Kategorien
Hardware & Software Windows 10 Windows 7 Windows 8 Windows 8.1

Windows: So einfach ist das Auslesen von SSL-Keys

Für das Auslesen von SSL-Keys benötigt man nicht zwingend zusätzliche Software. Mit Bordmitteln geht das auch recht einfach.

Dazu öffnest du den Datei-Explorer und klickst du im Verzeichnisbaum mit der rechten Maustaste auf den Eintrag Computer (ältere Windows-Versionen) oder auf Dieser PC (Windows 10). Im Kontextmenü wählst du dann die Eigenschaften aus.

Im nächsten Fenster klickst du auf Erweiterte Systemeinstellungen | Erweitert | Umgebungsvariablen.

Im Dialogfenster der Umgebungsvariablen legst du mit der Schaltfläche Neu im Bereich Benutzervariablen einen neuen Eintrag an.

Als Namen der neuen Variablen muss SSLKEYLOGFILE eingetippt werden. Im Eingabebereich von Wert der Variablen legst du den Speicherort der Textdatei ssl.txt fest und bestätigst die Eingabe mit dem Button OK. Das sollte dann in etwa so aussehen:

c:\users\Benutzername\Desktop\ssl.txt

Den Speicherort kannst du natürlich individuell auswählen.

Sobald du nun deinen Browser öffnest und im Web surfst, wird eine Textdatei mit den SSL-Keys erstellt. Diese kannst du dann zum Beispiel kopieren und in Tools wie WireShark zur weiteren Bearbeitung einfügen.

Kategorien
Facebook Internet & Medien

Verschlüsselten Chat bei Facebook starten

Wie zum Beispiel beim Messenger Telegram, lässt sich auch bei Facebook ein verschlüsselter Chat für geheime Unterhaltungen einrichten. Auf Wunsch sogar mit automatischer Selbstzerstörung.

Dazu tippst du auf dein Profilbild und scrollst bis zum Eintrag Geheime Unterhaltungen. Tippe auf diese Option und aktiviere den Schieberegler.

Wechsle jetzt wieder zur Startseite und tippe auf das blaue Nachrichtensymbol, damit eine neue Unterhaltung gestartet werden kann. Rechts oben aktivierst du den Schieberegler neben dem Schloss-Icon und suchst dir anschließend deinen Gesprächspartner aus.

Im geöffneten Chatfenster wird unten ein entsprechender Hinweis eingeblendet, dass es sich hier um eine geheime Unterhaltung handelt. Zusätzlich kannst du über das Uhrensymbol den Zeitraum für eine Selbstzerstörung dieser Nachricht einstellen. Die Zeitspanne kann von fünf Sekungen bis hin zu 24 Stunden betragen.

Kategorien
Android Handy & Telefon

Google-App kann auch Podcasts

Eine der Google-App-Funktionen kann auch Podcasts abspielen und verwalten. So ganz neu ist dieses Feature nicht, da es schon seit 2016 in der App verfügbar ist. Nur in Deutschland noch nicht. Testen kann man die Podcast-Funktion aber auch hierzulande.

Das Abonnieren oder Verwalten wird  nicht immer funktionieren, aber die Podcasts können als Verknüpfung auf dem Homescreen abgelegt und angehört werden. Zusätzliche Software benötigt man zum Abspielen nicht. Sogar die Geschwindigkeit lässt sich im Player variabel einstellen.

Dazu suchst du über die Google-App den gewünschten Podcast, zum Beispiel den WDR 2 Comedy Podcast. Dann scrollst du etwas nach unten und tippst auf Mehr Folgen. Anschließend lässt sich die aktuelle Podcast-Reihe als Verknüpfung auf dem Home-Bildschirm ablegen.

Tipp:

Ein umfangreiches und interessantes Podcast-Angebot findest du auf den Webseiten der öffentlich-rechtlichen Radiosender. Aber auch bei cc2.tv und dem Computermagazin c`t findet man viele unterschiedliche Themen.

