Ich lese gerade in dem Artikel "Spam kommt als Termineinladung", dass neuerdings Spam und Viren auch als Termineinladung verschickt werden. Wir nutzen intern Outlook, um unsere Termine zu koordinieren. Wenn unser Intranet mit dme Internet verbunden wäre, dann wären wir wohl auch betroffen. Der Rat, um sich davor zu schützen gibt mir allerdings zu denken:
TrendMicro will diese neuen Angriffsmethoden schnellstmöglich in die Antiviren-Datenbank aufnehmen. Bis dahin solle man keine Einladungen von unbekannten Personen annehmen.
Hey, welcher gesunde Mensch nimmt Termineinladungen von wildfremden Personen an, die er nicht kennt? Leben die in einer anderen Dimension oder gibt es Geschäftsmodelle, die darauf basieren Termine über das Internet mit wildfremden Menschen zu machen? Also mit Menschen mit denen man vorher noch nie Kontakt hatte und die sich auch auf niemanden berufen den man selber kennt?
Nachdem jetzt klar ist, dass verschlüsselte Festplaten keine Sicherheit bieten, dachte sicher so manch einer, dass man Daten ja auch auf gesicherten USB-Sticks ablegen kann. Denkste!
Im Heise-Artikel "Sichere USB-Sticks geknackt", der ursprünglich in der ct 05/2008 stand, wird skizziert, wie man die Sticks knacken kann. Ich habe zwar von der Firma gleich drei gesicherte Sticks, allerdings ohne Fingerabdruck-Erkennung, sondern ganz altmodisch mit Passwort bzw. PIN. Vielleicht macht sich ja einer der Kollegen die Mühe mal mittels Knoppix zu booten und das Tool auszuführen. Ich selber stecke zur Zeit bis zum Hals in anderen Dingen…
Aus irgendwelchen gründen flutschte der hier durch den SPAM-Filter und musste manuell bearbeitet werden. Aber weil er so witzig ist, gebe ich den Text hier wieder:
Leider muessen wir Ihnen zur Kenntnis bringen , dass
eurer Kreditkartenkonto gesperrt wurde.
Der Grund dafuer ist ,dass wir vor kurzem mehrere Betrugsversuchungen
an unseren Kunden bemerkt haben und, dass wir uns versichern moechten,
dass in der Zukunft solche Faelle nicht mehr passieren werden. Nachdem
Sie das Konto entsperrt haben , empfehlen wir es Ihnen fuer ihre Sicherheit, die E-mails Passwort zu wechseln.Um Ihren Konto zu aktivieren, bitten wir Sie, dass Sie Ihre Identitaet unter bestaetigen.:
Wenn jemand Betrugsversuchungen für seine Kunden bemerkt, dann sollte er die wohl schnellstens beseitigen. Man möchte doch andere nicht in Versuchung führen, oder?
Die IP-Adresse gehört angeblich seinem Server in Süd-Korea, sagt IP2Location.com. Damit wäre auch gleich das miese deutsch erklärt…
Herr Felten ist immer wieder für einen Schocker gut. In dem Artikel "Forscher: Festplattenverschlüsselung ist leicht zu knacken" wird beschrieben, wie die Festplattenverschlüsselungen geknackt werden können. Natürlich nicht im Detail. Aber es wird deutlich, dass das für Profis keine echte Hürde ist.
Bislang ertrug ich die Festplattenverschlüsselung meines dienstlichen Laptop eher stoisch, weil es ja der Sicherheit dient. Es ist ein offenes Geheimnis in der Firma, dass die Kisten dafür immer langsamer werden. Möglicherweise beißen sich Fragmentierung und Verschlüsselung ganz besonders stark.
Jetzt wissen wir:
Seine Festplatten zu verschlüsseln ist nicht so richtig sicher.
Heute gefunden in der PC-Welt 3/2008, aber noch nicht ausprobiert:
Wenn man sein Passwort vom Windows-Benutzer "vergessen" hat, dann kann man sich mit dem "Offline NT Password & Registry Editor" behelfen. Einfach damit booten, die Partition auswählen und schon kann man für einen Benutzer ein neues Passwort vergeben.
Als ich letztes Jahr die Schlagschlüsselmethode kennen lernte, war ich schon schwer entsetzt, wie einfach die handelsüblichen Haustürschlösser geknackt werden können. Wie ich jetzt bei Prometeo sah, können die Laptopschlösser (mit denen man seinen Laptop irgendwo an ketten kann) noch viel einfacher geknackt werden. Leider habe ich so eine Sicherung nicht, sonst würde ich das sofort ausprobieren:
Ganz konkret bedeutet das doch, dass man diese Sicherungen gleich in die Tonne kloppen kann. Ist schon irgendwie blöd, wenn man darauf vertraut und dann auf die Nase fällt. Gerade neulich waren doch ein paar Fälle in der Presse in denen es um brisante Laptop-Diebstähle ging (hier und hier). Die waren nicht gesichert, weder vor Diebstahl noch verschlüsselt. Wie wir jetzt wissen, hätte so ein Kensington-Schloss auch nichts genutzt…
Auf Heise.de wird in dem ältlichen Artikel "Leichte Beute" beschrieben, wie man die Schlösser mit einem in Diebeskreisen üblichen Bolzenschneider noch schneller killen kann. Am Schluss stehen noch ein paar konkrete Tipps:
Als Abschreckung gegen Diebe, die das Notebook weiter benutzen oder verkaufen wollen, genügen oft schon einige uncoole Aufkleber oder an prominenter Stelle eingebrannte Firmenlogos.
