Kategorien
Firefox Internet & Medien

Firefox: Neues Add-On bändigt den Facebook-Datenhunger

Facebook steht zur Zeit wegen einer sehr großen Datenpanne in der Kritik. Dass in diesem „sozialen Netzwerk“ nichts privat bleibt, wundert wohl niemanden mehr. Darüber hinaus verfolgen Zuckerberg & Co deine Netzaktivitäten auch außerhalb der Plattform. Über den Sharing-Button werden die übrigen Browser-Daten abgegriffen und aufgezeichnet. Das will Mozilla mit einem Add-On ab sofort verhindern.

Facebook wird eingesperrt

Die Erweiterung Facebook Container isoliert deine Facebook-Tätigkeiten von den übrigen Web-Aktivitäten. Rufst du die Facebook-Seite auf, wird sie in einem separaten Tab geöffnet. Hier kannst du dich wie gewohnt anmelden und deinen Facebook-Tätigkeiten nachgehen.

Klickst du auf einer externen Webseite einen Sharing-Button an, erkennt das Add-on automatisch die Facebook-Verbindung und öffnet den blau markierten Container-Tab. Lediglich auf Webseiten eingebettete Facebook-Kommentare können im normalen Browser-Tab etwas anders aussehen, weil der Browser glaubt, dass du nicht angemeldet bist. Eventuell kann es auch bei Gefällt mir-Buttons zu Fehlfunktionen kommen.

Download

Facebook Container ist natürlich kostenlos und auf der Mozilla Add-ons-Seite erhältlich. Nach der Installation beendet die Erweiterung deine Facebook-Sitzung und entfernt auf dem Computer alle Facebook-Cookies.

Anschließend rufst du die Facebook-Seite erneut auf, um dich einzuloggen. Ab sofort laufen deine Aktivitäten ausschließlich über den Container und ohne weitere Einschränkungen.

Wenn du das Add-On testen möchtest, hinterlasse deine Erfahrungen doch einmal in den Kommentaren.

Hinweis:

Der Facebook Container verhindert nicht das Sammeln von Daten, die bei Facebook direkt anfallen. Er unterbindet nur die Verfolgung deiner übrigen Webaktivitäten.

Fazit:

Mit dieser Erweiterung wird das Surfen wieder ein wenig privater. Aber nicht nur die Unternehmen aus dem Facebook-Universum gieren nach deinen Daten. Auch andere Big-Data-Companies verfolgen dich im Netz rund um die Uhr. Vielleicht gibt es später auch einmal Container für Google, Microsoft, Amazon und Apple…

Kategorien
Internet & Medien

NSA-Spionageaffäre: Chronologische Auflistung aller Snowden-Ereignisse

Über den Datenmissbrauch und das Ausspähen der „National Security Agency“ (NSA) ist in den letzten Monaten sehr viel geschrieben worden. Da kann man den Überblick über die unterschiedlichen Themen sehr schnell verlieren. Beim „Projekt-Datenschutz“ wurden alle Ereignisse von und über Edward Snowden chronologisch aufgelistet.

Auf der Webseite „www.projekt-datenschutz.de„…

projekt-datenschutz-snownden-nsa-spionage-usa

…werden aber nicht nur die Ereignisse um Herrn Snowden dokumentiert…

affaere-snowden-chronologisch-sortiert-nach-datum-artikel-ereignisse-nsa

…sondern auch Datenschutzpannen von Behörden, Banken und anderen Unternehmen wurden hier auf 17 weiteren Seiten gesammelt.

datenschutz-panne-vorfaelle-sky-kundendaten-twitter-snowdon-gesammelt-artikel-datum-soriert

Es gibt hierzu ebenfalls einen Twitter-Auftritt, sowie eine Linksammlung rund um das Thema Datenschutz.

