So alt und kann doch nicht oft genug wiederholt werden. Verschlüsselte Datenauch auf privaten Festplattenund Datenträgern schützen! Nicht nur bei Verlust der Datenträger sondern auch und vor allem vor Behörden. Und gerade da kann man gar nicht vorsichtig genug sein. Ich hatte neulich erst wieder mit drei Gestalten vom Verfassungsschutz zu tun, mit denen war nicht mal eine normale Diskussion zu diesem Thema möglich, soweit hatten die die Realität ausgeblendet.
Ich persönlich habe meine Rechnerfestplatten normalerweise komplett mit Utimaco verschlüsselt. Das ist ein kommerzielles Produkt, weil ich eventuell dafür Support haben möchte und hauptsächlich deshalb im Einsatz, weil es das erste war, das gut mit Dual-Boot Platten mit Windows/Linux zurecht kam. Wichtige Daten sind auf der verschlüsselten Windows-Partition zusätzlich in einem Truecrypt-Container gespeichert (nur für den Fall, dass Utimaco irgendwann eine Sicherheitslücke oder Hintertür haben sollte) und Passwörter befinden sich in diesem Truecrypt-Container nochmal in einem KeePass-Safe. Wenn das nicht reicht, weiß ich auch nicht.
Ach ja, die Truecrypt-verschlüsselte Festplatte hat aktuell einen brasilianischen Bankier vor dem FBI gerettet. Nach einem Jahr hat das FBI aufgegeben, die Platte noch entschlüsseln zu können. Meine Empfehlung sind Passphrases mit mindestens 20 Zeichen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen gemischt. Bei meinen Platten halte ich das (mit zwei Ausnahmen) genauso. Ausnahme eins ist ein unverschlüsselter USB-Stick zum Datenaustausch mit Leuten die nicht verschlüsseln können und Ausnahme zwei ist eine Festplatte mit Daten die lediglich für Schulungen und Seminare benötigt werden und eigentlich nicht vertraulich sind. Da ist nur routinemäßig Verschlüsselung drauf und das Passwort kennen ein paar Kollegen. Und so lässt sich auch prima arbeiten.
War doch klar … wenn man schnell genug die Kanäle wechselt oder (was ich eigentlich eher glaube, bei dem Budget das Google hat) auf allen Kanälen gleichzeitig Daten aufzeichnet, dann erwischt man zwangsläufig irgendwann unverschlüsselt übertragene Passwörter beispielsweise von Webseiten oder POP3-Accounts.
Interessant ist, dass die Aktion bisher keine praktischen Konsequenzen für Google hatte. Ok, Frau Aigner, unsere Bundesverbraucherschutzministerin ist ein wenig beleidigt (wen interessierts, wer kennt die überhaupt?), Herr Schaar, unser Bundesdatenschutzbeauftragter ist ein wenig empört (wayne … jeder zahnlose Rentner im Rollstuhl ist gefährlicher) und irgendeine Staatsanwaltschaft ermittelt sogar (wird eh eingestellt weil das Thema so komplex ist, dass der typisch deutsche Jurist spätestens beim dritten oder vierten Fachbegriff nichts mehr versteht). Insofern … ist das eigentlich doch nicht interessant.
Auf jeden Fall hat Google laut Golem ein Bauernopfer gefunden: „Dem Programmierer, der die Software entwickelt hat, die die Daten mitgeschnitten hat, drohen disziplinarische Maßnahmen, so Schmidt. Eine solche Software zu schreiben, sei „ein klarer Verstoß“ gegen die Datenschutzregeln des Unternehmens.“ Mich wundert nur immer wieder, wie der Schmidt lügen kann, ohne dabei rot zu werden.
Zumindest ein ganz klein wenig Virenschutz gibt es inzwischen auch in Mac OS X. Apple hat offensichtlich gelernt, dass eine exotische Plattform nur solange vor Viren und Schadprogrammen schützt solange sie so exotisch ist, dass sie für Malware-Autoren nicht lukrativ genug ist. Inzwischen hat Apple einen ausreichend hohen Marktanteil um Schadprogramme lukrativ werden zu lassen. Dazu kommt, dass der typische Apple-User inzwischen den Ruf weghat, etwas minderbemittelter zu sein, sich gerne gängeln zu lassen, dafür aber über ausreichend finanzielle Mittel verfügt. Also das ideale Phishing und Social Engineering-Ziel.
Jedenfalls schreibt der Inquirer, dass ein paar Leute von Insecurity Signaturen des Trojaners „HellRTS“ in einem Apple-Update gefunden haben. Natürlich still und heimlich installiert.
Stellt sich nur die Frage, wann Apple die Selbstverleugnung aufgibt und sich selbst endlich eingesteht, dass es auch für Mac OS X inzwischen diverse Schadprogramme und Trojaner gibt und ein Virenscanner mit regelmäßigen Updates deshalb vielleicht eine gute Idee sein könnte. Aber ich fürchte, da müssen wir bei Apple noch so 5-8 Jahre warten. Bei Microsoft ging es damals auch nicht schneller aber inzwischen gehört Microsoft ja fast schon zu den guten. Zumindest im Vergleich zu Apple.
Gibt es eigentlich brauchbare Virenscanner für Mac OS X? Ich habe zum Glück nichts von Apple, ich kenne mich da nicht so aus.
Thilo Weichert, der oberste Datenschützer des Landes Schleswig-Holstein und der wichtigste Datenschützer in Deutschland (weil der Bundesdatenschutzbeauftragte Peter Schaar leider nix reißt) hält die gängigen Cloud-Angebote mit dem geltenden Datenschutzrecht für nicht vereinbar.
Weichert: „Zwar spielen Integrität und Vertraulichkeit auf dem Cloud-Markt heute eine Rolle, doch für die Anwender bleibt die Cloud eine Black Box, die ihnen die Wahrnehmung ihrer Verantwortung unmöglich macht. Wer heute in einer Public Cloud Personendaten verarbeitet, handelt regelmäßig unverantwortlich und rechtswidrig.“
Ich gebe Thilo Weichert im Normalfall ja immer Recht, bei Cloud-Angeboten bin ich mir aber nicht sicher, ob er nicht über das Ziel hinausschießt. Ich persönlich sehe Cloud-Angebote wie ein Outsourcing. Ich nutze Dienste, die ein anderer betreibt. Das ist grundsätzlich erstmal nicht falsch oder böse sondern allein eine Gestaltung des Vertrags. Beispielsweise bieten Firmen wie Salesforce schon lange an, Kundenverwaltung auf deren Servern im Internet durchzuführen. Man spart sich so eine CRM-Software und kann auf umfangreiche Funktionen zugreifen. Und weil das modern ist, wird es heute halt als Cloud-Dienst beworben. Faktisch ist es Outsourcing. Amazon bietet sogar die Möglichkeit an, festzulegen in welchem Rechenzentrum die Daten gehostet werden sollen. Als Europäer kann ich mich dann für ein Rechenzentrum innerhalb der EU entscheiden und schon gilt wieder europäischer Datenschutz. Outsorcing an eine holländische Firma ist ja rechtlich auch kein Problem.
Interessant finde ich nur noch, dass Thilo Weichert kritisiert, „selbst in westlich demokratischen Staaten gebe es gesetzliche Regelungen zur Herausgabepflicht von Schlüsseln für behördlich geforderte Daten“. Damit sind offensichtlich Großbritannien und eventuell die USA gemeint. Gerade bei Großbritannien ließe sich aber eine einfache Lösung finden. Wie wäre es mit einer EU-Initiative zum Schutz persönlich verschlüsselter Daten. Einfach eine EU-Richtlinie die den Bürger vor Ausforschung schützt, indem verschlüsselte Daten nicht preisgegeben werden müssen. Aber da siegt dann wieder die Feigheit vor dem Feind weil eigentlich will das BKA genau diese gefährlichen Rechte auch in Deutschland.
Wie üblich wird bei Apple zensiert, was das Zeug hält. Diesmal hat es ein Schwulencomic erwischt. Und wie üblich ist sich Apple keiner Schuld und keines Fehler bewusst lenkt aber nach erheblicher schlechter Presse ein.
Langsam frage ich mich echt, welche Idioten das Zeug von Apple noch kaufen. iFail!
US-Behörden haben den Verkauf von ICQ durch AOL an ein russisches Konsortium verhindert. Mit der Begründung, das würde die Verfolgung von Straftaten einschränken. Oder wie The Register schreibt:
„But ICQ is popular in Russia, the Czech Republic and Germany, especially among eastern European criminal gangs. One investigator said „Every bad guy known to man is on ICQ“, according to the Financial Times.“
Sehr schön 🙂
Die ICQ-Server stehen übrigens in Israel. Da haben also gleich mehrere Geheimdienste die Augen drauf.
Ich war ein paar Tage beruflich unterwegs und muss deshalb noch ein paar Beiträge nachschreiben. Aber keine Sorge, alles was sich so auf meiner Liste für das Blog angesammelt hat, wird hier die Tage auch nachgetragen.
Der UnrealIRCd hat eine Backdoor. Na gut, das kann ja mal passieren. Interessant in diesem Zusammenhang sehe ich vor allem drei Punkte:
1. Die Lücke wurde erst nach Monaten entdeckt. Das zeigt erstens wieder, dass eine Software nur weil sie Quelloffen ist, nicht automatisch sicherer sein muss. Insbesondere Source Code Audits sind gar nicht so einfach. Für PHP, Perl, Python und so traue ich das mir und meinen Kollegen hier noch gut zu. Bei C und Java wird es schon eng. Spätestens bei C++ und exzessivem Einsatz von Templates hört jedoch jedes Verständnis des Source Codes auf.
2. Jetzt kann man natürlich noch diskutieren, was für eine Source Code Verwaltung da eingesetzt wurde und warum die auch nichts bemerkt hat. Ist die so schlecht oder hat keiner aufgepasst oder wurde die Verwaltung gleich mitgehackt?
3. Und zu guter Letzt, warum wird Software nicht digital signiert. In dem Zusammenhang schreibt Heise: „Damit dieser Vorfall sich nicht wiederholt, wollen die Entwickler ihre Releases wieder mittels PGP/GPG signieren“. Also wurde wohl schon mal signiert. Warum jetzt nicht mehr? Faulheit oder Nachlässigkeit?
Tja, so wird das nichts mit der Open Source Security. Das haben kommerzielle Anbieter wie Microsoft schon lange gelernt. Da müssen die freien Entwickler noch nachziehen. Und so teuer ist eine digitale Signatur auch nicht. Genau genommen kostenlos weil alle benötigten Programme bei Linux schon vorhanden sind.
Ach ja, und für die Freunde von The Register: Nicht alles was mit „Unreal“ anfängt ist auch ein Shooter 🙂
Ich hatte erst vor ein paar Tagen hier einen Beitrag zu Vulnerability Disclosure veröffentlicht. Die gängige Diskussion ist dabei vor allem, was ist ein „Responsible“ Disclosure also eine verantwortunsbewußte Veröffentlichung von Sicherheitslücken. Hier wird in der IT-Security Branche bekanntlich heftig gestritten. Die eine Front verlangt ausreichend (notfalls beliebig) Zeit für die Hersteller um Sicherheitslücken zu beheben, die andere Front will Lücken so schnell wie möglich veröffentlichen um Hersteller zu zwingen, auf bekannte Lücken auch tatsächlich zügig mit einem Patch zu reagieren. In der Praxis lassen viele Leute dem Hersteller zwischen 30 und 90 Tagen Zeit um einen Patch zu entwickeln und veröffentlichen dann Details zu einer Lücke, auch wenn der Hersteller nach dieser Zeit noch keinen Patch veröffentlicht hat. Das ist ein relativ guter Kompromiss zwischen beiden Lagern.
Aktuell gibt es jetzteinen Fall in dem der Entdecker einer Lücke dem Hersteller nur wenige Tage gelassen hat und schon sind wieder alle am Streiten.
Tavis Ormandy, ein Entwickler bei Google hat eine technisch interessante (weil recht komplexe) Sicherheitslücke im Hilfe- und Support-Center von Microsoft Windows entdeckt. Details zur Lücke und einen Demo-Exploit hat Tavis am 10.06. auf der Full-Disclosure Mailingliste veröffentlicht. Die Mailingliste kann jeder abonnieren und bekommt automatisch alles zugeschickt was dorthin geschickt wird. Leider ist auch viel Schrott auf der Liste, weil sie kaum moderiert wird. Microsoft wurde am 05.06. von Tavis über diese Lücke informiert und hat den Eingang am gleichen Tag bestätigt.
