Kategorien
Hardware & Software Multimedia

Einkauf über Amazon Echo per Code absichern

Mit den kleinen smarten Lautsprechern, wie Amazon Echo, lassen sich nicht nur die Heizung, das Licht oder die Musikauswahl steuern. Dass man über Amazon Echo auch Waren bestellen kann ist an dieser Stelle nicht weiter verwunderlich. Allerdings besteht auch die Gefahr von unbeabsichtigten Kaufvorgängen, oder dass Bestellungen von unberechtigten Personen vorgenommen werden.

Keine unerwünschten Bestellungen mehr

Die sogenannten Spracheinkäufe sollten sicherheitshalber mit einem PIN-Code ausgestattet werden. Der Code wird über die Alexa-App in den Einstellungen | Spracheinkauf festgelegt.

Tippe in das Eingabefeld einen beliebigen vierstelligen Zahlencode ein und bestätige ihn mit dem Button Änderungen speichern.

Ab sofort fragt dich dein Amazon Echo oder Echo Dot vor der Bestellbestätigung nach dem Zahlencode. Den kannst du dann natürlich per Sprache eingeben.

Spracheinkauf deaktivieren

Wenn du auf diese Art von Einkauf komplett verzichten willst, dann schalte die Spracheinkaufs-Funktion einfach ganz ab. In Einstellungen | Spracheinkauf nutzt du dafür den Schalter für die Alexa-fähigen Geräte. Auch in diesem Fall musst du die Deaktivierung mit dem Button Änderungen speichern abschließend bestätigen.

Kategorien
Hardware & Software Multimedia Office Software

Warnung vor unsicheren Cloudspeichern von ownCloud und Nextcloud

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf Sicherheitslücken in den Onlinespeichern von Nextcloud und ownCloud hin. Grund dafür ist in der Regel der Einsatz von veralteter Software. Betroffen sind alle Bereiche, wie Unternehmen, öffentliche Einrichtungen, Krankenhäuser, Anwälte und private Nutzer.

Abhilfe schafft nur konsequentes Überprüfen auf Updates. Jeder Betreiber von Cloudspeichern ist für die Sicherheit seines Onlinespeichers selbst verantwortlich und sollte daher regelmäßig die Webseite seines Cloud-Anbieters auf neue Sicherheitsupdates kontrollieren.

Eine „Update-Faulheit“ führt dazu, dass den Kriminellen der Zugriff auf sensible Daten zu leicht gemacht wird. Sogar Produktionsprozesse können durch diese Nachlässigkeit negativ beeinflusst werden.

Die beiden Anbieter von Cloud-Software, ownCloud und Nextcloud bieten eine kostenlose Überprüfung des Sicherheitsstatus deiner Cloud-Software an. Die Links hierzu lauten:

Das Bundesamt für Sicherheit in der Informationstechnik veröffentlichte auf ihrer Webseite zu diesen Vorfällen auch weitere Informationen und Empfehlungen für Cloud-Nutzer und Betreiber.

Kategorien
Chrome Facebook Firefox Google Internet & Medien Opera

Zwei-Faktor-Authentifizierung: Nicht immer so sicher, wie versprochen.

Viele Webseiten bieten Ihren Nutzern eine zweifache Absicherung des Login-Bereiches an. Dazu gehört beispielsweise auch Ebay. Bei der sogenannten Zwei-Faktor-Authentifizierung wird dir nach der Eingabe der Logindaten ein zusätzlicher Code gesendet. Der meist per SMS oder per E-Mail versendete Code muss dann ebenfalls auf der Webseite eingegeben werden, damit der persönliche Bereich freigegeben wird. Aber auch diese Absicherungs-Variante ermöglicht Hackern den Webseiten-Einbruch ohne deine Logindaten zu kennen.

Webbrowser, wie beispielsweise Chrome oder Firefox, legen bei Webseitenanmeldungen Cookies an, die später zur Wiedererkennung verwendet werden. Da macht auch eine Zwei-Faktor-Authentifizierung meist keine Ausnahme.

