Archiv der Kategorie: IT Sicherheit

Phishing mit Twitter, Facebook,WhatsApp und Co

Phishing über Email ist zu einer Plage geworden. Täglich gehen auf meinem allgemeinen Email Konto etwa fünf Phishing Versuche ein. Viele Phishing Anfänger versuchen, mit verfügbaren Phishing Tools und seit Jahren bekannten Tricks Benutzer zu einem Klick auf einen Link zu bewegen. Neu ist z.B. der Trick bei dem mit einem Klick auf OK zur  Cookie Nutzung (wird von EU verlangt) zu einer  Phishing Seite weitergeleitet wird.

Nachdem aber selbst unbedarfte Webnutzer den Trick mit der Email kennen geht man jetzt zu Phishing Links z.B. mit WhatsApp, Facebook,,Twitter  (Twitter Phishing NYT) , MMS oder anderen Messaging Services über.

Hier sorgen dann die einfältigen Benutzer für die Verteilung der Phishing Nachrichten. Es wird empfohlen auf automatisch generierte Nachrichten bei Social Media überhaupt nicht oder nur mit äusserster Vorsicht zu reagieren.

Es ist nicht verständlich, dass selbst Email Plattformen wie Googlemail altbekannte Phishing Schemes nicht erkennen und martieren. Ein Virus auf dem PC oder Handy ist für die Benutzer wesentlich schädlicher als ein sogenannter „Hasskommentar“. Hier könnte der Gesetzgeber etwas sinnvolles für die Bürger tun und von den Plattformbetreibern wirksame Phishing Filter verlangen.

Häufig werden Phishing Links auch in Kommentaren platziert. Deshalb gebe ich Kommentare nur nach Prüfung frei. Achtung: man kann aber nicht verhindern daß Links später geändert werden oder ine Weiterleitung zu einer Phishing Seite eingerichtet wird. Die Prüfung eines Links oder einer Webseite sollte immer unabhängig vom Absender erfolgen. Der größte Teil der Webnutzer hat nicht die für eine Prüfung notwendigen Kenntnisse – Experten haben meist keine Zeit zur Prüfung. Deshalb sollte man auch Nachrichten von alten Webhasen nicht trauen.

Falsches Alibi durch Fußfessel – GPS Jammer

GaunerNicht nur die deutsche Polizei hat Probleme der Überwachung von „Gefährdern“. In den USA ist eine Fußfessel offensichtlich ein zu komplexes Gerät für amerikanische Polizisten. Der Schütze, der eine Frau in Washington D.C. erschoß, hatte ein wasserdichtes Alibi. Die Polizei hatte ihm eine Fußfessel verpasst. Die GPS Signale zeigten an, daß der Mörder  zur Tatzeit brav in seiner Wohnung weitab vom Tatort war. Trotzdem wurde er am Tatort gesehen und identifiziert. Des Rätsels Lösung: Dem Täter war früher ein Bein amputiert worden und er trug eine Beinprothese. An dieser Prothese befestigte ein Polizist die Fußfessel. Der Täter legte nun sein „offizielles“ Bein in seiner Wohnung ab und war mit einer Ersatzprothese unterwegs.

Man kann sich eine GPS Tarnung aber einfacher besorgen. Chinesische Firmen bieten kleine GPS Jammer in Größe einer Zigarettenschachtel für etwa 20 $ an, mit denen man die GPS Signale in einem Umkreis von 15 m lahm legen kann. Man kann dann durch GPS nicht mehr geortet werden, selbst wenn Böswillige oder der mißtrauische Ehepartner einen GPS Sender am Auto angebracht haben. Geräte mit größerer Reichweite werden von Firmen und vom Militär eingesetzt, um z.B. Drohnen, die sich selbst mit GPS steuern, abzuwehren. In der Nähe des neuen US Präsidenten wird man wohl bald kein GPS mehr empfangen können. Die NSA wird dann aber auch die Zuhörer nicht einfach identifizieren können. Natürlich gibt es auch GPS Jammer, die das Mobiltelephon z.B. im Restaurant oder an bestimmten Orten lahmlegen um z.B. bei Raub einen Anruf bei der Polizei zu verhindern.

