Virtual Box 5.0 Beta 1 jetzt mit Paravirtualisierung und integrierter Verschlüsselung (aktualisiert)

Virtual Box 5.0 mit Paravirtualisierung

Die Beta 1 von Virtual Box 5.0 beherrscht Paravirtualisierung und kann virtuelle Festplatten verschlüsseln.

Oracle hat die erste öffentliche Beta-Version von Virtual Box 5.0 (Release 99371) veröffentlicht. Das Desktop-Virtualisierungsprogramm bringt einige interessante Neuerungen mit. So unterstützt Virtual Box jetzt Paravirtualisierung, das heißt, dass das virtuelle Gastsystem einen Teil der Hardware vom Wirtssystem übernimmt.

Bei einer normalen Virtualisierung hat der virtuelle Gast, der ja in einem Fenster auf dem Wirt läuft, eigene virtuelle Hardware, die in der Regel nichts mit dem Wirt zu tun hat. Der wichtigste Vorteil von Paravirtualisierung ist, dass das virtuelle Gastsystem damit performanter laufen kann. Allerdings muss es an die neuen Anforderungen angepasst werden, also etwa bestimmte Aufgaben an den Wirt weiterreichen. Laut Release Notes funktioniert Paravirtualisierung mit Virtual Box 5.0 sowohl unter Windows- als auch Linux-Gästen. Wie gut, muss man noch sehen. Read More …

Audit zeigt: Truecrypt 7.1a enthält keine Hintertüren

Truecrypt Audit

In Truecrypt 7.1a wurden keine Hintertüren gefunden, aber eine Handvoll kleinerer Fehler.

Truecrypt war für viele Jahre DAS Verschlüsselungsprogramm. Man konnte mit Truecrypt bis Version 7.1a Container und auch komplette Partitionen verschlüsseln und alle Inhalte so vor fremden Augen schützen. Vor fast einem Jahr, im Mai 2014, wurde das Projekt jedoch plötzlich eingestellt.

Die bis heute unbekannten Entwickler löschten die alte Truecrypt-Webseite und leiten seitdem auf eine neue Seite mit einer Warnung vor ihrem eigenen Programm um. Die auf der Warnseite angebotene Truecrypt-Version 7.2 kann Container nur noch entschlüsseln, aber keine neuen mehr anlegen.

Die Frage war nun, ob Truecrypt wirklich so unsicher ist, wie die Entwickler sagen, oder ob sie zu dieser Stellungnahme gezwungen wurden? Read More …

Malware gibt sich als Voice-Chat aus, verbreitet sich per Steam Chat

Malware Steam

Bild: Malwarebytes

Werdet Ihr per Steam-Chat derzeit zum Download einer Voice-Chat-Software aufgefordert, dann solltet Ihr genau das nicht tun und lieber einen weiten Bogen um die Software machen.

Per Steam-Chat verbreitet sich mal wieder Malware unter den Steam-Usern. Und sie gibt sich mal wieder als Voice-Chat-Lösung aus. Die Masche ist nicht neu, funktioniert aber immer wieder erstaunlich gut. Das liegt unter anderem auch daran, dass die Webseite, von der man sich die Malware herunterladen soll, durchaus professionell wirkt. Read More …

Studie: Wie Menschen auf Überwachung reagieren

Überwachnung nach Snowden: neue Studie

Nur ein kleiner Teil der Menschen, die von den NSA-Enthüllungen gehört haben, hat etwas an ihrem Verhalten im Internet verändert.

Die NSA-Enthüllungen von Edward Snowden haben dazu geführt, dass manche Anwender mehr Wert auf ihre Sicherheit im Internet legen. Zu diesem Ergebnis kommt eine neue Studie des Pew Institute.

87 Prozent der befragten Amerikaner hatten von den Enthüllungen immerhin schon mal gehört. Der Rest hat die letzten Jahre wahrscheinlich hinter einem Felsen verbracht oder interessiert sich überhaupt nicht für das, was auf der Welt geschieht. 34 Prozent der Befragten, denen die NSA-Enthüllungen geläufig sind, antworteten, dass sie mindestens eine Maßnahme unternommen haben, um ihre Sicherheit im Internet zu erhöhen oder um ihre Daten besser zu schützen.

So gaben 17 Prozent an, die Datenschutz-Einstellungen in sozialen Netzen verändert zu haben, 15 Prozent nutzen diese Netze weniger, 15 Prozent verzichten auf manche Apps und 13 Prozent haben Apps aus Datenschutzgründen deinstalliert. Weitere 13 Prozent zensieren sich selbst und vermeiden manche Schlüsselwörter im Internet zu verwenden.

Besonders beeindruckend ist das ja nicht, und man muss sich fragen, warum die Prozentzahlen nicht höher sind? Ein Grund dafür dürfte sein, dass wir in einer Zeit leben, in der viele Menschen gerade dadurch, sich äußerlich normal zu verhalten, nicht auffallen wollen:

Still, others said they avoid taking more advanced privacy measures because they believe that taking such measures could make them appear suspicious:
– „There’s no point in inviting scrutiny if it’s not necessary.“
– „I didn’t significantly change anything. It’s more like trying to avoid anything questionable, so as not to be scrutinized unnecessarily.
– „[I] don’t want them misunderstanding something and investigating me.“

Traurig, aber wohl wahr.