Es sei denn, der Webseitenbetreiber verzichtet auf Cookies beim Login-Vorgang. Dadurch geht der Komfort bei der Anmeldung verloren, weil du jedes mal beide „Sicherheitsschleusen“ durchschreiten musst. Aber Bequemlichkeit ist das größte Sicherheitsrisiko.

So kommen die Hacker an deine Anmeldedaten

Ein Angreifer führt ein Session Sidejacking durch, um an deine Anmeldedaten zu kommen. Dabei zeichnet er deinen Datentraffic auf. Die hierzu verwendete Software kann unterschiedlich sein (z. B. Wireshark). Mit diesem Tool hat er zuvor schon das Netzwerk, z. B. einen öffentlichen Hotspot, infiziert.

Anschließend analysiert er deinen Datentraffic (z. B. mit Hamster und Ferrit) und extrahiert damit die Login-Cookies. Das Passwort und/oder die Zugangscodes sind in den Cookies zwar nicht in Klarschrift sichtbar, aber das ist auch nicht nötig. Der Hacker verwendet den kompletten Cookie, um sich gegenüber der Webseite zu authentifizieren. Da ist kein Passwort notwendig, weil die Webseite ihn als „Wiederkehrer“ erkennt.

Wie schützt man sich?

Wenn man einmal davon absieht, dass man sich auf sensiblen Webseiten nicht anmeldet, wenn man unbekannte WLAN/LAN-Netzwerke nutzt, dann ist eine gute Firewall unerlässlich. Außerdem sollte das Anlegen von Cookies gänzlich untersagt und die Browserdaten nach jeder Onlinesession gelöscht werden.

Auf die HTTPS-Webseiten (SSL/TLS-Verschlüsselung) alleine, sollte man sich auf keinen Fall verlassen.

Kategorien
Hardware & Software

Nicht so sicher wie es den Anschein hat: HTTPS und öffentliches WLAN

Das öffentliches WLAN nicht besonders sicher ist, haben wir in der Vergangenheit schon öfter erwähnt. Bei der Nutzung allgemein zugänglicher Hotspots muss man daher besondere Vorsicht walten lassen. Leider ist auch auf die vielgelobten HTTPS-Verbindungen kein Verlass. IT-Sicherheitsexperten haben eine Sicherheitslücke entdeckt, die ein knacken der HTTPS-Verschlüsselung ermöglicht.

Sicherheitslücke in HTTPS

Hacker nutzen dazu die Funktion Web Proxy Autodiscovery (WPAD), die eine automatische Konfiguration für den Webzugriff findet. Diese Technik, in Verbindung mit OpenID-Hotspots, ist besonders einfach angreifbar. Ausgespähte, bereits aufgerufene Webseiten, geben auf diese Weise eingegebene Anmeldedaten für Online-Banking oder -Shops preis.

Proxy Autoconfig (PAC) leitet abgefangene Webseite auf die Proxy-Server des Angreifers um, der die Anmeldedaten anschließend ausliest. Das ist aber nicht alles, was PAC kann. Mit dem Proxy Autoconfig haben es Trojaner wesentlich einfacher, den Nutzer eines Wifi-Hotspots auf Phishing-Webseiten umzuleiten.

Gegenmaßnahme

Die effektivste Möglichkeit, deine Internetverbindung über einen ungesicherten Hotspot abzusichern, ist der Aufbau eines VPN-Tunnels. Mittlerweile ist die Nutzung von VPN-Verbindungen nicht mehr so umständlich und auch nicht mehr so langsam.

Für iPhone und Android bietet Opera die App Opera VPN für schnelles und unbegrenztes Surfen. Weitere Informationen zu dieser App findest du in diesem Artikel.

Für Desktop und Notebook empfehlen wir den Opera Browser, dessen VPN-Client demnächst freigeschaltet wird. Voraussichtlich wird dies in Version 41 geschehen, die aktuelle Version ist derzeit 39.0. Bis dahin sorgt das Opera-Unternehmen SurfEasy für sichere VPN-Verbindungen.

Kategorien
Hardware & Software

WLAN-Router von TP-Link in Gefahr

Die IT-Sicherheitsexperten von Cybermoon haben aufgedeckt, dass viele WLAN-Router von TP-Link angreifbar sind. Als Schwachstelle wurden die beiden Konfigurations-Webseiten tplinklogin.net und tplinkextender.net ausgemacht. Letztere Konfigurations-URL wird von WLAN-Extendern verwendet. Die Registrierung beider Domains wurden – offensichtlich aus Versehen – nicht rechtzeitig verlängert und gehören nun anderen Firmen.  Der Hersteller TP-Link bagatellisiert die Gefahr, indem er darauf hinweist, dass nur die älteren Router bis Baujahr 2014 mit diesem Weblink versehen sind.

Theoretisch bestünde die Gefahr, dass die Webseiten, die offenbar zum Verkauf stehen, von Hackern für kriminelle Zwecke aufgekauft werden. Loginversuche die den Zugang zu deinem Router ermöglichen, könnten dann umgeleitet und abgefangen werden.

Eine Whois-Abfrage der beiden Domains tplinklogin.net und tplinkextender.net zeigt, dass TP-Link nicht mehr im Besitz dieser Webadressen ist.

TP-Link stellt für die Konfiguration über das Internet die neue URL tplinkwifi.net zur Verfügung. Sicherheitsexperten raten außerdem dazu, die beiden kompromittierten URL´s tplinklogin.net und tplinkextender.net am besten nicht mehr zu nutzen. Stattdessen sollte die Konfiguration über die IP-Adresse (Standard: 192.168.0.1 oder 192.168.9.9) vorgenommen werden.

Sollten die beiden Standard-IP-Adressen nicht funktionieren, liegt es wahrscheinlich daran, dass dem WLAN-Router eine andere IP zugewiesen wurde. Um die richtige Adresse zu ermitteln, öffnest du mit der Tastenkombination  [Windows][R] das Fenster Ausführen und tippst den Befehl cmd ein. Mit der Taste [Eingabe] startet die Eingabeaufforderung, in der du das Kommando ipconfig eingibst und auch wieder mit [Enter] bestätigst.

Der Eintrag Standardgateway (oder: Default Gateway) zeigt nun die richtige Router-IP-Adresse an.

Kategorien
Auto Heim & Hobby

WLAN-Hotspots in Autos können leicht manipuliert werden

Viele Automobilkonzerne bauen in ihre Fahrzeuge WLAN-Hotspots ein, damit Fahrer und Beifahrer beispielsweise im Web surfen können oder um das Onboard-Entertainsystem zu bedienen. Je nach Hersteller und Fahrzeug lassen sich etliche KFZ-Funktionen, wie das Öffnen von Fenstern und Türen oder das Ein-/Ausschalten der Heizung/Klimaanlage veranlassen. Es ist aber auch nicht verwunderlich, dass Hacker versuchen in diese Systeme einzudringen. Beim SUV Mitsubishi Outlander Hybrid ist das bereits im Juni 2016 geglückt.

Schuld daran, ist das werksseitig voreingestellte WLAN-Passwort, das viel zu kurz ist. Hacker können die Kennworteingabe ohne viel Aufwand knacken und anschließend auf die Sicherheitseinstellungen des Fahrzeugs zugreifen. Das fand das englische Security-Unternehmen Pen Test Partners heraus, das umgehend den Hersteller Mitsubishi darüber informierte.

Die gravierendste Sicherheitslücke bei dem Fahrzeug ist wohl, dass ein Hacker das Alarmsystem des Autos deaktivieren kann.

Leider haben weder der Entdecker des Bugs, noch der Hersteller Mitsubishi eine Lösung für dieses (gravierende) Problem. Auf der englischsprachigen Hersteller-Webseite ist lediglich eine Entschuldigung zu lesen und es wird geraten, Mitsubishi Remote Control zu deaktivieren.

Damit der Kunde nicht komplett schutzlos im Regen steht, kann der Hotspot vorübergehend deaktivieren werden. Somit ist ein Zugriff auf die, mit dem WLAN verbundenen Geräte nicht mehr möglich. Die Verwendung der App Outlander PHEV remote control (für Android und iOS) ist dann natürlich nicht mehr möglich.

