Forscher haben eine neue Linux-Malware entdeckt, die sich besonders gut tarnt. Dabei kann sie sowohl als Kryptominer oder Spionage-Werkzeug agieren.

Forscher von AT&T Alien Labs haben eine neue Linux-Malware entdeckt, die sich auf besondere Weise tarnt und es auf Internet-of-Things-Geräte (IoT) und Server abgesehen hat. So wird der Payload mehrfach encodiert und zur Kommunikation werden bekannte Clouddienste eingesetzt. Zuerst berichtete das Onlinemagazin Ars Technica.

“Bedrohungsakteure suchen immer wieder nach neuen Möglichkeiten, Malware zu verbreiten, um unter dem Radar zu bleiben und nicht entdeckt zu werden”, schreibt der Forscher Ofer Caspi von AT&T Alien Labs. “Die Malware verwendet den polymorphen XOR-Codierer Shikata Ga Nai mit additiver Rückkopplung, der zu den beliebtesten Encodern in Metasploit gehört. Mithilfe des Encoders durchläuft die Malware mehrere Dekodierschleifen, wobei eine Schleife die nächste Ebene dekodiert, bis die endgültige Shellcode-Payload dekodiert und ausgeführt wird.”

Das eigentliche Ziel der Schadsoftware bleibt jedoch unklar. Einerseits verwendet sie eine Kryptomining-Software, die unter anderem zu heimlichem Kryptojacking genutzt werden kann. Andererseits lädt die Shikitega jedoch das Metasploit-Paket Mettle herunter und führt es aus. Damit lassen sich beispielsweise die Webcam steuern oder Anmeldeinformationen stehlen. Zudem bündelt das Paket mehrere Reverse-Shells. Entsprechend dürfte es nicht das Einzige Ziel der Malware sein, heimlich Monero zu schürfen.

Um eine Entdeckung zu erschweren, setzen die Bedrohungsakteure auf legitime Clouddienste als Command-and-Control-Instanz. Die von dort erhaltenen Befehle sowie das Mettle-Paket werden zudem nicht auf der Festplatte beziehungsweise SSD gespeichert, sondern nur im Arbeitsspeicher vorgehalten.

Außerdem versucht die Schadsoftware über zwei bekannte Sicherheitslücken Root-Rechte zu erlangen. Hierzu setzt sie auf die Sicherheitslücke Pwnkit (CVE-2021-4034), die rund 12 Jahre im Linux-Kernel lauerte, ehe sie Anfang des Jahres gepatcht wurde.

Die zweite Sicherheitslücke zur Rechte-Ausweitung wurde bereits im April 2021 aufgedeckt und ebenfalls vor geraumer Zeit gepatcht. Allerdings dürften insbesondere Internet-of-Things-Geräte die Patches nicht selten noch nicht eingespielt haben. Persistenz erlangt die Malware über Crontab-Einträge.

Der Beitrag Neue Linux-Malware spielt verstecken erschien zuerst auf Linux-Magazin.

Für einen Kunden konnte Google den größten HTTPS-basierten DDoS-Angriff mit 46 Millionen Anfragen pro Sekunde abwehren.

Google hat nach eigenen Angaben den bisher größten HTTPS-basierten DDoS-Angriff (Distributed Denial of Service) mit Spitzenwerten von 46 Millionen Anfragen pro Sekunde abgewehrt. Der Angriff soll demnach bereits im Juni stattgefunden haben. Bei DDoS-Attacken versuchen die Angreifer Dienste beziehungsweise Server mit Anfragen zu überhäufen, bis sie unter der Last zusammenbrechen.

Der Angriff soll noch einmal 76 Prozent umfangreicher gewesen sein, als der zuvor größte DDoS-Angriff, der ebenfalls im Juni von Cloudflare blockiert wurde. Zuerst hatte das Onlinemagazin The Register berichtet.

“Das ist so, als würde man alle täglichen Anfragen an Wikipedia (eine der 10 meistbesuchten Websites der Welt) in nur 10 Sekunden erhalten”, erklären die Google-Entwickler Emil Kiner und Satya Konduru in einem Blogeintrag. Demnach zielte der Angriff auf einen HTTP/S-Load-Balancer eines Kunden ab und begann mit rund 10.000 Anfragen pro Sekunde, steigerte sich innerhalb von acht Minuten auf 100.000 und wuchs weitere zwei Minuten später auf die besagten 46 Millionen Anfragen pro Sekunde.

Zu diesem Zeitpunkt hatte Google den Angriff bereits erkannt und warnte den Kunden mitsamt einer Angriffssignatur und eine vorgeschlagenen Blockierregel. Diese aktivierte der Kunde umgehend und der Angriff wurde deutlich abgeschwächt. “Vermutlich stellte der Angreifer fest, dass er nicht die gewünschte Wirkung erzielte, obwohl er erhebliche Kosten für die Durchführung des Angriffs auf sich genommen hatte”, schreiben Kiner und Konduru. Nach insgesamt 69 Minuten war die DDoS-Attacke wieder vorbei.

Verantwortlich für den Angriff soll das Mēris-Botnetzwerk sein. Insgesamt sollen 5236 IP-Adressen aus 132 Ländern an der Attacke beteiligt gewesen sein. Etwa 20 Prozent der IP-Adressen seien Exit-Nodes aus dem Tor-Netzwerk gewesen, erklärt Google. Insgesamt seien zu Spitzenzeiten jedoch nur 1,3 Millionen Anfragen pro Minute aus dem Tor-Netzwerk gekommen, was rund drei Prozent des Angriffsvolumens entspreche. Wie bei dem letzten Rekord-DDoS-Angriff zielte auch dieser auf HTTPS-Anfragen, die bei einem Verbindungsaufbau erhöhte Rechenkapazitäten verursachen sollen.

Der Beitrag Google blockiert Rekord-DDoS-Angriff erschien zuerst auf Linux-Magazin.

Ein Forscher hat im Dezember 2021 eine Lücke an Zoom gemeldet. Acht Monate später ist das Problem nicht behoben. Jetzt hat er sie veröffentlicht.

