In den Nachrichten der vergangenen Woche ging es nach wie vor um OpenSSL und den Heartbleed-Fehler. Aber es gab auch weitere Schalgzeilen, unter anderem zum Verschl\u00fcsselungsproblem in iOS und OSX von Apple, einem Hacker-Einbruch bei AOL und einem Hacker-Angriff auf die Iowa State University, \u00fcber den die Angreifer die Computer der Uni zum Bitcoin Mining missbrauchen wollten.<\/p>\n
Die Geschichte geht weiter<\/b><\/p>\n
Auch in der letzten Woche wurde erneut viel \u00fcber den Umfang und Gef\u00e4hrlichkeit der Heartbleed-Sicherheitsl\u00fccke in OpenSSL diskutiert. Viel davon drehte sich um die langfristigen Perspektiven f\u00fcr das digitale Zertifikatssystem<\/a>, auf dem im Grunde das Vertrauen im Internet aufbaut<\/a>, das aber auch mit der Effizienz und den Fallstricken der Verschl\u00fcsselung<\/a> zu tun hat.<\/p>\n Allerdings war das Ganze in der letzten Woche anders als in den Wochen zuvor, denn es schien, als w\u00fcrden Firmen zum ersten Mal nach M\u00f6glichkeiten suchen, solche Sicherheitsl\u00fccken in Zukunft gar nicht erst entstehen zu lassen.<\/p>\n Eine neue Kooperation mit dem Namen Core Infrastructure Initiative<\/a> b\u00fcndelt Ressourcen, um einen Multimillionen-Dollar-Fond aufzubauen, der Open-Source-Projekte unterst\u00fctzen soll, die f\u00fcr die Sicherheit im Internet wichtig sind. OpenSSL ist das erste Projekt, das daraus Gelder erhalten soll, die vor allem von der Linux Foundation, Microsoft, Facebook, Amazon, Dell, Google und einigen anderen bekannten Technologiefirmen kommen. Auch die Mozilla Corporation reagiert mit einem neuen, speziellen Belohnungsprogramm<\/a>, \u00fcber das Forschern, die eine ernste Sicherheitsl\u00fccke in der neuen Zertifikatsverifizierungs-Library f\u00fcr die im Sommer kommende Firefox-Version 31 finden, 10.000 Dollar ausgezahlt werden sollen.<\/p>\n Apple repariert SSL in iOS und OSX<\/b><\/p>\n \u00c4hnlich, aber ohne Zusammenhang zu Heartbleed, ist die ernste Sicherheitsl\u00fccke, die Apple in der vergangen Woche repariert hat<\/a>, und die in vielen Versionen von iOS und OSX zu finden war. Die Sicherheitsl\u00fccke kann einem Angreifer erm\u00f6glichen, Daten aus eigentlich SSL-verschl\u00fcsselten Verbindungen auszulesen. Damit kann ein Angreifer den Inhalt von Nachrichten mitlesen \u2013 egal um welche Art vertraulicher Nachrichten es sich handelt.<\/p>\n Der Fehler ist einer von vielen in den beiden Betriebssystemen, die das Unternehmen am Dienstag repariert hat. Neben der SSL-L\u00fccke sind eine Reihe weiterer ernster Fehler gel\u00f6st worden. Wenn Sie also mit einem Mac arbeiten (oder spielen), sollten Sie so schnell wie m\u00f6glich die Betriebssystem-Updates aus dem App Store herunterladen und installieren.<\/p>\n Das eigentlich ruhige AOL sorgte f\u00fcr Aufruhr<\/b><\/p>\n Ich bin nicht sicher, wie hoch der Anteil von AOL in der E-Mail-Branche ist (und Sie k\u00f6nnen mir glauben, dass ich danach gesucht habe), doch eine unbekannte Anzahl von Mail-Konten von AOL-Nutzern wurden in der vergangenen Woche \u201ehereingelegt\u201c<\/a>. Als die Konten kompromittiert waren, starteten die Angreifer oder das verantwortliche Botnetz einen massenhaften Spam-Versand an die Kontakte der gehackten Konten. AOL hat den Hack best\u00e4tigt, wobei AOL das Ganze nicht als Hack bezeichnet. Zudem ist nicht klar, wie viele Nutzerkonten betroffen waren und wie viele Spam-Mails verschickt wurden. Komisch ist, dass AOL behauptet, dass die E-Mail-Konten wahrscheinlich nicht kompromittiert worden sind, sondern wohl eher mit einer so genannten Spoofing-Attacke hereingelegt wurden.<\/p>\n Wie AOL anmerkte, werden bei einer Spoofing-Attacke Spam-Mails verschickt, die so aussehen, als k\u00e4men sie von einem bestimmten Absender, in Wirklichkeit sind sie aber vom Mail-Konto und \u00fcber die Server der Spammer verschickt worden. AOL sagt also, dass keine Konten im gro\u00dfen Stil gehackt wurden, sondern dass die Angreifer nur die Konten der Opfer nachgemacht h\u00e4tten. Diese Aussage erkl\u00e4rt jedoch nicht, wie die Angreifer an die Kontakte der Opfer gekommen sind, was bedeutet, dass vielleicht doch etwas mehr dahinter steckt.