In der OpenSSL-Bibliothek, die von Webseiten verwendet wird, um Daten verschlüsselt auszutauschen, wurde eine Sicherheitslücke entdeckt. Unter dem Namen „Heartbleed“ bekannt, sorgt diese Lücke momentan für große Probleme im Netz.
Denn jede betroffene Webseite muss
die OpenSSL-Bibliothek auf den neusten Stand bringen,
danach alle Sicherheits-Zertifikate erneuern lassen, und
alle Nutzer zum Ändern ihrer Kennwörter auffordern.
Das sollte so schnell wie möglich passieren,
bevor die Lücke aktiv ausgenutzt werden kann.
Am Dienstag, 10. März ist wieder Patch-Day. Diesmal behebt Microsoft eine Sicherheitslücke, die vor einigen Wochen im Internet Explorer-10-Browser gefunden wurde. Außerdem werden 4 weitere Sicherheitsupdates bereitgestellt.
Mit den Updates werden neben dem Fehler im IE10 auch Probleme in Windows, IE und Silverlight behoben. Das IE10-Problem ist bereits seit Mitte Februar bekannt. Microsoft hat bis dato schon einen Fix-It-Patch freigegeben, der jetzt durch ein „richtiges“ Update für IE9 und IE10 ersetzt wird. Microsoft gibt an: „Zwar haben wir eine begrenzte Anzahl Angriffe über dieses Problem gesehen, diese haben sich aber nur auf Internet Explorer 10 bezogen.“
Zwei der fünf Sicherheits-Updates wurden als kritisch eingestuft, die anderen drei als wichtig. Der Patch-Day im März ist das vorletzte Mal, dass auch Bugs in Windows XP geschlossen werden. Die letzten Updates für das 12 Jahre alte Betriebssystem werden mit dem April-Patchday am 8. April erscheinen.
Die Windows-Updates stehen wie gewohnt Dienstagabend zur Verfügung.
Letzte Woche bestätigte Microsoft, dass im Internet-Explorer-Browser eine offene Lücke entdeckt wurde, die bereits für Angriffe ausgenutzt wurde. Jetzt ist eine offizielle Warnung vor dem Exploit erschienen, zusammen mit einem Patch.
Im zugehörigen Sicherheitsratgeber heißt es auszugsweise, die Lücke erlaube „die Ausführung von Remote-Code, wenn Nutzer eine bösartige Webseite mit IE9 oder IE10 besuchen. Der Angreifer könnte das Opfer beispielsweise dazu überreden, auf einen Link in einer E-Mail oder Chatnachricht zu klicken.“
Falls auf Ihrem System Internet Explorer 9 oder 10 installiert ist, bietet Microsoft einen passenden Fix-It-Patch an, mit dem sich die Lücke schließen lässt. IE11 ist nicht betroffen; das Upgrade auf diese Browserversion ist somit für Nutzer von Windows 7 und 8 ebenfalls eine Option. Eine dauerhafte Lösung für die Sicherheitslücke wird im Rahmen der Windows-Updates am 11. März erwartet.
Immer wieder werden Daten von Kunden und Benutzern geklaut. Auch jetzt wieder: In der Neujahrsnacht haben Hacker die Daten von 4,6 Millionen Snapchat-Usern veröffentlicht. Neben den Benutzernamen kursieren nun auch die Telefonnummern der Betroffenen im Netz.
Das ist deshalb für viele eine Überraschung, weil Snapchat Datenschutz eigentlich großschreibt. Experten sind hingegen nicht erstaunt, dass das passiert ist, denn seit Monaten ist die Sicherheitslücke bekannt, die jetzt ausgenutzt wurde. Leider kein Einzelfall.
Für alle, die Snapchat (noch) nicht kennen: Was ist so besonders an der App, wieso ist sie bei Jugendlichen so populär?
