Kategorien

Archiv für die Kategorie „Sicherheit“

Von Browsern, AddBlockern und die Chatseite von Mainchat

Nach langer Zeit meldet sich die Medienspürnase nun endlich mal wieder zurück, diesmal mit einem etwas etwas kuriosem Problem.

Und zwar wollte ich mich auf der Seite https://vinsalt.mainchat.net/ einloggen. Schon beim Betreten der Seite färbte sich der Firefox (52.0.2 64 Bit auf Windows 10 Pro 64 Bit) rot ein und meldete mir, daß auf dieser Seite schädliche Programme währen. Die Warnung lies sich nicht ignorieren, der Chat lies sich nicht betreten. Über die Windows internen Browser (Edge und Internetexplorer die Letzte) lies sich der Chat problemlos ohne Warnung öffnen und einloggen. Dort erfuhr ich, daß das Problem auch aktuelle Versionen von Chrome (unter Windows 10 und Ubuntu 16.04 LTS) betraf, sowie den Firefox an meinem Android 6.x Tablet und auch unter Linux (Ubuntu) betraf.

Schon während der Recherchen kam mir ein ein leiser Verdacht auf, es könne an eingebetteter Werbung auf der Seite chat1.mainchat.de liegen, denn die wurde bei jedem in dieser Warnung angezeigt. Als jemand aus dem Chat im Firefox (die Ubuntu Version davon) den Werbeblocker AddBlock Plus aktivierte und sich einloggen konnte, hat sich mein Verdacht bestätigt. Ich nutze schon seit Je her den selben Werbeblocker, aber bei mir hat es bis zu einer Neuinstallation von AddBlock Plus die selbe Warnung gegeben. Ein Update vom Werbeblocker hat das Problem schlußendlich behoben. Warum dann auch der Chat auf dem Tablet wieder funktioniert, ist mir dagegen bis jetzt noch schleierhaft.

Heute Nachmittag hat sich dort auch die Warnung blicken lassen. Sollte Novastorm so schnell gehandelt haben? Es ist zu diesem Zeitpunkt keine halbe Stunde her, daß ich Novastorm als Hostingplattform dieses Chats kontaktiert habe und das Problem geschildert habe.

Fazit:

Bei solchen oder ähnlichen problemen, aktiviert und aktualisiert euren Werbeblocker einfach mal, das dürfte euch schon die eine oder andere unangenehme Überraschung ersparen. Testet gegebenenfalls mit anderen Browsern einfach mal gegen.

Microsoft stellt Support für Internet Explorer 8, 9 und 10 ein

Internet Explorer: Microsoft stellt den Support für alte Versionen ein

Internet Explorer: Microsoft stellt den Support für alte Versionen ein

Die Internet-Explorer-Versionen 8, 9 und 10 für Windows 7 und aufwärts werden ab Dienstag nicht mehr mit Sicherheitsupdates versorgt. Wer noch mit einem der alten Browser im Netz unterwegs ist, sollte jetzt handeln.

Microsoft stellt seinen Support für die Versionen 8, 9 und 10 des Internet Explorers ein. Damit setzt das Unternehmen eine Ankündigung um, die es schon 2014 gemacht hat. Ab dem 12. Januar wird es unter Windows 7 aufwärts keine Sicherheitsupdates und keine technischen Hilfen mehr für die Browser geben. Der Internet Explorer 11, die aktuelle Version, wird weiter mit Updates unterstützt. Unter Vista wird weiter der Internet Explorer 9 mit Updates versorgt.

Wer noch einen alten Internet Explorer nutzt, wird mit dem letzten Update automatisch den Hinweis bekommen, seine Version zu aktualisieren. Nutzer sollten das auch unbedingt tun, um sicher zu surfen, und der Anleitung auf dem Bildschirm folgen.

So können Nutzer Updates suchen

Manuell lässt sich das Upgrade durchführen, indem man auf die Systemsteuerung klickt und im Bereich „Windows Update“ die Schaltfläche „Nach Updates suchen“ anwählt. Um herauszufinden, welche Version man installiert hat, startet man den Internet Explorer und klickt auf das Zahnrad-Symbol in der Ecke des Explorer-Fensters und wählt „Über Internet Explorer“ aus. In sehr alten Versionen muss man eventuell auch den Punkt „Info“ über den Menüpunkt „Hilfe“ ansteuern.

Microsoft will mit dem Schritt Nutzer der alten Browserversionen dazu bewegen, ihre Software endlich zu modernisieren. Das Unternehmen hätte so weniger Support-Aufwand und auch andere Webentwickler würden sich freuen, wenn die alten Browservarianten nicht mehr benutzt werden.

Die alten Versionen des Internet Explorers haben immer noch einen beträchtlichen Marktanteil bei den Desktop-Browsern: Laut einer Schätzung der Seite NetmarketShare gehen rund 20 Prozent der Nutzer noch mit einer der Versionen 8,9 oder 10 online, für die nun der Support ausläuft.

Herbei, o ihr Scheinchen, traurig drein blickend

Wieder einmal ist es soweit. Weihnachten 2015 ist vorbei, alle Geschenke, die gekauft worden sind, wurden an die Kinder, die Enkel, Mama, Papa, Tante, Onkel oder das Schwiegermonster – Verzeihung die Schwiegermutter – verteilt. Wie jedes Jahr üblich, hat die weihnachtliche Geschenkeorgie und die fröhliche Silvesterböllerei ihren Preis und das macht sich zumeist mit einem dicken Loch in der Geldbörse oder roten Zahlen auf dem Konto bemerkbar. Auch dieses Jahr gibt es wieder etwas, womit man zumindest die roten Zahlen auf dem Konto beäugen kann, und das mit maximaler Sicherheit vor Kriminellen.

 

Bankix

Bankix

c’t Bankix

 

Bankix ist ein vom Heise-Verlag speziell angepasstes Ubuntu und basiert auf der Long Term Variante vom April 2012. Es bietet also noch bis 2017 Sicherheitsupdates von Seiten der Ubuntu-Macher.

 

Bankix an sich wird auf einem USB Stick oder einer SD-Karte (beides mit) einem Schreibschutzschalter oder einer DVD installiert und auch von dort gestartet. Für private Daten, kann man später noch einen eigenen USB Stick als sogenanntes Home-Verzeichnis einbinden.

 

Vorteile bietet Bankix im Bereich vom Online-Banking viele. Es basiert auf einem Linux und ist durch die geringe Verbreitung (im Vergleich zu Windows oder MacOS) für Kriminelle eher untinteressant um es anzugreifen. Ubuntu selbst ist ein gut gepflegtes OpenSource Betriebssystem, welches regelmäßig Sicherheitsupdates erhält und wo offene Lücken zeitnah geschlossen werden. Durch Schreibschutz oder das optische Medium können nach der Einrichtung dessystems keine Änderungen von Seiten krimineller Elemente mehr vorgenommen werden.

 

Zusätzlich bringt Bankix noch ein paar weitere Sicherheitsfeatures mit. Zum einen hat der Heise-Verlag den Browser Firefox mit diversen Addons weiter gehärtet, so daß böswillige Scripte gar nicht erst ausgeführt werden. Andererseits sind nur zwei Paketquellen eingebunten (Ubuntu und Heise) die signierte Software und Updates zur Verfügung stellen.

 

Empfohlen wird seitens Heise, daß Bankix auf einem USB Stick mit einem Schreibschutz (es reichen 4 GB) installiert wird. Trekstor beispielsweise liefert für recht wenige Euronen solche Sticks aus. SD Karten besitzen zwar auch einen Schreibschutz, aber die meisten Kartenleser übergehen den geflissentlich. Mit UNetbootin kann man das Bankix Image auf USB Stick oder Wahlweise SD-Karte bringen. Die Installation auf CD oder DVD ist recht umständlich, da vorher eine Multisession-Disc erstellt werden muß und nach einem Boot von der CD/DVD alle Updates in eine zweite Session gebrannt werden. Nicht jedes Brennprogramm unterstützt Multisession beim Brennen von ISO Dateien. Ich nutze hier ISO-Workshop, beim Brennen der ISO muß man das Finalisieren der Disc abgewählt werden. (Softwareliste findet sich wieder am Ende des Artikels)

 

Im nächsten Schritt bootet man Bankix von dem ausgewählten Medium. Man kann jetzt noch zusätzliche Software installieren, beispielsweise Hibiscus (ich schrieb vor einem Jahr darüber), Thunderbird, Textverarbeitung Tabellenkalkulation, sogar einen PDF Reader, falls man denn einen zum Lesen von Kontoauszügen benötigt. Wem das nicht reicht, der kann auch GnuCash installieren und damit die Finanzverwaltung seiner Firma abwickeln.

 

Jetzt ist es an der Zeit, das System zu aktualisieren. Rechts oben in der Ecke befindet sich ein Schalter, ein Klick darauf öffnet ein Menü. In dem Menü steht „System ist auf dem neuesten Stand“, aber ein Klick darauf stößt eine Überprüfung und dann den Download aller verfügbaren Aktualisierungen an. Zusätzlich kann man noch einen weiteren USB Stick als sogenanntes „Homeverzeichnis“ einbinden, der dann als Laufwerk für Nutzerdaten und dergleichen dient. Hier drauf können beispiel ein eigens erstelltes Haushaltsbuch gesichert und abgeglichen werden.

 

Bei einem Neustart werden alle Aktualisierungen und Änderungen am System in der Datei settings.squashfs geschrieben, die dann gesichert auf SD-Karte, USB Stick oder DVD landet. Im Nachhinein (ich hab das ganze mit einem Schreibschutz Stick getestet) ist diese auch bei abgeschaltetem Schreibschutz auch nicht mehr änderbar. Man sollte also in Regelmäßigen Abständen diese Prozedur durchführen, da die meisten Systemaktualisierungen einen Neustart benötigen.