Statt sich auf einen Diebstahlschutz zu verlassen, sollte man sich und das Notebook lieber auf den Ernstfall vorbereiten. Damit zusammen mit dem Notebook nicht auch die Früchte der eigenen Arbeit verschwinden, genügt ein regelmäßiges Backup. Daten, die nicht in fremde Hände gelangen dürfen, sollten nur so kurz wie nötig auf dem Mobilrechner bleiben und besser noch auf einem externen USB-Stick liegen. Gegen neugierige Blicke auf den Festplatteninhalt sichert die Festplattenverschlüsselung auf BIOS- oder Betriebssystemebene.
Weitere Tipps zum Schlösser knacken findet man übrigens im "MIT – Handbuch zur Schloßöffnung". Es ist zwar von 1991, aber die normalen Schlösser sind seitdem nicht wesentlich weitergekommen, manche Hochpreisigen hingegen schon – und sei es nur im Preis.
Bei heute.de kann man nachlesen, dass im Landgericht Köln jetzt klar gestellt wurde, welchen Pflichten "verständige, technisch durchschnittlich begabte" Online-Banking-Benutzer unterliegen, um sich vor Betrügereien zu schützen.
Den leichtsinnigen Nutzer treffe nämlich ein Mitverschulden, sagten die Richter. Er bleibe ganz oder teilweise auf seinem finanziellen Schaden sitzen.
Und das sind die Maßnahmen:
ein aktuelles Anti-Virenprogramm
eine Firewall
stetige Aktualisierung von Betriebssystem und benutzter Software, also Browser usw.
man darf PIN und TAN niemals per E-Mail oder telefonisch weitergeben
es wird erwartet, das man gefälschte Mails und Internetseiten erkennt, wenn sie charakteristische Merkmale aufweisen:
Genannt werden sprachliche Mängel in den Betrugsmails sowie falsche Internetadressen, die völlig anders aussehen als die gewohnte Bankadresse. Beginne die Internetadresse ohne "https://" und fehle das Schlüsselsymbol in der Statusleiste des verwendeten Browsers, sei besondere Vorsicht geboten. Dann nämlich laufe die Kommunikation mit dem Bankrechner über eine ungesicherte Verbindung. Datendiebe könnten "mithören".
Das Verändern der Standardeinstellungen des Browsers ist jedoch ebenso wenig notwendig, wie die die Installation von Spezialsoftware oder das arbeiten mit eingeschränkten Benutzerrechten. Man muss weder die Zertifikate der Internetseiten überprüfen, noch besonders trickreiche Internet-Adressen erkennen können, also z.B. sehr ähnliche Adressen.
Das sind meiner Ansicht nach ganz vernünftige Forderungen, in die sich technische Laien mit etwas Mühe einarbeiten können. Außerdem sind die genannten Maßnahmen generell zu empfehlen…
Als ich 2002 mal dienstlich in die USA reiste, hatte ich natürlich meinen Firmenlaptop dabei. Und darauf befanden sich Programme und Unterlagen, die ich den Kollegen bei Microsoft präsentierte. Es war ja schließlich kein Erholungsurlaub.
Vorgestern erzählte mir ein Kollege, dass es verboten sei, Laptops mit verschlüsselten Festplatten mit i die USA zu nehmen. Ich hielt das für Unsinn: selbstverständlich sind bei uns alle Laptops, die ab und an mal das Haus verlassen, so gesichert. Aber nach der Lektüre des Artikels "Datenschutzalarm: US-Zöllner durchstöbern Laptops und Handys" denke ich da anders drüber:
Immer wieder gibt es Beschwerden, vor allem von vielreisenden Geschäftsleuten, dass an US-Flughäfen begeistert und hemmungslos digitale Daten ausgeforscht und oft auch kopiert werden. Manchmal werden Laptops auch einfach beschlagnahmt, und mancher Geschäftsreisende sah den Firmenrechner anschließend nie mehr wieder. Nicht nur Computer interessieren die Grenzschützer in den USA – auch Handys und sogar MP3-Player nehmen sie sich vor, auf der Suche nach verdächtigem Material.
Die einzige Chance ist ja dann tatsächlich der Einsatz von TrueCrypt oder derartigen Tools, die die verschlüsselten Dateien erst dann in ein zugängliches Laufwerk entpacken, wenn man es veranlasst. Dann können die Jungs suchen, sie sehen aber nur was sie sehen dürfen. Alle Firmengeheimnisse bleiben dann verborgen…
PS: Weiß jemand, ob an der Story mit dem Einfuhrverbot verschlüsselter Laptops was dran ist?
