Apps N Coffee

Alle Artikel zu "Sicherheit"

Gigaset elements: Heimüberwachung im Test

Gigaset elements: Heimüberwachung im Test

„Ist die Kaffeemaschine wirklich ausgeschaltet?“ und „Habe ich das Fenster zugemacht?“, diese beiden Fragen begleiten mich sehr oft, wenn ich das Haus verlasse. Nicht selten gehe ich sogar extra noch einmal die vier Etagen nach oben und vergewissere mich ein letztes Mal.

Doch heutzutage im Jahre 2016 muss es doch etwas geben, was mir diese Informationen auch ortsunabhängig geben kann und mich darüber informiert, wenn bei mir z.B. eingebrochen wird. Ich hatte das Glück, in den letzten Wochen die Lösung von Gigaset, die sich Gigaset elements nennt, auf Herz und Nieren zu testen. Hier folgt mein kleiner Erfahrungsbericht.

Browsen ohne Adblocker ist gefährlich

Da ich selber Publisher bin, sollte ich eigentlich jemand sein, der Adblocker verabscheut. Doch für mich haben immer schon die Nachteile von Werbung überwogen und seit jeher spreche ich mich für den Einsatz von Adblockern aus.

Ein wichtiger Punkt in meiner Argumentation war immer die Sicherheit. Dank Werbung werden Skripte auf einer Seite ausgeführt, auf die der Seitenbetreiber keinen Zugriff und keine Kontrollmöglichkeit hat. Selbst die seriösesten Internetseiten mussten ihren Nutzern schon eingestehen, irgendwann einmal vorübergehend gefährliche Werbung serviert zu haben. Dabei analysiert die Werbung den Browser der Webseitenbesucher auf mögliche Schwachstellen und installiert im schlimmsten Falle gefährliche Software, ohne dass dies bemerkt wird. So geschehen gerade letztes Wochenende in den Niederlanden, wo 288 Seiten – darunter einige sehr populäre – gefährliche Werbung beinhalteten.

Die Ironie an der Sache: Gerade erst durch gefährliche Werbung aufgefallen, werden Webseitenbesucher mit aktiviertem Adblocker beispielsweise auf der Seite NU.nl gebeten, diesen doch abzustellen. Auch die Schweizer – die offensichtlich auch gerade ein ähnliches Problem haben – geben sich da, vollkommen ironiefrei, gar keine Blöße.

Immer diese Wordpress Plugins...

The MF website runs WordPress and is currently running a version of Revolution Slider that is vulnerable to attack and will grant a remote attacker a shell on the web server.

Panama Papers, die große Geschichte der letzten Woche. Doch wie gelangten die ganzen Dokumente und Emails überhaupt in die "falschen" Hände?

Ziemlich einfach. Die Anwaltskanzlei Mossack Fonseca setzt für ihren Internetauftritt auf Wordpress und nutzt dabei das Wordpress Plugin Revolution Slider. Dieses Plugin hatte in der Vergangenheit schon öfter Schwachstellen, die dann auch ausgenutzt wurden. Offensichtlich wurde vergessen Revolution Slider regelmäßig zu aktualisieren, was offensichtlich auch das Eingangstor ins Netzwerk der Firma in diesem Fall war.

Internetauftritt (mit Wordpress), Kundenportal mit sensiblen Dokumenten und Email Server alle im selben Netzwerk. Kann man schon so machen, ist dann aber schlecht.

Link: Wordfence

Tech-Journalisten und die Sicherheit bei eigenen Geräten

So I maybe kept a few passwords in a note file on my stolen phone. And maybe it was because I didn’t want to shell out cash for a password manager. Also, there are times when I need to file a story or log into an account from public Wi-Fi. It gives me anxiety every time I do it, truly, but I still haven’t invested in a VPN. I know, I know, I need to do this, and I want to do this. But again, it’s a lot of research and the wrong VPN choice can end in catastrophe.

Wir hatten schon den sich mit (Internet-) Sicherheit befassenden Journalisten, der offene WLANs unverschlüsselt nutzt und auf einem seiner Flüge gehackt bzw. ausspioniert wurde. In diese wenig ilustre Reihe gesellt sich nun auch Ashley Carman, ihres Zeichens ebenfalls eine Journalistin die über Cybersecurity und Technik schreibt.

Sie nutzt ein unverschlüsseltes Samsung Galaxy S6 (obwohl dies in wenigen Schritten erledigt wäre), zum Entsperren ihres Smartphones ist nicht ihr Fingerabdruck sondern eine Pin notwendig und speicherte einige Passwörter im Klartext in den Notizen. Auch ansonsten ist der Text gespickt mit sachlichen Fehlern (IMEI-Sperre nutzt de facto in Mexico nichts und sie scheint noch nie etwas vom Android Device Manager gehört zu haben). Ein ziemlich schwacher Text in üblicher The Verge-Qualität, der aber aufzeigt wie wenig man über Technik und Sicherheit wissen muss, um selber durch Schreiben darüber Geld zu verdienen.

Link: The Verge

Offene WLAN Netze und ungesicherte Verbindungen

Offene WLAN Netze und ungesicherte Verbindungen

In den letzten Tagen machte die Geschichte des ‚USA Today‘-Journalisten Steven Petrow die Runde. Dieser nutzte auf einem inneramerikanischen Flug das vom Anbieter ‚Gogo‘ bereitgestellte Internet und griff dabei mit seinem Laptop auf dieses ungesicherte WLAN Netz zu, um auf dem Flug u.a. Emails zu lesen und zu beantworten.

Let's Encrypt: Zertifikat kostenlos und in unter 5 Minuten erstellen

Let's Encrypt von der Internet Security Research Group – kurz ISRG – hat es sich zum Ziel gemacht SSL Zertifikate kostenlos und leicht installierbar anzubieten, damit möglichst viele – auch kleinere Seiten – dies anbieten können.

Nun ist die öffentliche Beta gestartet und ich konnte innerhalb von 5 Minuten auf ziemlich simple Art und Weise das SSL Zertifikat für verschiedene Seiten, darunter auch Apps N Coffee erstellen. Hier eine kurze Anleitung.

Erweiterungen in Chrome tracken die Nutzer

Man hatte es schon länger vermutet oder sogar angenommen, jetzt haben die Experten des Sicherheitsanbieters Detectify den Beweis erbringen können: Einige der populärsten Erweiterungen im Chrome Web Store telefonieren nach Hause zum Entwickler und geben u.a. Links der besuchten Seiten, Authentifikation-Tokens und alle gesammelten Cookies in fremde Hände.

Warum tun dies die Entwickler?

Many of these extensions are being paid per user by the third party to install the tracking code in their extensions. We’ve seen some indications on Chrome Extension-forums that it’s around $0.04 per user/month. For plugins with over tens and hundreds of thousands of users that equals a substantial amount of monthly income.

Weitergehende Informationen und eine unvollständige Liste der betroffenen Erweiterungen findet man im Detectify Blog. Wirklich schützen kann man sich dagegen kaum, man sollte aber generell so wenige Erweiterungen wie möglich installieren und nur von bekannteren Firmen / Dienstleistern.

Link: