Kategorien
Hardware & Software

Wifi-Spot: Unitymedia und ihre WLAN-Sicherheitslücke sind immer noch aktuell

Ein Sprichwort besagt: „Gegensätze ziehen sich an.“ Das scheint wohl auch Unitymedia und deren WLAN-Sicherheit zu betreffen. Bereits Anfang des Jahres 2016 warnte das Unternehmen davor, die Standard-Passwörter, die auf der Rückseite des Routers mit einem Aufkleber angebracht sind, weiterhin zu benutzen. Sie sollten sobald als möglich gegen ein eigenes Passwort ersetzt werden. Nun gibt es offenbar nach dem Start von WifiSpot wieder (oder immer noch) ein Sicherheitsproblem. Bei einigen Nutzern, deren WLAN-Router für das freie WLAN-Netz freigeschaltet wurden, sind die Standard-Passwörter geknackt worden.

Über diese Sicherheitslücke, die Unitymedia seit Bekanntwerden immer noch nicht geschlossen hat, gewährt den Zugriff über das Netzwerk auf die Daten des oder der angeschlossenen Computer.

Sie ist außerdem so eklatant groß, dass es keine hochspezialisierten Hacker braucht, um einen Angriff auf einen WLAN-Router durchzuführen. Mit den richtigen Suchbegriffen findet jedes Kind im Google Play Store die passende Router-Keygen-App zum Auslesen des Standard-Passwortes.

Unitymedia hat auf dieses Problem (wie auch im Januar) lediglich mit dem Rat reagiert, dass die Kunden ihr Standard-Passwort gegen ein Eigenes ersetzen sollen.

Zusätzlich hat das Unternehmen (Vorsicht, Ironie!) sogar noch eine Info-Seite (FAQ) geschaltet, wie man bei den Geräten das Passwort ändert. Es betrifft nämlich nicht nur ein Gerät sondern gleich sechs Modelle:

  1. Ubee Modem
  2. Fritz!Box 6360
  3. Fritz!Box 6490
  4. Technicolor Modem TC7200
  5. Horizon Box
  6. Connect Box

Tipp:

In diesem Artikel erfährst du, wie einfach man sichere Passwörter erstellt, die man sich sogar gut merken kann.

Kategorien
Internet & Medien

Sicherer Austausch geheimer Daten

Wichtige Daten über das Web zu versenden kann bei Hackern und Geheimdiensten Begehrlichkeiten wecken. Whistleblower wie Edward Snowden und Plattformen wie Wikileaks sorgen regelmäßig für die Aufdeckung von Abhörskandalen und vertuschten Rechtsverstößen. Aber auch die Nutzer selbst machen es Angreifern meist nicht besonders schwer. Downloadlinks werden telefonisch über unsichere Messenger oder per E-Mail versendet. Ein abgefangener Link reicht aus, um die gesamte Kommunikation und den Datenbestand zu gefährden. Link-Verschlüsselungsdienste wie LinkCrypt schließen diese Sicherheitslücke.

Download-Links werden bei LinkCrypt.ws in Ordnern erfasst und per Passwort abgesichert. Danach wird der Zuganglink verschlüsselt angezeigt. Verschiedene Captcha-Varianten (CaptX, Key-Captcha, TextX) schützen zusätzlich gegen automatische Zugriffsversuche. Das Zugangspasswort und der verschlüsselte Link können nun über einen sicheren Kanal oder durch ein persönliches Treffen weitergegeben werden.

Um über LinkCrypt.ws seine Daten austauschen zu können, ist eine Registrierung erforderlich. Mehr als eine E-Mail-Adresse und ein Passwort benötigst du nicht.

Ähnlich wie LinkCrypt arbeiten auch andere Verschlüsselungsdienste wie FileCrypt und Cryptify. Letzterer ist zwar noch nicht online, aber man kann sich per E-Mail an das Startdatum erinnern lassen.

Kategorien
Android Handy & Telefon iPhone WhatsApp Windows Phone

Hurra, die WhatsApp-Verschlüsselung ist endlich da!

Lange genug haben die Macher von WhatsApp die Verschlüsselung ihres Messengers ignoriert. Über die Gründe, lässt sich nur spekulieren. Offensichtlich wollte man nur abwarten, wer sich zuerst offen gegen den Einbau von Hintertüren stellt. Und das war nun mal Apple. Seit nunmehr drei Tagen kommuniziert jeder WhatsApp-Nutzer automatisch über abgesicherte Chats.