Der Sicherheitsforscher Patrick Wardle hat auf der Hackerkonferenz Def Con mehrere Sicherheitslücken in der Videokonferenzsoftware Zoom präsentiert. Für eine Zero Day unter MacOS gibt es bisher noch keinen Patch. Mit ihm lassen sich die Rechte ausweiten und so eine Schadsoftware als Administrator ausführen. Mehrere andere Fehler hat Zoom bereits behoben. Zuerst hatte das Onlinemagazin The Verge berichtet.

Das Sicherheitsproblem liegt demnach in der Aktualisierungfunktion von Zoom, die beispielsweise Updates einspielt oder die Software entfernt. Diese prüft zwar, ob ein heruntergeladenes Paket kryptografisch signiert wurde, durch einen Fehler in der Prüfungsmethode kann dem Updater jedoch ein beliebiges Zertifikat mit dem gleichen Namen wie das Signierzertifikat von Zoom übergeben werden.

So könnten Angreifer die Überprüfung der zu installierenden Software aushebeln und beispielsweise eine Schadsoftware ausführen. Die Schadsoftware wird durch den Zoom-Updater mit Administratorrechten ausgeführt. Die Sicherheitslücke kann jedoch erst genutzt werden, wenn Angreifer bereits Zugriff auf das System des Betroffenen haben, dann können sie allerdings ihre Rechte ausweiten und haben weitreichenden Zugriff auf das betroffene System.

Gemeldet hatte Wardle die Sicherheitslücke bereits im Dezember 2021. Ein erster Fix führte einen weiteren Fehler ein, mit dem sich die Sicherheitslücke weiterhin ausnutzen ließ, nur eben etwas komplizierter, erklärte Wardle The Verge. Nach acht Monaten habe er sich nun entschlossen, die Sicherheitslücke öffentlich zu machen, auch wenn sie weiterhin nicht behoben sei.

“Für mich war das irgendwie problematisch, weil ich nicht nur die Bugs an Zoom gemeldet habe, sondern auch die Fehler und wie man den Code behebt”, sagte Wardle. “Es war also wirklich frustrierend, sechs, sieben, acht Monate zu warten und zu wissen, dass alle Mac-Versionen von Zoom auf den Computern der Nutzer saßen und anfällig waren.” Durch die Veröffentlichung hofft Wardle, dass der Fehler, der sehr einfach zu beheben sei, nun endlich behoben wird.

Kurz vor der Konferenz hatte Zoom laut The Verge ein Update herausgebracht, das die Lücke beheben sollte. Demnach wird die Update-Datei nun in einen Ordner verschoben, der dem Nutzer Root gehört. Da beim Kopieren die Lese- und Schreibrechte des Nutzers mitkopiert werden, kann dieser auch weiterhin die Datei verändern – und entsprechend auch Angreifer weiterhin die Datei austauschen und ihre Rechte ausweiten.

Matt Nagel, PR-Verantwortlicher für Sicherheit und Datenschutz bei Zoom, sagte in einer Stellungnahme zu The Verge: “Wir sind uns der neu gemeldeten Schwachstelle im Zoom Auto-Updater für macOS bewusst und arbeiten mit Nachdruck daran, sie zu beheben.”

Update: Zoom teilte mit, dass die Sicherheitslücke mittlerweile behoben worden sein soll: “Die neu gemeldete Sicherheitslücke für den MacOS Auto-Updater wurde im Zoom Client für Meetings für die MacOS Version 5.11.5 behoben.”

Der Beitrag Sicherheitslücke in Zoom auch nach acht Monaten offen erschien zuerst auf Linux-Magazin.

Slack hat etliche Nutzer aufgefordert, ihr Passwort zu ändern. Über eine Sicherheitslücke wurden über Jahre Hashes der Passwörter versendet.

Die Kollaborationssoftware Slack hat in bestimmten Fällen die gehashten Passwörter an andere Nutzer übermittelt. Man habe rund 0,5 Prozent der Nutzer aufgefordert, ihr Passwort zu ändern, teilte Slack mit. Was nach wenig klingt, sind bei vom Onlinemagazin The Register geschätzten 10 Millionen täglich aktiven Nutzern eine ganze Menge.

Laut Slack wurden die gehashten Passwörter übermittelt, wenn Nutzer einen gemeinsamen Einladungslink für einen Arbeitsbereich erstellten oder widerriefen. Die Daten seien dann an alle Mitglieder des Arbeitsbereichs gesendet worden, erklärte Slack. In der Software sei der Passworthash allerdings nicht angezeigt worden, vielmehr habe der am Gerät ankommende Netzwerkverkehr untersucht werden müssen, um an den Passworthash zu gelangen.

Entdeckt hatte das Problem ein Sicherheitsforscher, der es am 17. Juli 2022 an Slack meldete. Dort wurde das schon seit längerer Zeit bestehende Problem umgehend behoben. Betroffen sind demnach Nutzer, die im Zeitraum zwischen dem 17. April 2017 und dem 17. Juli 2022 entsprechende Einladungslinks erstellten oder widerriefen. Weitere Details zu dem Problem nannte Slack nicht.

Auch das eingesetzte Hashingverfahren nannte das Unternehmen nicht, auf Nachfrage haben wir bisher noch keine Antwort erhalten. Die Passwörter seien vor dem Hashen mit einem sogenannten Salt (engl. Salz) verlängert worden, teilte Slack mit. “Es ist praktisch nicht möglich, ein Kennwort aus dem Hash abzuleiten, und niemand kann den Hash direkt zur Authentifizierung verwenden”, betonte der Anbieter. Je nach eingesetztem Hashingverfahren, Passwortlänge und vorhandener Rechenpower können Passwörter jedoch durchaus geknackt werden.

Bei den betroffenen Nutzern wurde das Passwort zurückgesetzt, sie müssen ein neues Kennwort wählen. Slack empfiehlt zudem, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.

Der Beitrag Slack schließt jahrelanges Datenleck erschien zuerst auf Linux-Magazin.

Bisher war Microsoft von Duckduckgos Trackingschutz im hauseigenen Browser und in Add-ons ausgenommen. Das soll sich nach Kritik ändern.

