Black Duck: Open Source ist allgegenwärtig – und gefährlich
20.4.2017 - Zahlreiche kommerzielle Anwendungen nutzen Open-Source-Komponenten – häufig allerdings in so alten Versionen, dass sie Sicherheitslücken mitbringen.
Kaum eine Software kommt noch ohne Open-Source-Komponenten aus. Das ist ein Kernergebnis der
Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017, für die der Spezialist für Open-Source-Audits Black Duck Software über 1000 kommerzielle Anwendungen meist anlässlich von Übernahmen untersucht hat. Hier eine Zusammenfassung der Resultate:
- Im Schnitt stammte ein gutes Drittel des Codes aus Open-Source-Projekten.
- Oft werden Versionen mit bekannten Sicherheitslücken, darunter auch Schwachstellen mit einem hohen Risiko, eingesetzt.
- Viele der Lücken sind alte Bekannte: Selbst der seit drei Jahren gestopfte OpenSSL-Bug Heartbleed fand sich noch in 1,5 Prozent der untersuchten Anwendungen.
- Zudem sind beim Einsatz von Open-Sourcre-Software Lizenzprobleme häufig. Laut Black Duck nutzen über 85 Prozent der Anwendungen Open Source, ohne deren Lizenzbestimmungen vollständig einzuhalten.
Die komplette Studie steht nach einer Registrierung bei Black Duck Software zum Download zur Verfügung. (odi)
Quelle: heise.de
Schon wieder: Cloud-Hoster down durch Adminstrationsfehler
8.4.2017 - Nach Amazon Web Services hat es jetzt auch Digital Ocean getroffen: Durch einen Administrationsfehler standen wichtige Dienste mehrere Stunden lang still.
Für genau vier Stunden und sechsundfünfzig Minuten konnten bei Digital Ocean keine virtualisierten Server verwaltet oder neu angelegt werden, wie der US-amerikanische Cloud-Hoster in einem Blog-Eintrag mitteilte. Der Grund war ähnlich trivial wie bei einem – weitreichenderen – Ausfall bei Amazon Web Services: Administratorversagen.
Weiterführende Informationen finden Sie bei heise.de
Malware auf Zerstörungsjagd: BrickerBot let unsichere IoT-Geräte still
8.4.2017 - Unsichere IoT-Geräte werden meist im Stillen gekapert und als Hilfsarmee für DDoS-Attacken eingesetzt. Jetzt wurde eine Malware entdeckt, die solche Geräte einfach vom Netz nimmt – für immer.
Die Sicherheitsfirma Radware hat vor zwei Wochen eine Malware aufgespürt, die ähnlich wie das Botnetz Mirai schlecht abgesicherte IoT-Geräte wie Router, Webcams oder Smart-Home-Infrastruktur angreift. Anders als bei Mirai werden die Geräte nicht gekapert und für DDoS-Attacken eingesetzt, sondern schlichtweg zerstört. Daher der Name BrickerBot: Dem Besitzer bleibt am Ende nur eine Kiste mit dem Nutzwert eines Ziegelsteins. Über einen offenen Telnet-Port verschafft sich der Angreifer Zugriff auf das System und führt dort eine Reihe von Befehlen aus, welche seine eigentliche Funktion nachhaltig schädigen. Die Angriffe zielen auf Geräte, die Linux/BusyBox verwenden.
Weitere Informationen dazu finden Sie bei heise.de
EU-Kommission wendet Verkaufsstopp von WLAN-Routern und Smartphones ab
7.4.2017 - Für Geräte mit Funkschnittstellen wie WLAN-Ausrüstung oder Handys greifen von Juni an laut einer EU-Richtlinie höhere Sicherheitsanforderungen. Da zugehörige Normen fehlen, will die Kommission übergangsweise die alten weiter gelten lassen.
In den vergangenen Wochen war in Deutschland viel von einem drohenden Verkaufsverbot für Smartphones, WLAN-Router und andere Elektrogeräte mit Funkschnittstellen von Mitte Juni an die Rede, nachdem insbesondere das Bundeswirtschaftsministerium Alarm geschlagen hatte. Dem Vernehmen nach hatte sich zwar bereits im Februar eine Lösung abgezeichnet, doch die Spekulationen gingen munter weiter. Nun hat die EU-Kommission genug davon und klargestellt, dass das vom Sommer an befürchtete Verkaufsverbot vom Tisch ist.
Details dazu finden Sie bei heise.de
Hacker übernehmen kompletten DNS einer Bank
7. 4. 2017 - Im Oktober 2016 haben Cyberkriminelle in Brasilien durch Übernahme der DNS Informationen einer Bank alle Ihre Domains übernommen und damit Kundenzugriffe abgegriffen.
Wie Heise aktuell berichtet, gelang es im Oktober 2016 einer Gruppe von Hackern, die DNS Informationen einer Bank - in Summe 36 Domains - auf Ihre Systeme umzulenken. Auf diesen Systemen waren Kopien der echten Homepages bereitgestellt. Wenn ein Kunde ein Login durchgeführt hat, haben die Hacker die Login Daten abgegriffen und weitergeleitet. Damit war es für typische Bankkunden nicht möglich, überhaupt zu erkennen, dass etwas nicht korrekt war.
Wären die Hacker nicht so gierig gewesen und hätten versucht, den Kunden auch gleich Schadcode unterzujubeln, wäre dies vermutlich erst später aufgefallen, da der Angriff an einem Samstag gestartet wurde. Da alle Domains der Bank übernommen waren, konnten die Kunden auch nicht via eMail mit der Bank Kontakt aufnehmen bzw. die Bank konnte Ihre Kunden auch nicht via eMail warnen.
Massiver Anstieg bei gemeldeten Datenpannen in Deutschland
3. 3. 2017 - Die bayrische Datenschutzaufsicht verzeichnet einen starken Anstieg bei gemeldeten Datenpannen. Viele dieser Pannen gehen auf Hacking-Angriffe zurück. Oft führen auch Bürgerbeschwerden zu nicht gemeldeten Angriffen.
Die EU-Datenschutzgrundverordnung wirft Ihre Schatten voraus. Immer mehr Datenpannen werden von Unternehmen gemeldet oder durch Bürgerbeschwerden aufgedeckt. Nur der Umgang damit läßt noch zu wünschen übrig.
Details zu dem Bericht finden Sie bei Heise.