Das FBI hat bekannt gegeben, dass in den USA Anklage gegen drei Männer erhoben wird, die den zuständigen Ermittlern zufolge Nutzern weltweit mehr als 100 Mio. US-Dollar mit Scareware abgeknöpft haben. Das ist eine Form des Betrugs, bei der mit den Ängsten der Nutzer gespielt wird, um sie um ihr Geld zu erleichtern. Im konkreten Fall waren es angebliche Scanner, die das Finden von Fehlern oder Viren im System vorgaukeln. Damit wurde den Nutzer angebliche Programme zur Problemlösung angedreht.
Diese Taktik zählt laut FBI zu den “schnellst wachsenden und gängigsten Formen des Internet-Betrugs”. Das hängt sicherlich mit den enormen Profiten zusammen, die solche Machenschaften versprechen. Denn die Schadensumme, die den Angeklagten vorgeworfen wird, ist noch relativ gering. Trend Micro kommt in einer aktuellen Analyse zum Schluss, dass eine auf falsche Antiviren-Software (Fake-AV) spezialisierte Online-Gang jährlich 180 Mio. US-Dollar einnimmt.
Falsche Anzeigen, falsche Hilfsprogramme
Das Trio aus zwei US-Bürgern und einem Schweden war dem FBI zufolge an einem Betrug beteiligt, bei dem Nutzer mithilfe falscher Online-Werbung auf von den Cyber- Kriminellen kontrollierte Webseiten umgeleitet wurden. Popups, die wie Systemmeldungen aussehen, spielen dem Nutzer vor, dass ein Systemscan auf kritische Fehler oder Malware gestoßen ist. Damit wurden Anwender gedrängt, die angeblichen Hilfsprogramme der Betrüger zu kaufen, um so die angeblichen Probleme zu beseitigen.
Der Anklage zufolge haben die Cyber-Kriminellen auf diese Art Nutzern in gut 60 Ländern über eine Mio. nutzlose Software-Produkte andreht und den Geschädigten dabei 30 bis 70 US-Dollar pro Programm entlockt. Doch auch Internet-Unternehmen, welche die angeblichen Anzeigen geschaltet haben, wurden geschädigt. Denn die Scareware-Bande hat sie den Ermittlern zufolge dafür nie bezahlt. Die wenigstens 85.000 Dollar an vorenthaltenen Entgelten sind allerdings ein Klacks im Vergleich zum Schaden durch den eigentlichen Scareware-Betrug.
Riesige Schattenindustrie
Scareware ist ein beliebter Gauner-Trick. Gerade Fake-AV ist einer Google-Schätzung zufolge bereits für mehr als die Hälfte aller verseuchten Werbeanzeigen verantwortlich. Andere Spielarten umfassen beispielsweise die im Frühjahr erstmals beobachteten Copyright-Scanner, welche Nutzer mit Urheberrechts-Klagen wegen Filesharing drohen.
Wenn dem Nutzer bei einem Scareware-Betrug nur Geld abgenommen wird, kann er sich noch glücklich schätzen. Denn wer beispielsweise ein falsches AV-Programm erwirbt, handelt sich oft einen echten Schädling ein. In untersuchten Fall wurden Nutzer via Botnet mit dubioser Werbung überschwemmt, was Teil des Schatten-Geschäftsmodells war. Den Log-Dateien eines Kontrollservers der Bande zufolge hat allein dieser Server über solche Werbe-Impressionen 25.000 US-Dollar pro Tag erwirtschaftet. Doch die Kriminellen dürften eine Vielzahl entsprechender Botnetze betreiben.
Posted by admin at 11:02 am on Mai 29th, 2010.
Categories: News. Tags: Datensicherheit, Malware, Scareware, Trojaner, Viren.
Facebook - Die Datenkrake
Facebook kommt aus der Kritik rund um seine Datenschutzpolitik nicht heraus. Nachdem das Social-Network vergangene Woche mit der Einführung neuer Funktionen bereits für Datenschutz-Bedenken gesorgt hatte, fordern nun vier US-Senatoren die Anpassung der neuen Privateinstellungen bzw. die Rücknahme einzelner Veränderungen. Vor allem das Feature “Instant Personaliziation”, das einigen Facebook-Partnern den Zugriff auf Nutzerdaten erlaubt, steht in der Kritik.
