Das Bootkit Stoned ist in der Lage TrueCrypts vollständige Partitionsverschlüsselung und Systemverschlüsselung auszuhebeln. Einmal installiert, soll es von Antiviren-Software nicht mehr entdeckt werden können.
The application Cryptool is a free e-learning application for Windows. You can use it to apply and analyze cryptographic algorithms. The current version of Cryptool is used all over the world. It supports both contemporary teaching methods at schools and universities as well as awareness training for employees.
"Die Entwickler von Auto-IT-Systemen ziehen bisher kaum böswillige Angreifer in Betracht", warnt Marko Wolf vom Horst Görtz Institut für Sicherheit in der Informationstechnik an der Ruhr-Universität Bochum.
Auf der Sicherheitskonferenz Defcon demonstrierten Hacker, dass sie Daten im Internet quasi beliebig umleiten und damit auch belauschen können. Das Schlimme daran: das Problem ist im Prinzip seit 20 Jahren bekannt.Durch Manipulation von Routing-Einträgen leiteten Anton Kapela und Alex Pilosov Pakete an das Netzwerk der Konferenz über einen Router in New York um, der sie dann an das eigentlich Ziel in Las Vegas weitersendete. Derartige Spielchen benutzen das Border Gateway Protocol (BGP, RFC 4271), über das Router an den Grenzen der Autonomen Systeme (AS), aus denen sich das Internet zusammensetzt, bekannt geben, welche anderen Netze sie erreichen können. Da oftmals viele Wege zum gewünschten Ziel führen, müssen die Router entscheiden, welchem sie den Vorzug geben. Ein Kriterium dabei ist, dass möglichst spezifische Routen bevorzugt werden. So "gewinnt" eine Route für ein kleines /24-Netz, das die Zieladresse enthält, gegen einen Eintrag für ein großes /16-Netz.
Die Bundesregierung will ab Mitte 2009 im Rahmen von E-Government 2.0 technische und rechtliche Rahmenbedingungen für eine "sichere und verbindliche elektronische Kommunikation" einführen. Grundpfeiler sollen Bürgerportale mit sogenannten De-Mail-Diensten sein, schreibt das IT-Magazin iX in Ausgabe 10/08.
Die Bundesregierung will ab Mitte 2009 im Rahmen von E-Government 2.0 technische und rechtliche Rahmenbedingungen für eine "sichere und verbindliche elektronische Kommunikation" einführen. Grundpfeiler sollen Bürgerportale mit sogenannten De-Mail-Diensten sein, schreibt das IT-Magazin iX in Ausgabe 10/08.
Zum dritten Mal versuchten sich Wissenschaftler auf der Future Security in Karlsruhe zwei Tage lang an einer Standortbestimmung der Sicherheitsforschung. Während der Unterstaatssekretär des amerikanischen Department of Homeland Security (DoHS) "Cyber" als die offene Flanke westlicher Gesellschaften definierte, ist die europäische Forschung eher auf "konventionelle" Terror-Attacken fokussiert. Die Sicherheit von Logistik-Ketten und Seehäfen, die Nutzung von Satelliten als Ergänzung zur Videoüberwachung sowie die IT-gestützte "neue" Videoüberwachung standen im Mittelpunkt der Vorträge.
Auf der Sicherheitskonferenz Defcon demonstrierten Hacker, dass sie Daten im Internet quasi beliebig umleiten und damit auch belauschen können. Das Schlimme daran: das Problem ist im Prinzip seit 20 Jahren bekannt.
Durch Manipulation von Routing-Einträgen leiteten Anton Kapela und Alex Pilosov Pakete an das Netzwerk der Konferenz über einen Router in New York um, der sie dann an das eigentlich Ziel in Las Vegas weitersendete. Derartige Spielchen benutzen das Border Gateway Protocol (BGP, RFC 4271), über das Router an den Grenzen der Autonomen Systeme (AS), aus denen sich das Internet zusammensetzt, bekannt geben, welche anderen Netze sie erreichen können. Da oftmals viele Wege zum gewünschten Ziel führen, müssen die Router entscheiden, welchem sie den Vorzug geben. Ein Kriterium dabei ist, dass möglichst spezifische Routen bevorzugt werden. So "gewinnt" eine Route für ein kleines /24-Netz, das die Zieladresse enthält, gegen einen Eintrag für ein großes /16-Netz.
Die Massachusetts Bay Transportation Authority (MBTA) spricht den drei MIT-Studenten Zack Anderson, RJ Ryan und Alessandro Chiesa die Redefreiheit nach dem ersten Zusatz zur Verfassung ab. Das geht aus einem 14-seitigen Dokument hervor, das dem US-amerikanischen Nachrichtenportal CNet vorliegt.
Der Schutz der Redefreiheit schließe nicht die Empfehlung zur Gesetzesverletzung ein, so die Argumentation der Verkehrsbehörde. Der geplante Vortrag bei der Defcon-Konferenz in Las Vegas provoziere aber wahrscheinlich illegales Verhalten. Des Weiteren handele es sich nicht um einen wissenschaftlichen Vortrag, sondern um eine Präsentation mit kommerziellen Interessen. Die Studenten hätten allerdings laut CNet für ihren Vortrag kein Geld bekommen, ihren Quelltext kostenlos abgegeben und auch nicht versucht, in anderer Weise irgendetwas zu verkaufen. Der Aufruf zu illegalem Verhalten ist zudem nicht strafbar.
