Archive - Mai 2015

1
Logjam & NetUSB: Die 2 wichtigsten Sicherheitslücken der letzten Woche
2
Offizielles Update CyberGhost VPN 5.0.15.14 für Windows
3
Mobile Datenschleuder: 5 einfache Regeln, wie du deine Daten auf Smartphones & Tablets schützt
4
VPN To Go direkt im Browser: CyberGhost Free Proxy Add-on

Logjam & NetUSB: Die 2 wichtigsten Sicherheitslücken der letzten Woche

Kaum ein Woche vergeht noch ohne Datenskandal, Hackerangriff oder frisch aufgedeckte Sicherheitslücke. Betroffen sind dann in aller Regel zig-Tausende oder gar Millionen Nutzer, sei es als Mitglied einer Plattform, wie beim jüngsten Hack der Sex-Dating-Plattform AdultFriendFinder, sei es als Besitzer bestimmter Hardware wie Router oder ‚nur‘ als gewöhnlicher Internetsurfer, der schlecht wissen kann, wann eine sichere Webseite auch tatsächlich sicher ist und wann nicht.

USB-Treiber reißt Sicherheitslücke in Millionen Router

Drucker und Festplatten an einem Router zu betreiben und damit für das lokale Netz verfügbar zu halten, ist praktisch – laut Sicherheitsexperte Stefan Viehbock vom SEC Consult Vulnerability Lab in vielen Fällen leider aber auch gefährlich, zumindest vom Blickwinkel der Datensicherheit aus betrachtet. Schuld daran ist der NetUSB-Treiber der taiwanischen Firma KCodes, der auf Millionen Routern installiert ist und über eine jüngst entdeckte Lücke Angriffe auf das Gerät ermöglicht. Ist der Name eines angeschlossenen Druckers oder eines anderen Geräts länger als 64 Zeichen, führt dies zu einem Speicherüberlauf, in dessen Fahrwasser sich Schadsoftware auf dem jeweiligen Router installieren lässt.

Wie viele Router genau betroffen sind, lässt sich nicht beziffern, mindestens aber sind es 92 Modelle der Firmen TP-Link, D-Link, Trendnet, Zyxel und Netgear. Eine von SEC Consult ins Netz gestellte Liste ermöglicht die Recherche, ob das eigene Gerät ebenfalls für die Lücke empfänglich ist. Falls ja, sollten sich deren Besitzer um ein Update vom Hersteller bemühen oder die NetUSB-Treiber in den Einstellungen zum Router deaktivieren. Besitzer einer der hierzulande weit verbreiteten Fritz!Boxen können übrigens aufatmen. Laut Hersteller AVM wird der NetUSB-Treiber der taiwanischen Firma nicht verwendet.

Logjam-Attacke gefährdet Serververbindungen

Eine Schwäche im Diffie-Hellman-Schlüsselaustausch, der zur Herstellung verschlüsselter Verbindungen zu Web-, Mail-, SSH- und VPN-Server genutzt wird, kann in Verbindung mit Man-in-the-Middle-Attacken zur Kompromittierung der jeweiligen Verbindung führen. Angreifer sind dann in der Lage, die geheimen Schlüssel bei SSL/TLS-Verbindungen abzufangen, den Datenverkehr zu belauschen und Schadsoftware einzuschleusen.

Betroffen sind in erster Linie die geschwächten 512-Bit-Varianten von Diffie-Hellman, die viele Systeme noch heute unterstützen, während das Verfahren ab 1024 Bit als überwiegend sicher gilt. Problematisch hierbei ist, dass durch ehemalige US-Export-Bestimmungen erzwungene Abschwächungen in der Verschlüsselungsstärke es erlauben, dass der Schlüsselaustausch statt mit 1028 oder mehr mit den kompromittierbaren 512 Bit vorgenommen werden kann (Downgrading), vorausgesetzt, Server und Client beherrschen jeweils das Export-Verfahren (DHE_EXPORT).

Veröffentlichungen der Sicherheitsforscher zufolge, die die Lücke entdeckt haben, steht die Kompromittierung von 768-Bit-Diffie-Hellman kurz bevor. Außerdem warnt man, dass staatlich unterstützte Dienste wie die NSA möglicherweise auch 1028-Bit-Diffie-Hellman angreifen können, beispielsweise um VPN-Verbindungen aufzubrechen.

Betroffene Webseiten und Browser

Laut Entdecker der Sicherheitslücke sollen derzeit rund 8 % aller Webseiten und POP3/IMAP-Mailserver betroffen sein. Voraussetzung ist, dass sowohl Server als auch Client das Downgrading auf 512 Bit erlauben. Von den allgemein verwendeten Browsern sind praktisch alle verwundbar – mit Ausnahme der aktuellen Version des Internet Explorers von Microsoft. Ein (empfohlener) Browsertest lässt sich auf der Seite der Forscher ausführen.

CyberGhost nicht, bzw. nicht mehr betroffen

Die Login-Server von CyberGhost waren von Anfang an nicht betroffen, zum einen, weil mit 2048 Bit codiert wird, zum anderen, weil die Export-Verschlüsselung standardmäßig deaktiviert und ein Downgrade somit nicht möglich ist. Alle anderen VPN-Server sind, soweit überhaupt notwendig, bereits kurz nach Bekanntwerden der Lücke letzte Woche gepatcht worden.

Links:

Offizielles Update CyberGhost VPN 5.0.15.14 für Windows

Ab sofort zum Download verfügbar: Offizielles Update auf CyberGhost 5.0.15.14.

Mit Version 5.0.15.12 flossen die letzten Änderungen der Betaversionen seit Version 5.0.15.7 in die offizielle Clientversion ein, darunter der automatische Aufruf des Standardbrowsers bei Verbindungsaufbau und die ab jetzt geltende Standard-Autostartfunktion, mit der die zuletzt genutzte Verbindung beim Systemstart wiederhergestellt wird. (Möchte ein Anwender dies nicht, muss die Funktion gezielt in den Einstellungen deaktiviert werden.) Das kurz darauf folgende Update auf 5.0.15.14 bereinigt einen Bug im Bandbreiten-Graph und aktualisiert die Übersetzungen.

Weitere Änderungen betreffen Fehlerbehebungen, die Erkennung von Problemen innerhalb der OpenVPN-Programmdatei und aktualisierte Übersetzungen. Auch erkennen die Einstellungen zur Privatsphäre jetzt das Herunterfahren des Systems korrekt.

client 501512

Das Update steht ab sofort zum Download auf der Homepage bereit; der automatische Patch beim Programmstart erfolgt zeitversetzt einen Tag später.

Alle Änderungen seit 5.0.15.7:

  • 5.0.15.14: Übersetzungen aktualisiert, Fehler im Bandbreiten-Graph (experimentell) beseitigt
  • 5.0.15.12: Option hinzugefügt, die den Standardbrowser bei Verbindungsaufbau automatisch startet
  • 5.0.15.11: Bugfix zu Version 5.0.15.10
  • 5.0.15.10: Automatische Verbindungsaufnahme bei Systemstart per default
  • 5.0.15.9: Deaktivierung der Privacy Control-Settings bei Programmende, Bugfix OpenVPN.exe (crashed), updated translations, Bugfix der Reportfunktion
  • 5.0.15.8: Schwerwiegender unerkannter Fehler während des Programmstarts bereinigt, Fehler im Textfeld im Bug-Report bereinigt

Sollte die aktuelle stabile Version zu Problemen im laufenden Betrieb führen, setze bitte den Support davon in Kenntnis oder hinterlasse einen Kommentar hier im Blog.

