Donnerstag, 12. Juni 2014

Microsoft stopft 66 gefährliche Bilder-Lecks

Internet-Bildchen und Webseiten machen Windows angreifbar, ein Update schützt



Microsoft hat seine monatlichen Sicherheitsupdates veröffentlicht. Insgesamt wurden sieben Update-Pakete geschnürt und 66 Sicherheitslöcher im Internet Explorer, in Office und Windows geschlossen. Anwender sollten die Updates umgehend installieren, da Kriminelle die Schwachstellen jederzeit für einen Angriff nutzen könnten. Sechs Sicherheitslücken im Flash Player von Adobe für den Internet Explorer wurden ebenfalls geschlossen.


Die meisten Anfälligkeiten ermöglichen es Angreifern, ein System zu kontrollieren und private Daten wie Konten- und Kreditkartennummern auszuspähen. Dazu reicht in den meisten Fällen schon der Besuch einer entsprechend präparierten Internetseite aus.

Web-Bildchen verseuchen Windows-PC

Mit Update MS14-035 stopft Microsoft insgesamt 59 Sicherheitslecks in seinem Standard-Browser für Windows. Insbesondere die abgesicherte Version Internet Explorer 11 trägt dazu bei, dass Online-Kriminelle nicht mehr so leichtes Spiel haben.

 Das zweite mit der Gefahrenstufe "kritisch" bewertete Update unterbindet die Möglichkeit, Schadsoftware im Grafikherzen von Windows auszuführen, wenn der Nutzer eine manipulierte Bilddatei oder Webseite öffnet. Der Patch MS14-036 besteht aus zwei Update-Paketen, wobei die Schwachstelle auch in den älteren Office-Programmen 2010 und 2007 steckt. Es ist dringend zu empfehlen, auch dieses Update zu installieren, sofern diese Programme bei Ihnen laufen. 


Update-Paket für Office Word

Für die Office-Suite 2007 hat Microsoft noch einen zweiten Patch veröffentlicht. Hier können manipulierte Word-Dokumente einen Fehler provozieren, durch den ein Angreifer einen PC mit Schadprogrammen wie Viren und Trojaner infizieren kann. Der Patch MS14-034 schließt dieses Einfallstor und macht derartige Versuche wirkungslos.

 Weitere Updates betreffen die System-Bauteile XML Core Services (MS14-033), TCP-Protokoll (MS14-031) und den Remotedesktop (MS14-030) unter Windows 7 sowie Windows 8 und 8.1. Ohne diese Sicherheitspatches haben Angreifer die Möglichkeit, die Internetverbindung zu blockieren und Informationen über den Rechner und seinen Benutzer auszuspionieren.

Windows aktualisieren

In der Regel lädt Windows die neuen Updates automatisch herunter, anschließend müssen Sie den Rechner neu starten. Sie können die Update-Funktion aber auch händisch anstoßen und fehlende Sicherheitspatches herunterladen und installieren. Alle Updates sind auch auf der Internetseite von Microsoft näher beschrieben und stehen dort zum Download zur Verfügung. 
 
Zum monatlichen Patch-Day veröffentlichte auch Adobe die neue Version 14.0.0.125 seines Flash Players, die sechs Sicherheitslücken in der Multimedia-Anwendung beseitigt. Wer eine veraltete Version nutzt, sollte entweder Flash austauschen oder im Falle von Browsern wie Google Chrome oder neueren Versionen des Internet Explorers (Version 10 und 11) unter Windows 8 beziehungsweise 8.1 die dortige Softwareaktualisierung starten. 

Schützen Sie Ihren Computer rechtzeitig, indem Sie Windows und die verwendete Software aktualisieren. Laut Microsoft und Adobe sind noch keine gezielten Angriffe gemeldet worden, die die neuen Lücken ausnutzen. Erfahrungsgemäß reagieren Online-Kriminelle jedoch binnen Stunden mit der massenhaften Aussendung speziell angepasster Schadprogramme. Dies kann schon beim nächsten Computerneustart der Fall sein.

