Schlagwort: abhören

Windows: So einfach ist das Auslesen von SSL-Keys
Für das Auslesen von SSL-Keys benötigt man nicht zwingend zusätzliche Software. Mit Bordmitteln geht das auch recht einfach.
Dazu öffnest du den Datei-Explorer und klickst du im Verzeichnisbaum mit der rechten Maustaste auf den Eintrag Computer (ältere Windows-Versionen) oder auf Dieser PC (Windows 10). Im Kontextmenü wählst du dann die Eigenschaften aus.
Im nächsten Fenster klickst du auf Erweiterte Systemeinstellungen | Erweitert | Umgebungsvariablen.
Im Dialogfenster der Umgebungsvariablen legst du mit der Schaltfläche Neu im Bereich Benutzervariablen einen neuen Eintrag an.
Als Namen der neuen Variablen muss SSLKEYLOGFILE eingetippt werden. Im Eingabebereich von Wert der Variablen legst du den Speicherort der Textdatei ssl.txt fest und bestätigst die Eingabe mit dem Button OK. Das sollte dann in etwa so aussehen:
c:\users\Benutzername\Desktop\ssl.txt
Den Speicherort kannst du natürlich individuell auswählen.
Sobald du nun deinen Browser öffnest und im Web surfst, wird eine Textdatei mit den SSL-Keys erstellt. Diese kannst du dann zum Beispiel kopieren und in Tools wie WireShark zur weiteren Bearbeitung einfügen.
Verschlüsselten Chat bei Facebook starten
Wie zum Beispiel beim Messenger Telegram, lässt sich auch bei Facebook ein verschlüsselter Chat für geheime Unterhaltungen einrichten. Auf Wunsch sogar mit automatischer Selbstzerstörung.
Dazu tippst du auf dein Profilbild und scrollst bis zum Eintrag Geheime Unterhaltungen. Tippe auf diese Option und aktiviere den Schieberegler.
Wechsle jetzt wieder zur Startseite und tippe auf das blaue Nachrichtensymbol, damit eine neue Unterhaltung gestartet werden kann. Rechts oben aktivierst du den Schieberegler neben dem Schloss-Icon und suchst dir anschließend deinen Gesprächspartner aus.
Im geöffneten Chatfenster wird unten ein entsprechender Hinweis eingeblendet, dass es sich hier um eine geheime Unterhaltung handelt. Zusätzlich kannst du über das Uhrensymbol den Zeitraum für eine Selbstzerstörung dieser Nachricht einstellen. Die Zeitspanne kann von fünf Sekungen bis hin zu 24 Stunden betragen.
Google-App kann auch Podcasts
Eine der Google-App-Funktionen kann auch Podcasts abspielen und verwalten. So ganz neu ist dieses Feature nicht, da es schon seit 2016 in der App verfügbar ist. Nur in Deutschland noch nicht. Testen kann man die Podcast-Funktion aber auch hierzulande.
Das Abonnieren oder Verwalten wird nicht immer funktionieren, aber die Podcasts können als Verknüpfung auf dem Homescreen abgelegt und angehört werden. Zusätzliche Software benötigt man zum Abspielen nicht. Sogar die Geschwindigkeit lässt sich im Player variabel einstellen.
Dazu suchst du über die Google-App den gewünschten Podcast, zum Beispiel den WDR 2 Comedy Podcast. Dann scrollst du etwas nach unten und tippst auf Mehr Folgen. Anschließend lässt sich die aktuelle Podcast-Reihe als Verknüpfung auf dem Home-Bildschirm ablegen.
Tipp:
Ein umfangreiches und interessantes Podcast-Angebot findest du auf den Webseiten der öffentlich-rechtlichen Radiosender. Aber auch bei cc2.tv und dem Computermagazin c`t findet man viele unterschiedliche Themen.
Heimlich mithörenden Apps den Saft abdrehen
Um die 1000 Android-Apps, die Dunkelziffer dürfte viel höher liegen, sollen über eine versteckte Funktion das Mikrofon des Handys oder Tablets heimlich aktivieren können. Diese App(s) hören dann über das aktivierte Mikrofon im Fernsehen oder Radio gesendete Werbespots mit und zeigen anschließen die passende Werbung auch auf dem Smartphone. Dieses Verhalten lässt sich über die Einstellungen schnell verhindern.
