Google Apps – Verschlüsselung angedacht

Den wenigsten Nutzern ist klar, wie rechenaufwendig – und damit teuer – verschlüsselte Datenverbindungen (https / transportlayer security) sind. Leider ist aber noch viel weniger Nutzern klar, dass sie ihre privaten oder gar geschäftlichen, vertraulichen Daten völlig ungeschützt, für “jeden” zum “Abhören” freigegeben, über das Internet transferieren, wenn Sie ihre Office Applikationen nicht lokal am Rechner installiert haben und stattdessen einen webbasierten Dienst, wie beispielsweise die Google Apps nutzen.

Und genau in dieser “Unwissenheit” liegt das Problem. Wenn ich mich bewußt dafür entscheide, meine Daten bei einem externen Dienstleister zu verarbeiten und sie offen und klartextlich dorthin zu schicken, zeugt dies zwar nicht von einem hohen Sicherheitsbewußtsein, ist aber ohne weiteres vertretbar, da die Gefahr bekannt ist. Kritisch wird die Sache nur dann, wenn ich mir dieser Tatsache nicht bewußt bin und vertrauliche Daten unwissentlich dieser (Abhör-)Gefahr aussetze. Da bei vielen Nutzern das notwendige Wissen und leider auch das zugehörige Gefahrenbewußtsein wenig ausgeprägt ist, ist die Forderung nach grundsätzlicher Verschlüsselung von potentiell kritischen Webdiensten durchaus zu unterstützen – trotz der anfallenden Kosten …

Opera Unite – Wenn der Client zum Server wird

Ohne Zweifel stellt Opera mit Opera Unite die nächste große Revolution für das Internet vor. Nicht weil  damit Sachen möglich sind, die bisher noch nicht machbar waren, nein, weil sie so einfach und für jeden möglich sind. Während P2P Dienste durch Urheberrechtsverletzungen und den hohen Anteil von pornographischem Traffic stark  in die Schmuddelecke gedrängt wurden, kommt Opera Unite ersteinmal mit einer blütenreinen Weste daher.

Für den weniger begabten Anwender ist dies die Möglichkeit sich selbst im Internet zu positionieren, ohne auf irgendwelche fragwürdigen Internetanbieter mit nicht immer nachvollziehbaren Geschäftsmodellen, aber großen Nutzerzahlen, angewiesen zu sein. Den Eltern die neusten Fotos vom Baby zeigen, ohne sie auf eine anonyme Website hochladen zu müssen, die eigne Website für ausgewählte Benutzer bei sich selbst hosten – die Möglichkeiten scheinen unbegrenzt und haben den gewaltigen Charm, dass  dank verschlüsselter Verbindungen und der expliziten Auswahl von erlaubten Nutzern die Kontrolle über die bereitgestellten Inhalte erhalten bleibt. Eine Art private Websphäre kann von “jedermann” aufgebaut werden.

Wie bei allen Techniken läßt sich auch hier wieder jede Menge Mißbrauchspotential (siehe P2P) vorstellen. In wie fern mißbräuchliche Nutzung aber öffentlich wird, muss sich angesichts der quasi eingebauten, eingeschränkten Nutzerkreise noch zeigen.

Aus Sicht der IT-Sicherheit ist ein Client, der als Server fungiert immer mit Vorsicht zu genießen. Bei Servern werden im Normalfall starkte Sicherheitsmaßnahmen getroffen, die gewährleisten, dass der Rechner und die darauf gelagerten Daten keinen Angriffen zum Opfer fallen können. In wie weit die lokale Firerwall auf  dem Client mit dem Schutz des beispielsweise über den HTTP-Port getunnelten Datenstroms klarkommt, bleibt noch abzuwarten. Und auch die Tatsache, dass ein zum Server umfunktionierter Client, der damit zwangsläufig längere Zeit online sein muss, ein wertvolleres Ziel für Hackerangriffe, möglicherweise sogar direkt über den Opera Browser, sein könnte, stimmt bedenklich. Sofern die Server-Implementation von Opera nicht wasserdicht ist, sind mit Opera Unite ganz neue Angriffs- und Missbrauchsmöglichkeiten denkbar, die direkten Gebrauch von den eingebauten Serverfunktionalitäten machen. Hier steht insbesondere die Frage im Raum, wie das Sicherheitskonzept für von Drittentwicklern auf Basis der Opera Unite API implementierte Dienste aussieht.

