Schlagwort-Archive: Datenschutz

Werbeblocker im Browser – nicht AdBlockPlus

stop-sign-37020_640Als ich heute im Schockwellenreiter dieses Posting über zuviel Werbung beim Browsen durch die Weiten des Internets gelesen habe und Herr Kantel in seinem ersten Test AdBlockPlus ausprobierte, war darüber nicht begeistert.

Ja, es gibt zu viele Webseiten mit viel zuviel aufdringlicher Werbung, aber dieses Tool ist meiner Meinung nach nicht die richtig Wahl!

Weiterlesen

Verpfuschte SSL-Verschlüsselung

darüber berichtet der Artikel von Jürgen Schmidt in der aktuellen c’t 18/2013.
In dem Artikel beschreibt er kurz und knapp wie eine SSL verschlüsselte Verbindung zwischen dem Browser mit einem Server im Internet aufgebaut wird. In den meisten Fällen wird dabei ein Verfahren angewendet, bei dem ein Teil der Schlüssel einmal übermittelt werden muss. Damit ist dieser Verbindungsaufbau prinzipiell angreifbar und, in meinen Augen noch wichtiger, der verschlüsselte Verkehr kann nachträglich entschlüsselt werden.
Für eine bessere Lösung muss einzig und allein der Administrator des Webservers tätig werden. Durch die Aktivierung von Perfect Forward Secrecy erfolgt der SSL der Verbindungsaufbau nach einem sicheren Verfahren, wo kein Schlüssel übermittelt werden muss. Ein potentieller Angreifer hat damit weniger Chancen die ausgehandelte Verschlüsselung zu knacken und

„Forward Secrecy verhindert, dass etwa bei der Beschlagnahmung eines Servers dessen gesamter in der Vergangenheit aufgezeichneter, verschlüsselter Verkehr nachträglich entschlüsselt werden kann. Es schützt somit gegen das Angriffsszenario „gestern vorsorglich aufgezeichnet, morgen entschlüsseln“

Wie der Autor feststellt, verzichten aber heute die meisten Mail-Anbieter auf diese Funktionalität, was sein Kurztest im obigen Artikel zeigt. Die Ausnahme ist hier nur – Google Mail.

Durch den Artikel aufmerksam geworden, habe ich mir mal die Webseiten meiner Banken mit deren Online-Funktionen angesehen. Das Ergebnis war traurig, keine hat diese Funktionalität aktiviert! Also habe ich flugs mal alle per Mail angeschrieben und nachgefragt, warum das so ist. Das war am Sonntag, 11. August, Abends.

Zu meiner großen Überraschung erhielt ich bereits am Montag, 12. August, eine Mail von der DKB. Konkret ging man auf meine Anfrage ein und bat um ein Telefongespräch mit mir. Das fand dann am Dienstag statt und der Mitarbeiter aus der IT bestätigte mir, dass sie aktuell alle Sicherungsmaßnahmen neu prüfen. Aber es würde noch etwas dauern bis es zu konkreten Umsetzungen kommt. Sie werden sich dann wieder bei mir melden.
Fazit, eine schnelle und konkrete Rückmeldung der DKB. Aber vor einer Aktivierung von Forward Secrecy besteht intern noch Klärungsbedarf.
Am Dienstag kam dann auch eine Antwortmail von der Direkt Anlage Bank (DAB), danach plant man die Einführung von Perfect Forward Secrecy zum 31.08.2013. Meint aber auch

„Die mit Perfect Forward Secrecy verhinderbaren verschlüsselten Replay-Attacken dürften sich derzeit in der Praxis eher in Grenzen halten.“

Finde ich ja prima, dass die DAB so schnell reagiert. Aber den Sinn von Forward Secrecy haben sie dabei wohl nicht so ganz verstanden. Es geht ja nicht nur um den direkten Angriff auf eine verschlüsselte Verbindung. Vielmehr liegt der Schutz darin, dass die Entschlüsselung auch im Nachhinein nicht möglich ist. Also ein dauerhafter Schutz der Daten!
Die BMW Bank antwortete dann erst heute, 14. August, lapidar mit einer Bestätigungsmail und man hat meine Anfrage 

„an die zuständige Fachabteilung weitergeleitet. Die Bearbeitung kann jedoch einige Zeit in Anspruch nehmen. Hierfür bitten wir um Ihr Verständnis.“

Enttäuschend, nach drei Tagen nur eine Eingangsbestätigung zu erhalten und die hat dann kein Bezug auf meine Anfrage. Bin gespannt wie lange die Fachabteilung für eine Antwort benötigt.
Ohne Rückmeldung bin ich noch von der IngDIBA, was ich als sehr schlechten Stil empfinde.

Sicherlich sind noch weitere Institute betroffen, ich habe ja nur eine kleine Stichprobe gemacht. Schaut doch einfach mal beim nächsten Besuch der jeweiligen Onlineseite Eurer Bank nach, wie dort der Verbindungsaufbau vorgenommen wurde und traut Euch nachzufragen. Auf das Feedback bin ich gespannt.