Kategorien
Android Handy & Telefon

WhatsApp Sniffer: Fremde WhatsApp-Nachrichten im WLAN mitlesen und überwachen

Und wieder eine Sicherheitslücke. Diesmal betroffen: WhatsApp. Im App-Store Google Play gab es eine zeitlang den „WhatsApp Sniffer“, mit dem Sie im lokalen WLAN alle WhatsApp-Nachrichten anderer WhatsApp-Nutzer mitlesen können. In Google Play ist der WhatsApp Sniffer zwar verschwunden – über die Google-Suche gibt’s ihn aber immer noch.

Whats-App-Nachrichten unverschlüsselt mitlesen und abhören

Das Sicherheitsunternehmen G Data macht in einer aktuellen Pressemitteilung auf die WhatsApp-Sicherheitslücke aufmerksam. Die Sicherheitslücke ist allerdings nur auf das lokale WLAN beschränkt. Zuhause ist es kaum kritisch; anders sieht es in öffentlichen WLANs an Flughäfen oder in Restaurants. Eine Handvoll frei zugänglicher Werkzeuge reichen, um alle WhatsApp-Nachrichten aus diesem WLAN mitzulesen.

Der Hacker braucht dazu nur ein Smartphone mit Root-Rechten (Jailbreak), die Busybox und den WhatsApp Sniffer bzw. die WhatsApp-Sniffer-APK-Datei – alles eine simple Google-Suche frei erhältlich. Mit einem so ausgestatteten Schnüffel-Smartphone lassen sich alle Informationen mitlesen, die über WhatsApp innerhalb des WLANs über den Äther gehen: Chats, Fotos und Videos. Die Betroffenen bekommen davon nichts mit.

Anleitung für WhatsApp-Spionage? Nicht mit Google

Mittlerweile ist Google aktiv geworden und hat den WhatsApp Sniffer aus dem Google Play Store entfernt. Die APK-Datei gibt’s per Google-Suche aber weiterhin.

Was kann man tun? Bis WhatsApp eine neue Version mit gestopfter Sicherheitslücke herausbringt, sollten WhatsApp-User keine öffentlichen WLAN-Netzwerke nutzen, sondern die Datenverbindung ausschließlich über das Mobilfunknetz laufen lassen.

Update 2014: Mittlerweile hat WhatsApp die Sicherheitslücke geschlossen.

Kategorien
Internet & Medien

Twitter Hack: Über 50.000 Twitter-Accounts inklusive Twittername und Kennwort stehen öffentlich im Netz – Ihrer auch?

Hoppla, gibt es bei Twitter etwa ein Datenleck? Ein bislang unbekannter Hacker ist in den Besitz von über 50.000 Twitter-Accounts inklusive Benutzername und Kennwort gelangt. Ob auch Ihr Name mit dabei ist, können Sie leicht nachprüfen.

Twitter gehackt?

Die New York Times berichtet über ein besorgniserregende Datenleck bei Twitter; erste Berichte gab es zuvor im Blog Air Demon. Offenbar wurden rund 55.000 Accounts gehackt bzw. deren Zugangsdaten erschnüffelt. Allerdings zeigt sich bei näherer Betrachtung, dass unter den 55.000 Namen rund 20.000 Duplikate sind. Twitter untersucht den Vorfall derzeit und betont, dass es sich vermutlich „nur“ um bereits abgelaufene Spam-Accounts handelt.

Die Liste der ausgespähten Twitter-Namen steht auf den folgenden fünf Seiten:

Ob Ihr Twittername unter den veröffentlichten Accounts ist, können Sie selbst überprüfen: Rufen Sie eine der Seite mit den Namenslisten auf, und drücken Sie die Tastenkombination [Strg][F], um die Suchfunktion des Browsers zu starten. Geben Sie Ihren Twitternamen oder einen Teil davon ins Suchfeld ein. Da die Listen nicht alphabetisch sortiert sind, sollten Sie alle fünf Listen durchforsten.

