Archiv | Datenschutz RSS for this section

WhatsApp E2E mit Hintertür

Nachdem im letzten Jahr Facebook vollmundig verkündete das WhatsApp jetzt eine Ende zu Ende Verschlüsselung bietet, dachten viele das man jetzt auf der ’sicheren‘ Seite sei.

Leider muss ich Euch hier enttäuschen, Tobias Boelter ein Kryptografie- und Securityforscher der Berkley-Universität in Kalifornien hat festgestellt, dass Facebook, die eigentlich sichere Technologie von Open Whisper Systems, erweitert hat. Die Erweiterung erlaubt es Facebook, unbemerkt vom Nutzer, neue Schlüssel zu erstellen. Dadurch ist das Unternehmen fähig, Zugriff auf den Inhalt eines Chats zu nehmen und diesen an Behörden weiter zu leiten. Um dies zu bewerkstelligen muss das Unternehmen ein wenig den Server belügen, schon werden die Nachrichten erneut verschickt.

Facebook hat die volle Kontrolle über die Server, die Clients und die Erzeugung der Schlüssel, somit also kein Problem dies zu bewerkstelligen und der Betroffene User merkt davon rein gar nichts. Also hat man hier eine nette Hintertür eingebaut.

Alle die jetzt wieder sagen, ich habe nichts zu verbergen, denen sage ich, du weisst nicht ob du das was du heute kommunizierst nicht doch schon morgen gerne verbergen möchtest.

Facebook hat seine Nutzer angelogen, ob diese Lücke beabsichtigt oder unbeabsichtigt eingebaut wurde spielt hier keine Rolle, das Unternehmen hat behauptet, dass nur die beteiligten Nutzer die Konversation lesen können.

Wer also dem Unternehmen und WhatsApp als Dienst vertraut hat, ist gut beraten sich umgehend nach einer Alternative umzuschauen.

Artikel The Guardian:  https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages

Advertisements

Outlook für mobile Geräte

Ich war noch nie ein Freund von diesem Mail Client.

Nun ist Outlook auch für iOS und Android erhältlich.

Warnung
Der ETH-Informatikdienst warnt vor der Outlook-App. Die klare Aussage ist, Finger weg. Die ETH hat die Verwendung der App, auf dem zentralen Mailserver der Informatikdienste blockiert.

Grund
Eingehende und versendete E-Mails werden nicht direkt von der App abgefragt, sondern erst über eine ungenaue Anzahl an Proxyservern geleitet, die in den USA stehen. Des Weiteren speichert der Dienst Kalendereinträge, Kontaktdaten und Mail-Anhänge auf den eigenen Servern.
Nach dem gestrigen Erscheinen von Microsoft Outlook für iOS und Android kommt heute eine Warnung vor der App.

Die ETH Zürich rät aus diesem Grund, die App vom Smartphone zu löschen und das Passwort des Mail-Accounts zu ändern. In der App selbst wird zwar darauf hingewiesen, dass Daten auf fremden Servern gespeichert werden, dies geschieht jedoch nicht explizit beim einrichten des Kontos.

Quelle: watson

Drittanbieter von Finanzdienstleistungen

Aus aktuellem Anlass möchte ich auf die Gefahr, die sich hinter solchen unten erwähnten Angeboten versteckt, hinweisen.

Qontis hat anfangs dieser Woche in der Schweiz einen Personal Finance Manager lanciert. Kunden von Qontis können ihre Bankverbindungen von vielen Schweizer Banken zusammen führen und erhalten so einen Gesamtübersicht. So weit so schön.

Risiken
Da man als Kunde von Qontis seine Legitimationsmittel an Qontis weiter gibt, hat Qontis uneingeschränkt Zugriff auf die Konten, einschliesslich der Möglichkeit, Transaktionen auszulösen.

Qontis greift im Namen des Kunden auf das Konto zu. Dies entspricht, böse gesagt, technisch gesehen dem Vorgehen einer Phising Attacke.

Die Kundendaten verlassen den geschützten und regulierten Bereich der Banken.

Darüber begeht der Kunde, eine Verletzung der Sorgfaltspflicht (AGB der jeweiligen Bank), er gibt die Legitimationsmittel an einen dritten weiter und übernimmt damit die Risiken im Falle eines Missbrauchs.

Die AGB’s von Qontis sagen eigentlich auch alles.

Ausug aus den AGB’s der Qontis AG

Datensicherheit im Internet
Bitte beachten Sie, dass es sich beim World Wide Web um ein öffentlich zugängliches System handelt. Jedes Mal, wenn freiwillig persönliche Informationen online preisgegeben werden, erfolgt dies auf eigenes Risiko. Ihre Daten können unterwegs verloren gehen oder in die Hände Unbefugter gelangen. Die Qontis AG schützt Personendaten durch angemessene Massnahmen gegen unbefugtes Bearbeiten. Die Qontis AG kann jedoch keine Verantwortung und/oder Haftung für die Datensicherheit übernehmen.

Meine Empfehlung, ganz klar Finger weg von solchen Angeboten, am Schluss steht man mit einem allfälligen Schaden alleine da.

Cleverer Passwortmanager

Seit ich mein iPhone 4S habe, benutze ich als Passwortmanager, den iMobilesitter von Fraunhofer SIT.

Die Software ist für Benutzer kinderleicht zu bedienen. Man muss sich lediglich ein Masterpasswort merken den Rest erledigt iMobilesitter.

Die Zugangsdaten auf dem iPhone werden mit einer innovativen Methode geschützt und lässt Hacker verzweifeln. IMobilesitter akzeptiert jedes Masterpasswort und zeigt die vermeintlichen Geheimnisse an. Wird zum Beispiel eine vierstellige Pin Nummer gespeichert, so wird eine Zahlenkombination zwischen 0000 und 9999 ausgegeben. Welche aber natürlich nicht korrekt ist. Eine EC-Karte wird so, nach drei falschen Eingaben, eingezogen.

Der rechtmässige Benutzer hingegen kann sofort erkennen, ob er sein Masterpasswort korrekt eingegeben oder ob er sich vertippt hat. Eine kleine Grafik auf dem Bildschirm dient der Rückversicherung. Ein Angreifer kann mit den eingeblendeten Symbolen nichts anfangen, da er die Grafik für die korrekte Eingabe weder kennt noch ermitteln kann.

Mehr Informationen findet ihr hier.

20140312-095350.jpg

WhatsApp und Facebook oder Emmentaler bleibt Emmentaler

Ja ihr könnt es sicher nicht mehr hören, aber auch ich muss da noch meinen Senf dazu geben.

Also ich verstehe nicht, wieso dass es erst jetzt vielen Leuten auffällt, dass WhatsApp nicht unbedingt das gelbe vom Ei ist. Die App war schon vor der Übernahme durch Facebook, löchrig wie ein Emmentaler was die Sicherheit angeht und von der Privatsphäre reden wir schon mal gar nicht.20140224-201418.jpg
Zudem bin ich der Meinung, nur ein Messenger alleine reicht keinem. Es werden immer mehrere Messenger benötigt um mit allen Kontakten in Verbindung zu bleiben.

Ich für meinen Teil benutze Threema, myENIGMA, BBM, Wickr und ja den Facebook Messenger. Es kommt, einmal mehr, nicht auf den Messenger an den ihr benutzt, sondern auf euch. Es liegt an euch, was ihr über welchen Messenger raus haut.

Von WhatsApp rate ich aber nach wie vor ab, nicht weil die App jetzt zu Facebook gehört, sondern weil der Messenger löchrig wie ein Emmentaler ist.

Apple schreibt Passwortsicherheit groß

20140129-184720.jpgMarktforscher haben festgestellt – wer bei Apple einen Account anlegen will muss ein sicheres Passwort wählen. Dafür trägt der Mac-Hersteller mehr Sorge als andere.