 

Softwarelinks

  1. c’t Bankix
  2. UNetbootin (Universal Netboot Installer)
  3. ISO Workshop zum Brennen der ISO Datei

Erpressungstrojaner als Word-Dokument getarnt

VorsichtWir leben wieder einmal in Zeiten, in denen man allgemein den Dateianeghängen in den Mails mißtrauen sollte. In letzter Zeit häufen sich die Vorfälle, in denen präparierte Word-Dateien Computer infizieren. Die aktuelle Welle ist sogar bis ins Innenministerium von NRW vorgedrungen.

 

Bei Dateianhängen der neuesten Mails sollte man besonders vorsichtig sein, auch wenn die Absendeadresse von einem Bekannten stammt. Aktuell rollt eine Viren-Welle durch das Internet, bei der die Schädlinge – in erster Linie Verschlüsselungstrojaner – mit auf den ersten Blick harmlosen Word-Dokumenten (.doc) oder Zip-Dateien (.zip) daherkommen.

Die Word-Dateien weisen gefährliche Makros auf und die Archive enthalten bösartige ausführbare Dateien (.exe) oder JavaScript (.js). Auf JavaScript setzen die Angreifer, da dieses von vielen Mailservern nicht blockiert wird. Von der Viren-Welle sind in erster Linie Windows-Nutzer betroffen.

Bis zur Inbfektion sind allerdings mehrere Handgriffe notwendig. Beim Empfang einer Mail mit entsprechendem Anhang passiert ersteinmal gar nichts. Öffnet der Empfänger den Anhang, kann dieser eine bösartige ausführbarde Datei starten, die sich im System einnistet. Versteckt sich der Schadcode in einem Zip-Archiv, muß man dieses erst öffnen und die entpackte Datei ausführen. Es sind also mehrere Schritte nötig um die Infektion einzuleiten.

Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Da die Ganoven ihre Malware anscheinend regelmäßig warten, kommen die Anbieter von Antiviren-Anwendungen nicht hinterher, denn Leser von heise online berichten, dass ihre Virenscanner oft nicht anspringen.

Mittlerweile häufen sich die Berichte, daß Nutzer mittlerweile auch von Verwandten und Bekannten Mails mit schädlichem Dateianhang bekommen haben. Den Anhang sollte man bei bekanntem Absender nicht abnicken, sondern vorher ersteinmal nachfragen, ob der von der Mail auch etwas weis. Denn oft genug nutzen kriminelle Elemente gekaperte Mail-Accounts für ihre Zwecke und kopieren das Adressbuch des übernommenen Accounst gleich mit.

Erschreckend dabei ist, daß sich die Angreifer immer plausiblere Formulierungen einfallen lassen, damit der Empfänger den infizierten Dateianhang öffnet.

Wenn von einer bekannten Adresse Dateien versendet werden, fragt einfach beim Versender nach, was das ist. Weiß er nichts von der Mail, dann ist definitiv ein Trojaner drin. In dem Fall, sollte der Bekannte sein Passwort zu seinem Mailaccount sofort ändern.

Vorsicht vor extrem gut gemachten Phishing-E-Mails
Auch aktuelle Phishing-E-Mails werden immer perfider und selbst versierte und skeptische Internet-Anwender können auf die vermeintliche PayPal-Buchungen oder Amazon-Warnungen vor „ungewöhnlichen Logins“ hereinfallen.

In diesem Fall sollte man immer die URL, zu dem der Link aus einer Phishing-E-Mail führt, untersuchen, denn etwa

sicherheitscenter-9830.amazon-daten-updates.ru

gehört nicht zur Amazon-Domain.

Verschlüsselungstrojaner im Innenministerium

Im Zug der aktuellen Viren-Welle sorgen vor allem Verschlüsselungstrojaner für Frust. So einen hat sich auch das nordrhein-westfälische Innenministerium Mitte dieser Woche eingefangen und verschiedene Computer in der Verwaltung vorsorglich abgeschaltet. Sicherheitsrelevante Systeme, etwa von der Polizei, sind aber nicht betroffen, berichtet der WDR.

Schädlich

Interaktiver Überwachungsabend beim WDR

WDR Logo

Für den 28. Mai plant der westdeutsche Rundfunk zum Thema Enthüllung und digitale Überwachung eine interaktive Sendung, in der die Whistleblower Edward Snowden und Julian Assange zugeschaltet werden sollen. Übersd Internet können sich die Zuschauer an der Ausstrahlung beteiligen.

Zur Primetime des 28. Mai (ein Donnerstag) will der WDR ein Theaterstück zu den Themen Enthüllungen und digitale Überwachung untLer Mithilfe der Zuschauer auf die Bühne bringen. Das bestätigte eine WDR-Sprecherin am Samstag dem Nachrichtenmagazin „Der Spiegel“.

Wir fordern die Zuschauer auf, ihre eigenen Daten preiszugeben

sagte die Sprecherin. Zuschauer könnten über das Internet die Handlung des Stückes, der Kölner Regisseurin Angela Richter, steuern und gleichzeitig erfahren, wie es sich anfühle, wenn man durch die Veröfffentlichung eigener Daten angreifbar werde.

Im Bühnenstck gehe es um die Schicksale von Whistleblowern wie Snowden und Assange. Richter hat beide getroffen und lange Interviews mit ihnen geführt. Beide sind für den TV-Abend live zugeschaltet.

Am 13. Mai 2013 hatte Snowden massig geheime Dokumente des US-Geheimdienstes NSA an Journalisten übergeben und hat damit die massieve Überwachung der elektronischen Kommunikation öffentlich gemacht. Bis 2014 gewährte Russland Asyl, nun besitzt er eine dreijährige Aufenthaltserlaubnis dort.

Julian Assange, Wiki-Leaks Gründer, sitzt seit Augist in der ecuadorianischen Botschaft in London fest, nachdem Wiki-Leaks wiederholt interne Dokumente von US-Armee und anderen Behörden zu Kriegen in Afghanistan und Irak veröffentlicht. Assange droht zugleich noch ein Strafprozess wegen sexueller Nötigung in zwei Fällen und einer Vergewaltigung in minderschwerem Fall.

Phishing im Namen Amazons

Wieder einmal machen Phishingmails die Runde, dieses mal wieder im Namen von Amazon. Auffällig dabei ist wieder die Mailadresse des Absenders. Es ist keine Mail von Amazon, das erkennt man schon an der Erweiterung hinter dem @-Zeichen. Ein genauerer Blick in den Header der Mail brachte keine klaren Ergebnisse über die Herkunft. Laut Utrace kam die Mail aus einem Ort auf halben Wege zwischen Marburg und Kassel – von einer deutschen Firma – was aber nicht viel heißen mag, denn deren Server können unwissentlich gekapert worden sein und für Spam missbraucht werden.

Beunruhigender ist die Tatsache, daß man wirklich mit Vor- und Nachnamen angesprochen wird und eine Mailadresse verwendet wird, die schon lang nicht mehr bei Amazon registriert ist. Vielleicht wurde der Provider gehackt. Aus technischen Gründen habe ich die Mail hier anonymisiert. Auffällig ist diesmal, daß die Mail nur ganz simpel gestaltet ist. Schwarzer Text auf weißem Grund ohne irgendwelche Firmenlogos und Farben von Amazon.

Erwähnenswert ist noch der Anhang. Finger weg davon, es ist ein Schädling – digitale Influenza ist garantiert!

Sachbearbeiter Amazon GmbH < *****@webholic.de>
Von: Sachbearbeiter Amazon GmbH < *****@webholic.de>
Ordner: ********@gmx.de/Posteingang
Datum: Thu, 12 Mar 2015 11:03:00 GMT
Betreff: Petra Mustermann Ihr gespeichertes Konto ist nicht hinreichend gedeckt
Ein Anhang: Forderung an Petra Mustermann 12.03.2015 – Sachbearbeiter Amazon GmbH.zip (120 KB)

Sehr geehrte Kundin Petra Mustermann,

Ihr Kreditinstitut hat die Lastschrift zurück gebucht. Sie haben eine nicht bezahlte Forderung bei Amazon GmbH.

Aufgrund des bestehenden Zahlungsrückstands sind Sie gebunden außerdem, die durch unsere Beauftragung entstandenen Kosten von 45,63 Euro zu tragen. Wir erwarten die Überweisung inklusive der Mahnkosten bis spätestens 17.03.2015 auf unser Bankkonto.

Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Die vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, ist beigefügt. Für Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

In Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Forderung schnellstens zu bezahlen.

Mit verbindlichen Grüßen

Sachbearbeiter Brandt Alexander

Wie Samsungs Fernseher zum Spion im Wohnzimmer werden

Gebogen und Hellhörig - Foto: Samsung

Gebogen und Hellhörig – Foto: Samsung

Netzpolitik.org berichtete neuerdings, daß Besitzer von Samsungs Fernsehgeräten mit Sprachsteuerung nichts privates mehr sagen dürften. Selbst Samsung weißt in den Endbenutzer-Lizenzvereinbarungen (Eula) darauf hin, daß gesprochenes über die eingebaute Sprachsteuerung mitgeschnitten werden könnte und an die Server von Drittanbietern gesendet werden kann. Diese Server dienen dazu, die gesprochenen Kommandos zu verarbeiten, auszuwerden und in Schaltbefehle für den Fensher umzusetzen.

In der Eula heißt es wortgenau:

“Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party through your use of Voice Recognition.” (Seien Sie sich bitte bewußt, dass wenn das Gesagte persönliche oder sensible Informationen enthält, diese Information Teil der erfassten Daten ist und durch die Spracherkennung an Drittanbieter weitergegeben wird.)

In einem Statement von Samsung heißt es, daß dieses nur gilt, wenn die Sprachsteuerung aktiviert ist.

Links und Quellen

  1. Netzpolitik.org -Samsung warnt…
  2. EULA des Konzern Samsung

Mojang bietet Hilfe für betroffene Minecraftaccounts an

Minecraft Dorf

Minecraft Dorf

Vorgestern berichtete ich über 1800 gehackte und kompromitierte Minecraft-Accounts. Mojang will allen betroffenen Spielern mit Rat und Tat unter die Arme greifen, aber mittlerweile sind weitere Zugangsdaten im Netz aufgetaucht.