Ist Ihr Twittername dabei, sollten die Alarmglocken angehen: Ändern Sie dann unbedingt Ihr Twitter-Kennwort. Das geht ganz schnell auf der Seite twitter.com/settings/password. Und wenn Sie dasselbe Kennwort auch bei anderen Diensten oder in Shops wie ebay oder Amazon verwenden, sollten Sie auch dort das Kennwort ändern. Und zwar möglichst schnell.

Kategorien
Internet & Medien

DropBox und TrueCrypt: Dropbox-Dateien automatisch per TrueCrypt verschlüsseln

Spätestens seit der letzten Datenpanne bei Dropbox (alle Dateien waren für vier Stunden für jedermann zugänglich), fragen sich Dropbox-Anhänger, wie sicher die Daten in der Dropbox-Cloud sind. Schließlich werden die meisten Daten dort unverschlüsselt gespeichert. Es geht auch sicherer. Dropbox-Dateien lassen sich mit TrueCrypt automatisch verschlüsseln und wieder entschlüsseln. Wir zeigen Schritt für Schritt, wie’s geht.

Wenn Sie eine Datei in den Dropbox-Container legen, wird diese sofort mit den Dropbox-Servern synchronisiert. Und zwar unverschlüsselt. Das bedeutet: Jeder, der Zugang zur Dropbox hat, kann die Dateien öffnen und lesen. Zudem weiß man nie, wer von den Dropbox-Mitarbeitern Zugang zu den gespeicherten Dateien hat.

Die Dropbox verschlüsseln – automatisch

Wer dabei ein mulmiges Gefühl hat, kann sich zusätzlich absichern und alle Dateien bombensicher und knacksicher verschlüsseln. Selbst wenn das Dropbox-Konto geknackt wird, Mitarbeiter auf die Dateien zugreifen oder mal wieder eine Dropbox-Datenpanne passiert (siehe Dropbox-Blog), kann niemand die Dateien lesen.

Möglich macht’s die kostenlose Verschlüsselungssoftware „TrueCrypt“, die automatisch und ohne weiteres Zutun alle Dropbox-Dateien verschlüsselt. Da die Daten dann nur in verschlüsselter Form zu Dropbox übertragen werden, kommt niemand an den Dateiinhalt. Das Gute an Truecrypt: bislang ist es noch niemandem gelungen, die TrueCrypt-Verschlüsselung zu knacken.

Schritt 1: TrueCrypt vorbereiten

Damit die automatische Dropbox-Verschlüsselung funktioniert, müssen Sie zuerst TrueCrypt einrichten und konfigurieren. Das geht folgendermaßen:

1. Installieren Sie die kostenlose Verschlüsselungssoftware TrueCrypt. Den Download finden Sie hier: http://www.truecrypt.org/downloads.

Zusätzlich sollten Sie das deutsche Sprachpaket herunterladen und in den TrueCrypt-Ordner (C:ProgrammeTrueCrypt) kopieren: http://www.truecrypt.org/localizations.

2. Starten Sie TrueCrypt, und wechseln Sie mit „Settings | Language“ zur deutschen Bedienoberfläche.

3. Klicken Sie auf „Volumen erstellen“.

4. Im ersten Fenster des Assistenten wählen Sie „Eine verschlüsselten Datei-Container erstellen“ und bestätigen mit „Weiter“.

5. Wählen Sie „Standard TrueCrypt-Volumen“, und klicken Sie auf „Weiter“.

6. Um den Speicherort für den Truecrypt-Container anzugeben, klicken Sie auf die Schaltfläche „Datei“. Dann wechseln Sie in Ihren Dropbox-Ordner und geben einen Dateinamen für den Truecrypt-Container ein, zum Beispiel „dropbox-verschluesselt“. Bestätigen Sie Eingabe per Klick auf „Speichern“ und „Weiter“.

7. Im nächsten Schritt lassen Sie die Standard-Verschlüsselungseinstellungen unverändert und klicken auf „Weiter“.

8. Dann geben Sie die gewünschte Maximalgröße des Dateicontainers an. Die Volumengröße gibt an, wie groß das virtuelle Truecrypt-Laufwerk werden darf. Dort können Sie dann so viele Dateien verschlüsselt speichern (egal wie viele), bis die Maximalgröße erreicht ist.