Die vier Senatoren – alle Demokraten – zeigen sich besorgt darüber, dass die Funktion “jetzt Dritten ermöglichen wird, nicht nur auf die öffentlich zugänglichen Informationen der Nutzer zuzugreifen, sondern auch auf deren Freundeslisten und öffentlich zugängliche Informationen dieser Freunde”.
Opt-in statt Opt-out
Facebook-Nutzern steht die Möglichkeit zur Verfügung, die Funktion über Opt-out stillzulegen. Die Sentoren plädieren allerdings dafür, den umgekehrten Weg zu gehen. Facebook solle das Feature grundsätzlich ausgeschaltet lassen, bis sich ein Nutzer selbst dafür entscheidet, es zu autorisieren (Opt-in).
Sorgen bereitet den Senatoren unter anderem auch, dass Drittanbieter nun Nutzerdaten von Facebook unbegrenzt speichern können. Das Social-Network reagierte bereits auf die Kritik der Politiker, zeigt sich gesprächsbereit, aber sieht wenig Handlungsbedarf. “Die neuen Funktionen sind darauf ausgelegt, die Personalisierung zu steigern und soziale Aktivitäten im Internet zu bewerben. Gleichzeitig wird den Nutzern weiterhin uneingeschränkte Kontrolle darüber gegeben, welche Informationen sie teilen und mit wem.”
In ständiger Kritik
Facebook war bereits häufiger im Visier der Datenschützer und sorgte mit Änderungen bei den Privateinstellungen immer wieder für negative Schlagzeilen. Im vergangenen Dezember etwa legten US-Datenschützer Beschwerde bei der Verbraucherbehörde Federal Trade Commission (FTC) ein.
Klare und einheitliche Regelungen, was Facebook machen ‘darf’ und was nicht, fehlen bisher – insbesondere, da sich die Vorgaben in den USA, wo das Unternehmen beheimatet ist, stark von jenen hierzulande unterscheiden. “Im Prinzip können Seiten wie Facebook hier machen, was sie wollen und Bestimmungen nach Belieben ändern”, so Datenschützer Hans Zeger. Gleichzeitig wiederum habe sich Facebook in den USA dem Safe-Harbor-Abkommen unterworfen, wonach es zumindest bestimmte Datenschutzregelungen gibt, die eingehalten werden müssen.
Posted by admin at 11:52 am on April 28th, 2010.
Categories: News. Tags: Datensicherheit, Freiheit, Privatsphäre, Social Networks, Verbraucherschutz.
Bei jenen Hacker-Attacken, die mitverantwortlich für Googles Rückzug aus China waren, dürfte den Angreifern ein echtes Juwel in die Hände gefallen sein. Einem Insider mit Kenntnis des aktuellen Ermittlungsstand zufolge haben die Hacker nämlich des Quellcode des Passwort-Systems “Gaia” gestohlen, das den Zugang zu Googles vielfältigen Webservices kontrolliert, berichtet die New York Times. Obwohl Google intern schnell auf diesen Diebstahl reagiert haben soll, könnte der Wert für die Hacker dennoch groß sein.
“Diese Angreifer hatten die nötigen Fähigkeiten, um den ursprünglichen Einbruch bei Google durchzuführen. Sie sind also sicher auch in der Lage, aus dem Quellcode verwertbare Erkenntnisse zu gewinnen”, meint der IT-Security-Consultant Thomas Mandl. Das liegt nicht zuletzt daran, dass den Hackern ein tieferes Verständnis des Systems möglich wird.
