Nemesis Bootkit — A New Stealthy Payment Card Malware – The Hacker News

„The malware that persists outside of the operating system (OS) requires a different approach to detection and eradication,“ security analysts from FireEye wrote in a blog post published Monday. „Malware with bootkit functionality can be installed and executed almost entirely independent of the Windows [OS]. As a result, incident responders will need tools that can access and search raw disks at scale for evidence of bootkits.“

Quelle: Nemesis Bootkit — A New Stealthy Payment Card Malware – The Hacker News

Das klingt ganz und gar nicht gut für die, die glauben ein Virenscanner und eine Firewall wären die Sicherheit auf Erden…

E-Mails verschlüsseln | Digitalcourage e.V.

zehnminütige Zusammenfassung mit dem Wichtigsten bei Vimeo (Quelle Digitalcourage e.V.)

E-Mail-Verschlüsselung ist gar nicht so kompliziert, wie man auf den ersten Blick denkt. Was sich dahinter verbirgt und wie Sie Ihre Mails verschlüsseln, ist hier erklärt: Wozu dient E-Mail-Verschlüsselung? Die naheliegenste Antwort auf diese Frage ist, dass Verschlüsslung dem Schutz der Vertraulichkeit dient. Das heißt, die Nachricht ist nur für diejenigen lesbar, für die sie bestimmt ist. Dies ist bei weitem nicht selbstverständlich, denn der Inhalt unverschlüsselter E-Mails wird im Klartext versendet

Quelle: E-Mails verschlüsseln | Digitalcourage e.V.

Wie auf meiner Informationstechnologie-Seite beschrieben, sollte man sich als mündiger Digitalbürger mal damit vertraut machen. p≡p – Pretty Easy Privacy – macht es einem wirklich einfach anzufangen – JETZT!

Unsichere App-TAN: Sparkasse verteidigt ihr pushTAN-Banking | heise online

(…) das Handy muss keineswegs gerootet sein, damit der demonstrierte Angriff möglich ist. Es genügt vollkommen, wenn die verwendete Betriebssystem-Version oder eine der Apps eine Sicherheitslücke aufweist, über die sich eine Malware-App die benötigten Root-Rechte verschaffen kann. Laut einer aktuellen Studie der Uni Cambridge weisen rund 88 Prozent aller Android-Systeme solche Sicherheitslücken auf. Um einen ähnlichen Angriff wirklich zu verhindern, müsste die Sparkasse folglich einen Großteil der potenziellen Nutzer aussperren.

Quelle: Unsichere App-TAN: Sparkasse verteidigt ihr pushTAN-Banking | heise online

Da chipTAN m.W. zu den deutlich sichereren Verfahren gehört, wäre es doch mal konsequent dem mobile Hype eine Absage zu erteilen und eben harte Ware als Voraussetzung für ziemlich sicheres Banking den Kunden schmackhaft zu machen, zumindest als Andoird-Nutzer würde ich über die 11,95 EUR Investition nachdenken.

Apple kann (und will) Nutzerdaten von iOS-Geräten nicht weitergeben | MacTechNews.de

Gegenüber dem zuständigen Richter äußerte sich Apple nun schriftlich, dass die Verschlüsselungstechniken seit iOS 8 gar kein Auslesen der Daten von Seiten Apples mehr ermöglichen – und was die wenigen iPhones betrifft, die noch ältere Systeme tragen, möchte Apple auch nicht schnüffeln.

Quelle: Apple kann (und will) Nutzerdaten von iOS-Geräten nicht weitergeben | News | MacTechNews.de

Manchmal freut es mich das Apple stur bleibt 🙂

Studie zu Malware: 87,7 Prozent der Android-Geräte sind unsicher | MacTechNews.de

Über 90 Prozent der Malware für Mobilgeräte greift Android-Geräte an. In puncto Sicherheit hat iOS die Nase sehr weit vorne. Forscher der University of Cambridge haben das Klischee des unsicheren Android nun mit einer Studie unterfüttert. Das Ergebnis: 87,7 Prozent aller Geräte sind mindestens einem von 11 bekannten kritischen Sicherheitslücken ausgeliefert. Der wahrscheinliche Grund ist die schleppende oder gar nicht vorhandene Update-Politik der verschiedenen Hersteller von Android-Smartphones und -Tablets.

Quelle: Studie zu Malware: 87,7 Prozent der Android-Geräte sind unsicher | MacTechNews.de

Quelloffene Entwicklung heißt nunmal nicht besser. Wenn die „Forks“ der unterschiedlichen Versionen nicht gepflegt werden, findet man sich in so einem Sumpf wieder. Leichtes Spiel für Gauner, leider.

