Tag: Heartbleed

Heartbleed, iCloud-Hack und Shellshock Bash: Die gefährlichsten Sicherheitslücken 2014

Skandale in der Cyberwelt, Hacks, Sicherheitslücken und Schwachstellen: Dieses Jahr ist in Sachen Internet-Sicherheit viel passiert. Wir präsentieren Ihnen die schwerwiegendsten Sicherheitslücken dieses Jahres und ob diese noch immer eine Gefahr für Ihre Privatsphäre darstellen.

Heartbleed

Heartbleed ist die wahrscheinlich größte Sicherheitslücke des Jahres und hat die meisten Internetnutzer getroffen. Den Fehler hat man in der Open-Source-Bibliothek OpenSSL entdeckt. OpenSSL ist für den Schutz von Nutzernamen und Passwörtern verantwortlich. Der Fehler bedeutet, dass Hacker auf die Daten zugreifen konnten, wenn diese nicht richtig verschlüsselt waren. Dadurch konnten Datendiebe die Benutzernamen und Passwörter vieler Nutzer sammeln. 66 Prozent der Internetnutzer waren betroffen. Zudem ist der Fehler zwei Jahre lang unbemerkt geblieben. Hacker hatten genug Zeit, möglichst viele Daten zu sammeln.

HeartbleedIm April wurde der Fehler entdeckt. Die betroffenen Seiten haben Patches erhalten und sind nun wieder sicher.

Snapchat

Die Snapchat-App wurde Anfang des Jahres gehackt. Die Hacker haben Benutzernamen und Telefonnummern von mehr als 4 Millionen Nutzern gestohlen. Das Hauptproblem war allerdings ein anderes: Der Drittanbieter Snapsaved hat bekannt gegeben, dass der eigene Webserver gehackt wurde. Auf der Webseite konnten Benutzer Fotos und Videos abspeichern. Mehr als 200.000 Bilder und Videos von Snapchat sind auf der Seite 4chan gelandet.

Snapchat Troll

Snapsaved.com hat die eigene Webseite geschlossen und 4chan die Bilder gelöscht. Das macht Snapchat aber immer noch nicht zu 100-prozentig sicher. Snapsaved und weitere nicht autorisierte Apps nutzen die frei zugängliche Programmierschnittstelle (API) von Snapchat und fangen so Fotos und Videos ab. Am sichersten sind Sie immer noch, wenn Sie Drittanbieter-Apps meiden. Selbst Snapchat hat immer noch einige Sicherheitslücken.

iCloud

Der Angriff auf Apples iCloud hat viele Prominente betroffen und war somit schlagartig bekannt. Selbst normale Benutzer waren vor Datendiebstahl nicht mehr sicher. Schuld waren Drittanbieter-Apps, denen man Zugriff auf das eigene iCloud-Konto gegeben hat. Hacker haben eine Lücke im iCloud-System ausgenutzt und sind die Zwei-Faktor-Authentifizierung umgangen. Somit konnte sich das Programm ohne Zwei-Faktor-Abfrage in das Konto einloggen und die Hacker konnten alle privaten Fotos von iOS-Geräten einsehen.

iCloud

Seit dem Angriff arbeitet Apple ständig an der Verbesserung des iCloud-Speicher-Services. Mit der Veröffentlichung von iOS 8 erhalten Sie eine E-Mail von Apple, sobald Sie sich von einem anderen Gerät anmelden und auf Ihr iCloud-Konto zugreifen. Die Zwei-Faktor-Authentifizierung ist heute Standard bei Apple und erschwert Hackern die Arbeit erheblich. Wenn Sie Drittanbieter-Apps ohne Zwei-Faktor-Authentifizierung nutzen, fordert Apple Sie auf, ein spezifisches App-Passwort zu generieren.

eBay

Auch die Webseite eBay war Opfer eines Hacker-Angriffs. Den Angriff hat man erst Monate später entdeckt. Die Hacker haben das Konto eines Mitarbeiters benutzt und so Zugriff auf die Benutzerdaten erhalten. Die Angreifer konnten Daten wie E-Mails, physische Adressen, Passwörter und Geburtsdaten abgreifen. eBay-Partner PayPal war zum Glück aller Nutzer nicht von dem Angriff betroffen. Bankdaten sind somit privat geblieben. eBay hat seine Nutzer dazu aufgefordert, das persönliche Kennwort zu ändern.

Ebay hack

Internet Explorer

Ein Viertel des Browser-Markts war im April betroffen, als Microsoft die kritische Sicherheitslücke in den Versionen 6 bis 11 des Internet-Explorers bekannt gegeben hat. Durch die Sicherheitslücke haben Hacker die gleichen erhöhten Benutzerrechte wie die Anwender selbst erhalten und konnten somit Malware auf dem PC installieren. Microsoft hat den Fehler innerhalb weniger Tage entdeckt und die Lücke geschlossen. Zusätzlich hat auch das veraltete Betriebssystem Windows XP ein Sicherheitsupdate erhalten.

Internet Explorer

Adobe Flash

Auch Adobe ist nicht verschont geblieben. Angreifer konnten eine kritische Sicherheitslücke ausnutzen, um Authentifizierungs-Cookies von Webseiten wie unter anderem eBay zu stehlen. So sind die Hacker an Nutzerdaten und Konten herangekommen. Adobe hat daraufhin mit einem Notfall-Update für Flash geantwortet.

Adobe Flash

Flash ist ein wichtiger Bestandteil von Tausenden von Webseiten wie Google, YouTube und Tumblr. Daher waren viele Internetnutzer betroffen. Mit dem Notfallupdate surft man wieder sicher.

