Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Zoom, Zoom, Zoom
9. Juli 2019

In der Video-Chat Software "Zoom" gibt es einen Bug, der es Angreifern erlaubt mittels einem einfachen Link auf einer Webseite die Kamera einzuschalten und (zumindest Apple/Mac, für Windows haben wir aber auch schon erste Gerüchte vernommen) Benutzer ohne Rückfrage in Videochats einzubinden. Die Implikationen für Privatsphäre sind offensichtlich. Siehe den Artikel bei medium.com.

Ebenso schwerwiegend scheint mir aber, dass auch nach Deinstallation noch ein lokaler Webserver übrigbleibt, über den die Software automatisch und ohne weitere Rückfrage wieder nachinstalliert werden kann. Eine Nachkontrolle, was denn alles auf dem eigenen Gerät so läuft und auch noch am Netz (und sei es nur auf localhost) lauscht, ist eine gute Idee und sollte regelmässig durchgeführt werden. Und man fragt sich auch, ob derartige "Komfort"-Features wirklich sein müssen...

Weiters, um den Artikel-Autor zu zitieren: "When responding to responsible disclosure, don't go into PR spin mode. It's counterproductive." Dem kann ich mich nur vollinhaltlich anschliessen.

(Und falls sich jemand gefragt hat, warum grade in der IT-Security Branche viele Leute ihre Laptop-Kameras abkleben - hier ist ein gutes Beispiel.)

Autor: Robert Waldner

In eigener Sache: CERT.at sucht Verstärkung
2. Juli 2019

Für unsere täglichen Routineaufgaben suchen wir derzeit 1 Berufsein- oder -umsteiger/in mit ausgeprägtem Interesse an IT-Security, welche/r uns bei den täglich anfallenden Standard-Aufgaben unterstützt.

Details finden sich auf unserer Jobs-Seite.

Autor: Robert Waldner

Das CERT, das Wolf rief
11. Juni 2019

Die Fabel ist bekannt: dem Hirtenjungen war fad, er schlug Alarm ("Wolf!"), um die Eintönigkeit zu vertreiben, und als dann der Wolf wirklich da war, hörte keiner mehr auf seinen Hilferuf.

Wir haben regelmäßig ein ähnliches Thema: Wir sollen möglichst früh vor kommenden Problemen warnen, aber wenn der vorhergesagte Notfall doch nicht eintritt, dann senkt das unsere Glaubwürdigkeit. Natürlich ist verlockend zu sagen, dass nur dank unserer Warnungen diese Störungen vermieden wurden, aber das ist nicht realistisch. Wie ich schon mal geschrieben habe: die Vorhersage, aus welcher Schwachstelle letztlich ein großflächiges Problem wird, ist schwierig.

Bei unsere letzten beiden Warnungen hab ich zunehmend die gegenteilige Angst. Sowohl bei RDP ("BlueKeep") als auch beim Exim Bug mehren sich die Hinweise, dass diese Schwachstellen bald breitflächig ausgenutzt werden.

Daher: bitte wirklich patchen. In beiden Fällen sind die Fixes über die normalen Kanäle erhältlich. Es sollte daher keine Klimmzüge brauchen, diese einzuspielen. Wenn aber das System schon so alt ist, dass Updates nicht mehr einfach verfügbar sind, dann wäre das jetzt ein perfekter Anlass, den lange aufgeschobenen Upgrade endlich durchzuführen.

Autor: Otmar Lendl

CEO Fraud goes WhatsApp
24. Mai 2019

Uns wurde in den letzten Tagen von zwei Firmen berichtet, dass sie Ziel von CEO Fraud Versuchen waren, wobei der Kontakt per WhatsApp Nachricht erfolgte.

Wir kannten das Schema bisher eigentlich nur per Email: Der "Geschäftsführer" verlangt per Mail die Hilfe bei einer wichtigen, aber vertraulichen Überweisung. Details siehe Wikipedia.

Daher: bitte hier nicht nur an Email denken. Diese Betrugsmaschen sind oft vom konkreten Medium unabhängig, daher sollten entsprechende Gegenmaßnahmen (Awareness, Vier Augen Prinzip, Verifikation über zweiten Kanal, klare Geschäftsprozeduren, ...) sich auch nicht nur auf Email beziehen.

Autor: Otmar Lendl

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
Kritische RCE Schwachstelle in Oracle WebLogic Server
19. Juni 2019 | Beschreibung | Mehrere ...
mehr ...
Zoom, Zoom, Zoom
9. Juli 2019 | In der ...
In eigener Sache: CERT.at sucht Verstärkung
2. Juli 2019 | Für unsere ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/7/9 - 10:31:52
Haftungsausschluss / Datenschutzerklärung