Was Sie über die Sicherheitslücke “Heartbleed” der OpenSSL Software wissen sollten

Anfang dieser Woche wurde in der OpenSSL Software eine neue Sicherheitslücke namens Heartbleed erkannt.

OpenSSL ist die Programmbibliothek, die von den meisten Computer nicht nur, aber auch zur Verschlüsselung der über das Internet versendeten Daten verwendet wird. Dabei ist OpenSSL vielleicht die am meisten verbreitete SSL-Bibliothek und ist daher in einer Vielzahl von Anwendungen, inklusive einiger Linux-Distributionen (siehe unten), zu finden.

Die Schwachstelle wurde mit der ID CVE-2014-0160 (siehe Verweise) versehen: Im Wesentlichen lässt Heartbleed zu, dass Angreifer die Schlüssel, die zur Verschlüsselung verwendet werden, direkt aus dem Speicher eines angreifbaren Webservers abgreifen. Auf diese Weise können sie den vollständigen Datenverkehr, der von diesem Server gesendet wird, mitlesen, inklusive der Benutzernamen, Passwörter, finanziellen Auskünfte und vieles mehr.

heartbleed

 

Einige technische Details

Die Schwachstelle besteht darin, wie OpenSSL mit der Heartbeat-Erweiterung im TLS Protokoll umgeht. Als Antwort auf eine Heartbeat-Aufforderung schickt OpenSSL bis zu 64 KB aus dem Arbeitsspeicher (Random Access Memory, RAM) des Computers. Es wurde festgestellt, dass sich innerhalb dieser Daten auch sensible Informationen, wie etwa Inhalte von Emails, Zugangsdaten, private Schlüssel für Serververbindungen und Session Keys, befanden. Durch vermehrte Heartbeat-Aufforderungen können weitere Daten aus dem Arbeitsspeicher beschafft werden. Derartige Angriffe hinterlassen keine Spuren in den Anwendungsprotokollen.

Diese Sicherheitslücke besteht nicht darin, dass Server gehackt und Benutzernamen und Passwörter aus der Server-Datenbank entnommen werden. Vielmehr werden 64 KB große Speicherstücke aus dem RAM des Servers ausgelesen und an den Angreifer weitergeleitet. Wenn sich nun exakt in diesem Augenblick, in dem der Angreifer auf den Speicher zugreift, vertrauliche Daten darin befinden, können diese Informationen in die Hände des Angreifers gelangen. Ist der Angreifer einmal in den Besitz des geheimen Schlüssels gekommen, kann er die Kommunikation abhören und Daten direkt von den Diensten und Benutzern abgreifen und sich selbst als Dienst oder Benutzer auszugeben.

 

Was können Sie tun?

 

Administratoren

Die schlechte Nachricht ist, dass man nicht herausfinden kann, ob man selbst betroffen ist. Es gibt kein Protokoll, keine Fehlermeldung, einfach nichts.

Administratoren von Webseiten empfehlen wir zu überprüfen, ob das OpenSSL, das sie verwenden, anfällig ist. Anfällig sind die OpenSSL Versionen 1.0.1 bis 1.0.1f.

Anfällige Linux-Distributionen:

  • Red Hat Enterprise Linux 6.5 (OpenSSL 1.0.1e)
  • Debian Wheezy (vor OpenSSL 1.0.1e-2+deb7u5)
  • Ubuntu 12.04 LTS, 13.04, 13.10

 

Arbeiten Sie mit einer dieser OpenSSL-Versionen, sollten Sie ein Update auf OpenSSL v 1.0.1g durchführen, anschließend das Serverzertifikat widerrufen, mit dem der Datenverkehr verschlüsselt wurde, und ein neues Zertifikat erwerben. Manchmal können Zertifikate kostenlos erworben werden, aber wenn Sie ein offizielles Zertifikat anstatt eines selbst-generierten Zertifikats haben möchten, kostet es für gewöhnlich etwas.

 

Clients

Als Client einer betroffenen Webseite können Sie nicht viel tun. Nachdem der Administrator das Problem behoben hat, sollten Sie Ihr Passwort ändern. Da diese Sicherheitslücke bereits seit zwei Jahren besteht, kann alles mögliche passieren und Sie sollten daher zukünftig vorsichtiger sein, was Sie online stellen.

