Kategorien
Kurioses

Ransomware

ransomware_heise

Es nimmt überhand! via heise.de Startseite

Kategorien
Kurioses

Kein Verständnis

James Comey, seit einem Jahr Chef des amerikanischen FBI lässt folgenden Satz in einem Interview entweichen, in dem es über die zukünftig aktivierte Verschlüsselung des kompletten Dateisystems auf Smartphones mit Android (Google) und iOS (Apple) geht:

What concerns me about this is companies marketing something expressly to allow people to place themselves beyond the law.

… und mit Waffen verkaufen fühlt sich das FBI wohl. Amerikaner …

Kategorien
Gadgets

Vodafone Un-Secure SIM

Verschlüsselung der Kommunikation direkt auf der SIM-Karte ist an sich eine tolle Idee. Vodafone will so etwas entwickelt haben und nennt es Secure-SIM. So weit so gut …

… aber:

Umfangreiche Sicherheitsfunktionen auf Secure-SIM vorinstalliert

und:

Die Nutzerverwaltung und das Aktivieren, Sperren und Monitoren der Secure SIM-Karten erfolgen über ein Internet-basiertes Adminportal.

Nirgends auf der Webseite wird erwähnt wie die Schlüssel generiert werden und bei den obigen Zitaten ist davon auszugehen, dass es über Vodafone geschieht. Was wiederum heißt, dass sie den Schlüssel auch kennen und schon ist das ganze System für die Katz‘. Man zeige der Welt bitte wie die Schlüssel direkt auf dem Smartphone generiert werden und nur der öffentliche Teil mit anderen geteilt wird und nicht so ein Werbe-blabla für Firmenfutzis ohne Inhalt …

Kategorien
Nur mal so

Noch was zum Abschluss

Wenn dieses Jahr eines gezeigt hat, dann dass wir schon lange in der Totalüberwachung leben. Alles was wir anstellen wird eventuell aufgezeichnet. Ob durch Kameras und Payback-Karten offline oder durch Vorratsdatenspeicherung und NSA (bzw. Geheimdienste allgemein) online.

Wenn wir daraus bitte eines lernen könnten und im neuen Jahr verschlüsselte Kommunikation wenigstens ermöglichen könnten? Das geht nämlich eigentlich schon lange … aber um irgendwem etwas verschlüsselt zukommen lassen zu können, muss dieser jemand das eben einmal eingerichtet haben und das ist zu oft nicht der Fall. Stattdessen sendet man dann ZIP- oder Word-Dateien mit Passwort … yeah!

Webseiten können meist auch über HTTPS aufgerufen werden. Gerade bei Diensten bzw. sozialen Netzwerken sinnvoll. In fremden Netzen kann man über VPN-Verbindungen sicher gehen, dass einen wenigstens nicht der Provider abhören kann. Und wenn wir schon bei Webseiten sind, könnten die Dienstleister auf der anderen Seite von uns Konsumenten es bitte unterlassen Kreditkarten Daten im Klartext in irgendwelchen Datenbanken zu speichern, die sowieso regelmäßig gehackt werden? Danke ;-)

Nochmal einen guten Rutsch und hey, vielleicht findet mal wer Überwachungshardware an seinem PC/Auto … würde mich mal interessieren wie viele Jahre die zurück hängen im Vergleich zu was man bei Pearl & Co bestellen kann :D

Kategorien
In eigener Sache Web 2.0

Kann man eigentlich „cloudfrei“ leben?

Wir werden totalüberwacht! Das ist Fakt und liegt auch daran, dass sich kaum jemand über Verschlüsselung Gedanken macht (meinen öffentlichen PGP Schlüssel findet ihr auf der Kontaktseite) und fröhlich Dienste von verschiedenen Webseiten nutzt.

Bei vielen Diensten kann man nichts dagegen unternehmen, denn wenn ich bei Amazon einkaufen möchte, dann muss ich mit deren Webseite interagieren. Möchte ich Google Dienste wie App Engine nutzen oder einen anderen Hosting Dienst ist das ebenso der Fall. In diesem Fall kann ich allerdings auf dem Server alles verschlüsselt ablegen (sofern er nur als Speicher verwendet wird, wenn er die Daten verarbeiten soll, geht das natürlich nicht komplett).

