Wie das GFI Labs Blog berichtet, hat der Hersteller des Password-Management-Systems Lastpass seine Kunden dazu aufgefordert ihr Master-Passwort zu ändern. Nach Angaben des Herstellers betreffe dies vor allem User, die ein eher schwaches Passwort verwenden. Solche schwachen Passwörter sind durch Brute-Force-Angriffe leicht zu hacken. Möglicherweise sind dem Hersteller die Hash-Werte der User gestohlen worden – zumindest scheint der Verdacht zu bestehen.
Nachdem der Blogger Roger Grimes in einem Posting sieben Arten von Black Hats ausgemacht hat, identifiziert Websense nun fünf Typen von Hackern (Hier im Blog: Sieben Arten von Black Hats).
- Scriptkiddies
- Hacktivisten
- Digitale Straßenräuber
- Organisierte Cyber-Kriminelle
- Cyber-Agenten
Mal sehen, wer als nächstes eine diesbezügliche Taxonomie vorstellt…
Nach Angabe von Julian Assange ist Facebook die fürchterlichste Bespitzelungsmaschine, die jemals erfunden wurde. Neben Facebook stellten auch Google und Yahoo Schnittstellen für die US-Geheimdienste bereit. Assange wird bei golem.de wie folgt wiedergegeben:
“Hier haben wir die weltweit umfassendste Datenbank über Personen, ihre Beziehungen, ihre Namen, ihre Adressen, Standorte und die Kommunikation untereinander, ihre Angehörigen, die alle in den Vereinigten Staaten sitzen, alles zugänglich für die US-Geheimdienste. Facebook, Google und Yahoo, all diese großen US-Organisationen verfügen über integrierte Schnittstellen für US-Geheimdienste.” Es sei “einfach zu teuer, die Daten für jeden Einzelfall bereitzustellen, darum wurde der Prozess automatisiert. Jeder sollte sich bewusst sein, dass mit jedem bei Facebook hinzugefügten Freund kostenlose Zuarbeit für die Geheimdienste der Vereinigten Staaten und den Aufbau dieser Datenbank geleistet wird.”
Nach einem Urteil des Amtsgerichts Göttingen ist das Entsperren von SIM-Karten kein Kavaliersdelikt. Im Gegenteil: das Gericht verurteilte einen 35-jährigen Mann zu einer Freiheitsstrafe von sieben Monaten auf Bewährung, wie auf der Webseite inside-handy.de berichtet wurde. Insgesamt 50 Mal soll der Mann die Handysperre außer Kraft gesetzt haben, um sich damit ein Zubrot zu verdienen. Neben der Freiheitsstrafe wurde der Mann zusätzlich zu 40 Stunden gemeinnütziger Arbeit verurteilt. Nach Angaben der Webseite ist in dem Fall jedoch davon auszugehen, dass der Beschuldigte Revision einlegen werde. Das letzte Wort ist also noch nicht gesprochen.
Wie der Sicherheitsexperte Brian Krebs in seinem Blog berichtet, wird seit kurzem ein Trojaner-Baukasten namens Weyland-Yutani für den Mac angeboten. Für 1000 $ ist die Software zu haben, die es in dieser Art bisher nur für Windows Systeme gab. Was es derzeit noch nicht gibt, sind Exploit-Baukästen, mit denen sich diese Trojaner auch ohne Sachkenntnis über Softwareschwachstellen in Zielsysteme einschleusen lassen. In jedem Fall erhöht sich dadurch das Risiko für Mac-Systeme, die bisher von solchen Bedrohungen verschont geblieben waren.
The Register hat sich mit der Frage auseinandergesetzt, was sich wohl auf Bin Ladens Festplatte verbergen könnte. Die Navy SEALs hatten neben Computern auch Festplatten und USB-Sticks in dem Gebäudekomplex sichergestellt, die nun in Afghanistan ausgewertet werden. Da Bin Laden aber eine ziemliche Paranoia hatte, was die Nutzung moderner Kommunikationstechnik angeht, wird nicht viel zu holen sein.
Sollte er allerdings ein Programm wie Mojahedeen Secrets verwendet haben, dürfte es die Geheimdienste nicht viel Zeit kosten, Fehler in der Implementierung zu finden und an die Daten zu kommen. Wie sagte bereits Bruce Schneier:
In dieser Welt gibt es zwei Arten von Kryptographie: Kryptographie, die Ihre kleine Schwester davon abhält, Ihre Dateien zu lesen, und Kryptographie, die große Regierungseinrichtungen davon abhält, Ihre Dateien zu lesen.
Wie Welt-Online heute berichtet, haben US-Kunden Apple wegen der Sammlung von Geodaten verklagt. Sie verlangen, dass Apple die Sammlung von Ortungsdaten beendet und fordern eine Erstattung des Kaufpreises, weil sie das iPhone nicht gekauft hätten, wenn Sie von der Datensammlung gewusst hätten. Ich denke, sie werden den Prozess verlieren.
Eine ereignisreiche Woche liegt hinter uns. Gehackte Websites, trickreiche Exploits, Wirbel um iPhone Ortungsdaten und zu allem Überfluss die Entführung des Sohns von Kaspersky-Gründer Eugene Kaspersky. Der Reihe nach:
Die Woche begann turbulent: Mal wieder tauchten Dokumente auf, in denen geheime Informationen nicht richtig geschwärzt waren. Dieses Mal veröffentlichte das britische Militär unbeabsichtigt brisante Details über Atom-U-Boote (heise Security). Die Textstellen waren in dem veröffentlichten PDF-Dokument zwar geschwärzt, es handelte sich jedoch nicht um schwarze Balken sondern um schwarzen Text auf schwarzem Grund. Kopiert man den Text in die Zwischenablage und in ein anderes Textverarbeitungsprogramm, so kann man ihn natürlich ohne Probleme lesen.
