About
Accounts
Friends
-
Loading…sevenload 5 months ago -
Loading…dentaku about 1 month ago -
Loading…annea 2 months ago -
Loading…bchannover 9 months ago -
Loading…krannix 1 day ago -
Loading…yatil 27 days ago -
Loading…luca 21 days ago -
Loading…kirscheplotzer 27 days ago -
Loading…baranek 16 days ago -
Loading…andremellentin about 1 month ago
- +12
Click here to check if anything new just came in.
May 21 2011
Sony und die Datensicherheit
Wie wir bereits hier schrieben, hat Sony derweil ja einiges um die Ohren. Doch so recht will sich die Situation nicht abkühlen. Wir schrieben ja bereits, dass Millionen von Kundendaten gestohlen wurden und dass das für Sony nicht ganz billig wird.
Nun hat ja Sony das Netzwerk schrittweise wieder hochgefahren und die User aufgefordert ihr Passwort wieder zurück zu setzen. Dafür hat Sony extra Webseiten eingerichtet, bei den User ihren Namen und ihr Geburtsdatum eingeben sollten, um ein neues Passwort anzufordern. Daraufhin bekamen sie eine Mail mit einem Link, der als Bestätigung angeklickt wurde. Dieser Link enthielt einen 64 – stelligen Token, um sicherzustellen, dass auch wirklich der Empfänger der Mail die Rücksetzung bestätigt. Hat man den Link angeklickt wurde das Passwort zurück gesetzt.
Allerdings hatte das ganze einen Schönheitsfehler. Wenn man auf die Seite ging, um seinen Namen und sein Geburtsdatum einzugeben erhielt man von der Seite einen Cookie, der bereits den Token enthielt, der auch später im Link der Bestätigungsmail zu finden ist.
Nun musste ein Angreifer nur die URL:”https://store.playstation.com/accounts/reset/resetPassword.action?token” besuchen. Die URL fand sich auch in der Mail wieder mit nur einem Unterschied: an das Ende der URL wurde noch der Token angehängt. Dieser angehängte Token wurde dann vom Server ausgelesen und geprüft.
Anscheinend hat Sony aber noch einen zweiten Mechanismus eingebaut, bei dem nicht der Token aus der URL gelesen wurde, sondern aus dem Cookie.
Ein Angreifer musste deshalb nur folgendes machen: die Webseite zur Rücksetzung besuchen, den Cookie erhalten, Namen und Geburtsdatum eingeben, auf die URL “https://store.playstation.com/accounts/reset/resetPassword.action?token” gehen. Die hat den Token aus dem Cookie ausgelesen und der Angreifer konnte somit den Account übernehmen.
Wenn man natürlich eine Datenbank mit Millionen geklauten Kundendaten hat, sollte der Angriff keine Problem bereiten.
Das galt allerdings nur für die Passwortwiederherstellung über den Browser. Die Funktion über die Playstation war nicht betroffen. Sony löste dann das Problem, indem sie die Webseite vom Netz nahmen. Natürlich ist die Seite wieder online.
Das war letzte Woche. Jüngst plagt Sony aber ein neues Problem. Wie f-secure meldet wurde auf dem Server von Sony Thailand eine Phishing Site gefunden, bei der vorzugsweise Kunden einer italienischen Kreditkartenfirma im Ziel standen.
Bei So-Net wiederum, einem Provider der quasi Sony gehört wurden letzte Woche dann Bonuspunkte im Wert von 860 Euro geklaut und Musikerprofile geändert, wie Heise berichtet.
Wie all das nun geschehen konnte, steht noch aus. Fakt ist aber, dass es für Sony immer peinlicher wird. Und das die Cracker nicht logen, als sie mit der Behauptung zitiert wurden, sie hätten mehrere Zugänge zu verschiedenen Serven Sonys.
May 20 2011
Warum SSL wichtig ist und WLANs nicht immer sicher sind
Da schaut man sich um, was es Neues gibt und schon findet sich wieder eine super skandalöse Geschichte. Die beiden Hauptdarsteller: Datenschutz und Großkonzern. Das verkauft sich immer gut.