Was bei Telegram, Threema & Co schon länger zur Sicherheitsausstattung gehört, ist nun auch bei WhatsApp angekommen: Die Ende-zu-Ende-Verschlüsselung (e2e). Sie sichert alle Chats, den Versand von Audio-,  Video- und Bilddateien ab. Auch das Telefonieren über WhatsApp, sowie Gruppenchats sind mit der e2e-Verschlüsselung gesichert. Die Voraussetzung ist lediglich die aktuelle WhatsApp-Version. Vor drei Tagen erschien in abgesicherten Chats folgender Hinweis:

Nachrichten, die du in diesem Chat sendest, sowie Anrufe, sind jetzt mit Ende-zu-Ende-Verschlüsselung geschützt.

Du kannst den 60-stelligen Sicherheitsschlüssel mit deinem Chatpartner überprüfen. Das dient dazu, dass beide Partner denselben Schlüssel verwenden und sich kein Mithörer eingeschlichen hat.

Entweder man liest sich den Schlüssel gegenseitig vor, oder man scannt mit dem eigenen Handy den Schlüssel (als QR-Code) des Partners. Ein spezieller Barcode-Scanner ist nicht notwendig. Dazu öffnest du nur die WhatsApp-Kontakt-Infos und tippst auf den Eintrag Verschlüsselung. Dann wird der Sicherheits-Code angezeigt.

Tipp:

In deinem eigenen WhatsApp-Account gibt es ein weiteres Sicherheitsfeature, das aktiviert werden sollte. Über Einstellungen | Account | Sicherheit schaltest du eine Benachrichtigungsfunktion ein, die dich informiert, wenn sich der Sicherheitscode einer deiner Chatpartner ändert. Der Code ändert sich dann, wenn WhatsApp neu installiert wird, der Chat-Partner ein neues Smartphone benutzt oder eine andere Person versucht, diesen Kontakt als den Eigenen auszugeben.

Die Technik

Die verwendete Sicherheitstechnik basiert auf dem Signal-Protokoll (früher Axolotl), dass von den Experten um Moxie Marlinspike (RedPhone, Signal, Open Whisper Systems) entwickelt wurde. Dieses quelloffene Protokoll enthält mehrere starke Kryptografieverfahren inklusive des Forward Secrecy.

Forward Secrecy verwendet kurzlebige Sicherheitsschlüssel. Das soll eine sichere Verbindung für jede einzelne Nachricht gewährleisten und verhindern, dass ein einmal kompromittierter Code nicht für die Entschlüsselung alter oder zukünftiger Chats genutzt werden kann.

Kategorien
Geld & Finanzen Lifestyle & Leben

Cash-Trapping – Neue Betrugsmasche am Geldautomaten

Die Polizei warnt vor einer Betrugsmasche, die immer häufiger an Geldautomaten eingesetzt wird. Beim sogenannten Cash-Trapping wird der Geldausgabeschacht des Bankautomaten manipuliert.

Die Geldinstitute bekommen das Skimming von Bankkarten immer besser in den Griff. Bei dieser Variante des Betruges werden vor dem Eingabeschacht Kartenlesegeräte angebracht, die automatisch den Magnetstreifen der Bankkarte kopieren und an die Betrüger übermitteln. Zusammen mit den ebenfalls angebrachten Tastaturen wird auch noch die Geheimnummer ausgespäht.

Da dies aber einen recht großen technischen Aufwand bedeutet, wird das Cash-Trapping immer beliebter. Hier wird einfach eine Leiste mit doppelseitigem Klebeband auf dem Geldausgabeschacht angebracht, an dem das ausgezahlte Geld einfach kleben bleibt.

Der Kunde merkt zunächst nicht, dass der Automat manipuliert ist, denn es wird eine Störung angezeigt. Der Bankautomat merkt zwar, das etwas nicht stimmt, kann aber die festgeklebten Scheine oftmals nicht wieder einziehen. Meist verlassen dann die Kunden unverrichteter Dinge den Schalterraum. Ist die Luft dann rein, entfernen die Gauner anschließend die Leiste und das Geld.

Gegen diese Masche kann man sich recht einfach wehren. Die Gauner sind meist in der Nähe um das Geschehen zu beobachten. Daher solltest du vor dem Geldabheben auf „unbeteiligte“ Personen im Schalterraum achten. Besonders dann, wenn die Gesichter dieser Personen durch Mützen, Kapuzen oder großen Sonnenbrillen größtenteils verdeckt sind. Das schützt sie vor den Kameras in den Banken.

Erhältst du dann beim Auszahlungsvorgang kein Geld und die oben erwähnte Störung wird angezeigt, ist Vorsicht geboten. Den Automaten solltest du dann nicht mehr aus den Augen lassen. Während der Geschäftszeiten rufst du einen Bankangestellten hinzu. Bitte einen anderen Kunden dafür um Hilfe oder rufe mit dem Handy bei der Bank an. Und außerhalb der Geschäftszeiten ist am besten die Polizei über die Notrufnummer 110 zu informieren.