 

Besuchen Sie diese Webseite falls Sie prüfen wollen ob Ihre Website betroffen ist: https://lastpass.com/heartbleed

 

Verweise

 

Sorin Mustaca
IT Sicherheitsexperte

Erneuter Identitätsdiebstahl – Das BSI ist im Besitz von weiteren 18 Millionen gehackter Konten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die deutsche Presse über den erneuten Identitätsdiebstahl informiert. Diesmal sind auch viele deutsche Anwender betroffen, laut BSI sollen mehr als drei Millionen Email-Konten betroffen sein. Das Bundesamt arbeitet mit den großen Online-Dienstleistern Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de zusammen, damit diese ihre betroffenen Kunden direkt informieren können.

Für diejenigen, die nicht auf die offizielle Email ihres Internet-Providers warten wollen, hat das BSI erneut die Webseite https://www.sicherheitstest.bsi.de zur Verfügung gestellt, auf der jeder Anwender überprüfen kann, ob seine Email-Konten durch den Angriff betroffen sind.

Die Konten wurden im Rahmen eines laufenden Ermittlungsverfahrens durch die Polizei entdeckt und das BSI vermutet, dass die Cyberkriminellen verschiedene Quellen benutzten, um sich Zugriff auf Anmeldedaten zu verschaffen: infizierte Rechner, die die Daten auf weltweite Server weiterleiteten.

Weitere mögliche Ursachen für den Datendiebstahl können Phishing-Webseiten und Social-Engineering-Taktiken sein.

Wenn Sie betroffen sind, unternehmen Sie bitte folgende Schritte, um weiteren Schaden zu vermeiden:

- Reinigen Sie Ihren Computer mit Aviras PC Cleaner

Weitere Details zum PC Cleaner finden Sie in diesem TechBlog-Artikel: http://techblog.avira.com/2014/01/09/avira-pc-cleaner-a-second-opinion-scanner/de/

- Ändern Sie alle Passwörter, vor allem die der betroffenen Email-Adressen.

Zu allererst überprüfen Sie, ob Sie noch die Kontrolle über die Email-Adresse haben. Melden Sie sich über Webmail an und ändern Sie alle Passwörter Ihrer Email-Konten. Wenn Sie das noch tun können, haben Sie noch die Kontrolle über das Email-Konto. Wenn nicht, versuchen Sie das Passwort wieder herzustellen und ändern Sie es anschließend.

Wenn Sie diese Email-Adresse auch verwendet haben, um sich auf Webseiten anzumelden (z. B. Facebook, Twitter, Amazon etc.) müssen Sie auch die Passwörter für diese Webseiten ändern. Und stellen Sie sicher, dass Sie nicht das selbe Passwort wie für Ihr Email-Konto verwenden. Hier finden Sie einigewertvolle Tipps um ein sicheres Passwort zu erstellen.

- Verwenden Sie eine Antivirensoftware wie Free Antivirus und halten Sie diese stets auf dem neuesten Stand.

- Halten Sie Ihr System auf dem neuesten Stand, denn viele Eindringlinge nutzen die Sicherheitslücken nicht gepatchter Software aus.

- Drucken Sie diese Sicherheitstipps aus, sodass sie jeder Zeit zur Verfügung stehen.

 

Sorin Mustaca

IT Sicherheitsexperte

Avira Free Antivirus im Stiftung Warentest-Vergleich: mit bestem Virenschutz zum Testsieger

Stiftung Warentest hat gerade ihren Testbericht „Internetsicherheits-Software: Wirksame Programme gegen Cyberangriffe“ veröffentlicht.

 

stiftung

 

Wir sind stolz, euch folgende Ergebnisse mitzuteilen:

freeav

Avira Free Antivirus 2014 erhält die Note GUT (2,2) und ist damit Testsieger in der Kategorie Virenschutzprogramme (kostenlos).

 

iss

Avira Internet Security Suite 2014 erhält die Note GUT (2,1) und sichert sich damit Platz 2 von 13

Stiftung Warentest meint: „Avira Internet Security Suite ist das Paket, das sich am besten handhaben lässt, und führt Nutzer sehr gut durchs Programm.“

So schnitten beide Produkte ab:

Avira Free Antivirus

- Schutz: gut (2,4)

- Handhabung: sehr gut (1,5)

- Rechnerbelastung: befriedigend (2,9)

Avira Internet Security Suite

- Schutz: gut (2,3)

- Handhabung: gut (1,6)

- Rechnerbelastung: gut (2,2)

 

 

Sorin Mustaca

Produktmanager und IT Sicherheitsexperte

Aktivierung der Zwei-Faktor-Authentifizierung bei Tumblr

Immer mehr soziale Medien, aber auch andere Webseiten, nutzen die Zwei-Faktor-Authentifizierung, um ihre Nutzer besser schützen zu können. Nach allen anderen großen Webseiten macht nun auch Tumblr diesen Schritt.

