Freitag, 11. April 2014

Heartbleed? Was geht mich das an?

Heartbleed Logo Sicherheitsguru Bruce Schneier bewertet den sogenannten Heartbleed-Bug auf einer Skala von 1 bis 10 mit 11. Nach all den Katastophenmeldungen in letzter Zeit fällt es schwer, sich zu irgendeiner Aktion aufzuraffen. Was geht mich das an?

Hier ein paar Links zum Thema:

Wenn ich das richtig verstanden habe, sollte Otto Normalinternetzbenutzer zuerst prüfen, ob die selbst genutzten Websites den Bug behoben haben (z. B. über eine Seite wie http://filippo.io/Heartbleed/) und wenn ja, anschließend sein Passwort ändern. Betroffen waren anscheinend flickr, web.de, yahoo, doodle, dropbox etc. pp. Eigentlich ALLE.

Außerdem sollte man prüfen, ob es für die Software eigener Geräte (PCs, Router, Smartphones!) Sicherheitsupdates gibt. Anscheinend sind Debian und Ubuntu-Linux, der Apache-Webserver und Android betroffen (nur das, was mir beim kurzen Querlesen ins Auge gesprungen ist!)

Wahrscheinlich werden viele Dienste demnächst ihre Nutzern zwangsweise neue Passwörter verordnen oder es dringend empfehlen, wie z. B. Doodle.

Für uberspace-Kunden gibt es eine FAQ zur OpenSSL-Lücke Heartbleed. Puh, da habe ich wohl Glück gehabt, dass mein Kram auf dem Server Helium liegt.

Gespeichert unter Sicherheit   •   Noch keine Kommentare   •   Kommentar schreiben

Dienstag, 21. Januar 2014

Me and My Shadow

Schatten Eine unglaublich umfangreiche Sammlung mit Infos zu den Datenspuren, die wir mit Mobiltelefon, Kartenzahlungen, Web­browsern etc. hinterlassen. Und wie man diesen Schatten kleiner machen kann.

Kann ich nur wärmstens empfehlen!

https://myshadow.org/

Gespeichert unter Sicherheit   •   Noch keine Kommentare   •   Kommentar schreiben
Tags für diesen Artikel: , ,

Montag, 16. September 2013

Bruce Schneier: How to Remain Secure Against the NSA

Wer sich mit Sicherheit beschäftigt, kennt Bruce Schneiers Blog Schneier on Security sowieso. Für alle anderen möchte ich auf seinen Artikel »How to Remain Secure Against the NSA« hinweisen.

Gespeichert unter Sicherheit   •   Noch keine Kommentare   •   Kommentar schreiben
Tags für diesen Artikel: ,

Montag, 29. Juli 2013

Überwachungsstaat erklärt

Wachsamer Nachbar Überwachungsstaat – ein wirklich sehenswertes Video, dass vieles in leider etwas hektischer Manier erklärt.

via Flaschenpost, die ein Interview mit dem Macher führte.

Gespeichert unter Sicherheit   •   Noch keine Kommentare   •   Kommentar schreiben
Tags für diesen Artikel: , ,

Montag, 22. Juli 2013

Ubuntu Foren gehackt, Passwörter geklaut

Ubuntu Logo ubuntuforums.org wurde gehackt. Anscheinend haben die Angreifer die Benutzernamen, Passwörter und E-Mail-Adressen erbeutet.

Wer das gleiche oder ähnliche Passwort für andere Logins verwendet hat, sollte schleunigst seine Passwörter wechseln.

via 1337core

Gespeichert unter Sicherheit   •   Noch keine Kommentare   •   Kommentar schreiben
Tags für diesen Artikel: , ,

Samstag, 13. Juli 2013

Netz-Blues

»Das Internet, so wie ich seit knapp 20 Jahren kannte, gibt es nicht mehr.«

Don Dahlmann hat es auf den Punkt gebracht.

Mich wundert ja immer noch, dass die Industrie nicht längst Sturm läuft. Angebote und Verträge, die lustig unverschlüsselt per E-Mail durchs Netz geschoben werden – ein Schlaraffenland für Wirtschaftsspionage: Man sieht die Preise der Mitbieter, man könnte das bessere Angebot der Konkurenz zum Stichtag im Spamfilter kleben bleiben lassen ... hach! Das Neuland der unbegrenzten Möglichkeiten!

