Die Neuerungen von Firefox 47 (Desktop)

Insgesamt 13 Sicherheitslücken hat Mozilla in Firefox 47 geschlossen, von denen Mozilla zwei als besonders kritisch einstuft. Alleine aus Gründen der Sicherheit ist daher ein Update auf Version 47 für alle Firefox-Nutzer empfohlen.

Für Thunderbird-Entwicklung kann ab sofort gespendet werden

Kampf gegen Cyberattacken und Terrorismus: Dänischer Geheimdienst will Hacker in Akademie ausbilden | shz.de

Das dänische Außenministerium zum Beispiel war einer sieben Monate andauernden Phishing-Attacke ausgesetzt. Die Webseite des Parlaments wurde im Dezember von sogenannten DDoS-Attacken (massenhafte Anfragen an eine Webseite) in die Knie gezwungen. Gründe genug für den dänischen Geheimdienst DDIS (Danish Defense Intelligence Service), eine Akademie für Hacker ins Leben zu rufen. Wie das Nachrichtenportal „qz.com“ berichtet, ist der Bedarf an Experten für Cybersicherheit im Königreich nebenan groß.

Quelle: Kampf gegen Cyberattacken und Terrorismus: Dänischer Geheimdienst will Hacker in Akademie ausbilden | shz.de

Liebe Dänen, lieber sh:z,

mit Hackern Phising- oder DDoS-Attacken zu verhindern ist irgendwie komisch, denn das sollten auch Sicherheits-Testerinnen und -Tester hinbekommen und professionelle IT-Leute, die es mit der Qualität und den nicht-funktionalen Anforderungen genau nehmen.

Phishing-Attacken verhindert man durch Erziehung der Menschen, die mit den Einganstoren (Web-Seiten, E-Mails) umgehen. DDoS-Attacken zu verhindern geht nicht, aber man kann Szenarien bauen, die diese erkennen, um auf einen robusteren Modus umzustellen.

Dafür braucht es ein gutes Handbuch.

53 Mio. SmartMeter – 1 Schlüssel – GCHQ verhindert Auslieferung

Meine Güte, manchmal freut man sich ja, das auch staatliche Unternehmen aufpassen. In England bspw. verhinderte das GCHQ das die Stromnetzbetreiber EINEN Schlüssel für 53 Millionen SmartMeter einsetzen…. ein Hacker, der den in die Finger bekäme, hätte ein Land schnell in Dunkelheit vesetzen können.

In Deutschland zumindest achten ein paar Menschen darauf, das solche Dinge auch in Gesetze gegossen werden:

Zudem sollte es ohne einen bewährten Nutzen sowohl mit Blick auf Verbraucherschutzinteressen als auch die Mechanismen der Energiewende zu keiner gesetzlichen Fixierung spezifischer Technologien des Smart Metering kommen.

Quelle: Newsletter 1/2016 Dr. Nina Scheer

Es besteht also noch Hoffnung, das wir nicht zwangsweise diese Dinger benutzen müssen, die im Roman Blackout ein ganz besondere Bedeutung hatten.

Ich bin ja dafür, das der Verbraucher selbst den Schlüssel in der Hand behalten sollte, wie auch heute schon jemand einen Schlüssel braucht um an unsere Ableser oder die Anlage selbst zu kommen.

HPE Cyber Risk Report 2016

Report reveals cybercriminals are smarter, more organized than everThe 96-page Hewlett Packard Enterprise Cyber Risk Report 2016 offers a broad view of the current threat landscape, ranging from industry-wide data to a focused look at different technologies, including open source, mobile, and the Internet of Things. The goal: Provide security information that leads to a better understanding of the threat landscape, and deliver resources you can use to minimize security risk.

Quelle: HPE Cyber Risk Report 2016

FBI-Chef: Zugekauftes Tool gibt keinen Zugriff auf neuere iPhones

Die Methode funktioniere aber nur bei einem sehr „engen Stück“ aller iPhones, bei neueren Modellen wie dem iPhone 5S oder iPhone 6 beispielsweise nicht, wie Comey ausführte

Quelle: FBI-Chef: Zugekauftes Tool gibt keinen Zugriff auf neuere iPhones | heise online

War zu erwarten. Die kochen alle nur mit Wasser und haben sicherlich via Hardware (also den Chips im Bauch des Phones) sich über einen „Hack“, der eben nur für die Version der Hardware gil, Zugang verschafft.

