Beiträge von rugk

Ja bei XP musste man die Windows-Firewall noch ausstellen. Bei Windows Vista und höher (also auch Windows 7) sollte man dies lieber nicht machen.

So wie es auf den Screenshots aussieht, sollte es aussehen. Denn ESET nutzt die Windows Firewall (genauer gesagt die Windows Filtering Platform) selbst für die eigene Firewall. D.h. du darfst den Dienst nicht deaktivieren - aber angezeigt wird trotzdem nur, dass nur ESET aktiv ist.
Wenn du in die Windows-Firewall-Einstellungen schaust sollte dies ähnlich wie hier aussehen:

Angriff an der schwächsten Stelle
Auch Mozilla ist nicht sicher vor Hacking: Der Bug-Tracker Bugzilla, der für fast alle Mozilla-Projekte - also auch Firefox, Thunderbird und co - eingesetzt wurde, wurde gehackt. Dafür wurde an der schwächsten Stelle angegriffen - dem Mensch.
Ein privilegierter Bugzilla-Nutzer hatte sein bei Bugzilla genutzes Passwort auf einer anderen Seite wiederverwendet. Diese unsichere Praxis wurde ihm zum Verhängnis, als diese andere Seite - welche von Mozilla nicht genauer benannt wird - gehackt wurde und die Passwörter offensichtlich geknackt wurden.
Für Mozilla hatte dies jedoch weitreichende Konsequenzen. Denn der Angreifer hatte mindestens seit September 2014 Zugriff auf geheime Bugzilla-Tickets, welche u.a. Sicherheitslücken betreffen. Dabei hat er insgesamt 185 solcher Bugs angeschaut, von denen allerdings nur 75 sicherheitsrelevant waren.
Einige davon waren zum Zeitpunkt des Angriffen bereits in den veröffentlichten Firefox-Versionen gefixt, sodass nur 10 Bugs effektiv ausgenutzt werden konnten. Bei einem war dies auch nachweisbar der Fall: Die in Firefox 39.0.3 behobene Sicherheitslücke im PDF-Viewer.
Allgemein sollen alle Sicherheitslücken, die der Angreifer sehen konnte, in Version 39.0.3 von Firefox geschlossen sein. Nutzer, die eine ältere Version nutzen, sollten also dringend updaten.

Mozilla zieht Konsequenzen
Dieser Angriff zeigt einmal mehr, wie wichtig es ist die gängigen Passwort-Regeln einzuhalten und Passwörter möglichst einmalig und komplex zu halten.
Mozilla hat nach Bekanntwerden des Angriffes das gehackte Konto natürlich sofort deaktiviert. Außerdem wurden alle Passwörter für privilegierte Bugzilla-Nutzer zurückgesetzt und die Anzahl der Nutzer, die privilegierten Zugriff hatten verkleinert. Außerdem sollen auch die Rechte von privilegierten Benutzern beschränkt werden und mehr Sicherheitsaudits durchgeführt werden.
Als letzte Maßnahme sind ab sofort alle privilegierten Bugzilla-Nutzer gezwungen Zwei-Faktor-Authentifizierung zu nutzen.

Quelle: Improving Security for Bugzilla, FAQ

Mozilla hat den Blog-Post geupdated und es wurden - wie erwartet - auch Exploits für Mac OS erstellt:

Zitat

we’ve now seen variants that do have a Mac section, looking for much the same kinds of files as on Linux.

Zwei Schritte für mehr Sicherheit
Das Prinzip von Zwei-Faktor-Authentifizierung (2FA) ist einfach: Zusätzlich zum einem Faktor, den der Benutzer kennt - dem Passwort, gibt es einen zweiten. Üblicherweise ist dies etwas, was der Benutzer besitzt (z.B. das Smartphone).
Bei letzterem nutzt man eine entsprechende App, welche Einmalkennwörter ([ACRONYM=engl. "one-time password"]OTP[/ACRONYM]) erzeugen. Häufig wird dabei [ACRONYM=engl. "time-based one-time password"]TOTP[/ACRONYM] angewandt, bei welchem bei der Berechnung des Passwortes die Zeit einbezogen wird und es deswegen nur eine festgelegte Dauer gültig ist.

