Seit Wochen mahnt die Regensburger Anwaltskanzelei Urmann + Collegen (U+C) massenhaft Nutzer der Streamingseite Redtube ab. Neben saftigen Gebühren, bekommen die Nutzer noch Unterlassungserklärungen zum Unterschreiben zugeschickt.
In der Region Vogtland haben sich in der letzten Zeit über 50 betroffene Besucher der oben genannten Pornoseite bei der Verbraucherzentrale gemeldet um sich beraten zu lassen. Die Dunkelziffer dürfte aber noch etwas höher liegen, denn aus Scham oder Unsicherheit melden sich viele Leute nicht erst und unterschreiben die zugesandten Unterlagen. Laut Angaben der hießigen Verbraucherzentrale sollte man die geforderten Geldbeträge nicht gleich und die Unterlassungserklärung nicht unterschreiben. Weiterhin gilt der Rat vorher erst eine rechtliche Beratung in Anspruch zu nehmen. Rechtliche und anwaltliche Beratungen bieten beispielsweise die Verbraucherzentralen vor Ort. Auf keinen Fall sollten die Abmahngebühren ungeprüft überwiesen werden und die Unterlassungserklärung ohne rechtlichen Rat unterzeichnet werden.
Was ist mit Abmahn-Mails?
Die Abmahnwelle der Regensburger Kanzlei U+C ruft natürlich auch Trittbrettfahrer auf den Plan. In E-Mails drohen sie beliebigen Leuten und mahnen diese im Namen der oben genannten Kanzlei oder anderen Anwälten ab. Den Mails liegt ein Anhang bei, der Rechner mit Trojanern und Maleware infiziert. So können Daten ausgelesen und mißbraucht werden, aber auch Dateien auf dem Rechner zerstört werden, oder der Computer selbst durch Hintertüren gekapert werden. Die Mails können getrost gelöscht werden. Laut der Verbraucherzentrale haben E-Mails keine rechtliche Handhabe vor Gericht, sind also dort bedeutungslos.
Fazit
Was Urmann + Collegen mit Redtube getan haben, war augenscheinlich nur die Spitze des Eisberges. Wegen Streaming abzumahnen steht auch rechtlich gesehen auf wackeligem Fuß. Wer weiß wie lang diese Kanzlei damit durchkommen wird, oder wie die Gerichte in solchen Fällen künftig entscheiden.
Begriffserklärung
Streaming: Diesen Begriff kann man am besten mit einer Sendung oder einem Film im Fernsehen vergleichen. Ein Anbieter von Content (neudeutsch für Inhalt) sendet von irgend einem Punkt der Welt aus einen Film. Dieser wird dann zuhause empfangen und kann direkt während der Sendung angesehen werden. Das geschieht beispielsweise über Satelitt, Kabel oder eben das Internet.
Nur kann man im Internet recht genau bestimmen, wer auf die Inhalte eines Anbieters zugreift, denn jedem DSL-Anschluss wird eine IP-Adresse zugeordnet. Wird diese mit einem Zeitstempel (beispielsweise Zeitpunkt des Zugriffs auf einen Film) versehen, kann man über eine Provideranfrage, die richterlich genehmigt werden muss, den Anschlussbesitzer herausfinden.
Beim Streaming empfängt man nur Daten in Form von Filmen und Musik, man könnte sie wie beim Fernsehen auf dem Computer speichern (neudeutsch für aufnehmen). Streaming bedeutet also gleichzeitiges Senden und Ansehen eines Filmes.
Da liegt der Unterschied zu Peer-to-Peer Tauschbörsen dem Filesharing. Hier lädt man sich Daten aller Art (Musik, Filme, Bilder, Word-Dokumente etc. etc.) auf seinen PC. Diese Daten liegen verteilt bei mehreren anderen Computernutzern auf den Rechnern.
Lädt man sich dort beispielsweise einen Film herunter, kann man diesen nicht gleich ansehen, man muß warten bis er fertig geladen ist. Während der Film vom Internet auf den eigenen PC lädt, werden die empfangenen Bits und Bytes dieses Filmes schon wieder anderen Leuten zur Verfügung gestellt.
Kurz: Man empfängt (Download) und sendet (Upload) zugleich. Hier kommt es ganz auf den Inhalt an. Meist sind Bilder, Filme und Musik urheberrechtlich geschützt. Aber es gibt natürlich auch Musik, Bilder, Software, Filme, die einem Wust an Lizenzen unterliegen, die das freie Tauschen und Bearbeiten erlauben (in engen oder weiteren Schranken). Dazu gehören beispielsweise die Lizenzen der Creative Commons (meist für künstlerische Inhalte) oder die GNU/(L)GPL für Softwarelizenzen (beispielsweise für Linux, Openoffice oder Libreoffice).
Update am 17. Dezember
Beim klassischen Streaming von Filmen und Musik, man kennt es ja von Youtube, werden Daten vom Server auf den Computer übertragen, meist sogar etwas schneller als man sich den Film ansehen kann oder das Musikstück anhören kann. Das nennt man im Fachjargong das sogenannte Buffering (neudeutsch für Puffern oder zwischenspeichern). Das sorgt dafür, daß der Film nicht zwischendurch ruckelt und die Musik nicht aussetzt. Und das sehen die Anwälte als Verfielfältigung.
Beauftragt wurde die regensburger Anwaltskanzle Urmann + Collegen von einer schweizerischen Firma The Archive AG Unterlassungserklärungen in Deutschland zu versenden. Bisher gibt es in Deutschland noch kein Gerichtsurteil, welches das Streamen von Inhalten im Internet verbietet. Auf Europäischer Ebene gibt es eine Richtlinie mit der Nummer 2001/29/EG. Als diese Richtline 2001 beschlossen wurde, gab es das Streaming noch nicht.
Jetzt muß man auf gültige Gerichtsurteile warten, aber es gibt Gerichte, die in dieser Hinsicht ganz unterschiedlich urteilen mögen oder ihre Urteile ganz unterschiedlich begründen.
Seit kurzer Zeit geht eine Phishingwelle um, die sich besonders an WordPress-Administratoren richtet, also jene Leute, die WordPress nur technisch betreuen und jene, die es selbst betreuen und damit Bloggen. Die Phishing Mail soll dazu verleiten, eine kostenlose Pro-Version (Premium) des allseits beliebten All in One SEO Pack zu installieren.
Was ist das All in One SEO Pack? Wozu wird es gnutzt?
Das All in One SEO Pack ist ein Plugin um den Blog durch Seitenbeschreibungen, Tags und Titel (Überschrift) den Blog für Suchmaschinen freundlicher zu gestallten. Dadurch erhöht sich die Chance, bei Google und Co. in der Trefferliste weiter nach vorn zu gelangen. Hiervon gibt es eine kostenlose Version und eine, die man bezahlen muß. Die kostenpflichte Pro-Version umfasst einige Funktionen mehr als die kostenlose. Natürlich ist in der Pro-Version auch besserer Support enthalten.
Was hat es mit der Phihing-Mail nun auf sich?
Die Phishing-Mail bietet WordPress-Administratoren und Bloggern die kostenplfichtige Pro-Version von All in One SEO Pack kostenlos zum Download an. Klackert man auf den Downloadlink in der Mail, so wird man nicht auf die offizielle Plugin-Seite von WordPress geleitet,
http://wordpress.org/plugins/
sondern landet auf einer von Spammern infizierten Seite in Australien oder Brasilien mit den Domainkürzeln *.com *.au oder *.br. Ab hier sollte man bereits das Hirn einschalten und stutzig werden.
Laut der Sicherheitsfirma Sucuri haben bereits einige deren Kunden das Plugin installiert. Und hierbei wird es kriminell. Mit dem Plugin installiert man sich einen Schadcode, der eine Hintertür im Server öffnet und die index.php der betreffenden WordPress-Blogs austauscht. Ab diesem Zeitpunkt ist es möglich, daß Ganoven beliebigen Code in den Blog ihres Opfers einschleusen können, mit dem man die Rechner der Besucher der infizierten Blogseite angreifen kann. Manche Versionen des Schadcodes leiten die Besucher beispielsweise auf Pornoseiten oder andere Server weiter, die weitere Maleware verbreiten.
