Websicherheit.org

Heise.de beschreibt in diesem Artikel eine Vorgehensweise, mit denen Angreifer ein Benutzerpasswort beim lokalen Zugriff auf die entsprechende Hardware knacken könnten.

Beide Methoden im Heise Artikel würden erfordern, dass der Angreifer einen eingeschalteten, ungesperrten Mac vorfindet.

Es geht allerdings etwas einfacher.
Ein Freund hatte mich kürzlich auf diesen Artikel aufmerksam gemacht.
Also Rechner einschalten, Befehlstaste (cmd) und R gedrückt halten und man befindet sich auf der Recovery Konsole, mit der man das Passwort für einen bestimmten resetten kann.
Handelt es sich um eine Mc OS X Version vor Lion, dann kann man mittels einer Wiederherstellungs-DVD auf diese Funktion zugreifen.

Wie verhindert man einen derartigen Zugriff?
EFI Firmware Passwort setzen. Dieses sollte man aber nicht vergessen, sonst ist ein Besuch beim Mac-Händler fällig.
Ob eine vollständige Verschlüsselung (Truecrypt) der Benutzerpartition(en) einen Erfolg verspricht wird noch von meinem Freund getestet.

• Byte-Range-Fehler in Apache wird nach gebessert – @heise.de
• Google führt Widerspruch gegen Erfassung von WLAN-Access-Points ein – @golem.de
• Keine Patches mehr für Macs mit PowerPC – @zdnet.de
• BSI veröffentlicht IT-Grundschutz-Überblickspapier zur Smartphone-Sicherheit – @bsi.bund.de
• Urheberrecht und Bildlizenzen – Überblick und Hinweise – @tecchannel.de

Ende letzten Monats hatte ich mit einer Quick-News Meldung auf gefälschte Zertifikate der Zertifizierungsstelle DigiNotar hingewiesen.
In dieser Meldung gab es auch einen Workaround, wie man dieses Zertifikat entfernt.
Wem diese Methode der Entfernung nicht geläufig war, oder bisher noch nicht dazu gekommen ist, der muss diese für die Mozilla-Produkte nicht zwingend durchführen, denn Mozilla hat aktualisierte Versionen seiner Produkte zum Download freigegeben.
Details dazu findet man in den Security Advisories für:

• Firefox 6.0.1
• Firefox 3.6.21
• Thunderbird 6.0.1
• SeaMonkey 2.3.2

Wer das entsprechende Zertifikat in den Mozilla Produkten bereits manuell entfernt hat, bekommt trotzdem die entspechende aktualisierte Version (Firefox 6.0.1 und Thunderbird 6.0.1) zum aktualisieren automatisch angeboten.
Bei Firefox 3.6.21 und SeaMonkey 2.3.2 muss das Update entweder manuell angestoßen wer werden, bzw. die Version von Firefox 3.6.21 und SeaMonkey 2.3.2 herunter geladen und installiert werden.

Was den Opera Browser betrifft…
…im Security Blog von Opera ist zu lesen, das keine neue Version des Browsers herausgegeben wird.
Die Gültigkeit der SSL-Zertifikate wird auf einer Sperrliste der Certificate Revocation List (CRL) geprüft.

Trotzdem muss man die Augen offen halten und die Adressleiste nach Eingabe der Adresse beobachten.

Was den Internet Explorer betrifft, so schreibt Heise in diesem Artikel, das die Browser von Microsoft ebenfalls von der Sperrliste der Certificate Revocation List geprüft werden.
Nach eigenen Tests von Heise scheint das beim IE9 nicht zuverlässig zu funktionieren.
Außerdem sollen von Microsoft für Windows XP und Windows Server 2003 entsprechende Sicherheitsupdates zur Verfügung gestellt werden.

Update 1:
Das Anonymisierungs-Projekt TOR war ebenfalls von diesem Zwischenfall betroffen und hat 12 Zertifikate der Zertifizierungsstelle DigiNotar entfernt.

[...] Dieser Vorfall hat keinen Einfluss auf die Funktionalität von Tor-Clients oder dem Tor-Netzwerk selbst, seit Tor nicht mehr die fehlerhafte CA-System verwendet.[...]

Quelle: https://blog.torproject.org/blog/diginotar-debacle-and-what-you-should-do-about-it

Laut einem Artikel von nu.nl gibt es weitere Opfer wie z.B. Yahoo und WordPress.

