TelkoTalk

Wieder ist ein Jahr vorbei. Grund genug, kurz innezuhalten. Was war, was wir kommen?

Natürlich kann man nicht alle Ereignisse und Trends erahnen. Das ist auch besser so. Wer konnte sich auch nur im Traum eine Katastrophe wie in Japan vorstellen? Ein schweres Erdbeben, ein gigantischer Tsunami und die Kernschmelze in drei Reaktoren des Atomkraftwerks in Fukushima. Seit dem ist der Atom-Ausstieg Konsens und die Strompreise steigen wegen der Mehrkosten für regenerativ erzeugten Strom auch in den nächsten Jahren weiter an. Man braucht daher keine Kristallkugel, um zu erkennen, dass “Green IT” oder wenigstens besonders sparsame IT auch 2012 ein Hauptthema sein wird. Selbst wenn man den Umweltaspekt außen vor läßt, bei den zu erwartenden Strompreisen lohnt der Invest in sparsamere Technik allemal.

Bei den Mobilfunkherstellern wird es spannend. Schafft der einstige Branchenprimus Nokia mit dem Fokus auf Windows Phone die Wende?  Viele Experten halten die Festlegung auf Windows Phone und die enge Bindung an Microsoft für einen schweren Fehler, der Nokia die Existenz kosten könnte. Außerdem bleiben die zahlreichen Patent- und Geschmacksmusterklagen, die man als Apple gegen den Rest der Mobile-Welt zusammenfassen könnte. Die Kunden haben längst entschieden und greifen immer mehr zu Android statt Apples IOS. Aber Apple wird mit einem guten zweiter Platz sicherlich auch leben können. Für RIMs Blackberry wird sicherlich auch in Zukunft die Business-Nische bleiben. Und für Windows Phone? Da ist es fraglich, ob für Microsoft noch Platz am Markt ist. Aktuell ist der Markanteil von Windows Phone geringer als der von Samsungs eigenem System BADA. Beide liegen abgeschlagen unter 2%.

Kommen wir zum Datenschutz. Im Jahr 2011 hatten wir diverse Skandale, die es bin in die Abendnachrichten der großen TV-Sender geschafft haben.  Da wurden Sony Millionen Datensätze aus mehreren Netzwerken gestohlen. Rewe wurden die Kundendaten einer Bildertauschbörse entwendet. Und erst vor wenigen Tagen wurden der US-Sicherheitsfirma Strafor Kreditkarten gestohlen. Dagegen ist die Erkenntnis, das facebook gelöschte Daten doch nicht löscht, fast schon harmlos. Ein Student aus Österreich hatte eine Datenauskunft angefordert und nach längerem Tauziehen bekommen. Ausgedruckt wären es mehr als 1500 Seiten Papier gewesen, was facebook nur über diese eine Person alles gespeichert hat.

2012 muss das Jahr des Datenschutzes werden. Datenschutz hinsichtlich der Selbstbestimmung der Bürger, was mit ihren Daten passiert und wer eigentlich wieviel speichern darf. Der Blogger hat im vergangenen Jahr bei einigen SPAM-Mails mal eine Datenauskunft eingefordert und war sehr irritiert, zu welchen Nachtzeiten er an Gewinnspielen teilgenommen haben soll und diese sogar per Opt-IN betätigt habe. Besonders irritierte ihn die Tatsache, mit welchen Providern er das gemacht haben soll. Und dass am Ende immer wieder die gleichen Firmen diese Gewinnspiele technisch abgewickelt haben, macht die Sache nicht glaubwürdiger, sondern zu einem Fall für die Staatsanwaltschaft.

2012 muss das Jahr der Datensicherheit werden. Wenn ein Kunde einem renomierten Unternehmen wie z.B. Sony seine Kreditkartendaten anvertraut, um Spiele und andere Dienste zu bezahlen, dann muss er sicher sein dürfen, dass seine Daten gut geschützt sind. Bei Sony wird man dies sicherlich mit allen Kräften sicherstellen, aber wie sieht bei anderen Firmen aus? Auf zahlreichen Webseiten klaffen Sicherheitslücken. Es gibt Hunderte von Untergrundforen, in denen Exploits zu Software, die auf vielen Servern läuft, gehandelt oder offen gepostet werden. Bekannte Sicherheitslücken bei Standardpaketen wie joomla, typo3 oder WordPress werden oft nur wenige Stunden nach Bekanntwerden in großem Umfang genutzt. Nicht mit Dummenjungenstreichen, wie es z.B.  einmal dem FC Schalke 04 vor dem Revierderby passierte, sondern meist von Kriminellen, die diese Server hacken, um damit SPAM zu versenden, Phishing Attacken zu starten oder Besuchern Trojaner unterzuschieben. Da sind längst keine Einzelkämpfer mehr am Werk, die man leicht an der bleichen Haut erkennt, weil sie nie das Tageslicht sehen. Es sind gut organisierte Banden am Werk, die mit modernen Methoden und arbeitsteilig arbeiten und daher kaum zu fassen sind. Wenn diese Entwicklung nicht gestoppt werden kann, dann werden Cyberkriminelle bald mehr Geld machen als Drogenkartelle oder Waffenschieber.