Kommen wir langsam zum Punkt. E-Mails, Instant Messaging, Telefongespräche, Terminplan, Datenspeicher … kann man das sicher – also verschlüsselt – und ohne „Cloud“ benutzen?

  • Email: hier gibt es Ende-zu-Ende Verschlüsselung schon seit Anbeginn der Zeit. PGP/OpenPGP/GnuPG machen es möglich. Der Aufwand ist recht niedrig, aber trotzdem benutzt es keiner wirklich. Deshalb wäre zumindest die Ablage der Mails auf dem eigenen Server in einen verschlüsselten Container (pro Nutzer!) sinnvoll. Web Emaildienste sollten tabu sein.
  • Instant Messaging: Whatsapp & Co haben diverse Lücken. Als Alternativen bieten sich z.B. Threema (meine ID dort: B327U2MZ) oder Whistle.im an. Beide noch nicht so ausgereift wie die etablierten Messenger, aber dafür wird die Kommunikation verschlüsselt!
  • Telefon: das ist eine schwierige Sache … GSM ist ja eigentlich schon verschlüsselt, aber natürlich kann das auch abgehört werden. Eine Ende-zu-Ende Verschlüsselung ist da mit normalen Smartphones relativ schwer möglich, aber es gibt ja noch VoIP. RedPhone sieht nach einer interessanten App aus, das zu ermöglichen … oder man verwendet eine erfundene Codesprache? ;-)
  • Terminplan, Todolisten, etc könnten gut mit einer Software namens Owncloud funktionieren. Lokal oder bei einem Hoster installiert kann man damit ziemliche viele Clouddienste nachbilden und so der allgemeinen Totalüberwachung entkommen.
  • Daten: ebenfalls Owncloud, eigener Server, verschlüsselte Uploads, etc

Es wäre also möglich die Kommunikation mit seinen Mitmenschen komplett abhörsicher ablaufen zu lassen und ich bin mir sicher, dass die wirklich bösen Buben schon schlau genug sind ebenfalls abhörsicher zu kommunizieren. Die Überwachung trifft also nur Dumme und verletzt Grundrechte … und auch wenn es kein guter Vergleich ist, es ist ein wenig wie bei DRM: die bösen Raubkopierer kriegen davon nicht mit und der ehrliche Kunde hat nur Probleme damit und Einschränkungen ohne Ende.

Und wie seht ihr das? Kommunikation egal genug, dass sie komplett für spätere Ermittlungen aufgezeichnet werden darf (Stichwort: ich hab ja nichts zu verbergen … *würg*)? Oder doch vielleicht versuchen Freunde zu überzeugen ein wenig mehr darauf zu achten?

P.S.: Ausnahmen bestätigen die Regel oder so … bevor mir jemand damit kommt, dass ich hier blogge und auf Facebook, Instagram, Twitter, Google+ und in diversen Foren und Mailingslisten quasi-öffentlich schreibe und Bilder hochlade … ja, das ist aber gewollt so! Mag sein, dass man so auch ein Profil von einer Person erstellen kann, aber es fehlt ein ganz entscheidender Teil und über dessen Verteilung/Nutzung – wie man nun spätestens seit Snowden weiß – hat man keine Kontrolle mehr … außer Abschalten und die Kommunikation komplett einzustellen oder eben Verschlüsselung. Verstanden?

Kategorien
Meckerecke

Fuck Passwords? – eindeutig ja!