Die Zukunft wird es zeigen – das Konzept an sich ist vielversprechend, jetzt kommt es darauf an, was die commUNIT(E)y daraus macht.

Hackerangriffe / Spionagenetzwerk

Mit “Ghostnet” ist ein riesiges Spionagenetzwerk entdeckt worden, das scheinbar gezielt eine Vielzahl von Rechnern, die sich in Ministerien, Botschaften, internationalen Institutionen etc. befinden, kompromittiert hat.

Aus Sicht des IT-Sicherheitseinsteigers ist insbesondere die jetzt anhand von Belegen nachvollziehbare Erkenntnis wertvoll, dass es sich bei derartigen Angriffsszenarien offensichtlich nicht um irgendwelche Hirngespinste von paranoiden Sicherheitsfreaks handelt, sondern um ein nicht unübliches Vorgehen krimineller? Organisationenen. Für den großen Maßstab solcher Computerübernahmen spricht zum einen, dass es sich um ein komplettes, automatisiertes Spionagenetzwerk handelt, und zum anderen, dass gezielt Rechner übernommen werden konnten.

Eingeleitet wurde die Übernahme der Zielrechner unter anderem durch, wie könnte es anders sein, Email-Anhänge oder in Emails verschickten Links zu Schadsoftware, die die Fernsteuerung des Rechners ermöglichte.

Nicht verwunderlich ist die Nutzung der übernommenen Rechner zur Raumüberwachung bei installierten Audio (Mikrofon) und Video (Kamera) Komponenten – auch wenn das Hauptaugenmerk sicher auf dem Durchsuchen des Rechners (Dateisystem) und dem “Abhören” des e-Mail-Verkehrs liegen dürfte.

Auch wenn es auf den ersten Blick erstaunlich erscheint, dass eine so große Zahl von Rechnern in sicherheitskritischen Umgebungen (die Presse spricht von ca. 1300 komprimitierten Systemen weltweit),  ist dies durchaus nachvollziehbar, wenn man sich überlegt, wie schwer es ist, sich wirkungsvoll gegen diese Art von Angriff zu schützen. Geht man davon aus, dass es sich bei der den entsprechenden Stellen untergejubelten Schadsoftware um spezifische Sonderanpassungen handelt, greift schon einmal kein Virenscanner, da diesem die notwendigen Erkennungsmuster fehlen. Berücksichtigt man dazu noch, dass in vielen Fällen die Nutzer, die auf einen solchen perfiden Link klicken entweder unabsichtlich die Infektion ihres Computers zulassen, weil sie mit einem User-Account arbeiten, der die Installation von Software erlaubt, oder absichtlich die Installation erlauben, da sie der Meinung sind, ein “sinnvolles” Programm zu installieren (Stichwort Trojaner), wundert es eher, dass nicht noch viel mehr Rechner auf diese Weise kompromittiert wurden.

Das leidige Thema sichere Passwörter

Da bei der Welt gerade ein einsteigergerechter Artikel über ungeeignete und geeignete Passworte online ist (So scheitern Onlinebetrüger) möchte ich an dieser Stelle den geneigten Leser auf diese Publikation hinweisen.
Die Passwortproblematik an sich ist damit natürlich noch nicht gelöst – aber man kann es den Kriminellen zumindest etwas schwerer machen. In der Regel ertappt sich jeder bei dem Lesen eines solchen Artikels bei der Erkenntnis selbst eines der genannten Passworte schon einmal, wenn nicht sogar aktuell genutzt zu haben.
Dies ist aber auch nicht verwunderlich, da die Möglichkeiten praktikable Passworte auszuwählen nicht unendlich groß sind. Wenn das Passwort einfach ist, mangelt es an Sicherheit. Ist es zu kompiliziert, kann man es sich nicht merken; aufschreiben ist auch böse und die Merkregeln helfen einem auch nicht weiter, wenn man das Passwort mal zwei Monate nicht mehr benutzen brauchte. Wenn einen dann noch die Software zwingt, dass Passwort regelmäßig alle sechs Wochen zu wechseln, ist alles verloren.
Die einzige Lösung, die einem hier weiterhelfen kann, ist ein sogenannter Passwortsafe, ein Programm, dass die verwendeten Passwörter sicher, d.h. verschlüsselt, auf einem Gerät, z.B. dem Mobiltelefon, speichert und gegen Eingabe eines sicheren Masterpasswortes wieder freigibt.
Mit einem solchen Programm, werden sichere Passworte praktikabel, auch wenn ihre Nutzung an sich eher unbequem ist.