Wie man sich schützen kann? 100% sicherlich nie, aber halten Sie ihre Software und natürlich ihren Virenscanner immer aktuell. Seien Sie sparsam mit dem “Verteilen” von persönlichen Daten und ganz besonders bei Konto- oder Kreditkartennummern. Verwenden Sie Antivirensoftware, die auch die Mails und den Webdatenverkehr mit überwacht. Das kostet zwar Performance, bietet aber mehr Schutz, z.B. vor dreisten Erpressungstrojanern wie dem UKash/BKA-Trojaner.

Was sonst noch 2012 passieren wird? Der HSV wird wieder nicht Deutscher Meister, sondern die Bayern machen es wieder mal. Und im Sommer wird ein neuer Europameister ausgespielt und Deutschland hat gute Chancen auf das Endspiel. Und die Bundesnetzagentur will neue Verordnungen auf den Weg bringen und dafür sorgen, dass Kunden bei Rufnummernportierung wirklich nur wenige Stunden ohne Anschluss sind.

In diesem Sinne: Frohes neues Jahr!

geschrieben von Holger \\ tags: Android, Bundesnetzagentur, Datenschutz, Facebook, Fußball, IPhone, Kreditkartendaten, Server, Sicherheit

Darf man einer vor zwei Tagen veröffentlichten Studie der Firma Websense glauben, dann gehört der Diebstahl von Daten in  Unternehmen zur Tagesordnung. Rund 1000 IT-Manager seien befragt worden und offenbarten erschreckende Erkenntnisse. So seien 33% der Befragten bereits wichtige Firmendaten gestohlen worden. Gleichzeitig würden neue Gefahren aus dem Web nur von 30% als ernstzunehmende Gefahr eingestuft. Und nur 2% setzen auf professionelle Lösungen zur “Data Lost Prevention”. Natürlich darf man einem Anbieter von Sicherheitslösungen gewisse Interessen unterstellen und muss solche Meldungen etwas relativieren. Schon bei einem einfachem Rundmailing z.B. an gute Kunden kann man ungewollt wichtige Firmendaten verlieren – wenn man z.B. die Empfängeradressen nicht ins BCC setzt, sondern für sichtbar einsetzt.

Dennoch lassen die zahlreichen Meldungen in den Medien über Datenpannen, Datenlecks und Datendiebstähle ahnen, dass die von Websense ermittelten Zahlen stimmen könnten. Möglicherweise ist die Dunkelziffer noch größer, denn nur gravierende Fälle finden ihren Weg in die Medien und evtl. hat auch nicht jeder IT-Manager einen gravierenden Verlust von Daten in der Befragung eingestanden.

Der Schutz von Daten vor Missbrauch wird offenbar noch immer als lästiges Übel betrachtet. Niemand käme auf die Idee, ein Lager, in dem teure Ware gelagert wird, ohne verschlossene Tore und Alarmanlage zu betreiben. Geldautomaten sind in sich kleine Festungen aus bestem Stahl und dazu noch fest im Fundament der Gebäude verankert, damit möglichst niemand den Automat als Ganzes klaut. Die gleichen Automaten waren dagegen jahrelang nur unzureichend gegen Datenklau per Skimming geschützt.

Firmennetzwerke werden im Regelfall zwar gegen Angriffe von Aussen geschützt, aber schon so vergleichsweise einfache Trojaner wie der UKASH (BKA-Trojaner) schaffen es immer wieder, Virenschutzsoftware zu überwinden. Ein gezielt zum Datenklau eingesezter Trojaner wird mit sehr großer Wahrscheinlichkeit alle handelsüblichen Schutzprogramme überwinden können. Der Schutz der Daten gegen Angriffe von Innen, also durch Mitarbeiter, ist ein noch viel heikleres Thema. Hier gibt es kaum belastbare Zahlen. Aber man darf vermuten, dass es diesen Schutz in kleineren und mittleren Unternehmen defakto nicht gibt. Möglicherweise ist den Verantwortlichen in solchen Firmen gar nicht klar, welche Daten anfallen und welche davon wichtig sind.

Fakt scheint zu sein, dass Datenschutz nur als lästiges Übel wahrgenommen wird. Und dass Verstöße dagegen damit enden, dass ein paar Tausend Leute illegal Werbung zugemail bekommen. Genau das ist falsch! Datenschutz ist das Verhindern von Datendiebstählen. Datendiebstähle können schon im kleinen Stil riesige Schäden anrichten, wie diese Meldung der NOZ über Betrug mit geklauten EC-Karten Daten zeigt. Dort wird wieder über EC-Karten-Datenklau in EDEKA Supermärkten berichtet. Die diesmal betroffenen Märkte im Raum Göttingen machten die gleichen Fehler wie die einen Monat zuvor betroffenen Märkte im Raum Osnabrück. Die EC-Geräte wurden weder regelmäßig auf Manipulationen überprüft noch nachts im Tresor aufbewahrt. Ein Lerneffekt innerhalb der EDEKA-Kaufleute ist nicht feststellbar  – sonst hätte man den neuen Schaden gut vermeiden können.

