85 Millionen Android-Geräte von HummingBad-Malware befallen

Den Sicherheitsforschern von Checkpoint zufolge hat sich der Android-Trojaner HummingBad weltweit mittlerweile auf 85 Millionen Geräten eingenistet. In Deutschland seien 40.000 Smartphones und Tablets betroffen; insgesamt habe es hierzulande über 13 Millionen Angriffsversuche gegeben, schreibt Checkpoint in einer aktuellen Veröffentlichung. Ob ein Gerät infiziert ist, könne man nicht ohne Weiteres erkennen.

Quelle: 85 Millionen Android-Geräte von HummingBad-Malware befallen | heise online

Spätestens jetzt, wenn nicht schon nach dieser Meldung,

Die Voll-Verschlüsselung von Android-Smartphones weist ein ernsthaftes Design-Problem auf, das die geschützten Daten sehr angreifbar macht, erklärt ein Sicherheits-Forscher. Er belegt dies mit konkretem Code, der Brute-Force-Angriffe demonstriert.

Quelle: Heftiger Schlag für Android-Verschlüsselung | heise online

dann würde ich spätestens jetzt mal über die Auswahl des mobilen OS nachdenken.

Die Neuerungen von Firefox 47 (Desktop)

Insgesamt 13 Sicherheitslücken hat Mozilla in Firefox 47 geschlossen, von denen Mozilla zwei als besonders kritisch einstuft. Alleine aus Gründen der Sicherheit ist daher ein Update auf Version 47 für alle Firefox-Nutzer empfohlen.

Der Arktis droht ein Meereisverlust wie im Negativrekordjahr 2012 – AWI

Meereisphysiker des Alfred-Wegener-Institutes, Helmholtz-Zentrum für Polar- und Meeresforschung (AWI), erwarten für den Sommer 2016 ähnlich wenig Meereis im Arktischen Ozean wie im Negativrekordjahr 2012. Zu dieser Prognose kommen die Wissenschaftler, nachdem sie aktuelle Satellitendaten zur Dicke der Eisdecke ausgewertet haben. Diese zeigen zum einen, dass das arktische Meereis bereits im Sommer 2015 ausgesprochen dünn war. Zum anderen hat sich im zurückliegenden Winter besonders wenig neues Eis gebildet.

Quelle: Der Arktis droht ein Meereisverlust wie im Negativrekordjahr 2012 – AWI

Ich beobachte die Arbeit der „Mädels und Jungs aus Fischtown“ vom AWI schon sehr lange, da ich deren Arbeit für sehr wichtig halte, wenn uns die Natur etwas wert ist. Es wird einem leider sehr bewusst, das eben nicht alles gut ist.

53 Mio. SmartMeter – 1 Schlüssel – GCHQ verhindert Auslieferung

Meine Güte, manchmal freut man sich ja, das auch staatliche Unternehmen aufpassen. In England bspw. verhinderte das GCHQ das die Stromnetzbetreiber EINEN Schlüssel für 53 Millionen SmartMeter einsetzen…. ein Hacker, der den in die Finger bekäme, hätte ein Land schnell in Dunkelheit vesetzen können.

In Deutschland zumindest achten ein paar Menschen darauf, das solche Dinge auch in Gesetze gegossen werden:

Zudem sollte es ohne einen bewährten Nutzen sowohl mit Blick auf Verbraucherschutzinteressen als auch die Mechanismen der Energiewende zu keiner gesetzlichen Fixierung spezifischer Technologien des Smart Metering kommen.

Quelle: Newsletter 1/2016 Dr. Nina Scheer

Es besteht also noch Hoffnung, das wir nicht zwangsweise diese Dinger benutzen müssen, die im Roman Blackout ein ganz besondere Bedeutung hatten.

Ich bin ja dafür, das der Verbraucher selbst den Schlüssel in der Hand behalten sollte, wie auch heute schon jemand einen Schlüssel braucht um an unsere Ableser oder die Anlage selbst zu kommen.

HPE Cyber Risk Report 2016

Report reveals cybercriminals are smarter, more organized than everThe 96-page Hewlett Packard Enterprise Cyber Risk Report 2016 offers a broad view of the current threat landscape, ranging from industry-wide data to a focused look at different technologies, including open source, mobile, and the Internet of Things. The goal: Provide security information that leads to a better understanding of the threat landscape, and deliver resources you can use to minimize security risk.

