All posts by admin

Sicherheit

Benutzeraccount übernehmen per Firefox-Plugin

Firesheep, ein Plugin für Firefox, demonstriert, wie einfach es für Angreifer sein kann, Benutzeraccounts zu übernehmen.

Dazu müssen nur zwei Dinge zusammenkommen: Der Benutzer surft auf einer unverschlüsselten Seite, während er dort angemeldet ist und ein Angreifer, der sich im selben Netzwerk befindet (z.B. offenes WLan), scannt (mit Firesheep) das Netzwerk. Das Passwort ansich interessiert Firesheep dabei gar nicht, sondern das Cookie, welches bei jedem einzelnen Seitenauruf (meist unverschlüsselt) übertragen wird. Also selbst wenn der Login über eine verschlüsselte Verbindung stattfindet (https) und die späteren Seitenaufrufe nicht, kann der Account übernommen werden!

Obwohl solche Techniken seit Jahren bekannt sind, haben viele Webseitenbetreiber noch nicht reagiert und bieten https nur beschränkt an bzw. überlassen es dem Benutzer, ob er https verwendet oder nicht. Abhilfe schaffen andere Plugins wie z.B. HTTPS Everywhere (siehe dazu: >> Verschlüssle das Web! <<) oder ForceTLS ( >> Download-Seite << ), welche automatisch auf eine verschlüsselte Verbindung wechseln.

Details: >> http://codebutler.com/firesheep <<

Userrechte

Nutzungsbestimmungen: Das hat mir keiner gesagt!

Bei Diskussionen über Nutzungsbestimmungen fallen oft Sätze wie: “Ich habe nicht erfahren, dass sich die Bestimmungen geändert haben, also gelten sie nicht für mich” oder “Solange ich nicht zustimme, z.B. mit einem Klick auf >ich akzeptiere<, gelten die Bestimmungen nicht.”

Nun, es ist in Frage zu stellen ob Verfasser solcher Beiträge jemals Nutzungsbestimmungen gelesen haben, den in vielen Fällen stimmt man mit der reinen Nutzung von Services automatisch zu.

Die Apple-Homepage formuliert das z.B. recht eindeutig: “BY USING THE SITE, YOU AGREE TO THESE TERMS OF USE; IF YOU DO NOT AGREE, DO NOT USE THE SITE.”.

Youtube hingegen gibt sich ein wenig mehr Mühe klarzustellen, dass es dem User selbst obligt die Nutzungsbedingungen regelmäßig zu lesen:
[…] 4. Änderungen der Bestimmungen
4.1 YouTube darf die Bestimmungen von Zeit zu Zeit ändern. Wenn solche Änderungen bewirkt werden, wird YouTube eine neue Kopie der Bestimmungen unter http://de.youtube.com/t/terms zugänglich machen.
4.2 Sie nehmen zur Kenntnis und erklären sich damit einverstanden, dass YouTube Ihre Nutzung als Annahme der geänderten Bestimmungen behandeln wird, sofern Sie die Dienste nach dem Datum, zu dem sich die Bestimmungen geändert haben, weiter nutzen.
4.3 Sie sollten die Bestimmungen regelmäßig auf Änderungen hin überprüfen. […]

Und Facebook weißt zwar auf die Möglichkeit hin, automatisch informiert zu werden und gibt der Community sogar die Möglichkeit per Abstimmung Einspruch zu erheben …

[…] 13. Änderungen
1. Wir können diese Erklärung ändern, wenn wir dich über die „Facebook Site Governance“-Seite (Seite zur Regelung der Nutzung von Facebook) darüber informieren und dir die Möglichkeit zur Reaktion auf die entsprechenden Änderungen geben. Um zukünftig Informationen zu Änderungen dieser Erklärung zu erhalten, werde ein Fan der „Facebook Site Governance“-Seite. […]
3. Wenn mehr als 7000 Nutzer einen Kommentar zu einer geplanten Änderung hinterlassen, erhältst du außerdem die Gelegenheit an einer Abstimmung teilzunehmen, bei der Alternativen vorgeschlagen werden. Das Ergebnis ist bindend für uns, wenn sich mehr als 30 Prozent der aktiven registrierten Nutzer (ab dem Benachrichtigungsdatum) an der Abstimmung beteiligen. […]

… erwähnt im gleichen Atemzug aber auch, dass Änderungen trotzdem (beliebig) druchgeführt werden können:

[…] 4. Wir dürfen Änderungen aus rechtlichen oder administrativen Gründen oder zur Berichtigung einer falschen Aussage nach Benachrichtigung auch ohne die Möglichkeit von Kommentaren vornehmen. […]

Abgesehen davon als, dass Nutzungsbestimmungen grundsätzlich gelesen werden sollten (!), sollte sich jeder im Klaren sein, dass Änderungen quasi jederzeit und ohne Ankündigung vorgenommen werden können.