9. Eines der wichtigsten Schritte: Vergeben Sie ein Kennwort, mit der Truecrypt-Container (also alle Dateien) verschlüsselt werden.

Achten Sie bei der Wahl des Passworts darauf, dass es nicht zu leicht zu erraten ist. Aus Bequemlichkeit werden oft der Name des Partners bzw. des Haustiers, das eigene Geburtsdatum oder Standardwörter aus dem alltäglichen Sprachgebrauch verwendet. Die lassen sich zwar einfach merken, macht es Hackern aber zu einfach. Erfahrene Angreifer können einfache Kennwörter blitzschnell ermitteln. Eine beliebte Variante ist die Brute-Force-Methode. Dabei werden einfach alle Worte und Wortkombinationen durchprobiert, die im Duden oder anderen Wörterbüchern stehen. Früher oder später sind Standardkennwörter wie „Gartenschlauch“ ermittelt.

Daher sollten Sie ein möglichst kompliziertes Kennwort verwenden. Je komplizierter, desto besser. Eine Methode besteht beispielsweise darin, ein einfaches Wort durch wechselnde Groß- und Kleinschreibung komplizierter zu machen, etwa „gARtenSCHere“ statt einfach nur „Gartenschere“. Oder Sie ersetzen einzelne Buchstaben durch Ziffern und Sonderzeichen, zum Beispiel „G@rten5ch3r3“.

Besonders sicher sind Kennwörter, die und ausschließlich aus zufällig gewählten Buchstaben und Ziffern bestehen, etwa „MLhTdVv1967“. Mit einer Eselsbrücke lässt sich sowas auch leicht merken. Das obige Beispiel ist zusammengesetzt aus den Anfangsbuchstaben des Satzes „Mein Lieblingsfilm heißt Tanz der Vampire von 1967“ – darauf kommt garantiert kein Hacker.

10. Klicken Sie auf „Formatieren“, um den Truecrypt-Container zu anzulegen. Den Assistenten mit „Beenden“ schließen und danach das Truecrypt-Programm beenden. Das war’s. Da der Truecrypt-Container in der Dropbox liegt, wird er automatisch mit Dropbox synchronisiert. Das kann je nach Containergröße mehrere Stunden dauern.

Schritt 2: Truecrypt-Container als Laufwerk einbinden

Sobald das Hochladen abgeschlossen ist, sollten Sie dem Truecrypt-Container einen Laufwerksbuchstaben zuweisen, um Dateien besonders einfach speichern zu können. Sie können dann Dateien einfach in das Laufwerk ziehen, diese werden dann automatisch verschlüsselt. Zudem müssen Sie Truecrypt so konfigurieren, dass nicht immer der gesamte Truecrypt-Container, sondern nur die Änderungen synchronisiert werden. So geht’s:

1. Starten Sie Truecrypt, und rufen Sie den Befehl „Einstellungen | Voreinstellungen“ auf.

2. Kreuzen Sie die Option „Änderungszeiten con Containerdateien erhalten“ an. Damit verhindern Sie, dass bei Änderungen immer der ganze Container synchronisiert wird (was sonst mitunter mehrere Stunden dauern würde). Stattdessen werden nur die Änderungen synchronisiert. Bestätigen Sie die Änderung mit OK.

3. Um dem Container einen Laufwerksbuchstaben zuzuweisen,wählen Sie im TrueCrypt-Fenster den gewünschten Buchstaben. Dann klicken Sie auf „Datei“ klicken und wählen den Truecrypt-Container im Dropbox-Ordner aus. Bestätigen Sie die Auswahl mit „Öffnen“.

4. Anschließend klicken Sie auf „Einbinden“, geben das Verschlüsselungskennwort ein und klicken auf OK. Damit steht der Truecrypt-Container als Laufwerk im Windows Explorer zur Verfügung.

