Sicherheit › Blog über die Onlinewelt

Posts categorized “Sicherheit”.

July 1st 2015
by

Unsichere Apps: Millionen Kundendaten gefährdet

 

Unsichere Apps

Noch immer gehen App-Entwickler fahrlässig mit Benutzerdaten um. Eine Studie des Fraunhofer SIT ergab, dass mehrere Millionen Datensätze in der Cloud gefährdet sind – wegen eines zu laxen Umgangs mit der Authentifizierung.

Entwickler legen immer noch bevorzugt geheime Schlüssel und Token für den Zugang zum Cloudspeicher ungeschützt in ihren Apps ab. Mit nur wenig Aufwand lassen sie sich auslesen. Damit könnten sich Kriminelle Zugang zu Datenbanken etwa in den Amazon Web Services (AWS) oder bei Facebook verschaffen. Bis zu 56 Millionen Datensätze seien so gefährdet, schätzt das Fraunhofer Institut für Sicherheit in der Informationstechnik (SIT).

Zusammen mit der Technischen Universität Darmstadt und Experten bei Intel untersuchte das Fraunhofer SIT in einem automatisierten Verfahren etwa zwei Millionen Apps in Googles Play Store und Apples App Store. In vielen sei die einfachste Form der Authentifizierung für den Zugang zu Cloud-Anbietern umgesetzt. Den Entwicklern sei offenbar nicht bewusst, wie unzureichend die von den Apps gesammelten Daten damit geschützt seien.

Uneingeschränkter Zugang zu Kundendaten

Bei ihren Versuchen konnten die Wissenschaftler nicht nur höchst persönliche Daten auslesen, etwa wer mit wem bei Facebook befreundet ist oder gesundheitliche Informationen einiger App-Benutzer. Mit Hilfe der eigentlich geheimen Schlüssel hätten sie komplette Benutzerdatenbanken auslesen oder sogar manipulieren können.

Der Bericht kommt zu dem Schluss, dass Anwender sich kaum aktiv schützen können. Sie sollten daher vorsichtig sein, welcher App sie persönliche Informationen anvertrauen. Entwickler hingegen sollten sich über die Sicherheitsvorkehrungen der Cloud-Anbieter besser informieren und restriktivere Zugangskontrollen in ihren Apps implementieren. Die Forscher haben bereits einige Entwickler über besonders kritische Schwachstellen informiert.

Cloud-Anbieter müssen handeln

Auch mit den Anbietern der Cloud-Dienste stehe das Fraunhofer SIT in Kontakt. Sowohl Amazon als auch Facebooks Parse.com, Google und Apple wurden über den Befund informiert. Den Cloud-Anbietern obliege ebenfalls die Verantwortung, die App-Entwickler dazu zu bringen, nicht nur die schwächsten Authentifizierungen zu nutzen. Außerdem sollten die Cloud-Anbieter nicht bequeme, sondern möglichst sichere Standards zur Pflicht machen.

Das Problem ist nicht neu. Bereits im Juni 2014 machten Forscher an der New Yorker Columbia-Universität eine ähnliche Untersuchung und legten dabei Tausende geheime Zugangs-Token für Amazons Web Services offen. Die Forscher kritisierten damals, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Ihnen sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Im März 2014 hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.

Erstmalig veröffentlicht auf:

www.golem.de

July 1st 2015
by

Unsichere Apps: Millionen Kundendaten gefährdet

 

Unsichere Apps

Noch immer gehen App-Entwickler fahrlässig mit Benutzerdaten um. Eine Studie des Fraunhofer SIT ergab, dass mehrere Millionen Datensätze in der Cloud gefährdet sind – wegen eines zu laxen Umgangs mit der Authentifizierung.

Entwickler legen immer noch bevorzugt geheime Schlüssel und Token für den Zugang zum Cloudspeicher ungeschützt in ihren Apps ab. Mit nur wenig Aufwand lassen sie sich auslesen. Damit könnten sich Kriminelle Zugang zu Datenbanken etwa in den Amazon Web Services (AWS) oder bei Facebook verschaffen. Bis zu 56 Millionen Datensätze seien so gefährdet, schätzt das Fraunhofer Institut für Sicherheit in der Informationstechnik (SIT).