Betroffene Spieler sollen den Support der Firma kontaktieren (Links dazu wie immer am Ende des Artikels) – nach Angaben von Mojang geht das sogar auf Deutsch. Vorgestern sind die Zugangsdaten von 1800 Minecraft-Accounts öffentlich geworden, weitere will man inzwischen im Netz gesichtet haben. Mittlerweile melden sich dazu immer mehr Nutzer die Listen mit erbeuteten Daten gesehen haben wollen. Bei manchen dazu handelt es schlichtweg um Doppelungen, andere scheinen neue Login-Daten gefunden zu haben.

Aber momentan ist es fraglich, ob ein Großteil der betroffenen Nutzer überhaupt weiß, daß ihr Zugang kompromitiert wurde. Mittlerweile will man sämtliche Nutzer aus der bekannt gewordenen Liste via E-Mail informiert haben, aber es befanden sich auch alte Minecraft.net Konten, die nicht mit einer Mail-Adresse verknüpft waren.

Wer auf Nummer sicher gehen will, der kann natürlich sein Passwort ändern. Besonders dringlich ist es, wenn man das Passwort auch für andere Webseiten und Dienste (wie Banking, Paypal, Mailadresse etc) verwendet hat.

Links

  1. Mojang Support-Seite für betroffene Accounts
  2. Sicherheitsnotiz – 1800 gehackte Accounts beim beliebten Minecraft

Sicherheitsnotiz – 1800 gehackte Accounts beim beliebten Minecraft

Minecraft gehackt

Heise Security hat berichtet, daß im Netz derzeit eine lange Liste mit gehackten Minecraft-Zugangsdaten kursiert. Wie die Daten erbeutet wurden, läßt sich derzeit noch nicht sagen.

Die Security Abteilung vom Heise-Verlag hat heute im Netz eine Liste von 1800 Zugangsdaten des Open-World-Spiels Minecraft gesichtet. Diese enthalten Mailadresse und das zugehörige Passwort zum Spiel und das alles ganz unverschlüsselt im Klartext. Unter den Accounts befinden sich einige Daten, die sich auch Nutzern aus Deutschland zuordnen lassen. Stichproben haben ergeben, daß die Daten aktuell und funktionsfähig sind. Wie die Daten abgegriffen wurden, ist derzeit noch unklar.

Was kann passieren?

Im Namen des des legitimen Account-Besitzers kann man die Vollversion des Spieles herunterladen und an Spielen auf Online-Servern mitmachen. Ferner kann man sich mit dem Login auf Minecraft.net und Mojang.com anmelden, sofern keine Sicherheitsfragen gesetzt wurden. Auch besteht die Gefahr von Passwortrecycling. Das heißt, daß es richtig gefährlich werden kann, wenn das gleiche Passswort bei Mailadresse, Onlinebanking-Accounts und bei Paypal genutzt wird. In diesem Fall kann sich der Angreifer mit dem erbeuteten Passwort fvonb einem Dienst zum anderen Hangeln.

Derzeit steht noch eine Stellungnahme von Microsoft aus, daß Mojang im Herbst von Microsoft übernommen wurde.

Chatten mit Facebook geht auch sicher – Verschlüsselung mit Pidgin

Derzeit steht Facebook vor Gericht, weil private Chatlogs gespeichert und ausgewertet wurden. Ganau genommen wurden über den Haus eigenen Chat verschickte Links ausgewertet um die Beliebtheit dieser in Zahlen zu packen. Damit kann Facebook nun genauer Werbung platzieren – dabei werden bestimmte Firmen bevorzugt und die Privatsphäre der Chatter weiter ausgehöhlt. Wie man Spionage umgehen kann, habe ich im artikel Privates verschlüsselt – Sicher Chatten mit Pidgin letztes Jahr schon einmal beschrieben. Und das geht auch mit Facebook.

Zusammengefasst

In der Regel braucht man nur zwei kostenlose Programme auf Open-Source-Basis. Pidgin und ein Verschlüsselungsplugin namens OTR – Off the Record Messaging. Und man braucht hierfür noch die Facebook-ID. Jeder Nutzer, jede Nutzerin bekommt von Facebook eine zufällig generierte Nummer, mit der man Pidgin sagen kann, wer man auf Facebook auch ist. Die ID von Facebook findet man auf der Seite www.facebook.com/max.muster wobei das Max.Muster durch den eigenen Vornamen und Nachnamen zu ersetzen ist, getrennt durch einen einfachen Punkt. Zum Tragen kommt das Protokoll XMPP, besser bekannt auch als Jabber. Alle genutzten Programme sind noch einmal am Ende des Artikels noch einmal verlinkt.

Warum verschlüsseln?

Bei Privatgesprächen gelten prinzipiell vier Grundsätze, die aus dem realen Leben übernommen worden sind.

Folgenlosigkeit: Wenn der (langlebige) private Schlüssel einem Dritten in die Hände fällt, hat dies keine Auswirkung auf die Kompromittierung bisher getätigter Gespräche: Die Gespräche können damit nicht nachträglich entschlüsselt werden.

Abstreitbarkeit: Verschlüsselte Nachrichten enthalten keine elektronische Signatur. Es ist also möglich, dass jemand Nachrichten nach einer Konversation so fälscht, dass sie von einem selbst zu stammen scheinen. Während eines Gespräches kann der Empfänger aber gewiss sein, dass die empfangenen Nachrichten authentisch und unverändert sind.

Beglaubigung: Man kann sich sicher sein, dass der Empfänger derjenige ist, für den man ihn hält.

Verschlüsselung: Niemand kann die Nachrichten mitlesen, wenn denn der Zeichensalat mitgeschnitten wird, dann erhöht sich der Aufwand um an die Inhalte zu kommen enorm.

Detailiert

Falls noch nicht geschehen, installiert man sich zuerst Pidgin und dann OTR. Sind beide Installiert, müssen noch genutzte Konten hinzugefügt werden, hier ein Facebook-Konto. Die Kontoverwaltung öffnet sich beim allerersten Start von Pidgin, bzw nach einem Klick auf Konten —> Konten verwalten.

Willkommensassistent Pidgin

Willkommensassistent Pidgin

Ein weiterer Klick auf Hinzufügen führt uns zu einem Auswahlmenü, wo wir bei den Protokollen Facebook auswählen. Der Chat vonFacebook fußt auf dem XMPP-Protokoll, bei der Auswahl füllt Facebook schon ein Feld aus, die Domain. Deiese brauchen wir nicht zu ändern. Via Copy and Paste tragen wir nun noch unsere Facebook-ID in das entsprechende Feld ein und weiter unten noch das Passwort. Hier ist das Passwort zu unserem Facebook-Account gemeint. Ein klick auf das Feld Passwor Speichern sichert das Passwort für spätere Logins mit Pidgin.

Pidgin Facebookanmeldung

Jetzt dürfte man schon in der Freundesliste alle Kontakte sehen, die man auf Facebook angesammelt hat. Wenn OTR installiert ist, muß es noch konfiguriert werden, das heißt es muß ein Schlüssel eingerichtet werden und sofern die anderen sogenannten Freunde auch Pidgin nutzen oder zur Verschlüsselung bereit sind, dann ist es ein Kinderspiel, die Gespräche sicherer zu machen.

Man öffnet unter Werkzeuge –> Plugins bei Pidgin eine Liste aller derzeit auf dem Rechner verfügbaren Plugins. Dort wählt man OTR aus.

Installierte Plugins Pidgin Hier sucht man sich das Plugin OTR aus und klickert auf Konfigurieren

Installierte Plugins Pidgin Hier sucht man sich das Plugin OTR aus und klickert auf Konfigurieren

Ein Klick auf Plugin konfigurieren genügt um ins nächste Auswahlfenster zu kommen. Im Drop-Down Menü sucht man sich das Konto für Facebook heraus, ein Klick auf Generieren erstellt neue Schlüssel und Fingerabdrücke für den Chat über Facebook.

Ein Klick auf Generieren erzeugt neue Schlüssel für jedes gewählte Konten.

Ein Klick auf Generieren erzeugt neue Schlüssel für jedes gewählte Konten.

Jetzt hat man Pidgin für die verschlüsselte Kommunikation soweit vorbereitet. Hat der Chatpartner selbst Interesse an. Die folgenden Schritte beschreiben, wie die Schlüssel ausgetauscht werden. Ist das alles einmal erledigt, kann man mit der jenigen Person auch zukünftig verschlüsselt chatten. Jede Person, mit der man einmal verschlüsselt geplaudert hat, braucht in Zukunft nicht mehr für die Verschlüsselung registriert werden. Allerdings erfordern die folgenden Schritte, daß der Chatpartner bereits auch entsprechende verschlüsselungssoftware installiert hat und seine Schlüssel erzeugt hat.

Im Vorfeld sollte man sich mit dem Chatpartner auf einem anderen Weg, beispielsweise per E-Mail, eine kleine Frage samt Antwort vereinbaren. Aus diesen Worten werden für die Zukunft alle neuen Sitzungsschlüssel vereinbart – keine Angst das geschieht bei Gesprächsbeginn voll automatisch. Ist alles Vereinbart müssen sich die Chatpartner nun gegenseitig authentifizieren. Dazu muß man die Antwort auf die Frage wissen. Für die folgenden Schritte habe ich allerdings ältere Screenshots von mir recyelt. Wenn da Jabber oder ein anderes Messengerprotokoll steht, so gilt das natürlich auch für den Facebookchat via Pidgin.

Authentification OTR Pidgin - Vorab muß man sich auf eine FRage und eine passende Antwort verständigen, man kann natürlich auch manuell über einen Sicheren Weg die beiden Schlüssel authentifizeren.

Authentification OTR Pidgin – Vorab muß man sich auf eine FRage und eine passende Antwort verständigen, man kann natürlich auch manuell über einen Sicheren Weg die beiden Schlüssel authentifizeren.

Hier tippt man Frage und Antwort ein, auf die man sich vorher irgendwie verständigt hat. Wenn der Chatpaartner mit der Verifikation begonnen hat, dürfte man selbst nur ein Fenster sehen, wo man nur die Antwort rein schreibt.

Authtentificationsanfrage Pidgin - Der Kommunikationspartner muß antworten, damit die öffentlichen Schlüssel gesichtert ausgetauscht werden können.

Authtentificationsanfrage Pidgin – Der Kommunikationspartner muß antworten, damit die öffentlichen Schlüssel gesichtert ausgetauscht werden können.

Hat man alles richtig getipt, oder eben irgendwo einen Schreibfehler unter gebracht, so sieht man eines der beiden folgenden Fenster.

Authentification war erfolgreich Pidgin - Eine verschlüssselte Verbindung steht

Authentification war erfolgreich Pidgin – Eine verschlüssselte Verbindung steht

Authentification fehlgeschlagen Pidgin - Die Prodzedur mit Frage und Antwort sollte wiederholt werden, da sonst keine verschlüsselte Verbindung zustande kommt

Authentification fehlgeschlagen Pidgin – Die Prodzedur mit Frage und Antwort sollte wiederholt werden, da sonst keine verschlüsselte Verbindung zustande kommt

Fazit

Bei mir und einigen Chatpartnern hat die Einrichtung der gesamten Software und die Verständigung auf Frage und Antwort keine viertel Stunde gedauert. Nutzt man Pidgin bereits mit anderen Protokollen, dann geht das ganze noch schneller von statten. Haben bereits beide die nötige Software installiert braucht man nur noch 2 Minuten für die Verifikation des Gesprächspartners.

In Zeiten der Totalüberwachun, Big Brother und Stasi zwei Punkt null bringt Verschlüsselung einen deutlichen Mehrwert. Die Floskel Ich habe doch nichts zu verbergen ist für jeden die Erlaubnis alles mithören und lesen zu dürfen. Wer sich allerdings selbst schon einmal beobachtet hat, der redet mit Freunden irgendwo in der Öffentlichkeit doch ein bisschen anders, als wenn man nur irgendwo privat gegenüber sitzt. Vielleicht sollte man auch nach den letzten bekannt gewordenen Angriffen auf beliebte Internetdienste (iCloud als Beispiel) und die neuen Nutzungsbedingungen von Facebook (mit denen sich Facebook die Nutzungsrechte an allen Inhalten für Werbung sichert) doch kurz innehalten und überlegen, was man via Internet von sich gibt.

Links

Im Artikel benutzte Programme

  1. Downloadseite OTR – Off the Record Messaging
  2. Download Pidgin – Multimessenger

Weiterführende Lektüre

Sicherheitsnotiz – Kritische Sicherheitslücke im WordPress Downloadmanager

Seit Anfang Dezember ist eine kritische Sicherheitslücke im beliebten WordPress-Plugin Download Magager bekannt, die es sogar Script-Kiddies erlaubt ungepatchte Server zu kapern.

Ein offen im Internet verfügbares Script nutzt diese Lücke aus, um einen zusätzlichen Administratoraccount anzulegen. Wenn man zusätzlich Shell-Skripte bedienen kann, ist es sogar möglich, ungepatchte Server zu bedienen.

Von der Sicherheitslücke sind die Version 2.7.5 und älter vom Plugin Download Manage. Nutzt man eine dieser Versionen, sollte man schleunigst auf die aktuelle Version 2.7.81 updaten. Bei Updates vor der 2.6er Version gibt es allerdings einiges zu beachten. Mehr dazu auf dem Link am Ende des Artikels.

Links

Download Manager Update auf 2.6 – Hürden

Sicherheitsnotiz – Schädling nutzt alte WordPress-Sicherheitslücke aus

SoakSoak-RU-Blacklisted

SoakSoak-RU-Blacklisted

Der Schädling namens SoakSoak hat hunderttausende Webseiten über das Plug-in Slider Revolution befallen und spioniert die Server aus. In einigen Fällen werden auch Besucher per Drive-By-Download infiziert.

Mittlerweile warnt man erneut vor einer bereits seit Monaten bekannten Sicherheitslücke im beliebten WordPress-Plugin Slider-Revolution. Mittlerweile wird die altbekannte Lücke von der Schadsoftware ausgenutzt. SoakSoak lädt ein bösartiges JavaScript von der Domain soaksoak.ru nach, was dem Schädling seinen Namen gab.  Der Code spät den Webserver aus und infiziert auch Besucher via Drive-by-Download. Google will nach eigenen Angaben bereits hunderttausend infizierte Seiten gesperrt haben.

Ein Update für Slider-Revolution gibt es bereits seit Februar diesen Jahres. Allerdings ist dieser Code auch in einer großen Anzahl von WordPress-Themes verbastelt und deren Nutzer scheinen sich dessen nicht immer bewußt zu sein.

Slider Revolution wird verwendet um Bilder in Teasern und Bilderstrecken rotieren zu lassen. Themes, die jetzt nach über einem dreiviertel Jahr noch diese Sicherheitslücke aufweisen, kann man nicht als gepflegt betrachten. Daher sollte man sich als WordPressnutzer überlegen, auf sichere Alternativen bei den Themes umzusteigen.

Ansonsten ist den Nutzern von Slider-Revolution empfohlen, schnellstens das Update auf Version 4.2 dieses Plugins zu installieren.

Die Firma Sucuri bietet einen einen kostenlosen Seiten-Scanner an. Alle wichtigen Links habe ich noch einmal am Artikelende zusammengefasst.

Links

  1. Warnung vor SoakSoak
  2. Sucuri – kostenloser Websitenscanner

Sicherheitsnotiz – Cross Site Scripting bei WordPress

WordpressAm Wochenende kam ein umfangreicheres Softwareupdate auf WordPress 4.0.1 heraus. Dieses Update behebt massive Sicherheitstechnische Lücken, gerade in den Versionen 3.0 bis 3.9.2 von WordPress. In diesen alten Versionen ist WordPress anfällig für Cross Site Scripting.

Was genau ist Cross Site Scripting eigentlich?

Beim Cross Site Scripting werden Sicherheitslücken in Webseiten und Contant Management Systemen (CMS) dahin ausgenutzt. Hierbei wird von außen, also vom Hackerschädlicher Code in eigentlich in Seiten eingepflanzt, denen die meisten Internetnutzer vertrauen. Dieser Code überträgt dann beim Ansurfen Computerschädlinge auf den Rechner, oder manipuliert den eingehenden und ausgehenden Netzwerkverkehr auf irgend einer Weise um den unbedarften Surfer Schaden zu zu fügen. Beispielsweise werden sensible Daten wie Passwörter und Anmelde-Daten bei Foren und dergleichen abgegriffen, was dann zum Identitätsdiebstahl führen kann.

Und was genau passiert bei WordPress?

Bei WordPress war es in den Versionen 3.0 bis 3.9.2 möglich, via Kommentarfunktion schädlichen Code auf Java-Script Basis einzufügen. Liest ein Moderator oder ein Administrator einer WordPress-Installation neu hinzugekommene Kommentare, war es möglich den Code auszuführen. Damit ist es möglich das Admin-Passwort zu ändern, andere Nutzerkonten anzulegen und bestehende zu sperren. Somit wäre der gesamte Blog von Fremden übernommen. Die aktuelle Version 4.0 ist nicht betroffen, allerdings steht ein umfangreiches Sicherheitsupdate auf 4.0.1 zur Installation bereit, welches diese Lücke und einige weitere schließen soll.

WP-Statistics ist auch betroffen …

Das beliebte Statistic-Plugin für WordPress ist auch von einer solchen Sicherheitslücke empfohlen. Über diese kann auch ein Angreifer Administratorrechte im Blog erlangen. Weiterhin kann man darüber auch SEO-Spam in Blog-Posts einfügen. Auch hier steht ein Update zur Verfügung.

Was kann ich nun gegen solche Lücken tun?

Das WordPress-Team bringt regelmäßig, aber auch außerhalb des normalen Updatezyklus immer neue und verbesserte Versionen für die beliebte Bloggingsoftware heraus. Im Normalfall wird der Administrator im Dashboard eine Information mit neuen Updates, die gerade verfügbar sind, erhalten. Auch gibt es zu solchen Updates im Regelfall über die WSordpress Nachrichten im WP-Channel noch einen Beitrag zu Neuerungen. Updates für Plugins und Themes werden auch im Dashboard angezeigt.

Das Meiste an Updates kann man gleich mit wenigen Mausklicks installieren lassen. Das geht schnell und problemlos und passiert auch im Hintergrund. Unterbindet das der Webhoster aus irgend einem Grund, so sollte man das Update manuell einspielen. Wie das geht, habe ich bereits früher schon einmal beschrieben.

Plugins kann man ganz ähnlich auch einer Frischzellenkur unterziehen. Das geht wie das WordPressupdate auch aus dem Dashboard heraus. Gibt es da Seitens der Webhoster Probleme, so kann man das auch manuell durchführen. Einfach das Plugin aus dem offiziellen WordPress Pluginverzeichnis downloaden, auf dem heimischen Rechner entpacken und dann via FTP-Programm in den Plugin-Ordner unter wp-content schubsen. Meist noch kurz im Dashboard aktivieren und fertig ist das Update von Plugins.

Fazit

Auch Updateverweigerer sind in der Pflicht ihre Software aktuell zu halten. Momentan nutzen noch über 80 Prozent aller Blogger eine veraltete WordPress Installation. Mit dieser gefährden sie nicht nur sich selbst, auch ihre Leser und sogar die Webspacebetreiber, auf deren Servern die Blogs liegen. Es ist grob fahrlässig, nicht zu updaten. Da gelten auch keine Ausreden, daß man am Blog irgendetwas kaputt machen kann. Es gibt genug Tutorials im Internet, die dazu Unterstützuing geben und genug Foren, wo man seine Fragen loswerden kann und Hinweise zu Updates finden kann. Zur Erleichterung habe ich fürher schon einmal ein Tutorial geschrieben, was ich hier wieder verlinke. Also macht euch dran und aktualisiert eure Seiten.

