Archiv der Kategorie: Datenschutz

Werbeblocker im Browser – nicht AdBlockPlus

stop-sign-37020_640Als ich heute im Schockwellenreiter dieses Posting über zuviel Werbung beim Browsen durch die Weiten des Internets gelesen habe und Herr Kantel in seinem ersten Test AdBlockPlus ausprobierte, war darüber nicht begeistert.

Ja, es gibt zu viele Webseiten mit viel zuviel aufdringlicher Werbung, aber dieses Tool ist meiner Meinung nach nicht die richtig Wahl!

Weiterlesen

Buch: Bitcoin kurz & gut

Was sind Bitcoins eigentlich? Inzwischen taucht der Name Bitcoin langsam im Alltag auf, das Fernsehen berichtet darüber und auch gewisse Totholzmedien haben sie als Thema zur Schlagzeile entdeckt – meist negativ behaftet. Das Böse Internet…

Wird also Zeit sich mal selbst damit näher zu beschäftigen. Mit der Buchreihe kurz & gut bietet der O’Reilly Verlag dazu diese kleine Buch ‚Bitcoin – kurz & gut‚ an. Auf knapp 200 Seiten erfährt der geneigte Leser übersichtlich die wichtigsten Dinge rund um das Thema digitales Geld aka Bitcoin.

Bitcoin

Der Autor Jörg Platzer ist Mitglied der Crypto Economics Consulting Group und Vorstandsmitglied des Bundesverband Bitcoin. In Berlin ist er selbst seit Jahren aktiver Bitcoin Anwender und Nutzer. In seiner Bar ROOM77 kann der Gast mit Bitcoin zahlen.

Er erläutert locker und verständlich die Hintergründe zu Bitcoins. Wie entsteht das digitale Geld eigentlich und welche Bedeutung haben diese Mechanismen? Wie kann ich Bitcoins selbst bekommen? Wie verwende ich Bitcoins als Geld? Welche Softwareprodukte gibt es?

Wie gesagt das Buch bietet kurz und verständlich einen großen Bogen durch das Thema Bitcoin. Dabei geht es stellenweise technisch zu, aber immer sind seine Erläuterungen auch ohne Vorkenntnisse verständlich geschrieben.
Das Buch bietet somit den idealen Ausgangspunkt um in das Thema Einzusteigen oder sich einen schnellen, guten Einblick darüber zu verschaffen. Wissen statt Parolen aus den Medien!

Bitcoin_kurz_gut

Bitcoin – kurz & gut

By Joerg Platzer

1. Auflage September 2014
ISBN 978-3-95561-650-2
208 Seiten, broschiert
Preis: 12,90 Euro
eBook-Format: PDF, 9,90 Euro

Erschütternd!

So empfand ich es während und nach dem ich mir den Vortrag von Sascha Lobo bei YouTube mir angesehen habe. Es geht „Über Überwachung“ und ist bereits vom Mai diesen Jahres. Es geht um das ‚warum‘, warum werden wir, wird die ganze Welt überwacht, wie weit geht das heute schon und was kommt da in ein, zwei Jahren auf uns zu.

Wer die Diskussionen um NSA, Edward Snowden und die Überwachung durch die ganzen anderen „spähradikale“, wie Sascha Lobo es treffend bezeichnet, verfolgt hat , der hat trotzdem keine Vorstellung weit das heute schon reicht und wo das hinführen wird.

Deshalb nehmt Euch die Zeit, schaut Euch den Vortrag an! Sollte Pflicht an Schulen und für Politiker sein, aber letztere Wissen das hier wohl schon…

 Der gesamte Vortrag von Sascha Lobo in Wort und Bild zum Nachlesen … hier: http://www.fontblog.de/ueber-ueberwachung

Gefahr für Router

Hab ich nur das Gefühl oder häufen sich aktuell gerade die Meldungen über Sicherheitslücken in Routern? Passend dazu hab ich zur Zeit Verbindungsabbrüche bei WilhelmTel…

Aber mal konkret, wer eine Fritzbox von Heise schreibt kursiert die Lücke nun öffentlich im Netz und da wird die Lücke dann ganz schnell ausgenutzt werden. Also handelt!

Wer nun denkt ich hab ja keine Fritzbox darf sich vielleicht auch nicht ausruhen. Weitere Lücken sind inzwischen bei den AVM Repeatern und vier Speedport-Modelle der Telekom bekannt geworden. Grundsätzlich ist die Reaktion von AVM zu loben, als einer der wenigen Hersteller haben sie bereits reagiert und bieten Updates für sehr viele ihrer Modelle an.

Den andere Hersteller sind auch nicht vor Sicherheitslücken gefeit, wie zum Beispiel AsusD-Link, Cisco, LinksysNetgear, Tenda und DrayTek. Und das sind sicherlich nicht alle betroffenen Hersteller bzw. Geräte!