Shellshock Bash

Shellshock Bash war eine wichtige Sicherheitslücke unter Max OS X, Linux und anderen Unix-Systemen. Hacker konnten aus der Ferne Befehle auf den Computern, Geräten und Webseiten ausführen.

Shellshock Bash

Die Sicherheitslücke ermöglichte den Hackern, einen Shell-Schadcode per Umgebungsvariable einfügen zu können. So befanden sich Millionen von Geräten in Gefahr. Die betroffenen Webseiten hat man sofort überprüft. Die anfälligen Webseiten – unter anderem auch Apple –  haben den Fehler sofort behoben. Jedoch gibt es immer noch betroffene Web-Server.

Die meisten großen Software-Unternehmen haben die Sicherheitslücke bereits geschlossen. Schützen Sie sich zusätzlich, indem Sie die Software auf Ihrem Computer und auf den anderen Geräten auf den neuesten Stand bringen.

Ausreichender Schutz für Ihre Online-Daten

Das waren die größten Hackerangriffe dieses Jahres. Zwar sind die meisten Fehler behoben, das schützt allerdings nicht vor weiteren Sicherheitsverletzungen.

Verwenden Sie zusätzliche Möglichkeiten zum Schutz Ihrer Privatsphäre wie die Zwei-Faktor-Authentifizierung oder einen Passwort-Manager. Aktualisieren Sie Ihre Software regelmäßig und meiden Sie Dritt-Anbieter-Apps.

Mehr zum Thema:

Warum es an der Zeit ist einen Passwort-Manager zu nutzen

Welcher Password-Manager ist der Richtige – 1Password, Dashlane, or LastPass?

Sicherheits-Experte Mikko Hypponen spricht über Internet-Sicherheit: “Der Kampf ist noch nicht verloren”

Sicherheit in der Cloud: Diese Apps verschlüsseln Dropbox, OneDrive und Co.

Bash Bug: Die Shellshock-Sicherheitslücke betrifft OS X und Linux sowie viele Webserver und Geräte

Bash ist die Kommandozeile von OS X, Linux und vielen Unix-Systemen. Eine Sicherheitslücke erlaubt Angreifern die Ausführung von Befehlen, die sich zu schadhaften Zwecken einsetzen lassen. Da Bash auf vielen Servern und auch eingebetteten Systemen zum Einsatz kommt, könnte das Ausmaß schlimmer sein als beim Heartbleed-Fehler.

Sicherheitslücke in der Shell

Der Bash Bug tritt auf allen Systemen auf, welche die Eingabeaufforderung (Shell) Bash nutzen. Dazu zählen die meisten Unix-Betriebssysteme, viele Linux-Varianten und auch Mac OS X von Apple. Die sogenannte Shellshock-Sicherheitslücke erlaubt Angreifern das Ausführen von Schadcode über das Internet.

Die Schwachstelle ermöglicht das Einfügen von Befehlen in Umgebungsvariablen, die Bash beim Aufruf einer neuen Shell ausführt. Auf Webservern und auch in Unix- oder Linux-Umgebungen gibt es unzählige Szenarien, in denen Bash zum Einsatz kommt, weshalb die Angriffsmöglichkeiten vielfältig sind.

Test der Eingabeaufforderung

Ein einfacher Test der Kommandozeile zeigt, ob ein System betroffen ist. In der Eingabeaufforderung wird folgender Code eingegeben:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Ein betroffenes System antwortet mit:

vulnerable
 this is a test

So können sich Anwender schützen

Folgende Linux-Distributionen bieten bereits einen Patch zur Behebung der Shellshock-Sicherheitslücke in ihren Betriebssystemen an:

Von Apple gibt es noch keinen offiziellen Patch, um die Sicherheitslücke in Mac OS X zu beseitigen. StackExchange bietet eine ausführliche Anleitung, wie sich diverse Versionen von Bash in Mac OS X 10.9.5 aktualisieren lassen.

Warum Shellshock ein großes Problem ist

Der Bash Bug und die Shellshock-Sicherheitslücke existieren in ihrer jetzigen Form seit längerer Zeit, weshalb davon auszugehen ist, dass weltweit sehr viele Systeme betroffen sind. Viele Webserver laufen unter Linux, aber auch Geräte wie Router oder Flachbildfernseher. Viele Programme nutzen die Shell in irgendeiner Form. Deshalb ist es schwierig, anfällige Software zu katalogisieren. Der Sicherheitsexperte Robert Graham schätzt das Ausmaß von Shellshock größer als Heartbleed ein.

Vor allem ältere Server und Geräte können auf lange Zeit anfällig bleiben oder sich gar nicht erst aktualisieren lassen. Systeme und Geräte, die eine andere Shell als Bash (beispielsweise BusyBox) nutzen, sind von der Shellshock-Sicherheitslücke nicht betroffen.

Quelle: Debian | Red Had Security Blog

Passende Artikel

Heartbleed-Fehler: Die OpenSSL-Sicherheitslücke betrifft noch unzählige Geräte wie Router und Internetdrucker

Nach dem Heartbleed-Desaster: So machen Sie Ihre Internetkonten wieder sicher

Heartbleed: Wie ich meine 14 wichtigsten Passwörter in 19 Minuten änderte

Heartbleed-Fehler: Informationen zur OpenSSL-Sicherheitslücke und Listen der betroffenen Seiten

Dem Autor Jakob Straub auf Twitter und Google+ folgen.