Kategorien
Android Handy & Telefon iPhone

Heimlich mithörenden Apps den Saft abdrehen

Um die 1000 Android-Apps, die Dunkelziffer dürfte viel höher liegen, sollen über eine versteckte Funktion das Mikrofon des Handys oder Tablets heimlich aktivieren können. Diese App(s) hören dann über das aktivierte Mikrofon im Fernsehen oder Radio gesendete Werbespots mit und zeigen anschließen die passende Werbung auch auf dem Smartphone. Dieses Verhalten lässt sich über die Einstellungen schnell verhindern.

Android

Zwei Einstellungsänderungen sind für den Schutz erforderlich. Zum Ersten öffnest du die Einstellungen deines Gerätes und rufst die Google-Einstellungen auf. Dann wechselst du zu Persönliche Daten & Privatsphäre | Einstellungen für Werbung und deaktivierst die Option Personalisierte Werbung.

Im zweiten Schritt muss die Berechtigung zur Nutzung des Mikrofons widerrufen werden. Auch dazu öffnest du die Einstellungen deines Androiden und rufst den Eintrag Apps auf.

Wähle dann die betreffende App aus, der du die Mikrofonnutzung untersagen willst, und schalte sie in der Option Berechtigungen ab.

iPhone, iPad und iPod touch

Zuerst schaltest du bei diesen Geräten ebenfalls die personalisierte Werbung ab. Tippe auf Einstellungen | Datenschutz | Werbung und aktivierst die Option Kein Ad-Tracking (Limit Ad Tracking).

Mehr Informationen zu diesem Thema findest du auf der Apple-Support-Webseite.

Um die Mikrofonberechtigung für Apps zu deaktivieren, rufst du die Einstellungen | Datenschutz auf und wählst den Dienst Mikrofon aus. In einer Liste werden nun alle Apps angezeigt, denen eine Berechtigung zur Mikrofonnutzung erteilt wurde. Schalte bei den gewünschten Apps die Berechtigung einfach ab.

Tipp:

Wenn du eine App bei Google Play, iTunes oder einem anderen Marktplatz herunterlädst, werden dir normalerweise die erforderlichen Berechtigungen vor dem Download angezeigt.

Hier kannst du schon entscheiden, ob du die Berechtigungen gewähren willst oder nicht. Entscheidest du dich für ein Nein, wird in den meisten Fällen die App nicht heruntergeladen und installiert.

In den aktuellen Versionen der Betriebssysteme kann man aber auch nach der Installation die Berechtigungen widerrufen. Dies sollte aber recht zügig erledigt werden, da sonst sensible Daten (z. B. Kontakte) auf fremden Servern landen.

Fazit:

Natürlich stellt sich die Frage, ob die App einen triftigen Grund für die angeforderten Berechtigungen hat. Eine Taschenlampen-App beispielsweise, soll einfach nur Licht machen und keine Kontakte auslesen oder andere Funktionen aktivieren. Im Zweifelsfall lässt man besser die Finger von Apps mit übersteigertem Berechtigungshunger.

Kategorien
Chrome Facebook Firefox Google Internet & Medien Opera

Zwei-Faktor-Authentifizierung: Nicht immer so sicher, wie versprochen.

Viele Webseiten bieten Ihren Nutzern eine zweifache Absicherung des Login-Bereiches an. Dazu gehört beispielsweise auch Ebay. Bei der sogenannten Zwei-Faktor-Authentifizierung wird dir nach der Eingabe der Logindaten ein zusätzlicher Code gesendet. Der meist per SMS oder per E-Mail versendete Code muss dann ebenfalls auf der Webseite eingegeben werden, damit der persönliche Bereich freigegeben wird. Aber auch diese Absicherungs-Variante ermöglicht Hackern den Webseiten-Einbruch ohne deine Logindaten zu kennen.

Webbrowser, wie beispielsweise Chrome oder Firefox, legen bei Webseitenanmeldungen Cookies an, die später zur Wiedererkennung verwendet werden. Da macht auch eine Zwei-Faktor-Authentifizierung meist keine Ausnahme.

Es sei denn, der Webseitenbetreiber verzichtet auf Cookies beim Login-Vorgang. Dadurch geht der Komfort bei der Anmeldung verloren, weil du jedes mal beide „Sicherheitsschleusen“ durchschreiten musst. Aber Bequemlichkeit ist das größte Sicherheitsrisiko.