In beiden Fällen gilt: Nicht von „hilfsbereiten“ Fremden vom Automaten weglocken lassen!

Kategorien
Hardware & Software Linux Mac OS X Windows 10 Windows 7 Windows 8 Windows 8.1 Windows Vista Windows XP

Sichere Chat-Verbindungen über den Tor-Messenger

Die meisten Chat-Programme sind so sicher wie offene Scheunentore. Chatverläufe und versendete Bilder, Videos und Audiodateien können jederzeit abgehört werden. Eine recht sichere Alternative und dazu auch noch kostenlos ist der TOR-Messenger.

Wir kennen ja bereits den TOR-Browser, mit dem man anonym durch das Web surfen kann. Ende Oktober 2015 erschien die Betaversion des TOR-Messenger.

Basierend auf dem Desktop-Messenger Instantbird, unterstützt das Chatprogramm etliche Dienste wie zum Beispiel Jabber (XMPP), Yahoo, Facebook Chat, Twitter, IRC sowie Google Talk und ist kompatibel mit den Messenger-Clients Adium und Pidgin.

Die Unterstützung von Twitter, IRC, Google Talk & Co hat den Vorteil, dass das eigene Kontaktnetzwerk dieser Accounts bestehen bleibt und für die verschlüsselten Chats verwendet werdenkann.

Der TOR-Messenger verhindert durch die Ende-zu-Ende-Verschlüsselung (Off The Record) zwar das Mitlesen deiner Chats, es bleibt aber erkennbar, welche Kontakte mit welchen Konten in Verbindung stehen.

Die Bedienung ist recht einfach, die Nachrichten werden automatisch über das TOR-Netzwerk versendet, ohne dass man eine separate TOR-Verbindung aufbauen muss. Beim Beenden des Messengers werden standardmäßig alle Chats automatisch gelöscht. Wer möchte, kann aber die Protokollierung der Chat-Verläufe aktivieren.

Der TOR-Messenger ist erhältlich für die Betriebssysteme von Windows, Linux 32-/64Bit und MAC OS X.

Kategorien
Android Handy & Telefon

Mit Fake-Crash-Meldungen den Zugriff auf Android Apps verhindern

Den unberechtigten Zugriff auf das eigene Handy zu verhindern, ist sehr wichtig. Eine Vielzahl von Sicherheitsmechanismen stehen uns Smartphone-Besitzern zur Verfügung. Eine der dieser Mechanismen ist die etwas ungewöhnliche Anwendung App Locker II: Fake Crash.

Hier kannst du verschiedene Android Apps mit einer Fake-Fehlermeldung gegen unbefugten Zugriff absichern. Der Zugriffsschutz ist für einzelne oder auch für alle Apps möglich. Der App Locker II: Fake Crash ist natürlich kostenlos und im Google Play Store erhältlich.

Apps sichern

Nach der Installation startest du die App und kannst sofort aus der Liste einzelne Apps für die Sperrung  auswählen. Da die Sperrung sofort aktiv ist, solltest du vorher die Art der Entsperrung festlegen. Übrigens, der Unlock-Modus steht standardmäßig auf 2 mal auf die Fehlermeldung tippen.

Was leider nicht funktioniert, ist die Sperrung aller Apps auf einen Schlag. Man muss jede App für eine Sperrung separat anwählen. Das bedeutet viel Tipparbeit. Ich selbst habe bereits knapp 100 Apps auf meinem Smartphone…

Art der Entsperrung auswählen

Den Unlock-Modus erreichst du über den Einstellungs-Button deines Smartphones oder Tablets.

In dem Einstellungsmenü legst du neben dem Kennwort auch den Einzel-Sperrmodus oder den Multi-Sperrmodus fest. Im Einzelmodus wird nur die gerade angewählte App entsperrt (empfohlen), im Multi-Sperrmodus werden dagegen alle freigegeben (nicht empfohlen).

Zur Entsperrung stehen mehrere Modi zur Auswahl. Zweimal oder fünfmal auf die Fehlermeldung tippen, einmaliges oder zweimaliges Drehen des Gerätes, Kennworteingabe oder der Näherungssensor.

Bei Auswahl des Näherungssensors musst du zum Entsperren deine Hand für zwei Sekunden auf das Display legen oder es an dein Ohr halten.

Wird nun versucht, eine gesicherte App zu verwenden, dann erscheint die entsprechende Fake-Fehlermeldung. Zur Freigabe musst du nun die voreingestellte Aktion durchführen. Der Button Schließen erzwingen beendet die Meldung, die angesteuerte App startet aber nicht.

Hast du zum Entsperren die Passworteingabe eingestellt, erscheint die zusätzliche Schaltfläche Bericht. Tippe auf den Button Bericht und gib im nachfolgenden Dialog das Passwort ein.