Während die Lebensmittelhänder mit “Wir lieben Lebensmttel” werben, sollten wir Kunden lieber unsere Daten lieben und dort einkaufen, wo es sicher ist. Fragen Sie doch mal an der Kasse nach Datenschutz und Datensicherheit!

geschrieben von Holger \\ tags: Datenschutz, Diebstahl, EC-Kartenbetrug, Handel, Kreditkartendaten, Missbrauch, Sicherheit, Skimming, Verluste

Inzwischen dürften es die meisten Deutschen irgendwie schon mal gehört haben: Das analoge TV via Satellit ist ein Auslaufprodukt. Nach dem Ende der analogen terrestrischen Ausstrahlung endet das analoge TV-Zeitalter auf dem Astra am 30.04.2012. Wieviele Zuschauer derzeit noch analog schauen, weiß niemand wirklich genau. Das Projektbüro Klardigital gibt in einer Pressemitteilung vom 21.10. diesen Jahres die Zahl der betroffenen Haushalte mit 4.4 Millionen an. In dieser Zahl sind aber vermutlich auch die Haushalte enthalten, die sowohl analog als auch digital empfangen.

Gestern haben nun überraschend vier Sender angekündigt, die analoge Ausstrahlung bereits zum Jahresende 2011 einstellen zu wollen. Dies sind die Sender Comedy Central, DMAX, Nickelodeon und VIVA. Die Sender gehen davon aus, dass ihre Zielgruppen technikaffiner als der Durchschnitt sind und diese Programme schon lange digital schauen.

Dennoch gibt es noch reichlich analoge Anlagen in Deutschland und vielfach stellt sich die Frage: Woran erkenne ich, ob meine Anlage analog oder digital ist?

Zur Beantwortung dieser Frage kann man nun nach dem Typ des Receivers googeln, sofern die Typenbezeichnung irgendwo am Gerät zu finden ist. Viel einfacher geht es seit der IFA mit dem Videotext.  Das Erste, ProSieben, RTL, SAT.1, ZDF und das Bayerisches Fernsehen haben zur IFA die Videotext-Seite 198 als Testseite eingerichtet.  Auf dieser Seite werden bei Satelliten-Empfang je nach Empfangsart unterschiedliche Informationen präsentiert. Wer bereits digital empfängt, erfährt, dass kein Handlungsbedarf besteht. Analoge Empfänger werden gebeten, die Empfangsart zu wechseln.

Zu diesem Zweck wurde auch die Webseite www. Klardigital.de eingerichtet. Hier erfahren Zuschauer alles über die Digitaltechnik. Wer noch umstellen muss, sollte dies nicht mehr lange hinauszögern. Es wird erwartet, dass zum Stichtag 30.04.2012 die Receiver knapp werden könnten. Wer auch noch den LNB oder die ganze Antenne tauschen muss und dazu einen Handwerker benötigt, wird diesen im April nächsten Jahres kaum bekommen. Die Fachbetriebe haben traditionell in der Vorweihnachtszeit viel zu tun und melden bereits jetzt volle Terminkalender für das Frühjahr.

Zum Schluss noch der Hinweis für die Kabel-TV-Zuschauer. Die deutschen Kabel-TV-Betreiber bieten auch nach dem 30.4.2012 analoges Fernsehen an. Wurde früher einfach das Signal vom Satelliten in das Kabelnetz eingespeist, so sorgen z.B. bei Kabel Deutschland zwei Playout-Center für die Einspeisung und Encodierung der Programme. Einziger Wehrmutstropfen beim analogen Empfang: Das vielen liebgewonnene VPS-System hat definitiv ausgedient. Mangels entsprechender Daten im digitalen Bild können die Kabelnetzbetreiber dieses Signal nicht (mehr) liefern.

geschrieben von Holger \\ tags: analog, Astra, Comedy Central, digital, DMAX, Kabel Deutschland, Kabel-TV, Nickelodeon, TV, VIVA, VPS

Wir haben uns alle daran gewöhnt, an SSL. Es ist herrlich bequem und sicher. Bequem ja, weil man sich selbst nicht um Schlüssel bemühen muss. So bietet jeder Telefonanbieter seinen Kunden den EVN lieber als Download von einer SSL geschützten Seite an, anstatt eine PGP-verschlüsselte Mail an die Kunden zu senden. Weil jeder zweite mit der PGP-Mail nicht anzufangen wüßte, wäre der Support dafür unendlich teuer.

Aber ist SSL auch sicher? Anfang diesen Jahres hätte auch das noch fast jeder mit einem klarem JA beantwortet. Jetzt haben wir Oktober und immer mehr drängt sich der Verdacht auf, dass es mit der Sicherheit nicht zum Besten steht.

Zum einen der Hackereinbruch bei Diginotar, einem niederländischem Zertifikatsaussteller. Dieser fand mutmaßlich bereits am 17 Juni statt und wurde zwei Tage später bemerkt, aber nicht konsequent genug gehandelt. So konnten sich die Täter im Juli insgesamt 531 falsche Zertifikate ausstellen, darunter auch für die Domain google.com. Diginotar selbst versuchte offenbar, diesen Vorfall zu vertuschen – vielleicht auch, weil man erst viel zu spät merkte, was der oder die Täter gemacht haben. Die Konsequenz war dann brutal und folgerichtig – alle Browserhersteller haben sofort das Root-Zertifikat und damit alle jemals erzeugten Zertifikate von Diginotar gesperrt.

Sofort nach diesem Vorfall gab es Stimmen, die der Meinung waren, der Einbruch bei Diginotar sei nicht der Einzige gewesen. Schnell kam die Zahl vier ins Gespräch – bei vier weiteren Anbietern von Zertifikaten soll es zu Hackereinbrüchen gekommen sein. Zuvor war auch schon bei dem Anbieter Comodo eingebrochen worden – vermutlich von den gleichen Tätern, denn es gibt viele Parallelen wie die Liste der Domains, für die falsche Zertifikate ausgestellt wurden. Die Spuren führen in beiden Fällen in den Iran. Die Auswahl der Domains legt den Verdacht des Staatsterrorismus nahe.

