« Spionage | Blog

Private PC's im Home Office

Samstag 21 März 2020   Kategorien: Datenschutz, IT-Sicherheit, Tipps   von Rainer W. Gerling

Auf Grund der COVID-19 Krise arbeiten derzeit viele Beschäftigte im Homeoffice. Dabei haben nicht alle Arbeitgeber hinreichend viele transportable Rechner (Notebooks und MiniPCs) vorrätig. Wie kann man das private IT-Equipment nutzen?

Es gibt derzeit mehrere Empfehlungen zur Arbeit im Home Office. Zum Datenschutz hat sich Professor Dr. Thomas Petri, der bayerische Landesbeauftragte für den Datenschutz (bayLDSB) geäußert. Auch wenn er formal nur für die bayerischen Behörden zuständig ist, bietet seine Empfehlung eine brauchbare Orientierungshilfe für Unternehmen.

Vorzugsweise sollten Rechner des Arbeitgebers genutzt werden. Nur wenn diese nicht zir Verfügung sollte die Nutzung privater Geräte in Betracht gezogen werden. Auf den privaten Rechnern sollten nach Möglichkeit keine personenbezogenen und andere vertrauliche Daten gespeichert werden. Wenn es nicht ohne Speicherung geht, muss eine Löschung der Daten möglich sein (und auch durchgeführt werden). Die Dateien müssen sicher gelöscht werden. Das ist leider mit Bordmitteln der üblichen Betriebssysteme nicht möglich.

Der private Rechner muss über ein aktuelles vom Hersteller gepflegtes Betriebssystem verfügen (also kein Windows 7!) und aktuell gepatcht sein. Es muss einen aktuellen Virenscanner installiert haben (Windows, MacOS).

Und natürlich muss der Rechner, das Pad, das Smartphone über einen Passwortschutz verfügen. Dieses Passwort sollte nicht die ganze Familie oder Wohngemeinschaft kennen. Am Rechner kann man für die berufliche Nutzung eine neue Nutzerkennung einrichten (Anleitung z.B. für Windows). Diese Nutzerkennung sollte keine Administratorrechte besitzen. Soweit der Zugriff auf Unternehmens- oder Behördenressourcen über https-Verbindungen mit Anmeldung geschützt ist, können die Beschäftigten direkt arbeiten. Ist ein VPN-Zugriff erforderlich, muss zuerst noch die VPN-Software installiert werden. Hierzu erstellt man eine Anleitung für die Beschäftigten, wenn der Hersteller die Installation erlaubt. Das dürften zurzeit krisenbedingt die meisten tun.

Für den Dateiaustausch der Beschäftigten untereinander können verschlüsselte Dienste genutzt werden. In kleinen Unternehmen bzw. kleinen Teams kann man z.B. die Lösung der DRACOON GmbH nutzen. Mit maximal 10 GB Speicher und für 10 Nutzer ist die Lösung dauerhaft kostenfrei. Damit ist eine schneller Einstieg möglich. Ein deutsches Unternehmen, in Deutschland gehostet und mit guter Verschlüsslung: die Anforderungen der IT-Sicherheit und der DSGVO sind erfüllt. Ein Vertrag zur Auftragsverarbeitung ist natürlich trotzdem noch erforderlich.

Je nach Schutzbedarf der Daten im Unternehmen oder in der Behörde sollte auf eine 2-Faktor-Authentisierung (2FA) gesetzt werden. Für Administratoren ist 2FA bei der Anmeldung von außen Pflicht. Eine relativ einfach auszurollende Lösung ist der Google Authenticator. Auch der Microsoft Authenticator oder als Open Source Lösung z.B. FreeOTP sind nutzbar. Da dier Authentisierung in der Regel im Active Directory, per LDAP oder Radius erfolgt, muss die 2FA auch nur an einer Stelle eingebunden werden.

Die Nutzung privater Peripheriegeräte wie Tastatur, Maus, Monitors, Headsets und des privaten Druckers ist unproblematisch. Beim Drucker könnte es lediglich Probleme beim Installieren des Treibers geben. Weisen Sie die Beschäftigten darauf hin, dass möglichst ein LAN-Kabel zum Anschluss des dienstlich genutzten privaten Rechners an den Router genutzt wird. Muss WLSN genutzt werden muss ein sicher WLAN-Passwort genutzt werden.

Noch ein Tipp: die SpeedPort Router der Telekom nutzen das Konzept des sicheren Mail-Servers. Damit kann der Mail-Versand per SMTP (Port 25) nur zu freigegeben Mails-Servern erfolgen. Die großen Provider stehen auf der White-List, Ihr Unternehmensserver aber nicht; der muss eingetragen werden (Anleitung z.B. hier). Die Funktionalität ist im Handbuch des Routers dokumentiert. (Aber wer liest schon Handbücher.) Der Outlook-Zugriff auf Ihren Exchange-Server erfolgt über https und ist nicht betroffen.

Und zum Schluss: befristen Sie die Regeln zur Nutzung des privaten IT-Equipments. Falls erforderlich können Sie die Frist verlängern.

Computer-Zeitung empfiehlt: Verstoßen Sie gegen die Compliance Regeln im Unternehmen

Sonntag 15 März 2020   Kategorien: IT-Sicherheit, Politik, Tipps   von Rainer W. Gerling

Aktuell geben, auf Grund der aktuellen Covid-19-Epedemie, fast alle Computer-Zeitschriften Tipps, wie man am effektivsten aus dem Home Office arbeitet. Die meisten Zeitschriften sehen dabei nur die Mitarbeiterin oder den Mitarbeiter und vergessen dabei die Sicht der Unternehmen.

Die Tipps der PC-Welt schießen etwas über das Ziel hinaus, wenn empfohlen wird, auf dem Büro PC TeamViewer zu installieren und diesen von daheim zu nutzen oder einfach das Microsoft Office 365 in der kostenlosen Cloud-Version zu nutzen. Dass es im Unternehmen Compliance-Regeln gibt, die z.B. die eigenmächtige Installation von Software oder die Cloud-Nutzung mit Unternehmensdaten verbieten, wird leider vergessen. Mann kann sich also schnell Probleme einhandeln, wenn man zu leichtfertig irgendwelchen Tipps folgt.

Tipps für Beschäftige

Beachten Sie die Vorgaben Ihres Unternehmens oder Ihrer Behörde. Klären Sie, ob Sie gegeben falls Ihren privaten Rechnern ausnahmsweise für den Job nutzen dürfen. Haben Sie noch Windows 7 (oder ein anders altes Betriebssystem ohne Hersteller Support) auf Ihrem Privatrechner ist eine berufliche Nutzung aus IT-Sicherheitsgründen auf keinen Fall zu empfehlen.

Nutzen Sie zum Lesen Ihrer E-Mails nach Möglichkeit die Web-Mail-Oberfläche Ihres Arbeitgebers. Nutzen Sie auf keinen Fall irgendwelche E-Mail-Sammeldienste (z.B. Google Mail oder auch GMX/Web.de), da Sie dazu Ihr Mail-Passwort in Systemen Dritter speichern müssten.

Speichern Sie Unternehmens-Daten auf einem verschlüsselten USB-Stick. Den USB-Stick können Sie abziehen und wegschließen, wenn andere Familienmitglieder den Familienrechner nutzen. Bitlocker To Go oder VeraCrypt sind in der Windows-Welt einfach einsetzbare Lösungen. Schreiben Sie das Passwort auf und bewahren Sie den Zettel an einem sicheren Ort auf. Ohne das Passwort sind die verschlüsselten Daten dauerhaft verloren.

Wenn Sie Ihren privaten Rechner nutzen dürfen, aber kein Office Paket besitzen, fragen Sie in Ihrer IT-Abteilung nach der Möglichkeit eine Firmenlizenz zu bekommen. Ansonsten nutzen Sie eine lokal installierte Version von Libre-Office oder Softmaker Freeoffice. Beide Softwarepakete dürfen auch geschäftlich kostenfrei genutzt werden. Auf keinen Fall nutzen Sie ohne Erlaubnis des Unternehmens eine Office-Version in der Cloud (z.B. Microsoft Office 365 Web).

Nutzen Sie ohne Freigabe durch Ihr Unternehmen oder Ihre Behörde keine Cloud-Dienste.

Versuchen Sie die Nutzung von Videokonferenzen zu minimieren. Häufig reicht bei wenigen Personen eine Telefonkonferenz. Videokonferenzen benötigen mehr Bandbreite und belasten die Netze.

Tipps für Unternehmen und Behörden

Zuerst sollten Sie sich ein paar grundsätzliche Fragen überlegen. Wie groß ist die Kapazität ihres Internetanschlusses? Kann der Anschluss den zusätzlichen Datenverkehr aus den Home-Offices verkraften?

Wie viele gleichzeitige Nutzer erlaubt Ihr VPN-Gateway? Auch wenn die Hersteller kurzfristig die Lizenzierungsregeln lockern, auch die Hardware legt Beschränkungen auf.

Haben Sie hinreichend viele tragbare Rechner, um alle Beschäftigten im Home-Office mit einem Dienstrechner auszustatten?

Vielleicht können Sie vorübergehend den Zugriff auf das https-geschütze Web-Mail-Portal des Unternehmens ohne VPN freigegeben. Sie sollten vorher prüfen, ob alle Updates eingespielt sind und die Sicherheitseinstellungen in Ordnung sind. Das entlastet das VPN-Gateway.

Erstellen Sie ein Merkblatt für die IT-Nutzung im Home-Office. Insbesondere, wenn die Beschäftigten jetzt erstmalig mit eigenen Geräten arbeiten, sollten sie wissen, was erlaubt und was nicht erlaubt ist.

Geben Sie, wenn möglich, für die Beschäftigten eine Plattform für die Kollaboration frei. Chatten undgemeinsam an Dateien arbeiten zu können erleichtert das Home-Office.

Vergessen Sie nicht (falls vorhanden) die Personalvertretung ins Boot zu holen. Etliche der Notmaßnahmen unterliegen der Mitbestimmung.

Allgemeine Tipps zum Datenschutz im Home-Office gibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Eine Argumentation wie bei Covid-19 über eine Risikobetrachtung der besonderen Umstände eventuell argumentiert werden kann, finden Sie in dem Beitrag "Spontanes Homeoffice gegen Coronavirus – geht das unter der DSGVO?".

Modernes https

Mittwoch 19 Februar 2020   Kategorien: IT-Sicherheit, Physische Sicherheit, Tipps   von Rainer W. Gerling

Wir haben uns daran gewöhnt, Web-Seiten über verschlüsselte https-Verbindungen aufzurufen, damit niemand mitlesen kann. Bei dieser Verschlüsslung gibt es unterschiedliche Versionen: TLSv1.0, TLS 1.1, TLS 1.2 und TLS 1.3, die auch unterschiedlich sicher sind. Wegen der teilwiese massiven Unsicherheiten in den veralteten Protokollen (TLSv1.0 ist 20 Jahre alt) werden die führenden Browserhersteller die Unterstützung von TLS 1.0 und 1.1 ab etwa März 2020 abschalten. Web-Seiten, die dann kein TLS 1.2 anbieten, können dann nicht mehr mit aktuellen Browsern abgerufen werden.

Microsoft unterstützt im Rahmen des Angebots Office 365 bereits seit dem 31.10.2018 die Protokolle TLS 1.0 und TLS 1.1 nicht mehr. Der Standard der Kreditkarten-Industrie PCI DSS verbietet seit dem 20.6.2018 die Verwendung von TLS 1.0.

Die Zeitpläne der Browserhersteller zur Deaktivierung von TLS 1.0 und TLS 1.! sind wie folgt:

  • Google: ab Chrome 81 (ca. März 2020)
  • Mozilla: Firefox ab März 2020
  • Apple: Safari ab März 2020
  • Microsoft: IE 11 und Edge in der ersten Hälfte 2020

Aus Sicherheitsgründen ist der Einsatz veralteter Browser, um weiterhin TLS 1.0 und 1.1 nutzen zu können, daher nicht sinnvoll.

Wenn Sie also ab März 2020 feststellen, dass Web-Seiten nach einem Browser-Update nicht abrufbar sind, verwenden diese doch noch die alten Verschlüsselungsverfahren. Das kann nur der Anbieter der Web-Seite beheben. Bei einem Webservern im Unternehmen (ein aktueller Apache bzw. Microsoft IIS oder vergleichbarer Server) ist eine entsprechende Konfiguration problemlos möglich. Kritisch werden jedoch unter Umständen ältere proprietäre Systeme, wie Workflow-Systeme, Zeiterfassungs-Systeme, sog. embedded Web-Server in Geräten wie Firewalls, Router, Switches, Telefonanlagen, Gebäudeleittechnik etc., da hier Abhängigkeiten von der jeweiligen Firmware existieren. Hier gibt es erfahrungsgemäß noch viele Server, die noch kein TLS 1.2 oder besser unterstützen.

Dies gilt auch im Privatbereich. Wenn Sie z.B. auf die Web-Oberfläche Ihrer Heizungssteuerung oder Ihres älteren DSL, bzw. Kabel-Router ab März nicht mehr zugreifen können, liegt es wahrscheinlich an diesem Problem. Da müssen Sie sich dann mit dem Hersteller der Steuerung in Verbindung setzen, da nur er in der Lage ist das Problem zu beheben.

Soweit die erforderliche Konfiguration bei einem oder mehreren Geräten nicht möglich ist, wird der Zugriff über einen reverse Proxy empfohlen. Dabei ist darauf zu achten, dass das Netzwerksegment zwischen reverse Proxy und Web-Server geschützt ist. Bei einem entsprechenden hohen Schutz des Netzes zwischen reverse Proxy und Web-Server kann u.U. in diesem Segment auf Verschlüsselung verzichtet werden.

Bezüglich der konkreten Konfiguration für die Webserver Apache, lighttpd, nginx, Cherokee und MS IIS wird auf die Anleitung „Applied Crypto Hardening: bettercrypto.org“ oder die Empfehlungen von Mozilla "Security/Server Side TLS" verwiesen. Die Mozilla-Seite verlinkt auch einen Konfigurationsgenerator.

Sobald Anmeldungen mit Benutzername und Passwort über verschlüsselte https-Verbindungen laufen oder auf personenbezogene Daten zugegriffen wird, muss nach Art. 32 DSGVO bei den technischen Maßnahmen der Stand der Technik eingehalten werden, d.h. midestens der Level „Intermediate“ der Mozilla-Empfehlung. Dies gilt auch für Web-Angebote bei denen personenbezogene Daten, z.B. in Kontaktformulare oder Registrierungen, eingeben werden. Bei unkritischen Informationsangeboten kann auch noch übergangsweise nach einer Risikobetrachtung der Level „Old“ genutzt werden, um ältere Geräte nicht auszuschließen.

Datenschutzfreundliche Dropbox und Zertifizierung

Donnerstag 25 Juni 2015   Kategorien: IT-Sicherheit, Tipps   von Rainer W. Gerling

Das Unternehmen Dropbox bemüht sich intensiv Business Accounts an die Unternehmen zu bringen. Von kostenlosen Accounts kann man auf Dauer nicht leben. Diese Accounts können von der Unternehmens IT gemanagt werden. Verlässt ein Mitarbeiter das Unternehmen, kann der Speicherplatz gewiped werden oder an den Nachfolger übertragen werden. Details findet man im “Dropbox for Business Security Overview“.

Aber leider gibt es auch für Unternehmens-Kunden keine Dateiverschlüsselung. Dropbox schreibt zwar im Security Guide (und das ist auch korrekt), dass die Dateien beim Storage-Provider verschlüsselt (AES 256 Bit) gespeichert werden. Aber den Schlüssel hat Dropbox und nicht das Unternehmen. Dropbox kann (manchmal vielleicht auch; muss) auf die Daten zugreifen. Dropbox ist seit dem 16.2.2012 Safe Harbor „zertifiziert“ und erfüllt damit formal die EU-Vorgaben.

Dropbox for Business nach ISO 27018 zertifiziert“ schrieb die Computer Woche am 18.5.2015. Dropbox ist nach eigenen Angaben einer der ersten Cloud-Anbieter, der das neue ISO-Gütesiegel erhält. Die ISO 27018 wurde erst im August 2014 verabschiedet und regelt datenschutzrechtliche Anforderungen an Cloud-Dienste nach EU-Recht und nach deutschem Recht.

Ist das nicht ein Widerspruch? Die Anforderungen nach deutschen Datenschutzrecht sind nach ISO 27018 zertifiziert und die Unternehmensdaten liegen unverschlüsselt in der Cloud? Da muss man doch mal genau nachschauen, was eigentlich zertifiziert ist. Und das steht in dem Zertifizierungsdokument.

Services in scope, when used with a registered Dropbox for Business account:

  • The Dropbox software client (desktop/laptop access)
  • The Dropbox web application (desktop and mobile browser access)
  • The Dropbox mobile application (mobile device access)
  • The Dropbox application programming interface (API) (invoked by a Dropbox for Business customer to perform operations on data within that customer's account)"

steht auf Seite 2 der Zertifikatsurkunde.

Zertifiziert sind also: der Desktop Klient, die Webanwendung, die App und das API. Im Grunde ist alles zertifiziert, was die Firma für den Klienten zur Verfügung stellt. Die Serverseite ist NICHT zertifiziert. Über die Speicherung der Daten in der Cloud wird in der Zertifizierung nichts gesagt!

Was lernen wir? Es empfiehlt sich Zertifizierungen nur zu akzeptieren, wenn man sich davon überzeugt hat, was genau zertifiziert ist. Manchmal klaffen Zertifizierung und Wahrnehmung (oder sollte ich Werbung schreiben) etwas auseinander.

Solche „Missverständnisse“ gab es schon öfter. Im April 1996 wurde Windows NT mit dem Report No. CSC-FER-95/003 nach dem Orange Book als C2-sicher zertifiziert. Aber zertifiziert war „nur“ Windows NT 3.5 Service Pack 3 mit spezieller Konfiguration und - auch bei der NT Server Version - ohne Netzwerkkarte im Rechner. (Wenn man es genau nimmt, galt das Zertifikat auch nur für die Compaq Rechner Proliant 2000 und Proliant 4000 5/90-1 und 5/100-1 sowie einen DECpc AXP/150.) Ein Windows NT 4 mit Netzwerkkarte war nie zertifiziert. Obwohl fast alle das geglaubt haben.

NSA-Spezial vom 1. April 2014 - Nachtrag

Donnerstag 02 April 2015   Kategorien: Spionage, Tipps   von Rainer W. Gerling

"Se non è vero, è molto ben trovato. - Wenn es nicht wahr ist, ist es doch gut erfunden!" hat Giordano Bruno (1548-1600) gesagt. Der erste Halbsatz ist bezogen auf den Beitrag "NSA-Spezial: Überwachung von IPv6-Adressen mit Privacy Extension" definitiv korrekt: er war - aus gebenem Anlass - frei erfunden. Ob er gut erfunden war, muss jeder für sich selbst entscheiden.

Trotz allem ist nicht klar wie adressbasierte Überwachung bei IPv6 Adressen in Kombination mit den Privacy Extensions tatsächlich funktioneren kann oder soll. Stabil steht ja nur der Netzwerkteil der Adresse zur Verfügung also maximal die ersten 64 Bit. Zu allem Überfluss kommt noch hinzu, dass z.B. MS Windows auf alle IPv6-Adressen der letzten Tage "hört".

NSA-Spezial: Überwachung von IPv6-Adressen mit Privacy Extension

Mittwoch 01 April 2015   Kategorien: Spionage, Tipps   von Rainer W. Gerling

!!! Wichtiger Nachtrag !!!

Spätestens seit den Enthüllungen von Edward Snowden ist jedem klar, dass die „Five Eyes“ (Nachrichtendienste der USA, Kanadas, Großbritanniens, Australiens und Neuseelands) umfangreich eigene und fremde Bürger bei der Kommunikation überwachen und belauschen.

Im Rahmen von PRISM werden Überwachungsmarker gesetzt (E-Mail-Adressen oder IP-Adressen) und der Datenverkehr belauscht. Alles dies kann in den einschlägigen Publikationen und Veröffentlichungen nachgelesen (siehe unten) werden.

Unabhängig von den Aktionen der „Five Eyes“ werden die IPv4 Adressen knapp und die Umstellung auf die längeren IPv6 Adressen hat begonnen. Schon früh wurde erkannt, dass die IPv6-Adressen ein Datenschutzproblem haben können und deshalb wurden die Privacy Extensions geschaffen. Sind diese aktiviert, wird die zweite Hälfte der IPv6-Adressen bei jedem Systemstart neu ausgewürfelt. Der Rechner ist deshalb nach jedem Systemstart mit einer anderen IP-Adresse im Netz unterwegs. Diese Adresse ist – trotz eventuell manipulierter Zufallszahlengeneratoren – somit nicht ohne weiteres vorherbestimmbar. Trotzdem möchten die „Five Eyes“ den Datenverkehr eines bestimmten Rechners abhören können.

Die NSA sich da eine recht clevere Lösung für Windows einfallen lassen, die jetzt einem Hacker bei der Fehlersuche in einer Software aufgefallen ist. Ob es in den Apple-Betriebssystemen und den diversen Linux-Varianten inkl. Android etwas Vergleichbares gibt wird derzeit noch untersucht.

Mit einer im Detail noch nicht ganz verstandenen Funktion, die wohl auf dem SHA-Algorithmus basiert und ähnlich einer Hash-Funktion funktioniert, wird ein spezieller Wert aus den letzten 32 Bit der IPv6-Adresse berechnet. Ist dieser berechnete Wert „412015“ wird die IP-Adresse überwacht, ansonsten nicht. Die Generierung des „zufälligen“ Teils der IP-Adresse geschieht so, dass gegebenenfalls genau der „richtige“ Wert herauskommt. A

Gesteuert wird dieser Mechanismus über einen bisher unbekannten Registry-Eintrag. Wird HKLM/SYSTEM/select/MRZ=“1“ (siehe Abbildung) gesetzt, wird der Rechner anschließend überwacht. Die Zeichenfolge MRZ ergibt sich, wenn die Buchstaben NSA mit einer CAESAR-Verschlüsselung mit dem Schlüssel -1 verschlüsselt werden. So wurde angeblich auch schon mal aus dem Firmennamen IBM die Name eines Computers: HAL.

Wenn Sie sicher gehen wollen, dass Ihr Rechner nicht überwacht wird, setzten Sie diesen Registry Wert auf „2“. Damit ist das letzte Bit des Wertes „0“ (es wird wohl nur das letzte Bit ausgewertet) und es findet keine Überwachung statt. Aber der normale Federal-Trojaner der NSA kann scheinbar diesen Wert nicht wieder auf „1“ ändern. Würde man den Wert auf „0“ setzten, kann die NSA-Software den Wert auf „1“ ändern. Hier wird wohl der Wert nicht sauber geprüft. Ein Programmierfehler bei den Cracks der NSA?

Selbstverständlich geschehen alle Veränderungen am innersten des Betriebssystems auf eigene Gefahr. Hier experimentiert man ohne doppelten Boden. Es kann keine Garantie dafür übernommen werden, dass hier nicht doch etwas schief geht.


Bücher zum Thema Edward Snowden:

  • Glenn Greenwald: Die globale Überwachung: Der Fall Snowden, die amerikanischen Geheimdienste und die Folgen, Droemer, München 2014
  • Luke Harding: Edward Snowden: Geschichte einer Weltaffäre, Weltkiosk 2. Auflage 2014. (auch Sonderausgabe der Bundeszentrale für politische Bildung )

Passwort-Sicherheit und Marketing-Experten

Sonntag 15 März 2015   Kategorien: Awareness, Tipps   von Rainer W. Gerling

Das amerikanische Unternehmen Splashdata - spezialisiert auf Passwort Management - hat eine Liste mit den schlechtesten 25 Passworte des Jahres 2014 veröffentlicht. Dabei wurden die mehr als 3,3 Millionen Passworte, die in veröffentlichten Listen gestohlener Passworte aus dem letzten Jahr zu finden waren, ausgewertet. Die Abbildung zeigt die TOP 16 der Liste inklusive der Veränderungen im Ranking.

Im Grunde gruselt es einen, wenn man diese Passworte sieht. Wie fast immer ist "123456" auf Platz 1. Die einzge Erklärung zu Gunsten der Nutzer wäre es, anzunehmen, dass es ich fast nur um Test-Accounts handelt, bei denen ein billiges Passwort verwendet wurde.

Bereist 2008 veröffentlichte Mark Burnett die 500 schlechtesten Passworte aller Zeiten. Die Liste steht z.B. hier. Sie wird klar von englischen Worten definiert. Es sind aber auch Passworte dabei, die auf den ersten Blick gut aussehen. Erst der zweiten Blick offenbart ihre Schwächen: "qawsedrf" oder "qaywsx" (Wissen Sie warum?).

Auf Platz 16 der Liste steht das Wort "mustang" (2008 war es übrigens auf Platz 10). Die Marketing Experten von Ford haben etwas überhaupt nicht verstanden oder meinten ein coolen Gag zu machen. Sie gaben eine Pressemeldung heraus: "'Mustang' More Popular Than 'Superman,' 'Batman' According to Research by SplashData".

Zwei Zitate aus der Pressemeldung: "Mustang is the 16th most common password on the Internet according to a recent study by SplashData, besting both “superman” in 21st place and “batman” in 24th" und "Mustang is the only car to appear in the top 25 most common Internet passwords". Sind die jetzt stolz darauf, dass ihre Kunden (oder Fans) schlechte Passworte verwenden?

Aber wie macht man ein gutes Passwort? Mindestens zehn Zeichen lang solte es sein. Es enthält die Großbuchstaben A..Z, die Kleinbuchstaben a..z, die Ziffern 0..9 und Sonderzeichen. Aus jeder der vier Gruppen sollte mindestens ein Zeichen vertreten sein. Wenn das Passwort dann auch noch zufällig generiert wird (z.B. mit dem Passwortmanager KeePass), dann ist es brauchbar. Man muss es aber auswendig lernen. Das ist der harte Teil.

Schreiben Sie das Passwort auf einen Zettel und hüten sie diesen Zettel wie Ihren Augapfel. Dann machen Sie das Passwort zu dem Login-Passwort Ihres Betriebssystems. Der Bildschirmschoner wird auf eine Minute gestellt und das Passwort muss zum Entsperren jedemal eingeben werden. Nach zwei Arbeitstagen haben Sie das Passwort so oft eingegeben, dass Sie es auswendig können. Nachdem Sie es in Ihrem Passwortmanager (für alle Fälle) gespeichert haben, müssen Sie jetzt nur noch den Zettel sicher vernichten. Dann haben Sie ein gutes Passwort.

Webserver-Sicherheit für Freaks

Samstag 07 März 2015   Kategorien: IT-Sicherheit, Tipps   von Rainer W. Gerling

Die sog. Freak Sicherheitslücke hat die Aufmerksamkeit auf die Verwendung der sog. Cipher Suiten bei verschlüsselten Verbindungen gelegt.

Bei dem Aufbau einer verschlüsselten Verbindung müssen zwichen Klient und Server die verwendeten Verschlüsselungsverfahren ausgehandelt werden. Dabei haben der Server und der Klient jewiels eine Liste der von ihnen unterstützen Verschlüsselungsverfahren. Der Klient macht eine Vorschlag und der Server akzeptiert diesen Vorschlag oder sagt "beherrsche ich nicht, wir müssen was anderes nehmen". Können die beiden sich nicht auf eine Cipher Suite einigen, kommt keine Verbindung zu Stande.

Es müssen das Protokoll (SSL, TLS) und vier Algorithmen vereinbart werden:

  • das Schlüsselaustauschverfahren (RSA, DH)
  • das Authentifizierungsverfahren (RSA, DSA, ECDSA)
  • das Verschlüsselungsalgorthmus inkl. Schlüssellänge (keine, RC4, DES, 3DES, IDEA, AES
  • die verwendete Hashfunktion (MD5, SHA1, SHA2)

Aus den fünf Angaben setzt sich dann der Name der Cipher Suite zusammen, z.B. DHE-DSS-AES256-SHA256 (OpenSSL-Name) oder TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (IANA Name). Dies sind die für den Menschen lesbare Form. Intern werden die Cipher Suiten durch Codezahlen (0x00,0x6A) dargestellt.

Die Grundidee der Attacke ist es, in diesen Verbindungsaufbau so einzugreifen, dass sich beide Partner auf eine schwache Cipher Suite einigen, so dass die Entschlüsselung dann "einfacher" geknackt werden kann. Nicht alle Server und Klienten sind angreifbar. Unter Windowssystemen sind alle Anwendungen, die auf die schannel.dll Verschlüsselungsbibliothek zurückgreifen angreifbar. Darüber hinaus sind Chrome, Safari und andere Browser angreifbar.

Eine Liste der angreifbaren Server der Top Million Server des Alexa Rankings ist hier verfügbar. Ingesamt sind 9,5% (am 7.3.) der Top Million Server verwundbar (am 3.3. waren es noch 12,2%).

Aber was muss ein Administrator tun, um seinen Server so zu konfigurieren, damit nur sichere Cipher Suiten verwendet werden? Die derzeit beste verfügabre Anleitung ist ein umfangreiches PDF-Doukment "Applied Crypto Hardening" von bettercrypto.org. Erfahrene Praktiker aus eropäischen Certs und Hochschulen haben für die gängisten Webserver (Apache, lighttpd, nginx und MS IIS) die sichere Konfiguration der Cipher Suiten beschrieben. Alle Besipiele können direkt per Copy & Paste übernommen werden. Darüber hinaus wird die Krypto-Konfiguration von SSH, Mail Serverv, VPNs, PGP, Instant Messaging Systemen Datenbanken und anderen Systemen beschrieben.

Obwohl das Dokument ncoh den Status "draft" hat, gibt es derzeit wohl keine bessere Anleitung.

Wer jetzt seine eigenen SSL/TLS fähigen Server überprüfen möchte, dem sei der Kommandozeilen SSL-Scanner SSLyze ans Herz gelegt. Das in Python geschriebene Programm ist für Windows, OS X und Linux verfügbar.

Nachtrag vom 21.3.2015: Dieser Beitrag wird in der Datenschutz Newsbox 3/2015 verwendet

Wo ist der Download?

