Gefährliches Internet

Jeder Internetnutzer wird eine oder auch mehrere davon haben und auch mehr oder weniger regelmäßig nutzen. Sie sind der Dreh- und Angelpunkt unseres digitalen Selbst. Gemeint ist die allgegenwärtige Mailadresse. Man benötigt sie, um mit Freunden und Kollegen zu kommunizieren, zur Onlinebewerbung bei einem anderen Arbeitgeber, aber auch um sich bei diversen Diensten, wie Facebook, Twitter, Amazon und Co anzumelden. Das macht das eigene Mailpostfach zum Zentrum unseres digitalen Lebens. Und das wissen leider auch diverse kriminelle Persönlichkeiten, die sich auf Kosten anderer Leute gern bereichern wollen.

Wurde die E-Mailadresse von Fremden gekapert, so ist es ein Leichtes, sich über die Funktion Passwort vergessen bei verschiedenen Diensten, sich ein neues Passwort zuschicken zu lassen und sich mit dem beispielsweise bei Facebook oder Amazon anzumelden. Das kann ernsthafte Rufschädigungen oder finanzielle Schäden zur Folge haben, wenn nicht noch schlimmeres.

Deshalb gibt es im Internet Dutzende verschiedener Dienste, die sogenannte Einmal-Adressen oder Wegwerfadressen anbieten. Diese nutzt man beispielsweise, um sich bei verschiedenen Foren und Diensteanbietern zu registrieren, empfängt dort seinen Link zur Aktivierung des Accounts und löscht die Adresse gleich wieder, oder nach einem bestimmten Limit an eingegangenen Mails per Hand oder automatisch. Eine Liste mit Wegwerfadressen hat Google ausgespuckt und wird am Ende des Artikels als Link eingefügt.

Wie kann ich meine Mailadresse und Accounts von anderen Anbietern am besten sichern?

Allerdings ist es nicht immer mit Wegwerfadressen getan. Man braucht wenigstens eine oder zwei dauerhafte Mail-Adressen für die alltägliche Korrespondenz – beruflich oder privat. Natürlich hat man auch Accounts bei Amazon, Ebay, Facebook, Banken und so weiter. Deshalb heißt es überall: Absichern.

Die erste Sicherheit ist das Passwort. Es sollte möglichst lang sein und eine zufällige Folge von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sein. Zur Erstellung solcher zufälligen Passwörter gibt es Passwortgeneratoren, direkt für Windows, oder als AddOns für die beliebten Browser Chrome und Firefox.

Legitim ist es, sich auch Zettelchen zu schreiben, auf denen man seine Passwörter vermerkt und diese sicher zu verwahren. Man sollte aber auch immer den Verlust einkalkulieren und nicht sämtliche Daten zum Passwort aufschreiben. Oder man chiffriert hier das Passwort noch ein wenig.

Um sich lange Passwörter einfacher merken zu können, baue ich mir ein langes Passwort aus zwei Zufallsgruppen aus Ziffern, Buchstaben und Sonderzeichen zusammen, getrennt durch ein spezielles Sonderzeichen. Die eine Buchstabengruppe ist leicht oder durch häufige Eingabe zu merken. Die zweite Zeichengruppe ist völlig zufällig und unterscheidet sich von Dienst zu Dienst. Notiert wird eben nur der zweite Teil, der erste Teil steckt bei mir im Kopf. Ein solches Passwort kann wie folgt aussehen:

H8/z2#1GsdT5@A1b2d3E4

Man merkt, die zweite Zeichengruppe ist leicht zu merken, die behält man einfach im Kopf. Den ersten Teil kann man getrost aufschreiben, denn ohne den zweiten Teil ist er faktisch wertlos.

Seit geraumer Zeit gibt es hier in Europa eine neue Richtlinie zur Datensicherheit, FIDO2 genannt. Diese verpflichtet Onlinedienstleister, wie Mailprovider, Onlinewarenhäuser, Banken und andere zu einer Zwei-Faktor-Authentifizierung (2FA).

Früher war es gang und gäbe als zweiten Faktor eine oder zwei Fragen mit Antworten beim Dienstleister zu hinterlegen. Häufig genutzte Beispiele waren die Frage nach dem Mädchennamen der Großmutter oder ähnlich. Das mag zwar nirgendwo bei Facebook stehen, ist aber durch Dreistigkeit durchaus zu erfahren. Social Energeering heißt das zu Neudeutsch.

Die direkte Frage „Wie hieß deine Oma mit dem Mädchnnamen?“ wird wohl niemand direkt beantworten, schon keinem Fremden. Das geht aber auch anders herum in einem Unverfänglichen Gespräch konnte dann schonmal folgender Dialog zustande kommen: „Hieß ihre Oma Müller?“ „Nein, Meier, aber ohne Ypsilon!“

Das hat sich heutzutage der Technik und Regulierungen sei Dank geändert. Neben dem recht unsicheren Passwort, werden bei Mailprovidern und anderen Onlinediensten beispielsweise Handynummern hinterlegt, die beim Login einen Code zugesandt bekommen, der zusätzlich eingegeben werden muss, wobei die SMS TAN auch wegen der Unsicherheiten mit Sim-Karten und im Handynetz zurückgedrängt werden.

Bei Banken setzt es sich immer mehr durch, den sowieso schon vorhandenen TAN-Generator und eine EC-Karte zu Nutzen um für den Login eine zusätzliche TAN zu generieren – als Ausweis sozusagen. Auch immer mehr Apps wurden als zweiter Faktor für Überweisungen und den Login bei der Bank entwickelt und sollen laut Banken recht sicher sein.

Viele Dienste bieten mitterweile auch an, die zumeist 6-stelligen Codes für die Zwei-Faktor-Authentification per App auf dem Smartphone oder Tablet zu generieren. Das sind meist zufällige Ziffernfolgen, mit recht begrenzter Haltbarkeit (meist 1 Minute). Bei den meisten Diensten ist die Einrichtung recht einfach. Die meisten solcher Authentificator-Apps liefern einen QR-Code-Scanner, mit dem man einen solchen Code ins Gerät einliest. Mit diesem werden nach einem bestimmten Zufallsprinzip diese Ziffernfolgen generiert.

Fazit

Es bedeutet schon einen Mehraufwand alle Accounts mit sicheren Passwörtern und einem zweiten Faktor auszustaffieren. Der Sinn dahinter ist es, die Masse an Hackern mit etwas Mehraufwand zu verschrecken. Die suchen sich meist die leichteren Opfer aus, die mit wenig Aufwand zu knacken sind. Geheimdienste sind schon eine andere Nummer, aber die größte Gefahr geht immer noch von den Allerweltskriminellen aus, die mit euren Daten Geld verdienen wollen oder euch irgendwie Schaden wollen. Der geringe Mehraufwand, einen Code oder eine TAN einzutippseln lohnt sich allerdings.

E-Mail Verschlüsselung mit Thunderbird – Ein How To

Thunderbird Logo
Thunderbird Logo

Der neue Mailer von Mozilla ist draußen. Thunderbird mit der Versionsnummer 78. Und er bringt eine integrierte Ende-zu-Ende-Verschlüsselung mit – durch die enge Integration sehr vereinfacht und intuitiv. Um was es genau geht, erfahrt ihr hier.

Was ist Ende-zu-Ende-Verschlüsselung?

In der Regel sind E-Mails nichts anderes als ganz einfache Postkarten, die man im Urlaub mit besten Wünschen versieht und an den einen oder anderen daheimgebliebenen Empfänger verschickt. Eine Postkarte kann ein Postmitarbeiter beim Leeren des Posteinwurfkastens lesen oder im Verteilerzentrum oder der Postbote, der die Karte im heimischen Briefkasten versenkt.

E-Mails funktionieren ähnlich. Geschrieben werden diese am heimischen PC, der die fertige Mail dann dem Server des eigenen Mailproviders übergibt. Von dort aus wandern die Mails zum Postkasten des Empfängers (auf den Servern eines anderen Mailproviders). Auf eben jenen Servern ist die geschriebene Mail noch für jeden, der Zugriff auf die Server hat (sei es ein Mitarbeiter des Mailproviders oder ein fieser Hacker) lesbar. Das nennt man Klartext.

Ende-zu-Ende-Verschlüsselung setzt jetzt auf den PCs von Sender und Empfänger an. Im einfachsten Fall chiffiriert (neudeutsch für verschlüsselt) der Computer des Senders automatisch und ohne weiteres Zutun die Mail während des Sendevorganges. Das geht mit der heutigen Technik schon recht fix und der Sender merkt vom Chiffirieren nichts. Genau das Selbe passiert beim Empfänger in Gegenrichtung. Er ruft die Mail ab und der Computer entschlüssselt diese während des Ladevorganges und der Empfänger kann die Mail in Ruhe lesen.

Dieser ganze Vorgang passiert im Idealfall auf den heimischen Endgeräten, sei es der PC oder Laptop, aber auch das Smartphone oder Tablet. Doch die Praxis sieht auch hier ganz anders aus.

Was bringt diese Verschlüsselung eigentlich?

Fakt ist – jede Verschlüsselung kann mit mehr oder weniger (Zeit)Aufwand geknackt werden. Allerdings ist dieser Aufwand schon eine Hürde und schreckt die meisten, die fieses im Sinn haben, ab. Der Sinn hinter der ganzen Aktion ist ein Sicherheitsgewinn, der eigentlich mit wenigen Handgriffen installiert sein sollte. Private und geschäftlche Kommunikation geht im Prinzip niemanden etwas an, gerade weil da auch viel persönliches (oder geschäftliches) versendet wird, was im Zweifel nur der Empfänger lesen darf. Aber keine Angst, mit dem neuen Thunderbird ab Version 78, bekommt man schon alle Tools an die Hand und die Verschlüsselung ist schnell eingerichtet. Aber vorher noch etwas zu den Grundlagfgen.

Wie funktioniert die Ende-zu-Ende-Verschlüsselung eigentlich?

In früheren Artikeln über Verschlüsselung, habe ich das Problem schon erklärt, aber es passt hier auch wieder wunderbar zum Thema und deswegen kommt das auch hier wieder rein. Wem das zuviel ist, kann ja diesen Absatz überspringen.

Bei E-Mails gibt es immer mindesten 2 Leute, die an einer Korrespondenz beteiligt sind. Im Prinzip müssen sich alle (Sender und Empfänger) einig sein, eine Verschlüsselung einzusetzen. Denn Verschlüssselung heißt, daß jeder ein eigenes Schlüsselpaar, bestehend aus öffentlichem und geheimen Schlüssel, besitzen muss, mit dem zu sendende E-Mails chiffriert und empfangene dechiffriert werden. Das besagt prinzipiell schon alles.

Der Öffentliche Schlüssel wird öffentlich gemacht, beispielsweie über Schlüsselserver, oder als Anhang einer E-Mail. Der geheime Schlüssel wird daheim auf dem eigenen PC verwahrt.

Bob will nun seinem Freund Anton eine E-Mail schreiben, beide wollen in Zukunft auf die sichere Verschlüsselung setzen. Nun generieren beide ein Schlüsselpaar. Anton schickt seinen öffentlichen Schlüssel dem Bob zu und Bob macht das selbe mit seinem öffentlichen Schlüssel.

Jetzt schreibt Bob seine E-Mail und verschlüsselt die mit dem öffentlichen Schlüssel Antons und seinem (Bobs) geheimen Schlüssel. Anton empfängt jetzt erst einmal unleserliches Kauderwelsch. Doch in Kombination mit seinem eigenen geheimen Schlüssel und Bobs öffentlichen wird die Mail lesbar.

Was benötigt man nun zum Verschlüsseln von E-Mails?

Einfach gesagt: Nur noch Thunderbird ab Version 78. Der Mailclient liefert schon alles von Haus aus mit. Man braucht keine komplexen Installationen mit OpenPGP, Enigmail und Schlüsselverwaltung mehr. Der aktuelle Donnervogel vereint das alles für den PC (Linux, Mac und Windows) unter einer Haube.

Die Erstellung eigener Schlüssel ist hier nun sehr einfach. Man klickt einfach auf die Mailadresse, die gesichert werden soll und dann auf Ende-zu-Ende-Verschlüsselung. Im nächsten Menü auf Schlüssel erstellen.

 

Verschlüsseln mit Thunderbird
Verschlüsseln mit Thunderbird

 

Hat man sich für die Ende-zuEnde-Verschlüsselung entschieden, kann man bereits vorhandene Schlüssel einsehen oder einen neuen Schlüsseln Generieren.

Verschlüsselung Schritt 2
Verschlüsselung Schritt 2
Verschlüsselung Schritt 3
Verschlüsselung Schritt 3

Hier hat man nun die Wahl zwischen RSA und einer eliptischen Kurve. Beides sind verschiedene Kryptografieverfahren. Da ich jetzt nicht zu Tief in der Materie drin stecke, kann ich jetzt auch nicht beurteilen, welches Verfahren das sicherere und zukunftsträchtigere ist. Fakt ist jedenfalls, daß man die Schlüssellänge so lang wie möglich wählen sollte, denn das erhöht den Zeitaufwand beim Entschlüsseln enorm. Selbst mit einem Verfallsdatum kann man, wenn man möchte, das eigene Schlüsselpaar ausstaffieren.

Verschluesselung Schritt 4
Verschluesselung Schritt 4

 

Wo liegen die Vor- und Nachteile?

Thunderbird bringt schon alles fürs sichere Mailen am PC mit – Kryptografietool und eine Schlüsselverwaltung. Generell macht es der Mailer auch Anfängern einfacher, sicher zu kommunizieren. Im Falle eines Daten-GAUs durch Trojaner oder einfach nur, weil ein neuer PC her soll, kann man die Schlüssel samt Einstellungen mit dem Profil-Ordner Umziehen oder sichern. Das habe ich bereits in anderen Artikeln beschrieben.

Nicht so einfach und trivial wird das Portieren des eigenen Schlüsselpaares und der gesammelten öffentlichen Schlüssel (Schlüsselbund) von Kommunikationspartnern auf ein Smartphone oder Tablet sein. Auf absehbare Zeit wird es kein Thunderbird für Android oder iOS geben, in den man einfach den Profil-Ordner vom PC packen kann. Damit wird man, es sei denn man hat ein Workaround gefunden, seine verschlüsselten Mails nicht lesen und bearbeiten können.

