Jan 11

Wer heute die Nachrichten hörte oder sah, staunte nicht schlecht: Ein Virus in den Nachrichten! Dazu noch ein „alter“ Schädling. Was steckt dahinter?

Der Virus, um den es geht, ist ein Trojaner. Er verbiegt im PC die Abfrage der Domainnamen. Der Rechner fragt nun nicht mehr bei den DNS-Servern des eigenen Providers, sondern auf Servern der Kriminellen nach den IP-Adressen. Einen DNS-Server braucht man, damit eine URL wie z.B. www.telkotalk.de in die richtige IP-Adresse (in diesem Beispiel 85.114.130.79) übersetzt wird. Ein solcher Server in der Hand von Kriminellen führt dazu, dass gezielt Seiten verbogen werden. Statt der gewünschten Webseite wird dem Surfer eine Fälschung untergeschoben, um seine Nutzerdaten für Webseiten wie facebook, ebay usw. abzugreifen. Oder Kreditkartendaten. Da nur wenige Seitenaufrufe umgebogen werden, der Rest normal funktioniert, bleibt es lange unentdeckt.

Im Falle des Trojaners „DNS-Changer“ wurden dieTäter  im vergangen Herbst gefaßt, die manipulierten Server vorrübergehend vom FBI durch normale DNS-Server ersetzt. Aber der Trojaner war erfolgreich und aktuell sind es laut FBI mehr als 35.000 deutsche Nutzer täglich, deren Rechner nicht die DNS-Server ihres Providers nutzen, sondern die vom Trojaner verbogenen. Auf mindestens 35.000 deutschen PCs ist der Trojaner also noch aktiv!

Da das FBI will nun diese Server Anfang März abschalten und daher ruft das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Bundeskriminalamt und der Telekom zum Test des eigenen Rechners auf Befall durch diesen Trojaner auf. Auf der Webseite www.dns-ok.de kann der Rechner einfach getestet werden. Dort findet man auch Tipps, um den Schädling bei Bedarf zu entfernen.

Noch einmal der dringende Rat: Schützen Sie Ihren Rechner durch einen wirksamen Virenschutz. Dazu kann man auch auf kostenlose Software zurückgreifen. Waren es vor Jahren Schüler, die aus Jux Viren schrieben und verbreiteten, so sind es heute fast ausschließlich gut organisierte kriminelle Banden, die mit Trojanern Daten ausspähen oder SPAM versenden wollen. Die Schädlinge schaffen es leider immer wieder, durch Lücken in veralteter Software auf die Rechner zu gelangen und Schutzsoftware zu umgehen.

Daher der dringende Rat:

1. Halten Sie das Betriebssystem und die verwendeten Programm immer auf dem aktuellen Stand.

2. Software, für die es keine Updates mehr gibt, sollte durch aktuelle Software eines anderen Herstellers ersetzt werden

3. Nutzen Sie Antivirensoftware. Diese muss nicht teuer sein – rudimentären Schutz gibt es sogar kostenlos. Kommerzielle Softwarelizenzen sind ab 20 Euro pro Jahr erhältlich.

 

geschrieben von Holger \\ tags: , , , , , , , , , , , ,

Jan 01

Wieder ist ein Jahr vorbei. Grund genug, kurz innezuhalten. Was war, was wir kommen?

Natürlich kann man nicht alle Ereignisse und Trends erahnen. Das ist auch besser so. Wer konnte sich auch nur im Traum eine Katastrophe wie in Japan vorstellen? Ein schweres Erdbeben, ein gigantischer Tsunami und die Kernschmelze in drei Reaktoren des Atomkraftwerks in Fukushima. Seit dem ist der Atom-Ausstieg Konsens und die Strompreise steigen wegen der Mehrkosten für regenerativ erzeugten Strom auch in den nächsten Jahren weiter an. Man braucht daher keine Kristallkugel, um zu erkennen, dass „Green IT“ oder wenigstens besonders sparsame IT auch 2012 ein Hauptthema sein wird. Selbst wenn man den Umweltaspekt außen vor läßt, bei den zu erwartenden Strompreisen lohnt der Invest in sparsamere Technik allemal.

Bei den Mobilfunkherstellern wird es spannend. Schafft der einstige Branchenprimus Nokia mit dem Fokus auf Windows Phone die Wende?  Viele Experten halten die Festlegung auf Windows Phone und die enge Bindung an Microsoft für einen schweren Fehler, der Nokia die Existenz kosten könnte. Außerdem bleiben die zahlreichen Patent- und Geschmacksmusterklagen, die man als Apple gegen den Rest der Mobile-Welt zusammenfassen könnte. Die Kunden haben längst entschieden und greifen immer mehr zu Android statt Apples IOS. Aber Apple wird mit einem guten zweiter Platz sicherlich auch leben können. Für RIMs Blackberry wird sicherlich auch in Zukunft die Business-Nische bleiben. Und für Windows Phone? Da ist es fraglich, ob für Microsoft noch Platz am Markt ist. Aktuell ist der Markanteil von Windows Phone geringer als der von Samsungs eigenem System BADA. Beide liegen abgeschlagen unter 2%.