Update 26.6.2008: Auf Heise.de wird über ein Anhörung im US-Senat berichtet, weil es massive Proteste gegen diese Aktionen gibt.
Ich bin gar nicht sicher, ob man da von einer Sicherheitslücke sprechen kann, denn eigentlich ist es ja ein Scheunentor… Die Internet-Seite der japanischen Finanzaufsicht veröffentlicht doch tatsächlich einfach alles, was andere ihnen sagen. Offenbar hatten die bislang noch kein Problem mit Kommentar-SPAMs…
In Obertshausen wurden interessierte Buerger vor dem Wahllokal, in dem sie den Aufbau der Wahlcomputer beobachten wollten, abgefangen, das Betreten des Wahllokals verweigert, ihre Personalien festgestellt, eine Anzeige wegen Stoerung der Wahl angekuendigt und der Hinweis auf die Paragraphen im Wahlgesetz zur Oeffentlichkeit der Wahl mit dem Spruch “Sie haben hier gar keine Rechte!” beantwortet.
Leider bin ich sofort geneigt solche Berichte zu glauben…
Update: Inzwischen berichtet auch Heise-Online darüber.
Update 2: Und bei netzpolitik.org, dort ist auch ein Link auf ein hastiges (weil untersagtes?) offizielles Schreiben, dass vor Wahlbeobachtern warnt. Was ist schlimmes an Beobachtern? Das klingt aber so als gäbe es dort etwas zu verbergen, was man schon mit bloßem Auge erkennen kann.
Was lange gemunkelt wurde, hat jetzt der Datenschutzbeauftragte von Google zugegeben: Google durchsucht auch Mails und speichert die Begriffe zu der IP-Adresse, um mit dem gesammelten Wissen personalisierte Wrebung treiben zu können.
Ob es stimme, dass Google systematisch den Inhalt von E-Mails durchkämme, wollen die Abgeordneten wissen. "Wir müssen E-Mails scannen", lautet Fleischers Antwort. Die elektronische Post werde aus Sicherheitsgründen geprüft, um Spam und Viren abzuwehren. Aber auch, "um Schlüsselworte für die Werbung herauszufiltern". Wer also einen Freund in Brüssel per Mail nach Tipps für japanische Fisch-Spezialitäten befragt, kann ebenso zur Zielscheibe des "verhaltensgesteuerten Marketings" werden.
[…]
"Da muss man ja mit seinen E-Mails richtig vorsichtig sein", reagiert die liberale Abgeordnete Sophia in't Veld auf die Ausführungen der Industrie-Vertreter und besonders Googles verblüfft. Sie ist in großer Gesellschaft: "Die meisten Verbraucher wissen nicht, wie ihre Daten verwendet werden", stellt Kommissarin Pamela Harbour vom US-Handelsausschuss FTC fest.
Komischerweise hänt sich die ganze Diskussion daran auf, ob die IP-Adresse den Bezug zu einer Person herstellt oder nicht. Sollte das der Fall sein, dann darf Google die Daten nicht speichern. Dann wären es personenbezogene Daten. Andernfalls ist das völlig rechtens.
Unabhängig von der Rechtslage halte ich die Aktion für unmoralisch und ethisch falsch.
Zwölf Sicherheitsexperten haben für das SANS-Institute die Liste der 10 größten Sicherheitsbedrohungen in diesem Jahr erstellt ("list of the attacks most likely to cause substantial damage during 2008"):
Webseitenangriffe über Browserlücken bzw. eher deren Plugins (wie Flash oder QuickTime)
Massenangriffe durch "verbesserte" Botnetze
Cyber-Spionage, die angeblich teilweise auch staatlich unterstützt wird
Angriffe auf Mobiltelefone (besonders iPhone und Googles Android) und Voice-over-IP
Insider-Angriffe auf Unternehmensdaten
Fortgeschrittener Identitätsdiebstahl
Aggressivere Spyware
Sicherheitslücken in Web-Anwendungen (verursacht durch Cross-Site-Scripting, SQL-Injection oder andere Programmierfehler)
"verbessertes" Social-Engineering, dass zu Phishing in VoIP oder zu Event-Phishing führt, z.B. als Stellenangebote getarnte Phishing-Angriffe an Arbeitssuchende
Infektion von Speicherchips bei Lieferanten für USB-Devices, Photo-Frames oder GPS-Geräten
Die lange Liste ist wieder mal ein Zeichen dafür wie viel Geld man mit diesen kriminellen Methoden verdienen kann. Leider wird die eigene Online-Aktivität von zwei Seiten immer blöder: viele nützliche oder interessante Dinge werden seitens des Staates verboten und die Kriminellen machen das Verbleibende immer gefährlicher. Irgendwie drängt es sich mir auf, dass der Gesetzgeber doch eher die Ehrlichen unterstützen und die Gauner einschränken sollte…
Stattdessen greifen die neue Gesetze nur bei den "Normalverbrauchern", z.B. muss ich aufpassen welche Tools ich noch verlinken darf und welche nicht. Die Kriminellen juckt das natürlich nicht, die denken sich weiter miese Tricks aus.