Fazit
WordPress ist eine beliebte Blogsoftware und daher weit verbreitet. Durch die hohe Verbreitung von WordPress ist es auch ein beliebtes Angriffsziel um Schadcode zu verbreiten oder Spam zu verschicken. Als Blogger der WordPress verwendet oder Administrator für die technische Betreuung für WordPress sollte man dieses natürlich von Anfang an gut absichern. Hierzu findet man im Netz seitenweise Tutorials und How to’s. Auch sollte man Plugins von der offiziellen WordPress-Seite nutzen und nicht irgendwelche dubiosen Angebote aus irgendwelchen Quellen, die mal irgendwer (unbekanntes) per Mail verschickt. Klar können sich auf der Plugin-Seite von WordPress auch dubiose Angebote finden, die Wahrscheinlichkeit ist hier geringer, denn die Community darf hier Bewertungen abgeben und die Zuätzlichen Funktionen auseinandernehmen und überprüfen.
Wie bereits vor einigen Wochen bei dem Javaupdate berichtet, öffnet sich spontan und ungewollt jetzt öfters eine Seite mit einer Warnung, daß eine veraltete Version von Firefox benutzt wird. Dabei wird angezeigt, welche Firefoxversion derzeit verwendet wird (aktuell Firefox 25). Es wird empfohlen den Firefox zu aktualisieren. Es hat alles den Anschein, daß diese fragwürdigen Updates wieder über Banner oder Bannerwerbung verbreitet werden, um ungewollte Toolbars auf den Rechner von Anwendern zu bringen, oder eben Schadsoftware. In der Adressleiste erscheint folgende Seite:
http://www.update-browser.org/Firefox-DE/
Es öffnet sich folgende Website, in der ein Frame mit der Aufforderung zum Aktualisieren des Firefox. Mit einem Klick auf OK muß man das bestätigen. Dann befindet sich eine Art Allgemeine Geschäftsbedingung (AGB) die man aktzeptieren muß. Das Ganze sieht aus wie auf folgendem Bild.
Aufforderung zur Browseraktualisierung
Die Allgemeinen Geschäftrsbedingungen oder in dem Fall die Nutzungsbedingungen enthalten folgenden Wortlaut:
Nutzungsbedingungen
Danke, dass Sie sich entscheiden haben eine kostenlose Software von unseren Servern herunterzuladen. Diese Website wurde entworfen, um einfachen Zugriff auf Downloads zur Verfügung stellen aus einer Vielzahl von nützlicher, kostenloser Open-Source-Software. Wir sind auch Partner mit 3. Parteien, um Symbolleisten und andere Werkzeuge (“Symbolleisten”) zum Download an unsere Nutzer zu bieten. Wir werden die Symbolleisten und andere damit zusammenhängende Dienstleistungen, die wir anbieten als “Dienste”bezeichnen. Wir sind uns bewusst, dass Sie Ihr Vertrauen in uns setzen und unserer Verantwortung zum Schutz Ihrer Privatsphäre. Als Teil dieser Verantwortung bieten wir diese Datenschutzerklärung (“Datenschutzerklärung”) um Sie wissen zu lassen, welche Informationen wir sammeln, wie wir sie verwenden, teilen und schützen.
Ihr Download ist eine Open Source Software unter der GNU General Public License (GPL) lizenziert; unten verfügbar.
Dieses Programm ist kostenlose Software: Sie können sie weitergeben und / oder modifizieren unter den Bedingungen der GNU General Public License, wie von der Free Software Foundation veröffentlicht, entweder Version 3 der Lizenz oder (nach Ihrer Option) jeder späteren Version.
Dieses Programm wird verbreitet in der Hoffnung, dass es nützlich sein wird, aber OHNE IRGENDEINE GARANTIE, sogar ohne die gesetzliche Gewährleistung der GEBRAUCHSTAUGLICHKEIT oder EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Lesen Sie die GNU General Public License für weitere Details.
Laut dem Quellcode wird beim Öffnen der Seite via einem Javascript der verwendete Browser abgefragt und durch das Setzen von bestimmten Variablen in diesem wird dem User vorgegaukelt, man würde eine veraltete Version des verwendeten Browsers verwenden. Aktzeptiert man die Nutzungsbedingungen bekommt man eine Datei namens Updater.exe für den Windows PC. Es ist anzunehmen, daß tatsächlich Toolbars installiert werden, aber es kann durchaus sein, daß auch Schadsoftware auf den Rechner kommt. Ob ein Browser aktuell ist, oder nicht, sagt der Browser selbst. Man muß ihn höflich fragen.
Die aktuelle Version ihres Browsers finden sie beim Firefox in der Hilfe und dem dortigen EintragÜber Firefox. Beim Internetexplorer befindet sich der entsprechende Befehl Info in der Menüleiste unter dem ? (Fragezeichen). Bei Opera befindet sich ein Versionschat in der Hilfe unter Über Opera. Für Chrome befindet sich ein Schraubenschlüsselsymbol rechts neben der Adressleiste. Beim Safari befindet sich neben der Adresszeile ein Zahnrad, auf das klickt man einmal. Ganz unten erscheint ein Eintrag Über Safari.
Safari wird aber leider nicht mehr weiterentwickelt, alle Anderen Browser zeigen Ihnen dort an, ob ein Update fällig ist oder ob die Version gerade aktuell ist. Für Updates des Browsers sollte man sich stets auf die Website des Herstellers begeben und den Browser der Wahl dort laden, oftmals gibt es auch Updatebefehle (bei Firefox ist das so) direkt auf dem Versions-Check des Browsers, der ein Update von dort aus durchführt. Microsoft bringt Updates für den Internet Explorer generell über die Updatefunktion von Windows mit.
Andere Websites bieten beispielsweise den Firefox oder auch den Chrome Browser an. Aber meist sind die dann mit Plugins oder AddOns und lästiger Werbung vollgestopft. Von daher sollte man immer auf die Versionen der Hersteller zurückgreifen und sich dann nach den eigenen Wünschen einstellen.
Cryptolocker hat es in sich. Die Entwickler dieses Trojaners nutzen knallharte Verschlüsselung mit einem 2048bittigem RSA-Schlüssel. Nach der Infektion des PCs läßt sich der Schädlinng von seinem Command-and-Control Server ein RSA-Schlüsselpaar generieren, von dem er sich nur den öffentlichen Schlüssel zuschicken läßt. Mit diesem Schlüssel wird alles, was der Trojaner auf dem PC an Daten findet verschlüsseln. Auch Netzwerkfreigaben sind scheinbar betroffen. Nun wird der Computernutzer erpresst. Für den privaten Schlüssel zur Entschlüsselung der privaten Daten sollen schlappe 300 Dollar berappt werden, zahlbar beispielsweise in Bitcoins und natürlich auch über andere Wege. Zusätzlich wird dem panischen Nutzer noch ein Countdown angezeigt, bei dessen Ablauf der private Key gelöscht wird… als Druckmittel sozusagen. Opfer, die diesen Trojaner bereits entfernt haben, bieten die Entwickler an, den privaten Key über das TOR-Netzwerk zu erwerben. Berichten zu folge werden dort 10 Bitcoins fällig, was beim jetzigen Wechselkurs mehr als 2000 Euro sind. Weiteren berichten zu Folge werden bei beiten Methoden die Daten nicht mehr freigegeben. Deswegen wird abgeraten das Lösegeld für die Daten zu zahlen. Regelmäßige Backups sind daher Pflicht, weil die VBerschlüsselung auf anderem Weg noch nicht umgangen werden kann.
Seit einigen Tagen kursiert eine neue Masche, um den Computer mit Maleware (Schädlingen) zu infizieren. Das geschieht über Bannerwerbung. Geratet ihr auf eine Website, werdet ihr sofort, oder nach kurzer Zeit, auch ohne eigenes Zutun auf eine Seite weitergeleitet, die euch auffordert, ein Java Update mit der Version 7 Update 25 (7u25) herunterzuladen und zu installieren. Aktuell wird Java 7 Update 45 (7u45) ausgeliefert, also Augen auf. Es ist eine Weiterleitung von der eigentlich angesurften Seite und kein Pop-Up, auf eine der beiden folgenden Adressen, die ihr natürlich in der Adresszeile eures Browsers ablesen könnt.
Eine Whoisabfrage hat zu einer Firma mit dem Namen WHOISGUARD INC. in Panama geführt. Betroffen ist Windows ab XP (ich habe von Win XP 32-Bit gelesen) bis hin zu Windows 7 mit dem Browser Firefox, aktuell Versionen 24 und 25 mit aktiviertem Javascript und installiertem Java auf dem Rechner. Vorbeugen kann man augenscheinlich, wenn man Scripte und Javascript deaktiviert oder für den Firefox das Plugin NoScript installiert. Diese Aufforderung zum Java-Update tritt auf verschiedenen Seiten auf, die Bannerwerbung nutzen. Also scheint man damit die Betreiber von Bannerwerbung aufs Kreuz gelegt zu haben, um seine Schädlinge zu verbreiten.