Die mit Datenschutzfunktionen beworbenen Browser und Add-ons des alternativen Suchmaschinenanbieters Duckduckgo blockieren nun auch Tracking-Skripte von Microsoft. Im Mai 2022 hatte der Sicherheitsforscher Zach Edwards darauf hingewiesen, dass Domains und Skripte von Microsoft vom Trackingschutz ausgenommen wurden. Beworben wurden die Softwareprodukte aus dem Hause Duckduckgo jedoch mit einem umfassenden Trackingschutz. Einen Hinweis auf die Microsoft-Ausnahmen gab es nicht.

Entdeckt hatte Edwards die Ausnahme offenbar in den Datenschutzbestimmungen des Duckduckgo-Browsers. Hintergrund sind laut Duckduckgos CEO Gabriel Weinberg “vertragliche Verpflichtungen mit Microsoft”. Microsofts Suchmaschine Bing ist die zentrale Quelle für Duckduckgos Suchergebnisse und auch im Anzeigengeschäft der alternativen Suchmaschine ist Microsoft Partner.

“Bisher waren wir in der Anwendung unserer 3rd-Party-Tracker-Loading-Protection auf Microsoft-Tracking-Skripte eingeschränkt, da wir Bing als Quelle für unsere privaten Suchergebnisse nutzen”, heißt es in einer Erklärung von Weinberg. “Wir sind froh, dass dies nicht mehr der Fall ist. Wir hatten und haben keine ähnliche Einschränkung mit einem anderen Unternehmen.”

Skripte von Microsoft seien jedoch nie in die Suchmaschine oder Anwendungen eingebettet worden, betont Weinberg. Vielmehr filterte Duckduckgos Software die Tracking-Skripte von Microsoft auf Webseiten von Dritten nicht heraus, wie es beispielsweise mit Tracking-Skripten von Google der Fall ist.

Eine Ausnahme gibt es demnach jedoch weiterhin: Wird auf eine Anzeige in der Suchmaschine Duckduckgo geklickt, werden entsprechende Skripte von bat.bing.com geladen, um Conversations zu messen – also ob Klicks von Anzeigen tatsächlich zu Produktkäufen geführt haben. Diese Skripte werden im Kontext der Duckduckgo-Webseite weiterhin nicht von Duckduckgos Software blockiert, in anderen Kontexten jedoch schon.

Dennoch sei das Betrachten von Anzeigen auf Duckduckgo anonym. Microsoft habe sich verpflichtet, keine Profile der Duckduckgo-Nutzer über die Klicks auf Anzeigen zu erstellen, betont Weinberg. “Um die Abhängigkeit von bat.bing.com bei der Bewertung der Anzeigeneffektivität zu ersetzen, haben wir mit der Arbeit an einer Architektur für private Anzeigenkonversionen begonnen, die von außen als nicht profilierend validiert werden können.”

Damit überprüft werden kann, welche Tracking-Skripte blockiert werden und welche nicht, hat Duckduckgo nun zudem die Blockierlisten auf Github öffentlich zugänglich gemacht.

Der Beitrag Duckduckgo blockiert nun auch Microsoft-Tracker – meistens erschien zuerst auf Linux-Magazin.

Den Messenger Threema gibt es nun in einer Libre-Variante, bei der jede Zeile Code eingesehen und die App über F-Droid bezogen werden kann.

Mit Threema Libre gibt es den Schweizer Messenger Threema nun in einer Variante, die komplett auf Open-Source-Software setzt. Diese kann über den alternativen App Store F-Droid bezogen werden.

“In Threema Libre gibt es keine einzige Zeile Code, die eine proprietäre Softwarebibliothek von Google oder anderen Drittanbietern voraussetzt”, erklärt Threema in einem Blogeintrag. So komme beispielsweise zur Benachrichtigung ausschließlich Threema Push zum Einsatz, und ein Fallback auf Googles Push-Dienst sei von vornherein unmöglich.

Um Threema Libre zu installieren, muss ein F-Droid-Client auf dem Smartphone vorhanden sein, dem Threemas F-Droid-Repository hinzugefügt werden muss. Eine entsprechende URL sowie einen QR-Code zum Scannen sind in einem FAQ-Beitrag auf der Threema-Webseite zu finden. Bei Threema Libre handelt es sich um eine eigenständige App, die zusätzlich zu dem normalen Threema-Client installiert werden kann. Um die Messenger-Apps zu nutzen, muss eine Lizenz für einmalig 5 Euro erworben werden.

Der komplette Code von Threema Libre ist öffentlich einsehbar. Dass die von Threema verteilten Pakete auch dem veröffentlichten Code entsprechen, soll mittels Reproducible Builds überprüft werden können.

Anfang des Jahres wurde bereits Threema Push in den Messenger integriert. Dabei handelt es sich um eine Threema-eigene Alternative zu Googles Push-Dienst, über den standardmäßig Push-Benachrichtigungen, beispielsweise bei neuen Nachrichten, versendet werden. Inhalte werden über Googles Push-Dienst jedoch nicht übertragen, wie Threema betont. Mit Threema Push soll es möglich sein, den Messenger “ohne Google-Dienste zu verwenden und dabei die volle Funktionalität und Benutzerfreundlichkeit beizubehalten.”

Auch vor der Einführung von Threema Push war es bereits möglich, den Messenger auf einem Google-freien Smartphone zu verwenden. Um neue Nachrichten zu erhalten, kontaktiert der Messenger dafür in regelmäßigen Abständen den Server (Polling). Dabei kann es jedoch zu Verzögerungen bei der Zustellung kommen, wenn die App im Hintergrund läuft. Zudem ist ein höherer Akku-Verbrauch möglich.

Der Beitrag Threema veröffentlicht Google-freie Open-Source-Version erschien zuerst auf Linux-Magazin.

Die Sicherheit von Whatsapp gelte global – es sei “dumm” sie wegen einer britischen Chatkontrolle aufzugeben, erklärt der Whatsapp-Chef.