Mobile Datenschleuder: 5 einfache Regeln, wie du deine Daten auf Smartphones & Tablets schützt

Handys, Smartphones und Tablets regieren den Alltag und legen das Zepter nicht einmal dann aus der Hand, wenn gerade der Großteil aller beruflichen Kommunikation über den Desktop-PC verläuft. In dem Fall verweilen die mobilen Begleiter scheinbar inaktiv in der Schublade und werkeln im Hintergrund – dank Apps wie Pushbullet sowieso immer am Puls der Zeit … Verzeihung, des Datenstroms. Und piept der unverzichtbare Gefährte, weil die Zeit gekommen ist, fluchtartig das Büro für einen Termin zu verlassen, übernimmt er endgültig wieder das Ruder.

Das wissen auch die anderen, so gar nicht netten Zeitgenossen aus der Hacker- und digitalen Kriminellenszene. Bisher auf (Windows-) Desktoprechner fixiert, richten sie ihr Augenmerk stetig häufiger auf mobile Endgeräte; in erster Linie Android, aber auch die Konkurrenz aus dem Applelager ist nicht mehr so sicher, wie sie einmal galt. Ergebnis: Immer öfter schlüpfen immer mehr sensible Daten durch die runden Kanten der Smartphones und Tablets und gefährden Passwörter, Identitäten und am Ende das Geld der jeweiligen Besitzer. Außerordentlich hilfreich hierbei sind die Sorglosigkeit, mit denen Smartphonenutzer das Thema Sicherheit betrachten, und die Geräte selbst, da sie zwar außerordentlich fit für den alltäglichen Einsatz sind, aber wenig bis gar nicht, um Sicherheitsbedrohungen zu begegnen.

Was tun? Das gute Stück entsorgen und mit Facebook-Freunden und Kontakten via Post und Festnetz kommunizieren? Das dürfte sich zwar weniger aufwändig gestalten, als man jetzt meint, da man wahrscheinlich alle verlieren wird, aber es ist auch überhaupt nicht notwendig, vorausgesetzt, man beachtet die folgenden Sicherheitstipps erfahrener Technikexperten.

teacher

Keine ominösen Apps downloaden

Ein Android-Betriebssystem ist von sich aus sicherer als beispielsweise Windows, alleine dadurch, dass es jede App in einer eigenen Umgebung ausführt und so Übergriffe auf das Gesamtsystem unterbindet. Auch das jeweilige  Ökosystem trägt zur Sicherheit bei, also der verwendete  Marketplace wie Googles Play Store oder Amazons App Store. Die Abgeschiedenheit vom Rest der Welt erlaubt eine rudimentäre Kontrolle über die Rechtschaffenheit einer App – auch wenn manches Mal der Eindruck entsteht, den Betreibern erscheinen nackte Tatsachen als größere Gefährdung als Mal- und Spyware.

Nur, leider, nützt einem beides wenig, wenn ein Anwender nicht im jeweiligen Store erhältliche oder teure Apps über APKs aus ominösen Quellen installiert. Dann verfügt man zwar für lau über eine komplette, unter Umständen teure Foto-Suite, aber möglicherweise auch über eine Schnüffel-Software, die sich ganz besonders über Bankdaten freut und weniger über die Schnappschüsse vom letzten Betriebsfest.

Aber Ungemach droht nicht nur von Fremd-Apps in Form von eindeutig kriminellen Zielen, sondern auch direkt im hauseigenen Store in Form von so etwas wie ‚Datenentzug‘, also die Sicherung von ‚Rechten‘ durch ansonsten kostenfreie Apps, mit denen diese die vorgefundenen privaten Daten zu Geld machen. Kaum zu glauben, aber selbst im Jahr 3 nach Snowden gibt es noch genügend Nutzer, die keinen der Schüsse gehört haben und immer noch gerne bereit sind, auch der 10.000-sten Taschenlampen-App im Gegenzug für einen leergelutschten Akku Zugriff auf alle Kontakt- und Telefondaten zu gewähren.

