Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - Archiv 2005

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

23.12.2005 - Sehr peinlich für Symantec und McAfee

Die Virenschutzsoftware von Symantec und McAfee hat, wie jetzt entdeckt wurde, Schwachstellen, die von Böswilligen ausgenutzt werden können. Das ist eigentlich ziemlich peinlich, wenn die Software, die ich extra zu meinem Schutz kaufe, auch Schwachstellen enthält.

Diese Geschichte hier ist eine sehr gute Illustration der Forderungen eines NSA Mitarbeiters auf einer Sicherheitskonferenz, nämlich, dass er Assurance von den Sicherheitsprodukten erwartet (PDF, englisch). Was er damit meint, ist, dass ein Sicherheitsprodukt (und eigentlich jede kommerzielle Software) nicht nur die Funktionalität bieten sollte, die der Hersteller propagiert, sondern auch dagegen gefeit sein muss, dass ein böswilliger Angreifer nicht andere, nicht erwünschte Funktionalitäten (d.h. "bugs") für seine bösen Zwecke missbrauchen kann. Zu diesem Zweck müssen diese bösen Intentionen bereits im Design-Prozess, bei der Entwicklung selbst und vor allem beim Testen bereits einkalkuliert werden. Dies geschieht ganz offensichtlich nicht, siehe oben.


22.12.2005 - Wirtschaftskriminalität in Österreich

Der Standard berichtet über eine PWC-Studie Wirtschaftskriminalität. Danach ist in dieser Hinsicht Österreich alles andere als eine "Insel der Seeligen".

Nach Gesprächen mit dem Ko-Autor auf dieser Website Max Burger-Scheidlin, der auch für diesen Artikel befragt wurde, stellen sich die Gründe für Wirtschaftskriminalität etwas komplexer dar. Da wären z.B.

Die Gegenmaßnahmen müssen auf 2 Ebenen liegen. Einmal in der Verbesserung des Unternehmensklimas und zweitens in besseren Kontrollmechanismen, z.B. in Anlehnung an SOX oder KontrAG.

 


22.12.2005 (aktualisiert)- Gefährliche Grußkarten

Und rechtzeitig zum Fest kommen Warnungen, dass auch die "Bösen" die Grußkarten entdeckt haben und dass es mittlerweile Websites gibt, die kostenlose Grußkarten anbieten, die beim Anklicken Schadsoftware installieren, z.B. Spyware oder Adware. Also, äußerste Vorsicht ist bei Grußkarten empfohlen, im Zweifelsfall lieber so wie ich es tue, ich lösche das Mail und bedanke mich beim Absender für die gute Intention.

Hier die Warnung von Sophos über die Grußkarten. In dem dort dargestellten Fall wird der Benutzer darüber informiert, dass er ein Programm installiert. Andererseits gibt es viele Wege, z.B. über Active-X oder über JavaScript-Tricks, mit denen auf einem Computer, der nicht ganz auf dem letzten Stand ist auch ohne Rückfragen Software zu installieren.

Probleme mit Grußkarten und anderen Weihnachtsgoodies, wie z.B. spezielle Cursor und Icons, berichtet auch Tech-Republic. Sie listen eine ganze Reihe von Greetingcard-Websites, die alle Popup-Programme für Werbezwecke und sog. "researchware" installieren. "researchware" ist ein neuer Euphemismus für Malware, die das Verhalten des Benutzers, z.B. bei Einkäufen im Internet, auswertet und weiterberichtet.

heise.de berichtet über Weihnachtswürmer. Einer verschickt sich mit 2 Anhängen, der eine spielt ein Filmchen ab, der zweite spioniert den Rechner aus, telefoniert heim und verschickt sich an Adressen, die er gefunden hat. Ein anderer arbeitet mit Messenger Systemen.

 


12.12.2005 - Peinlich für eBay

heise.de und andere berichten, dass das eBay-Fraud Team ein offensichtliches Phishing Mail als legitim eingestuft haben. Das zeigt, wie schwer es mittlerweile wird, Phishing-Mails sicher zu erkennen.

Ergebnis ist allerdings, so wie es scheint, nicht eine riesige Welle von Internet-Nutzern, die viel Geld verlieren, sondern es scheint, als ob das Vertrauen in E-Mail und Internet das eigentliche Opfer ist. Eine Studie von MailFrontier zeigt, dass mittlerweile viel legitime Mails als Phishing eingestuft werden.

Anders, aber doch ähnlich: der Messenger-Wurm IM.Myspace04.AIM verschickt an die Kontakte der Benutzer einen Link auf eine .pif-Datei. Wenn der Empfänger misstrauisch nachfragt, sie antwortet der Wurm mit "lol thats cool" oder "lol no its not its a virus". Wenn der Empfänger dann auf den Link klickt, so installiert sich der Wurm und beginnt das Spiel von Neuem mit den Kontakten des neuen Opfers.

 


2014 - Sony hat es wieder geschafft

Ein anderes Thema, eine andere Tochterfirma, diesmal Sony Pictures, aber ähnlich peinlich (oder noch ein Stück mehr):

Sony Pictures war über einige Zeit von noch unbekannten Hackern unterwandert und die haben, so wie es jetzt aussieht, ALLE Daten des Unternehmens abziehen können und dann eine "verbrannte" IT-Infrastruktur hinterlassen: Peinlich: Sonys Passwort-Liste hieß "Master Password Sheet". Es scheint, als hätte Sony Pictures so gut wie alles falsch gemacht, was im Bereich IT-Sicherheit möglich ist.

    Hier gibt es die umfassendste Analyse und Timeline des Angriffs - sehr empfehlenswert. Auch lesenswert die Zusammenfassung von Bruce Schneier, der betont dass er eine ganze Reihe von Möglichkeiten für Firmen gibt, zumindest die Folgen solcher Angriffe zu minimieren - man muss nicht so viele Fehler machen wie Sony Pictures.

    Und hier eine sehr gute Zusammenfassung des Sony-Krisenmanagements und des Schadens: "Now, five weeks into the episode, Sony’s internal technology is still impaired. Executives estimate that a return to normal is at least five to seven weeks away."

