Montag, 07.04.2014

Bedrohungen erkennen und abblocken

Der jüngst bekanntgewordene Blog: Datenklau macht deutlich: Datendieben stehen offensichtich sehr effiziente Mittel und Wege zur Verfügung, um Zugangsdaten zu klauen. Die Wahrscheinlichkeit ist hoch, dass Trojaner zum Einsatz kommen, die gezielt Passwörter ausspionieren. Wer verhindern möchte, selbst zum Opfer zu werden, muss auch seinen Rechner absichern. Denn ob ein Trojaner im Hintergrund aktiv ist oder nicht, das bemerkt man in der Regel nicht.

botnets.png
Den eigenen Rechner auf Herz und Nieren überprüfen: Schon ein Botnet aktiv?

Treibt der eigene Rechner Schindluder?
Es gibt aber eine Webseite, die testet zumindest, ob der eigene Rechner "auffällig" ist. WWW: Check and Secure testet die sogenannten "Ports" und berichtet, ob hier etwas nicht stimmt. Ebenfalls überprüft wird die IP-Adresse. In Datenbanken ist verzeichnet, ob von dieser IP-Adresse in jüngster Zeit irgendwelche Bedrohungen ausgegangen sind - ein Hinweis darauf, dass der eigene Rechner Teil eines Botnets ist. Hier regelmäßig den eigenen Sicherheits-Status zu überprüfen, ist ganz sicher kein Fehler.

Kaspersky hat eine WWW: Cyberthreat Real Time Map an den Start gebracht. Dort sind aktuelle Bedrohungen zu sehen, die von den Experten weltweit registriert werden - in einem interaktiven Globus. Der Besucher sieht genau, wo auf der Welt gerade Daten geklaut oder manipuliert werden. Per Scrollrad kann man in den Globus oder in die Karten hinein zoomen. Außerdem kann man gezielt nach Bedrohungsarten oder Ländern suchen. Beeindruckende Ergebnisse. Das Problem, das ich hier ein bisschen sehe: Man ist schnell in der doch sehr eigenen Ästhetik des Angebots gefangen, die der Onlinedienst präsentiert. Je mehr Bedrohungen, umso besser sieht es aus. Ein bisschen beunruhigend, finde ich.

cyberthread.png
Realtime Cyberthread Map: Bedrohungen aus der ganzen Welt

Solange im grossen Stil webserver von ISPs,Kartenabrechnungs Service Firmen,adservices gehackt und von DORT die Daten gestohlen werden-oder via verseuchter Werbebanner millionen von pcs verseucht werden kann ich nur ueber Saetze wie:" Die Wahrscheinlichkeit ist hoch, dass Trojaner zum Einsatz kommen, die gezielt Passwörter ausspionieren. Wer verhindern möchte, selbst zum Opfer zu werden, muss auch seinen Rechner absichern."herzhaft lachen.Besonders lustig wenn dann noch gleich anschliessend der Schleichwerbehinweis auf die Kasperle software kommt.ZERO DAY exploits heissen so-weil all dies snakeoil aka "Antivirus"nicht hilft und im Gegenteil oft genug ganze Heerscharen von Rechnern lamgelegt hat-oder selber als einfallstor diente.ABSICHERN kasnn man seinen pc indem man das meisste aus win gar nicht erst installiert-oder gleich auf ein weniger verbreitetes OS umsteigt und win,sofern beruflich benoetigt nur noch in einer virtual machine laufen laesst!

Ach je am 8.04.14 23:55

@achje: Das mag ja sein, aber für die große Mehrheit der Computernutzer sind das keine praktikablen Lösungen: Das sind alles keine Cracks von Anonymous oder dem CCC. Den eigenen Rechner hin und wieder mal mit einem Programm zu überprüfen und wenigstens die Basics zu berücksichtigen ist nicht falsch. Arroganz ist da fehl am Platz!

Sven Kalbitzer am 10.04.14 20:02

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag Bedrohungen erkennen und abblocken

Zum Anfang dieses Eintrags

Sonntag, 06.04.2014

NSA Quartett: Der Skandal als Kartenspiel

Spätestens seit Sommer vergangenen Jahres, als Whistleblower Edward Snowden die ersten Dokumente über die Aktivitäten der NSA veröffentlicht hat, wissen wir: Der amerikanische Geheimdienst Blog: schnüffelt alles und jeden aus. Tabus gibt es nicht. Was technisch geht, Blog: das wird auch gemacht.