Machen wir uns nichts vor, die Router werden auch nur mit Software betrieben und die enthält Fehler. Das ist menschlich, das ist bei dem Tempo in dem neue Geräte auf den Markt geworfen werden fast nicht zu vermeiden. Aber was vermeidbar ist, wäre die nicht Reaktion mancher Hersteller wenn dann Sicherheitslücken bekannt werden. Hier darf der Kunde dann mit Recht auf ein Update hoffen. Leider sehen das die Hersteller, gerade bei älteren Geräten, offenbar anders. Da zählt mehr der schnelle Euro durch den Verkauf von Neugeräten als eine kontinuierliche Produktpflege – AVM ist hier ein seltenes Gegenbeispiel!

Bleibt dem technisch unbedarfteren Anwender also nur hoffen und bangen, dass sein Router nicht betroffen ist. Für versiertere Anwender gibt es dann vielleicht noch den Ausweg zur alternativen Firmware für seinen Router durch Open Source Projekte wie OpenWrt oder DD-Wrt. Aber das ist halt nicht so simpel und darum auch nicht jedermann zu empfehlen!

Jedem, der an seinem Internet-Zugang einen Router betreibt bleibt nur die Empfehlung auch für diese Geräte regelmäßig nach Updates ausschau zu halten!

Update:
Bei Heise.de gibt es eine Router-Seite mit den aktuellsten Meldungen zu Router-Lücken.

WhatsApp und nun?

Die Überraschung am letzten Donnerstag war wohl für viele die Meldung vom Aufkauf des WhatsApp Messangers durch Facebook. In Deutschland führt WhatsApp diese Art von Chatdiensten mit der größten Nutzerbasis bisher an.

Allerdings mögen es viele nicht, dass dieser Dienst nun in den Einfluss von Facebook kommt. Wer dort Mitglied ist stört sich vielleicht noch am wenigsten daran, aber vielen andere haben damit ein Problem. Etliche habe sich bewusst gegen Facebook entschieden und landen nun über Umwege doch dort? Als Facebook Instagram gekauft hatte, hat es anfänglich auch Protestgeschrei im Web gegeben. Aber nur wenige haben dann auf einen anderen Dienst gewechselt.

Das könnte bei WhatsApp anders sein, die persönliche Kommunikation ist für viele eben ein sensibler Bereich der Privatsphäre. Und Alternativen gibt es viele, mit Unterschiedlichen Vor- und Nachteilen. Der größte Nachteil ist halt die geringere Verbreitung, aber einige Dienste melden inzwischen sehr starke Zahlen zu Neuanmeldungen.

t_logo

Ich selbst teste nun Telegram, einen Messanger auf Basis von Open Source Code! Das hat bereits dazu geführt, dass es neben den offiziellen APPs für iPhone und Android auch APPs für WindowsPhone gibt. Und es gibt auch Desktop Anwendungen (!), etwas das WhatsApp bisher nicht bietet. Den verschlüsselten Chat bietet Telegram nur, wenn beide Seiten gleichzeitig online sind. Allerdings steht die verwendete Verschlüsselungstechnik in der Kritik, da diese nicht mehr sicher sei. Aber den Programmteil kann man sicherlich schnell gegen eine bessere Verschlüsselung austauschen. Bei Open Source ist das ja machbar 🙂

Dafür kontert WhatsApp nun mit der Ankündigung demnächst eine Sprachfunktion anzubieten. Die Anwender können dann über WhatsApp direkt miteinander telefonieren. Ob da Zuckerberg dann mithört?

Mir gefällt Telegram, die APP ist sehr ähnlich und die Umstellung gelingt sofort. Die Kontakte kann man direkt aus Telegramm heraus einladen ebenso zu wechseln, was dann wohl einen Teil des aktuellen Mitgliedswachstums erklären dürfte.

WhatsApp ist nett, aber eben nicht einzigartig und ein Wechsel ist schnell gemacht. Probiert es doch selbst und schreibt mal wie es bei Euch war.

Verpfuschte SSL-Verschlüsselung

darüber berichtet der Artikel von Jürgen Schmidt in der aktuellen c’t 18/2013.
In dem Artikel beschreibt er kurz und knapp wie eine SSL verschlüsselte Verbindung zwischen dem Browser mit einem Server im Internet aufgebaut wird. In den meisten Fällen wird dabei ein Verfahren angewendet, bei dem ein Teil der Schlüssel einmal übermittelt werden muss. Damit ist dieser Verbindungsaufbau prinzipiell angreifbar und, in meinen Augen noch wichtiger, der verschlüsselte Verkehr kann nachträglich entschlüsselt werden.
Für eine bessere Lösung muss einzig und allein der Administrator des Webservers tätig werden. Durch die Aktivierung von Perfect Forward Secrecy erfolgt der SSL der Verbindungsaufbau nach einem sicheren Verfahren, wo kein Schlüssel übermittelt werden muss. Ein potentieller Angreifer hat damit weniger Chancen die ausgehandelte Verschlüsselung zu knacken und

