23. Dezember 2019

Passwörter

Category: Allgemein — Christian @ 00:35

Passwörter sind ein großes Problem. Viele Leute die ich kenne haben genau ein Passwort, meistens auch noch ein schlechtes, das überall verwendet wird. Und wenn es dann etwas besser wird, dann wird es aufgeschrieben, weil man es sich nicht mehr merken kann. In einer Firma die ich kenne, werden alle Passwörter in einem großen, passwortgeschützen Office-Dokument aufbewahrt. Kann man alles machen, ist aber nicht besonders gut.

Auf Privacy Tutor gibt es eine recht schöne Zusammenstellung der Do’s und Dont’s bei der Wahl von Passwörtern: Der ultimative Passwort-Guide.

Ich würde die Liste jedoch etwas anders zusammenstellen und gewichten:

  1. Verwende unterschiedliche Passwörter für verschiedene Webseiten. Verwende vor allem ein besonders sicheres und nur dort verwendetes Passwort für Deine E-Mails. Wer auf Dein Postfach zugreifen kann, kann alle anderen Passwörter zurücksetzen lassen!
  2. Verwende einen Passwort-Manager. Bevorzugt nicht Cloud-basiert, z.B. KeePass. Nutze wo möglich die vom Passwort-Manager generierten sicheren Passwörter!
  3. Pass auf, wo Du Dein Passwort eingibst. Es gibt so viele Phshing-Mails und Phishing-Seiten. Sei misstrauisch, niemand will jemals Deine Identität neu bestätigt haben!
  4. Wenn Geld im Spiel ist, überlege ob Zweifaktorauthentisierung sinnvoll ist. Beispielsweise für Paypal, Amazon und Gmail. SMS oder Fido kann man oft nutzen.
  5. Mach ein Backup von Deinem Passwort-Safe. Regelmäßig. Auf einem externen Datenträger der bei Freunden oder Eltern gelagert wird. Nur für den äußersten Notfall.

Übrigens hat die NIST ihre Regeln für sichere Passwörter dieses Jahr deutlich angepasst. Bruce Schneier hat das treffen zusammengefasst.

10. Juni 2018

What Is Encryption

Category: Allgemein — Christian @ 19:34

and how does it work?

Ganz nette (englische) Erklärung auf Pixelprivacy

7. Januar 2015

Je suis Charlie Hebdo

Category: Allgemein — Christian @ 17:52

Charlie Hebdo

Charlie Hebdo bei Wikipedia

22. Juli 2012

London ist Cisco

Category: Allgemein,Produkte — Christian @ 14:43

17.000 Athleten, 22.000 Journalisten, 33.500 Sicherheitsleute (10.500 G4S, 9500 Metropolitan Police, 13.500 Militär) in London. Das sind Olympische Spiele.

2.200 Switches, 16.000 IP-Phones, 80.000 Access Points. Alles Cisco Equipment. Das sind auch Olympische Spiele.

Interessant finde ich die Entscheidung des LOCOG, nur Geräte zu verwenden, die mindestens seit zwei Jahren bewährt sind und funktionieren. Also keine top-aktuellen Geräte mit Beta-Software. Die meisten Switches sind wohl Cisco Catalyst 6500, die seit 1999 produziert werden. Oder wie The Register formuliert: „It’s a very secure network in a very commonly deployed scenario using very commonly deployed switches.“

Versprochen ist eine 99,999% Verfügbarkeit, also höchstens 6 Sekunden Ausfall pro Woche.

Und Cisco hat schon angekündigt, das gebrauchte Equipment dann z.T Schulen zur Verfügung zu stellen aber auch für Cisco-Kurse im Rahmen der diversen Schulungsprogramme. Vermutlich werden uns demnächst tausende günstiger britischer Cisco-Spezialisten überschwemmen.

28. Januar 2012

USB

Category: Allgemein,Hacking — Christian @ 16:16

Bei Nerd6 gibt es es einen schönen Artikel „Deiner USB-Schnittstelle kannst du nicht vertrauen!„. Ich möchte zwei Sätze daraus zitieren:

    „Ein gefundener USB-Stick reicht aus. Sobald dieser an den PC angeschlossen wird, kann alles vorbei sein. Die Autostartfunktion von Windows ist dafür nicht notwendig, sollte aus Sicherheitsgründen aber dennoch immer deaktiviert sein.“

und

    „Auch der elektronische Personalausweis, kann nur so sicher sein, wie sein Lesegerät, das per USB angeschlossen wird. Von der Regierung ist es mehr als naiv zu erwarten, der Bürger könne ein sicheres System betreiben, auf dem er dann den neuen Personalausweis einsetzt.“

