Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

47. Newsletter - sicherheitskultur.at - 30.09.2010

von Philipp Schaumann


Hier die aktuellen Meldungen:

1. Datenlöschung
-------------------
Mal wieder ein Artikel zur sicheren Löschung von Festplatten. Der Autor bestätigt, dass bei
modernen Festplatten einmaliges Überschreiben reicht.
     http://blogs.techrepublic.com.com/security/?p=4351&tag=nl.e036


2. Neues aus der Kriminalität
-----------------------------
Recht traurige Zahlen:
Das deutsche BKA erwartet 15 Millionen Euro Schaden beim Online-Banking
    http://bka.de/pressemitteilungen/2010/pm100906.html
    http://www.heise.de/security/meldung/BKA-und-Bitkom-17-Millionen-Euro-Schaeden-durch-Phishing-1073002.html

Der BKA Jahresbericht 2009 zur Finanzkriminalität 
    http://bka.de/profil/zentralstellen/geldwaesche/pdf/fiu_jahresbericht_2009.pdf
Viele Statistiken zu Betrugsproblemen, Vorauszahlungsbetrug, Geldwäsche, Phishing,
Money-Mules/Finanzagenten.

KPMG schätzt die Schäden in D. auf 10 Milliard. Euro pro Jahr.
e-Crime Studie 2010 - Computerkriminalität in der d.Wirtschaft
    http://www.kpmg.de/docs/20100810_kpmg_e-crime.pdf
http://www.heise.de/security/meldung/Neue-Zahlen-zur-Online-Wirtschaftskriminalitaet-1070929.html

Norton Cybercrime Report 2010: 
    http://www.symantec.com/de/de/about/news/release/article.jsp?prid=20100908_01

3. Aus der Welt der Business Continuity
-----------------------------------------------
Die Behörden des US-Bundesstaats Virginia waren 6 Tage ohne IT weil in den EMC
Geräten 2 Chips ausgefallen sind. Beeindruckende Story !
    http://blogs.techrepublic.com.com/networking/?p=3320&tag=nl.e036
weitere Links im Artikel

4. Gute Tipps auch  für EDV-Laien
------------------------------
   https://www.botfrei.de/
Dort gibt es Hinweise was Botnets sind, wie man sich gegen Botnets schützen kann und wie 
man infizierte Rechner säubern kann. Jede Menge hilfreiche Links, auch auf kostenlose Angebote.

5.Quantum Hacking cracks quantum crypto
-------------------------------------------
Das betrifft uns alle wohl zum Glück noch nicht, zeigt aber, dass selbst absolut unverwundbare
Sicherheitssysteme Implementierungsschwächen haben können.
   http://blogs.techrepublic.com.com/security/?p=4371

6. Aus der Welt der Industrie-Spionage
-----------------------------------------
Siemens hat in seiner SCADA Software hardcoded-passwords für den Zugriff der Applikation
zur MS-SQL-Datenbank. Und jemand hatte bereits vor Jahren das Passwort in einem Support-Blog 
veröffentlicht. Und Siemens sagt, bitte bitte nicht ändern, sonst geht ja die Applikation (z.B. das
Kraftwerk) nicht mehr.
    http://www.networkworld.com/news/2010/072010-eset-discovers-second-variation-of.html
Und damit die Schadsoftware die dieses Passwort ausnutzt um die Spionage zu betreiben
auch sauber installiert haben sich die Angreifer die Mühe gemacht und die Software sauber
digital signiert und zwar mit (vermutlich gestohlenen) privat keys von Taiwanesischen Herstellern.
Deren Keys sind jetzt natürlich weltweit auf der Revocation List. 

