Subscribe: RUS-CERT: Externe Links
http://cert.uni-stuttgart.de/ticker/rus-cert-elsewhere.rdf
Added By: Feedage Forager Feedage Grade B rated
Language: German
Tags:
auf  das  dass  daten  dem  des  die  dies  eines  für  hat  heise  ist  kunden  malware  microsoft  nicht  oder  und  von  werden 
Rate this Feed
Rate this feedRate this feedRate this feedRate this feedRate this feed
Rate this feed 1 starRate this feed 2 starRate this feed 3 starRate this feed 4 starRate this feed 5 star

Comments (0)

Feed Details and Statistics Feed Statistics
Preview: RUS-CERT: Externe Links

RUS-CERT: Externe Links



Fremde Seiten, die das RUS-CERT interessant findet.



 



[DV-Recht] US-Gericht erlaubt Microsoft die massenhafte Übernahme von Domains anderer Provider
Das Bundesbezirksgericht im US-Bundesstaat Nevada hat nach einer Klage Microsofts gegen Personen, die Malware, die Windows-Installationen angreift, verbreitet haben sollen, entschieden. alle .com, .net, .org, .biz und .info Domains des DynDNS-Anbieters NoIP an Microsoft zu übertragen. Dies sollte Microsoft in die Lage versetzen, die Domains zu filtern, über die die Malware nach Angaben Microsofts verbreitet worden sein sollen. Es erscheint sehr fraglich, ob die Übernahme von Domainnamen eines DynDNS-Anbieters einen wesentlichen Effekt auf die Verbreitung von Malware haben wird.
Heute übernahm Microsoft, offenbar ohne vorher den Besitzer NoIP zu informieren (siehe deren Stellungnahme dazu) sämtliche Domains. Dies führte zu massiven Ausfällen bei den Kunden des DynDNS-Anbieters. weil Microsoft offenbar sehr schlecht vorbereitet und nicht in der Lage war, den Nameservice für die Kunden aufrecht zu erhalten.
Neben diesem offensichtlichen Unvermögen, der NoIP potentiell großen Schaden zufügen kann und dem zu erwartenden eher sehr geringen Effekt bei der Malwarebekämpfung, ist es höchst bemerkenswert, dass es in den USA offenbar möglich ist, dass Microsoft einer anderen Firma mit Hilfe eines Gerichts die Geschäftsgrundlage entziehen kann, um seine bereits verkauften und durch andere betriebenen Produkte zu schützen. Maßnahmen und Methoden, wie das Übernehmen oder Abschalten von Internet-Infrastruktur, um mögliche ungesetzliche Handlungen zu verhindern (hier die angebliche Verbreitung von Malware), sind normalerweise Exekutivorganen eines Staates vorbehalten und werden nicht (möglicherweise konkurrierenden) Privatfirmen übertragen.



[DV-Recht] Microsoft durchsucht E-Mail-Konto eines Kunden
Microsoft hat das E-Mail-Konto eines Kunden seines Dienstes Hotmail auf der Grundlage seiner Geschäftsbedingungen ausgewertet. Microsoft war auf der Suche nach einem Informationsleck, weil Teile des Codes des Betriebssystems Windows 8 auf dem Blog des Kunden aufgetaucht waren und der Konzern nun herausfinden wollte, woher diese als Geschäftsgeheimnis eingestufte Information gekommen war. Die Juristen Microsofts hatten entschieden, dass die Firma aufgrund der durch die Nutzer akzeptierten Geschäftsbedingungen auch private Daten des betreffenden Nutzers auswerten dürfe und dazu keine Legitimation durch einen Gerichtsbeschluss nötig sei.
Dies ist in sofern sehr bemerkenswert, als dass es plausibel erscheint, dass mit dieser Begründung auch die Daten von Kunden anderer Dienste, wie etwa Office 365, unter diese Regelung fallen und jederzeit ausgewertet werden können. Es muss daher davon ausgegangen werden, dass Daten, die bei solchen Diensten gespeichert werden, nicht als vertaulich eingestuft werden können. Daraus ist zu schließen, dass Daten, die einer Geheimhaltungspflicht unterliegen, etwa Daten eines Projektes mit entsprechender Vereinbarung, nicht auf diesen Diensten verarbeitet werden können, ohne die Vereinbarung zu brechen. Gleiches gilt für schutzwürdige personenbezogene Daten. (s.a. heise)



[Generic/PPTP] "Der Todesstoß für PPTP"
Der IT-Sicherheitsexperte Moxie Marlinspike mit seinem Projekt CloudCracker einen Dienst anbietet, der verspricht, "jeden PPTP-Zugang innerhalb eines Tages zu knacken". Die Heise-Redaktion hat den Dienst ausprobiert, mit höchst erschreckendem Ergebnis: Zwar hat das Knacken des PPTP-Zugangs zum Heise-LAN runde 36 Stunden gedauert, also etwas länger als versprochen, dennoch konnte der Redakteur danach problemlos den geknackten Zugang verwenden. Die Tauglichkeit des Protokolls für die Absicherung von VPN-Verbindungen muss daher als nicht mehr gegeben angesehen werden. (heise)



