Magento‐Shops kompromittiert — Kreditkartendaten werden bereits abgegriffen

Mittels Brute‐Force‐Attacken ver­schaf­fen sich Hacker aktu­ell Zugriff auf den Admin‐Bereich von Online‐Shops, wel­che die Software Magento nut­zen. Dabei wird ein Javascript‐Code ein­ge­fügt, der ab sofort in Echtzeit die Eingabedaten der Shop‐Kunden mit­schreibt und an einen Server in Russland über­trägt. Darin sind die Zahlungsinformationen ent­hal­ten, die dann miß­braucht wer­den kön­nen.

Informationen, wie Sie als Magento‐Shopbetreiber den besag­ten Schadcode iden­ti­fi­zie­ren kön­nen, fin­den Sie im Sicherheitsbeitrag des Entdeckers die­ses Problems. Der Autor gibt dar­in gleich wei­te­re Tipps zur Absicherung wie die Vergabe gehär­te­ter Admin‐Passwörter und vie­le mehr.

Da die­ser Angriff eine mel­de­pflich­ti­ge Datenpanne im Sinne der DSGVO dar­stellt und sich durch den Mißbrauch von Zahlungsinformationen schnell hohe Schadensersatzbeträge auf­sum­mie­ren kön­nen, soll­ten Sie als Magento‐Shopbetreiber zeit­nah prü­fen, ob Ihr Server ent­spre­chend mani­pu­liert wur­de. Mehrere tau­send infi­zier­te Shops sind bereits bekannt.
6. September 2018/von Sascha Kuhrau

WordPress‐Nutzer aufgepasst: Update 4.9.3 schießt automatische Aktualisierungen ab

Allen Nutzern des belieb­ten Content‐Management‐Systems Wordpress wird emp­foh­len, das Update auf Version 4.9.4 umge­hend manu­ell ein­zu­spie­len. Das vor­he­ri­ge Update auf Version 4.9.3 war feh­ler­haft und hat die auto­ma­ti­sche Aktualisierung von Wordpress abge­schos­sen. Somit wer­den nach Version 4.9.3 kei­ne Fixes Sicherheitslücken mehr auto­ma­tisch ein­ge­spielt. Abhilfe schafft aus­schließ­lich das manu­el­le Update auf 4.9.4 im Backend. Nur so wer­den auch zukünf­ti­ge auto­ma­ti­sche Aktualisierungen sicher­ge­stellt. Nutzer von Wordpress soll­ten die­sen Fehler umge­hend manu­ell behe­ben.
10. Februar 2018/von Sascha Kuhrau

Kritische Sicherheitslücke in Browser Firefox

Laut CERT BUND sind alle Versionen des belieb­ten Browsers Firefox vor 58.0.1 von einer kri­ti­schen Sicherheitslücke betrof­fen. Bereits der Besuch einer prä­pa­rier­ten Webseite reicht aus, um Schadcode auf den PC des Besuchers zu brin­gen und auzu­füh­ren. Es wird drin­gend gera­ten, das Update auf die Version 58.0.1 zeit­nah durch­zu­füh­ren. Im Zweifel manu­ell ansto­ßen, nicht auf das Auto‐Update war­ten.
31. Januar 2018/von Sascha Kuhrau

Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren

Seit gerau­mer Zeit rumort es in Anwaltskreisen. Grund ist das beson­de­re elek­tro­ni­sche Postfach, kurz beA genannt. Dies soll­te eigent­lich zum 01.01.2018 ver­pflich­tend zum Einsatz kom­men. Doch dar­aus wur­de nichts. Was mit der Entdeckung eines falsch zur Verfügung gestell­ten Zertifikats Ende 2017 begann (der pri­va­te Schlüssel wur­de mit ver­teilt), fin­det nun sei­nen Höhepunkt. Die Bundesrechtsanwaltskammer (BRAK) emp­fiehlt in einer Pressemeldung die Client Security zu deak­ti­vie­ren, bes­ser den Client gleich kom­plett zu deinstal­lie­ren. Wie es dazu kom­men konn­te, das trotz angeb­li­cher Sicherheitsüberprüfungen ein unsi­che­res Produkt an die Rechtsanwaltszunft ver­teilt wur­de, klärt die Pressemeldung nicht auf.