BY USING THE SITE, YOU AGREE TO THESE TERMS OF USE; IF YOU DO NOT AGREE, DO NOT USE THE SITE.
Datenschutz

Big Brother Awards 2010

schnueffelratteNächsten Montag (25. Oktober 2010) ist es wieder einmal soweit. Die Big Brother Awards Österreich werden vergeben.

Um was geht´s bei den Big Brother Awards? Die Awards werden vergeben an Personen, Firmen, Institutionen oder Behörden, die im letzten Jahr im Bereich Überwachung, Kontrolle oder Bevormundung besonders negativ aufgefallen sind. Die “Gewinner” ziehen in die Hall of Shame ein.

Im Bereich Kommunikation und Marketing sind dieses Jahr prominente Vertreter wie Lexmark (umfangreiche Erfassung von Geräte- und Nutzungsdaten), T-Mobile Austria (Stellung gegenüber Mehrwert SMS) und Apple (umfangreiche Erfassung von Bewegungsdaten) nominiert.

Hier gibts Details:
>> http://www.bigbrotherawards.at/2010/Kommunikation_und_Marketing <<

Der Big Brother Award wird natürlich auch international vergeben: >> http://bigbrotherawards.org/ <<

[UPDATE 26.10.2010]

Die Gewinner stehen fest: In der Kategorie “Kommunikation und Marketing” gewinnt T-Mobile für die SMS-Abzocke:
>> http://www.bigbrotherawards.at/2010/Preisträger#T-Mobile_Austria:_Big_Brother_Netzbetreiber_stellt_sich_dumm <<

Datenschutz

Track the Trackers!

Beim Surfen durchs Web hinterlassen wir viele Spuren. Sogenannte Webtracker und Beacons registrieren dabei jeden Besuch auf einer Seite und können User soagar buchstäblich durchs Netz verfolgen, wenn der Tracker auf mehreren Seiten installiert ist. Das Surfverhalten lässt sich so sehr einfach und umfangreich analysieren und die Ergebnisse werden verwendet, um z.B. auf das Verhalten des Nutzers abgestimmte Werbung einzublenden. So kommt oft die “verblüffend” passende Werbung zu stande.

Browserplugins wie Scriptblocker wirken dem entgegen, allerdings meist still im Hintergrund. Wer zusätzlich daran interessiert ist, wer die “Verfolger” im Netz sind und wo von wem analysiert wird, sollte sich das Plugin
>> Ghostery << anschauen. Ghostery gibt es für Internet Explorer, Firefox und Google Chrome und zeigt nicht nur welche Tracker geblockt wurden, sondern informiert auch auf Wunsch über diesen Tracker. Wer zur “Gegenanalyse” beitragen will, kann “Ghostrank” aktivieren und Informationen über die Tracker an Ghostery übermitteln.

Sicheres Betriebssystem für Anfänger

Sicheres Betriebssystem für Anfänger – Teil 1 – Virenscanner

Um ein  Betriebssystem sicher zu betreiben sind mehrere Dinge erforderlich. Diesmal geht es um den Grundschutz für jedes System: Der Virenscanner.

Viren, Würmer, Trojaner und verwandte Schädlinge gibt es inzwischen für jedes gängige (auch mobile!) Betriebssystem. Auch wenn heutzutage viele Schwachstellen von Programmen direkt ausgenutzt werden können, z.B. durch einfaches Surfen im Web, ist ein guter Virenscanner nach wie vor Pflicht, wenn man Programme oder Spiele aus dem Internet lädt, USB-Sticks verwendet oder auch Email-Anhänge öffnet.

Ein Virenscanner musst nicht unbedingt etwas kosten. Kostenpflichtige Virenscanner bringen auf der anderen Seite aber auch Vorteile mit sich, wie in etwa zusätzlichen Schutz durch eine Softwarefirewall, eine Anti-Spam Funktion oder Webfilter. Viele dieser Funktionen können in der Regel aber auch durch kostenlose Software übernommen werden. Für ein sichers Surfen sorgen mitunter  >> Browser Plugins <<.

Immer daran denken: Speziell Virenscanner können ältere Systeme mit langsamen Festplatten stark bremsen. Trotzdem sollte man nicht darauf verzichten, vor allem wenn man online unterwegs ist. Vom Einsatz 2 oder mehr Scannern ist übrigens dringend abzuraten, da sie sich in der Regel gegenseitig blockieren.

Hier ein paar Links zu kostenlosen Virenscannern (für Windows, Auszug):

AVG >> http://free.avg.com/ <<
avast! >> http://www.avast.com/ <<
Comodo >> http://antivirus.comodo.com/ <<

Oft vergessen wird, dass auch Mircosoft einen eigenen kostenlosen Virenscanner für Windows 7 anbietet:  Microsoft Security Essentials
>> http://www.microsoft.com/security_essentials/ <<

Einige der genannten Hersteller bieten auch kostenlose Bündel mit Software-Firewalls. Dazu nächstes Mal mehr.