Und über den ganzen Monat gab es dann Aktualisierungen. Der heutige Stand ist
dass viel dafür spricht, dass die Urananreicherungsanlage im Iran seit Mitte 2009 technische
Probleme hat (23% der Zentrifugen sind nicht in Betrieb). Die Details sind und viele viele
Links zu viele mehr Details sind auf
   http://sicherheitskultur.at/notizen_1_10.htm#stux


7. noch mal Thema Signatur
------------------------------
Secorvo Newsletter berichtet von einer guten Nachricht:
Der Rat der Europäischen Gemeinschaft hat am 13.07.2010 Vereinfachungen der Richtlinie über 
das gemeinsame Mehrwertsteuersystem (2006/112/EG) erlassen. Diese betreffen auch die 
vereinheitlichten Anforderungen an die elektronische Rechnungsstel-lung. Entscheidend ist die 
Änderung des Art. 233 Abs. 1, der bislang die Verwendung einer qualifizierten elektronischen 
Signatur oder die Nutzung des EDI-Verfahrens vorgab. Nun stellt sie dem einzelnen 
Steuerpflichtigen frei, mit welchen Mitteln er Authentizität, Integrität und Lesbarkeit der Rech-
nung vom Ausstellungszeitpunkt bis zum Ende der Aufbewahrungsfrist sicherstellt. Auch der 
Einsatz organisatorischer Kontrollmittel soll zulässig sein, solange eine verlässliche 
Buchungskontrolle zwi-schen dem Waren- oder Dienstleistungsbezug und der Rechnung 
gewährleistet wird.
Das heißt, die entsprechenden lokalen Gesetze werden geändert werden müssen.
      http://register.consilium.europa.eu/pdf/en/10/st10/st10858.en10.pdf


8. Verschlüsselungsalgorithmen und Virtualisierung
-----------------------------------------------------------
Ebenfalls Secorvo:
State of the Crypto-Art
vom bundesdeutschen BSI: Übersicht über geeignete Crypto Algorithmen und Schlüssellängen
   http://www.bundesnetzagentur.de/cae/servlet/contentblob/148572/publicationFile/3994/2010AlgoKatpdf.pdf
Der Draft der NIST Special Publication 800-131 zum gleichen Thema
    http://csrc.nist.gov/publications/drafts/800-131/draft-sp800-131_spd-june2010.pdf

NIST „Guide to Security for Full Virtualization Technologies“
http://csrc.nist.gov/publications/drafts/800-125/Draft-SP800-125.pdf


9. Multifunktionsdrucker über Google-Suche
----------------------------------------------
Eine Suche wie “Estimate only. Actual ink levels may vary.” führt zum Admin-Interface der
Geräte. Dort kann man dann ganz oft Administrator spielen und einigen Schaden anrichten.
Natürlich bitte nicht bei fremden Geräten ausprobieren !!!
   http://blogs.techrepublic.com.com/security/?p=4384&tag=nl.e036

10. Kryptologie
----------
Ein E-Learning-Programm, mit dem kryptographische Verfahren angewendet und 
analysiert werden können
    http://www.cryptool.org/
  

11. Neu auf sicherheitskultur.at
---------------------------------------
Die Unterwelt macht sich dran, die Handy-TANs auszuhebeln. Sie nutzt dafür, dass
Smartphones ziemlich leicht infiziert werden können. Hier die Details
    http://sicherheitskultur.at/man_in_the-middle.htm#infizhandy

Social Engineering Tests führen zu peinlichen Ergebnissen (das tun sie fast immer)
    http://sicherheitskultur.at/notizen_1_10.htm#pein2

Das leidige Thema Internetsperren wird ständig aktualisiert. Es gibt Studien dass
das Sperren nicht viel bringt, und das Löschen überraschend einfach ist und Berichte,
dass die USA DNS-Manipulationen auch gegen Raubkopierer einsetzen wollen
    http://sicherheitskultur.at/notizen_1_10.htm#loeschakt

Ich habe zusammengestellt, wo Personen sich hinwenden können, wenn sie "illegales"
im Internet finden oder Opfer werden
    http://sicherheitskultur.at/hilfe_im_internet.htm

 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.