Aus China bis ins Code-Herz
Mitte Januar ging Google damit an die Öffentlichkeit, dass bei einem Hackerangriff aus China nicht näher definiertes geistiges Eigentum gestohlen worden sei. Dem aktuellen Bericht zufolge soll die Attacke mit einer Microsoft-Messenger-Nachricht an einen Google-Mitarbeiter in China ihren Anfang genommen haben. Über eine verseuchte Webseite haben die Hacker die Kontrolle über den PC des Mitarbeiters erlangt und sind in weiterer Folge bis zum Code-Repository von Gaia vorgedrungen.
Zwar haben die Angreifer angeblich keine Gmail-Passwörter gestohlen, doch wären diese Entwickler-Ressourcen ohnehin ein weitaus größerer Schatz. Denn dort würden sich wohl auch Informationen über bekannte, aber noch nicht geschlossene Sicherheitslücken in Googles Single-Sign-On-Lösung finden. Freilich soll Google in den letzten Monaten seine Sicherheitsvorkehrungen allgemein nachgebessert haben. Mandl zufolge ist naheliegend, dass dabei auch großes Augenmerk auf das Schließen bekannter Gaia-Lücken gelegt wurde. Aber der Diebstahl birgt noch andere Risiken.
Tiefe Einblicke
Zum einen sitzen die Hacker damit praktisch an der Quelle, um neue Lücken zu finden. “Man kann Quellcode mit relativ geringem Aufwand auf Schwachstellen untersuchen”, sagt Mandl. Er betont, dass es kommerzielle Tools zur Codeanalyse gibt und es plausibel wäre, dass auch die Google-Hacker solche Methoden nutzen. Freilich hat die Möglichkeit der automatisierten Code-Analyse auch das Unternehmen selbst, sodass sich die Angreifer damit nicht unbedingt einen großen Wissensvorsprung sichern können.
Das größte Problem könnten also die tiefen Einblicke in Gaia sein, welche die Hacker nun haben. “Mit dem Quellcode ergibt sich eine komplette Überblick über die Architektur”, erklärt Mandl. Während Google zwar einzelne Komponenten leicht nachbessern kann, wäre ein grundlegender Umbau ein enormer Aufwand. Außerdem könnte ein genaueres Verständnis des Single-Sign-On-Systems die Entwicklung effektiver Social-Engineering-Attacken erleichtern, bei denen gar keine Schwachstelle im engeren Sinne, sondern letztendlich die Leichtgläubigkeit von Usern ausgenutzt wird.
Posted by admin at 6:35 pm on April 21st, 2010.
Categories: News. Tags: China, Datensicherheit, Google.
Raubkopien-Warnung mit Sprachwahl als Filesharer-Erpressung (Foto: F-Secure)
Die Antiviren-Experten von F-Secure haben einen Trojaner beobachtet, der Nutzer mit angeblich entdeckten Filesharing-Raubkopien auf ihrem Rechner erpresst. Wer nicht reumütig 400 Dollar für eine außergerichtliche Einigung zahlt, wird dabei mit einer Klage wegen dem Copyright-Verstoß bedroht. Dabei setzt der Schädling nicht nur auf die vorgespiegelte Seriosität der angeblichen Rechtsanwaltskanzlei “ICPP Foundation”, sondern auch auf das Service mehrsprachiger Informationen.
Zwar sind betrügerische Tricks, bei denen Cyberkriminelle Nutzer erst verunsichern und letztendlich zu einer unnötigen Zahlung veranlassen wollen, nichts neues. “Mir war aber bisher kein Erpressungs-Trojaner untergekommen, der Copyright-Verletzungen als Druckmittel nutzt”, betont Mikko Hyppönen von F-Secure.
Filesharing-Klagen als Druckmittel
Ob sich der Trojaner über Torrents oder auf anderem Weg verbreitet, ist dem Experten zufolge noch unklar. Jedenfalls sind gerade Filesharer Nutzer, auf die es die Hintermänner abgesehen haben. Denn der angebliche Raubkopien-Scanner wird natürlich fündig und droht damit, entsprechende Informationen an Rechtinhaber-Vertreter und Gerichte weiterzuleiten. Ein Strafmaß von bis zu fünf Jahren Haft und 250.000 US-Dollar Geldbuße sollen den Nutzer vom Vorteil der günstigeren Alternative überzeugen.