(xkcd comic über Passwörter)

Ich bin gerade über die Hacker News auf einen Artikel namens „fuck passwords“ gestoßen. Kernpunkte:

  • Eigentlich sollte man für jeden Dienst ein neues Passwort generieren, das lang und kompliziert genug ist
  • Manche Dienste wollen öfters mal das Passwort verifiziert haben und das geht nicht so leicht, wenn man sich es nicht merken kann (lang, kompliziert und überall ein anderes)
  • Es sind hauptsächlich Banken die Benutzer mit lächerlich schwachen Passwörtern versorgen. Etwas wie 6-10 Zahlen, etc

Passwörter für nicht-lokale Dienste sind keine gute Idee, der Meinung bin ich auch. Denn sie müssen zur Verifikation, dass ich ich bin an die Gegenseite geschickt werden. Diese Leitung kann meinetwegen auch eine sichere sein, jedoch hat die Gegenseite mein Passwort NICHT zu interessieren. Deshalb ist es auch Praxis, dass man als Webdienstanbieter dieses Passwort nicht speichert (viele tun es offenbar trotzdem, wie Lecks in den letzten Monaten zeigten).

Seine Lösung ist – und die fände ich auch spitze – Public-Key Kryptographie. Das funktioniert seit Jahrzehnten mit SSH-Verbindungen … warum sollte es nicht im „World Wide Web“ funktionieren? Ich gebe einem Anbieter meinen öffentlichen Schlüssel und wenn ich das was er damit verschlüsselt mit meinem privaten Schlüssel entschlüsseln kann, dann bin ich ich … fertig!

Wenn es nur so einfach wäre.

Aber deswegen poste ich das hier eigentlich gar nicht, sondern weil ich dann gleich mal bei meiner Sparkasse geschaut habe was dort eigentlich für Passwortregeln gelten. Die normalen Karten-Pins sind ja mit 4 Stellen und nur Zahlen schon ziemlich lächerlich (früher konnten sich Menschen deutlich längere Nummern merken und heute?! Heute weiß man nicht mal die eigene Bankleitzahl oder Kontonummer auswendig). Zeit für ein Zitat:

Bitte wählen Sie eine fünfstellige PIN, die nur Ihnen bekannt ist, und notieren oder speichern Sie diese nicht.
Erlaubte Zeichen zur Vergabe der PIN sind:
Kleinbuchstaben von a – z
Großbuchstaben von A – Z
Ziffern von 0 – 9
Sonderzeichen ä,ö,ü bzw. Ä,Ö,Ü und ß

Das sind also 69 (26+26+10+7) hoch 5 Möglichkeiten für ein Passwort oder auch 1564031349 in ausgeschriebener Form. Über das Webinterface wird die Testrate sicherlich nicht sehr hoch sein und evtl. das Konto gesperrt wenn es oft genug versucht wurde (auch toll, wenn das einem passiert, weil andere sich einen Spaß machen). Aber was passiert, wenn jemand mal Zugriff auf die Kundendatenbank der Sparkasse bekommen sollte? Denn warum sollen Banken hier eine Ausnahme sein? Passiert in jeder Ecke …

Anfang des Jahres haben Forscher WPA auf EC2 Instanzen geknackt und 400000 Passwörter pro Sekunde durchprobiert. Bei der Rate dauert es knapp 1 Stunde bis man die Pin für ein Konto herausbekommen hat. Und das nervt. Liebe Sparkasse, was soll das?

Ich weiß noch wie bei der Uni-Erlangen auch ein Passwort verlangt wurde. Das musste 8 Zeichen lang sein und mindestens 2 Zahlen und Großbuchstaben enthalten. Ich schätze in 100% der Fälle war das dann wohl das Geburtsjahr. Ein Unding! Und um auf das anfangs gezeigte Comic zurückzukommen: wenn schon Passwörter dann bitte ohne Beschränkung der Länge und der verwendeten Symbole!

Kategorien
Android iPhone Meckerecke

Android Smartphones loggen auch die Position mit

Vielleicht habt ihr es ja irgendwo in den letzten Tagen gelesen. Neben astronomischen Gewinnen hat Apple auch noch ein Problem mit Senatoren und Datenschützern, die nun Aufklärung verlangen was das soll ein Log mit Mobilfunktürmen und Wifi-Netzen (und deren Position) zu führen. Um das klar zu stellen … dieses Log – oder auch Cache genannt – dient vermutlich dazu die Positionsdaten ohne GPS zu verbessern. Dafür spricht, dass normale und akkuratere GPS Positionen nicht in diesem Log zu finden sind. Apples iPhone sendet z.B. alle 12 Stunden solche Daten nach Hause bzw. immer wenn man einen GPS fix anfordert. Man hofft es geschieht anonym … so sagen es zumindest zu Terms of Service.