 

Einstellungen

 

Befolgen Sie folgende einfache Schritte, um die Aktivierung durchzuführen:

  1. Gehen Sie zu Ihren Kontoeinstellungen.
  2. Klicken Sie die „Zwei-Faktor-Authentifizierung“ Schaltfläche an.
  3. Geben Sie Ihre Telefonnummer ein.
  4. Nun können Sie entscheiden, ob Sie den Code als SMS oder über eine Authentifizierungs-App erhalten möchten. Wir empfehlen Ihnen beides, falls Sie eines der beiden als Backup benötigen.
  5. Befolgen Sie die Schritte, die auf der Einstellungsseite angezeigt werden.

Nach der Aktivierung müssen Sie sich in Zukunft folgendermaßen anmelden:

  1. Melden Sie sich mit Ihrem Benutzernamen und Ihrem Passwort bei Ihrem Tumblr Konto an.
  2. Geben Sie den Code in das dafür vorgesehene Feld ein, sobald Sie ihn erhalten haben (als SMS oder über eine Authentifizierungs-App).

Haben Sie übrigens bemerkt, dass die Webseite standardmäßig nicht SSL verwendet? Bitte klicken Sie die „SSL Sicherheit aktivieren“ Schaltfläche an, um SSL von nun an standardmäßig für Anmeldungen zu aktivieren.

 

Zwei-Faktor-Authentifizierung bei Anmeldung über iOS oder Android-Apps

Wenn Sie die Zwei-Faktor-Authentifizierung aktiviert haben, müssen Sie ein einmaliges Passwort generieren, um sich über Ihre mobilen Apps anmelden zu können. Sie können dies über Ihre Kontoeinstellungen tun.

 

Was passiert, wenn Sie die Zwei-Faktor-Authentifizierung deaktivieren?

Wir raten Ihnen nachdrücklich davon ab. Wenn Sie die Authentifizierung dennoch deaktivieren müssen, werden Sie nach Ihrem Konto-Passwort gefragt, um Ihre Person zu identifizieren. Danach können Sie sich ohne die zusätzliche Verifizierung bei Ihrem Konto anmelden. Wenn Sie sie danach wieder aktivieren möchten, müssen Sie den oben beschriebenen Installationsvorgang erneut durchlaufen.

 

Empfohlene Authentifizierungs-Apps

Tumblr empfiehlt den Google Authenticator, den Sie für iOS und Android herunterladen können.

 

Hier erfahren Sie, wie Sie die Zwei-Faktor-Authentifizierung auch für andere Dienste aktivieren können.
Wenn Sie Ihr Sicherheitsniveau weiter erhöhen möchten, empfehlen wir unsere Reihe Verbessere deine Sicherheit.

 

Sorin Mustaca

IT Sicherheitsexperte

Tipps zum PC-Frühjahrsputz

Frühjahrsstart bedeutet für viele alljährliches Großreine­machen in Haus und Hof. Aber nicht nur hier ist Durchblick gefragt, auch dem PC tun regelmäßige Putzaktionen gut. Internetsicherheitsexperte Avira zeigt in vier Schritten wie einfach und sicher es ist, mit Hilfe der Komplettlösung Avira System Speedup, lästige digitale Altlasten zu beseitigen, Datei-Dubletten oder nie benutzte Programme aufzuräumen und dem System wieder mehr Schwung zu verleihen.

 

Step 1 – Ausmisten und Aktualisieren installierter Software

Viele Anwendungen arbeiten mit integrierten Hintergrunddiensten, die ab Systemstart automatisch Rechenleistung in Anspruch nehmen – egal ob das Programm explizit aufgerufen wird oder nicht. Es empfiehlt sich daher, selten genutzte Anwendungen, die ebenso selten mit Updates versorgt werden, zu entfernen. Denn diese sind, ungepatcht, Schwachstellen des Programms und somit angreifbar:

- Programme und Spiele deinstallieren, die ausgedient haben – eine Übersicht findet sich unter Systemsteuerung / „Programme und Funktionen“

- Jedes benötigte Programm stets aktuell halten, v.a. für Sicherheitslücken anfällige Anwendungen wie Browser, Adobe Flash/Reader, Java und das Betriebssystem.

