Sammlung (Computer)Sicherheitsrelevanter Themen – aus Sicht der Computerusers (die eine Seite – Konsumenten) und eines Internetvollschreibers (die Andere Seite – für die Leser)
Das deutsche Verbraucherschutzministerium will sich in Brüssel für die Verschlüsselung von Nutzerdaten bei Internetdienstanbietern stark machen. Wenn es nach den Staatssekretären geht, so soll eine Ende-zu-Ende-Verschlüsselung in der Grundverordnung für Datenschutz feststehen. Wenn ein Nutzer explizit auf Kryptographie verzichten will, soll auf diese Sicherheitsstandards verzichtet werden.
Bisher bieten nur wenige Anbieter eine komplette Verschlüsselung der Nutzerdaten an. DE-Mail und Mail Made in Germany sind nicht ausreichend geschützt, da die Nutzerdaten nur auf den Transportwegen verschlüsselt sind und auf den Servern ungesichert vorliegen.
Geht es nach den deutschen Verbraucherschützern, muß eine End-to-End-Verschlüsselung gesetzlich festgelegt sein und von Haus aus standardmäßig aktiviert sein. Nur wenn „der wissende Kunde“ auf eine verlässliche Variante der Verschlüsselung verzichten will, so soll das Datenschutzzniveau abgesenkt werden.
Weiterhin soll eine stärkere Überwachung der in Europa agierenden Konzerne festgeschrieben werden. Das soll heißen, daß beispielsweise Datenschutzbehörden sich die Verfahren zur Kryptografie der Banken und anderen Unternehmen wissenschaftlich fundiert und sicher sind.
Fazit
Bleibt abzuwarten, wie die gesetzlichen Regelungen genau aussehen werden und wie diese dann von den einzelnen Unternehmen umgesetzt werden. Open-Source Software bietet durch das Viele-Augen-Prinzip eine erhöhte Sicherheit. Aber in wie fern solche Software eingesetzt wird, steht noch in den Sternen. Eine Ende-zu-Ende-Verschlüsselung funktioniert nur, wenn jeder Nutzer ein Schlüsselpaar aus langen und zufällig generierten Schlüsseln besitzt – einem öffentlichen Schlüssel und einen privaten Schlüssel – wobei der öffentliche Schlüssel zum Verschlüsseln der Mails getauscht wird. Sicher bleibt das ganze nur, wenn jeder Nutzer nur selbst Zugriff auf seinen eigenen geheimen Schlüssel hat, der nicht öffentlich zugänglich auf fremden Servern herumliegt.
Mail made in GermanyZum heutigen Tag soll die Initiative Mail made in Germany der Mail-Provider abgeschlossen sein. Alle Nutzer der deutschen Mail-Dienste Web.de, GMX, Telekom und Freenet versendenihre E-Mails über verschlüsselte Transportwege. Kurzum bedeutet das in der Theorie für die Nutzer folgendes: Die Verbindung zwischen den Computer des Nutzers und einem der oben genannten Provider ist via TLS/SSL verschlüsselt. Weiterhin verschlüsseln die genannten Dienste die Transportwegen zwischen ihren Servern auch via TLS/SSL. Ob andere Mailanbieter eine Verschlüsselung des Transportweges auch annehmen, ist ersteinmal etwas Fragwürdig.
Was bedeutet das für den Kunden? Eine versendete E-Mail kann jetzt nur noch direkt am Server der Provider oder am Computer des Kunden abgefangen und gegebenenfals verändert werden. Die Wege zwischen den einzelnen Stationen sind gesichert. Aber das ganze ist immer noch eine trügerische Sicherheit. Auf den Computern von Sender und Empfänger, aber auch auf den Servern der Mail-Providern (also in den Postämtern) liegen die Mails unverschlüsselt. Bei einem Datenabriff durch kriminelle Elemente oder Geheimdienste sind diese E-Mails immer noch lesbar. Um dem abhilfe zu schaffen, sollten Sender und Empfänger die Mail an ihren Rechnern direkt ver- und Entschlüsseln. Weiterhin können Angreifer die Sende- und Empfängerserver durch Fluten des DNS Caches mit falschen Antworten über eigen Server umleiten. Der Sender hält wegen der falschen DNS-Antwort den Server des Angreifers für das Ziel und gibt ihm Mails preis, die nicht für ihn bestimmt sind.
Durch meinen defekten Laptop – ein neues oder repariertes Gerät ist noch nicht in Sicht – habe ich durch die eingeschränkte Rechnerzeit bei meinem Vater nicht die Zeit meine derzeitigen Ideen für Artikel hier nieder zu schreiben. In den letzten Tagen hat sich die Arbeit am Blog der Medienspürnase zumeist auf die Sicherheitsaktualisierungen von WordPress und den installierten Plug-Ins beschränkt, die ich alle möglichst zeitnah (am Tag des Erscheinens) eingespielt habe. Die Aktualisierungen und Upgrades von WordPress 3.8.1 auf die Versionen 3.8.2, 3.8.3 und 3.9 konnte ich alle mitmachen. Auch die bisher angefallenen Upgrades für Plugins sind alle momentan soweit frisch. Die Seite Medienspürnase bleibt auch weiterhin eine softwareseitig sichere Seite, zu mindestens soweit das in meinem Einfluss liegt.
In den letzten Wochen und Monaten kursieren immer mehr Meldungen über unsichere Router-Firmware. Das liegt daran, daß viele Leute ihren Router eher stiefmütterlich behandeln. Läuft er einmal, bekommt er kaum neue Firmwareupdates spendiert. Diese muß man heutzutage in den meisten Fällen noch per Hand einspielen. Entweder man vergisst einen regelmäßigen (manuellen) Check der Herstellerseiten für den Router (was mir manchmal auch so geht), oder man hat einfach schlichtweg keine Ahnung wie das alles alles geht – Firmwareupdate herunterladen, entpacken, im Router einloggen und dort über das Admininterface einspielen.
Andere Software, wie die Betriebssysteme auf Smartphones, im Computer und wo auch immer, sind da Nutzerfreundlicher. Die informieren über Updates und spielen diese auch automatisch, oder nach kurzer Bestätigung des Nutzers ein. Im krassen Gegensatz dazu stehen die Router. Deren Firmware will manuell, oder auf Anstoß des Nutzers installiert werden. Kommt neue Software mit automatischer Updatefunktion für solche Geräte heraus ist es meist schon zu spät für die Vergesslichen oder Ahnungslosen unter uns. Denn die will auch ersteinmal manuell installiert werden – vorrausgesetzt man denkt daran oder hat eine Ahnung davon, welche Handgriffe bei dem eigenen Router anfallen.
Der unten verlinkte Routercheck überprüft, ob irgendwelche Sicherheitslücken im Router aufklaffen. Zumindestens denkt man bei Sicherheitslücken so groß wie offene Scheunentoren daran, die Website des Routerherstellers zu besuchen und auf frische Software zu prüfen. Tun wir uns als Menschen ein Beauty- und Wellnessworchenende an, so benötigen unsere Hausrouter auch etwas Zuwendung in Form einer Frischzellenkur für die Firmware. Pflegen Sie ihren Router gut, er dankt es Ihnen, in dem er keine Kriminellen Elemente, die Ihre persönlichen Bankdaten ausspähen wollen, in Ihr Netzwerk läßt. Folgen Sie einfach den aufgestellten Hinweisschildern zum Routercheck. Es ist ganz leicht und kostet kein Geld. Eine Anleitung zum Firmwareupdate Ihres Routers, finden Sie auf der Herstellerwebsite ihres Routers oder in dessen Handbuch.
Berlin – Dem scheidenden Direktor der National Security Agency (NSA) in den Vereinigten Staaten, General Keith Alexander, wird aufgrund seiner Verdienste um öffentliche Bewusstseinsschärfung für IT-Sicherheit eine besondere Ehre zuteil: Ein zentraler Platz in der deutschen Hauptstadt Berlin wird nach ihm benannt.
Das weitläufige, in Berlin-Mitte zwischen Fernsehturm und Elektronikmarkt gelegene Areal trägt ab sofort die Bezeichnung Keith-Alexander-Platz bzw. kurz Alexanderplatz.
Keith Brian Alexander, geboren am 02.12.1951 in Syracuse (New York) ist General der United States Army und seit dem 01.08.2005 Direktor der NSA. Er leitete mit dem US Cyber Command darüber hinaus seit April 2010 in Personalunion ein Funktionalkommando des US Strategic Command. Mediale Bekanntheit erlangte Alexander im Juni 2013 im Zuge der Berichterstattung um die von der NSA unter seiner Leitung initiierten Überwachungsprogramme PRISM und XKeyscore, deren Existenz der Whistleblower Edward Snowden kurz zuvor in der britischen Tageszeitung „The Guardian“ öffentlich gemacht hatte.
Alexander verabschiedet sich in den Ruhestand. Als Nachfolger hat US-Präsident Obama Vizeadmiral Michael Rogers bestimmt.
Für die kostensensible Stadt Berlin handelt es sich bei der Platzbenennung um eine finanziell günstige Maßnahme. Da die entsprechende Beschilderung einschließlich des zugehörigen U-und S-Bahnhofes bereits besteht, ändert sich lediglich die phonetische Aussprache.
Update 2. April 0 Uhr
Nun der Alexanderplatz in Berlin wird natürlich weiter wie gewohnt Alexanderplatz heisen und es wird auch keine Langversion, ausgesprochen im amerikanischen Englisch, geben. Nein das war ein kleiner Witz zum Ersten April diesen Jahres. Auch gibt es keinen Grund Herrn Keith Alexander für sein Verhalten zu ehren. Eins Stimmt aber, Berlin kann momentan alles Geld brauchen, was irgendwo und irgendwie eingespart wurde, um den Flughafen und das Groschen – Pardon – Steuermilliardengrab Berlin Schönefeld endlich einmal fertig zu kriegen.
Ab 31. März 2014, also in gut einer Woche, startet die Initiative E-Mail Made in Germany der deutschen Internetprovider GMX, Freenet, Web.de und Telekom. Das geht einher mit dem Zwang zur SSL verschlüsselten Verbindung zu den IMAP, POP3 und SMTP Konten. Konkret heißt das, daß die Verbindung zwischen eigenem Computer, oder auch Smartphone und Tablet und dem Server des jeweiligen Mailproviders prinzipiell verschlüsselt ist. Somit hat es ein Angreifer schwerer, auf dem Weg zwischen den einzelnen Vermittlungsstellen (Computer des Senders, Sendeserver – Empfängerserver, Empfängercomputer) Mails mitzuschneiden. Allerdings ersetzt das keine Ende-zu-Ende-Verschlüsselung via PGP oder S/MIME. Durch die Transportverschlüsselung werden nur die Wege zwischen den einzelnen Stellen verschlüsselt, allerdings nicht die E-Mail an sich selbst.
Wer sich nun ab dem 31. März 2014 via Mailclient vom Computer (beispielsweise Thunderbird oder Outlook) oder App vom Smartphon bzw vom Tablet ohne SSL-Verbindung einloggen möchte, bekommt nur noch eine oftmals recht kryptische Fehlermeldung. Die Nutzer der Weboberflächen der Provider betrifft die Änderung nicht direkt. Dort wird gleich auf SSL gesetzt. Daher sollte in den genannten Mailclients die entsprechenden Einstellungen vorgenommen werden. Was genau geändert werden muß, steht weiter unten in der Tabelle. Die notwendigen Einstellungen lassen sich mit wenigen Mausklicks am Computer und Wischgesten am Smartphone einstellen. Einen Mehrwert bringt derZwang zu SSL Verbidungen gerade an öffentlichen W-LAN Hostspots. Dort ergibt sich durch die aktive Transportverschlüsselung von Mails und Passwörtern ein Vorteil.
(1) Nur für Web.de Clubmitglieder verfügbar, sonst POP3
(2) Keine Umstellung erforderlich, da SSL bereits aktiviert
Die vier genannten Mailprovider, Telekom, GMX, WEB.de und Freenet haben ausführliche Hilfetexte, mit Bildern und Screenshots zu gängigen Mailclients und Smartphone/Tablet Apps auf ihren Hilfeseiten zusammengestellt. Links zu diesen Hilfeseiten finden Sie wieder ganz unten unter den Links zum Artikel.