 Quelle: t-online.de

Dienstag, 3. Juni 2014

FBI und Europol zerschlagen Hacker-Ring "Gameover Zeus"

FBI und Europol haben einen weltweiten tätigen Hacker-Ring gesprengt, der umgerechnet über 75 Millionen Euro erbeutet haben soll.


Die Polizei hat einen Hacker-Ring gesprengt, der für das Botnetz "Gameover Zeus" und den gefürchteten Erpresser-Trojaner "Cryptolocker" verantwortlich sein soll. An der Aktion war neben dem FBI und der europäischen Polizeibehörde Europol auch das Bundeskriminalamt BKA beteiligt.Die Online-Kriminellen sollen umgerechnet über 75 Millionen Euro erbeutet haben, teilte Europol mit.








Die Hacker-Bande soll bis zu eine Million Computer in zwölf Ländern mit dem Virus "Gameover Zeus" infiziert und ein kriminelles Netzwerk geschaffen haben. Mit Hilfe der Schadsoftware drangen die Online-Kriminellen in Computer ein und spionierten Bankdaten und andere vertrauliche Daten aus. "Gameover Zeus" sei das "ausgeklügelste Botnet", das das FBI je enthüllt habe, sagte FBI-Ermittler Robert Anderson. 

Gegen den mutmaßlichen Chef der Hacker-Bande wurde in zwei US-Bundesstaaten Anklage erhoben, meldete das US-Justizministerium. Dem 30-jährigen Russen werden unter anderem Betrug, Geldwäsche und Computerhacking zur Last gelegt. Der Verdächtige soll sich zuletzt in dem Ferienort Anapa am Schwarzen Meer aufgehalten haben.


Lösegeld-Trojaner erpresst Computernutzer

Über das Botnetz "Gameover Zeus" sei auch der unter Computernutzern gefürchtete Erpresser-Trojaner "Cryptolocker" verschickt worden. Nach Angaben von Europol soll "Cryptolocker" seit April 2014 mehr als 234.000 Computer infiziert und in Geiselhaft genommen haben. In den USA erbeuteten die Kriminellen mit dieser Masche laut den Ermittlern mehr als 27 Millionen Dollar.
Auf die Rechner seiner Opfer soll "Cryptolocker" als vorgebliche Rechnung oder Video-Download gelangt sein, schreibt Europol in einer Kurzmitteilung (PDF). Dort verschlüsselte der Schädling die vorgefundenen Dokumente und gab das Passwort erst gegen Zahlung eines Lösegeldes mit virtuellen Währungen wieder frei. Selbst bei den Rechnern der US-Polizei hatte der Geiselnehmer damit Erfolg, wie ein Vorfall im November gezeigt hat.

Komplexe Ermittlungen und internationale Kooperation

"Diese Betrügereien waren extrem ausgeklügelt und immens lukrativ", erklärte Staatsanwältin Leslie Caldwell vom US-Justizministerium. "Die Cyber-Kriminellen haben es uns nicht einfach gemacht, sie zu finden und zu zerschlagen". Die Behörden von fast einem Dutzend Ländern, darunter das Europäische Zentrum zur Bekämpfung der Cyberkriminalität in Den Haag, haben mit Hilfe von Dell und Microsoft sowie von Antiviren-Firmen wie McAfee und Symantec koperiert, um die Kontroll-Server von "Gameover Zeus" und "Cryptolocker" auszuschalten. Dies sei gelungen, sagte Leslie Caldwell.

Das US-Justizministerium hat weitere Maßnahmen angekündigt, um mit "Gameover Zeus" alias "Zeus P2P" infizierte Rechner zu säubern. Diese stellen nach wie vor eine Gefahr für Internetnutzer dar. "Wir werden unser Bestes tun, um sicherzustellen, dass die Betreiber nicht wieder die Kontrolle über die infizierten Maschinen erhalten", so die Staatsanwältin.

Samstag, 24. Mai 2014

WhatsApp reißt Bildrechte der Nutzer an sich

Ein Schnappschuss im Urlaub, ein Gruppenfoto mit Freunden, ein intimer Liebesgruß an den Liebsten: Wer per WhatsApp ein Foto oder Video verschickt, tritt alle Rechte an dem Material automatisch an das kalifornische Unternehmen ab. Der Kurznachrichtendienst darf mit den Bildern im Prinzip machen, was er will. So steht es im Kleingedruckten der englischsprachigen Nutzungsbedingungen. Deutsche Verbraucherschützer klagen gegen diese Regelung.


