Zum Inhalt springen

Kategorie: Sicherheit

IT-Sicherheit in Deutschland

Veröffentlicht am 26. März 2019

In den letzten Tagen habe ich mich beruflich und privat wieder mit IT-Sicherheit beschäftigt. Hierbei habe ich privat nach offenen ElasticSearch- und Kibana-Instanzen sowie banalen Netzwerk-Druckern gesucht. Dabei habe ich mich auf die Datenbank Shodan verlassen und nicht selbst aktiv gescannt.

Das Ergebnis war insofern frustrierend, weil ich doch einige offene und fehlkonfigurierte Systeme fand. Manche offenbarten keine vertraulichen Daten, aber dafür den kompletten, maschinenlesbaren Katalog ihrer Produkte. Andere erfassten auch sämtliche Kundenattribute wie Anschrift, Handynummern, Geburtsdaten in ElasticSearch – entweder weil ElasticSearch als Suchmaschine eingesetzt wird oder im Rahmen einer Log-Aggregierung (z.B. mit Logstash und dem Frontend Kibana).

Ich habe alle betroffenen Unternehmen informiert (darunter auch ein großes, altes, renomiertes Schweizer Informatik-Unternehmen, das für seine insbesondere bei Kulturbetrieben in Frankreich verbreitete Ticketing-Anwendung Kundendaten im Rahmen eines Logs der Bonitätsabfrage „veröffentlicht“ – immerhin Klarnamen und Geburtsdaten)

Lesen Sie weiterIT-Sicherheit in Deutschland
Einen Kommentar hinterlassen

Regierung missachtet Pflicht zum Bau von Ladesäulen für Elektroautos

Veröffentlicht am 21. Januar 2019

Spiegel Online berichtet darüber, wie Minister Altmaier erneut der Elektromobilität einen Bärendienst erweisen möchte. Man spürt den Kadavergehorsam gegenüber der Auto-Lobby regelrecht, denn weil die allermeisten Autobesitzer keine 50 Kilometer pro Tag fahren,…

Lesen Sie weiterRegierung missachtet Pflicht zum Bau von Ladesäulen für Elektroautos
Einen Kommentar hinterlassen

WireGuard und die öffentliche Sicherheit

Veröffentlicht am 13. Januar 2019

Während deutsche Politiker aller Parteien, Journalisten und viele Bürger laufend und mit größter Motivation ihre Unkenntnis und Unfähigkeit hinsichtlich IT und IT-Sicherheit zur Schau stellen, setzt sich in den USA bereits ein Senator dafür ein, dass die öffentliche Verwaltung die bisher eingesetzten, als komplex und veraltet geltenden VPN-Lösungen IPSec und OpenVPN durch WireGuard ersetzen soll.

Senator Ron Wyden (D) aus Oregon ist bereits 69 Jahre alt und hat sich in der Vergangenheit auch schon kritisch über die Aktivitäten von ZTE/China und das Thema Wahlbeeinflussung durch Hacks geäussert.

Seine Bitte an das NIST, das National Institute of Standards and Technology, WireGuard als Option für den Regierungs- und Verwaltungseinsatz zu evaluieren, kann man sich hier ansehen. (PDF Original)

Lesen Sie weiterWireGuard und die öffentliche Sicherheit
1 Kommentar

Fahndung nach MAC-Adresse

Veröffentlicht am 10. Januar 2019

Die Polizei Brandenburg sucht aktuell den Eigentümer eines Gerätes mit der MAC-Adresse f8:e0:79:af:57:eb als Tatverdächtiger in einem Erpressungsfall.

Wäre ich Ermittler beim Brandenburger LKA, ich hätte mir 100 Raspberry PIs besorgt, darauf Kismet installiert, diese mit Powerbanks quer über das Land verteilt (oder fliegend in Polizeifahrzeuge verbaut) und würde mir sämtliche Daten in der Cloud sammeln und auswerten. Der Aufwand hierfür liegt im niedrigen fünfstelligen Bereich, mit 3G/4G Upstream etwas höher.

Lesen Sie weiterFahndung nach MAC-Adresse
Einen Kommentar hinterlassen

Robert Habeck macht alles noch schlimmer.

Veröffentlicht am 7. Januar 2019

Wer den Schaden hat, braucht für den Spott nicht zu sorgen. Oder wie es beim Fussball üblich ist: Der gefoulte schiesst nicht selbst den Elfmeter.

Robert Habeck wurde, wie einige andere Politiker und Social-Media-Leute, Opfer einer Cracker-Attacke. Vermutlich eine Person hat sich Zugang zu diversen Accounts beschafft, ob Social Media (Twitter/Facebook), Mail oder Cloud-Speicher. Soweit man weiss, haben die Betroffenen dort weder verfügbare 2-Faktor-Authentisierungen genutzt, noch sonstige Vorkehrungen getroffen, um solche Attacken durch Selbstschutz zu verhindern (sichere, lange, einfach genutzte Passwörter – zB mittels Passwortmanager).

Nun sind also persönliche Daten und teilweise auch Dinge aus dem familiären Umkreis veröffentlicht worden und die Betroffenen leiden, gut nachvollziehbar, unter einem Trauma (ähnlich Einbruchs- oder Überfallsopfer).

Es macht die Sache auch nicht besser, dass selbsternannte Netzpolitiker wie Konstantin von Notz (Grüne) zu den stark betroffen gehören, wo man doch vielleicht gerade von ihnen etwas mehr Sorgfalt im digitalen Alltag erwarten hätte können?

Lesen Sie weiterRobert Habeck macht alles noch schlimmer.
1 Kommentar

Palim, Palim: Eine Flasche Metadaten!

Veröffentlicht am 2. Januar 2019

Ich arbeite oft von zuhause und empfange regelmäßig Pakete. Aber es nerven auch laufend Werbemüllverteiler am Klingelschalter. Blöderweise befindet sich mein Home-Office im Untergeschoss ohne Zugang zur Wechselsprechanlage oder Tür-Öffnungsknopf. Selbst wenn ich mit etwas Bastelei an der Siedle-Sprechanlage den Öffnungsimpuls noch per WiFi absenden könnte, so muss ich dann doch die Wendeltreppe hinauf zur Wohnungstüre und dort nachschauen, ob es für mich oder den Mülleimer geklingelt hat.

Nun leben wir in Zeiten, wo sich alle Menschen unbewusst überwachen lassen und das sogar passiv. Schienen RFID-Attacken auf Personalausweise, Gesundheitskarten oder vom Hersteller in Textilien eingenähten Tags mit großen Antennen etwas weit hergeholt, geht es mit Funkverbindungen sehr viel einfacher:

Jeder von uns trägt ein Smartphone oder eine Smartwatch bei sich, manche sogar mehrere. Die Smartphones buchen sich in Mobilfunknetze ein und halten ständig Kontakt zum nächsten Sendemast, senden regelmäßig Datenpakete um den jeweils am besten zu erreichenden zu ermitteln.

Und genau das tun auch alle WiFi-Clients: Sie senden regelmäßig Anfragen um für sie bekannte WLAN-Netze zu ermitteln und dann ggf. automatisch zu verbinden.

Beides lässt sich passiv mitschneiden und auswerten.

Lesen Sie weiterPalim, Palim: Eine Flasche Metadaten!
2 Kommentare