Dazu tragen alle Ortungsgeräte (selbst bezahlt!) mit sich herum, zahlen mit Karten und füllen Wer-kennt-wen auch noch selber aus. Da wäre Orwell im Traum nicht drauf gekommen.

Gespeichert unter Sicherheit   •   Noch keine Kommentare   •   Kommentar schreiben
Tags für diesen Artikel: , ,

Freitag, 12. Juli 2013

Sicherheit im Netz: Gedanken zu E-Mail (PS)

Wie netzpolitik.org berichtet, hat Microsoft den Schlapphüten geholfen, dass sie Daten aus Outlook abgreifen können.

Kein Wunder, dass M$ sich nie darum gekümmert hat, Verschlüsselung mit z. B. GnuPG bequem und einfach für den Anwender in Outlook zu integrieren.

Gespeichert unter Sicherheit   •   Noch keine Kommentare   •   Kommentar schreiben
Tags für diesen Artikel: , ,

Mittwoch, 10. Juli 2013

Sicherheit im Netz: Gedanken zu E-Mail

Wer Briefumschläge und Türschlösser verwendet, sollte sich auch Gedanken über seine elektronische Kommunikation machen.

Bei map steht gerade Wir haben versagt. Teils stimme ich ihm zu, teils nicht. Sicherheit kann man nicht wie eine App herunterladen, sie besteht aus verschiedenen »Zutaten«. Sie ist eine Art Philosophie, Einstellung, Haltung. Wichtig ist das Gesamtkonzept. Was nützt mir eine chinesische Mauer, wenn ich die Torwächer schlecht bezahle? Nur wenn ich die Gefahren kenne, kann ich sie beurteilen und entsprechende Maßnahmen ergreifen.

Schlapphut Deshalb versuche ich mich an einer kleinen Informationsreihe. Fangen wir mit E-Mail an. E-Mails sind wie Postkarten. Die können von den Postautofahrern, den Postsortierern und den Briefträgern gelesen werden. Genauso ist es bei E-Mail. Die Administratoren aller an der Zustellung beteiligten Rechner können die lesen, kopieren, speichern und verändern(!)

Das Internet ist deshalb so robust, weil sich E-Mails ihren Weg zum Empfänger mehr oder weniger selbst suchen. Als Anwender weiß man selten im Voraus, über welche Zwischenstationen das geht. Schaut mal bei dnstools.ch vorbei, dort kann man sich den Weg auf einer Karte anzeigen lassen.

So werden z. B. aktuell für eine Nachricht von Frankfurt aus an gmail.com 9 Zwischenstationen, sogenannte Hops, angezeigt. Also haben mindestens 9 Rechner-Administratoren Einblick. Die haben alle mindesten einen Vertreter (eher ein ganzes Team) - also eine Menge Leute, die die Mails lesen könnten aus Langeweile oder kommerziellem Interesse (Wirtschafts­spionage). Und die die Nachricht auch manipulieren könnten! Dazu kommen dann noch die jeweiligen Geheimdienste und was es so an staatlich verordneter Überwachung gibt.

Gruselig, oder? (Wobei eine Mail (oder Datei) nicht in einem Paket verschickt wird, sondern in vielen kleinen einzelnen Päckchen (Packets), die nicht unbedingt alle über die selben Knotenpunkte laufen. Das macht es für Mitleser ein bisschen schwieriger).

GnuPG Es gibt es eine Reihe von Maßnahmen, abhängig davon, welchen Vertraulichkeitsgrad bzw. welche Sicherheit ich erreichen will:

  • Provider des Vertrauens wählen: wer bei GMail, Hotmail und Co. ist kann mittlerweile sicher sein, dass die amerikanischen Freunde alles speichern. Meine Empfehlung: uberspace.de
  • Mails signieren: soll Manipulationen verhindern. Abhängig vom E-Mail-Programm, Provider. Meine Empfehlung: Thunderbird mit Erweiterung Enigmail. Dazu muss GnuPG installiert sein.
  • Mails verschlüsseln: laut Herrn Snowden soll die NSA PGP (bisher) nicht knacken können. Empfehlung wie oben Thunderbird, Enigmail, GnuPG.