Whatsapp-Chef Will Cathcart will die Sicherheit von Whatsapp nicht für eine in Großbritannien geplante Chatkontrolle unterminieren. Es sei “dumm” dies zu tun, da Whatsapp weltweit einheitliche Standards bieten müsse.

Die per Whatsapp versendeten Nachrichten werden mit einer Ende-zu-Ende-Verschlüsselung (E2EE) geschützt. Diese stellt sicher, dass nur Sender und Empfänger die Nachrichten lesen können. Mit einer Chatkontrolle soll dieser Schutz umgangen und damit faktisch abgeschafft werden.

“Wenn wir die Sicherheit für die ganze Welt herabsetzen müssten, um den Anforderungen in einem Land gerecht zu werden, wäre das … für uns sehr dumm zu akzeptieren und unser Produkt für 98 Prozent unserer Nutzer wegen der Anforderungen von 2 Prozent weniger attraktiv zu machen”, sagte Cathcart dem Sender BBC.

“Was vorgeschlagen wird, ist, dass wir – entweder direkt oder indirekt über eine Software – die Nachrichten von allen lesen. Ich glaube nicht, dass die Leute das wollen”, sagte der Whatsapp-Chef weiter.

Großbritannien arbeitet an einem Gesetzentwurf (Online Safety Bill), der Unternehmen zu einem Scan nach Abbildungen von Kindesmissbrauch sowie Terrorismus verpflichtet – auch in bisher Ende-zu-Ende-verschlüsselten Nachrichten. Unternehmen, die dem nicht nachkommen, sollen laut einem Gesetzentwurf bis zu 18 Millionen Pfund (21 Millionen Euro) oder 10 Prozent ihres Jahresumsatzes Strafe drohen.

Analog zu Großbritannien plant auch die EU eine Chatkontrolle. Die EU-Kommission habe sich bei ihrem entsprechenden Vorschlag offensichtlich an der britischen Online Safety Bill orientiert, erklärte Tom Jennissen von der Digitalen Gesellschaft. “Dass die britische Variante Kindesmissbrauchsdarstellungen und terroristische Inhalte weitgehend gleich behandelt, zeigt, dass auch die geplante EU-Regelung – allen Beteuerungen der Kommission zum Trotz – ohne Weiteres auf andere Deliktsfelder übertragbar wäre.”

Der Beitrag Chatkontrolle: Whatsapp will Sicherheit nicht für Briten aufgeben erschien zuerst auf Linux-Magazin.

Angreifer geben sich in E-Mails als Sicherheitsunternehmen aus und bitten um einen Rückruf. Doch statt einer Überprüfung wird der Rechner gehackt.

Sie geben sich als Sicherheitsunternehmen wie Mandiant oder Crowdstrike aus und bitten um einen Rückruf wegen eines Sicherheitsproblems. Doch wer die Telefonnummer anruft, landet nicht bei der Sicherheitsfirma, sondern bei Betrügern, die ihr Opfer per Social Engineering zur Installation einer Schadsoftware überreden wollen. Diese preisen sie natürlich als Sicherheitssoftware an.

Statt ihren Opfern einen Link zu einer Phishing-Webseite oder Schadsoftware in Form von Anhängen oder Links zu schicken, setzen immer mehr Angreifer auf solche Callback-Phishing-Kampagnen, bei denen sie unter dem Namen bekannter Unternehmen um einen Rückruf bitten, sei es, um eine Abonnementverlängerung zu stornieren, oder um ein Sicherheitsproblem zu besprechen. Rufen Opfer die Telefonnummer an, versuchen die Betrüger sie beispielsweise zur Installation einer Fernwartungssoftware zu überreden.

Das Onlinemagazin Bleepingcomputer berichtet über einen Fall, in dem sich die Angreifer als Experten der Sicherheitsfirma Crowdstrike ausgaben und die Betroffenen in einer E-Mail vor vermeintlichen Hackern warnten, die in das Netzwerk des Unternehmens eingedrungen seien. Deshalb sei eine gründliche Sicherheitsüberprüfung erforderlich, erklärten die Angreifer.

Anschließend erklärten sie ausführlich, warum ein Zugriff auf die Geräte der Betroffenen nötig seien. Man habe während einer täglichen Netzwerküberprüfung abnormale Aktivitäten in dem Segment des Netzwerks festgestellt, in dem sich der Arbeitsplatz der betroffenen Person befinde, erklärten die Täter demnach. Man habe den spezifischen Domänenadministrator identifiziert, der das Netzwerk verwalte, und vermute eine Kompromittierung aller Arbeitsrechner in diesem Netzwerk.

Daher würden alle Arbeitsplätze detailliert überprüft, hieß es weiter. Man habe sich bereits an die Sicherheitsabteilung des Unternehmens gewandt, diese habe sie allerdings an die einzelnen Arbeitsplätze beziehungsweise die dortigen Mitarbeiter verwiesen, um eine mögliche Kompromittierung der Arbeitsplätze vor Ort zu verhindern. Daher solle man dringend unter der genannten Telefonnummer einen Termin zur Sicherheitsüberprüfung ausmachen.

In einem Bericht geht die echte Sicherheitsfirma Crowdstrike davon aus, dass das Ziel der Angreifer letztlich ein Ransomwareangriff und eine damit verbundene Lösegeldforderung ist. “Dies ist die erste identifizierte Callback-Kampagne, die sich als Cybersecurity-Unternehmen ausgibt, und hat angesichts der Dringlichkeit von Cyberangriffen ein höheres Erfolgspotenzial”, warnt Crowdstrike.

Vitali Kremez von der Sicherheitsfirma Advintel vermutet, dass hinter den Angriffen die Ransomwaregruppe Quantum steckt. Man habe erstmals im Juni 2022 entsprechende Angriffe entdeckt, bei denen sich die Betrüger als IT-Experten von Crowdstrike oder Mandiant ausgegeben hätten.

Der Beitrag Callback-Phishing: Dringender Rückruf erbeten erschien zuerst auf Linux-Magazin.

Messenger sollen in der EU Nachrichten untereinander austauschen können. Signal sieht darin eine Gefahr für seine Datenschutzstandards.

