Montag, 29.12.2014

Sicherheitsrisiko USB-Stick

Wenn es stimmt, was die "Bild" herausgefunden haben will, dann hat es kürzlich einen versuchten ARD: Späh-Angriff auf eine Merkel-Vertraute gegeben. Noch ist der Vorgang nicht offiziell bestätigt, aber wundern dürfte es einen nicht. Wundern darf man sich allerdings, dass diese plumpe Form des Angriffs funktioniert. Dass eine Vertraute der Bundeskanzlerin einen USB-Stick nimmt, im Ministerium ein Dokument darauf speichert, den Stick mit nach Hause nimmt und auf einen ungeschützten Rechner steckt, dort das Dokument weiter bearbeitet und so den Stick infiziert. Offensichtlich mit ARD: Regin, einem Virus, der möglicherweise von der NSA entwickelt wurde.

USB-Sticks sind das Einfallstor für Trohaner; Rechte: dpa/Picture Alliance
USB-Sticks sind das Einfallstor für Trojaner


USB-Sticks sollten tabu sein
Das sind natürlich Mutmaßungen. Aber wir haben genügend Geschichten über die NSA erfahren, um ausreichend Phantasie zu haben, dass die NSA tatsächlich dahinter steckt. Was mich mehr wundert, ist die Tatsache, dass im Merkel-Umfeld USB-Sticks verwendet werden. Dabei lernt doch jeder Geheimnisträger, dass USB-Sticks heute das größte Einfallstor für Viren und Würmer sind. Dass USB-Sticks deshalb im Grunde genommen tabu sind. Bestimmt aber steckt man keinen USB-Stick auf einen ungeschützten Rechner und danach wieder auf einen Dienstrechner.

Aus genau diesem Grund verwende ich schon seit Jahren keinen USB-Stick mehr. Ich habe zwar noch einige, weil sie einem manchmal ausgehändigt werden (etwa auf Messen oder nach Präsentationen), aber ich benutze sie nicht. Zu unsicher, zu unpraktisch. Hätte die Mitarbeiterin das Dokument in der Cloud gespeichert und zu Hause von dort bearbeitet, wäre das ganz sicher nicht passiert. Denn die Cloud mag ausspioniert werden können, doch das Unterjubeln von Viren oder Trojanern ist auf diesem Weg schwierig. (Ich will nicht sagen unmöglich, denn das kann man heute nicht mehr mit gutem Gewissen behaupten.)


Eine Firewall kann Trojaner ausbremsen


Finger web vom Stick
Wer nicht ganz genau weiß, wie man einen USB-Stick sicher benutzt und zudem auch noch den Stick auf einen Rechner stecken möchte, der sensible Daten enthält, der sollte das lieber lassen. Goldene Regel: Finger weg vom Stick! Denn USB-Sticks bieten eine Menge technischer Möglichkeiten, um dort Viren, Würmer oder Trojaner zu verstecken. Sie finden dann allzu leicht unbemerkt den Weg in den Rechner.

Vielleicht ist das Verhalten der Merkel-Mitarbeiterin aber auch nur konsequent. Schließlich hat ihre Chefetage die NSA-Affäre weitgehend kalt gelassen. Macht doch nichts, wenn geschnüffelt wird, selbst wenn die Schnüffeleien belegbar sind. Wer wollte es da einem Mitarbeiter verübeln, wenn er die Gefahr also gar nicht so hoch einstuft?

Sorry,aber dies geschreibsel zu Regin,USB sticks und wie ein NSA Virus\Trojaner auf einen Rechner kommt-auf den er nicht kommen sollte-ist einfach Kindergartenniveau!
Einfach mal Nachhilfe nehmen beim CCC Herr Schieb!Koennte helfen.

Robin am 30.12.14 1:26

IIch sag nur "Neuland" oder
Bequemlichkeit ist (manchmal )stärker als Sicherheitsbewusstsein-
"Ich hatte noch nie einen Virus etc also kann ich keinen bekommen!"

Martin Däniken am 3.01.15 4:46

Die Cloud ist auch nur so sicher wie ihr Kennwort... wenn man bei der "Cloud" überhaupt von sicher sprechen kann...

