Bei der Schlagzeilen mit der sich Sony im Moment hacken lässt, kann einem wirklich der Überblick verloren gehen. The Hacker News zählt am heutigen Tag die insgesamt neunte Attacke auf das Unternehmen. Letzter Vorfall in dieser Reihe zwei SQL Injection Angriffe auf die japanische Sony Webseite, deren Ausbeute wieder bei pastebin.com gepostet wurden:
Das Unheil scheint für Sony kein Ende zu nehmen. Wie Sophos berichtet, wurde nun die griechische Website SonyMusic.gr gehackt. Zumindest wurde bei pastebin.com eine angebliche Sony Datenbank hochgeladen, die User-Namen, Real-Namen und E-Mail-Adressen von mehr als 8000 Usern enthält:
Das Berliner Landgericht hatte über eine Klage wegen unlauteren Wettbewerbs zu entscheiden. Eine Online-Anbieterin wurde von einem Wettbewerber abgemahnt, weil dieser in der Verlinkung des “Gefält mir”-Buttons ohne Hinweis in seinen Datenschutzbestimmungen und auch sonst nirgendwo auf der Webseite einen wettbewerbsrechtlichen Verstoß sah. Zumindest dieser Einschätzung folgte das Gericht nicht, wie der Rechtsanwalt Timo Schutt bei securitymanager.de berichtet. Zu den datenschutzrechtlichen Vorschriften machte das Gericht keine Aussage.
Daher die Unsicherheit bezüglich dieser Facebook-Funktion auch durch das Urteil des Landgerichts nicht beendet. Wer auf seiner Website nicht auf diese Funktion verzichten möchte sollte jedoch trotzdem in seinem Datenschutz Hinweis auf auf den “Gefält mir”-Button eingehen. Wer auf Nummer sicher gehen möchte, verzichtet ganz darauf.
Wie The Register berichtet, könnte der Botnet Trojaner IncognitoRAT nach Angaben von McAfee auch für Macs gefährlich werden. Bislang sei der Trojaner zwar nur auf Windows Systemen gesichtet worden, er sei jedoch auch für Angriffe geeignet, die Mac OS X, das iPhone oder das iPad ins Visier nehmen.
Die bisher gesichteten .exe-Dateien würden jedoch direkt das Java Runtime Environment angreifen. Die installierten Schadfunktionen, wie zum Beispiel der Keystroke-Logger, seien grundsätzlich auch auf den Apple Systemen lauffähig.
Inwieweit die Aussagen von McAfee realistisch sind, oder ob sie eher als Marketingmaßnahmen zu verstehen sind, Virenscanner für Apple-Systeme zu verkaufen, wird sich in den nächsten Jahren zeigen. In jedem Fall realistisch sind Szenarien mit gezielten Angriffen auf Macs, bei denen die Schadsoftware speziell für ausgesuchte Opfersysteme programmiert wird. In genau diesen Fällen helfen Virenscanner allerdings auch nicht weiter.
Nachdem der Blogger Roger Grimes in einem Posting sieben Arten von Black Hats ausgemacht hat, identifiziert Websense nun fünf Typen von Hackern (Hier im Blog: Sieben Arten von Black Hats).
Mal sehen, wer als nächstes eine diesbezügliche Taxonomie vorstellt…
Nach Angabe von Julian Assange ist Facebook die fürchterlichste Bespitzelungsmaschine, die jemals erfunden wurde. Neben Facebook stellten auch Google und Yahoo Schnittstellen für die US-Geheimdienste bereit. Assange wird bei golem.de wie folgt wiedergegeben:
“Hier haben wir die weltweit umfassendste Datenbank über Personen, ihre Beziehungen, ihre Namen, ihre Adressen, Standorte und die Kommunikation untereinander, ihre Angehörigen, die alle in den Vereinigten Staaten sitzen, alles zugänglich für die US-Geheimdienste. Facebook, Google und Yahoo, all diese großen US-Organisationen verfügen über integrierte Schnittstellen für US-Geheimdienste.” Es sei “einfach zu teuer, die Daten für jeden Einzelfall bereitzustellen, darum wurde der Prozess automatisiert. Jeder sollte sich bewusst sein, dass mit jedem bei Facebook hinzugefügten Freund kostenlose Zuarbeit für die Geheimdienste der Vereinigten Staaten und den Aufbau dieser Datenbank geleistet wird.”