BRAK‐Vizepräsident Abend erklärt, das “beA erst dann wie­der in Betrieb gehen wird, wenn alle rele­van­ten Sicherheitsfragen geklärt sind.”
27. Januar 2018/von Sascha Kuhrau

Frohes Fest und guten Rutsch

Liebe Leser und Leserinnen unse­res Informationssicherheits‐Blogs, lie­be Interessenten, Kunden und Geschäftspartner!

2018 hält für für jeden von uns Überraschungen und Neuerungen parat. Unternehmen und Behörden berei­ten sich auf die EU Datenschutz‐Grundverordnung vor. Im Kielwasser der DS‐GVO zieht das Thema Informationssicherheit nach. Veränderungen in gewohn­ten Arbeitsweisen wer­den die Folge sein. Der Mensch mag nicht immer die Veränderung, gro­ße Herausforderungen ste­hen daher bevor. Doch auch im Privaten wird es Höhen und Tiefen geben. Kinder und Enkelkinder tre­ten bei dem einen oder ande­ren ins Leben, bei ande­ren wird der Verlust von Angehörigen eine nicht zu schlie­ßen­de Lücke rei­ßen. Doch das Leben wird wei­ter­ge­hen, auch wenn es einem im letzt­ge­nann­ten Fall lan­ge nicht so erschei­nen mag.

Nutzen Sie bit­te die geruh­sa­me Zeit “zwi­schen den Jahren” und zum Neujahrsanfang, um Zeit mit Ihren Lieben und Freunden zu ver­brin­gen. Finden Sie Ruhe und holen Sie Luft, für alles, was 2018 für jeden von uns bereit­hal­ten wird. Herzlichen Dank für Ihr Interesse und die gute Zusammenarbeit im nun fast ver­gan­ge­nen Jahr.

Das Team von a.s.k. Datenschutz wünscht Ihnen und Ihren Lieben ein schö­nes Weihnachtsfest und einen guten Rutsch in ein gesun­des und glück­li­ches Jahr 2018.

Auf Wiederlesen im Neuen Jahr

PS: Statt Weihnachtskarten haben wir in die­sem Jahr erneut der Stefan Hahn Kinderstiftung gespen­det. Es gibt nichts Wichtigeres, als unse­ren Kindern die Chance auf einen guten Start ins Leben zu ermög­li­chen.
22. Dezember 2017/von Sascha Kuhrau

Suchmaschine für gehackte Passwörter

Statt nach kom­pro­mit­tier­ten Email‐Adressen der eige­nen Webaccounts zu suchen, besteht nun auch die Möglichkeit, sei­ne genutz­ten Passwörter zu über­prü­fen. Ob die­se bei einem Hack erfolg­reich geknackt wur­den und somit meist in ein­schlä­gi­gen Kreisen bekannt sind, kann durch einen neu­en Online‐Service geprüft wer­den. Pfiffige Admins nut­zen die bereit­ge­stell­te API und schlie­ßen die­se gehack­ten Passwörter in eige­nen Netz von vorn­her­ein aus. Mehr Infos und den Link zum Prüfservice fin­den Sie im Blogbeitrag.
7. August 2017/von Sascha Kuhrau

Fritz!Box — der Spion im eigenen Haus

Wer sich über Hacking infor­miert, stößt zu Beginn schnell auf Begriffe und Tools wie nmap, Wireshark oder das Hacking‐Betriebssystem Kali‐Linux (als vir­tu­el­le Maschine rea­dy to go zum Herunterladen). Doch so tief muss man gar nicht ein­stei­gen. Die weit ver­brei­te­te Fritz!Box ent­hält eine im Anwender‐Handbuch undo­ku­men­tier­te Mitschneide‐Möglichkeit des KOMPLETTEN Datenverkehrs im inter­nen Netzwerk (egal ob kabel­ge­bun­den oder WLAN). Und das in jedem von uns gete­ste­ten Modell und das seit Jahren. Sofern Remote‐Zugriffe auf die Fritz!Box mög­lich sind, kann der Netzwerkverkehr auch von außen abge­grif­fen wer­den. Eigentlich eine sinn­vol­le Funktion zur Fehleranalyse, bringt die­se Funktion erheb­li­ches Schadenspotential mit sich. Und die Fritz!Box ist bei Unternehmen, Behörden und Privatanwendern sehr beliebt. Entsprechend hoch die Verbreitung. Wohl dem, der eini­ge Sicherheitsmaßnahmen getrof­fen hat. Mehr lesen Sie in unse­rem kom­plet­ten Blogbeitrag.
19. Juni 2017/von Sascha Kuhrau

