Sicherheit | sb'log

Irgendwo über 20 habe ich aufgehört zu zählen, wie viele IPs hier gestern wegen wiederholter Zugriffsversuche mit falschen Credentials gesperrt wurden. Spannend ist, dass die Versuche nicht auf den üblicherweise vielversprechenderen „admin“-Account zielten, sondern mit einem Nutzername versucht wurden, den ich zwar andernorts im Netz nutze, der hier aber nirgends erwähnt ist.

Da ich für normale Webdienste etc. dann auch eine entsprechende Freemail-Adresse angebe, kann es sich bei der Quelle nur um ein „seriöses“ Unternehmen handeln, das meine Daten ohnehin hat und einen abweichenden Nutzername für das Support-Forum oder sowas erlaubt. Denn nur in solchen Datenbanken ist firma@svenbuechler.de mit dem betreffenden Nutzernamen verknüpft.

Wer da nicht auf meine Daten aufgepasst hat, werde ich wohl nicht erfahren. Die Sache zeigt aber, wie wichtig es ist, überall unterschiedliche Passwörter zu verwenden. Denn vielleicht ist das ja auch nicht mehr geheim.

Und noch was gelernt: Erdgas ist geruchlos. Der schweflige Geruch wird aus Sicherheitsgründen hinzugefügt. Es gibt aber zwei Probleme: Der Schwefel muss für die Verwendung in gasbetriebenen Autos und Brennstoffzellen erst wieder rausgefiltert werden, weshalb man den Warngeruch ändern möchte. Den sind die Verbraucher aber gewöhnt.

Über eine Lücke in einem UMTS-Protokoll wurden Bankkonten mit Zugang zum Online-Banking geplündert. Angegriffen wurde das mTAN-Verfahren, wobei die TANs mithilfe der Lücke umgeleitet wurden. Die Mobilfunkprovider wollten die Lücke schon 2014 beheben.

Passend dazu: Zero Days sind im Schnitt 7 Jahre ausnutzbar. Unabhängig vom verwendeten Betriebssystem. Hierfür hatten Forscher 200 Lücken zwischen 2002 und 2016 untersucht.

Die Übergroße Koalition will noch schnell den Einsatz des Bundestrojaners gegen Alltagskriminalität durchboxen.

Um eine öffentliche Debatte über das Thema möglichst klein zu halten, wird die Regelung in letzter Minute in einem bereits existierenden Gesetzesprozesses versteckt. Ein Verfahrenstrick wie bei der Datenhehlerei im Gesetz zur Vorratsdatenspeicherung.

Heute ist mal wieder ein „Ändere Dein Passwort“-Tag. Ich schließe mich der Forderung eines Heise-Foristen an, ihn in „Installiere einen Passwortmanager“-Tag umzubenennen. Bei schwachen Passwörtern hilft das Wechseln wenig bis nichts, und bei starken kommt man um einen Passwortmanager nicht herum.

Das ist schlecht: Google Chrome füllt auch versteckte Formularfelder aus. Wer also zum Beispiel einen Kommentar auf einer präparierten Seite eingibt, sendet unter Umständen gleich die beim letzten Onlinekauf angegebene Kontoverbindung mit.

Augen auf beim Onlinekauf! Von rund 6.000 Online-Shops wurden Kundendaten und Zahlungsinfos direkt an Kriminelle weitergeleitet. Mehrere Hundert davon auch in Deutschland – allesamt Nutzer veralteter Versionen der Shop-Software Magento. Hier die Liste. Laut Update des Finders der Lücke, sind schon mehr als 2.300 Shops gefixt. Aber welche?

Ein Android-Smart-TV wurde in freier Wildbahn mit einer Ransomware infiziert. Einfallstor war eine durch den Nutzer installierte, nicht namentlich genannte App. Es handelt sich aber wohl um einen Beifang, weil der Schädling nicht auf Fernseher angepasst war und sich der Link zu den Zahlungsanweisungen deswegen am TV gar nicht erst anklicken ließ.

Ein paar Hunderttausend Zugangsdaten hier, ein paar Millionen dort – da verliert man schon mal den Überblick. Dagegen hat information is beautiful aber eine Infografik mit den größten Hacks seit 2005. Und ich habe davon nur einen kleinen Teil mitbekommen.

Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton. Um die habe ich ja schon einen weiten Bogen gemacht, als ich noch Windows genutzt und an sowas geglaubt habe. Das wird doch sowieso keiner mehr nutzen, denke ich mir so. Aber wir gefehlt:

Ormandy zufolge sind die Plattformen Linux, Mac OS X, Unix und Windows gefährdet.

Norton Antivirus für Linux!1!! Ich kann nicht mehr… bigsmile

WordPress: Ein Viertel des Internets ist Anfällig für Manipulation, Datenraub und Spionage

Betriebssystem („content management system“) WordPress: Rat und Gegenmaßnahmen gegen „Black SEO“ (negative Beeinflussung anderer Webseiten gegenüber Google), flächendeckenden „Daten-Abbau“, Manipulation und Spionage.