Nach einem Urteil des Amtsgerichts Göttingen ist das Entsperren von SIM-Karten kein Kavaliersdelikt. Im Gegenteil: das Gericht verurteilte einen 35-jährigen Mann zu einer Freiheitsstrafe von sieben Monaten auf Bewährung, wie auf der Webseite inside-handy.de berichtet wurde. Insgesamt 50 Mal soll der Mann die Handysperre außer Kraft gesetzt haben, um sich damit ein Zubrot zu verdienen. Neben der Freiheitsstrafe wurde der Mann zusätzlich zu 40 Stunden gemeinnütziger Arbeit verurteilt. Nach Angaben der Webseite ist in dem Fall jedoch davon auszugehen, dass der Beschuldigte Revision einlegen werde. Das letzte Wort ist also noch nicht gesprochen.
Wie der Sicherheitsexperte Brian Krebs in seinem Blog berichtet, wird seit kurzem ein Trojaner-Baukasten namens Weyland-Yutani für den Mac angeboten. Für 1000 $ ist die Software zu haben, die es in dieser Art bisher nur für Windows Systeme gab. Was es derzeit noch nicht gibt, sind Exploit-Baukästen, mit denen sich diese Trojaner auch ohne Sachkenntnis über Softwareschwachstellen in Zielsysteme einschleusen lassen. In jedem Fall erhöht sich dadurch das Risiko für Mac-Systeme, die bisher von solchen Bedrohungen verschont geblieben waren.
The Register hat sich mit der Frage auseinandergesetzt, was sich wohl auf Bin Ladens Festplatte verbergen könnte. Die Navy SEALs hatten neben Computern auch Festplatten und USB-Sticks in dem Gebäudekomplex sichergestellt, die nun in Afghanistan ausgewertet werden. Da Bin Laden aber eine ziemliche Paranoia hatte, was die Nutzung moderner Kommunikationstechnik angeht, wird nicht viel zu holen sein.
Sollte er allerdings ein Programm wie Mojahedeen Secrets verwendet haben, dürfte es die Geheimdienste nicht viel Zeit kosten, Fehler in der Implementierung zu finden und an die Daten zu kommen. Wie sagte bereits Bruce Schneier:
In dieser Welt gibt es zwei Arten von Kryptographie: Kryptographie, die Ihre kleine Schwester davon abhält, Ihre Dateien zu lesen, und Kryptographie, die große Regierungseinrichtungen davon abhält, Ihre Dateien zu lesen.
Ps(i)²™ und Sebastian Klipper (CISSP®, T.I.S.P.®) stehen für exzellentes Know-how und innovative Security- Management- Lösungen. Der Verfasser zahlreicher Fachartikel und Bücher arbeitet in Berlin als Unternehmensberater und Autor. Lernen Sie ihn bei einem seiner Vorträge persönlich kennen oder nutzen Sie eine der weiteren Kontaktmöglichkeiten.
Sie benötigen Unterstützung bei der Anwendung der Normenreihe ISO/IEC 27000? Oder möchten Sie in Ihrem Unternehmen lieber die BSI Standards anwenden?
Holen Sie sich das Know-how des "Klipper on Security"- Autors in Ihr nächstes Projekt. Erfahren Sie mehr über ψ² Security Consulting: ψ² = Ps(i)²
Von Sebastian Klipper
"Konfliktmanagement für Sicherheitsprofis"
Auswege aus der Buhmann-Falle für IT-Sicherheitsbeauftragte, Datenschützer und Co.
2010, Vieweg+Teubner-Verlag
Von Sebastian Klipper
"Information Security Risk Management"
Risikomanagement mit ISO/IEC 27001, 27005 und ISO/IEC 31010
2010, Vieweg+Teubner-Verlag
Ab 2011:
5 Themen für die Titelseiten von HAKIN9 und <kes>.