Android
Zwei Einstellungsänderungen sind für den Schutz erforderlich. Zum Ersten öffnest du die Einstellungen deines Gerätes und rufst die Google-Einstellungen auf. Dann wechselst du zu Persönliche Daten & Privatsphäre | Einstellungen für Werbung und deaktivierst die Option Personalisierte Werbung.
Im zweiten Schritt muss die Berechtigung zur Nutzung des Mikrofons widerrufen werden. Auch dazu öffnest du die Einstellungen deines Androiden und rufst den Eintrag Apps auf.
Wähle dann die betreffende App aus, der du die Mikrofonnutzung untersagen willst, und schalte sie in der Option Berechtigungen ab.
iPhone, iPad und iPod touch
Zuerst schaltest du bei diesen Geräten ebenfalls die personalisierte Werbung ab. Tippe auf Einstellungen | Datenschutz | Werbung und aktivierst die Option Kein Ad-Tracking (Limit Ad Tracking).
Mehr Informationen zu diesem Thema findest du auf der Apple-Support-Webseite.
Um die Mikrofonberechtigung für Apps zu deaktivieren, rufst du die Einstellungen | Datenschutz auf und wählst den Dienst Mikrofon aus. In einer Liste werden nun alle Apps angezeigt, denen eine Berechtigung zur Mikrofonnutzung erteilt wurde. Schalte bei den gewünschten Apps die Berechtigung einfach ab.
Tipp:
Wenn du eine App bei Google Play, iTunes oder einem anderen Marktplatz herunterlädst, werden dir normalerweise die erforderlichen Berechtigungen vor dem Download angezeigt.
Hier kannst du schon entscheiden, ob du die Berechtigungen gewähren willst oder nicht. Entscheidest du dich für ein Nein, wird in den meisten Fällen die App nicht heruntergeladen und installiert.
In den aktuellen Versionen der Betriebssysteme kann man aber auch nach der Installation die Berechtigungen widerrufen. Dies sollte aber recht zügig erledigt werden, da sonst sensible Daten (z. B. Kontakte) auf fremden Servern landen.
Fazit:
Natürlich stellt sich die Frage, ob die App einen triftigen Grund für die angeforderten Berechtigungen hat. Eine Taschenlampen-App beispielsweise, soll einfach nur Licht machen und keine Kontakte auslesen oder andere Funktionen aktivieren. Im Zweifelsfall lässt man besser die Finger von Apps mit übersteigertem Berechtigungshunger.
Zwei-Faktor-Authentifizierung: Nicht immer so sicher, wie versprochen.
Viele Webseiten bieten Ihren Nutzern eine zweifache Absicherung des Login-Bereiches an. Dazu gehört beispielsweise auch Ebay. Bei der sogenannten Zwei-Faktor-Authentifizierung wird dir nach der Eingabe der Logindaten ein zusätzlicher Code gesendet. Der meist per SMS oder per E-Mail versendete Code muss dann ebenfalls auf der Webseite eingegeben werden, damit der persönliche Bereich freigegeben wird. Aber auch diese Absicherungs-Variante ermöglicht Hackern den Webseiten-Einbruch ohne deine Logindaten zu kennen.
Webbrowser, wie beispielsweise Chrome oder Firefox, legen bei Webseitenanmeldungen Cookies an, die später zur Wiedererkennung verwendet werden. Da macht auch eine Zwei-Faktor-Authentifizierung meist keine Ausnahme.
Es sei denn, der Webseitenbetreiber verzichtet auf Cookies beim Login-Vorgang. Dadurch geht der Komfort bei der Anmeldung verloren, weil du jedes mal beide „Sicherheitsschleusen“ durchschreiten musst. Aber Bequemlichkeit ist das größte Sicherheitsrisiko.
So kommen die Hacker an deine Anmeldedaten
Ein Angreifer führt ein Session Sidejacking durch, um an deine Anmeldedaten zu kommen. Dabei zeichnet er deinen Datentraffic auf. Die hierzu verwendete Software kann unterschiedlich sein (z. B. Wireshark). Mit diesem Tool hat er zuvor schon das Netzwerk, z. B. einen öffentlichen Hotspot, infiziert.