[Windows/Skype] Schwachstelle im Skype-Client
Eine Schwachstelle im Skype Client 5.5 ermöglicht es einem Angreifer, das Skype-Konto eines betroffenen Benutzers unter seine Kontrolle zu bringen. Durch einen Entwurfsfehler werden bei der Benutzung der Facebook-Pinnwand- oder Kommentarfunktion die Sitzungsdaten für Dritte sichtbar, so dass das Konto des Benutzers übernommen werden kann. Die Schwachstelle wurde durch die neue Version, die diese Facebook-Funktionen erstmals anbietet, neu eingeführt. (Secalert.net)



[Google/Android] Schwachstelle im Smartphonebetriebsystem Android
Verschiedene Applikationen für das Smartphonebetriebssystem Android senden Authentifizierungsdaten (AutheToken), die das Telefon bei der Anmeldung beim Google-Server erhalten hat, in un- oder nicht individuell verschlüsselten (alle Teilnehmer verwenden denselben Schlüssel) im Klartext. Dies erlaubt Dritten das Token abzufangen und mit seiner Hilfe auf alle persönlichen Daten, die über die Google-API verfügbar sind zugreifen. Siehe hierzu auch Catching AuthTokens in the Wild The Insecurity of Google's ClientLogin Protocol des Instituts für Medieninformatik der Universität Ulm. (heise)



[Google/Android] Android-Malware bestellt kostenpflichtige Dienste per SMS
Malware auf Mobiltelefonen ist bereits seit einiger Zeit bekannt, die technische Ausgreiftheit und der Trickreichtum bei ihrer Verbreitung wachsen jedoch unaufhörlich. Eine ganze Reihe von Schädlingen verbreitet sich ungeniert über Googles Appstore und zeigt so nebenbei wieder einmal das grundlegende Sicherheitsproblem dieses Marketinginstrumentes. Aktuelle Malware zielt auf Smartphone-Nutzer, die sich in chinesischen Netzen aufhalten. Sie sendet heimlich Nachrichten an Premium-SMS-Dienstleister und schließt dort Abonnements ab. Um die Aktion zu verschleiern überwacht sie anschließend den SMS-Eingang und löscht die Bestätigungsnachricht des Anbieters. Google hat die bekannten Apps aus dem Store gelöscht, allerdings ist unbekannt, wie lange dies gedauert hat. (heise)



[Kryptologie] Revocation doesn't work
Adam Langley beschreibt, wie verschiedene Browser mit Certificate Revocation Lists (CRLs) umgehen und warum sie nicht funktionieren: entweder die SSL-Zertifikate funktionieren nicht wenn der CRL Server nicht erreichbar ist, oder ein Man-in-the-middle-Angriff kann die CRL umgehen indem er vortäuscht, der Server sei nicht erreichbar.



[OpenBSD/IPsec] Hintertüren im IPsec-Stack?
Theo de Raadt schreibt in der OpenBSD-Tech-Mailingliste, Hinweise erhalten zu haben, dass verschiedene ehemalige Entwickler des IPsec-Stacks für OpenBSD zwischen 2000 und 2001 von US-Regierungsbehörden Geld erhalten haben, Hintertüren in die Implementierung einzubauen. Nachdem die OpenBSD-Implementierung die erste freie IPsec-Implementierung war, fand deren Code weite Verbreitung. Er schreibt weiter, dass er diesen Hinweis zwar von einer ihm persönlich bekannten Person erhalten hat, sich aber nicht an irgendwelchen Verschwörungstheorien diesbezüglich beteiligen will. Er empfiehlt jedoch allen Entwicklern, die entsprechenden Code verwenden, diesen auf entsprechende Anzeichen zu untersuchen.



[Exploits] Packet Storm überarbeitet Webseite
Das IT-Sicherheitsportal Packet Storm hat seinen Webauftritt überarbeitet und bietet gemäß dem Grundsatz der Full Disclosure leichten Zugriff auf archivierte Sicherheitsadvisories, Exploits, Whitepapers, Sicherheitswerkzeuge und Nachrichten aus dem Umfeld der IT-Sicherheit.



[BSI/Cloud Computing] BSI stellt Eckpunktepapier zur Informationssicherheit beim Cloud Computing zur Diskussion
Das Bundesamt für Sicherheit in der Informationstechnik hat ein Eckpunktepapier zur IT-Sicherheit beim Cloud Computing veröffentlicht und zur Diskussion gestellt. Dabei wird besonders das Thema IT-Sicherheit in Public Clouds beleuchtet. Interessierte können bis zum 3. Januar 2011 Kommentare zum Papier abgeben, die entweder direkt ans BSI geschickt (cloudsecurity@bsi.bund.de) oder in ein XING-Forum des BSI gestellt werden können.