All das kann wirkungslos sein, wenn der Angreifer Zugriff auf Deine Hardware hat. Da gibt es so lustige Dinge wie Keylogger, die man zwischen Tastatur und Rechner klemmt und die dann alle Tastenanschläge speichert. Oder wenn fehlerhafte (veraltete) Software genutzt wird.

Der Klassiker ist latürnich der Zettel mit den Passwörtern unterm Mauspad oder in der obersten Schreibtischschublade. Dafür gibt es Lösungen wie z. B. die Software Password Safe von Kryptografie- und Sicherheitsguru Bruce Schneier. Probiere ich gerade aus. Oder Anrufe im Stil von »Hier Schmidt von der IT, Sie haben einen Fehler im Mailsystem verursacht, deswegen brauche ich schnell Ihr Passwort.«

Sonst gilt: informiert bleiben. Entsprechende Blogs lesen (Schneier, netzpolitik.org, Danisch, Unmask Parasites). Software aktuell halten. Gesunden Menschenverstand ;-) nutzen.

Links:

Gespeichert unter Sicherheit   •   2 Kommentare   •   Kommentar schreiben
Tags für diesen Artikel: , ,

Donnerstag, 21. März 2013

Krieg verloren?

Maintaining privacy on the Internet is nearly impossible. [...] If the director of the CIA can't maintain his privacy on the Internet, we've got no hope. [...]
So, we're done. [...]
Bruce Schneier on CNN: »The Internet is a surveillance state«

In einem Beitrag für CNN äußerte Sicherheitsfachmann Bruce Schneier die Meinung, dass der Krieg – ohne dass nennenswerte Schlachten geschlagen wurden – verloren sei.

Gespeichert unter Sicherheit   •   Noch keine Kommentare   •   Kommentar schreiben
Tags für diesen Artikel: , ,

Donnerstag, 10. Januar 2013

Die Freiheit (?) nehm ich mir

Was habe ich mich darüber schon aufgeregt. Bei Problemen mit »Verified by Visa « die Spaßkassenhotline angerufen, zur Kreditkartenhotline verwiesen worden – und wieder zurück. Aufgegeben und mit einem eigens eingerichteten PayPal-Account bezahlt.

Irgendwann hat es dann seltsamerweise doch funktioniert und ich war zufrieden. Bis ich Jan Schejbals Artikel Verified by Visa - Unsicherheit mit System gelesen habe. Seitdem will ich nur noch bar zahlen. Oder vielleicht kommen wir wieder auf den Tauschhandel zurück?

Gespeichert unter Sicherheit   •   2 Kommentare   •   Kommentar schreiben
Tags für diesen Artikel: , ,

Suche

Letzte Worte

Matthias Gutjahr zu Editorentest
Fr, 18.04.2014
Argh, du hast recht, sorry. Ich hatte bei dir nur was von Guillemets gelesen, und da das auch eine mögliche Funkti […]
Fr, 18.04.2014
Ja, schaun’wer mal. Wenn ich schon nix programmieren kann, kann ich wenigstens Fehlermeldungen liefern ;-)
Klaus zu Editorentest
Fr, 18.04.2014
Äh, das mit dem typesetbuttons war Dirk. Aber klar, sobald es eine neue Version gibt, teste ich die. Sonst muss […]
Matthias Gutjahr zu Editorentest
Do, 17.04.2014
Der CKEditor kennt das CSS deines Blog-Themes nicht, genauso wenig wie mein Feedreader das CSS kennt. Daher wird d […]
Mi, 16.04.2014
Sorgt auf jeden Fall für einen hervorragenden Testcase. Danke dafür! :) Und wir werden die Fehler schon ausbüge […]
Mi, 16.04.2014
“… alles wird gut. Fast.” Da musste ich lächeln. Es wird nie alles gut! Sonst wäre ja die Geschichte schon vorbei!
Fr, 11.04.2014
Nö, es muss nicht Original Nikon sein. Ich hab auch ein Zeiss ;-) 70 ist vielleicht ein bisschen knapp; 120 wär […]

Uberspace

Logo Uberspace.de

u1amo01 wird bei Uberspace gehostet.