Security Summary August 2020

15-09-2020

Autor: DSwiss

Der kurze Monatsrückblick für August fasst wichtige News und Blogposts zu den Themen IT-Security, Cloud-Computing und Privatsphärenschutz zusammen.

1. Interpol: Vermehrt cyberkriminelle Angriffe auf Krankenhäuser

Während der Corona-Pandemie hat es eine alarmierende Zunahme von Cyberattacken gegeben – und diese treffen besonders auch Regierungseinrichtungen und Krankenhäuser, wobei es vermehrt zu Datendiebstahl kam, wie mehrere Mitgliedstaaten der Polizeibehörde Interpol im Rahmen einer Umfrage meldeten. Im Zeitraum von Februar bis März stieg Interpol zufolge die Zahl der gefährlichen Webadressen, die die Stichwörter «Coronavirus» und «Covid» enthielten. Interpol warnt davor, dass Internetkriminalität in naher Zukunft noch weiter anwachsen werde. Als zunehmendes Problem nennt die Behörde neben der «Home-Office-Situation» besonders auch die Verbreitung von Falschnachrichten über das Sars-Cov-2-Virus verbunden mit schädlicher Software.

Quelle: heise.de

2. Neu bei Threema: Videoanrufe

Threema-Nutzer können seit kurzem auch per Video miteinander telefonieren – ohne auf den hohen Datenschutz, den die Messenger-App ausmacht, zu verzichten. Die Videotelefonate sind Ende-zu-Ende verschlüsselt, wobei nicht nur die Inhalte verschlüsselt werden, sondern auch alle Metadaten. Die neue Funktion ist sowohl für iOS- als auch für Android-Geräte freigeschaltet und war Bestandteil des Updates vom 10. August.
Das zentrale Versprechen von Threema ist, dass sie ein hohes Mass an Datenschutz gewähren und eine geringstmögliche Datenspur hinterlassen. Dass der Messenger tatsächlich sicher ist, wurde 2019 von Sicherheitsforschern bestätigt: Bei der damals aktuellen Version fanden sie keine kritischen Sicherheitslücken.

Quelle: heise.de

3. Security Community nutzt Corona-Krise zur Aufdeckung von mehr Sicherheitslücken

Das Microsoft Security Response Center (MSRC) betreibt ein sogenanntes Bug-Bounty-Programm*. Nun hat das Unternehmen eine Auswertung vorgenommen und kommt zu dem Schluss: Die Coronakrise hat dazu geführt, dass mehr Sicherheitslücken von dritten gefunden und dem Unternehmen gemeldet wurden. So konnten viele Sicherheitslücken geschlossen werden.

Quelle: golem.de

* Bei Bug-Bounty-Programmen werden Personen für das Entdecken und Melden von Software-Bugs an die entsprechenden Unternehmen belohnt. Eine Übersicht aller Bug-Bounty-Programme 2020 ist hier zu finden: https://de.vpnmentor.com/blog/die-komplette-liste-...

4. Sicherheitsbug bei Visa-Contactless

Ein Wissenschaftlerteam aus der Schweiz hat eine Sicherherheitslücke bei Visa aufgedeckt: Kriminelle, die in den Besitz einer Visakarte gelangen, können diese für den kontaktlosen Kauf teurer Produkte nutzen, ohne dabei einen PIN eingeben zu müssen. Dieses ist aufgrund eines Designsfehlers im EMV-Standard sowie im Contactless-Protokoll von Visa möglich, wodurch ein Angreifer Daten ändern kann, die es ihm unter anderem ermöglichen, die jeweilige Limite für kontaktloses Bezahlen ohne PIN auszuhebeln. Um kein Aufsehen zu erregen, tut der «Zahlende» so, als bezahle er mit dem Handy, in Wirklichkeit erfolgt die Transaktion jedoch über die am Körper getragene, gestohlene Visakarte.

Quelle: zdnet.com

5. 235 Millionen Social-Media-Profile geleakt

Offenbar ohne das Wissen oder die Zustimmung der Unternehmen, hat der Datenbroker Social Data öffentliche Social-Media-Profile nach Informationen durchsucht. Erwischt wurde die Organisation aufgrund eines Datenlecks, dessen Quelle eine ungesicherte Datenbank mit identischen Kopien von etwa 235 Millionen Social-Media-Profilen war. Die Daten waren ungeschützt ohne Kennwort abrufbar – anscheinend aufgrund eines Konfigurationsfehlers. Aufgedeckt wurde das Ganze von Sicherheitsforschenden des Vergleichsportals Comparitech.

Quelle: nationalcybersecuritynews.today

6. Schlüssel nach Gehör nachgebaut

Forschern gelang es, Schlüssel für Stiftschlösser anhand der Töne, die beim Einstecken in das passende Schloss entstehen, mit einem 3D-Drucker nachzubauen. Wenn man einen Schlüssel in ein Stiftschloss steckt, schlagen die Stifte in verschiedene Kerben, wobei Klicks entstehen, die darüber Aufschluss geben, wie tief diese Kerben sind. Um die Unterschiede der Klicks zu hören, reichten schon einfache Mikrofone wie z. B. die eines Handys aus. Um die Höhen und Tiefen der Kerben zu berechnen, kam dann jedoch bei diesem Experiment eine Software zum Einsatz. Mit deren Hilfe ermittelten die Forscher die drei wahrscheinlichsten Schlüsselbärte, wovon mit sehr hoher Wahrscheinlichkeit einer passend ist.

Quelle: golem.de

7. Twitter-Plan: Kennzeichnung von Konten staatlich kontrollierter Medien

Twitter erhöht die Transparenz und kündigt an, die Nutzerkonten von staatlich kontrollierten Medien als solche zu kennzeichnen. Der Kurznachrichtendienst sagt dazu: «Anders als unabhängige Medien nutzen mit Staaten verbundene Medien ihre Berichterstattung als Mittel, um eine politische Agenda zu fördern». Gekennzeichnet wird unter anderem das Kreml-nahe Auslandsmedium RT (früher: Russia Today). Medien, die zwar staatliche Mittel erhalten, aber in ihrer Berichterstattung unabhängig sind, wie z. B. die britische Rundfunkanstalt BBC, werden hingegen nicht gekennzeichnet.

Quelle: zeit.de

Ähnliche Artikel

Diese Webseite verwendet Cookies, um Ihnen ein angenehmeres Surfen zu ermöglichen. Datenschutzhinweise