Spamschleudern gibt es heutzutage en masse. Jeder kennt das leidige Problem, daß der Spamordner und auch öfters einmal der normale Posteingang vor lauter Spam-Mails aus allen Nähten quillt. Dennoch ist der Spamschutz heutzutage recht ausgefeilt. Es gibt globale Spamlisten, die jeder Mailbetreiber nutzen kann und jeder Mailprovider wird auch seine eigenen Spamschutzlisten pflegen.
Trotz der ausgefeilten Methoden, lassen sich Spamversender immer neue Ideen einfallen, Mailadressen voll zu spammen. Eine ganz neue Methode ist folgende: Man schickt eine Werbung für irgendein Potenz- oder Hirnmassensteigerndes Produkt, oder auch nur zu einem schnöden Kredit.
Einige Minuten später verschaffen sich die Spammer mit einer zweiten Mail noch einmal nachdrücklich Gehör. In dieser Mail ist die Betreffzeile der vorangegangenen Werbemail vermerkt. Nun wird im Betreff (eventuell auch zusätzlich) im Textkörper darauf hingewiesen, daß man seinen Spamordner einmal prüfen solle und gegebenenfals die Einstellungen des Spamfilters ändern soll. Beispiele dafür können sein: „Falsche Einstellung Ihres Spam Filters“, „Alles angekommen?“ oder auch „Sorry – unser Fehler“
Seit heute ist das neue WordPress mit der Versionsnummer 3.7 verfügbar. Die größte Neuerung ist das automatische Update. Mindestens seit Version 3.0 hat WordPress eine Funktion um ein automatisches Update anzustoßen, wenn denn eine neue WordPressversion verfügbar ist. Nach der offiziellen Ankündigung werden Punkt-Releases (beispielsweise von Version 3.7 auf Version 3.7.1) automatisch abgefragt und installiert. Bei Core-Releases von 3.7 auf 3.8 ist immer noch Handarbeit notwendig.
Bei sogennten Punkt-Releases oder Minor-Releases entsteht somit ein Updatezwang auf die neuere ud somit aktuellere Version, den der User nur mit Frickelarbeit am Quellcode von WordPress beheben kann. Automatische Sicherheitsupdates sind schon vorteilhaft, gehen aber manchmal – gerade bei auftretenden Fehlern (nicht jedes System ist gleich) – zu Lasten des Produktivsystems. Und die meisten Blogs werden doch gleich als Produktivsystem genutzt. Es sollte deswegen vorher beim Betreiber abgefragt werden, ob ein automatisches Update durchgeführt werden sollte um Fehler zu minimieren. Auch Plugins müssen eventuell an neuere Versionen von WordPress erst angepasst werden um auch mit neueren Versionen von WordPress optimal zu laufen.
Jedenfalls bekommt WordPress von mir eine heftige Rüge, weil man in der offiziellen Anwendung nicht erwähnt, wie man diesen Updater abschalten kann. Sicher ein automatisches Update von WordPress ist schon an einigen Stellen recht sinnvoll, da man wichtige Sicherheitsupdates nicht vergisst und einige unerfahrenere Blogger somit an die Hand genommen werden und Gefrickel beim Update zu vermeiden. Aber das ganze geht zu Lasten des Produktivsystems, da sich mit der Automatik Fehler einschleichen können.
Update 27. Oktober 2013 Die Community hat sich etwas einfallen lassen. Ein Plugin, welches das die Zwangsupdatefunktion deaktiviert gibt es mittlerweile auch schon. Das Plugin wurde unter dem grandiosen Namen Disable Automatic Updates auf der offiziellen WordPresseite für Plugins veröffentlicht. Diese neue Funktion richtet sich gerade an technisch weniger versierte Nutzer, die keine Zeit, Lust oder Erfahrung in Scriptsprachen haben und in WordPress selbst keine Änderungen vornehmen wollen. Der Link dazu folgt in der Linkliste wie üblich am Ende des Artikels. Update vom 27. Oktober 2013 Ende
Eine der folgende Codezeilen kann man in die wp-config.php einfügen, um das automatische Update zu deinstallieren. Die kurzen Erklärungen sind grau hinterlegt und auskommentiert. Wichtig sind prinzipiell nur die farbigen Zeilen.
In einer offiziellen Stellungnahme wird folgendes Vorgeschlagen, man beachte aber, daß hiermit vermutlich der gesamte Updater abgeschalten wird und somit auch nicht nach geupdateten Plugins und Themes gesucht wird.
define( 'AUTOMATIC_UPDATER_DISABLED', true );
Um die Verwirrung noch größer zu machen, kann man mit Hilfe der beiden Filter auch den Updater einiges verbieten oder erlauben.
automatic_updater_disabled
auto_update_coreD
Für Bastler gibt es dazu noch einige Optionen in der Datei functions.php zum Ändern, fals ihnen die obigen Möglichkeiten nicht ausreichen:
//Allow auto updates of development releases ie alpha, beta and RC
add_filter( 'allow_dev_auto_core_updates', 'wp_control_dev_auto_updates' );
function wp_control_dev_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
//Allow auto updates of minor releases ie 3.7.1, 3.7.2
add_filter( 'allow_minor_auto_core_updates', 'wp_control_minor_auto_updates' );
function wp_control_minor_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
//Allow auto updates of major releases ie 3.7, 3.8, 3.9
add_filter( 'allow_major_auto_core_updates', 'wp_control_major_auto_updates' );
function wp_control_major_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
// Allow auto theme updates
add_filter( 'auto_update_theme', 'wp_control_theme_auto_updates' );
function function wp_control_theme_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
// Allow auto plugin updates
add_filter( 'auto_update_plugin', 'wp_control_plugin_auto_updates' );
function function wp_control_plugin_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
// Allow auto language updates
add_filter( 'auto_update_translation', 'wp_control_translation_auto_updates' );
function function wp_control_translation_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
Eine weitere wichtige Neuerung ist die Vorschlagfunktion für stärkere Passworter. Denn diese sind immer noch wichtigste Schutz und sollten auch öfters einmal getauscht werden. Es ist schon kurios, daß man das vielen Internetnutzern immer wieder unter die Nase binden muß.
Weiterhin bringt WordPress 3.7 einen Assistenten für die automatische Installation der richtigen Sprachdatei mit. Es gibt Menschen, die das System lieber in ihrer Muttersprache als im englischen Original nutzen wollen.
Ende August schrieb ich über zwei Dungeon Master Clones. Zu einem, den auf Java basierenden Clone, gab es ein paar kleine Startschwierigkeiten auf moderneren Systemen mit zwei Grafikeinheiten (GPU). In mehreren Zuschriften wurde berichtet, daß der Dungeon Master Java (DMJ) Clone nicht startet und daß die benötigte Java Version veraltet und unsicher ist. Eine kleines Workaround gibt es nun an dieser Stelle.
Für Sicherheitsbewußte
Um den Clone lauffähig zu bekommen, benötigt man eine ältere Java Runtime mit der Version 1.14. Das birgt allerdings Sicherheitsrisiken für den eigenen Computer.
Mit Virtualbox und einem Windows der eigenen Wahl kann man schon für Abhilfe sorgen. Virtualbox wird aus dem Internet geladen und installiert, dazu das Extension-Pack. Hat man Virtual-Box installiert, startet man die Virtualisierungssoftware. Man wählt sich ein Windows der Wahl (was man eben als CD/DVD vorliegen hat) und gibt dem Gastrechner noch einen passenden Namen. Im folgendem Fenster gibt man den Hauptspeicher (RAM) an. 2 bis 3 Gigabyte dürften schon ausreichen. Eine Festplatte wird im nächsten Fenster erzeugt und dazu nutzt man das VirtualBox Disk Image (VDI). Im nächsten Schritt wird eine dynamisch alloziierte Festplatte, erzeugt. Das heißt, daß die Datei, die die Festplatte belegt nur soviel Platz auf der Platte unseres Hostrechners verbraucht, wie viel Daten eben da drin gespeichert sind. Im nächsten Fenster brauchen wir nicht viel zu verändern. Wir belassen es bei 25 Gigabyte an Plattenplatz und klackern einfach auf Erzeugen. Nun muß nur noch der Grafikspeicher festgelegt werden und die 3D-Grafikbeschleunigung und 2D Video-Beschleunigung aktiviert werden. Die Häckchen dazu findet man nach einem Klick auf Anzeige.