Internet Explorer 12, Recht auf Vergessen, neuer Heartbleed-Angriff

Microsoft hat Details zur Entwicklung von Internet Explorer 12 veröffentlicht aber noch keinen Termin genannt, Google stellt eine Internetseite zum Antrag auf Löschung aus den Suchergebnissen bereit und ein neuer Heartbleed-Angriff nutzt eine Sicherheitslücke in Android 4.1.1 und WLAN-Routern mit OpenSSL aus – der Nachrichtenüberblick.

  • Internet Explorer 12: Microsoft hat Details zum Internet Explorer 12 veröffentlicht. Die Entwicklung beschäftigt sich unter anderem mit dem Web Audio-Standard für Sprach- und Musik-Ausgabe, Sicherheit und dem schnelleren Laden von Seiten. Von Microsoft gibt es noch keine Angabe zum Erscheinungstermin des neuen Browsers.
  • Das Recht auf Vergessen: Nach einem Beschluss des Europäischen Gerichtshofs  stellt Google eine Internetseite bereit, mit der Nutzer die Löschung von Links zu Inhalten aus den Suchergebnissen beantragen können. In Deutschland will das Unternehmen in Zusammenarbeit mit der Regierung eine Schiedstelle einrichten. Google hat noch keine Angabe gemacht, wann die Löschung beginnen soll.
  • YouTube-Sperre in der Türkei: Das oberste Gericht in der Türkei hat die von Ministerpräsident Erdoğan verordnete YouTube-Sperre gekippt. Damit sind sowohl die Blockade von Twitter als auch Googles Video-Portal gerichtlich für unzulässig erklärt. Erdoğan hatte die Seiten wegen kompromittierender Inhalte sperren lassen.
  • Neuer Angriff auf Heartbleed-Sicherheitslücke: Ein Sicherheitsexperte demonstriert, wie sich der Heartbleed-Fehler sowohl unter Android 4.1.1 und auf anfälligen WLAN-Routern ausnutzen lässt. Der sogenannte Cupid-Angriff betrifft Geräte mit einer fehlerhaften OpenSSL-Version und ermöglicht das Auslesen von Daten. Anwender können ihr Android-Gerät mit einem Hearbleed-Checker überprüfen und sich mit einer Firmware-Aktualisierung schützen.
  • Sunrise Kalender-App für Android: Nach der iOS-Version ist Sunrise Calendar jetzt auch für Android verfügbar. Die App bietet eine übersichtliche und funktionale Oberfläche und unterstützt iCal und Google Calendar. Die Anbindung an Microsoft Exchange ist in Arbeit.

Updates

  • Spotify für Android: Nach dem Spotify-Hack hat der Streaming-Anbieter die Android-App aktualisiert. Aus Sicherheitsgründen ist die Aktualisierung für alle Android-Nutzer erforderlich.
  • Google Maps für Android: Google Maps für Android hat ein Update erhalten und bringt mit dem Terrain-Modus die topographische Ansicht zurück. Kleine Verbesserungen an der Benutzeroberfläche sollen zudem die Lesbarkeit und Übersicht verbessern.

Spiele

  • Call of Duty: Ghosts: Der dritte Erweiterungspack Call of Duty: Ghosts Invasion mit neuen Karten für das Spiel Call of Duty: Ghosts erscheint am 3. Juni 2014 für Xbox One und 360. Die PC- und PlayStation-Version wird für circa einen Monat später erwartet.
  • Triomino! für Windows Phone: Triomino! ist ein neues Denkspiel und eine Mischung aus Match-Three und Tetris. Es gilt, Blöcke aus jeweils drei verschiedenfarbigen Quadraten geschickt auf dem Spielfeld zu platzieren.

Tweet des Tages

Dem Autor Jakob Straub auf Twitter und Google+ folgen.

Heartbleed-Fehler: Eine Welle von Phishing-E-Mails bezweckt das Ausspähen von Amazon-Kundendaten

Bei einer aktuellen Welle von Phishing-E-Mails verschicken Betrüger Nachrichten, die es auf Amazon-Kunden abgesehen haben. Die Täter versuchen, sich die Sicherheitsproblematik des Heartbleed-Fehlers zunutze zu machen: Die Nachrichten mit gefälschtem Absender fordern die Empfänger auf, ihr Amazon-Konto aus Sicherheitsgründen durch erneute Passworteingabe zu verifizieren.

Die Nachrichten tragen den Absender safer@amazon.de und können durch ihre Gestaltung gutgläubige Anwender durchaus täuschen. Um eine Sperrung des Amazon-Kontos zu vermeiden, fordern die Betrüger zu einem Verifizierungsprozess auf. Der in der E-Mail enthaltene Link leitet natürlich auf eine präparierte Internetseite der Angreifer weiter, auf der dann die Nutzerdaten ausgespäht werden sollen. Mit Hilfe dieser könnten die kriminellen Urheber entweder Waren bestellen oder an Zahlungsdaten gelangen.

Sollte es eine derartige Phishing-Mail durch den Spam-Filter schaffen, empfiehlt es sich, diese als Spam zu markieren und zu löschen. Amazon selbst fordert Kunden nicht zu einer derartigen Verifizierung auf. Anwender können außerdem auf einen Passwort-Manager zurückgreifen: Damit lassen sich einerseits sichere Passwörtern erstellen, außerdem speichert die Software ein Passwort immer an eine Internetadresse gebunden. Die automatische Anmeldung funktioniert dann nur auf der Originalseite, nicht aber auf einer gefälschten Seite von Betrügern.

Dem Autor Jakob Straub auf Twitter und Google+ folgen.