Und auch Spiegel online (auf deren Artikel ich mich beziehe), die Welt, Focus online oder auch “Die Zeit” berichteten von der riesigen Sicherheitslücke, die da bei Google zu finden ist. Allein: ein Ulmer FORSCHER soll das herausgefunden haben. Das muss ja was ganz großes sein.
Also worum geht es genau?
Besagter Ulmer Forscher fand heraus, dass sich Android Handys mit Google Servern verbinden, um Telefonkontakte, Kalendernotizen und Fotoalben zu synchronisieren. Um sicher zu stellen, dass der Benutzer auch berechtigt ist, die Daten zu synchronisieren wird ein Token benutzt, der sich allerdings nur alle zwei Wochen ändert.
Hat ein User den Token ist es möglich somit Zugriff auf die jeweiligen Dienste zu erhalten. Kann man also das Token herausfinden, hat man Zugriff auf die Daten.
Das Herausfinden ist nicht allzu schwer, denn Android – Handys verbinden sich automatisch mit bekannten WLANs. Ist ein Android – Handy nun in einem solch offenen WLAN eingewählt, kann jeder – egal ob der WLAN – Betreiber oder irgendein unbekannter Dritter – alle Daten mitschneiden. Inklusive des Tokens.
Meiner Meinung nach zeigen sich hier zwei Dinge: die stark verbreitete Unterschätzung des Datenschutzrisikos hinsichtlich Cloud Dienste und die massenhafte Unwissenheit, wie eigentlich die Technologie, die wir täglich nutzen, funktioniert.
Denn prinzipiell ist es in JEDEM WLAN unsicher, Daten zu versenden. Es ist vollkommen egal, ob das WLAN verschlüsselt ist oder nicht. Denn jeder, der Zugriff auf das verschlüsselte WLAN hat, kann Daten mitschneiden.
Deshalb ist es auch wichtig darauf zu achten, dass man sich immer über SSL einloggt. Das sieht man daran, dass in der URL – Leiste statt “http://” nämlich “https://” steht. Ansonsten ist es nämlich IMMER – und dabei ist es egal ob WLAN oder Kabelnetzwerk – möglich, Daten mitzuschneiden.
Dieses Problem ist schon so alt, wie die Netzwerktechnologie selber. Und ich finde es ziemlich bedenklich, dass selbst solche trivialen Meldungen für solche auf-reißerischen Schlagzeilen hergenommen werden. Das Problem ist einfach nur, dass Google geschlampt hat und kein SSL für die Dienste eingerichtet hat. Und das die Prüfung, ob ein WLAN bekannt ist oder nicht über den Netwerknamen erfolgt und nicht über die eindeutigere MAC – Adresse.
Von einer Sicherheitslücke bei Google zu reden ist allerdings sehr stark übertrieben und zeigt auch wie stark einerseits der Druck nach hoher Auflage und Page Impressions ist und wie sehr viele Menschen das Internet (und alles was dazugehört) als unbegreifbares Hexenwerk verstehen.
Allerdings zeigt sich auch mal wieder, dass nicht nur alles toll ist am Cloud – Hype. Denn es ist nicht nur so, dass man seine Daten auf fremde Server legt, sondern auch, dass die Übertragungswege nicht immer sicher sein müssen.
Das Problem ist nicht allzu unbekannt. Facebook führte bereits Oktober letzten Jahres SSL ein, um ein Mitschneiden der Daten zu verhindern. Und auch Twitter kennt die Problematik. Denn der Account von Ashton Kutcher musste bereits daran glauben. Seitdem hat sich auch Twitter bemüht, SSL komplett und nicht nur für den Login anzubieten.
Und nun muss Google halt nachziehen und hat das dies auch teilweise getan. Problematisch dabei ist die unterschiedliche Verbreitung der unterschiedlichen Android – Versionen.