NSA Quartett; Rechte:
NSA-Quartett: 32 Fakten über die Geheimdienste

Wir haben uns viel Wissen über die US-Behörde angeeignet. Es kam, wie es kommen musste: Jetzt ist ein NSA-Quartett herausgekommen. Mit 32 Fakten über die Schlapphüte aus den USA, wie sie uns ausspionieren. Ob Webcam-Gesichtserkennung, USB-Wanzen, Trojaner für die Festplatte oder Software-Implantate: Das Quartett stellt 32 "unverschämte Abhörmethoden der NSA" vor. Unterteilt in die Kategorien Dreistigkeit, Aufwand, Effizienz und Kosten pro Einheit lässt sich prima spielen. Software-Implantate (Aufwand: 4) sticht Mobiltelefon-Implantate (Aufwand: 3). Das Quartett kostet 8,90 EUR - sorgt aber für eine gewisse Heiterkeit beim Spielen.


Das NSA Quartett

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag NSA Quartett: Der Skandal als Kartenspiel

Zum Anfang dieses Eintrags

Freitag, 04.04.2014

Macht die E-Mail sicherer

Die Aufregung ist mal wieder groß. Alle schlagen mit den Flügeln und laufen hektisch durch den Stall: ARD: 18 Millionen Datensätze mit E-Mail-Adresse und Passwort wurden von der Staatsanwaltschaft Verden entdeckt. Der größte Datenklau in der deutschen IT-Geschichte bislang. Obwohl wir nicht wissen, wer die Kriminellen sind und wie sie an die Daten gelangen konnten, steht aber für die meisten schon fest, was die Kriminellen damit anstellen: Sie versenden Spam-Mails, ist zu lesen. Unter anderem.

Hand vor Bildschirm mit Aufschrift Password; Rechte: dpa/Picture Alliance
Im großen Stil Passwörter abgegriffen


Größtes Risiko: Identitätsdiebstahl
Mag ja sein, kann ich mir aber nur bedingt vorstellen. Denn über das private Postfach eines Betroffenen Spam-Mail zu versenden, macht keinen Spaß. Spätestens nach ein paar hundert Mails würde das gestoppt werden, denn kein großer Mail-Anbieter erlaubt einem Kunden das Versenden von Mails in großem Stil. Wahrscheinlich ist daher, dass mit den Zugangsdaten anderer Schindluder betrieben wird. Identitätsdiebstahl ist am wahrscheinlichsten.

Aber irgendwie werden nicht die richtigen Fragen gestellt und vor allem nicht die richtigen Konsequenzen gezogen, denn denselben Fall hatten wir WDR: Anfang Januar ja schon einmal. Da wurden 16 Millionen Adressen samt Passwörter entdeckt. Und was hat sich geändert? Nichts. Man muss klar sagen, dass sowohl die Mail-Provider als auch die User selbst etwas träge sind. Denn das Problem lässt sich sehr wohl in den Griff bekommen - oder zumindest dramatisch eindämmen.


Deeplink: So funktioniert das sichere Login


Zwei-Wege-Authentifizierung macht die Konten sicherer
Schon seit ein paar Jahren gibt es die Blog: Zwei-Wege-Authentifizierung. Die funktioniert so, dass man beim Login auf einem neuen Gerät nicht nur Benutzername und Passwort eingeben muss, sondern auch einen individuell erzeugten Code. Der Code selbst wird im eigenen Handy mit einer App erstellt (oder per SMS zugeschickt). Jedes Mal ein neuer Code. Deswegen macht es gar nichts, wenn einem Hacker mein Passwort in die Händen fallen sollte. Er kann sich trotzdem nicht anmelden, er kann mein Konto nicht übernehmen. Ätschibätsch.

Einige Onlinedienste bieten diesen zusätzlichen Service längst an, etwa Google, Facebook, Microsoft, Paypal, Apple und viele andere, auch kleinere Mail-Provider wie mail.de. Allerdings machen noch viel zu wenige User von diesem Sicherheits-Plus Gebrauch: Die Zwei-Wege-Authentifizierung muss extra im Online-Konto aktiviert werden. Ich kann aber nur jedem raten, genau das möglichst bald zu machen. Dann verlieren zum einen Meldungen über geklaute Zugangsdaten ihren Schrecken - und vielleicht die Datendiebe auch irgendwann die Lust am Klauen. Denn wenn alle auf diese Weise abgesichert wären, würde es sich nicht mehr lohnen.

Selber Ätschibätsch! Isch 'abbe gar kein 'ändy! Watt nu?