Die Hacker sind offenbar auf brutale Rache aus: Emails von Angestellten und vom Management werden veröffentlicht, viel Peinliches wird öffentlich diskutiert. Filme, Gehaltslisten, Sozialversicherungsnummern, mehr Passworte und viele interne Unterlagen sind öffentlich verfügbar - das ganze ist extrem peinlich. Der wirkliche Hintergrund ist extrem unklar, es gibt Hinweise in Richtung Nordkorea, aber alle Zuordnungen sind beim Cybercrime sehr problematisch, siehe dieser Wired-Artikel. Jeder Entwickler kann vor einer Compilierung seinen PC auf "koreanisch" einstellen. Und die Tatsache, dass Experten die Programme der Angriffstools als Anfänger-Qualität einschätzen (was als Beweis gewertet wird, dass die Profis aus Nordkorea sich bewusst verstellt haben), ist kein wirklicher Beweis. (Es kann in der Welt der Cyberangriffe außer einer physischen Beobachtung des Hackers keinen wirklichen Beweis geben). Trotzdem droht Obama jetzt, zurückzuschlagen.

Gizmodo betont, dass das eigentlich traurige und erschreckende die Collateral-Schäden der Unbeteiligten sind: The Sony Hacks Are Goddamn Terrifying. Weil alle Mails veröffentlicht wurden, nicht nur die das Managements, sind von den Angestellten jede Menge kleine, eigentlich harmlose, Peinlichkeiten jetzt in der Öffentlichkeit. Natürlich gilt: private Details gehören nicht in Firmenmails, aber wer sagt denn, dass nicht das nächste Mail gmx, apple, gmail oder hotmail gehackt wird. Wir alle verlagern immer mehr Daten auf fremde Rechner und die werden in immer größerer Zahl gehackt.

Die Sony-Story geht immer weiter: eine andere Filmgesellschaft hat ihren geplanten Nordkorea-Film gestoppt und die Internetverbindung nach Nordkorea ist shaky, es ist unklar, was dahinter steckt.

Hier eine Sony-Timeline der Ereignisse.

Die US-Regierung beschuldigt Nordkorea und will zurückschlagen. Hier gibt es eine ausführlich Auflistung von Gründen, warum Nordkorea als Angreifer eher unwahrscheinlich ist. Mehr zum Thema Hackback an anderer Stelle.

Bruce Schneier erklärt in einem Artikel, dass die Behauptung der US-Behörden sie wüssten sicher dass es Nordkorea war, wohl sehr clever ist. Sie vermittelt den anderen Ländern dass du USA in der Lage sind, auch gut versteckte Angriffe zurückzuverfolgen und dass jeder Angreifer mit einem Gegenschlag rechnen muss (so wie ja auch ganz zufällig in den Tagen nach der Anschuldigung für einige Tage die Internetanbindung von Nordkorea ausgefallen war). Sehr peinlich würde es nur dann, wenn sich jetzt die wirklichen Angreifer melden würden (so es nicht Nordkorea war) und den Bluff aufzeigen würden. Hier zeigt er einige mögliche Angreifer auf.

Neue Artikel berichten, dass die NSA durchblicken lässt, dass sie schon viele Jahre in den nordkoreanischen Systemen unterwegs sind und deswegen wissen, wie das gelaufen ist (die Details finden sich in den verlinkten Orginal-Artikeln von NY Times und Spiegel).

19.11.2005 - Sony - Mit DRM gründlich ins Knie geschossen

Man kann über die Berechtigung von Kopierschutz ja evtl. noch geteilter Meinung sein (solange dies so implementiert ist, dass man die CD auf allen seinen Abspielgeräten, auch dem Computer und im Auto spielen kann), aber sich so gründlich mit einem Kopierschutz ins Knie zu schießen, wie jetzt Sony, das ist schon eine Leistung. Sony hatte seit Mitte 2004 begonnen, auf Musik-CDs eine Software aufzubringen, die sich beim Einlegen der CD in den Computer selbst installiert und dann auch gleich wieder dafür sorgt, dass der Benutzer sie nicht mehr sieht. Es wird geschätzt, dass diese Software auf bis zu einer halben Million Rechnern installiert wurde. Die Funktion des Programmes ist, dass sie versucht, ein Kopieren der CD zu verhindern und außerdem meldet sie an Sony, wann immer die Musik gespielt wird. Und so etwas nennt man heute Spyware und solche sollte eine Firma wie Sony nicht ungefragt auf den Rechnern seiner Kunden installieren.

Am 31.10. hat das aber dann jemand gemerkt und in seinem Blog veröffentlicht. Bereits am 9.11. gab es mehrere Schadprogramme, die den vorher von Sony installierten Nebelschirm ausgenutzt haben, um sich selbst zu verschleiern. Und dann geht es weiter: ein deutscher Programmierer sieht sich den Code des Kopierschutzes an und behauptet nun, die von Sony beautragte Softwarefirma hätte sich Teile des Programmes bei einem Open-Source Projekt besorgt (was ja OK ist, wenn Sony die Quelle angegeben hätte). Wegen des Protests gegen die heimliche Installation von (halb geklauter) Spyware hat Sony dann am 11.11. einen Remover für diese Software auf ihre Website gestellt (und dabei ein wenig gelogen, denn diese Software entfernt wohl nicht, wie Sony behauptet, die kritisierte Software, sondern nur die Verschleierungsfeature). - Und wenn der Kunde versucht, die Software einfach zu löschen (die "Essential System Tools" genannt wurde) so hat er eine gute Chance, seinen Rechner vollständig lahm zu legen.

Und dann wird es wirklich arg. Am 15.11. wird entdeckt, dass der De-Installer von Sony, vermutlich aus Unachtsamkeit der Entwickler, auf dem Rechner des Kunden eine Hintertür offen lässt, über den jetzt beliebige andere Websites beliebigen Code auf solchen Rechnern installieren können. D.h. das Problem wird für die Kunden immer haariger.

