Die Themen dieses Newsletters
| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
von Florian Bogner gibt’s ein gutes Youtube Video zu Awareness-Aspekten im Home Office.
Ähnlich aus Deutschland: BSI präsentiert - Phishing: Die Corona-Krise als Köder - (evt. zum Verlinken oder inhaltlich Übernehmen für die Firmen-Intranetseiten)
Bruce Schneier schreibt eine ausführliche Zusammenfassung der Zoom-Probleme:
a) Privatspäre und Datenschutz:
Zusätzlich von den Gebühren die sich für Firmen- oder intensivere Nutzung
verlangen wollen sie auch noch Geld vom Verkauf von Kundendaten machen,
eiern aber wild rum um das Wort "Verkauf" zu vermeiden. Die angebliche
Zustimmung der Nutzer ist wohl in den Nutzungsbedingungen der
App-/Software-Download versteckt. Zusätzlich liefert die Smartphone-App
Daten an Facebook, weil die bequeme Facebook-API die Zoom genutzt hat
das eben so tut.
b) Unsichere Software, anscheinend nie ernsthaft einem Pentest unterzogen.
Die behauptete Ende-zu-Ende-Verschlüsselung ist eine Transport-Verschlüsselung
über das Internet, aber auf den Servern (einige in China) analysieren
sie alles, weil in Klartext. Die Verschlüsselungsalgorithmen sind
zu schwach. Diese Probleme ziehen sich über die letzten Jahre hin,
da wäre Zeit gewesen, mal einen externen Test zu beauftragen.
Die Meeting-ID sind so kurz, dass sie durchprobiert werden können.
c) Die Default-Einstellungen beim Anlegen einer Konferenz sind sehr "unglücklich". Die Grundeinstellung ist dass jeder der irgendwie an die Konferenz-ID kommt seinen Screen sharen kann. Das führt zum mittlerweile zum "Internet-Volkssport" gewordenen "Zoom-Bombing".
Mitte des Monats wurden eine große Zahl von geknackten Zoom-Accounts zum Verkauf angeboten.
Vermutlich sind die durch Credential Stuffing entstanden. Dabei werden die Passworte von geknackten Accounts bei anderen Websites, in diesem Fall zoom.us einfach durchprobiert. Deswegen heißer Tipp: Passworte nie recyclen, d.h. nie das selbe Passwort auf 2 Websites verwenden. Dies führt zu einer riesigen Menge an Passworten und die speichert man eben in einem Passwortsafe, siehe mein Text zu Passwort-Manager Software.
Wie viele geknackte Accounts es gibt und ob Sie dabei sind findet sich auf haveibeenpwned.com oder hpi.de.
Update Ende des April 2020: Die neue Version von Zoom soll eine Reihe der Probleme nicht mehr haben.
Update Ende 2021: Zoom ist ein gutes Beispiel der Unsitte beim Release von Software: Schnell raus damit, die Software reift dann beim Kunden. In diesem Fall hat sich das für Zoom (leider wirklich) bezahlt gemacht: sie haben Terrain besetzen können, sind quasi zu einem Standard geworden auf Grund der wirklich leichten Bequembarkeit verglichen mit einer Reihe von anderen Angeboten.
Hier ein Artikel zu alternativen Lösungen für Videokonferenzen.
(Was ist denn Kubernetes? )
So was ist interessant für Firmen, die mehr und mehr sog. Containerlösungen einsetzen, die zwar eine ganze
Reihe von Vorteilen haben, aber auch zu ganz neuen Herausforderungen führen.
Zu diesem Umfeld gehört z.B. auch Docker, ein Tool zur vereinfachten Bereitstellung und Administration von solchen Lösungen.
Hier hat jemand die Liste der Angriffsszenarien für solche Lösungen zusammengestellt. Beeindruckend, was dabei alles aus Securitysicht schief gehen kann. (So eine Attack Matrix oder Threat Matrix ist hilfreich bei der Verteidigung, denn wenn ich die möglichen Angriffe nicht kenne, kann ich mich auch schlecht verteidigen).