Google-Interna im Second-Hand-Shop | heise Security

zcat juniper.conf.3.gz |grep -E „host-name|domain-name“
host-name isttekbr1;
domain-name corp.google.com;

Quelle: Google-Interna im Second-Hand-Shop | heise Security

ROTFL! Das Dekommisionieren von Althardware will auch gelernt sein 🙂

YiSpector: Apple äußert sich zu neuer iOS-Malware | heise online

Wie Apple nun gegenüber US-Medien mitteilt, betreffen die von YiSpector ausgenutzten Lücken angeblich nur „ältere Versionen von iOS“, die die Malware von nicht vertrauenswürdigen Quellen bezogen hätten. Apple habe „dieses spezifische Problem“ in iOS 8.4 behoben und blockiere Apps, die die Malware verteilen.Apple empfehle, stets die neueste iOS-Version zu nutzen, um stets alle Sicherheitsupdates auf dem Gerät zu haben. „Außerdem sollten Nutzer nur von vertrauenswürdigen Quellen wie dem App Store herunterladen und auf Warnungen achten, wenn sie Apps downloaden.“

Quelle: YiSpector: Apple äußert sich zu neuer iOS-Malware | heise online

German Users Hit By Dirty Mobile Banking Malware Posing As PayPal App

Never entertain any suspicious emails or spam, especially when they ask you to download something, open something or click something.
Always download apps from first-party sources or official app stores. By default Android will not allow for apps to be downloaded from any source other than the Google Play store; unless you know what you’re doing you should not change this setting.
Always check the permissions an app asks for before granting it. If it’s too excessive, or if it places you in doubt, refuse.
Install a security solution on your mobile device in order to safeguard against malware such as this.

Quelle: German Users Hit By Dirty Mobile Banking Malware Posing As PayPal App

Aufgepasst! Auch wenn eine Mail vertrauenswürdig erscheint: Paypal schickt Euch solche Aufforderungen nicht, auch keine Bank oder Spasskasse!

iOS 9/9.0.1-Fehler bei FreeOTP [UPDATE]

Wer die Zwei-Faktor-Authentifizierung von FreeOTP (Red Hat) benutzt um bspw. sein Posteo-Postfach übers Web zu benutzen, erlebt als iOS-Nutzer eine böse Überraschung:

Wenn Sie iOS 9 oder iOS 9.0.1 nutzen, ist der Zeitstempel für die Zwei-Faktor-Berechnung zurzeit leider falsch. Auf unseren Testgeräten konnten wir erkennen, dass das Gerät den Code ungefähr 25 Sekunden zu früh kalkuliert. Wir konnten uns anmelden, indem wir den Code bereits eintippen, aber erst dann auf „Anmelden“ klicken, wenn der Code auf Ihrem iPhone bereits rot angezeigt wird und kurz vor dem Ablaufen ist. (Quelle: Posteo-Support)

[Update, 1.10.2015]

(…) unter „Allgemein“ -> „Datum und Uhrzeit“ die Zeit manuell einstellen.
Wichtig hier: Sie können die Uhrzeit nicht sekundengenau einstellen. Die Uhr startet immer bei der Sekunde 0, wenn Sie eine andere Minute einstellen. Öffnen Sie daher parallel zur Uhr auf dem iPhone eine Webseite mit genauer Uhrezeit zB <http://www.atomzeit.eu> und verstellen Sie die manuelle Uhrzeit beim Wechsel der Minute.“
(Quelle: Posteo-Support)

Wer an weiteren Infos interessiert ist: https://forums.developer.apple.com/thread/16872

c’t wissen Überwachung abwehren 2015

Ist das Problem unter Android schlimmer als unter iOS und Windows Phone?

Ja.(…)

Quelle: c’t wissen Überwachung abwehren

Bis Seite 31 sind eigentlich nur die Android-Jünger betroffen, denn anscheinend wollen „die Jungs von Goggel“ (Paul Panzer) nicht wirklich alles für Sicherheit tun, wie dort immer beteuert wird, denn:

Zwar hat Google bislang stest passende Patches entwickelt (…) Google ließ durchblicken, künftig keine Sicherheits-Patches für den bis Android 4.3 genutzten Browser mehr zu entwickeln.

crApple, wie der Konzern gerne abfällig betitelt wird, wird immer vorgeworfen, nur neuere Systeme zu pflegen und man muss immer „mit gehen“, damit man nicht in Probleme läuft. Witzigerweise werden auch ältere OS von Apple nach wie vor mit Sicherheitspatches ausgerüstet.

Der alte OS[/2]-Krieg ist Geschichte, aber der Neue ist nicht weniger bedeutend und meine Andeutungen, Google ist das neue Microsoft, scheint sich immer mehr zu bewahrheiten.