Spamwelle zu Weihnachten?


Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die Antispam-Massnahmen der weitverbreitesten Mailserver können ausgehebelt werden. Sogar die Vortragsreise dazu ist schon geplant. Nur: Der weitverbreiteste Mailserver weiss davon nichts, seine User sind ungeschützt.

Im Sommer entdeckt ein Mitarbeiter der im deutschsprachigen Bereich verwurzelten SEC Consult eine Lücke bei der Übermittlung von Mails zwischen Mailservern. Da sie leicht unterschiedliche Kriterien anlegen, wo eine Nachricht endet, können Mails mit „gut gefälschten“ Absenderadressen verschickt werden. Solche, die von etlichen Mailinstallationen nicht erkannt werden.

Die Betreiber von mehreren Millionen Mailservern im Internet (mit vielleicht Hunderten Millionen Nutzern?) werden nicht informiert, auch nicht die Leute hinter der Software. Eine koordinierte Information der Betroffenen findet nicht statt.

So sollte man eine Sicherheitslücke nicht kommunizieren. Mehr dazu in meinem DNIP.ch-Artikel von heute Morgen.

Wenn sich alle Administratoren von Postfix-Mailsystemen heute noch ins Zeug legen, können sie ihre Nutzerinnen und Nutzer noch vor unerkanntem Spam oder Phishing über die Feiertage schützen. Wietse Venema, der Kopf hinter dem beliebtesten Mailserver, Postfix, hat das Problem und Workarounds kurz und knapp zusammengefasst.

Eine Überblick über 12 von SMTP Smuggling betroffenen Mailsysteme und ihren Status findet sich hier.


Aktuelles zu IT-Sicherheit

  • Endet die Zeit im Jahr 2038?
    Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
  • Spamwelle zu Weihnachten?
    Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die Antispam-Massnahmen der weitverbreitesten Mailserver können ausgehebelt werden. Sogar die Vortragsreise dazu ist schon geplant. Nur: Der weitverbreiteste Mailserver weiss davon nichts, seine User sind ungeschützt. Im Sommer entdeckt ein Mitarbeiter der im deutschsprachigen Bereich … Weiterlesen: Spamwelle zu Weihnachten?
  • «5 Minuten für mehr Datenschutz»: Tracking vermeiden
    «Überwachungskapitalismus» wird der Versuch vieler Webseiten auch genannt, uns dauernd zu überwachen und aus diesen persönlichen Daten Kapital zu schlagen. Trotz vieler Fortschritte helfen Gesetze da bisher nur Ansatzweise. «Eigenverantwortung» ist also wieder einmal angesagt…
  • 2FA verschwindet in der Cloud
    Zwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch Googles Synchronisation in die Cloud wird der Schutz aber massiv geschwächt.
  • IT-Sicherheit ≠ Bürostuhl
    Der Bund hat am 17. Juli 2023 einen Brief an seine Informatikdienstleister verschickt. Die Forderungen reichen von selbstverständlich bis fragwürdig. Wir haben sie aus IT-Sicherheitssicht analysiert und mit Hinweisen für alle IT-Verantwortlichen versehen, egal ob öffentliche Hand oder Privatwirtschaft.
  • 📹 Cloud: Technologie für Datenschutz?
    Moderne Technologie wie Homomorphe Verschlüsselung könne vielleicht künftig den Datenschutz in der Cloud garantieren, meinte kürzlich der oberste Datenschützer. Hier Hintergründe und Schlussfolgerungen.
  • SBB-Kundentracking: Offene Fragen
    Seit einer Woche wird heiss über die zukünftige biometrische Verfolgung der Bahnhofsbesucher diskutiert. Hier ein paar Bemerkungen und Fragen zum «Kunden­Frequenz­Mess­System 2.0» aus technischer Sicht.
  • Cloud-Sicherheit am Winterkongress
    Am Winterkongress der Digitalen Gesellschaft halten Adrienne Fichter, Patrick Seemann und ich zwei Vorträge zu Cloud-Sicherheit am 25. Februar. Es hat noch freie Plätze!
  • Jugendschutzgesetz: Ein kleiner Medien-Faktencheck
    In der letzten Woche haben sowohl Tagesanzeiger als auch NZZ über das JSFVG berichtet. In den jeweiligen Artikeln werden die Aussagen der Befürworter des aktuellen Gesetzestexts jedoch sehr unkritisch übernommen. Patrick Seemann und ich haben das nachgeholt.
  • Rechteausweitung von Google mit Maps
    Google Maps ändert seine URL von maps.google.com auf google.com/maps. Eigentlich sollte das keine Schlagzeile wert sein müssen. Wieso doch, darüber diskutieren Martin Steiger und ich.
  • Was uns Ransomware zu Datenschutz und Datensicherheit lehrt
    Winterzeit ist Viruszeit. Neben Menschen erkranken aktuell aber auch wieder vermehrt Computer, aktuell an Ransomware. In der Cloud ist ein grosser Mailhoster und dessen Kunden schon mehrere Tage betroffen. Ausserhalb der Cloud läuft eine Welle, welche sich auf russische Amtsstuben zu fokussieren scheint. Vermutlich werden Varianten von beiden aber demnächst auch anderswo auftauchen. Und auch … Weiterlesen: Was uns Ransomware zu Datenschutz und Datensicherheit lehrt
  • Hinter den Kulissen der Verschlüsselung
    Verschlüsselung nutzen wir täglich: Kaum mehr eine Webseite, Nachricht oder Mail nutzt nicht mindestens ein bisschen Verschlüsselung. Und trotzdem wissen viele nicht, wie sie funktioniert. Hier ein Blick hinter die Kulissen, mit ganz wenig Mathematik.

Bleibe auf dem Laufenden!

Erhalte eine Mail bei jedem neuen Artikel von mir.

Ca. 1-2 Mails pro Monat, kein Spam.

Folge mir im Fediverse


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Webapps