Neben der Frage, wie lange die private Internetwirtschaft den Angriffen von Staatsterroristen mit praller Kasse und vielen Ressourcen auf breiter Front standhalten, droht eine weitere Gefahr für das SSL-System. Ein neues Denial-of-Service Tool legt verschlüsselnde Server lahm.

Gut, DOS-Attacken sind ein alter Hut und funktionieren sowieso nur, wenn viele mitmachen und man gemeinsam einen Server lahmlegt. Stimmt, aber nicht in diesem Fall. Hier reicht ein Rechner an einer dünnen DSL-Leitung, um mit seinen Anfragen einen Server zu beschäftigen. Wie das geht? Leider viel zu einfach. Das eigentliche Verschlüsseln geht recht schnell, aber der Aufbau einer verschlüsselten Verbindung ist rechenintensiv, denn hier kommen rechenintensive Verfahren wie RSA zu Einsatz, um die Schlüssel auszuhandeln und zu versenden. Hier baut dieses Tool einfach ca 1000 Verbindungen auf und fordert permanent neue Schlüssel an – damit sind auch Hochleistungsserver schnell am Limit. Ein solcher Angriff betrifft nicht nur Webserver, sondern jegliche Art von Servern, die SSL-gesicherte Verbindungen anbieten, wie z.B. viele Mailserver.

Bedingte Abhilfe schafft das Deaktivieren der Schlüsselneuaushandlung. Dann reicht ein Angreifer nicht mehr aus, um genug Last zu erzeugen. Aber von dem Tool soll eine Version existieren, die distribuierte Angriffe ermöglicht, ganz ähnlich den “normalen” DDoS Attacken. Mit einem solchen Angriff lassen sich vermutlich auch SSL-Load-Balancer in Knie zwingen.

Und zu allem Überfluss sind auch erste Schwachstellen in der Verschlüsselung selbst aufgetaucht. Noch nichts besorgniserregendes, aber die Summe der Schwachstellen offenbart höchsten Handlungsbedarf für ein SSL der nächsten Generation. Es wird höchste Zeit, einen Nachfolger oder eine Weiterentwicklung auf die Beine zu stellen. Sonst ist eines Tages das kleine Schloss im Browser nichts mehr wert…

geschrieben von Holger \\ tags: Angriff, Datenschutz, DDoS, DoS, Internet, Meinung, Schlüssel, Secure Socket Layer, Server, Sicherheit, SSL, verschlüsseln

Gefällt mir Button

Jeder kennt ihn, den blauen “Gefällt mir” Daumen von facebook. Sogar Leute, die facebook gar nicht kennen und das Internet nicht nutzen, haben den Daumen schon gesehen.

Und schon oft gab es von Verbraucherschützern und Politikern Kritik am Datenschutz von facebook. Geändert hat sich seitdem wenig, das US-Unternehmen reagiert gar oder ausweichend. Nun aber droht deutschen Webseitenbetreibern und facebook richtig Ärger. Und zwar vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein).

Das ULD hat eine sehr umfassende Analyse “facebook-Reichweitenanalyse” vorgenommen. Kaum jemand dürfte vorher wirklich gewußt haben, wie facebook das Webverhalten seine Nutzer und zufälligen Besucher kontrolliert und aufzeichnet. Dabei ist mit solchen Daten sehr viel Geld zu verdienen und wenn man sich die Geschäftsberichte ansieht, dann verdient facebook auch sehr viel Geld. Kernstück dieses umfassenden Trackings sind die Scripte, die hinter jedem auf einer Webseite eingebundenen “Gefällt mir” Button stecken und die bereits vor dem Anklicken des Buttons ausgeführt wurden.  Wie das genau funktioniert, kann man sehr detailliert in einer Analyse des ULD auf 25 Seiten nachlesen. In der Pressemitteilung des ULD wird dessen Leiter Thilo Weichert mit der Aussage “Mit Hilfe dieser Daten hat Facebook inzwischen weltweit einen geschätzten Marktwert von über 50 Mrd. Dollar erreicht.” zitiert.

Aus der Analyse des ULD geht hervor, dass dieses Tracking von facebook in keinster mit dem deutschen Datenschutzgesetz vereinbaren läßt. Die ULD fordert nun alle Webseitenbetreiber auf, die  “Gefällt mir” Buttons bis zum 30.9.2011 zu entfernen. Webseitenbetreibern aus Schleswig Holstein, die dieser Aufforderung nicht nachkommen, droht danach Post vom ULD. Nach einer Anhörung und einem Verfahren drohen Bußgelder von bis zu 50.000 Euro.

Die Forderungen des ULD gehen sogar noch weiter, heißt in der Presseerklärung doch gleich am Anfang “Das Unabhängige Landeszentrum für Datenschutz (ULD) fordert alle Stellen in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen.” Demnach wünscht man sich auch den Rückzug der Fanpages von facebook. Das ist allerdings eine Forderung, die kaum durchsetzbar ist. Allerdings stellt sich die Frage, wie viel Sinn die Fanpage bei facebook noch hat, wenn man die eigene Seite nicht mehr mit facebook verlinkt.

