Wurde die Verschlüsselungssoftware truecrypt von den Entwicklern eingestellt?

Die Verschlüsselungssoftware für Laufwerke und Dateien “truecrypt” wurde bislang 28 Millionen Mal heruntergeladen und ist weltweit in einer breiten Basis im Einsatz. Auch ich nutze dieses praktische Werkzeug einer anonymen Gruppe von Entwicklern. Auf der Homepage der truecrypt-Seite erscheint aktuell die Meldung, dass die Entwicklung der Software wegen des Windows XP-Ende im Mai 2014 eingestellt wird und Sicherheitslücken enthalten soll. Es folgt eine Anleitung zum Wechsel auf das Microsoft Produkt Bitlocker. Zunächst wurde ein Hack der truecrypt-Seite vermutet. Doch verdichten sich die Hinweise, dass die Entwickler das Projekt tatsächlich eingestellt haben. Alle Softwareversionen wurden aus SourceForge entfernt. Die aktuelle Version 7.2 erlaubt nur die Entschlüsselung des Laufwerks für eine Migration.

Quelle: Security Affairs

Screenshot 2014-05-29 22.04.08

Wenn die Hacker über die Heizung einsteigen

“Steuern Sie Ihre Beleuchtung und Heizung in Zukunft ganz bequem mit nur einem Klick.”, so der Werbespruch eines schwäbischen Energieversorgers. Die Fernsteuerung von Licht und Heizung per App ist voll im Trend. Bequem von unterwegs die Heizung auf Wohlfühltemperatur regeln, bevor man zu Hause ankommt und das Licht bereits vor der Einfahrt in den Hof anmachen. Hierzu werden einfach die Heizungsregler ausgetauscht und eine zentrale Steuerungseinheit an den Router gehängt. Die möglichen Energieeinsparungen sollen die Investitionen in neue Regler für die Heizungen und die Steuerungseinheit wett machen. Ein schönes Zusatzgeschäft für die Anbieter, ein Stück Komfort für die Nutzer und Kundenbindung in wettbewerbsintensiven Zeiten. Doch was, wenn Hacker in das System eindringen, die Wohnung auf arktische Temperaturen kühlen während die Beleuchtung Disko spielt? Unwahrscheinlich oder gar unmöglich? Gerade erst wurde eine Sicherheitslücke in den Fritzbox-Routern geschlossen, über die Hacker von fremden Anschlüssen für tausende Euro ins Ausland telefonierten. Schlimmer hat es die amerikanische Handelskette Target erwischt. Rund 40 Millionen Kundendaten von Kredit- und Debitkarteninhabern wurden von Hackern gestohlen. Eingedrungen sind die Hacker in das Netzwerk über die Zugangsdaten des Dienstleisters für Heizung und Klima. Dieser hatte einen Netzwerkzugang für die Wartung und Steuerung der Klimaanlage. Viele Netzwerkzugänge für die Heizung- und Klimasteuerung sind offensichtlich ungenügend gesichert. In Sotschi soll es nicht einmal ein Passwort für den Zugang geben. Nicht nur Unternehmen, auch bei den modernen Heizungsanlagen mit Fernzugang für Privathaushalte gab es bereits Sicherheitslücken. Die Kunden mussten erst einmal den Netzwerkstecker der Heizung ziehen, bis ein Techniker vorbeikam, um das Modul für eine sichere Übertragung einzubauen.

Die Beispiele zeigen, dass die Gefährdungen in der vernetzten Welt an ganz unerwarteten Stellen auftreten können. Über die vernetzte Heizung, den vernetzten Drucker, die IP-Telefonanlage oder das vernetzte Auto. Gewiefte Hacker machen das scheinbar Unmögliche möglich. Manchmal hilft bei der Abwägung zwischen Bequemlichkeit und Sicherheit zu hinterfragen, ob jedes Feature auch wirklich notwendig ist – wie die App zur Fernsteuerung von Heizung und Licht.