Links

  1. Rezepteküche: WordPress – WordPress Updaten
  2. Offizielles WordPress Pluginverzeichnis

Kurios: Neulich auf meinem Facebook-Konto

Rezepte-App: „Fianna hat gerade ein Rezept für Schweinefleisch in Käse-Sahne-Sauce abgerufen. Soll ich ihr Hähnchenbrust und Diätsahne unterjubeln?“

Gesundheit-App: „Ihre Cholesterinwerte sind schon bedenklich hoch, dazu der Harnsäurespiegel – Kannst du sie nicht zu etwas Vegetarischem überreden?“

Waagen-App: „Wollt ihr mal ihre Gewichtskurve der letzten Monate sehen? Da tut eine heftige Diät dringend Not.“

Watchweighters-App: „Tut mir leid, aber sie hat ihr Abo gekündigt. Mir sind da leider die Hände gebunden.“

Rezepte-App: „Dann lock sie doch mit einem Preisausschreiben zurück.“

Watchweighters-App: „Glaubst du, ich hätte das nicht schon versucht? Die Waagen-App soll mal ein Wörtchen mit ihr sprechen.“

Waagen-App: „Die Dicke hat alle Alarmfunktionen abgestellt. Bevor mich Facebook nicht trotzdem die Daten in ihre Timeline schreiben läßt, kann ich keinen Druck machen.“

Facebook-Ad: Hallo Fianna, bitte beachten Sie die aktuellen Sonderangebote bei Burger-Schlemm: Das King-Size-Menü kostet diese Woche nur die Hälfte und ein leckerer Zuckerschock-Nachtisch ist gratis dabei.

Geotag-App: „Vielleicht kann ich da helfen. Mir liegen mehrere Geostatus-Einträge vor, wonach die Gute ein bisschen sehr schnell gefahren ist. Ich bin befugt, das der Polizei zu melden. Damit dürfte ihr Führerschein ein paar Monate weg sein. Und Radeln soll ja gesund sein.“

Gesundheit-App: „Ich bezweifle, daß ein paar Monate Bewegung das Problem lösen.“

Krankenkassen-App: „Lasst mich mal ran. Nachricht an Fianna: ‚Unter Berücksichtigung Ihres aktuellen Übergewichts und Ihrer Blutwerte müssen wir Sie ab sofort in eine neue Risikogruppe einstufen. Ihre Beiträge zur Krankenversicherung erhöhen sich ab dem nächsten Monat um 50 Prozent.‘ Das sollte reichen.

Facebook-Sys: „Alarm: Fianna versucht gerade, ihre Mitgliedschaft zu beenden. Sie will sogar erfasste Informationen löschen. Der Datenschutz wird aktiviert.“

Bundes-App (garantiert 100 Prozent Trojaner-frei): „Sehr geehrte Bürgerin, bitte bachten Sie, daß Sie verpflichtet sind, Ihren Lebenslauf in der Facebook-Timeline zu dokumentieren. Dies hilft nicht nur, gefährliche Tendenzen frühzeitig zu erkennen, um Sie und andere zu schützen, sondern garantiert auch die Gerechtigkeit in unserem Sozialsystem. Mit einer Unbedenklichkeitsbescheinigung Ihres Bürgeramtes können Sie ersatzweise ein Google+-Konto anlegen. Dann ist allerdings die Nutzung von Latitude und Google-Mail vorgeschrieben. Viele Grüße ihre Bundesregierung (81.757.999 gefällt das).“

Sicherheitsnotiz – Studentin bietet an, auf Webseiten Fehler zu suchen – Fiktion oder Realität?

Heute kam mir eine ganz neue Art von Spam unter :scratch:. In mein digitales Postfach kam heute eine Mail geflattert, von einer Studentin, die sich mit dem Korrigieren von Tipfehlern auf verschiedenen Webseiten ein bisschen Geld zusätzlich verdienen möchte. Zu aller erst wußte ich selbst nicht so genau was ich von dieser Mail an sich selbst so halten sollte. Mehr dazu folgt.

Die Fakten :unsure:

Die Mail :mail: an sich, hängt diesem Artikel weiter unten als Zitat bei, persönlich wichtige Sachen (Mailadressen) und potentiell gefährliche Links habe ich wegen dem Datenschutz entfernt. Bei einer Recherche im Internet bin ich auf verschiedene Foren gestoßen, mit Personen, die eine ähnliche Mail bekommen haben. Dort wurden oftmals auch sämtliche Links zum genaueren Überprüfen mit gepostet. Ich habe ein Live-Ubuntu (ein Linux auf Debian-Basis) mit mehreren Virenscannern von DVD gestartet. Hierbei handelte es sich um Desinfec’t von der Zeitschrift c’t. So konnte ich relativ gefahrlos die Links checken. :wacko:

Zwei Links führten zu einem Artikel und einer Seite von meinem Blog. Jeweils ein Wort wurde kritisiert. Weiter unten standen weitere Links, die im Firefox jeweils eine Seite auftaten und mich zum jeweilieg Artikel bzw der Seite führten. Zusätzlich wurde das falsch geschriebene Wort markiert. Oberhalb des „Vorschaubildes“ gab es noch einen Frame, in dem noch ein paar Informationen eingetragen werden konnten, ob das Angebot weiter genutzt werden wolle und nach Mailadressen und dergleichen. Leider habe ich die Mail zu schnell gelöscht, sonst hätte ich mir den Quelltext zu dieser Seite noch einmal genauer angeschaut.

Weiter unten in der Mail war ein Link zu Finden, der auf die Homepage jener Studentin führte. Dieser Spur bin ich dann einmal weiter nachgegangen. Hier erzählte die Studentin von sich, wie alt sie ist, was sie wo studiert und wie gut ihr Service derwegen angenommen wird. Sogar ein Bild von ihr und ein Video von einer zufriedenen Kundin ist zu sehen. Weiterhin verlangt sie bis zu 60 Euro pro Korrektur, je nach Länge der Webseite. Unteranderem bräuchte sie das Geld, um ihr Studium zu finanzieren. Völlig legitim mag man meinen, wenn das kleine Wörtchen aber nicht währe.

Schaut man sich zu aller erst die Domain einmal an. So verlinkt diese Domain auf irgendeinen Blog bei WordPress.com und ist mit dem davorgesetzten Namen nichts weiter als eine Subdomain. Für alle Laien mag das auf den ersten Blick vielleicht nur ein Achselzucken und ein „Na und?“ wert sein. Betrachtet man es aus dem Blickwinkel eines Geschäftes, so sind bei den vielen angeblich positiven Bewertungen zumindestens ein unter 10 Euro pro Jahr drinnen, eine Top-Level-Domain zu kaufen, ohne zwei oder mehrere Punkte zwischendrinnen. Eine TLD wirkt professioneller.

Ein weiterer Blick direkt auf die Hompage fördert zu Tage, daß es kein Impressum gibt, nur eine simple Mailadresse bei Google-Mail. In Deutschland ist es Pflicht, daß gewerbliche Anbieter von Dienstleistungen und Produkten ein komplettes Impressum mit Namen, Anschrift, Geschäftsinhaber, Angaben zum Handelsregister, Steuer-Identifikation und weitere wichtige Angaben fehlt. Verbraucher müssen sich in dieser Hinsicht über ihr Gegenüber, wo sie Geld überweisen, informieren können. Auch wenn das nur eine nebenberufliche Tätigkeit ist, die da angeboten wird, muß diese versteuert werden und irgendwo gemeldet sein.

Am Ende der Mail :mail: waren noch mehrere Links vorzufinden, die ich auch sicherheitshalber gelöscht habe. Es waren sogenannte Ref-Links, die beim Klicken noch Infos an die Mailserver übertragen haben. Hier konnte man unter anderem den Newsletter dieser Studentin abbestellen. Fakt ist, daß man auf Klick dieses Links eventuell die Mailadresse erst bestätigt. Will heißen, man zeigt den Autoren der Mail, daß die Adresse, an die die Phishing-Mail geschickt wurde, durchaus gültig ist. Beim Klick auf diesen Ref-Link wird die Adresse in einer Datenbank als „genutzt“ freigeschaltet und wird dann später als potenzielle Adresse für Spam und Werbung gehandelt.

Kurios :scratch:

Was mich selbst irritiert hat, war die Tatsache, daß diese Mail an die im Impressum meines Blogs verlinkte Mailadresse ging. Über die Adresse geht ansonsten kein Mailverkehr nach außen, außer alle paar Tage mal eine oder zwei Mails um eine Leserzuschrift zu beantworten. Weiterhin habe ich die Mailadresse nirgends benutzt um mich irgendwo (in Foren, sozialen Netzwerken und weiß der Geier wo) anzumelden. Wer die Medienspürnase und deren Impressum kennt, so ist diese Adresse auch nicht via verlinkt. Nur als ganz normalerText ist diese zu lesen. Zudem wurde das @ weitestgehend kodiert, so daß Spambots ihre liebe Mühe mit dieser Adresse haben. Man muß diese Adresse doch manuell irgendwie in die Datenbanken für den Mailverteiler eingegeben haben. Weiterhin war die Mail so personalisiert, daß direkt auf die mit Rechtschreibefehler behafteten Artikel verlinkt wurde. :unsure:

Fazit :-(

Das ist eine recht interessante und kuriose Methode um die Leute abzuzocken. Anfangs wußte ich selbst noch nicht genau was ich mit soetwas anfangen sollte. Manch einer braucht einen Korrekturleser, gewerblich oder privat. Aber zum Korrekturlesen kann man durchaus mal bei Bekannten oder Verwandten herumfragen, o die nicht mal auf Fehler lesen. Aber auch denen entgeht der eine oder andere Tipfehler.

Jedenfals kann man sich die 60 Euro irgendwo sparen, zumal hier einiges nach Betrug riecht. Bekommt man als Webseitenbetreiber so eine Mail :mail: , kann man diese getrost in die Tonne kicken. Fragt ersteinmal im Freundeskreis, die lesen kleinere Texte auch schnell mal kostenlos oder gegen Vorlage einer Flasche Bier nach Feierabend.

