Meldungen zur IT-Sicherheit

Suvo01 · 6. April 2016

Ich habe heute Morgen auch einen Artikel darüber gelesen. Und meine Reaktion war auch: na sicher.
Erst kürzlich wollte das FBI Appel gerichtlich dazu zwingen den Iphone Code eines Terroristen aufzuheben. Das Gericht entschied für Apple und kurz darauf gelang es dem FBI den Code zu knacken....
Scheint so, als wollte die Behörde einen Präzedenzfall für die einfachere Lösung schaffen.
Solche Verschlüsselungen machen es meiner Meinung nach nur etwas komplizierter für die Abhörer, aber keineswegs unmöglich.

Grüsse Susanne

SBB+ · 6. April 2016

Im Prinzip ist nie wirklich bekannt, wie die Nachrichten systemintern verarbeitet werden. Stichwort: History. Liegt sie auf dem Server, so hat der Server auch alle Nachrichten in seiner Datenbank. Da ist zwar löblich, eine Ende-zu-Ende Verschlüsselung umzusetzen, aber die Frage ist dann immer noch: Zwischem wem? User-WhatsAppServer-User? User-User? Das sind gewaltige Unterschiede.

Es mag sein, dass Threema sicherer ist, als WhatsApp. Aber man darf sich sicher sein, dass es zur Kernkompetenz der Nachrichtendienste gehört, auch diese möglichst komplett mitzulesen. Geht man das Produkt selbst nicht an, so geht man das Gerät an. Je nach Zielrichtung des Auftrags. Wenn ich "mitlesen" schreibe, meine ich damit nicht das humanoide Mitlesen. Das macht spezielle Software, die über mehrere Instanzen Inhalte vorfiltert, indexiert und als Konzentrat dem Bearbeiter zugänglich macht.

Es gibt nicht sonderlich viele wirklich sichere/private Kommunikationmöglichkeiten. PGP/GPG ist für mich eine, unter der Voraussetzung, man hat seine Maschinen wirklich unter Kontrolle. Dann vielleicht noch mailbox.org (Link: http://www.heise.de/ix/meldung…-Mail-Dienst-2120363.html) und Startmail (https://www.startmail.com/)

Als "sicheres Gerät" ist ein Smartphone aus meiner Sicht nicht geeignet. Ich nenne mein Smartphone daher auch liebevoll "Ortungswanze".

Gruß SBB

Nudnik · 6. April 2016

Nicht nur wegen des schweizer Datenschutzgesetzes. Ich gehe davon aus, dass sich die NSA oder sonstige Auslandsgeheimdienste deutlich schwerer tun, diesen Betreiber unter Druck zu setzen als ein in den USA beheimatetes Unternehmen.

Und zum Thema NSA/FBI regt sich drüber auf, lies mal das hier, wenn du Zeit und Lust hast: http://bgr.com/2016/03/04/fbi-vs-apple-nsa-hackers/

SBB+ · 6. April 2016

Nudnik: Das stimmt. Obwohl der Arm von denen sehr weit reicht. Danke für den Link. Das hatte ich schon anderweitig so mitbekommen.

Was die Nutzung von Chatsoftware, wie Threema/WhatsApp und so angeht, sind wir ja wenig gefährdet. Und persönliche/sensible Daten sollte keiner auf seinem Phone speichern. Das Forum läuft ja auch in Klartext über den Äther.

Gruß SBB

tomduly · 6. April 2016

Hallo,

die ganzen Messenger-Apps können im Prinzip verschlüsseln wie sie wollen, am Anfang und am Ende der Kommunikationsstrecke sind die Nachrichten zwangsläufig in Klartext im Speicher des jeweiligen Endgeräts. Wer also die Kommunikation abgreifen will, der setzt dort an. Sei es mit einer App, die den "Tastaturpuffer" mitloggt oder eine, die beim Empfänger den "Ausgabepuffer" anzapft. Denn darauf hat die Messenger-App keinen Einfluss, das ist Sache des Betriebssystems, den Zugriff auf Hardware-Ressourcen zu kontrollieren. Und wer glaubt, Keyboard-Logger gibt es nur als PC-Virus, ist reichlich naiv.

Wer gleich loslegen will, wird hier fündig: Best Android Tools for Security Audit and Hacking

Man sollte sich immer vor Augen halten, dass Institutionen, wie die NSA mit 8 Mrd. US$ Jahresbudget, sich mit ziemlicher Sicherheit nicht darauf beschränken, bei Standardisierungsbehörden künstlich geschwächte Security-Algorithmen einzuschleusen.

Schaut mal mit einem Netzwerk-Sniffer wie Wireshark dem WLAN-Zugriff Eures Smartphone eine zeitlang auf die Finger, wenn es eingeschaltet einfach nur rumliegt.

Es hat schon seine Gründe, warum Krypto-Profis wie Rohde&Schwarz die Ver- und Entschlüsselung ausserhalb der üblichen Endgeräte stattfinden lassen.

Grüsse

Tom

DerGerald · 6. April 2016

Hallo,
ich als Geheimdienst würde mich ja viel mehr für die interessieren, die über Threema kommunizieren Die scheinen nämlich was zu verbergen zu haben...

SBB+ · 6. April 2016

Zitat von DerGerald;269817

Hallo,
ich als Geheimdienst würde mich ja viel mehr für die interessieren, die über Threema kommunizieren Die scheinen nämlich was zu verbergen zu haben...

Immer! Überall!:Zunge raus:Ach, wie gut, dass niemand weiß, dass ich SBB+ heiß...:Cool:

Späßle. Alle regulären Internetdienste, auch Threema sind nix besonderes. Ich hatte es ja schon angeschnitten und tomduly hat es ziemlich explizt ausformuliert.

Gruß SBB

lord_helmchen · 8. August 2016

Gefährdung von Android-Geräten mit LTE-Chip von Qualcomm

Zitat

Sicherheitsforscher von Check Point sind auf vier Sicherheitslücken in Qualcomm-Chips für den LTE-Empfang gestoßen. Davon sollen mehr als 900 Millionen Android-Smartphones und -Tablets betroffen sein.

Nutzt ein Angreifer eine der Lücken aus, könne er Root-Zugriff auf gefährdete Geräte bekommen ... In dieser Position könnten Angreifer etwa Daten auslesen und Nutzer tracken; im Grunde haben sie das komplette Gerät gekapert.

Um die Lücken ausnutzen zu können, müssen Angreifer Opfern jedoch eine präparierte App unterjubeln... Diese App benötige ihnen zufolge keine besonderen Berechtigungen und verhalte sich im Betrieb nicht verdächtig. Man sollte also aufpassen, aus welchen Quellen man Apps installiert.

Die Schwachstellen finden sich den Sicherheitsforschern zufolge in den Treibern des Qualcomm-Chips. Geräte-Hersteller bekommen die Chips bereits mit vorinstallierten Treibern geliefert und Millionen Android-Geräte sind so bereits ab Werk gefährdet.

Die Lücken über Sicherheits-Patches zu stopfen sei kein Problem, erläutern die Sicherheitsforscher. Wie bei Android gewohnt, gestaltet sich jedoch die Verteilung als schwierig: Zuerst muss Qualcomm Fixes bereitstellen und diese an die Hersteller verteilen. Die Hersteller müssen dann dafür sorgen, dass die Besitzer von betroffenen Geräten die Sicherheits-Patches erhalten. Da der Markt von Android-Geräten stark fragmentiert ist, ist dies eine schwierige, bis schier unlösbare Aufgabe.

Alles anzeigen

http://www.heise.de/newsticker/meldung/QuadRooter-Verwundbare-LTE-Chips-sollen-ueber-900-Millionen-Android-Geraete-gefaehrden-3289647.html

Edit (für die, die dem Link nicht gefolgt sind):

Im Google-Play gibt es eine kleine App mit der man das eigene Smartphone testen kann:

https://play.google.com/store/…com.checkpoint.quadrooter

bilbo3000 · 8. August 2016

Hi Leute,
falls jemand von Euch eine Alternative zum nicht mehr supporteten TrueCrypt (und vermutlich inzwischen auch unsicher) sucht:
Veracrypt scheint ein würdiger Nachfolger zu sein:
https://veracrypt.codeplex.com/
Es werden eine Reihe von bekannten Schwächen und Lücken von Truecrypt behoben. Ausserdem ist der Kopf dahinter (Mounir Idrassi) bekannt und gibt auch regelmäßig Interviews und Informationen zu seinen Intentionen.