Passende Artikel

Quelle: Caschys Blog

Heartbleed-Fehler: Die OpenSSL-Sicherheitslücke betrifft noch unzählige Geräte wie Router und Internetdrucker

Der Heartbleed-Fehler und die dadurch verursachte Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL sind noch nicht ausgestanden. Experten der Universität in Michigan haben das Internet nach Geräten durchsucht, die sich durch Ausnutzung der Schwachstelle hacken lassen.

Ausfindig gemacht haben die Experten unzählige anfällige Router, Drucker-Server, Firewalls, Video- und Überwachungskameras, Cloudspeicher und weitere Geräte. Während die allermeisten Internetseiten bereits Sicherheitsupdates installiert haben, herrscht beim Internet der Dinge noch großer Nachholbedarf.

Der Informatiker Nicholas Weaver von der Universität von Kalifornien in Berkeley nennt die Zahl der betroffenen Geräte im höchsten Grade verstörend. Durch den Heartbleed-Fehler in Geräten sind sozusagen die Ränder des Internet durchlässig, also genau da, wo das Netz in unser tägliches Leben eingreift.

Firewalls, Router, Druck-Server und Video-Systeme

Besonders brisant ist die OpenSSL-Sicherheitslücke, wenn sie Geräte anfällig macht, die eigentlich erhöhte Sicherheit bieten sollen, also Router und Firewall-Lösungen zum Beispiel. Apple hat bereits Patches für zwei betroffene WLAN-Router herausgegeben. Nach der Auswertung ihres groß angelegten Scans von betroffenen Geräten verzeichnen die Sicherheitsexperten aus Michigan aber eine lange Liste, auf der sich Cloudspeicher von Western Digital, Drucker von HP, ein Videokonferenz-System von Polycom, Firewalls von WatchGuard und Speicher-Lösungen von Synology finden.

FortiGate ist eine angreifbare Firewall vom Anbieter Fortinet und ein gutes Beispiel dafür, wie eine fehlerhafte Sicherheitslösung mehr Daten preisgeben kann, als sie ursprünglich schützen soll. Der Hersteller hat die Anfälligkeit bestätigt und gibt eine Anleitung zur Ausbesserung. Ein Update ist aber nur manuell möglich.

Nicholas Weaver konnte über das Internet etliche Drucker-Modelle ermitteln, welche auf den Heartbleed-Fehler reagierten, darunter einige des Herstellers HP. Ein Sprecher von HP gab an, das Unternehmen arbeite an einem Firmware-Update, die Zahl der betroffenen Modelle sei klein.

Wie können sich Anwender schützen?

Wie betroffene Internetseiten auch, müssen viele der anfälligen Systeme und Geräte manuell von den Betreibern aktualisiert werden. Heimanwender sollten aber überlegen, welche Hardware mit Internetzugang sie zu Hause betreiben. Dazu können zählen unter anderem: Internet-Router, Firewall-Lösungen, Netzwerkfestplatten, WLAN-Drucker, Internetradios, Netzwerkplayer, Smart-TVs sowie intelligente Thermostate und Wetterstationen.

In den meisten Fällen ist eine Aktualisierung der Firmware des Gerätes nicht automatisch möglich. Die Installation eines Updates ist je nach Hardware unterschiedlich, eine Auseinandersetzung mit dem Handbuch oder einer entsprechenden Anleitung ist häufig erforderlich. Die Internetseiten des jeweiligen Herstellers können weiterhelfen, auch bei der Suche nach einem verfügbaren Software-Update.

Die gute Nachricht: Weaver und die Informatiker aus Michigan haben auch festgestellt, dass ein Großteil der Geräte, auf denen OpenSSL zum Einsatz kommt, nicht für den Heartbleed-Fehler anfällig sind. Entweder, weil sie eine fehlerfreie Version einsetzen, oder weil das fehlerhafte Modul nicht aktiviert ist.

Passende Artikel

Quelle: Wired.com

Mozilla Firefox 29, BSI rät zum Verzicht auf Internet Explorer, Adobe schließt Flash Player Sicherheitslücke

Mozilla hat die neue Version 29 des Browsers Firefox veröffentlicht, das Bundesamt für Sicherheit in der Informationstechnik rät zum Verzicht auf Internet Explorer und Adobe schließt eine neue Sicherheitslücke im Flash Player – der Nachrichtenüberblick.

  • Mozilla Firefox 29 veröffentlicht: Die neue Version steht ab sofort zum Download für Windows und Mac bereit. Das große Update bringt die neue Australis-Benutzeroberfläche, außerdem vereinfacht Mozilla mit den neuen Firefox-Konten die geräteübergreifende Synchronisation.
  • BSI empfiehlt Internet Explorer-Verzicht: Aufgrund der Warnung von Microsoft vor einer Sicherheitslücke in allen Versionen von Internet Explorer empfiehlt auch das BSI den Einsatz eines alternativen Browsers. Das Bundesamt für Sicherheit in der Informationstechnik rät zum Verzicht, bis ein Sicherheitsupdate bereit steht.
  • Kostenlose Video-Konferenzen mit Skype: Microsoft hat bekannt gegeben, ab sofort allen Skype-Nutzern kostenlose Gruppen-Videoanrufe anzubieten. Bisher war die Videotelefonie nur in Einzelgesprächen möglich und Videokonferenzen blieben Premium-Anwendern vorbehalten.
  • Heartbleed-Fehler in Geräten: Nach Bekanntwerden der OpenSSL-Sicherheitslücke haben viele Anbieter und Seitenbetreiber den Heartbleed-Fehler behoben. Gerätehersteller sind allerdings nicht so schnell: Viele Router, Cloudspeicher und ans Internet angeschlossene Geräte sind noch ohne Patch und angreifbar.
  • Sicherheitslücke in Viber: Sicherheitsexperten haben eine Sicherheitslücke in der Messenger-App Viber aufgedeckt. Der WhatsApp-Konkurrent überträgt und speichert zu viele Daten ohne Verschlüsselung, was ein Sicherheitsrisiko für Anwender darstellt.
  • Xbox Originals: Im Juni 2014 will Microsoft mit Xbox Originals starten. Im Rahmen des Programms stehen Nutzern exklusive Inhalte zur Verfügung, zum Beispiel Konzertübertragungen, Dokumentationen und Serien, die sich teilweise auch interaktiv mit wählbaren Kameraperspektiven betrachten lassen.