Die Cyberkriminellen hinter dem Trojaner spiegeln vor, mit Rechteinhaber-Vertretern wie der Copyright Alliance
oder der Recording Industry Association of America in Verbindung zu stehen. Außerdem nervt die Malware bei jedem Systemstart mit dem Verweis auf die angeblichen Copyright-Verstöße. Angesichts realer Filesharing-Urteile mit hohen Schadenersatzzahlungen entsteht so ein beachtlicher Druck auf infizierte Nutzer.
Pseudo-seriös in zehn Sprachen
Bemerkenswert ist laut Hyppönen, dass der angebliche Raubkopien-Scanner Informationen gleich in zehn EU-Sprachen, darunter auch Deutsch, bietet. Das gilt auch für eine Webseite mit angeblichen Informationen über die europäische Copyright-Rechtslage, die aus der Raubkopien-Warnung heraus aufgerufen werden kann. Die ICPP Foundation hat sogar eine eigene offiziell aussehende Webseite unter icpp-foundation.com, um den seriösen Schein perfekt zu machen.
“Ich bin sicher, dass so mancher tatsächlich zahlen wird”, meint daher Hyppönen. Das ist freilich ein großer Fehler, da die Anwaltskanzlei so falsch ist wie der Raubkopien-Scanner. Die ICPP-Foundation-Domain wurde auf einen Namen registriert, der dem Experten zufolge unter anderem schon in Zusammenhang mit dem Social-Networks-Wurm Koobface aufgetaut ist. “Zahlen Sie diesen Clowns ja nichts. Wenn Leute zahlen, wird das Problem nur größer”, mahnt daher Hyppönen.
Posted by admin at 12:07 pm on April 13th, 2010.
Categories: News. Tags: Datenmissbrauch, Datensicherheit, Erpressung, Filesharing, Trojaner.
Die Spuren eines ausgefeiltes Cyber-Spionagenetzwerk, das unter anderem auf Indien, die tibetische Exilregierung und die Vereinten Nationen abzielt, kann bis nach China verfolgt werden. Das berichten der kanadische Information Warfare Monitor und die Shadowserver Foundation im heute, Dienstag, veröffentlichten Report “Shadows in the Cloud: Investigating Cyber Espionage 2.0“.
Demzufolge konnten die Hacker geheime Dokumente aus indischen Regierungskreisen ebenso stehlen wie Briefe aus dem Büro des Dalai Lama. Als Erfüllungsgehilfen haben die Cyber-Spione dabei das Web 2.0 missbraucht. Denn ihre Kommandoinfrastruktur hat diverse Cloud-basierte Social-Media-Dienste von Twitter bis zu Blogging-Diensten genutzt.
Massiver Datendiebstahl
Die Forscher haben Beweise für ein Spionagenetzwerk zusammengetragen, das beispielsweise Computersysteme der indischen Regierung und ihrer Botschaften kompromittiert hat. Dabei sind sie auf gestohlene geheime und vertrauliche Dokumente gestoßen, zu denen unter anderem Visa-Anträge aus Deutschland und der Schweiz stammen. Unklar sei, ob diese Dokumente direkt von Regierungscomputern gestohlen wurden oder aber, nachdem indische Offizielle sie auf Privat-PCs kopiert haben.
Ebenfalls gefunden haben die Forscher 1.500 Briefe aus dem Büro des Dalai Lama. Auch bei diversen anderen Institutionen seinen Systeme kompromittiert worden, darunter die Vereinten Nationen und die pakistanische Botschaft in den USA. Die Spuren des Netzwerks führen in die chinesische Provinz Chengdu und somit in ein Land, das sich auch im Hacker-Streit mit Google befindet. Die Identität und Motivation der Hinterleute sind aber den kanadischen Forschern zufolge ungeklärt.