So kommen die Hacker an deine Anmeldedaten

Ein Angreifer führt ein Session Sidejacking durch, um an deine Anmeldedaten zu kommen. Dabei zeichnet er deinen Datentraffic auf. Die hierzu verwendete Software kann unterschiedlich sein (z. B. Wireshark). Mit diesem Tool hat er zuvor schon das Netzwerk, z. B. einen öffentlichen Hotspot, infiziert.

Anschließend analysiert er deinen Datentraffic (z. B. mit Hamster und Ferrit) und extrahiert damit die Login-Cookies. Das Passwort und/oder die Zugangscodes sind in den Cookies zwar nicht in Klarschrift sichtbar, aber das ist auch nicht nötig. Der Hacker verwendet den kompletten Cookie, um sich gegenüber der Webseite zu authentifizieren. Da ist kein Passwort notwendig, weil die Webseite ihn als „Wiederkehrer“ erkennt.

Wie schützt man sich?

Wenn man einmal davon absieht, dass man sich auf sensiblen Webseiten nicht anmeldet, wenn man unbekannte WLAN/LAN-Netzwerke nutzt, dann ist eine gute Firewall unerlässlich. Außerdem sollte das Anlegen von Cookies gänzlich untersagt und die Browserdaten nach jeder Onlinesession gelöscht werden.

Auf die HTTPS-Webseiten (SSL/TLS-Verschlüsselung) alleine, sollte man sich auf keinen Fall verlassen.

Kategorien
Handy & Telefon iPad iPad iPhone

Angst vor Bloßstellung? Apple wirft Security-App „SysSecInfo“ aus dem Store.

Dass Apple unangenehme Wahrheiten lieber verschweigt, ist hinlänglich bekannt. Diesmal hat der Rotstift der Zensur die iOS-App System and Security Info der Kölner Firma SektionEins erwischt. Nach knapp einer Woche im App-Store landete das Tool auf Platz 1 der Verkaufs-Charts und anschließend direkt im digitalen Mülleimer.

Warum?!

Die Software der Firma SektionEins überprüft iOS-Geräte auf versteckte Jailbreaks und verdächtige Hintergrunddienste, die Geheimdienste sowie Hacker nutzen können um sie abzuhören oder mit Schadsoftware zu infizieren.  Die Ergebnisse werden dann in Prozesslisten und in Systeminformationen abgebildet. Außerdem zeigt die Sicherheitssoftware auch Anomalien, wie beispielsweise unsignierte Binaries, an. Das kompromittiert recht schnell iOS-Spionage-Software, wie sie von Firmen wie FinFisher (FinSpy) und HackingTeam verkauft wird.

Offensichtlich fühlte sich Apple – zu Recht – bloßgestellt. Denn anders kann man den Rausschmiss der App System and Security Info nicht werten, da andere Apps, die auch Prozesslisten und Systeminformationen anzeigen, im App-Store weiterhin erhältlich sind.

Wer mehr über die App System and Security Info und dessen Funktionsweise erfahren möchte, der kann sich auf der Webseite von SektionEins  oder im hauseigenen Blog informieren.

Peinlich, Peinlich…

Nach dem Rechtsstreit mit dem FBI um die Offenlegung der Verschlüsselung, will Apple wohl nicht dass weitere Sicherheitslücken bekannt werden.

Mein Tipp an Apple: Setzt euch mit Firmen wie SektionEins zusammen um wirklich sichere Handys zu bauen. Niemand ist perfekt und solche Zensurversuche sind einfach nur peinlich.

Rechtsstreitigkeiten, wie die mit dem FBI, sind sonst nicht mehr Wert als ein PR-Gag um im Gespräch zu bleiben.

Die glücklichen Nutzer, die System and Security Info bereits heruntergeladen haben, können sie natürlich weiterhin nutzen. Da aber zukünftige Updates nicht erfolgen (können), wird die Software wohl recht schnell veraltet sein. Die Entwickler von Spionage-Software schlafen schließlich auch nicht.