Anschließend analysiert er deinen Datentraffic (z. B. mit Hamster und Ferrit) und extrahiert damit die Login-Cookies. Das Passwort und/oder die Zugangscodes sind in den Cookies zwar nicht in Klarschrift sichtbar, aber das ist auch nicht nötig. Der Hacker verwendet den kompletten Cookie, um sich gegenüber der Webseite zu authentifizieren. Da ist kein Passwort notwendig, weil die Webseite ihn als „Wiederkehrer“ erkennt.
Wie schützt man sich?
Wenn man einmal davon absieht, dass man sich auf sensiblen Webseiten nicht anmeldet, wenn man unbekannte WLAN/LAN-Netzwerke nutzt, dann ist eine gute Firewall unerlässlich. Außerdem sollte das Anlegen von Cookies gänzlich untersagt und die Browserdaten nach jeder Onlinesession gelöscht werden.
Auf die HTTPS-Webseiten (SSL/TLS-Verschlüsselung) alleine, sollte man sich auf keinen Fall verlassen.
Angst vor Bloßstellung? Apple wirft Security-App „SysSecInfo“ aus dem Store.
Dass Apple unangenehme Wahrheiten lieber verschweigt, ist hinlänglich bekannt. Diesmal hat der Rotstift der Zensur die iOS-App System and Security Info der Kölner Firma SektionEins erwischt. Nach knapp einer Woche im App-Store landete das Tool auf Platz 1 der Verkaufs-Charts und anschließend direkt im digitalen Mülleimer.
Warum?!
Die Software der Firma SektionEins überprüft iOS-Geräte auf versteckte Jailbreaks und verdächtige Hintergrunddienste, die Geheimdienste sowie Hacker nutzen können um sie abzuhören oder mit Schadsoftware zu infizieren. Die Ergebnisse werden dann in Prozesslisten und in Systeminformationen abgebildet. Außerdem zeigt die Sicherheitssoftware auch Anomalien, wie beispielsweise unsignierte Binaries, an. Das kompromittiert recht schnell iOS-Spionage-Software, wie sie von Firmen wie FinFisher (FinSpy) und HackingTeam verkauft wird.
Offensichtlich fühlte sich Apple – zu Recht – bloßgestellt. Denn anders kann man den Rausschmiss der App System and Security Info nicht werten, da andere Apps, die auch Prozesslisten und Systeminformationen anzeigen, im App-Store weiterhin erhältlich sind.
Wer mehr über die App System and Security Info und dessen Funktionsweise erfahren möchte, der kann sich auf der Webseite von SektionEins oder im hauseigenen Blog informieren.
Peinlich, Peinlich…
Nach dem Rechtsstreit mit dem FBI um die Offenlegung der Verschlüsselung, will Apple wohl nicht dass weitere Sicherheitslücken bekannt werden.
Mein Tipp an Apple: Setzt euch mit Firmen wie SektionEins zusammen um wirklich sichere Handys zu bauen. Niemand ist perfekt und solche Zensurversuche sind einfach nur peinlich.
Rechtsstreitigkeiten, wie die mit dem FBI, sind sonst nicht mehr Wert als ein PR-Gag um im Gespräch zu bleiben.
Die glücklichen Nutzer, die System and Security Info bereits heruntergeladen haben, können sie natürlich weiterhin nutzen. Da aber zukünftige Updates nicht erfolgen (können), wird die Software wohl recht schnell veraltet sein. Die Entwickler von Spionage-Software schlafen schließlich auch nicht.
Bleibt nur abzuwarten, welchen Clou Stefan Esser von SektionEins als nächstes veröffentlicht.
Sicherer Austausch geheimer Daten
Wichtige Daten über das Web zu versenden kann bei Hackern und Geheimdiensten Begehrlichkeiten wecken. Whistleblower wie Edward Snowden und Plattformen wie Wikileaks sorgen regelmäßig für die Aufdeckung von Abhörskandalen und vertuschten Rechtsverstößen. Aber auch die Nutzer selbst machen es Angreifern meist nicht besonders schwer. Downloadlinks werden telefonisch über unsichere Messenger oder per E-Mail versendet. Ein abgefangener Link reicht aus, um die gesamte Kommunikation und den Datenbestand zu gefährden. Link-Verschlüsselungsdienste wie LinkCrypt schließen diese Sicherheitslücke.
