Über eine Lücke in einem UMTS-Protokoll wurden Bankkonten mit Zugang zum Online-Banking geplündert. Angegriffen wurde das mTAN-Verfahren, wobei die TANs mithilfe der Lücke umgeleitet wurden. Die Mobilfunkprovider wollten die Lücke schon 2014 beheben.

Passend dazu: Zero Days sind im Schnitt 7 Jahre ausnutzbar. Unabhängig vom verwendeten Betriebssystem. Hierfür hatten Forscher 200 Lücken zwischen 2002 und 2016 untersucht.

Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton. Um die habe ich ja schon einen weiten Bogen gemacht, als ich noch Windows genutzt und an sowas geglaubt habe. Das wird doch sowieso keiner mehr nutzen, denke ich mir so. Aber wir gefehlt:

Ormandy zufolge sind die Plattformen Linux, Mac OS X, Unix und Windows gefährdet.

Norton Antivirus für Linux!1!! Ich kann nicht mehr… bigsmile

WordPress: Ein Viertel des Internets ist Anfällig für Manipulation, Datenraub und Spionage

Betriebssystem („content management system“) WordPress: Rat und Gegenmaßnahmen gegen „Black SEO“ (negative Beeinflussung anderer Webseiten gegenüber Google), flächendeckenden „Daten-Abbau“, Manipulation und Spionage.

[Radio Utopie]

WordPress härten ist doch mal ein sinnvolles Wochenendprojekt.

Gesundheitskarte: Weiterhin Riesensicherheitsloch bei Patientendaten

Man muss nur Namen, Geburtsdatum und Versicherungsnummer kennen und einen Telefonanruf tätigen – schon kommt man an alle Patientendaten heran.

[Heise via daMax]

Doch fürchtet Euch nicht: die Bundesdatenschutzbeauftragte Andrea Voßhoff will das für die Kassenaufsicht zuständige Bundesversicherungsamt (BVA) nämlich „dringend anregen, die Thematik im Rahmen seiner Zuständigkeit zu untersuchen“. Dann wird bestimmt alles gut.

Warum nicht einfach mal die Buchhaltung eines Konzerns anmailen und eine Millionenüberweisung anordnen? Das hat jetzt schon mehrfach geklappt. Vorher hatten die Angreifer das Intranet gehackt, um Mails auszuspionieren und den Account des Vorstandschefs zu imitieren. Die abenteuerliche Geschichte:

Als Teil der Betrugsmasche werde in den Mails auf die absolute Vertraulichkeit der Angelegenheit hingewiesen. Darin sei in fehlerfreiem Deutsch die Rede von einer geplanten Konzern-Übernahme, über die ansonsten niemand im Unternehmen Bescheid wisse. Deswegen solle kein Kontakt zu anderen Mitarbeitern gesucht werden. Um die Absprache „gemäß den Richtlinien der Bankenaufsicht“ zu dokumentieren, müsse jeglicher Kontakt mit dem Vorstandschef ausschließlich per E-Mail erfolgen.

Social Engineering aus dem Lehrbuch. smile

Auf den britischen Atom-U-Booten herrschen offenbar verheerende Sicherheitsbedingungen. Das berichtet William McNeilly, ein 25 Jahre junger Whistleblower, der wegen der Zustände eine nukleare Katastrophe kommen sieht.

„Es ist schwieriger in einige Londoner Nachtclubs zu gelangen, als in die Grüne Zone“, resümiert McNeilly seine Erfahrungen, die er über ein Jahr lang machte. Bei der ersten Kontrolle im Shuttle-Bus zeigte McNeilly regelmäßig seinen Zimmerschlüssel statt seiner Identitätskarte vor, ohne dass es auffiel.

Und viel besser werden die Kontrollen dann auch nicht mehr, so dass er unter anderem unbefugt ein Sicherheitshandbuch abfotografieren und an Sitzungen teilnehmen konnte, bei denen er nicht hätte anwesend sein dürfen. Auch technisch liegt einiges im argen.

Am Ende einer dreimonatigen Seepatrouille wird jeweils ein Test durchgeführt, um zu prüfen, ob das U-Boot im Ernstfall Atombomben abschießen kann. Bei drei Versuchen zeigte sich, dass bei einem Abschuss das U-Boot keine stabile Lage einhalten würde, so dass die Missile nicht den gewünschten Flugweg nehmen könnte.

Auch Google hat sich was Neues einfallen lassen. Allerdings glaube ich nicht, dass mir das gefällt. Google will nämlich Passwörter überflüssig machen und die Identität der Nutzer ganz anders verifizieren. Ihr ahnt es vielleicht:

Statt den Anwender zur Identifikation nach einem Passwort zu fragen, analysieren sie sein Verhalten. In einem Beispiel wurde gezeigt, wie zwei Forscher an einem per Vault geschützten Smartphone abwechselnd denselben Satz eintippten. Anhand der typischen Bewegungsmuster beim Tippen konnte das System entscheiden, wer von beiden der rechtmäßige Nutzer des Handys war.
Auf ähnliche Weise könnte Vault auch andere Sensoren benutzen, etwa die Kamera und das Mikrofon, um den Anwender zu erkennen.

Gruselige Vorstellung.

Offenbar sind die Sicherheitskontrollen einer durchschnittlichen Dorfdisco besser als am Frankfurter Flughafen. Bei einer Kontrolle haben Testpersonen in jedem zweiten Handgepäckstück Waffen oder andere gefährliche Gegenstände an Bord bringen können:

Dem Bericht zufolge droht die EU-Kommission sogar damit, den Flughafen als „Non-Schengen-Airport“ einzustufen, sollten die Maßnahmen nicht greifen. Dann müssten sich Flugreisende in Frankfurt bei der Einreise in andere EU-Länder einer erneuten Sicherheitskontrolle unterziehen.

Hoffentlich ziehen die wenigstens die brandgefährlichen Shampoos und Zahncremes aus ordnungsgemäß dem Verkehr..