Bruce Schneier kritisiert, dass die Antiviren-Schutz Anbieter sich offenbar nicht getraut haben, gegen diese Spyware von einer so großen Firma wie Sony vorzugehen und dafür gesorgt haben, dass die Installation dieser Software geflissentlich ignoriert wird und zwar über mehr als 1 Jahr lang. Alle Details dazu auf New Scientist.

Meine Meinung dazu: Es ist für mich schon ziemlich unverschämt, wenn ein Konzern wie Sony sich anmaßt, mit den Rechnern seiner Kunden so umzuspringen. Ich hoffe, dass es irgendeinen Weg gibt, über den Kunden von Sony die Firma auf Schadenersatz verklagen können.

Hier erklärt Cory Doctorow in einem späteren Artikel, warum solche DRM Aktivitäten uns alle unsicherer machen:

23.03.2006
Sony ist nicht allein - deutsche DVDs haben ähnlich eigenartige Effekte

März 2006:
sehr empfehlenswert: eine sehr gute, technische, politische und ökonomische Analyse der Sony CD DRM Episode (PDF). Was die Autoren herausstellen, ist, dass die Hersteller der DRM Software (und nicht unbedingt die Musikfirmen wie Sony) u.a. ein großes Interesse haben, dass ihre Software auf möglichst vielen Rechnern installiert ist. Diese Rechner kontaktieren dann nämlich meist regelmäßig die Website des Unternehmens, holen sich dort neue Schlüssel ab, um die Musik spielen zu können und holen sich vor allem Banner-Werbung ab, die dann auf dem Computer angezeigt wird. Die Autoren zeigen auch ganz deutlich, dass es nicht wirklich möglich ist, die Musik gegen Kopieren durch die Profis zu schützen, aber es fällt diesen Programmen ziemlich leicht, den ganz normalen Benutzer viel Ärger zu bereiten, z.B. indem er seine legal erworbene Musik nicht auf den iPod laden kann, nicht im Auto abspielen, etc.

Sept 2007:
Cory Doctorow schreibt monatlich im Guardian über das Thema DRM. Eine empfehlenswerte Lektüre.

Mai 2008:
Microsoft möchte gern ihre MSN-Music Server abschalten, da sie diesen Musikverkauf aufgegeben haben. Das bedeutet aber, dass dann auch der DRM-Server für die dort eingekaufte Musik nicht mehr verfügbar ist und das bedeutet wiederum, dass die irgendwann mal gekaufte Musik dann nicht mehr von einem Gerät auf ein anderes übertragbar ist. Es hagelt derzeit Proteste gegen diesen Beschluss und Microsoft wird den Server wohl noch etwas länger betreiben.

Das ganze zeigt einen der dicken Pferdefüße des gesammten DRM-Konzepts: die Nutzung von kopiergeschützter Musik geht immer nur so lange, wie der entsprechende DRM-Server verfügbar ist. Microsoft wird so schnell nicht Pleite gehen, aber kopiergeschützte Objekte, die ich von einem kleinen Unternehmen kaufen, können sich jederzeit in Datenschrott verwandeln.

Sept. 2008:
Wieder von Sony, diesmal vermutlich gut gemeint, aber trotzdem nicht wirklich was gelernt: Ein Sony USB-Stick hat einen Fingerabdruck-Leser eingebaut, und der muss irgendwo sein Vergleichspattern speichern und dafür setzen sie einen Rootkit ein, der ein Verzeichnis so versteckt, dass die meisten Antiviren-Programme es nicht finden. D.h. sie verwenden "security-thru-obscurity", was sowieso nicht gut ist und außerdem richten sie ein Verzeichnis ein, in das sich auch andere Malware jederzeit unbemerkt einnisten könnte. - Sony hat offensichtlich nicht viel gelernt.

Mai 2011:
Offensichtlich hat Sony nicht zu viel gelernt, was Informationssicherheit betrifft, in 2011 lassen sie sich 1 Mio. Kundendaten stehlen.

 


17.11.2005 - Malware auch innerhalb von Online-Games

MMORPG ( "Massively Multiplayer Online Role-Playing Game"), das sind übers Internet sehr weit vernetzte Spiele mit einer großen Zahl von Spielern, die immer mehr wie im richtigen Leben funktionieren. (World of Warcraft gilt als größtes Spiel mit 4,5 Mio. Benutzern weltweit.) Diese Spiele werden auch immer häufiger zum Ziel von Leuten, die nicht nur einfach friedlich spielend sich ihre Zeit vertreiben wollen, bzw. im Rahmen des Spiels friedlich ihren Lebensunterhalt verdienen.

Avatar: in der IT eine künstliche Person oder ein grafischer Stellvertreter einer echten Person in der virtuellen Welt, beispielsweise in einem Computerspiel. Diebstahl von Avataren oder von Ausstattungen von Avataren wird 2005 zu einem Sicherheitsproblem

Grund sind u.a. die immer stärker werdenden monetären Aspekte vieler Spiele. Mittlerweile gibt es für Spiele wie "World of Warcraft" eine ganze Industrie, vor allem in China, die gegen Entgelt einen Avatar (die virtuelle Spielfigur) "aufpeppen", d.h. mit neue Acessoirs oder Stärken zu ausstatten (z.B. durch das Bestehen von "Abenteuern"). Der Handel mit solchen verbesserten Avatars ist mittlerweile ein eigener Erwerbszweig geworden, und daher kommt es auf diesem Gebiet auch zu Betrügereien. Oder, wie Nov 2005, zu Diebstahl von Avatars durch das gezielte Einschleusen von Keylogger/Trojaner Programmen auf den Rechnern von Spielern.

DoS: Denial-of-Service-Attacke. Das Lahmlegen von Rechnern, bzw. Diensten. Ein Angriff, bei dem durch eine große Zahl von Anfragen einen Angriff auf einzelne Systeme oder Netzwerke diese lahm gelegt werden. Die verwendeten Anfragen können entweder legitim oder illegitim sein.