Webseitenbetreiber aus anderen Bundesländern sollten sich nicht zu früh freuen, denn die Datenschutzbeauftragten der anderen Länder werden nachziehen, wenn facebook nach diesem Vorstoß aus Schleswig Holstein den Umgang mit europäischen Internetnutzern nicht ändert. Und das ist nicht zu erwarten. Weiter besteht die Gefahr von Abmahnungen, denn das Einbinden des facebook-Button könnte man nun als unzulässige Vorteilnahme im Sinne des unlauteren Wettbewerbs ansehen.

Kurze Schlußbemerkung in eigener Sache: TelkoTalk hat nie einen facebook-Button gehabt und wird ihn auch nicht bekommen. Ebenso wird bewußt auf Dienste wie z.B. Google Analytics verzichtet. Die “Bauchschmerzen” der Datenschützer waren dem Blogger schon länger bekannt.

geschrieben von Holger \\ tags: Datenschutz, Facebook, Fanpage, Gefällt mir, Thilo Weichert, ULD, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Am Montag den 1.8.2011 startet das neue Digitalradio DAB+. Die Weiterentwicklung des DAB-Standards, der sich in mehr als einem Jahrzehnt nicht durchsetzen konnte, soll der zukünftige Radiostandard für Deutschland werden und in ferner Zukunft einmal UKW ablösen.

Für DAB+ sind wieder einmal neue Empfänger erforderlich. Alte DAB-Empfänger beherrschen den neuen Standard nicht. Ein Teil der in den letzten zwei Jahren verkauften Digitalradios beherrscht bereits DAB+ bzw. kann durch ein Firmwareupdate aufgerüstet werden. Immerhin sind die neuen Geräte bereits ab 60 Euro zu haben.

Im Gegensatz zum bisherigen DAB, das regional ausgestrahlt wurde, startet DAB+ mit einem bundesweit einheitlichem Angebot von 12 Sendern, darunter bekannte Sender Energy, Lounge FM, Kiss FM, Deutschland und dem Fußballsender 90elf. Ausgestrahlt wird DAB+ zunächst nur in Ballungszentren. Details zu den Programmen, den erforderlichen Geräten und der aktuellen Versorgung sind unter www.digitalradio.de zu finden.

Der Kabelanbieter Kabel Deutschland meldet sein Inbetriebnahme der DAB+ Sender in Hannover, Bremen und Hamburg vermehrt Anrufer seiner Kunden. Gestört werden kann der Kanal 5, auf dem Kabel Deutschland “Das Erste” analog anbietet. Im Gegensatz zum Satelliten TV schauen noch etwa 2/3 aller Kabelkunden analog TV.

Auch die Niedersächsiche Landesmedienanstalt (NLM) bestätigt mögliche Probleme, betont aber, dass die Ursache hierfür in unzureichend abgeschirmten Kabeln hinter dem Übergabepunkt der Kabel-Gesellschaft zu suchen sei. Hier wird dringend zum Einsatz von “Class A” Kabeln mit einer Abschirmungsdämpfung von 90dB geraten. Problematisch werden vor allen Häuser sein, wo beim Umstieg von Antennenfernsehen auf Kabel-TV die alten Kabel der Hausantennenverteilung weitergenutzt wurden. Diese alten Kabel haben eine für den Kabelbetrieb unzureichende Abschirmung – was schon immer unzulässig war, aber bislang meist ohne Folgen blieb. Nun stört nicht das marode Hauskabel andere Dienste, nun fängt das ungeeignete Kabel die Störungen ein. Den Betroffenen kann man nur dringend raten, ihre Kabel vom Fernsehfachbetrieb austauschen zu lassen. Denn DAB+ ist die Zukunft und der Sendebetrieb wird später um weitere Kanäle mit weiteren Programmen aufgestockt, was bei unzureichender Abschirmung weitere Programm im Kabel-TV stören wird.

geschrieben von Holger \\ tags: Abschirmung, DAB, Digitalradio, Hausverkabelung, Kabel Deutschland, Radio, Störungen, UKW

Beinahe täglich erreichen uns Meldungen über neue Datendiebstähle. Letzter Höhepunkt war die Meldung des Datenklaus aus den Bildertauschbörsen des Lebensmittelhändlers REWE. Besonders prekär, weil zum einen ein Teil der Daten von den Hackern veröffentlicht wurde und zum anderen, weil es sich beiden Nutzern dieser Webseite größtenteils um Kinder gehandelt haben dürfte. Noch ärgerlicher ist, dass Rewe diese Sicherheitslücke gut eine Woche vor dem Diebstahl  zunächst per Mail, dann öffentlich gemeldet wurde.

Aber wie kommt es zu diesen vermehrten Sicherheitslecks? Sind immer mehr kriminelle Hacker mit aufwendigstem Equipment am Werk, die auch die kleinste Lücke finden? Eher nicht. In der Mehrzahl der bekannt gewordenen Fälle brauchten die Täter kaum mehr als einen Browser und die Sicherheitslücken, die sie ausnutzen, sind seit einem Jahrzehnt bekannte Fehlerquellen, die durch schlampige Programmierung immer wieder entstehen.