Dieter am 5.01.15 13:43

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag Sicherheitsrisiko USB-Stick

Zum Anfang dieses Eintrags

Sonntag, 28.12.2014

Die Fingerabdruck-Affäre

Wie sicher ist sicher? Die Frage muss man wohl mal stellen dürfen. Denn wir wissen aus leidvoller Erfahrung: Nichts, was schon mal als "sicher" eingestuft wurde, hält dieses Versprechen auf Dauer. Passwörter lassen sich knacken, das ist letztlich nur eine Frage des Aufwands. Und je leistungsfähiger Computer werden, desto schneller geht das. Auch sichere Verschlüsselung ist nicht wirklich sicher, wenn die NSA sich die Schlüssel besorgt. Oder wenn Blog: Sicherheitsmängel in der Software auftreten, wie dieses Jahr geschehen. Wie sicher kann da also ein Fingerabdruck sein? Richtig: Nicht hundertprozent sicher, sondern bestenfalls irgendwie sicher. Die Frage ist: Wie sicher?

Der Fingerabdruck der Ministerin: Dieses Foto reicht, um ihn zu kopieren; Rechte: dpa/Picture Alliance
Der Fingerabdruck der Ministerin: Dieses Foto reicht, um ihn zu kopieren


Welchen Aufwand will man betreiben?
Der Chaos Comuter Club (WWW: CCC) macht sich schon mal gerne einen Spaß daraus, vermeintlich sichere Methoden als (relativ) unsicher zu entlarven. Im Grunde belegen sie aber nur, was sowieso klar ist: Nichts ist hunderprozentig sicher. Von einem Blog: Fingerabdruck-Sensor im iPhone 5S würde ich das auch gar nicht erwarten. Aber der CCC tut so, als könnte man das - und freute sich diebisch, als wenige Tage nach Markteinführung des iPhone 5S demonstriert werden konnte, dass sich der Fingerabdruck-Sensor überlisten lässt. Was ich persönlich nicht so tragisch finde, da der Sensor eher Komfortfunktion hat und der Aufwand zur Überlistung recht hoch ist.

Anders sieht es aus, wenn Politiker oder Geheimnisträger in der Wirtschaft sich mit ihrem Fingerabdruck "ausweisen". Das kommt in der Praxis durchaus vor. Auf dem Hackertreffen 31C3 des Chaos Computer Club war genau das jetzt Thema: Wie einfach lässt sich ein Fingerabdruck nachmachen? IT-Sicherheitsexperte Jan Krissler von der Technischen Universität Berlin WWW: zeigt in einem Vortrag, dass ein hoch aufgelöstes Pressefoto reicht, in dem man den Daumen der Ministerin von der Leyen sehen kann, um eine Kopie des Fingerabdrucks herzustellen. Dabei hilft eine rund 400 EUR teure Software namens WWW: VeriFinger.


Ist Biometrie damit am Ende?
Ehrlich gesagt überrascht mich das nicht. In den Medien wird nun der Eindruck erweckt, als wären biometrische Zugangskontrollen wie Fingerabdruck-Sensoren oder Iris-Scanner kompletter Unfug. Ich finde, das sind sie nicht. Auf meinem iPhone oder iPad ist es einfach praktisch, wenn ich mein Gerät per Fingerabdruck entsperren kann. Und ich kann mir keinen wirklich sensiblen Bereich vorstellen, wo jemand per simplen Fingerabdruck Zugang bekommt. Meist handelt es sich um eine Kombination aus Sensorik und Passwort. Ohne Passwörter kommen wir halt nicht aus. Und Passwörter sind durchaus anderen Techniken überlegen: Sie sind (nur) in unserem Kopf und können bei Bedarf ausgetauscht werden.

Was in der ganzen Aufregung aber vergessen wird zu erwähnen: Wirklich hochwertige Fingerabdruck-Sensoren haben eine Lebenderkennung (kann man WWW: hier bei Wikipedia nachlesen). Die merken also, ob man eine tote Kopie oder einen wirklich lebendigen Finger auf den Sensor legt. Natürlich gibt es das nicht im Smartphone, aber ganz sicher im Ministerium. Es ist gut, wenn wir nun wissen, dass biometrische Zugangskonrtrollen keine 100-prozentige Sicherheit bieten. Aber in gering sensiblen Berechen haben sie durchaus ihre Exiztenzberechtigung. Es ist ja auch nicht in jeder Tür ein 3D-Sicherheitsschloss eingebaut.

