Trends & News | News

Dropbox-Verschlüsseler wird teamfähig

In Version 2.0 der Cloud-Verschlüsselungssoftware BoxCryptor kann man nun auch bestimmten anderen Nutzern Zugriff auf die verschlüsselten Daten gewähren, ohne das eigene Passwort weitergeben zu müssen. Voraussetzung ist, dass alle Beteiligten einen Account beim Anbieter anlegen. Dieser kümmert sich dann um die Verwaltung der Krypto-Schlüssel. Die verschlüsselten Dateien werden wie gehabt mit dem Cloud-Speicherdienst der Wahl synchronisiert.

Für Privatnutzer ist BoxCryptor 2.0 mit den folgenden Einschränkungen gratis: Der Zugriff auf die verschlüsselten Dateien ist nur mit maximal zwei Geräten erlaubt (etwa PC und Smartphone), außerdem funktioniert die Synchronisation nur mit einem Speicheranbieter. Darüber hinaus werden Datei- und Ordnernamen nicht verschlüsselt. Für 36 Euro jährlich kann man diese Einschränkungen aufheben. Bislang genügte eine Einmalzahlung.

Unternehmen zahlen das Doppelte und können die Zugriffsrechte dann auch bequem in Gruppen verwalten. BoxCryptor 2.0 ist nicht zur Vorgängerversion kompatibel, der alte Versionszweig soll jedoch weiterhin als BoxCryptor Classic zu den alten Konditionen gepflegt werden. Die neue Version gibt es bislang nur für Windows, iOS und Android; Mac OS X soll folgen. (axv/rei)

Windows-Rechtemissbrauch trotz Patchday

Microsoft an seinem Juni-Patchday fünf Patch-Pakete (Bulletins) herausgegeben, die Schwachstellen in fast allen Versionen von Windows und Internet Explorer sowie Office 2003 SP3 (und 2011 für Mac OS X) beseitigen. Einer der Windows-Patches soll eine Rechteausweitungslücke schließen, durch die sich ein lokaler Nutzer höhere Rechte erschleichen kann, als ihm zustehen.

Ein weiteres Sicherheitsloch dieses Typs klafft allerdings nach wie vor in Windows: Es wurde Mitte Mai von dem bei Google angestellten Sicherheitsexperten Travis Ormandy entdeckt, der seine Informationen kurz darauf ins Netz stellte – ohne die Windows-Macher vorzuwarnen, wie Microsoft gegenüber c’t bestätigte. Anfang Juni folgte dann auch ein passender Exploit, der eine Eingabeaufforderung mit Systemrechten öffnet; unabhängig davon, mit welchen Rechten man gerade angemeldet ist. Nach derzeitigem Kenntnisstand sind sämtliche Windows-Versionen betroffen. Wann Microsoft die Lücke schließen wird, war bis Redaktionsschluss ungeklärt. (rei)

Hoster Hetzner gehackt

Die Webhosting-Firma Hetzner wurde Opfer eines Hackerangriffs, bei dem die Eindringlinge auch auf Kundendaten zugreifen konnten. Den unbekannten Tätern gelang es unter anderem, das Robot genannte Verwaltungssystem für dedizierte Server zu kompromittieren. In der Datenbank des Robot sind Kundendaten wie Zahlungsinformationen sowie gesalzene Passwort-Hashes gespeichert.

Nach Angaben von Hetzner haben die Eindringlinge auch tatsächlich darauf zugegriffen. Wie viele Datensätze kopiert wurden, konnte das Unternehmen bis Redaktionsschluss nicht beziffern, da die Untersuchungen noch nicht abgeschlossen waren. Hetzner hat die betroffenen Kunden rund eine Woche nach dem Vorfall aufgefordert, ihre Passwörter zu ändern.

Auf den gehackten Servern entdeckte Hetzner nach eigenen Angaben ein bislang unbekanntes Rootkit, das wenig Spuren hinterlassen hat. Statt Dateien auf der Festplatte zu verändern, soll es Apache, OpenSSH und ProFTPD direkt im Arbeitsspeicher manipulieren können. Laut Hetzner gibt es keine Hinweise darauf, dass auch Kundenserver kompromittiert wurden. (rei)

Sicherheits-Notizen

Bei dem Business-Netzwerk LinkedIn kann man seinen Account nun per Zwei-Faktor-Authentifizierung (SMS) schützen. Auch das Cloud-Notizbuch Evernote hat diese zusätzliche Schutzschicht eingeführt, behält sie bislang aber seinen zahlenden Kunden vor.

Den Krypto-Messenger Threema gibt es nicht länger nur für iOS, sondern auch für Android. Der Hersteller verspricht, dass nur der legitime Empfänger einer Nachricht diese auch entschlüsseln kann. Die iOS-Version kostet wie gehabt 1,79 Euro, Android-Nutzer zahlen 1,60 Euro.

Überwachungslösungen und NAS von Qnap enthalten in bestimmten Konfigurationen gravierende Schwachstellen. Patches sorgen für Abhilfe (siehe c't-Link).

Im zPanel-Modul ZPX HT-PASSWD klafft eine kritische Lücke, durch die Angreifer Code in den Server schleusen können (siehe c’t-Link). Bis ein Patch verfügbar ist, sollte man es deaktivieren.

Artikel kostenlos herunterladen

weiterführende Links

Anzeige
Anzeige