Ebenfalls aus der Welt diese kleine Info (Wie Kriminelle Passwoerter knacken) über das Vorgehen krimineller Subjekte beim stehlen von Passworten.

Erstaunlich viele Opfer von Computerkriminalität

IT-Sicherheit wird immer wichtiger – und zwar in einem umfassenden IT-Sicherheitskonzept. Eine dichte Firewall hilft viel, nützt aber wenig, wenn beliebige Personen Ihren USB-Stick an einen Firmenrechner anschließen dürfen. Von entscheidender Bedeutung ist es, von kriminellen Vorfällen überhaupt Kenntnis zu erlangen, um entsprechende Gegenmaßnahmen einzuleiten. Wie von Heise (Schleswig-Holstein: 39 Prozent der Betriebe von Computerkriminalität betroffen) zitiert, sind rund 40 Prozent der befragten 2000 Unternehmen Opfer von Angriffen geworden, von denen wiederum über 90 Prozent erfolgreich abgewehrt werden konnten.

Viel schlimmer aus Sicht der IT-Sicherheit ist aber die Menge der Unternehmen (20 Prozent), die “nicht wissen”, ob Sie ein Opfer von Computerkriminalität geworden sind. Unterstellt, dass ein Teil der befragten Unternehmen einfach keine Auskunft geben wollte, bleibt immer noch eine erschreckend große Anzahl von Unternehmen, die nicht einmal wissen, ob sie ein Opfer von Computerkriminalität geworden sind und daher auch keine Gegenmaßnahmen ergreifen (können).

Derartige Zahlen zugrunde legend, ist es für ein Unternehmen heutzutage ausnehmend wichtig, regelmäßige Security Audits durchzuführen. Betroffen von Computerkriminalität sind nicht nur die “Großen”. Gerade im Kleinunternehmen kann Computerkriminalität dramatische Auswirkungen haben.

Handy als “Wanze”

Ist es wirklich möglich, ein Handy so umzuprogrammieren, dass es sich als “Wanze” mißbrauchen läßt? Wenn man den Medien (”Ermittlungsbehören hören über Handy heimlich mit“) glaubt, ist diese Technik bereits Gang und Gäbe. Aus technischer Sicht betrachtet, gibt es sicher Möglichkeiten ein Handy so massiv umzuprogrammieren, dass es derartige Zusatzfunktionalitäten bereitstellen kann. Dass diese Technik für alle Handys adaptiert werden kann, ist m.E. eher unwahrscheinlich. Auch halte ich es für eine technische Herausforderung, die Aktivität eines solchen Trojaners dauerhaft zu verstecken, da bereits der wohl deutlich erhöhte Energiebedarf bei einer dauerhaften Ãœberwachung zu einer schnellen Entladung des Akkus führt, sollten dem Benutzer bereits an dieser Stelle Zweifel kommen. Wie sich eine solche Wanze in den normalen Gebrauch eines Handys – was passiert, wenn die Wanze aktiv ist, und der Nutzer einen Anruf tätigen möchte? – reibungslos integriert, ist wohl auch zu klären.

Cross Site Scripting zum Ausprobieren

Jeder, der sich mit der Sicherheit von Websites beschäftigt hat, wurde sicher schon mehr als einmal mit der Sicherheitsproblematik, die sich aus dem “Cross Site Scripting” (XSS) ergibt, konfrontiert. Das dieser Angriff mit Javascript funktioniert ist dem einen oder anderen gegebenenfalls auch noch klar. Dann hört es aber oft schon auf, denn die wenigsten haben sich wahrscheinlich Mühe gegeben, einen derartigen Angriff auf die Sicherheit des Anwenders nachzuvollziehen. Mit dem sehr schönen und einfach nachzuvollziehenden Artikel von Jürgen Schmidt (”Passwortklau für Dummies“, erschienen bei Heise) gibt es jetzt eine gute Möglichkeit diesen Angriff zu verstehen, auf ungefährliche Weise dieses Angriffszenario einmal selbst auszuprobieren und ein Gefühl für diese Art von Angriff zu bekommen.