Fazit

Die Integration der beschriebenen Verschlüsselungstools in den beliebten Mailclient Thunderbird, ist schon ein Schritt in die richtige Richtung. So wird das Verschlüsseln eigener E-Mails zugänglicher und leichter, ohne die zusätzliche Installation von Software, die das erledigt. Jetzt müssen plattformübergreifend weitere beliebte Mailclients nachziehen und insgesamt den Austausch der eigenen Schlüsselpaare vereinfachen. Das was Mozilla mit Thundrbird macht, ist vorbildlich. Bleibt zu hoffen, daß unser Donnervogel in Zukunft zum Mailen, geschäftlich wie privat eingesetzt wird. So braucht man für verschlüsseltes und sicheres Mailen kein komplexes Workaround mehr, weil man schon alles aus einem Guss hat.

Weiterführende Artikel

  1. Wie man Firefox und Thunderbird wieder herstellt
  2. Firefox und Thunderbird ganz mobil

Von der Impressumspflicht und der neuen Datenschutz-Grundverordnung

Am vergangenem Freitag (25. Mai 2018) ist die neue DSVGO in Kraft getreten. Die bringt kleine Seitenbetreiber ins Schwitzen, obwohl die eigentlich auf große Unternehmen abzielt. Allerdings ist die DGSVO in Teilen so schwammig formuliert, daß sie auch auf den kleinen Webseitenbetreiber anwendbar ist.

Disclaimer

Ich bin kein Jurist und kein Experte in Sachen Recht, daher darf dieser Artikel nicht als Rechtsberatung angesehen werden. Ich habe mich in den letzten Wochen allerdings mit der neuen Datenschutzverordnung auseinander gesetzt, um meinen Blog so gut es geht rechtssicher zu machen. Daher kann dieser Artikel nur als kleiner Leitfaden und Chekliste mit Tips und Tricks, sowie Anregungen zur DSGVO und zum Impressum dienen. Meine Checkliste erhebt auch keinen Anspruch auf Vollständigkeit und Fehlerfreiheit.

Die umstrittene Impressumspflicht

Eine Diskussion in einem IRC-Channel befleißigt mich, dieses Thema anzunehmen. Im Allgemeinen ging es bei dieser Argumentation, wo privat aufhört und kommerziell anfängt, im Zusammenhang mit der Impressumspflicht nach TMG §5 und der neuen Datenschutzgrundverordnung.

Der Paragraph 5 des Telemediengesetzes schreibt Anbietern vor, die ihre Dienste geschäftsmäßig in er Regel entgeltlich anbieten, ein Impressum vor. Das bezieht auch den kleinen Seitenbetreiber mit ein, der auf seiner Seite mit den privaten Kochrezepten ein bisschen Werbung setzt, um die Kosten für seine Domain zu refinanzieren.

Kann aber eine Seite, die öffentlich zugänglich ist als Privat gelten? Daum ging es in der Diskussion vornehmlich. Eine private Seite bedeutet für mich auf einer technischen Ebene, daß nur der Seitenbetreiber und ein paar seiner Bekannten darauf Zugriff haben. Das geht recht einfach via .htaccess, wo der Seitenbetreiber Passwörter einträgt, die er an Freunde und Familie weitergibt. Um eine ungewollte Verbreitung der Passwörter vorzubeugen, kann man hin und wieder ändern und neu vergeben.

Die neue Datenschutzverordnung

Eigentlich sollte das neue Gesetz den Bürger vor großen Internetkonzernen schützen. Laut einiger Recherchen im Netz treibt die Verordnung reichlich kuriose Stilblüten. Anwaltskammern schließen ihren Internetauftritt, Blogs schließen … zumindest temporär. Europäer dürfen keine amerikanischen Medien mehr lesen, Twitter sperrt Konten, vieles gibt es in diesen Tagen zu berichten.

Das neue europäische Recht, soll die Datenverarbeitung transparenter machen, Konzerne wie Facebook, Google und Co nehmen das allerdings zum Anlass, ihre Datenschutzerklärungen zu überarbeiten. Gerade bei sozialen Netzwerken gab es in den letzten Tagen schon fälle, daß Konten gesperrt wurden, weil die neue Datenschutzerklärung nicht aktzeptiert wurde – aus dem einfachen Grund, weil sich amerikanische Konzerne nicht um das neue europäische Recht scheren und ihre Datensammelwut mit einer überarbeiteten und an das neue Getz angepasste Erklärung rechtfertigen.

Kleine Websitebetreiber haben allerdings ein Problem, denn auch auf sie kommen hohe Strafen bei Verstößen zu, ebenfalls auch hohe Kosten, wenn sie ihren Auftritt korrekt rechtssicher gestalten wollen. Aber zur Erleichterung der kleinen Webseitebetreiber wie Blogger – Datenschutzbeauftragte werden nicht benötigt, daß man kein Unternehmen mit mindestens 10 Angestellten führt, was als Kerntätigkeit die Verarbeitung von Daten hat.

Aber dennoch gilt es als erstes die Webseite abzuklopfen und zu schauen wohin überall Daten abfließen. Mit Pi Hole kann man das selbst sehr schön nachvollziehen. Man loggt sich dort einfach ins Dashboard ein und schaut einfach in die Logs, wohin welche Abfragen gehen, wenn man seine Seite öffnet und welche Domains angepingt werden.

Meist findet man dann doch Anfragen neben seiner Domain zu Google Analytics, Google Ads (oder Google allgemein) oder anderen Werbenetzwerken (wenn man denn soetwas eingebunden hat).

Als erste Anlaufstelle für die Umsetzung der eigenen DSGVO Konformen Seite sollte der Provider sein, wenn man sich irgendwo eine Domain und ein bisschen Webspace für den eigenen Blog besorgt hat. Der müsste einen rechtssicheren Vertrag für die Datenverarbeitung anbieten, den man mit dem Provider abschließen muß. Das Selbe muß man mit Google tun, sofern man irgendwelche Trackingdienste für Werbung und Analyse nutzt.

Blogger benutzen gern auch diverse Tools für die Spamabwehr. Akismet ist da führend, überprüft aber jede IP Adresse auf ausländischen Server ob die für Spam bekannt sind. JetPack und Matomo – ehemals Piwik – sind ebenfals sehr mächtige Analystools. Der Unterschied: JetPack sendet auch Daten an fremde Server, Piwik speichert anonymisiert auf dem eigenen Webspace. Matomo ist als Statistictool Google Analytics aus genannten Gründen vorzuziehen. Bleiben beim Ersteren die Satistikdaten anonymisiert auf dem eigenen Webspace, so funkt Google Analytics diese auf Google Server, die mitunter auch im Ausland stehen. Bleibt noch eine Frage offen: Speichert Google diese Daten auch anonymisiert?

Die Originalen Like-Buttons von Facebook, Twitter und co. werden zumeist als iFrame eingebunden. Das sind meist kleine Browserfenster im Browerfenster. Man lädt also einn Teil von einem sozialen Netzwerk, mit einer Seite, auf dem einer der Buttons eingebunden ist. So fließen ungewollt Daten auf andere Server ab.

Für alle Plugins, die auf Fremden Servern Daten auslagern: Man muß im Zweifelsfall einen Vertrag zur Auftragsdatenspeicherung abschließen. Meine Ansicht dazu: Wenn man ohne Trackingtools nicht leben kann, dann sollte die man auf dem eigenen Server bzw. bei seinem Webhoster betreiben, denn mit dem hat man ja bereits einen Vertrag. Like-Buttons sollte man lieber als HTML Version oder 2-Clickmethode einbinden, so wie ich das mit Shariff schon früher beschrieben habe.

Als nächstes ist natürlich eine DSGVO Konforme Datenschutzerklärung notwendig. Hier ändert sich allerdings nicht viel, denn ähnliches war schon im deutschen Datenschutzrecht verankert. Für die Hobbyblogger unter uns gibt es zahlreiche DSGVO Konforme Generatoren für die Datenschutzerklärung im Netz, die man schon für lau nutzen kann. Aber auch da gibt es keine Hundertprozentige Sicherheit für eine Fehlerfreie Erklärung.

Hat man unter der Haube eine Bestandsaufnahme gemacht und eine Datenschutzerklärung fertig, so fällt meistens auf, daß man sowieso nicht alles DSGVO-konform ist. Jetzt geht es daran Plugins, Kontaktformulare und Kommentarspalten abzuklopfen.

Kann man auf diverse Dinge, wie Statistik nicht verzichten, sollte man sich villeicht nach Alternativen zu den Diensten von Google und Co. umsehen. Piwik währe da eine gute Alternative, hier hat man 99protzentig selbst in der Hand was wie gespeichert wird. Akismet ist beispielsweise durch die AntiSpamBee auszutauschen, die setzt auf unsichtbare Formularfelder um Spambots draußen zu halten.

Trackt man irgendwie, so werden Cookies und/oder Zählpixel eingebettet, das heißt, eine Zustimmung für das Setzen von Cookies muß beim Betreten der Seite her. Auch bei der Kommentarfunktion sowie Kontaktformularen werden Daten wie IP Adresse und Mailadresse gespeichert. Bei WordPress kann man Kinderleicht mit WP GDPR Compliance Checkboxen setzen, die die entsprechenden Zustimmungen einholen.

Dann bleiben noch die IP Adresssen, die die Kommentarfunktion speichert. Hier gibt es einen tieferen Eingriff ins Getriebe von WordPress um bereits gespeicherte Adressen zu löschen und einige Scripte, die künftiges Speichern verhindern. Darauf werde ich allerdings in einem kommenden Artikel eingehen, dafür habe ich einen schönen Workflow recherchiert und erarbeitet.

Ja, angebotene Downloads. Hier sind wieder Urheberrechte und Lizenzrechte zu beachten. Aber ich gehe mal davon aus, daß ihr alle, wenn ihr etwas zum Download anbietet, das auch auf legale Weise tut. Vor Jahren habe ich aus Mangel an bezahlbaren Alternativen einige Downloads einfach in die Dropbox geschubst. Synchroordner auf der Festplatte erstellt, Dateien dort reingeschmissen und wusch, verlinkt. Dropbox ist ein US-amerikanisches Unternehmen mit Serverstandorten in den USA und auf der Welt verteilt. Auch wenn da sowieso nur Downloads drin waren, die für die Öffentlichkeit bestimmt sind, so können doch beim Klick auf die entsprechende Verlinkung, Daten zu dieser Firma abfließen. Daten dafür sind nunmal IP-Adressen, damit die Server wissen, wohin sie die Downloads schicken müssen. Also dran denken: Wenn ihr einen deutschen oder europäischen Server für eure Webseite nutzt, dann lagert eure Downloads auch dort.

Bleibt noch die Frage zu den Bildern. Im Prinzip gilt hier immer noch das Urheberrecht. Der Blogger, der ein Bild aufnimmt darf das auch online stellen, sofern eine schöpferische Tiefe erkennbar ist. Stehen allerdings Personen im Vordergrund, auf denen der Hauptaugenmerk liegt, so muß da eine schriftliche Einverständniserklärung vorliegen, denn die haben auch noch Rechte am eigenen Bild, um es mal in juristischer Fachsprache zu versuchen. Fotografiert man allerdings ein öffentliches Panorama, auf dem in einiger Entfernung viele Leute durch das Bild laufen, so kann man das soweit posten. Für Bilder aus der Wikipedia so gilt der Beitrag den ich früher schonmal geschrieben habe. Auch wenn es Creative Commons ist, Quellenangaben und die Lizenz dazu, dabei hilft der dort vorgestellte Lizenzgenerator.

Fazit

Die DSGVO ist ein ganz schönes Bürokratiemonster und setzt dem eh schon straffen deutschen Datenschutz noch einiges drauf. Für kleine Webseitenbetreiber kommt einiges an Arbeit zu, vielleicht auch an Kosten für die rechtskonforme Umsetzung der DSGVO.

Links

  1. Das virgestellte Shariff Plugin
  2. Der Lizenzhinweisgenerator von Wikimedia Commons für sorgenfreie Bilder
  3. Facebook, Datenskandale und Maßnahmen gegen Trcking wie Pihole
  4. FAQ zur Absicherung des Blogs

Efail: Was Sie jetzt beachten müssen, um sicher E-Mails zu lesen

Mit PGP und S/MIME verschlüsselte E-Mails können unter bestimmten Umständen von Angreifern aus dem Netz mitgelesen werden. Was man tun muss, um weiterhin verschlüsselte Mails sicher zu lesen, erklärt dieser Artikel.

Nachdem nun die Details zum Angriff auf die heute veröffentlichten Sicherheitslücken in PGP und S/MIME bekannt geworden sind, bleiben viele Anwender verunsichert und fragen sich, was sie tun müssen, um nach wie vor sicher verschlüsselte Mails versenden zu können. Wir wissen, dass Angreifer unter Umständen verschlüsselte Mails abfangen und manipulieren können, um an den entschlüsselten Inhalt der Mails – oder zumindest Teile davon – zu gelangen. Die als Efail bekannt gewordene Schwachstelle betrifft dabei die meisten gängigen Mail-Programme, die HTML-E-Mails empfangen und darstellen können wenigstens in Teilen. Um sich und seine Geheimnisse zu schützen, gibt es mehrere Möglichkeiten.

Ein guter Anfang ist damit gemacht, das Anzeigen externer Bilder in Mails zu unterbinden. Das ist sowieso zum Schutz der Privatsphäre, auch bei unverschlüsselten Mails, immer empfehlenswert. Wer damit Leben kann, Mails als Plaintext ohne HTML angezeigt zu bekommen, sollte das Anzeigen von HTML in Mails deaktivieren und ist damit nach aktuellem Kenntnisstand erst mal sicher.
Mail-Programme und Plug-ins aktualisieren

Laut der Veröffentlichungen der Efail-Entdecker ist S/MIME weitaus angeschlagener als PGP. Eigentlich sind alle von ihnen getesteten Programme, die HTML und S/MIME unterstützen, betroffen. Beim Einsatz von PGP sind vor allem Thunderbird (mit Enigmail), Outlook 2007, Apple Mail und Airmail betroffen.