Hand aufs Herz: Wer liest die Allgemeinen Geschäftsbedingungen eines Online-Dienstes durch, bevor er auch "Akzeptieren" klickt? Das Handelsblatt hat gemeinsam mit dem auf Internet-Recht spezialisierten Anwalt Rolf Becker von der Kölner Kanzlei Wienke & Becker die nur in Englisch verfügbaren AGB von WhatsApp genauer angesehen. Ergebnis: Nutzer übertragen die Rechte an allem, was sie senden, an WhatsApp.

WhatsApp darf Privatfotos verkaufen

Die Details stecken im Punkt 5 Abschnitt B der Nutzungsbedingungen. Dort steht, dass der Nutzer durch das Senden einer Nachricht dem Unternehmen das "weltweite, nicht exklusive, kostenlose, lizensier- und übertragbare Recht einräumt, Inhalte zu reproduzieren, verteilen, zu neuen Werken aufzubereiten, anzuzeigen und vorzuführen." 


Dieses Recht hat "WhatsApp (und Nachfolger) für eigene Dienste und Geschäfte einschließlich unbegrenzter Nutzung für die Werbung und Verbreitung des Dienstes als ganzes oder in Teilen in jeglicher Art von Medien, Formaten und über jegliche Medienkanäle."

Anwalt Becker fasst das im Handelsblatt zusammen: "Die Kunden stimmen jedenfalls in den Allgemeinen Geschäftsbedingungen zu, dass WhatsApp alle Inhalte, Bilder und ähnliches ohne Einschränkung und in allen Medienformaten und über alle Kanäle weiterverbreiten kann.“ Bisher ist allerdings unklar, ob WhatsApp von diesen Rechten auch Gebrauch macht.
  

Für geklaute Bilder haftet der Nutzer

Paragraph 5 Abschnitt C der Nutzungsbedingungen verpflichtet den WhatsApp-Nutzer, unter anderem auf Urheberrecht und andere Schutzrechte zu achten. Er darf also mit den gesendeten Inhalten nicht gegen Gesetze verstoßen oder Rechte Dritter verletzten. Tut er es doch, muss er den Betreiber des Dienstes schadenfrei halten.

Mit anderen Worten: Verschickt ein Nutzer ein fremdes Foto, dass er irgendwo geklaut hat und verwendet WhatsApp dieses dann beispielsweise für eine Werbung, dann muss der Nutzer dafür haften, wenn der rechtmäßige Urheber gegen die Werbung vorgeht.

WhatsApp verstößt gegen deutsches Recht

Der Bundesverband Verbraucherzentralen (vzbv) bewertet diese Nutzungsbedingungen als Missachtung der Rechtslage und bewertet die AGB daher als unzulässig. Das Handelsblatt zitiert Carola Elbrecht von der vzbv: "Unserer Auffassung nach werden englischsprachige AGBs von Diensten, die sich augenscheinlich an deutsche Verbraucher richten, nicht Vertragsbestandteil.“

Der vzbv hat gegen WhatsApp geklagt. Ziel ist, dass WhatsApp seinen deutschen Nutzern auch deutschsprachige Nutzungsbedingungen zur Verfügung stellen muss. Paragraf 305 BGB regelt, dass AGB erst dann zum Vertragsbestandteil werden, wenn ein Nutzer diese in zumutbarer Weise lesen und verstehen kann und die Möglichkeit erhält, sein Einverständnis zu geben. 

Mit einer vergleichbaren Klage (Az.: 5U 42/12) war der vzbv gegen Facebook vor dem Kammergericht Berlin erfolgreich. Allerdings hat Facebook dagegen eine Nichtzulassungsbeschwerde beim Bundesgerichtshof (BGH) eingereicht, die Entscheidung steht noch aus.

Dienstag, 13. Mai 2014

Browser Vergleich:



In der letzten Woche hab ich in einer Namenhaften Computerzeitschrift einen Artikel über Browser gelesen. Dort wurden die drei beliebtesten Browser verglichen. Gewundert hat mich bei diesem vergleich das Ergebnis.

