Skip to content

Computerdämmerung?

Die Medien schreiben seit Freitag mehr oder weniger groß aufgemacht über Angriffe auf die Bahn, Krankenhäuser etc. Um was gehts?

Seit einiger Zeit drohen Angriffe durch sogenannte »Ransomware«. Das sind Programme, die man meist per E-Mail als Anhang geschickt bekommt. Im Text steht dann sowas wie "Mahnung: Sie haben unsere Rechnung vergessen zu beazhlen, Details entnehmen Sie bitte dem Anhang". Öffnet man den Anhang, wird Code ausgeführt - falls man das zum Code passende Betriebssystem hat.

Dieser Code verschlüsselt alle Daten, auf die er Zugriff hat. Also die lokale Festplatte, eventuell angeschlossene externe Festplatten, eingesteckte USB-Sticks. Und eventuell vorhandene Netzlaufwerke. Anschließend erscheint eine Mitteilung, dass man den Entsperrschlüssel nur gegen Lösegeld erhält. Das ist die Meldung, die letzten Freitag auch auf Anzeigetafeln der Bahn zu sehen war.

Bei der aktuellen Code-Variante kommt die Besonderheit hinzu, dass auch verbundene Computer befallen werden. Allerdings nur, wenn ein entsprechend anfälliges Computerbetriebssystem benutzt wird. Das scheinen alle Windows-Varianten außer dem neuen Windows 10 zu sein. Microsoft soll im März Flickzeug, sog. Patches bereitgestellt haben, die diese Lücke stopfen. Die muss man aber auch installieren, sonst nutzts nix.

Linux- und Apple-Benutzer scheinen fein raus zu sein. Dieses Mal.

Also: Betriebssystem so aktuell wie möglich halten. Nicht auf unbekannte Anhänge in Mails klicken.

Und Backups machen, die sich auf Medien befinden, die nicht am Computer angeschlossen sind (externe Festplatte im Schrank, DVDs). Mit einem aktuellen und funktionierenden (!) Backup kann man über die Lösegeldforderungen schmunzeln.

Obacht: die Mails werden immer besser. Früher konnte man die leicht an der abenteuerlichen Grammatik erkennen. Neulich gab es speziell auf Personalabteilungen zugeschnittene Varianten, in denen auf offene Stellenanzeigen geantwortet wurde. Der Schadcode steckte im angeblich angehängten Lebenslauf. Anscheinend hatte man öffentliche Stellenanzeigen herausgesucht und gezielt die jeweiligen Personalstellen aufs Korn genommen.

Auch wichtig: informiert sein. Nicht (nur) über die Mainstream-Medien, sondern über https://www.heise.de/security/. Oder auf Englisch über die Webseite von Brian Krebs. Dort gibts auch einen Artikel Tools for a saver PC oder über Gefahren am Geldautomaten.

PS: natürlich steigt mit Firmengröße die Komplexität. SAP soll laufen, irgendeine obskure vorsintflutliche Anlagensteuerung, natürlich die Officepalette und was weiß ich nicht alles. Was für Probleme das mit sich bringt, hat tante sehr gut beschrieben: »Why don't they just update?«.
via Rivva.de

Tipps: Sicherer surfen

Foto Hatte ich schon geschrieben, dass das Thema Sicherheit im Internet nichts ist, was man einmalig macht und abhakt, sondern ein kontinuierlicher Prozess?

Ich verwende beim Browsen meistens Firefox (das Schweizer Taschenmesser unter den Browsern) mit den Add-Ons https Everywhere, Privacy Badger und uBlock Origin.

Weil es früher beim Webseitenerstellen wichtig war zu prüfen, wie die gebastelte Seite in anderen Browsern angezeigt wird, habe ich auch Opera (den schönste Browser von allen), Chromium (naja) und Google Chrome (Datenkrake – schnell und komfortabel) installiert. Und verwende sie je nach Aufgabenstellung.