[Radio Utopie]

WordPress härten ist doch mal ein sinnvolles Wochenendprojekt.

Gesundheitskarte: Weiterhin Riesensicherheitsloch bei Patientendaten

Man muss nur Namen, Geburtsdatum und Versicherungsnummer kennen und einen Telefonanruf tätigen – schon kommt man an alle Patientendaten heran.

[Heise via daMax]

Doch fürchtet Euch nicht: die Bundesdatenschutzbeauftragte Andrea Voßhoff will das für die Kassenaufsicht zuständige Bundesversicherungsamt (BVA) nämlich „dringend anregen, die Thematik im Rahmen seiner Zuständigkeit zu untersuchen“. Dann wird bestimmt alles gut.

WordPress und AVM (Fritzbox) haben böse Lücken geschlossen. Checkt mal Eure Versionen. WordPress ermöglichte XSS-Angriffe und über Fritzboxen konnten Angreifer Telefonate führen. Will man ja beides nicht.

Coole Idee: Große Flatscreens am Heck von Sattelschleppern anbringen, um den dahinter Fahrenden zu zeigen, was sich vor dem Dicken so tut.

Auf den britischen Atom-U-Booten herrschen offenbar verheerende Sicherheitsbedingungen. Das berichtet William McNeilly, ein 25 Jahre junger Whistleblower, der wegen der Zustände eine nukleare Katastrophe kommen sieht.

„Es ist schwieriger in einige Londoner Nachtclubs zu gelangen, als in die Grüne Zone“, resümiert McNeilly seine Erfahrungen, die er über ein Jahr lang machte. Bei der ersten Kontrolle im Shuttle-Bus zeigte McNeilly regelmäßig seinen Zimmerschlüssel statt seiner Identitätskarte vor, ohne dass es auffiel.

Und viel besser werden die Kontrollen dann auch nicht mehr, so dass er unter anderem unbefugt ein Sicherheitshandbuch abfotografieren und an Sitzungen teilnehmen konnte, bei denen er nicht hätte anwesend sein dürfen. Auch technisch liegt einiges im argen.

Am Ende einer dreimonatigen Seepatrouille wird jeweils ein Test durchgeführt, um zu prüfen, ob das U-Boot im Ernstfall Atombomben abschießen kann. Bei drei Versuchen zeigte sich, dass bei einem Abschuss das U-Boot keine stabile Lage einhalten würde, so dass die Missile nicht den gewünschten Flugweg nehmen könnte.

Auch Google hat sich was Neues einfallen lassen. Allerdings glaube ich nicht, dass mir das gefällt. Google will nämlich Passwörter überflüssig machen und die Identität der Nutzer ganz anders verifizieren. Ihr ahnt es vielleicht:

Statt den Anwender zur Identifikation nach einem Passwort zu fragen, analysieren sie sein Verhalten. In einem Beispiel wurde gezeigt, wie zwei Forscher an einem per Vault geschützten Smartphone abwechselnd denselben Satz eintippten. Anhand der typischen Bewegungsmuster beim Tippen konnte das System entscheiden, wer von beiden der rechtmäßige Nutzer des Handys war.
Auf ähnliche Weise könnte Vault auch andere Sensoren benutzen, etwa die Kamera und das Mikrofon, um den Anwender zu erkennen.

Gruselige Vorstellung.

Mark Burnett hat eine Liste mit 10 Millionen Passwörtern und Nutzernamen veröffentlicht. Die dazugehörigen Dienste sind zwar nicht genannt und die Daten sind auch nicht aktuell – aber die eigenen Logins mal zu suchen, ist vielleicht trotzdem nicht verkehrt. correcthorsebatterystaple ist übrigens auch einmal dabei smile

Offenbar sind die Sicherheitskontrollen einer durchschnittlichen Dorfdisco besser als am Frankfurter Flughafen. Bei einer Kontrolle haben Testpersonen in jedem zweiten Handgepäckstück Waffen oder andere gefährliche Gegenstände an Bord bringen können:

Dem Bericht zufolge droht die EU-Kommission sogar damit, den Flughafen als „Non-Schengen-Airport“ einzustufen, sollten die Maßnahmen nicht greifen. Dann müssten sich Flugreisende in Frankfurt bei der Einreise in andere EU-Länder einer erneuten Sicherheitskontrolle unterziehen.

Hoffentlich ziehen die wenigstens die brandgefährlichen Shampoos und Zahncremes aus ordnungsgemäß dem Verkehr..

Windows-Nutzer können jetzt checken, ob sie sich eine der bekannten Staatswanzen eingefangen haben. Für andere Systeme gibt es das Open-Source-Tool Detekt leider nicht. (Danke, Erik)

sb'log

Kann Spuren von Ironie und Sarkasmus enthalten.

Schlagwort-Archive: Sicherheit