Quelle: HPE Cyber Risk Report 2016

FBI-Chef: Zugekauftes Tool gibt keinen Zugriff auf neuere iPhones

Die Methode funktioniere aber nur bei einem sehr „engen Stück“ aller iPhones, bei neueren Modellen wie dem iPhone 5S oder iPhone 6 beispielsweise nicht, wie Comey ausführte

Quelle: FBI-Chef: Zugekauftes Tool gibt keinen Zugriff auf neuere iPhones | heise online

War zu erwarten. Die kochen alle nur mit Wasser und haben sicherlich via Hardware (also den Chips im Bauch des Phones) sich über einen „Hack“, der eben nur für die Version der Hardware gil, Zugang verschafft.

„Der Knackvorgang soll so ablaufen, dass der Speicher des Gerätes kopiert wird, bis zur Maximalanzahl der Passcode-Fehlversuche probiert wird und dann der Speicher wieder zurückkopiert wird, in der Folge wird der Passcode-Counter zurückgesetzt und man kann neu versuchen. Super aufwändig, folglich keine große Gefahr, dass die „Lücke“ von Kriminellen abseits des FBI ausgenutzt wird.“

Quelle: FBI: Es können nur bestimmte iPhones entsperrt werden | Cashys Blog

Neuerdings werden ja auch Phishing-Attacken so umgemodelt, um als Hack dargestellt zu werden. Besonders hervorgetan hat sich da das „Handelsblatt„… 🙁 Wenn Leute keine Ahnung haben, einfach mal die …. halten – sehen die Leute von der Computerwoche ähnlich:

Von dem, was ich gesehen, recherchiert und gelesen habe ist Sidestepper KEINE Sicherheitsheitslücke – im Gegenteil. Dass mit einem derart alten Thema (siehe auch ähnliche Meldung 2013: https://www.skycure.com/blog/malicious-profiles-the-sleeping-giant-of-ios-security/) eine (in meiner persönlichen Wahrnehmung) „Angstmacherei“ betrieben wird und das Ganze, auch von der Presse, marketingreif aufbereitet wird, lässt mich fremdschämen.

Quelle: Sidestepper – Phishing-Betrug als Sicherheitslücke vermarktet | Computerwoche

Hacking: Eine eMail-Adresse ist nur gemietet

Viele glauben sicherlich an die Mär des Hackers in Hoodies mit Basecap und Sonnenbrille, aber manchmal wird auch jeder „Normalo“ aus Versehen Hacker. Ein Beispiel: eMail-Adressen bei großen Anbietern, wie GMX, T-Online, Web.de, ….

Hätten Sie gedacht, das eine eMail-Adresse nur gemietet ist und diese nach einem Zeitraum wieder freigegeben wird? Wenn Sie bspw. bei T-Online/Telekom nicht dafür Sorge tragen, die eMail-Adresse nach der Kündigung vom Provider zu behalten, wird nach einem Jahr die eMail-Adresse wieder freigegeben, d.h. ein anderer kann diese dann benutzen. Interessiert Sie nicht? Nun, dann sollten Sie mal die folgenden Zeilen einer wahren Geschichte (mit geänderten Namen und Angeboten) genauer lesen, die ich nämlich erlebt habe.

Den eMail-Alias sichern, einfach mal so

Vor einiger Zeit habe ich bei einem eMail Provider über mein sehr lange bestehenden Account sog. „Alias“-eMail-Adressen hinzugefügt: Sie kennen das, das man bei Telekom, Apple, … zusätzlich zu seiner eMail weitere eMail-Adressen dazu bekommen kann. Ich habe das also für meine Frau und meine Tochter getan und dachte, sie würden die vielleicht demnächst einmal brauchen.

SPAM – in meinem sonst nicht verwendeten Postfach einer unbekannten eMail-Adresse?

Wer kennt sie nicht, die Werbemails, die man nicht möchte. Mein Account wurde nur für spezielle Sachen verwendet und eben nicht für die tagtägöiche Mailflut, d.h. die Wahrscheinlichkeit in einem SPAM-Versender zu geraten war sehr gering, trotzdem tauchte irgendwann eine SPAM-Mail auf, aber nicht an mich, sondern an einen der Alias-Namen…..?!? Nanu? Ich habe die eMail-Adresse doch nie verwendet?!? Zudem unterliegt dieser Account besonderer Kontrolle, eben weil nur ganz wenige diesen kennen sollten.