Snapchat ist eine kostenlos erhältliche Messenger-App für Smartphones und Tablets. Messenger-App bedeutet: Mit der Software lassen sich Nachrichten und Fotos austauschen. Kostenlos. Im Grunde so ähnlich wie bei Whatsapp. Allerdings mit einem entscheidenden Unterschied: Bei Snapchat werden laut Betreiber keinerlei Daten gespeichert, weder von den Usern, noch die verschickten Texte und Fotos.
Was Snapchat von anderen Messengern definitiv unterscheidet: Mit Snapchat verteilte Fotos lösen sich nach einer Weile von alleine wieder auf. Wenn man ein Foto per Snapchat von Freunden bekommt, kann man es sich maximal 10 Sekunden lang anschauen. Danach verschwindet es wieder. Es löst sich sozusagen auf, von ganz alleine.
Das Konzept kommt gut an, vor allem bei jugendlichen Benutzern. Es gibt Millionen Nutzer weltweit. Jeden Tag werden über 350 Millionen Nachrichten über Snapchat ausgetauscht. Tendenz: Steigend.
Snapchat betont immer wieder, dass Datenschutz groß geschrieben wird und einem nichts passieren kann. Jetzt sind aber 4,6 Millionen Datensätze von Snapchat-Kunden veröffentlicht worden. Eine ganze Menge. Was ist da passiert?
In der Tat speichert Snapchat nicht besonders viele Daten. Aber dann doch Name, Alias und Telefonnummer. Man muss nicht seinen richtigen Namen angeben, aber eine gültige Mobilfunknummer. Ohne geht es nicht. Seit vier Monaten ist ein Sicherheitsleck bekannt: Snapchat bietet die Möglichkeit, mit einem Trick einzelne Rufnummern zu ermitteln. Und zwar über eine sogenannte Schnittstelle: Snapchat verrät die Daten selbst. Wer diese Schwachstelle konsequent ausnutzt, kann mühelos Tausende von Benutzerdaten pro Minute ermitteln – durch Ausprobieren.
Seit Monaten warnen Experten vor dem Leck. Doch bis jetzt hat Snapchat nicht reagiert, das Leck nicht gestopft, das Risiko kleingeredet. Deshalb haben Hacker jetzt kurzen Prozess gemacht und bewiesen, dass das Sicherheitsleck sehr wohl bedenklich ist. Jetzt kursieren die Rufnummern von 4,6 Millionen vor allem amerikanischer User im Netz. Die letzten zwei Stellen der Rufnummern sind geschwärzt, um Missbrauch zu verhindern. Denn die Hacker wollen lediglich dokumentieren, was möglich ist.
Wäre es denn viel Aufwand, die Sicherheitslücke zu stopfen?
Nein, der Aufwand wäre denkbar gering. Die Entwickler hätten lediglich den Zugriff auf die Schnittstelle beschränken müssen. Eigentlich eine Sache von wenigen Minuten, mehr Arbeit macht das nicht. Snapchat hat einfach auf stur geschaltet, trotz der Warnungen. Mir völlig unverständlich warum.
Ist das ein Einzelfall, dass eine IT-Firma ein bekanntes Sicherheitsleck nicht stopft?
Nein, leider ist das kein Einzelfall. Viele Unternehmen ignorieren begründete Warnungen aus Expertenkreisen – und reagieren erst, wenn es viel zu spät ist, dann nämlich, wenn etwas passiert ist. Das ist weit verbreitet, bei kleinen Startups wie bei großen Firmen.
Einige IT-Unternehmen sind schlauer. Firmen wie Microsoft, Google oder Mozilla zahlen Prämien für entdeckte Sicherheitslecks. Findet jemand ein bisher unbekanntes Sicherheitsproblem, kann er es melden – und bekommt dann Geld dafür. Die Experten können das Leck dann stopfen. Eine gute Methode, die sich bewährt hat.
Kann man sich denn als Benutzer schützen?
Das ist nicht wirklich möglich. Niemand kann wissen, wie ernsthaft sich Unternehmen oder Onlinedienste bemühen, gespeicherte Daten zu schützen. Generell kann man aber sagen, dass es sich immer empfiehlt, datensparsam zu sein, also so wenige Daten von sich preiszugeben wie möglich. Wichtig ist auch, für das eigene E-Mail-Postfach ein anderes, möglichst sicheres Passwort zu verwenden. Ein anderes Passwort als in anderen Diensten, um sicherzustellen, dass das eigene E-Mail-Postfach selbst dann sicher bleibt, wenn woanders das Passwort mal entwenden werden sollte.
