Schlagwort: leck

  • Warnung vor unsicheren Cloudspeichern von ownCloud und Nextcloud

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf Sicherheitslücken in den Onlinespeichern von Nextcloud und ownCloud hin. Grund dafür ist in der Regel der Einsatz von veralteter Software. Betroffen sind alle Bereiche, wie Unternehmen, öffentliche Einrichtungen, Krankenhäuser, Anwälte und private Nutzer.

    Abhilfe schafft nur konsequentes Überprüfen auf Updates. Jeder Betreiber von Cloudspeichern ist für die Sicherheit seines Onlinespeichers selbst verantwortlich und sollte daher regelmäßig die Webseite seines Cloud-Anbieters auf neue Sicherheitsupdates kontrollieren.

    Eine „Update-Faulheit“ führt dazu, dass den Kriminellen der Zugriff auf sensible Daten zu leicht gemacht wird. Sogar Produktionsprozesse können durch diese Nachlässigkeit negativ beeinflusst werden.

    Die beiden Anbieter von Cloud-Software, ownCloud und Nextcloud bieten eine kostenlose Überprüfung des Sicherheitsstatus deiner Cloud-Software an. Die Links hierzu lauten:

    Das Bundesamt für Sicherheit in der Informationstechnik veröffentlichte auf ihrer Webseite zu diesen Vorfällen auch weitere Informationen und Empfehlungen für Cloud-Nutzer und Betreiber.

  • Quick Time für Windows: Gefährliche Sicherheitslücken entdeckt

    Die Firma Trend Micro, Hersteller von Security-Software, hat Mitte April 2016 zwei äußerst gefährliche Sicherheitslücken beim beliebten Apple-Quick-Time-Player entdeckt. Über diese Schwachstellen können Hacker infizierte Computer übernehmen. Dies wurde bereits von der amerikanischen Heimatschutzbehörde, Homeland Security, bestätigt. Als Gegenmaßnahme wird eine komplette Deinstallation des Quick-Time-Players empfohlen.

    Wer aber Apple-Software kennt, der kann sicherlich bestätigen, dass sich die Software in vielen Verzeichnissen einnistet und manuell schwer zu entfernen ist. Der Apple-Konzern, der Quick-Time für Windows nicht mehr mit Sicherheitsupdates versorgen will, hat auch schon reagiert und eine Anleitung zur kompletten Deinstallation (auch QuickTime 7 Pro) in´s Netz gestellt.

    Der Wegfall von QuickTime ist aber nicht besonders schlimm. Seit Windows 7 wird ohnehin kein separater Player für die .MOV-Dateien mehr benötigt, da dieser Codec in Windows 7 integriert ist.

    Wer dennoch einen Media-Player benötigt, der ist mit dem VLC Media Player sehr gut beraten. Ihn gibt es als 32- und 64-Bit-Version für Windows, Mac OSX, Linux und weitere Systeme. Natürlich kostenlos.

    Übrigens:

    Quick Time für MAC OS ist von der Sicherheitslücke übrigens nicht betroffen.

  • NSA-Spionageaffäre: Chronologische Auflistung aller Snowden-Ereignisse

    Über den Datenmissbrauch und das Ausspähen der „National Security Agency“ (NSA) ist in den letzten Monaten sehr viel geschrieben worden. Da kann man den Überblick über die unterschiedlichen Themen sehr schnell verlieren. Beim „Projekt-Datenschutz“ wurden alle Ereignisse von und über Edward Snowden chronologisch aufgelistet.

    Auf der Webseite „www.projekt-datenschutz.de„…

    projekt-datenschutz-snownden-nsa-spionage-usa

    …werden aber nicht nur die Ereignisse um Herrn Snowden dokumentiert…

    affaere-snowden-chronologisch-sortiert-nach-datum-artikel-ereignisse-nsa

    …sondern auch Datenschutzpannen von Behörden, Banken und anderen Unternehmen wurden hier auf 17 weiteren Seiten gesammelt.

    datenschutz-panne-vorfaelle-sky-kundendaten-twitter-snowdon-gesammelt-artikel-datum-soriert

    Es gibt hierzu ebenfalls einen Twitter-Auftritt, sowie eine Linksammlung rund um das Thema Datenschutz.