Als Lektüre zum Thema kann ich folgende (nicht mehr ganz frischen) Beiträge empfehlen:

via Netzpolitik.org

PS: natürlich gibt es meine 3 Lieblings-Add-Ons auch für andere Browser. Hier die Links: https Everywhere (von der EFF) Privacy Badger (ebenfalls EFF) uBlock Origin

Alle Default-Passwörter geändert?

Vielleicht habt ihr es mitbekommen: am letzten Wochenende waren große Websites wie Paypal oder Twitter längere Zeit unbenutzbar. Das lag an einer sogenannten DDoS-Attacke (Distributed Denial of Service).

Einfach ausgedrückt bedeutet das, das man so viele Anfragen an einen Webserver schickt, bis er durch Überlastung zusammenbricht. Bei einer kleinen Webseite, die über ein Billigangebot betrieben wird, kommt sowas öfter mal vor, wenn von einer »großen« Webseite darauf verlinkt wird. Passiert regelmäßig, wenn zum Beispiel Fefe von blog.fefe.de aus einen Link setzt.

Für Paypal ist gute Erreichbarkeit überlebenswichtig, deshalb haben die die schnellsten Datenleitungen, unzählige Rechenzentren und richtig viel Kapazität für alles. Eigentlich unvorstellbar, dass man die überlasten könnte.

Und doch ist es passiert. Das geht nicht mit einem einzelnen Rechner; dazu braucht es ein gewaltiges Netzwerk. Früher haben Hacker dazu schlecht gesicherte Computer übernommen und zu sogenannten Botnetzen verbunden. Für die aktuellen Attacken hätte das aber nicht gereicht.

Das geht anscheinend nur über die unzähligen miserabel geschützten Dinge, die mittlerweile zu Millionen im Internet hängen: Stichwort »Internet of Things« (IoT) oder einfacher ausgedrückt Überwachungskameras, Router, Videorecorder(!), Drucker – aller Kram, der eine Internetverbindung hat.

Üblicherweise haben die alle ein sogenanntes Default-Passwort, das man gleich nach Inbetriebnahme ändern soll. Weil Menschen bequem oder unwissend sind, wird das oft nicht gemacht. Mal ehrlich, habt ihr das Passwort für euren Router / Fritzbox / Wasauchimmer geändert? Wirklich? Und auch auf ein gutes Passwort und nicht auf einen der unglaublicherweise immer noch die Passworthitlisten anführenden Favoriten »12345«, »Passwort« oder »asdf«?

Also los. Jetzt kontrollieren und ändern. Wie man das macht verrät eine Googlesuche. Dabei wird sicher auch das Defaultpasswort mitgeliefert. Aber Achtung: die jahrelang bewährte Praxis, dass ein 8-10 stelliges Passwort aus Buchstaben, Zahlen und Sonderzeichen eine gute Wahl sei, gilt nicht mehr! Dank schneller Internetverbindungen und gestiegener Rechnerleistung wird sowas mittlerweile in Sekunden geknackt. Zumindest wenn das Gerät nicht nach einer Handvoll Falscheingaben gesperrt wird (nur deshalb kann man Bankkarten noch mit 4stelligen Pins benutzen). Je länger desto besser.

Weil man sich sowas schlecht merken kann, gibt es unterschiedliche Empfehlungen: entweder die Nutzung eines Passwortmanagers, der Zugangsdaten verschlüsselt speichert. Oder das gute alte Notizbuch. Solange man es nicht verliert oder neben der Tastatur liegen lässt. Wobei das zu Hause so eine Sache ist: wenn die bösen Jungs neben der Tastatur stehen, hat man ganz andere Probleme am Hals.