Das kürzlich vom Europaparlament verabschiedete Digitale-Märkte-Gesetz (engl.: Digital Markets Act, DMA) sieht vor, dass Messenger interoperabel werden, also Nachrichten zwischen verschiedenen Diensten ausgetauscht werden können. Doch der auf Sicherheit fokussierte Messenger Signal sieht durch die Regelung seine Datenschutzstandards in Gefahr.

“Das Ziel von Signal ist es, private und sichere Kommunikation für alle und jeden bereitzustellen. Die Zusammenarbeit mit iMessage und Whatsapp würde letztendlich die Privatsphäre von Signal und seinen Benutzern verschlechtern”, erklärte die gemeinnützige Signal-Stiftung. “Andere Apps, die nicht die gleichen Datenschutzstandards wie Signal haben, hätten Zugriff auf große Mengen von Benutzerdaten. Diese Daten könnten dann auf eine Weise verwendet oder verkauft werden, die nicht mit der Mission und den Werten von Signal übereinstimmt.”

Der Messenger verschlüsselt alle Nachrichten mittels des Signal-Protokolls Ende-zu-Ende und reduziert die Metadaten weitestgehend. So werden auch die Gruppen und Gruppenmitgliedschaften verschlüsselt und sind nur für die Mitglieder, nicht aber für den Anbieter einsehbar. Dagegen bieten der Facebook Messenger oder Telegram eine Ende-zu-Ende-Verschlüsselung nur optional an. In Gruppen steht bei Telegram grundsätzlich keine Ende-zu-Ende-Verschlüsselung zur Verfügung.

Dabei ist das Ziel von DMA und des ebenfalls beschlossenen Digitale-Dienste-Gesetzes (engl. Digital Services Act, DSA), “das Internet aufzuräumen und digitale Monopole zu bekämpfen”, wie es der Linken-Abgeordnete Martin Schirdewan formulierte. Während viele Regelungen begrüßt wurden, war die Interoperabilitäts-Regelung jedoch von Anfang an umstritten.

So warnte Kommissionsvizepräsidentin Margrethe Vestager im März 2021: “Wenn wir jetzt vorschreiben, dass alle Messenger kompatibel sein müssen, könnte das dazu führen, dass wir eine Art SMS zurückkriegen.”

Ähnlich äußerten sich im vergangen Jahr etliche Anbieter von Messenger- und Videokonferenzdiensten in einer Befragung des Bundeskartellamtes, darunter Whatsapp, Threema und Facebook Messenger.

“Interoperabilität laufe auch wider Verbraucherinteressen, indem das Nutzererlebnis beeinträchtigt und Multi Homing, also die Unterhaltung von Nutzerkonten bei mehreren Messengerdiensten, verhindert werde. Ein verpflichtendes Interoperabilitätsvorhaben führe dazu, dass es in allen genannten Bereichen nur noch zum kleinsten gemeinsamen Nenner komme”, zitiert das Bundeskartellamt aus den Antworten.

Von einer Verpflichtung zur Interoperabilität würden “nachteilige Auswirkungen insbesondere auf Innovation, Datensicherheit und Datenschutz” befürchtet, heißt es in der Befragung. Allerdings müssen nur sogenannte Gatekeeper ihre Dienste öffnen, also Kerndienste im Internet, die eine besonders weite Verbreitung haben und an die deshalb besonders ausgeprägte Anforderungen zu Wettbewerbspraktiken gestellt werden.

Der Beitrag DMA: Signal sieht in Interoperabilität Gefahr für die Sicherheit erschien zuerst auf Linux-Magazin.

An hessischen Hochschulen darf Zoom weiter genutzt werden, sofern die Maßnahmen des Hessischen Modells umgesetzt werden.

Lehrveranstaltungen an hessischen Universitäten können weiterhin über die Videokonferenzsoftware Zoom abgehalten werden, sofern die Vorgaben des sogenannten Hessischen Modells eingehalten werden. Das teilte die Behörde des Landesdatenschutzbeauftragten Alexander Roßnagel mit.

Aufgrund der Coronapandemie hatte die hessische Datenschutzbehörde den Einsatz von Videokonferenzsystemen wie Zoom geduldet, auch wenn diese nicht den datenschutzrechtlichen Anforderungen entsprachen. Diese Duldung lief im Juli 2021 aus. Hintergrund ist eine Entscheidung des Europäischen Gerichtshofes (EuGH). Nach diesem Schrems II genannten Urteil dürfen personenbezogene Daten nur in die USA übertragen werden, wenn sichergestellt wird, dass US-Behörden nicht auf sie zugreifen können. Dies könne ein US-Anbieter wie Zoom jedoch nicht garantieren, erklärte die hessische Datenschutzbehörde.

Die Universität Kassel hat nun mit Unterstützung der Datenschutzbehörde das Hessische Modell entwickelt, mit dem die personenbezogenen Daten der Teilnehmer an einer Zoom-Konferenz entsprechend geschützt werden sollen. Damit soll die Videokonferenzsoftware weiterhin genutzt werden können.

Für den Betrieb der Server des Videokonferenzsystems muss daher ein von Zoom unabhängiger Auftragsverarbeiter mit Servern und Sitz in der EU beauftragt werden. Alle Inhalte müssen Ende-zu-Ende-verschlüsselte werden und die Software darf ausschließlich für Lehrveranstaltungen genutzt werden. So müssen beispielsweise Einzelgespräche über andere Systeme abgewickelt werden.

Ein solches “alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen”, muss ohnehin von der Universität angeboten werden. Zudem müssten die Lehrkräfte sowie die Studenten ausführlich über “weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung” informiert werden. Insgesamt müsse ein Abfluss von personenbezogenen Daten der Studenten in die USA verhindert werden, heißt es in der Zusammenfassung des Hessischen Modells.

“Das Hessische Modell zeigt, dass es sich lohnt, konstruktiv nach Wegen zu suchen, wie durch Technikgestaltung die Vorteile bestimmter IT-Systeme genutzt werden können, ohne dass der Datenschutz auf der Strecke bleibt. Insofern ist dieses Modell auch für andere Videokonferenzsysteme ein Vorbild und kann methodisch auf viele Probleme des Datenschutzes übertragen werden”, sagte Roßnagel.