Grundlagen: Java ohne Ask-Toolbar installieren

Eigentlich empfehle ich ja, Java gar nicht mehr auf einem PC zu installieren. Aber es gibt Situationen, wo man es dann doch braucht und sei es nur, um Minecraft spielen zu können.

Warum rate ich von der Installation ab? Erstens ist Java immer noch weit verbreitet und wird deswegen gerne als Angriffsziel ausgewählt. Zweitens enthält Java „traditionell“ unheimlich viele Sicherheitslücken und drittens packt Oracle die überflüssige Ask-Toolbar mit ins Setup, die sich als Standardsuchmaschine im Browser einnistet und die Startseite ändert.

Java ohne Ask installieren

Wenn man auf die Oracle-Webseite geht, um Java herunterzuladen, bekommt man nur noch einen kleinen Downloader, der nach dem Start dann die eigentlichen Installationsdateien von Java herunterlädt. Hier muss man aufpassen, wenn das folgende Fenster erscheint:

Java ohne Ask

Die rot markierten Häkchen müssen entfernt werden, damit die Ask-Toolbar nicht mit Java installiert wird.

Read More …

RSA Conference: In Zukunft ohne Messebabes

Messebabes

Bild: barunpatro, freeimages.com

Anders als noch letzte Woche auf der CeBIT in Hannover wird es auf der kommenden RSA Conference in San Francisco keine knappe und aufreizende Kleidung mehr zu sehen geben, mit der Veranstalter versuchen, Besucher auf ihre Stände zu locken. Sogenannte Messebabes sind – zumindest bei RSA – nicht mehr erwünscht.

Die Security-Webseite Liquid Matrix hat folgenden Screenshot veröffentlicht, der ihr von einer Person mit dem schönen Namen Zenobia Godschalk zugespielt wurde und  Read More …

Sicherheitslücken in mobilen Apps und Geräten

Fast jeder Anwender besitzt mittlerweile mindestens ein Smartphone und oft auch noch dazu ein Tablet. Diese Geräte sind aber immanent unsicher. Neben Sicherheitslücken im Betriebssystem, die immer wieder gefunden werden, und die teilweise von den Herstellern nicht mehr gepatcht werden, sind die Apps das größte Problem.

unsichere Apps

40 Prozent der Unternehmen prüft ihre mobilen Apps nicht auf Sicherheitslücken. Quelle: IBM

Read More …

Bessere Sicherheitsmeldungen mit polymorphen Fenstern

Forscher der Brigham Young University, der University of Pittsburgh und von Google haben etwas herausgefunden (PDF), was den meisten PC-Nutzern schon lange bekannt sein dürfte: Wenn Menschen immer wieder dieselben Sicherheitswarnungen zu sehen bekommen, dann setzt eine Form der Gewöhnung ein, die dazu führt, dass die Anwender die Meldungen irgendwann ignorieren und einfach nur noch wegklicken. Man nennt dies Habituation.

Habituation ist laut Wikipedia eine „einfache (und beim Menschen in der Regel nicht-bewusste) Form des Lernens. Habituation setzt ein, wenn ein Individuum wiederholt einem Reiz ausgesetzt ist, der sich als unbedeutend erweist. Die Reaktion auf diesen Reiz schwächt sich dann allmählich ab und unterbleibt schließlich womöglich völlig.“ Read More …

Windows-Kommandozeile: Alle Startvarianten

Auch hartnäckige „Mausschubser“ benötigen immer wieder die Eingabeaufforderung von Windows, um etwa eine Webseite anzupingen, Systeminfos auszulesen oder um zum Beispiel Regeln für Windows-Passwörter zu konfigurieren. Wie so oft unter Windows gibt es mehrere Möglichkeiten, die Eingabeaufforderung zu öffnen. Die wichtigsten stelle ich in diesem Grundlagenartikel vor.

kommandozeile öffnen

In einem Fenster der Kommandozeile lassen sich nützliche Befehle wie das hier gezeigte „ping“ ausführen, für die Windows keine eigenen grafischen Tools mitbringt.

Read More …

Pwn2Own 2015: Die Browser im Visier der Hacker

Pwn2Own 2015 - Browser als Hacker-Ziel

Pwn2Own 2015: Allein in Firefox fanden die Hacker drei Sicherheitslücken. Mit Version 36.0.3 wurden sie behoben.

Die Sicherheitskonferenz CanSecWest wurde hier ja schon vor zwei Tagen erwähnt. Auf ihr findet seit 2007 auch der Hacker-Wettbewerb Pwn2Own statt. Das Ziel dieses Wettbewerbs ist es, in möglichst kurzer Zeit Sicherheitslücken in aktuellen Browsern zu finden. Als Belohnung winken größere Geldsummen.

Wikipedia hat eine Aufzählung erfolgreicher Exploits veröffentlicht, die in praktisch allen verbreiteten und beliebten Internet-Programmen wie Firefox, Flash, Java, IE, Safari sowie Chrome gefunden wurden. In diesem Jahr wurden vier Fehler im Internet Explorer, drei in Firefox, zwei in Safari und einer in Chrome entdeckt. Read More …