Download-Links werden bei LinkCrypt.ws in Ordnern erfasst und per Passwort abgesichert. Danach wird der Zuganglink verschlüsselt angezeigt. Verschiedene Captcha-Varianten (CaptX, Key-Captcha, TextX) schützen zusätzlich gegen automatische Zugriffsversuche. Das Zugangspasswort und der verschlüsselte Link können nun über einen sicheren Kanal oder durch ein persönliches Treffen weitergegeben werden.
Um über LinkCrypt.ws seine Daten austauschen zu können, ist eine Registrierung erforderlich. Mehr als eine E-Mail-Adresse und ein Passwort benötigst du nicht.
Ähnlich wie LinkCrypt arbeiten auch andere Verschlüsselungsdienste wie FileCrypt und Cryptify. Letzterer ist zwar noch nicht online, aber man kann sich per E-Mail an das Startdatum erinnern lassen.
Kein Babyfon zur Hand? Dann tut´s auch das alte Festnetztelefon
In vielen Kellern schlummern jede Menge alte, kabellose Festnetz-Telefone, die nicht mehr benötigt werden. Bevor du die Altgeräte aber entsorgst, lohnt sich vielleicht die Überlegung, ob sie anderweitig eingesetzt werden können. Auf diese Weise verlängert sich dessen Lebenszeit, die Umwelt und dein Geldbeutel werden dabei noch zusätzlich geschont. Zur Raumüberwachung oder als Babyfon lassen sich die Telefone prima weiter benutzen.
In der Regel handelt es sich bei den kabellosen Festnetztelefonen um DECT-Geräte mit GAP-Technik. Sie ermöglicht eine Herstellerübergreifende Verwendung von Basisstation und Handgerät. Bei der GAP-Technik kannst du ein oder mehrere Handgeräte von Hersteller A, an eine Basisstation von Hersteller B anmelden. Für das Koppeln unterschiedlicher Handgeräte wird meist ein System-PIN benötigt. Hast du diesen nicht geändert, lautet er standardmäßig meist 0000.
Die einzige Voraussetzung ist, dass die Telefone die Funktion Babyruf oder Direktruf unterstützen. Einige Hersteller bauen zudem in Basisstationen mit Anrufbeantwortern auch eine Raumüberwachungsfunktion ein, auf die per Fernabfrage von jedem anderen Telefon zugegriffen werden kann. Wie es im konkreten Fall bei dir funktioniert, steht in den Bedienungsanleitungen.
Der Babyruf/Direktruf ist dagegen meist nur im Funkbereich von Basisstation und Handgerät möglich. In diesem Fall liegt die maximale Reichweite bei ca. 50 bis 100 Meter.
Ein gutes Babyfon ist im Handel ab cirka 60 Euro erhältlich und hat möglicherweise noch weitere Funktionen, die ein DECT/GAP-Telefon nicht hat. Da muss jeder selbst entscheiden ob die Zusatzfeatures das Geld wert sind.
Tipp:
Wenn du im Keller neben den Festnetztelefonen noch weitere Altgeräte, wie Smartphones oder Tablets findest, kannst du diesen auch noch ein zweites Leben einhauchen. Wie das funktioniert, erfährst du hier und hier.
Telegram Messenger: Die Funktion „Neuer Geheimer Chat“ verrät Nutzertätigkeit
Etliche Messenger bieten verschlüsselte Chats an. So auch Telegram. Hier gibt es die Funktion Neuer Geheimer Chat, die eine sichere Ende-zu-Ende-Verschlüsselung nutzt. Aber trotz dieser Verschlüsselung kann man sehen, wer mit wem in Verbindung steht. Diese Anzeige, wann du zuletzt online warst, kann abgeschaltet werden.
Der Online-Status ist sichtbar, die Unterhaltung ist trotzdem verschlüsselt
Wie bei WhatsApp auch, verrät die Anzeige des Online-Status in Telegram wer wann aktiv war. Der Messenger sendet an alle Kontakte den letzten Zeitpunkt einer Aktivität. Die Inhalte eines sicheren Chats werden aber nicht preisgegeben, da die 256Bit AES-Verschlüsselung schwer zu knacken ist. Zusätzlich kann mit dem Chatpartner der Code verglichen werden, um eine Man-in-the-Middle-Abhöraktion auszuschließen.
Selbst wenn ein Angreifer einen Command Line Interface-Client einsetzt, sieht er nur die Änderungen des Online-Status der Personen, die sich gerade unterhalten. Daraus lassen sich dann gewisse Rückschlüsse erkennen.