Ein anderer Aspekt sind DoS-Angriffe innerhalb des Spiels, die auf Grund der wachsenden Gestaltungsmöglichkeiten durch die Benutzer in Spielen wie "secondlive" (www.secondlive.com) nun möglich sind. Dort können Benutzer eigene virtuelle Gebäude errichten, in diesen Gebäuden virtuelle Services (jeder Art) anbieten und dafür virtuelles Geld nehmen, das aber, z.B. in eBay, auch wieder in richtiges Geld umgetauscht werden kann. Das führt zu so bizarren Ergebnissen wie virtueller Prostitution, letztendlich mit richtigem Geld. Diese Gestaltungsmöglichkeiten erlauben es nun auch, DoS-Angriffe durchzuführen, z.B. durch das Generieren von irgendetwas in einer unendlichen Schleife, entweder aus (wie auch immer gearteten) kommerziellen Gründen, z.B. Erpressung oder einfach aus Übermut.

Fazit: Wenn die virtuelle Welt dem "richtigen Leben" immer ähnlicher wird, so finden wir dort auch alle negativen Aspüekte des "richtigen Lebens", Betrug, Schaden aus Übermut, was auch immer. Über solche Angriffe berichtet Netcraft.com im Nov. 2005.

Aktuelleres zum Thema unter Online Spiele als neues Angriffsgebiet.

 


05.11.2005 - Google meets DNA-Database

Bericht in New Scientist: Ein Kind findet über einen Internet-DNA-Testing Service seinen leiblichen Vater, der anonymer Samenspender war, obwohl der Vater seine DNA nie diesem oder einem anderen Internet-Service zur Verfügung gestellt hat. Der Artikel gibt die Links von Firmen an, die auf DNA-Basis im Internet Personen suchen.

Am anderer Stelle mehr zum Thema DNA-Tests und Privatsphäre.

 


17.10.2005 - Neues von Playmobil

Playmobil weiß, wie man Kinder an Sicherheitsüberprüfungen gewöhnen kann, hier ein neues Spielset von Playmobil. Ist das wirklich ein Markt und gibt es keine besseren Rollenspiele für Kinder?

Irgendwie finde ich das schon ziemlich bizarr. :-(

 

P.s.: Nachtrag nach Diskussion mit Kollegen am Mittagstisch: Diese meinten, da gäbe es noch erhebliche Erweiterungsmöglichkeiten, was wären denn das für Spiele, wenn es nicht auch z.B. kleine Bomben in kleinen Rucksäcken gäbe, die auf diese Weise entdeckt werden sollten. Motto: "wir spielen heute mal Terrorist"

 


30.09.2005 - Neues zu Firefox

Der alternative Webbrowser Firefox wurde bisher in meinen Tipps für grundlegende Gerätesicherheit von PCs, Macs und Smartphones uneingeschränkt empfohlen. Symantec beschreibt jetzt in ihrem Halbjahres Threat Report, dass Firefox den Internet Explorer auf Platz 2 verwiesen hat, zwar nicht in Marktanteilen, aber was die Zahl der Schwachstellen betrifft. :-(

Aber Symantec betont auch, dass die Sicherheits-Updates für Firexfox schnell verfügbar sind. Nur muss man wissen, wo sie zu finden sind, weil sie leider nicht im Menue angeboten werden, sondern durch einen kleinen roten Pfeil rechts oben im Fenster. Wenn der erscheint, gibt es neue Updates.

Ein gutes Beispiel für schlechtes User Interface-Design, denn der normale Anwender erwartet diese Benachrichtigung ja wohl eher im Menue unter Tools oder Extras oder Help. :-(

Dezember 2005 - die neue Version 1.5 hat diese Unschönheit nicht mehr (dafür gelingt es mir nicht mehr, irgendwelche Plug-ins, z.B. die Google-Toolbar, zu installieren. :-(

 


22.09.2005 - TitanRain - Die Profis kommen immer stärker

3 Meldungen nach meinem Urlaub:

TechRepublic berichtet über den Wurm Myfip, der nur eine sehr geringe Verbreitung hat (vermutlich gewollt) und daher nicht in der Presse erwähnt wird. Wenn er in einem Firmennetz ist, so durchforstet er die Laufwerke und schickt folgende Dateien "heim", nach den IP-Adressen vermutlich Richtung China (der Angriff wird in der Regel als TitanRain bezeichnet):

Das ist automatisierte und flächendeckende Industriespionage. In den .mdb Dateien sind dann wahrscheinlich noch die Kunden und die Zulieferer der Firmen drin.

Symantec berichtet im neuen Threat Report, dass Schadsoftware mit Spyware-Funktion von 50% der 50 meistverbreiteten Schädlinge (letztes Halbjahr 2004) auf 75% im ersten Halbjahr 2005 angestiegen ist. Dabei geht es aber immer noch hauptsächlich um das Ausspähen von Passworten für Internetbanking. Symantec sagt, Geltungssucht tritt immer mehr gegenüber Profitsucht als Motivation für Hacker zurück.

Die Kunden des Internetbankings sind mittlerweile ziemlich verunsichert, eine Reihe von Umfragen zeigt ein Stagnieren oder gar Rückgang der Kunden beim Internetbanking. Z.B. Forrester Research.

Hier eine weitere Notiz aus dem April 2007 zu targeted Attacks.

 


21.07.2005 - Practical Jokes und Betrug mit hohen Kosten bei eBay

Das ist natürlich unvermeidlich, wo so viel umgesetzt wird, da gibt es auch Betrug und da können beträchtliche Schäden entstehen. Wie wichtig es bei eBay ist, ein sicheres Passwort zu haben (mindestens 8 Zeichen, mit Groß- und Kleinbuchstaben, Zahlen und möglichst auch einem Sonderzeichen. Es gibt Beispiele, wo sich jemand einen "Spaß" gemacht hat und für andere extrem teure Sachen ersteigert hat. Das dumme ist, dass Gerichte bereits entschieden haben, dass ein Ersteigern bei eBay ein gültiger Vertragsabschluss ist. Das heißt, der vermeintliche Käufer sitzt auf der Ware für mehrere Hunderttausend. Wenn es ein vermeintlicher "Spaß" ohne Auswahl der Person war, so sind solche Angriffe noch einfacher, als wenn der eBay-Account einer speziellen Person geknackt werden soll. Der Angreifer geht einfach davon aus, dass es jemand gibt, der z.B. das Passwort "susi" verwendet. Er probiert solange verschiedene Account, bis er einen gefunden hat. D.h. alle einfachen Passworte sind gefährdet, auch ohne dass man jemand hat, der einem übel will. Mehr zum Thema Passworte generell.

