Sicherheit

All posts tagged Sicherheit

Vorsicht beim Datenaustausch mit sich wechselnden Partnern! - cc-by-nc-nd von Domenico Kiuz

Vorsicht beim Datenaustausch mit sich wechselnden Partnern!

Die USB-Schnittstelle eignet sich hervorragend zur Sabotage und Industriespionage, dies hat Stuxnet eindrucksvoll gezeigt. Das Problem ist nun, dass die USB-Schnittstelle über keinerlei Sicherheitsmechanismen verfügt. Ein unbekannter USB-Stick kann ausreichen, um ein System zu infiltrieren. Über die USB-Schnittstelle kann man die gesamte Hardware ansteuern und auf alle Daten zugreifen, ohne dass es der Anwender bemerkt.
Das tolle an USB ist, dass man auch an besonders gesicherte offline Systeme herankommt, denn auch diese müssen ja irgendwie konfiguriert werden oder Updates erhalten.
Wie Stuxnet nun gezeigt hat, kann man selbst in hochgesicherte Bereiche problemlos per USB eindringen. Ein normaler Anwender kann die daraus resultierenden Gefahren gar nicht mehr überblicken oder auch nur einschätzen.
Virus auf dem PC - cc-by-nc-sa von Mylla

Der Schaden kann schlimm sein, wenn der PC mit Viren verseucht ist.

Ein gefundener USB-Stick reicht aus. Sobald dieser an den PC angeschlossen wird, kann alles vorbei sein. Die Autostartfunktion von Windows ist dafür nicht notwendig, sollte aus Sicherheitsgründen aber dennoch immer deaktiviert sein. Ein manipulierter USB-Stick könnte sich als USB-Tastatur am Rechner anmelden und beliebige Kommandos an ihn senden, ganz wie eine Tastatur. Der Anwender bekommt davon nichts mit, wenn diese Kommandos geschickt ausgeführt werden. Man könnte auch per Werbegeschenk USB-Mäuse an bestimmte Schlüsselpositionen in Firmen versenden. Diese USB-Mäuse installieren dann beim Anschluss an den PC ihre Trojaner und ermöglichen den Zugriff von außen auf das gesicherte Firmennetzwerk.

Aber inzwischen hat ja fast alles eine USB-Schnittstelle. Wer kommt schon auf die Idee, dass der Fernseher verseucht sein könnte. Ein Film den man per USB am Fernseher gesehen hat kann unbemerkt dort Schadsoftware installieren. Diese verbreitet sich dann weiter über jeden weiteren USB-Stick, der am Fernseher angeschlossen wird.
Jedes Handy hat inzwischen eine USB-Schnittstelle. Ein manipuliertes USB-Ladegerät kann problemlos alle Daten vom Handy runterladen und einen Trojaner auf dem Handy installieren. Das Ladegerät kann dann auch gleich unbemerkt über das Stromnetz angesteuert werden und die erbeuteten Daten versenden.
Oder es wird ein teures Handy zum Testen zugesendet. Sobald es am PC angeschlossen wird, um das Adressbuch oder Termine abzugleichen, kann das Handys den PC übernehmen.

hacker inside

Keine Panik, die Hacker sind die Guten!

Die Komplexität eines PC kann schon lange nicht mehr von einem normalen Anwender überblickt werden. Es wäre sehr naiv zu glauben, dass ein normaler Anwender alle sich ständig ändernden Sicherheitslücken kennt und weiß wie er auf sie reagieren muss. Selbst das Betriebssystem auf dem neusten Stand zu halten, kann über die Auto-Update-Funktion zur Gefahr werden, denn wer weiß schon was da alles von wo nachinstalliert wird. Die Banken wissen dies längst. Wer aber beim Homebanking Probleme hat muss der Bank erst einmal nachweisen, dass er alles richtig gemacht hat. Dies ist unmöglich bei heutigen Systemen und die Homebanking-Software müsste ganz anders konstruiert sein, um auf diese Gefahren reagieren zu können. Statt dessen stellen viele Banken ihr Verfahren so um, dass sie die Transaktionscodes über das Mobilfunknetz senden. Wohl wissend, dass diese Übertragung nicht abhörsicher ist und das Handy auch eine sehr unsichere Plattform ist.

Auch der elektronische Personalausweis, kann nur so sicher sein, wie sein Lesegerät, das per USB angeschlossen wird. Von der Regierung ist es mehr als naiv zu erwarten, der Bürger könne ein sicheres System betreiben, auf dem er dann den neuen Personalausweis einsetzt. Identitätsdiebstahl wird, sobald das System verbreiteter und damit lohnender für Kriminelle ist, ein großes Problem werden.