Handlungsbedarf für Owncloud‐ und Nextcloud‐Betreiber — kritische Sicherheitslücke

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktu­el­len Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kri­ti­schen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind poten­ti­ell ver­wund­bar. Betroffen sind u.a. gro­ße und mit­tel­stän­di­sche Unternehmen, öffent­li­che und kom­mu­na­le Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und pri­va­te Nutzer.

Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hin­ge­wie­sen. Sehr viel ist seit­her nicht pas­siert, wie man der aktu­el­len Meldung ent­neh­men kann. Lediglich ein Fünftel der infor­mie­ren Einrichtungen hat reagiert und die Schwachstelle geschlos­sen. Ob die eige­ne Cloud‐Installation betrof­fen ist, kann mit dem Security‐Scanner von Nextcloud online geprüft wer­den. Sollten Sie in Ihrer Organisation oder pri­vat eine Instanz von Owncloud oder Nextcloud betrei­ben, so prü­fen Sie bit­te zeit­nah unter den Links im Blogbeitrag, ob Ihre Installation betrof­fen ist. Generell soll­te eine regel­mä­ßi­ge Prüfung auf Updates und deren Installation selbst­ver­ständ­lich und ein fester wie­der­keh­ren­der Termin im Kalender sein.
18. März 2017/von Sascha Kuhrau

Ändere‐Dein‐Passwort‐Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels

Heute ist Ändere‐Dein‐Passwort‐Tag. Doch macht der (regel­mä­ßi­ge) Wechsel von Passwörtern wirk­lich Sinn? Oder ist das ledig­lich gefühl­te Sicherheit? Mehr dazu und wei­te­ren Passwort‐Mythen im Blogbeitrag. Vielleicht ein Anlass, bestehen­de Passwort‐Richtlinien zu über­den­ken und anzu­pas­sen.
1. Februar 2017/von Sascha Kuhrau

Wir bauen uns einen Erpressungstrojaner per Mausklick

Erpressungstrojaner im Web per Mausklick zusam­men­stel­len und prä­pa­rier­te Word‐Makros und Windows‐Hilfe‐Dateien zur Verbreitung erhal­ten — das bie­ten die Drahtzieher hin­ter der Ransomware Satan. Über das Tor‐Netzwerk geht das mit­tels Webinterface. 30% Provision wer­den fäl­lig für die Nutzung. Erste Scanner erken­nen die Bedrohung, doch es gibt noch kei­ne Entwarnung. Details im Blogbeitrag.
24. Januar 2017/von Sascha Kuhrau

Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit

Verschlüsselungstrojaner “Goldeneye” greift gezielt und mas­siv Personalabteilungen an. Eine Bewerbung in per­fek­tem Deutsch auf teil­wei­se aktu­el­le Stellenangebote sowie unter Nennung orga­ni­sa­ti­ons­in­ter­ner Details soll den Empfänger dazu ver­lei­ten, eine ange­häng­te XLS Tabelle zu öff­nen. Geschieht dies und ist kein Schutz vor Ausführung von Makros aktiv oder wird die­ser vom Nutzer aus­ge­he­belt, ver­rich­tet Goldeneye sei­nen Dienst ana­log zu sei­nem wohl ver­wand­ten Krypto‐Kollegen Petya. Als Absender wer­den Email‐Adressen eines Ingenieurbüros genutzt, dass unter ande­rem Hilfe bei der Entschlüsselung von befal­le­nen Petya‐Systemen anbie­tet. Erfahren Sie mehr im gan­zen Blog‐Beitrag und sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter — ger­ne unter Nutzung unse­res Beitragstexts.
7. Dezember 2016/von Sascha Kuhrau

Locky erhält Updates

Locky ändert sei­ne Dateiendung von “.locky” in “.odin”. Schlimmer: Locky ist nicht mehr auf sei­ne Steuerungsserver ange­wie­sen. Jetzt geht der bekann­te Krypto‐Trojaner auch off­line ans Werk. Mehr im Blogbeitrag.
20. Oktober 2016/von Sascha Kuhrau