„Forward Secrecy verhindert, dass etwa bei der Beschlagnahmung eines Servers dessen gesamter in der Vergangenheit aufgezeichneter, verschlüsselter Verkehr nachträglich entschlüsselt werden kann. Es schützt somit gegen das Angriffsszenario „gestern vorsorglich aufgezeichnet, morgen entschlüsseln“

Wie der Autor feststellt, verzichten aber heute die meisten Mail-Anbieter auf diese Funktionalität, was sein Kurztest im obigen Artikel zeigt. Die Ausnahme ist hier nur – Google Mail.

Durch den Artikel aufmerksam geworden, habe ich mir mal die Webseiten meiner Banken mit deren Online-Funktionen angesehen. Das Ergebnis war traurig, keine hat diese Funktionalität aktiviert! Also habe ich flugs mal alle per Mail angeschrieben und nachgefragt, warum das so ist. Das war am Sonntag, 11. August, Abends.

Zu meiner großen Überraschung erhielt ich bereits am Montag, 12. August, eine Mail von der DKB. Konkret ging man auf meine Anfrage ein und bat um ein Telefongespräch mit mir. Das fand dann am Dienstag statt und der Mitarbeiter aus der IT bestätigte mir, dass sie aktuell alle Sicherungsmaßnahmen neu prüfen. Aber es würde noch etwas dauern bis es zu konkreten Umsetzungen kommt. Sie werden sich dann wieder bei mir melden.
Fazit, eine schnelle und konkrete Rückmeldung der DKB. Aber vor einer Aktivierung von Forward Secrecy besteht intern noch Klärungsbedarf.
Am Dienstag kam dann auch eine Antwortmail von der Direkt Anlage Bank (DAB), danach plant man die Einführung von Perfect Forward Secrecy zum 31.08.2013. Meint aber auch

„Die mit Perfect Forward Secrecy verhinderbaren verschlüsselten Replay-Attacken dürften sich derzeit in der Praxis eher in Grenzen halten.“

Finde ich ja prima, dass die DAB so schnell reagiert. Aber den Sinn von Forward Secrecy haben sie dabei wohl nicht so ganz verstanden. Es geht ja nicht nur um den direkten Angriff auf eine verschlüsselte Verbindung. Vielmehr liegt der Schutz darin, dass die Entschlüsselung auch im Nachhinein nicht möglich ist. Also ein dauerhafter Schutz der Daten!
Die BMW Bank antwortete dann erst heute, 14. August, lapidar mit einer Bestätigungsmail und man hat meine Anfrage 

„an die zuständige Fachabteilung weitergeleitet. Die Bearbeitung kann jedoch einige Zeit in Anspruch nehmen. Hierfür bitten wir um Ihr Verständnis.“

Enttäuschend, nach drei Tagen nur eine Eingangsbestätigung zu erhalten und die hat dann kein Bezug auf meine Anfrage. Bin gespannt wie lange die Fachabteilung für eine Antwort benötigt.
Ohne Rückmeldung bin ich noch von der IngDIBA, was ich als sehr schlechten Stil empfinde.

Sicherlich sind noch weitere Institute betroffen, ich habe ja nur eine kleine Stichprobe gemacht. Schaut doch einfach mal beim nächsten Besuch der jeweiligen Onlineseite Eurer Bank nach, wie dort der Verbindungsaufbau vorgenommen wurde und traut Euch nachzufragen. Auf das Feedback bin ich gespannt.

Die richtige Einrichtung von Forward Secrecy hat Jürgen Schmidt in den Artikeln „Forward Secrecy testen und einrichten“ und  „Zukunftssicher verschlüsseln mit Perfect Forward Secrecy“ beschrieben. Damit sollte jeder Webadministrator eine guten Einstieg in das Thema haben.

Update: Passend zu den hier beschriebenen Fehlern berichtet Jan Nolte in Caschys Blog über die noch schwere wiegenden Mängel bei den Banken: Jedes zweite untersuchte Online-Banking-Portal mit unsicherer Verschlüsselung

Bürgerportalgesetz

Seit einer Woche läuft die Online-Konsultation „Sichere Kommunikation im Internet – Ihre Meinung zum Bürgerportalgesetz„.

Bislang haben sich rund 12.000 Besucher über das Bürgerportalgesetz informiert und  280 Anregungen, Fragen und Meinungen zum Vorhaben auf der Plattform abgegeben.

Nun gibt’s erste Antworten hier.

Irgend ein Bonze hat sich da ja mal wieder was tolles ausgedacht, ich halt es da mit Nico Lumma.