Sobald Sie dorthin eine Datei kopieren oder verschieben, wird diese automatisch per Truecrypt verschlüsselt.

Leider wird der Container nicht automatisch mit Dropbox synchronisiert. Die Synchronisierung findet erst statt, wenn Sie im Truecrypt-Fenster auf „Trennen“ und danach wieder auf „Einbinden“ klicken und damit die Laufwerkszuordnung einmal kurz zu unterbrechen. Erst dann synchronisiert Dropbox die Truecrypt-Volumendatei.

Wenn Sie auf einem anderen Rechner die Dateien bearbeiten möchten, müssen Sie dort ebenfalls Dropbox und Truecrypt installieren. Nur mit dem richtigen Truecrypt-Kennwort kommen Sie dann wieder an die Daten ran.

Alternative Wuala mit integrierter Verschlüsselung

Falls Ihnen die ganze Prozedur zu kompliziert ist, können Sie auch auf die Cloud-Festplatte von „Wuala“ zurückgreifen. Auch hier erhalten Sie kostenlos 1 GB Speicherplatz. Mit einem großen Unterschied: auf Wunsch werden die Dateien standardmäßig auf dem eigenen Rechner verschlüsselt und erst dann in der Cloud zur Verfügung gestellt. Die Verschlüsselung ist praktisch in den Cloudservice integriert und fester Bestandteil des Angebots.

Alle weiteren Informationen zur Verschlüsselungs-Cloud-Festplatte „Wuala“ finden Sie hier:

http://www.wuala.com

Kategorien
Hardware & Software Tipp des Tages

Facebook Access-Token-Datenpanne: So schließen Sie das Sicherheitsloch

Seit 2007 gab es bei Facebook eine eklatante Datenpanne – die erst jetzt entdeckt wurde. Über das Datenleck können externe Facebook-Applikationen auf alle persönlichen Daten, Chats und Statusmeldungen zugreifen. Und das bereits seit mehreren Jahren. Zum Glück lässt sich das Datenleck mit wenigen Schritten stopfen.

Das Facebook-Datenleck stopfen und Facebook wieder sicher machen

Darum geht es: Seit 2007 gibt es bei Facebook Mini-App für Spiele wie Farmville, Umfragen oder andere Spaß- und Mitmachangebote. Rund 20 Millionen Facebook-Apps werden täglich installiert. Wer die Facebook-Apps nutzen möchte, muss zustimmen. Bislang wurde bei der Zustimmung dem App-Entwickler der Zugangs-Schlüssel (access token) zum eigenen Facebook-Account übergeben. Und der funktioniert wie ein Ersatzschlüssel zu den kompletten Facebook-Daten eines Users. Wer den Zugangs-Schlüssel hat, kommt mitunter ohne Kennwort ans komplette Facebook-Profil.

Leck gestopft – aber das reicht nicht

Inzwischen hat Facebook die Sicherheitslücke gestopft und übergibt keine neuen Access-Tokens mit umfangreichen Zugangsberechtigungen mehr. Damit ist die Sache aber nicht erledigt. Denn alle alten Zugangsschlüssel behalten ihre Gültigkeit – und erlauben weiterhin den Zugriff auf sämtliche Profildaten.

Sicher ist sicher: Kennwort ändern

Um auch diese letzte Lücke zu schließen, gibt es eine einfache Möglichkeit: Ändern Sie Ihr Facebook-Kennwort, um damit gleichzeitig die alten Access-Tokens ungültig zu machen. Um das Facebook-Kennwort  zu ändern, klicken Sie oben rechts auf „Konto | Kontoeinstellungen“. Anschließend klicken Sie in der Zeile „Passwort“ auf „Ändern“ und vergeben ein neues Kennwort. Das Access-Token-Datenleck ist damit vollständig geschlossen.

Update: Mittlerweile hat Facebook das Datenleck gestopft. Die Sicherheitslücke gibt es nicht mehr.