Kommen wir zum Datenschutz. Im Jahr 2011 hatten wir diverse Skandale, die es bin in die Abendnachrichten der großen TV-Sender geschafft haben.  Da wurden Sony Millionen Datensätze aus mehreren Netzwerken gestohlen. Rewe wurden die Kundendaten einer Bildertauschbörse entwendet. Und erst vor wenigen Tagen wurden der US-Sicherheitsfirma Strafor Kreditkarten gestohlen. Dagegen ist die Erkenntnis, das facebook gelöschte Daten doch nicht löscht, fast schon harmlos. Ein Student aus Österreich hatte eine Datenauskunft angefordert und nach längerem Tauziehen bekommen. Ausgedruckt wären es mehr als 1500 Seiten Papier gewesen, was facebook nur über diese eine Person alles gespeichert hat.

2012 muss das Jahr des Datenschutzes werden. Datenschutz hinsichtlich der Selbstbestimmung der Bürger, was mit ihren Daten passiert und wer eigentlich wieviel speichern darf. Der Blogger hat im vergangenen Jahr bei einigen SPAM-Mails mal eine Datenauskunft eingefordert und war sehr irritiert, zu welchen Nachtzeiten er an Gewinnspielen teilgenommen haben soll und diese sogar per Opt-IN betätigt habe. Besonders irritierte ihn die Tatsache, mit welchen Providern er das gemacht haben soll. Und dass am Ende immer wieder die gleichen Firmen diese Gewinnspiele technisch abgewickelt haben, macht die Sache nicht glaubwürdiger, sondern zu einem Fall für die Staatsanwaltschaft.

2012 muss das Jahr der Datensicherheit werden. Wenn ein Kunde einem renomierten Unternehmen wie z.B. Sony seine Kreditkartendaten anvertraut, um Spiele und andere Dienste zu bezahlen, dann muss er sicher sein dürfen, dass seine Daten gut geschützt sind. Bei Sony wird man dies sicherlich mit allen Kräften sicherstellen, aber wie sieht bei anderen Firmen aus? Auf zahlreichen Webseiten klaffen Sicherheitslücken. Es gibt Hunderte von Untergrundforen, in denen Exploits zu Software, die auf vielen Servern läuft, gehandelt oder offen gepostet werden. Bekannte Sicherheitslücken bei Standardpaketen wie joomla, typo3 oder WordPress werden oft nur wenige Stunden nach Bekanntwerden in großem Umfang genutzt. Nicht mit Dummenjungenstreichen, wie es z.B.  einmal dem FC Schalke 04 vor dem Revierderby passierte, sondern meist von Kriminellen, die diese Server hacken, um damit SPAM zu versenden, Phishing Attacken zu starten oder Besuchern Trojaner unterzuschieben. Da sind längst keine Einzelkämpfer mehr am Werk, die man leicht an der bleichen Haut erkennt, weil sie nie das Tageslicht sehen. Es sind gut organisierte Banden am Werk, die mit modernen Methoden und arbeitsteilig arbeiten und daher kaum zu fassen sind. Wenn diese Entwicklung nicht gestoppt werden kann, dann werden Cyberkriminelle bald mehr Geld machen als Drogenkartelle oder Waffenschieber.

Wie man sich schützen kann? 100% sicherlich nie, aber halten Sie ihre Software und natürlich ihren Virenscanner immer aktuell. Seien Sie sparsam mit dem „Verteilen“ von persönlichen Daten und ganz besonders bei Konto- oder Kreditkartennummern. Verwenden Sie Antivirensoftware, die auch die Mails und den Webdatenverkehr mit überwacht. Das kostet zwar Performance, bietet aber mehr Schutz, z.B. vor dreisten Erpressungstrojanern wie dem UKash/BKA-Trojaner.

Was sonst noch 2012 passieren wird? Der HSV wird wieder nicht Deutscher Meister, sondern die Bayern machen es wieder mal. Und im Sommer wird ein neuer Europameister ausgespielt und Deutschland hat gute Chancen auf das Endspiel. Und die Bundesnetzagentur will neue Verordnungen auf den Weg bringen und dafür sorgen, dass Kunden bei Rufnummernportierung wirklich nur wenige Stunden ohne Anschluss sind.

In diesem Sinne: Frohes neues Jahr!

geschrieben von Holger \\ tags: , , , , , , , ,

Nov 24

Darf man einer vor zwei Tagen veröffentlichten Studie der Firma Websense glauben, dann gehört der Diebstahl von Daten in  Unternehmen zur Tagesordnung. Rund 1000 IT-Manager seien befragt worden und offenbarten erschreckende Erkenntnisse. So seien 33% der Befragten bereits wichtige Firmendaten gestohlen worden. Gleichzeitig würden neue Gefahren aus dem Web nur von 30% als ernstzunehmende Gefahr eingestuft. Und nur 2% setzen auf professionelle Lösungen zur „Data Lost Prevention“. Natürlich darf man einem Anbieter von Sicherheitslösungen gewisse Interessen unterstellen und muss solche Meldungen etwas relativieren. Schon bei einem einfachem Rundmailing z.B. an gute Kunden kann man ungewollt wichtige Firmendaten verlieren – wenn man z.B. die Empfängeradressen nicht ins BCC setzt, sondern für sichtbar einsetzt.

Dennoch lassen die zahlreichen Meldungen in den Medien über Datenpannen, Datenlecks und Datendiebstähle ahnen, dass die von Websense ermittelten Zahlen stimmen könnten. Möglicherweise ist die Dunkelziffer noch größer, denn nur gravierende Fälle finden ihren Weg in die Medien und evtl. hat auch nicht jeder IT-Manager einen gravierenden Verlust von Daten in der Befragung eingestanden.

