Archive for: ‘Februar 2014’
Kritische SSL-Sicherheitslücke in iOS 6 und 7
Die aufmerksamen Leser von Heise werden sie schon kennen. Den anderen sei sie dringend ans Herz gelegt.
Die bekannt gewordene Sicherheitslücke in der Verifizierung von SSL-Zertifikaten ermöglicht es wohl "Dritten in einer privilegierten Netzwerkposition", was vermutlich das gleiche LAN bedeutet, SSL-"gesicherte" Kommunikation abzufangen, entschlüsseln und ggf. zu ändern.
Ein Update auf 7.0.6 respektive 6.1.6 sollte schnellstmöglich durchgeführt werden.
Autos erzählen live vom CeBIT-Alltag
Mit Cloud und Analytics sicher ins Internet der Dinge
Warum eine gesicherte Updatestrategie auch bei Smartphones wichtig sind
Auf Metasploit berichtet Tod Beardsley über den Exploit einer Sicherheitslücke in Android Versionen < 4.2, die bereits seit 2012 bekannt ist. Anscheinend war nur das ganze Ausmaß des Dramas bisher nicht offensichtlich. Tod jedoch demonstriert einen Exploit, mit dem es möglich ist, per Command Shell auf das infizierte Gerät zuzugreifen.
Was bedeutet das?
Wie es Tod in einem Kommentar formuliert: "Pretty much keys to the kingdom". Damit geht im Wesentlichen alles. Das Gerät kann komplett ferngesteuert werden... Wie wäre es mit einem Passwort-Diebstahl z.B. vom Online Banking? Oder mal das Mikro anzapfen und das Vorstandsmeeting abhören? Eigentlich habe ich es aufgegeben, im Kopf irgendwelche Szenarien durchzuspielen, was möglich ist und was nicht, denn irgendetwas übersehe ich bestimmt. Vielleicht sollte ich meine Sicherheitssensitivität nicht von meiner Fantasie, sondern von der anderer abhängig machen...
Wie kann man sich schützen?
Zunächst einmal nicht auf jeden Link "klicken" oder jeden QR-Code einlesen. Selbst dann nicht, wenn die Quelle vermeintlich vertrauenswürdig ist. Spoof, gehackte Mailkonten und gefälschte QR-Tags sind immerhin kein Neuland. So far, so gar nicht neu.
Vielleicht wäre es einen Gedanken wert, über die MDM-Suite des Vertrauens die Nutzung von QR-Codes zu verbieten? Und möglicherweise könnte ein Proxy auch für die Smartphones ein kleines bisschen Sicherheit wiederherstellen? Zumindest werden Proxies ja im normalen Desktop-Kontext auch mit diesem Gedanken eingesetzt.
Und natürlich die im Titel angedeutete Update-Strategie. Was hier der Android-Community mal wieder auf die Füße fällt ist, dass, obwohl es (theoretisch) seit Dezember verfügbar ist, das neueste Android Update auf Version 4.4 "KitKat" laut Google bisher erst einen Verbreitungsgrad von gerade mal 1,4% erreicht hat. Umgekehrt sind ca. 70% aller noch im Umlauf befindlichen Androiden potentiell von der Sicherheitslücke betroffen. Zu nicht geringen Teilen werden sogar neue Smartphones auch von renommierten Herstellern noch mit veralteten Android-Versionen < 4.2 ausgeliefert. Wie im ersten Artikel (CSO) beschrieben, betrifft das vor allen Dingen billige Smartphones. Nur mal zum Vergleich, was den Verbreitungsgrad der letzten OS-Version auf Volkes liebster mobiler Spielekonsole angeht: iOS 7 ist aktuell auf 82% aller aktiven Ei-Geräte installiert. Der Rest hat vermutlich einfach verpasst, auf "Update" zu drücken.
Aber auch eine gute Update-Versorgung vom Hersteller/Provider hilft nur dann, wenn sie auch auf den Endgeräten ankommt. In jeder Windows-Domäne werden Updates zentral verteilt und erzwungen. Warum nicht auch auf dem Smartphone? Wir alle wissen, dass viele Nutzer nicht auf "Aktualisieren" klicken, wenn sie gefragt werden - oftmals sogar aus nachvollziehbaren Gründen. Die Frage an sich ist schon falsch.
Die Moral von der Geschicht'?
Unsere MDM-Wunschfeatures des Woche sind:
- Verbieten von QR-Codes und wenn wir schon dabei sind: NFC (mindestens genauso gefährlich)
- Erzwingen eines Web-Proxies, sofern dies zur Sicherheitsstrategie des Unternehmens gehört
- Inventarisierung und Übersicht über verwendete OS-Versionen
- zentrale Verteilung von OS-Updates
- Festlegung einer minimalen OS-Version, die auf die Server zugreifen darf
Lynn-Kristin Thorenz von IDC zu Social Business, den Angeboten der IBM und IBM Mail Next
Ein Interview, das wir mit Lynn-Kristin Thorenz im Januar auf der IBM Connect geführt haben. Lynn spricht über Social Business, dessen Bedeutung, das Angebot der IBM und IBM Mail Next. Sehr empfehlenswert.