Man kann mit Veracrypt sogar alte Truecrypt Container öffnen - um die neuen Sicherheitsfunktionen von Veracrypt zu nutzen macht es aber natürlich Sinn, seine Daten in neue Veracrypt Container umzuziehen.

Viele Grüße
Bilbo3000

Nice · 8. August 2016

Zitat von SBB+;269810

Dann vielleicht noch mailbox.org (Link: http://www.heise.de/ix/meldung…-Mail-Dienst-2120363.html) und Startmail (https://www.startmail.com/)

Gruß SBB

Posteo.de

Bis dato habe ich nichts gefunden, was da Sicherheitstechnisch in die Nähe kommt.

[COLOR="silver"]- - - AKTUALISIERT - - -[/COLOR]

Zitat von bilbo3000;282906

Hi Leute,
falls jemand von Euch eine Alternative zum nicht mehr supporteten TrueCrypt (und vermutlich inzwischen auch unsicher) sucht:
Veracrypt scheint ein würdiger Nachfolger zu sein:
https://veracrypt.codeplex.com/
Es werden eine Reihe von bekannten Schwächen und Lücken von Truecrypt behoben. Ausserdem ist der Kopf dahinter (Mounir Idrassi) bekannt und gibt auch regelmäßig Interviews und Informationen zu seinen Intentionen.

Man kann mit Veracrypt sogar alte Truecrypt Container öffnen - um die neuen Sicherheitsfunktionen von Veracrypt zu nutzen macht es aber natürlich Sinn, seine Daten in neue Veracrypt Container umzuziehen.

Viele Grüße
Bilbo3000

Alles anzeigen

Das Problem an Veracrypt ist allerdings, daß es bis dato noch nie unabhängig auditiert wurde...TC 7.01a schon, deshalb nutze ich es weiter bis VC mal irgendwann unabhängig auditiert wurde.
Wen es interessiert: https://opencryptoaudit.org/re…ase_II_NCC_OCAP_final.pdf

lord_helmchen · 2. November 2016

Browser-Erweiterung WOT (Web Of Trust) gibt Daten weiter

Tja, das ist mehr als ärgerlich auch für mich, denn ich nutze die Erweiterung seit Jahren da sie extrem praktisch ist, bei der Website-Suche die Spreu vom Weizen zu trennen:

Zitat

Nachdem NDR-Reporter am Dienstag erläutert hatten, wie sie an detaillierte Daten zum Surfverhalten von Millionen Deutschen gekommen sind, haben sie nun eine Quelle der Daten genannt: Die Browser-Erweiterung "Web of Trust" (WOT) späht demnach ihre Nutzer aus und gebe die gesammelten Daten "offenbar an Dritte" weiter.

WOT ist eine Browser-Erweiterung, die den Nutzern die Reputation besuchter Internetseiten anzeigt. Dafür sammelt sie die Meinung anderer Nutzer und fasst diese zu einer einfachen Ampel zusammen, die entweder vor einer Seite warnt oder eine gute Bewertung ausgibt. Die Erweiterung wurde deswegen unter anderem auch schon von c't empfohlen und wird gegenwärtig von Mozilla für den Firefox-Browser vorgeschlagen. Wie die NDR-Journalisten nach eigenen Angaben nun herausgefunden haben, übermittelt das Addon die Daten zum Surfverhalten ins Ausland, wo sie zu einem Profil verknüpft werden.

...

Danach waren daraus intimste Details aus dem Privatleben der Betroffenen einsehbar oder aber es kam genug Material zusammen, um online sogar deren Identität zu übernehmen.

Alles anzeigen

Irgendjemand weiß jetzt womöglich alles über mich. Ich nehme an, dass das die kommenden Tage und Wochen weiter untersucht wird ob das wirklich der Fall ist, aber allein der Gedanke daran lässt mich :brech:.

https://www.heise.de/newsticke…er-Addon-WOT-3453820.html

noxis · 2. November 2016

Geht mir genau gleich. Ich benutzte diese Erweiterung auch gerne. Allerdings löschte ich dieses Erweiterung auch grad direkt, als ich das auf Heise gelesen hatte. Keine Ahnung, welche Alternative man jetzt nehmen könnte. Wobei, soweit ich das im Beitrag von SemperVideo verstanden hatte, sollen Firefox und Chrome. schon eigene solcher Vertrauenslisten integriert haben. Keine Ahnung ob die brauchbar sind.