Anwender sollten jetzt vor allem ihre Mailprogramme und Verschlüsselungs-Plug-ins aktualisieren. Die Enigmail-Entwickler empfahlen auf Nachfrage von heise online, mindestens auf Version 2.0 des Plug-ins zu aktualisieren, in dem die Efail-Lücken bereits geschlossen wurden. Nutzer mit aktuellen Thunderbird- und GPG-Versionen sollten dieses Update über die automatische Update-Funktion des Plug-ins bereits erhalten haben. Thunderbird hat mit Version 52.7 fast alle der Sicherheitslücken geschlossen, Version 52.8 verspricht weitere Fixes. Bis dahin empfehlen die Entwickler, Mails nur als Plaintext anzuzeigen.

Sichere PGP-Clients

Die PGP-fähigen Mailprogramme K-9 Mail und Delta.chat für Android waren nicht von den Lücken betroffen. Das teilten deren Entwickler auf der Mailingliste des PGP-Werkzeugs autocrypt mit. Man beobachte die Situation allerdings aufmerksam und werde auch diese Apps updaten, falls das in Zukunft nötig wird. Die Entwickler wollen also nicht ausschließen, dass nicht doch noch Wege entdeckt werden, wie man die Efail-Schwachstellen mit ihren Apps ausnutzen kann.

Die Programme des pEp-Projektes sind ebenfalls nicht angreifbar, da sie aus Sicherheitsgründen das Nachladen von externen Bildern deaktiviert haben. Wie uns die Entwickler mitteilten, konnten sie Angriffe auf Efail-Angriffe auf pEp for Outlook nicht reproduzieren.

Grundsätzlich lassen sich alle Risiken nur mit Veränderungen an den zugrundeliegenden Protokollen für PGP und S/MIME ausräumen. Die Protokolle müssen besser die Integrität der verschlüsselten Mails sicherstellen, damit Angreifer diese nicht auf dem Weg zum Empfänger manipulieren können. Bis solche grundlegenden Änderungen greifen, wird allerdings noch einige Zeit ins Land gehen.

Mails extern entschlüsseln, HTML abschalten

Am sichersten ist es, verschlüsselte Mails nicht im Mail-Client zu entschlüsseln. Die Entdecker der Efail-Lücke empfehlen, den verschlüsselten Ciphertext aus der Mail zu exportieren und in einem eigenständigen Programm (etwa der Kommandozeilen-Ausgabe von GPG) zu entschlüsseln. Auf diesem Wege kann ein eventuell anfälliges Mailprogramm oder dessen Plug-Ins den geheimen Inhalt der Nachricht nicht an den Angreifer im Web verraten. Allerdings ist das ein sehr umständlicher und für die meisten Endbenutzer wohl unakzeptabler Ansatz.

Wer seine Mails trotzdem im Mailprogramm entschlüsseln will oder muss, der schaltet am besten den Empfang von HTML-Mails ab und lässt alle Nachrichten als Plaintext darstellen. Das stopft zwar nicht alle möglichen Schwachstellen, sollte momentan allerdings so gut wie alle praktischen Angriffe verhindern. Entsprechend sind auch Plaintext-Only-Clients wie Claws oder Mutt nicht betroffen.

Auch die meisten Web-Apps scheinen sicher zu sein. Eine Ausnahme bildet Gmail mit S/MIME und auch der Mailer Horde ist für GPG-Angriffe und, falls der Nutzer mithilft, für die S/MIME-Schwachstellen verwundbar. Roundcube scheint unter bestimmten Umständen für PGP-Lücken anfällig zu sein. Es bleibt zu hoffen, dass die Anbieter die verbliebenen Lücken bald schließen. Admins von Webmail-Systemen sollten hier auf jeden Fall ein wachsames Auge auf Updates halten und diese zeitnah einspielen.

 

Quelle: heise.de

Autor: Fabian A. Scherschel

Facebook und der Datenskandal – Wie schütze ich mich effektiv vor Tracking?

Der Skandal um den Mißbrauch von Facebookprofilen geistert nunmehr schon seit mehreren Wochen durch die Medien. Was das heißt, beschreibe ich in diesem Artikel.

Böses Google - Big Brother is watching you
Böses Google – Big Brother is watching you

Googles Tracking

Es war schon ein Hype, der an der Schwelle des 20. Jahrhunderts mit einer neuen Suchmaschine aus Silikon Valley losgetreten wurde. Auch ein neues soziales Netzwerk, was um 2005 an den Start ging wurde hoch gelobt. Alles war neu… und besser… und schneller.
Die Suchmaschine, Google genannt, lieferte auf Stichworte hin bessere Treffer, war schneller und krempelte den Suchvorgang im Netz um. Es wurden zur Suche nicht nur Schlagworte verwendet, die der Seitenbetreiber angeben konnte. Es wurden sämtliche Verlinkungen auf die Seite relevant, aber auch wie gut andere Seiten besucht sind, die auf die eigene Seite verlinken.

Content – also der Inhalt der eigenen Seite – wurde immer wichtiger und wie oft spezielle Schlüsselwörter (die der geneigte User in die Suchzeile eingibt) im Inhalt vorkommen. Spezielle Wörter – sogenannte Adwords – kann man beim Suchmaschinenbetreiber gegen Bares erwerben.
Für Webmaster und Seitenbetreiber bietet Google auch umfangreiche Analysetools an, die Aufschluss über ds Nutzerverhalten auf der Webseite geben und was den User interesiert, das sogenannte Google Analytics.

Sucheingaben und das, was der Nutzer in der Suche angeht, interessiert Google. Das ganze wird angeblich anonymisiert gespeichert. Hat man bei Google Plus (G+) ein Profil mit Namen, Adresse, Vorlieben und anderen Daten gespeichert, werden Suchanfragen personalisiert, was die Daten für Google noch wertvoller macht.
Dann sind da noch die ganzen Android-Smartphones. Auf denen ist Google omnipräsent, ohne Google läuft da recht wenig. Neben GPS-Trackern (für Navi) befinden sich noch eine ganze Menge andere Sensoren im Handy. Zudem gibt man seinem Smartphone doch eine Menge vertraulicher Daten in den Speicher – Kontaktdaten, Nutzungsdaten auch bei der Navigation. Aber auch andere Apps nehmen sich einige Rechte heraus, die sie eigentlich nicht brauchen. So bekommt Google noch mehr Daten, auch wenn man nicht am heimischen PC sitzt.

Daumen nach unten für Facebook
Daumen nach unten für Facebook

Facebooks Datensammelei

Facebook spielt in einer ähnlichen Liga wie Google. Hier wird man explizit aufgefordert ein Profil anzulegen, um sich mit anderen Leuten, sogenannte Freunde, zu vernetzen. In Profil gibt man schon allerhand von sich preis, neben Name, Anschrift, Interessen und vieles mehr. Auch wenn man spezielle Webseiten „liked“ wie es im Facebookjargon heißt, weiß Facebook, was einem gefällt.

Vom surfen im Internet kennt jeder die kleinen Facebooksymbole – ein Daumen nach oben – mit denen man Webseiten mit einem Klick in seinem Facebook-Profil verlinken kann. Auch ohne ein solches Profil fließen schon Daten über die besuchten Seiten, IP Adresse vom Rechner, aber auch Infos zu installierter Software (Betriebssystem, Browser etc.) zu Facebook ab. Ist man beim sozialen Netzwerk registriert, hat man also ein Profil dort, werden die Surfdaten mit dem Profi verknüpft – auch wenn man sich für den Moment bei Facebook ausgeloggt hat. Ähnlich wie Google sammelt Facebook die Daten – wenn sie durch ein Profil personalisiert sind werden diese um so wertvoller – und verwurstelt diese zu personalisierter Werbung.

Kurz zusammengefasst: Jeder Klick wird gespeichert und wenn das still und heimlich im Hintergrund passiert, nennt man das Tracking. Nutzt man die Services von Facebook, Google und co, so spielt man denen zusätzlich in die Hände. Man kommt aber weder als normaler Nutzer oder als Webseitenbetreiber nicht drum herum, die Services aus Mangel an sinnvollen Alternativen in irgendeiner Form zu nutzen. Man kann ungewollten Datenabfluss aber eindämmen, es gibt dafür mehr oder minder effektive Tools.

Gegenmaßnahmen zur Datensammlung
Gegenmaßnahmen zur Datensammlung

Gegenmaßnahmen

Abwehrmaßnahmen für den Einsteiger

Fangen wir beim Browser auf dem Computer an.
Und zwar hat die Mozilla-Stiftung Ende März ein neues Plugin für den Firefox vorgestellt, was einen Tab mit geöffnetem Facebook in einem Container isolieren soll. Hat man nebenher weitere Internetseiten offen, beispielsweise mit dem angesprochenem Daumensymbol, so werden keine weiteren Daten (wie besuchte Webseite, Software etc.) an Facebook übermittelt. Dieses Plugin gibt es für jede Firefoxvariante. Nutzt man im Browser noch Plugins uBlock und NoScipt, fließen Daten auch nicht zu anderen Werbenetzwerken ab.

Um das besagte Plugin zu installieren einfach im AddOn Manager nach dem Facebook Container von Mozilla suchen. Mittlerweile gibt es einen Fork von diesem AddOn mit dem sprechendem Namen Google Container, der aber von einem anderen Entwickler betreut wird und nicht von Mozilla. Dieses Addon arbeitet im Prinzip genau so wie das Offizielle Anti-Facebook Plugin von Mozilla.

Weiterhin gibt es noch Werbeblocker wie AdBlock oder uBlock für den Firefox zu installieren. Beide Addons sind für sämtliche Firefoxvarianten erhältlich und das kostenlos. Diese Addons blockieren recht zuverlässig Werbung beim Surfen und verhindern somit auch das ungewollte Tracking.
Zudem bieten die hier vorgestellten Softwarelösungen auch einen gewissen Grundschutz vor Schädlingen wie Trojanern und Co, da viele dieser Schadprogramme auch über Werbenetzwerke verteilt werden. Allerdings greifen diese Softwarelösungen nur auf dem Rechner auf dem sie gerade eingesetzt werden. Smart-TV oder Daddelbox werden außen vorgelassen und können unerlaubt Werbung bekommen.

[Update] Die hier vorgestellten AddOns gibt es für Firefox und für Chrome.

Die Profiprivatisierung

Ich nutze für mich und mein Netzwerk allerdings die Profivariante. Auf einem Orange Pi – das ist ein kleiner Einplattinencomputer wie der Raspberry Pi – läuft eine PiHole-Installation.

„Was ist denn nun PiHole schon wieder?“

Das Internet arbeitet mit sogenannten Domains, wie www.medienspuernase.de. Gibt man diese Domain in seinem Browser ein, oder klickt man auf einen Link dazu, so sucht der Browser im Internet auf einem DNS-Server (DNS=Domain Name System) nach einer passenden IP Adresse dazu, zu der er dann die Verbindung aufbaut und sich die entsprechenden Daten abholt.

Allerdings besteht eine Internetseite aus vielen einzelnen Teilen – Texte, Bilder, Videos, Formulare, Facebooks Like-Buttons, Werbung und anderen Sachen. Oftmals sind Dinge wie Videos, Like Buttons und Werbung extern eingebettet. Das heißt, daß ein Video zum Beispiel bei Youtube liegt und mittels speziellem Link ein Player in die Webseite eingebettet wird, der das Video direkt auf der Webseite abspielt. Schon ein Besuch auf einer Seite, die ein solches Video eingebettet hat oder auf der ein Like-Button vorhanden ist, sendet an betreffende Betreiber (Facebook, Youtube…) ungewollt Informationen.

Werbung ist im Prinzip genauso eingebettet – das sind Links, die automatisch Inhalte aus Fremdquellen nachladen. Für jede besuchte Domain – die Medienspürnase, Youtube oder Werbedomains – macht der Browser immer vorher eine DNS Abfrage, nach der IP-Adresse.

Eine IP-Adresse ist im Prinzip mit einer Telefonnumer vergleichbar, die einem bestimmten Festnetzanschluß oder einem Handy zugeordnet ist. So besitzt jeder Computer, jeder Server (und damit jeder Webdienst) und jedes netzwerkfähige Gerät eine eigene IP-Adresse, die nur ihm gehört. Das ist wichtig, damit die einzelnen Geräte untereinander kommunizieren können und Daten austauschen können.

Und genau da greift PiHole ein. PiHole ist im Prinzip nichts anderes als ein DNS-Server, nur mit der Besonderheit, daß der zum Ersten im eigenem Netzwerk steht und zum zweiten mit Blacklisting und Whitelisting funktioniert. PiHole ist mit dem heimischen Internetrouter verbunden. Das darf via Kabel (Ethernet, LAN) oder kabellos (W-LAN) passieren. Jede Anfrage von einem im Netzwerk hängendem Gerät läuft nun über unser PiHole. PiHole ermittelt jetzt nun die IP-Adresse beispielsweise von www.Medienspürnase.de, blättert aber in den angegebenen Listen nach, ob die Domain durchgelassen werden darf oder auch nicht. Das geschieht mit jeder gleichgearteten Anfrage, genauso bei Facebook, Google oder Werbung. Unerwünschtes wird blockiert und erwünschte Inhalte dürfen passieren.

PiHole ist zudem recht flexibel zu konfigurieren, so daß der Schutz von Paranoia (alles wird blockiert und muß manuell freigeschaltet werden) bis leicht (nur einige Sachen werden blockiert) eingestellt werden kann. Das will heißen, der geneigte Nutzer kann blockieren was er will, oder über die Whitelists alles, was er braucht wieder freischalten.

Ich schrieb ja, daß PiHole die Blockierlisten namhafter Adblock-Plugins von Browsern nutzt. PiHole wendet diese Blockierlisten auf alle Geräte, die ihren Traffic ins Internet haben, an. Zudem ist es eine zentralisierte Lösung, die leicht zu warten ist und auch keine hohen Hardwareanforderungen stellt. Es reicht schon wenn die auf einem Einplatinenrechner mit 10 Watt Stromverbrauch läuft.

[Update] In Deutschland und der EU sind die Datenschutzanforderungen sehr hoch angesiedelt, leider sind Kontrollen durch betreffende Behörden rar. Dafür allerdings gibt es eine reihe Anwälte, die sich selbst mit Abmahnungen bereichern, werden irgendwelche (vermeintliche) Verstöße aufgedeckt oder angezeigt. Die meisten größeren Webseiten und Portale in Deutschland wissen selbst um die Gefahr durch dubiose Anwälte oder den Staat abgestraft zu werden.