 Step 2 – Private Dateien aufräumen

Ordner- und Datei-„Leichen“ sind lästig. Ebenso verhält es sich mit Daten, die mehrfach verstreut auf dem Computer liegen – sie erschweren die Übersicht und belegen unnötig Speicherplatz. Für das Reinemachen gibt es zum Beispiel die Komplettlösung Avira System Speedup, deren integrierte Tools viele Aufgaben sicher aus einer Hand erledigen:

-  Identifizieren von Ordner- und Datei-„Leichen“:

  • Doppelt/mehrfach vorliegende Dateien spürt der ‘Duplicate Finder‘ auf
  • Speicherplatz-fressende Dateien findet der ‘Disk Analyzer‘
  • Beim Zusammenführen vieler Dateien eines Projekts hilft z.B. der komfortable Komprimierer 7-Zip.

 

Step 3 – Temporäres und Überflüssiges bereinigen

Beim Surfen im Internet werden im Browser temporäre Daten gespeichert, um aufgerufene Internetseiten beim nächsten Besuch schneller laden zu können. Die anfallende Datenmenge kann jedoch sehr schnell sehr groß werden. Zudem sollten Zwischenspeicher gelegentlich geleert werden – ebenso wie überflüssige Dateien, die nach (De)Installationen anfallen:

- Sollen mehrere Browser gleichzeitig von gespeicherten temporären Dateien befreit werden, empfiehlt sich der Avira ‘Privacy Cleaner‘

- Bereinigen der Windows Registrierungsdatenbank mit Hilfe des Avira ‘Registry Cleaners‘ für schnelleres Auslesen der Datenbank und Systembeschleunigung

- Beseitigen alter Installations- und Programmdateien via ‘Junk File Cleaner‘

 

Step 4 – Systemleistung verbessern

Je älter ein PC, umso mehr Programme kommen hinzu, die nach Software-Installationen in eine versteckte Autostartliste des Betriebssystems geschrieben werden. Dies beansprucht Arbeitsspeicher und Prozessorleistung. Doch auch hierfür gibt es Abhilfe:

- Automatische Überprüfung beim Hochfahren startender Programme über den Windows Befehl >>Start -> Ausführen / „msconfig“ / Reiter „Systemstart“.
Zu beachten: Auch wichtige Software-Updates werden hierüber gestartet – ein Fehlen kann also fatale Auswirkungen haben. Avira ‘Startup Manager‘ hilft sicher beim Bereinigen und Optimieren der Boot-Zeiten.

- Eingerichtete Hintergrunddienste lassen sich ebenfalls über den Windows Befehl >>Start  -> Ausführen / „services.msc“ verwalten

- Regelmäßige Defragmentierung der Festplatte entweder über das gleichnamige Tool in Windows oder über den Avira ‘Smart Defragmenter‘

 

Avira Free Mac Security – Update 3

Das Update 3 für Free Mac Security bringt neben einer Verbesserung der Performance und Stabilität auch zusätzliche Features.

Die Aktualisierung erfolgt automatisch innerhalb des normalen Produkt-Updates und erfordert keinen Neustart.

Verbesserung der Leistung

Uns ist bekannt, dass das Produkt einige Performance-Schwächen während einer Datensicherung hatte, die zum Beispiel bei einem Time Machine-Backup auftraten.

Nach entsprechenden Analysen ist es gelungen, die Leistung für Backup-Prozesse zu verbessern. Das gilt beispielsweise für eine Sicherung mit Programmen wie der Dropbox oder einem Avira Secure Backup-Durchlauf, aber besonders auch für die Leistung beim Apple-Feature Time Machine-Backup.

So verhindert das Produkt jetzt auf intelligente Weise, dass der Dateizugriff des Backup-Programms abgefangen und unterbrochen wird.

 

Verbesserung des Echtzeitschutzes

Aufgrund zahlreicher Verbesserungen beim Prüfverfahren, läuft der Echtzeit-Scanner jetzt etwa 5% schneller als bei der Version, die gegenwärtig zur Verfügung steht.

Und das ist nur der Anfang. Sie können für zukünftige Versionen noch weitere Verbesserungen dieser Art erwarten.