Updates

  • Adobe Flash Player: Auch der Hersteller Adobe schließt eine Sicherheitslücke. Die Sicherheitsexperten von Kaspersky hatten die Schwachstelle im Adobe Flash Player ausfindig gemacht.
  • Facebook Messenger für iOS: Facebook erleichtert das Teilen von Fotos und Videos aus der Chat-Anwendung heraus. In der iOS-Version führt Facebook Messenger eine neue Funktion zum Verschicken von Selfies und vorher aufgenommenen Videos ein. Android-Nutzer müssen auf die Neuerung noch warten.
  • Facebook-App für Windows Phone 8.1: Die Anwendung des sozialen Netzwerkes ist bereits fit für Windows Phone 8.1 und hat ein paar Fehlerbehebungen erhalten.
  • Tango: Die soziale Messenger-App Tango führt mit einem großen Update eine neue Funktion ein: Nutzer können jetzt das Gerät schütteln, um neue Freunde zu finden. Außerdem lässt sich der Standort zur Suche nutzen und sowohl Text, Videos und Songs in Status-Updates posten.
  • YouTube Mix für Android: Google stellt jetzt auch unter Android die Funktion YouTube Mix zur Verfügung. Dadurch lassen sich automatisch Wiedergabelisten von favorisierten Künstlern erstellen. Damit soll das Anhören von Musik mit der YouTube-App leichter werden.

Spiele

Destiny für PC: Am 9. September 2014 startet Destiny für PlayStation 4 und 3 sowie Xbox One und 360, nicht aber für PCs. Hersteller Bungie erklärt jetzt, warum eine PC-Version des Spiels nicht zeitgleich verfügbar ist und wo die Schwierigkeiten in der Entwicklung liegen.

Drowning in Problems: Minecraft-Entwickler Notch hat das Browser-Spiel Drowning in Problems veröffentlicht. Die Mini-Simulation im Stil eines Textadventures zeigt ein ziemlich düsteres Weltbild und ist nichts für einen schlechten Tag im Büro.

Heartbleed: Warum ein Passwort-Manager die richtige Lösung ist

Die Heartbleed-Sicherheitslücke hat einen großen Teil des als sicher geltenden, verschlüsselten Internets zwei Jahre offen für Angriffe gelassen. Über die Lücke war es theoretisch möglich Benutzernamen und Passwörter zu ergaunern. Selbst populäre Webseiten wie Google oder Yahoo! waren gefährdet. Inzwischen haben sie das Leck gestopft.

Auch wenn man Hacker nicht davon abhalten kann, Webseiten zu knacken, so kann man doch einiges für die eigene Sicherheit unternehmen. Der erste Schritt sind unterschiedliche Passwörter für jeden Dienst, den man nutzt. Das Problem: Wie erinnert man sich an all die verschiedenen Kombinationen aus Zahlen, Zeichen, Klein- und Großbuchstaben? Die Antwort: mit einem Passwort-Manager.

Wie funktioniert ein Passwort-Manager?

1password for Mac

Passwort-Manager generieren, speichern und verschlüsseln Passwörter. Man muss sich nur an ein Master-Passwort erinnern, mit dem man Zugang zur Passwörter-Datenbank erhält.

Es ist sinnvoll, für jedes Account ein eigenes Passwörter mit Buchstaben, Zahlen und Zeichen zu erstellen. Damit verhindert man, dass ein Hacker alle Accounts auf einmal knackt, wenn er das eine, für alle Accounts gültige Passwort klaut.

LastPass secure password example

Brute-Force-Attacken knacken in Windeseile schwache Passwörter, die nur aus Buchstaben und Zahlen bestehen. Je kürzer ein Passwort ist, umso leichter hat es ein Hacker mit einer Brute-Force-Attacke.

Anwendungen wie zum Beispiel 1Password oder LastPass bieten nicht nur einen Passwort-Manager. Sie speichern auch sensible Dokumente, Kreditkarteninformationen oder Software-Lizenzen.

Was passiert, wenn das Master-Passwort gestohlen wird?

Experten halten das für sehr unwahrscheinlich. Passwort-Manager erschweren zudem das Knacken des Master-Passworts. Softonic sprach mit 1Password-Mitarbeiter Jeffrey Goldberg, dessen Jobtitel nicht Manager sondern Verteidiger gegen die schwarzen Künste lautet. “1Password verschlüsselt die Passwort-Datenbank mit Schlüsseln, die aus diesem Master-Passwort generiert werden. Niemand hat zu dieser Verschlüsselung oder zum Master-Passwort Zugang. Wenn jemand die Datenbank klaut, kann er sie ohne das Master-Passwort nicht entschlüsseln.”