Deshalb setzen immer mehr Webseitenbetreiber auf Datenschutzkonforme Lösungen, beispielsweise bei den Like-Buttons von Facebook und co. Ich schrieb bereits vor geraumer Zeit darüber, daß es sogenannte Zwei-Klick Lösungen für alle erdenklichen Webseiten gibt. Diese Buttons haben den Vorteil, daß man die Like-Funktion mit dem ersten Klick aktiviert und beim zweiten Klick den Link sendet.

Think Social – Medienspürnase goes to Facebook, Twitter and Google+

Mittlerweile bin ich schon seit geraumer Zeit noch einen Schritt weiter gegangen. Der Heise Verlag bietet für WordPress und andere Contant Managementsysteme ein Plugin namens Shariff an. Das platziert die Like-Buttons als simplen HTML-Link, der mit stinknormalem CSS gestaltet wurde unter die Artikel. Reines HTML und CSS sendet von sich aus nichts, nur nach einem Klick auf den Button öffnet sich ein Anmeldefenster für das besuchte soziale Netzwerk zum teilen.

Die Medienspürnase wandelt sich

Fazit

Der Aufwand um die eigenen Daten besser zu Schützen bleibt auf einem erfreulich niedrigem Niveau, gerade bei den Addons für die gängigsten Browser. Hier punkten Firefox und Chrome gegenüber Internetexplorer und Edge. Die Addons für die Browser aktualisieren sich in gewissen Abständen automatisch und ohne den Nutzer zu belästigen.
Bei PiHole dauert das Aufsetzen schon ein wenig länger. Man benötigt eine gewisse Hardware und man ist da schon mit 40 bis 50 Euro plus Stromkosten dabei. Die Einarbeitung und Konfiguration dauert hier natürlich, wenn es aber läuft bietet es einen zuverlässigen Schutz. Wenn es optimal konfiguriert ist, zieht es sogar Updates von selbest. Der Aufwand wird der Laufzeit geringer. Anfangs ist das System auf sein Surfverhalten zu trainieren, denn einige Seiten, die man gern besuchen würde, landen vielleicht schon in der Blackliste, von der man sie in die eigene Whiteliste herausholen muß.
Beide Maßnahmen zu kombinieren ist recht Sinnvoll. Nutzt man PiHole, so können die Ad-Blocker und Container Plugins noch störende Platzhalter beim Browser entfernen. Vielleicht arbeiten dann bei euch die Sachen so miteinander, daß diese sich ergänzen?

Links

  1. Pi Hol – offizielle Seite
  2. Facebook Container für Firefox
  3. Google Container für Firefox

Von Browsern, AddBlockern und die Chatseite von Mainchat

Nach langer Zeit meldet sich die Medienspürnase nun endlich mal wieder zurück, diesmal mit einem etwas etwas kuriosem Problem.

Und zwar wollte ich mich auf der Seite https://vinsalt.mainchat.net/ einloggen. Schon beim Betreten der Seite färbte sich der Firefox (52.0.2 64 Bit auf Windows 10 Pro 64 Bit) rot ein und meldete mir, daß auf dieser Seite schädliche Programme währen. Die Warnung lies sich nicht ignorieren, der Chat lies sich nicht betreten. Über die Windows internen Browser (Edge und Internetexplorer die Letzte) lies sich der Chat problemlos ohne Warnung öffnen und einloggen. Dort erfuhr ich, daß das Problem auch aktuelle Versionen von Chrome (unter Windows 10 und Ubuntu 16.04 LTS) betraf, sowie den Firefox an meinem Android 6.x Tablet und auch unter Linux (Ubuntu) betraf.

Schon während der Recherchen kam mir ein ein leiser Verdacht auf, es könne an eingebetteter Werbung auf der Seite chat1.mainchat.de liegen, denn die wurde bei jedem in dieser Warnung angezeigt. Als jemand aus dem Chat im Firefox (die Ubuntu Version davon) den Werbeblocker AddBlock Plus aktivierte und sich einloggen konnte, hat sich mein Verdacht bestätigt. Ich nutze schon seit Je her den selben Werbeblocker, aber bei mir hat es bis zu einer Neuinstallation von AddBlock Plus die selbe Warnung gegeben. Ein Update vom Werbeblocker hat das Problem schlußendlich behoben. Warum dann auch der Chat auf dem Tablet wieder funktioniert, ist mir dagegen bis jetzt noch schleierhaft.

Heute Nachmittag hat sich dort auch die Warnung blicken lassen. Sollte Novastorm so schnell gehandelt haben? Es ist zu diesem Zeitpunkt keine halbe Stunde her, daß ich Novastorm als Hostingplattform dieses Chats kontaktiert habe und das Problem geschildert habe.

Fazit:

Bei solchen oder ähnlichen problemen, aktiviert und aktualisiert euren Werbeblocker einfach mal, das dürfte euch schon die eine oder andere unangenehme Überraschung ersparen. Testet gegebenenfalls mit anderen Browsern einfach mal gegen.

Microsoft stellt Support für Internet Explorer 8, 9 und 10 ein

Logo Internet Explorer 8
Logo Internet Explorer 8

Die Internet-Explorer-Versionen 8, 9 und 10 für Windows 7 und aufwärts werden ab Dienstag nicht mehr mit Sicherheitsupdates versorgt. Wer noch mit einem der alten Browser im Netz unterwegs ist, sollte jetzt handeln.

Microsoft stellt seinen Support für die Versionen 8, 9 und 10 des Internet Explorers ein. Damit setzt das Unternehmen eine Ankündigung um, die es schon 2014 gemacht hat. Ab dem 12. Januar wird es unter Windows 7 aufwärts keine Sicherheitsupdates und keine technischen Hilfen mehr für die Browser geben. Der Internet Explorer 11, die aktuelle Version, wird weiter mit Updates unterstützt. Unter Vista wird weiter der Internet Explorer 9 mit Updates versorgt.

Wer noch einen alten Internet Explorer nutzt, wird mit dem letzten Update automatisch den Hinweis bekommen, seine Version zu aktualisieren. Nutzer sollten das auch unbedingt tun, um sicher zu surfen, und der Anleitung auf dem Bildschirm folgen.

So können Nutzer Updates suchen

Manuell lässt sich das Upgrade durchführen, indem man auf die Systemsteuerung klickt und im Bereich „Windows Update“ die Schaltfläche „Nach Updates suchen“ anwählt. Um herauszufinden, welche Version man installiert hat, startet man den Internet Explorer und klickt auf das Zahnrad-Symbol in der Ecke des Explorer-Fensters und wählt „Über Internet Explorer“ aus. In sehr alten Versionen muss man eventuell auch den Punkt „Info“ über den Menüpunkt „Hilfe“ ansteuern.

Microsoft will mit dem Schritt Nutzer der alten Browserversionen dazu bewegen, ihre Software endlich zu modernisieren. Das Unternehmen hätte so weniger Support-Aufwand und auch andere Webentwickler würden sich freuen, wenn die alten Browservarianten nicht mehr benutzt werden.

Die alten Versionen des Internet Explorers haben immer noch einen beträchtlichen Marktanteil bei den Desktop-Browsern: Laut einer Schätzung der Seite NetmarketShare gehen rund 20 Prozent der Nutzer noch mit einer der Versionen 8,9 oder 10 online, für die nun der Support ausläuft.

Herbei, o ihr Scheinchen, traurig drein blickend

Wieder einmal ist es soweit. Weihnachten 2015 ist vorbei, alle Geschenke, die gekauft worden sind, wurden an die Kinder, die Enkel, Mama, Papa, Tante, Onkel oder das Schwiegermonster – Verzeihung die Schwiegermutter – verteilt. Wie jedes Jahr üblich, hat die weihnachtliche Geschenkeorgie und die fröhliche Silvesterböllerei ihren Preis und das macht sich zumeist mit einem dicken Loch in der Geldbörse oder roten Zahlen auf dem Konto bemerkbar. Auch dieses Jahr gibt es wieder etwas, womit man zumindest die roten Zahlen auf dem Konto beäugen kann, und das mit maximaler Sicherheit vor Kriminellen.

 

Bankix
Bankix

c’t Bankix

 

Bankix ist ein vom Heise-Verlag speziell angepasstes Ubuntu und basiert auf der Long Term Variante vom April 2012. Es bietet also noch bis 2017 Sicherheitsupdates von Seiten der Ubuntu-Macher.

 

Bankix an sich wird auf einem USB Stick oder einer SD-Karte (beides mit) einem Schreibschutzschalter oder einer DVD installiert und auch von dort gestartet. Für private Daten, kann man später noch einen eigenen USB Stick als sogenanntes Home-Verzeichnis einbinden.

 

Vorteile bietet Bankix im Bereich vom Online-Banking viele. Es basiert auf einem Linux und ist durch die geringe Verbreitung (im Vergleich zu Windows oder MacOS) für Kriminelle eher untinteressant um es anzugreifen. Ubuntu selbst ist ein gut gepflegtes OpenSource Betriebssystem, welches regelmäßig Sicherheitsupdates erhält und wo offene Lücken zeitnah geschlossen werden. Durch Schreibschutz oder das optische Medium können nach der Einrichtung dessystems keine Änderungen von Seiten krimineller Elemente mehr vorgenommen werden.

 

Zusätzlich bringt Bankix noch ein paar weitere Sicherheitsfeatures mit. Zum einen hat der Heise-Verlag den Browser Firefox mit diversen Addons weiter gehärtet, so daß böswillige Scripte gar nicht erst ausgeführt werden. Andererseits sind nur zwei Paketquellen eingebunten (Ubuntu und Heise) die signierte Software und Updates zur Verfügung stellen.

 

Empfohlen wird seitens Heise, daß Bankix auf einem USB Stick mit einem Schreibschutz (es reichen 4 GB) installiert wird. Trekstor beispielsweise liefert für recht wenige Euronen solche Sticks aus. SD Karten besitzen zwar auch einen Schreibschutz, aber die meisten Kartenleser übergehen den geflissentlich. Mit UNetbootin kann man das Bankix Image auf USB Stick oder Wahlweise SD-Karte bringen. Die Installation auf CD oder DVD ist recht umständlich, da vorher eine Multisession-Disc erstellt werden muß und nach einem Boot von der CD/DVD alle Updates in eine zweite Session gebrannt werden. Nicht jedes Brennprogramm unterstützt Multisession beim Brennen von ISO Dateien. Ich nutze hier ISO-Workshop, beim Brennen der ISO muß man das Finalisieren der Disc abgewählt werden. (Softwareliste findet sich wieder am Ende des Artikels)

 

Im nächsten Schritt bootet man Bankix von dem ausgewählten Medium. Man kann jetzt noch zusätzliche Software installieren, beispielsweise Hibiscus (ich schrieb vor einem Jahr darüber), Thunderbird, Textverarbeitung Tabellenkalkulation, sogar einen PDF Reader, falls man denn einen zum Lesen von Kontoauszügen benötigt. Wem das nicht reicht, der kann auch GnuCash installieren und damit die Finanzverwaltung seiner Firma abwickeln.

 

Jetzt ist es an der Zeit, das System zu aktualisieren. Rechts oben in der Ecke befindet sich ein Schalter, ein Klick darauf öffnet ein Menü. In dem Menü steht „System ist auf dem neuesten Stand“, aber ein Klick darauf stößt eine Überprüfung und dann den Download aller verfügbaren Aktualisierungen an. Zusätzlich kann man noch einen weiteren USB Stick als sogenanntes „Homeverzeichnis“ einbinden, der dann als Laufwerk für Nutzerdaten und dergleichen dient. Hier drauf können beispiel ein eigens erstelltes Haushaltsbuch gesichert und abgeglichen werden.

 

Bei einem Neustart werden alle Aktualisierungen und Änderungen am System in der Datei settings.squashfs geschrieben, die dann gesichert auf SD-Karte, USB Stick oder DVD landet. Im Nachhinein (ich hab das ganze mit einem Schreibschutz Stick getestet) ist diese auch bei abgeschaltetem Schreibschutz auch nicht mehr änderbar. Man sollte also in Regelmäßigen Abständen diese Prozedur durchführen, da die meisten Systemaktualisierungen einen Neustart benötigen.

 

Softwarelinks

  1. c’t Bankix
  2. UNetbootin (Universal Netboot Installer)
  3. ISO Workshop zum Brennen der ISO Datei

Erpressungstrojaner als Word-Dokument getarnt

VorsichtWir leben wieder einmal in Zeiten, in denen man allgemein den Dateianeghängen in den Mails mißtrauen sollte. In letzter Zeit häufen sich die Vorfälle, in denen präparierte Word-Dateien Computer infizieren. Die aktuelle Welle ist sogar bis ins Innenministerium von NRW vorgedrungen.

 

Bei Dateianhängen der neuesten Mails sollte man besonders vorsichtig sein, auch wenn die Absendeadresse von einem Bekannten stammt. Aktuell rollt eine Viren-Welle durch das Internet, bei der die Schädlinge – in erster Linie Verschlüsselungstrojaner – mit auf den ersten Blick harmlosen Word-Dokumenten (.doc) oder Zip-Dateien (.zip) daherkommen.

Die Word-Dateien weisen gefährliche Makros auf und die Archive enthalten bösartige ausführbare Dateien (.exe) oder JavaScript (.js). Auf JavaScript setzen die Angreifer, da dieses von vielen Mailservern nicht blockiert wird. Von der Viren-Welle sind in erster Linie Windows-Nutzer betroffen.

Bis zur Inbfektion sind allerdings mehrere Handgriffe notwendig. Beim Empfang einer Mail mit entsprechendem Anhang passiert ersteinmal gar nichts. Öffnet der Empfänger den Anhang, kann dieser eine bösartige ausführbarde Datei starten, die sich im System einnistet. Versteckt sich der Schadcode in einem Zip-Archiv, muß man dieses erst öffnen und die entpackte Datei ausführen. Es sind also mehrere Schritte nötig um die Infektion einzuleiten.

Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Da die Ganoven ihre Malware anscheinend regelmäßig warten, kommen die Anbieter von Antiviren-Anwendungen nicht hinterher, denn Leser von heise online berichten, dass ihre Virenscanner oft nicht anspringen.