Aktivierung im Forum
Aktuell ist 2FA nur bei großen Providern wie Google, Microsoft oder anderen Diensten verbreitet.
Dank eines Forenupgrades auf die neusten Version, gibt es 2FA allerdings jetzt auch in unserem Forum. Aktuell könnt ihr dabei zwischen E-Mail-Verifikation und App-Verifikation (welche TOTP nutzt) wählen. Bitte beachtet, dass E-Mail-2FA wirklich nur genutzt werden sollte, wenn es nicht anders möglich ist, denn zum einen werden E-Mails unverschlüsselt gesendet und zum anderen stellt es für einen Angreifer der Zugriff auf das E-Mail-Konto hat auch kein Problem dar, zusätzlich zum Zurücksetzen des Passwortes (bei welchem eine E-Mail gesendet wird) auch noch eine zweite E-Mail mit einem Einmalcode zu Empfangen.
Deswegen wird im Folgendem die Einrichtung der App-2FA erklärt.

Zunächst wählt man oben rechts beim Benutzernamen "Zwei-Faktor-Authentifizierung" aus. (Alternativ könnt ihr auch diesen Link nutzen)

Danach wird eine Liste mit vorhandenen 2FA-Möglichkeiten angezeigt. In ihr könnt ihr jetzt "[size=14]Bestätigung der Anmeldung via App[/SIZE]" auswählen.

Danach wird euch ein QR-Code angezeigt. Wenn ihr noch keine 2FA-App auf dem Smartphone oder Tablet installiert habt, müsst ihr dies spätestens jetzt tun. Da das verwendete Protokoll TOTP ein offenes Protokoll ist, kann es von jedem implementiert werden und somit gibt es für nahezu alle Plattformen eine entsprechende App. Am bekanntesten ist dabei Google Authenticator, aber es gibt beispielsweise auch Open-Source-Alternativen wie FreeOTP.
Mit der App scannt ihr den QR-Code ein und müsst zum Aktivieren zunächst das Einmalpasswort eingeben.

Das war es eigentlich schon. Bei der nächsten Anmeldung werdet ihr dann nach dem 2FA-Code gefragt.
Zusätzlich könnt ihr die Abfrage des 2FA-Codes für das aktuelle gerät auch für 30 Tage deaktivieren:

Übrigens: Falls ihr für FreeOTP oder eine andere App, bei der man zu den Webseiten Icon setzen kann, ein Logo für Computerguard braucht könnt ihr dieses Bild nehmen:

Zitat

Android-Smartphones kommen immer häufiger mit vorinstallierter Malware daher. Angreifer können Geräte auf diesem Weg ausspionieren, berichtet G Data in seinem aktuellen Mobile Malware Report. Davon sind vor allem Smartphones aus China betroffen, darunter aber auch Geräte von hierzulande bekannteren Herstellern wie Huawei und Lenovo.

Android: Mehr Smartphones mit vorinstallierter Malware

Insbesondere auch dieser Hinweis ist noch anzumerken:

Zitat

Den Forschern zufolge sind die manipulieren Apps fest mit der Firmware von betroffenen Smartphones verwoben, sodass eine De-Installation nicht ohne Weiteres möglich ist.

Datenschutzerklärung aktualisiert
Eventuell habt ihr es schon gemerkt, das ihr neuen Datenschutzbestimmungen bestätigen musstet. Im folgenden werde ich mal kurz die Änderungen erklären, die auch mit Verbesserungen der Verhinderung von Tracking einher gingen.

[COLOR=#ff0000]Hinweis:[/COLOR] Dies sind nicht die rechtsgültigen Datenschutzbestimmungen. Die rechtsgültigen Datenschutzbestimmungen findet ihr auf dieser Seite.