Der größte Vorteil wird erkennbar, wenn große Dateien oder komplexe Dokumente (z.B. eingebettete Dokumente) geprüft werden.

 

Die Apple Mitteilungszentrale informiert über den Echtzeit-Schutz

Bis jetzt wurde der Anwender bei aktivem Echtzeit-Schutz visuell nicht darüber informiert, ob das Produkt Gefahren erkannt, blockiert und in die Quarantäne verschoben hat. Das mag für viele Anwender ausreichend sein, aber wir haben uns dafür entschieden, den Anwender wissen zu lassen, dass das Produkt wachsam ist und ihn permanent schützt. Deshalb gibt es ab dieser Version Informationen zu Malware-Funden durch die Apple Mitteilungszentrale.

Wenn das Produkt Sie vor einer Gefahr geschützt hat, erhalten Sie in der oberen rechten Ecke Ihres Bildschirms eine Mitteilung, wie die folgende:

Wenn Sie die Apple Mitteilungszentrale klicken, erhalten Sie eine Liste aller Ereignisse, die angezeigt wurden. Von Vorteil ist, dass Sie nicht unverzüglich über jedes Ereignis informiert werden, sondern, dass bei Mehrfacherkennung von Gefahren (z. B. bei Kopierprozessen von Dateien) diese zu einem Ereignis mit mehreren Funden zusammengefasst werden.

 

Hilfethemen stehen nun auch Online zur Verfügung

Um Ihnen noch schneller und besser helfen zu können, wurden die Hilfethemen mit einer Online-Hilfe erweitert. Aber nur keine Sorge, auch Offline stehen Ihnen weiterhin viele Hilfethemen zur Verfügung.

Zusätzlich zu diesen großartigen Veränderungen, haben wir viele Verbesserungen implementiert:

-          Die Stabilität der grafischen Benutzeroberfläche

-          Das Quarantäne-Management

-          Der Deinstallationsvorgang

-          Der Echtzeit-Schutz

 

Überzeugt? Dann laden Sie das Produkt hier herunter.

Sorin Mustaca

Produktmanager und IT Sicherheitsexperte

 

 

Die Avira Cloud-Sicherheit steht nun auch für Free Antivirus zur Verfügung

Um unsere Kunden auf die bestmögliche Weise zu schützen, haben wir die Avira Protection Cloud in alle unsere Premiumprodukte (Privatanwender und Business) integriert.

Nach diesem ersten Schritt, können wir die freudige Mitteilung machen, dass wir die Avira Cloud-Sicherheit auch in die Free Antivirus Produkte integriert haben.

Avira geht nun den nächsten Schritt und bietet allen Kunden den besten Schutz: die Prüfung der Programme in Echtzeit, mithilfe der Avira Cloud-Sicherheit.

Ziel ist es, unbekannte, neue Programme zu analysieren, die potentiell gefährlichen Quellen entspringen.

Auf diese Weise ist Ihr System auch zwischen den regelmäßigen Produktupdates immer vor den aktuellsten Gefahren geschützt.

Lesen Sie hier wie diese Technologie funktioniert und wie sie konfiguriert werden kann.

Alle bestehenden Installationen der Avira Free Antivirus werden dieses Update kostenlos und absolut transparent für den Anwender erhalten.

Da das Produkt so konfiguriert ist, dass der Anwender so wenig wie möglich gestört wird, wird das Feature sicherlich die meiste Zeit unbemerkt bleiben.

 

 

Was ist die Avira Cloud-Sicherheit?

EN: http://www.avira.com/de/avira-protection-cloud

DE: http://www.avira.com/de/avira-protection-cloud

 

Was ist der Echtzeit-Schutz mit Cloud-Sicherheit?

EN: http://techblog.avira.com/2013/10/14/advanced-real-time-protection-with-avira-protection-cloud/en/

DE: http://techblog.avira.com/2013/10/18/erweiterter-echtzeit-scanner-mit-avira-cloud-sicherheit/de/

 

Sorin Mustaca

IT Sicherheitsexperte

Vielen Dank, dass Sie dieses Posting auf dem Avira Techblog gelesen haben! Für die neuesten Nachrichten folgen Sie uns bitte auf FacebookTwitterGoogle+.

Ade, Windows XP?

Microsoft wird den Support für Windows XP einstellen, aber davon geht die Welt nicht unter.