Mittlerweile häufen sich die Berichte, daß Nutzer mittlerweile auch von Verwandten und Bekannten Mails mit schädlichem Dateianhang bekommen haben. Den Anhang sollte man bei bekanntem Absender nicht abnicken, sondern vorher ersteinmal nachfragen, ob der von der Mail auch etwas weis. Denn oft genug nutzen kriminelle Elemente gekaperte Mail-Accounts für ihre Zwecke und kopieren das Adressbuch des übernommenen Accounst gleich mit.

Erschreckend dabei ist, daß sich die Angreifer immer plausiblere Formulierungen einfallen lassen, damit der Empfänger den infizierten Dateianhang öffnet.

Wenn von einer bekannten Adresse Dateien versendet werden, fragt einfach beim Versender nach, was das ist. Weiß er nichts von der Mail, dann ist definitiv ein Trojaner drin. In dem Fall, sollte der Bekannte sein Passwort zu seinem Mailaccount sofort ändern.

Vorsicht vor extrem gut gemachten Phishing-E-Mails
Auch aktuelle Phishing-E-Mails werden immer perfider und selbst versierte und skeptische Internet-Anwender können auf die vermeintliche PayPal-Buchungen oder Amazon-Warnungen vor „ungewöhnlichen Logins“ hereinfallen.

In diesem Fall sollte man immer die URL, zu dem der Link aus einer Phishing-E-Mail führt, untersuchen, denn etwa

sicherheitscenter-9830.amazon-daten-updates.ru

gehört nicht zur Amazon-Domain.

Verschlüsselungstrojaner im Innenministerium

Im Zug der aktuellen Viren-Welle sorgen vor allem Verschlüsselungstrojaner für Frust. So einen hat sich auch das nordrhein-westfälische Innenministerium Mitte dieser Woche eingefangen und verschiedene Computer in der Verwaltung vorsorglich abgeschaltet. Sicherheitsrelevante Systeme, etwa von der Polizei, sind aber nicht betroffen, berichtet der WDR.

schaedlich
schaedlich

Interaktiver Überwachungsabend beim WDR

WDR Logo

Für den 28. Mai plant der westdeutsche Rundfunk zum Thema Enthüllung und digitale Überwachung eine interaktive Sendung, in der die Whistleblower Edward Snowden und Julian Assange zugeschaltet werden sollen. Übersd Internet können sich die Zuschauer an der Ausstrahlung beteiligen.

Zur Primetime des 28. Mai (ein Donnerstag) will der WDR ein Theaterstück zu den Themen Enthüllungen und digitale Überwachung untLer Mithilfe der Zuschauer auf die Bühne bringen. Das bestätigte eine WDR-Sprecherin am Samstag dem Nachrichtenmagazin „Der Spiegel“.

Wir fordern die Zuschauer auf, ihre eigenen Daten preiszugeben

sagte die Sprecherin. Zuschauer könnten über das Internet die Handlung des Stückes, der Kölner Regisseurin Angela Richter, steuern und gleichzeitig erfahren, wie es sich anfühle, wenn man durch die Veröfffentlichung eigener Daten angreifbar werde.

Im Bühnenstck gehe es um die Schicksale von Whistleblowern wie Snowden und Assange. Richter hat beide getroffen und lange Interviews mit ihnen geführt. Beide sind für den TV-Abend live zugeschaltet.

Am 13. Mai 2013 hatte Snowden massig geheime Dokumente des US-Geheimdienstes NSA an Journalisten übergeben und hat damit die massieve Überwachung der elektronischen Kommunikation öffentlich gemacht. Bis 2014 gewährte Russland Asyl, nun besitzt er eine dreijährige Aufenthaltserlaubnis dort.

Julian Assange, Wiki-Leaks Gründer, sitzt seit Augist in der ecuadorianischen Botschaft in London fest, nachdem Wiki-Leaks wiederholt interne Dokumente von US-Armee und anderen Behörden zu Kriegen in Afghanistan und Irak veröffentlicht. Assange droht zugleich noch ein Strafprozess wegen sexueller Nötigung in zwei Fällen und einer Vergewaltigung in minderschwerem Fall.

Phishing im Namen Amazons

Wieder einmal machen Phishingmails die Runde, dieses mal wieder im Namen von Amazon. Auffällig dabei ist wieder die Mailadresse des Absenders. Es ist keine Mail von Amazon, das erkennt man schon an der Erweiterung hinter dem @-Zeichen. Ein genauerer Blick in den Header der Mail brachte keine klaren Ergebnisse über die Herkunft. Laut Utrace kam die Mail aus einem Ort auf halben Wege zwischen Marburg und Kassel – von einer deutschen Firma – was aber nicht viel heißen mag, denn deren Server können unwissentlich gekapert worden sein und für Spam missbraucht werden.

Beunruhigender ist die Tatsache, daß man wirklich mit Vor- und Nachnamen angesprochen wird und eine Mailadresse verwendet wird, die schon lang nicht mehr bei Amazon registriert ist. Vielleicht wurde der Provider gehackt. Aus technischen Gründen habe ich die Mail hier anonymisiert. Auffällig ist diesmal, daß die Mail nur ganz simpel gestaltet ist. Schwarzer Text auf weißem Grund ohne irgendwelche Firmenlogos und Farben von Amazon.

Erwähnenswert ist noch der Anhang. Finger weg davon, es ist ein Schädling – digitale Influenza ist garantiert!

Sachbearbeiter Amazon GmbH < *****@webholic.de>
Von: Sachbearbeiter Amazon GmbH < *****@webholic.de>
Ordner: ********@gmx.de/Posteingang
Datum: Thu, 12 Mar 2015 11:03:00 GMT
Betreff: Petra Mustermann Ihr gespeichertes Konto ist nicht hinreichend gedeckt
Ein Anhang: Forderung an Petra Mustermann 12.03.2015 – Sachbearbeiter Amazon GmbH.zip (120 KB)

Sehr geehrte Kundin Petra Mustermann,

Ihr Kreditinstitut hat die Lastschrift zurück gebucht. Sie haben eine nicht bezahlte Forderung bei Amazon GmbH.

Aufgrund des bestehenden Zahlungsrückstands sind Sie gebunden außerdem, die durch unsere Beauftragung entstandenen Kosten von 45,63 Euro zu tragen. Wir erwarten die Überweisung inklusive der Mahnkosten bis spätestens 17.03.2015 auf unser Bankkonto.

Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Die vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, ist beigefügt. Für Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

In Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Forderung schnellstens zu bezahlen.

Mit verbindlichen Grüßen

Sachbearbeiter Brandt Alexander

Wie Samsungs Fernseher zum Spion im Wohnzimmer werden

Gebogen und Hellhörig - Foto: Samsung
Gebogen und Hellhörig – Foto: Samsung

Netzpolitik.org berichtete neuerdings, daß Besitzer von Samsungs Fernsehgeräten mit Sprachsteuerung nichts privates mehr sagen dürften. Selbst Samsung weißt in den Endbenutzer-Lizenzvereinbarungen (Eula) darauf hin, daß gesprochenes über die eingebaute Sprachsteuerung mitgeschnitten werden könnte und an die Server von Drittanbietern gesendet werden kann. Diese Server dienen dazu, die gesprochenen Kommandos zu verarbeiten, auszuwerden und in Schaltbefehle für den Fensher umzusetzen.

In der Eula heißt es wortgenau:

“Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party through your use of Voice Recognition.” (Seien Sie sich bitte bewußt, dass wenn das Gesagte persönliche oder sensible Informationen enthält, diese Information Teil der erfassten Daten ist und durch die Spracherkennung an Drittanbieter weitergegeben wird.)

In einem Statement von Samsung heißt es, daß dieses nur gilt, wenn die Sprachsteuerung aktiviert ist.

Links und Quellen

  1. Netzpolitik.org -Samsung warnt…
  2. EULA des Konzern Samsung

Mojang bietet Hilfe für betroffene Minecraftaccounts an

Minecraft Dorf
Minecraft Dorf

Vorgestern berichtete ich über 1800 gehackte und kompromitierte Minecraft-Accounts. Mojang will allen betroffenen Spielern mit Rat und Tat unter die Arme greifen, aber mittlerweile sind weitere Zugangsdaten im Netz aufgetaucht.

Betroffene Spieler sollen den Support der Firma kontaktieren (Links dazu wie immer am Ende des Artikels) – nach Angaben von Mojang geht das sogar auf Deutsch. Vorgestern sind die Zugangsdaten von 1800 Minecraft-Accounts öffentlich geworden, weitere will man inzwischen im Netz gesichtet haben. Mittlerweile melden sich dazu immer mehr Nutzer die Listen mit erbeuteten Daten gesehen haben wollen. Bei manchen dazu handelt es schlichtweg um Doppelungen, andere scheinen neue Login-Daten gefunden zu haben.

Aber momentan ist es fraglich, ob ein Großteil der betroffenen Nutzer überhaupt weiß, daß ihr Zugang kompromitiert wurde. Mittlerweile will man sämtliche Nutzer aus der bekannt gewordenen Liste via E-Mail informiert haben, aber es befanden sich auch alte Minecraft.net Konten, die nicht mit einer Mail-Adresse verknüpft waren.

Wer auf Nummer sicher gehen will, der kann natürlich sein Passwort ändern. Besonders dringlich ist es, wenn man das Passwort auch für andere Webseiten und Dienste (wie Banking, Paypal, Mailadresse etc) verwendet hat.

Links

  1. Mojang Support-Seite für betroffene Accounts
  2. Sicherheitsnotiz – 1800 gehackte Accounts beim beliebten Minecraft

Sicherheitsnotiz – 1800 gehackte Accounts beim beliebten Minecraft

Minecraft gehackt

Heise Security hat berichtet, daß im Netz derzeit eine lange Liste mit gehackten Minecraft-Zugangsdaten kursiert. Wie die Daten erbeutet wurden, läßt sich derzeit noch nicht sagen.

Die Security Abteilung vom Heise-Verlag hat heute im Netz eine Liste von 1800 Zugangsdaten des Open-World-Spiels Minecraft gesichtet. Diese enthalten Mailadresse und das zugehörige Passwort zum Spiel und das alles ganz unverschlüsselt im Klartext. Unter den Accounts befinden sich einige Daten, die sich auch Nutzern aus Deutschland zuordnen lassen. Stichproben haben ergeben, daß die Daten aktuell und funktionsfähig sind. Wie die Daten abgegriffen wurden, ist derzeit noch unklar.

Was kann passieren?

Im Namen des des legitimen Account-Besitzers kann man die Vollversion des Spieles herunterladen und an Spielen auf Online-Servern mitmachen. Ferner kann man sich mit dem Login auf Minecraft.net und Mojang.com anmelden, sofern keine Sicherheitsfragen gesetzt wurden. Auch besteht die Gefahr von Passwortrecycling. Das heißt, daß es richtig gefährlich werden kann, wenn das gleiche Passswort bei Mailadresse, Onlinebanking-Accounts und bei Paypal genutzt wird. In diesem Fall kann sich der Angreifer mit dem erbeuteten Passwort fvonb einem Dienst zum anderen Hangeln.

Derzeit steht noch eine Stellungnahme von Microsoft aus, daß Mojang im Herbst von Microsoft übernommen wurde.

Chatten mit Facebook geht auch sicher – Verschlüsselung mit Pidgin

Derzeit steht Facebook vor Gericht, weil private Chatlogs gespeichert und ausgewertet wurden. Ganau genommen wurden über den Haus eigenen Chat verschickte Links ausgewertet um die Beliebtheit dieser in Zahlen zu packen. Damit kann Facebook nun genauer Werbung platzieren – dabei werden bestimmte Firmen bevorzugt und die Privatsphäre der Chatter weiter ausgehöhlt. Wie man Spionage umgehen kann, habe ich im artikel Privates verschlüsselt – Sicher Chatten mit Pidgin letztes Jahr schon einmal beschrieben. Und das geht auch mit Facebook.

Zusammengefasst

In der Regel braucht man nur zwei kostenlose Programme auf Open-Source-Basis. Pidgin und ein Verschlüsselungsplugin namens OTR – Off the Record Messaging. Und man braucht hierfür noch die Facebook-ID. Jeder Nutzer, jede Nutzerin bekommt von Facebook eine zufällig generierte Nummer, mit der man Pidgin sagen kann, wer man auf Facebook auch ist. Die ID von Facebook findet man auf der Seite www.facebook.com/max.muster wobei das Max.Muster durch den eigenen Vornamen und Nachnamen zu ersetzen ist, getrennt durch einen einfachen Punkt. Zum Tragen kommt das Protokoll XMPP, besser bekannt auch als Jabber. Alle genutzten Programme sind noch einmal am Ende des Artikels noch einmal verlinkt.

Warum verschlüsseln?

Bei Privatgesprächen gelten prinzipiell vier Grundsätze, die aus dem realen Leben übernommen worden sind.

Folgenlosigkeit: Wenn der (langlebige) private Schlüssel einem Dritten in die Hände fällt, hat dies keine Auswirkung auf die Kompromittierung bisher getätigter Gespräche: Die Gespräche können damit nicht nachträglich entschlüsselt werden.

Abstreitbarkeit: Verschlüsselte Nachrichten enthalten keine elektronische Signatur. Es ist also möglich, dass jemand Nachrichten nach einer Konversation so fälscht, dass sie von einem selbst zu stammen scheinen. Während eines Gespräches kann der Empfänger aber gewiss sein, dass die empfangenen Nachrichten authentisch und unverändert sind.

Beglaubigung: Man kann sich sicher sein, dass der Empfänger derjenige ist, für den man ihn hält.

Verschlüsselung: Niemand kann die Nachrichten mitlesen, wenn denn der Zeichensalat mitgeschnitten wird, dann erhöht sich der Aufwand um an die Inhalte zu kommen enorm.

Detailiert

Falls noch nicht geschehen, installiert man sich zuerst Pidgin und dann OTR. Sind beide Installiert, müssen noch genutzte Konten hinzugefügt werden, hier ein Facebook-Konto. Die Kontoverwaltung öffnet sich beim allerersten Start von Pidgin, bzw nach einem Klick auf Konten —> Konten verwalten.

Willkommensassistent Pidgin
Willkommensassistent Pidgin

Ein weiterer Klick auf Hinzufügen führt uns zu einem Auswahlmenü, wo wir bei den Protokollen Facebook auswählen. Der Chat vonFacebook fußt auf dem XMPP-Protokoll, bei der Auswahl füllt Facebook schon ein Feld aus, die Domain. Deiese brauchen wir nicht zu ändern. Via Copy and Paste tragen wir nun noch unsere Facebook-ID in das entsprechende Feld ein und weiter unten noch das Passwort. Hier ist das Passwort zu unserem Facebook-Account gemeint. Ein klick auf das Feld Passwor Speichern sichert das Passwort für spätere Logins mit Pidgin.

