Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

ITZ Bund warnt: IT-Dienstleister für Behörden und Unternehmen gehackt

12. Mai 2023 um 08:17

Über kürzlich gehackte IT-Dienstleister seien etliche Bundes- und Landesbehörden akut in Gefahr, warnt das ITZ Bund. Gleiches gilt für Unternehmenskunden.

Mehrere IT-Dienstleister, die für die hiesigen Bundesbehörden arbeiten, sind von unbekannten Angreifern gehackt worden. Das geht aus einem Warnschreiben des Informationstechnikzentrums Bund (ITZ Bund) hervor, das dem Bayrischen Rundfunk vorliegt. Die Daten wurden wahrscheinlich bereits für weitere Angriffe genutzt.

Laut dem Warnschreiben von Ende April ist es den Angreifern “sehr wahrscheinlich” gelungen, große Mengen der E-Mail-Kommunikation der betroffenen IT-Dienstleister abzugreifen. Die E-Mails sollen neben personenbezogenen Daten wie Telefonnummern und Dienstsitze auch aktuelle Projekte und Mailverläufe mit angehängten Dokumenten enthalten haben.

Die entwendeten Daten könnten für Social-Engineering-Angriffe genutzt werden, um weitere Daten zu erhalten oder in Behördennetzwerke einzudringen. “Es gibt Hinweise, dass diese Attacken möglicherweise bereits begonnen haben”, schreibt das ITZ Bund. Es bestehe ein “hohes Risiko”, dass Beschäftigte versehentlich vertrauliche Dokumente weitergeben oder aber ermöglichen, dass Angreifer Daten und Code in die Systeme des ITZ Bund einspeisen.

“Das Schreiben diente als reine Vorsichtsmaßnahme und zur Sensibilisierung der Beschäftigten”, erklärte das ITZ Bund Golem.de. Es seien bisher keine Daten oder Informationen abgeflossen.

Das ITZ Bund ist für rund 200 Bundes- und Landesbehörden tätig und arbeitet selbst mit den betroffenen IT-Dienstleistern zusammen. Bei diesen handelt es sich laut dem Warnschreiben um das Unternehmen Adesso, das bereits im Januar gehackt wurde und für seinen Umgang mit dem Angriff erhebliche Kritik bekam.

Im März und April wurde bekannt, dass die beiden IT-Dienstleister Materna und Init ebenfalls gehackt wurden. Zu ihren Kunden zählen beispielsweise das Robert-Koch-Institut und die Autobahn GmbH des Bundes sowie die Bundesministerien des Innern und der Wirtschaft. Dennoch sieht das Bundesinnenministerium auf Nachfrage des BR keine unmittelbare Bedrohung für die IT-Sicherheit der Bundesverwaltung.

Der Geschäftsführer der Deutschen Cyber-Sicherheitsorganisation (DCSO), Andreas Rohr, rät die vom ITZ Bund versandte Warnung ernst zu nehmen. “Wenn man sich anschaut, dass das ITZ Bund oder Behörden das Ziel sind, würde man tatsächlich mit hoher Wahrscheinlichkeit einen nachrichtendienstlichen Hintergrund unterstellen.” Aus Sicherheitskreisen heißt es laut dem BR, dass noch unklar sei, wer hinter den Angriffen stecke.

Der Beitrag ITZ Bund warnt: IT-Dienstleister für Behörden und Unternehmen gehackt erschien zuerst auf Linux-Magazin.

Firmware- und Bootguard-Schlüssel von MSI veröffentlicht

09. Mai 2023 um 07:50

Eine Ransomwaregruppe hat nach einem Hack etliche interne Daten von MSI veröffentlicht. Darunter auch private Schlüssel zum Signieren.

Bei einem Ransomware-Angriff auf den Hardware-Hersteller MSI haben die Angreifer auch dessen Bootguard-OEM- und Firmware-Signatur-Schlüssel erbeutet und nun veröffentlicht, wie die Sicherheitsfirma Binarly berichtet.

Bei der Analyse der geleakten Daten entdeckte Binarly etliche Schlüssel zum Signieren von Firmware sowie den OEM-Schlüssel für Intels Bootguard. Die Sicherheitsfirma dokumentiert eine Liste der betroffenen Geräte mitsamt einer Liste der öffentlichen Firmware-Signier- sowie Bootguard-Schlüssel auf Github.

Die privaten Schlüssel sind in den durch die Ransomwaregruppe Money Message geleakten Daten ebenfalls enthalten. Die Untersuchung des Datenlecks dauert laut Binarly jedoch noch an.

Mit den geleakten Schlüsseln könnten Angreifer signierte Firmware-Updates verteilen, die scheinbar von MSI stammen, jedoch Schadcode enthalten. Bereits im April warnte MSI seine Kunden vor der Installation von davor Firmware- und Bios-Updates aus anderen Quellen als der offiziellen MSI-Webseite herunterzuladen.

Ähnliches gilt für Intels Bootguard auf der betroffenen Hardware. Die Technik soll unautorisierte Veränderungen an Hardware und Bios beim Bootvorgang erkennen und so einen sicheren Bootprozess ermöglichen. Mit der Veröffentlichung der privaten Schlüssel dürfte dies zumindest auf Hardware des Herstellers MSI nicht mehr gegeben sein.

Offensichtlich hat MSI die zur Gewährleistung der Firmware- und Bootguard-Sicherheit notwendigen privaten Schlüssel nur unzureichend geschützt, da die Angreifer die Schlüssel wohl über das Internet aus dem Netzwerk des Herstellers exfiltrieren konnten. Durch die geleakten Schlüssel seien auch Geräte anderer Hersteller wie Lenovo, Intel oder Supermicro betroffen, schreibt Binarly auf Twitter.

Der Beitrag Firmware- und Bootguard-Schlüssel von MSI veröffentlicht erschien zuerst auf Linux-Magazin.

Google-Passkeys: “Macht’s gut und danke für den Phish”

05. Mai 2023 um 07:58

Mit Passkeys möchte sich Google von Passwörtern verabschieden. Die passwortlose Authentifizierung ist nun bei allen Google-Konten verfügbar.

Statt mit einem Passwort und eventuell einem zusätzlichen zweiten Faktor sollen sich Google-Nutzer zukünftig passwortlos per Passkeys anmelden. Das soll sowohl für mehr Komfort als auch für mehr Sicherheit sorgen.

Die Technik  wurde für alle Google-Konten freigeschaltet, erklärt Google in einem Blogbeitrag mit der Überschrift “Macht’s gut und danke für den Phish”, eine Anspielung an den vierten Band der Per-Anhalter-durch-die-Galaxis-Reihe von Douglas Adams.

Statt mit einem Passwort können sich die Nutzer mit einem auf ihrem Gerät generierten Passkey anmelden, der durch Fingerabdruck, Gesicht oder PIN geschützt wird. Das funktioniert laut Google mittlerweile unter allen gängigen Betriebssystemen und Browsern.

Auf Geräten, auf denen man sich nur einmalig bei seinem Google-Konto anmelden möchte oder die Passkeys noch nicht unterstützen, ist eine Anmeldung über das Smartphone möglich. Der Passkey verbleibt dabei auf dem Smartphone und wird nicht auf das Gerät, auf dem man sich anmelden will, übertragen. Auch ein Log-in mit Passwort soll laut Google weiterhin möglich sein.

Passkeys baut auf die bereits seit einigen Jahren existierenden Technik für eine Zwei-Faktor-Authentifzierung und passwortloses Anmelden mittels Fido2 beziehungsweise Webauthn auf. Mit Passkeys wird die Technik jedoch um eine Back-up-Funktion in der Cloud sowie die bereits oben genannte Möglichkeit, sich auf Betriebssystemen, welche die Technik nicht unterstützen, über das Smartphone anzumelden.

Neben auf dem jeweiligen Betriebssystem wie Android, iOS oder Windows generierten Passkeys können mit Fido-Sticks auch Hardware-Sicherheitsschlüssel für das passwortlose Anmelden genutzt werden, die teils ebenfalls per Fingerabdruck geschützt werden können. Im Hintergrund kommt bei dem Anmeldevorgang Publik-Key-Kryptografie zum Einsatz, von der die Nutzer allerdings nichts mitbekommen. Sie bietet jedoch deutlich mehr Sicherheit als Passwörter oder Zwei-Faktor-Authentifizierungsverfahren und schützt vor Phishing.

Der Beitrag Google-Passkeys: “Macht’s gut und danke für den Phish” erschien zuerst auf Linux-Magazin.