Natürlich sind diese Geräte in Deutschland und anderen Staaten verboten. Allerdings gibt es alleine in der Umgebung von Washington D.C. über 100 Anbieter von GPS und GSM Jammern. Die Gauner sind den Ordnungskräften da sicher einen Schritt voraus.

Vorsichtige sollten wieder lernen ihr Auto nach Verkehrsschildern und mit Karten aus Papier ans Ziel zu bringen.

Autofill Superfishing mit Safari und Chrome

CyberwarkerZur Zeit gehen viele Emails bei mir ein, in denen man aufgefordert wird, ein Formular auszufüllen und per Email abzusenden. Themen der Emails sind z.B. Gewinne, Angebote für Prämien, Drohbriefe usw. Dahinter steht meist eine neue Art von Phishing mit der viele Benutzerdaten durch Autofill Phishing abgegriffen werden. Betroffen sind dabei die „komfortablen“ Browser wie Safari und Chrome sowie Derivate dieser Browser. Der Firefox Browser ist davon nicht betroffen. Grundsätzlich sollte man keiner Aufforderung folgen, auf einen Link zu einer unbekannten, ungewollten Webseite zu klicken.

Es wird empfohlen speziell Passwörter nicht durch Autofill und auch nicht durch Copy/Paste (auch bei Firefox) einzugeben. Da die Daten im Copy/Paste Buffer von jeder beliebigen besuchten Websites ausgelesen werden können. Grundsätzlich wird empfohlen, das automatische Nachladen von externen Inhalten im Browser zu sperren sondern nur nach Bestätigung durch den Benutzer zu erlauben. Das ist sehr wirksam gegen versteckte Angriffe aber leider auch lästig, da viele Webseiten externe Inhalte nachladen.

Siehe auch: Passwort Diebstahl – komplizierte Passwörter sind sinnlos

Cyberwarker gesucht

CyberwarkerIn der S-Bahn beklagten sich neulich zwei IT-Arbeiter über ihr trostloses Dasein in einem Entwicklungslabor einer großen IT-Firma. Die Kapriolen des höheren Managements und die begrenzte Einsicht ihrer direkten Manager bescherte ihnen wohl ein recht freudloses Dasein. Zu Recht beklagten sie sich, dass zur Zeit nur Sicherheitsexperten attraktive Arbeit und ordentliche Löhne erhalten könnten. Genau das hätten sie aber an den deutschen „Hochschulen“ nicht gelernt.

Auf diesem Gebiet sind Länder wie Russland u.a., in denen anders als in Deutschland Mathematiker und Informatiker hoch geachtet werden, uns offensichtlich weit voraus. Die russischen Militärs haben mit ihren Methoden (siehe NY Times Artikel) offensichtlich kein Problem, das notwendige Fachpersonal zu rekrutieren. Auch das englische Militär konnte 1000 Cyberwarker relativ einfach anwerben.

Das deutsche Militär arbeitet offensichtlich mit einer anderen Strategie und versucht Mitarbeiter ohne Hauptschulabschluss zu heuern. Wer wenig weiß kann auch wenig verraten!

Die Bundestagswahl 2017 verspricht spannend zu werden – wer wird welche Partei, wo und wie unterstützen? Die Parteien versuchen sich gerade mit einigen Mitarbeitern mit Facebook und Twitter vertraut zu machen. Julia Klöckner, CDU Rheinland-Pfalz, kann da sicher einige Tipps geben, wie man mit einer exzessiven Twitter Kampagne eine Wahl verlieren kann. Interessant werden aber die Beeinflussungvon außen sein. Die deutschen Parteien haben weder genügend Knowhow noch die Mittel entscheidend in den Cyberwar einzugreifen.

Beim Chaos Computer Club Kongress konnte man ein wenig in das Milieu hinein schnuppern. Die Profis trifft man dort allerdings nicht.

 

Yahoo Diebstahl über Fake Cookies

HackerDen Weltrekord für Verlust von Benutzer Daten hält nun Yahoo. Über 1 Milliarde Benutzerdaten mit Namen, Geburtstag, Telefon Nummer, Passwörtern usw wurden mit einer Attacke abgegriffen, die Sicherheitspraktiker schon lange kennen, die aber offensichtlich die Organisatoren der Yahoo Website nicht kannten oder nicht beachteten. Die Hacker fälschten die von Yahoo erstellten Cookies für Zugriff ohne Passwort.  Offensichtlich hatten sie Zugriff auf die „geheimen“ Programme von Yahoo mit denen diese Cookies erstellt und verwaltet werden.