YouTube -- SemperVideo - WoT verkauft detailierte Profile:
https://www.youtube.com/watch?v=ngNz96GQpGA

SBB+ · 3. November 2016

Das ist ein Problem mit Pest und Cholera. Damit die URLs auf Phishing getestet werden können, müssen sie übertragen werden. Dann beginnt die Maschinery mit dem Abgleich. Das alles kostet Geld. Datenbanken vorhalten, die Technik, die Softwareentwicklung....

Das ist wie mit den kostenfreien Google Produkten. Wenn die Software nix kostet, bist du ggf. das Produkt. Alle Anti-Phishing Funktionen, egal welcher Browser übertragen die eingegebenen Urls. Mal gar nicht verschlüsselt, mal besser. Alleine schon diese Daten gezielt personenbezogen zu verarbeiten ist ein kleines Eldorado. Da braucht man noch gar keine Plugins. Aber die sind teils auch einfach der Teufel im Schafspelz. Nun hat man wieder eine gefunden.

Interessant sind auch diese ganzen "Schutzfunktionen" die deinen Download per Hash abgleichen. Man weiß, was du geladen hast. Hashabgleich, oh ein Torbrowser, ein Putty...
Nicht nur für die drei Buchstaben, sondern auch für die Datensammler-Pros interessant die Profildaten zu jeder Person sammeln. Und natürlich der Wert steigert sich pro Profildatendatz, je mehr darin steht.
Diese Datenschutzaspekte in Browsern wurden aber vor vielen Jahren mal diskutiert, als das Feature neu war. Damals juckte das kaum einen - man behauptete, dass die Festplatten für die Dauerspeicherung zu klein wären z.B. - und der Klassiker: Ich hab nix zu verbergen; Sollen Sie doch gucken, was ich herunterlade, das interessiert eh keinen.

Im Internet schaut immer einer einem über die "Schulter".

Gruß SBB

lord_helmchen · 3. November 2016

Und weiter geht's:

Zitat

Browserdaten machen Politiker erpressbar

Die Datenspur reiche demnach "bis ins Bundeskanzleramt" . Es seien Informationen "zu Reisen und Treffs, zur Vorbereitung interner Sitzungen, zum Umgang mit Interessensgruppen oder auch zu privaten Dingen wie Vermögensverhältnissen und Gesundheit" ausgeforscht worden. Dies behindere die politische Arbeit und könne die Politiker erpressbar machen, kommentiert der Sender.

Einige der betroffenen Politiker sind nun auch mit Namen bekannt. So seien von der Grünen Bundestagsabgeordneten Valerie Wilms Browserdaten aufgetaucht, mit der sich ihre Reisen nachvollziehen lassen. Auch gebe es Hinweise zu ihrer Gesundheit und ihren Steuerdaten.

Den Staatsminister der Bundeskanzlerin, Helge Braun (CDU), hat es ebenfalls erwischt. Laut NDR seien Brauns Informationen über den Computer eines Mitarbeiters in der Datensammlung gelandet. Braun gilt als Vertrauter von Bundeskanzlerin Angela Merkel. Frank Junge (SPD), im Finanzausschuss für den Haushalt der Bundesrepublik verantwortlich, ist auch im Datensatz identifizierbar.

Alles anzeigen

http://www.heise.de/newsticker…hvollziehbar-3455082.html

Ich glaube, ich lasse das mit dem Internet... :grosses Lachen:

[COLOR="silver"]- - - AKTUALISIERT - - -[/COLOR]

Zitat von SBB+;290885

Im Internet schaut immer einer einem über die "Schulter".

Ja, das ist richtig und sollte auch jedem bewusst sein.

Zwar stand WOT schon immer in der Kritik, aber nie deswegen weil es Daten sammelte und weitergibt. Website-Betreiber (und die "Mithörer" zwischen Browser und Server, weswegen ja auch https so wichtig ist [was ja von diesem Forum leider immer noch nicht unterstützt wird]) haben immer nur eine relativ kleine Sicht auf die Daten. Nämlich das, was an Daten mit dem Request übermittelt wird. Was auch schon nicht wenig ist.