Der Schutz von Daten vor Missbrauch wird offenbar noch immer als lästiges Übel betrachtet. Niemand käme auf die Idee, ein Lager, in dem teure Ware gelagert wird, ohne verschlossene Tore und Alarmanlage zu betreiben. Geldautomaten sind in sich kleine Festungen aus bestem Stahl und dazu noch fest im Fundament der Gebäude verankert, damit möglichst niemand den Automat als Ganzes klaut. Die gleichen Automaten waren dagegen jahrelang nur unzureichend gegen Datenklau per Skimming geschützt.

Firmennetzwerke werden im Regelfall zwar gegen Angriffe von Aussen geschützt, aber schon so vergleichsweise einfache Trojaner wie der UKASH (BKA-Trojaner) schaffen es immer wieder, Virenschutzsoftware zu überwinden. Ein gezielt zum Datenklau eingesezter Trojaner wird mit sehr großer Wahrscheinlichkeit alle handelsüblichen Schutzprogramme überwinden können. Der Schutz der Daten gegen Angriffe von Innen, also durch Mitarbeiter, ist ein noch viel heikleres Thema. Hier gibt es kaum belastbare Zahlen. Aber man darf vermuten, dass es diesen Schutz in kleineren und mittleren Unternehmen defakto nicht gibt. Möglicherweise ist den Verantwortlichen in solchen Firmen gar nicht klar, welche Daten anfallen und welche davon wichtig sind.

Fakt scheint zu sein, dass Datenschutz nur als lästiges Übel wahrgenommen wird. Und dass Verstöße dagegen damit enden, dass ein paar Tausend Leute illegal Werbung zugemail bekommen. Genau das ist falsch! Datenschutz ist das Verhindern von Datendiebstählen. Datendiebstähle können schon im kleinen Stil riesige Schäden anrichten, wie diese Meldung der NOZ über Betrug mit geklauten EC-Karten Daten zeigt. Dort wird wieder über EC-Karten-Datenklau in EDEKA Supermärkten berichtet. Die diesmal betroffenen Märkte im Raum Göttingen machten die gleichen Fehler wie die einen Monat zuvor betroffenen Märkte im Raum Osnabrück. Die EC-Geräte wurden weder regelmäßig auf Manipulationen überprüft noch nachts im Tresor aufbewahrt. Ein Lerneffekt innerhalb der EDEKA-Kaufleute ist nicht feststellbar  – sonst hätte man den neuen Schaden gut vermeiden können.

Während die Lebensmittelhänder mit „Wir lieben Lebensmttel“ werben, sollten wir Kunden lieber unsere Daten lieben und dort einkaufen, wo es sicher ist. Fragen Sie doch mal an der Kasse nach Datenschutz und Datensicherheit!

geschrieben von Holger \\ tags: , , , , , , , ,

Okt 28

Wir haben uns alle daran gewöhnt, an SSL. Es ist herrlich bequem und sicher. Bequem ja, weil man sich selbst nicht um Schlüssel bemühen muss. So bietet jeder Telefonanbieter seinen Kunden den EVN lieber als Download von einer SSL geschützten Seite an, anstatt eine PGP-verschlüsselte Mail an die Kunden zu senden. Weil jeder zweite mit der PGP-Mail nicht anzufangen wüßte, wäre der Support dafür unendlich teuer.

Aber ist SSL auch sicher? Anfang diesen Jahres hätte auch das noch fast jeder mit einem klarem JA beantwortet. Jetzt haben wir Oktober und immer mehr drängt sich der Verdacht auf, dass es mit der Sicherheit nicht zum Besten steht.

Zum einen der Hackereinbruch bei Diginotar, einem niederländischem Zertifikatsaussteller. Dieser fand mutmaßlich bereits am 17 Juni statt und wurde zwei Tage später bemerkt, aber nicht konsequent genug gehandelt. So konnten sich die Täter im Juli insgesamt 531 falsche Zertifikate ausstellen, darunter auch für die Domain google.com. Diginotar selbst versuchte offenbar, diesen Vorfall zu vertuschen – vielleicht auch, weil man erst viel zu spät merkte, was der oder die Täter gemacht haben. Die Konsequenz war dann brutal und folgerichtig – alle Browserhersteller haben sofort das Root-Zertifikat und damit alle jemals erzeugten Zertifikate von Diginotar gesperrt.

Sofort nach diesem Vorfall gab es Stimmen, die der Meinung waren, der Einbruch bei Diginotar sei nicht der Einzige gewesen. Schnell kam die Zahl vier ins Gespräch – bei vier weiteren Anbietern von Zertifikaten soll es zu Hackereinbrüchen gekommen sein. Zuvor war auch schon bei dem Anbieter Comodo eingebrochen worden – vermutlich von den gleichen Tätern, denn es gibt viele Parallelen wie die Liste der Domains, für die falsche Zertifikate ausgestellt wurden. Die Spuren führen in beiden Fällen in den Iran. Die Auswahl der Domains legt den Verdacht des Staatsterrorismus nahe.

Neben der Frage, wie lange die private Internetwirtschaft den Angriffen von Staatsterroristen mit praller Kasse und vielen Ressourcen auf breiter Front standhalten, droht eine weitere Gefahr für das SSL-System. Ein neues Denial-of-Service Tool legt verschlüsselnde Server lahm.