Der Beitrag Hessen: Datenschutzbeauftragter erlaubt Zoom-Einsatz unter Auflagen erschien zuerst auf Linux-Magazin.

Dieses Jahr soll wieder ein physischer Chaos Communication Congress stattfinden. In Hamburg wird der Hackerkongress jedoch deutlich kleiner ausfallen.

Der Chaos Communication Congress (CCC) soll dieses Jahr wieder wie gewohnt stattfinden, nachdem er die letzten Jahre ausgefallen und stattdessen die Remote Chaos Experience (rC3) Online abgehalten wurde. Als Ort für den Hackerkongress soll wieder das Kongresszentrum CCH in Hamburg dienen.

“Wir wollen im Dezember zum 37C3 in Hamburg zusammenkommen”, sagte Linus Neumann, Sprecher des Chaos Computer Clubs. Dort hatte der Chaos Communication Congress bis 2016 stattgefunden und wurde im Zuge einer mehrjährigen Renovierung des Kongresszentrums CCH in den folgenden Jahren auf dem Leipziger Messegelände abgehalten. Dieses bot deutlich mehr Raum für die Veranstaltung und konnte entsprechend mehr Besucher aufnehmen. Der letzte Congress im Jahr 2019 war mit 17.000 Tickets ausverkauft.

Das nun renovierte Kongresszentrum soll hingegen nur 12.000 Personen auf 36.000 m² fassen können. Entsprechend kleiner müsste der 37. Chaos Communication Congress ausfallen. Ohnehin kann der Hackerkongress nur stattfinden, wenn keine neue Coronavirus-Variante auftritt und einen Strich durch die Rechnung macht. “Natürlich wissen auch wir nicht, ob äußere Umstände kurzfristig unsere Pläne durchkreuzen werden”, sagte Neumann.

In den vergangenen beiden Jahren musste das Chaos pandemiebedingt auf eine Onlinewelt ausweichen. In der 2D-Welt konnten die Besucher mit einem Avatar über das Kongressgelände spazieren und per Videochat mit anderen Besuchern interagieren. Das Kongressprogramm, allen voran die zahlreichen Vorträge, wurde per Livestream übertragen – wie es auch bereits bei den vergangenen physischen Kongressen der Fall war.

Der Beitrag Chaos Communication Congress soll in Hamburg stattfinden erschien zuerst auf Linux-Magazin.

Während 60 Bundesbehörden Wire als Messenger testen, will das Verteidigungsministerium lieber seinen Bwmessenger in den Behörden etablieren.

Die Bundesbehörden setzten auf den Messenger Wire und testen diesen bereits im größeren Stil. “Der Messenger Wire wird als sicherer Messenger in der Bundesverwaltung ausgerollt”, sagte ein Sprecher Bundesinnenministeriums (BMI) der Zeitung Tagesspiegel (Paywall). Nicht mit von der Partie ist jedoch das Verteidigungsministerium: Ministerium und Bundeswehr setzten mit dem Bwmessenger weiterhin auf einen eigenen Messenger auf Matrix-Basis – und hoffen diesen auch in anderen Behörden zu etablieren.

Mit der Coronapandemie wurde den Behörden noch eindringlicher klar, wie wichtig ein interner Messenger für die interne Kommunikation ist. Bereits 2019 hatte die Bundeswehr einen Proof-of-Concept des Bwmessengers erstellt. Während der Pandemie wurde dieser vergleichsweise schnell in den Regelbetrieb übernommen und immer weiter ausgebaut: Aus 5.000 Clients wurden 50.000, später 80.000.

Doch auch in anderen Behörden liefen Tests: So wurde der Messenger Wire im Jahr 2020 mit 1.500 Angestellten aus mehreren Bundesministerien getestet. Dieser Test wurde nun massiv ausgeweitet: “Wire Bund wird derzeit in über 60 Behörden mit mehr als 10.000 Nutzenden pilotiert”, sagte ein Sprecher des Innenministeriums. Damit soll auch eine behördenübergreifende Kommunikation per Messenger möglich sein.

Das Verteidigungsministerium würde hingegen die Nutzung seines Bwmessengers als behördenübergreifender Messenger begrüßen: “Es gibt Gespräche mit anderen Ressorts mit dem Ziel, den Bwmessenger als Standardplattform auch außerhalb des Bundesverteidigungsministeriums zu nutzen”, sagte ein Sprecher des Verteidigungsministeriums dem Tagesspiegel. Dabei verweist er auf einen Beschluss zwischen dem Innen- und Verteidigungsministerium, “dass der Bwmessenger als Blaupause für eine nachnutzbare und anpassbare Secure-Messaging-Lösung auch anderen Ressorts, Ländern und Kommunen bereitgestellt werden soll”.

Entwickelt und betrieben wird der Bwmessenger vom IT-Systemhaus der Bundeswehr, dem BWI. Die Wire-Instanz hingegen läuft beim Informationstechnikzentrum des Bundes (ITZBund) und wird im Rahmen der IT-Maßnahme Social Intranet des Bundes betrieben. Wire wird von der Berliner Entwicklungsabteilung der Wire Swiss GmbH mit Sitz in der Schweiz entwickelt. Die Mutterfirma Wire Group Holdings verlegte 2019 ihren Sitz nach Dover in den USA. Mittlerweile sitzt die Wire-Eigentümerin in München.

Vom Bundesamt für Sicherheit in der Informationstechnik gibt es für Wire eine Freigabeempfehlung für den Geheimhaltungsgrad VS-NfD (Verschlusssache – nur für den Dienstgebrauch). Der Bwmessenger unterstützt diese Geheimhaltungsstufe nur auf entsprechend zertifizierten Dienstgeräten von Secusmart. Sowohl Wire als auch der Bwmessenger sind sowohl client- als auch serverseitig Open Source und verwenden eine auf dem Signal-Protokoll basierende Ende-zu-Ende-Verschlüsselung.

