“Berlin – Als wichtiges Instrument im Kampf gegen den internationalen Terrorismus wurde sie gepriesen, doch bisher hat das Bundeskriminalamt (BKA) keine einzige Online-Durchsuchung durchgeführt. Seit Inkrafttreten des Gesetzes Anfang 2009 hat die Behörde das umstrittene Werkzeug nicht genutzt, wie aus der Antwort der Bundesregierung auf eine kleine Anfrage der Linken-Bundestagsfraktion hervorgeht, die dem Tagesspiegel vorliegt. Dabei hat das Bundeskriminalamt in den vergangenen anderthalb Jahren bereits rund 700 000 Euro investiert, um Online-Durchsuchungen durchführen zu können. Nach Angaben von Innen-Staatssekretär Ole Schröder (CDU) gab das BKA bis heute 101 582 Euro für die Bereitstellung der technischen Mittel aus, hinzu kamen 581 000 Euro an Personalkosten. [...]”
Archiv für die 'Sicherheit' Kategorie
“IP-Adressen gelten seit Jahren als universelles Beweismittel zur Aufklärung von Straftaten im Internet. Ihre Aussagekraft steht jedoch auf wackeligen Füßen, denn sie sind nur so eindeutig wie die Routing-Informationen der Provider – und die sind manipulierbar.
Ein chinesischer Provider verdeutlichte vor wenigen Wochen erneut die Verletzbarkeit des BGP-Systems (Border Gateway Protocol), auf dem das gesamte Routing im Internet basiert. BGP-Nachbarn (sogenannte “Peers”) vertrauen einander – und darauf, dass annoncierte Routen ihre Richtigkeit haben. Dass dem nicht immer so ist, zeigt nicht nur der jüngste Vorfall. Bereits Anfang 2008 hatte ein pakistanischer Provider mittels BGP YouTube praktisch aus dem Internet verschwinden lassen.
Solche Vorfälle wecken Zweifel am “Beweismittel IP-Adresse”. Die Strafverfolgung konzentriert sich ausschließlich auf IP-Adressen (in Verbindung mit Zeitstempeln zur Vermeidung von Fehlern in dynamisch zugewiesenen Adressbereichen). Kein Gegenstand der Untersuchung ist jedoch, ob eine IP-Adresse zum Zeitpunkt der Straftat durch gefälschte BGP-Routen “entführt” worden war. [...]
Nur in Verbindung mit vollständigen BGP-Routing-Informationen beider involvierter Provider zum Zeitpunkt der Straftat kann eine IP-Adresse allein so aussagekräftig sein, wie es ihr derzeit in der Praxis und entgegen dem Prinzip “in dubio pro reo” zugebilligt wird. [...]”
“China gilt oft als größte Versandnation für Spam – zu Unrecht, so eine neue Untersuchung, denn die meisten ungewünschten Werbemails stammen weiterhin von US-Servern. Ein weiteres Ergebnis: Statt auf Massenmails setzen immer mehr Versender auf aufwendige, täuschend echt wirkende Nachrichten.”
“Wie sinnvoll und effektiv ist ein Kopierschutz für digitale Medien? Im Gespräch bewertet der Jurist Julius Mittenzwei den Nutzen von Digital-Rights-Management-Systemen. Er ist Mitglied im Chaos Computer Club, der sich für grenzüberschreitende Informationsfreiheit einsetzt. [...]
Im Bereich von Musik ist Kopierschutz bereits so gut wie tot. Alle großen Anbieter haben mittlerweile auf Dateiformate ohne Kopierschutz umgestellt. Langfristig wird diese Entwicklung auch im Bereich von Filmen zu beobachten sein. Spannend wird sein, ob die Verlagsbranche aus den Fehlern der Musikindustrie lernt und mit zukunftsfähigen Geschäftsmodellen aufwartet, bevor sämtliche Marktanteile an Tauschbörsen verloren sind.”
“Offensichtlich über falsch konfigurierte Peer-to-Peer-Software sind Daten von knapp 100 US-Unternehmen, Schulen und Behörden in Tauschbörsen gelangt. Die Aufsichtsbehörde Federal Trade Commission warnt, die personenbezogenen Daten könnten für Identitätsdiebstahl genutzt werden.
Datenleck in den USA: In Peer-to-Peer-Tauschbörsen (P2P) sind Daten über Kunden und Angestellte von knapp hundert Organisationen aufgetaucht. Darunter sind auch vertrauliche Daten. Die US-Aufsichtsbehörde Federal Trade Commission (FTC) hat die Betroffenen informiert.
[…]
Die FTC geht davon aus, dass nicht Eindringlinge die Daten gestohlen haben, sondern dass sie den Nutzern der P2P-Börsen versehentlich zugänglich gemacht wurden.
[…]
Betroffen waren laut FTC unterschiedliche Organisationen: Lokalbehörden und Schulen ebenso wie Kleinunternehmen mit einer Handvoll Mitarbeitern und Großunternehmen.”
“In Lettland ist eine gigantische Datensicherheitslücke bei der staatlichen Steuerbehörde aufgeflogen. Laut einem Fernsehbericht könnten Millionen sensibler Datensätze in die Hände von Internet-Kriminellen geraten sein.