  • WhatsApp Sicherheitslücke? WhatsApp schon wieder, oder besser: immer noch unsicher

    WhatsApp ist ein Phänomen. Die App strotzt vor Sicherheitslücken, die von den WhatsApp-Machern getrost ignoriert, geschweige denn gefixt werden – und trotzdem nutzt sie fast jeder. Ärgerlich ist dabei nicht die Tatsache, dass die App Sicherheitslücken hat – die haben andere auch -, sondern wie die WhatsApp-Macher damit umgehen. Meist gar nicht.

    WhatsApp weiterhin unsicher

    Bereits im September wurde eine eklatante Sicherheitslücke bekannt, über die sich fremde WhatsApp-Accounts kinderleicht kapern ließen (wir berichteten). Das Problem wurde zuerst ignoriert; irgendwann dann doch mit einer neuen Version gepatcht.  Damit schien das Problem gelöst.

    Jetzt die neue Hiobsbotschaft: Die Techniker von Heise haben eine weitere Lücke entdeckt, die nach einem ähnlichen Prinzip funktioniert. Auch hier reichen die Seriennummer und die Handynummer eines Smartphone-Besitzers aus, um den WhatsApp-Account zu kapern.

    Ärgerlich ist auch diesmal die Reaktion oder besser: Nicht-Reaktion von WhatsApp. Nachdem zuerst – mal wieder – gar nicht reagiert wurde, kamen von den WhatsApp-Macher erst nach Tagen zögerliche Anfragen zur entdeckten Lücke. Seitdem ist wieder Funkstille. Und die Sicherheitslücke bleibt munter bestehen.

    Experten raten daher, von WhatsApp Abstand zu nehmen und stattdessen auf sicherere Varianten wie Skype oder Facebook zu wechseln. Auch diese beiden Apps sind auf fast jedem Smartphone installiert und mit einer Messaging-Funktionen ausgestattet, über die Sie SMS-Nachrichten direkt auf die Handys von Freunden und Bekannten bringen. Vielleicht wachen die WhatsApp-Macher dann endlich mal auf und machen ihre App sicher. Und verbessern vor allem die Kommunikation.

  • DropBox und TrueCrypt: Dropbox-Dateien automatisch per TrueCrypt verschlüsseln

    Spätestens seit der letzten Datenpanne bei Dropbox (alle Dateien waren für vier Stunden für jedermann zugänglich), fragen sich Dropbox-Anhänger, wie sicher die Daten in der Dropbox-Cloud sind. Schließlich werden die meisten Daten dort unverschlüsselt gespeichert. Es geht auch sicherer. Dropbox-Dateien lassen sich mit TrueCrypt automatisch verschlüsseln und wieder entschlüsseln. Wir zeigen Schritt für Schritt, wie’s geht.

    Wenn Sie eine Datei in den Dropbox-Container legen, wird diese sofort mit den Dropbox-Servern synchronisiert. Und zwar unverschlüsselt. Das bedeutet: Jeder, der Zugang zur Dropbox hat, kann die Dateien öffnen und lesen. Zudem weiß man nie, wer von den Dropbox-Mitarbeitern Zugang zu den gespeicherten Dateien hat.

    Die Dropbox verschlüsseln – automatisch

    Wer dabei ein mulmiges Gefühl hat, kann sich zusätzlich absichern und alle Dateien bombensicher und knacksicher verschlüsseln. Selbst wenn das Dropbox-Konto geknackt wird, Mitarbeiter auf die Dateien zugreifen oder mal wieder eine Dropbox-Datenpanne passiert (siehe Dropbox-Blog), kann niemand die Dateien lesen.

    Möglich macht’s die kostenlose Verschlüsselungssoftware „TrueCrypt“, die automatisch und ohne weiteres Zutun alle Dropbox-Dateien verschlüsselt. Da die Daten dann nur in verschlüsselter Form zu Dropbox übertragen werden, kommt niemand an den Dateiinhalt. Das Gute an Truecrypt: bislang ist es noch niemandem gelungen, die TrueCrypt-Verschlüsselung zu knacken.

    Schritt 1: TrueCrypt vorbereiten

    Damit die automatische Dropbox-Verschlüsselung funktioniert, müssen Sie zuerst TrueCrypt einrichten und konfigurieren. Das geht folgendermaßen:

    1. Installieren Sie die kostenlose Verschlüsselungssoftware TrueCrypt. Den Download finden Sie hier: http://www.truecrypt.org/downloads.

    Zusätzlich sollten Sie das deutsche Sprachpaket herunterladen und in den TrueCrypt-Ordner (C:ProgrammeTrueCrypt) kopieren: http://www.truecrypt.org/localizations.