In den Einstellungen des Bordcomputers geht man zur Cancel VIN Registration und trennt dann alle verbundenen Geräte. Damit fällt der WLAN-Hotspot in einen „Winterschlaf“ und ist deaktiviert. Für eine spätere Aktivierung genügt dann ein zehnmaliges Drücken auf einen beliebigen Knopf des Autoschlüssels.

Die Besitzer des Outlanders Hybrid können nur hoffen, dass diese Sicherheitslücke schnell behoben wird. Denn der Trick mit der Reaktivierung des WLAN über den Autoschlüssel wird sicherlich von Hackern auch bald kompromittiert werden.

Kategorien
Internet & Medien

Sicherer Austausch geheimer Daten

Wichtige Daten über das Web zu versenden kann bei Hackern und Geheimdiensten Begehrlichkeiten wecken. Whistleblower wie Edward Snowden und Plattformen wie Wikileaks sorgen regelmäßig für die Aufdeckung von Abhörskandalen und vertuschten Rechtsverstößen. Aber auch die Nutzer selbst machen es Angreifern meist nicht besonders schwer. Downloadlinks werden telefonisch über unsichere Messenger oder per E-Mail versendet. Ein abgefangener Link reicht aus, um die gesamte Kommunikation und den Datenbestand zu gefährden. Link-Verschlüsselungsdienste wie LinkCrypt schließen diese Sicherheitslücke.

Download-Links werden bei LinkCrypt.ws in Ordnern erfasst und per Passwort abgesichert. Danach wird der Zuganglink verschlüsselt angezeigt. Verschiedene Captcha-Varianten (CaptX, Key-Captcha, TextX) schützen zusätzlich gegen automatische Zugriffsversuche. Das Zugangspasswort und der verschlüsselte Link können nun über einen sicheren Kanal oder durch ein persönliches Treffen weitergegeben werden.

Um über LinkCrypt.ws seine Daten austauschen zu können, ist eine Registrierung erforderlich. Mehr als eine E-Mail-Adresse und ein Passwort benötigst du nicht.

Ähnlich wie LinkCrypt arbeiten auch andere Verschlüsselungsdienste wie FileCrypt und Cryptify. Letzterer ist zwar noch nicht online, aber man kann sich per E-Mail an das Startdatum erinnern lassen.

Kategorien
Chrome Firefox Internet & Medien

Aktion „Sicherer Browser“: Die Add-Ons nicht vergessen!

Bei Webbrowsern gelangen Viren und Schadsoftware meist über Werbebanner und infizierte Webseiten, auf die man beim Anklicken von Links weitergeleitet wird, auf den Computer. Vieles wird von Antiviren-Software und Firewalls geblockt. Aber auch Browsererweiterungen (Add-Ons) beim Firefox und beim Chrome können Schwachstellen für Angreifer enthalten. Diesen Sicherheitslücken kann man am besten vorbeugen, indem man sie auf dem aktuellen Stand hält. Dazu ist hin und wieder ein Update-Check erforderlich.

Mozilla Firefox

Beim Firefox ist das recht einfach. Hier gibt es eine automatische Update-Funktion, auch für Erweiterungen. Starte dazu den Add-Ons-Manager über das Menü-Icon oder durch Eingabe des Befehls about:addons in die Adresszeile.

Dann klickst du auf das Zahnradsymbol und aktivierst im Aufklappmenü den Eintrag Add-ons automatisch aktualisieren. Ab sofort werden die Updates der Erweiterungen automatisch überwacht, heruntergeladen und installiert.

Google Chrome

Bei Google Chrome gelangst du zur Aktualisierung der Erweiterungen, indem du in die Adresszeile den Befehl chrome://extensions eintippst und mit [Eingabe] bestätigst.

Anschließend aktivierst du im Browser-Tab Erweiterungen die Einstellung Entwicklermodus. Dadurch wird unter anderem auch der Button Erweiterungen jetzt aktualisieren angezeigt. Ein weiterer Mausklick auf diese Schaltfläche aktualisiert deine Chrome-Erweiterungen.

Normalerweise prüft Chrome alle paar Stunden automatisch auf eventuelle Updates. Wer aber die automatische Updatefunktion im Chrome-Browser deaktiviert hat, der sollte diesen manuellen Check regelmäßig, mindestens einmal wöchentlich, durchführen.