LastPass for Chrome

Genauso arbeitet auch LastPass. Obwohl LastPass die Passwort-Datenbank mit den eigenen Servern synchronisiert, speichert oder versendet der Anbieter keine Verschlüsselungsdaten. Alle Verschlüsselungsdaten generiert LastPass aus dem Master-Passwort. Diese Daten werden lokal auf dem Computer des Nutzers gespeichert.

“Wir nutzen SSL nur in einer zweiten Sicherheitsstufe. Das Herzstück unserer Sicherheit besteht darin, die Verschlüsselungsdaten lokal zu speichern”, erklärt LastPass-CEO Joe Siegrist.

Muss man all seine Passwörter ändern?

Bevor man dran geht alle Passwörter zu ändern, sollte man kontrollieren, welche benutzten Webseiten von Heartbleed betroffen sind. Dabei versichert man sich, dass die Betreiber der Seiten die Sicherheitslücke mit einem Patch geschlossen haben. Mashable veröffentlichte eine umfangreiche Liste mit den populärsten Webseiten und ihren Reaktionen auf Heartbleed. Bevor man das Passwort ändert, geht man sicher, dass die Sicherheitslücke durch den Anbieter geschlossen wurde. Andernfalls riskiert man, dass die Passwortänderung von Hackern mitverfolgt wird. Trotz einiger Mitteilungen, dass die Heartbleed-Sicherheitslücke in den Medien übertrieben dargestellt wird, sollte man lieber auf Nummer Sicher gehen.

Der Netzwerkspezialist Cloudflare präsentiert in seinem Blog eine Aufgabe, bei der man einen privaten Schlüssel mit Hilfe von Heartbleed klauen kann. Es dauerte nur einige Stunden, bis die ersten Nutzer erfolgreich die Aufgabe erfüllten und private Verschlüsselungsdaten entwendeten. Die Bedrohung ist real.

“[Heartbleed] ist keine Übertreibung”, sagt Siegrist. “Cloudflare hat bewiesen, wie man den Bug nutzt. Es ist durchaus möglich, hierüber Nutzernamen und Passwörter zu klauen.”

LastPass Heartbleed checker

Mit einem Passwort-Manager ändert man seine Passwörter in wenigen Schritten. Softonic-Redakteur Tim Vüllers änderte nach dem Heartbleed-Desaster die 14 wichtigsten Passwörter in 19 Minuten. Der Manager speichert die neuen Passwörter und erinnert sich auf diese Weise an sie. LastPass besitzt sogar eine Alarmfunktion, die Nutzer vor Webseiten warnt, die für Heartbleed anfällig sind. Der Anbieter betreibt eine öffentliche Webseite, auf der man URLs eintippt. Die Seite prüft die Adresse, ob sie von der Sicherheitslücke betroffen ist. Mashable hat zusätzlich eine Liste zusammengestellt, die die Reaktionen verschiedenen Anbieter auf die Bedrohung aufführt.

Noch gibt es keine Automatisierungs-Tools. 1Password und LastPass arbeiten aber daran.

“Noch muss man das Formular für die Passwortänderung selbst suchen. 1Password assistiert dem Nutzer dabei, ein neues, starkes Passwort zu generieren. Wir arbeiten ständig daran, diesen Prozess zu verbessern”, sagt Goldberg.

Ein wenig Arbeit verhindert aber vielleicht den Supergau in der Zukunft.

Was kann man für den eigenen Schutz noch tun?

Der Passwort-Manager ist der erste Schritt für mehr Schutz im Internet. Darüber hinaus sollte man bei Sicherheits-News genau hinsehen und sich darüber im Klaren sein, welche Webseiten man besucht.

Phishing-Attacken sind sehr populär. Dabei gaukeln Webseiten vor, sie wären eine andere Seite, die der Nutzer kennt. Sobald er jedoch seine Daten auf eine Phishing-Seite einträgt, werden sie einem Hacker zugeleitet. Daher sollte man nie auf ungewöhnliche Links klicken, die man per E-Mail bekommt.

Passwort-Manager unterstützen den Nutzer dadurch, indem sie ihn direkt auf die korrekte Webseite führen. Manchmal ist es nur ein Zeichen in der Adresse, die den Nutzer anstatt auf die korrekte auf eine Phishing-Seite führt, ohne dass er den Trick bemerkt.

Chrome browser lock

“Nutzer sollten in ihren Browser SSL/TLS-Warnungen ernster nehmen”, fordert Goldberg. Das Schloss-Symbol in der Adresszeile weist darauf hin, welche Webseiten eine Verschlüsselung nutzen. Die meisten Browser warnen den Nutzer vor verdächtigen Seiten. Dennoch schadet Aufmerksamkeit beim Surfen nicht.

Zwei-Wege-Authorisierung für mehr Sicherheit

Einige Webseiten bieten bereits eine Zwei-Wege-Authorisierung an. Eine Zwei-Wege-Authorisierung besteht aus dem Passwort und einem zufällig generierten Code. Sobald man das Passwort eingegeben hat, muss man den Code eintippen, den man per SMS oder über ein Authentifizierungs-Tool wie zum Beispiel den Google Authenticator erhält. Diese Codes besitzen nur für einen kurzen Zeitraum Gültigkeit und verfallen danach.

Dropbox two factor authentication

Facebook, Google, Twitter, Evernote und viele andere Anbieter verwenden bereits eine Zweifach-Authentifizierung. Sie bedeutet zwar ein bisschen mehr Arbeit beim Einloggen, aber sie erhöht die Sicherheit gegen Passwortdiebstahl.

Zuletzt sollte man darauf achten, dass alle Computer, Smartphones und Tablets immer auf dem aktuellen Stand sind. Sicherheitslücken werden meistens über Patches oder Updates geschlossen.