Seit einigen Wochen schon ist es bekannt, daß die Spitzelei von Geräteherstellern und Onlinediensten nicht einmal vor dem heimischen Wohnzimmer halt macht. LG hat es bewiesen, in dem man dem Fernsehzuschauer sagte, daß die Datenübertragung von Inhalten ausgeschaltet sei, aber man dennoch heimlich Daten sammelte. Von seiten der Hersteller schob man das auf ein Sicherheitsleck in der Firmware der Geräte…
Smart-TV
Unlängst gab es bei Fernsehgerätehersteller LG eine Panne. In der Firmware einiger TV-Modelle fand sich eine Option, die das Fernsehverhalten des TV Besitzers protokollierte, dazu mit der Serien- und Modellnummer des verwendeten Gerätes, die die erfassten Daten personenbezogen zu LG und diversen anderen Diensteanbietern übertrug. Weiterhin bedienten sich die TV Modelle noch auf Datenspeichern, die via USB an den Fernseher angeschlossen waren. Eine Liste von gespeicherten Dateien wurde samt dem Fernsehverhalten unverschlüsselt an LG übermittel. Wie LG begründete, wurden diese Daten erhoben, um Werbung und Sendeempfehlungen gezielter zu vermitteln. Im vorliegendem Fall war die Option der Nutzerbeobachtung abgeschaltet, die Smart-TVs übermittelten aber dennoch fleißig Daten.
Smart-TVNun schauen Technikbegeisterte nicht nur auf LG sondern auch auf andere Marken wie Sony, Samsung, Phillips, Technisat und co. Alle Hersteller bauen Smart-TVs, die in Wahrheit abgespeckte Computer sind. Dazu gehören LAN Anschlüsse, USB-Ports, W-LAN. Durch gängige Hardware, die auch in PCs oder Tablets verbaut wird, sind die Fernsehgeräte recht schnell über LAN/W-LAN über den obligatorischen Router ins Heimnetz eingebunden und bieten dazu eben den Vorteil in der Werbepause schnell mal im Internet vorbeizuschauen oder auch abseits der Quoten bringenden Fernsehzeiten Filmchen aus dem Internet oder dem eigenen Heimnetz zu streamen. Das bauen die Hersteller aber nicht nur aus Nächstenliebe ein.
Über spezielle Techniken, wie beispielsweise HbbTV – Hybrid Broadcast Broadband TV – werden auch Daten wie Teletext oder ganze Mediatheken der einzelnen Fernsehsender zugänglich. Ein Teil kommt übers Internet, ein anderer, je nach Auslastung über den heimischen Fernsehempfang (DVB-S, DVB-T oder DVB-C). Hierbei werden Fernsehinhalte mit Webinhalten recht gut verknüpft. Und das weckt natürlich auch Begehrlichkeiten. Auf dem Weg des Internets steht nicht nur der Empfang bereit, sondern auch der Weg aus dem Wohnzimmer hinaus in die Untiefen des World Wide Web. Hersteller von Fernsehergeräten, sowie Fernsehsender, aber auch Werbepartner und Google profitieren davon. HbbTV ist zumeist immer aktiv, auch wenn der Hinweis zur Aktivierung schon wieder aus dem Bild verschwunden ist.
Im Hintergrund werden verschiedene Daten übertragen. Typ und Modellnummer des Fernsehers, dazu Sendeanstalt, Zeitstempel, wie lang man welche Sendungen und Sender geschaut hat, wie oft man herumgezappt hat und alles Verbunden mit einer eindeutigen Geräte- und Nutzer-ID zur Widererkennung. Diese Infos fließen beispielsweise an die Fernsehsender ab, die damit ihre Quoten bestimmen können. Ruft man über HbbTV die Internetseiten der Sender ab, so verwenden diese beispielsweise Google-Analytics um Statistiken über Besucherzahlen und dergleichen zu erheben. Diese Daten werden dann meist auf den Googleservern im Ausland gespeichert.
Leider bekommt der Nutzer von der Datensammelwut der TV-Hersteller und Fernsehsender kaum einen Mehrwert. Wenn man schon so fleißig mitprotokolliert, könnte man nach dem Fernsehverhalten Sendungen und Filme genau für den Nutzer empfehlen oder zu einer laufenden TV-Sendung sagen „Das interessiert dich doch eh nicht“
Fazit
In Zeiten von Geheimdienstspähaffären, Staatstrojanern und Vorratsdatenspeicherung ist es doch gut zu wissen, was alles möglich ist, um Daten zu sammeln. Vielleicht überlegt man sich dann doch, wie man es Geheimdiensten und Werbetreibenden doch etwas schwerer machen kann, um an die begehrten Nutzerdaten heranzukommen. In Deutschland ist, das wurde nach bekanntwerden der NSA Spähaffäre, von unseren Spitzenpolitikern konstatiert jeder Einzelne für seinen Datenschutz selbst verantwortlich. Betrachtet man es aber aus sicht unserer Politiker, so besteht seitens der Regierung kein Interesse, die Bürger vor unbefugtem Zugriff durch Geheimdienste zu schützen, auch dann nicht, wenn das Recht auf ein Fernmeldegeheimnis immer noch im Grundgesetz unseres Staates verankert ist. Normalerweise sollte der Staat, mit diesem verbrieften Recht für die Bürger, dafür Sorge tragen, daß zumindestens keine ausländischen Geheimdienste unsere Post öffnen. Davor kann sich ein Bürger kaum bis gar nicht selbst schützen. Schaut man sich die ganze Sache von der Seite des doofen Wahl- und Wutbürgers an, so werden gleich mehrere durch das Grundgesetz verbriefte Grundrechte damit aufgeweicht und ausgehebelt.
Schaut man sich das Internet an, so scheint es, als währe es in den letzten Jahren zum Selbstbedienungsladen beim Abgriff von Nutzerdaten geworden zu sein. Egal mit welchem Gerät – Smartphone, Tablet, PC oder sogar den Smart-TV – man sich im Internet anmeldet und wohin die Reise im Weltweiten Netz einen verschlägt. Die Wirtschaft hat Interesse an Werbeiennahmen und Verkäufen von Autos bis Viagra und Geheimdienste meinen uns vor Terrorkanidaten zu schützen, wenn sie alles, auch vom Otto Normal Bürger, mitprotokolliert. Aber was wird denn nun eigentlich so heimlich und unbewußt übertragen? Dieser und der nächste Artikel geben einen kleinen Überblick.
Jeder Internetnutzer, der sich beruflich oder geschäftlich ins Internet einloggt, verschiedene Webseiten ansurft und diverse Dienste im Netz nutzt, hinterläßt Spuren, die so einige für legale oder illegale Zwecke genutzt werden können.
Smartphones und Tablets
ipad-miniDas sind Geräte, die recht viel über den Nutzer wissen. Durch GPS wissen diese, wo man sich gerade aufhält. Auf Smartphones gespeicherte Kontaktlisten samt Postanschrift, Mailadresse und Telefonnummern geben viel über Freunde, Familie und Arbeitskollegen preis, sofern diese denn dort gespeichert sind. sdazu noch eine günstige Datenflat, über die man sich übers Mobilfunknetz recht einfach ins Internet einwählen kann. Und daran bedienen sich viele Apps gern. Das meiste geschieht im Hintergrund und ist meist in verschiedenen Komfortfunktionen versteckt. Da wird das Adressbuch von Apps, die für Google+, Twitter, Facebook und co bestimmt sind, durchstöbert und zur Auswertung an die Server übertragen, um schneller Bekannte in den sozialen Netzwerken zu finden. Die Suche könnte ja auch lokal auf dem Smartphone passieren, aber es sind die Daten, die Begehrlichkeiten wecken. Kostenlose Apps, meist werbefinanziert, tracken User gern schonmal auf Schritt und Tritt, zum Teil bewußt, um auf Shoppingmöglichkeiten mit guten Angeboten in der Nähe honzuweisen, aber auch im Hintergrund und unbewusst, um das Surfverhalten zu protokollieren. Durch Daten wie Gerätekennung und Telefonnummer kann man Nutzer heute schon recht eindeutig erkennen. Meist aber sind es die Komfortfunktionen, die zwar Hinweise enthalten (können) und die man, nachdem man diese schon mehrfach angezeigt bekommen hat, einfach weggeklickt werden.
PCs und Notebooks
Nutzt man einen PC zum Surfen und Mailen, greifen diverse Dienste und Webseiten Daten ab um Besucherstatistiken zu erheben. Das sollte im Impressum klar hervorgehen, was gespeichert wird. Oftmals wird hier auch Google-Analytics verwendet und die Statistiken auf ausländischen Servern gespeichert. Datenschutzrechtlich sollten anonymisierte oder verkürzte IP-Adressen gespeichert werden, aber als Otto-Normal-Nutzer Kann man nicht prüfen was genau gespeichert wird. Neben den IP Adressen, also der Kennung des Computers, werden verschiedene andere Daten noch gespeichert. Beispielsweise mit welchem Browser man die Seite besucht hat, welches Betriebssystem genutzt wird. Anhand der IP Adresse bekommt man auch eine Länderkennung oder eine grobe Einschätzung, wo genau man mit seinem Rechner sitzt. Daher sollte diese nur anonym vom Dienstebetreiber gespeichert werden.
Sind auf Webseiten Like-Buttons von Facebook, Twitter und Google Plus Buttons vorhanden, so bekommen diese Netzwerke auch Daten über die Besucherströme auf dieser Webseite. Dazu auch noch ähnliche Details wie weiter oben. Ist man zusätzlich bei den sozialen Medien angemeldet und eingeloggt, so kann ein personenbezogenes Profil zum Surf- und Kaufverhalten protokolliert werden. Websitebetreiber sollten sich daher Gedanken über sogenannte 2-Click Lösungen zu den Buttons machen. Hier wird generell nichts übertragen, außer der User möchte es so.
Onlineshops, Werbebtreibende und soziale Netzwerke speichern gern Cookies auf dem Rechner des Nutzers. Cookies sind kleine Textdateien, die eine Computerkennung enthalten und das Surf- und Kaufverhalten protokollieren. Damit kann der Nutzer gezielter mit Werbung zugepflastert werden, so nach dem Motto „Sie und drei andere interessierte doch das hier und nicht das was Sie gerade ansehen“. Man kann aber seinen Lieblingsbrowser anweisen, bei jedem Schließen des Browsers die Cookies zu löschen.
Jaja, die gute alte E-Mail. Das ist nur eiune Postkarte, die jeder vertrauens(un)würdige Postbote mitlesen kann. Und die Postboten sind die Server, über die diese Mail zum Empfänger kommt. Auch wenn man die Mail verschlüsselt, so werden nur Textkörper und Anhänge verschlüsselt. Absendeadresse und Empfänger, also das was die Post benötigt, um zu wissen wohin die Mail geliefert werden soll, bleibt natürlich unverschlüsselt. Und das interessiert natürlich auch die Geheimdienste.
[Update 7. März 20 Uhr]Um Mailadressen zu verifzieren, werden oftmals Mails verchickt, die von externen Servern und Diensteanbietern zusätzliche Inhalte, wie Bilder nachladen. Das trifft gerade bei Werbung und Spam zu. Man will damit herausfinden, ob die versendeten Mails tatsächlich gelesen werden oder ob die ohne Umwege (oder mit dem Umweg über den Spamordner) gelesen werden. Bei Post von Spamversendern und Botnetzen weren oftmals fürs Auge unsichtbare Zählpixel in die Mail eingebettet. Hier hat es den Sinn und Zweck zu testen, ob eine Adresse noch benutzt wird, oder ob diese Still gelegt wird.
Fazit
Egal wo man sich im Internet bewegt, es wird protokolliert, getrackt und übertragen, was das Zeug hält. Unternehmen möchten immer mehr Daten zum Surf und Kaufverhalten und Geheimdienste wollen wissen, zu welcher Zeit ich mit wem und wie lang Kontakt hatte. Alles beides bringt aber wenig Nutzen für den Otto Normal Bürger, der im Grunde nichts außer teilweise lästiger Werbung von der Datensammelei hat, oder Besuch von der Polizei bekommt, weil er Online ein Faß Dünger (und weil es das gleich im Angebot gab noch das Computerspiel Battlefield 4 dazu) für seinen Garten bestellt hat.
Nach United Internet (GMX und Web.de) zieht die Telekom mit der Verschlüsselung der Transportwege für Mails nach. Nun sollen die Mails auf dem Transport vom Kunden zum Telekom eigenen Mailserver und zwischen den Mailservern der Telekom und anderen Mail-Providern künftig per SSL verschlüsselt werden. Bis zum 31. März will die Telekom ihre Mailserver entsprechend umgestellt haben.
Nutzer, die ihre Mails über das Webfrontend der Telekom verschicken und empfangen, werden den Wechsel nicht zu spüren bekommen. All Jene, die einen Mailclient (beispielsweise MS Outlook oder Thunderbird) nutzen, müssen ihr Programm mit wenigen Schritten auf das neue Verfahren einrichten. Wie das geht, beschreibt die Telekom auf dem unten genannten Link. Ein tutorial für sämtliche Mailclients zu erstellen, würde hier den Rahmen sprengen. Die Telekom hat diese Arbeit schon recht gut und bebildert erledigt.
