IT Technik und -Sicherheit im Tiroler Oberland

EDV - INTERNET - PROGRAMMIERUNG - IT-SICHERHEIT - DATENSCHUTZ

"Sicherheit ist kein Produkt, sondern ein dauerhafter Vorgang."
(Bruce Schneier)

News...

Stelle dir vor, Du bekommst ein Email und im Betreff steht deine Emailadresse und dein geheimes Passwort.

So ist es uns vor einer Woche gegangen. - Nein, natürlich handelte es sich um eine Benutzername/Passwort Kombination der "unsicheren" Kategorie, die so seit 10 Jahren nicht mehr in Verwendung ist.
Trotzdem: Ein Benutzer, der seit Jahren das selbe Passwort verwendet, wird sich ertappt fühlen. Und dann kommt die Geschichte, vom Surfen auf Webseiten vom Hacken des eigenen Rechners und von einem Video, das seiner Frau zugespielt wird.
Die Erpressungsversuche liegen dann zwischen 1000$ und 3000$ in Bitcoins. Wer die Geschichte glaubt hat verloren...
Bruce Schneier und Brian Krebs erzählen euch, wie das so funktioniert und warum man den Erpressern nicht glauben sollte.
Reasonably Clever Extortion E-mail Based on Password Theft (by Bruce Schneier)
Sextortion Scam Uses Recipient's Hacked Passwords (by Brian Krebs)

Mal ein kreativer Ansatz: Hackerangriff via Fax.

Israelische und US amerikanische Sicherheitsforscher haben eine Lücke gefunden, wie man mit einem Fax Multifunktionsdrucker angreifen könnte.
Zeit-Online Artikel: Manipuliertes Fax ermöglicht Einbruch in Firmennetzwerke

Lidl beendet Projekt mit SAP

Standardisierte Lösungen, wie SAP, sind prinzipiell wohl der bessere Weg der Implementierung. Aber sie sind nicht immer die beste Lösung.
Auch im Kleinst- und Kleinunternehmerbereich können Standardlösungen nicht immer alle Bedürfnisse abdecken. Man aber muss auch nicht immer den Weg einer eigenen Komplettlösung wählen. Manchmal ist die idealste Variante ein Hybridsystem aus standardatisierter Software und individuellen AddOns...
Heise Artikel: "Elwis" ist tot: Lidl stoppt millionenschweres Projekt mit SAP

Sicherheitslücke in Überwachungssoftware

Was bequem für den Administrator oder User ist, ist auch meist bequem für den Hacker...
Heise meldet Sicherheitslücke in Überwachungs-Software Nagios XI

Update Spectre: Browser nicht sicher...

"Die Patches, die Chrome, Edge und Safari gegen Spectre V1 bekamen, verhindern Angriffe auf die Lücke nicht vollständig. Lediglich Firefox ist im Moment sicher." zum Artikel von Heise...

Email Sicherheit

Eigentlich hätten wir keine DSGVO benötigt, um Emails sicher zu halten.
Email ist ein Kommunikationskanal, welcher bei unverschlüsselter Übertragung die Sicherheit einer Postkarte aufweist.
Der heutige technische Standard in unseren Landen ist, dass Emails nur mehr verschlüsselt übertragen werden. Sollte man sich darüber nicht im Sicheren sein, kann man den Techniker des Vertrauens nachschauen lassen.
Für den normalen Geschäftsverkehr ist diese Sicherheitsmaßnahme auch sicherlich ausreichend. Man schickt ja auch Geschäftsbriefe selten in versiegelten Kuverts mit Durchleucht-Schutz eingeschrieben, oder?
Bei vertraulichen Daten reicht dies aber oftmals nicht aus. Das Mail in sich verschlüsseln, ist problematisch, weil der Empfänger die selbe Software benötigt. Also was tun, wenn man ab und an vertrauliche Daten per Mail versenden möchte?
Eine einfache Methode ist, die Daten per komprimierten Archiv mit Passwortschutz zu versenden. (ZIP File)
Nun sind allerdings gerade diese zip Files in Verruf gekommmen, da sie gerne als trojanisches Pferd für Schadsoftware verwendet werden.
Hier unser Tipp, wie es sauber und sicher funktioniert:

  • Komprimieren Sie die Dokumente mit einem sicheren Passwort: Unzusammenhängend, mind. 8 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Schreiben Sie im Mailtext, dass das Archiv verschlüsselt ist, und dass der Empfänger auf einem anderen direkten Kanal (z.B. SMS) das Passwort erhält. Schicke niemals das Passwort in einem weiteren Mail hinten nach oder schreibe es ins Mail.
  • Versende das Passwort über den anderen Kanal.

Dadurch kann sich der Empfänger sicher sein, dass das Archiv gezielt versandt wurde und hat - bei SMS - gleich eine Rückrufnummer, sollte es noch Zweifel geben.

Bruce Schneier on spying

Der Sicherheitsexperte in einem Gastkommentar auf CNN über den Überwachungs-Markt...
"there are 2500 to 4000 data brokers in the United States"...
Ich würde gerne eine Komponente mit einwerfen: WIR geben die Daten frei zur Verfügung, haben einen Kontrakt, dass im Gegenzug Social Network unsere Daten verwenden kann. WIR Installieren Fun-Apps, verzichten auf Schutzmaßnahmen, ziehen keine rote Linie zwischen Öffentlichkeit und Privatleben.
Eine günstige und einfache Multi Deivce Security Lösung für alle Geräte schützt schon fast. Man muss sie nur auch benutzen, indem man z.B. regelt, welche App am Smartphone welche Daten haben darf.
Was wir aber immer vergessen ist: Data Broker können Daten zusammen führen, die wir getrennt veröffentlichten. Was wir in Social Media stellen, sollten wir daher immer für Broker als "öffentlich" betrachten. Auch dann, wenn wir's für Anwender als "privat" markieren. Bruce Schneier on CNN: "It's not just Facebook." (english)

Computersicherheit vs. Features. Sicherheit von Programmen und Apps

Im Editorial des aktuellen C'T schreibt Fabian A. Scherschel einen Apell an Programmierer, welchen wir wohl vorbehaltlos unterschreiben können. Wir würden uns ebenfalls freuen, wenn Software auch an ihrer Qualität und Sicherheit bewertet wird. Hier sind aber vorwiegend kritische Konsumenten gefragt.
"Echt jetzt?" Editorial c't 2018/8

Malware attackiert Router

...Kaspersky Lab hat eine Malware aufgedeckt, welche gezielt MikroTik Router attackiert. Lt. dem Sicherheitsunternehmen scheint es sich hierbei um Schadsoftware aus der Quelle einer Überwachungsbehörde handeln.
zum Artikel von Jon Fingas (endgadget)

Tracking von Benutzern ohne Cookies...

Jeder kennt die "nervigen" Cookies Meldungen. Tracking ist allerdings auch ohne diese - inzwischen verpönten - Helferlein möglich.
Im Jänner berichtete Heise über eine einfache Methode, für welche die "Autofill" Funktion des Browsers verwendet wird.
Gleichzeitig ermöglicht diese Methode den "Datenklau" von Email Adressen und anderen persönlichen Angaben.
zum Heise Artikel