<\/p>\n SMS-Trojaner in den USA (und anderen L\u00e4ndern)<\/b><\/p>\n SMS-Trojaner, die Premium-SMS verschicken, sind nichts Neues. Die Masche l\u00e4uft etwa so: Angreifer bringen ihre Opfer dazu, einen Trojaner auf ihr Handy herunterzuladen. Der Trojaner erh\u00e4lt dabei die Erlaubnis, SMS-Nachrichten vom infizierten Ger\u00e4t zu versenden und schickt SMS an einen Premium-Dienst, der entweder von den Angreifern kontrolliert wird oder jemandem geh\u00f6rt, der die Angreifer bezahlt.<\/p>\n Die Kosten f\u00fcr diese SMS-Nachrichten tauchen dann auf der n\u00e4chsten Mobilfunkrechnung der Opfer auf.<\/p>\n Wie schon gesagt, gibt es diese Masche schon lange. Kurios ist allerdings, dass solche SMS-Trojaner bisher nicht in den USA aufgetaucht sind. Doch das hat sich in der letzten Woche ge\u00e4ndert, wie Securelist<\/a> berichtete, und der erste Android-SMS-Trojaner wurde in den USA entdeckt.<\/p>\n Und wie wenn ihm der Status als erster SMS-Trojaner, der Android-Nutzer in den USA angreift<\/a>, nicht reichen w\u00fcrde, zielt FakeInst, wie der Trojaner hei\u00dft, auch auf Nutzer in weiteren 65 L\u00e4ndern ab. Aufgetaucht ist FakeInst unter anderem in Deutschland, der Schweiz, Frankreich, Finland, China, der Ukraine, Gro\u00dfbritannien, Argentinien, Spanien, Polen, Kanada und anderen L\u00e4ndern.<\/p>\n Universit\u00e4t in Iowa gehackt\u2026 f\u00fcr Bitcoins!?<\/b><\/p>\n Richtig gelesen. Die Iowa State University, eine der bekanntesten Universit\u00e4ten der USA, wurde gehackt, um ihre Computer zum Generieren von Bitcoins zu missbrauchen. Bitcoins sind eine digitale Crypto-W\u00e4hrung<\/a>, die im letzten Jahr einige Auf und Abs erleben musste. Wenn Sie genug Rechenleistung besitzen, k\u00f6nnen Sie damit algorithmische Aufgaben l\u00f6sen und Bitcoins generieren. Diesen Prozess nennt man Bitcoin Mining, und damit kann man viel Geld machen. Wie immer, folgen auch hier die Cyberkriminellen dem Geld. Illegales Bitcoin Mining gibt es schon l\u00e4nger, doch dieser Vorfall ist neu, da hier die Rechenleistung einer bekannten Lehreinrichtung missbraucht wurde. Und das ist nicht alles: Der Einbruch soll auch die Sozialversicherungsnummern von bis zu 30.000 aktuellen und ehemaligen Studenten der Iowa State University kompromittiert haben<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Ein SMS-Trojaner greift erstmals die USA an, Heartbleed geht noch weiter, Apple repariert SSL-Sicherheitsl\u00fccke in iOS sowie OSX, AOL wurde gehackt und Bitcoin Mining in Iowa.<\/p>\n","protected":false},"author":42,"featured_media":3092,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[1002,109,872,976,1651,260],"class_list":{"0":"post-3091","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-aol","9":"tag-apple","10":"tag-bitcoin","11":"tag-heartbleed","12":"tag-news","13":"tag-sicherheitslucke"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/heartbleed-geht-weiter-und-apple-loest-crypto-problem\/3091\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/aol\/","name":"AOL"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/3091","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=3091"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/3091\/revisions"}],"predecessor-version":[{"id":23058,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/3091\/revisions\/23058"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/3092"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=3091"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=3091"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=3091"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}