    2. Starten Sie TrueCrypt, und wechseln Sie mit „Settings | Language“ zur deutschen Bedienoberfläche.

    3. Klicken Sie auf „Volumen erstellen“.

    4. Im ersten Fenster des Assistenten wählen Sie „Eine verschlüsselten Datei-Container erstellen“ und bestätigen mit „Weiter“.

    5. Wählen Sie „Standard TrueCrypt-Volumen“, und klicken Sie auf „Weiter“.

    6. Um den Speicherort für den Truecrypt-Container anzugeben, klicken Sie auf die Schaltfläche „Datei“. Dann wechseln Sie in Ihren Dropbox-Ordner und geben einen Dateinamen für den Truecrypt-Container ein, zum Beispiel „dropbox-verschluesselt“. Bestätigen Sie Eingabe per Klick auf „Speichern“ und „Weiter“.

    7. Im nächsten Schritt lassen Sie die Standard-Verschlüsselungseinstellungen unverändert und klicken auf „Weiter“.

    8. Dann geben Sie die gewünschte Maximalgröße des Dateicontainers an. Die Volumengröße gibt an, wie groß das virtuelle Truecrypt-Laufwerk werden darf. Dort können Sie dann so viele Dateien verschlüsselt speichern (egal wie viele), bis die Maximalgröße erreicht ist.

    9. Eines der wichtigsten Schritte: Vergeben Sie ein Kennwort, mit der Truecrypt-Container (also alle Dateien) verschlüsselt werden.

    Achten Sie bei der Wahl des Passworts darauf, dass es nicht zu leicht zu erraten ist. Aus Bequemlichkeit werden oft der Name des Partners bzw. des Haustiers, das eigene Geburtsdatum oder Standardwörter aus dem alltäglichen Sprachgebrauch verwendet. Die lassen sich zwar einfach merken, macht es Hackern aber zu einfach. Erfahrene Angreifer können einfache Kennwörter blitzschnell ermitteln. Eine beliebte Variante ist die Brute-Force-Methode. Dabei werden einfach alle Worte und Wortkombinationen durchprobiert, die im Duden oder anderen Wörterbüchern stehen. Früher oder später sind Standardkennwörter wie „Gartenschlauch“ ermittelt.

    Daher sollten Sie ein möglichst kompliziertes Kennwort verwenden. Je komplizierter, desto besser. Eine Methode besteht beispielsweise darin, ein einfaches Wort durch wechselnde Groß- und Kleinschreibung komplizierter zu machen, etwa „gARtenSCHere“ statt einfach nur „Gartenschere“. Oder Sie ersetzen einzelne Buchstaben durch Ziffern und Sonderzeichen, zum Beispiel „G@rten5ch3r3“.

    Besonders sicher sind Kennwörter, die und ausschließlich aus zufällig gewählten Buchstaben und Ziffern bestehen, etwa „MLhTdVv1967“. Mit einer Eselsbrücke lässt sich sowas auch leicht merken. Das obige Beispiel ist zusammengesetzt aus den Anfangsbuchstaben des Satzes „Mein Lieblingsfilm heißt Tanz der Vampire von 1967“ – darauf kommt garantiert kein Hacker.

    10. Klicken Sie auf „Formatieren“, um den Truecrypt-Container zu anzulegen. Den Assistenten mit „Beenden“ schließen und danach das Truecrypt-Programm beenden. Das war’s. Da der Truecrypt-Container in der Dropbox liegt, wird er automatisch mit Dropbox synchronisiert. Das kann je nach Containergröße mehrere Stunden dauern.

    Schritt 2: Truecrypt-Container als Laufwerk einbinden

    Sobald das Hochladen abgeschlossen ist, sollten Sie dem Truecrypt-Container einen Laufwerksbuchstaben zuweisen, um Dateien besonders einfach speichern zu können. Sie können dann Dateien einfach in das Laufwerk ziehen, diese werden dann automatisch verschlüsselt. Zudem müssen Sie Truecrypt so konfigurieren, dass nicht immer der gesamte Truecrypt-Container, sondern nur die Änderungen synchronisiert werden. So geht’s:

    1. Starten Sie Truecrypt, und rufen Sie den Befehl „Einstellungen | Voreinstellungen“ auf.

    2. Kreuzen Sie die Option „Änderungszeiten con Containerdateien erhalten“ an. Damit verhindern Sie, dass bei Änderungen immer der ganze Container synchronisiert wird (was sonst mitunter mehrere Stunden dauern würde). Stattdessen werden nur die Änderungen synchronisiert. Bestätigen Sie die Änderung mit OK.