So gesehen ist, die ganze Geschichte schon beunruhigend. Denn sie zeigt wieder mal auf, wie vernetzt unser Leben mittlerweile ist und wie wenig wir Kontrolle wir am Ende darüber haben. Und wie sehr wir darauf angewiesen sind, dass Anbieter und Hersteller auf Datenschutz achten und das Datenschutz nicht nur heißt, seine Datenbanken abzusichern.
Denn mit der technischen Entwicklung wird es künftig nicht einfacher werden, Datenschutz zu gewährleisten.
Mehr allerdings beunruhigt mich, dass Journalismus scheinbar immer weniger auf Qualität – wie von verschiedenen Lobbies immer so gern behauptet – setzen und lieber mit vermeintlichen Skandalen versuchen Auflagen und Klicks für sich zu gewinnen. Denn unverschlüsselte Datenübertragung ist immer gefährlich. Ganz egal wo.
August 26 2010
Never ending story – google street view
Eins der wohl diskutiertesten Themen in der Medienwelt ist wohl derzeit “Google Street View”. Datenschützer protestieren, Land und Politik legen teils Wiederspruch ein, die Öffentlichkeit ist ratlos. Google selbst hält an diesem Dienst fest und geht zielstrebig in die nächste Runde.
Der Dienst des Suchgiganten Google veröffentlicht 360 Grad Panoramabilder im Internet. Komplexe Infrastrukturen einer Stadt wie Häuser, Straßen, Parks und Sehenswürdigkeiten sind einsehbar und per Mausklick “begehbar”.
Warum wird Google Street View kritisiert?
Die veröffentlichen Bilder werden von Fahrzeugen mit einer Spezialkamera aufgenommen. Die darauf befindlichen Passanten werden zwar technisch unkenntlich gestaltet, doch Privateingentum und Grundstücke sind weiterhin einsehbar. Eine Einladung für Einbrecher und Betrüger? Der Protest der Betroffenen ist entsprechend groß.
Ein entsprechender Beitrag wurde von ZDFmediathek veröffentlicht.
Weiter sind zusätzlich Daten von Wlan-Netzwerken gesammelt worden. Die aus dem Bereich des “Wardriving” bekannten Mitschnitt von Daten mit dem Programm “Kismet” wurden zudem unverschlüsselte Netzwerke gescannt.
Wie verdient das Unternehmen an “Google Street View”?
Wirtschaftlich gesehen ist Googles Dienst ein neues Zusatzgeschäft. Mit Werbeeinnahmen, die wir bereits aus “Google AdWords” kennen, soll nun ortsbezogene Werbung geschaltet werden. Der virtuelle Einkaufsbummel soll soweit ausgeweitet werden, dass Ladengeschäfte, Hotels und Restaurants betreten werden können. Ein lukratives Geschäft für Werbende und dem Konzern selbst.
Zukünftig werden Werbeflächen von Plakaten und Häuserfassaden mit einer speziellen Software überdeckt. Die Idee dahinter: veraltete Werbung soll von aktueller ( und bezahlter ) Reklame ersetzt werden.
Jetzt auch mit Dreirädern unterwegs
Google macht nicht vor befestigten Straßen Schluss. Mit einem knapp 200 Kilogramm schweren Fahrrad soll nun unerreichbare Bereiche für das Auto gefilmt werden. “Eine groß angelegte Erfassung von Gärten, Parks und Waldwegen sei derzeit nicht geplant.” so laut Google-Sprecher Stefan Keuchel.
May 26 2010
Die unendliche Geschichte: Datenschutz und Facebook
Nachdem das Wall Street Journal über Facebooks personalisierte Werbung berichtete, bei der es möglich ist, den User, der auf die Werbung geklickt hat, persönlich zu identifizieren, reagiert Mark Zuckerberg mit einem Beitrag in der Washington Post.
Er spricht insgesamt von der Idee, dass Facebook dazu beitragen solle, die Welt offener zu machen und helfen sollte, Menschen zusammenzubringen. Das klingt im ersten Moment natürlich sehr edel, für so manchen Datenschützer mehr als zynisch.
Insgesamt spricht Zuckerberg von einem Fehler, aus dem man lernen möchte. Und so ist geplant in den kommenden Wochen die Privatsphäre – Einstellungen deutlich zu vereinfachen. Eigentliches Ziel war es, den Benutzern möglichst vielseitige Möglichkeiten zu geben, ihre Daten zu schützen. Das ist gewissermaßen gelungen. Denn wer aktuell mal in seine Facebook – Einstellungen schaut, der findet 5 verschiedene Einstellungskategorien, die sich dann in immer kleinere Kategorien aufteilen. Das ermöglicht tatsächlich sehr individuelle Einstellungen hat aber auch den Nachteil, dass man sich schnell verloren fühlt, zwischen all den Punkten.
Und genau das wird das eigentliche Problem sein, was viele stört und der Stein des Anstoßes ist. Im Rahmen dieser Umstrukturierung will Zuckerberg es denn auch gleich ermöglichen, Facebook Apps abzuschalten. Also solche, die bereits abonniert sind und die mehr oder weniger auf Wunsch des Users regelmäßig an die eigene Pinnwand posten bzw. sich immer selbstständig ausführen.
Und genau hier könnte es wirklich interessant und genau hier zeigt sich dann auch, wie ernst es denn Facebook meint. Denn ganz egal ob Facebook nun die Benutzerdaten weiterverkauft oder sehr restriktiv damit umgeht, bleibt die Frage, was die Ersteller von Facebooks Apps mit den Daten machen bzw. ob und welche sie erhalten.
So kann Facebook Daten schützen wie sie wollen, es wird nichts bringen, solange Apps genau dieses Vorhaben unterminieren.
Insofern stellen sich also immer noch recht viele Fragen, inwiefern es wohl mit Facebook weitergeht bzw. wie ernst es Facebook mit dem Datenschutz ist. Denn die Worte die da Mark Zuckerberg schreibt klingen ja alle sehr schön und edel, aber man kennt es aus Industrie und Politik wie relativ Worte werden, wenn entsprechende Geldsummen zwischen ethischem, aufrichtigem Verhalten und dem eigenen Bankkonto stehen.
Bei aller Aufregung aber, man denke nur an den 31. Mai der “Quit Facebook Day”, seitens der User, müssen sich selbige die Frage gefallen lassen, ob sie wirklich so gutgläubig sind und denken, es gebe da ein Unternehmen mit 400 Mio. Mitgliedern, welche eine entsprechende IT – Infrastruktur fordern, welches aus reiner Nächstenliebe diesen Service anbietet, ohne finanzielle Absichten im Hinterkopf. Und auch das soziale Netzwerke nicht grade für ihren Datenschutz bekannt sind, sollte einigen mittlerweile klar sein. Genauso wie klar sein sollte, dass die Privatsphäre – Einstellungen standardmäßig eher lax gesetzt sind.
Und so wird die Gängelung von sozialen Netzwerken das eine sein. Wichtiger aber wird es sein, die Menschen dafür zu sensibilisieren, dass das, was einmal ins Internet gelangt, so schnell nicht wieder rauskommt. Und mag es auch noch so verführerisch sein, einen tollen Spruch zu landen oder einen Lacher durch ein Foto für sich zu haben, man sollte die Konsequenzen im Auge behalten. Das hat noch nicht mal was mit der bekannten Geschichte des künftigen Arbeitgebers zu tun, der sich seinen Bewerber durch die Netzwerke mal genauer anschaut. Es geht auch um das private Zusammenleben und die möglichen Auswirkungen. Regelmäßige Leser von failbook.com werden wissen, was ich meine. Grade bei Facebook, wo man grundsätzlich Menschen addet, die man kennt und nicht die wirklich Freunde sind, kann dies zu verheerenden Kollateralschäden im eigenen Umfeld führen.