Teilen-Buttons ohne Datenschutzbedenken
Zunächst einmal haben wir die Social Media Buttons gegen die Shariff Buttons ausgetauscht. Diese "Shariff Buttons" sind ein Projekt von c't/Heise und sollen das Surfen datenschutztechnisch besser gestalten. Heise beschreibt das Projekt so:

Zitat

Mit Shariff können Sie Social Media nutzen, ohne Ihre Privatsphäre unnötig aufs Spiel zu setzen. Das c't-Projekt Shariff ersetzt die üblichen Share-Buttons der Social Networks und schützt Ihr Surf-Verhalten vor neugierigen Blicken. Dennoch reicht ein einziger Klick auf den Button, um Informationen mit anderen zu teilen. Sie müssen hierfür nichts weiter unternehmen – der Webmaster hat sich bereits um alles gekümmert.

Die üblichen Social-Media-Buttons übertragen die User-Daten bei jedem Seitenaufruf an Facebook & Co. und geben den sozialen Netzwerken genaue Auskunft über Ihr Surfverhalten (User Tracking). Dazu müssen Sie weder eingeloggt noch Mitglied des Netzwerks sein. Dagegen stellt ein Shariff-Button den direkten Kontakt zwischen Social Network und Besucher erst dann her, wenn letzterer aktiv auf den Share-Button klickt.

Damit verhindert Shariff, dass Sie auf jeder besuchten Seite eine digitale Spur hinterlassen, und verbessert den Datenschutz. Dann können Sie nach Gutdünken liken, +1en oder tweeten – mehr Informationen erhält das soziale Netzwerk nicht.

Da wir nun also nicht mehr die "offiziellen" Buttons von Facebook, Twitter & co nutzen, haben wir die entsprechenden Teile aus der Datenschutzerklärung entfernt. Für euch macht dies im praktischen Einsatz keinen Unterschied - außer dass ihr besser vor Tracking dieser Webseiten geschützt seit.

Auch wir tracken... - nur anders
Wie die meisten Webseiten tracken auch wir. Viele Webseiten machen dass allerdings nicht transparent und so wissen es viele Nutzer nicht. Wir sprechen dass hier ganz offensiv an.
Im Gegensatz zu den meisten Webseiten benutzen wir jedoch nicht Google Analytics. Stattdessen setzen wir auf das Open-Source-Tool Piwik, welches ein ethisch vertretbares Tracking erlaubt.
Wichtige Punkte, die wir dabei einhalten, sind:

• Piwik läuft auf unserem Server, d.h. es werden keine Daten an Drittanbieter (wie bei Google Analytics) übertragen, welche webseitenübergreifende Profile erstellen können.
  
• Eure IP-Adresse wird nicht vollständig getrackt. Stattdessen wird sie direkt nach Abrufen der Information gekürzt und nur in dieser gekürzten Form auf dem Server gespeichert.
• Ihr habt jederzeit die Möglichkeit, euch vom Tracking ausschließen zu lassen. Dies kann hier erfolgen.
• Wir beachten außerdem den sogenannten "Do Not Track"-Header, dessen Einstellung ihr in eurem Browser festlegen können. Habt ihr diesen Header aktiviert, werden wir automatisch keinerlei Daten von euch sammeln während ihr diesen Browser benutzt.

Unserer Meinung nach ist diese Art von Tracking mit gegenseitigem Einverständnis eine sehr gute Lösung: Ihr könnt entscheiden ob ihr getrackt werden wollt und wir haben dennoch Statistiken und weitere Daten vom Forum, die uns helfen, die Reichweite zu verbessern.
Als Hinweis noch dazu: Wir tracken natürlich auf keinen Fall euren Nutzernamen, allerdings haben wir uns für eine aussagekräftigere Statistik entschieden zwei Profildaten mit ins Tracking einfließen zu lassen: die Benutzergruppe (Gast, Benutzer, Mod oder Admin) und, wenn ihr angemeldet seit, das Geschlecht, welches ihr im Profil angegeben habt. Da durch diese Daten keine Rückschlüsse auf eure Person gezogen werden können, halten wir es für unproblematisch diese zu tracken, insbesondere da die Angabe des Geschlechtes bei uns ja optional ist und ihr diese auch jederzeit ändern könnt.

Wir hoffen, wir kommen euch mit den geänderten Datenschutzbestimmungen entgegen und freuen uns natürlich auf euer Feedback.