Tavis wirft Microsoft jetzt vor, seit 05.06. nichts mehr gehört zu haben, nimmt deshalb an, es kümmert sich keiner um die Lücke und veröffentlicht 5 Tage später den Exploit mit dem dezenten Hinweis:
„Those of you with large support contracts are encouraged to tell your support representatives that you would like to see Microsoft invest in developing processes for faster responses to external security reports.“
Und das ausgerechnet von einem Mitarbeiter von Google, der Firma die vor wenigen Wochen großmäulig Microsoft-Betriebssysteme in die Tonne getreten hat. Das hat schon ein „Geschmäckle“. Tavis begründet sein schnelles Disclosure zwar unter anderem damit, dass er vermutet die bösen Hacker würden diese Lücke bereits ausnutzen. Dafür fehlen jedoch die nötigen Beweise. Außerdem hat Tavis einen Workaround mitgeliefert, der den Angriff verhindern sollte bei dem sich jedoch herausgestellt hat, dass der Schutz nicht richtig wirksam ist.
Und nun stellt sich die berechtigte Frage, ob das Vorgehen von Tavis noch von „Responsible Disclosure“ gedeckt ist oder ob ein Google-Mitarbeiter die gute Gelegenheit genutzt hat, mit einer neuen Sicherheitslücke Microsoft eins auszuwischen und den Konzern vielleicht sogar dazu zu nötigen, einen Patch außerhalb der normalen Update-Sequenz herauszubringen. Und damit quasi als Kollateralschaden Millionen von Windows-Anwendern gefährdet. Ich weiß es nicht. Aber als Administrator bin ich über „aus der Reihe Patches“ nie besonders glücklich. Vermutlich hätte man die Kommunikation über diese Lücke klüger handhaben könne.
Ich habe diese Woche am Dienstag in Düsseldorf auf der Hausmesse der Infinigate (IT-Security Distributor) die Keynote gehalten. Mit Wiederholung am 8. Juli in München.
Der Titel ist etwas provokant, im Hinblick auf die vielen Hersteller von IT-Security-Lösungen, die auf dieser Hausmesse ausstellen:
„Der Kampf gegen Hacker, Spam und Viren ist verloren! Das Spamaufkommen steigt seit Jahren kontinuierliche an, neue Spamfilter werden schneller überlistet als sie entwickelt werden können. Die Anzahl und Variabilität von Schadprogrammen wächst ebenso rapide. Gezielt für ein Opfer entwickelte Trojaner überlisten gängige Virenscanner, ganz im Gegenteil werden Scanner selbst Angriffsziel von Hackern. Insgesamt nehmen die Angriffe gegen IT-System weiter zu, die Schäden durch Angriffe und Industriespionage steigen. Die Sensibilisierung von Anwendern kostet immense Summen, der Nutzen bleibt zweifelhaft. In jeder Firma findet sich irgendwo ein Genie, das auf jedes Attachment klickt und sei es noch so verdächtig. Ein Plädoyer für einen neuen Umgang mit Sicherheitsrisiken.“
Im Kern geht es aber um zwei Aussagen, die sich in diesen zwei Schlüsselfolien der Präsentation wiederfinden:
In den meisten Firmen gibt es verschiedene Abteilungen und Gruppen, die neue IT-Systeme in das Firmennetz einbringen. Für Server ist meistens die IT-Abteilung zuständig, für mobile Rechner jedoch oft einzelne Abteilungen die dann Systeme einsetzen die von der IT nicht gewartet werden können (z.B. Mac OS X). Genauso schlimm sind Blackberry oder iPhone, wenn der Betrieb von der Geschäftsleitung verordnet wird ohne sich vorher um Sicherheitsthemen Gedanken zu machen. Warum ist eine Risikobewertung vor Einführung in der großen EU möglich, in einer kleinen/mittleren/großen Firma jedoch nicht?
Die zweite Folie stellt die Frage was zu tun ist, wenn es mal kracht. Jedes Auto hat heute einen Airbag (den ich noch nie gebracht habe). Solange nichts passiert ist der völlig unnötig. Erst nach dem Unfall wird der Airbag notwendig und verringert den Schaden. Seltsamerweise gehen fast alle Unternehmen davon aus, dass in ihren Netzen niemals ein Schaden auftritt, als wäre noch nie irgendwo ein Hacker eingebrochen. Obwohl uns z.B. Hannaford, Google und das Bundeskanzleramt das Gegenteil beweisen. Aber kein einziges Unternehmen das ich kenne hat einen brauchbaren „Airbag“ für die IT, also geeignete Maßnahmen zur Schadensbegrenzung.
Ich bin ja mal gespannt, wer sich davon angesprochen fühlt.
Disclaimer: Ich berate beruflich Firmen zu Sicherheitskonzepten, Risikoanalyse und Schadensbegrenzung 🙂