Google macht etwas ziemlich ähnliches. Und auch dort werden in zwei Dateien cache.cell und cache.wifi im Verzeichnis /data/data/com.google.android.location/files die letzten Positionen gespeichert. Scheinbar nur für die letzten Tage, aber immerhin.

Bleibt als kleiner Aufreger nur die extreme Verweildauer dieser Daten auf unser aller iPhones. Bug? Erfüllt es doch einen Zweck? Oder war da nur jemand faul? Auf jeden Fall ärgerlich.

Aber noch viel ärgerlicher finde ich die Berichterstattung darüber, die sich nach wie vor darauf versteift, dass das Vorhandensein dieser Daten in einem unverschlüsselten Backup unglaubliche Datenschutzprobleme hervorrufen würde. Halloooooo?! Im gleichen Backup befindet sich auch alles andere was sonst auf dem iPhone gespeichert ist: das Adressbuch, empfangene und gesendete SMS, Mails, Notizen, Daten von anderen Apps, etc … ja und wenn man Zugriff auf den Computer hat um dieses Backup zu lesen, na dann hat man auch Zugriff auf den ganzen Rest an Daten auf diesem Computer. Alles nicht so wild wie die Positionsdaten in irgendeinem Log in einem Backup, das man wahlweise auch verschlüsseln kann, wenn man das entsprechende Häckchen setzt? Komisch.

Gut, auf dem Handy selbst liegt das Log immer noch unverschlüsselt, aber trotzdem neben einer Fülle weiterer Daten. Wie bei jedem Smartphone. Wer wie ich keine PIN zum Entsperren des Handys benutzt und bei keinem Dienst zur Fernlöschung bei Verlust (oder geht das über Googles Exchange Dingens?) angemeldet ist, muss schön blöd sein ;-)

Frohe Ostern :D

Kategorien
Geeky

Festplattenverschlüsselung fürn Arsch

Ok Jungs und Mädels da draußen, die ihr eure Festplatten verschlüsselt und hofft, dass niemand eure geheimsten Daten lesen kann, wenn ihr nicht vorher das Passwort eingegeben habt. Solltet ihr euren Computer nicht komplett ausgeschaltet haben und das für eine längere Zeit, kann man die Verschlüsselung relativ einfach aushebeln wie ein paar schlaue Köpfe der Princeton University herausgefunden haben. Der Schlüssel zum Schlüssel ist nämlich der Arbeitsspeicher. Darin befindet sich das Passwort damit das Betriebssystem die Festplatten lesen kann und das auch nachdem der Strom weg ist, mehr dazu im Video. Das Video zeigt auch wie gekühlter Arbeitsspeicher sogar nach 10 Minuten ohne Strom noch fast keine Bits verloren hat. Man kann den RAM-Riegel sogar ausbauen und in einem anderen Computer auslesen …

So viel dazu. Anfällig sind die Systeme von Vista, Mac OS und auch Linux Verschlüsselungen. Wenn ihr Kleinkriminellen also bisher darauf gebaut habt, dass ihr bei einer plötzlichen Hausdurchsuchung ja nur alles abschalten müsst und ihr seid sicher … tja, dann wartet mal bis ein Beamter mit Kältespray und USB-Stick zu eurem Computer hechtet und danach trotzdem eure Festplatten lesen kann. Gut das werden wohl nicht sehr viele Menschen so machen, aber das Video zeigt ja schon die größte Gefahr: gestohlene Laptops. Selten sind diese Geräte komplett ausgeschaltet und somit allesamt gefährdet. Ein Hardwareproblem, das durch keinen Patch der Welt gelöst werden kann :(

via Crunchgear