500.000 Dollar Strafe, weil Google Link nicht entfernt hat

25. April 2023 um 12:01

Google muss ein Suchergebnis entfernen, das einen kanadischen Geschäftsmann wahrheitswidrig als verurteilten Pädophilen beschreibt. Dafür musste er jahrelang kämpfen.

Mehrere Jahre hat ein Mann aus Montreal (Kanada) versucht, einen verleumderischen Beitrag aus den Suchergebnissen von Google entfernen zu lassen. Nun hat der Oberste Gerichtshof in Quebec das Unternehmen zur Entfernung des Ergebnisses und einer Zahlung von 500.000 kanadischen Dollar verurteilt.

Google habe das kanadische Recht falsch ausgelegt, als es die Löschanträge des Mannes ablehnte, urteilte das Gericht. In der richterlichen Verfügung wird der Mann laut einem Bericht des Onlinemagazins Ars Technica als “prominenter Geschäftsmann” in der Immobilienbranche genannt. Er sei sowohl in den USA als auch in Kanada tätig.

Den verleumderischen Beitrag entdeckte der Mann demnach bereits im April 2007, als er seinen Namen mit Google suchte, nachdem mehrere Kunden nach einer Reihe von guten Vorgesprächen plötzlich keine Geschäfte mehr mit ihm machen wollten. Auf der von Google angezeigten Webseite wurde wahrheitswidrig behauptet, dass er ein Betrüger und “1984 wegen Kindesmissbrauchs verurteilt worden” sei.

Der Betreiber der Seite weigerte sich auf Nachfrage, den Artikel aus dem Netz zu nehmen. Für eine Klage wegen Verleumdung war es nach kanadischem Recht allerdings zu spät. “In Kanada muss die Klage innerhalb eines Jahres nach Erscheinen des Beitrags eingereicht werden, unabhängig davon, wann das Opfer der Verleumdung die Veröffentlichung sieht”, hieß es in der Verfügung des Richters.

Damit der Beitrag wenigstens nicht mehr so leicht gefunden werden kann, wandte sich der Mann an Google, um ihn aus den Suchergebnissen zu entfernen. Darauf folgte ein jahrelanges Hin und Her mit Google, das auf einem Widerspruch zwischen kanadischem Recht und einem Freihandelsabkommen beruhte. Währenddessen erlitt der Geschäftsmann erhebliche Einbußen und sein Sohn, der ebenfalls in der Immobilienbranche arbeitete, distanzierte sich von seinem Vater.

Der Richter folgte Googles Argumentation nicht und beschrieb die Erfahrung des Klägers als einen “wahrgewordenen Alptraum”. Da Google sich weigerte die Beiträge zu entfernen, habe sich der Mann “hilflos in einem surrealen und qualvollen zeitgenössischen Online-Ökosystem befunden, während er eine Odyssee durchlebte, um die verleumderischen Beiträge zu entfernen”.

Der Beitrag 500.000 Dollar Strafe, weil Google Link nicht entfernt hat erschien zuerst auf Linux-Magazin.

Cloudflare: Botnetzwerke setzen auf gehackte VPS statt auf IoT

14. April 2023 um 10:45

Laut dem Content Delivery Network (CDN) Cloudflare setzen High-Performance Botnetzwerke mittlerweile bevorzugt auf gehackte Virtual Private Servers (VPS) statt wie bisher auf massenhaft gehackte IoT-Geräte (Internet of Things) wie Überwachungskameras oder Router.

Zwar hatte das einzelne IoT-Gerät nur eine sehr begrenzte Leistung und Durchsatz, doch in der Masse, mit Hunderttausenden oder gar Millionen Geräten, konnten leistungsfähige DDoS-Angriffe (Distributed Denial of Service) durchgeführt werden. Bei diesen Angriffen werden Webseiten beziehungsweise Server mit Anfragen überhäuft, bis sie unter der Last zusammenbrechen.

Eine neue Generation von Botnetzen verwende hingegen einen Bruchteil der Geräte, erklärt Cloudflare in einem Bericht. Genutzt würden leistungsfähige virtuelle Private Server in der Cloud, die beispielsweise von Start-ups oder Unternehmen für leistungsfähige Anwendungen genutzt werden.

Angreifer kompromittieren demnach ungepatchte Server oder können sich mit bekannt gewordenen APi-Anmeldeinformationen an den Verwaltungskonsolen anmelden. Um gegen solche kompromittierten VPS vorzugehen, arbeite Cloudflare mit etlichen Cloud-Anbietern zusammen, erklärt das Unternehmen. “Dank der schnellen Reaktion und der Sorgfalt der Cloud-Computing-Anbieter konnten große Teile dieser Botnets deaktiviert werden.”

Insgesamt hätten die DDoS-Angriffe im Vergleich zum letzten Quartal nicht zugenommen, im Vergleich zum Vorjahr sei aber ein Anstieg um 60 Prozent zu verzeichnen, erklärt Cloudflare. Insbesondere Rundfunk- und Fernsehanstalten sowie gemeinnützige Organisationen seien von den Angriffen betroffen. Dabei würde häufig auf Ransom-DDoS-Angriffe gesetzt, bei denen die Angreifer ein Lösegeld verlangen, um Angriffe zu stoppen oder weitere zu verhindern.

Der Beitrag Cloudflare: Botnetzwerke setzen auf gehackte VPS statt auf IoT erschien zuerst auf Linux-Magazin.

Mullvad Browser ist der Tor-Browser für VPNs

05. April 2023 um 10:05

Gemeinsam mit dem Tor Projekt hat der VPN-Dienst Mullvad einen eigenen Browser veröffentlicht, der für mehr Anonymität und Sicherheit im Internet sorgen soll. Die Mullvad Browser genannte Anwendung basiert auf dem Tor Browser und damit auf Firefox, wurde jedoch für die Nutzung mit einem VPN-Dienst angepasst.

Ziel des Projektes ist es wie beim Tor Browser, das sogenannte Browser-Fingerprinting zu erschweren, bei welchem einzelne Browser durch das Auslesen und Auswerten verschiedener Merkmale durch Trackingdienste wiedererkannt und durch das Internet verfolgt werden. Entsprechend soll der Mullvad Browser von außen möglichst gleich aussehen.

In Kombination mit einem VPN-Dienst, der auch die IP-Adresse der Nutzer austauscht, soll dadurch ein weitgehend unbeobachtetes Surfen möglich sein. Das hängt allerdings auch vom verwendeten VPN-Anbieter ab, die oft genug nicht für mehr Sicherheit oder Privatsphäre sorgen – beziehungsweise sogar das Gegenteil tun.

Der Mullvad Browser selbst bringt weder Tor noch einen VPN-Dienst mit. Dieser muss zusätzlich installiert werden. Wird auf Mullvad VPN gesetzt, kann über eine bereits integrierte Browser-Erweiterung ein Proxyserver gewählt werden. Auf diese Weise kann der Browser eine andere IP-Adresse als sein Host-System verwenden und diese beliebig wechseln.

Das Tor Projekt hat gemeinsam mit dem VPN-Anbieter Mullvad einen Browser für VPNs veröffenlicht, der für mehr Privatsphäre sorgen soll.

Wie beim Tor Browser wird der Browser im privaten Modus verwendet und Cookies und Webseitendaten voneinander isoliert. Wie beim Pendant des Tor Projektes können die Nutzer des Mullvad Browsers zwischen drei Sicherheitslevels wählen, die beispielsweise die Verwendung von Javascript einschränken.

Im Unterschied zum Tor Browser setzt der Browser von Mullvad auf den Werbe- und Trackerblocker uBlock Origin, bei dem neben den Standard-Filterlisten zwei weitere aktiviert wurden. Dabei sollten weder durch Änderungen an der Konfiguration von uBlock Origin noch durch das Installieren von Browser-Erweiterungen Änderungen am Mullvad Browser vorgenommen werden – denn diese können dazu führen, dass die Mullvad Browser nicht mehr gleich aussehen und damit der Trackingschutz nicht mehr gegeben ist.

Der Mullvad Browser kann auf der Webseite des VPN-Dienstes heruntergeladen werden. Er ist für Linux, Windows und MacOS verfügbar. Wer die Signatur prüfen möchte, sei darauf hingewiesen, dass diese nicht von Mullvad, sondern vom Tor Projekt stammt.

Der Beitrag Mullvad Browser ist der Tor-Browser für VPNs erschien zuerst auf Linux-Magazin.

