NOVEMBER 2011
----------------------------------------------------------------
Spieleplattform Steam gehackt: Diebstahl von Kreditkartendaten möglich
Das US-amerikanische Unternehmen Valve entwickelt Computer- und Konsolenspiele wie Half-Life, Left 4 Dead und Call of Duty. Die Spiele werden über die firmeneigene Internetplattform namens Steam vertrieben, nach eigenen Angaben an 35 Millionen Spieler in aller Welt. Wie Valve auf der englischsprachigen Steam-Website mitteilt, ist es Hackern möglicherweise gelungen, an vertrauliche Daten von Valve-Kunden zu gelangen. Bemerkt wurden die Angriffe auf Steam-Nutzerforen und die Kundendatenbank am 6. November. Valve hatte die Foren zeitweise deaktiviert. Die Angreifer sollen Zugriff auf Namen, Passwörter, Kaufbelegen, E-Mail- und Rechnungsadressen sowie verschlüsselte Kreditkarteninformationen gehabt haben. Für einen Missbrauch dieser Informationen gebe es laut Valve bisher jedoch keine Beweise. Das Unternehmen empfiehlt seiner Kundschaft, Kreditkartenabrechnungen genau zu prüfen. Zudem werden alle Forennutzer bei ihrem nächsten Login aufgefordert, ein neues Passwort festzulegen, auch das Passwort für den Shop-Account sollte geändert werden. Die Logins zu den Foren und den Steam-Accounts seien voneinander getrennt. Nutzern wird empfohlen, für beide Zugänge unterschiedliche Passwörter zu vergeben. Tipps zum Anlegen sicherer Passwörter gibt es auf der Website. BSI FUER BUERGER
Phishing-Angriff auf Xbox-Live-Konten: Kostenlose Punkte als Lockmittel
Wie die britische Tageszeitung \u201eThe Sun\u201c am 22. November in ihrer Online-Ausgabe meldet, ist es in den vergangenen Tagen zu Phishing-Attacken im Zusammenhang mit Microsofts Online-Spieleplattform \u201eXboxLive\u201d gekommen. Demnach sollen mögliche Betrüger E-Mails an Xbox-Live-Mitglieder verschickt haben, die den Eindruck erwecken als kämen sie direkt von Microsoft. Die Anwender werden aufgefordert Links zu folgen und ihre persönlichen Login-Daten für ihren Xbox-Live-Account einzugeben. Die Opfer wurden u.a. mit dem Versprechen gelockt, kostenlos Xbox-Live-Punkte zu erhalten, die als virtuelle Währung den Kauf von Spielen ermöglichen. Die Eingabe der Login-Daten über den betrügerischen Link gewährt den Angreifern direkten Zugriff auf das entsprechende Xbox-Live-Konto mit den gespeicherten Guthaben-Punkten und Kreditkarten-Daten. Laut \u201eThe Sun\u201c sind Gamer in über 35 Ländern betroffen. Der durchschnittliche finanzielle Verlust pro Konto liege dabei zwischen 100 und 250 Euro. Weiter heißt es: Microsoft könne nur für Schäden aufkommen, wenn Anwender nachweisen können, dass sie ihre Zugangsdaten nicht selbst weitergegeben haben. In einer Stellungnahme gegenüber dem BBC-Radiosender Newsbeat teilt der Konzern mit, es gebe keine Hinweise auf Sicherheitslücken im Xbox-Live-System.