Zusammen mit der Technischen Universität Darmstadt und Experten bei Intel untersuchte das Fraunhofer SIT in einem automatisierten Verfahren etwa zwei Millionen Apps in Googles Play Store und Apples App Store. In vielen sei die einfachste Form der Authentifizierung für den Zugang zu Cloud-Anbietern umgesetzt. Den Entwicklern sei offenbar nicht bewusst, wie unzureichend die von den Apps gesammelten Daten damit geschützt seien.

Uneingeschränkter Zugang zu Kundendaten

Bei ihren Versuchen konnten die Wissenschaftler nicht nur höchst persönliche Daten auslesen, etwa wer mit wem bei Facebook befreundet ist oder gesundheitliche Informationen einiger App-Benutzer. Mit Hilfe der eigentlich geheimen Schlüssel hätten sie komplette Benutzerdatenbanken auslesen oder sogar manipulieren können.

Der Bericht kommt zu dem Schluss, dass Anwender sich kaum aktiv schützen können. Sie sollten daher vorsichtig sein, welcher App sie persönliche Informationen anvertrauen. Entwickler hingegen sollten sich über die Sicherheitsvorkehrungen der Cloud-Anbieter besser informieren und restriktivere Zugangskontrollen in ihren Apps implementieren. Die Forscher haben bereits einige Entwickler über besonders kritische Schwachstellen informiert.

Cloud-Anbieter müssen handeln

Auch mit den Anbietern der Cloud-Dienste stehe das Fraunhofer SIT in Kontakt. Sowohl Amazon als auch Facebooks Parse.com, Google und Apple wurden über den Befund informiert. Den Cloud-Anbietern obliege ebenfalls die Verantwortung, die App-Entwickler dazu zu bringen, nicht nur die schwächsten Authentifizierungen zu nutzen. Außerdem sollten die Cloud-Anbieter nicht bequeme, sondern möglichst sichere Standards zur Pflicht machen.

Das Problem ist nicht neu. Bereits im Juni 2014 machten Forscher an der New Yorker Columbia-Universität eine ähnliche Untersuchung und legten dabei Tausende geheime Zugangs-Token für Amazons Web Services offen. Die Forscher kritisierten damals, dass viele Entwickler den empfohlenen Umsetzungen bei der Programmierung der Apps nicht folgten und geheime Schlüssel direkt in den Quellcode einbetteten. Ihnen sei offenbar nicht bewusst, wie einfach Quellcode zurückübersetzt werden könne. Im März 2014 hatten Forscher Zehntausende AWS-Zugangsdaten auf Github entdeckt.

Erstmalig veröffentlicht auf:

www.golem.de

February 4th 2015
by

Sicherheit – Freemail-Dienste getestet: Kein Anbieter überzeugt voll

Sicherheit im Internet war noch nie ein so wichtiges und viel diskutiertes Thema wie heute. Bei Messaging-Apps gab es in den vergangenen Monaten einen Boom von Diensten, die mehr Sicherheit und Anonymität versprechen. Auch bei E-Mail-Diensten steht Sicherheit seit den Enthüllungen Whistleblower Edward Snowden stärker im Fokus. Das deutsche Internet-Security-Unternehmen PSW Group hat populäre Freemail-Angebote getestet, sieht jedoch noch keinen Anlass für Jubel. “Bei keinem können sich Nutzer wirklich sicher fühlen”, so das Unternehmen in einer Aussendung.

Verschlüsselung

Getestet wurden zunächst Gmail, Yahoo, GMX, Web.de und T-Online vor allem in Hinblick auf die Sicherheit. Wieso die Angebote von Microsoft und Apple nicht berücksichtigt wurden, meldeten die Tester auf Nachfrage des Webstandard nicht zurück. Allen Anbietern mangle es derzeit noch an effizienter Verschlüsselung, bei einigen würden sogar ordentliche Passwortkontrollen fehlen.

Keiner der Anbieter verschickt die E-Mails mit einer End-to-End-Verschlüsselung. Die Anbieter beschränken sich auf eine reine Transportverschlüsselung. Für die Tester ist das zwar ein Anfang, sei für die komplette Sicherheit einer E-Mail jedoch nicht ausreichend. Einige Anbieter haben sich zur Initiative “E-Mail made in Germany” zusammengeschlossen. Die Mitglieder würden jedoch umso mehr enttäuschen. Denn die Transportverschlüsselung von GMX, Web.de und T-Online finde nur mit anderen Teilnehmern der Initiative statt.