Da Sicherheit auch immer eine Kostenfrage ist und Profit die einzige Antriebskraft im Kapitalismus ist, stehen uns unsichere Zeiten bevor.

28C3 - Einfahrender Zug ...Alles was über Software gesteuert wird kann man auch hacken. Unser Zugverkehr wird aus Kostengründen immer mehr auch über das Internet gesteuert. Es stellt sich also die Frage in wie weit die Systeme gegen Angriffe abgesichert sind und da die Technik überwiegend von Siemens kommt, ist dies durchaus ein Anlass zur Sorge.
Auf dem 28. Chaos Communication Congress „Behind Enemy Lines“ (#28C3 [1]) gab es dazu einen Vortrag von Stefan Katzenbeisser.
Continue Reading

Habe heute einen alten Personalausweis beim Einwohnermeldeamt beantragt, damit ich nicht den neuen teuren nutzlosen ePerso benutzen muss.

Dabei machte mein Einwohnermeldeamt folgende Aussagen:

Warum muss ich etwas für den Personalausweis bezahlen, wo ich doch Steuern zahle?
-> Weil es in der Gebührenordnung steht!
(Detail am Rande: Weil mein Ausweis noch 1 Jahr gültig ist durfte ich sogar eine höhere Gebühr zahlen.)

Warum heißt der Ausweis Personalausweis? Ich bin deutscher Staatsbürger aber ich gehöre nicht zum Personal der Bundesrepublik?
-> Die Frage ist abwegig!

Kann ich das Passbild auch auf einem Farblaserdrucker ausdrucken?
-> Ja wenn es auf Fotopapier gedruckt wird und die selbe Größe hat. Alles andere nehmen wir nicht an!

Kann ich das Passbild auch in elektronischer Form abgeben, z. B. per Email oder auf einem USB-Stick?
-> Nein, unsere Software bietet dafür keinerlei Möglichkeiten.

-> Der Ausweis ist in ca. 3 Wochen fertig und kann abgeholt werden. Eine Benachrichtigung gibt es nicht!
(Wenn der Ausweis also noch nicht da ist, habe ich mich eine Stunde umsonst angestellt :( )

Man muss hinzufügen, dass die Software nagelneu eingeführt wurde, damit man mit ihr den neuen ePerso beantragen kann. Diese Software entspricht ungefähr dem Bedienungskomfort aus dem letzten Jahrtausend. So etwas, wie einen Vorgang speichern und später wieder aufnehmen oder Vorlagen für Vorgänge erstellen, gibt es nicht.

Der neue ePerso ist ja von unserem Innenminister als sicher erklärt worden:

Dass trotzdem die Mehrheit der Bürger den neuen Ausweis ablehnen, zeigt welche Glaubwürdigkeit CDU-Poliker inzwischen haben.

Dies bringt leider für die CDU keinen Realitätsgewinn und man ist stolz auf die Erfolge in der Regierungsarbeit:

Zitat Wolfgang Schäuble


“Selten hat eine Regierung in einem Jahr so viele Erfolge erzielt wie die schwarz-gelbe Koalition.”

Die Vorfälle vom 11. Sep. haben einem ganz neuen Industriezweig zur Blüte verholfen, der Sicherheitsindustrie. Dieser neue Industriezweig wurde dann auch nicht müde, mit Lobbyarbeit darauf zu achten, dass sie Sicherheit mit teuren Maßnahmen immer weiter erhöht wurde.

Der Wahnsinn, dieser überwiegend unnötigen Verordnungen, wird anhand von Flüssigkeiten deutlich. Angeblich sind diese Flüssigkeiten so gefährlich, dass man sie nicht mit ins Flugzeug nehmen darf. Deswegen müssen sie vor der Kontrolle in einen Container geworfen werden, an dem dann tausende ganz dicht vorbeilaufen. Welcher Terrorist wird dort schon seinen Brandbeschleuniger reinwerfen und wenn er das tun würde, wäre es doch eine Gefahr für alle weiteren Flugreisenden? Nach der Kontrolle darf man sich dann natürlich wieder mit Flüssigkeit eindecken. Diese unnötige Sicherheitsmaßnahme führt dazu, dass allein in München pro tag eine Tonnen an Flüssigkeit vernichtet werden muss, was die Umwelt erheblich belastet.