Andy ohne Handy am 5.04.14 11:40

Hallo Herr Schieb,
mich würde mal interessieren, woher Sie wissen, dass es sich bei den geklauten Daten um Zugangsdaten zu E-Mail-Konten handelt?
Das schreiben zwar viele Medien, das hier nachzuplappern macht die Sache aber nicht besser. In der offiziellen Mitteilung des BSI ist nur von Identitätsdiebstahl die Rede - das können also auch Zugangsdaten zu Shopping-Seiten, Spiele-Seiten oder was immer sein, wo man sich anmelden muss. Meistens wird da als Nutzername ja auch die Mail-Adresse eingesetzt. "Macht die E-Mail sicherer" scheint mit da nicht unbedingt der richtige Ansatz zu sein.
Dann schon eher die Frage, warum die Behörden hier so versagen. Etwas mehr Infos, zum Beispiel, was genau das für Zugangsdaten sind, von welchen Diensten sie stammen - das wäre eine viel wichtigere Info gewesen. Bisher weiß ich ja nicht mal, ob ich betroffen bin - und ob ich meine Mail wirklich sicherer machen muss...

Christian Müller am 5.04.14 12:00

Hallo Herr Schieb,
mich würde mal interessieren, woher Sie wissen, dass es sich bei den geklauten Daten um Zugangsdaten zu E-Mail-Konten handelt?
Das schreiben zwar viele Medien, das hier nachzuplappern macht die Sache aber nicht besser. In der offiziellen Mitteilung des BSI ist nur von Identitätsdiebstahl die Rede - das können also auch Zugangsdaten zu Shopping-Seiten, Spiele-Seiten oder was immer sein, wo man sich anmelden muss. Meistens wird da als Nutzername ja auch die Mail-Adresse eingesetzt. "Macht die E-Mail sicherer" scheint mit da nicht unbedingt der richtige Ansatz zu sein.
Dann schon eher die Frage, warum die Behörden hier so versagen. Etwas mehr Infos, zum Beispiel, was genau das für Zugangsdaten sind, von welchen Diensten sie stammen - das wäre eine viel wichtigere Info gewesen. Bisher weiß ich ja nicht mal, ob ich betroffen bin - und ob ich meine Mail wirklich sicherer machen muss...

Christian Müller am 5.04.14 12:01

Hallo Herr Schieb,
mich würde mal interessieren, woher Sie wissen, dass es sich bei den geklauten Daten um Zugangsdaten zu E-Mail-Konten handelt?
Das schreiben zwar viele Medien, das hier nachzuplappern macht die Sache aber nicht besser. In der offiziellen Mitteilung des BSI ist nur von Identitätsdiebstahl die Rede - das können also auch Zugangsdaten zu Shopping-Seiten, Spiele-Seiten oder was immer sein, wo man sich anmelden muss. Meistens wird da als Nutzername ja auch die Mail-Adresse eingesetzt. "Macht die E-Mail sicherer" scheint mit da nicht unbedingt der richtige Ansatz zu sein.
Dann schon eher die Frage, warum die Behörden hier so versagen. Etwas mehr Infos, zum Beispiel, was genau das für Zugangsdaten sind, von welchen Diensten sie stammen - das wäre eine viel wichtigere Info gewesen. Bisher weiß ich ja nicht mal, ob ich betroffen bin - und ob ich meine Mail wirklich sicherer machen muss...

Christian Müller am 5.04.14 12:03

Zwei-Wege-Authentifizierung braucht, wie Andy oben schon beklagte, zwei getrennte Geräte. Sprich, man muss sein Handy immer dabei haben, sonst geht's eben nicht.
Ob die SMS-Variante allerdings besonders sicher ist? SMS werden doch sicher im Klartext verschickt, und die Moblfunkstandards sind ja alles andere als wirklich sicher. Außerdem: Wenn man mir mein email-Passwort klaut, weil der Anbieter das unverschlüsselt speichert, wie sicher ist dann meine Handynummer da aufgehoben?

Im aktuellen Fall sieht's ja wohl eher danach aus, dass ein webshop angegriffen wurde, als ein einzelner mail-Anbieter. Vielleicht sollte man den Leuten erstmal eintrichtern, dass man verschiedene Passwörter für verschiedene Dienste nutzen sollte. Wenn dann Dienst A mein Passwort verliert, muss der Angreifer dann nicht notwendig sofort Zugriff auf Dienst B haben. Bevor dieses Problem ("one password fits all") nicht gelöst ist, nutzt auch Zwei-Wege-Auth nix. Es sei denn, man führt es konsequent überall ein.