Die richtige Einrichtung von Forward Secrecy hat Jürgen Schmidt in den Artikeln „Forward Secrecy testen und einrichten“ und  „Zukunftssicher verschlüsseln mit Perfect Forward Secrecy“ beschrieben. Damit sollte jeder Webadministrator eine guten Einstieg in das Thema haben.

Update: Passend zu den hier beschriebenen Fehlern berichtet Jan Nolte in Caschys Blog über die noch schwere wiegenden Mängel bei den Banken: Jedes zweite untersuchte Online-Banking-Portal mit unsicherer Verschlüsselung

Manipulierte Kreditkartenleser

In einigen Kreditkartenlesern großer Lebensmitteldiscounter wurden kleine Zusatzplatinen entdeckt, die Kreditkartendaten sammeln und einmal am Tag per Mobilfunk an eine Nummer im pakistanischen Lahore senden.

Entdeckt wurden laut Heise diese maipulierten Leser in britische Filialen von Wal-Mart und Tesco. Aufgefolgen ist das Ganze nur durch die Aufmerksamkeit eines Wachmanns, der verdächtige Störgeräusche auf seinem Handy hatte. Der Mann verdient eine Belohnung!

Der Schaden soll sich nach Angaben der britischen Strafverfolgungsbehörden bereits auf umgerechnet 37 bis 75 Millionen Euro belaufen.

Die Geräte wurden in China hergestellt (wird eigentlich irgendwo anders noch etwas gefertigt?) und es ist noch nicht geklärt wie die Zusatzelektronik in die Lesergeräte gekommen ist.

Frag mich, ob nun nicht auch bei uns diese Geräte untersucht werden sollten?! Wäre das nicht Pflicht für den ‚Hersteller‘ dieser manipulierten Geräte alle seine Kunden zu unterrichten?

Wer haftet eigentlich in dem Fall, wenn mir durch so einen Leser meine Kreditkartendaten geklaut werden? Im Zweifel kann ich als Kunde ja nicht einmal sagen wie oder wo meine Daten geklaut wurden.

Schöne moderne Zahlungsarten sind das. Also zurück zum Geldbeutel des Mittelalters, gefüllt mit meinen Dukaten, oder?

Bookmark and Share

GEZ peinlich

Die Welt schreibt über eine Panne der GEZ.

GEZ-Logo

Wollten die Herren Gebühreneintreiber doch In Sachsen von „Herrn Friedrich Schiller“ die Gebühren haben. Nur das der vermeintliche Herr (der Echte ist schon eine Weile nicht mehr unter den Lebenden, über 100 Jahre) in Wirklichkeit die „Friedrich Schiller“-Grundschule in Weigsdorf-Köblitz ist. Weiterlesen

Funktüröffner

Nun hat eine Gruppe von Wissenschaftler der Ruhr-Universität Bochum einen Weg gefunden um den Code der beliebten Funktüröffner zu knacken.

Das System KeeLoq kann nur durch das Abfangen (aus bis zu 100 Metern) von zwei Nachrichten zwischen Sender und Empfänger geklont werden.

Für mich ist das wieder ein Beispiel, das Sicherheit in unserer Modernen digitalen Welt noch nicht angekommen ist. Die rasante Entwicklung der Technologie überholt die Überlegungen der Hersteller offenbar schneller als diese sich das wohl selbst bei der Entwicklung vorgestellt haben.

Auf der anderen Seite mag ich nicht auf die vielen Bequemlichkeiten der modernen Technik verzichten. Wir als Kunden müssen den Herstellern vertrauen können, da uns das Wissen und die Technik fehlen all diese neuen Systeme auf Sicherheit zu prüfen.

Es ist daher die Aufgabe der Hersteller, ihre Produkte entsprechend zu entwickeln, zu bauen und zu testen. Und wenn sie dazu eigens Mitarbeiter für Test und Hacking einstellen.

Bericht u.a. bei Heise Online

Mitteilung der Uni Bochum

Datenschutz

Einen hab ich noch zum Wochenende.

Größe schützt vor Fehlern nicht und daher nimmt es der ADAC laut Bericht von Spiegel Online mit der Sicherheit seiner Webseite nicht so genau.

Dort kommt jeder (!) leicht an Hand der Daten einer beliebigen ADAC Mitgliedskarte in das Online-Konto des eigentlichen Kartenbesitzers. Und da dort auf den Seiten auch ein Shop betrieben wird, kann der Unbefugte Nutzer mal eben ein wenig einkaufen – auf Kosten anderer!

Auf Nachfrage des Linux-Magazins meinte der ADAC „.. das sei alles nicht so schlimm, es handele sich nur um eine „theoretische Lücke“, weil der ADAC „im Gegensatz zu EC- oder Kreditkarten-Anbietern kein Ziel derartiger krimineller Angriffe“ sei.“

Da bin ich sprachlos, dazu fällt mir nichts mehr ein und daher gebührt dem ADAC der saure PC dieser Woche.