 

Update 23.10.2014:

Ein Impressum existiert doch, mit der Anschrift und einer Mailadresse. Leider ist dieses durch vielleicht ungeschickte Farbwahl, Positionierung und Größe des Links ziemlich leicht zu übersehen. Neben der Anschrift müßten da noch verschiedene andere Angaben stehen, zumal die Dame eine Kostenpflichtige Dienstleistung anbietet. Dazu gehören eben verschiedene Geschäftsdaten, wie Handelsregister, Niederlassung ihres Geschäfts, welches ja wohl ihre private Anschrift wäre und diverses mehr. Ein Blick bei der Wikipedia auf Impressumspflicht (Link zu Wikipedia) bildet da weiter. Gestern erhielt ich noch eine zweite Mail mit genau dem selben Inhalt, nur von einer anderen Mailadresse und einem anderen Namen – wieder eine junge hübsche Frau. Von daher liegt jetzt der Verdacht nahe, daß man doch versucht irgendwo ein paar Webseitenbetreiber zur Kasse zu beten.

Kirsten Adler weblektorin
Von: Kirsten Adler weblektorin
An:
Ordner: /Posteingang
Datum: Tue, 21 Oct 2014 10:26:21 +0200 (CEST)
Betreff: Flüchtigkeitsfehler auf Ihrer Website xn--mediensprnase-3ob.de

Hallo,

ісh hаbе hеutе Іhrе Іntеrnеtsеіtе xn--mediensprnase-3ob.de еntdесkt, und mіr sіnd еіnіgе Flüсhtіgkеіtsfеhlеr аufgеfаllеn. Ісh zеіgе Іhnеn zwеі Веіsріеlе:

Fehlerhaftes Wort: zurückt Auf dieser Seite: www.xn--mediensprnase-3ob.de/3-2-1-mines/

Fehlerhaftes Wort: allererst Auf dieser Seite: www.xn--mediensprnase-3ob.de/in-eigener-sache/

Klicken Sie bitte hier (hier stand eine dubiose URL mit massig Zahlen und Buchstaben), um die Fehler anzusehen bzw. ein Angebot zu erhalten.

Іhr Gеsсhäft іst fеhlеrfrеі. Вrіngеn Ѕіе mіt mеіnеr Ніlfе Іhrе Wеbsеіtе аuf dеn glеісhеn Ѕtаnd!
Ісh bіn Ѕtudеntіn und аrbеіtе nеbеnbеі аls Wеblеktоrіn. Ісh рrüfе Wеbsеіtеn аuf Flüсhtіgkеіtsfеhlеr (Rесhtsсhrеіb- und Тіррfеhlеr), und ісh stеllе mеіnеn Κundеn Ändеrungsvоrsсhlägе zur Vеrfügung. Віttе kоntаktіеrеn Ѕіе mісh, wеnn Ѕіе dіе Vоllkоrrеktur Іhrеr Wеbsеіtе bеstеllеn möсhtеn.
Mit freundlichen Grüßen
Κіrstеn Аdlе
Wеblеktоrіn
Besuchen Sie meine Webseite (kirstenadler.wordpress.com)!
„Wenige-Fehler-Garantie!“ – Wenn ich weniger als 10 Fehler auf Ihrer Webseite finde, müssen Sie für die Überprüfung nicht zahlen.
PS: Sollten Sie nicht der/die richtige AnsprechpartnerIn sein, bitte ich Sie, diese E-Mail an die richtige Kontaktperson weiterzuleiten.
Vielen Dank im Voraus!
Danke, ich bitte um keine weiteren E-Mails bezüglich der Rechtschreibfehler auf meiner Homepage.

Vorsicht vor der DiBa Kundenwarnung

Heute kam mal wieder eine Mail in meinen Posteingang geflattert, deren Text ich hier mal reinkopiert habe. Dabei handelt es sich um eine Kundenwarnung, die angeblich von der Ing-DiBa stammen soll. Diese Mail stammt aus dem Postfach support@diba.de was durchaus gefälscht sein kann. Auffälliger ist der Link am Ende der Mail www.di-ba-du-sicherheit.cc. Diese Domain ist auf .cc registriert, also bei den Cocos (Keeling) Islands südlich von Indonesien im indischen Ozean. Eine IP-Abfrage der Senderadresse über Whois führte nur zu einer Postfachadresse in Amsterdam. Allerdings sind diese Angaben mit Vorsicht zu geniesen, denn der Mail-Header kann durchaus auch gefälscht sein, um Spuren zu verwischen.

Eine direkte telefonische Verbindung (die Daten dazu findet man bei der Ing-DiBa höchst persönlich) brachte die Antwort zu Tage, daß solche Mails in den letzten Tagen vermehrt unterwegs sind. Die DiBa schreibt die Leute bei Fragen und Vertragssachen schriftlich an und hinterlegt eine Kopie des Schreibens in der Postbox beim DiBa-Account. Nur in seltenen Fällen wendet die DiBa sich telefonisch an ihre Kunden.

Fazit

Die Mail mit folgendem Inhalt ist eine Fälschung, die man getrost in die Abfalltonne kicken kann. Nicht weiter reagieren. Wer allerdings den Fehler gemacht hat, diese Daten anzugeben, dem sei geraten, seine Konten bei der DiBa zu prüfen und die Zugangsdaten ändern zu lassen. Wie man selbst Mails ein bisschen genauer unter die Lupe nehmen kann, habe ich letztes Jahr kurz beschrieben. Mehr dazu findet man auf

1
BLZ: 500 105 17 | BIC: INGDDEFFXXX
ING-DiBa – Kundenwarnung!
*Sehr geehrte Damen und Herren,*

um unseren Kunden bei der ING-DiBa die höchste Stufe an Sicherheit bieten zu können, haben unsere Entwickler ein neues Konzept erstellt.

In Zukunft wird jede Aktion die getätigt wird, über unsere Rechenzentren abgeglichen und bei einer fehlerhaften Übereinstimmung abgelehnt. Sie werden anschließend über diese Aktion benachrichtigt.

Dies dient dazu, Missbrauch durch Dritte zu verhindern. Um dieses neue Konzept aktivieren zu können, ist die erneute Eingabe Ihrer persönlichen Daten, welche bei ING-DiBa hinterlegt sind, erforderlich.

Bitte geben Sie alle erforderlichen Daten wahrheitsgetreu und vollständig an.

> Jetzt aktivieren !

www.di-ba-du-sicherheit.cc/kunden/center/aktualisierung>

Wir bedanken uns bei Ihnen für Ihr Verständnis und bitten Sie die Umstände zu
entschuldigen.
Mit freundlichen Grüßen
*Ihre ING-DiBa*

Eingetragen im Handelsregister des Amtsgerichts Frankfurt am Main unter der
Registernummer HRB 7727. Die Bank hat ihren Sitz in Frankfurt am Main.
Umsatzsteueridentifikationsnummer (UST-Id.-Nr.): DE114103475
Bankleitzahl (BLZ): 500 105 17
BIC: INGDDEFFXXX
© 2014 ING DiBa Inc., ING Europe S.à r.l. 22-24 Boulevard Royal, L-2449, Luxemburg

Gut verschlüsselte Texte

gpg4usb verschlüsselt unter Linux und Windows Dateien und Texte mit GnuPG und bringt dafür einen eigenen Editor mit.

Um unterwegs im Internet-Café oder von fremden Rechnern verschlüsselt per Mail oder Instant-Messenger zu kommunizieren, benötigt ein portables Tool wie gpg4usb. Es bringt die Softare GnuPG mit und läßt sich leicht ohne Installation von jedem USB Stick starten. Es reicht, die Software auf einem Stick zu entpacken. Auf dem Stick lagern neben der Verschlüsselungssoftware auch die privaten und öffentlichen Schlüssel. Um sicher zu gehen, daß die Passphrase und die eigenen Schlüssel, gerade die privaten Schlüssel, nicht kompromitiert werden, sollte man die Software nur auf vertrauenswürdigen Rechnern starten.

Neben Texten kann man mit der Open-Source-Software gbg4usb auch Dateien verschlüsseln. Beim ersten Start übernimmt ein Assistent vorhandene eigene Schlüsselpare oder generiert bei Bedarf ein neues Paar. Über diverse Schaltflächen lassen sich die Schlüssel verwalten und Dateien ver- und entschlüsseln. Im integrierten Editor lassen sich Texte verfassen und direkt codieren. Dazu müssen die Schlüssel des Adressaten und sinnvollerweise der eigene Schlüssel ausgewählt sein, dann chiffriert ein Klick auf Verschlüsseln den Text. Das Entschlüsseln von Texten ist das selbe in grün. Signieren und Verifizieren kann man auch mit gpg4usb.

Fals gewünscht übernimmt man chiffirerten Text via Copy&Paste in einen Messenger oder in einen Webmail-Client – oder man speichert den Text einfach auf der eigenen Festplatte. Hat man Text aus einenm Webmailer eingefügt, kann gpg4usb überflüssige Zeilenumbrüche entfernen oder Kommentare hinzufügen.

Die eigene Webseite und die sozialen Medien

Jeder Webseitenbetreiber kennt das Problem: er möchte seine Seite attraktiver gestalten und bekannter machen. Mundpropaganda ist da immer noch das beste Mittel der Wahl. Die besten Mittel für solche Mundpropaganda ist die Verknüpfung der eigenen Seite mit sozialen Medien wie Facebook, Twitter und Co. Doch dabei gibt es auch einige Fallstricke zu beachten.

Um eine Webseite interaktiver zu gestalten, kann man darauf sogenannte Social Media Buttons für jeden erdenklichen Zweck einbauen. Bekannte Möglichkeiten sind der Like-Knopf für Facebook, Buttons für Twitter, Xing, Instagram, Mr. Wong, Google+ und andere – nur um einige Möglichkeiten zu nennen. Die meisten Surfer im Internet sind nebenher in einem (oder auch mehreren) der genannten sozialen Netzwerke zu Gange. Daher ist es besondders praktisch, eine toll gefundene Webseite über diese Knöpflein mit anderen Leuten um Netzwerk zu teilen.