Man muss dazu sagen das dieser vergleich der Browser ohne Zusatz Addons gemacht worden ist und nach meiner Meinung somit das Ergebnis nicht richtig ist.

Getestet wurden:

Von Mozilla der Firefox. Der soll, wie schon gesagt ohne Addons, der mit abstand gefährlichste Browser sein. Er soll 284 Sicherheitslücken haben die Windows schaden können und somit für jegliche Schadsoftware offen sein soll.

Der nächste im vergleich ist von Google der Chrome. Das dieser Browser nicht der sicherste ist weis glaube ich wohl jeder. Denn Google will nur eins soviel wie möglich Daten über seine User sammeln. So wundert es einen nicht dass der Chrome über 252 Sicherheitslücken hat und diese wirklich gravierend sind. Das man diese Sicherheitslücken beim Chrome nicht unterschätzen darf sollte klar sein den es gibt nicht viele Möglichkeiten diese zuschließen.

Der nächste in der Runde ist der Windows Internet Explorer. Der Browser bei dem immer und immer wieder alle Sicherheitslücken mit irgendwelchen Update gestopft werden und diese Sicherheitslücken immer und immer wieder, wie durch Zauberhand, wieder auftauchen. Ja genau dieser Browser soll laut diesen vergleich der Beste unter den drei Browsern sein.

Wenn man jetzt aber die ganzen Addons die man für die einzelnen Browser bekommen kann mit einbezieht sieht das ganze schon ganz anders aus.

So ist der mit abstand gefährlichste Browser der Google Chrome, der ist zwar sehr schnell aber auch wenn man alle Sicherheits- Addons installiert hat die man für den Chrome bekommen kann ist er immer noch genau so unsicher wie vorher. Ist halt Google.

Addons für den Google Chrome:


WOT: 
 

Der nächste im Bunde ist der Windows Internet Explorer. Da durch das Windows seinen Haus Browser zwar immer wieder mit Sicherheits- Updates stopft wird dieser auch nicht besser. Er ist was den Google Chrome angeht schon erheblich besser aber doch noch nicht das was man sich unter einem sicheren Browser vorstellt. Auch wenn Windows dies einem immer wieder verkaufen möchte und in Sachen Addons wird das auch nicht wirklich was, die Hand voll die man für den IE bekommen kann ist nicht nennenswert.

Addons für den Windows Internet Explorer:



Schauen wir uns den Mozilla Firefox an. Nach dem man dieser Browser mit allen zur Verfügung stehen Sicherheits- Addons ausgerüstet hat, ist dieser Browser der mit abstand beste Browser den es zurzeit gibt. Na gut, er ist nach der Installation aller Sicherheits- Addons nicht mehr der schnellste. Doch das ist nu mal so wenn man einen sicheren Browser haben möchte.

Addons für den Firefox:




Wer aber einen Browser möchte der schnell ist und dazu auch noch einiger maßen sicher ist der sollte sich mal den Opera anschauen. Dieser Browser wird zwar trotz seiner langen Präsents immer noch als Außenseiter unter den Browser angesehen denn noch hat er sehr viel Potenzial. Man kann den Opera zwar mit einigen Addons ausstatten aber das ist nicht zwingend erforderlich.

Addons für Opera:

WOT: 

Eine Alternative währe noch der Safari von Apel. Dieser Browser ist was Sicherheit angeht weit vorn den Apel ist sehr auf Sicherheit geprägt. Nachteil an diesem Browser ist das er wirklich sehr gewöhnungsbedürftig ist denn der Aufbau ist doch etwas anders als mal das von den gängigen Browser gewohnt ist.

