Archiv der Kategorie: Sicherheit für Familien

Ein Prosit der Sicherheit

Von Udo Schneider, Solution Architect EMEA

Das größte Volksfest der Welt, die Wiesn, steht vor der Tür. Wieder werden sich Millionen Menschen – sieben im letzten Jahr — durch die Zeltstadt schieben, noch mehr Millionen Liter Bier werden fließen, und die Besucher werden auf den Bänken tanzen und singen. Doch mit der Stimmung und vielleicht auch dem Alkoholpegel steigt die Sorglosigkeit – das ist die Stunde der Diebe. Zwar wurden im letzten Jahr lediglich 470 Diebstähle gemeldet, doch ist das für die Betroffenen kein Trost.

Auf die Sorglosigkeit der Besucher im Umgang mit ihren Mobilgeräten und den sozialen Netzwerken setzen auch Cyberkriminelle, um diese für ihre Machenschaften zu missbrauchen.

Wer das Oktoberfest in vollen Zügen und trotzdem ohne böse Folgen genießen will, sollte folgende Tipps beachten:

  • Eine Sicherheitssoftware für das Mobilgerät ist ein absolutes Muss. Eine solche App schützt den Nutzer vor infizierten URLs, vor Datenverlust und kann den Download schädlicher Apps verhindern.
  • Sperren des Geräts liefert einen gewissen Schutz im Fall des Verlust des Smartphones.
  • Die mobilen Daten sollten immer in der Cloud gesichert werden, um den Informationsverlust möglichst gering zu halten, falls das Gerät verloren geht.
  • Besondere Vorsicht empfiehlt sich beim Herunterladen von Oktoberfest-Apps. Es könnten gefälschte, mit Schädlingen versehene im Umlauf sein! Auch hier empfiehlt sich eine entsprechende Sicherheitslösung zu installieren.
  • Wer ein öffentliches Wi-Fi-Netzwerk nutzt, sollte auf keinen Fall auf persönliche Konten, wie etwa Mail zugreifen, denn Cyberkriminelle können diese Netzwerke ausschnüffeln.
  • In sozialen Netzwerken wie Facebook sollten möglichst wenige Informationen veröffentlicht werden, und die nur mit vertrauenswürdigen Freunden ausgetauscht werden. Achtung beim Veröffentlichen von Bildern. Sie bleiben für immer im Netz!

Na dann, ein Prosit der Sicherheit!

Die Infografik zum Oktoberfest liefert Daten und Tipps für einen Besuch des Volksfests in München.

Internet Explorer: Das bekannte ist das kleinere Übel

Kommentar von Rik Ferguson, Director Security Research & Communications EMEA

Bild: Steve Dinn

Die Nachricht vom Zero-Day-Exploit für Microsofts Internet Explorer hat die Diskussion darüber, welcher Browser der sicherste ist, erneut aufflammen lassen. Viele wohlmeinende Stimmen von Experten, CEOs und sogar das BSI rieten zum Wechsel des Browsers. Doch ist das realistisch und tatsächlich sinnvoll?

Sicherheit gründet sich nicht auf reflexhafte Reaktionen auf einzelne Ereignisse, sondern auf den Aufbau einer Strategie, die dazu führt, das Risiko mit der Zeit zu minimieren. Eine solche Strategie sollte auch Änderungen um der Änderung willen vermeiden, denn jede neue Technologie, mit der die Anwender noch nicht vertraut sind, bringt aus diesem Grund neue Risiken mit sich.

Die beiden bekanntesten Alternativen zum Internet Explorer, die auch am häufigsten empfohlen werden, sind Google Chrome und Mozilla Firefox. Keiner von beiden Browsern ist vor Schwachstellen und Zero-Day-Angriffen gefeit. Aufgrund des vorhandenen Beweismaterials kann man sogar davon ausgehen, dass der IE das geringere Übel darstellt.

2011 hatte Google Chrome mit 275 neuen Sicherheitslücken die höchste für den Browser gemeldete Zahl an Bedrohungen seit seiner Einführung. Die Bedrohungen für Mozilla Firefox gehen zwar seit 2009 zurück, doch waren es immer noch 97 Sicherheitslücken im letzten Jahr. Der Trend für IE war während der letzten fünf Jahre rückläufig, und für 2011 wurden nur 45 neue Sicherheitslücken gemeldet, weniger als für jeden anderen Browser, ausgenommen Apples Safari mit ebenfalls 45.

Natürlich ist die reine Anzahl von Sicherheitslücken wenig aussagekräftig, ohne die entsprechende Schwere der Bedrohung zu berücksichtigen. Betrachtet man die Zero-Day-Schwachstellen ändern sie den Vergleich kaum: Chrome und IE hatten jeweils sechs, während Mozilla Firefox auf vier kam.