Bleibt nur abzuwarten, welchen Clou Stefan Esser von SektionEins als nächstes veröffentlicht.

Kategorien
Internet & Medien

Sicherer Austausch geheimer Daten

Wichtige Daten über das Web zu versenden kann bei Hackern und Geheimdiensten Begehrlichkeiten wecken. Whistleblower wie Edward Snowden und Plattformen wie Wikileaks sorgen regelmäßig für die Aufdeckung von Abhörskandalen und vertuschten Rechtsverstößen. Aber auch die Nutzer selbst machen es Angreifern meist nicht besonders schwer. Downloadlinks werden telefonisch über unsichere Messenger oder per E-Mail versendet. Ein abgefangener Link reicht aus, um die gesamte Kommunikation und den Datenbestand zu gefährden. Link-Verschlüsselungsdienste wie LinkCrypt schließen diese Sicherheitslücke.

Download-Links werden bei LinkCrypt.ws in Ordnern erfasst und per Passwort abgesichert. Danach wird der Zuganglink verschlüsselt angezeigt. Verschiedene Captcha-Varianten (CaptX, Key-Captcha, TextX) schützen zusätzlich gegen automatische Zugriffsversuche. Das Zugangspasswort und der verschlüsselte Link können nun über einen sicheren Kanal oder durch ein persönliches Treffen weitergegeben werden.

Um über LinkCrypt.ws seine Daten austauschen zu können, ist eine Registrierung erforderlich. Mehr als eine E-Mail-Adresse und ein Passwort benötigst du nicht.

Ähnlich wie LinkCrypt arbeiten auch andere Verschlüsselungsdienste wie FileCrypt und Cryptify. Letzterer ist zwar noch nicht online, aber man kann sich per E-Mail an das Startdatum erinnern lassen.

Kategorien
Handy & Telefon

Kein Babyfon zur Hand? Dann tut´s auch das alte Festnetztelefon

In vielen Kellern schlummern jede Menge alte, kabellose Festnetz-Telefone, die nicht mehr benötigt werden. Bevor du die Altgeräte aber entsorgst, lohnt sich vielleicht die Überlegung, ob sie anderweitig eingesetzt werden können. Auf diese Weise verlängert sich dessen Lebenszeit, die Umwelt und dein Geldbeutel werden dabei noch zusätzlich geschont. Zur Raumüberwachung oder als Babyfon lassen sich die Telefone prima weiter benutzen.

In der Regel handelt es sich bei den kabellosen Festnetztelefonen um DECT-Geräte mit GAP-Technik. Sie ermöglicht eine Herstellerübergreifende Verwendung von Basisstation und Handgerät. Bei der GAP-Technik kannst du ein oder mehrere Handgeräte von Hersteller A, an eine Basisstation von Hersteller B anmelden.  Für das Koppeln unterschiedlicher Handgeräte wird meist ein System-PIN benötigt. Hast du diesen nicht geändert, lautet er standardmäßig meist 0000.

Die einzige Voraussetzung ist, dass die Telefone die Funktion Babyruf oder Direktruf unterstützen. Einige Hersteller bauen zudem in Basisstationen mit Anrufbeantwortern auch eine Raumüberwachungsfunktion ein, auf die per Fernabfrage von jedem anderen Telefon zugegriffen werden kann. Wie es im konkreten Fall bei dir funktioniert, steht in den Bedienungsanleitungen.

Der Babyruf/Direktruf ist dagegen meist nur im Funkbereich von Basisstation und Handgerät möglich. In diesem Fall liegt die maximale Reichweite bei ca. 50 bis 100 Meter.

Ein gutes Babyfon ist im Handel ab cirka 60 Euro erhältlich und hat möglicherweise noch weitere Funktionen, die ein DECT/GAP-Telefon nicht hat. Da muss jeder selbst entscheiden ob die Zusatzfeatures das Geld wert sind.

Tipp:

Wenn du im Keller neben den Festnetztelefonen noch weitere Altgeräte, wie Smartphones oder Tablets findest, kannst du diesen auch noch ein zweites Leben einhauchen. Wie das funktioniert, erfährst du hier und hier.