Nachdem in den letzten Monaten einige bekannte Firmen Opfer von gezielten Angriffen wurden, traf es nun den Softwarehersteller Ashampoo. Bei dem Angriff gingen Namen und E-Mail-Adressen von Kunden verloren. Zahlungsinformation wie Kreditkarteninformationen oder Bankdaten seien nicht von dem Angriff betroffen gewesen. Dass über diesen eher geringfügigen Vorfall in der Presse berichtet wurde, zeigt, dass die Awareness für gezielte Angriffe in diesem Jahr deutlich gestiegen ist. Heise online zeigt in seiner Berichterstattung mehrere Angriffsszenarien auf, wie mit den gewonnenen Informationen weitere Angriffe durchgeführt werden können.
Am selben Tag berichtete der Onlinedienst über einen Angriff via Drive-by-Download auf der Webseite der Menschenrechtsorganisation Amnesty. Dabei wurde eine Schwachstelle in Adobe Flash ausgenutzt. Das raffinierte an dem Angriff war, dass der Angriff die Heuristiken von insgesamt 42 Virenscannern austrickste. Die Schatzsoftware wurde zunächst als vorgebliche JavaScript-Datei heruntergeladen. Der Versuch des Browsers die Software auszuführen schlug natürlich fehlt, da es sich nicht um JavaScript handelte. Im Folgenden konnte das Programm jedoch im Cache des Rechners aufgerufen werden, was von den Antivirenprogrammen nicht mehr als verdächtige Aktion bewertet wurde. Diese wäre nur misstrauisch geworden, wenn die Software direkt aus dem Internet heruntergeladen worden wäre. Die Sicherheitsfirma Armorize stellt in ihrem Blog weitere Informationen zur Verfügung.
Für einigen Wirbel sorgte dann die Berichterstattung über die Aufzeichnung von Ortungsdaten im iPhone. Heise hat in einem Artikel eine ganze Reihe von Quellen zusammengetragen, die den Hype in diesem Zusammenhang in einem interessanten Licht erscheinen lassen. Nicht nur Onlinequellen berichteten bereits im September letzten Jahres von der Datensammlung, die betroffene Datenbank wurde bereits in einem Buch erwähnt – alter Wein in neuen Schläuchen.
Zuletzt wurde dann bekannt, dass der Sohn von Kaspersky CEO Eugene Kaspersky gekidnappt worden sei. Auch wenn die Berichte von offizieller Seite nicht bestätigt wurden, berichtete The Register von einer Lösegeldforderung in Höhe von 3 Millionen Euro. Alles in allem also eine wirklich turbulente Woche. Hoffen wir auf ein ruhigeres Osterwochenende und ein gutes Ende der Entführung.
790 MB vertraulicher Daten. Nichts weniger fand ich gestern um 23:00 Uhr auf einer Netzwerkfreigabe im WLAN meines Hotels. Die Netzwerkfreigabe mit dem viel versprechenden Namen Public enthielt einen Ordner mit dem noch viel versprechenderen Namen Sicherung. Ich war natürlich sofort neugierig wer hier was gesichert haben könnte. Die in dem Ordner enthaltenen Dateien hatten so viel versprechenden Namen wie Passwörter.doc, Gästeliste.xls oder Telefonliste Stammgäste.xls. Ebenfalls waren in dem Ordner hunderte von Kundenrechnungen enthalten. Neben diesen personenbezogenen Daten waren in einem Ordner auch alle Umsätze des Hotels bis zum April 2010 zurückzuverfolgen. Ein wirklich interessantes Stück Allgemeinbildung.
In der Datei Passwörter.doc waren die Zugangsdaten für Hotelreservierungsportale wie HRS.de und hotel.de enthalten. Das kann ganz praktisch sein, wenn man mit dem Zimmerpreis nicht einverstanden ist: man bietet sich einfach selbst das gewünschte Zimmer im gewünschten Zeitraum zum gewünschten Preis an, um es direkt danach zu buchen. Auch für die Anleitung inklusive Passwörtern für Stornierungen am Kreditkartenlesegerät hätte sicher der ein oder andere Zeitgenosse eine Verwendungsmöglichkeit. Da waren die Zugangsdaten inklusive Passwort zum 1&1 Internethosting fast schon uninteressant.
Immerhin tröstlich: der zu dieser späten Stunde aus dem Bett geklingelte Geschäftsführer veranlasste sofort die Abschaltung des WLAN und die Beseitigung des Problems. Bereits eine halbe Stunde später war das Internet wieder verfügbar – ganz ohne vertrauliche Daten. Was mich an der ganzen Sache jedoch am meisten stört: es gibt Gäste die weniger fürs Zimmer zahlen als ich!
Bei Security-Experten war die Vorratsdatenspeicherung bisher ohnehin umstritten. Nun legte der wissenschaftliche Dienst des Bundestags eine Sachstandanalyse vor, aus der hervorgeht, dass es innerhalb der EU keine Hinweise dafür gäbe, dass eine verdachtsunabhängige Protokollierung von Nutzerspuren den Ermittlern nachweisbar bei ihrer Arbeit hilft.
Wie Heise online berichtet, könne dies hier jedoch auch damit zusammenhängen, dass noch zu wenige statistische Daten vorlägen. Aus den vorhandenen Daten lässt sich so ziemlich alles ablesen: in einigen Ländern ging nach Einführung der Vorratsdatenspeicherung die Aufklärungsquote sogar zurück.
