Meldungen zur IT-Sicherheit

Hallo zusammen,

immer wieder stoße ich im Rahmen meiner beruflichen Tätigkeit zwangsläufig auf Informationen zur Bewertung von diversen Aspekten bei dem Einsatz von Verschlüsselungstechniken.

Ich werde das hier mal sammeln. Damit Ihr Euch nicht allzu sicher fühlt. Fragen beantworte ich natürlich gerne.

Heute:

Wer glaubt man surfe sicher mit einer "verschlüsselten" Internetverbindung, der könnte sich täuschen.

http://www.heise.de/newsticker…ng-notwendig-2044161.html

Hier geht es um den sehr verbreiteten Einsatz von RC4 in der Kommunikation zwischen Browser und Web-Server. Leider ist RC4 lange schon geknackt, wird aber lt. Heise immer noch zu 90 Prozent im Internet genutzt.

Ist Truecrypt wirklich sicher?

Hallo zusammen.

Viele hier setzen Truecrypt zur Sicherung ihrer Festplatten und USB-Sticks ein.

Schaut man von außen auf Truecrypt (z.B. die eingesetzten Verschlüsselungsverfahren) kann man zu dem Schluss gelangen, dass es sicher sein sollte.

Aber: Niemand weiß genau, wer eigentlich hinter dieser Software steckt. Das Entwicklerteam ist größtenteils anonym. Außerdem liegt die Unsicherheit meistens nicht in den eingesetzten Verschlüsselungsalgorithmen sondern eher in ihrer Anwendung.

Die sinnvollsten Verfahrensweisen um Daten sicher zu verschlüsseln sind (u. a.) in der PKCS dokumentiert. Die allermeisten Fehler passieren, wenn die Verfahren nicht sauber implementiert wurden.

All diese Fragen möchte nun ein kleines Team klären: http://www.golem.de/news/truec…ungstool-1310-102245.html

Ich bin gespannt, was dabei herauskommen wird.

Einen schönen, sicheren 3. Advent.

Zitat von Apokalypson;156494

Wer RC4 blocken will im Browser kann dies mit Firefox recht einfach tun:
In die Adresszeile "about:config" eingeben
In die neue Suchleiste dann "rc4" eingeben.
Und bei den Suchergebnissen dann "true" auf "false" ändern.
Fertig.

Kann man machen. Womöglich funktionieren einige Dienste dann aber nicht mehr die RC4 mit dem Browser aushandeln und sonst gar nichts. Ich werde das mal mit meinen Online-Banken testen.

NSA bezahlt RSA

Kurz vor Weihnachten noch ein, zumindest aus meiner Sicht, echter Knaller:

Wie es aussieht, hat die NSA die Firma RSA bezahlt, um den wichtigsten Teil seiner Verschlüsselungslösung mit einer Backdoor zu versehen. Es geht um den Zufallsgenerator. Leider wurde der Generator wohl auch von anderen Lösungen wie z. B OpenSSL ungeprüft übernommen.

Zu lesen auf golem.de:http://www.golem.de/news/bsafe…zusetzen-1312-103540.html

Laut golem wurde der Generator aber wohl nur selten benutzt. Aber schon interessant, dass ein Unternehmen wie RSA so etwas mitmacht. Werden doch alle öffentlichen Algorythmen mit Argusaugen von einer großen Community betrachtet. RSA hat PKI erst möglich gemacht und hat einen Ruf zu verlieren. Und es spricht auch für die NSA, eine Backdorr zu entwickeln die so lange nicht nachgewiesen werden konnte. Blöd nur, dass dieauf der falschen Seite stehen...

Begehsysteme in Wien

Hallo liebe Österreicher!

Heute mal eine direkte Ansprache an die Foris im schönen Alpenland. Speziell die, die in Wien leben und ein RFID-gesteuertes Begehsystem basierend auf der BEGEH-Card im Haus haben.

Dieses ist nämlich mit recht einfachen Mitteln geknackt worden.

Näheres dazu:

Hier
http://derstandard.at/13851723…er-Haustueren-mit-Skipass

und hier
http://www.golem.de/news/rfid-…nhaeuser-1312-103616.html

Hallo zusammen,

komisch, dass diese Meldung die Mainstream-Presse immer noch nicht erreicht hat:

Wer einen Account bei ebay hat, sollte möglichst schnell sein Kennwort ändern, da die Kennwörter anscheinend geraubt wurden und wirklich jeder Account betroffen sein könnte.

Detail gibt es hier: http://www.golem.de/news/ebay-…etroffen-1405-106664.html

Zitat von DerGerald;172520

Da muß ich jetzt aber widersprechen. Diese Meldung hat sehr wohl die Mainstreammedien erreicht

Komisch. Muss ich wohl übersehen habe.

Zitat von DerGerald;172520

Bitte nicht immer abfällig gegen sogenannte Mainstreammedien hetzen. Auch wenn es unterschwellig ist.

Wo genau siehst Du da eine unterschwellig abfällige Hetzerei? Selbst wenn dort eine wäre, bleibt es immer noch meine Sache gegen wen ich unterschwellig abfällig hetze.

Whatsapp-Verschlüsselung

Whatsapp bietet nun durchgängig ein ähnliches Feature an wie Threema, nämlich die Ende-zu-Ende-Verschlüsselung zwischen zwei Kommunikationspartnern.

Bisher war unklar, wie und auf welchen Geräten Whatsapp die Kommunikation verschlüsselt. Ein sehr aufwändiger Test durch Heise kam zu dem Ergebnis, dass Whatsapp prinzipiell schon verschlüsselt. Auch unlesbar durch die Whatsapp-Server.

Nur das iPhone schaute damals in die Röhre. Auch bei weniger aktuellen Betriebssystemen sah es bisher mau aus.

http://www.heise.de/security/a…ger-geschaut-2629020.html

Mittlerweile ist es aber so, dass wohl alle wichtigen Smartphone-Betriebssysteme verschlüsselt übertragen.

Zitat

Die Verschlüsselung steckt laut Marlinspike in den aktuellen Versionen für Android, iPhone, Windows Phone, Nokia S40, Nokia S60, Blackberry und BB10

http://www.heise.de/security/meldung/WhatsApp-Verschluesselung-fuer-alle-freigeschaltet-3163009.html

Da sich sogar NSA/FBI und sonstwer lautstark darüber beschweren, scheint es sogar so halbwegs sicher zu sein.

Zitat von Nudnik;269802

Na sicher.... :unschuldig:

Hegst Du irgendwelche Vermutungen?

Du nutzt Threema, also kannst Du auch Whatsapp nutzen.

Der Vorteil bei Threema ist, dass ein Audit stattfand:

http://www.heise.de/security/m…e-Schwaechen-2868866.html

Und damit zumindest bis zu dem Zeitpunkt als sicher anzusehen war. Was anschließend mit den nachfolgenden Updates aufs Smartphone gespielt wurde weiß auch niemand mehr.

Aber ein gesundes Misstrauen ist immer von Vorteil. Mit Betonung auf gesund.