    3. Um dem Container einen Laufwerksbuchstaben zuzuweisen,wählen Sie im TrueCrypt-Fenster den gewünschten Buchstaben. Dann klicken Sie auf „Datei“ klicken und wählen den Truecrypt-Container im Dropbox-Ordner aus. Bestätigen Sie die Auswahl mit „Öffnen“.

    4. Anschließend klicken Sie auf „Einbinden“, geben das Verschlüsselungskennwort ein und klicken auf OK. Damit steht der Truecrypt-Container als Laufwerk im Windows Explorer zur Verfügung.

    Sobald Sie dorthin eine Datei kopieren oder verschieben, wird diese automatisch per Truecrypt verschlüsselt.

    Leider wird der Container nicht automatisch mit Dropbox synchronisiert. Die Synchronisierung findet erst statt, wenn Sie im Truecrypt-Fenster auf „Trennen“ und danach wieder auf „Einbinden“ klicken und damit die Laufwerkszuordnung einmal kurz zu unterbrechen. Erst dann synchronisiert Dropbox die Truecrypt-Volumendatei.

    Wenn Sie auf einem anderen Rechner die Dateien bearbeiten möchten, müssen Sie dort ebenfalls Dropbox und Truecrypt installieren. Nur mit dem richtigen Truecrypt-Kennwort kommen Sie dann wieder an die Daten ran.

    Alternative Wuala mit integrierter Verschlüsselung

    Falls Ihnen die ganze Prozedur zu kompliziert ist, können Sie auch auf die Cloud-Festplatte von „Wuala“ zurückgreifen. Auch hier erhalten Sie kostenlos 1 GB Speicherplatz. Mit einem großen Unterschied: auf Wunsch werden die Dateien standardmäßig auf dem eigenen Rechner verschlüsselt und erst dann in der Cloud zur Verfügung gestellt. Die Verschlüsselung ist praktisch in den Cloudservice integriert und fester Bestandteil des Angebots.

    Alle weiteren Informationen zur Verschlüsselungs-Cloud-Festplatte „Wuala“ finden Sie hier:

    http://www.wuala.com

  • Facebook Access-Token-Datenpanne: So schließen Sie das Sicherheitsloch

    Seit 2007 gab es bei Facebook eine eklatante Datenpanne – die erst jetzt entdeckt wurde. Über das Datenleck können externe Facebook-Applikationen auf alle persönlichen Daten, Chats und Statusmeldungen zugreifen. Und das bereits seit mehreren Jahren. Zum Glück lässt sich das Datenleck mit wenigen Schritten stopfen.

    Das Facebook-Datenleck stopfen und Facebook wieder sicher machen

    Darum geht es: Seit 2007 gibt es bei Facebook Mini-App für Spiele wie Farmville, Umfragen oder andere Spaß- und Mitmachangebote. Rund 20 Millionen Facebook-Apps werden täglich installiert. Wer die Facebook-Apps nutzen möchte, muss zustimmen. Bislang wurde bei der Zustimmung dem App-Entwickler der Zugangs-Schlüssel (access token) zum eigenen Facebook-Account übergeben. Und der funktioniert wie ein Ersatzschlüssel zu den kompletten Facebook-Daten eines Users. Wer den Zugangs-Schlüssel hat, kommt mitunter ohne Kennwort ans komplette Facebook-Profil.

    Leck gestopft – aber das reicht nicht

    Inzwischen hat Facebook die Sicherheitslücke gestopft und übergibt keine neuen Access-Tokens mit umfangreichen Zugangsberechtigungen mehr. Damit ist die Sache aber nicht erledigt. Denn alle alten Zugangsschlüssel behalten ihre Gültigkeit – und erlauben weiterhin den Zugriff auf sämtliche Profildaten.

    Sicher ist sicher: Kennwort ändern

    Um auch diese letzte Lücke zu schließen, gibt es eine einfache Möglichkeit: Ändern Sie Ihr Facebook-Kennwort, um damit gleichzeitig die alten Access-Tokens ungültig zu machen. Um das Facebook-Kennwort  zu ändern, klicken Sie oben rechts auf „Konto | Kontoeinstellungen“. Anschließend klicken Sie in der Zeile „Passwort“ auf „Ändern“ und vergeben ein neues Kennwort. Das Access-Token-Datenleck ist damit vollständig geschlossen.

    Update: Mittlerweile hat Facebook das Datenleck gestopft. Die Sicherheitslücke gibt es nicht mehr.