Falls Sie Windows-XP-Nutzer sind, haben Sie aktuell wieder Grund, sich Sorgen zu machen. Nicht nur wegen des Support-Endes 2014. Aktuell warnt Microsoft vor einer Sicherheitslücke in Windows XP. Was steckt diesmal dahinter? (mehr …)
Normalerweise gibt das IE-Team Sicherheitsupdates für Software-Produkte immer am 2. Dienstag des Monats heraus, so zum Beispiel letzte Woche. Heute hat man außer der Reihe einen zusätzlichen Patch zur Behebung eines Fehlers im Internet Explorer veröffentlicht. Die Lücke wird bereits für Angriffe auf IE8 und IE9 ausgenutzt. (mehr …)
In der aktuellen Version des Java-Plug-ins wurde eine kritische Sicherheits-Lücke entdeckt. Betroffen sind alle Unter-Versionen der Java-Laufzeit-Umgebung 1.7.x – auch wenn Sie Google Chrome verwenden. Laut Informationen von heise online wird diese Lücke bereits aktiv ausgenutzt. Wer eine passend manipulierte Webseite aufruft, bei dem können beliebige Befehle auf dem Computer ausgeführt werden.
Ein ausser-plan-mässiges Java-Update vom Hersteller Oracle lässt unterdessen auf sich warten. Die einzige Lösung ist daher, das Browser-Plug-in von Java vorübergehend ganz zu de-aktivieren. Wie das genau geht, hängt von Ihrem verwendeten Browser ab.
Firefox
Klicken Sie auf „Firefox, Add-ons verwalten“. Schalten Sie links zu „Plug-ins“, und klicken Sie rechts bei „Java(TM) Platform SE“ auf den Knopf „De-aktivieren“.
Internet Explorer
Klicken Sie rechts oben auf den Stern (Extras), „Internet-Optionen“. Schalten Sie zum Tab „Sicherheit“, und klicken Sie auf „Stufe anpassen…“. In der Liste wählen Sie beim Eintrag „Skripting von Java-Applets“ die Option „De-aktivieren“. Zum Schluss klicken Sie auf „OK“, „Ja“ und „OK“.
Safari
Klicken Sie auf „Safari, Einstellungen“ (Mac) oder „Zahnrad-Symbol, Einstellungen“ (Windows). Schalten Sie zum Bereich „Sicherheit“, und entfernen Sie den Haken bei „Java erlauben“.
Google Chrome
Bis ein Sicherheits-Update für Java veröffentlicht ist, sollten Sie die Nachfrage, ob Java auf der aktuellen Seite ausgeführt werden darf, jedes Mal verneinen.
Und wieder eine Datenlücke in modernen Smartphones. Wie die New York Times herausgefunden hat, können Apps mehr oder weniger unkontrolliert auf Fotos zugreifen, die im Smartphone gespeichert sind – und die Fotos unbemerkt zum Beispiel auf einen Server übertragen.
Auf Android-Geräten ist das besonders einfach. Niemand würde den Foto-Diebstahl bemerken. Niemand kontrolliert, ob Android-Apps so etwas machen. Im Apple iPhone ist das grundsätzlich auch möglich, immerhin überprüft hier aber Apple vor dem Einstellen in den App-Store, ob alles mit rechten Dingen zugeht. Das dürfte allerdings nicht bedeuten, dass es in jedem Fall auffällt, wenn eine App auf gespeicherte Fotos zugreift.
Die erneuten Sicherheitslücken machen klar, dass sich Google und Apple dringend mehr Gedanken um das Thema Datensicherheit in ihren mobilen Betriebssystemen machen müssen. Es gibt einfach zu viele Lücken und zu viele Defizite in den Betriebssystemen.