Soziales Web als Hackerwerkzeug
Fest steht dagegen, dass sich das Web 2.0 bei den Hackern großer Beliebtheit erfreut. Die Kommando- und Kontrollinfrastruktur des Spionagenetzes nutze frei verfügbare Social-Media-Angebote, darunter Twitter, Google Groups, Blogspot und Yahoo Mail. Über diese Kommunikationskanäle wurden kompromittierte Computer an freie Webhosting-Dienste oder die eigentlichen Knotrollserver in China verwiesen.
Die aktuelle Untersuchung ist der Nachfolger zu “Tracking GhostNet”, einem vor rund einem Jahr veröffentlichten Bericht des Information Warfare Monitors. Schon damals war die Kooperation von Citizen Lab am Munk Centre for International Studies der University of Toronto und The SecDev Group einem aus China gesteuerten Spionagenetz auf die Spur gekommen. Nun wollten die Forscher damals unbeantwortete Fragen aufgreifen und eine detailliertere Analyse der Cyber-Unterwelt liefern.
Posted by admin at 11:59 am on April 7th, 2010.
Categories: News. Tags: Cyber-Spionage, Datenmissbrauch, Datensicherheit, Privatsphäre, Social-Networking, Spionage.
Neuer Personalausweis in Diskussion (Foto: Bundesdruckerei)
Der IT-Sicherheitsverband TeleTrust Deutschland drängt auf die Einführung des elektronischen Personalausweises wie geplant mit 1. November 2010. Dieser schütze die Daten der Bürger und verbessere gleichzeitig die Online-Sicherheit durch entsprechende Authentifizierungsverfahren erheblich. “Was die aktuelle Situation betrifft, ist der Sicherheitslevel für unsere moderne Informationsgesellschaft einfach nicht mehr hoch genug”, sagt TeleTrust-Geschäftsführer Holger Mühlbauer im Gespräch.
Zwei-Faktor-Authentisierung
Denn die meisten Nutzer würden im Internet mit unsicheren Passwörtern operieren bzw. nur ein Passwort für sämtliche Internetdienste verwenden. Dazu komme, dass Passwörter oftmals unverschlüsselt oder gar im Klartext per E-Mail oder Web-Kommunikation über das Internet übertragen werden. “Mit dem neuen Personalausweis bekommen die Bürger eine neue Authentisierungsfunktion, die für die sichere Anmeldung bei Online-Diensten genutzt werden kann. Das Plus an Sicherheit basiert auf der Zwei-Faktor-Authentisierung, die Passwort-Wissen mit dem tatsächlichen Besitz des Ausweises kombiniert”, erklärt Mühlbauer.
Die jüngste Forderung hochrangiger FDP-Politiker wie Gisela Piltz und Christian Ahrendt, den elektronischen Personalausweis aus datenschutzrechtlichen Bedenken bis 2020 aufs Eis zu legen, bezeichnete Mühlbauer als indiskutabel. “Der neue Personalausweis hat eine lange Entwicklungszeit hinter sich. Alle Datenschutzinstanzen waren involviert und haben das Projekt abgesegnet. Der Bürger ist vor einem unberechtigten Zugriff auf die im Personalausweis gespeicherten Daten geschützt”, ist Mühlbauer überzeugt.
Datenschutzbedenken historisch bedingt
Die gerade in Deutschland heftig geführte Datenschutz-Diskussion beim Thema elektronischer Personalausweis, aber auch rund um die geplante Einführung des elektronischen Entgeltnachweises (Elena) bzw. der elektronischen Gesundheitskarte sieht Mühlbauer als historisch begründet. “Alle Belange, die mit staatlicher Datensammlung zu tun haben, werden in Deutschland durch die ältere Geschichte, aber auch durch die jüngere ostdeutsche Geschichte besonders kritisch hinterfragt. Was den Personalausweis betrifft, ist hier sicherlich noch viel Aufklärungsarbeit notwendig”, so Mühlbauer.
Deutschland ist im Vergleich zu seinen Nachbarländern ohnehin Nachzügler bei diesem Thema. Während Österreich seit Jahren als E-Government-Vorreiter punkten kann und es weniger Berührungsängste zu Online-Steuererklärungen sowie digitaler Signatur gibt, will ab 1. Mai auch die Schweiz mit der Einführung der SuisseID nachziehen. Anders als in Deutschland soll der elektronische Identitätsnachweis über eine separate Karte bzw. einen USB-Stick oder auch über das Mobiltelefon genutzt werden können.