Zumindest unterstützten alle getesteten Anbieter laut der PSW Group Perfect Forward Secrecy. Dadurch wird verhindert, dass Daten nachträglich entschlüsselt werden können, wenn ein geheimer Schlüssel geknackt wird.

Alternative Anbieter

Alternativ zu den großen Anbietern hat sich PWS auch die weniger bekannten Dienste Posteo, mailbox.org, MyKolab.com, Secure-Mail.biz, eclipso und aikQ Mail angesehen, von denen einige jedoch kostenpflichtig sind. Alle würden sich durch starke Webseiten- und Backend-Verschlüsselung, Perfect Forward Secrecy eine effiziente Transportverschlüsselung auszeichnen.

Die Server befänden sich alle in der Schweiz oder Deutschland mit Ausnahme von Secure-Maik.biz mit einem Hauptserver in Russland. Besonders hervorgehoben wird mailbox.org, da der Anbieter erst gar keine unverschlüsselten E-Mails zustellt. Nutzer könnten auch einstellen, ob ihre Mails entweder verschlüsselt oder gar nicht versendet werden.

Passwortsicherheit

“Desaströse Sicherheitsmängel” orten die Tester bei der Passwortsicherheitsprüfung von GMX und Web.de. Einfachste Passwörter würden bereits als sicher angesehen. “Eigentlich war die Passwortsicherheit keines unserer geplanten Kriterien. Angesichts der Tatsache, dass wir schon im ersten Test mit ‘Passwort’ und ‘12345678’ durchgekommen wären, haben wir diesen Punkt nachträglich ergänzt. Und wir waren schockiert, was Anbieter, die das Thema Sicherheit offenbar in ihrer Marketing-Strategie mit aufgenommen haben, hier machen”, so Heutger.

Nur T-Online und mailbox.org schnitten hier gut ab. Bei letzterem sei auch eine Buchstaben-/Zahlenkombination verpflichtend und ein Passwort dürfe nicht im Duden stehen.

Die Angebote wurden auch hinsichtlich Usability, Werbung und Auffindbarkeit sowie Formulierung der Geschäfts- und Datenschutzbedingungen getestet. Alle Ergebnisse im Detail sind im Blog der PWS Group auffindbar.

Fazit und Ausblick

Testsieger für die PWS Group ist mailbox.org aufgrund seiner Verschlüsselung und Passwortsicherheit. Allerdings handelt es sich dabei nicht um einen Freemail-Anbieter. “Bei den US-Anbietern wäre sogar vieles stimmig, sowohl in Sachen Verschlüsselung als auch in der Usability. Wären da nicht Punkte in den Datenschutzvereinbarungen, die das jeweilige Testergebnis wieder zunichtemachten”, so PSW-Geschäftsführer Christian Heutger. “Das Safe Harbor-Abkommen, das derzeit wieder rege diskutiert wird, gibt ihnen die Erlaubnis, Nutzerdaten in die USA zu transferieren. Und was dort mit den Daten geschieht, bleibt Unternehmensgeheimnis.”

Die großen Anbieter arbeiten jedoch an mehr Verschlüsselung für ihre Dienste. Google hat für seinen Browser Chrome etwa die Erweiterung “End-to-End” zur Verschlüsselung von Gmail via PGP entwickelt. Das Tool steht über GitHub zur Verfügung, eine Veröffentlichung über den Chrome Store ist für 2015 anvisiert. Auch Yahoo und kürzlich die deutschen Dienste Web.de und GMX haben angekündigt bis Ende 2015 Verschlüsselung mittels PGP einzuführen. (br, derStandard.at, 18.1.2015)

Zuerst veröffentlicht auf:

http://derstandard.at/

November 5th 2014
by

Weitere US-Ketten gestehen Hack ihrer Zahlungssysteme

Dairy Queen und Kmart mussten zugeben, dass auch ihre Kassensysteme gehackt wurden. Die Eindringlinge sammeln die Daten von Plastikgeld. PINs seien aber nicht mitgeschnitten worden, heißt es.

Zwei große US-Ketten haben Ende der Woche mitgeteilt, dass ihre Zahlungsabwicklungssysteme nicht sicher waren. Sowohl bei dem Schnellrestaurant-Franchise Dairy Queen (DQ) als auch beim Warenhaus KMart haben Angreifer über längere Zeit Daten abgegriffen. Betroffen sind Kreditkarten, Debitkarten und ähnliches Plastikgeld aller Banken. PINs und Sozialversicherungsnummern sollen sie allerdings nicht erbeutet haben.

