Kategorien
Hardware & Software

Endlich! Die De-Mail wird tatsächlich sicherer

Das die De-Mail, die von unserer Bundesregierung so hochgelobt und als sicher propagiert wurde, hat sich in den letzten Jahren als ziemlicher Flop herausgestellt. An dieser trügerischen Sicherheit haben auch unsere Vorzeigefirmen wie die Deutsche Telekom, GMX, Web.de und 1 & 1 nichts geändert. Aber das soll jetzt definitiv anders werden.

de-mail-sicher-email-end-to-end-encryption-verschluesselt-telekom-1und1

Wesentlicher Sicherheitsaskpekt fehlt bisher

Bisher fehlte der De-Mail ein wesentlicher Sicherheitsfaktor: Die Ende-zu-Ende-Verschlüsselung. Nachrichten erhalten derzeit lediglich eine Transferverschlüsselung. Dies bedeutet lediglich, dass die E-Mail nur auf dem Transportweg verschlüsselt wird. Und dafür benötigt man keine kostenpflichtige De-Mail. Bei vielen E-Mail-Providern ist diese Verschlüsselung ohnehin schon Standard. Weitere Informationen kannst du in diesem Artikel erfahren.

Das Fehlen der End-to-End-Verschlüsselung öffnet nicht nur den kriminellen Hackern ein Hintertürchen, sondern ermöglicht auch im Zweifelsfall den Verfolgungsbehörden ein einfaches Ausspähen der Kommunikation. Ein Schlingel, wer Böses dabei denkt…

Start ist voraussichtlich April 2015

Ab April 2015 soll nun alles besser und sicherer werden. Dann sollen die E-Mails neben einem Zertifikat auch eine digitale Signatur erhalten. Dies soll durch die Verschlüsselung per PGP (Pretty Good Privacy) erfolgen. Die Anbieter von United Internet (GMX, Web.de, 1&1), die Deutsche Telekom, sowie das Unternehmen Francotyp-Postalia, wollen die Sicherheitslücke nun endgültig schließen und das (nie erreichte) Vertrauen in die Sicherheit der De-Mail wieder herstellen.

End-to-End-Verschlüsselung legt der Nutzer selbst an

Ob das klappt, wird man bestimmt bald sehen. Wie hoch der Sicherheitsgrad sein wird, liegt nämlich in der Verantwortung von Sender und Empfänger. Denn die Anbieter stellen nur die technischen Möglichkeiten zur Verfügung. Im Prinzip ist es wie mit der Vergabe von Passwörtern, je komplexer, desto besser.

Bleibt nur zu hoffen, dass dies bedienerfreundlich umgesetzt wird.

Kategorien
Android Handy & Telefon

Die massive Sicherheitslücke im Android- und Safari Browser

Dieses Sicherheitsleck für Android und MAC (Safari) existiert schon seit Jahren und sind den Herstellern wohl bekannt. Der Browser wählt absichtlich eine ziemlich schwache Verschlüsselung (512 Bit), die sehr einfach auszuhebeln ist. Es gibt derzeit aber auch keine Updates die dieses Leck namens FREAK schließen könnten. Aber es gibt genügend Alternativen für diesen Browser.

android-weltkugel-browser-sicherheitsleck-eklatant-512-bit-encryption

Zur Geschichte:

Diese Leck ist in den 90er-Jahren staatlich verordnet worden. Damals hat die US-Regierung Softwarefirmen genötigt, diese Lücken zu schaffen, um gegebenenfalls diese Geräte leicht abhören zu können. Dies gilt insbesondere für Software die ins Ausland verkauft werden sollte. Und diese Praxis hält offenbar bis heute an, wie wir bereits aus den Veröffentlichungen von Edward Snowden erfahren durften.

Browser entfernen

Da die heutigen Browser wesentlich bessere Verschlüsselungen haben, sollten die beiden Browser von den Geräten entfernt werden. Bei Android-Tablets und -Smartphones gehört der Browser mit der Weltkugel zu den System-Apps die nicht gelöscht werden können (Ausnahme: Geräte mit Root-Zugriff). In diesen Fällen kann der Browser nur gestoppt und deaktiviert werden.

Dazu ziehst du das Browsersymbol in der App-Übersicht auf die App-Info. Im folgenden Dialogfenster, das so oder ähnlich aussehen kann, tippst du auf die Schaltflächen Stoppen erzwingen, Deaktivieren, Daten löschen und Cache leeren.

browser-weltkugel-deaktivieren-daten-entfernen-app-stoppen-sicherheitsrisiko

Danach ist der Weltkugel-Browser unter Android deaktiviert und wurde aus der App-Übersicht entfernt.