Anwendungen wie Avast! alarmieren den Nutzer, wenn eine Software veraltet ist. Auch Softonic für Windows unterstützt den Nutzer dabei, seine Software aktuell zu halten.

Weitere Informationen über Heartbleed und wie man sich gegen Sicherheitslücken schützt, gibt es unter den folgenden Links:

Lastpass:

1Password:

Mehr zum Thema Heartbleed

Heartbleed-Fehler in Android-Apps: Nur zwei Heartbleed-Scanner arbeiten zuverlässig

Die Sicherheitsexperten von FireEye haben sowohl Android-Apps als auch Heartbleed-Scanner zur Überprüfung auf die OpenSSL-Schwachstelle Heartbleed analysiert. Nach der Einschätzung von FireEye sind derzeit etwa 150 Millionen Downloads aus dem Google Play Store von der Sicherheitslücke betroffenen. Von 17 getetesteten Heartbleed-Scannern eigneten sich nur zwei zur Überprüfung von installierten Android-Apps.

Android an sich ist nicht von der Schwachstelle betroffen, mit der Ausnahme der Versionen 4.1 und 4.1.1 Jelly Bean sowie einigen Custom-ROMs. Auf der Ebene des mobilen Betriebssystems sind derzeit also rund fünf Prozent aller Android-Geräte angreifbar. Unabhängig von der installierten Version kann der Heartbleed-Fehler dennoch alle Android-Nutzer treffen, wenn der problematische Code in einer installierten App auftritt.

Spiele und Office-Apps

FireEye berichtet, dass es sich bei den meisten Apps mit einer fehlerhaften OpenSSL-Version um Spiele handelt. Die von Spielen übertragenen Daten sind selten sicherheitsrelevant. Allerdings ist bei einer Anbindung an Facebook, Twitter, Google+ oder sonstige soziale Netzwerke Vorsicht geboten. Theoretisch können Angreifer darüber Zugriff auf die verknüpften Profile gelangen.

Bei der Überprüfung von Office Apps stellten die Tester fest, dass einige zwar den Heartbleed-Fehler enthalten, in allen Fällen aber auf die Verschlüsselung des Betriebssystems zurückgreifen. Dadurch lässt sich die Schwachstelle nicht ausnutzen, selbst wenn sie vorhanden ist.

Heartbleed-Scanner im Test

FireEye hat keine Liste der anfälligen Android-Apps veröffentlicht und stattdessen die jeweiligen Entwickler informiert. Eine Überprüfung der 17 im Google Play Store angebotenen Heartbleed-Scanner ergab folgendes:

  • Lediglich sechs der getesteten Apps bieten auch die Möglichkeit zum Scannen von installierten Apps.
  • Von diesen sechs Anwendungen arbeiteten nur zwei zuverlässig beim Scan.
  • Etliche der Heartbleed-Scanner im Google Play Store sind Fälschungen und dienen einzig dem Anzeigen von Werbung.

Im Testzeitraum vom 10. Mai bis zum 17. Mai 2014 konnte FireEye einen Rückgang der Downloads von angreifbaren Apps verzeichnen. Das ist auf die Reaktion der Entwickler zurückzuführen, die nach und nach ihre Anwendungen mit einer fehlerfreien OpenSSL-Version aktualisieren. Die Zahl der betroffenen Apps nimmt insgesamt also ab.

Was können Anwender tun?

Unsere detaillierte Anleitung zeigt, wie die Überprüfung funktioniert. Nutzer einer anfälligen Android-Version müssen auf eine Aktualisierung des Betriebssystems warten. Google hat die fehlerfreien Versionen schon bereit gestellt. Nun liegt es bei den Anbietern, diese aktualisierte Android-Version auch auszuliefern. Informationen und Erklärungen zum Heartbleed-Fehler geben wir in unserer Zusammenfassung der OpenSSL-Sicherheitslücke.

Downloads

Passende Artikel

Quelle: FireEye

Google Street View als Zeitmaschine, Die Sims 4, Heartbleed-Fehler in Android-Apps

Google ermöglicht das Betrachten alter Street View-Aufnahmen von 2007 und danach, Hersteller EA Maxis wird Die Sims 4 auf der Spielemesse E3 2014 im Juni in Los Angeles zeigen und die Sicherheitsexperten von FireEye haben sich mit dem Heartbleed-Fehler in Android-Apps auseinandergesetzt – der Nachrichtenüberblick.

  • Google Street View Zeitmaschine: Google erlaubt jetzt das Betrachten von früheren Aufnahmen des Dienstes Street View. Dadurch können Nutzer die Entwicklung von Straßen und Städten nachverfolgen und in der Zeit zurück reisen – zumindest bis ins Jahr 2007, aus dem die ersten Aufnahmen stammen.
  • Heartbleed-Fehler und Android-Apps: Die Sicherheitsexperten von FireEye haben den Heartbleed-Fehler in Android-Apps analysiert. Ihrem Test zufolge arbeiten nicht alle Heartbleed-Checker zuverlässig. Laut FireEye sind es unter den populären Android-Apps vor allem Spiele, die noch eine fehlerhafte Version von OpenSSL einsetzen.
  • Twitter Passwort-Reset: Vorsicht vor Phishing-Angriffen in Zusammenhang mit Twitter. Bei Problemen mit einem Konto fordert Twitter seine Nutzer per E-Mail zur Passwortänderung auf. Laut sueddeutsche.de nutzen Angreifer dies aus und verschicken gefälschte E-Mails, die Twitters Aufforderung ähneln. Auf den richtigen Absender ist unbedingt zu achten.
  • Beliebte Messenger-Apps: Line veröffentlicht erstmals Angaben zu den aktiven Nutzern pro Monat: Weltweit kann der Dienst 150 Millionen vorweisen. Der Facebook Messenger bringt es auf 200 Millionen aktive Nutzer pro Monat. WhatsApp bleibt Nummer eins mit 500 Millionen.