OpenAI behebt Fehler, der Nutzern fremde Daten anzeigte

24. März 2023 um 09:13

Nachdem anderen Nutzern kurze Zusammenfassungen von ChatGPT-Konversationen angezeigt wurden, konnte OpenAI das Problem beheben.

Der ChatGPT-Entwickler OpenAI hat einen Fehler behoben, bei dem die Daten anderer Nutzer eingesehen werden konnten. Zwischenzeitlich deaktivierte das Unternehmen die Chatverlaufsfunktion von ChatGPT, da die Titel der Konversationen anderen Nutzern angezeigt wurden. Zuerst berichtete die Nachrichtenagentur Reuters.

Bekannt wurde der Fehler über Screenshots von fremden ChatGPT-Konversationen, die auf Reddit und Twitter veröffentlicht wurden. Ein Sprecher von OpenAI, dem ChatGPT-Hersteller, bestätigte der Nachrichtenagentur Bloomberg den Vorfall.

Er betonte, dass der Fehler nicht zu einer Weitergabe der vollständigen Transkripte von Unterhaltungen mit dem Chatbot geführt habe, sondern nur kurze beschreibende Titel weitergegeben worden seien.

Laut einem Tweet von OpenAI-CEO Sam Altman wurde das Problem durch “einen Fehler in einer Open-Source-Bibliothek” verursacht. Der Fehler in der nicht namentlich genannten Bibliothek sowie in ChatGPT sei behoben worden. Zwischenzeitlich wurde der ChatGPT-Dienst beziehungsweise die Chatverlaufsfunktion deaktiviert. In Folge des Fixes könnten Nutzer allerdings ihre Chatverläufe vom 20. März zum Teil nicht mehr einsehen, schreibt Altman.

Der Fehler sei eine wichtige Erinnerung daran, keine sensiblen Daten mit ChatGPT zu teilen, schreibt das Onlinemagazin The Verge und verweist auf eine entsprechende Stelle in den FAQ von OpenAI. Das Unternehmen könne bestimmte Eingaben nicht aus dem Verlauf löschen, zudem könnten die Unterhaltungen zu Schulungszwecken verwendet werden, heißt es in der FAQ.

Der Beitrag OpenAI behebt Fehler, der Nutzern fremde Daten anzeigte erschien zuerst auf Linux-Magazin.

BKA beschlagnahmt Server von Krypto-Mixer

17. März 2023 um 10:03

Über den Darknet-Dienst Chipmixer sollen 2,8 Milliarden Euro in Bitcoin geschleust worden sein. Nun ist die Infrastruktur in Deutschland beschlagnahmt worden.

Die Polizei hat die Serverinfrastruktur des weltweit umsatzstärksten Krypto-Mixers in Deutschland beschlagnahmt. Der Chipmixer genannte Dienst war über das Darknet erreichbar und diente zur Verschleierung der Eigentümerschaft von Bitcoins – darunter sollen auch die Gelder aus den FTX- und Axie-Infinity-Hacks sein.

Gemeinsam mit dem Bundeskriminalamt (BKA) beschlagnahmte die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) die Server sowie Daten im Umfang von rund 7 TByte und Bitcoins im Wert von derzeit 44 Millionen Euro. Damit handelt es sich um die bisher höchste Sicherstellung von Kryptowerten durch das BKA.

“Bei Chipmixer handelte es sich um einen seit Mitte 2017 bestehenden Dienst, der insbesondere Bitcoin kriminellen Ursprungs entgegennahm, um sie nach Verschleierungsvorgängen (sogenanntes Mixing) wieder auszuzahlen”, erklärte das BKA. Dabei wurden die entgegengenommenen Bitcoins in Kleinstbeträge verteilt und vermengt, um die Herkunft der Gelder zu verbergen.

Der Dienst soll nach einer Schätzung insgesamt 154.000 Bitcoin im Wert von 2,8 Milliarden Euro gemixt haben. Ein erheblicher Teil stammt dabei laut BKA aus betrügerisch erlangten Kryptowährungen, darunter etwa die Ransomwaregruppen Zeppelin, Suncrypt, Mamba, Dharma und Lockbit sowie die illegale Handelsplattform Hydra Market.

Auch die Gelder aus den Hacks der Kryptowährungsbörse FTX sowie dem Kryptospiel Axie Infinity sollen über die Plattform gewaschen worden sein. Der Chipmixer-Betreiber wurde durch das FBI zur Fahndung ausgeschrieben, ihm wird gewerbsmäßige Geldwäsche sowie der Betrieb einer kriminellen Handelsplattform vorgeworfen.

Der Beitrag BKA beschlagnahmt Server von Krypto-Mixer erschien zuerst auf Linux-Magazin.

Github führt verpflichtende 2FA ein

13. März 2023 um 12:37

Wer von Github ausgewählt wurde, muss die Zwei-Faktor-Authentifizierung (2FA) innerhalb von 45 Tagen einrichten.

Ab sofort verlangt Github von aktiven Entwicklern, eine Zwei-Faktor-Authentifizierung (2FA) für ihre Konten zu aktivieren. Die Maßnahme soll die Sicherheit für die Konten der über 100 Millionen Nutzer verbessern.

Den Schritt kündigte Github bereits vor einiger Zeit an. Zuerst berichtete das Onlinemagazin Bleepingcomputer über die anstehende Einführung.

Diese soll schrittweise stattfinden. Ab dem 13. März sollen kleinere Gruppen von Administratoren und Entwicklern per E-Mail angesprochen werden. Dabei soll sichergestellt werden, dass das Onboarding nahtlos verläuft und die Nutzer Zeit haben, eventuell auftretende Probleme zu lösen.

“Github hat einen Rollout-Prozess entwickelt, der sowohl unerwartete Unterbrechungen und Produktivitätsverluste für die Nutzer minimieren als auch Kontosperrungen verhindern soll”, erklärten Staff Product Manager Hirsch Singhal und Product Marketing Director Laura Paine.

“Gruppen von Nutzern werden im Laufe der Zeit aufgefordert, 2FA zu aktivieren. Dabei wird jede Gruppe auf der Grundlage der Aktionen und des Codes ausgewählt, den sie beigetragen haben.” Wenn das Konto für die Einführung einer Zwei-Faktor-Authentifizierung ausgewählt wurde, bleiben den jeweiligen Nutzern 45 Tage, sie zu aktivieren. In dieser Zeit soll das Github-Konto, abgesehen von gelegentlichen Erinnerungen, weiter normal nutzbar sein. Danach können einige Funktionen gesperrt werden, bis die 2FA eingerichtet wurde.

Als 2FA-Verfahren bietet Github Sicherheitsschlüssel (Fido-Sticks/Passkeys), TOTP, SMS sowie die Github-App an. Von der Verwendung von SMS als zweitem Faktor rät das Unternehmen aus Sicherheitsgründen jedoch explizit ab.

Der Beitrag Github führt verpflichtende 2FA ein erschien zuerst auf Linux-Magazin.

Ransomware will Versicherungspolice

23. Februar 2023 um 07:34

Die Ransomware Hardbit 2.0 verlangt die Versicherungspolice der Unternehmen, um die Lösegeldforderung anzupassen. Nicht ungefährlich für die Betroffenen.

Mit der neuen Version 2.0 versuchen die Betreiber der Ransomware Hardbit, mit ihren Opfern eine Lösegeldzahlung auszuhandeln, die von deren Versicherung übernommen wird. Dazu fragen die Kriminellen die entsprechende Versicherungspolice bei ihren Opfern an und versuchen diese davon zu überzeugen, dass dies auch in deren Interesse geschehe.

Für die gehackten Unternehmen, die über eine Versicherung für Cyberangriffe verfügen, haben die Kriminellen laut dem Onlinemagazin Bleepingcomputer eine ausführliche Anleitung erstellt. Demnach fordern sie nicht nur die Weitergabe entsprechender Informationen über die Höhe der Versicherung, sondern lassen es auch so erscheinen, als ob die Weitergabe der Versicherungsdaten für die Opfer von Vorteil wäre.

Dabei stellen die Kriminellen die Versicherung als Bösewicht dar, die einer Wiederherstellung der Daten nur im Wege stehe, da sie mit lächerlichen Gegenangeboten versuchen würden, die Lösegeld-Verhandlungen zum Scheitern zu bringen, um letztlich die Zahlung nicht übernehmen zu müssen.