Dies ist ein klassischer Fall von „Security through Obscurity„,  der bekanntlich irgendwann schief geht. Diese Methode wird aber immer wieder verwendet. Früher z.B. für die PINs der deutschen Banken, für die Zugriffscodes deutscher Autos usw. Man will sich damit ein komplexes Management der Schlüssel für die Verschlüsselung der Daten sparen und den Benutzer nicht mit der häufigen Eingabe von Passwörtern vertreiben.

Während Mathematiker immer komplexere Verfahren zur Verschlüsselung der Daten entwickeln, weiß der erfahrene Hacker, daß man Fehlstellen in den komplexen Abläufen zur Erstellung und Verwaltung der Schlüssel suchen muss oder Pfade, die nicht sicher sind.  Eine Schwachstelle findet man immer. Je komplexer die Systeme werden, desto häufiger wird man Schwachstellen finden. Es gibt ganz wenige Sicherheitsexperten, die komplexe Systeme ganzheitlich betrachten und analysieren können. Der größte Teil der Experten und der Sicherheits IT Industrie ist auf Jahre hinaus noch in der Lernphase. Damit wird z.B. das Internet of Things (IoT) in den nächsten Jahren extrem gefährdet sein. Eine gute Nachricht:  die Daten privater Benutzer werden uninteressant,  sie sind im Web bereits weitgehend verfügbar.

 

PayPal Phishing mit Adressen aus Deutschland

 Zur Zeit wird massenhaft ein recht plumper PayPal Phishing Versuch verschickt. Dabei werden sowohl Email Adressen und Server Namen mit .de Endung verwendet. Früher wurden solche Attacken noch zu Servern im Ausland geleitet. Das ist selbst für digital Naive verdächtig. Jetzt benutzt man offensichtlich deutsche Email Adressen (1&1) und deutsche (oder britische in Deutschland) Host Domains. Mit WhoIs kann man leicht feststellen dass z.B. die Domain startdedicated.de dem Hostmaster intergenia AG gehört. Nun kann sich ein Hostmaster sicher nicht um alle Kundenserver kümmern. Er sollte aber eine Webmaster Email Adresse angeben, bei der Mißbrauch gemeldet werden kann. Bei der intergenia AG scheinen aber die Eigentumsverhältnisse und die Zuständigkeiten ziemlich kompliziert zu sein. Will man sich als Deutscher bei einer Firma in England beklagen, hat man wohl wenig Aussicht auf Erfolg. Als Web Helfer hat man schließlich keine Lust mit sich mit Firmeninterna zu beschäftigen. Als Kunde sollte man aber Hoster meiden, die nicht konsequent gegen SPAM Schleudern vorgehen. Deren Domains kommen schnell auf Sperrlisten. Da möchte man nicht unbedingt betroffen sein. 

__________________________________________

paypal_phish

 

 

 

Email Source Code der PayPal Attacke:

Return-Path: <kundenservice_reply37@online.de>
Received: from mout.kundenserver.de ([217.72.192.73]) by mx.kundenserver.de
(mxeue006 [212.227.15.41]) with ESMTPS (Nemesis) id 0Ma3rv-1c20ya0ciF-00LpB9
for XXXX@.XXXXX.com>; Sat, 17 Dec 2016 18:27:47 +0100
Received: from malta1003.startdedicated.de ([85.25.214.7]) by
mrelayeu.kundenserver.de (mreue102 [212.227.15.183]) with ESMTPSA (Nemesis)
id 0LlWdD-1cqoB424AR-00bHPV for <hhenn@portaleco.com>; Sat, 17 Dec 2016
18:27:46 +0100
From: „PayPal Sicherheitsteam“ <kundenservice_reply37@online.de>
Subject: Ihr PayPal Konto – Wichtige Mitteilung
To: XXXXXXXXXXXXXXX
Content-Type: multipart/related; boundary=“97Mvk2isFTs2BhqCkCTk94RDtQUrOyf=_g“
MIME-Version: 1.0
Organization: PayPal Sicherheitsteam
Date: Sat, 17 Dec 2016 18:27:36 +0100
Message-ID: <0M8QnS-1cW6We2t4E-00vxSm@mrelayeu.kundenserver.de>
X-Provags-ID: V03:K0:sZjNLeYfDV7UdPrJJ1ThSr1sgQ/0F2VLuyhBNtUQceonrhEmYbY
cQ4UD8oqPf4pHch47MhVeOwvJ40p6ovGlCipyHaQ0CDAqJkBqrronu6wna0tkd5P32Pc7LL
NiUhrI5Y9vzbfk1sp31zfcxT/Z/jEofTbJv5O34OGbRDV769Vq42H+/VqgwB3T0f7dUHgi2
17BdyNSkINyoyHGSBG1ww==

