http://cert.uni-stuttgart.de/ Fremde Seiten, die das RUS-CERT interessant findet. http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html Der IT-Sicherheitsexperte Moxie Marlinspike mit seinem Projekt <em>CloudCracker</em> einen Dienst anbietet, der verspricht, "jeden <a href="http://de.wikipedia.org/wiki/PPTP">PPTP</a>-Zugang innerhalb eines Tages zu knacken". Die Heise-Redaktion hat den Dienst ausprobiert, mit höchst erschreckendem Ergebnis: Zwar hat das Knacken des PPTP-Zugangs zum Heise-LAN runde 36 Stunden gedauert, also etwas länger als versprochen, dennoch konnte der Redakteur danach problemlos den geknackten Zugang verwenden. Die Tauglichkeit des Protokolls für die Absicherung von VPN-Verbindungen muss daher als nicht mehr gegeben angesehen werden. (heise) http://www.secalert.net/post.php?id=35 Eine Schwachstelle im Skype Client 5.5 ermöglicht es einem Angreifer, das Skype-Konto eines betroffenen Benutzers unter seine Kontrolle zu bringen. Durch einen Entwurfsfehler werden bei der Benutzung der Facebook-Pinnwand- oder Kommentarfunktion die Sitzungsdaten für Dritte sichtbar, so dass das Konto des Benutzers übernommen werden kann. Die Schwachstelle wurde durch die neue Version, die diese Facebook-Funktionen erstmals anbietet, neu eingeführt. (Secalert.net) http://www.heise.de/security/meldung/Android-Apps-senden-Authentifizierungstoken-unverschluesselt-1243829.html Verschiedene Applikationen für das Smartphonebetriebssystem Android senden Authentifizierungsdaten (AutheToken), die das Telefon bei der Anmeldung beim Google-Server erhalten hat, in un- oder nicht individuell verschlüsselten (alle Teilnehmer verwenden denselben Schlüssel) im Klartext. Dies erlaubt Dritten das Token abzufangen und mit seiner Hilfe auf alle persönlichen Daten, die über die Google-API verfügbar sind zugreifen. Siehe hierzu auch <a href="http://www.uni-ulm.de/en/in/mi/staff/koenings/catching-authtokens.html">Catching AuthTokens in the Wild The Insecurity of Google's ClientLogin Protocol</a> des Instituts für Medieninformatik der <a href="http://www.uni-ulm.de/">Universität Ulm</a>. (heise) http://www.heise.de/security/meldung/Android-Malware-abonniert-Premium-SMS-Dienste-1243540.html Malware auf Mobiltelefonen ist bereits seit einiger Zeit bekannt, die technische Ausgreiftheit und der Trickreichtum bei ihrer Verbreitung wachsen jedoch unaufhörlich. Eine ganze Reihe von Schädlingen verbreitet sich ungeniert über Googles Appstore und zeigt so nebenbei wieder einmal das grundlegende Sicherheitsproblem dieses Marketinginstrumentes. Aktuelle Malware zielt auf Smartphone-Nutzer, die sich in chinesischen Netzen aufhalten. Sie sendet heimlich Nachrichten an Premium-SMS-Dienstleister und schließt dort Abonnements ab. Um die Aktion zu verschleiern überwacht sie anschließend den SMS-Eingang und löscht die Bestätigungsnachricht des Anbieters. Google hat die bekannten Apps aus dem Store gelöscht, allerdings ist unbekannt, wie lange dies gedauert hat. (heise) http://www.imperialviolet.org/2011/03/18/revocation.html Adam Langley beschreibt, wie verschiedene Browser mit <a href="http://de.wikipedia.org/wiki/Zertifikatsperrliste">Certificate Revocation Lists</a> (CRLs) umgehen und warum sie nicht funktionieren: entweder die SSL-Zertifikate funktionieren nicht wenn der CRL Server nicht erreichbar ist, oder ein <a href="http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff">Man-in-the-middle-Angriff</a> kann die CRL umgehen indem er vortäuscht, der Server sei nicht erreichbar. http://marc.info/?l=openbsd-tech&m=129236621626462&w=2 Theo de Raadt schreibt in der OpenBSD-Tech-Mailingliste, Hinweise erhalten zu haben, dass verschiedene ehemalige Entwickler des IPsec-Stacks für OpenBSD zwischen 2000 und 2001 von US-Regierungsbehörden Geld erhalten haben, Hintertüren in die Implementierung einzubauen. Nachdem die OpenBSD-Implementierung die erste freie IPsec-Implementierung war, fand deren Code weite Verbreitung. Er schreibt weiter, dass er diesen Hinweis zwar von einer ihm persönlich bekannten Person erhalten hat, sich aber nicht an irgendwelchen Verschwörungstheorien diesbezüglich beteiligen will. Er empfiehlt jedoch allen Entwicklern, die entsprechenden Code verwenden, diesen auf entsprechende Anzeichen zu untersuchen. http://packetstormsecurity.org/ Das IT-Sicherheitsportal <em>Packet Storm</em> hat seinen Webauftritt überarbeitet und bietet gemäß dem Grundsatz der <em>Full Disclosure</em> leichten Zugriff auf archivierte Sicherheitsadvisories, Exploits, Whitepapers, Sicherheitswerkzeuge und Nachrichten aus dem Umfeld der IT-Sicherheit. https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Cloud_Computing_28092010.html Das Bundesamt für Sicherheit in der Informationstechnik hat ein <a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Sonstige/Cloud_Computing_Mindestsicherheitsanforderungen.pdf?__blob=publicationFile#download=1">Eckpunktepapier</a> zur IT-Sicherheit beim Cloud Computing veröffentlicht und zur Diskussion gestellt. Dabei wird besonders das Thema IT-Sicherheit in Public Clouds beleuchtet. Interessierte können bis zum 3. Januar 2011 Kommentare zum Papier abgeben, die entweder direkt ans BSI geschickt (cloudsecurity@bsi.bund.de) oder in ein <a href="http://www.xing.com/net/itgrundschutz/cloud-security-553718/">XING-Forum des BSI</a> gestellt werden können. http://www.heise.de/newsticker/meldung/Google-gibt-Windows-den-Laufpass-1012634.html Nachdem bei Google im Februar durch L&uuml;cken im Internet Explorer einen Einbruch stattfand, will der Suchmaschinengigant Microsoft Windows jetzt nur noch mit spezieller Genehmigung als Betriebssystem auf PCs von Mitarbeitern zulassen. (heise) (2010-06-01) http://www.heise.de/security/meldung/Deutschland-Zentrale-gegen-Botnetze-geplant-879580.html Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verband der deutschen Internetwirtschaft (eco) wollen eine Zentrale aufbauen, die Internetnutzer, deren Systeme als bot-infiziert erkannt wurden, informieren. Das Projekt wird auf dem derzeit in Stuttgart stattfindenden IT-Gipfel vorgestellt.