Kmart hat den Angriff eigenen Angaben zufolge am vergangenen Donnerstag entdeckt. Eine nicht genannte Malware hat demnach seit Anfang September ihr Unwesen getrieben. Der Online-Shop sowie die zum selben Konzern gehörenden Sears- und Roebuck-Läden sollen nicht betroffen sein. Ansonsten hält sich KMart mit Auskünften zurück. Man sollte davon ausgehen, dass jede der über 1.200 Filialen einbezogen war.

Dairy Queen nennt das Kind beim Namen: Die Zugangsdaten eines Dienstleisters seien kompromittiert worden. Über diesen Account sei dann die Malware Backoff installiert worden. Ähnlich waren die Täter bei der Kaufhauskette Target vorgegangen. Dort konnten sie eine Art Hausmeisterzugang verwenden.

Kein Einzelfall

Betroffen sind knapp 400 der etwa 4.800 US-Filialen der verschiedenen Dairy-Queen-Marken, darunter auch Orange Julius. Wie aus der veröffentlichten Liste hervorgeht, war die Malware von Anfang August bis Ende August oder Anfang September, in einem Fall in Florida bis Anfang Oktober aktiv. Die meisten DQ-Filialen werden von Franchise-Nehmern geführt.

Sowohl Kmart als auch DQ machen keine Angaben darüber, wie viele Bezahlkarten ins Visier der Malware gekommen sein könnten. Bei Target (USA) waren es bis zu 40 Millionen Datensätze von Kreditkarten und 70 Millionen Kundendatensätze gewesen, Home Depot (USA und Kanada) sprach von bis zu 56 Millionen Karten.

Der Logistiker UPS, die Restaurantkette P.F. Chang’s, das Nobelwarenhaus Neiman Marcus , die Heimwerkerkette Michaels und die Supervalu-Supermärkte sind weitere Beispiele. Insgesamt dürften mehr als 1.000 US-Firmen unfreiwillig zur Datenschleuder geworden sein. Und bei der Bank JPMorgan Chase hatten sich Hacker dieses Jahr sogar Rootrechte auf 90 Servern verschafft. Damit konnten sie auf Daten von 76 Millionen Haushalten und sieben Millionen kleiner Unternehmen zugreifen.

 

Originalbeitrag:

http://www.heise.de

July 9th 2014
by

Gestohlene Kreditkartendaten: Hacker werben auf YouTube

Dass im Internet mit gestohlenen Kreditkartendaten gehandelt wird, ist ein altbekanntes Problem. Interessant ist allerdings, welchen Weg Kriminelle mittlerweile wählen, um ihr Geschäft zu bewerben. Die amerikanische Verbraucherschutzorganisation Digital Citizens Alliance (DCA) macht in einem neuen Bericht darauf aufmerksam, dass die Händler häufig YouTube nutzen, um auf ihre Angebote aufmerksam zu machen. Auf Anfragen wie “How to get credit card numbers that work 2014” liefere das Videoportal jeweils mehrere Tausend Suchergebnisse.

Ein Teil dieser Ergebnisse scheint tatsächlich zu echten Angeboten zu führen. Auf eine Videoanzeige hin hat die DCA Kontakt zu einem mutmaßlichen Händler aufgenommen, das zugehörige Telefongespräch wurde mitgeschnitten. Der Gesprächspartner gibt darin bereitwillig Auskunft: über die Art der Daten, über Rabatte und Preise – je nach Abnahmemenge soll es bei zehn Dollar pro Datensatz losgehen. Erläutert wird auch, wo ein Käufer die Karten einsetzen kann und wo nicht. So rät der mutmaßliche Händler, mit den Daten keine Einkäufe bei Amazon zu tätigen, da das Unternehmen effiziente Prüfmechanismen einsetze.

Der Bericht weist darauf hin, dass YouTube bei besonders häufig geklickten Videos auch Werbung schaltet und so an den dubiosen Clips mitverdient. In einem Fall hat die DCA angeblich sogar Werbung der Kreditkartenfirma Amex entdeckt.