Für eine Reaktivierung dieses Browsers findest du die deaktivierte App in Einstellungen | Apps im Bereich Alle.

reaktivierung-android-app-weltkugel-browser-einstellungen

Die Alternativen

Für Android und auch für den MAC gibt es natürlich zuverlässigere Alternativen. Dazu zählen natürlich der Firefox und der Opera-Browser, aber auch der Microsoft Internet-Explorer und sogar der Google Chrome Browser bieten eine bessere Verschlüsselung.

alternative-browser-firefox-safari-opera-chrome-mac-android-ios

Auch eine Suchmaschine die keine Nutzerdaten weitergibt (z. B. StartPage) ist empfehlenswert.

Aktuelle Diskussion

Erst vor kurzer Zeit haben, neben unserem Innenminister de Maizière, auch weitere Politiker wie Barack Obama, oder Englands Premier-Minister David Cameron, gefordert, dass behördliche Stellen Hintertüren eingebaut bekommen, um Verschlüsselungen zu umgehen.

Das gleicht aber ein wenig dem Öffnen der Büchse der Pandora. Solche Hintertüren sind ein gefundenes Fressen für kriminelle Hacker. Das kann im Zweifelsfall sogar für massive Hackerangriffe auf Behörden und die Geheimdienste führen. Und dann ist unsere Sicherheit erst recht gefährdet.

Kategorien
Hardware & Software Windows 10 Windows 7 Windows 8 Windows 8.1 Windows Vista

Wie schließe ich Sicherheitslücken, die nach einem Microsoft Patch-Day bekannt werden?

Jeden zweiten Dienstag im Monat ist der sogenannte Patch-Day bei Microsoft. An diesem Tag werden Windows-Updates bereitgestellt, die in den vergangenen vier Wochen bekannt gewordene Programmfehler und Sicherheitslücken beheben. Aber was tun, wenn kurz nach einem Patch-Day weitere Schwachstellen, sogenannte Zero-Day-Lücken, bekannt werden? Sofern dies keine eklatanten Sicherheitslücken sind, müßte man bis zum nächsten Windows-Update warten. Eigentlich. In diesen Fällen lohnt ein Besuch der Webseite Chip.de. Hier werden recht schnell Reparaturdateien von Microsoft als Download bereitgestellt.

Erste Hilfe für Zero-Day-Sicherheitslücken

Die FixIt-Reparaturdateien sind eine Art Erste Hilfe für betroffene Computer. Auf der Webseite von Chip.de gelangst du über das Suchfeld schnell zu den benötigten Reparaturdateien. Gib dort den Suchbegriff Fixit ein und starte den Suchvorgang.

chip-zero-day-luecke-patchday-microsoft-dienstag-windows-updates-patch-download-herunterladen

Danach suchst du dir die passende FixIt-Datei aus und klickst sie an um zu dessen Artikelseite zu gelangen.

download-button-weiterleitung-microsoft-support-fixit-reparaturdatei-webseite-zero-day-patchday

FixIt-Reparaturdatei installieren

Der Button Zum Download leitet dich zur Webseite des Microsoft Supports weiter und du landest direkt bei der benötigten FixIt-Seite. Hier werden auch noch weitere Informationen zu dem Problem oder der Sicherheitslücke bereitgestellt.

microsoft-windows-support-weiterleitung-chip-computerzeitschrift-webseite

Am unteren Ende der Webseite befindet sich neben den Informationen noch Download- und Installationshinweise sowie die Reparaturdatei selbst.

informationen-installationshinweise-anleitung-microsoft-windows-fixit

Nach der Installation der FixIt-Datei, ist es empfehlenswert, trotzdem auf der Microsoft-Support-Seite nach aktuellen Updates für dein Betriebssystem zu suchen. Der Patch-Day sorgt eigentlich nur dafür, dass alle erarbeiteten Updates an einem Tag automatisch veröffentlicht werden.

Wichtig: Regelmäßig die Firewall und Antivirensoftware aktualisieren

Außerdem solltest du bis zu den endgültigen Updates deine Firewall und die Antivirensoftware aktuell halten.

Kategorien
Hardware & Software

DropBox-Sicherheitslücke: Unberechtigter Zugriff auf geteilte Dateien möglich

Im DropBox-Blog informiert der CloudAnbieter über eine aktuelle Sicherheitslücke bei Links zu geteilten Dateien. Bei geteilten Links zu DropBox-Dateien kann normalerweise nur derjenige auf die Datei zugreifen, der über den geteilten Link verfügt. Ein Bug sorgt allerdings dafür, dass auch andere auf die Datei zugreifen können – selbst wenn diese den Link zur geteilten Datei nicht kennen.

