Aktuelles
Neuigkeiten von Ihrem leistungsstarken ITK-Systemhaus
HINWEIS: Der Status unserer MOTECScloud Cloud-Dienste ist unter https://status.motecs.cloud einsehbar.
Tobias' Sicherheitsecke April 2015
Auch diesen Monat kommen wir nicht umhin, Sie über aktuelle Sicherheitslücken zu informieren. Unser Sicherheitsbeauftragter Tobias Thiel bittet Sie dringend um Beachtung der nachfolgend näher beschriebenen Sicherheitslücken.
Leider kommen wir dabei nicht um die Erläuterung diverser technischer Hintergründe vorbei. Selbst wenn Sie diese jedoch nicht genau verstehen sollten Sie überlegen, mit uns über eine Prüfung Ihrer Infrastruktur zu sprechen, um einer Kompromittierung vorzubeugen!
Freak-Attack: Angriff auf Millionen Geräte und Webseiten möglich
Das kürzlich entdeckte Angriffsszenario „Factoring RSA Export Keys“, kurz Freak ermöglicht es potenziellen Angreifern verschlüsselte Verbindungen mitzulesen und gezielt zu manipulieren. Auslöser hierfür sind künstlich geschwächte Verschlüsselungsverfahren, die in den 90ern durch die US-Regierung zu Gunsten schwächerer Kryptographie für die NSA eingeführt wurden.
Nach aktuellem Kenntnisstand sind sowohl Windows, Linux, MacOS X als auch iOS und Android betroffen. Durch die große Anzahl der betroffenen Geräte sind neben Millionen von Webseiten auch alle gängigen Webbrowser und Apps betroffen. Das Problem muss also sowohl auf Seiten des Clients als auch auf Serverseite behoben werden. Alleine im iOS App-Store waren über 700 der Top-Programme für die Sicherheitslücke anfällig.
Entsprechende Updates für alle wichtigen Systeme sind bereits veröffentlicht, auch wenn es fraglich ist, ob diese rechtzeitig auf allen Systemen installiert werden. Gerade Android dürfte aufgrund der oftmals verzögerten Update-Politik auf Probleme stoßen. Ob Sie von der Sicherheitslücke betroffen sind, können Sie ganz einfach auf den nachfolgenden Webseiten überprüfen:
Test für Endgeräte: https://freakattack.com/clienttest.html
Test für Webserver: https://www.ssllabs.com/ssltest/
Sind Sie betroffen? Dann sprechen Sie uns bitte an, wir unterstützen Sie gerne.
Microsoft schließt erneut kritische Sicherheitslücke
Im Zuge der von Microsoft veröffentlichten Updates zum monatlichen Patchday im März musste eine bereits im Jahr 2010 gepatchte Sicherheitslücke erneut geschlossen werden. Dabei handelt es sich um eine kritische Sicherheitslücke, ausgelöst durch manipulierte Datei-Icons. Entsprechend einfach lassen sich so betroffene Systeme unbemerkt in Sekundenschnelle vollständig kompromittieren. Das Update wurde seitens Microsoft als kritisch eingestuft. Wir empfehlen Ihnen daher dringend, das entsprechende Update zu installieren.
De-Mail jetzt mit Ende-zu-Ende-Verschlüsselung
Ab April reichen alle De-Mail-Anbieter die oftmals als fehlend kritisierte Ende-zu-Ende-Verschlüsselung mittels PGP kostenfrei als Addin für die Browser Google Chrome und Mozilla Firefox nach. Um größtmögliche Transparenz zu gewähren, sollen diese als Open Source veröffentlicht werden. Ein zentraler Schlüsselaustausch (und somit einfachere Handhabung) soll allerdings laut BSI vorerst nicht möglich sein. Trotz der entsprechenden Änderungen bleiben viele Kritiker weiterhin skeptisch.
Gerne unterstützen auch wir Sie bei der Implementierung sicherer E-Mail-Kommunikation, sprechen Sie uns bitte einfach an.