Ein Beispiel: Sie sind im Kundenbereich eines Webshops, also da, wo man die Adresse und evtl. das Passwort ändern kann. Sie sehen in der Adressezeile Ihres Browsers eine Zeile wie diese “http://www.shop.de/kundendaten.php&12345″ und sie erkennen, dass die Zahl 12345 Ihre Kundennummer ist. Jetzt werden Sie neugierig und ändern die Zeile, in dem Sie eine andere Kundennummer angeben. Die Shopssoftware müßte das abwehren bzw. Benutzername und Passwort dieses Kundenabfragen. Aber aufgrund fehlerhafter Programmierung geschieht das nicht, die Webseite zeigt Ihnen einfach die Kundendaten eines fremden Kunden an. Klingt unglaublich? Auf diese Art und Weise sollen der Citibank in den USA mehr als 200.000 Kundendatensätze mit Kredikartendaten gestohlen worden sein. [Artikel auf heise-online]

Die Mehrzahl aller Angriffe erfolgt über sogenannten SQL-Injections. Das kann theoretisch bei allen Webseiten funktionieren, die mit Datenbanken arbeiten. Das Grundprinzip ist auch hier einfach: Man schummelt dem System einen oder mehrere Datenbankbefehle unter. Die Möglichkeit hierzu besteht bei Dateneingaben oder auch über die URL, die Adresszeile im Browser. Ziel ist es meist, durch eine solche Attacke eine eigene Datei auf den fremden Server zu laden, mit deren Hilfe man dann Zugriff auf das System erhält. Wie das genau funktioniert, ist im Web hundertfach nachlesbar, teilweise in Kochbuchmanier mit genauen Anweisungen zum Nachmachen. Auf Links zu solchen Seiten verzichte ich aus nachvollziehbaren Gründen.

Solchen Angriffen kann man leicht einen Riegel vorschieben, in dem man Dateneingaben auf unzulässige Zeichenfolgen filtert. Ähnlich wird es auch mit der URL gemacht. Aber da die meisten Programmierer erst die gewünschten Funktionen programmieren und die Sicherheitsmaßnahmen erst nachrüsten, wenn der Rest funktioniert, bleibt die eine oder andere Lücke. Besonders gefährdet sind Webseitenbetreiber mit Software “von der Stange”, also Lösungen wie Joomla, Typo, WordPress oder ähnlichem. Zwar ist diese Software an sich sehr sicher und evtl. bestehende Lücken werden schnell geschlossen, aber das gilt nur die Grundsoftware und die ganze gängigen Plugins oder Addons. Viele andere Erweiterungen enthalten hin und wieder Fehler, die erst Monate nach Entdecken behoben werden. Oder unter Umständen gar nicht, weil der ursprüngliche Autor sich nun anderen Hobbies zugewandt hat. Glauben Sie nicht, dass solche Lücke nicht ausgenutzt werden können. In sogenannten Exploit-Datenbanken kann gezielt nach fehlerhaften Erweiterungen gesucht werden. Dank google ist das Auffinden von Webseiten, wo genau diese fehlerhafte Software genutzt wird, leichter als man denkt. Beim Bundesligisten Schalke 04 z.B. nutzen Unbekannte im Jahr 2009 gleich zweimal eine Sicherheitslücke des dort eingesetzten Contentmanagementsystems Typo aus, die jeweils nur einen Tag bekannt war.

Man hat den Eindruck, dass trotz solcher Vorfälle, die durch sämtliche Medien gingen, sich in vielen Firmen wenig getan hat. Die Liste der Firmen, denen allein in diesem Jahr Kundendaten abhanden kam, ist beängstigend lang und es sind viele bekannten und renomierte Firmen dabei. Noch erschreckender ist dabei, dass einigen Firmen nicht zum ersten Mal die Kundendaten gestohlen wurden, wie zum Beispiel dem Computerversender K&M, also einer IT-Firma, der man das Knowhow zum sicheren Betrieb von Servern durchaus zutraut.

Die wichtigste Grundregel gegen Datenklau ist die gleiche Regel, die man auch beim heimischen PC beherzigen sollte: Software immer auf dem neuesten Stand halten, Sicherheitsupdates SOFORT einspielen. Und bei selbstentwickeltem Code immer prüfen (oder prüfen lassen), ob die gängigen Hackmethoden abgefangen werden.

Solange diese bekannten Erkenntnisse aber ignoriert werden, dauert die “Ausbildung” zum erfolgreichen Hacker nur einen Nachmittag und wir lesen weiter von jeder Menge Daten, die geklaut wurden.

geschrieben von Holger \\ tags: Datenklau, Datenschutz, Hacker, Handel, Kreditkartendaten, Meinung, Server, Sicherheitslücken, SQL Injection, Updates

Ok, es ist ein wenig offtopic hier und so ganz neu ist der UKASH BKA Trojaner auch nicht. Aber gestern Abend wurde der Blogger von einer Bekannten zur Hilfe gerufen. Da war er also der PC, der nach dem Windows Start behauptete, das BKA haben zahlreiche Rechtsverstöße auf diesem Rechner gefunden und die Besitzerin müsse nun 100 Euro mittels UKASH zahlen. Das POPuP des Trojaners zeigt auch gleich, wo man solche Voucher kaufen kann.

Wie erwähnt, ganz neu ist der Trojaner nicht, er ist wohl seit Ende März im Umlauf. Die Infizierung findet über  JAVA-Code in Werbe-POPups oder verseuchte Flash-Inhalte statt. Letztere Lücke soll von Adobe vor wenigen Tagen gestopft worden sein, aber nicht Jeder aktualisiert seine Software sofort. Das Erschreckende an diesem Trojaner ist, dass er es auch im Juni noch schafft, sich an aktuellen Antiviren-Programmen vorbei zu “schleichen”, obwohl es seit mehr als zwei Monaten zahlreiche Meldungen über den Trojaner gab.

