Domain-Marktplatz Sedo wurde angegriffen, Mail-Adressen entwendet

14. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Der Domain-Marktplatz Sedo wurde Opfer eines Angriffs. Unbekannte Angreifer haben am 12. April über eine bisher unbekannte Sicherheitslücke den Service kompromittiert. Hierdurch wurde der unautorisierte Versand einer E-Mail mit dem Betreff „Bestätigung Ihrer E-Mail-Adresse“ an einen kleinen Teil der Kundschaft ausgelöst, wie man seitens Sedo mitteilte. Eine genaue Anzahl der Betroffenen nennt das Unternehmen nicht.

Login Account

Eine Überprüfung habe ergeben, dass es dem Angreifer gelungen ist, ausschließlich in den Besitz der betroffenen E-Mail-Adresse zu gelangen. Weitere Daten sind laut Sedo nicht kompromittiert worden, d.h. keine Passwörter oder sonstige Account-Daten. Das Sicherheitsleck wurde direkt nach Angriff geschlossen und weitere Datenabgriffe konnten erfolgreich abgewehrt werden.

Heartbleed: Hacker schnappt sich die SSL-Schlüssel von CloudFlare

12. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Das ging schnell: Gestern noch lehnte man sich beim Content Distribution Network aus dem Fenster und relativierte – im eigenen Fall – den OpenSSL-Bug Heartbleed. Mir selber fällt kaum eine größere Internet-Katastrophe ein, doch bei CloudFlare war man sich sicher: so leicht ist das Abfischen privater SSL-Schlüssel auf keinem Fall.Heartbleed

NSA soll OpenSSL-Bug Heartbleed 2 Jahre lang ausgenutzt haben

11. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

Wie es aussieht hat ein Programmierfehler dafür gesorgt, dass die NSA zwei Jahre lang eine Backdoor auf Servern mit OpenSSL hatte und diese auch genutzt hat. Dass die katastrophale Sicherheitslücke keine absichtliche Backdoor war, sondern schlicht ein Programmierfehler, sagte auch der Ex-Professor von Robin Seggelmann (sorgte für den Fehler) heute im Wall Street Journal. Bloomberg berichtet jetzt über die Ausnutzung der Lücke durch die NSA.

Heartbleed_NSA

CloudFlare: Heartbleed OpenSSL-Lücke weniger schlimm als befürchtet?

11. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

Der Heartbleed Bug sorgt schon die ganze Woche für Schlagzeilen. Durch eine Lücke in OpenSSL soll es möglich sein, unter anderem private SSL-Keys von Servern abzugreifen und somit den verschlüsselten Datenverkehr für Angreifer sichtbar zu machen. Eine Katastrophe, wird OpenSSL von unzähligen Diensten. CloudFlare wusste seit 12 Tagen von der Lücke und hat seitdem getestet, wie und ob sich mit dem Heartbleed Bug tatsächlich private SSL-Keys abgreifen lassen.

Heartbleed

Das Ergebnis lässt etwas hoffen, laut CloudFlare sei es in den 12 Tagen nicht gelungen, SSL-Keys durch Angriffe von den Servern zu holen. Das heißt nun nicht, dass der Bug nicht existiert und eine theoretische Chance zur Erlangung der SSL-Keys besteht trotzdem, aber es scheint zumindest im Fall CloudFlare nicht so einfach zu sein, wie bisher angenommen. Dennoch können durch diese Lücke natürlich Daten von den Servern entwendet werden.

Passwort Manager: RoboForm verschenkt Jahreslizenz für RoboForm Everywhere

11. April 2014 Kategorie: Backup & Security, Software & Co, geschrieben von: caschy

Im Zuge des OpenSSL-Bugs versuchen die diversen Passwort Manager neue Kunden für sich zu gewinnen, so gibt es derzeit zum Beispiel 1Password 50 Prozent günstiger, RoboForm verschenkt gar eine Jahreslizenz von RoboForm Everywhere. Hierbei handelt es sich um eine Lösung, bei der die Logins verschlüsselt in der Cloud gespeichert werden – ähnlich LastPass.

Bildschirmfoto 2014-04-11 um 12.46.31

Hierzu gibt es dann die entsprechende Software auf den diversen Plattformen, so gibt es Clients für OS X, iOS, Android, Windows – und dies sogar als portable Windows-Variante. Ebenfalls stehen Browser-Erweiterungen zur Verfügung. Ich selber kann zu RoboForm nichts sagen, da ich immer nur KeePass, LastPass und 1Password im Fokus hatte.  Die Jahreslizenz kostet ansonsten 20 Dollar und freigeschaltet wird über das Hilfe-Menü der Software. Der Key lautet 4ZF-R7Z-XWY-MUJ, wie auch auf der Aktionsseite beschrieben.