Gut, DOS-Attacken sind ein alter Hut und funktionieren sowieso nur, wenn viele mitmachen und man gemeinsam einen Server lahmlegt. Stimmt, aber nicht in diesem Fall. Hier reicht ein Rechner an einer dünnen DSL-Leitung, um mit seinen Anfragen einen Server zu beschäftigen. Wie das geht? Leider viel zu einfach. Das eigentliche Verschlüsseln geht recht schnell, aber der Aufbau einer verschlüsselten Verbindung ist rechenintensiv, denn hier kommen rechenintensive Verfahren wie RSA zu Einsatz, um die Schlüssel auszuhandeln und zu versenden. Hier baut dieses Tool einfach ca 1000 Verbindungen auf und fordert permanent neue Schlüssel an – damit sind auch Hochleistungsserver schnell am Limit. Ein solcher Angriff betrifft nicht nur Webserver, sondern jegliche Art von Servern, die SSL-gesicherte Verbindungen anbieten, wie z.B. viele Mailserver.

Bedingte Abhilfe schafft das Deaktivieren der Schlüsselneuaushandlung. Dann reicht ein Angreifer nicht mehr aus, um genug Last zu erzeugen. Aber von dem Tool soll eine Version existieren, die distribuierte Angriffe ermöglicht, ganz ähnlich den „normalen“ DDoS Attacken. Mit einem solchen Angriff lassen sich vermutlich auch SSL-Load-Balancer in Knie zwingen.

Und zu allem Überfluss sind auch erste Schwachstellen in der Verschlüsselung selbst aufgetaucht. Noch nichts besorgniserregendes, aber die Summe der Schwachstellen offenbart höchsten Handlungsbedarf für ein SSL der nächsten Generation. Es wird höchste Zeit, einen Nachfolger oder eine Weiterentwicklung auf die Beine zu stellen. Sonst ist eines Tages das kleine Schloss im Browser nichts mehr wert…

geschrieben von Holger \\ tags: , , , , , , , , , , ,

Aug 19
Blauer Daumen

Gefällt mir Button

Jeder kennt ihn, den blauen „Gefällt mir“ Daumen von facebook. Sogar Leute, die facebook gar nicht kennen und das Internet nicht nutzen, haben den Daumen schon gesehen.

Und schon oft gab es von Verbraucherschützern und Politikern Kritik am Datenschutz von facebook. Geändert hat sich seitdem wenig, das US-Unternehmen reagiert gar oder ausweichend. Nun aber droht deutschen Webseitenbetreibern und facebook richtig Ärger. Und zwar vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein).

Das ULD hat eine sehr umfassende Analyse „facebook-Reichweitenanalyse“ vorgenommen. Kaum jemand dürfte vorher wirklich gewußt haben, wie facebook das Webverhalten seine Nutzer und zufälligen Besucher kontrolliert und aufzeichnet. Dabei ist mit solchen Daten sehr viel Geld zu verdienen und wenn man sich die Geschäftsberichte ansieht, dann verdient facebook auch sehr viel Geld. Kernstück dieses umfassenden Trackings sind die Scripte, die hinter jedem auf einer Webseite eingebundenen „Gefällt mir“ Button stecken und die bereits vor dem Anklicken des Buttons ausgeführt wurden.  Wie das genau funktioniert, kann man sehr detailliert in einer Analyse des ULD auf 25 Seiten nachlesen. In der Pressemitteilung des ULD wird dessen Leiter Thilo Weichert mit der Aussage „Mit Hilfe dieser Daten hat Facebook inzwischen weltweit einen geschätzten Marktwert von über 50 Mrd. Dollar erreicht.“ zitiert.

Aus der Analyse des ULD geht hervor, dass dieses Tracking von facebook in keinster mit dem deutschen Datenschutzgesetz vereinbaren läßt. Die ULD fordert nun alle Webseitenbetreiber auf, die  „Gefällt mir“ Buttons bis zum 30.9.2011 zu entfernen. Webseitenbetreibern aus Schleswig Holstein, die dieser Aufforderung nicht nachkommen, droht danach Post vom ULD. Nach einer Anhörung und einem Verfahren drohen Bußgelder von bis zu 50.000 Euro.

Die Forderungen des ULD gehen sogar noch weiter, heißt in der Presseerklärung doch gleich am Anfang „Das Unabhängige Landeszentrum für Datenschutz (ULD) fordert alle Stellen in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen.“ Demnach wünscht man sich auch den Rückzug der Fanpages von facebook. Das ist allerdings eine Forderung, die kaum durchsetzbar ist. Allerdings stellt sich die Frage, wie viel Sinn die Fanpage bei facebook noch hat, wenn man die eigene Seite nicht mehr mit facebook verlinkt.

Webseitenbetreiber aus anderen Bundesländern sollten sich nicht zu früh freuen, denn die Datenschutzbeauftragten der anderen Länder werden nachziehen, wenn facebook nach diesem Vorstoß aus Schleswig Holstein den Umgang mit europäischen Internetnutzern nicht ändert. Und das ist nicht zu erwarten. Weiter besteht die Gefahr von Abmahnungen, denn das Einbinden des facebook-Button könnte man nun als unzulässige Vorteilnahme im Sinne des unlauteren Wettbewerbs ansehen.