ESET hat eine neue Anwendung für Android veröffentlicht:

Zitat

Der Security-Software-Hersteller ESET stellt eine neue mobile Security-Lösung für Familien vor: die ESET Parental Control. Die BETA-Version der Android-App steht allen Interessenten ab sofort über den Google Play Store in vollem Umfang kostenfrei zur Verfügung.

ESET :: Über ESET :: Pressecenter :: MyNewsDesk

Beta-Tester können die neue Kindersicherungsapp dabei 6 Monate gratis ausprobieren. Außerdem ist die App über ein Webinterface auch vom Computer verwaltbar.

ESET beschriebt dabei folgende Funktionen der App:

Zitat

• Application Guard: Erlaubt das Blockieren von Apps und die Definition von Zeitlimits
• Child Locator: Erlaubt die Ortung des Kindes per GPS
• Web Guard: Schützt die Kinder beim Surfen vor Malware und nicht altersgerechten Inhalten, dazu zählen beispielsweise Glücksspiel-Portale oder pornographische Webseiten
• Parental Mode: Erlaubt Eltern die einfache Steuerung der Online-Einstellungen und das Empfangen von Berichten darüber, wie ihre Kinder das Internet nutzen

ESET erklärt in diesem Video leicht verständlich was ein Exploit ist:

In der gleichen Bibliothek gibt es übrigens eine weitere Sicherheitslücke: Android Mediaserver: Neue Lücke betrifft Millionen Smartphones | heise Security

Es geht also weiter...

(Auch) O&O hat ein Antispy-Programm für Windows 10 veröffentlicht, welches viele datenschutztechnisch bedenklichen Aspekte von Windows 10 an einer Stelle komfortabel abschaltbar machen soll.

So beschreibt es O&O:

Zitat

[D]as neue Windows 10 will Ihnen die tägliche Bedienung so leicht und komfortabel wie möglich machen. Dieses Plus an Komfort geht aber leider einher mit der großzügigen Weitergabe Ihrer persönlichen Daten an Microsoft und verschiedene Apps. Einige Dienste protokollieren alle Ihre Tastatureingaben, teilen Ihre WLAN-Zugangsdaten mit Ihren Facebook-Kontakten oder verbinden Ihren Rechner ungefragt mit einem öffentlichen - und potentiell ungeschützten - Netzwerk. Das verhindert zwar, dass Sie oder Ihre Kontakte mit komplizierten WLAN-Passwörtern hantieren müssen, stellt aber auch ein Sicherheitsrisiko dar.

Mit der neuen Freeware von O&O Software - O&O ShutUp10 deaktivieren Sie gezielt ungewollte Funktionen unter Windows 10 und die Weitergabe sensibler persönlicher Daten an Microsoft. Einfach per Mausklick. Empfehlungen helfen Ihnen dabei und geben Tipps, welche Funktionen sicher deaktiviert werden können. Und wollen Sie später doch eine der deaktivierten Funktionen von Windows 10 nutzen - zum Beispiel den persönlichen Assistenten Cortana - dann macht ein weiterer Klick diese oder alle gemachten Änderungen wieder rückgängig.

Das Programm ist gratis und portable und kann von der O&O-Homepage heruntergeladen werden.

Zitat von Steffen

Macht bitte Präfixe für diesen Bereich.

Done. Ich habe den Threadtitel dementsprechend angepasst. (Auch endlos korrigiert :))

Für das S3 wurden Updates versprochen - zumindest von Google: Stagefright-Lücken in Android: Geräte-Hersteller lassen Nutzer im Unklaren | heise online
Und MMS ist natürlich nur ein Angriffsvektor - dennoch ist es ratsam den automatischen Empfang erst einmal zu deaktivieren.

ESET hat in diesem Artikel weitere Details des Angriffes erläutert. U.a. werden in einer neueren Version nach weiteren Daten gesucht, in der nach allem möglichen gesucht wird, wie zum Beispiel Kreditkarteninformationen oder Bitcoin-Wallets.
Dies ist ein Ausschnitt aus dem Skript, der zeigt, nach welchen Dateien alles gesucht wird:

Und auch bei Mac-Nutzern werden jetzt Dateien gesammelt:

Auch ESET hat übrigens jetzt eine App zur Erkennung der Stagefright-Schwachstellen veröffentlicht: ESET Stagefright Detector - Android Apps on Google Play
Der Artikel dazu ist folgender: Schwachstelle Stagefright: Bin ich als Android-Nutzer immer noch betroffen?