Aber auch richtiger Betrug kommt sehr oft vor. Hier ein Artikel: Bei eBay über den Tisch gezogen. Tipps und Links gibt es in meinen Sicherheitstipps für Heim-PCs und Apple Rechner.

Update 23.7. ORF - -Zitat Beginn:
Kein finanzieller Schaden für betrogene eBay-Benutzer: Das versprach gestern Abend der Geschäftsführer von eBay Österreich, Anton von Rüden, in einer Aussendung.

Denn wenn ein Betrugsfall glaubwürdig vorliegt, dann sei laut eBay keine Rechtsgrundlage für ein Geschäft gegeben. In Niederösterreich wurden in der vergangenen Woche zwei Betrugsfälle bekannt, wo das Passwort von eBay-Nutzern geknackt und von deren Account teure Produkte ersteigert wurden.

"Keine rechtlichen Verpflichtungen"

"Entgegen der genannten Medienberichte gehen wir davon aus, dass den betroffenen Nutzern in den genannten Fällen kein finanzieller Schaden entstanden ist", sagte Von Rüden in der schriftlichen Stellungnahme.

"Sollte es nach einem Passwortmissbrauch zu Käufen oder Verkäufen kommen, entstehen für den ursprünglichen Inhaber des betroffenen Mitgliedskontos keine Kosten und keine rechtlichen Verpflichtungen."

Bei den beiden Betrugsfällen in Niederösterreich entstand ein Schaden von 216.000 bzw. von 350.000 Euro. Beide Geschädigten erstatteten bei der Polizei Anzeige -Zitat Ende-

 


18.07.2005 - Internet- und Telefonüberwachung

Die Anschläge in London werden zu einem extremen Angriff auf die Privatsphäre genutzt. Und dabei haben gerade die Anschläge gezeigt, dass die flächendeckende Überwachung durch Videokameras in London nichts verhindert hat. Auch eine Speicherung aller Telefonverbindungen und E-Mails hätte dies nicht verhindert.

ARGE Daten schreibt: Mit dem Plan der Vorratsdatenspeicherung von Telekom- und Internetdaten wird ein demokratiepolitsch gefährlicher Weg eingeschlagen. Durch diese Überwachungsaktion wird erstmals systematisch vom verfassungsmäßig geschützten Grundsatz der unbeobachteten Kommunikation abgegangen.

Politiker, die für diese Vorratsspeicherung eintreten, rütteln an Grundfesten einer demokratischen Gesellschaft.

Im Ergebnis führt die flächendeckende Aufzeichnung von Kommunikationskontakten zur Abschaffung von Schutzbestimmungen, wie dem Redaktions-, dem Rechtsanwalts- oder dem Ärztegeheimnis. Auch Unternehmensspionage wäre auf Knopfdruck möglich. Von den horrenden Kosten einer flächendeckenden Datenaufzeichnung ganz zu schweigen.

ARGE Daten hat dazu eine Protestseite eingerichtet: http://www.freenet.at. Mehr zum Thema Vorratsdatenspeicherung

 


13.07.2005 - PUP, PUS und PUSSware

Politisch korrekte Bezeichnung (d.h. verschleiernde Beschönigungen) gibt es nun auch im Informationssicherheitsbereich. Spyware und Adware heißt da heute PUP (potentially unwanted programms) oder PUS (Potentially Unwanted Software) oder auch PUSSware (Potentially Unwanted Software Services).

Eine nette Glosse dazu: http://www.thundercloud.net/infoave/politically-correct-rant.htm.

 


01.07.2005 - Die FTC greift durch

In den USA hat sich bezüglich der Nachlässigkeit im Umgang mit der personenbezogenen und vertraulichen Daten einiges getan. In 2004 wurde in Kalifornien ein Gesetz verabschiedet, dass Firmen zwingt, bei Verlust von vertraulichen Personendaten an Unbefugte, die Betroffenen zu informieren. Dies hat zu einer Welle von Veröffentlichungen solcher Schlampereien geführt, die dann wiederum die Politiker wach gerüttelt hat. Neuer Höhepunkt: Juni 2005- 40 Mio. Kreditkarteninformationen bei Card Systems.

Die FTC der USA (Federal Trade Comission) beginnt, empfindliche Auflagen zu verhängen. Und zwar nicht nur in Fällen, bei denen akut etwas passiert ist, sondern auch schon dann, wenn die Privacy Policy auf der Website mehr Sicherheit verspricht, als die Firma halten kann. Ansatzpunkt für diese Strafen ist der faire Wettbewerb, den die Wettbewerbshüter bei falschen Versprechen verletzt sehen.

In Österreich ist das anders: der Büroleiter im Bundeskriminalamt sagt, dass er von einem ähnlichen Gesetz nichts hält. "Wie will man jemanden in die Pflicht nehmen, der damit nicht herausrückt?" - Na, indem man die Firmen, die gegen Gesetze verstoßen, mit einer Strafe belegt.

Warum geht das in Österreich nicht?

 


16.06.2005 - Neue Schwachstellen

Die Sicherheitsexperten kommen gar nicht nach, sich über neue Schwachstellen zu beunruhigen. Diese Woche gibt es neue Sicherheitspatches von Microsoft, u.a. wird eine Schwachstelle im 3. Image-Format behoben, nämlich in png. Angriffe mittels präparierter Bilder in jpeg und gif waren bisher bereits möglich. Wieder die gleiche Problematik, der Angegriffene braucht auf keinen Anhang zu klicken oder eine Installation erlauben, das Betrachten der Website reicht bereits. Schutz: keine Administrationsrechte auf dem Rechner plus aktueller Virenschutz plus aktuelle Sicherheitspatches.