Kurze Zusammenfassung: M.E. bringt das nichts, es scheint bei einiges Befürwortern darum zu gehen dass es doch nicht sein kann, dass wir solche coolen High-Tech-Geräte ständig mit uns rumtragen, aber sie nicht im Kampf gegen das Virus einsetzen (können). D.h. die Diskussionen über Privatsphäre überspringt zumeist die Kernfrage: Bringt das überhaupt was?
Das Hauptargument von Bruce Schneier:
Was eine App als Kontakt-mit-einem-Ansteckenden erkennt (in Ö
geplant: 15 Minuten näher als 1-2 Meter) ist nicht identisch mit einer
Infektion. Die kann viel schneller als 15 Minuten passieren (1x angehustet),
oder auch nicht passieren, z.B. weil der Kranke die Viren nicht
mehr im Hals sondern nur noch in der Lunge hat). Außerdem erfasst keine
App Ansteckungen über Oberflächen und kann auch nicht unterscheiden, ob der Infizierte evt. hinter Plexiglas sitzt.
Ein Argument auf Grund der Singapur-Erfahrung: Dort gab es zu Beginn eine Nutzungsrate von 10-15%. D.h. in ca. 1/8 der Kontakte hatte einer der beiden die App aktiv, d.h. die Wahrscheinlichkeit dass beide die App aktiv haben ist ca. 1/64. Daher hatte damals Singapur das automatische Tracen über App aufgegeben und hat einen Lockdown über das Land verhängt als die Infektionen wieder anstiegen.
Aus New Scientist: There are many reasons why covid-19 contact-tracing apps may not work
Hier 10 Forderungen des Chaos Computer Clubs (und die erste ist, dass das ganze einen Sinn ergeben muss). Der Wiener Chaos Computer Club hat einen Text über die möglichen sozialen Aspekte einer Tracing-App geschrieben.
Und eigenartiges gibt es bei dem europäischen Projekt PEPP-PT dazu: Verblüffend dass die DS-freundliche Variante aus dem (sehr rohen) Entwurf wieder entfernt wurde. (Einige der Regierungen in der EU wollten wohl lieber mehr Daten sammeln, mit dem Ergebnis, dass mangels Akzeptanz gar nichts gesammelt wurde).
Die freiwillige App in Norwegen wurde von 38% der Bevölkerung runtergeladen, trotz Datenschutzbedenken, hohem Stromverbrauch, zentraler Speicherung der Daten und ohne Veröffentlichung des Quellcodes - verblüffend.
Die dänische App funktioniert wohl nur auf Android, und soll in einigen Wochen zur Verfügung stehen.
In Schweden sollen die Menschen auf einer Website ihre Symptome anonym eingeben und daraus sollen Schlüsse über den Pandemieverlauf gezogen werden.
Die Download-Zahlen für Ö liegen wohl bei 400 000 - das reicht vor und hinten nicht für irgendwelche Nachverfolgungen.
Alle Apps kranken derzeit (noch) daran, dass die gemeinsame Google/Apple API noch nicht fertig ist. Die ist aber notwendig, damit Bluetooth auch dann aktiv ist wenn die App nicht im Foreground läuft. D.h. alle bisherigen Apps können nur für aktives Registrieren von Kontakten genutzt werden.
Hier ein kritisches Statement des Europarats zu Contact-Tracing.
Nachbetrachtung von Ende 2021: Contact-Tracing haben in Europa, aus unterschiedlichen Gründen, beim Contact Tracing und beim Eindämmen der 'Wellen' keine wirkliche Rolle gespielt - das könnte evt. in Staaten wie Süd-Korea und Singapur, die das (früher oder später) viel stärker verpflichtend machen konnten (z.B. jeder Besuch eines Supermarkts erfordert das Scannen eines QR-Codes) anders gewesen sein.
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zum Archiv-Überblick