[DE] Lynn-Kristin Thorenz von IDC zu Social Business, den Angeboten der IBM und IBM Mail Next
Ein Interview, das wir mit Lynn-Kristin Thorenz im Januar auf der IBM Connect geführt haben. Lynn spricht über Social Business, dessen Bedeutung, das Angebot der IBM und IBM Mail Next. Sehr empfehlenswert.
Filed under: Deutsch Tagged: E-Mail, IBM, IBMConnect, SocBiz
Die Übernahme von Whatsapp ist ein “herausfordernder Anwendungsfall von Big Data”
Interview: Der Kulturwandel ist im Social Business die große Herausforderung – Frank Heuer interviewt Alexander Broj [YouTube]
Veröffentlicht am 19.02.2014
Wer Social Business selber lebt, der kann auch auf Augenhöhe mit den Anwendern der Firmenlösungen arbeiten. Frank Heuer, Senior Analyst der Experton Group, im Gespräch mit Alexander Broj, Social Business Leader bei IBM Deutschland. Alexander Broj gehört zu den Persönlichkeiten, die die Entwicklung des Social Business Ansatzes von Beginn an mit voran getrieben haben. "Social Business ist keine Softwareentscheidung", sagt Alexander Broj und führt aus, dass viele Organisationeinhieten bei den Kunden inzwischen auf Social Business Plattformen setzten, aber, so Alexander Broj, eine der größten Herausforderungen sei, "den Kulturwandel hinzubekommen". IBM Deutschland wurde von der Experton Group als Social Business Leader 2014 ausgezeichnet.
via Interview: Der Kulturwandel ist im Social Business die große Herausforderung Heuer / Broj - YouTube.
Verschlüsselt
Deutsche Schüler bleiben bei WhatsApp – durch ihre Rechtschreibung sind die Nachrichten ausreichend verschlüsselt.
— Maik Buttowski (@MaikButtowski) 21. Februar 2014
Social Media Guard
Geniale Erfindung. Ich bestell mal gleich eine Familienpackung.
Liste mit Support-Ende-Daten für IBM Lotus-Produkte
Support Lifecycle, gefiltert auf Lotus (!)-Produkte
http://www-01.ibm.com/software/lotus/support/lifecycle/
Ein paar Schmankerl:
- Die ältesten Produkte in der Liste sind Lotus Notes und Lotus Domino 5.0.x, die am 20.03.1999 erschienen sind.
- Das älteste Produkt in der Liste, für das IBM heute noch Support anbietet, ist die Lotus SmartSuite 9.8.0, die am 22.10.2002 erschienen ist (Support-Ende zum 30.09.2014), dicht gefolgt von Lotus EasySync Pro, das am 17.12.2002 erschienen ist (Support-Ende zum 30.04.2014).
- Das älteste Produkt, für das IBM noch kein Support-Ende angekündigt hat, ist Lotus Workflow, das am 07.10.2005 erschienen ist.
- Das Produkt, für das IBM am längsten Support angeboten hat, ist wieder die Lotus SmartSuite 9.8.0 mit 4361 Tagen.
- Das Produkt, für das IBM am kürzesten Support angeboten hat, ist Workplace for Business Controls and Reporting 1.0.x mit nur 512 Tagen.
Liste mit Support-Ende-Daten für IBM Lotus-Produkte
Support Lifecycle, gefiltert auf Lotus (!)-Produkte
http://www-01.ibm.com/software/lotus/support/lifecycle/
Ein paar Schmankerl:
- Die ältesten Produkte in der Liste sind Lotus Notes und Lotus Domino 5.0.x, die am 20.03.1999 erschienen sind.
- Das älteste Produkt in der Liste, für das IBM heute noch Support anbietet, ist die Lotus SmartSuite 9.8.0, die am 22.10.2002 erschienen ist (Support-Ende zum 30.09.2014), dicht gefolgt von Lotus EasySync Pro, das am 17.12.2002 erschienen ist (Support-Ende zum 30.04.2014).
- Das älteste Produkt, für das IBM noch kein Support-Ende angekündigt hat, ist Lotus Workflow, das am 07.10.2005 erschienen ist.
- Das Produkt, für das IBM am längsten Support angeboten hat, ist wieder die Lotus SmartSuite 9.8.0 mit 4361 Tagen.
- Das Produkt, für das IBM am kürzesten Support angeboten hat, ist Workplace for Business Controls and Reporting 1.0.x mit nur 512 Tagen.