tool “winlockpwn” (siehe Quellcode) für Windows (bislang nur Win XP mit SP2) entwickelte, mit dem dies nun ganz einfach und schnell möglich ist. Die Software gaukelt dem System mittels einer kopierten Firewire-Kennung vor, sie sein ein Gerät, welches nun direkten Speicherzugriff (DMA) auf den RAM benötigt. Auf Systemen, die sensible Daten verwalten, sollte deshalb eine nicht oder nur selten genutzte Firewire/1394-Verbindung unbedingt deaktiviert werden!
BGH stoppt heimliche Online-Durchsuchung in NRW (27.02.2008) Der BGH erklärte die Bestimmungen zur heimlichen Online-Durchsuchung im Verfassungsschutzgesetz des Landes NRW heute für nichtig, weil diese das (neue) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme verletzten. In NRW durften Behörden (konkret der Verfassungsschutz) eMails überwachen, Internetchats beobachten, VoIP-Telefonate abhören und Festplatten heimlich durchsuchen. Das ging den BGH-Richtern eindeutig zu weit! Dennoch weist das Gericht - im Hinblick auf die Novellierung des BKA-Gesetzes - darauf hin, dass eine heimliche Onlinedurchsuchung dann rechtens ist, “wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen” und ein Richter zustimmt. Somit ist der Weg für Schäubles RFS (Remote Forensic Software oder im Volksmund als Bundestrojaner bezeichnet) frei, wenngleich die Grenzen für eine heimliche Online-Durchsuchung vom BGH sehr eng gezogen wurden und deshalb die ursprünglich geplanten Massnahmen so nicht durchführbar sind. So bleibt abzuwarten, wie die grosse Koalition eine entsprechende Regelung formuliert. Auch stehen noch BGH-Klagen zur Vorratsdatenspeicherung von Internet- und Telefonverbindungen an.
Google und Krankenakten (22.02.2008) Ein neuer Google-Service steht in den Startlöchern: GoogleHealth Datenschützer, die ohnehin das bedrohliche Ausmass von Google-(Nutzerdaten-)Wissen verurteilen, sind hell entsetzt. Eine Studie der TU Graz (PDF-Datei 7,08 MB) warnt sogar eindringlich vor der “Bedrohung der Menschheit” durch Google und fordert die Zerschlagung des Konzerns, weil der Suchmaschinen-Marktführer zunehmend die Wahrnehmung unserer Welt beeinflusse und in der Folge auch die Weltwirtschaft in Gefahr gerate.
MS-Februar-Patchday: 17 Sicherheitslücken geschlossen (13.02.2008) Mit den heutigen Updates wurden zehn als kritisch und sieben mit Risikostufe hoch eingestufte Sicherheitslücken geschlossen. Betroffen sind u.a. der Internet Explorer 5,6 und 7, die OLE-Automatisierung (Object Linking and Embedding) und zahlreiche Office-Pakete. Die Windows-Patches sollten zügig installiert werden. Hernach ist ein Reboot des Systems fällig. Nähere Infos siehe Microsoft-Bulletin v. 12.02.2008.
PHP-Script: Formmailer Release 2.3 (10.02.2008) Unser PHP-Formmailer-Script “Contact” steht in der aktualisierten Version 2.3 in den Sprachen deutsch
Firefox Version 2.0.0.12 ausgeliefert (08.02.2008) Mit der heutigen neuen Version 2.0.0.12 des Webbrowsers Mozilla Firefox kommen keine neuen Features hinzu, sondern es werden einige Sicherheitslücken beseitigt, von denen mind. drei als kritisch eingestuft werden. Nähere Details erhalten Sie über die Security Advisories der Mozilla Foundation.
TrueCrypt jetzt mit Pre-Boot-Handler (07.02.2008) Das OpenSource-Programm TrueCrypt unterstützt mit der neuen Version 5.0 mittels einer Pre-Boot-Authentifizierung die Vollverschlüsselung von Systempartitionen oder ganzen Systemdatenträgern. Unser TrueCrypt-Tutorial haben wir entsprechend angepasst. Neu ist in Version 5.0 auch die graphische Oberfläche für Linux!
PHP-Script: Tell-a-Friend Release 3.2 (06.02.2008) Unser PHP-Empfehlungs-Script “Tell-a-Friend” steht in der aktualisierten Version 3.2 in den Sprachen deutsch
zum Archiv14 (03.11.2007-06.02.2008) |
Archiv 15 (IT-Blog von Thomas Murr)
|
|
|
Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap | |