Filed under: digitalgebastel | Schlagwörter: clamwin, portableApps, sicherheit, trojaner, truecrypt, usb, usbstick, verschlüsselung, virus
USB-Sticks sind praktisch und billig. Man kann seine Daten und dank PortableApps auch seine wichtigen Programme immer dabei haben. Mailprogramm und Browser samt Lesezeichen sind immer im Gepäck. Mit PortableApps landen damit aber auch noch mehr sensible Daten auf dem Stick, wie z.B. Mails und Passwörter. Wer den Speicherstick dann verliert, bekommt mittlere Bauchschmerzen. Ein weiteres Problem: fremde Computer, an die man den Stick anschließt. Man möchte sich ungern irgendwelche Viren einfangen, oder riskieren, dass ein Trojaner Passwörter abfängt.
Die Lösung ist eigentlich simpel: Gegen sensible Daten in den falschen Händen hilft Verschlüsselung, gegen Viren und Trojaner hilft – was sonst – ein Virenscanner. weiterlesen…
Filed under: digitalgebastel | Schlagwörter: browser, clickjacking, firefox, flash, noscript, privatsphäre, sicherheit
Wieder ist ein neuer Aspekt der Browsersicherheit aufgetaucht: „Clickjacking“, also das Umlenken von Klicks auf Funktionen, die der Benutzer eigentlich gar nicht aktivieren wollte. Die Idee ist alt, schon seit langem gibt es Versuche, gewisse Sicherheitsabfragen des Browsers teilweise durch Popup-Fenster zu überdecken, so dass der Benutzer denkt, er stimme einer ganz anderen, harmlosen Frage zu. Mit zunehmender Komplexität der Browser funktioniert diese Idee nun weitaus besser.
Hauptsächlich betroffen ist Adobe Flash, aber auch andere Plugins. Das Problem geht so:
- Webseiten können aus mehreren Layern bestehen, die übereinander liegen. Sie können sogar ganz oder teilweise transparent sein.
- Flashfilme können auf Webcam und Mikrofon des Computers zugreifen. Von dort aufgenommene Töne und Bilder können beliebig verarbeitet werden, z.B. an einen Server geschickt. Selbstverständlich ist der Zugriff nur möglich, wenn der Benutzer zustimmt.
- Flash zeigt seine Einstellungen nicht in einem besonderen Fenster an, sondern blendet sie direkt im betreffenden Flashfilm ein. So auch die Abfrage, ob der Nutzer dem Zugriff auf Kamera und Mikrofon zustimmt.
- Flashfilme sind normaler Bestandteil der Webseite, können also auch von anderen Ebenen überlagert werden. Damit wird dann auch die Sicherheitsabfrage überdeckt.
- Dennoch ist es möglich, dass ein Klick vom versteckten Layer empfangen wird. Man muss also den Benutzer nur dazu bringen, exakt auf die richtige Stelle zu klicken – z.B. indem dort ein interessanter Link positioniert wird.
Ein Video von Guya macht das Prinzip deutlich. Ursprünglich publiziert wurde das Problem auf ha.ckers.org, Adobe hat bereits darauf reagiert.
Eine simple, aber vielfältig zu missbrauchende Technik, die sehr viele Nutzer betrifft, weil fast alle Browser betroffen sind, und Flash sehr weit verbreitet ist. Und heimlicher Zugriff auf die Webcam ist eine ziemlich konkrete Bedrohung, im Gegensatz zu subtileren Angriffen auf die Privatsphäre.
Abhilfe für Firefox-Nutzer schafft wieder einmal die Erweiterung NoScript, die solche Attacken in der neuesten Version erkennt (im Laufe des Tages sollte hoffentlich auch die deutsche Übersetzung die neue Version ausliefern).
Andere wichtige Firefox-Plugins
Filed under: digitalgebastel, politik | Schlagwörter: enigmail, gpg, opensource, sicherheit, signatur, thunderbird, truecrypt, verschlüsselung
Ab Mitte 2009 will die Bundesregierung eine Struktur schaffen, die uns Bürgern verschlüsseltes E-Mail-Schreiben und einen sicheren „Datentresor“ bieten soll (heise.de). Der Staat und deutsche Unternehmen haben ja im Moment nicht gerade einen großen Vertrauensvorschuss, oder, wie man bei Spreeblick sagt:
Ob ich diese meine privaten, sensiblen Daten jedoch den von genau jener Bundesregierung verifizierten „privatwirtschaftlichen Dienstleistern“ anvertrauen werde, die alles daran setzt, einen möglichst kompletten Einblick in mein elektronisches Leben haben zu können: I fucking doubt it.
Die gute Nachricht: dank einer weltweit vernetzten IT-Gemeinde sind wir für solche Kleinigkeiten gar nicht auf Vater Staat angewiesen (was ein Grund sein mag, warum er das Internet immer so mißtrauisch anschaut). Beide Wünsche, das Versenden verschlüsselter und unterschriebener E-Mails und das sichere Speichern von vertraulichen Daten, erfüllt uns längst ausgereifte Open-Source-Software. Und quelloffener Software können wir aus Prinzip meist vertrauen, wie auch das Bundesamt für Sicherheit in der Informationstechnik weiß.
Dateien verschlüsselt speichern
Motivation: Die Daten können nur nach Eingabe eines Passwortes entziffert werden. Bei Diebstahl des Computers können sie also nicht missbraucht werden.
Mit TrueCrypt können so genannte „Container“ angelegt werden, in denen dann die geheimen Daten gespeichert werden. Mit einem guten Passwort versehen, ist es nur mit unfassbar hohem Rechenaufwand möglich, dem Container die Daten zu entlocken. Die Installation verläuft wie bei Windows-Programmen gewohnt. Die einfachste Anleitung zum Einrichten und Gebrauch liefert – wen wundert’s – Computer-Bild..
E-Mails verschlüsseln und unterschreiben
Motivation: Verschlüsselte Mails können nur vom gewünschten Empfänger entziffert werden. Elektronisch signierte Mails garantieren dem Empfänger, dass sie wirklich vom Absender stammen und nicht unterwegs manipuliert wurden.
Ein offener Standard zum Verschlüsseln jeglicher Daten ist GnuPG. Zusammen mit dem Addon Enigmail ergibt sich für Benutzer des Mailprogramms Thunderbird ein einfacher Weg, E-Mails zu verschlüsseln. Eine komplette Erklärung zur Installation und Anwendung liefert Jan Häussler.
Happy Encrypting.