WOT aber sammelt scheinbar wohl einfach alles (auch Kennwörter z.B.) ein und kann damit alles in einen Kontext stellen. Das hat eine völlig andere Qualität als die üblich machbare Schnüffelei. Ich hoffe einfach nur, dass alle daran Beteiligten sich massiv die Finger an den Daten verbrennen.

Wie auch immer. Meine Maßnahmen:

WOT deinstallieren.
Alle Kennwörter ändern. Zumindest alle wichtigen wie bei Online-Shops ebay, etc.

Eben dort, wo ein Konto oder eine Kreditkarte dranhängt. Ach Mist... Die Daten kennt WOT ja auch schon...

:banghead:

KidCrazy · 3. November 2016

Zitat von lord_helmchen;290941

WOT aber sammelt scheinbar wohl einfach alles (auch Kennwörter z.B.) ein...

Hast du dazu eine Quelle? Das konnte ich auf die Schnelle nirgends finden.

Gruß,
Kc

lord_helmchen · 3. November 2016

Folge den Links.

Und im ersten Beitrag schrieb ich auch, dass das alles noch genauer untersucht werden muss.

Aber wenn die Urheber des Artikels von "Identitätsdiebstahl" sprechen muss man wohl davon ausgehen, dass auch Zugangsdaten weitergegeben wurden.

Und allein der Verdacht reicht bei mir aus, alle PWs zu ändern. Nachdem ich das deinstalliert habe...

KidCrazy · 3. November 2016

Identitätsdiebstahl ist es ja bereits, wenn jemand deinen Namen und deine Adresse bei einer Bestellung angibt. Dafür braucht man kein Passwort

lord_helmchen · 8. November 2016

[h=2]Licht an, Licht aus: ZigBee-Wurm befällt smarte Glühbirnen[/h]
Sorry, aber da musste ich lachen:

Zitat

Eine infizierte Glühlampe hackt drahtlos benachbarte Birnen und verbreitet auf diesem Weg einen Firmware-Wurm der die Lampen wild flackern lässt oder sie zerstört – potenziell könnte sich der Schadcode so über eine ganze Stadt ausbreiten und alle smarten Glühbirnen übernehmen.

Das Ende ist nah...

... wenn das so weiter geht mit dem Internet der Dinge.

http://www.heise.de/newsticker…-Gluehbirnen-3459004.html

Und wer jetzt meint, dass er so einen Krempel nicht daheim hat und das nicht juckt:

http://www.golem.de/news/brian…ets-sind-1610-123589.html

Es gab bereits einen massiven Angriff auf diverse Internetdienste von gehackten Geräten aus:

Zitat

Bei den Geräten handelt es sich vor allem um IP-Kameras verschiedener Hersteller, darunter Dahua, Hisilicon, Mobotix und Shenzhen Anran Security Camera. Aber auch Geräte bekannterer Hersteller sind darunter, unter anderem eine Kamera von Toshiba, ein Router von ZTE und Realtek und Xerox-Drucker.

Wir werden da noch viel hören, denke ich. Ich muss mich immer wieder wundern, dass die Hersteller seit +30 Jahren immer dieselben Fehler machen obwohl bekannt ist, dass da draußen böse Hacker nur darauf warten.

Jaws · 8. November 2016

Ich fühle mich jetzt aber irgendwie Ausgegrenzt und Benachteiligt...
Kein Wlan, kein smarter TV, Kühlschrank oder Glühbirne....
Kameras über Kabel....

Hacker sind wirklich Rassisten....

Legend · 8. November 2016

Da ich an Stelle von klassischen Zeitschaltuhren für ein Licht seit einiger Zeit über meine Fritzbox 7390 eine Fritz Steckdose nutze, diese: https://avm.de/produkte/fritzdect/fritzdect-200/ mal die Frage, wie es damit ausschaut.
Bisher dachte ich durch die Fritzbox dagegen recht gut geschützt zu sein. Ist das so oder sind diese Gerätze auch recht offen? Und wenn ich meinen TV per LAN ans Internet angeschlossen habe, ist das auch eher "offen"?

Legend, ist etwas verwirrt nun und wird jetzt doch etwas nervös