Update 2:
Heise.de schreibt gestern in diesem Artikel, das weit mehr Zertifikate gefälscht wurden, als anfangs angenommen. Die Zahl der manipulierten Zertifikaten bewegt sich auf 500 zu.
Betroffen sind davon u.a. Geheim- Nachrichtendienste wie sis.gov.uk, cia.gov oder mossad.gov.il.
Weitere Opfer sind facebook.com, twitter.com, aol.com, android.com.
Die Angreifer haben auch Zertifikate für microsoft.com, windowsupdate.com, login.live.com und skype.com gefälscht.
Bevor jetzt die Frage aufkommt, ob den MS-Updates für kommende Woche zu vertrauen ist…
…die Zertifikate der betroffenen Domains wurde in Vorfeld widerrufen.
Darüber hinaus müssen Windows-Updates selbst nochmal signiert sein, um
vom Updater eingespielt zu werden.
Derzeit existieren keine Hinweise, das Diginotar für Windows-Update gültige Codesigning-Zertifikate ausgestellt hat.

Was bedeutet das über kurz oder lang für Diginotar?
Nach Einschätzung von Felix von Leitner (Fefes Blog) wohl ein klassischer Genickbruch.

Update 3:
Nachdem Google, Mozilla und Microsoft entsprechende Patches heraus gegeben haben, zieht Apple nun mit einem Update nach und hat DigiNotar aus der Liste der vertrauenswürdigen Stammzertifikate und aus der Liste der Extended-Validation-Zertifizierungsanbieter verbannt.
Das Security Update 2011-005 steht für die Betriebssysteme Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.1 und Lion Server v10.7.1 zur Verfügung und sollte zügig eingespielt werden.

• Bald freies Tool verfügbar, mit dem man die Netzneutralität testen kann – @heise.de
• Windows Phone 7 loggt gegen den ausdrücklichen Wunsch der Nutzer Standortdaten mit – @tecchannel.de
• Zertifikatsüberprüfung bei Mac OS X unzuverlässig – @heise.de
• Der Heise-Artikel hat ein Update erfahren und bietet einen Workaround

• Gefälschtes Google Zertifikat im Umlauf – @golem.de
• Wie man dieses Zertifikat im Firefox manuell löscht steht hier beschrieben.
• Schwachstelle bei Gopher-Anfragen im Web-Proxie Squid behoben – @heise.de
• NSA gibt Tipps zum Absichern von Mac OS X – @zdnet.de

• Update für Mac OS X Lion 10.7.1 behebt 5 Fehler – @tecchannel.de
• Erste Schwachstelle im AES-Algorithmus gefunden – @tecchannel.de
• Spam-Mails im Umlauf, welche von vermeintlicher Krankenkasse stammt – @sueddeutsche.de

• Warnung von Stuxnet Varianten – @heise.de
• Schwachstelle in ClamAV geschlossen – @tecchannel.de
• Microsoft sammelt WLAN-Daten von PCs und Smartphones – @heise.de
• Passwörter bei Mac OS X 10.7 und Mac OS X 10.6 nicht sicher – @zdnet.de

• Hacker Angriffe auf zivile Ziele erwartet – @tecchannel.de
• Kritische Sicherheitslücken in phpMyAdmin geschlossen – @heise.de
• Fehler bei der Validierung von SSL-Zertifikaten in Apples iOS – @heise.de
• Sehr gutes Video zur Anatomie von Stuxnet – @Patrick Clair
• Neuer unbekannter Exploit-Kit mit schwacher Virenscanner Erkennung – @virustotal.com

Heise.de berichtet hier einleitend…

Durch eine Sicherheitslücke lassen sich die Akkus von Apple-Notebooks unbrauchbar machen. Die Gefahr, dass der Akku explodiert oder ein Notebook mit Schadcode infiziert, besteht jedoch nicht. Mehr…

Quelle: http://heise.de/-1284631

Meine Meinung:
Ich werde alt. Oder besser gesagt, man lernt nie aus.
Wer hätte gedacht, das Akkus mit dem System kommunizieren. Andererseits, für Apple nicht untypisch.
Immerhin kann man damit verhindern, das Fremd-Akkus verwendet werden.
Besonders gelungen zu der Thematik ist ein Betrag von derOnkel74 im Heise Forum.

• Google warnt in Suchergebnissen vor Virenbefall – @heise.de
• Erneut Phishing-Angriffe auf Sparkassenkunden – @eleven.de
• Microsoft veröffentlicht aktualisierten Leitfaden zu Sicherheitsupdates – @tecchannel.de
• Symantec stellt PGP-Viewer für’s iPhone zur Verfügung – @pcwelt.de