Strenge Reglementierung des Internets als Ziel

Die DCA gilt als konservative Einrichtung, die eine strenge Reglementierung des Internets vorantreiben will. Wer die Organisation finanziert, ist zudem unbekannt. In mehreren ähnlichen Berichten warf sie Google vor, Anzeigen für illegalen Handel nicht hinreichend zu bekämpfen – etwa wenn es um nicht zugelassene Medikamente, Drogen oder Hehlerware geht.

Doch auch abseits der DCA beschäftigt man sich mit dem Thema: Im Juli hatten die Generalstaatsanwälte der US-Bundesstaaten Nebraska und Oklahoma Google angefragt, wie hoch die Werbeumsätze durch Videoanzeigen seien, die vor Clips zu Produkten wie den genannten geschaltet werden. “Äußerst gering”, antwortete Google damals.

Völlige Untätigkeit kann man dem Unternehmen auch im Fall der Kreditkartendatenvideos nicht vorwerfen, manche Clips werden schnell wieder entfernt. Eine Google-Sprecherin sagte der US-Webseite “Re/code”, ihr Unternehmen würde jährlich Millionen Videos sperren, die gegen die Nutzungsbedingungen verstoßen: “Unsere Richtlinien verbieten die Förderung illegaler Aktivitäten, dazu zählen Videos, die für den Verkauf illegaler Waren werben. Wir haben außerdem strenge Werberichtlinien und arbeiten daran, zu verhindern, dass Anzeigen bei einem Video, einem Kanal oder einer Seite erscheinen, sobald wir festgestellt haben, dass dieser Inhalt nicht zu unseren Werbepartnern passt.”

 

Von:

http://www.spiegel.de/netzwelt

June 27th 2014
by

Kundenbefragung: Sicherheitssoftware für Unternehmen / Schutzfunktion im Fokus der Kritik – Kaspersky auf Platz eins vor IBM und Symantec

Gehackte E-Mail-Accounts, Malware oder IT-Spionage – angesichts publik gewordener Fälle von Sicherheitslücken sind die Gefahren durch Trojaner und andere digitale Schädlinge mehr denn je in aller Munde. Der Schutz vor Computerkriminellen, die danach trachten, ganze Firmennetze lahmzulegen, steht daher ganz oben auf der Aufgabenliste der Entscheider in den Unternehmen. Zuverlässige Sicherheitssoftware ist dabei ein Muss. Aber welcher Anbieter von Security-Programmen bietet qualitativ hochwertige Produkte? Und welcher Hersteller überzeugt durch eine ausgeprägte Kundenorientierung sowie ein gutes Preis-Leistungs-Verhältnis? Das Deutsche Institut für Service-Qualität ermittelte in einer Befragung im Auftrag des Wirtschaftsmagazins “Markt und Mittelstand” die Zufriedenheit von IT-Entscheidern mit sechs bedeutenden Anbietern für Sicherheitssoftware.

Insgesamt schnitt die Branche sehr gut ab. Rund 81 Prozent der IT-Entscheider lobten die geringe Ausfallquote der Programme und waren der Ansicht, dass das Portfolio des Software-Unternehmens ihre Bedürfnisse abdeckt. Mehr als drei Viertel der Befragten gaben zudem an, dass sich die Mitarbeiter nur selten über die Security-Programme beschweren.

In einem entscheidenden Punkt zeigte sich allerdings Verbesserungspotenzial: “Mit der Schutzfunktion der eingesetzten Software war gut ein Fünftel der Befragten nicht vorbehaltlos zufrieden oder sogar unzufrieden”, kritisiert Markus Hamer, Geschäftsführer des Deutschen Instituts für Service-Qualität. Zudem waren nur knapp 70 Prozent der Teilnehmer der Meinung, dass die Konditionen und das Preis-Leistungs-Verhältnis der Software-Anbieter in Ordnung seien. Updates für die eingesetzte Software stellten die Hersteller laut gut drei Viertel der Befragungsteilnehmer zuverlässig zur Verfügung. Verbesserungswürdig war auch die Beratungsleistung der Software-Firmen: Weniger als 75 Prozent der befragten IT-Entscheider waren mit der Beratung durch die Hersteller vorbehaltlos zufrieden.

Den ersten Rang erreichte Kaspersky. In den Kategorien Leistung, Angebot und Produkte überflügelte dieser Anbieter die Wettbewerber in der Gunst der befragten Kunden. Sehr gut schnitt Kaspersky auch im entscheidenden Punkt ab – der Schutzfunktion der Software. Das exzellente Preis-Leistungs-Verhältnis rundete das hervorragende Resultat ab. Der Zweitplatzierte IBM tat sich nach Meinung der Befragten vor allem durch seine ausgeprägte Kundenorientierung hervor. Die Teilnehmer honorierten jedoch auch die verlässliche Leistung der Software und das sehr gute Angebot. Symantec wurde Dritter. Zu den Stärken dieser Firma zählte das stimmige Gesamtangebot aus sehr guten Konditionen und umfangreichem Portfolio.

Für die Untersuchung zur Zufriedenheit von Unternehmen mit Anbietern von Sicherheitssoftware wurden 150 Entscheider telefonisch zu sechs bedeutenden Herstellern befragt. Mit der Kundenbefragung beauftragte das Deutsche Institut für Service-Qualität den Feldspezialisten Krämer Marktforschung. Im Mittelpunkt der Befragung standen die Meinungen zu den Bereichen Leistung, Angebot, Produkte und Kundenorientierung.

Das Deutsche Institut für Service-Qualität (DISQ) verfolgt das Ziel, die Servicequalität in Deutschland zu verbessern. Das Marktforschungsinstitut mit Sitz in Hamburg führt zu diesem Zweck unabhängige Wettbewerbsanalysen, B2B-Studien und Kundenbefragungen durch. Rund 1.500 geschulte Tester sind in ganz Deutschland im Einsatz. Die Leitung der Forschungsprojekte, bei denen wissenschaftlich anerkannte Methoden und Service-Messverfahren zum Einsatz kommen, obliegt einem Team aus Soziologen, Ökonomen und Psychologen. Dem Kunden liefert das Institut wichtige Anhaltspunkte für seine Kaufentscheidungen. Unternehmen gewinnen wertvolle Informationen für das eigene Qualitätsmanagement. Das Deutsche Institut für Service-Qualität arbeitet im Auftrag von renommierten Print-Medien und TV-Sendern; Studien für Unternehmen gehören nicht zum Leistungsspektrum des DISQ.

Veröffentlichung nur unter Nennung der Quelle: Deutsches Institut für Service-Qualität im Auftrag von "Markt und Mittelstand" 

Pressekontakt:

Markus Hamer Fon: +49 (0)40 / 27 88 91 48 - 11 Mobil: +49 (0)176 / 64 03 21 40 E-Mail: m.hamer@disq.de 
www.disq.de

Zur Internetseite:
www.presseportal.de/pm/64471/2725983/kundenbefragung-sicherheitssoftware-fuer-unternehmen-schutzfunktion-im-fokus-der-kritik-kaspersky
April 17th 2014
by

Berufseinsteiger: Kein Respekt vor Firmenregeln

Weil im Arbeitsumfeld zunehmend eigene Geräte eingesetzt oder Cloud Storage-Lösungen verwendet werden, haben Unternehmen Regeln definiert, die Firmendaten absichern sollen. Das ist ohnehin schwierig. Ungleich komplizierter ist es, wenn die Mitarbeiter diese Policies ignorieren. Das genau aber tun junge Kollegen, ‘Generation Y’ genannt, angeblich. In einer Umfrage, die der Security-Hersteller Fortinet durchgeführt hat, gibt sich über die Hälfte der Befragten unbeeindruckt in Anbetracht des Risikos, das sie für die Firma gegebenenfalls darstellen. read more »

April 15th 2014
by

Studie: Onliner im Passwort-Chaos

Hamburg (ots) – Fast jeder Internetnutzer (94 Prozent) loggt sich täglich in ein bis fünf Nutzerkonten ein, am häufigsten in Social Communitys, Onlineshops sowie E-Mail- und Messenger-Programme. Das Merken der Passwörter für die verschiedenen Seiten fällt jedoch nicht leicht. Knapp ein Drittel der Internetnutzer (30 Prozent) hat bereits wichtige Passwörter vergessen. Dies sind Ergebnisse aus der Studie “Social Media Impact 2012 – Social Sharing und Social Login im Web”, die die allyve GmbH & Co. KG durchgeführt hat. Wer sein Passwort nicht im Kopf hat, notiert es am häufigsten auf Papier (38 Prozent) oder speichert es in seinem Browser (20 Prozent). Dass die eigenen Methoden zur Speicherung von Passwörtern jedoch unsicher sind, gibt jeder Dritte (31 Prozent) zu. read more »