Die Marktforscher haben dabei die Passwort-Policies der 100 wichtigsten E-Commerce-Unternehmen untersucht und für jedes von 24 Kriterien Plus- oder Minuspunkte verteilt. Apple erreichte dabei den absoluten Top-Wert von 100 Punkten. Weit dahinter setzen sich Microsoft, Newegg und Chegg auf den geteilten zweiten Platz mit 65 Punkten. Target, die Handelskette der erst kürzlich 100 Millionen Kreditkartendaten ihrer Nutzer abhanden kamen, erreichte 60 Punkte. Untersucht wurden vor allem die Regeln für „sichere“ Passwörter.
55 der Unternehmen erlaubten dabei Passworte wie „12345“ oder „password“, 70 Prozent gaben sich mit „abc123“ zufrieden. Nur 61 Prozent erklären ihren Kunden, wie man ein starkes Passwort erstellt und nur sieben Prozent geben schon bei der Eingabe des Passwortes Feedback, wie stark es wirklich ist. Ebenso ein Kriterium war, wie oft man ein falsches Passwort eingeben kann. Amazon erlaubt sogar nach zehn Fehlversuchen weiteres Ausprobieren.

Wie Dan Goodin von Ars Technica jedoch kritisiert, hat Dashlane Research einige technische Aspekte außer Acht gelassen, etwa ob die Passworteingabe über ungeschützte HTTP-Verbindungen erfolgt oder ob Links zum Zurücksetzen des Passworts nicht über HTTPS laufen.

Apple arbeitet angeblich an einem eigenen Bezahldienst, CEO Tim Cook ließ in der Bilanzpressekonferenzen aufhorchen. als er Fragen danach nicht dementiert. Stattdessen erklärte er, Touch ID sei auch unter dem Hintergrund entwickelt worden, Teil einer Bezahltechnologie zu werden. Da mag es beruhigen, wenn Apple Passworte pfleglicher behandelt als andere Unternehmen.

DROPOUTJEEP

20140104-112318.jpg
Die NSA hat einen Trojaner für das iPhone. Hm…also ein Trojaner, ist meiner Meinung nach nichts anderes als einer, der vorgibt etwas zu sein was er nicht ist. Einem Trojaner muss man auch die Tür öffnen und ihn herein lassen bevor er überhaupt aktiv werden kann. Ich zweifle nicht daran das die NSA über solche Mittel verfügt, nur muss ich hier sagen das die Presse mal wieder einen auf Panik macht.

Apple dementiert die Zusammenarbeit.

Glaube ich! Ich persönlich gehe davon aus das Leute die ihr iPhone mit einem Jailbreak geöffnet haben stark gefährdet sind. Hinzu kommen Leute die weit verbreitet Kommunikation App’s geladen haben. Als erstes fällt mir da die Schrott App WhatsApp ein. Über welche ja schon häufiger Trojaner und andere Malware verbreitet oder ungefragt auf die Kontakte zugegriffen wurde. Auch ein Angriff über Social Engineering halte ich beim einschleusen eines solchen Trojaners für sehr wahrscheinlich.

Was ich aber für nicht realistisch halte, ist das Abfangen von iPhones. Wenn doch, könnte man dies relativ einfach wieder beheben. Achtung pure Mutmassung Man lösche das iPhone vor dem ersten Gebrauch.

Fazit: Nehmt solche Informationen ernst und haltet euch an die Grundlegenden Sachen, SMS von euch nicht bekannten Kontakten nicht öffnen. Weit verbreitete App’s meiden, nutzt App’s welche Verschlüsselung auf dem eigenen Gerät anbieten. Last das Smartphone auch mal zu Hause vor allem dann wenn ihr euch mit eurer Terrorgruppe trefft😜. Und ganz wichtig nicht jeden Scheiss ins iNet stellen…das Netz vergisst nie.

Es gibt keine absolute Sicherheit aber man kann sie durch sein eigenes Handeln erhöhen