“Um all dies zu vermeiden und das Geld für die Versicherung zu bekommen, sollten Sie uns anonym über die Verfügbarkeit und die Bedingungen der Versicherungsdeckung informieren. Das nützt sowohl Ihnen als auch uns, aber nicht der Versicherungsgesellschaft”, schreiben die Betreiber der Ransomware an ihre Opfer.

Allerdings sind die Versicherten üblicherweise vertraglich dazu verpflichtet, den Angreifern keine Details über ihre Versicherung zu nennen. Tun sie dies dennoch, riskieren sie, dass die Versicherung den Schaden nicht übernimmt. Entsprechend bestehen die Kriminellen auch darauf, die Informationen vertraulich weiterzugeben.

Strafverfolgungsbehörden raten dazu, Lösegelder grundsätzlich nicht zu bezahlen, da durch die Bezahlung das Geschäftsmodell der Ransomwaregruppen befördert wird. Unabhängig davon sollten sich insbesondere Unternehmen auf Ransomwareangriffe vorbereiten. Dabei reicht es nicht, sich nur eine Sicherheitssoftware anzuschaffen und Compliance-Regelungen zu erfüllen.

Der Beitrag Ransomware will Versicherungspolice erschien zuerst auf Linux-Magazin.

Viele rechtswidrige Anfragen an sichere Mail-Anbieter

09. Februar 2023 um 12:34

In Transparenzberichten legen die sicheren E-Mail-Anbieter Mailbox.org, Posteo und Tutanota Behördenanfragen offen. Viele waren rechtswidrig.

Laut dem aktuellen Transparenzbericht von Mailbox.org waren 25,4 Prozent aller behördlichen Auskunftsanfragen im Jahr 2022 an den E-Mail-Dienst rechtswidrig. Auch Posteo und Tutanota haben Transparenzberichte veröffentlicht und häufig keine Auskunft erteilt – und sich teilweise bei den Datenschutzbeauftragten beschwert. Alle drei Anbieter legen ihren Fokus auf Datenschutz und Sicherheit.

“Insgesamt 14 der 55 Behördenanfragen im Jahr 2022 wurden von uns zurückgewiesen, da sie Fehler enthielten oder rechtlich unzulässig waren. 7 dieser Anfragen wurden anschließend korrekt erneut gestellt und entsprechend bearbeitet. In 7 Fällen ist es bei der Ablehnung geblieben”, schreibt Mailbox.org.

2022 sei das letzte Jahr gewesen, in dem Anfragen von Behörden, die auf unsicheren Wegen gestellt worden seien, beantworten werden mussten, erklärt Mailbox.org. Als Beispiele werden unverschlüsselte E-Mails oder das von Behörden immer noch gern genutzte Fax genannt. “Wir beantworten seit Jahresbeginn 2023 daher konsequent nur noch Anfragen, die uns über gesicherte Wege (PGP-E-Mail oder Briefpost) zugeschickt werden.”

Insgesamt sind 2022 bei Mailbox.org 51 Anfragen von deutschen Behörden eingegangen, dazu kamen vier aus anderen Ländern. 75 Prozent der Anfragen seien korrekt gestellt worden, 2021 seien es noch 85 Prozent gewesen, erklärte Mailbox.org. Alle Anfragen wurden von Strafverfolgungsbehörden gestellt, die meisten gingen per Klartext-E-Mail ein.

Ähnliche Zahlen nennt auch der E-Mail-Dienst Posteo in seinem Transparenzbericht für 2022. Dort gingen 51 Anfragen von deutschen Behörden sowie 6 aus anderen Staaten ein. Die meisten stammen von Strafverfolgungsbehörden, sechs von Geheimdiensten. Laut Posteo waren von allen Anfragen nur 17 Anfragen formal korrekt.

Beantwortet wurden demnach 8 der 57 Anfragen. Bei mehreren Anfragen hätten die angefragten Daten schlicht nicht vorgelegen. So erhebt Posteo nach seinem Datensparsamkeitskonzept beispielsweise keine Bestandsdaten wie Namen oder Adressen und speichert die dynamischen IP-Adressen der Kunden nicht.

Der E-Mail-Anbieter reichte zudem 35 Beschwerden bei den Landesdatenschutzbehörden oder anderen Behörden ein, die er mit rechtswidrigem und unsicherem Übermitteln der Behördenersuchen begründete. Eine Beschwerde wegen rechtswidrigem Ersuchen nach Verkehrsdaten sei geplant, schreibt Posteo.

Deutlich mehr Anfragen erhielt der E-Mail-Anbieter Tutanota. Hier waren es 2022 insgesamt 329. Das dürfte daran liegen, dass Tutanota im Unterschied zu Mailbox.org und Posteo auch kostenlose E-Mail-Konten anbietet. Beantwortet wurde mit 109 rund ein Drittel der Anfragen, weil ein gültiger Beschluss von einem hiesigen Gericht vorlag.

Nachtrag vom 10. Februar 2023

Posteo erklärte, dass nur drei und nicht acht Anfragen beauskunftet wurden, da hier richterliche Beschlüsse sowie die Daten vorgelegen hätten. Zudem plane Posteo die Datenschutzbeschwerden, habe sie aber noch nicht eingereicht. Wir haben den Artikel entsprechend aktualisiert.

Der Beitrag Viele rechtswidrige Anfragen an sichere Mail-Anbieter erschien zuerst auf Linux-Magazin.

Skriptkiddies schreiben Malware mit ChatGPT

13. Januar 2023 um 08:54

In einem Untergrundforum tauschen Kriminelle mit ChatGPT erstellte Skripte aus, die beispielsweise als Ransomware verwendet werden können.

Die Text-KI ChatGPT kann für zahlreiche Aufgaben eingesetzt werden, darunter auch das Schreiben von Schadsoftware. So berichtet die Sicherheitsfirma Checkpoint, dass Teilnehmer in Cybercrime-Foren die KI nutzen, um Ransomware zu schreiben. Darunter befinden sich auch solche mit wenig oder gar keiner Programmiererfahrung.

Das Unternehmen entdeckte eine Diskussion in einem entsprechenden Forum. Dort sollen Forenteilnehmer ChatGPT zum Erstellen von Skripten verwendet haben, darunter ein Python-Skript, das verschiedene kryptografische Funktionen einschließlich Verschlüsselung, Entschlüsselung und Signierung bereitstellt und als Ransomware verwendet werden kann.

Dieses und andere Skripte seien ausführbar gewesen und hätten die versprochenen Funktionen bereitgestellt, erklärten Forscher von Checkpoint in einem Blogeintrag.

Andere Code-Schnipsel, die mit ChatGPT erstellt wurden, dienten dazu, Informationen von bereits kompromittierten Systemen zu kopieren oder den SSH-Client Putty auf einem Zielsystem herunterzuladen und per Powershell auszuführen. Ein weiteres Beispiel wurde genutzt, um die Kryptowährungskurse auf einem illegalen Marktplatz zu aktualisieren.

Viele der Skripte ließen sich auch für legitime Zwecke nutzen, betonen die Forscher. So kann das oben genannte Skript beispielsweise zum Verschlüsseln eigener sensibler Daten eingesetzt werden, es können aber auch die Daten Dritter damit verschlüsselt werden und ein Lösegeld für deren Entschlüsselung verlangt werden.

“Es ist noch zu früh, um zu entscheiden, ob die ChatGPT-Fähigkeiten das neue Lieblingstool für Teilnehmer im Dark Web werden”, schreiben die Forscher. “Die Gemeinschaft der Cyberkriminellen hat jedoch bereits großes Interesse gezeigt und springt auf diesen neuesten Trend zur Generierung von bösartigem Code auf.” In anderen Foren würde zudem bereits diskutiert, wie man ChatGPT für Betrugsmaschen nutzen könne.

Der Beitrag Skriptkiddies schreiben Malware mit ChatGPT erschien zuerst auf Linux-Magazin.

Viele nutzen Matrix, wenige finanzieren es

02. Januar 2023 um 09:18

Matrix blickt auf ein erfolgreiches Jahr zurück – die Nutzerzahlen haben sich verdoppelt. Doch fehlende Finanzierung gefährdet die Kernentwicklung.

Im Matrix-Netzwerk ist im Jahr 2022 viel passiert – unter anderem haben sich die Nutzerzahlen verdoppelt, wie der Matrix-Gründer Matthew Hodgson in einem Blogeintrag schreibt. Allerdings gibt es auch Probleme, vor allem die Finanzierung der Kernarbeit an Matrix gestaltet sich schwierig.