„Der Knackvorgang soll so ablaufen, dass der Speicher des Gerätes kopiert wird, bis zur Maximalanzahl der Passcode-Fehlversuche probiert wird und dann der Speicher wieder zurückkopiert wird, in der Folge wird der Passcode-Counter zurückgesetzt und man kann neu versuchen. Super aufwändig, folglich keine große Gefahr, dass die „Lücke“ von Kriminellen abseits des FBI ausgenutzt wird.“

Quelle: FBI: Es können nur bestimmte iPhones entsperrt werden | Cashys Blog

Neuerdings werden ja auch Phishing-Attacken so umgemodelt, um als Hack dargestellt zu werden. Besonders hervorgetan hat sich da das „Handelsblatt„… 🙁 Wenn Leute keine Ahnung haben, einfach mal die …. halten – sehen die Leute von der Computerwoche ähnlich:

Von dem, was ich gesehen, recherchiert und gelesen habe ist Sidestepper KEINE Sicherheitsheitslücke – im Gegenteil. Dass mit einem derart alten Thema (siehe auch ähnliche Meldung 2013: https://www.skycure.com/blog/malicious-profiles-the-sleeping-giant-of-ios-security/) eine (in meiner persönlichen Wahrnehmung) „Angstmacherei“ betrieben wird und das Ganze, auch von der Presse, marketingreif aufbereitet wird, lässt mich fremdschämen.

Quelle: Sidestepper – Phishing-Betrug als Sicherheitslücke vermarktet | Computerwoche

Hacking: Eine eMail-Adresse ist nur gemietet

Viele glauben sicherlich an die Mär des Hackers in Hoodies mit Basecap und Sonnenbrille, aber manchmal wird auch jeder „Normalo“ aus Versehen Hacker. Ein Beispiel: eMail-Adressen bei großen Anbietern, wie GMX, T-Online, Web.de, ….

Hätten Sie gedacht, das eine eMail-Adresse nur gemietet ist und diese nach einem Zeitraum wieder freigegeben wird? Wenn Sie bspw. bei T-Online/Telekom nicht dafür Sorge tragen, die eMail-Adresse nach der Kündigung vom Provider zu behalten, wird nach einem Jahr die eMail-Adresse wieder freigegeben, d.h. ein anderer kann diese dann benutzen. Interessiert Sie nicht? Nun, dann sollten Sie mal die folgenden Zeilen einer wahren Geschichte (mit geänderten Namen und Angeboten) genauer lesen, die ich nämlich erlebt habe.

Den eMail-Alias sichern, einfach mal so

Vor einiger Zeit habe ich bei einem eMail Provider über mein sehr lange bestehenden Account sog. „Alias“-eMail-Adressen hinzugefügt: Sie kennen das, das man bei Telekom, Apple, … zusätzlich zu seiner eMail weitere eMail-Adressen dazu bekommen kann. Ich habe das also für meine Frau und meine Tochter getan und dachte, sie würden die vielleicht demnächst einmal brauchen.

SPAM – in meinem sonst nicht verwendeten Postfach einer unbekannten eMail-Adresse?

Wer kennt sie nicht, die Werbemails, die man nicht möchte. Mein Account wurde nur für spezielle Sachen verwendet und eben nicht für die tagtägöiche Mailflut, d.h. die Wahrscheinlichkeit in einem SPAM-Versender zu geraten war sehr gering, trotzdem tauchte irgendwann eine SPAM-Mail auf, aber nicht an mich, sondern an einen der Alias-Namen…..?!? Nanu? Ich habe die eMail-Adresse doch nie verwendet?!? Zudem unterliegt dieser Account besonderer Kontrolle, eben weil nur ganz wenige diesen kennen sollten.

Die Anrede war falsch, denn sie unterschied sich vom Nachnamen: Sehr geehrte Frau Müller, (…) aber die eMail ging eben an eine mit sievers im eMail-Namen… was war da los?

Ich schaute mir die Mail genauer an, die von einer dieser Forschungs-Gemeinschaften kam, die normalerweise schon korrekte eMail-Adressen haben sollten und nicht als SPAM-Versender in Erscheinung treten.

Social Hacking – Ich suchte…

Ich fing also an dieser Frau Müller, die anscheinend mal eine eMail-Adresse besessen haben musste mit unserem Nachnamen, zu suchen. Ich ging über die Webseite der Mail, die wirklich keine SPAM-Mail war, sondern, wenn man im Cache von Google nachsieht, mal dort gearbeitet hatte.

Es kam in der Zwischenzeit noch eine eMail rein, von einem Reiseveranstalter oder so und nach nach und nach noch mehr… so langsam wusste ich mehr über das digitale Leben der Frau Müller als ihr lieb sein konnte.