Kurze Schlußbemerkung in eigener Sache: TelkoTalk hat nie einen facebook-Button gehabt und wird ihn auch nicht bekommen. Ebenso wird bewußt auf Dienste wie z.B. Google Analytics verzichtet. Die „Bauchschmerzen“ der Datenschützer waren dem Blogger schon länger bekannt.

geschrieben von Holger \\ tags: , , , , , ,

Jul 22

Beinahe täglich erreichen uns Meldungen über neue Datendiebstähle. Letzter Höhepunkt war die Meldung des Datenklaus aus den Bildertauschbörsen des Lebensmittelhändlers REWE. Besonders prekär, weil zum einen ein Teil der Daten von den Hackern veröffentlicht wurde und zum anderen, weil es sich beiden Nutzern dieser Webseite größtenteils um Kinder gehandelt haben dürfte. Noch ärgerlicher ist, dass Rewe diese Sicherheitslücke gut eine Woche vor dem Diebstahl  zunächst per Mail, dann öffentlich gemeldet wurde.

Aber wie kommt es zu diesen vermehrten Sicherheitslecks? Sind immer mehr kriminelle Hacker mit aufwendigstem Equipment am Werk, die auch die kleinste Lücke finden? Eher nicht. In der Mehrzahl der bekannt gewordenen Fälle brauchten die Täter kaum mehr als einen Browser und die Sicherheitslücken, die sie ausnutzen, sind seit einem Jahrzehnt bekannte Fehlerquellen, die durch schlampige Programmierung immer wieder entstehen.

Ein Beispiel: Sie sind im Kundenbereich eines Webshops, also da, wo man die Adresse und evtl. das Passwort ändern kann. Sie sehen in der Adressezeile Ihres Browsers eine Zeile wie diese „http://www.shop.de/kundendaten.php&12345“ und sie erkennen, dass die Zahl 12345 Ihre Kundennummer ist. Jetzt werden Sie neugierig und ändern die Zeile, in dem Sie eine andere Kundennummer angeben. Die Shopssoftware müßte das abwehren bzw. Benutzername und Passwort dieses Kundenabfragen. Aber aufgrund fehlerhafter Programmierung geschieht das nicht, die Webseite zeigt Ihnen einfach die Kundendaten eines fremden Kunden an. Klingt unglaublich? Auf diese Art und Weise sollen der Citibank in den USA mehr als 200.000 Kundendatensätze mit Kredikartendaten gestohlen worden sein. [Artikel auf heise-online]

Die Mehrzahl aller Angriffe erfolgt über sogenannten SQL-Injections. Das kann theoretisch bei allen Webseiten funktionieren, die mit Datenbanken arbeiten. Das Grundprinzip ist auch hier einfach: Man schummelt dem System einen oder mehrere Datenbankbefehle unter. Die Möglichkeit hierzu besteht bei Dateneingaben oder auch über die URL, die Adresszeile im Browser. Ziel ist es meist, durch eine solche Attacke eine eigene Datei auf den fremden Server zu laden, mit deren Hilfe man dann Zugriff auf das System erhält. Wie das genau funktioniert, ist im Web hundertfach nachlesbar, teilweise in Kochbuchmanier mit genauen Anweisungen zum Nachmachen. Auf Links zu solchen Seiten verzichte ich aus nachvollziehbaren Gründen.

Solchen Angriffen kann man leicht einen Riegel vorschieben, in dem man Dateneingaben auf unzulässige Zeichenfolgen filtert. Ähnlich wird es auch mit der URL gemacht. Aber da die meisten Programmierer erst die gewünschten Funktionen programmieren und die Sicherheitsmaßnahmen erst nachrüsten, wenn der Rest funktioniert, bleibt die eine oder andere Lücke. Besonders gefährdet sind Webseitenbetreiber mit Software „von der Stange“, also Lösungen wie Joomla, Typo, WordPress oder ähnlichem. Zwar ist diese Software an sich sehr sicher und evtl. bestehende Lücken werden schnell geschlossen, aber das gilt nur die Grundsoftware und die ganze gängigen Plugins oder Addons. Viele andere Erweiterungen enthalten hin und wieder Fehler, die erst Monate nach Entdecken behoben werden. Oder unter Umständen gar nicht, weil der ursprüngliche Autor sich nun anderen Hobbies zugewandt hat. Glauben Sie nicht, dass solche Lücke nicht ausgenutzt werden können. In sogenannten Exploit-Datenbanken kann gezielt nach fehlerhaften Erweiterungen gesucht werden. Dank google ist das Auffinden von Webseiten, wo genau diese fehlerhafte Software genutzt wird, leichter als man denkt. Beim Bundesligisten Schalke 04 z.B. nutzen Unbekannte im Jahr 2009 gleich zweimal eine Sicherheitslücke des dort eingesetzten Contentmanagementsystems Typo aus, die jeweils nur einen Tag bekannt war.

Man hat den Eindruck, dass trotz solcher Vorfälle, die durch sämtliche Medien gingen, sich in vielen Firmen wenig getan hat. Die Liste der Firmen, denen allein in diesem Jahr Kundendaten abhanden kam, ist beängstigend lang und es sind viele bekannten und renomierte Firmen dabei. Noch erschreckender ist dabei, dass einigen Firmen nicht zum ersten Mal die Kundendaten gestohlen wurden, wie zum Beispiel dem Computerversender K&M, also einer IT-Firma, der man das Knowhow zum sicheren Betrieb von Servern durchaus zutraut.