Der Beitrag Messenger: Bund testet Wire in 60 Behörden, Bundeswehr will Eigenbau erschien zuerst auf Linux-Magazin.

Noch bevor Nutzer ein Formular auf mancher Webseite abgeschickt haben, landen E-Mail-Adresse oder Passwort bei Trackingdiensten.

Formulare sind im Web allgegenwärtig. Doch bevor die Nutzer auf Senden geklickt haben, werden die Eingaben in einigen Fällen bereits mit Trackingdiensten von Drittanbietern geteilt. Das hat eine Studie der Universitäten Leuven (Belgien), Radboud (Niederlande) und Lausanne (Schweiz) herausgefunden.

Untersucht wurden die 100.000 beliebtesten Webseiten. In drei Prozent der Fälle wurden die Daten bereits vor einem Klick auf den Sendebutton mit anderen Dienste geteilt. Zuerst berichtete das Onlinemagazin Bleepingcomputer.

Demnach verwenden etliche von den Webseitenbetreibern integrierte Trackingdienste Skripte, die in einem Formular Tastenanschläge registrieren und den Inhalt speichern beziehungsweise übermitteln. Dabei werden auch persönliche Daten wie E-Mail-Adressen, Nutzernamen, Passwörter oder sogar Nachrichten, die die Nutzer verschicken wollten oder verschickt haben, an die Trackingdienste übermittelt. Die Nutzer dürften jedoch üblicherweise davon ausgehen, dass die Daten erst nach einem Klick auf den Senden-Button und nicht an Dritte übermittelt werden.

Ihre Ergebnisse veröffentlichten die Forscher sowohl auf einer Webseite als auch in einem Paper. Demnach leiteten unter anderem Shopify.com, Facebook.com, Gravatar.com, Bose.com, Bmw.de und Trello.com die E-Mail-Adresse ihre Nutzer an Trackingdienste weiter – noch bevor die Nutzer auf Senden geklickt hatten oder mittels eines Cookiebanners etwaigem Tracking zugestimmt hatten. Teils wurden die E-Mail-Adressen zuvor gehasht, teils wurden sie wie beispielsweise bei Gearbest.com im Klartext übertragen.

Insgesamt fanden die Forscher 1844 Webseiten, die bei einem Aufruf mit einer IP-Adresse aus der EU E-Mail-Adressen vor dem Absenden eines Formulars an Trackingdienste weitergaben. Laut der Studie verstößt die E-Mail-Exfiltration durch Drittanbieter gegen mindestens drei Anforderungen der Datenschutzgrundverordnung (DSGVO): das Transparenzprinzip, das Zweckbindungsprinzip und das Vorhandensein einer Einwilligung.

Wurden die Webseiten mit einer IP-Adresse aus den USA aufgerufen – also außerhalb des Geltungsbereichs der DSGVO – stieg die Anzahl der Seiten auf 2950, darunter beispielsweise Theverge.com und Businessinsider.com. Der Trackingdienst von Yandex soll auf etlichen Webseiten zudem Passwörter im Klartext gesammelt haben – bei Webseitenbesuchen aus den USA, aber auch aus Europa. Zu den häufig entdeckten Trackingdiensten, an welche die Daten übermittelt wurden, zählten unter anderem Liveramp, Taboola und Adobes Bizible.

Der Beitrag Studie: Wenn Daten schon vor dem Senden weitergegeben werden erschien zuerst auf Linux-Magazin.

Der Europäische Datenschutzbeauftragte hat mit Mastodon und Peertube eine Twitter- und eine Youtube-Alternative für Behörden eingerichtet.

Der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski betreibt seit dem 28. April in einer Pilotphase zwei Social-Media-Plattformen für europäische Behörden. Diese basieren auf der Twitter-Alternative Mastodon sowie der Youtube-Alternative Peertube. Die Datenschutzbehörde nennt ihre Dienste EU Voice (Mastodon) und EU Video (Peertube). Beide sind Open Source und föderieren mit Servern unterschiedlicher Betreiber.

“Mit dem Pilotstart von EU Voice und EU Video wollen wir alternative Plattformen für soziale Medien anbieten, die dem Einzelnen und seinem Recht auf Privatsphäre und Datenschutz Priorität einräumen”, erklärte Wiewiórowski. Konkret bedeute dies zum Beispiel, dass die beiden Dienste nicht auf die Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums angewiesen seien, dass es keine Werbung auf den Plattformen und kein Profiling von Personen gebe, welche die Plattformen nutzten.

Die Plattformen sollen zunächst getestet werden. Die Datenschutzbehörde hofft, dass dies den ersten Schritt zur Nutzung von datenschutzkonformen Social-Media-Plattformen durch EU-Behörden darstellt. Bei der Entwicklung der Dienste arbeitete der Europäische Datenschutzbeauftragte eng mit der Generaldirektion Informatik der Europäischen Kommission (DIGIT) zusammen.

Die Umsetzung stehe im Einklang mit den Zielen der Open-Source-Softwarestrategie 2020-2023 der EU Kommission, erklärte die Datenschutzbehörde. Sie zeige, was durch interinstitutionelle Zusammenarbeit im Bereich Open Source für die Rechte auf Privatsphäre und Datenschutz möglich sei und trage somit zur technologischen Souveränität der EU bei.

In Deutschland betreibt der Bundesdatenschutzbeauftragte Ulrich Kelber ebenfalls eine Instanz des Microblogging-Dienstes Mastodon, die von Bundes- oder Landesbehörden genutzt werden kann. Dort sind neben Kelber auch die Berliner Datenschutzbehörde, der rheinland-pfälzische Landtag, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und mehrere andere Behörden und staatliche Organisationen vertreten.

Auch der Landesdatenschutzbeauftragte von Baden-Württemberg, Stefan Brink, betreibt eine Mastodon-Instanz unter bawü.social, auf der er selbst, aber auch mehrere Hochschulen, die Stadt Freiburg sowie das Umweltministerium und die Landeszentrale für politische Bildung (LpB) tooten.