Posted by admin at 6:01 pm on März 16th, 2010.
Categories: News. Tags: Datensicherheit, Digitale Signatur, elektronischer Personalausweis, ePerso, SigG, Signaturgesetz.
In letzter Zeit werben Unternehmen schriftlich und telefonisch mit dem falschen Hinweis, Mitarbeiter oder Kooperationspartner der Bundesnetzagentur zu sein. Dabei versprechen die Unternehmen, Datenmissbrauch kostenpflichtig zu bekämpfen. Häufig werden die Verbraucher hierbei aufgefordert, ihre Bankverbindungsdaten zu nennen, damit das Entgelt für eine Dienstleistung abgebucht werden kann. Mit der Nennung der Bundesnetzagentur als Kooperationspartner soll offenbar der Anschein von Seriosität erweckt werden. Verbraucher sollen zur Herausgabe sensibler Daten und zu Geldzahlungen animiert werden.
Aktuell liegen der Bundesnetzagentur z. B. Schreiben vor, in denen eine Firma VDS-24 (Verbraucher Datenschutz-24), Postfach 281, Hofstraße 1, 40723 Hilden, wahrheitswidrig behauptet, Kooperationspartner der Bundesnetzagentur zu sein. Für einen jährlichen “Servicebeitrag” in Höhe von 69 Euro sollen Verbraucher angeblich vor Datenmissbrauch geschützt werden. Beschwerden der Verbraucher über Werbeanrufe würden an die Behörde weitergeleitet. Die Bundesnetzagentur weist darauf hin, dass ein solches Kooperationsverhältnis weder mit VDS-24 noch mit sonstigen Dienstleistern besteht. Sowohl das Unternehmen VDS-24 als solches als auch die für VDS-24 handelnden Personen sind der Bundesnetzagentur nicht bekannt. Außerdem stellt die Bundesnetzagentur ausdrücklich klar, dass sich bei unverlangten Werbeanrufen jeder Verbraucher unmittelbar und direkt an die Behörde wenden kann. Hierbei ist er nicht auf eine kostenpflichtige Weiterleitung seines Anliegens durch Dritte, z. B. private Dienstleister, angewiesen.
Die Bundesnetzagentur bittet auch zukünftig um Mitteilung vergleichbarer Täuschungssachverhalte, um angemessen reagieren und ggf. auch rechtliche Schritte einleiten zu können. Wichtig sind dabei vor allem Informationen, die der Identifizierung der handelnden Personen dienen, wie z. B. Name und eventuell mitgeteilte Kontaktdaten.
Weiterhin empfiehlt die Bundesnetzagentur Verbrauchern eindringlich, sorgfältig mit ihren persönlichen Daten (Telefonnummern und sonstigen Kontaktdaten, aber insbesondere auch Kontoverbindungsdaten) umzugehen. Diese sollten nur gezielt und im Bedarfsfall an seriöse Vertragspartner und Firmen weitergegeben werden. Im Zweifelsfall hilft hier u. U. eine Nachfrage bei den örtlichen Verbraucherzentralen.
Posted by t.claus at 10:16 pm on März 11th, 2010.
Categories: News. Tags: BNetzA, Bundesnetzagentur, Datensicherheit, Verbraucherschutz, Verbraucherzentrale Bundesverband.
Twitter setzt auf mehr Sicherheit (Foto: twitter.com)
Twitter setzt auf mehr Sicherheit und will ab sofort noch stärker gegen Phishing, Malware und Spam vorgehen. Wie der Microbloggingdienst im Unternehmensblog bekannt gibt, wird ein neues Anti-Phishing-Tool gestartet. Damit soll das Twitter-Sicherheitsteam Links, die über die Seite verbreitet werden, besser überprüfen können und potenzielle Angriffe schon im Vorfeld einschränken.