Die Grundregeln für einen souveränen Smartphone-Gebrauch sind deshalb:

  • Apps nur aus sicheren Quellen installieren und/oder das Zweithandy mit alternativer Identität zum Experimentier-Smartphone erklären, das dann zwar keine sensiblen Daten enthält, dafür aber alles andere, was irgendwie nach Bits und Bytes aussieht. Auf Zweit- und Drittgeräten lässt sich auch sehr gut mit Jailbreaks herumspielen, bevor man diese ‚in echt‘ auf sein Hauptgerät anwendet.
  • Apps auf deren Rechteanforderungen hin abtasten und lieber auf eine verzichten als in Kauf nehmen, dass sie einen ausspioniert. Auch die Sicherheitseinstellungen der praktischen Helfer sollten überprüft werden.
  • Kommentare zur Apps und deren Bewertungen durchlesen. Zwar sind in den Kommentarspalten oft auch Trolle und unter falscher Flagge segelnde Konkurrenten anzutreffen, aber sich wiederholende Vorwürfe deuten schon auf ernste Probleme mit der jeweiligen App hin.
  • Im Zweifel den Anbieter und Programmierer recherchieren hilft im Übrigen eher wenig. Angesehen davon, dass Hacker und Kriminelle nur selten als eingetragene ‚Hacker und Kriminelle Ltd‘ firmieren, sind es allzu oft die seriösesten Unternehmen, die dem Drang zur Spionage nicht widerstehen können.

iPhone

Backups & Updates fahren

Immer wieder gehört, immer wieder gerne vergessen oder zur Seite geschoben: Backups! Lege deshalb automatisch regelmäßige Backups an, so dass du im Ernstfall zu verschiedenen Versionen deines Systems zurückkehren kannst. Dies mag nicht gegen alles helfen, was dir oder deinem Phone Übles geschehen mag, aber zumindest hast du gute Chancen, eingenistete Plagegeister wieder loszuwerden.

Updates zu ignorieren ist ebenso selten eine gute Idee wie Backups aufzuschieben. Manchmal lässt es sich nicht vermeiden, beispielsweise weil kein WLAN in der Nähe ist und man nicht etliche 100 Megabyte durch die teure mobile Datenleitung jagen will, aber bei nächster Gelegenheit sollte man eine fällige Aktualisierung sofort nachholen. Updates stopfen Sicherheitslöcher – und wenn man schon auf den Gerätehersteller warten muss, bis dieser reagiert und ein Systemupdate anbietet, so sollte man die ungeschützte Zeit nicht auch noch durch eigene Untätigkeit verlängern.

Echte, gute Passwörter verwenden

Nein, ‚Passwort123456‘ ist kein besonders schlaues Passwort, auch wenn man jetzt denkt, dies sei so simpel, dass niemand ernsthaft annehmen kann, man benutze es. Man kann! Erstens verwenden Hacker Passworttabellen, die ganze Wörterbücher in Sekunden durchprobieren und zweitens finden sich diese ‚sicheren, weil so gewöhnlichen‘ Passwörter ganz oben auf der Liste.

Die Grundregeln für echte, gute Passwörter lauten deshalb:

  • Verwende lange Passwörter mit Sonderzeichen und Zahlen, die sich trotz ihrer Kompliziertheit gut merken lassen, bspw. die jeweils ersten Buchstaben samt Satzzeichen eines Satzes wie diesen: „Pofalla sagt: Die NSA-Affäre ist somit vom Tisch!“ Also als Passwort: „Ps:DN-AisvT!“. Zur Sicherheit fügst du noch Pofallas Geburtsjahr (1802) hinzu und Schwupps bist du mit „Ps:DN-AisvT!“1802 für 27 Quadrillionen Jahre auf der sicheren Seite.
  • Lasse dich nicht automatisch von deinem Browser einloggen und nutze stattdessen einen Passwortmanager wie KeePass oder Password Depot.