“Dank der Situation bei Twitter erlebt die Welt ein großes Erwachen hinsichtlich der Bedeutung der Dezentralisierung”, schreibt Hodgson. Die Anzahl der sichtbaren Matrix-IDs habe sich von 44,1 auf 80,3 Millionen nahezu verdoppelt. Gleichzeitig gebe es viele neue Akteure im Matrix-Ökosystem: So scheine Reddit eine Chatfunktion auf Basis des Matrix-Protokolls zu entwickeln. Teamspeak habe den matrixbasierten Chat TS5 angekündigt. Auch Discourse arbeite an einer Matrix-Unterstützung und Thunderbird habe diese bereits eingeführt.

Von Luxemburg bis zur Ukraine sei von etlichen Regierungen Matrix eingeführt worden, erklärte Hodgson. In Deutschland wolle die BWI, das IT-Systemhaus der Bundeswehr, einen Bundesmessenger auf Matrix-Basis den Behörden anbieten, die Gematik Ärzten und Krankenkassen. Zudem sei die Fosdem 2022 mit mehr als 23.000 Teilnehmern über Matrix abgewickelt worden. Und WordPress-Entwickler Automattic arbeite an einem entsprechenden Plug-in für WordPress.

“Andererseits haben nur eine Handvoll dieser Initiativen dazu geführt, dass das Matrix-Kernteam Mittel erhalten hat. Dies gefährdet unmittelbar die Kernentwicklung von Matrix”, schreibt Hodgson. Damit sei man Zeuge der klassischen Tragik der Allmende (Tragedy of the Commons). Nach dieser sozialwissenschaftlichen Theorie werden Allgemeingüter, die frei verfügbar sind, aber über begrenzte Ressourcen verfügen, übernutzt.

Matrix sei Open Source und so weit entwickelt, dass es breit und in großem Maßstab eingesetzt werden könne. Das Netzwerk expandiere auch exponentiell. “Es zeigt sich jedoch, dass die große Mehrheit dieser kommerziellen Implementierungen keinen finanziellen Beitrag zur Matrix Foundation leistet – sei es durch direkte Spenden oder indirekte Unterstützung durch die Zusammenarbeit mit Element, die heute den größten Teil der Kernentwicklung von Matrix finanzieren”, kritisiert Hodgson.

Element sei nicht mehr in der Lage, die gesamte Matrix Foundation für alle anderen zu finanzieren und habe bereits einige Mitarbeiter des Kernteams entlassen müssen. Man arbeite daher an einem Ansatz, der sowohl die Gemeinschaft stärke als auch Organisationen zur Teilnahme ermutige.

Auch entwicklungstechnisch ist im vergangenen Jahr viel passiert. So wurde mit Vodozemac eine Rust-Implementierung der Ende-zu-Ende-Verschlüsselung Olm/Megolm geschaffen und auditiert, die wiederum auf der Signal-Verschlüsselung basiert. Diese soll in Element R zum Einsatz kommen, das sich allerdings wegen verantwortlich gemeldeter und behobener Sicherheitslücken in den bisherigen Implementierungen verzögert hat.

Ebenfalls in Arbeit ist ein Open-Source-Metaverse namens Third Room, das auf Matrix aufbaut. Hinzu kommen Voice over IP (VoIP), der leichtgewichtige Matrix-Webchat Hydrogen und Chatterbox.

Der Beitrag Viele nutzen Matrix, wenige finanzieren es erschien zuerst auf Linux-Magazin.

Google führt E-Mail-Verschlüsselung ein

20. Dezember 2022 um 12:32

Die Gmail-Verschlüsselung soll auch mit anderen Providern und Clients kompatibel sein und steht Unternehmenskunden als Beta zur Verfügung.

Google hat eine optionale E-Mail-Verschlüsselung für Gmail angekündigt. Dabei soll es sich um eine Verschlüsselung auf den Geräten der Nutzer handeln (Client-side encryption, CSE). Die Funktion richtet sich an Unternehmen und nicht an Privatanwender.

Die Verschlüsselung soll auf dem S/Mime-Standard basieren, wie Google dem Onlinemagazin The Verge bestätigte, und damit auch mit anderen E-Mail-Providern und E-Mail-Programmen wie Apple Mail, Outlook oder Thunderbird kompatibel sein. Die Webversion von Gmail soll die Verschlüsselung bereits unterstützen, die Gmail-Apps für Android und iOS sollen folgen.

Bei der Gmail-Verschlüsselung soll es sich allerdings noch um eine Beta-Version handeln, für die sich Workspace-Administratoren bis zum 20. Januar anmelden können, heißt es in einem Blogeintrag von Google. Diese beschränkt sich auf Googles Workspace-Enterprise-Plus-, Education-Plus- und Education-Standard-Kunden.

Wurde die Funktion aktiviert und für die Nutzer eines Arbeitsbereiches eingerichtet, finden diese beim Schreiben einer Nachricht eine zusätzliche Option zum Verschlüsseln der E-Mails vor. Damit bleibt sie, auch wenn ein Unternehmen die E-Mail-Verschlüsselung aktiviert hat, optional.

Die verschlüsselten E-Mails soll auch Google nicht mehr lesen können. Die Kontrolle und Verwaltung der verwendeten Schlüssel liegt bei den Administratoren der jeweiligen Unternehmenskunden.

Wie bisher steht es Unternehmen und Privatanwendern frei S/Mime oder die Alternative PGP (g+) mit den entsprechenden Tools selbst auf ihren Geräten einzurichten. Um verschlüsselt kommunizieren zu können, muss die Gegenseite das gleiche Verschlüsselungssystem unterstützen.

Der Beitrag Google führt E-Mail-Verschlüsselung ein erschien zuerst auf Linux-Magazin.

EuGH: Google muss Links zu falschen Informationen löschen

09. Dezember 2022 um 11:09

Suchmaschinen wie Google müssen Links zu Webseiten mit Falschinformationen entfernen, so der EuGH. Die Beweise müssen die Betroffenen vorlegen.

Nach einer Entscheidung des Europäischen Gerichtshofs (EuGH) muss der Suchmaschinenbetreiber Google Links auf erwiesenermaßen falsche Informationen entfernen. Wenn eine Person nachweisen könne, dass eine Suchanfrage auf eine Website mit offensichtlichen Falschinformationen führe, müsse das Unternehmen die entsprechende Verlinkung löschen, so das Urteil der Richter (Rechtssache C-460/20).

Eine richterliche Entscheidung bedürfe es hierzu nicht, vielmehr reiche es aus, wenn die Betroffenen Beweise vorlegen würden, deren Zusammenstellung für sie zumutbar sei, heißt es in einer Pressemitteilung des Gerichts (PDF). Zuerst hatte die Tagesschau berichtet.

Geklagt hatte ein Ehepaar, das Geldanlagen anbietet. Über diese hatte eine US-Webseite kritisch berichtet. Diese sei unseriös und erpresse sie mit den falschen Behauptungen, die erst gegen Geldzahlungen gelöscht würden, behauptete das Ehepaar. Entsprechend forderten die beiden Google auf, die Artikel aus seinem Suchindex zu entfernen.

Das lehnte der Suchmaschinenanbieter jedoch ab, da die Faktenlage unklar sei. Daraufhin zog das Ehepaar vor Gericht. Verhandelt wird aktuell vor dem Bundesgerichtshof (BGH), der beim EuGH um eine Beurteilung der Sachlage nach EU-Recht gebeten hatte. Dieser hat mit seinem Urteil nun festgehalten, dass Links zu Falschinformationen aus Suchmaschinen zu löschen sind.

Der konkrete Fall des Ehepaares ist damit allerdings noch nicht entschieden. Hier muss der BGH entscheiden, ob das Ehepaar einigermaßen nachvollziehbar belegen kann, dass die Informationen auf der US-Webseite offensichtlich falsch sind. Dabei wird er sich an der neuen EuGH-Entscheidung orientieren.

Der Beitrag EuGH: Google muss Links zu falschen Informationen löschen erschien zuerst auf Linux-Magazin.

Whatsapp, Threema, Signal: Messenger können Standort leaken

14. November 2022 um 08:55

Über die Zustellbestätigungen in Messengern wie Whatsapp, Signal oder Threema konnten Forscher den Standort des jeweiligen Smartphones ermitteln.

Eine Forschergruppe konnte verschiedene Standorte einer Person über die Messenger Whatsapp, Signal und Threema unterscheiden, in dem sie die Dauer der Zustellung gemessen hatte. Die bereits einem Review unterzogene Studie wurde nun als Preprint veröffentlicht.