Wir möchten Sie hier darüber informieren, was passieren kann, wie Sie möglichem Schaden vorbeugen und wie Sie Windows XP auch nach Beendigung des Supports weiterhin nutzen können.
xp

 

Keine technischen Updates mehr

Nach dem 8. April 2014 wird es keine technischen Updates und auch keine Sicherheitsupdates mehr für Windows XP geben. Zu diesem Termin wird Microsoft ebenfalls den Download von Microsoft Security Essentials für Windows XP einstellen. Wenn Sie Microsoft Security Essentials bereits installiert haben, erhalten Sie für einen befristeten Zeitraum weiterhin Updates mit Anti-Malware-Signaturen. Das bedeutet aber nicht, dass Ihr PC geschützt ist, da Microsoft keine Sicherheitsupdates mehr zur Verfügung stellt.

Es ist etwa 12 Jahre her, dass Microsoft das Betriebssystem XP auf den Markt gebracht hat und im Laufe dieser Zeit wurden auch viele Patches ausgeliefert. Heißt das, dass alle Sicherheitslücken entdeckt und geschlossen wurden? Keinesfalls. Stattdessen erklärte Tim Rains, Geschäftsführer der Microsoft Trustworthy Computing, sogar, dass Cyberkriminelle so weit gehen, Patches, die für modernere und unterstützte Versionen von Windows ausgeliefert wurden, rückzuentwickeln. Dadurch finden sie heraus, welche Sicherheitslücken Windows XP immer noch hat. Auch wenn Windows 7 und 8 sich stark von XP unterscheiden, gibt es jede Menge Code, den alle diese Betriebssysteme nutzen.

Wenn Sie also nach Ende des Supports weiterhin Windows XP nutzen, wird Ihr Computer zwar wie gewohnt funktionieren, aber er könnte anfälliger für Sicherheitsrisiken und Viren werden. Sie können sogar noch nach dem 8. April Windows XP als neues Betriebssystem installieren.

 

Lösungen

 

Ich hoffe, es ist klar geworden, dass Microsoft seine Entscheidung, Windows XP nicht mehr zu unterstützen, nicht zurücknehmen wird. Daher bleibt die Frage offen: Was tun?

 

Migrieren

 

Die klar beste Lösung ist, sich von Windows XP zu trennen. Im Internet gibt es viele Anleitungen und Informationen, wie man zu Windows 7 oder 8 migrieren, also wechseln, kann. Aber seien Sie sich darüber im Klaren, dass dadurch zusätzliche Kosten anfallen können, da diese Betriebssystem eine bessere Hardware erfordern als Windows XP.

 

Windows-Diensthärtung

 

Die Windows-Diensthärtung ist ein Prozess, der die Angriffsfläche eines Computers reduziert. Die Angriffsfläche eines Computers zu reduzieren heißt, mögliche Einfallstore des Computers zu identifizieren und zu reduzieren. Das beinhaltet das Entfernen entbehrlicher Software, entbehrlicher Logins und die Deaktivierung oder Entfernung entbehrlicher Dienste (Datei- und Drucker-Freigaben, Media Center). Auf tieferer Ebene bedeutet es das Schließen aller nicht-kritischen Ports, das Entfernen nicht erforderlicher Treiber und idealerweise die vollständige Trennung des Computers vom Internet.

Auch die verwendete Software muss so sicher wie möglich gemacht werden. Das heißt, lassen Sie die Software isoliert (Sandbox) oder nur mit minimalen oder gar keinen Erweiterungen, Add-Ons oder Plug-Ins laufen und reduzieren Sie die Funktionalität im Allgemeinen auf ein Minimum.

Sicherlich muss auch das Risiko, das durch den Anwender selbst entsteht, reduziert werden. Erstellen Sie bessere Passwörter, ändern Sie die Standard-Passwörter und lassen Sie deren Gültigkeit nach einem Monat ablaufen. Verwenden Sie ein Benutzerkonto ohne Administratorrechte, damit bei eventuellen Attacken der Schaden begrenzt bleibt.

Wenn Benutzer dieses Computers nun Software installieren möchten, muss sorgfältig geprüft werden, ob sie abwärtskompatibel zum veralteten XP-Betriebssystem ist. Idealerweise installieren Sie nur Software, die für Windows XP hergestellt wurde.