Die wichtigste Grundregel gegen Datenklau ist die gleiche Regel, die man auch beim heimischen PC beherzigen sollte: Software immer auf dem neuesten Stand halten, Sicherheitsupdates SOFORT einspielen. Und bei selbstentwickeltem Code immer prüfen (oder prüfen lassen), ob die gängigen Hackmethoden abgefangen werden.

Solange diese bekannten Erkenntnisse aber ignoriert werden, dauert die „Ausbildung“ zum erfolgreichen Hacker nur einen Nachmittag und wir lesen weiter von jeder Menge Daten, die geklaut wurden.

geschrieben von Holger \\ tags: , , , , , , , , ,

Apr 27

Was für eine Woche für den Datenschutz oder sollte man besser schon Datensorglosigkeit sagen?

Erst die große Aufregung über Apples obskure Positionsdatenbank auf iphones, ipads und auch unverschlüsselt auf dem PC, wenn man sein Mobilgerät mit itunes synchronisiert hat. So völlig neu war die Datenbank mit Positionsdaten von WLAN- und UMTS-Sendern nicht, allerdings hatte Apple bislang auch US-Abgeordneten auf Nachfrage verschwiegen, dass diese Daten auch einen Zeitstempel enthalten.

Und nun der Gau. Nein, sicherlich sogar ein Supergau. Sony´s Playstation Network wurde gehackt. Und der oder die Täter haben Kundendaten von ca 77 Millionen Teilnehmern klauen können. Wie genau das passieren konnte, ist noch unbekannt. Sony läßt diesen Fall auch extern untersuchen.

Die Folgen dieses Datenklaus sind gravierend. Im günstigsten Fall sind nur die Adressen und Mailadressen von 77 Millionen Kunden im Umlauf. Die Kundenpasswörter waren verschlüsselt gespeichert. Aber dieser Schutz ist schwach, wenn kurze Passwörter verwendet wurden. Für die betroffenen Kunden, die evtl. das gleiche Passwort auch für andere Dienste genutzt haben, heißt es nun, so schnell wie möglich alle Passwörter zu ändern. Viel schwerwiegender sind die Kreditkartendaten, die ein Teil der Kunden im Playstationntwork hinterlegt hat. Diese Kunden haben nun ein schwerwiegendes Problem. Zwar kann man in Mißbrauchsfällen die Beträge zurückfordern, aber wie sollen sie nun verhalten? Melden sie Ihrer Bank das Problem und lassen die Karte sperren, so bleiben sie vermutlich auf den Kosten für eine Ersatzkarte sitzen. Melden Sie den Diebstahl der Daten nicht, könnte die Bank ihnen in späteren Schadensfällen vertragsbrüchiges Verhalten vorwerfen und die Regulierung des Schadens verweigern. Sony informiert aktuell die Kunden des Playstation Networks und sollte sich für die Kreditkartenkunden schnell eine kulante Lösung einfallen lassen. Für Sony kam nach den Erdbeben in Japan nun das ganz persönliche Beben, das sie möglicherweise mit dem Versuch, sämtliche Geräte mit modifizierter Firmware von Network auszuschließen, erst angeregt haben.

Noch ist völlig unklar, welche Motive hinter dem Angriff stecken und ob die Daten das eigentliche Ziel des Angriffes waren. Andererseits spielt es auch keine Rolle, die Daten existieren nun in den Händen Unbefugter und es ist zu befürchten, dass sie früher oder später in kleinen Tranchen in Umlauf geraten, also an andere Kriminelle verkauft werden. Keine schönen Aussichten. Willkommen im Jahr 2011, im Jahr der Datensorglosigkeit…

geschrieben von Holger \\ tags: , , , , , , , ,

Apr 02

Alljährlich verleiht der FoeBuD e.V. in Bielefeld die Big Brother Awards – die Negativpreise für Datenkraken. Am gestrigen Abend des 1. April war es wieder soweit und auch diesmal gab es namhafte Preisträger.

In der Kategorie Kommunikation gab es gleich zwei Preisträger und beide sind gute Bekannte. Der erste Preis ging an die Facebook Deutschland GmbH, der die Preisverleiher unterstellen, mit systematischen Datenschutzverstößen Milliarden zu verdienen. Facebook war auch bei einem Drittel der Besucher der Veranstaltung der Favorit. Der zweite Preis in dieser Kategorie ging Apple, was auch nicht besonders überrascht. Apples Telefone sind ja bekanntlich teure Statusobjekte und wer die Geräte zu mehr als zum Telefonieren nutzen wolle, werde nach Ansicht der Preisverleiher erpresst, zweifelhaften Datenschutzbestimmungen zuzustimmen. Ob überhaupt jemand die auf dem Telefon-Display immerhin 117 Seiten lange Abhandlung liest, darf doch bezweifelt werden.