Kritisch: Links in der Datei

In der DropBox können Sie zu Dateien und Ordner Links teilen und an Freunde und Bekannte weitergeben. Nur wer den Link hat, kann auf die Datei zugreifen. Problematisch wird es, wenn das Dokument einen Link zu einer anderen Webseite enthält. Wird die Datei zum Beispiel vom Freund geöffnet und klickt dieser auf den Link innerhalb des Dokuments, kann der Webseitenbetreiber (der Webseite, zu der der Link führt) im Referer Header den Link zur Dropbox-Dateien sehen – und ebenfalls auf die geteilte Webseite zugreifen.

 

dropbox-sicherheitsluecke-geteilte-links

Bislang konnte Dropbox noch kein Ausnutzen der Sicherheitslücke feststellen, informiert im Blog aber vorsorglich über die Lücke. Dropbox hat bereits reagiert und die Lücke geschlossen. Für alle ab sofort neu generierten Links zu geteilten Dateien besteht die Sicherheitslücke nicht mehr. Zudem hat hat Dropbox vorsorglich alle bisher geteilten Links, die von der Lücke betroffen sind, deaktiviert. Wer den Link weiter nutzen möchte, muss einen neuen Link anlegen und teilen, der wieder wie gewohnt funktioniert, aber nicht mehr von der Sicherheitslücke betroffen ist.

Kategorien
Google Internet & Medien

E-Mail über Google+ deaktivieren: Verhindern, dass jeder über das Google+-Profil E-Mails versenden kann

Google hat es mal wieder getan: Still und heimlich wurde eine neue Funktion aktiviert, die es in sich hat und kontrovers diskutiert wird. Darum geht’s: Ab sofort können Fremde über die Google+-Seite eine E-Mail an Sie schicken – ohne dass die- oder derjenige die E-Mail-Adresse kennt. Ärgerlich: Die neue Funktion, die bei Vielen bereits für eine E-Mail-Flut geführt hat, ist bei allen Gmail-Konten automatisch aktiviert. Wer wieder Ruhe haben und das Versenden von E-Mails per Google+ verhindern möchte, muss die Funktion in den Einstellungen manuell abschalten.

E-Mail-Flut über Google+ eindämmen

Haben Sie sich eventuell gewundert, warum Ihnen plötzlich wildfremde Leute E-Mails schicken? Das könnte an der neuen GMail- und Google+-Funktion liegen, die E-Mails auch ohne Kenntnis der E-Mail-Adresse an Sie verschickt. Um die neue Funktion abzuschalten und zu verhindern, dass jedermann ohne Kenntnis der E-Mail-Adresse Ihnen E-Mails über Google+ schicken kann, gehen Sie folgendermaßen vor:

1. Melden Sie sich in Ihrem GMail-Konto an.

2. Dann klicken Sie oben rechts auf das Zahnrad und wählen den Befehl „Einstellungen“.

google-mail-gmail-emails-ueber-google-plus-abschalten

3. Im unteren Bereich gibt es die neue Zeile „E-Mail über Google+“. Voreingestellt ist rechts neben dem Fehl „Wer darf mir über mein Google+ Profil E-Mails senden“ die Einstellung „Jeder auf Google+“. Das bedeutet, dass jeder, der Ihre Google+-Seite aufrufen kann, Ihnen darüber auch eine E-Mail an Ihr GMail-Konto schicken kann. Um das zu verhindern und die E-Mail-Lücke zu schließen, ändern Sie die Einstellung auf „Niemand“.

google-mail-gmail-emails-ueber-google-plus-abschalten-2

4. Ganz wichtig: Die Änderungen werden erst wirksam, wenn Sie ganz unten auf der Seite auf „Änderungen speichern“ klicken. Ab sofort kann niemand mehr ohne Kenntnis Ihrer E-Mail-Adressen Ihnen E-Mails über das eigene Google+ Profil verschicken.

Kategorien
Internet & Medien Internet Explorer

Neuer Notfall-Patch für eine schwere Sicherheitslücke des Microsoft-Internet-Explorers

Alle Nutzer des Internet Explorers von Microsoft der Versionen 6 bis 11 sollten einmal die Sicherheitsupdates überprüfen. Schon vor etlichen Wochen wurde bekannt, dass es mal wieder eine eklatante Sicherheitslücke von Kriminellen ausgiebig genutzt wurde. Hier kann durch Remotecodeausführungen auf Benutzerkonten zugegriffen werden. Microsoft hat auf diese Browser-Sicherheitslücke der 32-Bit-Versionen mit einem Notfallpatch reagiert.

bild-1-sicherheitsluecke-ie-internet-explorer-schwere-kriminell-hacker-32-bit-version

Der Patch und weitere Informationen werden auf der Webseite des Microsoft Supports bereitgestellt.