 

Hillary Clinton digital naiv – das Ende von Email in den Führungszirkeln?

Portaleco Symbol

Ideen

Die IT technischen Kenntnisse von Politikern und Führungskräften in der Industrie sind begrenzt. Meist können sie nur mit Google irgendetwas im Internet suchen und Email lesen und schreiben. Nun hat Email aber einen entscheidenden Nachteil: Sensitive Informationen werden an die Adressaten verteilt, werden auf fremden System gespeichert und können von dort weiter verteilt oder gar gestohlen werden. Es ist fast so, als ob man Geldscheine auf der Straße auslegt und hofft niemand würde sie aufheben.

Wie so häufig im Leben schützt Unkenntnis nicht vor Strafe. Besonders schlimm hat es Hillary Clinton getroffen, die fürchten muß, daß es kurz vor der Wahl noch zu unangenehmen Enthüllungen ihrer Email kommen wird. Auch die Manager im Abgasskandal wissen jetzt, was man besser nicht über Email regeln sollte. Die New York Times ruft nun die Snapchat (für persönliche Nachrichten) und Periskope, Meerkat (Homemade Video Wahlwerbung) Wahlen aus. Mal sehen was unsere Politiker für die Bundestagswahl 2017 daraus lernen.

Für die komplexe Organisation einer Wahlkampagne wird man aber doch schriftliche Mitteilungen, Terminpläne, Dokumente usw benötigen. Hierfür sollte man eine private Portal Infrastruktur verwenden. Kundige können ein solches Portal für Hunderte von Wahlhelfern und eine offene Website in wenigen Tagen aufbauen (Kosten etwa 200 €/Jahr). Mein PrivatPortal steht aus Datenschutzgründen in der Schweiz! Mit dem privaten Portal  kann man alle Daten auf verschiedenen Ebenen zentral verwalten und den Zugriff regeln und kontrollieren. Die Daten kann man nach der Wahl vom Netz holen und muss nicht damit rechnen bei der nächsten Wahl mit den eigenen Fehlern konfrontiert zu werden.

Wichtige Absprachen (wie z.B. die Grünen und die Schwarzen in Baden-Württemberg) sollte man lieber wie früher im Hinterzimmer machen oder auf dem Golfplatz wie die Amerikaner. Alte Hasen wie Ferdinand Piech haben das schon immer gewußt. Er schenkte schon mal einem Jagdgenossen einen PC, um die Organisation einer Jagd zu erleichtern. Wichtige Entscheidungen hat er aber nur in seinem Büro den Herren Winterkorn und Co als Wunsch mitgeteilt und nie angeordnet. So sind immer die Kutscher auf dem Bock schuld und nicht die Lenker in der Kutsche.

Die deutschen Parteien sind in Sachen IT hyperaktiv aber völlig rückständig. Sie sind auch nicht in der Lage größere IT gestützte Systeme aufzubauen. So bleiben die Tweets von Julia Klöckner , die langweiligen von Andrea Nahles und der Tagesrekord von 70 Tweets von Dietmar Gabriel  die besten Mittel im Kampf um die Wähler. Spannend wird es in den USA. Mal sehen was die deutschen Parteien von der Trash Kampagne in USA übernehmen.