Pidgin Facebookanmeldung

Jetzt dürfte man schon in der Freundesliste alle Kontakte sehen, die man auf Facebook angesammelt hat. Wenn OTR installiert ist, muß es noch konfiguriert werden, das heißt es muß ein Schlüssel eingerichtet werden und sofern die anderen sogenannten Freunde auch Pidgin nutzen oder zur Verschlüsselung bereit sind, dann ist es ein Kinderspiel, die Gespräche sicherer zu machen.

Man öffnet unter Werkzeuge –> Plugins bei Pidgin eine Liste aller derzeit auf dem Rechner verfügbaren Plugins. Dort wählt man OTR aus.

Installierte Plugins Pidgin Hier sucht man sich das Plugin OTR aus und klickert auf Konfigurieren
Installierte Plugins Pidgin Hier sucht man sich das Plugin OTR aus und klickert auf Konfigurieren

Ein Klick auf Plugin konfigurieren genügt um ins nächste Auswahlfenster zu kommen. Im Drop-Down Menü sucht man sich das Konto für Facebook heraus, ein Klick auf Generieren erstellt neue Schlüssel und Fingerabdrücke für den Chat über Facebook.

Ein Klick auf Generieren erzeugt neue Schlüssel für jedes gewählte Konten.
Ein Klick auf Generieren erzeugt neue Schlüssel für jedes gewählte Konten.

Jetzt hat man Pidgin für die verschlüsselte Kommunikation soweit vorbereitet. Hat der Chatpartner selbst Interesse an. Die folgenden Schritte beschreiben, wie die Schlüssel ausgetauscht werden. Ist das alles einmal erledigt, kann man mit der jenigen Person auch zukünftig verschlüsselt chatten. Jede Person, mit der man einmal verschlüsselt geplaudert hat, braucht in Zukunft nicht mehr für die Verschlüsselung registriert werden. Allerdings erfordern die folgenden Schritte, daß der Chatpartner bereits auch entsprechende verschlüsselungssoftware installiert hat und seine Schlüssel erzeugt hat.

Im Vorfeld sollte man sich mit dem Chatpartner auf einem anderen Weg, beispielsweise per E-Mail, eine kleine Frage samt Antwort vereinbaren. Aus diesen Worten werden für die Zukunft alle neuen Sitzungsschlüssel vereinbart – keine Angst das geschieht bei Gesprächsbeginn voll automatisch. Ist alles Vereinbart müssen sich die Chatpartner nun gegenseitig authentifizieren. Dazu muß man die Antwort auf die Frage wissen. Für die folgenden Schritte habe ich allerdings ältere Screenshots von mir recyelt. Wenn da Jabber oder ein anderes Messengerprotokoll steht, so gilt das natürlich auch für den Facebookchat via Pidgin.

Authentification OTR Pidgin - Vorab muß man sich auf eine FRage und eine passende Antwort verständigen, man kann natürlich auch manuell über einen Sicheren Weg die beiden Schlüssel authentifizeren.
Authentification OTR Pidgin – Vorab muß man sich auf eine FRage und eine passende Antwort verständigen, man kann natürlich auch manuell über einen Sicheren Weg die beiden Schlüssel authentifizeren.

Hier tippt man Frage und Antwort ein, auf die man sich vorher irgendwie verständigt hat. Wenn der Chatpaartner mit der Verifikation begonnen hat, dürfte man selbst nur ein Fenster sehen, wo man nur die Antwort rein schreibt.

Authtentificationsanfrage Pidgin - Der Kommunikationspartner muß antworten, damit die öffentlichen Schlüssel gesichtert ausgetauscht werden können.
Authtentificationsanfrage Pidgin – Der Kommunikationspartner muß antworten, damit die öffentlichen Schlüssel gesichtert ausgetauscht werden können.

Hat man alles richtig getipt, oder eben irgendwo einen Schreibfehler unter gebracht, so sieht man eines der beiden folgenden Fenster.

Authentification war erfolgreich Pidgin - Eine verschlüssselte Verbindung steht
Authentification war erfolgreich Pidgin – Eine verschlüssselte Verbindung steht

Authentification fehlgeschlagen Pidgin - Die Prodzedur mit Frage und Antwort sollte wiederholt werden, da sonst keine verschlüsselte Verbindung zustande kommt
Authentification fehlgeschlagen Pidgin – Die Prodzedur mit Frage und Antwort sollte wiederholt werden, da sonst keine verschlüsselte Verbindung zustande kommt

Fazit

Bei mir und einigen Chatpartnern hat die Einrichtung der gesamten Software und die Verständigung auf Frage und Antwort keine viertel Stunde gedauert. Nutzt man Pidgin bereits mit anderen Protokollen, dann geht das ganze noch schneller von statten. Haben bereits beide die nötige Software installiert braucht man nur noch 2 Minuten für die Verifikation des Gesprächspartners.

In Zeiten der Totalüberwachun, Big Brother und Stasi zwei Punkt null bringt Verschlüsselung einen deutlichen Mehrwert. Die Floskel Ich habe doch nichts zu verbergen ist für jeden die Erlaubnis alles mithören und lesen zu dürfen. Wer sich allerdings selbst schon einmal beobachtet hat, der redet mit Freunden irgendwo in der Öffentlichkeit doch ein bisschen anders, als wenn man nur irgendwo privat gegenüber sitzt. Vielleicht sollte man auch nach den letzten bekannt gewordenen Angriffen auf beliebte Internetdienste (iCloud als Beispiel) und die neuen Nutzungsbedingungen von Facebook (mit denen sich Facebook die Nutzungsrechte an allen Inhalten für Werbung sichert) doch kurz innehalten und überlegen, was man via Internet von sich gibt.

Links

Im Artikel benutzte Programme

  1. Downloadseite OTR – Off the Record Messaging
  2. Download Pidgin – Multimessenger

Weiterführende Lektüre

Sicherheitsnotiz – Kritische Sicherheitslücke im WordPress Downloadmanager

Seit Anfang Dezember ist eine kritische Sicherheitslücke im beliebten WordPress-Plugin Download Magager bekannt, die es sogar Script-Kiddies erlaubt ungepatchte Server zu kapern.

Ein offen im Internet verfügbares Script nutzt diese Lücke aus, um einen zusätzlichen Administratoraccount anzulegen. Wenn man zusätzlich Shell-Skripte bedienen kann, ist es sogar möglich, ungepatchte Server zu bedienen.

Von der Sicherheitslücke sind die Version 2.7.5 und älter vom Plugin Download Manage. Nutzt man eine dieser Versionen, sollte man schleunigst auf die aktuelle Version 2.7.81 updaten. Bei Updates vor der 2.6er Version gibt es allerdings einiges zu beachten. Mehr dazu auf dem Link am Ende des Artikels.

Links

Download Manager Update auf 2.6 – Hürden

Sicherheitsnotiz – Schädling nutzt alte WordPress-Sicherheitslücke aus

SoakSoak-RU-Blacklisted
SoakSoak-RU-Blacklisted

Der Schädling namens SoakSoak hat hunderttausende Webseiten über das Plug-in Slider Revolution befallen und spioniert die Server aus. In einigen Fällen werden auch Besucher per Drive-By-Download infiziert.

Mittlerweile warnt man erneut vor einer bereits seit Monaten bekannten Sicherheitslücke im beliebten WordPress-Plugin Slider-Revolution. Mittlerweile wird die altbekannte Lücke von der Schadsoftware ausgenutzt. SoakSoak lädt ein bösartiges JavaScript von der Domain soaksoak.ru nach, was dem Schädling seinen Namen gab.  Der Code spät den Webserver aus und infiziert auch Besucher via Drive-by-Download. Google will nach eigenen Angaben bereits hunderttausend infizierte Seiten gesperrt haben.

Ein Update für Slider-Revolution gibt es bereits seit Februar diesen Jahres. Allerdings ist dieser Code auch in einer großen Anzahl von WordPress-Themes verbastelt und deren Nutzer scheinen sich dessen nicht immer bewußt zu sein.

Slider Revolution wird verwendet um Bilder in Teasern und Bilderstrecken rotieren zu lassen. Themes, die jetzt nach über einem dreiviertel Jahr noch diese Sicherheitslücke aufweisen, kann man nicht als gepflegt betrachten. Daher sollte man sich als WordPressnutzer überlegen, auf sichere Alternativen bei den Themes umzusteigen.

Ansonsten ist den Nutzern von Slider-Revolution empfohlen, schnellstens das Update auf Version 4.2 dieses Plugins zu installieren.

Die Firma Sucuri bietet einen einen kostenlosen Seiten-Scanner an. Alle wichtigen Links habe ich noch einmal am Artikelende zusammengefasst.

Links

  1. Warnung vor SoakSoak
  2. Sucuri – kostenloser Websitenscanner

Sicherheitsnotiz – Cross Site Scripting bei WordPress

WordpressAm Wochenende kam ein umfangreicheres Softwareupdate auf WordPress 4.0.1 heraus. Dieses Update behebt massive Sicherheitstechnische Lücken, gerade in den Versionen 3.0 bis 3.9.2 von WordPress. In diesen alten Versionen ist WordPress anfällig für Cross Site Scripting.

Was genau ist Cross Site Scripting eigentlich?

Beim Cross Site Scripting werden Sicherheitslücken in Webseiten und Contant Management Systemen (CMS) dahin ausgenutzt. Hierbei wird von außen, also vom Hackerschädlicher Code in eigentlich in Seiten eingepflanzt, denen die meisten Internetnutzer vertrauen. Dieser Code überträgt dann beim Ansurfen Computerschädlinge auf den Rechner, oder manipuliert den eingehenden und ausgehenden Netzwerkverkehr auf irgend einer Weise um den unbedarften Surfer Schaden zu zu fügen. Beispielsweise werden sensible Daten wie Passwörter und Anmelde-Daten bei Foren und dergleichen abgegriffen, was dann zum Identitätsdiebstahl führen kann.

Und was genau passiert bei WordPress?

Bei WordPress war es in den Versionen 3.0 bis 3.9.2 möglich, via Kommentarfunktion schädlichen Code auf Java-Script Basis einzufügen. Liest ein Moderator oder ein Administrator einer WordPress-Installation neu hinzugekommene Kommentare, war es möglich den Code auszuführen. Damit ist es möglich das Admin-Passwort zu ändern, andere Nutzerkonten anzulegen und bestehende zu sperren. Somit wäre der gesamte Blog von Fremden übernommen. Die aktuelle Version 4.0 ist nicht betroffen, allerdings steht ein umfangreiches Sicherheitsupdate auf 4.0.1 zur Installation bereit, welches diese Lücke und einige weitere schließen soll.

WP-Statistics ist auch betroffen …

Das beliebte Statistic-Plugin für WordPress ist auch von einer solchen Sicherheitslücke empfohlen. Über diese kann auch ein Angreifer Administratorrechte im Blog erlangen. Weiterhin kann man darüber auch SEO-Spam in Blog-Posts einfügen. Auch hier steht ein Update zur Verfügung.

Was kann ich nun gegen solche Lücken tun?

Das WordPress-Team bringt regelmäßig, aber auch außerhalb des normalen Updatezyklus immer neue und verbesserte Versionen für die beliebte Bloggingsoftware heraus. Im Normalfall wird der Administrator im Dashboard eine Information mit neuen Updates, die gerade verfügbar sind, erhalten. Auch gibt es zu solchen Updates im Regelfall über die WSordpress Nachrichten im WP-Channel noch einen Beitrag zu Neuerungen. Updates für Plugins und Themes werden auch im Dashboard angezeigt.

Das Meiste an Updates kann man gleich mit wenigen Mausklicks installieren lassen. Das geht schnell und problemlos und passiert auch im Hintergrund. Unterbindet das der Webhoster aus irgend einem Grund, so sollte man das Update manuell einspielen. Wie das geht, habe ich bereits früher schon einmal beschrieben.

Plugins kann man ganz ähnlich auch einer Frischzellenkur unterziehen. Das geht wie das WordPressupdate auch aus dem Dashboard heraus. Gibt es da Seitens der Webhoster Probleme, so kann man das auch manuell durchführen. Einfach das Plugin aus dem offiziellen WordPress Pluginverzeichnis downloaden, auf dem heimischen Rechner entpacken und dann via FTP-Programm in den Plugin-Ordner unter wp-content schubsen. Meist noch kurz im Dashboard aktivieren und fertig ist das Update von Plugins.

Fazit

Auch Updateverweigerer sind in der Pflicht ihre Software aktuell zu halten. Momentan nutzen noch über 80 Prozent aller Blogger eine veraltete WordPress Installation. Mit dieser gefährden sie nicht nur sich selbst, auch ihre Leser und sogar die Webspacebetreiber, auf deren Servern die Blogs liegen. Es ist grob fahrlässig, nicht zu updaten. Da gelten auch keine Ausreden, daß man am Blog irgendetwas kaputt machen kann. Es gibt genug Tutorials im Internet, die dazu Unterstützuing geben und genug Foren, wo man seine Fragen loswerden kann und Hinweise zu Updates finden kann. Zur Erleichterung habe ich fürher schon einmal ein Tutorial geschrieben, was ich hier wieder verlinke. Also macht euch dran und aktualisiert eure Seiten.

Links

  1. Rezepteküche: WordPress – WordPress Updaten
  2. Offizielles WordPress Pluginverzeichnis

Kurios: Neulich auf meinem Facebook-Konto

Rezepte-App: „Fianna hat gerade ein Rezept für Schweinefleisch in Käse-Sahne-Sauce abgerufen. Soll ich ihr Hähnchenbrust und Diätsahne unterjubeln?“

Gesundheit-App: „Ihre Cholesterinwerte sind schon bedenklich hoch, dazu der Harnsäurespiegel – Kannst du sie nicht zu etwas Vegetarischem überreden?“

Waagen-App: „Wollt ihr mal ihre Gewichtskurve der letzten Monate sehen? Da tut eine heftige Diät dringend Not.“

Watchweighters-App: „Tut mir leid, aber sie hat ihr Abo gekündigt. Mir sind da leider die Hände gebunden.“

Rezepte-App: „Dann lock sie doch mit einem Preisausschreiben zurück.“

Watchweighters-App: „Glaubst du, ich hätte das nicht schon versucht? Die Waagen-App soll mal ein Wörtchen mit ihr sprechen.“

Waagen-App: „Die Dicke hat alle Alarmfunktionen abgestellt. Bevor mich Facebook nicht trotzdem die Daten in ihre Timeline schreiben läßt, kann ich keinen Druck machen.“

Facebook-Ad: Hallo Fianna, bitte beachten Sie die aktuellen Sonderangebote bei Burger-Schlemm: Das King-Size-Menü kostet diese Woche nur die Hälfte und ein leckerer Zuckerschock-Nachtisch ist gratis dabei.