  • Facebook Freunde finden: Datenleck der Freunde-finden-Funktion stopfen

    Facebook macht das Vernetzen mit Freunden einfach. Wer nicht selbst nach den Namen alter Freunde und Bekannte suchen möchte, kann die Arbeit auch Facebook überlassen. Auf Wunsch durchforstet Facebook für Sie automatisch Ihre E-Mail-Kontakte nach möglichen Freunden. Eigentlich recht praktisch. Wenn man damit nicht eine eklatante Sicherheitslücke öffnen würde.

    Auf der Startseite bietet Facebook mit dem Link „Freunde finden“ oder „Finde deine Freunde“ einen (auf den ersten Blick) praktischen Freunde-Suchdienst an. Auf der folgenden Seite müssen Sie nur die Zugangsdaten zu Ihrem E-Mail-Konto eingeben – und den Rest erledigt Facebook. Das Soziale Netzwerk durchforstet für Sie Ihre E-Mail-Kontakte und findet tatsächlich auf Anhieb eine Menge Kontakte, die ebenfalls bei Facebook sind. Neue Freunde sind so schnell gefunden. Hört sich eigentlich gut an.

    Die Krux an der Sache: Mit der Funktion „Freunde finden“ geben Sie Facebook praktisch den Schlüssel zu Ihrem Mail-Postfach. Facebook kann sich dort in Ruhe umschauen und Daten sowie Kontakte sammeln. Warum das so viele machen, ist Datenschützern ein Rätsel. Die Herausgabe der E-Mail-Zugangsdaten ist ungefähr so, als würden Sie einem wildfremden Menschen den Schlüssel zu Ihrem Haus und Ihrem Briefkasten geben. Im realen Leben macht das niemand – bei Facebook machen es Tausende.

    Zwar verspricht Facebook, vertraulich mit den Daten umzugehen. Die Realität sieht anders aus. Wie ein aktueller Fall: die Frankfurter Sonntagszeitung entdeckte, dass es dank der Freunde-finden-Funktion problemlos möglich ist, die E-Mail-Kontakte von Nichtmitgliedern auszuforschen – ohne das Passwort zu kennen. Erstmals bekannt wurde das Facebook-Datenleck durch den Technologie-Blog TechCrunch.

    So funktioniert das Datenleck bei Facebook:

    – Jemand meldet sich bei Facebook neu an und verwendet hierfür eine fremde E-Mail-Adresse.

    – Noch bevor Facebook den Bestätigungslink verschickt, um die E-Mail-Adresse zu überprüfen, unterbreitet Facebook (anhand der eingegebenen Mail-Adresse) Vorschläge für Freunde. Es erscheinen alle Kontakte, die mit dieser E-Mail-Adresse verknüpft sind.

    Die Daten, wer mit der (fremden) Mail-Adresse befreundet ist oder sein könnte, bezieht Facebook aus dem Datenbestand der „Freunde finden“-Funktion. Jeder, der seine Mail-Zugangsdaten preisgibt, verrät damit auch, mit wem er per Mail in Kontakt steht.

    Finger weg von „Freunde finden“

    Daher unser dringender Rat: Lassen Sie die Finger von der Freunde-finden-Funktion von Facebook. Sobald Facebook Zugriff auf Ihr E-Mail-Postfach bei Google Mail, Yahoo, Web.de oder Hotmail hat, werden die E-Mail-Adressen des Adressbuchs gespeichert und mit dem Facebook-User verknüpft, der den Zugriff auf das Konto zugelassen hat.

    Mit dem Datenleck hat Facebook bewiesen, dass das Thema Datenschutz nicht besonders groß geschrieben wird. Suchen Sie Ihre Freunde lieber von Hand. Das dauert zwar länger – verrät aber nicht auf einen Schlag, mit wem Sie per Mail in Verbindung stehen.

    Das können Sie dagegen tun: Kontakte entfernen

    Unser Tipp: Wer die Freunde-finden-Funktion bereits genutzt und seine Mail-Zugangsdaten preisgegeben hat, kann die bereits importierten Kontakte wieder entfernen. Allerdings hat Facebook diese Funktion tief im System versteckt. Hier der Direktlink zur Funktion „Importierte Kontakte entfernen“:

    http://www.facebook.com/contact_importer/remove_uploads.php

    Per Klick auf „Entfernen“ werden alle importierten Kontakte, die aus dem E-Mail-Postfach stammen, gelöscht und nicht mehr für Freundschaftsvorschläge verwendet.