Ein paar Lesetipps zum Wochenanfang
Aus Zeitmangel muss der "Standpunkt" diese Woche sehr kurz ausfallen, im wesentlichen gibt es daher ein paar Lesetipps:
Aus Zeitmangel muss der "Standpunkt" diese Woche sehr kurz ausfallen, im wesentlichen gibt es daher ein paar Lesetipps:
Microsoft hat im Mai mal wieder mehrere 0-Day-Schwachstellen geschlossen. Und für den IE gab es diese Jahr bereits vier 0- Day- Exploits. Und auch für die von Microsoft geschlossenen Schwachstellen gab es bereits 0-Day-Exploits. Beides klingt gleich, es ist aber nicht das gleiche. Und was ist eigentlich der Unterschied zwischen diesem und diesem 0-Day-Exploit für den IE?
Antivirus-Software, Virenscanner, Antiviren - egal wie man sie nennt, wirklich funktioniert haben sie schon seit langem nicht mehr richtig. Das hatte ich zum Beispiel schon 2011 geschrieben, und selbst damals war das schon ein alter Hut. Neu ist, dass sogar die Hersteller der AV-Software inzwischen gemerkt haben, dass sie hinter den Cyberkriminellen her hecheln wie der Hase hinter dem Igel im Märchen vom Wettrennen zwischen den beiden. Oder zumindest einer hat es gemerkt - Symantec. Jedenfalls teilweise.
Microsoft hat die aktuelle 0-Day-Schwachstelle im Internet Explorer auch für Windows XP gepatcht. Und das, obwohl Windows XP seit dem 8. April offiziell nicht mehr unterstützt wird. Ist das Support-Ende also gar nicht ernst zu nehmen? Unterstützt Microsoft Windows XP entgegen der eigenen Aussage doch weiter?
Über die Heartbleed-Schwachstelle in OpenSSL können die privaten Schlüssel der Server-Zertifikate ausgespäht werden. Ob das wirklich auf einem bestimmten Server passiert ist, kann niemand mit Sicherheit feststellen. Also müssen die Zertifikate der von der Schachstelle betroffenen Server erneuert werden. Und zwar ohne Ausnahme, denn mit dem privaten Schlüssel kann sich der Angreifer als der betreffende Server ausgeben und die Kommunikation des Servers entschlüsseln. Das ist so gefährlich, dass schon die theoretische Möglichkeit Grund genug ist, die Schlüssel zu erneuern. Und es gibt sowohl praktische Beweise dafür, dass die privaten Schlüssel ausgespäht werden können, als auch Anzeichen dafür, dass ein Botnet schon 2013 entsprechende Angriffe durchgeführt hat. Um eine Erneuerung betroffener Zertifikate kommt also niemand herum. Der damit verbundene Rückruf der bisher genutzten, eigentlich ja weiter gültigen Zertifikate, ist aber problematisch.
Der Heartbleed Bug in OpenSSL wurde von der NSA angeblich schon seit 2 Jahren ausgenutzt. Was die natürlich dementiert. Was ist davon zu halten?
Warum ist die Heartbleed-Schwachstelle in OpenSSL so schlimm und warum sollte man SSL-Zertifikate und Passwörter betroffener Server austauschen?
Alles im folgenden geschriebene gilt sinngemäß auch die Client-Installationen von OpenSSL, nur das dort eher selten Zertifikate verwendet werden, so dass es weniger private Schlüssel zum Ausspähen gibt. Passwörter werden aber natürlich auch auf dem Client gespeichert.
Am Wochenende habe ich drei sehr interessante Paypal-Phishing-Mails bekommen. Interessant deshalb, weil sie an ganz bestimmte Adressen gingen. Adressen, bei denen ich mich frage, ob es da ein Datenleck gibt oder ob jemand meine Daten verkauft hat.
Die Mailingliste Full Disclosure wurde auf unbestimmte Zeit ("indefinitely") eingestellt. Und das (Original-)Archiv wurde auch gleich aus den Netz genommen. Das ist beidese sehr bedauerlich.
Webbrowser sind zur Zeit sehr beliebt. Sowohl bei den Cyberkriminellen und "staatlich gesponserten Angreifern" (siehe die 0-Day-Schwachstellen im IE) als auch bei den Sicherheitsforschern (siehe Pwn4Fun, Pwn2Own und Pwnium). Und zumindest teilweise spielen die den Angreifern in die Hände.