Sicheres Online Banking – Einsteiger Artikel im Handelsblatt online

Im Handelsblatt (”Online Banking – aber sicher“) ist von Martin Koch aktuell ein Einsteiger tauglicher Artikel über die (Un-)Sicherheitsproblematik des Online-Bankings veröffentlicht. Darin werden einfach nachvollziehbar die Sicherheitstechnologien – Pin/Tan, HBCI etc. – diskutiert. Was mir besonders gefällt, ist die Verbindung des Hinweises auf die Vorteile des Online Bankings mit der dringenden Empfehlung die notwendige Umsicht walten zu lassen und das online verwaltete Konto regelmäßig zu kontrollieren! Dann können von Angreifern aufgestellte “Fallen” unter Umständen erkannt werden (wichtig: in diese Fall sollte umgehend der Kontakt mit der Bank gesucht werden!) und falls das Kind in den Brunnen gefallen ist, d.h. unerwünschte Buchungen auf dem Konto stattgefunden haben, diese unrechtmäßigen Buchungen rechtzeitig rückabgewickelt werden…
Kurz: Wenn man die Schwachstellen eines Verfahrens kennt, kann/muss man sich mit ihnen arrangieren oder einen ganz andern Weg nehmen.

DSIN (Deutschland sicher im Netz)

Eigentlich sind solche Initiativen ja zu befürworten. Bei der Sicherheit ist aber Vertrauen ein nicht zu unterschätzender Punkt: Gesundes Mißtrauen!
Liest man den Heise-Artikel (”DSIN wirbt für sicherere Server – und schlampt beim eigenen“), kann man leider schön feststellen, wie Vertrauen nicht geschaffen wird. Auch wenn die Initiative von Microsoft gefördert wird, sollte zumindest der Teletrust Verein darauf achten, dass auch die Nutzer anderer Betriebssysteme von der teureren? (ich meine mal gelesen zu haben, dass diese Zertifikate teurer sind???) extended Validation etwas haben und nicht auf die falsche Fährte geführt werden. Abgesehen davon, dass man sich über den Mehrwert von Websites, die Extended Validation Zertifikate anbieten sowieso streiten kann…

Der Umgang mit digitalen Zertifikaten und digitalen Signaturen ist alles andere als einfach, da die dahinterliegenden Technologien und Vertrauensmodelle sehr komplex sind. Hilfsmittel die den Umgang mit dieser Technologie erleichtern wollen nehmen dem Nutzer leider oft eine Menge seiner Eigenverantwortung ab – ohne wirklich vollständige Sicherheit bieten zu können.

IT-Sicherheit – was wirklich hilft (Welt.de)

Eigentlich mal ein ganz guter Artikel (”Echter Schutz vor Angriffen aus dem Netz“) zum Thema IT-Sicherheit. Da macht sich jemand (Stefanie Gaffron?) im Ansatz die Mühe zu hinterfragen, wie wirkungsvoll die üblicherweise?? kursierenden Schutzmaßnahmen wirklich sind. Problem bei dem Artikel sind nur die an der Zielgruppe vorbei gehenden Maßnahmen und Ratschläge – wer kann sich und seinem Kommunikationspartner zwecks sicherer Kommunikation schon eine SINA-Box kaufen? Die Mehrheit der Anwender dürfte für Chiffres auch keine sinnvolle Anwendung finden. Die Zwei Rechner-Lösung mit unterschiedlichen Betriebssystemen, von denen der eine Offline bleibt macht hingegen hinsichtlich der Datensicherheit durchaus Sinn. Dem Hinweis auf die Prüfung von Prüfsummen beim Download von Software vor der Installation, Verifikation von Signaturen und Absendern etc. kann man nur zustimmen.