Tipp

App Locker II: Fake Crash sollte ebenfalls gesichert werden, da die Sicherung durch Unbefugte wieder entfernt werden kann.

Fazit

App Locker II ist keine professionelle Schutzsoftware. Trotzdem ist der Einsatz nicht vergebens, wenn man sein Handy oder Tablet gegen neugierige Arbeitskollegen oder gegen Familie und Freunde absichern will.

Kategorien
Hardware & Software Software Windows 10

Windows-10-Spionage auf einen Schlag verhindern

Windows 10 „telefoniert“ nach Hause. Mit mehr als 30 eingebauten Features sammelt Windows 10 die unterschiedlichsten Daten und meldet sie an die Microsoft-Zentrale in die USA. Darunter befinden sich Daten, die zur Weiterentwicklung und Verbesserung von Windows dienen, aber auch sensiblere und persönliche Daten. Jeder Nutzer muss letztendlich selber entscheiden, wieviel Daten er preisgeben möchte. Viele kostenfreie Tools bieten hierfür ihre kompetente Hilfe an. Wie zum Beispiel O&O ShutUp10.

Der Software-Entwickler O&O ist bisher bekannt für sein Defragmentierungs- und Optimierungs-Tool O&O Defrag. Jetzt wurde das Anti-Spy-Programm O&O ShutUp10 für Windows 10 veröffentlicht.

Lade das Tool (ZIP-Datei) auf der Webseite von O&O herunter und entpacke es in deinem bevorzugten Verzeichnis. O&O ShutUp10 ist ohne Installation lauffähig.

Du startest es mit einem Doppelklick auf die OOSU10.exe. Auf einen Blick werden nun alle Datensauger aufgelistet und können über die Schalter manuell deaktiviert werden.

Damit du nichts Systemrelevantes abschaltest, bietet das Programm Tipps und Empfehlungen zu den aufgelisteten Diensten an, um die Sicherheit deines Computers nicht zu gefährden. Eine Erklärung der Hilfesymbole erhälst du über die Schaltfläche Hilfe.

Über den Button Aktionen lassen sich die unterschiedlich markierten Empfehlungen entsprechend ändern.

Aber Achtung: Etliche Windows-Funktionen erfordern eine Datenweitergabe an Microsoft. Werden deren Datenströme unterbunden, sind sie unter Umständen nur noch eingeschränkt oder gar nicht mehr funktionsfähig. Hier musst du dann entscheiden, ob die Privatsphäre den Nutzen des Windows-Programms aufwiegt.

Kategorien
Android Handy & Telefon

Achtung, dein Android-Handy hört mit! Neuer Trojaner verhindert das Ausschalten des Handys

Der Sprachbefehl „Ok, Google“ startet auf dem PC und auch auf dem Handy eine Websuche per Sprachbefehl. Wieviel Schaden mit dieser Funktion verursacht werden kann, sollte hinlänglich bekannt sein. Darüber wurde bereits viel berichtet. Am Computer lässt sich ein Mikrofon schnell entfernen, bei einem Smartphone ist das schon viel schwieriger. Und das nutzen Hacker schamlos aus. Der Anbieter von Antimalware-Tools, AVG, hat kürzlich einen Trojaner entdeckt, der das Ausschalten von Handys simuliert.

Kamera, Mikrofon, Telefonate, SMS-Versand – Alles ist möglich

Die Malware kapert den Shutdown-Prozess, zeigt die entsprechende Animation an und schaltet dann das Display aus. In Wirklichkeit ist es aber überaus aktiv. Das Spionagetool kann dabei nicht nur das Mikrofon als Wanze benutzen, auch die Kamera kann vom Angreifer gesteuert werden. Ebenfalls können Telefonate und Nachrichten im Namen des Benutzers geführt und versendet werden.

Haupsächlich chinesische Handys sind betroffen

Betroffen sind alle Android-Betriebssysteme bis einschließlich Version 4.4. Das noch recht neue Lollipop (Version 5.0) ist bisher noch nicht auffällig geworden.

Derzeit sind zwar nur ca. 10000 hauptsächlich chinesische Handys betroffen, daher ist noch kein Grund zur Panik gegeben. Der Trojaner wird im Augenblick durch chinesische App-Kataloge verbreitet. Diese zu vermeiden, sollte für uns nicht besonders schwer sein.

Dazu kommt noch, dass der Schädling Root-Rechte benötigt. Normalerweise müssen diese Rechte vom Nutzer manuell bestätigt werden. Daher sollten sie nicht aktiv vergeben werden. Ebenso gilt es, gerootete Handys nicht unbeobachtet herumliegen zu lassen.

Ach ja, Augen auf beim Handy-Kauf im Internet. Bei Smartphones, die online in China gekauft werden, können auch ein paar infizierte dabei sein…

Die mobile Version verlassen