Meldungen zur IT-Sicherheit

  • Hallo zusammen,


    immer wieder stoße ich im Rahmen meiner beruflichen Tätigkeit zwangsläufig auf Informationen zur Bewertung von diversen Aspekten bei dem Einsatz von Verschlüsselungstechniken.


    Ich werde das hier mal sammeln. Damit Ihr Euch nicht allzu sicher fühlt. :rolleys: Fragen beantworte ich natürlich gerne.


    Heute:


    Wer glaubt man surfe sicher mit einer "verschlüsselten" Internetverbindung, der könnte sich täuschen.


    http://www.heise.de/newsticker…ng-notwendig-2044161.html


    Hier geht es um den sehr verbreiteten Einsatz von RC4 in der Kommunikation zwischen Browser und Web-Server. Leider ist RC4 lange schon geknackt, wird aber lt. Heise immer noch zu 90 Prozent im Internet genutzt.

    I feel a disturbance in the force...

  • Ist Truecrypt wirklich sicher?


    Hallo zusammen.


    Viele hier setzen Truecrypt zur Sicherung ihrer Festplatten und USB-Sticks ein.


    Schaut man von außen auf Truecrypt (z.B. die eingesetzten Verschlüsselungsverfahren) kann man zu dem Schluss gelangen, dass es sicher sein sollte.


    Aber: Niemand weiß genau, wer eigentlich hinter dieser Software steckt. Das Entwicklerteam ist größtenteils anonym. Außerdem liegt die Unsicherheit meistens nicht in den eingesetzten Verschlüsselungsalgorithmen sondern eher in ihrer Anwendung.


    Die sinnvollsten Verfahrensweisen um Daten sicher zu verschlüsseln sind (u. a.) in der PKCS dokumentiert. Die allermeisten Fehler passieren, wenn die Verfahren nicht sauber implementiert wurden.


    All diese Fragen möchte nun ein kleines Team klären: http://www.golem.de/news/truec…ungstool-1310-102245.html


    Ich bin gespannt, was dabei herauskommen wird.


    Einen schönen, sicheren 3. Advent.

    I feel a disturbance in the force...

  • Wer RC4 blocken will im Browser kann dies mit Firefox recht einfach tun:
    In die Adresszeile "about:config" eingeben
    In die neue Suchleiste dann "rc4" eingeben.
    Und bei den Suchergebnissen dann "true" auf "false" ändern.
    Fertig.

  • Zitat von Apokalypson;156494

    Wer RC4 blocken will im Browser kann dies mit Firefox recht einfach tun:
    In die Adresszeile "about:config" eingeben
    In die neue Suchleiste dann "rc4" eingeben.
    Und bei den Suchergebnissen dann "true" auf "false" ändern.
    Fertig.


    Kann man machen. Womöglich funktionieren einige Dienste dann aber nicht mehr die RC4 mit dem Browser aushandeln und sonst gar nichts. Ich werde das mal mit meinen Online-Banken testen.

    I feel a disturbance in the force...

  • NSA bezahlt RSA


    Kurz vor Weihnachten noch ein, zumindest aus meiner Sicht, echter Knaller:


    Wie es aussieht, hat die NSA die Firma RSA bezahlt, um den wichtigsten Teil seiner Verschlüsselungslösung mit einer Backdoor zu versehen. Es geht um den Zufallsgenerator. Leider wurde der Generator wohl auch von anderen Lösungen wie z. B OpenSSL ungeprüft übernommen.


    Zu lesen auf golem.de:http://www.golem.de/news/bsafe…zusetzen-1312-103540.html


    Laut golem wurde der Generator aber wohl nur selten benutzt. Aber schon interessant, dass ein Unternehmen wie RSA so etwas mitmacht. Werden doch alle öffentlichen Algorythmen mit Argusaugen von einer großen Community betrachtet. RSA hat PKI erst möglich gemacht und hat einen Ruf zu verlieren. Und es spricht auch für die NSA, eine Backdorr zu entwickeln die so lange nicht nachgewiesen werden konnte. Blöd nur, dass dieauf der falschen Seite stehen... :rolleys:

    I feel a disturbance in the force...

  • Begehsysteme in Wien


    Hallo liebe Österreicher!


    Heute mal eine direkte Ansprache an die Foris im schönen Alpenland. Speziell die, die in Wien leben und ein %22">RFID-gesteuertes Begehsystem basierend auf der BEGEH-Card im Haus haben.


    Dieses ist nämlich mit recht einfachen Mitteln geknackt worden.


    Näheres dazu:


    Hier
    http://derstandard.at/13851723…er-Haustueren-mit-Skipass


    und hier
    http://www.golem.de/news/rfid-…nhaeuser-1312-103616.html

    I feel a disturbance in the force...

  • Hallo,


    Da muß ich jetzt aber widersprechen. Diese Meldung hat sehr wohl die Mainstreammedien erreicht
    Spiegel: vor 2 Tagen: http://www.spiegel.de/netzwelt…ter-aendern-a-970903.html
    FAZ: http://www.faz.net/aktuell/wir…-zu-aendern-12950547.html
    RTL: http://www.rtl.de/cms/ratgeber…b9a0-a775-24-1915946.html
    Standard: http://derstandard.at/20000014…i-Hackerangriff-gestohlen
    ...


    Bitte nicht immer abfällig gegen sogenannte Mainstreammedien hetzen. Auch wenn es unterschwellig ist.