“Wer Whatsapp, Threema und Signal nutzt, kennt den folgenden Ablauf: Nach dem Absenden einer Nachricht wird diese mit einem Häkchen markiert. Sobald die Nachricht auch bei der Empfängerin oder dem Empfänger angekommen ist, erscheint ein zweites Häkchen als Bestätigung”, heißt es in einer Pressemitteilung zu der Studie (PDF). Aus der Zeitspanne zwischen dem Erscheinen des ersten und des zweiten Häkchens könne man jedoch unter bestimmten Voraussetzungen den Aufenthaltsort des Zielhandys ermitteln.

Theodor Schnitzler war bei einem Aufenthalt in Abu Dhabi aufgefallen, dass es länger als sonst dauerte, bis eine Messenger-Nachricht nach Deutschland mit dem zweiten Haken als empfangen markiert wurde. Sie begannen das Phänomen zu untersuchen und sendeten über ein Smartphone alle zehn Sekunden eine Nachricht an Smartphones in Deutschland, den Niederlanden, Griechenland und den Vereinigten Arabischen Emiraten.

Bei ihrer Untersuchung stellten sie fest, dass es je nach Empfängerland eine charakteristische Dauer gab, bis die Zustellbestätigung auf ihrem Smartphone eintraf. Im Anschluss an ihre Analyse konnten sie bei Whatsapp und Signal mit einer Genauigkeit von 74 Prozent und bei Threema mit 84 Prozent feststellen, in welchem der untersuchten Länder sich ihr Empfangsgerät befand.

Die Forschergruppe wiederholte die Untersuchung auf lokaler Ebene in verschiedenen Städten des Ruhrgebietes und konnte auch hier eine entsprechende Zuordnung vornehmen, teils sogar mit über 90 Prozent. Zudem konnten sie aus den Daten sehr zuverlässig ermitteln, ob ein Gerät eine Internetverbindung über WLAN oder Mobilfunk herstellt.

Ohne Vorwissen würden sich die Daten jedoch nicht interpretieren lassen, betont die Forschergruppe. Zudem erhalte man bei den Messenger-Apps nur eine Zustellbestätigung, wenn der Empfänger die Nummer des Sender-Handys in den Kontakten eingespeichert habe. Die bislang unbekannten Standorte einer beliebigen Handynummer würden sich mit dieser Methode also nicht ermitteln lassen.

“Wenn man aber bereits die üblichen Standorte des Smartphones kennt – zum Beispiel, weil man weiß, wo eine Person wohnt, arbeitet oder ins Fitnessstudio geht – kann man die charakteristische Dauer der Zustellbestätigung per Software messen und später mit dem Senden einer Nachricht an die Person herausfinden, ob sie sich gerade an einem dieser Orte befindet”, erklärte Schnitzler.

Zur Lösung des Problems schlägt die Forschergruppe vor, den Nutzern die Häkchen erst mit einer zufälligen Zeitverzögerung anzuzeigen oder eine Option zu bieten, mit der Nutzer die Zustellbestätigungen deaktivieren können.

Der Beitrag Whatsapp, Threema, Signal: Messenger können Standort leaken erschien zuerst auf Linux-Magazin.

Twitter-Alternative: Mastodon verdoppelt Nutzerzahl

08. November 2022 um 09:21

Die Querelen bei Twitter sorgen für einen enormen Nutzerzuwachs bei der Alternative Mastodon. Auch etliche neue Server wurden hinzugefügt.

Mit der Übernahme von Twitter durch Elon Musk verzeichnet die dezentrale Twitter-Alternative Mastodon einen deutlichen Nutzerzuwachs. Demnach hat das Netzwerk laut seinem Gründer und Hauptentwickler Eugen Rochko mittlerweile über eine Million monatlich aktive Nutzer zu verzeichnen – und diese Zahl damit innerhalb kurzer Zeit verdoppelt.

Seit dem 27. Oktober seien dem Netzwerk fast 500.000 neue Nutzer beigetreten und 1.124 neue Server hinzugefügt worden, schreibt Rochko auf Mastodon. Auch die Downloadzahlen in den App Stores stiegen in den letzten Tagen enorm an. Zwischenzeitlich trendeten die Hastags #mastodon und #TwitterMigration auf Twitter.

“Ich glaube nicht, dass Mastodon oder das Fediversum jemals zuvor so viel Aufmerksamkeit erhalten haben”, erklärte Rochko. “Es ist eine großartige Gelegenheit für die Menschen, endlich zu sehen, dass Social Media anders gemacht werden kann, dass es ein Protokoll sein kann, das nicht von einem einzelnen Unternehmen kontrolliert wird.”

Dennoch kennen in Deutschland bisher nur wenige Mastodon. Laut einer Ende Oktober durchgeführten Umfrage haben 80 Prozent der Menschen in Deutschland noch nie von Mastodon gehört. Allerdings war das Netzwerk in den jüngeren Generationen deutlich bekannter und verbreiteter.

Der Mikroblogging-Dienst Mastodon steht im Zeichen des namengebenden ausgestorbenen Mammuts. Entsprechend heißen die abgesetzten Nachrichten auch Toots oder Tröts, während sie bei Twitter Tweets (Gezwitscher) heißen. Im Unterschied zur proprietären Alternative ist Mastodon dezentral und Open Source.

Folglich gibt es verschiedene Anbieter, Behörden, Gruppen und Personen, die Mastodon-Server betreiben. Diese sind föderiert und tauschen untereinander Nachrichten aus. “Dabei kann jede Instanz die auf ihr erfolgende Datenverarbeitung eigenverantwortlich regeln”, betonte die Berliner Datenschutzbehörde, die ein Profil auf der dezentralen Social-Media-Plattform betreibt.

Auch andere Behörden sind bereits auf Mastodon vertreten. So betreiben sowohl der Bundesdatenschutzbeauftragte sowie die Landesdatenschutzbehörde Baden-Württemberg jeweils eine eigene Mastodon-Instanz unter social.bund.de beziehungsweise bawü.social.

Diese werden beispielsweise vom rheinland-pfälzischen Landtag, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mehreren anderen Behörden und staatlichen Organisationen sowie Städten wie Freiburg oder der Landeszentrale für politische Bildung (LpB) verwendet. Auch die EU richtete bereits zwei offene Social-Media-Plattformen auf Basis von Mastodon und Peertube für Behörden ein.

Der Beitrag Twitter-Alternative: Mastodon verdoppelt Nutzerzahl erschien zuerst auf Linux-Magazin.

Hackerangriff auf Hochschule Heilbronn

04. November 2022 um 09:56

Nach einem Hack ist die Hochschule Heilbronn eingeschränkt per E-Mail erreichbar. Das LKA und die Cybersicherheitsagentur untersuchen den Vorfall.

Wegen eines Hackerangriffs ist die Hochschule Heilbronn (HHN) nach eigenen Angaben nur eingeschränkt erreichbar. Betroffen sind demnach der E-Mail-Verkehr, die VPN-Zugänge in das Netz der Universität für Studenten und Beschäftigte sowie die E-Learning-Plattform Ilias, heißt es in einer Mitteilung der Hochschule. Auch digitale Dienste, die im Hochschulnetz angeboten werden, seien betroffen.

ine Analyse und Bewertung habe erste Hinweise auf eine “kriminelle Cyberattacke” ergeben. Die gemeinsamen Untersuchungen mit der Cybersicherheitsagentur Baden-Württemberg sowie dem Landeskriminalamt (LKA) dauerten weiter an.

“Vollumfängliche Aussagen zur Angriffssituation” könnten erst getroffen werden, wenn die Untersuchungen abgeschlossen seien, betonte die Hochschule. Derzeit arbeiteten die internen und externen Fachleute mit Hochdruck an der Analyse der digitalen Spuren. Entsprechend ist derzeit auch noch nicht bekannt, ob Daten abhandengekommen sind.

“Für Analyse und Vorbereitung des wieder Bereitstellens unserer Systeme sind erfahrungsgemäß noch mehrere Wochen zu veranschlagen, der Normalzustand ist in ein paar Monaten zu erwarten”, heißt es von Seiten der Hochschule Heilbronn. “Studierende, die aufgrund des technischen Ausfalls Abgabefristen nicht einhalten können, müssen selbstverständlich mit keinerlei negativen Auswirkungen auf ihre Studienleistung rechnen.”