Laut FAQ:

Preise und Modalitäten wird jeder Anbieter von De-Mail im freien Wettbewerb um die Kunden selbst festlegen. Es wird voraussichtlich ein ähnliches Prinzip wie beim Postversand gelten: der Absender zahlt ein e-Porto.

Im Klartext, man möchte uns ein ’sicheres‘ Mailsystem mit Ident-Prüfung aufschwatzen. Und bezahlen sollen wir das auch noch. Brauch ich nicht, wie Nico schon schreibt:

Das ist eine tolle Idee. Wirklich. Damit kann man die De-Mail gleich begraben. Bürokratischer Aufwand plus Kosten sind ideal, um keinen Schritt vorwärts zu kommen mit einem neuen System. Eine Zwangsnutzung verbunden mit Zusatz-Kosten wird aber auch nicht wirklich die Akzeptanz steigern.

De-Install

Bookmark and Share

Crackentool für Mifare-Classic-RFID-Chips

Im März hatte ich über den geknackten Code für die Mifare RFID Chips berichtet, nun wurden Programmiertools zum Mifare-Cracken veröffentlicht.

Mit Hilfe des Tools soll es möglich sein, innerhalb von rund zwei Sekunden den Zugriffsschlüssel einer Mifare-Classic-Karte zu errechnen. Ein Angreifer benötigt dazu lediglich den verschlüsselten Mitschnitt einer Funkverbindung zwischen der Karte und einem legitimen Lesegerät sowie geringe Programmierkenntnisse. Mit dem Zugriffsschlüssel lassen sich nicht nur die verschlüsselten Daten dekodieren, sondern auch der Karteninhalt nahezu beliebig manipulieren und klonen, um sich beispielsweise Dienstleistungen zu erschleichen.

Also keine Sicherheit mehr bei Chipkarten dieses Typs, da mit solchen Programmtools das knacken immer einfacher wird!

Weltweit setzen viele berührungslose Bezahlsysteme auf die Mifare-Classic-Chips. In Deutschland sind es beispielsweise die Bezahlkarten vieler Mensen, in Großbritannien basiert unter anderem das Londoner U-Bahn-Bezahlsystem Oyster Card auf dem unsicheren Chip. Auch unter Zugangskontrollsystemen ist Mifare Classic weltweit verbreitet. In den Niederlanden läuft die Umstellung des Nahverkehrsbezahlsystems OV-Chipkaart auf Mifare Classic derzeit auf Hochtouren.

Mir unverständlich wie unter diesen Voraussetzungen noch Projekte mit diesen Chips durchgeführt werden. Auch wenns Schmerzen bereitet, es ist Zeit zu stoppen und nach besseren Lösungen sich umzuschauen.

[via Heise]

Bookmark and Share

Manipulierte Kreditkartenleser

In einigen Kreditkartenlesern großer Lebensmitteldiscounter wurden kleine Zusatzplatinen entdeckt, die Kreditkartendaten sammeln und einmal am Tag per Mobilfunk an eine Nummer im pakistanischen Lahore senden.

Entdeckt wurden laut Heise diese maipulierten Leser in britische Filialen von Wal-Mart und Tesco. Aufgefolgen ist das Ganze nur durch die Aufmerksamkeit eines Wachmanns, der verdächtige Störgeräusche auf seinem Handy hatte. Der Mann verdient eine Belohnung!

Der Schaden soll sich nach Angaben der britischen Strafverfolgungsbehörden bereits auf umgerechnet 37 bis 75 Millionen Euro belaufen.

Die Geräte wurden in China hergestellt (wird eigentlich irgendwo anders noch etwas gefertigt?) und es ist noch nicht geklärt wie die Zusatzelektronik in die Lesergeräte gekommen ist.

Frag mich, ob nun nicht auch bei uns diese Geräte untersucht werden sollten?! Wäre das nicht Pflicht für den ‚Hersteller‘ dieser manipulierten Geräte alle seine Kunden zu unterrichten?

Wer haftet eigentlich in dem Fall, wenn mir durch so einen Leser meine Kreditkartendaten geklaut werden? Im Zweifel kann ich als Kunde ja nicht einmal sagen wie oder wo meine Daten geklaut wurden.

Schöne moderne Zahlungsarten sind das. Also zurück zum Geldbeutel des Mittelalters, gefüllt mit meinen Dukaten, oder?

Bookmark and Share

GEZ peinlich

Die Welt schreibt über eine Panne der GEZ.

GEZ-Logo

Wollten die Herren Gebühreneintreiber doch In Sachsen von „Herrn Friedrich Schiller“ die Gebühren haben. Nur das der vermeintliche Herr (der Echte ist schon eine Weile nicht mehr unter den Lebenden, über 100 Jahre) in Wirklichkeit die „Friedrich Schiller“-Grundschule in Weigsdorf-Köblitz ist. Weiterlesen