Status in den Einstellungen deaktivieren
Für die meisten Telegram-Nutzer wird das kein großes Problem sein, da die Unterhaltungen nach Beendigung ohnehin gelöscht werden. Wer will, kann dies trotz allem in den Privatsphäre-Einstellungen verhindern.
Dazu öffnest du über die Menüschaltfläche mit den drei Balken die Optionsübersicht und wählst hier die Einstellungen aus. Über den Eintrag Privatsphäre und Sicherheit gelangst du zur Option Zuletzt gesehen.
Tippe auf diesen Eintrag und lege im nachfolgenden Fenster die gewünschten Berechtigungen für die Anzeige deines Online-Status fest.
Wenn du dich für die Einstellung Meine Kontakte entscheidest, dann erhalten auch nur diese Personen deinen Status. Das verhindert, dass ein Fremder der eventuell irgendwo deine Telefonnummer herausbekommen hat, sehen kann, mit wem du in Verbindung stehst.
Empfehlenswert ist aber die Einstellung Niemand. Im Gegensatz zum WhatsApp-Messenger, kannst du bei Telegram dann immer noch Ausnahmen definieren, die deinen Status doch sehen sollen.
Den Telegram-Messenger gibt es für das Windows-Phone, iPhone und natürlich auch für Android.
Abhörsicher verschlüsselt telefonieren mit Signal und RedPhone
Wer telefoniert, kann ganz einfach abgehört werden. Das musste nicht nur die Bundeskanzlerin Angela Merkel am eigenen Leib erfahren. Für sie wurde aus diesem Grund extra ein abhörsicheres Handy entwickelt. Allerdings kostet so ein Kanzlerhandy schlappe 2.500 Euro. Es geht auch kostenlos. Mit kostenlosen Apps für iPhone und Android kann jedermann verschlüsselte und abhörsichere Telefonate führen.
Aus iPhones und Androids echte Krypto-Handys machen
Besonders einfach geht das mit den kostenlosen Apps Signal für iOS und RedPhone für Android. Beide Apps stammen vom gleichen Entwickler, heißen in den App-Stores – aus welchem Grund auch immer – unterschiedlich. Egal: Werden Telefonate nicht über die normale Telefon-App, sondern über Signal bzw. RedPhone geführt, schauten NSA & Co. in die Röhre. Denn die Gespräche werden abhörsicher verschlüsselt.
Technisch passiert dabei folgendes: Das Telefongespräch wird nicht übers normale Handynetz geführt, sondern über eine verschlüsselte VoIP-Datenverbindung. Die Datenpakete werden mittels ZRTP-Protokoll und AES 128 Bit Verschlüsselung verschlüsselt. Wichtig ist natürlich, dass beide Gesprächspartner entweder Signal oder RedPhone zum Telefonieren verwenden. Wer nicht über eine Datenflat verfügt, sollte zudem beachten, dass jedes Gespräch das mobile Datenvolumen belastet.
Krypto-Handy einrichten
Die Installation der Kryptographie-Apps ist kinderleicht. Nach der Installation von Signal oder RedPhone müssen Sie das eigene Handy zunächst registrieren, indem Sie Ihre Mobilnummer angeben und prompt per SMS einen Bestätigungscode erhalten.
Nach der Bestätigung kann es auch schon losgehen mit verschlüsselten Nachrichten. Findet die App im Adressbuch bereits Kontakte, die ebenfalls bei Signal/RedPhone registriert sind, können Sie sofort einen verschlüsselten Anruf starten. Konakten, die noch nicht registriert sind, kann man ganz einfach eine Einladung schicken.
Für noch mehr Sicherheit erscheinen während des Gesprächs im blauen Kasten zwei vom System generierte Wörter. Diese fungieren wie Code-Wörter, die auf beiden Displays erscheinen und über die man ggfs. die Identität des Gegenübers prüfen kann.
Die Gesprächsqualität ist erstaunlich gut. Allerdings kommen die Gespräche mit einer Verzögerung von einigen Millisekunden an; vermutlich, weil die Sprachpaket zuerst verschlüsselt und auf dem Handy des Gesprächspartner wieder entschlüsselt werden müssen. Aber was tut man nicht alles, um nicht abgehört werden zu können.