Geotag-App: „Vielleicht kann ich da helfen. Mir liegen mehrere Geostatus-Einträge vor, wonach die Gute ein bisschen sehr schnell gefahren ist. Ich bin befugt, das der Polizei zu melden. Damit dürfte ihr Führerschein ein paar Monate weg sein. Und Radeln soll ja gesund sein.“

Gesundheit-App: „Ich bezweifle, daß ein paar Monate Bewegung das Problem lösen.“

Krankenkassen-App: „Lasst mich mal ran. Nachricht an Fianna: ‚Unter Berücksichtigung Ihres aktuellen Übergewichts und Ihrer Blutwerte müssen wir Sie ab sofort in eine neue Risikogruppe einstufen. Ihre Beiträge zur Krankenversicherung erhöhen sich ab dem nächsten Monat um 50 Prozent.‘ Das sollte reichen.

Facebook-Sys: „Alarm: Fianna versucht gerade, ihre Mitgliedschaft zu beenden. Sie will sogar erfasste Informationen löschen. Der Datenschutz wird aktiviert.“

Bundes-App (garantiert 100 Prozent Trojaner-frei): „Sehr geehrte Bürgerin, bitte bachten Sie, daß Sie verpflichtet sind, Ihren Lebenslauf in der Facebook-Timeline zu dokumentieren. Dies hilft nicht nur, gefährliche Tendenzen frühzeitig zu erkennen, um Sie und andere zu schützen, sondern garantiert auch die Gerechtigkeit in unserem Sozialsystem. Mit einer Unbedenklichkeitsbescheinigung Ihres Bürgeramtes können Sie ersatzweise ein Google+-Konto anlegen. Dann ist allerdings die Nutzung von Latitude und Google-Mail vorgeschrieben. Viele Grüße ihre Bundesregierung (81.757.999 gefällt das).“

Sicherheitsnotiz – Studentin bietet an, auf Webseiten Fehler zu suchen – Fiktion oder Realität?

Heute kam mir eine ganz neue Art von Spam unter :scratch:. In mein digitales Postfach kam heute eine Mail geflattert, von einer Studentin, die sich mit dem Korrigieren von Tipfehlern auf verschiedenen Webseiten ein bisschen Geld zusätzlich verdienen möchte. Zu aller erst wußte ich selbst nicht so genau was ich von dieser Mail an sich selbst so halten sollte. Mehr dazu folgt.

Die Fakten :unsure:

Die Mail :mail: an sich, hängt diesem Artikel weiter unten als Zitat bei, persönlich wichtige Sachen (Mailadressen) und potentiell gefährliche Links habe ich wegen dem Datenschutz entfernt. Bei einer Recherche im Internet bin ich auf verschiedene Foren gestoßen, mit Personen, die eine ähnliche Mail bekommen haben. Dort wurden oftmals auch sämtliche Links zum genaueren Überprüfen mit gepostet. Ich habe ein Live-Ubuntu (ein Linux auf Debian-Basis) mit mehreren Virenscannern von DVD gestartet. Hierbei handelte es sich um Desinfec’t von der Zeitschrift c’t. So konnte ich relativ gefahrlos die Links checken. :wacko:

Zwei Links führten zu einem Artikel und einer Seite von meinem Blog. Jeweils ein Wort wurde kritisiert. Weiter unten standen weitere Links, die im Firefox jeweils eine Seite auftaten und mich zum jeweilieg Artikel bzw der Seite führten. Zusätzlich wurde das falsch geschriebene Wort markiert. Oberhalb des „Vorschaubildes“ gab es noch einen Frame, in dem noch ein paar Informationen eingetragen werden konnten, ob das Angebot weiter genutzt werden wolle und nach Mailadressen und dergleichen. Leider habe ich die Mail zu schnell gelöscht, sonst hätte ich mir den Quelltext zu dieser Seite noch einmal genauer angeschaut.

Weiter unten in der Mail war ein Link zu Finden, der auf die Homepage jener Studentin führte. Dieser Spur bin ich dann einmal weiter nachgegangen. Hier erzählte die Studentin von sich, wie alt sie ist, was sie wo studiert und wie gut ihr Service derwegen angenommen wird. Sogar ein Bild von ihr und ein Video von einer zufriedenen Kundin ist zu sehen. Weiterhin verlangt sie bis zu 60 Euro pro Korrektur, je nach Länge der Webseite. Unteranderem bräuchte sie das Geld, um ihr Studium zu finanzieren. Völlig legitim mag man meinen, wenn das kleine Wörtchen aber nicht währe.

Schaut man sich zu aller erst die Domain einmal an. So verlinkt diese Domain auf irgendeinen Blog bei WordPress.com und ist mit dem davorgesetzten Namen nichts weiter als eine Subdomain. Für alle Laien mag das auf den ersten Blick vielleicht nur ein Achselzucken und ein „Na und?“ wert sein. Betrachtet man es aus dem Blickwinkel eines Geschäftes, so sind bei den vielen angeblich positiven Bewertungen zumindestens ein unter 10 Euro pro Jahr drinnen, eine Top-Level-Domain zu kaufen, ohne zwei oder mehrere Punkte zwischendrinnen. Eine TLD wirkt professioneller.

Ein weiterer Blick direkt auf die Hompage fördert zu Tage, daß es kein Impressum gibt, nur eine simple Mailadresse bei Google-Mail. In Deutschland ist es Pflicht, daß gewerbliche Anbieter von Dienstleistungen und Produkten ein komplettes Impressum mit Namen, Anschrift, Geschäftsinhaber, Angaben zum Handelsregister, Steuer-Identifikation und weitere wichtige Angaben fehlt. Verbraucher müssen sich in dieser Hinsicht über ihr Gegenüber, wo sie Geld überweisen, informieren können. Auch wenn das nur eine nebenberufliche Tätigkeit ist, die da angeboten wird, muß diese versteuert werden und irgendwo gemeldet sein.

Am Ende der Mail :mail: waren noch mehrere Links vorzufinden, die ich auch sicherheitshalber gelöscht habe. Es waren sogenannte Ref-Links, die beim Klicken noch Infos an die Mailserver übertragen haben. Hier konnte man unter anderem den Newsletter dieser Studentin abbestellen. Fakt ist, daß man auf Klick dieses Links eventuell die Mailadresse erst bestätigt. Will heißen, man zeigt den Autoren der Mail, daß die Adresse, an die die Phishing-Mail geschickt wurde, durchaus gültig ist. Beim Klick auf diesen Ref-Link wird die Adresse in einer Datenbank als „genutzt“ freigeschaltet und wird dann später als potenzielle Adresse für Spam und Werbung gehandelt.

Kurios :scratch:

Was mich selbst irritiert hat, war die Tatsache, daß diese Mail an die im Impressum meines Blogs verlinkte Mailadresse ging. Über die Adresse geht ansonsten kein Mailverkehr nach außen, außer alle paar Tage mal eine oder zwei Mails um eine Leserzuschrift zu beantworten. Weiterhin habe ich die Mailadresse nirgends benutzt um mich irgendwo (in Foren, sozialen Netzwerken und weiß der Geier wo) anzumelden. Wer die Medienspürnase und deren Impressum kennt, so ist diese Adresse auch nicht via verlinkt. Nur als ganz normalerText ist diese zu lesen. Zudem wurde das @ weitestgehend kodiert, so daß Spambots ihre liebe Mühe mit dieser Adresse haben. Man muß diese Adresse doch manuell irgendwie in die Datenbanken für den Mailverteiler eingegeben haben. Weiterhin war die Mail so personalisiert, daß direkt auf die mit Rechtschreibefehler behafteten Artikel verlinkt wurde. :unsure:

Fazit 🙁

Das ist eine recht interessante und kuriose Methode um die Leute abzuzocken. Anfangs wußte ich selbst noch nicht genau was ich mit soetwas anfangen sollte. Manch einer braucht einen Korrekturleser, gewerblich oder privat. Aber zum Korrekturlesen kann man durchaus mal bei Bekannten oder Verwandten herumfragen, o die nicht mal auf Fehler lesen. Aber auch denen entgeht der eine oder andere Tipfehler.

Jedenfals kann man sich die 60 Euro irgendwo sparen, zumal hier einiges nach Betrug riecht. Bekommt man als Webseitenbetreiber so eine Mail :mail: , kann man diese getrost in die Tonne kicken. Fragt ersteinmal im Freundeskreis, die lesen kleinere Texte auch schnell mal kostenlos oder gegen Vorlage einer Flasche Bier nach Feierabend.

 

Update 23.10.2014:

Ein Impressum existiert doch, mit der Anschrift und einer Mailadresse. Leider ist dieses durch vielleicht ungeschickte Farbwahl, Positionierung und Größe des Links ziemlich leicht zu übersehen. Neben der Anschrift müßten da noch verschiedene andere Angaben stehen, zumal die Dame eine Kostenpflichtige Dienstleistung anbietet. Dazu gehören eben verschiedene Geschäftsdaten, wie Handelsregister, Niederlassung ihres Geschäfts, welches ja wohl ihre private Anschrift wäre und diverses mehr. Ein Blick bei der Wikipedia auf Impressumspflicht (Link zu Wikipedia) bildet da weiter. Gestern erhielt ich noch eine zweite Mail mit genau dem selben Inhalt, nur von einer anderen Mailadresse und einem anderen Namen – wieder eine junge hübsche Frau. Von daher liegt jetzt der Verdacht nahe, daß man doch versucht irgendwo ein paar Webseitenbetreiber zur Kasse zu beten.

Kirsten Adler weblektorin
Von: Kirsten Adler weblektorin
An:
Ordner: /Posteingang
Datum: Tue, 21 Oct 2014 10:26:21 +0200 (CEST)
Betreff: Flüchtigkeitsfehler auf Ihrer Website xn--mediensprnase-3ob.de

Hallo,

ісh hаbе hеutе Іhrе Іntеrnеtsеіtе xn--mediensprnase-3ob.de еntdесkt, und mіr sіnd еіnіgе Flüсhtіgkеіtsfеhlеr аufgеfаllеn. Ісh zеіgе Іhnеn zwеі Веіsріеlе:

Fehlerhaftes Wort: zurückt Auf dieser Seite: www.medienspuernase.de/3-2-1-mines/

Fehlerhaftes Wort: allererst Auf dieser Seite: www.medienspuernase.de/in-eigener-sache/

Klicken Sie bitte hier (hier stand eine dubiose URL mit massig Zahlen und Buchstaben), um die Fehler anzusehen bzw. ein Angebot zu erhalten.

Іhr Gеsсhäft іst fеhlеrfrеі. Вrіngеn Ѕіе mіt mеіnеr Ніlfе Іhrе Wеbsеіtе аuf dеn glеісhеn Ѕtаnd!
Ісh bіn Ѕtudеntіn und аrbеіtе nеbеnbеі аls Wеblеktоrіn. Ісh рrüfе Wеbsеіtеn аuf Flüсhtіgkеіtsfеhlеr (Rесhtsсhrеіb- und Тіррfеhlеr), und ісh stеllе mеіnеn Κundеn Ändеrungsvоrsсhlägе zur Vеrfügung. Віttе kоntаktіеrеn Ѕіе mісh, wеnn Ѕіе dіе Vоllkоrrеktur Іhrеr Wеbsеіtе bеstеllеn möсhtеn.
Mit freundlichen Grüßen
Κіrstеn Аdlе
Wеblеktоrіn
Besuchen Sie meine Webseite (kirstenadler.wordpress.com)!
„Wenige-Fehler-Garantie!“ – Wenn ich weniger als 10 Fehler auf Ihrer Webseite finde, müssen Sie für die Überprüfung nicht zahlen.
PS: Sollten Sie nicht der/die richtige AnsprechpartnerIn sein, bitte ich Sie, diese E-Mail an die richtige Kontaktperson weiterzuleiten.
Vielen Dank im Voraus!
Danke, ich bitte um keine weiteren E-Mails bezüglich der Rechtschreibfehler auf meiner Homepage.

Vorsicht vor der DiBa Kundenwarnung

Heute kam mal wieder eine Mail in meinen Posteingang geflattert, deren Text ich hier mal reinkopiert habe. Dabei handelt es sich um eine Kundenwarnung, die angeblich von der Ing-DiBa stammen soll. Diese Mail stammt aus dem Postfach support@diba.de was durchaus gefälscht sein kann. Auffälliger ist der Link am Ende der Mail www.di-ba-du-sicherheit.cc. Diese Domain ist auf .cc registriert, also bei den Cocos (Keeling) Islands südlich von Indonesien im indischen Ozean. Eine IP-Abfrage der Senderadresse über Whois führte nur zu einer Postfachadresse in Amsterdam. Allerdings sind diese Angaben mit Vorsicht zu geniesen, denn der Mail-Header kann durchaus auch gefälscht sein, um Spuren zu verwischen.

Eine direkte telefonische Verbindung (die Daten dazu findet man bei der Ing-DiBa höchst persönlich) brachte die Antwort zu Tage, daß solche Mails in den letzten Tagen vermehrt unterwegs sind. Die DiBa schreibt die Leute bei Fragen und Vertragssachen schriftlich an und hinterlegt eine Kopie des Schreibens in der Postbox beim DiBa-Account. Nur in seltenen Fällen wendet die DiBa sich telefonisch an ihre Kunden.