Aber Achtung: Die Verschlüsselung der Transportwegen zwischen den Mailserver und dem Kunden ist keine End-to-End Verschlüsselung. Die Mails liegen noch unverschlüsselt im Klartext auf den jeweiligen Mailservern. Die Verschlüsselung der Transportwege bringt nur den Vorteil, daß die Nachrichten auf dem Weg von einem zum anderen Empfänger nicht abgefangen und verändert werden können. Bricht jemand direkt auf Mailserver mit unverschlüsselten Mails ein, so kann er auf diesem Weg an den begerten Inhalt kommen.
Bei vielen anderen Mail-Providern ist eine Verschlüsselung der Transportwege via SSL Standard. Telekom und United Internet betreiben die Kampange Mail made in Germany seit bekannt werden der Lauschangriffe der NSA. Mit dieser Methode möchte man unerfahrene Nutzer in relativer (Un)Sicherheit wiegen.
Wer seine Mails wirklich komplett verschlüsseln will, sollte daher auf einen Mailclient setzen und auf seinem Rechner mit Verschlüsselungsprogrammen wie Pretty Good Privacy bestücken, die jeweils einen privaten und einen öffentlichen Schlüssel erzeugen. Wie das genaue Verfahren dazu abläuft, habe ich bereits im Artikel Privates verschlüsselt – Sicher Chatten mit Pidgin angerissen.
Wie man genau seine Mails sichert, beschreibt der Heise Zeitschriftenverlag in einem Sonderheft der c’t.
Eine Gruppe unbekannter Aktivisten hat eine Liste mit über 12000 IP-Adressen von Asus-Routern veröffentlicht. In diesen Geräten wurden Sicherheitslücken bekannt, die es Angreifern erlaubt, den Router komplett zu kapern. Die zweite Lücke erlaubt das Auslesen von an den Router angeschlossenen USB Geräten (beispielsweise USB-Sticks und externe Festplatten), die zur Datensicherung und Datenfreigabe über das Heimnetzwerk dienen.
Bei Routern ohne Patch erlaubt der FTP-Server in der Grundeinstellung das Einloggen ohne Passwort und die AiCloud-Software der Geräte speichert ihre Zugangsdaten in einem öffentlich zugänglichen Verzeichnis. Des weiteren erlauben die Lücken Änderungen an den Systemdateien, so dass ein Angreifer einen VPN-Tunnel in das interne Netz einrichten kann. Sämtlicher Traffic der über den Router läuft kann so ebenfalls mitgeschnitten werden.
Beide Lücken wurden vor über 6 Monaten an Asus gemeldet, worauf Asus einen Monat später einen Firmwarepatch veröffentlichte, der diese Lücken schließt. Augenscheinlich wurden diese Patches aber auf vielen Geräten nicht installiert.
Beim Modell Asus RT-N66U, konnte ein Zugriff auf die Klartextzugangsdaten im Juni bestätigt werden. Ein Firmware-Update auf Version 3.0.4.372 oder höher behebt die Schwachstellen und sollte unbedingt vollzogen werden. Firmware Updates können von der Asus Support-Seite heruntergeladen werden.
Die Schwachstelle wurde in Anlehung an den Wartergate-Skandal als Asusgate betituliert und ist im Internet unter dem Hashtag #ASUSGATE zu finden.
Fazit:
Jeder, der ein Router der Marke Asus hat, sollte die Firmeware mit aktuellen Patches Updaten. Nicht nur die Nutzer eines Asus Routers, sondern auch andere Gerätemarken sollten regelmäßig eine softwareseitige Frischzellenkur bekommen. Ist ein Router einmal von Fremden gekapert, haben diese übers Internet leichten Zugang zum privaten Heimnetzwerk und damit Zugriff auf sämtliche Computer und Geräte, die im Netzwerk hängen. Auch der gesamte Internetverkehr (auch Passwörter und Zugangsdaten zum Onlinebanking) kann mitgelesen werden. Leider haben viele Endanwender nicht wirklich Ahnung, wie ein Firmwareupdate für den Router von statten geht, oder wie sie selbst Zugriff auf das Gerät haben. Daher bleiben viele Schwachstellen im Router über Monate und Jahre hinweg ungepatcht und das kann mitunter fatale Folgen haben. Im Internet gibt es für jedes Routermodell ausführliche Dokumentationen für Zugriff und Firmwareupdates für den jeweils genutzten Routertyp.
Am 8. April ist es vorbei. Microsoft liefert nach diesem Stichtag keine Updates für Windows XP mehr aus. Einige der bereits bestehenden Sicherheitslücken könnten von diversen Hackern nicht mehr gemeldet werden, damit diese bis zum 8. April nicht geschlossen werden. Allerdings haben die großen und namhaften Hersteller für Virenwächter und Securityprogramme bereits angekündigt, für mindestens ein weiteres Jahr Virensignaturen nachzuliefern. Auch Microsoft möchte seinen Virenwächter für XP für noch ein Jahr frische Virensignaturen spendieren.
Diese Nachricht dürfte Administratoren freuen, die jetzt bald auf ein aktuelleres Betriebssystem umstellen müssen. So wird die Gnadenfrist für bestehende Installationen mit XP ein bisschen verlängert und der Druck, sofort umstellen zu müssen, entfällt ersteinmal… oder verschiebt sich um ein weiteres Jahr.
Allerdings hat diese Gnadenfrist aber auch einen Haken. Bei den versprochenen Updates für die Virenwächter und Sicherheitsprogrammen handelt es sich hauptsächlich um Virensignaturen. Aufgedeckte Sicherheitslücken im Betriebssystem werden von Microsoft nicht mehr geflickt. Das eröffnet natürlich immer mehr und größere Einfallstore für Angriffe und neue Schadsoftware auf das Betriebssystem. Aktuelle Virenwächter können ohne die Hilfe von Microsoft diese Schwachstellen nicht mehr effizient schützen.
Auch haben es Hersteller von Securityprogrammen schwer, Updates für ihre eigenen Produkte auf Windows XP anzupassen, da Microsoft auch die Zusammenarbeit hinsichtlich dieses Betriebssystems mit diesen Produzenten einstellt.
Von daher ist es angebracht, so schnell wie möglich auf ein neues Betriebssystem (Windows 7; 8 oder Linux) umzusteigen. Windows XP weckt durch seine große Beliebtheit und die damit verbundene Faulheit beim Upgrade auf ein aktuelles System natürlich die Begehrlichkeiten von Kriminellen. Von daher sollte es nicht mehr als Produktivsystem an Rechnern mit Internetanschluss betrieben werden. Für die meisten Softwareperlen gibt es unter Windows 7 den WinXP Modus oder eben andere Alternativen, die unter aktuellen Systemen laufen.
Wer partout nicht umsteigen will, oder XP noch benötigt, dem sei empfohlen, dieses in einer Virtuellen Maschine, die speziell abgesichert ist, laufen zu lassen, oder an einem älteren Rechner, der nicht mit dem Internet verbunden ist. Microsoft bietet solchen Nutzern weiterhin eine kostelose Online Aktivierung über die offiziellen Microsoft Server an.
Links
Windows XP scheidet dahin – Die Medienspürnase im Januar 2013
Windows 8 steht in den Startlöchern – Die Medienspürnase im Oktober 2013
In dieser Woche hat eine Nachricht in Deutschland wieder einmal für Furore gesorgt. 16 Millionen E-Mail Postfächer wurden von einem Kriminellen Botnetz geknackt. E-Mailadressen und dazugehörige Passwörter wurden entwendet.
Was war passiert?
Ein sogenanntes Botnetz hat mehrere große Mail-Provider angegriffen und 16 Millionen Mail-Adressen samt Passwörter von den Servern der betroffenen Dienstanbieter gestohlen.
Was ist ein Botnetz?
Server von Diensteanbietern und Nutzercomputer sind über das Internet zu einem globalen Computernetzwerk zusammengeschaltet. Die Computer und Server tauschen Daten untereinander aus und kommunizieren so mit einander.
Jetzt werden die Rechner von beliebigen Internetnutzern mit Maleware (neudeutsch für Schadsoftware) infiziert. Die jeweiligen User bemerken davon natürlich ersteinmal nichts. Diese Schadsoftware stiehlt sich von den Rechnern, auf denen sie installiert ist, ein paar Systemressourcen, in dem Fall Rechenleistung und Netzwerktraffic. Pro Computer ist das recht wenig und der User kann ohne merkliche Einschränkungen seinen Rechner weiter nutzen. In einem Botnetz sind aber mehrere Hundert bis Tausend solcher Rechner aktiv und so kommt schon einiges an geklauter Leistung zusammen.
Kurz gesagt: Eine bestimmte Software, hier der Bot, wird über eine Hintertür oder eine Sicherheitslücke auf viele Computer verteilt und wird von einer Person, in dem oben geschilderten Fall von einem Kriminellen, ferngesteuert und damit auf große Diensteanbieter losgelassen. Unter geballter Rechenpower werden schnell Sicherheitslücken bei Diensten wie Mailprovider gefunden und diese dann zum Diebstahl von sensiblen Daten ausgenutzt.
Welche Gefahr birgt der Diebstahl von Mailadressen samt Passwort?
Nein, ich will hier nicht schwarzmalen, aber die Gefahr ist nicht zu unterschätzen. Die meisten Internetnutzer besitzen nur eine oder maximal zwei Mailadressen bei den unterschiedlichsten Mail-Anbietern. Neben dem Schreiben von E-Mails wird diese natürlich auch benötigt, um sich bei verschiedenen Shoppingseiten (beispielsweise Amazon) oder sozialen Netzwerken (Facebook, Google+, Twitter und co.) aber auch bei Zahldienstleistern wie Paypal anzumelden. Die aufgezählten Dienste haben alle eines gemeinsam: Ihre Mailadresse, mit der Sie sichd dort registriert haen.
Wenn man das so sieht, ist das ersteinmal nicht weiter schlimm. Sämtlicher Mailverkehr von genannten Diensten läuft zentral auf ein Postfach. Wird dieses gekapert, wie jetzt bekannt wurde, haben nun gewisse kriminelle Elemente Zugang zu den wichtigsten Diensten, die Sie nutzen und das geht recht einfach.
Viele Shoppingseiten, aber auch sozale Netzwerke haben eine Funktion, die unter Umständen recht nützlich ist. Passwort vergessen schickt schnell ein neu generiertes Passwort andie Mailadresse, oder eine E-Mail, die den Nutzer auf eine Seite weiterleitet, wo man sich ein neues Passwort für den jeweiligen Dienst eingeben kann.
Wurde die Mailadresse gekapert, werden nun systematisch große Dienste durchprobiert, wo man sich mit dieser Adresse registriert hat. Manch ein Mailnutzer macht es einfach und lässt Mails über Bestellungen gleich im Mail-Archiv oder der History liegen. Kriminelle können das nun gezielt durchforsten, um viel genutzte Dienste ausfindig zu machen.
Im Falle von Shoppingseiten kann ein recht großer materieller Schaden entstehen. Beispiel Amazon: Hier hinterlegt man Kreditkartendaten oder Kontonummer, um bequem per Lastschrift zahlen zu können. Haben kriminelle Elemente sich über die Mailadresse zu Amazon Zugang verschaft, brauchen sie nur noch die Adresse zu ändern und lassen sich Waren und Produkte zuschicken, die Rechnung geht zu Lasten dem eigentlichen Kontoinhaber.
Bei Sozialen Netzwerken steht der materielle Schaden nicht ganz so im Vordergrund. Haben Kriminelle einmal Zugang dazu, wissen diese gleich wo der Profilinhaber arbeitet und wohnt, welche Kontakte er pflegt und so weiter. Das bietet kriminellen Elementen nun die Möglichkeit im Namen von Fremden Betrügereien einzufädeln oder den Ruf von Fremden zu schaden, was beispielsweise zur Kündigung im Betrieb führen kann.
Wie kann ich mich dagegen Schützen?
Es gibt hier leider kein Patentrezept, aber ein paar recht nützliche Tips, die man beherzigen sollte, auch wenn einige davon schon recht abgedroschen klingen mögen.
Computer, Firewall und Virenscanner aktuell halten um nicht in den Genuss einer Schadsoftware zu kommen. Natürlich im Internet auch den gesunden Menschenverstand walten lassen.