Weil wir gerade beim Thema Software sind: Stellen Sie sicher, dass Ihre Software immer auf dem neuesten Stand ist (das ist das erforderliche Mindestmaß, das Sie einhalten müssen). Verwenden Sie keine vorinstallierten Programme wie Outlook Express, Internet Explorer oder den Media Player, da sie eventuell Sicherheitslücken aufweisen, die ausgenutzt werden können. Am besten ersetzen Sie Outlook Express durch Mozilla Thunderbird und den Internet Explorer durch Google Chrome oder Mozilla Firefox. Anstelle des Media Players stehen Ihnen im Internet Tausende anderer Player zur Verfügung.

Und vergessen Sie letztendlich nicht, ein Sicherheitsprodukt wie Avira Free Antivirus zu installieren und immer auf dem neuesten Stand zu halten.

Wenn sich auf Ihrem Windows-XP-Rechner business-kritische Informationen befinden, dann trennen Sie ihn vom Netzwerk (aber warum sollten Sie einem veralteten Betriebssystem derart wichtigen Informationen anvertrauen?). Das heißt auch, dass Sie für eingehenden Traffic ein Gateway-Filter-Produkt verwenden sollten.

 

Virtualisieren

 

Eine weitere Möglichkeit, an Windows XP festzuhalten, ohne gleich Ihren Rechner exponiert zu lassen, besteht darin, das Betriebssystem als Virtuelle Maschine auf einem modernen, aktuellen Hostbetriebssystem laufen zu lassen. Damit hätten Sie ein sicheres Grundbetriebssystem, das sich leichter als das XP-Betriebssystem schützen lässt.

Auch diese guten alten Programme, die schon seit vielen Jahren auf Ihrem XP-Rechner laufen, lassen sich virtualisieren.

Um eine Virtuelle Maschine zu erstellen, verwenden Sie Microsofts Disk2VHD und arbeiten Sie mit der kostenlosen Software Microsoft Virtual PC auf einem sichereren Betriebssystem wie Windows 7 oder Windows 8. Das Programm erstellt eine sogenannte Momentaufnahme (Snapshot) Ihres Windows XPs, einschließlich aller installierten Programme, Registrierungen und Dateien, die dann geklont in die Virtuelle Maschine übernommen werden. Das Ergebnis ist die identische Umgebung Ihres realen XP-Betriebssystems, mit dem alleinigen Unterschied, dass es virtuell ist.

Stellen Sie unter allen Umständen sicher, egal ob virtuelles oder reales Betriebssystem, dass Sie den Diensthärtungsprozess für XP durchgeführt haben.

 

Unsere Empfehlung

 

Wir empfehlen dringend, von Windows XP wegzugehen. Es gibt keinen Weg mehr, das Betriebsystem vollständig zu schützen. Es gibt nichts (zumindest nichts wirtschaftlich Plausibles), womit Sie oder Sicherheitsexperten Ihr veraltetes System schützen können.

Außerdem, Sie müssen ja nicht unbedingt bei Windows bleiben. Wenn Sie keine veraltete Software benutzen müssen, die nur unter XP läuft, dann denken Sie über Alternativen nach. Linux-Distributionen wie Ubuntu (und andere Derivate) haben mittlerweile hervorragende Desktop-Betriebssysteme.

 

Sorin Mustaca

IT Sicherheitsexperte

Apple behebt die SSL-Sicherheitslücke für Mac OS X

Apple hat sein Versprechen eingehalten und nach Kritik von Medien und Sicherheitsexperten, die “Goto-Fail-Sicherheitslücke” in der SSL-Anwendung seiner Produkte geschlossen.

Apple Logo

Alle Mac OS X-Anwender sollten ihre Software entsprechend aktualisieren.

Stellen Sie sicher, dass Sie sowohl das Update 10.9.2 für Ihr Betriebssystem Mac OS X 10.9 als auch das Sicherheits-Update 2014-001 herunterladen.

Es ist wirklich überraschend, wie viele Probleme Apple in dieser kurzen Zeit beheben konnte und wie schnell der Patch ausgeliefert wurde. Das kann nur bedeuten, dass Apple die Sicherheitsprobleme seit längerer Zeit bekannt waren, man aber gleichzeitig andere Fehler beheben wollte und deshalb jetzt einen umfangreicheren Patch veröffentlicht hat. Es wäre sicher sinnvoll gewesen, zunächst die Sicherheitslücke zu beheben und die Lösung rasch an die Kunden weiterzugeben, damit sie geschützt sind.