Stichwort WLAN: bisher war es nötig, dass zum Knacken einer mittels WEP verschlüsselten Verbindung diese aktiv sein muss, d.h. es mussten viele Daten fließen. Es gibt eine Reihe von Tools, die WEP Pakete sammeln und wenn genügend Daten beobachtet wurden (ca. 3 Mb) eine Entschlüsselung beginnen, z.B. über eine brute force attack mit einem Programm wie WEPCRACK. Es gibt allerdings heute (Ende 2004) auch Angriffstools (active attack vectors), die den nötigen Verkehr selbst erzeugen und dadurch auch bei inaktiven Netzen schnell auch eine 128-bit Verschlüsselung knacken. securityfocus.com und tomsnetworking.com

Stichwort Bluetooth: Früher war es für einen Bluetooth-Angriff wichtig, dass der Angreifer das sog. Pairing abhören kann. Dabei wird bei beiden Geräten eine PIN eingegeben und ab dann können die Geräte miteinander kommunizieren, für immer. Daher war der Tipp, solch ein Pairing in einer sicheren Umgebung durchzuführen. Ein Wissenschaftler hat jetzt gezeigt, dass er jederzeit 2 Geräte zwingen kann, das Pairing später zu wiederholen. Die dann eingegebenen PINs (in der Regel nur 4-stellig) sind in Bruchteilen einer Sekunde zu knacken. Danach kann der Verkehr der Geräte abgehört werden, bzw. es können die Daten der Geräte ausgelesen werden. heise.de und die Wissenschaftler selbst.

 


17.05.2005 - Bruce Schneier zum Thema Nachrichten

One of the things I routinely tell people is that if it's in the news, don't worry about it. By definition, "news" means that it hardly ever happens. If a risk is in the news, then it's probably not worth worrying about. When something is no longer reported -- automobile deaths, domestic violence -- when it's so common that it's not news, then you should start worrying.

Das ist zwar ein wenig übertrieben, aber es ist leider ein großer Teil Wahrheit darin. Nur was ungewöhnlich ist, ist wert, berichtet zu werden. Bruce behauptet, es sterben mehr Menschen durch Schweine als durch Haifische, was ich nicht nachprüfen kann. Der ganze Beitrag befindet sich auf dem Blog von Bruce Schneier

Zum gleichen Thema, nämlich wie verzerrt die Risiken oft erscheinen, hier von einem anonymen Security Officer einer Firma in den USA:

The total number of deaths from all attacks on Sept. 11, 2001, was approximately 2,988, according to the National Center for Health Statistics. The top 10 causes of other deaths in the United States in 2001 were the following.

The 9/11 deaths were classified within a category called assaults/homicides, which was the 13th leading cause of death at 20,308.

[Hier die weltweite Statistik der verschiedenen Todesursachen lt. WHO in 2001 (deutsch).]

Was beide sagen: Das viele Geld, das in Anti-Terrorismus-Maßnahmen gesteckt wird, könnte mehr Menschenleben retten, wenn es im Bereich der Gesundheit oder der Unfallvorsorge investiert würde. Aber bitte nicht so, wie gleich im nächsten Beitrag erwähnt, der bringt nämlich für die Verbesserung der Gesundheitsversorgung nur sehr wenig.

 


13.05.2005 - Gesundheitstelematikgesetz - Ersatzlos streichen

Silvia Brabec schreibt in der Computerwelt 10|5|2005

Österreich nahm – müde von Pensionsreform und Vergrasserung im Schüsselland – keine Notiz davon: Von der Bevölkerung unbeachtet trat das GTelG in Kraft. Geplant im Windschatten der Finanzierung des Gesundheitswesen, unter Ausschaltung des Ärztegeheimnisses ohne Berücksichtigung der Patientenrechte und – selbstredend für dieses Land – ohne öffentliche Begutachtung. "Das Gesetz stammt aus der Steinzeit des Datenschutzes", moniert Hans G. Zeger, Mitglied des Datenschutzrates. Der zentrale Kern: Zugriff aller Gesundheitsdiensteanbieter auf alle Gesundheitsdaten, die bei anderen Gesundheitsdiensteanbietern vorliegen. . . . . . . .

Der ganze Beitrag befindet sich in der Computerwelt.at

Von Befürwortern eines direkten Zugriffs auf Patientendaten wird oft angeführt, dass wenn jeder von uns eine Smartcard mit Blutgruppe, Unverträglichkeiten und der Krankengeschichte mit sich trüge, so könnte bei Einlieferung eines bewusstlosen Patienten schneller die Behandlung begonnen werden. Das stimmt aber nicht, denn wer sagt denn, dass die Karte die jemand bei sich hat, nicht in Wirklichkeit seinem Bruder gehört (z.B. weil der eine bessere Versicherung hat und daher ein wenig "gemogelt" wurde). D.h. wann immer Blut übertragen wird, so wird IMMER vorher die Blutgruppe bestimmt, das ist gängige Praxis und würde sich nicht ändern. Und vorher gibt es nur neutrales Blutplasma. Und eine fehlende Eintragung einer Unverträglichkeit bedeutet nicht, dass diese Unverträglichkeit nicht evtl. doch besteht. Lebenskritische Entscheidungen dürfen nicht auf Grundlage von Datenbankeinträge gefällt werden, ohne dass deren Richtigkeit zumindest plausibel gemacht wurde. Es gibt zahlreiche Gründe, warum der Eintrag falsch sein könnte.

Mehr zum Gesetz bei der ARGE DATEN.

 


04.05.2005 - Kundenfreundlichkeit - oder sollte das lieber KundenUNfreundlichkeit heißen?

Mein Kabelanschluss zu Hause wurde am Mittwoch von tplus auf chello umgestellt. Seitdem habe ich keinen Internetanschluss mehr. :-(

Anruf bei upc/chello (wie im Schreiben von tplus empfohlen). Auskunft vom chello-Helpdesk, tplus-Kundendienst anrufen, "da können wir gar nichts machen". Anruf beim tplus-Kundendienst: "Dieser Anschluss wurde stillgelegt, rufen sie upc/chello an". Die zweiten 10 Minuten in der Warteschleife, diesmal eine neue Auskunft: Das kann ja gar nicht funktionieren, die Datenübernahme für ihr Kabelmodem hat nicht geklappt, wir haben keinerlei Daten. Bitte geben sie uns durch: Modell, Seriennummer, MAC-Adresse des Modems, MAC-Adresse der Netzwerkkarte."