In gewissen Regelmäßigen Abständen die Passwörter bei genutzten Internetdiensten erneuern, das ist ganz wichtig bei den genutzten Mailadressen. Nicht genutzte Accounts bei Diensten einfach löschen
Zum Anmelden bei verschiedenen Internetdiensten entweder mehrere Mailadressen nutzen oder sogenannte Wegwerfadressen (Google hilft hier weiter) nutzen. Diese Wegwerfadressen gelten beispielsweise für nur ein paar Minuten oder für einen oder mehrere Registrierungsvorgänge und werden dann gelöscht, wenn sie nicht mehr benötigt werden. So wird die Gefahr verringert, daß beim Kapern einer Mailadresse gleich sämtliche genutzten Dienste herausgefunden werden
Jeder genutzte Dienst sollte ein anderes Passwort haben ansonsten machen sich kriminelle Elemente die Faulheit der Nutzer, die mit einem Passwort Zugang zu vielen Diensten haben, zu eigen.
Passwörter können ruhig die maximale Zeichenanzahl haben und sollten in keinem Wörterbuch stehen. Das heißt, es sollte eine rein zufällige Ausdwahl von Klein- und Großbuchstabenm, Ziffern, Umlauten und Sonderzeichen sein. Je zufälliger das Passwort ist, desto größer ist auch der Aufwand dieses zu knacken.
Fazit:
Die E-Mail Adresse ist heutzutage noch das zentrale Element in der Kommunikation im Internet. Auch wenn so manch einer sagt, daß die E-Mail auf einem sinkenden Schiff ist, kommt keiner drum herum, sich mit dieser bei den verschiedensten Diensten anzumelden. Wurde die Mailadresse einmal von Fremden gekapert, kann man aus dieser schnell ausgesperrt werden und die eigene Identität geklaut werden. Was für Folgen das hat, dürfte jetzt nun klarer sein. Es ist daher von essentieller Wichtigkeit, seine Mailadresse und seinen Rechner gut vor den Gefahren aus dem Internet zu schützen.
Immer häufiger kommen in verschiedenen Internetforen Fragen auf, wie man am Besten seine Kommunikation im Internet verschlüsseln kann. Das hat sicherlich mit der NSA Spähaffäre zu tun, die immer gewaltiger(er)e Ausmaße annimmt. Leider gibt es für das Verschlüsseln kein allgemeingültiges Patentrezept und keine praktikablen Lösungen für Jedermann, die zudem noch systemweit (auf dem eigenen Rechner) sämtliche Kommunikation verschlüsselt. So muß jedes Programm zur digitalen Kommunikation einzeln irgendwie abgesichert werden. Daher bedeutet Verschlüsselung immer noch einiges an Grundwissen, die richtige Software und Geduld beim Einrichten eben dieser. Auch ist Disziplin gefragt. Fakt ist: Es artet ganz schnell in Arbeit aus. Daher beschäftigt sich dieser Artikel mit der Verschlüsselung von Privatgetippsel über verschiedene Instantmessenger.
Instantmessenger, was ist das?
Instantmessenger sind kleine Zusatzprogramme zum Chatten und Versenden von Sofortnachrichten in verschiedenen Längen. Hierfür haben sich mittlerweile viele Protokolle etabliert, man nehme beispielsweise ICQ, XMPP/Jabber, Yahoo oder Skype. In diesen Messengern werden Kommunikationspartner abgelegt, verwaltet und man kann am eigenen Bildschirm sehen, wer Online ist und wer nicht. Ist jemand Online, kann man dieser Person über ein Chatfenster eine Nachricht zukommen lassen, die ohne Zeitverzug bei ihm/ihr auch angezeigt wird. Der Begriff Peer-to-Peer (P2P) trifft es daher recht gut. Textnachrichten werden je nach genutztem Protokoll entweder direkt zum Gegenüber geroutet oder nehmen einen Umweg über die Server des jeweiligen Diensteanbieters.
Die einzelnen Dienste weisen jedem Benutzer eine eigene Adresse zu, die wie die Postanschrift im Heimatort wirkt. Mit dieser Adresse und einem Passwort kann sich der jeweilige Nutzer authentifizieren. Die eigene Adresse tauscht man mit anderen Personen meist auf anderem Wege aus und erlaubt somit den anderen Nutzern seinen Status (Online oder Offline) anzuzeigen.
Instantmessenger gibt es wie Sand am Meer, zu jedem Protokoll gibt es mindestens eines, welches die Entwickler des Protokolls herausgeben. Nutzt man mehrere dieser Protokolle, kommen aus Gründen des eigenen Komforts oder der eigenen Systemressourcen Multimessenger zum Einsatz. Eine Open-Source Alternative ist beispielsweise Pidgin. Diese Multimessenger vereinen mehrere (oder alle) dieser Protokolle unter einem Dach, so daß man nicht für jedes Protokoll einen anderen Messenger benötigt.
Wie Funktioniert eine Verschlüsselung?
Alice möchte Bob eine Nachricht über einen Messenger schreiben. Nun kann sich jeder Neugierige zwischen den Beiden einklinken und Alices Nachricht mitlesen oder sogar verändern.
Daher einigen Alice und Bob sich darauf, ihre Kommunikation zu verschlüsseln. Dazu generiert Alice an ihrem eigenen Computer ein Schlüsselpaar aus einem öffentlichen Schlüssel und einem geheimen, privaten Schlüssel.
Bob tut das gleiche an seinem Computer. Jeder besitzt also einen privaten Schlüssel, der bei jedem selbst bleibt. Die öffentlichen Schlüssel werden nun zwischen Bob und Alice ausgetauscht. Ohne beide Schlüsselpaare können neugiereige Mitleser nur Zeichensalat empfangen.
Jetzt möchte Alice eine verschlüsselte Nachricht an Bob schicken. Für diesen Brief kramt sie Bobs öffentlichen Schlüssel heraus, dazu ihren eigenen geheimen Schlüssel, den nur sie persönlich kennt. Mit dieser Kombination verschlüsselt sie ihre geheime Nachricht und schickt diese an Bob.
Kurze Zeit später bekommt Bob die Nachricht und sieht ersteinmal nur Zeichensalat, denn die Nachricht ist ja codiert. Nun braucht er Alices öffentlichen Schlüssel und seinen geheimen Schlüssel um den Zeichensalat zu entziffern.
Kurz gesagt: Wenn ich eine Nachricht verschlüsseln möchte, brauche ich eine Kombination aus meinem eigenen, nur mir bekanntem Privatschlüssel und dem öffentlichen Schlüssel des Kommunikationspartners. Beim Entziffern läuft das faktisch genauso ab, nur irgendwie anders und umgekehrt.
Asymmetrische Verschlüsselung
Nun das ist die vereinfachte Form der Verschlüsselung. Beim Chatten via Instant-Messenger gibt es allerdings noch ein paar weitere Punkte zu beachten, da diese Form der Kommunikation prinzipiell so zu behandeln ist wie ein Gespräch unter vier Augen. Folgende Punkte müssen gewährleistet seit:
Verschlüsselung – Niemand kann die Nachrichten mitlesen.
Beglaubigung – Man kann sich sicher sein, dass der Empfänger derjenige ist, für den man ihn hält.
Abstreitbarkeit – Verschlüsselte Nachrichten enthalten keine elektronische Signatur. Es ist also möglich, dass jemand Nachrichten nach einer Konversation so fälscht, dass sie von einem selbst zu stammen scheinen. Während eines Gespräches kann der Empfänger aber gewiss sein, dass die empfangenen Nachrichten authentisch und unverändert sind.
Folgenlosigkeit – Wenn der (langlebige) private Schlüssel einem Dritten in die Hände fällt, hat dies keine Auswirkung auf die Kompromittierung bisher getätigter Gespräche: Die Gespräche können damit nicht nachträglich entschlüsselt werden.
Das kompliziert das oben beschrieben Verfahren natürlich um Einiges. Insgesamt werden hier mehrere, sehr kurzlebige Schlüssel aus den privat generierten und getauschten Daten generiert, so daß die eben genannten Faktoren eingehalten bleiben. Mehr dazu gibts bei der Wikipedia zu lesen, wer denn nach OTR – Off the Record Messenging sucht. Verschlüsselt wird hier nach Diffie-Hellmann
Warum denn so kompliziert?
Jedes Schlüsselpaar wird aus je zwei Zeichenkolonnen erstellt. Der öffentliche Schlüssel, der an andere User ausgegeben wird, darf keine Rückschlüsse auf den privaten und geheimen Schlüssel erlauben. Zudem ist das bisher noch die sicherste Methode um Mails und Kurznachrichten zu verschlüsseln.
Messenger und Chat-Protokolle sind per Default (also in den Grundeinstellungen) zudem nicht für Verschlüsselung eingestellt. Bei den massiven Lauschattacken gegen die kommunikative Freiheit ist es wichtig, für ein Stückchen Sicherheit zu sorgen.
Die Regeln, die im öffentlichen Leben auf der Straße gelten, sind im Internet genauso gültig. Niemand würde vertrauliche Informationen im direkten Gespräch von Nachbar zu Nachbar quer über die Straße brüllen. Man trifft sich dazu an einem ungestörten Ort, wo man sich dazu austauscht. Bei E-Mails und Chatnachrichten ist Vertraulichkeit genauso anzuwenden wie bei einem privaten Gespräch. Es muß nicht jeder alles mithören oder mitlesen können, denn unter Beobachtung sagt und schreibt man doch einiges nicht oder anders, als wenn man privat miteinander redet oder schreibt.
Wie kann ich meine Instantmesseges denn nun am Besten Verschlüsseln?
Wir benötigen ein halbwegs aktuelles Windows (ab Vista und aufwärts) oder Linux, dazu den aktuellen Multimessenger Pidgin und das Plugin OTR – Off-the-Record Messaging. Getestet habe ich das bisher nur unter Windows.
Für die meisten Distributionen von Linux dürfte Pidgin in den Hauptrepositories der jeweiligen Distribution liegen. Das Plugin OTR – Off-the-Record Messaging bekommt man ebenfalls über den Paketmanager. Für Linux heißt das Paket für das Plugin pidgin-otr. Beides installiert man oder holt sich die jeweiligen Pakete von der Entwicklerseite und kompiliert diese sich.
Folgende Schritte habe ich unter Windows erledigt, dürften aber unter Linux ähnlich sein. Ich gehe davon aus, daß der geneigte Leser bereits schon bei irgendeinem beliebigen Dienst das eine oder andere Konto hat. Wie das für die einzelnen Dienste anzulegen ist, würde den Rahmen hier sprengen. Daher gehe ich nur darauf ein, wie man seine Accounts in Pidgin anlegt.
Pidgin downloaden. Unter Linux schaut man im Paketmanager nach, ob da Pidgin vorhanden ist, anonsten kompiliert man sich Pidgin.
Jetzt installiert man sich Pidgin, dazu folgt man den Anweisungen auf dem Bildschirm.
Beim ersten Start kommt nun folgendes Fenster. Willkommensassistent Pidgin
Mit einem Klick auf Hinzufügen kann man nun einen ersten Account in Pidgin einpflegen.
Nun füllt man die geforderten Angaben natürlich mit den entsprechenden Daten aus. Hat man woanders noch andere Accounts herumfliegen, wiederholt man die genannten Punkte so oft, bis alles eingepflegt ist. Konteneinrichtung Pidgin
Bestehende Kontakte aus jedem Messenger werden von den Servern der jeweiligen Diensteanbieter automatisch in die Buddy-List importiert und eingefügt.
Hat man alle seine Accounts in Pidgin eingepflegt, muß noch das Plugin OTR – Off-the-Recording Messaging installiert werden. Linuxanwender bekommen das Paket pidgin-otr aus ihrem Paketmanager und ihren Repositories, die für ihre Distribution zuständig sind.
Jetzt geht es ans Einrichten von OTR – Off-the-Record Messaging.
Hinweis: Beide Kommunikationspartner, die verschlüsselte Nachrichten senden und empfangen wollen, benötigen ein eigenes Schlüsselpaar aus öffentlichem und privatem Schlüssel. Das setzt bei bei Sender und Empfänger die gleiche oder ähnliche Software vorraus, die das Generieren der privaten und öffentlichen Schlüssel und das spätere Chiffrieren und Dechiffrieren der Nachrichten erledigt.
Jetzt muß man Pidgin natürlich erst einmal dazu bringen, ein Schlüsselpaar aus privatem und öffentlichem Schlüssel zu generieren. Den öffentlichen Schlüssel muß man natürlich mit jedem Kommunikationspartner, mit dem man schreiben möchte, austauschen.
Dazu muß der geneigte Nutzer in der Menüleiste in der Liste mit den Bekanntschaften auf Werkzeuge und Plugins klackern. Die beiden Bilder zeigen das natürlich noch einmal. Buddy Liste Pidgin Hier klickert man auf das Menü Werkzeuge und darin dann auf Plugins oder man nutzt unter Windows gleich das Tastenkürzel STRG+UInstallierte Plugins Pidgin Hier sucht man sich das Plugin OTR aus und klickert auf Konfigurieren
Im folgendem Fenster generiert man am besten gleich für alle angelegten Messengerkonten ein Schlüsselpaar OTR Konfiguration Pidgin Hier konfiguriert man sich am besten für jedes Messengerkonto ein eigenes Schlüsselpaar.
Nun muß man sich mit seinem Gesprächspartner, am besten durch drei Blumentöpfe hindurch, auf eine Frage und eine dazu passende Antwort verständigen. Das könnte beispielsweise der Lieblingsfilm Blade Runner sein, wo ein Wort die Frage und das andere die Antwort ist. Authentification OTR Pidgin Vorab muß man sich auf eine Frage und eine passende Antwort verständigen, man kann natürlich auch manuell über einen sicheren Weg die beiden Schlüssel authentifizeren.
Der Kommunikationspartner müßte dann die Frage beantworten oder selbst die Frage stellen. Wie das aussieht kann man imm folgenden Bild einsehen. Authtentificationsanfrage Pidgin – Der Kommunikationspartner muß antworten, damit die öffentlichen Schlüssel gesichtert ausgetauscht werden können.
Ist die Authentification erfolgreich, ist der verschlüsselte Chat aktiv, ist sie fehlgeschlagen, muß diese Prodzedur wiederholt werden. Authentification war erfolgreich Pidgin – Eine verschlüssselte Verbindung stehtAuthentification fehlgeschlagen Pidgin – Die Prodzedur mit Frage und Antwort sollte wiederholt werden, da sonst keine verschlüsselte Verbindung zustande kommt
Fazit
Ein ähnliches Prodzedere gibt es beim Verschlüsseln von E-Mails. Jeder, der verschlüsselt kommunizieren möchte, sei es beim Chatten oder beim Mails schreiben, muß einiges an Arbeit auf seiner eigenen Seite investieren. Dazu kommt noch die Überzeugungsarbeit, um Kommunikationspartner zum Verschlüsseln zu bewegen.
Momentan bieten einige Provider von Instant Messengerprotokollen und Mailpostfächern an, die Verbindung zwischen Sender und Empfänger bzw zwischen Sender und dem hauseigenen Server und zwischen Server und Empfänger via SSL/TLS zu sichern. Damit werden die Nachrichten an sich selbst nicht geschützt. Im Zweifelsfall kann man die Nachrichten dann an geeigneter Stelle, beispielsweise bei zwischengeschaltetem Server, speichern und lesen bzw auch verändern. Dagegen hilft nur die Totalverschlüsselung, wie sie hier beschrieben wurde. Kommunikationswege an sich werden nur von den Providern durch diverse Trust-Zertifikate gesichert.
Alles in Allem ist das Verschlüsseln der Nachrichten mit einigem Aufwand verbunden und viele Leute scheuen daher die Mühen aus verschiedenen Gründen. Mir ist es auch schon untergekommen, daß man nicht auf für sich bekannte und bewährte Software verzichten mag. Leider gelingt eine solche Integration in freier Open-Source Software, hier im Beispiel Pidgin, am Besten und mit dem wenigsten Aufwand. Hersteller von proprietärer Software (beispielsweise ICQ, Skype usw.) machen es dem Nutzer schwer, solche Lösungen zu implementieren.
Mit Hilfe von quelloffenen Multi-Messengern ist es ein Einfaches mit einer Verschlüsselungstechnik wie dieser, sämtliche genutzten Chatprotokolle abzudecken und mit einem Streich sämtliche Nachrichten zu den Kommunikationspartnern verschiedener Dienste abzusichern.
Wie sicher jetzt diese Verschlüsselung ist, wage ich nicht zu beurteilen. Jede Verschlüsselung hebt den Aufwand, an den begehrlichen Inhalt von Nachrichten heranzukommen, deutlich an. Je besser eine Verschlüsselung ist, desto höher ist der Rechenaufwand, um diese zu knacken. Irgendwann mag jede Verschlüsselung durch schiere Rechenkraft geknackt werden, aber bis dahin fließt noch viel Wasser die Weida hinunter, so daß jede privat geführte Chatunterhaltung vorerst privat bleibt
Seit Wochen mahnt die Regensburger Anwaltskanzelei Urmann + Collegen (U+C) massenhaft Nutzer der Streamingseite Redtube ab. Neben saftigen Gebühren, bekommen die Nutzer noch Unterlassungserklärungen zum Unterschreiben zugeschickt.
In der Region Vogtland haben sich in der letzten Zeit über 50 betroffene Besucher der oben genannten Pornoseite bei der Verbraucherzentrale gemeldet um sich beraten zu lassen. Die Dunkelziffer dürfte aber noch etwas höher liegen, denn aus Scham oder Unsicherheit melden sich viele Leute nicht erst und unterschreiben die zugesandten Unterlagen. Laut Angaben der hießigen Verbraucherzentrale sollte man die geforderten Geldbeträge nicht gleich und die Unterlassungserklärung nicht unterschreiben. Weiterhin gilt der Rat vorher erst eine rechtliche Beratung in Anspruch zu nehmen. Rechtliche und anwaltliche Beratungen bieten beispielsweise die Verbraucherzentralen vor Ort. Auf keinen Fall sollten die Abmahngebühren ungeprüft überwiesen werden und die Unterlassungserklärung ohne rechtlichen Rat unterzeichnet werden.
Was ist mit Abmahn-Mails?
Die Abmahnwelle der Regensburger Kanzlei U+C ruft natürlich auch Trittbrettfahrer auf den Plan. In E-Mails drohen sie beliebigen Leuten und mahnen diese im Namen der oben genannten Kanzlei oder anderen Anwälten ab. Den Mails liegt ein Anhang bei, der Rechner mit Trojanern und Maleware infiziert. So können Daten ausgelesen und mißbraucht werden, aber auch Dateien auf dem Rechner zerstört werden, oder der Computer selbst durch Hintertüren gekapert werden. Die Mails können getrost gelöscht werden. Laut der Verbraucherzentrale haben E-Mails keine rechtliche Handhabe vor Gericht, sind also dort bedeutungslos.
Fazit
Was Urmann + Collegen mit Redtube getan haben, war augenscheinlich nur die Spitze des Eisberges. Wegen Streaming abzumahnen steht auch rechtlich gesehen auf wackeligem Fuß. Wer weiß wie lang diese Kanzlei damit durchkommen wird, oder wie die Gerichte in solchen Fällen künftig entscheiden.
Begriffserklärung
Streaming: Diesen Begriff kann man am besten mit einer Sendung oder einem Film im Fernsehen vergleichen. Ein Anbieter von Content (neudeutsch für Inhalt) sendet von irgend einem Punkt der Welt aus einen Film. Dieser wird dann zuhause empfangen und kann direkt während der Sendung angesehen werden. Das geschieht beispielsweise über Satelitt, Kabel oder eben das Internet.
Nur kann man im Internet recht genau bestimmen, wer auf die Inhalte eines Anbieters zugreift, denn jedem DSL-Anschluss wird eine IP-Adresse zugeordnet. Wird diese mit einem Zeitstempel (beispielsweise Zeitpunkt des Zugriffs auf einen Film) versehen, kann man über eine Provideranfrage, die richterlich genehmigt werden muss, den Anschlussbesitzer herausfinden.
Beim Streaming empfängt man nur Daten in Form von Filmen und Musik, man könnte sie wie beim Fernsehen auf dem Computer speichern (neudeutsch für aufnehmen). Streaming bedeutet also gleichzeitiges Senden und Ansehen eines Filmes.
Da liegt der Unterschied zu Peer-to-Peer Tauschbörsen dem Filesharing. Hier lädt man sich Daten aller Art (Musik, Filme, Bilder, Word-Dokumente etc. etc.) auf seinen PC. Diese Daten liegen verteilt bei mehreren anderen Computernutzern auf den Rechnern.
Lädt man sich dort beispielsweise einen Film herunter, kann man diesen nicht gleich ansehen, man muß warten bis er fertig geladen ist. Während der Film vom Internet auf den eigenen PC lädt, werden die empfangenen Bits und Bytes dieses Filmes schon wieder anderen Leuten zur Verfügung gestellt.
Kurz: Man empfängt (Download) und sendet (Upload) zugleich. Hier kommt es ganz auf den Inhalt an. Meist sind Bilder, Filme und Musik urheberrechtlich geschützt. Aber es gibt natürlich auch Musik, Bilder, Software, Filme, die einem Wust an Lizenzen unterliegen, die das freie Tauschen und Bearbeiten erlauben (in engen oder weiteren Schranken). Dazu gehören beispielsweise die Lizenzen der Creative Commons (meist für künstlerische Inhalte) oder die GNU/(L)GPL für Softwarelizenzen (beispielsweise für Linux, Openoffice oder Libreoffice).
Update am 17. Dezember
Beim klassischen Streaming von Filmen und Musik, man kennt es ja von Youtube, werden Daten vom Server auf den Computer übertragen, meist sogar etwas schneller als man sich den Film ansehen kann oder das Musikstück anhören kann. Das nennt man im Fachjargong das sogenannte Buffering (neudeutsch für Puffern oder zwischenspeichern). Das sorgt dafür, daß der Film nicht zwischendurch ruckelt und die Musik nicht aussetzt. Und das sehen die Anwälte als Verfielfältigung.
Beauftragt wurde die regensburger Anwaltskanzle Urmann + Collegen von einer schweizerischen Firma The Archive AG Unterlassungserklärungen in Deutschland zu versenden. Bisher gibt es in Deutschland noch kein Gerichtsurteil, welches das Streamen von Inhalten im Internet verbietet. Auf Europäischer Ebene gibt es eine Richtlinie mit der Nummer 2001/29/EG. Als diese Richtline 2001 beschlossen wurde, gab es das Streaming noch nicht.
Jetzt muß man auf gültige Gerichtsurteile warten, aber es gibt Gerichte, die in dieser Hinsicht ganz unterschiedlich urteilen mögen oder ihre Urteile ganz unterschiedlich begründen.
Seit kurzer Zeit geht eine Phishingwelle um, die sich besonders an WordPress-Administratoren richtet, also jene Leute, die WordPress nur technisch betreuen und jene, die es selbst betreuen und damit Bloggen. Die Phishing Mail soll dazu verleiten, eine kostenlose Pro-Version (Premium) des allseits beliebten All in One SEO Pack zu installieren.
Was ist das All in One SEO Pack? Wozu wird es gnutzt?
Das All in One SEO Pack ist ein Plugin um den Blog durch Seitenbeschreibungen, Tags und Titel (Überschrift) den Blog für Suchmaschinen freundlicher zu gestallten. Dadurch erhöht sich die Chance, bei Google und Co. in der Trefferliste weiter nach vorn zu gelangen. Hiervon gibt es eine kostenlose Version und eine, die man bezahlen muß. Die kostenpflichte Pro-Version umfasst einige Funktionen mehr als die kostenlose. Natürlich ist in der Pro-Version auch besserer Support enthalten.
Was hat es mit der Phihing-Mail nun auf sich?
Die Phishing-Mail bietet WordPress-Administratoren und Bloggern die kostenplfichtige Pro-Version von All in One SEO Pack kostenlos zum Download an. Klackert man auf den Downloadlink in der Mail, so wird man nicht auf die offizielle Plugin-Seite von WordPress geleitet,
http://wordpress.org/plugins/
sondern landet auf einer von Spammern infizierten Seite in Australien oder Brasilien mit den Domainkürzeln *.com *.au oder *.br. Ab hier sollte man bereits das Hirn einschalten und stutzig werden.
Laut der Sicherheitsfirma Sucuri haben bereits einige deren Kunden das Plugin installiert. Und hierbei wird es kriminell. Mit dem Plugin installiert man sich einen Schadcode, der eine Hintertür im Server öffnet und die index.php der betreffenden WordPress-Blogs austauscht. Ab diesem Zeitpunkt ist es möglich, daß Ganoven beliebigen Code in den Blog ihres Opfers einschleusen können, mit dem man die Rechner der Besucher der infizierten Blogseite angreifen kann. Manche Versionen des Schadcodes leiten die Besucher beispielsweise auf Pornoseiten oder andere Server weiter, die weitere Maleware verbreiten.
Fazit
WordPress ist eine beliebte Blogsoftware und daher weit verbreitet. Durch die hohe Verbreitung von WordPress ist es auch ein beliebtes Angriffsziel um Schadcode zu verbreiten oder Spam zu verschicken. Als Blogger der WordPress verwendet oder Administrator für die technische Betreuung für WordPress sollte man dieses natürlich von Anfang an gut absichern. Hierzu findet man im Netz seitenweise Tutorials und How to’s. Auch sollte man Plugins von der offiziellen WordPress-Seite nutzen und nicht irgendwelche dubiosen Angebote aus irgendwelchen Quellen, die mal irgendwer (unbekanntes) per Mail verschickt. Klar können sich auf der Plugin-Seite von WordPress auch dubiose Angebote finden, die Wahrscheinlichkeit ist hier geringer, denn die Community darf hier Bewertungen abgeben und die Zuätzlichen Funktionen auseinandernehmen und überprüfen.
Wie bereits vor einigen Wochen bei dem Javaupdate berichtet, öffnet sich spontan und ungewollt jetzt öfters eine Seite mit einer Warnung, daß eine veraltete Version von Firefox benutzt wird. Dabei wird angezeigt, welche Firefoxversion derzeit verwendet wird (aktuell Firefox 25). Es wird empfohlen den Firefox zu aktualisieren. Es hat alles den Anschein, daß diese fragwürdigen Updates wieder über Banner oder Bannerwerbung verbreitet werden, um ungewollte Toolbars auf den Rechner von Anwendern zu bringen, oder eben Schadsoftware. In der Adressleiste erscheint folgende Seite:
http://www.update-browser.org/Firefox-DE/
Es öffnet sich folgende Website, in der ein Frame mit der Aufforderung zum Aktualisieren des Firefox. Mit einem Klick auf OK muß man das bestätigen. Dann befindet sich eine Art Allgemeine Geschäftsbedingung (AGB) die man aktzeptieren muß. Das Ganze sieht aus wie auf folgendem Bild.
Aufforderung zur Browseraktualisierung
Die Allgemeinen Geschäftrsbedingungen oder in dem Fall die Nutzungsbedingungen enthalten folgenden Wortlaut:
Nutzungsbedingungen
Danke, dass Sie sich entscheiden haben eine kostenlose Software von unseren Servern herunterzuladen. Diese Website wurde entworfen, um einfachen Zugriff auf Downloads zur Verfügung stellen aus einer Vielzahl von nützlicher, kostenloser Open-Source-Software. Wir sind auch Partner mit 3. Parteien, um Symbolleisten und andere Werkzeuge (“Symbolleisten”) zum Download an unsere Nutzer zu bieten. Wir werden die Symbolleisten und andere damit zusammenhängende Dienstleistungen, die wir anbieten als “Dienste”bezeichnen. Wir sind uns bewusst, dass Sie Ihr Vertrauen in uns setzen und unserer Verantwortung zum Schutz Ihrer Privatsphäre. Als Teil dieser Verantwortung bieten wir diese Datenschutzerklärung (“Datenschutzerklärung”) um Sie wissen zu lassen, welche Informationen wir sammeln, wie wir sie verwenden, teilen und schützen.
Ihr Download ist eine Open Source Software unter der GNU General Public License (GPL) lizenziert; unten verfügbar.
Dieses Programm ist kostenlose Software: Sie können sie weitergeben und / oder modifizieren unter den Bedingungen der GNU General Public License, wie von der Free Software Foundation veröffentlicht, entweder Version 3 der Lizenz oder (nach Ihrer Option) jeder späteren Version.
Dieses Programm wird verbreitet in der Hoffnung, dass es nützlich sein wird, aber OHNE IRGENDEINE GARANTIE, sogar ohne die gesetzliche Gewährleistung der GEBRAUCHSTAUGLICHKEIT oder EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Lesen Sie die GNU General Public License für weitere Details.
Laut dem Quellcode wird beim Öffnen der Seite via einem Javascript der verwendete Browser abgefragt und durch das Setzen von bestimmten Variablen in diesem wird dem User vorgegaukelt, man würde eine veraltete Version des verwendeten Browsers verwenden. Aktzeptiert man die Nutzungsbedingungen bekommt man eine Datei namens Updater.exe für den Windows PC. Es ist anzunehmen, daß tatsächlich Toolbars installiert werden, aber es kann durchaus sein, daß auch Schadsoftware auf den Rechner kommt. Ob ein Browser aktuell ist, oder nicht, sagt der Browser selbst. Man muß ihn höflich fragen.
Die aktuelle Version ihres Browsers finden sie beim Firefox in der Hilfe und dem dortigen EintragÜber Firefox. Beim Internetexplorer befindet sich der entsprechende Befehl Info in der Menüleiste unter dem ? (Fragezeichen). Bei Opera befindet sich ein Versionschat in der Hilfe unter Über Opera. Für Chrome befindet sich ein Schraubenschlüsselsymbol rechts neben der Adressleiste. Beim Safari befindet sich neben der Adresszeile ein Zahnrad, auf das klickt man einmal. Ganz unten erscheint ein Eintrag Über Safari.
Safari wird aber leider nicht mehr weiterentwickelt, alle Anderen Browser zeigen Ihnen dort an, ob ein Update fällig ist oder ob die Version gerade aktuell ist. Für Updates des Browsers sollte man sich stets auf die Website des Herstellers begeben und den Browser der Wahl dort laden, oftmals gibt es auch Updatebefehle (bei Firefox ist das so) direkt auf dem Versions-Check des Browsers, der ein Update von dort aus durchführt. Microsoft bringt Updates für den Internet Explorer generell über die Updatefunktion von Windows mit.
Andere Websites bieten beispielsweise den Firefox oder auch den Chrome Browser an. Aber meist sind die dann mit Plugins oder AddOns und lästiger Werbung vollgestopft. Von daher sollte man immer auf die Versionen der Hersteller zurückgreifen und sich dann nach den eigenen Wünschen einstellen.
Cryptolocker hat es in sich. Die Entwickler dieses Trojaners nutzen knallharte Verschlüsselung mit einem 2048bittigem RSA-Schlüssel. Nach der Infektion des PCs läßt sich der Schädlinng von seinem Command-and-Control Server ein RSA-Schlüsselpaar generieren, von dem er sich nur den öffentlichen Schlüssel zuschicken läßt. Mit diesem Schlüssel wird alles, was der Trojaner auf dem PC an Daten findet verschlüsseln. Auch Netzwerkfreigaben sind scheinbar betroffen. Nun wird der Computernutzer erpresst. Für den privaten Schlüssel zur Entschlüsselung der privaten Daten sollen schlappe 300 Dollar berappt werden, zahlbar beispielsweise in Bitcoins und natürlich auch über andere Wege. Zusätzlich wird dem panischen Nutzer noch ein Countdown angezeigt, bei dessen Ablauf der private Key gelöscht wird… als Druckmittel sozusagen. Opfer, die diesen Trojaner bereits entfernt haben, bieten die Entwickler an, den privaten Key über das TOR-Netzwerk zu erwerben. Berichten zu folge werden dort 10 Bitcoins fällig, was beim jetzigen Wechselkurs mehr als 2000 Euro sind. Weiteren berichten zu Folge werden bei beiten Methoden die Daten nicht mehr freigegeben. Deswegen wird abgeraten das Lösegeld für die Daten zu zahlen. Regelmäßige Backups sind daher Pflicht, weil die VBerschlüsselung auf anderem Weg noch nicht umgangen werden kann.
Seit einigen Tagen kursiert eine neue Masche, um den Computer mit Maleware (Schädlingen) zu infizieren. Das geschieht über Bannerwerbung. Geratet ihr auf eine Website, werdet ihr sofort, oder nach kurzer Zeit, auch ohne eigenes Zutun auf eine Seite weitergeleitet, die euch auffordert, ein Java Update mit der Version 7 Update 25 (7u25) herunterzuladen und zu installieren. Aktuell wird Java 7 Update 45 (7u45) ausgeliefert, also Augen auf. Es ist eine Weiterleitung von der eigentlich angesurften Seite und kein Pop-Up, auf eine der beiden folgenden Adressen, die ihr natürlich in der Adresszeile eures Browsers ablesen könnt.
Eine Whoisabfrage hat zu einer Firma mit dem Namen WHOISGUARD INC. in Panama geführt. Betroffen ist Windows ab XP (ich habe von Win XP 32-Bit gelesen) bis hin zu Windows 7 mit dem Browser Firefox, aktuell Versionen 24 und 25 mit aktiviertem Javascript und installiertem Java auf dem Rechner. Vorbeugen kann man augenscheinlich, wenn man Scripte und Javascript deaktiviert oder für den Firefox das Plugin NoScript installiert. Diese Aufforderung zum Java-Update tritt auf verschiedenen Seiten auf, die Bannerwerbung nutzen. Also scheint man damit die Betreiber von Bannerwerbung aufs Kreuz gelegt zu haben, um seine Schädlinge zu verbreiten.
Spamschleudern gibt es heutzutage en masse. Jeder kennt das leidige Problem, daß der Spamordner und auch öfters einmal der normale Posteingang vor lauter Spam-Mails aus allen Nähten quillt. Dennoch ist der Spamschutz heutzutage recht ausgefeilt. Es gibt globale Spamlisten, die jeder Mailbetreiber nutzen kann und jeder Mailprovider wird auch seine eigenen Spamschutzlisten pflegen.
Trotz der ausgefeilten Methoden, lassen sich Spamversender immer neue Ideen einfallen, Mailadressen voll zu spammen. Eine ganz neue Methode ist folgende: Man schickt eine Werbung für irgendein Potenz- oder Hirnmassensteigerndes Produkt, oder auch nur zu einem schnöden Kredit.
Einige Minuten später verschaffen sich die Spammer mit einer zweiten Mail noch einmal nachdrücklich Gehör. In dieser Mail ist die Betreffzeile der vorangegangenen Werbemail vermerkt. Nun wird im Betreff (eventuell auch zusätzlich) im Textkörper darauf hingewiesen, daß man seinen Spamordner einmal prüfen solle und gegebenenfals die Einstellungen des Spamfilters ändern soll. Beispiele dafür können sein: „Falsche Einstellung Ihres Spam Filters“, „Alles angekommen?“ oder auch „Sorry – unser Fehler“
Seit heute ist das neue WordPress mit der Versionsnummer 3.7 verfügbar. Die größte Neuerung ist das automatische Update. Mindestens seit Version 3.0 hat WordPress eine Funktion um ein automatisches Update anzustoßen, wenn denn eine neue WordPressversion verfügbar ist. Nach der offiziellen Ankündigung werden Punkt-Releases (beispielsweise von Version 3.7 auf Version 3.7.1) automatisch abgefragt und installiert. Bei Core-Releases von 3.7 auf 3.8 ist immer noch Handarbeit notwendig.
Bei sogennten Punkt-Releases oder Minor-Releases entsteht somit ein Updatezwang auf die neuere ud somit aktuellere Version, den der User nur mit Frickelarbeit am Quellcode von WordPress beheben kann. Automatische Sicherheitsupdates sind schon vorteilhaft, gehen aber manchmal – gerade bei auftretenden Fehlern (nicht jedes System ist gleich) – zu Lasten des Produktivsystems. Und die meisten Blogs werden doch gleich als Produktivsystem genutzt. Es sollte deswegen vorher beim Betreiber abgefragt werden, ob ein automatisches Update durchgeführt werden sollte um Fehler zu minimieren. Auch Plugins müssen eventuell an neuere Versionen von WordPress erst angepasst werden um auch mit neueren Versionen von WordPress optimal zu laufen.
Jedenfalls bekommt WordPress von mir eine heftige Rüge, weil man in der offiziellen Anwendung nicht erwähnt, wie man diesen Updater abschalten kann. Sicher ein automatisches Update von WordPress ist schon an einigen Stellen recht sinnvoll, da man wichtige Sicherheitsupdates nicht vergisst und einige unerfahrenere Blogger somit an die Hand genommen werden und Gefrickel beim Update zu vermeiden. Aber das ganze geht zu Lasten des Produktivsystems, da sich mit der Automatik Fehler einschleichen können.
Update 27. Oktober 2013 Die Community hat sich etwas einfallen lassen. Ein Plugin, welches das die Zwangsupdatefunktion deaktiviert gibt es mittlerweile auch schon. Das Plugin wurde unter dem grandiosen Namen Disable Automatic Updates auf der offiziellen WordPresseite für Plugins veröffentlicht. Diese neue Funktion richtet sich gerade an technisch weniger versierte Nutzer, die keine Zeit, Lust oder Erfahrung in Scriptsprachen haben und in WordPress selbst keine Änderungen vornehmen wollen. Der Link dazu folgt in der Linkliste wie üblich am Ende des Artikels. Update vom 27. Oktober 2013 Ende
Eine der folgende Codezeilen kann man in die wp-config.php einfügen, um das automatische Update zu deinstallieren. Die kurzen Erklärungen sind grau hinterlegt und auskommentiert. Wichtig sind prinzipiell nur die farbigen Zeilen.
In einer offiziellen Stellungnahme wird folgendes Vorgeschlagen, man beachte aber, daß hiermit vermutlich der gesamte Updater abgeschalten wird und somit auch nicht nach geupdateten Plugins und Themes gesucht wird.
define( 'AUTOMATIC_UPDATER_DISABLED', true );
Um die Verwirrung noch größer zu machen, kann man mit Hilfe der beiden Filter auch den Updater einiges verbieten oder erlauben.
automatic_updater_disabled
auto_update_coreD
Für Bastler gibt es dazu noch einige Optionen in der Datei functions.php zum Ändern, fals ihnen die obigen Möglichkeiten nicht ausreichen:
//Allow auto updates of development releases ie alpha, beta and RC
add_filter( 'allow_dev_auto_core_updates', 'wp_control_dev_auto_updates' );
function wp_control_dev_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
//Allow auto updates of minor releases ie 3.7.1, 3.7.2
add_filter( 'allow_minor_auto_core_updates', 'wp_control_minor_auto_updates' );
function wp_control_minor_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
//Allow auto updates of major releases ie 3.7, 3.8, 3.9
add_filter( 'allow_major_auto_core_updates', 'wp_control_major_auto_updates' );
function wp_control_major_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
// Allow auto theme updates
add_filter( 'auto_update_theme', 'wp_control_theme_auto_updates' );
function function wp_control_theme_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
// Allow auto plugin updates
add_filter( 'auto_update_plugin', 'wp_control_plugin_auto_updates' );
function function wp_control_plugin_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
// Allow auto language updates
add_filter( 'auto_update_translation', 'wp_control_translation_auto_updates' );
function function wp_control_translation_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
Eine weitere wichtige Neuerung ist die Vorschlagfunktion für stärkere Passworter. Denn diese sind immer noch wichtigste Schutz und sollten auch öfters einmal getauscht werden. Es ist schon kurios, daß man das vielen Internetnutzern immer wieder unter die Nase binden muß.
Weiterhin bringt WordPress 3.7 einen Assistenten für die automatische Installation der richtigen Sprachdatei mit. Es gibt Menschen, die das System lieber in ihrer Muttersprache als im englischen Original nutzen wollen.
Ende August schrieb ich über zwei Dungeon Master Clones. Zu einem, den auf Java basierenden Clone, gab es ein paar kleine Startschwierigkeiten auf moderneren Systemen mit zwei Grafikeinheiten (GPU). In mehreren Zuschriften wurde berichtet, daß der Dungeon Master Java (DMJ) Clone nicht startet und daß die benötigte Java Version veraltet und unsicher ist. Eine kleines Workaround gibt es nun an dieser Stelle.
Für Sicherheitsbewußte
Um den Clone lauffähig zu bekommen, benötigt man eine ältere Java Runtime mit der Version 1.14. Das birgt allerdings Sicherheitsrisiken für den eigenen Computer.
Mit Virtualbox und einem Windows der eigenen Wahl kann man schon für Abhilfe sorgen. Virtualbox wird aus dem Internet geladen und installiert, dazu das Extension-Pack. Hat man Virtual-Box installiert, startet man die Virtualisierungssoftware. Man wählt sich ein Windows der Wahl (was man eben als CD/DVD vorliegen hat) und gibt dem Gastrechner noch einen passenden Namen. Im folgendem Fenster gibt man den Hauptspeicher (RAM) an. 2 bis 3 Gigabyte dürften schon ausreichen. Eine Festplatte wird im nächsten Fenster erzeugt und dazu nutzt man das VirtualBox Disk Image (VDI). Im nächsten Schritt wird eine dynamisch alloziierte Festplatte, erzeugt. Das heißt, daß die Datei, die die Festplatte belegt nur soviel Platz auf der Platte unseres Hostrechners verbraucht, wie viel Daten eben da drin gespeichert sind. Im nächsten Fenster brauchen wir nicht viel zu verändern. Wir belassen es bei 25 Gigabyte an Plattenplatz und klackern einfach auf Erzeugen. Nun muß nur noch der Grafikspeicher festgelegt werden und die 3D-Grafikbeschleunigung und 2D Video-Beschleunigung aktiviert werden. Die Häckchen dazu findet man nach einem Klick auf Anzeige.
Als nächstes wird das Installationsmedium, vorzugsweise CD oder DVD ins passende Laufwerk unseres Hostrechners gelegt und in Virtualbox die angelegte Maschine gestartet. Nun kann man getrost sein Windows aufsetzen. Ein neueres Windows (Vista, Win 7 und Win8) bringt von Haus aus die erforderlichen Treiber mit. Ist das gewünschte Windows nun virtuell installiert, startet man es und installiert dort drin Java 1.14 und den Dungeon Master Java Clone. Das Vorgehen dürfte ausreichend Sicherheit mit sich bringen.
Dieses Workaround setzt natürlich eine zweite gültige Windows-Lizenz oder eine Testversion von Windows vorraus.
Für Schnellstarter
Wer seine Windowspartition auf dem hauseigenem Rechner nur zum Zocken und Spielen verwendet und ein weiteres System (beispielsweise Linux) für kritische Arbeiten (zum Beispiel Onlinebanking und Surfen) nutzt, der kann sich überlegen, ob diese oben beschriebene Arbeit überhaupt nötig ist. Ist das genutzte Windows, installiert in einer eigenen Partition oder einem eigenen Gamingrechner kein Produktivsystem, sondern nur zum Spielen gedacht, kann nun abwägen, ob das oben genannte Vorgehen nötig ist. Bei Systemen, die man für die alltägliche Arbeit und den ganz persönlichen Medienkonsum genutzt wird, sollte natürlich die Sicherheit Vorrang haben.
Es sei aber empfohlen, die ganzen Sicherheitsupdates der beiden Systeme und die Virensoftware und Firewall auf den neuesten Stand zu bringen.
Starthilfe bei neuen Rechnern
Bei einer normalen Installation auf dem Rechner gab es Startprobleme. Die Installation verlief zumeist reibungslos, aber das Starten von Dungeon Master Java (DMJ) hakte und hing. Das Spiel wurde schlichtweg nicht geladen.
Was ist passiert? Die meisten neueren Rechner (neuer als 3 Jahre) besitzen zumeist 2 Grafikprozessoren. Einen auf dem Hauptprozessor und einen weiteren auf einer zusätzlichen Grafikkarte. Zumeist betrifft das die Prozessoren der Marken von Intel – Ivy-Bridge, Sandy-Bridge, Haswell und kommende Generationen.
Hier hilft ein einfacher Trick. Die zusätzliche Grafikkarte von AMD oder NVidia wird einfach in der Windows Systemsteuerung und dem Gerätemanager deaktiviert. Bei älteren Hauptprozessoren und solche ohne GPU erübrigt sich das Abschalten der zusätzlichen Grafikkarte.
Heute hat Sony das Firmwareupdate 4.5 der Playstation 3 veröffentlicht. Das bringt bei einigen Nutzern Erleichterung im Updatefrust. Es ist das letzte Update, das einige Nutzer, gerade von älteren Modellen der Playstation 3, manuell herunterladen und installieren müssen. Zu den Neuerungen gehört das automatische Update für alle.
Mit der aktuellen Firmware können Nutzer der PS3 aktuelle Updates und Einkäufe aus dem Playstation Network automatisch herunterladen. Bisher konnten das nur Mitglieder des kostenpflichtigen PSN Plus Angebotes.
Zu den weiteren Neuerungen gehören noch ein paar weitere Kleinigkeiten. Spieler können jetzt ihre erspielten Trophähen ein- und ausblenden, so daß weitere Nutzer nicht sehen, wieviel Zeit mit dem Spielen verbracht wurde. Zudem lassen sich jetzt direckt zwischen der Playstation 3 und der PS Vita Daten austauschen, via WLAN oder kabelgebundenem Ethernet.
Das Bundesamt für Sicherheit in der Informationstechnik hat eine Warnung vor einem neuen Trojaner herausgegeben. Dieser wird als Link zu einem angeblichen Video weiterverbreitet. Das geschieht per E-Mail und über soziale Netzwerke, hauptsächlich Facebook. Beim Öffnen des Links wird man nicht zum versprochenen Video geführt, sondern zu einer Website weitergeleitet, wo man aufgefordert wird ein kostenloses AddOn für seinen Browser zu installieren. Dieses AddOn für den Internetbrowser ist der genannte Schädling, der im Browser und im Betriebssystem eine Sicherheitslücke auf, über die Man-in-the-Middle Attacken auf bestehende Internetverbindungen geführt werden können. Daher sollte das AddOn auf keinen Fall installiert werden. Bisher ist nur der Browser Chrome betroffen, Mozilla Firefox könnte demnächst folgen.
Der beliebte Download-Manager Orbit-Downloader fährt seit einiger Zeit DDoS Attacken auf verschiedene Server im Internet. Nach dem ersten Start zieht das Tool ein Angriffsmodul vom Herstellerserver naach, welches auf Zuruf Salven von Netzwerkt-Datenpaketen abschießt. Der SYN-Flood-Angriff ist so intensiv, daß er das eigene Netzwerk gleichzeitig mit lahmlegen kann. Laut dem Virenlabor von ESET wurde der Schadcode um die Jahreswende 2012/2013 in den Downloadmanager integriert. Die Hintergründe dazu sind noch unklar. Mittlerweile häufen sich unbeantwortete Anfragen von betroffenen Nutzern im Supportforum seit Monaten.
Seit kurzem kurisiert ein Exploit, der kritische Schwachstellen in Java 6 ausnutzt. Wer keinen kostenpflichtigen Wartungsvertrag mit Oracle für Java 6 und Securityupdates dazu am Start hat, sollte auf das derzeit aktuellere Java 7 zurückgreifen.
Wer schonmal den Film Jagd auf roter Oktober gesehen hat kennt das recht berühmte Zitat
Die Schwierigkeit am Katz‘ und Maus-Spiel ist zu wissen wer die Katze ist!
als das amerikanische U-Boot USS Dallas das sowjetische Jagd U-Boot von Kapitän Tupolev mit dessen eigenem Torpedos zerstört. In einem anderen Kontext kann man das Zitat nun doch auch anwenden, beim Enttarnen von betrügerischen Phishing Mails zum Beispiel.
Es gibt doch ein paar Merkmale, an denen man die meist recht gut gemachten Phishing-Mails erkennen kann. Aber man sollte bei Mails immer den gesunden Menschenverstand walten lassen und mit offenen Augen lesen, denn Mailbetrüger machen schon recht geschickt E-Mails nach, wie einige meiner früheren Beiträge zeigten. Mit einigen wenigen Hilfsmitteln kann der ratlose User sich schon weiterhelfen. Mein früherer Chef pflegte immer „Lieber drahtlos als ratlos“ zu sagen.
Merkmale in Text und Schreibweise
Manchmal scheint es, als habe der Betrüger beim Verfassen einer solchen Phishingmail von Duden und Blasen keine Ahnung. Das betrifft die Rechtschreibung, aber auch die Grammatik oder die Kodierung von Sonderzeichen und Umlauten. Oftmals merkt man den Mails an, daß diese mit den Übersetzungstools von Google und co. erstellt wurden. Falsche Ausdrücke, besonders Fachwörter werden im falschen Kontext gebraucht. Die Mails von Unternehmen und Dienstleistern allerdings beinhalten zwar auch den einen oder anderen Fehler, aber die Fehlerquote ist um ein Vielfaches geringer.
Wichtige Daten per Mail?
Gerade wenn wichtige Daten (beispielsweise PINs/TANs oder Kreditkartennummern oder Kontodaten) gefordert werden, oder wenn sich irgendwelche Zahlungsmodalitäten ändern, sollte man schon hellhörig werden. Mails sind im Prinzip nichts anderes als Postkarten, die jeder Provider oder Postbote, der diese weiterleitet, mitlesen kann. Und so verschickt man keine sensiblen Daten. Anderenfals werden Unternehmen und Banken, aber auch Inkassobüros die Infos mindestens als verschlüsselte Mail, aber hauptsächlich per Einschreiben mit der Post versenden. Also stutzig werden, wenn die Bank auf einmal per Mail nach Geheimdaten verlangt.
„Hallo Welt“
Die meisten Unternehmen werden sich eher bemühen, ihre Mails und Newsletter zu personalisieren, also den Empfänger direkt ansprechen. Dazu verwenden die Unternehmen die Namen und Daten, die Sie schon bei der Registrierung angegeben haben. Die Anrede „Sehr geehrte/r Kunde/Kundin“ zeigt, daß der Name nicht vorhanden ist. Vertrauen kommt erst durch Personalisierung, das wissen auch Betrüger. Daher werden Phishingmails mit korrekter Anrede immer häufiger. Diese Daten kommen natürlich dann aus Einbrüchen in die Datenbanken von Unternehmen und Online-Shops, bei denen man schon einmal Waren bezogen hat. Solche Listen mit kompletten Datensätzen werden in Untergrundforen für recht teures Geld gehandelt, für mehr Geld als nur nackte E-Mailadressen.