Soziale Netzwerke werden durch ihren Boom auch immer stärker zu einem Spielplatz für Cyber-Kriminelle, sagen die Experten. Nutzer dieser Netzwerke haben großes Vertrauen zu den Mitgliedern ihrer Communitys und treffen oft keinerlei Vorsichtsmaßnahmen bei der Eingabe persönlicher Daten oder im Umgang mit Links, wodurch die Ausbreitung von Malware und Viren über diese Plattformen allein im letzen Jahr um 40 Prozent zugenommen hat.
Kurzlinks
Ein Teil des neuen Features soll auch Twitters eigener URL-Kürzer twt.tl sein. Solche Links könnten künftig in einzelnen E-Mails und privaten Nachrichten auftauchen. Wenn ein gefährlicher Link etwa erst nach dem Versand einer E-Mail-Benachrichtigung erkannt wird, kann der User so trotzdem geschützt werden, weil Twitter die twt.tl-Links deaktivieren kann.
Weil ein Großteil der Angriffe über die privaten Nachrichten und den damit verbundenen E-Mail-Benachrichtigungen erfolgt, konzentriert sich Twitter zunächst offenbar darauf. In erster Linie sollen also Links in den Direct Messages geprüft werden. Wie Twitter-Sicherheitschefin Del Harvey im Unternehmensblog schreibt, sollen die Nutzer von den Maßnahmen kaum etwas mitbekommen. Es arbeite im Hintergrund und daher hauptsächlich unbemerkt. Allerdings kann es in Zukunft der Fall sein, dass Links durch twt.tl gekürzt in privaten Nachrichten und E-Mail-Benachrichtigungen auftauchen.
Spam-Wellen
In der Vergangenheit war Twitter schon häufig Attacken und Spam-Wellen ausgesetzt. Für Aufsehen sorgte etwa eine Porno-Spam-Attacke im vergangenen Jahr, bei der Accounts von Hunderten Nutzern missbraucht wurden. Sicherheitsexperten warnten nicht zuletzt vor dem Risiko gestohlener Passwörter.
Posted by admin at 4:19 pm on März 10th, 2010.
Categories: News. Tags: Datensicherheit, Phishing, Privatsphäre, Social Networks, Twitter.
Verschlüsselung am Computer: Gängige Lösung ist angreifbar (Foto: pixelio.de, Antje Delater)
Informatiker an der University of Michigan (UMich) haben eine Schwachstelle beim RSA-Algorithmus entdeckt. Dieser ist eines der gängigsten Kryptosysteme für Verschlüsselung und digitale Signaturen. “RSA-Authetifizierung ist so beliebt, weil angenommen wurde, sie sei hoch sicher”, sagt Todd Austin, Professor an der Fakultät für Elektrotechnik und Informatik der UMich. Das eigene Ergebnis relativiere dies deutlich.
Die Forscher haben darauf gesetzt, die Spannungsversorgung für jenes Gerät zu manipulieren, auf dem der private Schlüssel zum Entschlüsseln oder Signieren von Daten gespeichert ist. Dadurch kommt es zu Übertragungsfehlern, die dann eine Rekonstruktion des 1.024-Bit-Schlüssels ermöglichen. Allerdings dürfte die Schwachstelle leicht zu beheben sein.
Schnell-Attacke ist behebbar
“Die Universtity of Michigan hat nun einen Weg gefunden, den privaten Schlüssel bei einer 1.024-bit-Verschlüsselung mit beschränktem Zeitaufwand aufzudecken”, meint IKT-Consultant Wolfram Funk. Denn die Forscher geben an, dass ihre Schlüssel-Rekonstruktion rund 100 Stunden gedauert hat. Im Vergleich dazu verweist Funk auf Meldungen im Januar, nach denen der RSA-768-bit-Schlüssel durch eine zweieinhalbjährige Brute-Force-Attacke gehackt werden konnte.
