AOL
In den Nachrichten der vergangenen Woche ging es nach wie vor um OpenSSL und den Heartbleed-Fehler. Aber es gab auch weitere Schalgzeilen, unter anderem zum Verschlüsselungsproblem in iOS und OSX von Apple, einem Hacker-Einbruch bei AOL und einem Hacker-Angriff auf die Iowa State University, über den die Angreifer die Computer der Uni zum Bitcoin Mining missbrauchen wollten.
Die Geschichte geht weiter
Auch in der letzten Woche wurde erneut viel über den Umfang und Gefährlichkeit der Heartbleed-Sicherheitslücke in OpenSSL diskutiert. Viel davon drehte sich um die langfristigen Perspektiven für das digitale Zertifikatssystem, auf dem im Grunde das Vertrauen im Internet aufbaut, das aber auch mit der Effizienz und den Fallstricken der Verschlüsselung zu tun hat.
Allerdings war das Ganze in der letzten Woche anders als in den Wochen zuvor, denn es schien, als würden Firmen zum ersten Mal nach Möglichkeiten suchen, solche Sicherheitslücken in Zukunft gar nicht erst entstehen zu lassen.
Eine neue Kooperation mit dem Namen Core Infrastructure Initiative bündelt Ressourcen, um einen Multimillionen-Dollar-Fond aufzubauen, der Open-Source-Projekte unterstützen soll, die für die Sicherheit im Internet wichtig sind. OpenSSL ist das erste Projekt, das daraus Gelder erhalten soll, die vor allem von der Linux Foundation, Microsoft, Facebook, Amazon, Dell, Google und einigen anderen bekannten Technologiefirmen kommen. Auch die Mozilla Corporation reagiert mit einem neuen, speziellen Belohnungsprogramm, über das Forschern, die eine ernste Sicherheitslücke in der neuen Zertifikatsverifizierungs-Library für die im Sommer kommende Firefox-Version 31 finden, 10.000 Dollar ausgezahlt werden sollen.
Apple repariert SSL in iOS und OSX
Ähnlich, aber ohne Zusammenhang zu Heartbleed, ist die ernste Sicherheitslücke, die Apple in der vergangen Woche repariert hat, und die in vielen Versionen von iOS und OSX zu finden war. Die Sicherheitslücke kann einem Angreifer ermöglichen, Daten aus eigentlich SSL-verschlüsselten Verbindungen auszulesen. Damit kann ein Angreifer den Inhalt von Nachrichten mitlesen – egal um welche Art vertraulicher Nachrichten es sich handelt.
Der Fehler ist einer von vielen in den beiden Betriebssystemen, die das Unternehmen am Dienstag repariert hat. Neben der SSL-Lücke sind eine Reihe weiterer ernster Fehler gelöst worden. Wenn Sie also mit einem Mac arbeiten (oder spielen), sollten Sie so schnell wie möglich die Betriebssystem-Updates aus dem App Store herunterladen und installieren.
Das eigentlich ruhige AOL sorgte für Aufruhr
Ich bin nicht sicher, wie hoch der Anteil von AOL in der E-Mail-Branche ist (und Sie können mir glauben, dass ich danach gesucht habe), doch eine unbekannte Anzahl von Mail-Konten von AOL-Nutzern wurden in der vergangenen Woche „hereingelegt“. Als die Konten kompromittiert waren, starteten die Angreifer oder das verantwortliche Botnetz einen massenhaften Spam-Versand an die Kontakte der gehackten Konten. AOL hat den Hack bestätigt, wobei AOL das Ganze nicht als Hack bezeichnet. Zudem ist nicht klar, wie viele Nutzerkonten betroffen waren und wie viele Spam-Mails verschickt wurden. Komisch ist, dass AOL behauptet, dass die E-Mail-Konten wahrscheinlich nicht kompromittiert worden sind, sondern wohl eher mit einer so genannten Spoofing-Attacke hereingelegt wurden.
Wie AOL anmerkte, werden bei einer Spoofing-Attacke Spam-Mails verschickt, die so aussehen, als kämen sie von einem bestimmten Absender, in Wirklichkeit sind sie aber vom Mail-Konto und über die Server der Spammer verschickt worden. AOL sagt also, dass keine Konten im großen Stil gehackt wurden, sondern dass die Angreifer nur die Konten der Opfer nachgemacht hätten. Diese Aussage erklärt jedoch nicht, wie die Angreifer an die Kontakte der Opfer gekommen sind, was bedeutet, dass vielleicht doch etwas mehr dahinter steckt.
SMS-Trojaner in den USA (und anderen Ländern)
SMS-Trojaner, die Premium-SMS verschicken, sind nichts Neues. Die Masche läuft etwa so: Angreifer bringen ihre Opfer dazu, einen Trojaner auf ihr Handy herunterzuladen. Der Trojaner erhält dabei die Erlaubnis, SMS-Nachrichten vom infizierten Gerät zu versenden und schickt SMS an einen Premium-Dienst, der entweder von den Angreifern kontrolliert wird oder jemandem gehört, der die Angreifer bezahlt.
Die Kosten für diese SMS-Nachrichten tauchen dann auf der nächsten Mobilfunkrechnung der Opfer auf.
Wie schon gesagt, gibt es diese Masche schon lange. Kurios ist allerdings, dass solche SMS-Trojaner bisher nicht in den USA aufgetaucht sind. Doch das hat sich in der letzten Woche geändert, wie Securelist berichtete, und der erste Android-SMS-Trojaner wurde in den USA entdeckt.
Und wie wenn ihm der Status als erster SMS-Trojaner, der Android-Nutzer in den USA angreift, nicht reichen würde, zielt FakeInst, wie der Trojaner heißt, auch auf Nutzer in weiteren 65 Ländern ab. Aufgetaucht ist FakeInst unter anderem in Deutschland, der Schweiz, Frankreich, Finland, China, der Ukraine, Großbritannien, Argentinien, Spanien, Polen, Kanada und anderen Ländern.
Universität in Iowa gehackt… für Bitcoins!?
Richtig gelesen. Die Iowa State University, eine der bekanntesten Universitäten der USA, wurde gehackt, um ihre Computer zum Generieren von Bitcoins zu missbrauchen. Bitcoins sind eine digitale Crypto-Währung, die im letzten Jahr einige Auf und Abs erleben musste. Wenn Sie genug Rechenleistung besitzen, können Sie damit algorithmische Aufgaben lösen und Bitcoins generieren. Diesen Prozess nennt man Bitcoin Mining, und damit kann man viel Geld machen. Wie immer, folgen auch hier die Cyberkriminellen dem Geld. Illegales Bitcoin Mining gibt es schon länger, doch dieser Vorfall ist neu, da hier die Rechenleistung einer bekannten Lehreinrichtung missbraucht wurde. Und das ist nicht alles: Der Einbruch soll auch die Sozialversicherungsnummern von bis zu 30.000 aktuellen und ehemaligen Studenten der Iowa State University kompromittiert haben.