Webhoster warnt Kunden: Standard-Root-Passwörter möglicherweise gehackt
Der in Berlin ansässige Webhoster \u201e1blu\u201c ist möglicherweise Ziel eines Hackerangriffs geworden. Wie u.a. das IT-Magazin PC Welt berichtet, hat das Unternehmen seinen Kunden eine entsprechende Warnung per E-Mail geschickt. Damit reagiert 1blu auf Hinweise, dass es unter Umständen einen nicht autorisierten Zugriff auf Passwörter der Kunden gegeben habe. Betroffen sein könnten Kunden, die immer noch ihr Standard-Root-Passwort verwenden, das sie zur Einrichtung ihres 1blu-Kontos erhalten haben. Die Konten, die noch das Standard-Root-Passwort nutzten, wurden gesperrt. Die infrage kommenden Kunden sollen demnächst neue Root-Passwörter per Post erhalten und diese umgehend in ein persönliches Kennwort umwandeln. Das Unternehmen teilte am 17. November auf seiner Facebookseite mit, dass Untersuchungen bis dato die Hinweise auf einen Angriff \u201enicht verifizieren\u201c konnten. Dennoch habe man Anpassungen im Kundenservicebereich vorgenommen: Passwörter für E-Mail-, FTP- und Datenbank-Dienste werden jetzt nicht mehr im Kundenservicebereich hinterlegt. Detaillierte Infos hierzu erhalten 1blu-Kunden nach dem Login im Kundenservicebereich.
Gewalt und Pornographie: Spam-Attacke auf Facebook-Pinnwand
Der Hersteller von IT-Sicherheitsprodukten Sophos berichtet in seinem firmeneigenen Blog von einer Spam-Attacke in Zusammenhang mit Facebook. Demnach hätten Facebook-Nutzer von Einträgen unbekannter Herkunft auf ihrer Pinnwand berichtet. Gepostet wurden etwa pornographische Bilder und Gewaltdarstellungen. In einer Stellungnahme gegenüber dem Social-Media-Blog Mashable teilt Facebook mit, dass die Plattform selbst nicht angegriffen wurde, sondern die Browser der Nutzer. Ausgenutzt wurde demnach eine Sicherheitslücke, die Cross-Site-Scripting (kurz: XSS, deutsch: Seitenübergreifendes Scripting) erlaubt. XSS bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen. Schadcode wird aus einem Kontext, in dem er nicht vertrauenswürdig ist, in einen anderen eingefügt, in dem er als vertrauenswürdig eingestuft wird. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff erfolgen. Im betreffenden Fall sollen Angreifer die Facebook-Nutzer - etwa durch ein Gewinnspiel - dazu animiert haben, den für die Spam-Attacke notwendigen schadhaften Javascript-Code mit ihrem Browser auszuführen. Um solchen Attacken zu entgehen, sollten Anwender stets die aktuellste Browserversion nutzen und keinen Links folgen, die nicht absolut vertrauenswürdig erscheinen. Informationen, wie man seinen Browser zusätzlich sicherer machen kann, hält die Website BSI FUER BUERGER bereit.
Wolf im Schafspelz: Malware tarnt sich mit digitalem Zertifikat
Experten des Antivirensoftware-Herstellers F-Secure haben ein Schadprogramm entdeckt, das sich mit einem offiziellen digitalen Zertifikat tarnt. Darüber berichten u.a. F-Secure im firmeneigenen Blog und der IT-Nachrichtendienst heise Security. Demnach wurde das digitale Zertifikat \u201eanjungnet.mardi.gov.my\u201c dem malaysischen Institut für Landwirtschaftliche Forschung und Entwicklung gestohlen. Mithilfe des digitalen Zertifikats kann das Schadprogramm die Sicherheitssysteme von Computern umgehen, weil diese signierten Dateien und Anwendungen teilweise blind vertrauen und nicht immer auf enthaltenen Schadcode prüfen. Im betreffenden Fall werde laut F-Secure versucht, den Trojaner namens \u201eW32/Agent.DTIW\u201c über manipulierte PDF-Dateien zu verbreiten, dabei werde eine Schwachstelle im Adobe Reader 8 ausgenutzt. Ist ein System befallen, werde weiterer Schadcode von einem Server namens worldnewsmagazines.org nachgeladen. Einige dieser Komponenten seien ebenfalls signiert. \u201eEs ist nicht alltäglich, signierte Malware zu finden. Noch seltener ist es, dass sie mit einem offiziellen Schlüssel einer Regierung signiert ist\u201c, heißt es im F-Secure-Blog.
Realplayer aktualisiert: Sicherheitskritische Lücken geschlossen
Das Softwareunternehmen RealNetworks hat ein Update für seinen Mediaplayer Realplayer veröffentlicht. Auf einer Service-Website teilt das Unternehmen mit, dass 19 teilweise kritische Sicherheitslücken mit dem Einspielen einer neuen Programmversion behoben werden können. Die Lücken lassen sich u.a. dazu missbrauchen, Schadcode auf den Rechner zu transportieren und auszuführen. Detaillierte Beschreibungen der jeweiligen Fehler und der betroffenen Versionen finden sich auf der Service-Website. Anwendern wird empfohlen, stets die aktuelle Version des Players zu nutzen. Betroffen sind die Realplayer-Versionen für Windows- und Mac-OS-Betriebssysteme. Unter Windows sind die Versionen der 1.x-, 11.x- und 14.x-Reihen betroffen. Die Lücken werden mit der Version 15 geschlossen. Unter Mac OS finden sich die Risiken bis inklusive der Version 12.0.0.1701. Hier werden sie mit der Version 12.0.0.1703 behoben.
Update für Flash-Player: Adobe beseitigt Sicherheitslücken
Der Softwarehersteller Adobe hat ein Update für seinen Flash Player veröffentlicht. Insgesamt werden zwölf Sicherheitslücken geschlossen. Wie das Unternehmen in einem Sicherheitshinweis mitteilt, sind Flash Player für Windows, Linux und MacOS in den Versionen bis einschließlich 11.0.1.152 betroffen; Flash Player für Chrome ebenfalls; und Flash Player für Android in den Versionen bis einschließlich 11.0.1.153. Die Schwachstellen könnten einen Absturz der Anwendung auslösen. Ein Angreifer könnte sich zudem die vollständige Kontrolle über ein betroffenes System verschaffen. Das BUERGER-CERT empfiehlt allen Anwendern das von Adobe bereitgestellte Sicherheitsupdate auf Version 11.1.102.55 so bald wie möglich zu installieren. Beim Adobe Flash-Player geschieht dies am einfachsten über die programmeigene Update-Funktion oder über die Adobe-Website. Nutzern von Googles Mobilbetriebssystem steht im Android Marketplace die Version 11.1.102.59 zur Verfügung.
Schwachstellen beseitigt: Erstes Update für Chrome 15 veröffentlicht
Nur wenige Tage nach der Veröffentlichung der Version 15 des Google-Browsers Chrome wurden die ersten Schwachstellen entdeckt und durch Google behoben. Dies geht aus einem Sicherheitshinweis des Unternehmens hervor. Das Unternehmen stuft sechs der durch die acht Sicherheitslücken bedingten Risiken als \u201ehoch\u201c ein. Angreifer könnten einige der Lücken ausnutzen, um Schadcode auf die Computer der Chrome-Anwender zu schleusen und auszuführen. Google Chrome aktualisiert sich bei neuen Version automatisch. Anwender müssen nichts unternehmen, um neue Versionen zu erhalten.
PRISMA
Android 4-Feature ausgetrickst: Gesichterkennung ist nicht sicher
Das Betriebssystem Android 4 für mobile Geräte bietet die Möglichkeit, Smartphones per Gesichtserkennung zu entsperren. Dazu muss das Gerät vor das Gesicht des Anwenders gehalten werden. Der Blog SoyaCincau zeigt nun ein (englischsprachiges) Video, das beweisen soll, dass sich die optische Gerätesperre durch ein Foto, das sich auf dem Bildschirm eines anderen Smartphones befindet, umgehen lässt. Dem IT-Newsdienst ZDNet sagte ein Google-Sprecher daraufhin, die Funktion der Entsperrung durch Gesichtserkennung sei experimentell und biete nur geringe Sicherheit. Nutzer werden zudem von der Anwendung darauf hingewiesen, dass die Entsperrung per Gesichtserkennung unsicherer ist als ein Eingabemuster, eine PIN oder ein Passwort. Personen, die dem Anwender ähnlich sehen, könnten das Gerät entsperren. Laut ZDNet sei die Verschlüsselung per Gesichterkennung aber sicherer als gar keine Zugangsperre. Immerhin müsste ein Angreifer sowohl über das Gerät, als auch über ein Foto des Besitzers verfügen, um sich Zugang zu Gerätedaten zu verschaffen.