Zur Aktualisierung nutzen Sie am besten die Update-Funktion Ihres Windows-Computers. Um die Updates zu starten, klicken Sie auf „Start | Alle Programme | Windows Update“.

bild-2-startmenue-alle-programme-windows-update-sicherheitsluecke-remotecode-zugriff-benutzerkonto

Wählen Sie dann auf der „Windows Update“-Seite die verfügbaren Sicherheitsupdates aus und starten Sie den Download. Anschließend prüfen Sie über den Link „Updateverlauf anzeigen“…

bild-3-update-windows-durchfuehren-auswaehlen-sicherheit-kumulativ-internet-explorer

…den erfolgreichen Download des Patches „Kumulatives Sicherheitsupdate für Internet Explorer…(KB2879017)“.

bild-4-updateverlauf-kontrolle-download-kumulativ-sicherheitsupdate-luecke-beheben-zugriff-unberechtigt

Diese Sicherheitslücke betrifft nur die 32-Bit-Version des Internet-Explorers 6 bis 11. Die 64-Bit-Version ist davon nicht betroffen.

Als zusätzliche Sicherheit sollten Sie in den Internetoptionen Ihres Browsers die Sicherheitsstufe von „Internet“ und „Lokales Intranet“ auf „Hoch“ einstellen.

bild-5-internetoption-intranet-lokal-internet-sicherheitsstufe-hoch-einstellen-activex-controls-scripting-blockieren

Kategorien
Hardware & Software Windows 7

Windows-7-Taskleiste sortieren und Programmgruppen durch Abstandhalter gruppieren

Wer einen großen Monitor besitzt, der hat auch Platz für eine Menge Programmverknüpfungen in der Taskleiste. Mit der Zeit wird es recht unübersichtlich wenn die Icons nicht sortiert werden. Da die Reihenfolge bei jedem Nutzer individuell ist, muss jeder seine eigene Sortierreihenfolge herausfinden. Die Programmsymbole der Taskleiste können leicht per Drag & Drop verschoben werden. Es können sogar Abstandhalter in die Taskleiste eingefügt werden, um so verschiedene Programmgruppen besser und schneller zu erkennen.

Die Abstandhalter sind im Wesentlichen auch nichts anderes als Verknüpfungen, die aber unsichtbar sind. Und so funktioniert der Trick:

Starten Sie den Windows-Editor, indem Sie auf „Start“ klicken, in das Suchfeld „notepad“ eingeben, und dann den Editor auswählen.

bild-1-abstandhalter-taskleiste-symbole-programme-ordnen-gruppieren-notepad-starten-aufrufen-speichern

Speichern Sie ein leeres Dokument mit Klick auf „Datei | Speichern unter“ an einem beliebigen Ort und geben Sie der Datei zum Beispiel den Namen „Abstand-1.exe“. Welchen Namen Sie wählen ist nicht so wichtig, aber die Endung muss „.exe“ lauten, da nur Programme an die Taskleiste angepinnt werden können.

bild-2-abstandhalter-windows-7-8-win7-win8-notepad-leere-datei-speichern-abstand1-exe-beliebig-speicherort

Navigieren Sie zum Speicherort der Notepad-Datei „Abstand-1.exe“ und erzeugen Sie eine Verknüpfung. Am besten klicken Sie mit der rechten Maustaste auf die Datei und wählen aus dem Kontextmenü „Senden an | Desktop (Verknüpfung erstellen)“.

bild-3-verknüpfung-desktop-erstellen-abstandhalter-taskleiste-taskbar-win7-notepad-unsichtbar-trick-icon

Danach öffnen Sie mit der rechten Maustaste das Kontextmenü der Verknüpfung und rufen die „Eigenschaften“ auf um im nächsten Schritt die Verknüpfung „unsichtbar“ zu machen.

Klicken Sie auf „Anderes Symbol“, bestätigen Sie die Meldung mit „OK“, und scrollen Sie ein wenig nach rechts um zu den bildfreien Symbolen zu gelangen. Wählen Sie eines dieser Symbole aus und bestätigen die Auswahl zweimal mit „OK“.

bild-4-verknüpfung-leer-symbol-anderes-aussuchen-auswählen-rechtsklick-zuweisen-meldung-ok-bestätigen-widerholen-mehrere-abstandhalter-taskleiste

Benötigen Sie mehrere Abstandhalter, dann wiederholen Sie die obigen Arbeitsschritte entsprechend oft und nummerieren Sie die Verknüpfungen durch (z. B. Abstand-2, Abstand-3, usw.).