In der Kategorie Politik fand der Preis mit Niedersachsens Innenminister Uwe Schünemann einen würdigen Preisträger. Herr Schünemann, der schon in der Vergangenheit mit haarsträubenden Vorschlägen wie etwa dem Einsatz einer filternden Zugangssoftware für Kunden niedersächsicher Provider auf sich aufmerksam macht, hat sich den Preis mit dem ersten Einsatz einer Überwachungsdrohne „verdient“. Während der Proteste anläßlich der Castor-Transporte im November 2010 soll insgesamt viermal eine Überwachungsdrohne zum Einsatz gekommen sein. Anders als auf öffentlichen Plätzen, wo eine Videoüberwachung offen stattfindet und auch ausgeschildert sein muss, geschieht der Drohneneinsatz unangekündigt und oft von den Überwachten auch unbemerkt.

Etwas überraschend ging der Preis in Kategorie Technik an die Modemarke Peutery für den Einsatz von RFID-Etiketten. Die Etiketten an der Kleidung sind mit dem Hinweis „Don´t remove this Label“ (Etikett nicht entfernen) gekennzeichnet und können auch nach dem Kauf jahrelang berühlungslos und vom Träger unbemerkt ausgelesen werden.

Natürlich wurde auch der bevorstehende Zensus 2011 mit einem Award bedacht. Die weiteren Awards gingen in der Kategorie Arbeitswelt an den deutschen Zoll und die Daimler AG. Last but not least ergatterte noch der Verlag für Wissen und Information aus Starnberg den Preis in der Kategorie Verbraucherschutz. Der Verlag läßt Schulen in seinem Namen Büchergutscheine verteilen, für die man als Gegenleistung Adressdaten der Empfänger abgreift. Die Einbindung der Schulen in den wirtschaftlichen Adresshandel wird als mißbräuchlich betrachtet.

Die Details zu den Preisträgern können auf der Webseite des FoeBuD e.V. nachgelesen werden.

geschrieben von Holger \\ tags: , , , , , , ,

Dez 18

Jeder, der in den vergangenen Wochen Nachrichten gehört, gesehen oder gelesen hat, hat auch von Wikileaks gehört. Die Seite wurde durch die Veröffentlichung von 250.000 angeblich geheimen US-Dokumenten bekannt. Bereits zuvor gab es Veröffentlichungen geheimer Papiere.

Ob Dokumente, zu denen angeblich mehr als 750.000 Personen Zugriff haben, noch als geheim gelten können, das sei dahingestellt. Fakt ist, die letzte Aktion hat die US-Regierung und US-Behörden offenbar sehr stark gereizt.

Rein zufällig und natürlich aus freien Stücken und nicht etwa auf Anregung oder gar Druck der US-Administration kündigt Amazon das Webhosting. Wikileaks biete Material an, an dem man nicht die Urheberberichte besitze – so die offizielle Begründung. Auch der Domaine-Service-Provider EveryDNS.net schaltete ab. Angeblich, weil die Domain das ständige Ziel von „Cyberangriffen“ sei und diese Angriffe die anderen Kunden gefährde. Ähnliche Gründe müssen wohl auch die Kreditkartenfirmen Mastercard und Visa Europe sowie PayPal zur Sperrung der Zahlungsabwicklungen bewegt haben. Alle drei sind US-Firmen und alle drei dementieren jeglichen politischen Einfluss auf diese Entscheidungen. Heute zog die Bank of America nach und begründete dies damit, „Man glaube, dass Wikileaks in Aktivitäten verwickelt sei, die sich nicht mit den internen Vorgaben zum Zahlungsverkehr vertrügen“.

Was macht eigentlich Wikileaks so Böses? Was ist daran neu?

Die Antwort ist simpel: Wikileaks veröffentlicht geheime Dokumente, die man der Webseite zuspielt. Sie hacken also nicht selber, sie veröffentlichen diese Dokumente nur. Ungefiltert, unkommentiert und unbewertet. Und nur letzteres ist neu. Denn seit es Zeitungen gibt, werden geheime Akten ganz oder auszugsweise veröffentlicht. Als Folge erscheinen Politiker im schlechten Licht oder müssen gar zurücktreten. Der weltweit bekannteste Fall dieser Art war die Watergate-Affäre in den USA, die mit Rücktritt von Präsident Nixon endete.

Und? Hat irgendeine Bank der Washington Post damals die Konten gekündigt? Nein. Hat gar eine Papierfabrik auf Druck der Nixon-Administration die Post nicht mehr mit Zeitungspapier beliefert? Ist zumindest nie bekannt geworden. Auf Julian Assange, den Gründer von Wikileaks, dagegen findet eine Hetzjagd statt, die nun damit gipfelt, dass die USA Anklage gegen ihn erheben wollen. Er habe den Hauptgefreiten, der vor ca einem halben Jahr 250.000 Dokumente entwendet und Wikileaks zuspielte, zum Diebstahl der Dokumente angestiftet.

Wie schon erwähnt, sind in meinen Augen Dokumente, die der US-Staat einer so unglaublich großen Zahl (ca 750.000) Angestellter und Soldaten  zugänglich macht, alles andere als geheim. Von Geheimnisverrat kann daher gar keine Rede mehr sein. Allenfalls von Weitergabe vertraulicher Informationen. Und die Verantwortlichen, die evtl. Dokumente, de wirklich geheim bleiben sollten, diesem großen Nutzerkreis zugänglich machten, die werden mit Sicherheit niemals zur Verantwortung gezogen. Obwohl man sie gewiss bei jedem einzelnen der 250.000 Dokumente ermitteln könnte.