Genau das macht einen nicht zu vernachlässigenden Werbeeffekt für die Webseite aus. So gelangt diese auch über andere Quellen, abseits von Google, zu anderen Nutzern, die diese auch toll finden können. Und für den Nutzer eines Netzwerkes ist es auch praktisch, er muß keine großartigen Links und URLs kopieren. Einfach im Netzwerk der Wahl einloggen und bei einem Surftripp die gefundenen Website-Schätzchen mit einem Klick teilen und anderen Leuten auf die Schnelle zeigen.

Die meisten dieser Social Media Buttons sind recht einfach einzubinden. Diese gibts als Plugin für die meisten Content Management Systeme (CMS) oder als Scriptschnipsel in Javascript für statische Webseiten. Dieser bindet den Knopf ein und beim Betätigen soll er den Link zur Seite an ein soziales Netzwerk der Wahl schicken um diese Seite den Freunden und der Welt präsentieren.

Als Administrator einer Webseite sollte man allerdings einige Dinge beachten. Zu diesen Buttons sollte man sich eine Datenschutzerklärung ins Impressum einbauen. Diese informiert den Nutzer, daß schließlich Daten (der Link der Webseite und persönliche Daten, die das soziale Netzwerk selbstsändig sammelt) ausgetauscht werden. Eine solches Impressum mit dieser Datenschutzerklärung gibt es auf der Webseite von eRecht24 (Links dazu gibts am Ende wie üblich).

Der Haken dazu liegt allerdings im Detail. Als Webmaster ist es wichtig zu wissen, daß die Social Media Buttons Daten an ihre Netzwerke senden, gefragt (auf Klick) aber auch ungefragt im Hintergrund.

Was genau wird da gesendet? Meist sind es ersteinmal allgemeine Daten wie solche zum Betriebssystem, Browser, Monitorauflösung, IP-Adressen und softwaretechnische Einstellungen und natürlich welche Seiten man aufruft, wie lang man dort verweilt und wohin man weiterzieht. Ist der Nutzer noch bei einem sozialen Netzwerk registriert und eingeloggt, so kann das mit den vorhin beschriebenen Daten das Surfverhalten ziemlich genau protokollieren. Weiterhin kann es sein, daß diese Daten im Ausland gespeichert werden können, wo der Datenschutz weniger hoch gestellt ist, als in Deutschland oder der EU.

Das ganze geschieht zumeist im Verborgenem. Diese Daten werden hauptsächlich zu werbezwecken aufgezeichnet und vielleicht auch dazu weiterveräußert. Wenn solche Social Media Buttons verwendet werden, ist dazu ein entsprechender Hinweis im Impressum von Nöten. Diese gibt es schon vorformuliert auf der Seite von eRecht24. Ein Webmaster sollte natürlich über diese Datensammelpraxis von diversen Webseiten informiert sein und natürlich dafür Sorge tragen, daß nur wenig über die Leser seiner Webseite bekannt wird.

Daher gibt es gewisse Lösungen um bedenkenlos solche Knöpflein auf seiner Webseite einzubauen, die meisten gibt es schon vorgefertigt und gratis zum Download, aber wer selbst gern bastelt, dem sei versichert, daß auch solche Zwei-Klick Lösungen recht einfach umzusetzen sind. Diese Lösungen sind zwar für den Nutzer etwas unbequemer, aber als Webmaster einer Seite ist man auf der sicheren Seite den im Telekomunikationsgesetz vorgeschriebenen Datenschutz einzuhalten. Nutzer müssen hier den gewünschten Social Media Button ersteinmal aktivieren, bevor sie den Link zur Seite auf Twitter und Co teilen können. Aber es schützt auch solche Leute, die sozialen Netzwerken doch etwas mißtrauisch gegenüber stehen.

Link

Endlose Abmahnschrecken

Ein scheinbar kostenloser Filmabend vor dem PC wurde für Frau T. zu einem teuren Vergnügen, doch damit war nicht genug. Die Verbraucherzentrale warnt.

Auerbach – Drei Wochen nach einem Filmabend vor dem PC mit einem vermeintlich kostenlosen Film kam bei Frau T. eine Abmahnung eines Rechtsanwaltes in den Briefkasten geflattert. Kostenpunkt ca. 815 Euro. Doch damit sollte nicht genug sein. Tage später erschien eine weitere Abmahnung , Kostenpunkt 389,50 Euro. Und es könnte noch mehr werden.

Der Grund für die zweite Abmahnung war schnell gefunden. In dem geladenem Film waren mehrere Musikstücke verbaut, für die eigene Urheber- und Verwertungsrechte vorgesehen waren. „Theoretisch könnte hier noch jeder weitere Song aus diesem Film mit einer solchen Abmahnung versehen werden“ so Alreen Becker, Juristin der Verbraucherzentrale Sachsen. Becker dazu weiter: „Dem Grunde nach sind die meisten Abmahnungen berechtigt, denn das kostenfreie Herunterladen von Filmen, Musik oder PC-Spielen geschieht in den meisten Fällen illegal.“

Weil viele Abmahnungen in letzter Zeit überteuert waren, hat der Gesetzgeber im Oktober 2013 eingegriffen und die Abmahngebühren für den Regelfall auf 155 Euro gedeckelt. Doch die Verbraucherzentrale sieht Nachholebedarf. Mittlerweile sind bundesweit mehrere Fälle bekannt geworden, bei denen sich die Abmahngebühren auf 155 Euro beliefen, aber die Kanzleien die gesetzesbedingten Einbußen auf ihrem Honorar durch Schadensersatzansprüche wett gemacht haben.

Jetzt möchten die Verbraucherzentralen mit einer bundesweiten Umfrage vergleichbare Fälle sammeln, um den Gesetzgeber auf die bestehenden Lücken im Gesetz aufmerksam zu machen.

Anmerkungen zum Artikel

Der Teufel steckt im Detail. Wie die Juristin Frau Becker schon bemerkt hat, ist der kostenfreie Download der meisten Filme, Musik, PC-Spiele, Videos, Bilder und Software illegal. Nun das will nicht heisen, daß kostenlose Angebote generell gefährlich sind. Surfer sollten sogenannte Torrentseiten eher meiden, wie der Teufel das Weihwasser, denn die meisten Angebote dort sind schonmal Raubkopien. Seriöse Anbieter von (mit unter kostenlosen) Filmen, Musikstücken, Bildern, Software etc bieten Downloads (auch über Torrents und Filesharing) zumeist auf ihren eigenen Webseiten an. Filesharing an sich ist entgegen der landläufigen Meinung nicht verboten oder illegal. Es kommt nur auf die Angebote an und wie diese Lizenziert sind. Urheberrechtsgeschützte Werke sollten generell beim Filesharing nicht geladen werden, denn der Computer stellt gleichzeitig das heruntergeladene für andere Nutzer wieder zum download bereit. Es erfolgt also ein Dateitausch mit beliebig vielen anderen Leuten.

Es gibt durchaus Musik, Filme und Bilder, die kostenlos nutzbar sind, die meisten davon stehen unter der Creative Commons Lizenz. Meist stellt der Urheber diese zur nichtkommerziellen Nutzung mit gewissen Einschränkungen frei und kostenlos zur Verfügung. Ähnliches gilt auch für einige Spiele und Software wie den Firefox, OpenOffice und dergleichen. Diese stehen natürlich zur kostenlosen Nutzung bereit. Das ist dann Open Source Software. Hier kann und darf in gewissem Rahmen und unter bestimmten Bedingungen die Suftware kostenlos weiter genutzt werden und verändert werden.

Link

http://www.verbraucherzentrale-sachsen.de/link1134001A.html

Sicherheitsnotiz: WordPress-Plugin Mailpoet erlaubt Angriff auf Webserver

Eine kürzlich entdeckte Sicherheitslücke in dem Plugin MailPoet für WordPress, erlaubt das systematische Kapern von Webservern. Das Anfang Juli veröffentlichte Update sollte also schleunigst nachgerüstet werden, sofern dies noch nicht geschehen ist.

Vor ein paar Tagen entdeckten Sicherheitsforscher eine kritische Schwachstelle in dem Plugin. Die Entwickler reagierten prompt und stellten eine aktualisierte Version des Newsletter-Managementsystems für WordPress zur Verfügung. Betroffen sind allerdings alle Versionen von MailPoet bis inklusive Version 2.6.8. Aktuell trägt MailPoet die Versionsnummer 2.6.9. Alle älteren und kleineren Versionsnummern sind betroffen.

Ein Propgrammierfehler in den alten Versionen erlaubt es, die Uploadfunktion, die nur für Admins gedacht ist, um beliebige Dateien hochzuladen. Das betrifft natürlich auch gefährlichen Quellcode, der so auf den Server gelangen kann. Angreifern ist es so möglich, eine PHP-Datei mit einer Hintertür hochzuladen, mit der man den gesamten Webserver kontrollieren kann. Einige Webhoster wie 1&1 erkennen solcherlei Angriffe und informieren betroffene Kunden.

Die Hintertür wird vor allem genutzt, um Spam-Mails zu versenden. Dazu werden an verschiedenen Stellen Dateien mit manipuliertem PHP-Code versteckt und andere Dateien abgeändert. Die Reinigung eines Systems ist mühselige Arbeit, weil der Code recht durcheinander und nicht leicht aufzuspüren ist. Einen ersten Anhaltspunkt für die weitere Inspektion kann eine Suche nach PHP-Funktionen mit _replace, _decode oder eval im Namen sein. Doch für eine zuverlässige Desinfektion wird das kaum ausreichen.

Pflicht zur End-to-End-Verschlüsselung

Das deutsche Verbraucherschutzministerium will sich in Brüssel für die Verschlüsselung von Nutzerdaten bei Internetdienstanbietern stark machen. Wenn es nach den Staatssekretären geht, so soll eine Ende-zu-Ende-Verschlüsselung in der Grundverordnung für Datenschutz feststehen. Wenn ein Nutzer explizit auf Kryptographie verzichten will, soll auf diese Sicherheitsstandards verzichtet werden.