    Gruß
    Gerald
    PS.: Mich würde mehr interessieren, wie ich mein ebay PW ändern kann :)

  • Zitat von DerGerald;172520


    PS.: Mich würde mehr interessieren, wie ich mein ebay PW ändern kann :)


    Unter Mein Ebay -> persönliche Daten -> im Feld "Nutzername und Passwort" in der Zeile "Passwort" auf "bearbeiten" klicken. Du bekommst eine Mail mit einem Link, hier kannst Du ein neues Passwort eingeben.


    Beste Grüße

  • Hab auch grad nen bissl suchen müssen... Okay hätte auch erst hier den Thread zu Ende lesen können :D Aber: Passwort geändert

  • Zitat von DerGerald;172520

    Da muß ich jetzt aber widersprechen. Diese Meldung hat sehr wohl die Mainstreammedien erreicht


    Komisch. Muss ich wohl übersehen habe.


    Zitat von DerGerald;172520

    Bitte nicht immer abfällig gegen sogenannte Mainstreammedien hetzen. Auch wenn es unterschwellig ist.


    Wo genau siehst Du da eine unterschwellig abfällige Hetzerei? Selbst wenn dort eine wäre, bleibt es immer noch meine Sache gegen wen ich unterschwellig abfällig hetze. :rolleys:

    I feel a disturbance in the force...

  • Hallo,


    Zitat

    komisch, dass diese Meldung die Mainstream-Presse immer noch nicht erreicht hat:


    Vielleicht nur meine Meinung, aber das liest sich für mich schon sehr abwertend. Ganz besonders deshalb, weil es einfach nicht stimmt.
    Natürlich kannst du hetzen gegen wen du willst :lächeln:, allerdings darfst du dann auch mir nicht das Recht abstreiten gegen diese Hetzerei zu schreiben.


    Allerdings handelt es sich hier sowieso nur um eine Kleinigkeit, und der eigendliche Fehler wurde ja korrigiert :grosses Lachen:.


    Ebaypasswort habe ich Dank eurer Hilfe geändert.


    Gruß
    Gerald

  • Oft ist ja bei diesen Ereignissen so dass der bekannte Umfang der Einbrüche nach und nach ansteigt.


    Ich würde also vorsorglich auch gleich das Paypal (eBay-Tocherfirma!) Passwort wechseln und bei Paypal die kostenlose 2-Factor-Authentifizierung per SMS aktivieren... :staunen:

  • Whatsapp-Verschlüsselung


    Whatsapp bietet nun durchgängig ein ähnliches Feature an wie Threema, nämlich die Ende-zu-Ende-Verschlüsselung zwischen zwei Kommunikationspartnern.


    Bisher war unklar, wie und auf welchen Geräten Whatsapp die Kommunikation verschlüsselt. Ein sehr aufwändiger Test durch Heise kam zu dem Ergebnis, dass Whatsapp prinzipiell schon verschlüsselt. Auch unlesbar durch die Whatsapp-Server.


    Nur das iPhone schaute damals in die Röhre. Auch bei weniger aktuellen Betriebssystemen sah es bisher mau aus.


    http://www.heise.de/security/a…ger-geschaut-2629020.html



    Mittlerweile ist es aber so, dass wohl alle wichtigen Smartphone-Betriebssysteme verschlüsselt übertragen.


    Zitat

    Die Verschlüsselung steckt laut Marlinspike in den aktuellen Versionen für Android, iPhone, Windows Phone, Nokia S40, Nokia S60, Blackberry und BB10


    http://www.heise.de/security/meldung/WhatsApp-Verschluesselung-fuer-alle-freigeschaltet-3163009.html

    Da sich sogar NSA/FBI und sonstwer lautstark darüber beschweren, scheint es sogar so halbwegs sicher zu sein. :rolleys:

    I feel a disturbance in the force...

  • Zitat von lord_helmchen;269798

    Da sich sogar NSA/FBI und sonstwer lautstark darüber beschweren, scheint es sogar so halbwegs sicher zu sein.


    Na sicher.... :unschuldig:

  • Zitat von Nudnik;269802

    Na sicher.... :unschuldig:


    Hegst Du irgendwelche Vermutungen?


    Du nutzt Threema, also kannst Du auch Whatsapp nutzen.


    Der Vorteil bei Threema ist, dass ein Audit stattfand:


    http://www.heise.de/security/m…e-Schwaechen-2868866.html


    Und damit zumindest bis zu dem Zeitpunkt als sicher anzusehen war. Was anschließend mit den nachfolgenden Updates aufs Smartphone gespielt wurde weiß auch niemand mehr.


    Aber ein gesundes Misstrauen ist immer von Vorteil. Mit Betonung auf gesund.

    I feel a disturbance in the force...

  • Zitat von lord_helmchen;269804

    Du nutzt Threema, also kannst Du auch Whatsapp nutzen.


    Das Argument erschließt sich mir nicht.


    Und zum Thema Vermutung, nur weil ein amerikanischer Geheimdienst sich beschwert, heisst das nicht, dass er die Verschlüsselung nicht umgehen kann. Thema, Nebelkerzen für das Volk....
    Wo stehen die Whatsapp Server? Kalifornien?
    Wo ist das Unternehmen beheimatet? USA?


    Da ist gesundes Misstrauen durchaus angebracht, mit Betonung auf gesund!

  • Wie finanziert sich Whatsapp eignetlich? Jetzt wo die Nachrichten nicht mehr mitgelesen werden können? Über all die anderen gesammelten Daten wie Bilder, Kontakte usw.?
    Also ich vertraue Threema auch jetzt noch mehr. Alleine schon weil die Server und der Hauptsitz in der Schweiz sind, und somit auch der schweizerische Datenschutz gilt.