Delikate persönliche Daten außer Sichtweite bringen

Kein Witz: So mancher Mann fotografiert seinen Penis und jagt das preisverdächtige Foto des Jahres postwendend durch die Leitungen zur Freundin, zum Freund oder 4Chan. Das begeistert dann zwar nicht unbedingt den/die Freund(in), aber mit Sicherheit die NSA und praktisch alle, die Zugriff auf das jeweilige Gerät haben, also Arbeitskollegen, Zweit-Freund(in), Frau, BND (als NSA-Zuspieler) und potenziell jeden in einem öffentlichen WLAN. Auch muss man davon ausgehen, dass einem das gute Stück gestohlen werden kann (das Smartphone) und jemand das andere gute Stück (den Penis) ans Licht zerrt, so dass man(n) es sich besser dreimal überlegen sollte, was man wie permanent speichert und was nicht. Delikate Fotos gehören dann mindestens in passwortgeschützte ZIP-Dateien, Passwörter in Passwortmanager und keine PIN als Geburtstag oder anderes Datum in die Kontaktliste.

Die Grundregeln zum Schutz persönlicher Daten:

  • Passwortgeschützte ZIP-Dateien einrichten und persönliche Fotos sowie andere Dateien dort hinein verschieben
  • PIN-Code für den Zugriff auf das Gerät einrichten
  • Remote Locking einrichten, also die Möglichkeit, den Zugriff auf ein verlorenes oder gestohlenes Gerät aus der Ferne zu sperren
  • Data Wiping einrichten, also die Möglichkeit, sämtliche Daten, inklusive aller Willy-Pics, eines verlorenen oder gestohlenem Geräts aus der Ferne vernichten zu können
  • Das Feature zum Aufspüren des verlorenen oder gestohlenen Geräts aktivieren – allerdings muss man hier abwägen, denn zwangsläufig müssen zu diesem Zweck die Standortdienste aktiviert werden, womit man wiederum Datensammlern wie Google in die Hände spielt

VPN besorgen, einrichten & seinen Job machen lassen

Internet-Cafés, Coffee Shops, Flughäfen, Shopping Malls, Bahnhöfe und Touristenzentren werden zusehends mit kostenfreiem Wi-Fi aufgerüstet – zumindest bis die neue deutsche Vorratsdatenspeicherung auch hier der Internetförderung im Land weitere Steine ans Bein nagelt. Bis dahin aber sind diese Stätten nicht nur Orte der Freude, sondern auch angestammtes Territorium für Hacker und Script-Kiddies, und während der eine noch völlig entspannt im Hier und Jetzt seine Facebook-Postings absetzt und am Kaffee nippt, zieht der ebenso entspannte Nachbar drei Tische weiter gerade dessen Passwörter, Nacktfotos und Bankdaten ab.

Warum? Weil er es kann, weil sich die entsprechenden Programme selbst von Analphabeten bedienen lassen, weil er ein Lump ist und weil ihn dein Gerät weit offen einlädt.

Mit einem VPN ist allerdings Schluss mit Lustig, zumindest für den Hacker auf der anderen Seite. Ein VPN verschlüsselt alle von einem Gerät ein- und ausgehende Daten, so dass Passwörter, Fotos und Kontaktdaten genau dort ankommen, wo sie hin sollen – und nur dort, denn ein Abgreifen ist unmöglich.

Die Grundregeln zur Auswahl eines geeigneten VPNs:

  • Es muss vertrauenswürdig sein und weder Inhalte noch Verkehrsdaten loggen und abspeichern (also CyberGhost)
  • Es sollte einen Client haben und absolut easy zu bedienen sein (also CyberGhost)
  • Es sollte die Konfiguration nativer Protokolle erlauben (CyberGhost)
  • Es sollte nicht mehr kosten als ein Kaffeebesuch bei Starbucks, der ja geschützt werden soll (also CyberGhost)

Klick’ hier für 50 % Ermäßigung

 

VPN To Go direkt im Browser: CyberGhost Free Proxy Add-on

Klein, fein und häufig unterschätzt: Das Chrome- und Opera-Add-on ‚CyberGhost VPN – Free Proxy‘ verschafft auf Mausklick den schnellen Spaß bei blockierten Sportübertragungen, gesperrten YouTube-Videos und anderen regionalen Einschränkungen. Besser noch, denn die praktische Erweiterung für sofortiges anonymes Surfen ist direkt im Chrome- oder Opera-Browser aktivierbar, blitzschnell verfügbar und obendrein komplett kostenlos zu haben.