Spielerische Klickereien
Wirken Anrede und Rechtschreibung authentisch, so macht man sich über eingefügte Buttons und Links her. Profis werden sich von HTML-Mails den Quelltext anschauen wo sie die Links hinter den Buttons besser lesen können. Aber keine Bange, es geht noch etwas einfacher. Man bewege seinen Mauszeiger einfach auf die entsprechenden Buttons oder Links und nun wird die URL in der Statusleiste des verwendeten Browsers oder Mailprogrammes ankommen. Meist sollte doch eine Mail von der Postbank, PayPal oder der INGDiBA auf URLs wie
http://diba.de
oder
http://postbank.de
verweisen. Kommen allerdings seltsame und lange URLs wie
http://britih.com/-vti-bin usw.usw.
heraus ist das ein Merkmal, daß da etwas nicht stimmt. Mir selbst ist da auch schonmal die URL
http://paypal5.net
untergekommen. Meistens arbeiten die Phishingmails mit einem gewissen Druck, beispielsweise sollen Anwalts- und Inkassobüros eingeschaltet werden, wenn keine Zahlung kommt, oder man brauche Geld weil irgendwelche Schwierigkeitren vorliegen, oder es werden Kontosperrungen angedroht. Die Möglichkeiten sind da vielfältig. Hier gilt es dann Ruhe und einen kühlen Kopf zu bewahren. Große Unternehmen und Banken verschicken Mahnungen meist per Einschreiben mit der Post oder einem anderen Brief- und Paketdienst und setzen zumeist angemessene Fristen bis zu einem bestimmten Datum.
Manchmal sind Betrüger so dreist, daß man die Domains von Banken mit sogenannten Subdomains fälschen will. Das ganze sieht dann beispielsweise so aus:
http://ing-diba.de.ht/webkunden
oder
http://verifysparkasse.webs.com
. In den genanten Beispielen wären die Domains
webs.com
und
de.ht
Meist sind auch echte Domains und URLs nicht einfach zu erkennen. Aber viele URLs bestehen aus zwei Hauptteilen:
http://sparkasse.de
wobei das .de Das Länderkürzel ist und
sparkasse.de
die Domain ist und das ist meist der Vordere Teil der URL. Backslashes / dienen in einer URL meist als Trennung für weitere Pfad- und Dateiangaben in die Tiefe eines Servers, der im Prinzip mit genau solchen Ordnern und Dateien arbeitet wie ihr Computer daheim. Wer Zweifel an der Echtheit einer Domain hat, der kann mit dem Tool Whois weitere Recherchen anstoßen und damit ganz einfach die Hintermänner einer mysteriösen Domain ausfindig zumachen. Am Ende des Artikels verlinke ich natürlich wieder auf die verwendeten und genannten Tools.
Können Sie Gedanken lesen?
Um weitere aufschlussreiche Informationen zu bekommen, kann man einer Mail in den Header (Kopf) gucken. Dort stehen die Verbindungsdaten der Mail drinnen. Diese geben Auskunft von wo sie stammen, welchen Weg sie durchs Internet direkt in Ihr Postfach genommen haben und zu welchem Empfänger sie unterwegs waren. Das sind die sogenannten Meta-Daten, und auf diese sind aktuell so einige Regierungen und Geheimdienste scharf.
Und diese Verbindungsdaten kann man mit ein paar kleinen Mausklicks herausfinden. Allerdings läßt sich die Absenderadresse recht einfach fälschen, von daher gibt diese Info nicht viel her. Schwerer zu fälschen sind die Informationen, über welche Server die Mail gegangen ist.
Aber nun ganz von vorn. Wie komme ich an diese Daten heran? Thunderbird verbirgt einen Befehl im, Menü Ansicht–>Kopfzeile–>Alle, Outlook befindet sich die Kopfzeile der geöffneten Mail unter Ansicht–>Optionen–>Nachrichtenoptionen. Bei den Webmailern GMX und Web.de bekommt man die gewünschten Infos über das kleine i neben der Datumsanzeige. Yahoo zeigt den Header, wenn in den Aktionen den gesamten Kopfbereich anwählt. Original anzeigen ist bei Gmail der richtige Weg zu diesen Infos.
Was steht denn nun drin in dem Header?
Eine Received Zeile hat folgende Form:
Received from smtp-out-127-10.amazon.com...
[176.32.127.10]...
by mx.google.com...
for < ...@gmail.com>
Ultrace erkennt die im Beispiel verwendete IP Adresse
Der Server der die Mail versendet steht hinter dem Attruibut from und by zeigt uns den Server an, der die Mail empfangen hat. Hat man nun in der betreffenden Zeile den Server des eigenen Providers (GMX, Web.de, Google, T-Online oder Yahoo) gefunden, kann man diesen Informationen trauen, wenn der Provider sagt, daß die Mail beispielsweise von Amazon.com ist. Ist die Sachlage nicht ganz so klar, weil die Sendeadresse vielleicht gefälscht ist, gibt es ein kostenloses Tool mit dem Namen Utrace. Dieser Dienst sucht eine IP Adresse und die dazugehörende Region, wo diese derzeit registriert ist. Und diese sieht man auf der Weltkarte von Google-Maps, wo sich denn die Adresse befindet. In meinem Beispiel von oben, wurde die IP Adresse 176.32.127.10 bei Utrace angebenen und mir wurde von diesem Dienst der Sitz Amazons in Irland gezeigt dazu noch der Firmenname.
Bei Amazon weiß man, daß dieses Unternehmen auch Standorte in Irland betreibt. Würde die Adresse irgendwo auf einen Ort nahe Hintertupfingens zeigen, kann man davon ausgehen, daß diese Mail dann doch unlautere Absichten verfolgt. Ist dem so, hat dann kein richtiger Server die Mail im Postfach abgegeben, sondern irgendein mit Schädlingen verseuchter Zombie-PC aus Hintertupfingen, der Teil eines Bot-Netzes ist. Die PCs in solchen Botnetzen bekommen dann eine Mailvorlage und eine Liste mit einer Menge gesammelter potentieller Mail-Adressen, vielleicht dazu noch Namen und dergleichen. An diese Mail-Adressen werdenn dann so lang E-Mails an, bis das Botnetz auffliegt oder der betreffende PC von Schädlingen gereinigt wird. Phishingmails kommen auch von vielen Freemailern, bei denen sich die Phisher viele Accounts, zu dem Zweck möglichst viel Spam zu versenden, anlegen. Das geht so lang, bis die Accounts vom Provider gesperrt werden.
Nimm die Lupe und gehe nun in die freie Wildbahn
HTTPS Zertifikat der Postbank
Mit den oben genannten Methoden hat man die Mails nun doch schon recht gut beschaut. Sind dabei keine verwertbaren Infos herausgekommen, kann man sich den Links zuwenden, fals man sich nicht ganz sicher ist. Dazu brauchts ein gut gesichertes Betriebssystem mit aktuellen Updates, einer guten Virensoftware und für den Browser eine Sandbox. Besser ist es, wenn man sich ein Live-Linux herunterlädt, auf eine CD/DVD bannt und es von nur von dort startet, damit eventuelle Schädlinge keine Chance haben sich auf dem System einzunisten. Bei zweifelhaften Mails kann man noch 2 bis 3 Tage warten, dann kann der Virenwächter sicherer gegen eventuell verseuchte Inhalte vorgehen.
Der erste Blick sollte dann doch einmal auf die Adresszeile oben im Browser gerichtet werden. Ist die Seite der Bank verschlüsselt? Wie sieht die URL aus? Stimmt das Design mit dem Design des Webauftritts der Hausbank überein? Stellt man Fehlerhafte Rechtschreibung und Grammatik fest? Stimmt das HTTPS Zertifikat? Um das zu überprüfen klickt man auf das grüne Schloss. Dort kann man nachlesen, für welchen Anbieter das Zertifikat von wem ausgestellt wurde. Meist stehen in dem Zertifikat noch die Adressdaten beispielsweise der Hausbank drin. Je nach Browser sind dann auch Teile der Adresszeile grün hinterlegt.
Achtung Mailanhänge
Besondere Gefahr geht von Mailanhängen aus, in denen Rechnungen, Mahnungen und dergleichen enthalten sein sollen. Häufig holt man sich ein Trojaner, ein Spionageprogramm, auf seinen Rechner, wenn man diesen Anhang dann doch öffnet. Besteht ein Verdachtsmoment am Absender der Mail heißt es am besten: Finger weg davon! Ausführende Dateien (Endungen auf *.bat, *.exe, *.com, *.dat, *.js, *.cmd, *.jar, *.vbs und so weiter) sind besonders gefährlich. Hier installiert man sich schnell einen Schädling, der gerne mal noch andere Schädlinge aus dem Netz nachlädt. Aber auch Vorsicht bei *.zip und *.rar Dateien, allgemein bei Archivdateien. Diese enthalten gerne statt der versprochenen Rechnung als PDF eine ausführbare Datei. Kriminelle können sogar ihre Schädlinge als Word-, Excel- oder PDF Dokument maskieren. In Office Dateien werden häufig Makros eingebaut, das sind gewissermaßen Automatismen für Routineaufgaben in den allermeisten Dokumenten. Aber diese Makros können auch gefährlichen Inhalt auf den PC laden, wenn sie ausgeführt werden.
Noch gefährlicher sind Dateien mit sogenannten „doppelten Dateiendungen“ wie Rechnung.pdf.exe . Alle gängigen Betriebssysteme haben die Möglichkeit Dateiendungen einzublenden, bei Windows sind die per Standardausgeblendet. Aktivieren kann man das in den Ordneroptionen im Reiter Ansicht – in dem man den Haken bei „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernt. Diese Einstellung ist bei Windows global und wirkt sich auf jeden Ordner aus. Jetzt wird jede Datei mit der Endung (ob doppelt oder nicht) angezeigt.
Ein Telefonanruf genügt
Reißen doch alle Stränge und es besteht ein Verdachtsmoment, sollte man sich doch bei dem Versender der Mail erkundigen. Nein… man nimmt dazu nicht die Telefonnummern, die in der Mail stehen, die können gefälscht sein. Ausgefuchste Cyberkriminelle betreiben irgendwo auf der Welt, aber auch in Deutschland eigene Callcenter und kassieren zusätzlich mit horrenden Telefonpreisen ab. Dazu geht man auf den Webauftritt der Bank oder des Webshops, dort sind im Impressum Kontaktdaten, wie Telefonnummern und dergleichen hinterlegt. Machen Sie sich die Mühe und fragen dort nach, auch wenn man ein wenig in der Warteschleife feststeckt oder das Telefonat ein paar Cent kosten sollte.
Meist wird man von den Phishern per Mail oder sozialem Netzwerk gedrängt, schnell mal Geld zu überweisen, irgendwelche Geheimdaten zu ändern oder das Konto zu verifizieren und zu bestätigen. Seriöse Unternehmen setzen meist angemessene Fristen, beispielsweise 10 oder 14 Tage nach Erhalt der Post ohne sofort Druck auszuüben und Forderungen zu stellen. Oftmals geschehen solche Dinge noch über den guten alten Postweg. Also lassen Sie sich Zeit und prüfen Sie ihre Post sorgfältig. Auch ein Gang zur nächsten Filiale Ihrer Bank, kann so manches Problem der Bank mit Ihnen aufklären
Fazit
Gehen sie mit ein bisschen gesundem Menschenverstand an eine zweifelhafte Mail heran, betrachten Sie diese Mail von vorn bis hinten von links nach rechts und auch umgekehrt wenn es denn sein muß. Tips zum Vorbeugen von Irrtümern sind hier gegeben. Werden Sie im Film von der Maus zur Katze, in dem Sie den Betrügern nicht auf den Leim gehen. Und lieber Leser… Geben sie mir ein Ping!
Security Spezialisten der der Firma RSA haben erstmals in freier Wildbahn einen Trojaner für Linux entdeckt. Der Trojaner mit dem grandiosen Namen Hand of Thief öffnet, sobald er installiert ist eine Backdoor auf dem Linux-Computer, über diese Formulareingaben im Browser übermittelt werden kann.
Die professionllen russischen Entwickler verlangen auf dem Schwarzmarkt für den Schädling um die 2000 US-Dollar, das sind umgerechnet schlappe 1500 Euronen. Der Trojaner soll auf 15 verbreiteten Distributionen laufen können, darunter Ubuntu und Debian, davon auch Derivate und Fedora. Befallene Browser sind Firefox/Iceweasle und Chromium.
Eine Ansteckungsgefahr ist recht gering, der Trojaner kann das System nur über ein zu installierendes Paket oder durch das Öffnen eines infizierten Mailanhangs gestartet werden. Sicherheitslücken im System werden nicht ausgenutzt, der Anwender muss den Trojaner per Mausklick installieren, damit er aktiv wird.