Die Anrede war falsch, denn sie unterschied sich vom Nachnamen: Sehr geehrte Frau Müller, (…) aber die eMail ging eben an eine mit sievers im eMail-Namen… was war da los?

Ich schaute mir die Mail genauer an, die von einer dieser Forschungs-Gemeinschaften kam, die normalerweise schon korrekte eMail-Adressen haben sollten und nicht als SPAM-Versender in Erscheinung treten.

Social Hacking – Ich suchte…

Ich fing also an dieser Frau Müller, die anscheinend mal eine eMail-Adresse besessen haben musste mit unserem Nachnamen, zu suchen. Ich ging über die Webseite der Mail, die wirklich keine SPAM-Mail war, sondern, wenn man im Cache von Google nachsieht, mal dort gearbeitet hatte.

Es kam in der Zwischenzeit noch eine eMail rein, von einem Reiseveranstalter oder so und nach nach und nach noch mehr… so langsam wusste ich mehr über das digitale Leben der Frau Müller als ihr lieb sein konnte.

Es dauerte nicht allzu lang und ich fand sie in einem sozialen Netzwerk und kontaktierte sie:

Hallo Vorname,
wenn Du mal Müller geheissen hast und xyzsievers@provider.de mal Deine Mailadresse war, dann mal gerne melden. Grüße Jörg

 

…und fand sie

Es dauerte nicht allzu lang und sie antwortete. Mit ein bischen Erklärungen hin- und her machte ich ihr klar, dass so einige Mails bei mir aufgelaufen sind, die eigentlich für sie bestimmt seien und ich ihr die gerne schicken möchte, damit sie sich ggf. dort melden und umregistrieren lassen kann.

Neben der Erkenntnis einiger witziger Dinge, die wir, neben unserem Namen, gemeinsam hatten, schickte ich ihr also den Stapel an Mails an eine neue eMail-Adresse. Zudem versprach ich, weitere Ankünfte wieder an sie weiterzuleiten.

Internet-Dienste sterben, eMail-Adressen bleiben

In letzter Zeit kamen dann noch Mails hinzu, wo ein Dienst die Aufgabe seines Handels bekannt gab oder einer schrieb, das sich die Bedingungen von ihrem Service verbessert haben – naja, dazu müsste die Gefundene den Dienst noch nutzen können, aber erstens war sie geografisch mitlerweile woanders und zudem hatte ich ihre eMail-Adresse, mit der sie das Passwort hätte zurücksetzen können….

Service Account umlenken

Ich resette bei einem Dienst ein Passwort, trug ihre neue eMail-Adresse ein und schrieb ihr eine Mail mit dem neu gesetztem Passwort, damit sie den Dienst vielleicht mal kündigen könnte, bevor der noch Geld kostet. Wäre ich nun ein böser Mensch gewesen, hätte ich mit dem Account Buchungen vornehmen können und belastet worden wäre eine Person, die noch nicht einmal das Passwort hätte resetten können, da ich den eMail-Account habe…

Moral von der Geschicht‘

Ich denke an meiner Geschichte kann man ganz gut erkennen, das man schon ein wenig acht auf seine Daten geben sollte und eMail-Adressen, wenn einem die Domain nicht selbst gehört, sollten wohl gewählt werden, wenn man diese zu Registrierungszwecken bei Diensten im Internet benutzt. In meinem Fall ging das gut, da ich der Frau nichts böses wollte und eher daran interessiert war, das sie ihre Daten so ändert, damit ich keine Post mehr bekomme, die eh nicht für mich ist, aber social hacking ist einfach und es kann (leider) jeder.

Wer bis hierher gekommen ist mit dem Lesen, kann ja mal versuchen herauszubekommen, wie die eMail-Adresse der Frau denn wohl sein müsste…. das sollte man, dessen bin ich mir leider bewusst, herauszufinden sein. Schreibe an die Mailadresse eine eMail und der/dem Ersten, die/der das schafft ist eine Packung Snickers oder Mars oder Twix sicher (bitte in der eMail angeben, nebst Zieladresse) 🙂