Ziehen Sie anschließend die geänderte Desktop-Verknüpfung auf eine freie Stelle der Windows-7-Taskleiste, um sie dort anzupinnen. Positionieren Sie nun die „unsichtbare“ Verknüpfung an einer für Sie passenden Stelle.

bild-5-taskleiste-taskbar-fertig-aussehen-endergebnis-gruppiert-gruppierung-abgeschlossen-anpinnen-anheften

Wenn Sie versehentlich einen der Abstandhalter anklicken, erhalten Sie eine Meldung das die Verknüpfung keine zulässige Win32-Anwendung ist. Bestätigen Sie diese Meldung mit „OK“ und die nachfolgende mit „Nein“.

bild-6-versehentlich-abstandhalter-anklicken-meldung-bestätigen-ok-nein-entfernen-möglich

Die Schaltfläche „Ja“ entfernt den Abstandhalter aus der Taskbar.

img class=“alignnone size-full wp-image-38734″ alt=“bild-6-versehentlich-abstandhalter-anklicken-meldung-bestätigen-ok-nein-entfernen-möglich“ src=“http://www.tipps-tricks-kniffe.de/wp-content/uploads/2013/10/bild-6-versehentlich-abstandhalter-anklicken-meldung-bestätigen-ok-nein-entfernen-möglich.jpg“ width=“420″ height=“446″ /

Kategorien
Handy & Telefon iPhone Tipp des Tages

iPhone, iPod, iPad: Kritische PDF-Sicherheitlücke in Apple iOS 4 – und wie Sie sie stopfen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Sicherheitslücke in Apples iOS-Betriebssystem für iPhone, iPad und iPod touch entdeckt. Betroffen sich alle Geräte bis einschließlich der aktuellen iOS-Version 4.3.3. Die Lücke: manipulierte PDF-Dokumente reichen aus, um das Handy mit Schadsoftware zu infizieren und Daten auszulesen.

Die PDF-Sicherheitslücke ermöglicht es potenziellen Angreifern mithilfe eines manipulierten PDF-Dokuments Zugriff mit Administratorrechten auf das iPhone, das iPad oder den iPod touch zu erhalten. Im schlimmsten Fall könnten vertrauliche Informationen wie Passwörter, Online-Bankingdaten, Termine, E-Mails, SMS und Kontaktdaten ausgelesen werden. Auch der Zugriff aud die Kamera oder das Abhören von Telefongespräche ist damit möglich. Die aktuelle Pressemitteilung zur iOS-Schwachstelle finden Sie auf den Webseiten des BSI:

https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/Schwachstelle-im-Apple-Betriebssystem-iOS-06072011.html

 

So schützen Sie sich

Damit potenzielle Angreifer die Sicherheitslücke nicht nutzen können, empfiehlt das BSI, bis auf Weiteres auf das Öffnen von PDF-Dokumenten aus unbekannten oder unsicheren Quellen zu verzichten. Das betrifft auch PDF-Dateien, die in Webseiten eingebettet sind oder als E-Mail-Anhang eintreffen. Zudem sollten Sie in der Trefferliste der Suchmaschinen nicht auf PDF-Dokumente klicken.

Die Sicherheitslücke stopfen

Sicherlich wird eines der nächsten iOS-Updates die Sicherheitslücke stopfen. Wer nicht so lange warten möchte, kann nur eines machen: das iPhone jailbreaken und den „PDF-Patcher“ 2 installieren. So geht’s:

1. Führen Sie auf der Seite http://jailbreakme.com einen Jailbreak durch.

2. Starten Sie Cydia, und laden Sie das Paket „PDF Patcher 2“.

Damit ist die PDF-Lücke im iPhone, iPad und iPod touch geschlossen. Beachten Sie jedoch, dass Sie mit dem Jailbreak das iPhone massiv verändern. Wer das nicht möchte, sollte auf das offizielle Update von Apple warten und so lange PDF-Dateien meiden.

Update: iOS-Update 4.3.4 stopft Sicherheitslücke

Mit dem iOS-Update auf Version 4.3.4 hat Apple die PDF-Sicherheitslücke wieder geschlossen. Falls auf Ihrem iPhone eine ältere iOS-Version installiert ist, führen Sie einfach ein Update auf die aktuelles iOS-Version aus.