Chrome_Plugin_01

Zack – und steht!

Den großen Bruder kennt man – und wird ihn für die Komplettverschlüsselung aller Internetverbindungen eines Rechners oder mobilen Geräts auch weiterhin nicht missen mögen. Zum Gelegenheitsbrowsen Zuhause, auf Reisen und im Internetcafé, also praktisch immer dann, wenn man nicht erst umständlich einen Rundum-VPN bemühen möchte, bietet sich hingegen der schlanke Sofort-Anonymisierer ‚CyberGhost VPN – Free Proxy für Chrome und Opera’ an. Dieser baut dank moderner SPDY-Technik eine sofortige Umleitung der bereits bestehenden Internetverbindung zum leistungsfähigen CyberGhost-Netzwerk auf, verschlüsselt mit 256 Bit AES und sorgt so für Abhörschutz in öffentlichen WLANs. Gleichzeitig ermöglicht die App den weltweiten Zugriff auf regional gesperrte Inhalte und Plattformen wie Facebook, Pandora, Steam & Co – bspw. um beim neuesten Sportevent gebührend mitfiebern zu können oder blockierte YouTube-Videos abzuspielen.

Dank SPDY ausgesprochen Speedy

Chrome_Plugin_03

Frei! Keine Logs!

Das Add-on wird wie jedes andere Browser-Plug-in ohne langwieriges Setup eingespielt, benötigt keine Einstellungen und besitzt trotzdem die meisten Vorteile eines ausgewachsenen VPNs wie Schutz vor Datenspionen und den Austausch der IP-Adresse zur Anwender-Anonymisierung. Einmal installiert lässt es sich beliebig an- oder abschalten und ermöglicht auf Basis des modernen Internetprotokolls SPDY (ausgesprochen ‚Speedy‘) sogar schnellere Verbindungen als herkömmliche VPNs, die dann alle http- und https-Anfragen des Browsers über die CyberGhost-Server umleiten und die originalen IP-Adressen der Surfer effektiv schützen.

Leichter und schneller wird man kaum dazu kommen, unter ‚fremder Flagge’ zu surfen und regional begrenzte Angebote aufzurufen, beispielsweise aus den USA.

Chrome_Plugin_02

Mit einem Klick das Land wechseln!

Allerdings …

So praktisch ein Browser-Plug-In wie ‚CyberGhost VPN – Free Proxy für Chrome und Opera’ auch ist: Man sollte nie vergessen, dass die Privatsphäre eines Anwenders auch auf vielerlei andere Weisen gefährdet sein könnte. Ein Plug-in ist kein Rundum-Schutz und kann alle anderen Prozesse des Betriebssystems nicht berücksichtigen. Hier wird man dann doch lieber wieder auf den großen Bruder zurückgreifen wollen, um jede von einem Programm aufgemachte Internetverbindung zu tunneln und zu schützen.

Auch können Flash-Inhalte und unabhängig vom Browser laufende Dritt-Plug-ins am VPN-Plug-in vorbei Daten ins Netz senden, weshalb es sich empfiehlt, es durch die zusätzliche Installation eines Helfer-Plug-Ins wie ‚FlashControl‘ (ebenfalls im Marketplace erhältlich) zu unterstützen oder Flash generell zu deaktivieren. Moderne Streaming-Anbieter und andere Plattformen bieten deshalb neben Flash-Inhalten auch zusehends mehr HTML5-eingebettete Videos an.

Die Installation des CyberGhost Browser-Plug-Ins kann über den Chrome Web Store oder der Opera-Add-ons-Sammlung erfolgen.

Copyright © 2014. Created by Meks. Powered by WordPress.