BSI warnt vor Risiken auf Grund des Supportendes von Windows XP

Das Bundesamt für Sicherheit in der Informationstechnik führt hierzu im aktuellen BSI-Newsletter aus:

“Microsoft beendet zum 8. April dieses Jahres den Support für das Betriebssystem Windows XP und die
Bürosoftware Office 2003.
Das BSI befürchtet, dass neue in Windows XP gefundene Schwachstellen von Online-Kriminellen bewusst
zurückgehalten und erst nach Ende des Supports aktiv eingesetzt werden, um Gegenmaßnahmen zu
erschweren. Darüber hinaus ist anzunehmen, dass mancher zukünftig entdeckte Angriffsweg für moderne
Windows-Versionen auch bei Windows XP funktioniert und von Angreifern nutzbar gemacht wird.
Zusammen führt dies zu einer erhöhten Bedrohungslage für Systeme mit veralteten Betriebssystemen.
Zudem sind Sie bei zukünftigen Problem auf sich gestellt.
Das BSI rät deshalb dazu, bestehende Systeme zu migrieren.”

Das BSI hat zwei Artikel für Privatanwender und Systemadministratoren zur Verfügung gestellt:
Privatanwender:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/Support
-Ende-WinXP_04022014.html
Systemadministratoren:
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/anwender/software/BSI-CS_085.html

Evernote sorgt sich um die Sicherheit seiner Kunden nach dem Adobe-Hack

Evernote, Anbieter elektronischer Notizen, kümmert sich um die Sicherheit seiner Kunden. Vor Kurzem wurden durch den Adobe-Hack Millionen von Kundendaten, bestehend aus E-Mails und verschlüsselten Paßwörtern, abgegriffen. Evernote hat nun die nicht verschlüsselten E-Mail-Adressen aus den veröffentlichten Daten des Hacker-Angriffs mit den E-Mail-Adressen der eigenen Kunden verglichen. Nutzer, die die identische E-Mail-Adresse für ihren Evernote-Account verwenden wie für Adobe, haben folgenden Sicherheits-Hinweis erhalten. Eine positive Aktion zum Schutz der eigenen Kunden, wie ich finde.

Hier der Wortlaut der E-Mail, die ich als Evernote-Kunde erhalten habe:

“Vor Kurzem erschienen Berichte (En), laut denen es bei Adobe ein Sicherheitsproblem gegeben hat, bei dem private Daten wie Adobe-Passwörter, E-Mail-Adressen und Passworthinweise gehackt wurden. Die Liste der betroffenen Adobe-Konten wurde ins Internet hochgeladen. Wir haben diese Liste mit den E-Mail-Adressen unserer Benutzer verglichen und festgestellt, dass die E-Mail-Adresse, mit der du ein Evernote-Konto angelegt hast, auf der Liste der gehackten Adobe-Konten erscheint.

Evernote wurde nicht gehackt und ist von diesem Vorfall nicht betroffen, aber falls du dasselbe Passwort für Adobe und für Evernote benutzt, solltest du dein Evernote-Passwort jetzt ändern.”

Top Ten Daten-Desaster 2013

Alle Jahre wieder stellt Kroll Ontrack die Hitliste der Daten-Desaster zusammen, die weltweit in den Laboren des Wiederherstellungsspezialisten landen. Die Schicksale, die Laptops, Server und Mobiltelefone erleiden müssen, sind so vielseitig wie das Leben eben so spielt. Dies reicht vom Beschuss eines Smartphones bis zu Festplatten, die wahlweise in Wasser oder Alkohol ertränkt werden. Auch Hurrican Sandy hat einen Platz unter den Top Ten erzielt.

Die Top Ten Daten-Desaster von Kroll Ontrack

Meldepflicht für Cyber-Angriffe soll kommen

Laut einer Meldung in der FAZ in der heutigen Print-Ausgabe sollen sich Union und SPD in den laufenden Koalitionsverhandlungen auf eine Meldepflicht für Cyber-Angriffe durch Unternehmen der kritischen Infrastrukturen verständigt haben.