Wenn es passiert ist und das BKA vom Bildschirm grüßt, dann gilt es Ruhe zu bewahren.  Natürlich zahlt man nicht die 100 Euro und natürlich hat das BKA mit diesem Trojaner nichts zu tun, außer dass man dort natürlich die Hintermänner dieses Trojaners sucht. Die nicht ganz fehlerfreie Grammatik im deutschen Text lassen jedoch vermuten, dass die Drahtzieher aus dem Ausland kommen.

Gott Lob ist der UKASH-Trojaner eigentlich harmlos. Er ändert 30 Registry-Einträge und ersetzt die Shell durch das POPuP Programm. Das wiederum versucht die IP-Adresse des Rechners zu ermitteln und startet mit dieser Adresse zwei DNS-Abfragen – dadurch werden der vermeintliche Rechnerstandort und der Provider ermittelt. Daher kann man den Rat, nur ein Neuaufsetzen des Systems sei ein sicheres Vorgehen, bei diesem Trojaner ausnahmsweise ausser Acht lassen. Das wird allerdings in Foren heftig diskutiert – stellvertretend für zig deratiger Threads hier ein Link ins Gulli-Board, wo ein Mitarbeiter einers AV-Labors mitschreibt.

Wie also wird vorgegangen:

1. Für alle Fälle wird ein Backup des infizierten Systems gezogen, um evtl. doch noch Daten retten zu können, falls etwas wider Erwarten schief läuft. Die Sicherung wird mit einer Rescue-CD oder Notfall-CD vorgenommen, wie sie in regelmäßigen Abständen diversen Zeitschriften beiliegen.  [Update: Die Notfall-CD 2.2 der Computerbild kann man sogar kostenlos downloaden und als CD brennen oder nach Anleitung auf einen USB-Stick kopieren] . Ebenfalls gut geeignet sind die Notfall-CDs vieler Backup- oder Partitionierungs-Programme z.B. von Paragon. Wer mit Linux klar kommt, kann auch eine beliebige Linux Live-CD nehmen. Wer ein halbwegs aktuelles Backup hat, kann notfalls auf die Sicherung verzichten.

2. Das Windows nun starten, mit F8 sofort in den abgesicherten “Modus mit Eingabeaufforderung“  wechseln.

3. Die Systemwiederherstellung starten. Dies geschieht mit der Eingabe
\windows\system32\restore\rstrui.exe
Anschließend wählt man einen Wiederherstellungspunkt, der mindestens einen Tag älter als das erste Auftauchen des Trojaners ist, aus und startet die Wiederherstellung. Evtl. nach diesem Datum installierte Software muss danach allerdings neu installiert werden.

4. Nun sollte das System wieder starten. Die Registry ist auch 100% sauber. Aber die Dateien des Trojaners sind noch auf der Platte und müssen noch entfernt werden. Da der Trojaner aber nicht aktiv ist, sollte nun ein gutes AV-Produkte keine Probleme haben, den Müll zu beseitigen.

Alternativen:

Das BSI stellt seit Mai auf der Webseite www.Botfrei.de drei Anleitungen bereit, wie der Trojaner sicher entfernt werden könne. Die Kaspersky-Rescue-CD kann der Blogger ganz und gar nicht empfehlen. Das Durchsuchen und Desinfizieren eines älteren Rechners mit 42GB Festplatte dauerte zwei Stunden. Beim folgenden Neustart merkte Windows, dass es beschädigt war und hat sich selbst mit der “letzten funktionierenden Konfiguration” repariert und dabei den Trojaner ebenfalls wiederhergestellt. Mag sein, dass es im April oder Mai mit der CD funktioniert hat und der Trojaner seitdem “verbessert” wurde.  Wie sich der CD-Cleaner oder die Avira Rescue-CD schlagen, ist leider unbekannt. Die Avira Rescue-CD wird immerhin tagesaktuell gehalten, so dass hier nach dem Download keine Internet-Aktualisierung erforderlich ist.

geschrieben von Holger \\ tags: AV, BKA, BSI, Computerbild, Entfernen, Internet, Notfall CD, Rescue-CD, Trojaner, UKASH, Ukash BKA Trojaner

Was für eine Woche für den Datenschutz oder sollte man besser schon Datensorglosigkeit sagen?

Erst die große Aufregung über Apples obskure Positionsdatenbank auf iphones, ipads und auch unverschlüsselt auf dem PC, wenn man sein Mobilgerät mit itunes synchronisiert hat. So völlig neu war die Datenbank mit Positionsdaten von WLAN- und UMTS-Sendern nicht, allerdings hatte Apple bislang auch US-Abgeordneten auf Nachfrage verschwiegen, dass diese Daten auch einen Zeitstempel enthalten.

Und nun der Gau. Nein, sicherlich sogar ein Supergau. Sony´s Playstation Network wurde gehackt. Und der oder die Täter haben Kundendaten von ca 77 Millionen Teilnehmern klauen können. Wie genau das passieren konnte, ist noch unbekannt. Sony läßt diesen Fall auch extern untersuchen.