April 19 2010
Metasuche Ixquick: Jetzt auch mit Proxy-Service
Gleich welche Suchmaschine genutzt wird – die Server speichern unter Anderem Logfiles mit Anfragedaten, Suchwörtern, Cookies und IP – Adressen. Das immer mehr Internetanwender datenschutzrechtliche Bedenken bei der Verwendung der populärsten Suchmaschinen haben, ist sicherlich verständlich.
Der AOL – Skandal im Jahr 2006 zeigte bereits deutlich, wie leichtsinnig mit den entsprechenden Daten umgegangen wird. Doch auch Google wird weiterhin nicht auf die Speicherung der Daten verzichten. Indem Suchanfragen gespeichert werden, lernt Google wie Anwender das Internet für welche Art von Informationsanfragen nutzt.
Es geht jedoch auch anders:
Ixquick, die Suchmaschine aus den Niederlanden mit dem ersten Europäischen Datenschutz-Gütesiegel hatte bereits damals für Aufsehen gesorgt. So verspricht diese Websuche die Privatsphäre der Internetuser zu schützen, indem Suchanfragen nicht gespeichert werden.
Ixquick verwendet die so genannte POST-Methode (statt die des GET-Verfahrens), um die Suchbegriffe aus den Log-Dateien der Webseitenbetreiber von Seiten herauszuhalten, die über die Suchergebnisse erreicht wurden.
Laut Selbstdarstellung von Ixquick ist dieser die leistungsstärkste Metasuchmaschine der Welt. Eine Metasuchmaschine verarbeitet dabei die Suchanfragen mit anderen beliebten Webmaschinen und stellt die Ergebnisse entsprechend übersichtlich dar. Die Ergebnisliste ist für Umsteiger allerdings gewöhnungsbedürftig.
Seid dem 28.01.2010 bietet der innovative Webcrawler einen neuen Dienst an: Der Proxy-Service für anonymes Surfen.
Ähnlich wie bekannte Anonymisierungstools wie JAP oder Tor stellt Ixquick nun einen integrierten und vergleichbaren Proxy-Service zur Verfügung. Ein Stückchen mehr in Richtung “Sicheres Websurfen”.
Um den Proxy-Modus zu aktivieren sind keinerlei besondere Einstellungen nötigt. Sobald ein Suchbegriff in das Interface eingegeben wurde, findet man den entsprechenden Hinweis “Proxy” direkt neben der URL-Anzeige. Leider sind jedoch einige Funktionen in diesem Modus wie Javascript-Code deaktiviert, sodass das gewohnte Surfvergnügen auf der Strecke bleibt. Es sind einfach noch zuviele Webmaster, die Javascripte in die Webseiten integrieren. Ganze Formulare können somit nicht verwendet werden. Doch im Sinne der Sicherheit…
April 06 2010
Web of Trust – Wie wir unser eigenes sicheres Web gestalten
Das wir ständig irgendwelchen Internetgefahren ausgesetzt sind, sobald wir den Online-Status setzen, ist vielen Surfern Mehr oder minder bewusst.
So lauern üble Viecher wie Viren, Würmer und andere Exoten im World Wide Web, um uns und unseren Computersystemen zu schädigen. Kein Wunder: Internetkriminalität ist ein Milliardengeschäft und die Methoden sind Vielfältig und Einfallsreich.
Wir sind nicht nur Opfer von kleinen Betrügereien, sondern vielmehr Mitwirkende bei kriminellen Geschäften, wenn unser Computer nicht entsprechend geschützt ist und wir im Scheuklappenprinzip surfen.
Das wir uns mit einer Virenschutzlösung gegen die meisten Malwareaktivitäten schützen können, ist uns sicherlich bekannt. Doch wie sieht es aus mit Datenschutz, Phishing und der Vertrauenswürdigkeit einiger Webseiten?
Hilfreich sind hier entsprechende Browsererweiterungen, die uns mit Informationen und Gefahrenmeldungen versorgen. Eine davon ist WOT ( Web of Trust ).
Mit diesem Plugin, dass sich schnell und einfach in den gängigsten Browsern integrieren lässt, wird eine Sicherheits-Community eingebunden. Diese schützt vor dreister Abzocke, denn ein umfangreiches Bewertungs und Kommentarsystem lässt selbst unerfahrene Surfer erfolgreich warnen.