Zum einen ist natürlich richtig, dass Computersysteme gerne über USB-Sticks infiziert werden. Andererseits ist es nicht ganz so schlimm wie es sich anhört. USB unterscheidet zwischen dem Host (das ist der PC) und dem Device (das ist der USB-Stick). Ein Device kann nicht einfach auf den RAM des Hosts zugreifen (was USB z.B. von Firewire unterscheidet) sondern muss durch das USB-System des Hosts hindurch. Das kann auf zwei Wegen passieren. Zum einen kann der USB-Stick einen Fehler in der USB-Implementierung des Hosts ausnützen. Das ist ein Exploit der eine Schwachstelle angreift und die muss erstmal bekannt sein. Ich bin mir recht sicher, dass nicht nur Microsoft sondern auch alle anderen Betriebssystementwickler sich nach Stuxnet ihre USB-Implementierung nochmal angeschaut haben. Klar können immer noch Fehler gefunden werden aber die verbrät man nicht für einen popeligen Virus. Das ist gut bezahlte Industriespionage vom feinsten. Ein USB-Device kann sich natürlich fälschlicherweise auch als Human Interface Device (HID) ausgeben und irgendwelche Tastatureingaben vornehmen. Ein programmierbares Teensy-Board in einem USB-Stick-Gehäuse reicht dafür. Aber das ist dann kein Virus mehr sondern extra gebastelte Hardware. Und die verwendet man ebenfalls eher in der Industriespionage als um mal so einen Benutzer zu infizieren. Insofern sehe ich das USB-Problem nicht so kritisch. Allerdings habe ich Firewire im BIOS meines Notebooks deaktiviert, damit mir keiner die Keys meiner Festplattenverschlüsselung aus dem RAM auslesen kann.

Das andere Problem ist der elektronische Personalausweis. Mit den Daten darauf kann man schon viel anstellen und es ist wirklich nur eine Frage der Zeit, bis diese geklaut werden und der Identitätsdiebstahl hier ein ebensogroßes Problem wird wie in den USA. Aber das wird noch länger dauern denn erstens verbreitet sich der neue Ausweis relativ langsam (mein alter Personalausweis gilt noch bis 2015) und die neuen Funktionen lassen sich bevorzugt die Leute freischalten die wissen was sie damit anfangen können. Und die fallen hoffentlich auch nicht so leicht auf den Identitätsdiebstahl rein. Aber vielleicht bin ich auch zu optimistisch und es wird alles noch viel schlimmer. Wir werden es ja sehen.

 

 

3. Oktober 2010

BBC Dimensions

Category: Allgemein,Offtopic — Christian @ 21:54

BBC Dimensions. Sehr schön.

1. August 2010

Ex-CIA Direktor will Cyber-Krieg ächten

Category: Allgemein,Politik — Christian @ 11:06

Äh, ja. Klärt mich mal auf wenn ich was nicht verstehe.

Der Ex-CIA Direktor kommt doch aus den USA. Und die USA sind das Land, das es nicht schafft, Antipersonenminen zu ächten. Das sind diese komischen kleinen Sprengkörper, die beispielsweise im russischen Afghanistankrieg vom Flugzeug aus verstreut wurden, harmlos aussehen und wenn ein Kind oder Ziegenhirte die in die Hand nehmen will, einen Arm und ein Bein wegsprengen. Und die USA wollen den Cyber-Krieg ächten? Oder ist das eine irrelevante Einzelmeinung?

Wenn man jetzt bedenkt, dass US-Firmen führend in der Herstellung sind, kann das eigentlich nur eines bedeuten: Die USA sehen sich selbst nicht in der Lage, einen Cyber-Krieg zu führen, weil sie entweder keine geeigneten Waffen (Hacking-Tools, Exploits, Viren, Würmer, …) haben und/oder der Meinung sind, sich selbst nicht angemessen schützen zu können. Und wenn man bedenkt, dass chinesische Hacker schon in das National Grid, das Höchstspannungsübertragungsnetz der USA eingedrungen sind, trifft das zweite auf jeden Fall zu.

Schon lustig, dass die immer dann internationale Verträge wollen wenn es ihnen nützt aber generell dagegen sind wenn nicht, sogar, wenn es ihnen eigentlich auch nicht schadet.

6. Juni 2010

SecTechno – neu in der Blogroll

Category: Allgemein,Hacking,Internet — Christian @ 23:50

Aus einer Empfehlung via Full-Disclosure:

    SecTechno (http://www.sectechno.com/) the excellent blog that publishes articles and whitepapers on a variety of IT security topics

Gefällt mir aktuell ganz gut und ist am rechten Rand jetzt dauerhaft verlinkt.

31. Mai 2010

Phishing lohnt sich offensichtlich

Category: Allgemein — Christian @ 17:14

Symantec hat auf einem Server Zugangsdaten von 44 Millionen Online-Spielern aus 18 Spiele-Webseites gefunden. Insgesamt rund 17 GByte Daten, hauptsächlich wohl chinesische Seiten und Spieler, gesammelt durch den Trojaner Loginck.

Je nach Spielstufe und Charakter sei ein Account zwischen 6 und 28.000 US-Dollar wert.

Davon abgesehen, dass es mich immer wieder wundert, wie Symantec ganz zufällig auf diese Server draufkommt (klar, die analysieren den Trojaner aber berechtigt das zum Login/Einbruch auf so einen Server?) scheint das Abgreifen von Spielerdaten inzwischen extrem lukrativ zu sein. Ich bin echt überrascht.

30. Mai 2010

Tetra Association Members

Category: Allgemein — Christian @ 16:53

Tetra ist der Standard, nach dem in Deutschland das Funknetz für Behörden und Organisationen mit Sicherheitsaufgaben (Polizei, Feuerwehr, TWH, Rettungsdienste, etc.) aufgebaut wird.

Ein wenig erstaunt war ich schon, als ich durch die Liste der Tetra Association Members scrollte und diese „Firma“ dabei entdeckte:

THC Tetra

Aber cool 🙂