![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Bevor es ins Wochenende geht oder falls es am Samstag\/Sonntag regnet, noch ein paar Sicherheitsinformationen, die man gegebenenfalls gesehen \u2013 und falls betroffen, gelesen haben sollte.<\/p>\nBevor es ins Wochenende geht oder falls es am Samstag\/Sonntag regnet, noch ein paar Sicherheitsinformationen, die man gegebenenfalls gesehen \u2013 und falls betroffen, gelesen haben sollte.<\/p>\n
<\/p>\n
Von James Scott, Senior Fellow beim US Cybersecurity Think Tank ICIT, habe ich gerade (wollte eigentlich schon die Senden-Taste zum Ver\u00f6ffentlichen des Beitrags dr\u00fccken) noch den Link auf den aktuellen Artikel Dragonfly is Nothing New: An Objective Assessment of this New APT<\/a> per E-Mail rein bekommen. Ich frage mich, wie die an meine Kontaktadresse kommen. Gut, meine E-Mail-Adresse ist bekannt \u2013 aber ich betreibe nur einen kleinen, unbedeutenden Blog. Offenbar werde ich aber schon bei den Amis in Sicherheitskreisen herumgereicht. <\/p>\n<\/blockquote>\n Ein Smartphone, gestellt vom Hotel deiner Wahl, welches Du im Hotelzimmer zum Surfen, E-Mailen, planen des Urlaubs, Shoppen etc. verwenden kannst. Das ist das Ziel des Startups Handy aus Hongkong. Und das Unternehmen hat bereits weltweit eine Reihe Hotels mit den Ger\u00e4ten ausgestattet. Golem.de nennt<\/a> die Hotelketten Melia, Novotel, Sheraton, die IHG-Gruppe, Mercure Hotels und Intercontinental sowie die Crowne-Plaza-Hotels. <\/p>\n Auch in deutschen Hotels soll das Angebot bald starten. Leider hat das Ganze einige Pferdef\u00fc\u00dfe, und es kann nur vor dem Angebot gewarnt werden. Wird das Ger\u00e4t besch\u00e4digt, zahlt der Hotelgast 150 Euro Reparaturkosten (die Preise f\u00fcr Neuger\u00e4te liegen laut Golem bei 100 bis 130 Euro). Und bei Verlust werden sogar 300 Euro f\u00e4llig. Aber das ist noch nicht alles. Golem schreibt in diesem Artikel<\/a>, dass die erste Generation der Ger\u00e4te aus 'Sicherheitssicht eine Katastrophe' sei. <\/p>\n Hanno B\u00f6ck weist in diesem Artikel<\/a> auf ein Problem hin, welches Betreiber von Webseiten haben. Man bindet etwas von Drittseiten ein und dann wird der Inhalt mit der eigenen Webseite ausgeliefert. Was passiert aber, wenn dieses Angebot beendet wird und die Domain, von der die Inhalte kommen, vom Besitzer aufgegeben wird? Im besten Fall bricht nur der Link, im schlimmsten Fall greift sich ein Cyber-Krimineller die Domain und spielt \u00fcber einen eigenen Server Schadcode aus. <\/p>\n B\u00f6ck greift einige F\u00e4lle auf \u2013 so bindet Flickr Code f\u00fcr einen Yahoo-Statistik-Dienst in seine Webseiten ein, der bereits 2012 eingestellt wurde. B\u00f6ck war in der Lage, eine verwaiste Azure-Domain zu \u00fcbernehmen und stellte fest, dass dort von 20 anderen Webseiten Informationen abgerufen wurden. Sein Versuch, die Betreiber der Webseiten auf das Problem hinzuweisen, verlief im Sande. Erst als er per Code fette Warnungen bereitstellte, die dann auf den betreffenden Webseiten angezeigt wurden, und Nutzer Alarm schlugen, bewegten sich die Site-Betreiber. Die Geschichte l\u00e4sst sich in diesem Golem-Beitrag<\/a> nachlesen. <\/p>\n An dieser Stelle f\u00e4llt ein kleines Puzzleteil ins Bild. Ich selbst verwende in meinem Blog ein Plug-In von WordFence, um diesen abzusichern. Dieses fungiert als Firewall, weist fremde Login-Versuche ab und scannt meinen Blog auch auf Fremdseiten verweisende URLs, die 'b\u00f6sen Code' enthalten k\u00f6nnten. Dazu arbeitet WordFence im Plug-in mit Black-Lists. Weiterhin werden URLs gemeldet, sobald sich diese nicht mehr richtig aufl\u00f6sen lassen. <\/p>\n Vor ein paar Tagen bekam ich hunderte an kritischen WordFence-Alarmen der Art: <\/p>\n mit dem Hinweis, dass ein Link http: \/\/ rcm-de[dot]amazon[.]de\/e\/cm <\/em>auf eine Malware-Seite zeige. Versuchte man den Link in einem Browser einzugeben, lie\u00df sich die Webseite nicht abrufen. Eine Inspektion des Quellcodes meiner betreffenden Webseiten ergab, dass es sich um Amazon.de-Werbelinks handelte. Da ich Amazon.de nicht unbedingt f\u00fcr eine Malware-Seite halte, bin ich dem Thema nachgegangen. Der angemeckerte Link befand sich in IFRAME-Tags der Art:<\/p>\n <iframe style=\"width: 120px; height: 240px;\" src=\"http: \/ \/ rcm-de[dot]amazon[dot]de\/e\/cm<\/b>?t=borncity-21&o=3&p=8&l=as1 \u2026> <\/p>\n Ich habe den Teil-Link fett hervorgehoben. Offenbar wertete der Filter des WordFence-Plugins nur den ersten Teil der URL bis zum Fragezeichen aus und schnitt den Rest ab. Der Versuch, diese Teil-URL aufzurufen, ging dann in die Hose. Ich habe den Fehler an den WordFence-Support gemeldet, worauf die R\u00fcckmeldung kam, dass man die obige Teil-URL aus der Black-List entferne. <\/p>\n Als Betreiber einer deutschen CMS-Software habe ich zudem das Problem, dass ich von WordFence h\u00e4ufiger Fehlalarme bekomme, dass sich Dateien ge\u00e4ndert haben. Oft werden dann die deutschen \u00dcbersetzungen nicht ber\u00fccksichtigt. Ich muss mir aber jede gemeldete Datei im Quellcode darauf hin ansehen, ob das ein false positive ist oder nicht. <\/p>\n<\/blockquote>\n Es ist stellenweise schon ein hartes Gesch\u00e4ft, wenn Du einen Webauftritt betreibst und diesen halbwegs absichern willst. Und wenn dann noch Sicherheitsl\u00f6sungen von Lesern meine Webseiten f\u00e4lschlich als Malware-behaftet auswerfen, kommt Freude auf. Kostet mich oft Stunden, um sicher zu sein, dass die Site sauber ist. Kommt gl\u00fccklicherweise aber selten vor.<\/p>\n Die Firma Cisco hat sein Produktportfolio im Bereich der Netzwerkhardware wohl einem Firmware-Update unterzogen. Wer solche Hardware administriert, sollte daher die entsprechenden Updates einspielen. Details haben die Kollegen von heise.de in diesem Artikel<\/a> zusammen getragen. <\/p>\n Irgendwie ist es ruhig um die Hackergruppe Shadow Brokers geworden, die ja einen Aboservice f\u00fcr NSA-Exploits aufgesetzt haben (siehe mein Blog-Beitrag Shadow Brokers senden Juni Exploit Pack an Abonnenten<\/a>). Eigentlich hatte ich erwartet, dass es im August schon knallt, was aber wohl nicht passierte. <\/p>\n The Hacker News berichtet in diesem Artikel<\/a>, dass die Shadow Brokers ein weiteres NSA-Hacking-Tool mit Namen UNITEDRAKE an die internen Abonnenten verteilen. Zitat:<\/p>\n Dubbed UNITEDRAKE<\/b>, the implant is a \"fully extensible remote collection system\"<\/i> that comes with a number of \"plug-ins,\" enabling attackers to remotely take full control over targeted Windows computers.<\/p>\n<\/blockquote>\n Also ein Tool, welches die Remote-Kontrolle eines angegriffenen Windows-Rechners erm\u00f6glicht. <\/p>\n Von WikiLeaks sind bei Vault7 diese Woche nur ein paar Informationen zu einem CIA Raketenkontrollsystem \u00f6ffentlich geworden (siehe<\/a>), Peanuts, w\u00fcrde ich sagen.<\/p>\n<\/blockquote>\n Sicherheitsexperten von Palo Alto Networks haben einen neuen Angriff auf Android-Ger\u00e4te beschrieben, der die 'Toast'-Benachrichtigungen nutzen kann, um Malware Administratorrechte zu verschaffen. Damit k\u00f6nnen die Android Accessibility Service genutzt werden, um Kontrolle \u00fcber das Smartphone zu erlangen. Details finden sich bei Bleeping Computer in diesem Artikel<\/a>.<\/p>\n Doof: Kaum ist Android 8.0 (Oreo) drau\u00dfen, werden die ersten Bugs bekannt. So stellen Ger\u00e4tebesitzer fest, dass Android 8.0 die Mobilfunkverbindung auch dann zum Datenaustausch verwendet, wenn eine WiFi-Verbindung besteht. Damit wird das Mobilfunk-Datenvolumen nutzlos verpulvert. Mehr Details finden sich zum Beispiel in diesem Artikel<\/a>. <\/p>\n Hier m\u00f6chte ich euch einfach nur einige Infosplitter vor die F\u00fc\u00dfe werfen. Interessant fand ich die Meldung, die ich vor einigen Wochen bei Dark Reading gelesen habe. Sicherheitsanbieter Symantec kauft (oder will es zumindest) die israelische Firma Fireglass. Die sind im Bereich 'Remote Browser Isolation' aktiv \u2013 eine ganz hei\u00dfe Technologie, um Web-Prozesse im Browser remote auszuf\u00fchren und E-Mails oder Webinhalte zu rendern. K\u00f6nnte also sein, dass Symantec irgendwann mit so etwas um die Ecke kommt. <\/p>\n Beim Windows Defender (und MSE) musste Microsoft im Sommer ja mehrfach kritische L\u00fccken schlie\u00dfen (siehe z.B. MS Malware Protection Engine Update 25. Mai 2017<\/a>). H\u00e4ufig wird kritisiert, dass Virenscanner nicht in einer Sandbox abgeschottet laufen. Sicherheitsforscher haben nun gezeigt, wie der Windows Defender in einer Sandbox laufen k\u00f6nnte. Microsoft wird das vermutlich aus Performance-Gr\u00fcnden aber nicht implementieren. Details zu diesem Thema lassen sich im Beitrag Researchers Put Windows Defender in a Sandbox to Show Microsoft How It's Done<\/a> nachlesen. <\/p>\n Microsoft hat auf unter Windows for Business auf dieser Webseite<\/a> den Windows Defender Advanced Threat Protection als 90-Tage-Trial angek\u00fcndigt. Bei neowin.net gibt es diesen Artikel<\/a>, der sich mit der Ank\u00fcndigung einer Preview f\u00fcr Windows 10 Fall Creators Update befasst. <\/p>\n Ihr fliegt h\u00e4ufiger und werft danach die verbrauchten Tickets bzw. den Abschnitt, der nach dem Boarding \u00fcbrig geblieben ist, weg? Dann solltet ihr in diesem Artikel<\/a> von Brian Krebs bei Krebs on Security lesen, warum man dies nicht tun sollte. <\/p>\n Dass es mit der IT-Sicherheit von Fluglinien nicht zum Besten bestellt ist, wurde auch Au\u00dfenstehenden mit dem Systemausfall bei British Airways vor drei Monaten klar \u2013 die mussten 670 Fl\u00fcge streichen (siehe<\/a>). Auch Delta und American mussten im Fr\u00fchjahr viele Fl\u00fcge wegen Systemausf\u00e4llen am Boden lassen. Zu den klassischen Gr\u00fcnden f\u00fcr Flugausf\u00e4lle wie Streiks, Vulkanausbr\u00fcchen oder Pleiten von Fluglinien gesellt sich damit ein neues Problem: Ausf\u00e4lle von IT-Systemen. Wer weiss, wie weit verzweigt Systeme wie Amadeus oder Sabre in der Reiseindustrie sind, kann erahnen wie schwerwiegend ein Ausfall eines solchen Systems w\u00e4re. Aber bei der Vielzahl an IT-Systemen, die nahtlos ineinander greifen m\u00fcssen, um den Flugbetrieb zu garantieren, kann selbst ein einfaches System das ganze System blockieren. <\/p>\n Offenbar haben Anwender kritischer IT-Systeme (wie Fluglinien) Nachholbedarf, was den Schutz der IT-Infrastruktur betrifft, so Johan van den Boogaart vom Sicherheitsanbieter Zerto. Das grundlegende Problem sind veraltete Strategien in puncto Gesch\u00e4ftskontinuit\u00e4t und Notfallwiederherstellung von IT-Systemen. Stichwort: Business Continuity (BC) und Desaster Recovery (DR). Diese Strategien sind bisher nur darauf ausgelegt, Ausf\u00e4lle der Hardware abzufangen. Zieht ein Mitarbeiter den falschen Stecker, l\u00f6scht aus Versehen eine Datenbank oder wird das System von Cyberkriminellen attackiert, greifen diese Strategien nicht: Die Hardware funktioniert ja. Tats\u00e4chlich aber sind Ausf\u00e4lle, die nicht auf Hardwarefehlern basieren, recht h\u00e4ufig. Experten sch\u00e4tzen die Anzahl dieser sogenannten \u201elogischen Fehler\" auf rund 30 Prozent. Mit immer zuverl\u00e4ssigerer Hardware und zunehmend ausgefeilteren Methoden von Cyberkriminellen, die mittels Ransomware ganze IT-Infrastrukturen lahmlegen, wird sich dieser Wert wohl k\u00fcnftig weiter erh\u00f6hen. Wir werden uns also auch in diesem Bereich auf absehbare '\u00dcberraschungen' einstellen m\u00fcssen.<\/p>\n Wer noch lesefreudig ist, kann sich diesen Artikel<\/a> bei heise.de zu Gem\u00fcte f\u00fchren. Dieser befasst sich mit der Ausstellung und Verifizierung von TLS-Zertifikaten. <\/p>\n Einen interessanten Aspekt hat Wolfgang Sommergut im Artikel Best Practice: Sichere Rechner f\u00fcr Administratoren einrichten<\/a> aufgegriffen. Er besch\u00e4ftigt sich damit, wie Administratoren in einer sicheren Umgebung arbeiten k\u00f6nnen und stellt Microsofts Konzept der Privileged Administrative Workstation (PAW) vor. Richtig angewandt kann dies sogar \u2013 als Sparl\u00f6sung \u2013 unter Hyper-V in einer virtuellen Maschine genutzt werden. Um keine Missverst\u00e4ndnisse aufkommen zu lassen: Die PAW l\u00e4uft auf der Hardware und ist abgesichert \u2013 und f\u00fcr normale Aufgaben gibt es eine VM mit einem Windows, in dem der Administrator dann stoppeln kann. <\/p>\n Wer es noch nicht mitbekommen hat: Microsoft wird bis zum 26. September 2017 die Root-Zertifikate f\u00fcr WoSign und StartCom in Windows 10 f\u00fcr ung\u00fcltig erkl\u00e4ren. Webseiten, die mit diesen Zertifikaten signiert sind, werden dann nicht mehr als sicher angezeigt und blockiert. Details findet ihr im Technet<\/a>.<\/p>\n Dass man Sprachassistenten wie Alexa, Cortana oder Siri nicht trauen kann, sollte mittlerweile Jedem klar sein. Die Tage ging die Meldung um, dass es Sicherheitsforschern gelungen ist, die Sprachassistenten mit Ultraschallsignalen zu steuern. Das menschliche Geh\u00f6r kann dies nicht wahrnehmen, aber die Sprachassistenten bekommen die Sprachbefehle \u00fcber das Mikro mit und f\u00fchren diese auch aus. Details finden sich beispielsweise in diesem Artikel<\/a>. Vor einigen Tagen ist mir dieser Artikel<\/a> untergekommen. Dort wird beschrieben, wie Forscher Sprachassistenten \u00fcberlisten, indem sie f\u00fcr Menschen unverst\u00e4ndliche, weil verzerrte Sprachbefehle im h\u00f6rbaren Bereich \u00fcbertrugen. Und Datenschutzbeauftragte warnen vor Sprachassistenten als Abh\u00f6rzentrale. <\/p>\n Sch\u00f6nes Wochenende. <\/p>\n","protected":false},"excerpt":{"rendered":" Bevor es ins Wochenende geht oder falls es am Samstag\/Sonntag regnet, noch ein paar Sicherheitsinformationen, die man gegebenenfalls gesehen \u2013 und falls betroffen, gelesen haben sollte.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-193899","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193899","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=193899"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193899\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=193899"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=193899"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=193899"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Tage gab es eine Warnung des Sicherheitsanbieters Symantec. Diesem Blog-Beitrag<\/a> nach stehen Energiekonzerne in den USA, Westeuropa und der T\u00fcrkei im Visier einer seit mehreren Jahren aktiven Hackergruppe namens Dragonfly. Laut Symantec ist es der Hackergruppe gelungen, in die internen Netzwerke von 20 Unternehmen in den USA, sechs in der T\u00fcrkei sowie eines Branchenzulieferers in der Schweiz einzudringen. F\u00fcr Deutschland und die Niederlande gab es bisher eine vorl\u00e4ufige Entwarnung \u2013 bisher konnte man kein Eindringen in solche Systeme feststellen. Wer sich f\u00fcr das Thema interessiert, findet bei heise.de eine deutschsprachige Zusammenfassung<\/a>. <\/p>\n
\n
Sicherheit: Hotels stellen Smartphones in Zimmern<\/h2>\n
Verwaiste Domains als Sicherheitsrisiko<\/h2>\n
Man k\u00f6nnte reagieren \u2013 mein WordFence-Erlebnis<\/h3>\n
Page contains a suspected malware URL: Webseiten f\u00fcr Senioren<\/font><\/h4>\n
\n
Admins von Cisco-Ger\u00e4ten: Patchen ist angesagt<\/h2>\n
Shadow Brokers ver\u00f6ffentlichen UNITEDRAKE<\/h2>\n
\n
\n
Android, l\u00f6chrig wie ein Schweizer K\u00e4se<\/h2>\n
Was tut sich bei Virenscannern?<\/h2>\n
Fliegen ist mit (IT-)Risiken verbunden \u2026<\/h2>\n
Und das allerletzte<\/h2>\n