Edit: Artikel-Link zu deutschem Artikel geändert.

Zitat von Steffen

Seltsam das alle nun so einen store anbieten. Firefox will Geld machen spotten einige.
Firefox Marketplace

Was hat dass eigentlich mit dem vorherigen Text zu tun?
Der Store ist nicht neu - er ist vor allem für Firefox OS gedacht und da gibt es nun mal Apps.
Aktuell gibt es soweit ich weiß auch nicht viele kostenpflichtige Apps da - und für Mozilla bringt der Store übrigens auch kein Geld ein soweit ich weiß.

Zitat

Windows 10 sammelt fleißig Benutzerdaten und überträgt sie an Microsoft. Ausgerechnet dabei verzichtet das Betriebssystem auf einen ansonsten verwendeten Schutz vor falschen Zertifikaten - sensible Daten könnten so zur leichten Beute werden.

meldet heise Security heute. Das Problem ist, dass die TLS-Verbindungen nicht extra geprüft werden, indem nur bestimmte Zertifikate akzeptiert werden, sondern nur bestimmte vorher festgelegte. Das dahinter liegende Prinzip ist das gleiche wie bei HPKP - was wir hier auch anwenden.
Interessanterweise wird diese Technik bei Windows 10 jedoch angewandt - bei den Updates. Persönliche Nutzerdaten scheint Microsoft aber wohl nicht so schützenswert zu finden.

Auch beim Browser Edge gibt es Probleme:

Zitat

Und auch Microsofts neuer Browser Edge nutzt Zertifikats-Pinning, jedoch nur für Dropbox. Im Test fiel er etwa bei Facebook und ausgerechnet beim Microsoft-eigenen Cloud-Dienst OneDrive auf falsche Zertifikate herein.

Der Patch von Google behebt das Problem wohl übrigens doch noch nicht: Stagefright-Lücken in Android: Googles Patch ist fehlerhaft | heise Security

Wie versprochen informiere ich euch über Neuerungen - und diese sind jetzt auch veröffentlicht wurden.
In dem Artikel More TLS Man-in-the-Middle failures - Adguard, Privdog again and ProtocolFilters.dll beschreibt der im ersten Post erwähnte Autor jetzt alle Details.
Dabei hat Adguard - ähnlich wie bei Superfish - auch HTTPS-Verbindungen abgefangen um (logischerweise) Werbung zu entfernen.
Dabei hat es jedoch bis zu einem Fix im Mai immer einen von 10 privaten Schlüssel genutzt, der bei Installation basierend auf der CPU ausgewählt wurde. Alle diese Schlüssel konnten dabei leicht aus der Datei ProtocolFilters.dll extrahiert werden.
Für Adguard heißt dies also, dass zumindest alle MITM-Verbindungen der bis zu Fix veröffentlichten Versionen, von Angreifern abgefangen werden können und so beliebig manipuliert werden können.
Interessant ist dabei jedoch auch, dass die Datei ProtocolFilters.dll auch in vielen PUA's, also beispielsweise Software, die in Installern mitgeliefert wird, enthalten ist. Offensichtlich gibt es also noch mehr Software die eigentlich sichere Verbindungen abfängt.
Als Beispiele nennt er Coupoon, CashReminder, SavingsDownloader, Scorpion Saver, SavingsbullFilter, BRApp, NCupons, Nurjax, Couponarific, delshark, rrsavings, triosir und screentk.

Hier mehr Informationen zu den Updates: Microsofts Patchday: Neue Patches verhindern Angriffe über USB - Golem.de

Es waren einige sicherheitskritische Patches dabei:

Zitat

Am gestrigen Patch-Tuesday hat Microsoft eine gravierende Schwachstelle geschlossen, die das Einschleusen von Schadcode über USB-Sticks ermöglicht und bereits aktiv ausgenutzt wird. Außerdem wurden zahlreiche Speicherlücken im Browser Edge geschlossen.