Weiterführenden (englischsprachigen) Lesestoff zum Thema liefert Experte Brian Krebs:

Auf Deutsch informiert Heise Security:

Nachtrag

Heute Abend das Router-Passwort überprüft. Natürlich viel zu kurz. Beim Ändern festgestellt, dass nur max. 14 Zeichen erlaubt sind. Und das können nur Zahlen und Buchstaben sein. Umlaute geht schon nicht. ARGH. Allerdings kann auch der Username 14 Zeichen lang sein (evil grin) Außerdem läuft das Ding nur, wenn auch der PC an ist. Naja.

Wohin mit Scheckkarten?

Meine Spaßkasse informiert mich, dass mit meiner EC-Karte demnächst kontaktlos bezahlt werden kann. GiroGo. Zahlen ohne Pin oder Unterschrift. Ah ja.

Mittlerweile kann man mit jedem aktuellen Smartphone die Daten teilweise (?) auslesen. Stichwort NFC (Near Field Communication). Je nach Antenne scheint das auch über größere Entfernungen zu gehen. Also gehe ich davon aus, dass die bösen Buben gleich alles auslesen können. Oder demnächst können werden.

Deshalb wollte ich sicherheitshalber einen mechanischen Schutz für meine Karte. Klar könnte man das auch irgenwie selber basteln, aber wer will schon eine Aluminiumkarte in den Geldbeutel stecken? Sogenannte RFID-Schutzhüllen für den neuen Personalausweis gibt es schon lange beim FoeBuD, der sich jetzt Digital Courage nennt. Und von der Firma secrid.

Zufällig habe ich schon vor einer Zeit entdeckt, dass diese schicken Etuis auch bei Schad Pelz und Leder verkauft werden. Also bin ich dorthin gedackelt, habe von Frau Schad eine gute ausführliche Beratung erhalten (das gibts beim Amazonas ;) nie!) und bin jetzt stolzer Besitzer eines netten kleinen Etuis. Hat Platz für die wichtigen Karten und für einen Notgroschen. Klein, handlich, praktisch. Und einfacher Zugriff auf die Karten durch den Schieberegler unten.

Foto Foto Foto Foto

2FA

Fast wöchentlich liest man Meldungen über gestohlene Passwortdatenbanken oder gehackte Accounts. Nicht so schlimm? Naja, bei den Dutzenden Anwendungen benutzen viele die gleichen Passwörter für mehrere Konten ...

Ein besserer Schutz ist die sogenannte 2-Faktor-Authentifizierung (2FA). Nie gehört? Benutzt aber jeder. Beim Geldautomaten. Man hat seine EC-Karte und dazu einen Zahlencode. Das eine ist ohne das andere nutzlos. Im Internet gibt es verschiedene Möglichkeiten.

Ein Verfahren: Man gibt sein Passwort ein, worauf ein Code generiert wird, der als SMS an das eigene Mobiltelefon geschickt wird. Kennt man als mTan-Verfahren. Auch nicht kugelsicher, wie man bei Wikibanking: mtTAN-Verfahren nachlesen kann. Legt die Messlatte für einen Angreifer aber schon viel höher.

Wie immer erkauft man sich höhere Sicherheit durch weniger Komfort. Aber wer möchte schon, dass irgend ein Hacker über Amazon und die hinterlegte Bankverbindung Großeinkäufe macht?

Amazon bietet seit Monaten 2FA an, allerdings noch nicht in den deutschsprachigen Benutzereinstellungen. Dazu muss man einen Umweg über amazon.com machen und braucht ein Mobiltelefon. Heise Security hat dazu eine Bild-für-Bild-Anleitung.

Eine englischsprachige Übersicht von Online-Diensten und den angebotenen Authentifizierungsmöglichkeiten bietet Two Factor Auth List. Tipp: nicht lange über die Kategorien klicken, gleich die Suchfunktion benuten ;-)

Und ja, Du willst JETZT Deinen Amazon-Zugriff auf 2FA umstellen. Gehe nicht über Los, gehe direkt zur Anleitung bei Heise Security