Neuerdings sind auch die Nacktscanner, die zunächst entrüstet abgelehnt wurden, am Hamburger Flughafen im Testbetrieb. Diese wurden per Neusprech zunächst in Personnen- dann in Körperscanner umbenannt. Diese Nacktscanner sind an vielen Flughäfen im Ausland schon im Einsatz und es gibt ein kleines Gegenmittel genannt: Flying Pasties.

Diese aus Latex bestehenden Aufkleber schirmen die Röntgenstrahlen ab und können beschriftet werden.

Zum Beispiel mit:
– Ich mag keine Spanner.
– Meine Privatsphäre ist mir wichtig.
– Nacktscanner erhöhen nicht die Sicherheit und sind sinnlos.
– Ich habe Plasticksprengstoff verschluckt.
– Im Flugzeug zünde ich meine Schuhe an.

Eine sinnvolle Protestmaßnahme, wäre es solche Aufkleber am Flughafen zu verteilen um die Passagiere auf die Nacktscanner aufmerksam zu machen. Die Piratenpartei könnte z. B. Piratenslogans auf die Aufkleber drucken.

Spannend wäre es dann herauszufinden, wie die Flughafensicherheit auf die Aufkleber reagiert. Wer z. B. das Schild „Ich habe eine Bombe“ in eine Überwachungskamera hält, wartet meistens vergeblich auf eine Reaktion.

Einen weiteren Spaß, den man sich mit der Fughafensicherheit gönnen kann, sind diese Aufkleber für das Gepäck 😉

Erst geisterte es als Gerücht durch das Internet und dann wurde es konkreter: SchülerVZ und die anderen VZs wurden von einem Crawler abgegrast und die Daten schwirren jetzt im Internet rum.
Das ist für Experten nichts verblüffendes und bei Unternehmen, die wie die Holtzbrinck Gruppe, die die VZs betreiben, eher an Werbeeinblendungen und Vermarktung von Profilen interessiert sind, als an Datenschutz und Sicherheit, nichts ungewöhnliches. Die Holtzbrinck PR-Abteilung gab dann auch eine selten dämliche Stellungnahme zu dem Vorfall raus.
Merkwürdig ist nur, dass die Polizei, den Täter gleich verhaftete, der doch nur öffentlich zugängliche Daten runtergeladen hatte? Die IT-Newsticker überschlugen sich dann auch gleich mit Meldungen [1] [2] darüber, ohne den Grund für die Verhaftung zu hinterfragen.

Dazu muss man wissen, dass die Daten von StudiVZ und MeinVZ für jedermann sichtbar sind, bei SchülerVZ reicht eine Anmeldung um die Daten zu sehen. Es obliegt dem Anbieter der Plattform diese gegen das ausspähen durch einen Crawler durch geeignete Maßnahmen abzusichern. Wo liegt also das Verbrechen, wenn man öffentlich zugängliche Daten speichert? Ok bei SchülerVZ hat man durch die Anmeldung den AGBs zugestimmt, die sowas verbieten, aber dann wäre das Ganze allenfalls eine zivilrechtliche Sache ohne Polizei.
Hinzu kommt, dass die robots.txt von SchülerVZ auf „Allow“ also erlaubt geschaltet ist. Dies bedeutet sogenannte Robots oder Crawler sind erlaubt und erwünscht (üblicherweise um in einer Suchmaschine erfasst zu werden). Dann könnte man aber auch Google verhaften.
Ein ausspähen der Daten liegt im strafrechtlichen Sinne laut §202a StGB jedenfalls nur vor, unter Überwindung einer Zugangssicherung, von der hier keine Rede sein kann.

Wie sich später herausstellte hat der mutmaßliche Verdächtige Matthias Lang (Nickname: 3x1t) keine Ahnung wie man eine anonyme NET-Domain registriert. Darüber hinaus hat er eine Reihe von mutmaßlichen Verbrechen begangen, bei denen die Sammlung der Daten aus den VZs unerheblich ist. Laut Golem hat er sich möglicherweise der Urheberrechtsverletzung von aktuellen Kinofilmen schuldig gemacht, sowie der Erpressung gegenüber Holtzbrinck. Wenn er also verurteilt wird, dann höchstwahrscheinlich deswegen.

Ich wette aber, dass Holtzbrincks PR-Abteilung später dies so hinstellen kann, dass er auch für das Ausspähen der Daten dran glauben musste. Schließlich möchte man ja auch weiterhin die Polizei als Hilfsscherrif nutzen um eigene Versäumnisse im Bereich Datenschutz und Sicherheit zu verschleiern…