Updates

  • Fernsehsuche auch für iPhone: Die Suchmaschine für Inhalte von Fernsehsendern läuft jetzt auch auf dem iPhone. Bisher war die iOS-Version Tablet-Nutzern vorbehalten. Mit Fernsehsuche für iOS lässt sich Sehenswertes und aktuelle Sendungen in den Sender-Mediatheken finden.
  • Vevo für iOS: Vevo bietet Zugriff auf die größte Sammlung offizieller Musikvideos. Die neue iOS-Version kommt mit einem komplett neuen Design, neuen Kanälen und einem Fenster zum gleichzeitigen Anschauen und Suchen von Videos.
  • Instagram: Die Plattform zum Teilen von Fotos hat die Explore-Funktion überarbeitet. Instagram präsentiert unter diesem Reiter in der App ab sofort mehr Bilder aus dem Follower-Kreis, also Aufnahmen, die Freunden und Bekannten gefallen, gemischt mit aktuellen Trends.

Spiele

  • Flappy48: Die Mischung macht’s – Flappy48 kombiniert die beiden erfolgreichen Spiele Flappy Bird und 2048 zu einem süchtig-machenden Meisterwerk. Flappy48 ist kostenlos für Android verfügbar und lässt sich mit dem Unity Web Player auch im Browser spielen.
  • Die Sims 4: Der Hersteller des beliebten Spiels Die Sims hat bestätigt, die vierte Ausgabe des Spiels auf der Spielemesse E3 in Los Angeles zeigen zu wollen. Die Veröffentlichung von Die Sims 4 wird für Herbst 2014 erwartet.
  • XCOM: Enemy Unknown: Das rundenbasierte Strategiespiel soll bald auch für Android erscheinen. XCOM: Enemy Unkown lässt den Spieler eine Spezialeinheit aufbauen und gegen außerirdische Invasoren in den Kampf führen. Nach Aussagen des Herstellers steht die Android-Version kurz vor der Fertigstellung.
  • H1Z1: Das Zombie-Überlebensspiel von Sony zeigt sich in einem ersten Video. H1Z1 für den PC soll in nur wenigen Wochen starten und bietet eine riesige Spielwelt, mit der mehrere tausend Spieler gleichzeitig interagieren können.

Heartbleed-Fehler: Die OpenSSL-Sicherheitslücke betrifft fünf Prozent aller Android-Geräte

Der Heartbleed-Fehler betrifft rund fünf Prozent aller Android-Geräte. Die Schwachstelle in der Kryptographie-Bibliothek OpenSSL können Angreifer damit auch zum Ausspähen des verschlüsselten Datenverkehrs von Smartphones und Tablets ausnutzen. Google hat offiziell bekannt gegeben, dass nur die Android-Version 4.1.1 Jelly Bean gefährdet ist, nach Analyse der Sicherheitsexperten von Lookout gibt es aber einige wenige Ausnahmen.

Heartbleed-Überprüfung von Lookout

Lookout bietet den Heartbleed Detector zur Überprüfung von Android-Geräten auf eine Gefährdung durch die Schwachstelle an. Der Hersteller hat inzwischen eine erste Analyse der statistischen Daten herausgegeben, die folgendes ergibt:

  • Der Heartbleed-Fehler betrifft nur rund fünf Prozent der getesteten Geräte.
  • In Deutschland zeigt der Check, dass die Sicherheitslücke bei 8,5 Prozent der Testkandidaten vorhanden ist.

Auch Android 4.1.2 und 4.2.2 Jelly Bean sind anfällig

Entgegen der Aussage von Google kam Lookout zu dem Schluss, dass auch weitere Jelly Bean-Versionen betroffen sind. Google hat die Sicherheitslücke im mobilen Betriebssystem zwar im Jahr 2012 geschlossen. Die Auswertungen zeigen aber, dass knappe 5,5 Prozent der ausgewerteten Geräte mit Android 4.2.2 Jelly Bean auch auf den Test ansprechen und die Lücke aufweisen. Die Ursache liegt in den sogenannten Custom-ROMs: Einige angepasste Varianten von Android haben auch nach der Version 4.1.2 noch auf eine fehlerhafte OpenSSL-Version gesetzt. Das weit verbreitete Custom-ROM CyanogenMod war aber nur mit Versionen vor CM 10 betroffen.

Was können Anwender tun?

Zur Sicherheit empfiehlt sich der Test mit dem Heartbleed Detector. Wir geben eine detaillierte Anleitung, wie die Überprüfung funktioniert. Nutzer einer anfälligen Android-Version müssen auf eine Aktualisierung des Betriebssystems warten. Google hat die fehlerfreien Versionen schon zur Verfügung gestellt, die Auslieferung durch die Anbieter lässt aber auf sich warten. Bis ein Update erhältlich ist, sollten sicherheitskritische Dienste und Seiten nicht mit dem anfälligen Gerät genutzt werden. Die wenigen Nutzer eines Custom-ROM können dieses in den meisten Fällen selbst auf eine neuere und fehlerfreie Version aktualisieren.

Downloads

Passende Artikel

Quelle: Google Online Security Blog | Lookout