Montag 22 Dezember 2014   Kategorien: IT-Sicherheit, Tipps   von Rainer W. Gerling

Sie möchten ein kostenloses Programm z.B. den kostenlosen Passwordmanager KeePass oder das Löschprogramm CCleaner herunterladen. Sie klicken den Link an und werden von einem großen, nicht übersehbaren Download-Button „angestrahlt“. Die Versuchung ist groß auf den größten Button mit dem Text "Download Start" in der Mitte des Bildschirms zu klicken. Dabei können Sie sich aber leicht einen Virus einfangen. Warum?

Viele Anbieter von Software-Downloads fianzieren ihr Angebot über Werbung. Das ist auch völlig legitim. Die Werbung wird über spezielle Dienstleister (z.B. Google, Rubicon, Valueclick) geschaltet. Da die Werbe-Diensteister die Möglichkeit nutzen, den Inhalt der Werbung an den Inhalt der Web-Seite thematisch anzugleichen, ist es für einen Werbekunden recht einfach auf einer legitimen Download Seite eine Werbeanzeige mit einem übergroßen Download-Button zu schalten.

Diese Möglichkeit wird von zwielichtigen Zeitgenossen (die Firmen Well Known Media/Filehippo und Piriform/CCleaner sind hier "Opfer" der Download-Button) auch genutzt, um Besucher der ansonsten seriösen Download-Seite zu verleiten, auf den falschen Button zu klicken. Und schon ist die Schadsoftware installiert.

Deshalb sollte ein Nutzer vor dem Klick auf einer Download-Seite sorgfältig schauen, ob er auch an der richtigen Stelle klickt. Und wenn der Download ein bischen zeitverzögert beginnt, ist Warten eine Tugend, denn der automatische Download sorgt dafür, dass die richtige Software auf dem eigenen Rechner landet.

USB-Sticks

Dienstag 30 September 2014   Kategorien: Awareness, IT-Sicherheit, Tipps   von Rainer W. Gerling

Jeder hat mindestens einen USB-Stick und nutzt ihn auch häufig. „Kannst Du mir mal schnell die Datei auf den Stick kopieren?“ und schon steckt der eigene Stick in einem fremden Rechner. Es werden auch schnell fremde USB-Sticks in den eigenen Rechner gesteckt, um mal schnell etwas darauf zu kopieren. Dieser Umgang ist unter IT-Nutzern allgemein akzeptiertes „Sozialverhalten“.

Gerade wurde bekannt, dass Berliner Sicherheitsforscher einen Weg gefunden haben, handelsübliche USB-Sticks in Angriffswerkzeuge umzuprogrammieren. Aus dem Speicherstick wird so z.B. eine virtuelle Tastatur, die automatische alles das tun kann, was ein Nutzer an der Tastatur auch tun kann. Und dieser Angriff funktioniert unter allen Betriebssystemen! Und aus der Digitalkamera wird eine Netzwerkkarte, die den gesamten Datenverkehr des Rechner umleiten kann.

Derzeit gibt es keinen allgemeinen sinnvollen Schutz gegen den Angriff, außer die USB-Ports zu deaktivieren. Die Komforteinbußen sind leider ziemlich hoch. Die Firma G DATA stellt zumindest den Windows Anwendern eine Schutz-Software kostenfrei zur Verfügung. Diese Software meldet, wenn eine unbekannte USB-Tastatur an den Rechner gesteckt wird. Der Anwender muss dann selber entscheiden, ob er die Tastatur nutzen will oder nicht.

Von Zeit zu Zeit blendet die Software Werbung für G DATA Produkte ein.

Für die Nutzung von USB-Sticks sollte man sich die Verwendung von zwei USB-Sticks angewöhnen. Den einen – mit den wertvollen und schützenswerten Daten – steckt man nur an den oder die eigenen Rechner. Die Daten sind zusätzlich verschlüsselt; unter Windows z.B. mit Bitlocker To Go (Windows ab Version 7).

Bild Trekstor CS Der andere USB-Stick – idealerweise mit einem Schreibschutzschalter – wird genutzt, wenn man seinen Stick z.B. für Präsentationen an fremde Rechner stecken muss. Und auf diesem Stick sind keine wertvollen und/oder vertraulichen Daten. Einer der wenigen noch verfügbaren USB-Sticks mit einem mechanischen Schreibschutzschalter ist der Trekstor CS. Der Schreibschutz stellt sicher, dass keine Schadsoftware heimlich auf den Stick kopiert werden kann.

Auch mit einem Smartphone kann man derartige Angriffe durchführen. Mal schnell das fremde Smartphone am USB-Port des Notebokks laden, kann unangenehme Folgen haben. Ein USB-Kondom kann da helfen, da es nur Strom und keine Daten durchlässt.