Als nächstes wird das Installationsmedium, vorzugsweise CD oder DVD ins passende Laufwerk unseres Hostrechners gelegt und in Virtualbox die angelegte Maschine gestartet. Nun kann man getrost sein Windows aufsetzen. Ein neueres Windows (Vista, Win 7 und Win8) bringt von Haus aus die erforderlichen Treiber mit. Ist das gewünschte Windows nun virtuell installiert, startet man es und installiert dort drin Java 1.14 und den Dungeon Master Java Clone. Das Vorgehen dürfte ausreichend Sicherheit mit sich bringen.
Dieses Workaround setzt natürlich eine zweite gültige Windows-Lizenz oder eine Testversion von Windows vorraus.
Für Schnellstarter
Wer seine Windowspartition auf dem hauseigenem Rechner nur zum Zocken und Spielen verwendet und ein weiteres System (beispielsweise Linux) für kritische Arbeiten (zum Beispiel Onlinebanking und Surfen) nutzt, der kann sich überlegen, ob diese oben beschriebene Arbeit überhaupt nötig ist. Ist das genutzte Windows, installiert in einer eigenen Partition oder einem eigenen Gamingrechner kein Produktivsystem, sondern nur zum Spielen gedacht, kann nun abwägen, ob das oben genannte Vorgehen nötig ist. Bei Systemen, die man für die alltägliche Arbeit und den ganz persönlichen Medienkonsum genutzt wird, sollte natürlich die Sicherheit Vorrang haben.
Es sei aber empfohlen, die ganzen Sicherheitsupdates der beiden Systeme und die Virensoftware und Firewall auf den neuesten Stand zu bringen.
Starthilfe bei neuen Rechnern
Bei einer normalen Installation auf dem Rechner gab es Startprobleme. Die Installation verlief zumeist reibungslos, aber das Starten von Dungeon Master Java (DMJ) hakte und hing. Das Spiel wurde schlichtweg nicht geladen.
Was ist passiert? Die meisten neueren Rechner (neuer als 3 Jahre) besitzen zumeist 2 Grafikprozessoren. Einen auf dem Hauptprozessor und einen weiteren auf einer zusätzlichen Grafikkarte. Zumeist betrifft das die Prozessoren der Marken von Intel – Ivy-Bridge, Sandy-Bridge, Haswell und kommende Generationen.
Hier hilft ein einfacher Trick. Die zusätzliche Grafikkarte von AMD oder NVidia wird einfach in der Windows Systemsteuerung und dem Gerätemanager deaktiviert. Bei älteren Hauptprozessoren und solche ohne GPU erübrigt sich das Abschalten der zusätzlichen Grafikkarte.
Wer schonmal den Film Jagd auf roter Oktober gesehen hat kennt das recht berühmte Zitat
Die Schwierigkeit am Katz‘ und Maus-Spiel ist zu wissen wer die Katze ist!
als das amerikanische U-Boot USS Dallas das sowjetische Jagd U-Boot von Kapitän Tupolev mit dessen eigenem Torpedos zerstört. In einem anderen Kontext kann man das Zitat nun doch auch anwenden, beim Enttarnen von betrügerischen Phishing Mails zum Beispiel.
Es gibt doch ein paar Merkmale, an denen man die meist recht gut gemachten Phishing-Mails erkennen kann. Aber man sollte bei Mails immer den gesunden Menschenverstand walten lassen und mit offenen Augen lesen, denn Mailbetrüger machen schon recht geschickt E-Mails nach, wie einige meiner früheren Beiträge zeigten. Mit einigen wenigen Hilfsmitteln kann der ratlose User sich schon weiterhelfen. Mein früherer Chef pflegte immer „Lieber drahtlos als ratlos“ zu sagen.
Merkmale in Text und Schreibweise
Manchmal scheint es, als habe der Betrüger beim Verfassen einer solchen Phishingmail von Duden und Blasen keine Ahnung. Das betrifft die Rechtschreibung, aber auch die Grammatik oder die Kodierung von Sonderzeichen und Umlauten. Oftmals merkt man den Mails an, daß diese mit den Übersetzungstools von Google und co. erstellt wurden. Falsche Ausdrücke, besonders Fachwörter werden im falschen Kontext gebraucht. Die Mails von Unternehmen und Dienstleistern allerdings beinhalten zwar auch den einen oder anderen Fehler, aber die Fehlerquote ist um ein Vielfaches geringer.
Wichtige Daten per Mail?
Gerade wenn wichtige Daten (beispielsweise PINs/TANs oder Kreditkartennummern oder Kontodaten) gefordert werden, oder wenn sich irgendwelche Zahlungsmodalitäten ändern, sollte man schon hellhörig werden. Mails sind im Prinzip nichts anderes als Postkarten, die jeder Provider oder Postbote, der diese weiterleitet, mitlesen kann. Und so verschickt man keine sensiblen Daten. Anderenfals werden Unternehmen und Banken, aber auch Inkassobüros die Infos mindestens als verschlüsselte Mail, aber hauptsächlich per Einschreiben mit der Post versenden. Also stutzig werden, wenn die Bank auf einmal per Mail nach Geheimdaten verlangt.
„Hallo Welt“
Die meisten Unternehmen werden sich eher bemühen, ihre Mails und Newsletter zu personalisieren, also den Empfänger direkt ansprechen. Dazu verwenden die Unternehmen die Namen und Daten, die Sie schon bei der Registrierung angegeben haben. Die Anrede „Sehr geehrte/r Kunde/Kundin“ zeigt, daß der Name nicht vorhanden ist. Vertrauen kommt erst durch Personalisierung, das wissen auch Betrüger. Daher werden Phishingmails mit korrekter Anrede immer häufiger. Diese Daten kommen natürlich dann aus Einbrüchen in die Datenbanken von Unternehmen und Online-Shops, bei denen man schon einmal Waren bezogen hat. Solche Listen mit kompletten Datensätzen werden in Untergrundforen für recht teures Geld gehandelt, für mehr Geld als nur nackte E-Mailadressen.
Spielerische Klickereien
Wirken Anrede und Rechtschreibung authentisch, so macht man sich über eingefügte Buttons und Links her. Profis werden sich von HTML-Mails den Quelltext anschauen wo sie die Links hinter den Buttons besser lesen können. Aber keine Bange, es geht noch etwas einfacher. Man bewege seinen Mauszeiger einfach auf die entsprechenden Buttons oder Links und nun wird die URL in der Statusleiste des verwendeten Browsers oder Mailprogrammes ankommen. Meist sollte doch eine Mail von der Postbank, PayPal oder der INGDiBA auf URLs wie
http://diba.de
oder
http://postbank.de
verweisen. Kommen allerdings seltsame und lange URLs wie
http://britih.com/-vti-bin usw.usw.
heraus ist das ein Merkmal, daß da etwas nicht stimmt. Mir selbst ist da auch schonmal die URL
http://paypal5.net
untergekommen. Meistens arbeiten die Phishingmails mit einem gewissen Druck, beispielsweise sollen Anwalts- und Inkassobüros eingeschaltet werden, wenn keine Zahlung kommt, oder man brauche Geld weil irgendwelche Schwierigkeitren vorliegen, oder es werden Kontosperrungen angedroht. Die Möglichkeiten sind da vielfältig. Hier gilt es dann Ruhe und einen kühlen Kopf zu bewahren. Große Unternehmen und Banken verschicken Mahnungen meist per Einschreiben mit der Post oder einem anderen Brief- und Paketdienst und setzen zumeist angemessene Fristen bis zu einem bestimmten Datum.
Manchmal sind Betrüger so dreist, daß man die Domains von Banken mit sogenannten Subdomains fälschen will. Das ganze sieht dann beispielsweise so aus:
http://ing-diba.de.ht/webkunden
oder
http://verifysparkasse.webs.com
. In den genanten Beispielen wären die Domains
webs.com
und
de.ht
Meist sind auch echte Domains und URLs nicht einfach zu erkennen. Aber viele URLs bestehen aus zwei Hauptteilen:
http://sparkasse.de
wobei das .de Das Länderkürzel ist und
sparkasse.de
die Domain ist und das ist meist der Vordere Teil der URL. Backslashes / dienen in einer URL meist als Trennung für weitere Pfad- und Dateiangaben in die Tiefe eines Servers, der im Prinzip mit genau solchen Ordnern und Dateien arbeitet wie ihr Computer daheim. Wer Zweifel an der Echtheit einer Domain hat, der kann mit dem Tool Whois weitere Recherchen anstoßen und damit ganz einfach die Hintermänner einer mysteriösen Domain ausfindig zumachen. Am Ende des Artikels verlinke ich natürlich wieder auf die verwendeten und genannten Tools.
Können Sie Gedanken lesen?
Um weitere aufschlussreiche Informationen zu bekommen, kann man einer Mail in den Header (Kopf) gucken. Dort stehen die Verbindungsdaten der Mail drinnen. Diese geben Auskunft von wo sie stammen, welchen Weg sie durchs Internet direkt in Ihr Postfach genommen haben und zu welchem Empfänger sie unterwegs waren. Das sind die sogenannten Meta-Daten, und auf diese sind aktuell so einige Regierungen und Geheimdienste scharf.
Und diese Verbindungsdaten kann man mit ein paar kleinen Mausklicks herausfinden. Allerdings läßt sich die Absenderadresse recht einfach fälschen, von daher gibt diese Info nicht viel her. Schwerer zu fälschen sind die Informationen, über welche Server die Mail gegangen ist.
Aber nun ganz von vorn. Wie komme ich an diese Daten heran? Thunderbird verbirgt einen Befehl im, Menü Ansicht–>Kopfzeile–>Alle, Outlook befindet sich die Kopfzeile der geöffneten Mail unter Ansicht–>Optionen–>Nachrichtenoptionen. Bei den Webmailern GMX und Web.de bekommt man die gewünschten Infos über das kleine i neben der Datumsanzeige. Yahoo zeigt den Header, wenn in den Aktionen den gesamten Kopfbereich anwählt. Original anzeigen ist bei Gmail der richtige Weg zu diesen Infos.
Was steht denn nun drin in dem Header?
Eine Received Zeile hat folgende Form:
Received from smtp-out-127-10.amazon.com...
[176.32.127.10]...
by mx.google.com...
for < ...@gmail.com>
Ultrace erkennt die im Beispiel verwendete IP Adresse
Der Server der die Mail versendet steht hinter dem Attruibut from und by zeigt uns den Server an, der die Mail empfangen hat. Hat man nun in der betreffenden Zeile den Server des eigenen Providers (GMX, Web.de, Google, T-Online oder Yahoo) gefunden, kann man diesen Informationen trauen, wenn der Provider sagt, daß die Mail beispielsweise von Amazon.com ist. Ist die Sachlage nicht ganz so klar, weil die Sendeadresse vielleicht gefälscht ist, gibt es ein kostenloses Tool mit dem Namen Utrace. Dieser Dienst sucht eine IP Adresse und die dazugehörende Region, wo diese derzeit registriert ist. Und diese sieht man auf der Weltkarte von Google-Maps, wo sich denn die Adresse befindet. In meinem Beispiel von oben, wurde die IP Adresse 176.32.127.10 bei Utrace angebenen und mir wurde von diesem Dienst der Sitz Amazons in Irland gezeigt dazu noch der Firmenname.
Bei Amazon weiß man, daß dieses Unternehmen auch Standorte in Irland betreibt. Würde die Adresse irgendwo auf einen Ort nahe Hintertupfingens zeigen, kann man davon ausgehen, daß diese Mail dann doch unlautere Absichten verfolgt. Ist dem so, hat dann kein richtiger Server die Mail im Postfach abgegeben, sondern irgendein mit Schädlingen verseuchter Zombie-PC aus Hintertupfingen, der Teil eines Bot-Netzes ist. Die PCs in solchen Botnetzen bekommen dann eine Mailvorlage und eine Liste mit einer Menge gesammelter potentieller Mail-Adressen, vielleicht dazu noch Namen und dergleichen. An diese Mail-Adressen werdenn dann so lang E-Mails an, bis das Botnetz auffliegt oder der betreffende PC von Schädlingen gereinigt wird. Phishingmails kommen auch von vielen Freemailern, bei denen sich die Phisher viele Accounts, zu dem Zweck möglichst viel Spam zu versenden, anlegen. Das geht so lang, bis die Accounts vom Provider gesperrt werden.
Nimm die Lupe und gehe nun in die freie Wildbahn
HTTPS Zertifikat der Postbank
Mit den oben genannten Methoden hat man die Mails nun doch schon recht gut beschaut. Sind dabei keine verwertbaren Infos herausgekommen, kann man sich den Links zuwenden, fals man sich nicht ganz sicher ist. Dazu brauchts ein gut gesichertes Betriebssystem mit aktuellen Updates, einer guten Virensoftware und für den Browser eine Sandbox. Besser ist es, wenn man sich ein Live-Linux herunterlädt, auf eine CD/DVD bannt und es von nur von dort startet, damit eventuelle Schädlinge keine Chance haben sich auf dem System einzunisten. Bei zweifelhaften Mails kann man noch 2 bis 3 Tage warten, dann kann der Virenwächter sicherer gegen eventuell verseuchte Inhalte vorgehen.
Der erste Blick sollte dann doch einmal auf die Adresszeile oben im Browser gerichtet werden. Ist die Seite der Bank verschlüsselt? Wie sieht die URL aus? Stimmt das Design mit dem Design des Webauftritts der Hausbank überein? Stellt man Fehlerhafte Rechtschreibung und Grammatik fest? Stimmt das HTTPS Zertifikat? Um das zu überprüfen klickt man auf das grüne Schloss. Dort kann man nachlesen, für welchen Anbieter das Zertifikat von wem ausgestellt wurde. Meist stehen in dem Zertifikat noch die Adressdaten beispielsweise der Hausbank drin. Je nach Browser sind dann auch Teile der Adresszeile grün hinterlegt.
Achtung Mailanhänge
Besondere Gefahr geht von Mailanhängen aus, in denen Rechnungen, Mahnungen und dergleichen enthalten sein sollen. Häufig holt man sich ein Trojaner, ein Spionageprogramm, auf seinen Rechner, wenn man diesen Anhang dann doch öffnet. Besteht ein Verdachtsmoment am Absender der Mail heißt es am besten: Finger weg davon! Ausführende Dateien (Endungen auf *.bat, *.exe, *.com, *.dat, *.js, *.cmd, *.jar, *.vbs und so weiter) sind besonders gefährlich. Hier installiert man sich schnell einen Schädling, der gerne mal noch andere Schädlinge aus dem Netz nachlädt. Aber auch Vorsicht bei *.zip und *.rar Dateien, allgemein bei Archivdateien. Diese enthalten gerne statt der versprochenen Rechnung als PDF eine ausführbare Datei. Kriminelle können sogar ihre Schädlinge als Word-, Excel- oder PDF Dokument maskieren. In Office Dateien werden häufig Makros eingebaut, das sind gewissermaßen Automatismen für Routineaufgaben in den allermeisten Dokumenten. Aber diese Makros können auch gefährlichen Inhalt auf den PC laden, wenn sie ausgeführt werden.
Noch gefährlicher sind Dateien mit sogenannten „doppelten Dateiendungen“ wie Rechnung.pdf.exe . Alle gängigen Betriebssysteme haben die Möglichkeit Dateiendungen einzublenden, bei Windows sind die per Standardausgeblendet. Aktivieren kann man das in den Ordneroptionen im Reiter Ansicht – in dem man den Haken bei „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernt. Diese Einstellung ist bei Windows global und wirkt sich auf jeden Ordner aus. Jetzt wird jede Datei mit der Endung (ob doppelt oder nicht) angezeigt.
Ein Telefonanruf genügt
Reißen doch alle Stränge und es besteht ein Verdachtsmoment, sollte man sich doch bei dem Versender der Mail erkundigen. Nein… man nimmt dazu nicht die Telefonnummern, die in der Mail stehen, die können gefälscht sein. Ausgefuchste Cyberkriminelle betreiben irgendwo auf der Welt, aber auch in Deutschland eigene Callcenter und kassieren zusätzlich mit horrenden Telefonpreisen ab. Dazu geht man auf den Webauftritt der Bank oder des Webshops, dort sind im Impressum Kontaktdaten, wie Telefonnummern und dergleichen hinterlegt. Machen Sie sich die Mühe und fragen dort nach, auch wenn man ein wenig in der Warteschleife feststeckt oder das Telefonat ein paar Cent kosten sollte.
Meist wird man von den Phishern per Mail oder sozialem Netzwerk gedrängt, schnell mal Geld zu überweisen, irgendwelche Geheimdaten zu ändern oder das Konto zu verifizieren und zu bestätigen. Seriöse Unternehmen setzen meist angemessene Fristen, beispielsweise 10 oder 14 Tage nach Erhalt der Post ohne sofort Druck auszuüben und Forderungen zu stellen. Oftmals geschehen solche Dinge noch über den guten alten Postweg. Also lassen Sie sich Zeit und prüfen Sie ihre Post sorgfältig. Auch ein Gang zur nächsten Filiale Ihrer Bank, kann so manches Problem der Bank mit Ihnen aufklären
Fazit
Gehen sie mit ein bisschen gesundem Menschenverstand an eine zweifelhafte Mail heran, betrachten Sie diese Mail von vorn bis hinten von links nach rechts und auch umgekehrt wenn es denn sein muß. Tips zum Vorbeugen von Irrtümern sind hier gegeben. Werden Sie im Film von der Maus zur Katze, in dem Sie den Betrügern nicht auf den Leim gehen. Und lieber Leser… Geben sie mir ein Ping!
Security Spezialisten der der Firma RSA haben erstmals in freier Wildbahn einen Trojaner für Linux entdeckt. Der Trojaner mit dem grandiosen Namen Hand of Thief öffnet, sobald er installiert ist eine Backdoor auf dem Linux-Computer, über diese Formulareingaben im Browser übermittelt werden kann.
Die professionllen russischen Entwickler verlangen auf dem Schwarzmarkt für den Schädling um die 2000 US-Dollar, das sind umgerechnet schlappe 1500 Euronen. Der Trojaner soll auf 15 verbreiteten Distributionen laufen können, darunter Ubuntu und Debian, davon auch Derivate und Fedora. Befallene Browser sind Firefox/Iceweasle und Chromium.
Eine Ansteckungsgefahr ist recht gering, der Trojaner kann das System nur über ein zu installierendes Paket oder durch das Öffnen eines infizierten Mailanhangs gestartet werden. Sicherheitslücken im System werden nicht ausgenutzt, der Anwender muss den Trojaner per Mausklick installieren, damit er aktiv wird.
Seit ein paar Tagen werben drei große Mailanbieter aus Deutschland mit sicheren Mailverschlüsselung unter dem Namen Mail Made in Germany. Doch was nützt dieses Verfahren dem Endkunden wirklich? Hilft es gegen die Spionage durch BND, NSA und andere Geheimdienste?
Erst einmal zu Mail Made in Germany. GMX, Web.de und die deutsche Telekom werben neuerdings mit einer Technologie, die seit gut 2 Jahrzehnten bekannt ist. Diese Technologie heißt SSL/TLS und soll den Mailverkehr zwischen dem Absender, dem Mailprovider (hier GMX, Web.de und Telekom) verschlüssen.
Was soll dabei passieren?
Der Absender einer E-Mail loggt sich mit seinem Mailprogramm, beispielsweise Outlook oder Thunderbird oder mit seinem Browser in sein Postfach bei einem der drei genannten Anbieter ein. Dieses Postfach liegt auf einem großen Server, der die abgesendeten E-Mails entgegennimmt und an die Empfänger ausliefert.
Vergleichen wir das ganze mit einem anderen Konzept, der deutschen Post. Vereinfacht dargestellt ist eine E-Mail eine Postkarte, jeder, der die Karte in der Hand hat, kann lesen was drauf steht. Diese Postkarte schafft der Absender zur Post, die diese entgegen nimmt und dann zum Empfänger ausliefert.
Hat sich der Briefeschreiber mit seinem Browser oder Mailprogramm bei seinem Postfach angemeldet kann er schon mit dem Schreiben seiner Mail loslegen. In der Regel geschieht das noch auf dem Rechner desjenigen, der die Mail verfasst.
Klickt er auf den Knopf mit der Aufschrift Versenden, wird die E-Mail, also unsere Urlaubspostkarte, dem Mailprovider, wie die Postkarte der Post, übergeben. Nun kann aber auf dem Weg zwischen dem Computer unseres Briefe schreibenden Absenders und dem Server des Mailproviders so allerhand passieren. Jemand kann die Mail abfangen, lesen und verändern, das geht aber bereits erst mit einigem technischen Aufwand. Und da greift jetzt SSL/TLS.
Auf dem Weg zwischen Absender und Mailprovider, bzw auf dem Weg zwischen Mailprovider und Empfänger wird unsere elektronische Postkarte verschlüsselt. Nun wird es schwieriger die Mail zwischen den einzelnen Stationen zu entführen und zu verändern oder auch nur zu lesen. Eine Mail gelangt meist über mehrere Stationen vom Absender zum Empfänger. Der Absender übergibt die Mail an einen Server seines Mailproviders. Der Absenderserver sucht in einem Register wo denn der Empfänger gemeldet ist und übergibt die Mail dann an den Server des Mailproviders wo der Empfänger eingetragen ist, also wo er sein Postfach hat. Dieser Server legt dann die Mail in das Postfach des Empfängers. Also kommen auf dem Weg der Mail vom Absender zum Empfänger mindestens noch zwei Stationen dazu, in der Praxis kann das aber noch mehr werden, wenn die Mail noch durch verschiedene Netze geroutet werden muss.
Was hat der Kunde von dieser Verschlüssselung?
Mit dieser Technologie werben jetzt Web.de, GMX und die Telekom. SSL/TLS ist schon fast zwanzig Jahre alt, wurde aber in den letzten Jahren, was die Kommunikation via E-Mail anbetrifft, nie wirklich genutzt. Jetzt führen genannte Provider diese Sicherheit ein und bewerben es für den Laien als die ultimative und neueste Sicherheit gegen Prism, Tempora und co.
Für den Endkunden bedeutet es nur, daß der Weg zwischen Absender und Mailserver beziehungsweise zwischen Mailserver und Empfänger und zwischen den einzelnen Mailservern gesichert ist. Ob die Mails selbst auf den Mailservern noch verschlüsselt sind, wird verschwiegen.
In den Enthüllungen von Edward Snowden wurde, laut verschiedensten Meldungen in den Medien, auch behauptet, daß diverse Diensteanbieter in der Kommunikationsbranche, vorrangig in England, dazu verdonnert wurden, an an ihren Servern sogenannte Abhörschnittstellen zu installieren. Ob und in wie weit soetwas in Deutschland passiert ist derzeit noch unklar. Durch solche Berichte wird jedenfals das Vertrauen in Diensteanbieter grundlegend erschüttert. Ob das auch noch andere Dienste betrifft, ist derzeit unklar.
Fazit
Die Ideen der deutschen Mailprovider sind ein schwacher Anfang in die richtige Richtung, klingen aber vor dem Hintergrund der Spähgaffäre insgesamt wie Hohn. In den letzten Jahren kam von keiner Stelle aus eine richtige Initiative, die dem Otto-Normal-Endkunden praktikable und verständliche Lösungen angeboten haben, seine Daten sicher und für andere unleserlich über das Internet zu versenden. Momentan muß jeder Endkunde sich vor Augen halten, daß eine E-Mail nichts anderes ist als eine Postkarte, die jeder lesen, verändern und kopieren kann. Von den Mailprovidern müssen langsam praktikable Lösungen für alle kommen, denn sonst bleibt Verschlüsselung nur denjenigen vorbehalten, die sich tiefer mit der Materie auskennen. Durch diesen Ansatz kann man den drei Mailprovidern Telekom, GMX und WEB.de nicht wirklich hundertprozentig vertrauen, denn eine Mail ist wirklich erst sicher, wenn man diese mit PGP oder S/Mime verschlüsselt versenden kann. Die alleinige verbarrikadierte Verbindungen zwischen den einzelnen Sendestationen reicht nicht aus, die Mails müssen auch weiterhin auf den Servern der Provider verschlüsselt bleiben das ist nur durch PGP erreichbar. Es muss also ein komplettes Umdenken in der Kommunikationsbranche her, sonst hat jeder Nerd seine eigene Insellösung und die restlichen 90 Prozent der breiten Masse mailen noch ungesichert und für jeden Geheimdienst gut mitlesbar. Zumindestens sind gut gesicherte Mails für einige Zeit vor unbefugtem Zugriff sicher, solang bis die Geheimdienste auf schiere Rechenpower und geknackte Schlüssel zurückgreifen können.
Tip
Jedes Jahr auf der CeBit in Hannover ist der Heise-Verlag vertreten und seit einigen Jahren kann sich jeder dort gegen Vorlage eines Ausweises und seinen Mailadressen Schlüssel und Zertifikate für das Versenden seiner Mails erstellen lassen.
Der Heise-Zeitschriften-Verlag hat gestern ein neues Sonderheft der c’t herausgebracht. In der aktuellen Ausgabe der c’t Security widmen sich die Redakteure den aktuellen Schlagzeilen um Prism, Tempora und co bzw. wie man sich doch ein bisschen Privatsphäre im Internet bewahren kann. Das Heft soll mit zahlreichen Tips und Tricks ausgestattet sein, um sicher durchs Internet zu kommen ohne viele Spuren zu hinterlassen. Wie man beispielsweise Anonymisierungsdienste nutzt, wird im vorliegenden Heft beschrieben.
Als Dreingaben sind die vom Heise-Verlag zusammengestellten Linuxdistributionenen Surfix, Bankix und Desinfect auf einer Heft-DVD dabei. Diese Programmbundles sichern auf Basis eines aktuellen Ubuntu ihre Bankgeschäfte via Homebanking, das Surfen im Internet und ihren Rechner bei Virenbefall.
Weitere Themen sind laut Heise-Verlag:
Windows-8-Sicherheit, unter anderem mit Virenscannertest
Mobil surfen: Smartphones absichern, Apps überwachen
Risiken beim Hotspot-Surfen minimieren
Kinder schützen am PC, Tablet und Smartphone
Die Tools der Passwortknacker, Rezepte gegen Identitätsdiebstahl
Verschlüsselung für Mail und Cloud-Daten
Spurensuche auf Festplatten, Schädlinge sezieren
Das Sonderheft gibts als 170 Seiten starkes Magazin für 9,90 Euro. Bis 29.9.2013 wird innerhalb Deutschlands, Österreich und der Schweiz portofrei geliefert. Für 8,99 Euro das Heft als Download als ePaper Version (PDF).
Das Heft wurde von mir gestern, am 24. Juli 2013, online im Heiseshop gegen 10 Uhr Vormittags bestellt und via PayPal bezahlt. Heute vormittag brachte die freundliche Postbotin dieses Magazin schon gegen 11 Uhr. Die c’t security war in eine dünne Folie eingeschweißt und wieß bei Erhalt absolut keine Mängel auf. Die mitgelieferte DVD war nicht zerkratzt und optisch soweit in Ordnung, daß sie auch fehlerfrei startete. Lieferung und Qualität sind beim Heise-Verlag also Top.
Der Inhalt ist recht übersichtlich gegliedert. Artikel, Reportagen, Know-How und Praxisanleitungen entstammen aus allen c’t-Heften von circa zwei Jahren, seit der letzten c’t security. Dieses Sonderheft ist für alle c’t-Leser mit umfangreicher Zeitschriftensammlung ein Muss, denn es bietet sämtliche Artikel zu Securityproblemen aus mehreren Jahren der c’t. Das will heißen, mit jenem Heft muss man nicht mehr großartig in alten Heften stöbern, um einen bestimmten Artikel zu finden.
Am Wochenende wurde WordPress 3.5.2 veröffentlicht. Die Entwickler raten zu einem schnellen Update auf die aktuelle Version. Mit der neuen WordPressversion wurden 12 kritische Sicherheitslücken geschlossen, die unter anderem Cross-Site-Scripting(XSS), Server-Side-Request-Forgery- (SSRF) und Denial-of-Service-Attacken (DoS) ermöglichen.
Für die Version 3.6 ist die Beta-Version 4 herausgekommen. Die sollte natürlich auch eingespielt werden. Hier werden die gleichen Lücken gefixt.
Die Schwachstellen wurden direkt von Nutzern aufgedeckt und direkt an das Entwicklerteam weitergeleitet und nicht im Internet veröffentlicht. Dieses Vorgehen wurde Seitens der Entwickler gelobt.
Die Redmonder ziehen einige Einschränkungen für die aktuelle XBox One zurück. Dem roten Stift zum Opfer fielen der Onlinezwang und die Verknüpfung von Spielediscs mit dem eigenen Nutzerkonto.
Warum eigentlich dieser Rückzieher? Die Ankündigung von Onlinezwang und Bindung von Spielen an einen einzelnen Nutzer hat unter der Spielergemeinde für großen Unmut und einen Sturm der Entrüstung gesorgt, was die Zahl der Vorbestellungen für den Konkurrenten aus Japan, der Playstation 4 von Sony, in die Höhe schnellen lies. Mit dem Onlinezwang wollte Microsoft den Weiterverkauf von Gebrauchtspielen unterbinden.
Weiterhin wurde die XBox One vom Bundesbeauftragten für Datenschutz, Peter Schaar, als Überwachungsgerät bezeichnet. Warum? Die XBox One benötigt ständigen Kontakt mit Kinect, einer 3D-Kamera mit Infrarotssensor und Mikrophon für Spracherkennung. Eines der Features, die diese Kombination mit sich bringt, ist das An- und Ausschalten der XBox und der Steuerung des Gerätes. Aber das läßt sich auch Mißbrauchen, da Kinect ständig im Hintergrund mindestens auf Standby mitläuft, aber auch beim Spielen und Fimlegucken über die Konsole. So kann beispielsweise Microsoft über eine Internetverbindung sehen, was gerade mit der Konsole angestellt wird und über Gesichtserkennung auswerten, ob es dem Nutzer gefällt oder wie er sich im allgemeinen verhält. Weil die Kinect auch im Standby funktioniert (Sprachsteuerung für das Anstellen der Konsole) kann Microsoft natürlich auch ins Wohn- oder Kinderzimmer lauschen, auch wenn die XBox augenscheinlich ausgeschaltet ist. Möglich ist auch, daß Dritte über Internet sich Zugriff auf das Gerät verschaffen können und faktisch das nutzen, was Microsoft auch nutzen wollte.
Heute habe ich wieder einmal eine recht täuschend ähnliche E-Mail erhalten. Angeblich wolle Amazon die Sicherheit des Zahlsystems für Kunden und Händler erhöhen und fordert die Nutzer auf, innerhalb von 8 Tagen einen Link zu öffnen und dort die Anschrift und die verwendeten Kreditkartendaten einzugeben. Ansonsten würde der Zugang zum Konto unwiderruflich gesperrt. Die Mail kommt von datenabgleich@amazon-presse.de. Nur wird Amazon sie niemals per Mail auffordern irgendwelche Kartendaten per Webformular zu verifizieren.
Erhält man solche Mails kann man diese vertrauensvoll an stop-spoofing[add]amazon.com schicken. (das [add] ist durch ein @ zu ersetzen)
Folgenden Inhalt hat die Mail:
Sehr geehrter Amazon Kunde,
Sicherheit hat für Amazon.de höchste Priorität. Wir sorgen für ein sicheres Zahlungssystem, schützen Karteninhaber, Händler,unsere Mitglieder sowie Unternehmen und tragen zum Wachstum bei.
Amazon.de Datenabgleich (Verifizierungsvorgang)
Bitte beachten Sie folgende Hinweise:
Aufgrund sicherheitstechnischen Mängeln bei Online-Anbieter sind wir gezwungen, mit unseren Kunden einen Datenabgleich durchzuführen.
Sollten Sie eine Visa, Master oder AmericanExpress-Card besitzen, bitten wie Sie eine
Adress- und Kartenverifizierung durchzuführen um eine Account/ Kartensperre zu verhindern.
Bitte führen Sie Ihren Datenabgleich baldmöglichst aus. Sollten Sie nicht innerhalb der nächsten 8 Tage Ihren Datenabgleich ausführen, sperrt unser System automatisch Ihren Amazon-Zugang unwiederuflich.
Achtung: Eine Reaktivierung Ihres Amazon.de Kontos ist in diesem Fall nichtmehr möglich!
Klicken Sie hier oder öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie „öffnen mit“ aus.
Füllen Sie alle Daten aus und klicken Sie dann auf „Verifizieren“.
Nach überprüfung Ihrer Daten erhalten Sie eine gesonderte Email zur bestätigung.
Folgt man den Anweisungen, öffnet sich ein HTML-Dokument, welches der Mail beiliegt. Dort wird man aufgefordert seine Wohnanschrift und Kreditkartennummern zu hinterlegen. Klickert man auf Verifizieren, dann gehts ab zu einem Datensammler, der die Kreditkartennummern und Anschriften für seine Zwecke verwenden wird. Falsche Weiterleitung
Laut der aktuellen Ausgabe der c’t (Seite 50 Ausgabe 12 Jahr 2013) lädt der BKA Trojaner, nach dem man sich diesen eingefangen, hat kinderpornographische Inhalte aus dem Internet. Der Schädling riegelt den Rechner ab und behauptet, daß der Nutzer bei der Wiedergabe von pornographischen Material mit Minderjährigen ertappt wurde. Dabei werden mehrere solcher Fotos angezeigt um den Nutzer zu schockieren, die zuvor aus dem Netz geladen und auf der Festplatte deponiert werden.
Jetzt muß der Nutzer peinlichst darauf achten, daß nicht nur der Schädling entfernt wird, sondern auch belastendes Material. Avira und Norton erkennen die Bilddateien bereits als Maleware.
Webhoster berichten zur Zeit über eine massive Botnetzattacke gegen WordPress-Installationen, die gestern weltweit lief. Man habe Zugriffe von ca Neunzigtausend IP-Adressen gezählt. Das Ziel der Attacke war es anscheinend, das Administrationskennwort durch eine massive Bruteforce-Attacke zu ermitteln und eine Hintertür auf dem betroffenen System zu installieren. Es gibt Spekulationen, daß auf diese Weise ein viel größeres und schlagkräftigeres Botnet entstehen könnte, mit etlichen leistungsfähigen Servern, die mehr Rechenleistung und Bandbreite ins Internet besitzen, als ein Endbenutzer PC daheim. Dem Sucuri-Cheftechniker Daniel Cid zufolge sei auf den befallenen WordPress-Installationen unter anderem das Exploit-Werkzeug Blackhole eingeschleust worden.
Nutzer von WordPress wird daher angeraten das Passwort zu wechseln und dazu eine Kombination von mindestens 8 Zeichen – Ziffern, Buchstaben (groß und Klein), sowie Sonderzeichen – zu verwenden und keine Einträge aus Wörterbüchern. Das Administratorkonto sollte auch nicht den voreingestellten Namen admin nutzen. 1 & 1 empfiehlt seinen Kunden, in der Datei .htaccess ein weiteres, vom Administrationszugang abweichendes Passwort zu setzen. Als weitere Abwehrmaßnahme kann man die Zahl der Anmeldeversuche einschränken, das geht mit dem WordPress Plugin Limit-Login-Attemps. Es hilft auch schon gewisse IP Adressen mit WP-Ban zu blockieren. Mit Askapache-Passwort-Protect kann man die genutzten Passwörter sichern. Die Links zu den Plugins findet ihr am Ende des Artikels.
Ist der Angriff erfolgreich, so wird ein weiteres Administratorkonto auf dem betreffenden WordPress-Blog angelegt. Das heißt, daß alle unbekannten Administratoren zeitnah entfernt werden sollen. Alle andere Administratoren sollten ihr Passwort mit der oben genannten Methode stärken. Weiterhin bietet es sich an, jeden Blogartikel mit einem Kürzel zu signieren, welches keinem Nutzernamen entspricht.
Links mit weiterführenden Infos und allgemeinen Sicherungsmaßnahmen
Heute kam bei mir eine E-Mail von Amazon ins Postfach geflattert mit folgendem Inhalt:
Betreff: Bestellung Storniert
Sehr geehrter Kunde,
leider müssen wir Ihnen mitteilen, dass fremde auf Ihr
Amazon Konto zugriff beschaffen konnten.
Die Bestellungen die von Ihrem Amazon Konto an folgende Adresse:
Markus Braun
Ludwig-BeckstraЯe 32
37933 Göttingen
getätigt wurde, haben wir soeben annulliert.
Wir bitten Sie daher, Ihr Kundenkonto schnell zu kontrollieren
und weitere Fehler dem Service Team zu melden.
Öffnen sie dazu bitte den angegebenen Link und befolgen sie die Anweisungen:
HIER KLICKEN
Wir entschuldigen uns für dadurch entstandene Schwierigkeiten und Bitten Sie
um Verständniss.
Ihr Amazon Kunden-Support.
Diese Mail mit dem oder Mails mit ähnlichem Inhalt sind eine Fälschung. Wie ist das als Fälschung zu erkennen? Nun erstmal am Absender der da lautet: noreply@netlogmail.com. Mails von Amazon haben meist die Domains Amazon.com, Amazon.de, Amazon.uk hinter dem @-Zeichen.
Klickt man auf Hier Klicken wird man zu einer Eingabeseite von Amazon geleitet, wo man seine Daten zur Adresse und zu Zahlungsarten ändern soll. (zur Vergrößerung bitte auf das Bild klicken)
Falsche Verifizierungsseite
Gibt man dort seine Daten ein, werden diese zwar zu Amazon geleitet, aber im Hintergrund werden diese noch ein zweites mal mit gespeichert und die Betrüger können dann mit den Daten auf Ihre Kosten einkaufen. Hinter dem Button Hier Klicken steckt folgender Eintrag: [http : //amz-kdm . biz].
Die kompromitierte Seite erkennt man an folgendem Link in der Adresszeile seines Lieblingsbrowsers (Klick auf das Bild zum Vergrößern):
Amazon falscher Link
Sollte man sich dennoch auf diese Seite verirren, erkennt ein aktueller Browser (bei mir war es Firefox 19.02) daß hinter dieser Seite ein Betrüger steckt, aber man sollte sich nicht darauf verlassen, daß diese Seite überall gelistet ist.
Man kann die Mail durchaus in seinem normalen Posteingangsordner bekommen, so wie es mir heute Abend passiert ist, deswegen ist Vorsicht geboten. Diese Mail trudelte am 31. März gegen 22 Uhr bei mir ein. Hier will der Versender der Mail sich wahrscheinlich den 1. April zu Nutze machen, weil man an diesem Datum solche Nachrichten nicht ganz ernst nimmt.
Kürzlich wurde der Onlineauftritt der Sparkasse, Sparkasse.de soweit kompromititert, so daß die genannte Website zum Verbreiten von Maleware (Schadsftware) mißbraucht wurde. Der gekaperte Server wurde laut Sparkasse nicht für das Onlinebanking eingesetzt.
In letzter Zeit wird wieder verstärkt mit gefälschten Mails der ING Diba versucht geheime Daten von Usern abzustauben. Die Phishing-Mails sind täuschend echt gemacht. Es ist daher anzuraten, daß man auf Mails der Bank, wo Daten wie PINs und TANs abgefagt werden nicht reagiert, denn eine Bank fragt nie per E-Mail nach solchen vertraulichen Daten.
Mit dem gestrigen Update auf WordPress 3.5 hat sich für die Kommentarfunktion etwas getan. Um Kommentarspam zu vermeiden, gilt es vor dem Versenden von Kommentaren eine kleine geistige Herausforderung in Form einer kleinen Mathematikaufgabe zu erfüllen. Diese Aufgabe befindet sich am Ende des Kommentarfeldes und eine im Kopf zu errechnende Ziffer/Zahl ist in ein leeres Feld einzutragen.
Wenn man es so betrachtet, hat dieses Captcha zwei Funktionen, zum einen ist es die Abwehr von Spam und zum zweiten kann man da fleißig seine grauen Zellen trainieren, sofern man diese Aufgabe im Kopf löst und dabei den Taschenrechner oder das rechnende Handy bei Seite legt.
Am 30. November hat es Heise offiziell gemacht. Es gibt E-Mails, die aktuelle Router manipulieren können. Diese Manipulation ermöglicht es, das heimische Router Modell von fremden PC’s aus der Ferne zu konfigurieren und wichtige, sicherheitsrelevante Einstellungen zu verändern. So könnten beispielsweise Verschlüsselung und Passwort des Routers geändert werden oder der komplette Datenverkehr umgeleitet werden. So könnte man beispielsweise beim Nutzen von Online-Banking, Facebook und co. auf gefälschte Seiten umgeleitet werden, um an die Zugangsdaten zu kommen. Betroffen sind Modelle von Asus, TP-Link und Arcor. Es gibt sicherlich noch betroffene Modelle, die bisher noch nicht dokumentiert worden.
Das geschieht über in HTML-Formatierte E-Mails, die bestimmte Codesnippets in HTML und Javascript aufweisen. Mit diesem Code wird im Browser (beispielsweise Firefox oder Internet Explorer) oder im Mailclient (Thunderbird oder Outlook) dieser Code ausgeführt und und die genutzten IP’s mit samt den in dem Code enthaltenen Parametern ausgeführt. Das spricht den genutzten Router an. Sofern das Passwort stimmt werden die DNS Einträge im Router manipuliert und der gesamte Datenverkehr über andere, manipulierte Server geleitet.