Addons für Apel Safari:



Freitag, 2. Mai 2014

Internet Explorer - Patch gegen Sicherheitslücke



Internet Explorer: BSI und US-Behörden warnen vor IE





 

Nach dem amerikanischen Heimatschutzministerium warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, den Internet Explorer weiterhin zu nutzen. Grund dafür sind erste Angriffe auf die gestern bestätigte Sicherheitlücke im IE. Die Angriffe zielen bisher auf die Versionen 9 bis 11 des IE. Das BSI rechnet aber damit, dass bald auch Angriffe auf ältere Versionen folgen könnten. Bereits gestern hatte in den USA das dortige Heimatschutzministerium eine offizielle Warnung ausgesprochen.
Originalmeldung vom 28.4.2014: Microsoft hat die Existenz einer sehr schweren Sicherheitslücke im Internet Explorer bestätigt. Der Exploit existiert in den Versionen 6 bis 11 des IE, Nutzer von Windows XP erhalten dennoch kein Update mehr. Hacker können über diesen Bug Fernzugriff auf den Rechner des Opfers erlangen und Daten vom PC löschen oder private Informationen abgreifen. Für den Hack müssen Angreifer nur eine präparierte Webseite ins Netz stellen, jeder Besucher mit dem Internet Explorer kann dann ein Opfer der Sicherheitslücke werden.
Internet Explorer: Patch in Arbeit, kommt nicht für Windows XP Einen Patch stellt Microsoft aktuell noch nicht zur Verfügung, der Konzern arbeitet zwar an einem, ist sich aber noch nicht sicher, ob das Software-Update den Nutzern erst am klassischen Patch-Tuesday oder außer der Reihe bereitgestellt wird.
Keine Hoffnungen auf ein Sicherheits-Update dürfen sich dabei allerdings Besitzer von Windows XP machen: Am 8. April endete der Support für das alte Betriebssystem, Microsoft wird voraussichtlich keine weiteren Updates für XP veröffentlichen.
Die Sicherheitslücke im Internet Explorer wird derzeit schon aktiv ausgenutzt. Bislang ist Security-Experten allerdings nur ein Angriff bekannt, bei dem explizit Nutzer des IE 9, 10 und 11 mit installiertem Adobe Flash attackiert werden.  (mas)








Internet Explorer - Patch gegen Sicherheitslücke (MS12-063)




Um die im Internet Explorer bekannt gewordene Sicherheitslücke zu schließen, bietet Microsoft jetzt ein Update für den Browser an.
 

Eine Sicherheitslücke im Internet Explorer hat in den letzten Tagen für Aufruhr im Web gesorgt. Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte vor dem Surfen mit dem Internet Explorer gewarnt.
Das jetzt veröffentlichte außerplanmäßige Update MS12-063 von Microsoft soll den IE nun gegen mögliche Hacker-Attacken absichern.




Fazit: Unbedingt updaten, wenn Sie den Internet Explorer einsetzen, um im Web zu surfen.
Hinweis: Das Update steht auf Microsofts Website zur Verfügung, zu der Sie unser Download-Button führt. Wählen Sie dort das für Ihr Betriebssystem und Ihre Browser-Version richtige Release aus und starten Sie den Download. Nach der Installation müssen Sie Ihren Rechner neustarten, damit der Patch aktiviert wird.

Sonntag, 6. April 2014

Fall von Datenklau ist besonders brisant

Aktuelle Medienberichte zu Identitätsdiebstahl – Update –

Bonn, 04.04.2014. Medien berichten aktuell über einen Fall von 18 Millionen gestohlenen digitalen Identitäten. Die Staatsanwaltschaft Verden (Aller) hat dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Datensatz mit mehreren Millionen E-Mail-Adressen zur Verfügung gestellt, um die Betroffenen zu warnen. Unter Einbeziehung der großen E-Mail-Provider erarbeitet das BSI daher derzeit mit Hochdruck eine datenschutzschutzkonforme Lösung, wie die betroffenen Internetnutzer unmittelbar informiert werden können. Dies deckt rund 70 Prozent der betroffenen deutschen E-Mail-Adressen ab, die dem BSI von der Staatsanwaltschaft Verden (Aller) übergeben wurden. Für die Inhaber der restlichen E-Mail-Adressen, beispielsweise solche, die bei anderen Providern oder vom Anwender selbst gehostet werden, bereitet das BSI einen Warndienst vor.

Details zu dem Verfahren wird das BSI am Montag, den 7. April 2014 mitteilen. Bis dahin sind die notwendigen und in intensiver Zusammenarbeit mit den Behörden und den Online-Dienstleistern ablaufenden technischen und organisatorischen Vorbereitungen abgeschlossen.

Um zu vermeiden, Opfer eines Identitätsdiebstahls zu werden, sollten Internetnutzer die grundlegenden Sicherheitsregeln beachten, die das BSI auf seiner Webseite "BSI für Bürger" zusammengestellt hat. Dort steht mit dem "PC Cleaner" auch ein Tool zum Download zur Verfügung, mit dem Internetnutzer ihren Computer auf Schadprogramme untersuchen und bereinigen können.

 Quelle: Bundesamt für Sicherheit in der Invormationstechnik (BSI)

Montag, 31. März 2014

Microsoft warnt vor Sicherheitslücke in Office Word und Outlook

Hacker attackieren Office-Rechner: Bis Microsoft ein Update fertiggestellt hat, soll ein Notfall-Patch das Schlimmste verhindern.






Microsoft hat eine Sicherheitslücke in Word entdeckt, die von Angreifern auch in Outlook genutzt werden kann. Das Öffnen einer präparierten E-Mail oder Datei genügt, um den Computer an Online-Kriminelle zu verlieren. Ein Notfall-Flicken, der das Leck provisorisch stopft, liegt bereit.


Die von Microsoft entdeckte Sicherheitslücke betrifft vor allem Word 2010, hier hat Microsoft bereits erste, aber noch wenige Angriffe registriert. Doch auch in Word 2003, Word 2007, Word 2013 sowie in dem Programm Word Viewer und in Office 2011 für Mac hat der Software-Konzern das Problem festgestellt.

Sicherheitslücke in Word betrifft auch Outlook

Hacker können sich mit Hilfe von manipulierten Dokumenten im Rich-Text-Format (.RTF) die selben Nutzerrechte wie der angemeldete Nutzer gewähren, Schadsoftware einschleusen und dem Besitzer des PCs die Kontrolle über den Rechner entreißen.

Neben den genannten Word-Versionen betrifft das Leck auch Outlook 2007, Outlook 2010 und Outlook 2013, wenn Word dort als Betrachtungsschnittstelle für E-Mails eingerichtet ist – was standardmäßig der Fall ist.

Notfall-Update steht bereit

Microsoft hat nach der Entdeckung der Sicherheitslücke ein sogenanntes Fix-it bereitgestellt. Damit wird der Fehler nicht behoben, sondern nur das Öffnen von RTF-Dokumenten in Word gesperrt. Der Software-Konzern empfiehlt allen betroffenen Nutzern, das Notfallpflaster zu installieren, bis ein Update im nächsten Patch-Day bereitsteht. 

Außerdem sollten in Outlook die nötigen Einstellungen getroffen werden, damit E-Mails im Nur-Text-Format angezeigt werden und somit manipulierte Nachrichten keinen Schaden anrichten können.

Anleitung für Outlook 2007

1. Starten Sie Outlook 2007.
2. Klicken Sie in der Menüleiste auf Extras und wählen Sie dort Vertrauensstellungscenter.
3. Klicken Sie auf E-Mail-Sicherheit und aktivieren Sie unter Als Nur-Text lesen das Kontrollkästchen Standardnachrichten im Nur-Text-Format lesen.
4. Aktivieren Sie außerdem das Kontrollkästchen Digital signierte Nachrichten im Nur-Text-Format lesen.

Anleitung für Outlook 2010 und Outlook 2013

1. Starten Sie Outlook 2010 / Outlook 2013.
2. Klicken Sie in der Menüleiste auf Datei und wählen Sie dort Optionen.
3. Wählen Sie den Eintrag Sicherheitscenter (Office 2013: Trust Center) und klicken Sie auf den Eintrag Einstellungen für das Sicherheitscenter (Office 2013: Einstellungen für das Trust Center)
4. Klicken Sie auf E-Mail-Sicherheit.
5. Aktivieren Sie unter dem Menüpunkt Als Nur-Text lesen die Kontrollkästchen Standardnachrichten im Nur-Text-Format lesen und Digital signierte Nachrichten im Nur-Text-Format lesen.