IT-Sicherheit ist immer ein technisches und ein juristisches Thema. Ein technisch total unsinniges System kann juristisch für sicher deklariert werden und schützt die technisch und juristisch Verwantwortlichen dann wider besseres Wissen vor Haftungsprobleme. Biometrie ist ein gutes Beispiel dafür, De-Mail ein anderes. Technisch meist Schlangenöl, juristisch aber als sicher definiert.

Sebastian am 28.12.14 11:52

Leider etwas kurz gegriffen - erstens wird der Fingerabdruck-Sensor im iPhone ausdrücklich als Sicherheitsfeature vermarktet, und zweitens ist es auch möglich Fingerabdruck-Kopien aus Latex herzustellen und auf dem eigenen Finger anzubringen - das wars dann mit der "Lebenderkennung". Es ist schlicht und einfach so: Wenn man etwas mittels eines Sensors abfragen kann um es in einem Computer zu prüfen, dann kann man es auch kopieren (denn was der Computer macht ist nichts anderes). Ob das nun ein Fingerabdruck ist oder ein Iris-Abbild... Oder auch nur das Zackenmuster eines Schlüssels (wurde auch schon per Kamera aus größerer Entfernung kopiert).

Der Nachteil von Biometrie ist dabei aber das man seinen Schlüssel niemals ändern kann... Der CCC und andere haben schon bei der Einführung des biometrischen Ausweises darauf hingewiesen und wurden als Spinner abgetan...

Juergen am 28.12.14 13:07

Ich verrate hoffentlich kein grosses Geheimnis, wenn ich offenlege, das kein Sicherheits- oder Verschlüsselungsverfahren auf den Markt kommt, das nicht wenigstens von den einschlägigen Geheimdiensten ausgehebelt werden kann.

Soviel sollten man doch mittlerweile gelernt haben.

aLiitleGamer am 28.12.14 21:17

Solche Systeme sollten so sicher sein wie möglich, aber absolut sicher werden sie trotzdem nie sein.

Die Frage ist doch irgendwie die: Wer weiß, dass mit militärischen Mitteln (oder einfach nur etwas Aufwand) in seine Wohnung eingebrochen werden kann, verzichtet er dann gleich ganz darauf, die Tür abzuschließen? Ist ein anständiges Schloss dann gleich völlig wertlos?

Es ist wichtig, zu zeigen, dass es totale Sicherheit nicht gibt. Bloss wenn man so tut, als sei totale Sicherheit möglich (oder selbstverständlich) geht das irgendwie nach hinten los. Die Medien berichten hier aber auch gerne reißerisch, anstatt nüchtern zu informieren. Dieser Beitrag hier ist schon fast eine Ausnahme und von daher löblich. Leider gibt es dann immer leicht den Vorwurf der "Naivität"...

joh am 29.12.14 0:38

Ein Artikel wie eine kleine Betäubungspille. Der den Sachverhalt schön oberflächlich darstellt: An den Apple-Produkten des WDR-Bloggers (danke mal wieder für dieses Produktplacement im WDR) ist der Fingerabdruckscanner nur eine 'Komfortfunktion', und Herr Schieb kann sich den Einsatz von FAS 'in sensiblen Bereichen nicht vorstellen' (na wenn er das nicht kann, wird's so schlimm wohl nicht sein) und außerdem gibt es ja noch den WP-Artikel, in dem schlicht die kritische Betrachtung der 'Lebenderkennung' fehlt. Am Thema wirklich Interessierte können sich zum Glück woanders informieren, z.B. direkt beim CCC, der das Thema in einem anderem Zusammenhang erarbeitet, die anderen lassen sich die gesamte Bandbreite an Biometrie-Technologie entspannt verkaufen.

drk am 29.12.14 6:45

Leider ein oberflächlicher Blog-Beitrag, nach dem Motto "Ich hab doch nichts zu verbergen".
Bleibt anzumerken, dass Apples weltweit geplantes Bezahlmodell per Fingerabruck des iPhones oder iPad damit wohl bei den Nutzern durchfällt.
Bestenfalls kleinere Beträge könnte man dann noch mit mulmigem Gefühl begleichen. Somit ist die eigentlich pfiffige neue Bezahlmethode nicht sicherer als Kreditkarten und wird möglicherweise von den Smartphone-Besitzern abgelehnt.