Der Microblogging-Dienst Mastodon ist nach der ausgestorbenen Mammutart benannt. Entsprechend heißen die abgesetzten Nachrichten auch Toots oder Tröts, während sie bei Twitter Tweets (Gezwitscher) heißen. Im Unterschied zur proprietären Alternative ist Mastodon dezentral und Open Source.

Der Beitrag EU startet zwei Social-Media-Plattformen für Behörden erschien zuerst auf Linux-Magazin.

Mit präparierten Audiodateien haben sich etliche Android-Smartphones mit Qualcomm- oder Mediatek-Chip hacken lassen.

Über eine Sicherheitslücke konnte Schadcode in vielen Smartphones mit Qualcomm- oder Mediatek-SoCs ausgeführt werden. Konkret betroffen war deren Implementierung des Apple Lossless Audio Codec (ALAC), einem Decoder für das verlustfreie ALAC-Format von Apple. Entdeckt wurde die Sicherheitslücke von der Sicherheitsfirma Checkpoint, die sie Alhack nennt. “Die von den Forschern gefundenen ALAC-Probleme konnten von einem Angreifer für einen Remote-Code-Execution-Angriff (RCE) auf einem mobilen Gerät über eine fehlerhafte Audiodatei genutzt werden”, erklärte Checkpoint. Auch Android-Apps hätten über die Sicherheitslücke ihre Rechte ausweiten können.

“Die Schwachstellen waren leicht ausnutzbar. Ein Hacker hätte ein Lied (oder irgendeine eine Mediendatei) senden und beim Abspielen durch ein Opfer einen Code in den privilegierten Mediendienst injizieren können”, sagte Slava Makkaveev, Reverse Engineering & Security Researcher bei Checkpoint. In einem Proof of Concept habe man auf den Videostream der Kamera zugreifen können.

Nachdem Checkpoint Mediatek und Qualcomm über die Sicherheitslücken (CVE-2021-0674, CVE-2021-0675, CVE-2021-30351) informiert hatte, wurden sie im Dezember 2021 geschlossen und ihre Patches an die Gerätehersteller und Google übermittelt. Anschließend habe man den Nutzern mehrere Monate Zeit gegeben, um entsprechende Sicherheitsupdates einzuspielen, erklärte Checkpoint. Geräte mit einem Patchlevel vor 5. Dezember 2021 sind jedoch weiterhin verwundbar.

Bereits Ende 2011 hat Apple ALAC als Open Source zur Verfügung gestellt. Seitdem wurde der Codec in viele Geräte und Programme zur Audiowiedergabe eingebettet, darunter beispielsweise Mediaplayer unter Linux und Windows, aber auch Android-basierte Smartphones.

Apple habe die proprietäre Version des Decoders seitdem bereits mehrfach aktualisiert und Sicherheitslücken behoben, den 2011 veröffentlichten Open-Source-Code jedoch nicht, erklärte Checkpoint. “Viele Drittanbieter verwenden den von Apple bereitgestellten Code als Grundlage für ihre eigenen ALAC-Implementierungen und es ist anzunehmen, dass viele von ihnen den externen Code nicht pflegen.” So sei Checkpoint auf die Sicherheitslücken bei Mediatek und Qualcomm aufmerksam geworden, schreibt die Sicherheitsfirma.

Der Beitrag Apple-Codec sorgt für Lücke in Android-Smartphones erschien zuerst auf Linux-Magazin.

Gemeinsam mit weiteren Staaten warnen die USA vor russischen Cyberangriffen. Diese könnten von kriminellen Ransomwaregruppen unterstützt werden.

Sicherheitsbehörden aus den USA, Australien, Kanada, Neuseeland und Großbritannien (Five-Eye-Staaten) warnen vor russischen Cyberangriffen auf Organisationen und kritische Infrastrukturen in westlichen Ländern, die die Ukraine im Angriffskrieg Russlands unterstützen. Cyberangriffe durch Russland könnten auch “als Reaktion auf die beispiellosen wirtschaftlichen Kosten erfolgen”, welche die auferlegten Sanktionen verursachen, erklärt die US-amerikanische Cyber Security and Information Security Agency (CISA).

“Angesichts der jüngsten Erkenntnisse, die darauf hindeuten, dass die russische Regierung Optionen für potenzielle Cyberangriffe auf kritische US-Infrastrukturen prüft, veröffentlicht die CISA gemeinsam mit unseren behördenübergreifenden und internationalen Partnern diese Empfehlung, um auf die nachweisliche Bedrohung und die Fähigkeiten russischer staatlich geförderter und mit Russland verbündeter Cybercrime-Gruppen hinzuweisen”, sagte CISA-Direktorin Jen Easterly.

Auch US-Präsident Joe Biden verwies auf “sich entwickelnde Erkenntnisse, dass die russische Regierung Optionen für potenzielle Cyberangriffe prüft”. Er rief Unternehmen und Organisationen dazu auf, umgehend die Verteidigung ihrer Netzwerke zu verstärken.

Über die direkte Bedrohung durch russische Advanced Persistent Threats (APT) hinaus wie Cozy Bear oder Fancy Bear, die beispielsweise auch für den Bundestagshack im Jahr 2015 verantwortlich sein sollen, hätten auch “mehrere Cybercrime-Gruppen kürzlich öffentlich ihre Unterstützung für die russische Regierung zugesagt”, betonte die CISA. Die Gruppen hätten ebenfalls mit Vergeltungsmaßnahmen gedroht und bereits Angriffe auf ukrainische Websites durchgeführt.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Zuge des Ukrainekrieges bereits mehrfach vor einer Bedrohung gewarnt. Zudem empfahl das BSI Behörden und Unternehmen auf den Einsatz von Produkten der russischen Sicherheitsfirma Kaspersky zu verzichten. Durch russische Drohungen gegen EU, Nato und die Bundesrepublik bestünden Zweifel an der Zuverlässigkeit des Herstellers. So könne Kaspersky auch gegen seinen Willen gezwungen werden, Angriffe durchzuführen, erklärte das BSI.

Der Beitrag Ukrainekrieg: USA warnen vor Cyberangriffen auf kritische Infrastruktur erschien zuerst auf Linux-Magazin.