Meine Tipps für Direktkandidaten

Pokemon Go – ein Google Ableger sammelt Daten

Hacker und BeamtePokemon Go scheint der neue Renner bei Online Spielen zu werden. Interessant ist dabei, dass sich der Besitzer eines bekannten Spiels, eine Marke in der Industrie, mit einem Ableger von Google, Niantic zusammengetan hat. Wesentlicher Bestandteil von Pokemon Go ist die Verknüpfung der Realwelt (das kommt von Google) und der virtuellen Spielwelt von Nintendo. Pokeman Go nutzt auch die Geo-Software und die Cloud Infrastruktur von Google. Nintendo hat weder die Software Entwickler noch die Fähigkeit eine Infrastruktur für Millionen von Spielern aufzubauen.

Lädt man sich Pokemon Go auf sein Smartphone  und meldet man sich mit seinem Google Konto an, dann gewährt man Pokemon Go Zugriff auf alle persönlichen Google Daten. Für die Spielentwickler macht das durchaus Sinn, da sie dann das Spiel besser personalisieren können z.B. die Abstimmung mit „Freunden“ und Lokationen.

Sehr schnell wird man in unseren Städten ähnlich wie in Australien und USA Pokemon Go Freaks mit gesenktem Blick aufs Smartphone durch unsere Städte laufen sehen, die Google ihren jeweiligen Aufenthaltsort und Fotos ihrer Umgebung schicken. Da muß Google keine Streetview Autos mehr durch die Städte schicken. Die Pokemon Go Kunden liefern diese Daten freiwillig an Google. Nun muß man sich an dieser Aktion ja nicht beteiligen. Unfreiwillig wird man als Passant aber von den vielen Pokemonisten auf ihren Fotos erfaßt. (Kleiner Google Tip: „So schaltet ihr in Deutschland die Gesichtserkennung frei“). Man braucht sich aber keine Sorgen machen – es gibt ja ein neues Abkommen mit USA, das die Weitergabe von Daten von EU Bürgern an die NSA und US Firmen regelt. Über die direkte Erfassung von Daten durch US Firmen, bei denen die EU Bürger freiwillig mitmachen, wird in dem neuen Abkommen natürlich nichts ausgesagt. Im Save Harbour sind die Daten ja sicher – für Schiffe, die unterwegs sind, gilt das natürlich nicht. Daran haben unsere Digital Naiven in den Parlamenten und den Behörden noch nicht gedacht! Pokemon Go ist ein schönes Beispiel wie mit einem Internet Basis Service eine „alte“ Industrie, im Beispiel Computerspiele, übernehmen kann. Die Kandidaten, die selbst keine Geotechnologie haben und sich Google in die Arme werfen wollen, stehen schon Schlange.

Pokemon Go braucht die Geodaten der Kunden um interessante Orte für das Spiel zu erkennen und dann in das Spiel einzubauen. Damit wird Pokemon Go zu einer wichtigen Datenquelle ein Versuchsfeld für Systeme zur Optimierung von Orts- und Personenbezogenen Daten. Die Konkurrenz kann damit immer weniger mithalten.

Geo-Sperren und Info-Filter umgehen

Video nt availableGreift man von Deutschland aus auf Internet Dienste im Ausland zu, z.B. weil man eine Sendung im öffentlichen Fernsehen eines anderen EU Landes ansehen möchte, so wird man häufig blockiert. Meist liegt es daran, dass die öffentlich rechtlichen Sender gespart haben und nicht die Rechte für die gesamte EU von den Autoren eingekauft haben. Läuft im Hintergrund einer Sendung irgendein Musikstück, speziell aus USA, wird es rechtlich meist so kompliziert, dass selbst Gutwillige aufgeben. Das Versagen unserer Europa Politiker bei der Schaffung eines gemeinsamen Internet-Rechts wird da offensichtlich. Dabei wäre das eine sinnvolle Spielwiese für unsere Politiker, weil es da nicht viel lokales Recht in den EU Staaten gibt.

Technisch kann man GEO-Sperren umgehen, indem man über einen Vermittlungs-Server zugreift, der im Zielland steht, z.B.über DNS Server oder ein VPN z.B. TunnelBear.

TunnelBear CtrlDer VPN Service von TunnelBear ist sehr benutzerfreundlich – TunnelBear gibt es als APP für den PC, iPhone und Android. Nach der Installation wählt man einfach das Land aus, von dem man auf den Zielserver zugreifen möchte, und stellt den Schalter auf ON. Der TunnelBear Service wird von einer kanadischen Firma angeboten, die Server in allen gängigen Ländern hat. 500 MB Daten/Monat sind frei – das reicht für übliche Webanwendungen aus. Will man allerdings Netflix oder US Video Sendungen ohne Limit streamen kostet das 42 $/Jahr.