Bedenkenträger am 5.04.14 13:40

@christian: Ich sehe das genauso. Ich denke nicht, dass es sich ausschließlich um E-Mail-Zugangsdaten handelt, sondern um Zugangsdaten mit E-Mail-Adresse als Benutzername. Völlig klar. Aber das Problem ist: Viele nutzen bei E-Mail und anderswo dasselbe Passwort. Also ist das Risiko eben, dass das E-Mail-Postfach gekapert wird. Genau das lässt sich verhindern, mit der 2 Wege Authentifizierung. Damit wäre der Datenklau nicht vermieden worden, aber zumindest der Missbrauch lässt sich vermeiden.

Jörg Schieb am 5.04.14 14:04

@kappaplus: Stimmt, das Handy muss man immer dabei haben - aber das dürfte wohl bei nahezu jedem der Fall sein, der ein Handy hat. Abgesehen davon, dass es technisch extrem schwierig ist, SMSe abzufangen (wenn auch nicht unmöglich), so ist der Aufwand doch um ein 1000faces höher, hier einzubrechen. Darüber hinaus: Heute bekommt man die Codes in der Regel nicht mehr per SMS, sondern erzeugt sie mit einer App/einem Generator. Ihre Argumente entkräften nicht die Tatsache, dass eine 2 Wege Authentifizierung die Sicherheits dramatisch erhöht.

Jörg Schieb am 5.04.14 14:08

Das mit dem Cellphone klappt schon bei Android usern nicht-denn Android ist grundsaetzlich unsicher.
Da koennen die apps jederzeit code nachladen und aus einer scheinbar harmlosen app wird ein trojaner.Nix ist mit kompliziert sms "abfangen"MitM findet auf dem eigenem Geraet statt!

Ach je am 5.04.14 15:24

Hallo, Herr Schieb!

Zwei Kritikpunkte an Ihrem Vorschlag:

1) Nicht jeder hat immer ein Mobiltelefon parat und obendrein noch am Rechner-Aufstellort sauberen Empfang. Letzteres ist nicht ganz uninteressant, da die Netzteile und Prozessoren der Rechner auch in Frequenzen stören, die für Mobilfunk vorgesehen sind.

2) Diese Authentifizierung klappt höchstens dann, wenn der Mail User Agent die Mails beim Provider abholt. Wird ein eigener Mail Transfer Agent dazwischen geschaltet, der die Nachrichten bei Providern abholt und in lokalen Postfächern zur Verfügung stellt, ist die zwei-Wege-Authentifizierung unbrachbar. So arbeiten aber viele kleine und mittelständische Unternehmen.

Da sich SMS gerne abfangen lassen, sollten wir besser auf starke Verschlüsselung mit hochwertigen Zertifikaten setzen.

Viele Grüße
RSchwentker

RSchwentker am 5.04.14 18:49

@RSchentker: Man braucht keinen Empfang, wenn man eine Generator App wie den Google Authenticator verwendet. Aber das Handy braucht man dann schon, logisch. :) Wobei man sich -- bei Google -- auch für solche Fälle besonders lange, besonders kryptische Einmal-Passwörter generieren kann. Was den MTA betrifft: Das stimmt natürlich, aber auch das würde gehen, bei Google zumindest, denn dort kann man sich anwendungsspetifische Passwörter erzeugen lassen. Eine 100% Lösung für jede Situation kenne ich nicht, aber die 2 Wege Authentifizierung bedeutet ein enormes Plus an Sicherheit.

Jörg Schieb am 5.04.14 19:00

"Generator App wie den Google Authenticator"-heisst Android und dies OS ist by default unsafe!Abgesehen davon nutzt alles nichts solange die ISPs und webshops generell unsafe sind-denn DAS ist das Hauptproblem!Ein derartige Masse an gekaperten logindaten laesst sich nur duch gehackte ISPs erkleaeren.Daher ist es,solange die Situation so ist,wie sie ist-pupsegal wie safe mein pw ist.Gleiches gilt fuer die webshops.Wenn man dort(verbotenerweise)den 3stelligen safety code speichert dann nutzen mir alle meine Sicherheitsvorkehrungen nichts!

Hahah am 5.04.14 22:11

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag Macht die E-Mail sicherer

Zum Anfang dieses Eintrags

Juli 2014

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31

Über das Blog

Digitalistan: Heimatkundliches aus dem Land der Einsen und Nullen

Suche im Blog

Aktuelle Einträge

Autoren

Blogregeln und Glossar

Newsreader-Feeds (XML/RSS)


Permanente URL dieser Seite: http://wdrblog.de/digitalistan/