“Die Methode stellt aber nicht den Algorithmus an sich in Frage, sondern vielmehr die Art der heutigen Implementierung”, betont Funk. Denn die Forscher selbst geben an, dass ein sogenanntes “Salting”, eine zufällige Änderung in der Bitfolge bei jeder Schlüssel-Anfrage, Abhilfe gegen ihre Attacke schaffen würde. Ihre Demonstration werde hoffentlich dazu führen, dass Anbieter die nötigen geringfügigen Änderungen an ihren Umsetzungen des Algorithmus vornehmen, so Austin. ” Zumindest für den Endnutzer wird sich bis auf Weiteres nichts ändern”, glaubt auch Funk.
Risiko durch Spannungsmanipulation
Beim Experiment haben die UMich-Informatiker sich zunutze gemacht, dass Spannungsänderungen Computer belasten. Ein “billiges” Gerät habe so Fehler bei der Übertragung von digitalen Signaturen durch den angegriffenen Computers auslösen können. Durch eine Analyse von 8.800 fehlerhaften Signaturen konnte ein Algorithmus der Forscher dann den 1.024-Bit-Schlüssel rekonstruieren. “Das zeigt, dass es niemals 100-prozentige Sicherheit geben wird”, meint Funk. Allerdings könne der RSA-Algorithmus selbst nach derzeitigem Stand der Technik noch einige Jahre als sicher gelten
Die UMich-Forschungsarbeit “Fault-based Attack of RSA Authetification” wird kommende Woche im Rahmen der Konferenz “Design, Automation and Test in Europe” in Dresden präsentiert. Die englischsprachige Arbeit ist für Interessenten auch Online verfügbar.
Posted by admin at 11:31 am on März 4th, 2010.
Categories: News. Tags: Datensicherheit, Kryptographie, RSA.
Ältere Menschen, die den Anschluss an das Internetzeitalter bislang verpasst haben und alle anderen, die aus irgendwelchen Gründen, nicht gut mit Computern zurechtkommen, sind wohl die wichtigste Zielgruppe für den neuen Einsteigerlaptop “Alex”. Nicht nur der Name des Linux-Computers ist einfach gehalten, auch der Funktionsumfang ist überschaubar. Mit vereinfachten Versionen anderer Programme deckt der Laptop dennoch sämtliche Basisfunktionen von E-Mail über Bildbearbeitung oder Textverarbeitung ab. “Alex ist nicht als Supercomputer gedacht”, so Barney Morrison-Lyons vom Hersteller The Broadband Computer Company, gegenüber der BBC. “Wir versuchen nicht, uns in den aktuellen Computermarkt einzukaufen.”
Auch das Bezahlmodell ist ungewöhnlich: Alex-Käufer bezahlen eine monatliche Gebühr von knapp 40 Pfund und erhalten dafür Telefon-Support, Software-Updates und Internetanschluss. Gerade wegen des beschränkten Funktionsumfangs ist Alex ein ambitioniertes Projekt. Die Hersteller hoffen, dass sich der Einsteiger-Laptop samt Softwarepaket zu einer populären Alternative zu Windows- und Mac-Betriebssystemen entwickelt. Die Idee dahinter sei es, den Umgang mit dem Computer wieder einfach und angenehm zu machen, so Andy Hudson, einer der Gründer der Herstellerfirma.
Wichtiger Linux-Motor
Für die monatliche Gebühr erhalten Alex-Nutzer zudem Anti-Viren-Software und zehn GB Online-Speicherplatz. Zusätzlich kann sich der Nutzer mit einem mitgelieferten USB-Stick auf jedem beliebigen Alex-Laptop anmelden und auf seine persönlichen Daten und Programme zugreifen. Die Hersteller glauben jedenfalls an den Erfolg des Produkts – sie haben sich die Entwicklung nach eigenen Angaben mehr als 2,5 Mio. Pfund kosten lassen. Im Falle eines Duchbruchs könnte sich Alex auch als wichtiger Motor für die Verbreitung von Linux-Systemen erweisen.
Posted by t.claus at 8:48 pm on Februar 23rd, 2010.
Categories: News. Tags: Datensicherheit, Linux, Open Source, Silversurfer.