Fazit

Die Mail mit folgendem Inhalt ist eine Fälschung, die man getrost in die Abfalltonne kicken kann. Nicht weiter reagieren. Wer allerdings den Fehler gemacht hat, diese Daten anzugeben, dem sei geraten, seine Konten bei der DiBa zu prüfen und die Zugangsdaten ändern zu lassen. Wie man selbst Mails ein bisschen genauer unter die Lupe nehmen kann, habe ich letztes Jahr kurz beschrieben. Mehr dazu findet man auf

1
BLZ: 500 105 17 | BIC: INGDDEFFXXX
ING-DiBa – Kundenwarnung!
*Sehr geehrte Damen und Herren,*

um unseren Kunden bei der ING-DiBa die höchste Stufe an Sicherheit bieten zu können, haben unsere Entwickler ein neues Konzept erstellt.

In Zukunft wird jede Aktion die getätigt wird, über unsere Rechenzentren abgeglichen und bei einer fehlerhaften Übereinstimmung abgelehnt. Sie werden anschließend über diese Aktion benachrichtigt.

Dies dient dazu, Missbrauch durch Dritte zu verhindern. Um dieses neue Konzept aktivieren zu können, ist die erneute Eingabe Ihrer persönlichen Daten, welche bei ING-DiBa hinterlegt sind, erforderlich.

Bitte geben Sie alle erforderlichen Daten wahrheitsgetreu und vollständig an.

> Jetzt aktivieren !

www.di-ba-du-sicherheit.cc/kunden/center/aktualisierung>

Wir bedanken uns bei Ihnen für Ihr Verständnis und bitten Sie die Umstände zu
entschuldigen.
Mit freundlichen Grüßen
*Ihre ING-DiBa*

Eingetragen im Handelsregister des Amtsgerichts Frankfurt am Main unter der
Registernummer HRB 7727. Die Bank hat ihren Sitz in Frankfurt am Main.
Umsatzsteueridentifikationsnummer (UST-Id.-Nr.): DE114103475
Bankleitzahl (BLZ): 500 105 17
BIC: INGDDEFFXXX
© 2014 ING DiBa Inc., ING Europe S.à r.l. 22-24 Boulevard Royal, L-2449, Luxemburg

Gut verschlüsselte Texte

gpg4usb verschlüsselt unter Linux und Windows Dateien und Texte mit GnuPG und bringt dafür einen eigenen Editor mit.

Um unterwegs im Internet-Café oder von fremden Rechnern verschlüsselt per Mail oder Instant-Messenger zu kommunizieren, benötigt ein portables Tool wie gpg4usb. Es bringt die Softare GnuPG mit und läßt sich leicht ohne Installation von jedem USB Stick starten. Es reicht, die Software auf einem Stick zu entpacken. Auf dem Stick lagern neben der Verschlüsselungssoftware auch die privaten und öffentlichen Schlüssel. Um sicher zu gehen, daß die Passphrase und die eigenen Schlüssel, gerade die privaten Schlüssel, nicht kompromitiert werden, sollte man die Software nur auf vertrauenswürdigen Rechnern starten.

Neben Texten kann man mit der Open-Source-Software gbg4usb auch Dateien verschlüsseln. Beim ersten Start übernimmt ein Assistent vorhandene eigene Schlüsselpare oder generiert bei Bedarf ein neues Paar. Über diverse Schaltflächen lassen sich die Schlüssel verwalten und Dateien ver- und entschlüsseln. Im integrierten Editor lassen sich Texte verfassen und direkt codieren. Dazu müssen die Schlüssel des Adressaten und sinnvollerweise der eigene Schlüssel ausgewählt sein, dann chiffriert ein Klick auf Verschlüsseln den Text. Das Entschlüsseln von Texten ist das selbe in grün. Signieren und Verifizieren kann man auch mit gpg4usb.

Fals gewünscht übernimmt man chiffirerten Text via Copy&Paste in einen Messenger oder in einen Webmail-Client – oder man speichert den Text einfach auf der eigenen Festplatte. Hat man Text aus einenm Webmailer eingefügt, kann gpg4usb überflüssige Zeilenumbrüche entfernen oder Kommentare hinzufügen.

Die eigene Webseite und die sozialen Medien

Jeder Webseitenbetreiber kennt das Problem: er möchte seine Seite attraktiver gestalten und bekannter machen. Mundpropaganda ist da immer noch das beste Mittel der Wahl. Die besten Mittel für solche Mundpropaganda ist die Verknüpfung der eigenen Seite mit sozialen Medien wie Facebook, Twitter und Co. Doch dabei gibt es auch einige Fallstricke zu beachten.

Um eine Webseite interaktiver zu gestalten, kann man darauf sogenannte Social Media Buttons für jeden erdenklichen Zweck einbauen. Bekannte Möglichkeiten sind der Like-Knopf für Facebook, Buttons für Twitter, Xing, Instagram, Mr. Wong, Google+ und andere – nur um einige Möglichkeiten zu nennen. Die meisten Surfer im Internet sind nebenher in einem (oder auch mehreren) der genannten sozialen Netzwerke zu Gange. Daher ist es besondders praktisch, eine toll gefundene Webseite über diese Knöpflein mit anderen Leuten um Netzwerk zu teilen.

Genau das macht einen nicht zu vernachlässigenden Werbeeffekt für die Webseite aus. So gelangt diese auch über andere Quellen, abseits von Google, zu anderen Nutzern, die diese auch toll finden können. Und für den Nutzer eines Netzwerkes ist es auch praktisch, er muß keine großartigen Links und URLs kopieren. Einfach im Netzwerk der Wahl einloggen und bei einem Surftripp die gefundenen Website-Schätzchen mit einem Klick teilen und anderen Leuten auf die Schnelle zeigen.

Die meisten dieser Social Media Buttons sind recht einfach einzubinden. Diese gibts als Plugin für die meisten Content Management Systeme (CMS) oder als Scriptschnipsel in Javascript für statische Webseiten. Dieser bindet den Knopf ein und beim Betätigen soll er den Link zur Seite an ein soziales Netzwerk der Wahl schicken um diese Seite den Freunden und der Welt präsentieren.

Als Administrator einer Webseite sollte man allerdings einige Dinge beachten. Zu diesen Buttons sollte man sich eine Datenschutzerklärung ins Impressum einbauen. Diese informiert den Nutzer, daß schließlich Daten (der Link der Webseite und persönliche Daten, die das soziale Netzwerk selbstsändig sammelt) ausgetauscht werden. Eine solches Impressum mit dieser Datenschutzerklärung gibt es auf der Webseite von eRecht24 (Links dazu gibts am Ende wie üblich).

Der Haken dazu liegt allerdings im Detail. Als Webmaster ist es wichtig zu wissen, daß die Social Media Buttons Daten an ihre Netzwerke senden, gefragt (auf Klick) aber auch ungefragt im Hintergrund.

Was genau wird da gesendet? Meist sind es ersteinmal allgemeine Daten wie solche zum Betriebssystem, Browser, Monitorauflösung, IP-Adressen und softwaretechnische Einstellungen und natürlich welche Seiten man aufruft, wie lang man dort verweilt und wohin man weiterzieht. Ist der Nutzer noch bei einem sozialen Netzwerk registriert und eingeloggt, so kann das mit den vorhin beschriebenen Daten das Surfverhalten ziemlich genau protokollieren. Weiterhin kann es sein, daß diese Daten im Ausland gespeichert werden können, wo der Datenschutz weniger hoch gestellt ist, als in Deutschland oder der EU.

Das ganze geschieht zumeist im Verborgenem. Diese Daten werden hauptsächlich zu werbezwecken aufgezeichnet und vielleicht auch dazu weiterveräußert. Wenn solche Social Media Buttons verwendet werden, ist dazu ein entsprechender Hinweis im Impressum von Nöten. Diese gibt es schon vorformuliert auf der Seite von eRecht24. Ein Webmaster sollte natürlich über diese Datensammelpraxis von diversen Webseiten informiert sein und natürlich dafür Sorge tragen, daß nur wenig über die Leser seiner Webseite bekannt wird.

Daher gibt es gewisse Lösungen um bedenkenlos solche Knöpflein auf seiner Webseite einzubauen, die meisten gibt es schon vorgefertigt und gratis zum Download, aber wer selbst gern bastelt, dem sei versichert, daß auch solche Zwei-Klick Lösungen recht einfach umzusetzen sind. Diese Lösungen sind zwar für den Nutzer etwas unbequemer, aber als Webmaster einer Seite ist man auf der sicheren Seite den im Telekomunikationsgesetz vorgeschriebenen Datenschutz einzuhalten. Nutzer müssen hier den gewünschten Social Media Button ersteinmal aktivieren, bevor sie den Link zur Seite auf Twitter und Co teilen können. Aber es schützt auch solche Leute, die sozialen Netzwerken doch etwas mißtrauisch gegenüber stehen.

Link

Endlose Abmahnschrecken

Ein scheinbar kostenloser Filmabend vor dem PC wurde für Frau T. zu einem teuren Vergnügen, doch damit war nicht genug. Die Verbraucherzentrale warnt.

Auerbach – Drei Wochen nach einem Filmabend vor dem PC mit einem vermeintlich kostenlosen Film kam bei Frau T. eine Abmahnung eines Rechtsanwaltes in den Briefkasten geflattert. Kostenpunkt ca. 815 Euro. Doch damit sollte nicht genug sein. Tage später erschien eine weitere Abmahnung , Kostenpunkt 389,50 Euro. Und es könnte noch mehr werden.

Der Grund für die zweite Abmahnung war schnell gefunden. In dem geladenem Film waren mehrere Musikstücke verbaut, für die eigene Urheber- und Verwertungsrechte vorgesehen waren. „Theoretisch könnte hier noch jeder weitere Song aus diesem Film mit einer solchen Abmahnung versehen werden“ so Alreen Becker, Juristin der Verbraucherzentrale Sachsen. Becker dazu weiter: „Dem Grunde nach sind die meisten Abmahnungen berechtigt, denn das kostenfreie Herunterladen von Filmen, Musik oder PC-Spielen geschieht in den meisten Fällen illegal.“

Weil viele Abmahnungen in letzter Zeit überteuert waren, hat der Gesetzgeber im Oktober 2013 eingegriffen und die Abmahngebühren für den Regelfall auf 155 Euro gedeckelt. Doch die Verbraucherzentrale sieht Nachholebedarf. Mittlerweile sind bundesweit mehrere Fälle bekannt geworden, bei denen sich die Abmahngebühren auf 155 Euro beliefen, aber die Kanzleien die gesetzesbedingten Einbußen auf ihrem Honorar durch Schadensersatzansprüche wett gemacht haben.

Jetzt möchten die Verbraucherzentralen mit einer bundesweiten Umfrage vergleichbare Fälle sammeln, um den Gesetzgeber auf die bestehenden Lücken im Gesetz aufmerksam zu machen.

Anmerkungen zum Artikel

Der Teufel steckt im Detail. Wie die Juristin Frau Becker schon bemerkt hat, ist der kostenfreie Download der meisten Filme, Musik, PC-Spiele, Videos, Bilder und Software illegal. Nun das will nicht heisen, daß kostenlose Angebote generell gefährlich sind. Surfer sollten sogenannte Torrentseiten eher meiden, wie der Teufel das Weihwasser, denn die meisten Angebote dort sind schonmal Raubkopien. Seriöse Anbieter von (mit unter kostenlosen) Filmen, Musikstücken, Bildern, Software etc bieten Downloads (auch über Torrents und Filesharing) zumeist auf ihren eigenen Webseiten an. Filesharing an sich ist entgegen der landläufigen Meinung nicht verboten oder illegal. Es kommt nur auf die Angebote an und wie diese Lizenziert sind. Urheberrechtsgeschützte Werke sollten generell beim Filesharing nicht geladen werden, denn der Computer stellt gleichzeitig das heruntergeladene für andere Nutzer wieder zum download bereit. Es erfolgt also ein Dateitausch mit beliebig vielen anderen Leuten.

Es gibt durchaus Musik, Filme und Bilder, die kostenlos nutzbar sind, die meisten davon stehen unter der Creative Commons Lizenz. Meist stellt der Urheber diese zur nichtkommerziellen Nutzung mit gewissen Einschränkungen frei und kostenlos zur Verfügung. Ähnliches gilt auch für einige Spiele und Software wie den Firefox, OpenOffice und dergleichen. Diese stehen natürlich zur kostenlosen Nutzung bereit. Das ist dann Open Source Software. Hier kann und darf in gewissem Rahmen und unter bestimmten Bedingungen die Suftware kostenlos weiter genutzt werden und verändert werden.

Link

http://www.verbraucherzentrale-sachsen.de/link1134001A.html

Sicherheitsnotiz: WordPress-Plugin Mailpoet erlaubt Angriff auf Webserver

Eine kürzlich entdeckte Sicherheitslücke in dem Plugin MailPoet für WordPress, erlaubt das systematische Kapern von Webservern. Das Anfang Juli veröffentlichte Update sollte also schleunigst nachgerüstet werden, sofern dies noch nicht geschehen ist.

Vor ein paar Tagen entdeckten Sicherheitsforscher eine kritische Schwachstelle in dem Plugin. Die Entwickler reagierten prompt und stellten eine aktualisierte Version des Newsletter-Managementsystems für WordPress zur Verfügung. Betroffen sind allerdings alle Versionen von MailPoet bis inklusive Version 2.6.8. Aktuell trägt MailPoet die Versionsnummer 2.6.9. Alle älteren und kleineren Versionsnummern sind betroffen.

Ein Propgrammierfehler in den alten Versionen erlaubt es, die Uploadfunktion, die nur für Admins gedacht ist, um beliebige Dateien hochzuladen. Das betrifft natürlich auch gefährlichen Quellcode, der so auf den Server gelangen kann. Angreifern ist es so möglich, eine PHP-Datei mit einer Hintertür hochzuladen, mit der man den gesamten Webserver kontrollieren kann. Einige Webhoster wie 1&1 erkennen solcherlei Angriffe und informieren betroffene Kunden.

Die Hintertür wird vor allem genutzt, um Spam-Mails zu versenden. Dazu werden an verschiedenen Stellen Dateien mit manipuliertem PHP-Code versteckt und andere Dateien abgeändert. Die Reinigung eines Systems ist mühselige Arbeit, weil der Code recht durcheinander und nicht leicht aufzuspüren ist. Einen ersten Anhaltspunkt für die weitere Inspektion kann eine Suche nach PHP-Funktionen mit _replace, _decode oder eval im Namen sein. Doch für eine zuverlässige Desinfektion wird das kaum ausreichen.