Es dauerte nicht allzu lang und ich fand sie in einem sozialen Netzwerk und kontaktierte sie:

Hallo Vorname,
wenn Du mal Müller geheissen hast und xyzsievers@provider.de mal Deine Mailadresse war, dann mal gerne melden. Grüße Jörg

 

…und fand sie

Es dauerte nicht allzu lang und sie antwortete. Mit ein bischen Erklärungen hin- und her machte ich ihr klar, dass so einige Mails bei mir aufgelaufen sind, die eigentlich für sie bestimmt seien und ich ihr die gerne schicken möchte, damit sie sich ggf. dort melden und umregistrieren lassen kann.

Neben der Erkenntnis einiger witziger Dinge, die wir, neben unserem Namen, gemeinsam hatten, schickte ich ihr also den Stapel an Mails an eine neue eMail-Adresse. Zudem versprach ich, weitere Ankünfte wieder an sie weiterzuleiten.

Internet-Dienste sterben, eMail-Adressen bleiben

In letzter Zeit kamen dann noch Mails hinzu, wo ein Dienst die Aufgabe seines Handels bekannt gab oder einer schrieb, das sich die Bedingungen von ihrem Service verbessert haben – naja, dazu müsste die Gefundene den Dienst noch nutzen können, aber erstens war sie geografisch mitlerweile woanders und zudem hatte ich ihre eMail-Adresse, mit der sie das Passwort hätte zurücksetzen können….

Service Account umlenken

Ich resette bei einem Dienst ein Passwort, trug ihre neue eMail-Adresse ein und schrieb ihr eine Mail mit dem neu gesetztem Passwort, damit sie den Dienst vielleicht mal kündigen könnte, bevor der noch Geld kostet. Wäre ich nun ein böser Mensch gewesen, hätte ich mit dem Account Buchungen vornehmen können und belastet worden wäre eine Person, die noch nicht einmal das Passwort hätte resetten können, da ich den eMail-Account habe…

Moral von der Geschicht‘

Ich denke an meiner Geschichte kann man ganz gut erkennen, das man schon ein wenig acht auf seine Daten geben sollte und eMail-Adressen, wenn einem die Domain nicht selbst gehört, sollten wohl gewählt werden, wenn man diese zu Registrierungszwecken bei Diensten im Internet benutzt. In meinem Fall ging das gut, da ich der Frau nichts böses wollte und eher daran interessiert war, das sie ihre Daten so ändert, damit ich keine Post mehr bekomme, die eh nicht für mich ist, aber social hacking ist einfach und es kann (leider) jeder.

Wer bis hierher gekommen ist mit dem Lesen, kann ja mal versuchen herauszubekommen, wie die eMail-Adresse der Frau denn wohl sein müsste…. das sollte man, dessen bin ich mir leider bewusst, herauszufinden sein. Schreibe an die Mailadresse eine eMail und der/dem Ersten, die/der das schafft ist eine Packung Snickers oder Mars oder Twix sicher (bitte in der eMail angeben, nebst Zieladresse) 🙂

Customer Letter – Apple kämpft!

The United States government has demanded that Apple take an unprecedented step which threatens the security of our customers. We oppose this order, which has implications far beyond the legal case at hand. This moment calls for public discussion, and we want our customers and people around the country to understand what is at stake. The Need for Encryption Smartphones, led by iPhone, have become an essential part of our lives.

Quelle: Customer Letter – Apple

Das war meine Erwartungshaltung!

Apple soll iPhone-Daten zugänglich machen

Vor einer Woche hatte FBI-Chef James Comey zugegeben, dass seine Behörde seit zwei Monaten nicht in der Lage gewesen sei, das Gerät zu knacken. Comey befindet sich seit Längerem auf einer Lobbytour gegen Smartphone-Verschlüsselung und bezeichnet Geräte wie das iPhone wegen der vor Sicherheitskräften geschützten Daten oftmals als »Killer Phones«. Apple verteidigt sich unter Hinweis auf Datenschutz und persönliche Freiheit, für die Tim Cook auch offensiv vor dem US-amerikanischen Senat warb.

Quelle: Massaker von San Bernadino: Apple muss iPhone-Daten des Terroristen zugänglich machen | MacTechNews.de

Nun, alle, die immer meinten, Apple könne das, seien nun eines Besseren belehrt, denn Apple besitzt keine Software, die das kann, aber wenn sie gezwungen werden eine Hintertür einzubauen, dann ist das iPhone ohne zus. Verschlüsselung aus Datenschutzsicht nichts mehr wert.