Oftmals stecken nicht anonyme Hacker, sondern die eigenen Geschäftspartner hinter Datenmissbrauch in Unternehmen und Behörden. Zu diesem Ergebnis kommt der "Data Breach Investigations Report 2008". Er umfasst einen Zeitraum von vier Jahren und mehr als 500 forensische Untersuchungen anhand von 230 Millionen Datensätzen. Die von Verizon Business Security Solutions durchgeführte Studie stellte fest, dass 73 Prozent der Verstöße von externen Quellen ausgingen, bei 18 Prozent handelte es sich um Bedrohungen von innen. Dabei stammten 39 Prozent der externen Angriffe von Geschäftspartnern. Die Zahl solcher Angriffe hatte sich im Untersuchungszeitraum verfünffacht. Damit widerspricht die Studie anderen Untersuchungen, die in Insider-Angriffen die Hauptursache von Datenmissbrauch sehen.
Auch wenn die Schwachstelle im OpenSSL-Paket von Debian letzte Woche hohe Wellen schlug: Die Qualität von Open-Source-Quellcode und die Sicherheit freier Software nehmen zu. Zu dem Schluss kommt das jetzt erschienene Scan Report on Open Source Software 2008 (PDF-Datei) von Coverity. Die Studie präsentiert die Ergebnisse einer Analyse, die das US-amerikanische Unternehmen über einen Zeitraum von zwei Jahren über 55 Millionen Zeilen Quellcode auf wiederkehrender Basis durchführte. Dabei wurden mehr als 250 populäre Open-Source-Anwendungen wie der Webserver Apache aber auch der Linux-Kernel unter die Lupe genommen.
Die weltweite Polizeiorganisation Interpol hat ein forensisches Gutachten (PDF-Datei) veröffentlicht, das in einem Streit zwischen Kolumbien, Ecuador und Venezuela klären sollte, ob Computerdateien gefälscht wurden. Nun entpuppt sich das Gutachten zumindest im öffentlich frei verfügbaren Teil als Gefälligkeitsgutachten und der Streit geht weiter.
Im Umfeld des EU-Lateinamerikagipfels sorgen drei Toshiba Satellite-Laptops, zwei externe LaCie-Festplatten und drei USB-Sticks für Aufregung. Diese acht Geräte wurden am 1. März von kolumbianischen Militärs erbeutet, als diese ein Lager der FARC-Guerilla stürmten, das 1,2 Meilen von der kolumbianischen Grenze in Ecuador lag. Beim Sturm auf das Lager wurde Luis Edgar Silva alias Kommandant Raúl Reyes getötet, zu dessen Besitz die IT gehören soll. Anfang Mai erklärte ein amerikanischer Geheimdienstvertreter gegenüber dem Wall Street Journal, dass man auf den Computern von Reyes über 100 Dokumente gefunden habe, die eine Kooperation zwischen FARC und Venezuela beweisen würden. Aus den Dokumenten soll hervorgehen, dass Venezuela den kolumbianischen Rebellen die Nutzung eines Hafens angeboten habe. Venezuela dementierte die Zusammenarbeit umgehend und bezeichnete die Dokumente als Fälschung.
Wie der Schweizer Tagesanzeiger meldet, fand Ende 2007 ein groß angelegter und sorgfältig vorbereiteter Trojaner-Angriff auf die Schweizer Bundesverwaltung statt. In zwei Wellen wurden insgesamt über 500 E-Mails unter Nennung des richtigen Empfängernamens an Mitarbeitende der Bundesverwaltung geschickt. Der gefälschte Absender war eine Bundesstelle, die auf einen vermeintlichen Fotowettbewerb hinwies; hier sollte man Bilder beurteilen, die von den Fälschern auf deren Server hinterlegt waren. Durch Anklicken der Fotos, die nach Angaben der Schweizer Melde- und Analysestelle Informationssicherung Melani durchaus fachgerecht und im Kontext des Bundesamtes ausgewählt waren, holte man sich eine Screensaver-Datei auf den Computer, die Malware enthielt – obwohl es den Angestellten natürlich untersagt ist, Bildschirmschoner und dergleichen auf ihren Dienstrechnern zu installieren.
Das am "Informatikstrategieorgan Bund" ISB angesiedelte GovCERT.ch, das am 1. April die Rolle des "Computer Emergency Response Teams" CERT von Melani übernommen hat, fand im Screensaver ein trojanisches Pferd: Es lädt innerhalb eines definierten Zeitfensters von diversen Rechnern im Internet Spionageprogramme nach und führt diese aus. Die gefälschte Webseite, eine gut gemachte Kopie des Bundesstellen-Servers, war auf einem Server in einem afrikanischen Staat angelegt worden.
Mac users need to think about security, too
Apple's approach to security can be a little bewildering at times. It's a well-trumpeted aspect of the OS, marketed in detail on the website. Mac OS X has integrated smartcard support and Apple has certified the OS under the Common Criteria guidelines; a section of Apple's developer site is devoted to the subject of security.