Heartbleed: 1Password für iOS, Windows und OS X um 50 Prozent reduziert

11. April 2014 Kategorie: Android, Apple, Backup & Security, iOS, Windows, geschrieben von: caschy

Kurz notiert: Agile Bits hat den Passwort-Manager 1Password für Windows und OS X um satte 50 Prozent reduziert. So bekommt man derzeit das komplette Bundle, bestehend aus OS X- und Windows-App für 34,99 Dollar, während man für die Einzel-App jeweils 24,99 Dollar zahlen würde.

1password

Google weitet Sicherheits-Service für Android aus

10. April 2014 Kategorie: Android, Backup & Security, Mobile, geschrieben von: Sascha Ostermaier

Google scannt bei der Installation von Apps auf einem Android-Gerät immer, ob die Installations-Datei nicht Schadcode mit sich führt. Nach der Installation ist Googles Arbeit dann getan und die App kann machen, was sie will. Diesen Service weitet Google nun aus und scannt die Android-Geräte kontinuierlich nach Apps, die sich nicht ordentlich benehmen. Ein Großteil der Nutzer wird nie eine Warnmeldung von Google zu Gesicht bekommen. Wie Google nämlich mitteilt, installieren nur 0,18% der Nutzer eine App, nachdem sie eine Warnung des App Verify Service erhalten haben. Interessant wird die Sache mit Apps, die im Nachhinein Schadcode in die App laden. Hier sollte Googles erweiterter Sicherheitsmechanismus dann greifen. Das ganze Sicherheitssystem (Überprüfung während und nach der Installation) funktioniert mit Android 2.3 oder höher, falls der Play Store auf dem Gerät vorhanden ist. Nutzer müssen für dieses Sicherheits-Feature nichts extra installieren, Google macht diese Überprüfungen automatisch.

Google_Verify_Apps

OpenSSL-Sicherheitslücke Heartbleed: Synology stellt DSM-Updates bereit

10. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Alle von euch dürften die OpenSSL-Sicherheitslücke mitbekommen haben, die auf den Namen Heartbleed getauft wurde. Heartbleed macht es bei ungepatchten Servern möglich, Inhalte aus einem Speicherbereich auszulesen. Zu diesen Daten können Cookies gehören, aber auch Passwörter und Nutzernamen im Klartext. Auch Synology hat nun für seine DiskStations ein Update auf die Version 5.0-4458 Update 2 veröffentlicht.

dsm update synology

Dieses Update behebt nicht nur diese Sicherheitslücke, sondern schließt auch eine weitere, bei der verschlüsselte Shared Folders automatisch wieder gemountet wurden, nachdem das Passwort des Administrators zurückgesetzt wurde. Ebenfalls behoben wurde das Problem, dass das Indexing der Media Library grundlos stoppen konnte. Ihr seht, das Update ist eine Pflichtveranstaltung, schnappt euch eure DiskStation, loggt euch in den DiskStation Manager ein, der in der Systemsteuerung schon eine Meldung von sich geben sollte, dass ein Update zur Installation bereits steht.

LastPass mit Heartbleed Prüf-Tool

9. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Eine dicker Bug in einer OpenSSL Library erschüttert immer noch das Internet. Heartbleed macht es bei ungepatchten Servern möglich, Inhalte aus einem Speicherbereich auszulesen. Zu diesen Daten können Cookies gehören, aber auch Passwörter und Nutzernamen im Klartext – wie zum Beispiel im Fall von Yahoo. Konkret waren auch die Server des Passwort Managers LastPass betroffen, was im konkreten Fall aber kein Abfischen von unverschlüsselten Nutzerdaten möglich machte, da die Struktur der Server dahingehend abgesichert ist (siehe auch dieser Beitrag).

Bildschirmfoto 2014-04-09 um 22.32.37

Das Problem ist halt: Nutzer können ihre Passwörter zwar ändern, was bei nicht gepatchten Server allerdings nur wenig bringen dürfte. LastPass hat nun im Optionsmenü ein Heartbleed-Prüftool integriert. Dieses Tool zeigt an, ob ihr in eurer Datenbank Zugangsdaten von Diensten habt, deren Server betroffen sind, ferner zeigt das Tool an, wann ihr euer Passwort zuletzt geändert habt und wann die Zertifikate des Servers aktualisiert wurden. Sofern die Zertifikate aktualisiert und der Bug behoben ist, weist LastPass darauf hin, die Passwörter zu ändern. Übrigens: auch Google musste eifrig Dienste patchen – und man ist immer noch dabei.

BoxCryptor: Verschlüsselungsprogramm erscheint heute für Windows RT, BlackBerry 10 und Windows Phone

9. April 2014 Kategorie: Backup & Security, Software & Co, geschrieben von: caschy

Die aus Deutschland stammende Sicherheitslösung zum Verschlüsseln von Dateien in der Cloud – Boxcryptor – die hier im Blog schon einige Male Gast war, wird heute für Windows Phone, Windows RT und Blackberry 10 erscheinen, dies teilte man heute mit.

BoxCryptor-Windows-Phone



Seite 3 von 135123456...Letzte »