Lesen Sie bitte den KB-Artikel von Apple und erfahren Sie, welche Probleme außer der monumentalen “Goto-Fail-Sicherheitslücke” noch behoben wurden.

gotofail

Wenn Sie deutlich bessere Sicherheit für Ihren Mac wünschen, installieren Sie unsere Free Mac Security. Wir garantieren, dass bei uns derartige Bugs nicht auftreten. :)

 

Sorin Mustaca

IT Sicherheitsexperte

Vielen Dank, dass Sie dieses Posting auf dem Avira Techblog gelesen haben! Für die neuesten Nachrichten folgen Sie uns bitte auf FacebookTwitterGoogle+.

Apple hat einen Patch ausgeliefert, um eine SSL-Sicherheitslücke im iOS zu beheben

Apple hat am vergangenen Freitag, 21. Februar, ein Software-Update auf Version 7.0.6 herausgegeben, um eine Sicherheitslücke in verschiedenen iOS-Versionen zu beheben. Die Sicherheitslücke erlaubt Angreifern eine Man-In-The-Middle-Attacke: die verschlüsselte Kommunikation auf iPhone, iPad und iPod kann gelesen und verändert werden. Das Unternehmen erklärte, es arbeite auch an einer Lösung für das Betriebssystem OS X.

Laut ihrem KB-Artikel konnte das sichere Übertragungsprotokoll (Secure Transport) die Authenzität der Verbindung nicht überprüfen. Man versuchte, das Problem durch die Wiederherstellung fehlender Validierungsschritte zu beheben.

Was heißt das?

Wenn ein Gerät mithilfe der SSL/TLS-Verschlüsselungstechnik mit einem Server kommuniziert, werden verschiedene Schritte abgearbeitet, um sicher zu stellen, dass der Server auch der richtige Server ist. Aufgrund des aufgetretenen Fehlers würden iOS-Geräte sozusagen blind jedem Server vertrauen, der ein gültiges SSL-Zertifikat aufweisen kann (ausgestellt von einer eindeutigen, vertrauenswürdigen Instanz). Wenn Sie zum Beispiel Ihre Online-Bankgeschäfte erledigen, wäre eine Man-In-The-Middle-Attacke dann erfolgreich, wenn es dem Täuschungsserver gelänge, sich durch ein Sicherheitszertifikat als Bankserver auszugeben. Nachdem in der Vergangenheit so viele Zertifizierungsstellen gehackt wurden, ist die Wahrscheinlichkeit groß, dass so ziemlich jede Einrichtung nachgeahmt werden kann.

 

 

Was Sie tun müssen

Sie müssen Ihr iOS aktualisieren.Wenn Sie keine Nachricht wie die untenstehende erhalten, müssen Sie über Einstellungen > Allgemein > Softwareaktualisierung ein manuelles Update durchführen.

ios-update2

Das sollten Sie sehen, wenn Ihr Gerät das vorhandene Update entdeckt hat. Beachten Sie, dass das Update nur durchgeführt werden kann, wenn Sie mit einem Funknetz verbunden sind.

 

ios-update

 

 

Andere iOS-Geräte

Auch andere iOS-Geräte bekamen das Update: Apple TV, iPad v2+, die letzte iPod-Version, iPhone 4+. Für die vollständige Liste schauen Sie bitte auf die Internetseite mit den Apple-Sicherheitsupdates.

Name und Link zu weiteren Informationen Verfügbar für Erscheinungsdatum
Apple TV 6.0.2 Apple TV 2. Generation und neuer 21. Februar 2014
iOS 7.0.6 iPhone 4 und neuer, iPod touch (5. Generation), iPad 2 und neuer 21. Februar 2014
iOS 6.1.6 iPhone 3GS, iPod touch (4. Generation) 21. Februar 2014

 

 

Apple hat noch kein Sicherheitsupdate für das OSX geliefert. Auch wenn Avira mit ihren Produkten dieses Problem nicht lösen kann, für mehr Sicherheit, empfehlen wir trotzdem Avira Free Mac Security zu installieren.  Warum nicht gleich versuchen?

 

Sorin Mustaca

IT Sicherheitsexperte

Vielen Dank, dass Sie dieses Posting auf dem Avira Techblog gelesen haben! Für die neuesten Nachrichten folgen Sie uns bitte auf FacebookTwitterGoogle+.