Der lettische Wirtschaftsminister Einars Repse erklärte das Leck am Montag für gestopft und versprach Aufklärung. Am Mittwoch will sich das Nationale Sicherheitskomitee in Riga mit der Affäre beschäftigen. [...]
Es sei aus dem Internet kinderleicht möglich gewesen, sich über eine elektronische Steuererklärungsmaske jeden beliebigen Datensatz mit Finanz- und Personenangaben von Unternehmen, Staatsbeamten und Privatpersonen zu beschaffen.
Die Rede war von 7,4 Millionen Datensätzen aus drei Monaten. Bisher ist unklar, ob und wie viele sensible Informationen in die Hände Krimineller geraten sind. Der lettischen Staatspolizei zufolge ist es zumindest möglich, dass Datensätze gestohlen wurden und zu kriminellen Zwecken missbraucht werden könnten.”
Wie einige russische Publikationen berichten wurde gestern auf mehreren Anzeigeltafeln in der Moskauer Innenstadt ein zweiminütiges pornographisches Video gezeigt.
Vor dem Serpuchow-Tunnel auf dem Gartenring kam es zu einem Stau, weil die Autofahrer ihre Wagen anhielten und wie gebannt auf die Werbewand guckten.
Der Betreiber “3 Stars” spricht von einem “hochprofessionellen” Hackerangriff. Wer hinter dem Angriff steht wird derzeit untersucht. Gerüchten zufolge soll es sich um einen Mitarbeiter handeln der noch auf austehende Gehälter wartet.
“Fraunhofer SIT hat einen Weg vorgestellt, wie ein Angreifer die PIN für die BitLocker-Laufwerkverschlüsselung unter Windows ausspähen kann – und das trotz TPM-geschütztem Boot-Vorgang. Der Trick: Ein Angreifer mit Zugriff auf den Zielrechner bootet einfach von einem USB-Stick und tauscht den BitLocker-Bootloader gegen einen eigenen Bootloader aus, der dem Anwender die Original-PIN-Abfrage von BitLocker vorgaukelt, eingegebene PINs aber im Klartext auf der Platte ablegt.”
“Die Bundesregierung will im kommenden Jahr den Kampf gegen infizierte Computer von Heimanwender aufnehmen. Dazu will man schon in der ersten Jahreshälfte 2010 eine Beratungsstelle einrichten, die Anwender dabei unterstützen soll, ihren Rechner von Viren und Bots zu befreien. Dem gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Verband der deutschen Internetwirtschaft (eco) entwickelten Konzept zufolge hätten Internetzugangsanbieter (ISPs) längst die technische Möglichkeit, vireninfizierte Rechner bei ihren Kunden durch Analyse des Netzwerkverkehrs auszumachen. Das BSI und eco stellen das Projekt beim heutigen vierten nationalen IT-Gipfel in Stuttgart vor.
Laut dem Plan sollen die Provider ihre Kunden auf die Bot-Infektion ihres PCs hinweisen – etwa per Post oder Telefon. Angedacht ist auch eine Internetseite, die sich bei jeder Einwahl ins Netz automatisch aufbaut, falls auf dem Rechner Schädlinge lauern. Vor der Umsetzung des Vorhabens soll jedoch noch geklärt werden, mit welchen Sanktionen Kunden rechnen müssen, die eine Zusammenarbeit mit den jeweiligen Internetdienstleistern verweigern.”
“Das Open Web Application Security Project (OWASP) hat seine Top Ten der Schwachstellen in Webanwendungen veröffentlicht. Wenig überraschend liegen auf der ersten drei Plätzen SQL-Injection, Cross-Site-Scripting und Fehler im Session Management. Direkte Zugriffe auf Objekte in der Serverstruktur ohne Authentifizierung, etwa durch Manipulation einer URL, liegen auf Platz vier, gefolgt von Cross Site Request Forgery auf Platz fünf.”
· Microsoft’s security patches year in review: A malware researcher’s perspective
· A closer look at Red Condor Hosted Service
· Report: RSA Conference Europe 2009, London
· The U.S. Department of Homeland Security has a vision for stronger information security
· Q&A: Didier Stevens on malicious PDFs
· Protecting browsers, endpoints and enterprises against new Web-based attacks
· Mobile spam: An old challenge in a new guise
· Report: BruCON security conference, Brussels
· Study uncovers alarming password usage behavior
· Elevating email to an enterprise-class database application solution
“Die Bundesregierung schafft eine neue Generation von Smartphones an, die durch starke Verschlüsselung vertrauliche Kommunikation gewährleisten soll. Beauftragt wurde die Telekom-Großkundensparte T-Systems. [...]
Das Unternehmen Rohde & Schwarz SIT hatte Ende Oktober 2009 angekündigt, dass das Beschaffungsamt des Bundesinnenministeriums einen Rahmenvertrag über die Lieferung von mehreren tausend Verschlüsselungsgeräten für Mobiltelefone mit der Firma abgeschlossen habe.
TopSec Mobile © Rohde&Schwarz
Topsec Mobile sei für VS-NfD (Verschlusssache – nur für den Dienstgebrauch) zugelassen und erfülle damit die Sicherheitsstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Über eine Bluetooth-Schnittstelle lässt sich das Gerät mit dem Mobiltelefon verbinden. [...]”