April 15th 2014
by

Kleine Helfer: ThreatFire – verhaltensorientierter Schutz für Windows

ThreatFire arbeitet unabhängig von Virensignaturen und erkennt potentielle Angriffsmuster auf dem Rechner

Klassische Antivirenlösungen können den Rechner erst dann schützen, wenn die Malware identifiziert und eine entsprechende Signatur entwickelt wurde, mit der sie bekämpft werden kann. Um einen möglichst umfassenden Schutz garantieren zu können, müssen die Virensignaturen von den Security-Anbietern möglichst schnell entwickelt werden, während Anwender sie ständig aktualisieren müssen. Da jeden Tag neue Viren in Umlauf gebracht werden, bleibt bei signaturbasierten Schutzmethoden immer ein Restrisiko bestehen. Um dieses Risiko möglichst einzuschränken, wurden heuristische, verhaltensbasierte Techniken entwickelt. Zu den bekanntesten Vertretern dieser Kategorie zählt im Freeware-Bereich das Programm ThreatFire. read more »

April 15th 2014
by

Wikileaks – Assange: Anonymous ist vom FBI unterwandert

Julian Assange, der nach wie vor in der ecuadorianischen Botschaft in London festsitzt, hat sich gegen die Anschuldigungen von Anonymous zur Wehr gesetzt. In einem Statement bezichtigt er die Hacker-Gruppierung, vom FBI unterwandert zu sein.

Solidaritäts-Abhandlung

“Grundsätzliche Solidarität bei Wikileaks und Anonymous” heißt das auf Twitlonger einsehbare Dokument. “Gruppierungen, die als Einheit arbeiten, florieren und jene, die das nicht tun, werden zerstört und ersetzt”, leitet Assange den Brief ein. Nach einer Abhandlung über Solidarität verweist er schließlich auf den Fall “Sabu”. read more »

April 14th 2014
by

Microsoft-Analyse: Warum Betrüger absichtlich aus Nigeria schreiben

Original-Quelle: http://www.golem.de

Reiche Prinzen und Verwandte, die in Afrika Millionenerben hinterlassen haben – eine Studie von Microsoft zeigt: Je hanebüchener die Geschichten in den Scamming-E-Mails der Nigera Connection, desto erfolgreicher sind die Betrüger.

So eine E-Mail hat fast jeder wohl schon erhalten: Jemand aus Nigeria oder einem anderen afrikanischen Land verspricht ein Millionenerbe, wenn der Empfänger nur einige Hundert US-Dollar oder Euro zur Klärung letzter anwaltlicher Fragen überweist. Sie landet bei den meisten Anwendern dort, wo sie hingehört: im E-Mail-Papierkorb. Die meisten Texte sind in schlechtem Englisch oder Deutsch verfasst und wecken schon dadurch den Argwohn der Empfänger. Ebenso die übertriebenen Geschichten, zum Beispiel vom reichen Prinzen, Verwandten oder Banker, der ausgerechnet dem Empfänger ein Vermögen hinterlassen hat. read more »

November 24th 2013
by

„Ein Traum für Geheimdienste“ – LinkedIn öffnet mit „Intro“ die Pforten für Hacker

Die neue Funktion „Intro“ des sozialen Netzwerks LinkedIn bringt Sicherheitsexperten auf die Barrikaden. Die Erweiterung für das iOS-Mailprogramm zeigt auf Wunsch intime Details des Absenders direkt in der Nachricht an – Hacker reiben sich die Hände.
Der Betreiber des sozialen Netzwerks LinkedIn hat eine neue Funktion namens Intro eingeführt, wie CHIP Online berichtet. Diese Erweiterung für Mail-Programme (vorerst nur für AppleiOS) zeigt das Bild und weitere LinkedIn-Profildetails des Absenders direkt in der E-Mail an.

Nun kritisieren immer mehr Sicherheitsexperten die zugrunde liegende Technik in teils deutlichen Worten. LinkedIns neue Mobile App sei „ein wahr gewordener Traum für Hacker und Geheimdienste“. Das Sicherheits-Beratungsunternnehmen Bishop Fox zählt Gründe auf, warum LinkedIn Intro mehr als nur bedenklich ist. Zum Beispiel: read more »