Die Folgen dieses Datenklaus sind gravierend. Im günstigsten Fall sind nur die Adressen und Mailadressen von 77 Millionen Kunden im Umlauf. Die Kundenpasswörter waren verschlüsselt gespeichert. Aber dieser Schutz ist schwach, wenn kurze Passwörter verwendet wurden. Für die betroffenen Kunden, die evtl. das gleiche Passwort auch für andere Dienste genutzt haben, heißt es nun, so schnell wie möglich alle Passwörter zu ändern. Viel schwerwiegender sind die Kreditkartendaten, die ein Teil der Kunden im Playstationntwork hinterlegt hat. Diese Kunden haben nun ein schwerwiegendes Problem. Zwar kann man in Mißbrauchsfällen die Beträge zurückfordern, aber wie sollen sie nun verhalten? Melden sie Ihrer Bank das Problem und lassen die Karte sperren, so bleiben sie vermutlich auf den Kosten für eine Ersatzkarte sitzen. Melden Sie den Diebstahl der Daten nicht, könnte die Bank ihnen in späteren Schadensfällen vertragsbrüchiges Verhalten vorwerfen und die Regulierung des Schadens verweigern. Sony informiert aktuell die Kunden des Playstation Networks und sollte sich für die Kreditkartenkunden schnell eine kulante Lösung einfallen lassen. Für Sony kam nach den Erdbeben in Japan nun das ganz persönliche Beben, das sie möglicherweise mit dem Versuch, sämtliche Geräte mit modifizierter Firmware von Network auszuschließen, erst angeregt haben.

Noch ist völlig unklar, welche Motive hinter dem Angriff stecken und ob die Daten das eigentliche Ziel des Angriffes waren. Andererseits spielt es auch keine Rolle, die Daten existieren nun in den Händen Unbefugter und es ist zu befürchten, dass sie früher oder später in kleinen Tranchen in Umlauf geraten, also an andere Kriminelle verkauft werden. Keine schönen Aussichten. Willkommen im Jahr 2011, im Jahr der Datensorglosigkeit…

geschrieben von Holger \\ tags: Apple, Biebstahl, Datenschutz, Datensorglosigkeit, Kreditkarte, Kreditkartendaten, Mißbrauch, Playstation, Sony

Alljährlich verleiht der FoeBuD e.V. in Bielefeld die Big Brother Awards – die Negativpreise für Datenkraken. Am gestrigen Abend des 1. April war es wieder soweit und auch diesmal gab es namhafte Preisträger.

In der Kategorie Kommunikation gab es gleich zwei Preisträger und beide sind gute Bekannte. Der erste Preis ging an die Facebook Deutschland GmbH, der die Preisverleiher unterstellen, mit systematischen Datenschutzverstößen Milliarden zu verdienen. Facebook war auch bei einem Drittel der Besucher der Veranstaltung der Favorit. Der zweite Preis in dieser Kategorie ging Apple, was auch nicht besonders überrascht. Apples Telefone sind ja bekanntlich teure Statusobjekte und wer die Geräte zu mehr als zum Telefonieren nutzen wolle, werde nach Ansicht der Preisverleiher erpresst, zweifelhaften Datenschutzbestimmungen zuzustimmen. Ob überhaupt jemand die auf dem Telefon-Display immerhin 117 Seiten lange Abhandlung liest, darf doch bezweifelt werden.

In der Kategorie Politik fand der Preis mit Niedersachsens Innenminister Uwe Schünemann einen würdigen Preisträger. Herr Schünemann, der schon in der Vergangenheit mit haarsträubenden Vorschlägen wie etwa dem Einsatz einer filternden Zugangssoftware für Kunden niedersächsicher Provider auf sich aufmerksam macht, hat sich den Preis mit dem ersten Einsatz einer Überwachungsdrohne “verdient”. Während der Proteste anläßlich der Castor-Transporte im November 2010 soll insgesamt viermal eine Überwachungsdrohne zum Einsatz gekommen sein. Anders als auf öffentlichen Plätzen, wo eine Videoüberwachung offen stattfindet und auch ausgeschildert sein muss, geschieht der Drohneneinsatz unangekündigt und oft von den Überwachten auch unbemerkt.

Etwas überraschend ging der Preis in Kategorie Technik an die Modemarke Peutery für den Einsatz von RFID-Etiketten. Die Etiketten an der Kleidung sind mit dem Hinweis “Don´t remove this Label” (Etikett nicht entfernen) gekennzeichnet und können auch nach dem Kauf jahrelang berühlungslos und vom Träger unbemerkt ausgelesen werden.

Natürlich wurde auch der bevorstehende Zensus 2011 mit einem Award bedacht. Die weiteren Awards gingen in der Kategorie Arbeitswelt an den deutschen Zoll und die Daimler AG. Last but not least ergatterte noch der Verlag für Wissen und Information aus Starnberg den Preis in der Kategorie Verbraucherschutz. Der Verlag läßt Schulen in seinem Namen Büchergutscheine verteilen, für die man als Gegenleistung Adressdaten der Empfänger abgreift. Die Einbindung der Schulen in den wirtschaftlichen Adresshandel wird als mißbräuchlich betrachtet.

Die Details zu den Preisträgern können auf der Webseite des FoeBuD e.V. nachgelesen werden.

geschrieben von Holger \\ tags: Apple, Datenkrake, Datenschutz, Facebook, FoeBud e.V., Innenminister, Meinung, Meinungsfreiheit