Die Teilnahme an dieser Community macht Sinn. Sie kostet weder Geld noch großartig Zeit. Schützt aber umfassend in der Gemeinschaft zahlreiche User.
Das Bewertungssystem umfasst die Punkte Vertrauenswürdigkeit, Händlerzuverlässigkeit, Datenschutz und Jugendschutz. Eine detaillierte Bewertung lässt sich außerdem mit nur einem Klick aufrufen.
Die farblichen Symbole helfen dabei, Betrügereien, unzuverlässige Shopping Seiten und Sicherheitsrisiken im Vorfeld zu erkennen.
Zwar sind auch einige Bewertungen dabei, die auf „Nichtgönner“ zurückzuführen sind, doch in der Gemeinschaft werden diese Aussagen und Bewertungen, die grundlos getätigt worden sind, schnell erkannt. Fehleinschätzungen lassen sich nun mal nicht vermeiden.
Web of Trust zeichnet sich durch umfangreiche und aktuelle Informationen aus und kooperiert mit Panda Security.
February 17 2010
Datenschutzpannen – und die Zahl steigt stetig
Trotz neuer Meldepflicht, die mit der Änderungen des Bundesdatenschutzgesetzes (BDSG) zum 1. September 2009 festgelegt wurde, sind weiterhin massive Datenlecks in Unternehmen und Webanwendungen feststellbar.
Die meisten Vorfälle werden dabei von Betroffenen und den Medien aufgedeckt. Die Dunkelziffer ist scheinbar endlos.
Es sind nicht nur namhafte Unternehmen wie Schlecker, Telekom, Lidl oder Kik, sondern wiederholt Ämter, Behörden und andere Verwaltungen in die Kritik geraten.
Dabei geht es um unterschiedliche Vorfälle. Teils wurden private oder gar sensible Daten von Bürgern oder Kunden ungesichert ins Web gestellt, Kundeninformationen unberechtigt weitergegeben oder Webanbieter ließen den Zugriff auf vertrauliche Mitgliederdaten zu.
Die Initiative Projekt Datenschutz dokumentiert Datenpannen, Lecks und Fälle von Datenmissbrauch, um Bürger aufzuklären und Unternehmen für mehr Datenschutz zu sensibilisieren.
Die scheinbar aussichtslose Initiative zeigt in einer Übersicht, wie sorglos viele Unternehmen und Behörden mit personenbezogenen Daten umgehen.
Bereits nach knapp vier Monaten musste Beispielhaft der Finanzdienstleister AWD die wiederholte Weitergabe seiner Kundendaten eingestehen. Entdeckt wurde dabei die Leckage vom Hörfunksender NDR, die nun kumuliert etwa 39.000 Personandatensätzen im Bestand hat.
Darin seien persönliche Details über Kunden wie Telefonnummern, Berufsbezeichnungen und Einzelheiten zu den Versicherungsverträgen verzeichnet, so berichtete das Abendblatt vor Kurzem.
Auch die Telekom musste in einem internen Prüfbericht eine umfangreichere Bespitzelung und weitere Fälle notieren. Manfred Balz (Datenschutzvorstandes des Konzerns ) verspricht Nacharbeit.
Auch im Jahr 2010 scheint keine Besserung in Aussicht zu sein. Es mangelt an Einsicht bei den Verantwortlichen.
Ein Gegenmittel kann nur ein funktionierendes Datenschutzmanagment sein, so teilte Dr. Thilo Weichert, Datenschutzbeauftragter des Landes Schleswig-Holstein, mit. Wenn Wirtschaftsunternehmen und Behörden eine Vorreiterrolle übernehmen, indem Sie einen Datenschutzbeauftragten bestellen, datenschutzrelevante Prozesse dokumentieren und prüfen, sowie nachhaltige Verfahren zur Sicherung der Compliance einrichten, begeben wir uns sicher in die gewünschte Position.
October 10 2008
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