Der Studienbetrieb an Ort und Stelle laufe aber weiter. Zur Kommunikation und für Online-Veranstaltungen stehe die Plattform Webex zur Verfügung.

Derzeit arbeite man an einer FAQ-Liste zu dem Vorfall, die in Kürze erscheinen soll, teilte die Hochschule mit. Derzeit studieren rund 8.000 Studenten an der Heilbronner Hochschule. Sie ist eine der größten Hochschulen mit den Schwerpunkten Informatik, Technik und Wirtschaft im Südwesten.

Der Beitrag Hackerangriff auf Hochschule Heilbronn erschien zuerst auf Linux-Magazin.

Eltern durch Whatsapp-Betrug um Tausende Euro gebracht

24. Oktober 2022 um 08:31

Die Polizei warnt vor Trickbetrügern, die mit einer angeblichen Notlage des Kindes Eltern um ihr Geld bringen.

Mit simplen Whatsapp-Nachrichten haben Betrüger mehrere Eltern im Landkreis Bad Segeberg um Tausende Euro gebracht. Das Vorgehen sei dabei immer ähnlich, erklärte die Polizei. Die Kriminellen schreiben via Whatsapp von einer den Eltern nicht bekannten Nummer und geben sich als deren Kind aus. Dabei gaukelten sie den Müttern und Vätern vor, ihr Handy sei kaputt oder verloren gegangen.

Laut Polizeiangaben wurden die leichtgläubigen Eltern anschließend gebeten, ihren vermeintlichen Kindern Geld zu überweisen. So bat beispielsweise die Tochter eines 58-Jährigen um zwei Echtzeitüberweisungen von 3.300 und 3.500 Euro.

“Der Geschädigte wurde schließlich misstrauisch, als sein vermeintliches Kind um erneute Ausführung bat, da eine der Überweisungen an eine falsche Bankverbindung gegangen sein sollte”, schreibt die Polizeidirektion Bad Segeberg. Er habe daraufhin den Freund seiner Tochter kontaktiert, woraufhin sich wenig später die echte Tochter gemeldet habe.

Ähnliches sei einem Ehepaar passiert, dessen Sohn angeblich sein Handy verloren hatte. “Im weiteren Verlauf bat der angebliche Junior seine Eltern um zwei dringende Echtzeitüberweisungen über insgesamt 4.600 Euro, der die Eltern nachkamen”, heißt es in der Mitteilung der Polizei.

Weitere Betroffene hätten 3.000 und 2.400 Euro an die Kriminellen überwiesen. Neu ist die Masche mit dem verlorenen Smartphone und der damit verbundenen Forderung allerdings nicht. Die Kriminellen entwickeln immer wieder neue Tricks, mit denen sie ihre Opfer um ihr Geld bringen.

“Auffällig ist, dass die Betrüger ihre Opfer unter dem Vorwand der finanziellen Notlage zu Sofort- bzw. Echtzeitüberweisungen drängen. Hierbei besteht keine Chance auf eine Rückbuchung”, erklärt die Polizei. Geraten wird mit Nachrichten von unbekannten Nummern immer sensibel umzugehen und bei der Vermutung eines Betruges gleich Kontakt zu den Angehörigen herzustellen. Auf keinen Fall sollten persönliche Daten herausgegeben oder auf finanzielle Forderungen eingegangen werden.

Der Beitrag Eltern durch Whatsapp-Betrug um Tausende Euro gebracht erschien zuerst auf Linux-Magazin.

Datenleck bei Microsoft

21. Oktober 2022 um 08:53

Über einen fehlerhaft konfigurierten Microsoft-Server waren sensible Kundendaten offen im Internet einsehbar. Nachdem Sicherheitsforscher das Unternehmen am 24. September 2022 über das Datenleck informiert hatten, habe man den Server abgesichert, teilte Microsoft mit.

“Diese Fehlkonfiguration führte dazu, dass ein nicht authentifizierter Zugriff auf einige geschäftliche Transaktionsdaten möglich war, die mit der Interaktion zwischen Microsoft und potenziellen Kunden zusammenhängen, wie z. B. die Planung oder potenzielle Implementierung und Bereitstellung von Microsoft-Diensten”, erklärte das Unternehmen.

Das Leck sei durch eine “unbeabsichtigte Fehlkonfiguration auf einem Endgerät, das nicht im gesamten Microsoft-Ökosystem verwendet wird”, und nicht durch eine Sicherheitslücke verursacht worden, betonte Microsoft.

Einsehbar waren demnach Namen, E-Mail-Adressen, E-Mail-Inhalte, Firmennamen und Telefonnummern sowie Dateien, die im Zusammenhang mit Geschäften zwischen den betroffenen Kunden und Microsoft oder einem autorisierten Microsoft-Partner stehen. “Unsere Untersuchung ergab keinen Hinweis darauf, dass Kundenkonten oder -systeme kompromittiert wurden. Wir haben die betroffenen Kunden direkt benachrichtigt”, erklärt Microsoft.

Laut der Sicherheitsfirma Socradar, die das Datenleck entdeckt hatte, handelte es sich um einen falsch konfigurierten Azure Blob Storage, der von Microsoft verwaltet wurde und sensible Daten eines Cloudanbieters enthielt.

Die betroffenen Daten sollen demnach aus den Jahren 2017 bis 2022 stammen. Betroffen seien 65.000 Unternehmen aus 111 Ländern. Insgesamt habe man auf 2,4 TByte an Daten zugreifen können, darunter 335.000 E-Mails. Microsoft hält die Zahlen von Socradar für übertrieben.

Der Beitrag Datenleck bei Microsoft erschien zuerst auf Linux-Magazin.

Avast sorgt für Firefox-Abstürze

10. Oktober 2022 um 09:49

Mit einem Update behebt Mozilla Probleme, die von Avast verursacht wurden. Ein Entwickler empfiehlt, die Antivirensoftware zu deinstallieren.

Tausende Firefox-Nutzer haben Mozilla teils wütend über plötzliche Abstürze ihres Browsers unter Windows berichtet. Nach einer Recherche von Mozilla war der Übeltäter schnell klar: Die Antivirensoftware Avast.

Mozilla beschloss daraufhin, die DLL-Dateien von Avast mithilfe der DLL-Blockierliste von Firefox zu blockieren und damit die Abstürze zu verhindern. Ein entsprechendes Update ist mit Firefox in Version 105.0.3 verfügbar.

Laut dem Blog Ghacks könnte neben Avast auch die Antivirensoftware AVG solche Abstürze verursachen, diese sei aber noch nicht auf der Blockierliste von Mozilla. Avast übernahm AVG im Jahr 2016 und führt die beiden Antivirenprogramme seitdem immer weiter zusammen.

Firefox-Nutzer, die neben dem Browser auch Antivirensoftwares von Avast oder AVG nutzen, sollten alle Programme zeitnah aktualisieren, um etwaigen Abstürzen oder anderen Problemen aus dem Wege zu gehen.

Antivirensoftware ist unter Sicherheitsfachleuten umstritten und wird häufig als wirkungsloses Schlangenöl kritisiert, das teils sogar selbst für Sicherheitsprobleme sorgt. Daneben führt Antivirensoftware auch immer wieder zu Problemen mit legitimen Anwendungen wie Browsern. Der Mozilla-Angestellte Gabriele Svelto schlägt daher vor, die Produkte von Avast und AVG zu deinstallieren.

Insbesondere Avast geriet in der Vergangenheit neben Sicherheitsproblemen auch mit dem Sammeln und Verkaufen persönlicher und intimer Daten ihrer Nutzer in die Schlagzeilen. So verkaufte Avast die über eine gleichnamige Browsererweiterung gesammelten Webnutzungsdaten von mehreren Hundert Millionen Nutzern. Die Daten wurden vom Plug-in der gleichnamigen Antiviren-Software gesammelt. Zu den Käufern sollen namhafte Firmen wie Google, Microsoft, McKinsey und viele andere gehört haben. Ein Millionengeschäft.

Erst kürzlich hatte Avast die beliebte Browsererweiterung I don’t care about Cookies übernommen, was bei vielen Nutzern für Unmut sorgte. Die Erweiterung klickt für die häufig als nervig empfundenen Cookie-Banner weg, die bei vielen Webseiten bei einem initialen Besuch aufpoppen. Mozilla arbeitet bereits seit längerem an einer ähnlichen Funktion, die direkt im Browser zur Verfügung stehen soll.

Der Beitrag Avast sorgt für Firefox-Abstürze erschien zuerst auf Linux-Magazin.

Microsoft warnt vor Angriffen mit Linkedin und Open-Source-Software

04. Oktober 2022 um 07:55

Laut Microsoft führen staatliche Hacker derzeit Angriffe auf Linkedin durch. Dabei arbeiten sie mit um Schadfunktionen erweiterter Open-Source-Software.

Auf dem Karrierenetzwerk Linkedin sollen staatliche Hackergruppen gezielt Nutzer mittels Social Engineering angreifen und sie anschließend zur Installation von um Schadfunktionen erweiterte Open-Source-Programme überreden. Davor warnt Microsoft in einem Blogeintrag. Hinter den Angriffen soll die staatliche Hackergruppe Zinc, die auch unter dem Namen Lazarus bekannt ist, stecken.

Demnach kontaktieren die Angreifer ihre Zielpersonen auf Linkedin und geben sich als Personalvermittler. Damit bauen sie nach und nach Vertrauen auf und bitten ihre Opfer, für die weitere Kommunikation auf den Messenger Whatsapp zu wechseln.

Dort überredeten die Angreifer ihre Opfer, sich eine Software zu installieren, bei der es sich um verschiedene Open-Source-Softwarepakete handelte, die um Schadfunktionen ergänzt wurden. Dazu gehören beispielsweise Putty, Kitty, TightVNC, Sumatra PDF Reader und muPDF.

Bei den Angriffen handelt es sich laut Microsoft um gewöhnliche Cyberspionage und Versuche, Geld oder Daten zu stehlen, oder einfach nur um die Sabotage von Unternehmensnetzwerken. Die Angriffe sollen seit Juni dieses Jahres durchgeführt werden.

“Die Akteure haben seit Juni 2022 zahlreiche Organisationen erfolgreich kompromittiert”, schreibt Microsoft. “Aufgrund der weiten Verbreitung der Plattformen und Software, die ZINC in dieser Kampagne nutzt, könnte ZINC eine erhebliche Bedrohung für Einzelpersonen und Organisationen in verschiedenen Sektoren und Regionen darstellen.”

Die Abteilung für Bedrohungsprävention hat in der Vergangenheit bereits mehrere gefälschte Profile von Zinc entdeckt und gelöscht, die es vor allem auf Ingenieure und technische Supportmitarbeiter abgesehen hatten, schreibt das Onlinemagzin The Register.

Der Beitrag Microsoft warnt vor Angriffen mit Linkedin und Open-Source-Software erschien zuerst auf Linux-Magazin.

Neue Linux-Malware spielt verstecken

14. September 2022 um 11:07

Forscher haben eine neue Linux-Malware entdeckt, die sich besonders gut tarnt. Dabei kann sie sowohl als Kryptominer oder Spionage-Werkzeug agieren.

Forscher von AT&T Alien Labs haben eine neue Linux-Malware entdeckt, die sich auf besondere Weise tarnt und es auf Internet-of-Things-Geräte (IoT) und Server abgesehen hat. So wird der Payload mehrfach encodiert und zur Kommunikation werden bekannte Clouddienste eingesetzt. Zuerst berichtete das Onlinemagazin Ars Technica.

“Bedrohungsakteure suchen immer wieder nach neuen Möglichkeiten, Malware zu verbreiten, um unter dem Radar zu bleiben und nicht entdeckt zu werden”, schreibt der Forscher Ofer Caspi von AT&T Alien Labs. “Die Malware verwendet den polymorphen XOR-Codierer Shikata Ga Nai mit additiver Rückkopplung, der zu den beliebtesten Encodern in Metasploit gehört. Mithilfe des Encoders durchläuft die Malware mehrere Dekodierschleifen, wobei eine Schleife die nächste Ebene dekodiert, bis die endgültige Shellcode-Payload dekodiert und ausgeführt wird.”

Das eigentliche Ziel der Schadsoftware bleibt jedoch unklar. Einerseits verwendet sie eine Kryptomining-Software, die unter anderem zu heimlichem Kryptojacking genutzt werden kann. Andererseits lädt die Shikitega jedoch das Metasploit-Paket Mettle herunter und führt es aus. Damit lassen sich beispielsweise die Webcam steuern oder Anmeldeinformationen stehlen. Zudem bündelt das Paket mehrere Reverse-Shells. Entsprechend dürfte es nicht das Einzige Ziel der Malware sein, heimlich Monero zu schürfen.

Um eine Entdeckung zu erschweren, setzen die Bedrohungsakteure auf legitime Clouddienste als Command-and-Control-Instanz. Die von dort erhaltenen Befehle sowie das Mettle-Paket werden zudem nicht auf der Festplatte beziehungsweise SSD gespeichert, sondern nur im Arbeitsspeicher vorgehalten.

Außerdem versucht die Schadsoftware über zwei bekannte Sicherheitslücken Root-Rechte zu erlangen. Hierzu setzt sie auf die Sicherheitslücke Pwnkit (CVE-2021-4034), die rund 12 Jahre im Linux-Kernel lauerte, ehe sie Anfang des Jahres gepatcht wurde.

Die zweite Sicherheitslücke zur Rechte-Ausweitung wurde bereits im April 2021 aufgedeckt und ebenfalls vor geraumer Zeit gepatcht. Allerdings dürften insbesondere Internet-of-Things-Geräte die Patches nicht selten noch nicht eingespielt haben. Persistenz erlangt die Malware über Crontab-Einträge.

Der Beitrag Neue Linux-Malware spielt verstecken erschien zuerst auf Linux-Magazin.

Google blockiert Rekord-DDoS-Angriff

22. August 2022 um 07:12

Für einen Kunden konnte Google den größten HTTPS-basierten DDoS-Angriff mit 46 Millionen Anfragen pro Sekunde abwehren.

Google hat nach eigenen Angaben den bisher größten HTTPS-basierten DDoS-Angriff (Distributed Denial of Service) mit Spitzenwerten von 46 Millionen Anfragen pro Sekunde abgewehrt. Der Angriff soll demnach bereits im Juni stattgefunden haben. Bei DDoS-Attacken versuchen die Angreifer Dienste beziehungsweise Server mit Anfragen zu überhäufen, bis sie unter der Last zusammenbrechen.

Der Angriff soll noch einmal 76 Prozent umfangreicher gewesen sein, als der zuvor größte DDoS-Angriff, der ebenfalls im Juni von Cloudflare blockiert wurde. Zuerst hatte das Onlinemagazin The Register berichtet.

“Das ist so, als würde man alle täglichen Anfragen an Wikipedia (eine der 10 meistbesuchten Websites der Welt) in nur 10 Sekunden erhalten”, erklären die Google-Entwickler Emil Kiner und Satya Konduru in einem Blogeintrag. Demnach zielte der Angriff auf einen HTTP/S-Load-Balancer eines Kunden ab und begann mit rund 10.000 Anfragen pro Sekunde, steigerte sich innerhalb von acht Minuten auf 100.000 und wuchs weitere zwei Minuten später auf die besagten 46 Millionen Anfragen pro Sekunde.

Zu diesem Zeitpunkt hatte Google den Angriff bereits erkannt und warnte den Kunden mitsamt einer Angriffssignatur und eine vorgeschlagenen Blockierregel. Diese aktivierte der Kunde umgehend und der Angriff wurde deutlich abgeschwächt. “Vermutlich stellte der Angreifer fest, dass er nicht die gewünschte Wirkung erzielte, obwohl er erhebliche Kosten für die Durchführung des Angriffs auf sich genommen hatte”, schreiben Kiner und Konduru. Nach insgesamt 69 Minuten war die DDoS-Attacke wieder vorbei.

Verantwortlich für den Angriff soll das Mēris-Botnetzwerk sein. Insgesamt sollen 5236 IP-Adressen aus 132 Ländern an der Attacke beteiligt gewesen sein. Etwa 20 Prozent der IP-Adressen seien Exit-Nodes aus dem Tor-Netzwerk gewesen, erklärt Google. Insgesamt seien zu Spitzenzeiten jedoch nur 1,3 Millionen Anfragen pro Minute aus dem Tor-Netzwerk gekommen, was rund drei Prozent des Angriffsvolumens entspreche. Wie bei dem letzten Rekord-DDoS-Angriff zielte auch dieser auf HTTPS-Anfragen, die bei einem Verbindungsaufbau erhöhte Rechenkapazitäten verursachen sollen.

Der Beitrag Google blockiert Rekord-DDoS-Angriff erschien zuerst auf Linux-Magazin.

❌
❌