Klaus am 29.12.14 10:38

Bei der Absicherung von Zahlfunktionen per Smartphone sollte man das eher mit Bargeld vergleichen: Was ist sicherer? Bargeld kann einem anonym und mit minimalem Aufwand geklaut werden. Geld kann einem auch geklaut werden, wenn jemand a) das Smartphone hat und b) den Fingerabdruck hat und c) damit einen Fake erstellen kann und d) das hinkriegt, bevor man die Funktion gesperrt hat.

Ist das total sicher? Nein. Ist es in Relation zu anderen allgemeinen Lebensrisiken besonders unsicher? Auch nicht.

Ein wenig Realismus anstelle von Panik und grundsätzlicher Kritik wäre manchmal sehr angemessen. Aber trotzdem: Aufklärung über solche Risiken ist immer richtig. NICHTS macht einen völlig unangreifbar, aber je mehr man weiß, desto weniger kann einem passieren. Nichts niemals passieren wird niemals niemandem. Jeder stirbt sogar irgendwann. Autofahren kostet jedes Jahr mehr als 3000 Leben. Wie viele Leute sterben hierzulande durch noch so naive Benutzung von Smartphones, Cloud etc.?

joh am 29.12.14 21:02

Dein Kommentar soll uns was sagen?Mal ganz abgesehen davon das deine Aussagen Unfug sind!Es ist bekannt das die NSA eben NICHT alles knacken kann-bspw. OTR(eingesetzt in Jabberchat).Ebenso gilt dies fuer ZRTP-eingesetzt in VoIP auf das Open-Source Apps wie RedPhone oder Signal setzen.Als "katastrophal" schätzt die Spionagebehörde eine Kombination solcher Systeme mit dem Anonymisierungsdienst Tor ein. Mailverschlüsselung mit PGP oder der offenen Variante GnuPG bleibe ebenfalls außerhalb der Reichweite von NSA und Co. Auch die Krypto-Software Truecrypt ist als schier unüberwindbar eingestuft worden!Wie so oft bei Herrn Schieb die letzte Zeit nur werbegeplapper,wie toll doch Aplle Produkte sind und das alle Sicherheitsluecken ja "nur Theorethischer Natur sind".Zudem-wer Sicherheitsluecken,die von Geheimdiensten ausgenutzt werden mit Autos vergleicht und nicht die Gefahr fuer die Demokratie sieht,der hat einfach nichts begriffen.

@aLiitleGamer am 30.12.14 1:54

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag Die Fingerabdruck-Affäre

Zum Anfang dieses Eintrags

Freitag, 26.12.2014

Kostenloses Lesefutter

Immer mehr Menschen lesen eBooks. Und so, wie es gelegentlich schon mal kostenlos Musik zu hören oder Filme anzuschauen gibt, werden auch gelegentlich kostenlose eBooks angeboten. WWW: MyFreeBooks.de sammelt solche Angebote und stellt fast täglich neue Gratis-Downloads aus allen Bereichen der Sach- und Unterhaltungsliteratur vor. Es gibt auch eine umfangreiche Aufstellung der besten Download-Quellen für kostenlose E-Books.

Die Macher der Seite informieren darüber, wie man etwa illegale Downloads erkennt oder ein E-Book in das richtige Format für den Amazon Kindle umwandelt. Und warum es so viele kostenlose Bücher im Internet gibt. Es sind vor allem die gemeinfreien Werke berühmter Autoren wie Schiller, Goethe, Kafka oder May, die gratis zu haben sind, da die Autoren dieser Werke schon lange verstorben sind. Aber es gibt auch aktuelle Bücher von jungen Autoren kostenlos, die sich damit eine Leserschaft aufbauen möchten. Oder Experten schreiben einen Ratgeber zu einem Thema und verschenken diesen, um sich damit als Fachmann auf Ihrem Gebiet zu beweisen. MyFreeBooks.de stellt die Downloads nicht selbst zur Verfügung, sondern sammelt Links zu Seiten, von denen Benutzer die entsprechenden E-Books herunterladen.

myfreebooks.png

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag Kostenloses Lesefutter

Zum Anfang dieses Eintrags

 
 

Januar 2015

Mo Di Mi Do Fr Sa So
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31

Über das Blog

Digitalistan: Heimatkundliches aus dem Land der Einsen und Nullen

Suche im Blog

Aktuelle Einträge

Autoren

Blogregeln und Glossar

Newsreader-Feeds (XML/RSS)


Permanente URL dieser Seite: http://wdrblog.de/digitalistan/