Wie schön, dass sich Wikileaks nicht mehr abschalten lässt. Dem Aufruf, Mirror-Server bereitzustellen, die von Wikileaks per FTP aktualisiert werden können, wurde zahlreich gefolgt. Bei Wikileaks hoffte man auf 50 Server – es sind  inzwischen fast 2200 Mirror-Sites aus aller Herren Länder. Und inzwischen bekunden sogar einzelne Staaten offen ihre Sympathie für Wikileaks. Was auch immer man davon halten mag, der US-Regierung sollte klar sein, dass man das Recht auf freie Meinungsäußerung und freien Informationszugang niemals dauerhaft stoppen kann. Manchmal hilft der Blick in die eigene Verfassung. Das Recht auf freie Meinungsäußerung ist in den USA eines der Heiligtümer der Verfassung und auch bei uns ist dieses Recht im Artikel 5 des Grundgesetz verankert, wenngleich auch durch zahlreiche andere Gesetze (=Ausnahmen) ausgehöhlt. So sehr ausgehöhlt, dass Herr Dr. Patrick Mayer diesem Artikel vor ca 10 Jahren eine Webseite widmete. Die Seite www.Artikel5.de wird leider nach seinem Tod 2001 nicht mehr so itensiv gepflegt, wie es das wichtige Thema verdient hätte.

geschrieben von Holger \\ tags: , , , , , ,

Jul 15

Trotz schärferer Gesetze werden Deutsche immer häufiger durch Telefon-SPAM belästigt. Sei es durch Bandansagen, die dem Angerufenen mitteilen, er habe gewonnen und solle bitte zur Einlösung des Gewinns eine 0900er RUfnummer anrufen oder durch echte Mitarbeiter, die z.B. vorgeben, bei der ARD zu arbeiten und einem die frohe Kunde eines Gewinns von 330 Euro bei einem Gewinnspiel der ARD überbringen wollen. Wie selbstverständlich wird gefragt, ob der Gewinner sein Konto bei der Sparkasse oder der Volksbank habe – schließlich möchte man den Gewinn ja schnell überweisen. Auch beim Blogger rief diese „ARD“ vor einigen Wochen an. Dank CTI-Software auf dem Rechner konnte die Rufnummer 032223321806 des Anrufers mit Hilfe von Google schnell als bekannte Nummer enttarnt werden.

Bei so vielen bekannten Fällen fragt sich der Verbraucher, warum nichts passiert. Telkotalk hat sich an die ARD gewandt, die in diesen Fällen auch ganz selbstverständlich von Betrugsversuchen spricht.

In der Stellungsnahme der Zuschauerredaktion heißt es weiter  „Das Landeskriminalamt Berlin ist zwischenzeitlich ebenfalls aktiv. Sie werden sicher Verständnis haben, dass es hinsichtlich der Strafverfolung mehr als problematisch ist, diese nur auf Basis von Berichten von Anrufen vorzunehmen. Wir vertrauen weiterhin auf das Justizsystem und die betrauten Instanzen und hoffen, dass die Anrufe bald aufhören.

Das klingt irgendwie wenig hoffnungsvoll. Natürlich sind der ARD selbst die Hände gebunden. Solange die strafverfolgenden Behörden nicht einmal den Täter ermitteln, kann man gegen diese weder straf- noch zivilrechtlich vorgehen. Und genau das ist der wunde Punkt in Deutschland.

In einem Artikel der FAZ wird am 10. Juli berichtet, dass die Bundesnetzagentur die Staatsanwaltschaften scharf kritisiert. Die Verfahren würden zu häufig eingestellt und die wirtschaftliche Dimension der Fälle völlig unterschätzt. Zudem sitzen die Hintermänner immer häufiger im Ausland und agieren mit deutschen Strohmännern und Briefkastenfirmen. Daher fordert die Bundesnetzagentur nun die Schaffung einer Schwerpunktstaatsanwaltschaft. Die Bundesnetzagentur geht davon aus, dass der Telefon-SPAM trotz teilweiser innerhalb weniger Tage erwirkten Abschaltungen von 0900er Rufnummern und Inkassoverboten für diese Nummern weiterhin äußerst lukrativ sein muss, da sich die Fälle immer mehr häufen. Immer mehr Verbraucher wenden sich mit Beschwerden diesbezüglich an die Netzagentur, die zum Ende diesen Jahres mit der Rekordzahl von 70.000 Beschwerden rechnet.

Liebe Frau Aigner: Natürlich ist Facebook eine „böse“ Webseite und wenn man sich dort publikumswirksam abmeldet, weil der Datenschutz eher nicht vorhanden ist, dann findet Telkotalk das ok. Aber es wäre wünschenswert, wenn auch den Telefonbetrügern das Leben schwerer gemacht wird. An den angedrohten Strafmassen kann es nicht mehr liegen, die sind schon recht hoch. Aber solange niemand ernsthaftes Interesse an der Durchsetzung des geltenden Rechts zeigt, sind all diese schönen Verbraucherschutzgesetze zahnlose Tiger. Also Frau Aigner, auf gehts, stoppen Sie das Treiben der Telefon-Betrüger! Zeigen Sie den Verbrauchern, dass Deutschland ein Rechtsstaat ist, der seine Bürger vor allzu offensichtlichen Betrügereien schützt!

geschrieben von Holger \\ tags: , , , , , , ,

Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Deinen Besuch stimmst Du dem zu.