Bisher bieten nur wenige Anbieter eine komplette Verschlüsselung der Nutzerdaten an. DE-Mail und Mail Made in Germany sind nicht ausreichend geschützt, da die Nutzerdaten nur auf den Transportwegen verschlüsselt sind und auf den Servern ungesichert vorliegen.

Geht es nach den deutschen Verbraucherschützern, muß eine End-to-End-Verschlüsselung gesetzlich festgelegt sein und von Haus aus standardmäßig aktiviert sein. Nur wenn „der wissende Kunde“ auf eine verlässliche Variante der Verschlüsselung verzichten will, so soll das Datenschutzzniveau abgesenkt werden.

Weiterhin soll eine stärkere Überwachung der in Europa agierenden Konzerne festgeschrieben werden. Das soll heißen, daß beispielsweise Datenschutzbehörden sich die Verfahren zur Kryptografie der Banken und anderen Unternehmen wissenschaftlich fundiert und sicher sind.

Fazit

Bleibt abzuwarten, wie die gesetzlichen Regelungen genau aussehen werden und wie diese dann von den einzelnen Unternehmen umgesetzt werden. Open-Source Software bietet durch das Viele-Augen-Prinzip eine erhöhte Sicherheit. Aber in wie fern solche Software eingesetzt wird, steht noch in den Sternen. Eine Ende-zu-Ende-Verschlüsselung funktioniert nur, wenn jeder Nutzer ein Schlüsselpaar aus langen und zufällig generierten Schlüsseln besitzt – einem öffentlichen Schlüssel und einen privaten Schlüssel – wobei der öffentliche Schlüssel zum Verschlüsseln der Mails getauscht wird. Sicher bleibt das ganze nur, wenn jeder Nutzer nur selbst Zugriff auf seinen eigenen geheimen Schlüssel hat, der nicht öffentlich zugänglich auf fremden Servern herumliegt.

Sicherheitsnotiz – Trügerische Mail made in Germany

Mail made in Germany

Mail made in Germany

Zum heutigen Tag soll die Initiative Mail made in Germany der Mail-Provider abgeschlossen sein. Alle Nutzer der deutschen Mail-Dienste Web.de, GMX, Telekom und Freenet versendenihre E-Mails über verschlüsselte Transportwege. Kurzum bedeutet das in der Theorie für die Nutzer folgendes: Die Verbindung zwischen den Computer des Nutzers und einem der oben genannten Provider ist via TLS/SSL verschlüsselt. Weiterhin verschlüsseln die genannten Dienste die Transportwegen zwischen ihren Servern auch via TLS/SSL. Ob andere Mailanbieter eine Verschlüsselung des Transportweges auch annehmen, ist ersteinmal etwas Fragwürdig.

Was bedeutet das für den Kunden? Eine versendete E-Mail kann jetzt nur noch direkt am Server der Provider oder am Computer des Kunden abgefangen und gegebenenfals verändert werden. Die Wege zwischen den einzelnen Stationen sind gesichert. Aber das ganze ist immer noch eine trügerische Sicherheit. Auf den Computern von Sender und Empfänger, aber auch auf den Servern der Mail-Providern (also in den Postämtern) liegen die Mails unverschlüsselt. Bei einem Datenabriff durch kriminelle Elemente oder Geheimdienste sind diese E-Mails immer noch lesbar. Um dem abhilfe zu schaffen, sollten Sender und Empfänger die Mail an ihren Rechnern direkt ver- und Entschlüsseln. Weiterhin können Angreifer die Sende- und Empfängerserver durch Fluten des DNS Caches mit falschen Antworten über eigen Server umleiten. Der Sender hält wegen der falschen DNS-Antwort den Server des Angreifers für das Ziel und gibt ihm Mails preis, die nicht für ihn bestimmt sind.

In eigener Sache – Blogsicherheit trotz Schreibblockade

Durch meinen defekten Laptop – ein neues oder repariertes Gerät ist noch nicht in Sicht – habe ich durch die eingeschränkte Rechnerzeit bei meinem Vater nicht die Zeit meine derzeitigen Ideen für Artikel hier nieder zu schreiben. In den letzten Tagen hat sich die Arbeit am Blog der Medienspürnase zumeist auf die Sicherheitsaktualisierungen von WordPress und den installierten Plug-Ins beschränkt, die ich alle möglichst zeitnah (am Tag des Erscheinens) eingespielt habe. Die Aktualisierungen und Upgrades von WordPress 3.8.1 auf die Versionen 3.8.2, 3.8.3 und 3.9 konnte ich alle mitmachen. Auch die bisher angefallenen Upgrades für Plugins sind alle momentan soweit frisch. Die Seite Medienspürnase bleibt auch weiterhin eine softwareseitig sichere Seite, zu mindestens soweit das in meinem Einfluss liegt.

Eure Medienspürnase

Sicherheitsnotiz – Routercheck von Heise Security

In den letzten Wochen und Monaten kursieren immer mehr Meldungen über unsichere Router-Firmware. Das liegt daran, daß viele Leute ihren Router eher stiefmütterlich behandeln. Läuft er einmal, bekommt er kaum neue Firmwareupdates spendiert. Diese muß man heutzutage in den meisten Fällen noch per Hand einspielen. Entweder man vergisst einen regelmäßigen (manuellen) Check der Herstellerseiten für den Router (was mir manchmal auch so geht), oder man hat einfach schlichtweg keine Ahnung wie das alles alles geht – Firmwareupdate herunterladen, entpacken, im Router einloggen und dort über das Admininterface einspielen.

Andere Software, wie die Betriebssysteme auf Smartphones, im Computer und wo auch immer, sind da Nutzerfreundlicher. Die informieren über Updates und spielen diese auch automatisch, oder nach kurzer Bestätigung des Nutzers ein. Im krassen Gegensatz dazu stehen die Router. Deren Firmware will manuell, oder auf Anstoß des Nutzers installiert werden. Kommt neue Software mit automatischer Updatefunktion für solche Geräte heraus ist es meist schon zu spät für die Vergesslichen oder Ahnungslosen unter uns. Denn die will auch ersteinmal manuell installiert werden – vorrausgesetzt man denkt daran oder hat eine Ahnung davon, welche Handgriffe bei dem eigenen Router anfallen.

Der unten verlinkte Routercheck überprüft, ob irgendwelche Sicherheitslücken im Router aufklaffen. Zumindestens denkt man bei Sicherheitslücken so groß wie offene Scheunentoren daran, die Website des Routerherstellers zu besuchen und auf frische Software zu prüfen. Tun wir uns als Menschen ein Beauty- und Wellnessworchenende an, so benötigen unsere Hausrouter auch etwas Zuwendung in Form einer Frischzellenkur für die Firmware. Pflegen Sie ihren Router gut, er dankt es Ihnen, in dem er keine Kriminellen Elemente, die Ihre persönlichen Bankdaten ausspähen wollen, in Ihr Netzwerk läßt. Folgen Sie einfach den aufgestellten Hinweisschildern zum Routercheck. Es ist ganz leicht und kostet kein Geld. Eine Anleitung zum Firmwareupdate Ihres Routers, finden Sie auf der Herstellerwebsite ihres Routers oder in dessen Handbuch.

Der Wegweiser zum zum Routercheck

Netzwerk- und Routercheck von Heise-Security

Platz in Berlin nach NSA-Direktor Keith Alexander benannt – Für Verdienste um IT-Sicherheit

Überraschter NSA Direx

Überraschter NSA Direx

Berlin – Dem scheidenden Direktor der National Security Agency (NSA) in den Vereinigten Staaten, General Keith Alexander, wird aufgrund seiner Verdienste um öffentliche Bewusstseinsschärfung für IT-Sicherheit eine besondere Ehre zuteil: Ein zentraler Platz in der deutschen Hauptstadt Berlin wird nach ihm benannt.

Das weitläufige, in Berlin-Mitte zwischen Fernsehturm und Elektronikmarkt gelegene Areal trägt ab sofort die Bezeichnung Keith-Alexander-Platz bzw. kurz Alexanderplatz.

Keith Brian Alexander, geboren am 02.12.1951 in Syracuse (New York) ist General der United States Army und seit dem 01.08.2005 Direktor der NSA. Er leitete mit dem US Cyber Command darüber hinaus seit April 2010 in Personalunion ein Funktionalkommando des US Strategic Command. Mediale Bekanntheit erlangte Alexander im Juni 2013 im Zuge der Berichterstattung um die von der NSA unter seiner Leitung initiierten Überwachungsprogramme PRISM und XKeyscore, deren Existenz der Whistleblower Edward Snowden kurz zuvor in der britischen Tageszeitung „The Guardian“ öffentlich gemacht hatte.

Alexander verabschiedet sich in den Ruhestand. Als Nachfolger hat US-Präsident Obama Vizeadmiral Michael Rogers bestimmt.

Für die kostensensible Stadt Berlin handelt es sich bei der Platzbenennung um eine finanziell günstige Maßnahme. Da die entsprechende Beschilderung einschließlich des zugehörigen U-und S-Bahnhofes bereits besteht, ändert sich lediglich die phonetische Aussprache.

Update 2. April 0 Uhr

Nun der Alexanderplatz in Berlin wird natürlich weiter wie gewohnt Alexanderplatz heisen und es wird auch keine Langversion, ausgesprochen im amerikanischen Englisch, geben. Nein das war ein kleiner Witz zum Ersten April diesen Jahres. Auch gibt es keinen Grund Herrn Keith Alexander für sein Verhalten zu ehren. Eins Stimmt aber, Berlin kann momentan alles Geld brauchen, was irgendwo und irgendwie eingespart wurde, um den Flughafen und das Groschen – Pardon – Steuermilliardengrab Berlin Schönefeld endlich einmal fertig zu kriegen.

Zurück zum Seitenanfang