Ganz viele Fragen tauchen da für mich auf: Wieso akzeptieren es die Techniker bei tplus und bei chello eigentlich, dass die Datenübernahme eben nicht geklappt hat und dass die Kunden schon anrufen werden? Warum wird nicht daran gearbeitet, wie die Datenübernahme doch noch bewerkstelligt werden kann, ohne dass jeder Kunde damit belästigt wird, seine Daten zu recherchieren? Und wie glaubt chello, soll der normale PC-Nutzer wissen, wie er an die MAC-Adresse der Netzwerkkarte kommt?

Ist bei chello eigentlich niemand für Benutzerfreundlichkeit zuständig? Hier meine Vorschläge für denjenigen:
- Stellen Sie das Band bei tplus ab (das mit der Ansage, bei der man im Kreis geschickt wird). Setzen Sie einen Menschen daran, speziell in diesen kritischen Umstellungstagen
- Stellen Sie sicher, dass die Helpdeskmitarbeiter aufhören, frustrierte Kunden auf dieses Telefon zu verweisen, statt die korrekte Auskunft zu geben.
- Stellen Sie sicher, dass die Kunden, die ihre Mac Adresse nicht herausfinden, kostenlos Hilfe dafür bekommen
- bieten Sie den Kunden, die wie ich derzeit ohne Internet-Anschluss sind und so wie ich, dadurch Kosten und Mühen haben, zumindest einen Erlass der Gebühren für 1 Woche an.
- bieten Sie in dieser Umstellungszeit für die ex-tplus Kunden eine verlängerte Zeit für den Helpdesk an, nicht nur von 7-22 Uhr

Übrigens erhöht sich bei dieser ganzen Aktion dann auch noch die monatliche Gebühr für den Kabelanschluss. :-(

 


03.05.2005 - Datensicherungsbänder spurlos verschwunden

Die New York Times von heute berichtet, dass bei Time Warner Datensicherungsbändern mit den Namen und den Sozialversicherungsnummern von 600 000 Personen verloren gegangen sind. Schuld ist die Firma Iron Mountain, die für viele Unternehmen die Sicherungsbänder abholt und die Kiste mit 40 Magnetbändern auf dem Transport verloren hat, obwohl jeder Transportschritt mit Bar-Code Scannern überwacht wurde.

Das wirklich erschreckende für mich ist, dass dies bereits der 4. Vorfall in 2005 ist, bei dem Iron Mountain Datensicherungsbänder "verliert". Die Firma rät, Datensicherungen grundsätzlich zu verschlüsseln.

 


16.04.2005 - "All You Need is Love", oder das Internet als Kind seiner Zeit

Das IP-Protokoll und auch die höheren Protokolle basieren auf der Idee, dass es keine bösen Menschen im Netz gibt und dass niemand (über seine Identität) lügt. Absenderadressen in Paketen werden grundsätzlich als korrekt angenommen. Jeder Router vertraut seinen Nachbarn, jeder DNS-Server vertraut allen anderen. E-Mail kommen von dem Absender, der im Text angegeben ist. Alle Benutzer verhalten sich so, dass jeder das Gemeinwohl im Auge hat.

Das ist auch eine ganze Weile gut gegangen, stößt jetzt aber deutlich an seine Grenzen. Die organisierte Kriminalität hat entdeckt, dass man die Hacker gut für sich arbeiten lassen kann und dadurch risikolos und ohne große Arbeit Banken ausrauben, indem man z.B. einfach die Bankkonten der Internetbanking-Benutzer leer räumt.

Die sog. Phishing-Angriffe werden immer smarter, der EDV-Laie hat kaum noch eine Möglichkeit, eine falsche Website zu erkennen. Sog. Man-in-the-Middle Angriffe erlauben es den Angreifern, sich in beliebigen Internetverkehr, auch wenn er SSL-verschlüsselt ist, hineinzuhängen und die E-Commerce-Verbindungen der Internet-Nutzer für ihre Zwecke zu missbrauchen. Die Angreifer spielen heute nicht nur Banken-Websites vor, sondern auch Reiseportale und andere kommerzielle Websites. Mittlerweile geht man davon aus, dass die Mehrzahl der Computer am Internet von Trojanern infiziert ist, viele davon als sog. Zombies für kriminelle Zwecke ferngesteuert werden.

Wie kommen wir da raus? Mehr dazu unter dem Stichwort Haftung

 


13.4. - Phishing wird immer gefährlicher und immer schwerer zu durchschauen :-(

Neue Meldungen über neue Angriffe: Kriminelle stellen Websites ins Internet, auf denen Flüge gebucht werden können, billiger als auf den gängigen Reiseportalen. Die Buchungen finden gar nicht wirklich statt, aber der Kunde gibt die Kreditkarte und weitere vertrauliche Informationen ein. Hier mehr dazu.

 


31.03.2005, Diskussion zu
"Wer ist eigentlich Schuld an der Phishing-Misere?"

In der Glosse "Die Dummheit des Bankkunden", die gerade in der Computerwoche veröffentlicht wurde, schreiben Christian Reiser und ich darüber, dass die Banken mehr Hilfe für ihre Kunden anbieten sollten, um denen ein sicheres Internetbanking zu ermöglichen. Gestern hatte ich ein Gespräch mit einem Bankenmitarbeiter, der das erst mal nicht als Aufgabe der Banken sah. Er brachte den Vergleich mit dem Auto. Da muss der Kunde sich auch selbst darum kümmern, dass es sicher ist.

Meine Replik: "Nein, wenn ich den Wagen wegen einem Ölwechsel in die Werkstatt bringe, so erwarte ich, dass ich auf die abgefahrenen Bremsbelege oder den undichten Ölschlauch sehr wohl aufmerksam gemacht werde". Genauso hätte ich gern, dass meine Bank sich meinen Rechner mal anschaut und mir sagt "also, mit dem Ding, würde ich kein Internetbanking machen, so wie der verwanzt ist". Und die Umsetzung wäre extrem einfach, nämlich ein Button auf der Website "Online Check gegen Spyware".

Und warum eigentlich nur die Banken? Warum sollte, wenn amazon.de mich als Kunde mit "willkommen zurück, Herr Schaumann" wiederbegrüßt, mir nicht auch ein Online-Check auf Spyware angeboten werden, immerhin bin ich ein guter Kunde und sie könnten mir diese Hilfe anbieten. Und ebenso eBay und die anderen Websites, deren Kunde jemand ist. Dieser Service kostet für das Unternehmen bestimmt nicht viel, und es wäre ein durchaus angemessenes Zeichen, dass an den Sprüchen bez. Kundenfreundlichkeit wirklich was dran ist.

 


21.03.2005, Der Standard berichtet
Datenschutz? Da müssen sie einen Techniker fragen

In der Print-Ausgabe des Standard vom 18.3. ist ein Bericht über die PPG, eine Gesellschaft die für den Austausch von Gesundheitsdaten im Rahmen der e-Card Einführung gegründet wurde. Erklärt Gerhard Holler, Geschäftsführer der PPG zu Fragen, wer die Gesundheitsdaten mitlesen könnte?: "Für die Technik ist die Telekom Austria zuständig. Ob die in die Datenflüsse hineinschauen können, weiß ich nicht. Vertraglich ist es verboten. Da müssen sie einen Techniker fragen".

Mein Kommentar: anscheinend hat ihn das auch noch nie interessiert, ob die Gesundheitsdaten mitgelesen werden können. Sonst hätte ja der Geschäftsführer, der ja wohl offiziell die Verantwortung für den Datenschutz trägt, ja mal selbst einen Techniker befragen können. Vertraulichkeit der Patientendaten ist für den GF der Gesellschaft, die für die Übertragung verantwortlich ist, offenbar kein Thema.

Heute steht das Zitat in der Online-Ausgabe zu diesem Artikel nicht mehr drin, dafür wird ein Manager des Hauptverbands der Sozialversicherung zitiert, der sehr wohl weiß, dass die Daten verschlüsselt übertragen werden. Das ist zwar schön, trotzdem erwarte ich vom Chef der PPG etwas mehr Interesse am Datenschutz.

 


01.03.2005, eDay der Wirtschaftskammer in Wien
Zeitreise in die Vergangenheit

Ich lasse mir die e-Card der Krankenkassen erklären. Es ist ein deja vu Erlebnis für mich. Die e-Card-Installation kommt mit einer kleinen GINA-Box, die an einen Breitbandanschluss eines speziell genehmigten Anbieters angeschlossen werden muss und Anschlüsse für Tastatur und VGA-Bildschirm hat (und den Kartenleser natürlich). Mouse wird nicht benötigt, weil die Anwendung, die dann genutzt wird, auf reiner Textbasis arbeitet (Stichwort: VT100) und über Pfeilchentasten manövriert wird. Die einzige Anwendung derzeit: der Arzt kann die Karte einlesen und prüfen, welchen Versicherungsschutz der Patient hat. Eine Abrechnung der Leistungen geht weiter über Krankenschein, wenn ich das richtig verstanden habe. So etwas ist evtl. für die Zukunft geplant, wurde mir erklärt.

Wenn der Arzt bereits eine Praxis-Software hat, so kann er diese Box damit integrieren, dafür hat die Box eine RS232-Schnittstelle. Um Informationen von der Karte lesen zu können muss die Praxis-Software entsprechend umprogrammiert werden, dass sie über diese Schnittstelle mit dem Kartenleser, bzw. der GINA-Box kommuniziert.

 


01.03.2005, eDay der Wirtschaftskammer in Wien
Zeitreise in die Zukunft

Der eDay bot auch einen Blick in die Zukunft von Tagungen und Konferenzen. Am Eingang sollte sich jeder Besucher registrieren, er bekam ein Namensschild, auf dem deutlich sichtbar sein Name stand, aber noch besser, das Namensschild war mit RFID ausgestattet. Und wann immer ein Besucher einen der Vortragssäle betrat, so wurde dies registriert und beim Verlassen wiederum. Nach der Veranstaltung bekam der Besucher ein E-Mail, in dem verzeichnet ist, welche Vorträge er gehört hat. (und die Slides dazu im Anhang).

Na ja, das ist ja vielleicht noch ein netter Service, aber was geschieht noch mit diesen Daten? Es bietet sich an, dass ausgewertet wird, welcher der Redner die meisten Zuhörer hatte, bei welchem der Redner die meisten Zuhörer-Verluste verzeichnet wurden, etc. Und bei Veranstaltungen wie Ärztekongressen, wo die Anwesenheit im Raum für die steuerliche Absetzbarkeit von Bedeutung ist (und derzeit über Anwesenheitslisten aufgezeichnet wird), haben wir jetzt eine perfekte Überwachungsmöglichkeit, welchen Anteil der Vortragszeit jeder Teilnehmer wirklich in den Vortragssälen verbracht hat. Big Brother lässt grüßen.

Hier mehr zu RFID und Privatsphäre

 


Eine alte Geschichte, 02.10.2004
Sicherheit durch die Änderung der Geschäftsbedingungen

Das hat mich schon damals gleich fasziniert. Da entdeckt jemand, dass man bei eBay in dem Feld wo man seine Angebote beschreibt, auch HTML-Code eingeben kann, d.h. auch Links auf "böse" Website und auch JavaScript, die bei Systemen die nicht auf dem letzten Sicherheitsstand sind, alle möglichen Schäden auslösen, bzw. Daten ausspähen. Was macht eBay? Sie ändern die Geschäftsbedingungen und verbieten solche bösen Sachen einfach. Mit dieser Technik lässt sich die Sicherheit erhöhen, ohne dass irgend ein technischer Aufwand getrieben werden muss. Wenn das Erfolg hat, brauchen wir das Hacken, Phishen, Spyware und Würmer einfach nur noch verbieten. (Achtung! Ironie)

Die damalige Meldung bei heise.de.

 


Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.