GeoLoc-USADer Server sieht dann einen Benutzer, der über eine IP Adresse aus USA zugreift. Nun kann man Benutzer im Internet nicht nur an der IP Adresse identifizieren (Was verrät meine IP Adresse und meine Hardware). Sucht man z.B. mit Google über die US IP Adresse wird man ähnliche Ergebnisse angezeigt bekommen, wie wenn man von Deutschland aus zugreift. Will man aber wissen was der Standard-Amerikaner von Google serviert bekommt wenn er „Donald Trump gun“ eingibt, sollte man zunächst Englisch als Sprache im Browser und in Google einstellen und Logout bei Google machen. Ich verwende für den Zugriff über Tunnel Bear nicht meinen Standard Browser Firefox, sondern den Microsoft Edge Browser und die BING Suchmaschine, die z.B. für USA eingerichtet sind. Verwendet man eine spezielle Suchmaschine wie z.B. DuckDuck Go, so wird unter der Decke Google aufgerufen und man hat wieder alle Google Info Filter.

Die Lokation des Benutzers kann man natürlich ganz einfach über die GPS Daten erhalten. Auf dem Handy sollte man deshalb die Ortungsdienste ausschalten oder sperren. Auch die emulierten Ortungsdienste auf dem PC, Bluetooth und WLAN sollte man ausschalten. Beim Microsoft Edge Browser gibt es ein Lokation Feld im Browser – das sollte möglichst nicht auf Berlin stehen, wenn man in USA recherchiert. Netflix benutzt z.B. fast alle Tricks um den tatsächlichen Aufenthaltsort des Benutzers herauszubekommen. Google warnt sogar wenn man von einer ungewöhnlichen Lokation zugreift. Das ist gut gemeint um die Benutzer vor Hackerangriffen zu schützen. Da Hacker aber natürlich auch VPN kennen, ist das kein wirklicher Schutz.

Security Pakete wie z.B. Norton AntiVirus zeigen TunnelBear als riskante Verbindung an. Das ist auch richtig weil VPN Netzwerke natürlich auch für Hacking ideal sind. Man muss die Verbindung separat freischalten. Grundsätzlich sollte man das VPN Netzwerk nur während der Zeit einschalten in der es bewußt benutzt wird.

Die Nutzung von VPN Netzwerken wird durch staatliche rechtliche Regelungen aber auch AGBs der Anbieter eingeschränkt. Die Rechtslage ist in der Regel aber äusserst unklar – das kann z.B. in USA sehr teuer kommen. Interessant ist die Nutzung eines VPNs (das machen alle großen Firmen), wenn man die unterschiedlichen rechtlichen Regelungen für den Internetverkehr umgehen will. So darf die NSA z.B. Datenverkehr aus dem Ausland beliebig abgreifen, während man innerhalb des US Netzes zumindest einen gewissen formalen Schutz genießt.

Für im Ausland tätige Firmen ist es wichtig, das Bild der Firma wie es ein ausländischer Kunde in seinem Land sieht, regelmäßig zu kontrollieren. Im schlimmsten Fall wird die Firmeninformation von Google total gefiltert. Dann hat man wohl für Google Anzeigen zu wenig bezahlt.

Warum WhatsApp die Daten verschlüsselt

DiebDie Manager von Google und WhatsApp sorgen sich keinesfalls um ihre Kunden. Da mit WhatsApp nun auch Bilder verschickt werden können landen Fotos auf den Servern von WhatsApp, die illegal sind z.B. Pornographie oder mit Copyright geschützte Bilder.  Da können nach US Rechtssprechung Klagen im Wert von Milliarden $ auf WhatsApp zu. Weitere Klagen drohen wenn es Hackern gelingt, private Daten abzugreifen. Durch die Verschlüsselung der Daten mit Schlüsseln, auf die auch WhatsApp keinen Zugriff hat, vermeidet WhatsApp alle diese Risiken. Wenn es bei US Firmen ums Geld geht müssen selbst NSA und FBI klein beigeben.