Diese Meldepflicht ist seit einiger Zeit in der Diskussion. Unternehmensverbände haben sich bisher erfolgreich gegen diese Verpflichtung gewehrt. Insbesondere das Innenministerium hat sich für diese Meldepflicht eingesetzt.

Die Meldestrukturen für die KRITIS-Unternehmen sind etabliert und werden in den zweijährigen KRITIS-Übungen auch getestet. Bislang erfolgen Meldungen über Cyber-Attacken an das Bundesamt für Sicherheit in der Informationstechnik BSI noch auf freiwilliger Basis, doch wird dies offensichtlich nicht intensiv genutzt. Im BSI wurde im Februar 2011 das Nationale Cyber-Abwehrzentrum eingerichtet, um Abwehrmaßnahmen durch Cyber-Angriffe zentral erkennen und Maßnahmen koordinieren zu können.

In den USA und Großbritannien gab es große Übungen im Finanzdienstleistungsbereich, um sich auf einen solchen Anschlag vorzubereiten.

Die Top 100 Passwörter von Adobe-Kunden

Bekanntlich sind bei dem Adobe-Hack 38 Millionen Kundendaten von Hackern erbeutet worden. Darunter auch mein Account bei Adobe, wie ich mittlerweile hier recherchieren konnte (auf eigene Gefahr!).

Jetzt sind die meistgenutzten 100 Passworte veröffentlicht worden. Die Passwörter zeigen dass die Bezeichnungen “Fahrlässigkeit” und “Einfallslosigkeit” bei der Wahl des Passworts noch deutlich untertrieben sind.

Hier die Liste des Schreckens:

Quelle: http://stricture-group.com/files/adobe-top100.txt

[table id=2 /]

Mehr als 1.000 Banken in den USA üben eine Cyber-Attacke auf den Zahlungsverkehr

Im Rahmen einer zweitägigen Übung werden am 16. und 17. Oktober sowie am 23. und 24. Oktober 2013 über 1.000 Banken den Cyber-Angriff auf Zahlungsverkehrssysteme üben. Bereits in 2012 war eine vergleichbare Übung durchgeführt worden. Die Übung in den USA ist offen für alle Banken, die am Zahlungsverkehr teilnehmen. Die teilnehmenden Banken erhalten an den beiden Übungstagen morgens jeweils ein Szenario, das bis Mitternacht des gleichen Tages online per Fragebogen beantwortet werden muß. Für die Teilnehmer steht nach Abschluß der Übung ein anonymer Vergleich mit Peer-Daten zur Verfügung (Industrie, Lokation, Größe etc.). Die Teilnahme ist kostenfrei.

Quelle: BankInfoSecurity

ISO 27014:2013 Governance of information security erschienen

Im Rahmen der ISO 27000er-Familie ist aktuell der Standard zur Information security governance neu erschienen:

“ISO/IEC 27014:2013 provides guidance on concepts and principles for the governance of information security, by which organizations can evaluate, direct, monitor and communicate the information security related activities within the organization.”

Der Standard kann bei der ISO bezogen werden.

Das modernste US-Kriegsschiff zeigt Schwächen bei der Netzwerksicherheit

Auch modernste und teuerste Militärtechnik ist verwundbar. Penetrationstests des Netzwerks der USS Freedom haben nun Schwächen in der Netzwerksicherheit der Kampfmaschine aufgezeigt. Diese waren jedoch nicht so groß, um den geplanten 8-monatigen Aufenthalt in Singapur zu verhindern. Die Penetrationstests werden von der Navy regelmäßig für die ganze Flotte und einzelne Schiffe durchgeführt.

Die von Lockheed hergestellte USS Freedom ist das erste Schiff einer neuen hochmodernen Flotte der US Navy.

Quelle: huffingtonpost