Die einfache Erkenntnis daraus ist, dass wir Zero-Day-Sicherheitslücken wie der aktuellen ungerechtfertigt hohe Aufmerksamkeit schenken. Schon die Bezeichnung weckt Ängste, auch bei Leuten, denen nicht ganz klar ist, was die Begriff bedeutet. Unternehmen und Privatpersonen haben es schwer genug, ihre Browser auf aktuellem Stand zu halten, wobei die Zahl der schließbaren Lücken viel höher ist als die gelegentlichen Zero-Day-Bedrohungen. Auch richten sich die Angriffe zunehmend auf Anwendungs-Plugins wie QuickTime, Flash oder Acrobat, die in den verschiedenen Browsern und Betriebssystemen angewendet werden können. Darüber hinaus gibt es vor allem Angriffe auf Einzelpersonen und den Browser, den diese jeweils benutzen. Dazu gehören die Phishing-Angriffe oder Social Engineering-Attacken.

Tatsache ist, der Browser garantiert niemand Sicherheit, der Einzelne muss selbst für seine Sicherheit sorgen, unabhängig davon, welchen Browser er wählt. In den meisten Fällen empfiehlt es sich, bei dem Browser zu bleiben, den der Nutzer am besten kennt, und diesen zu sichern.

Schließlich ist das Vorhandensein einer Sicherheitssoftware für den PC genauso wichtig, wie der Sicherheitsgurt im Auto. Einzelheiten zu der Funktionsweise von Sicherheitssoftware finden Interessierte beispielsweise in dem Report von NSS Labs.

Infografik: Öffentlich oder privat — Welche Informationen soll ich mit anderen teilen?

Originalartikel von Abigail Picher, Technical Communictions

Jeder scheint heute Teil des einen oder anderen sozialen Netzwerks zu sein. Allein Facebook berichtet von monatlich 955 Millionen aktiven Nutzern und 543, die das soziale Netzwerk mobil nutzen. Die Teilnahme am Online-Geschehen ist zum Muss geworden, und die Teilnehmer werden aufgefordert, jede Einzelheit ihrer Existenz mit anderen zu teilen.

Doch die ständige Nutzung der Netzwerke kann dazu führen, dass die Menschen nicht mehr richtig beurteilen können, was sie online preisgeben sollen und was nicht. Einer Studie von Trend Micro zufolge veröffentlichen 63 Prozent der Nutzer ihren Geburtstag und weitere 61 Prozent geben an, auf welcher Schule sie waren. Auch führen 51 Prozent ihre Familienmitglieder an und 48 Prozent ihre Heimatstädte. Zwar scheinen diese Details für sich genommen harmlos, doch sollten Nutzer wissen, dass sie häufig als Antwort auf Sicherheitsfragen für Online-Konten dienen. Lesen nun Cyberkriminelle diese Daten, so kommen sie damit dem Hacking von Konten einen Schritt näher.

Das Veröffentlichen von zu vielen Informationen kann unangenehme Folgen haben, so etwa den Diebstahl persönlicher Daten. Trend Micro hat herausgefunden, dass einer von drei Nutzern jemand kennt, der bereits Opfer eines Identitätsdiebstahls geworden ist. 13 Prozent der Befragten gab zu, einem Identitätsdiebstahl zum Opfer gefallen zu sein. Diese Zahlen beweisen, dass User ihre Online-Vertraulichkeit sehr sorgfältig hüten müssen. Weitere Informationen zu Risiken bei der Veröffentlichung von eigenen Daten online gibt es in der neuen Infografik  “Public or Private? The Risks of Posting in Social Networks”.

Mobile Apps bedürfen der gleichen Sicherheit wie Browser

Originalartikel von David Sancho, Senior Threat Researcher

Im Grunde genommen sind mobile Anwendungen “Browser in einer Box”. Für diese Behauptung spricht einiges: Öffnet der Anwender eine App, so ist die Wahrscheinlichkeit hoch, dass sie versucht, auf eine bestimmte Webseite zuzugreifen und die Ergebnisse in irgendeiner Art und Weise darstellt. Nicht nur Anwendungen wie Amazon oder eBay verhalten sich wie Browser (die solche Anfragen auf ihre eigenen Server einschränken), sondern auch Apps wie Flipboard, das „Soziale Nachrichtenmagazin“ für iPad und iPhone, greifen im Prinzip lediglich auf Facebook und Twitter zu, um die Ergebnisse auf eine sehr hübsche Weise darzustellen.

Macht dies Apps angreifbarer für Verhaltensweisen, die reguläre Browser von den Nutzern erwarten? Führt beispielsweise eine App eingeschränkte Anfragen an eine einzelne Site aus, so könnte doch ein Angreifer dieses Verhalten für die Kompromittierung der App oder Site missbrauchen.

Mithilfe einer Testumgebung, die den an- und ausgehenden Verkehr von mobilen Anwendungen – sowohl Android als auch iPhone/iPad – überwachte, wollte der Autor herausfinden, ob Apps tatsächlich wie Browser abzusichern sind. Die Suche nach ausnutzbaren Mechanismen oder Lücken war erfolgreich. Unter anderem gibt es ein Spiel, das immer wieder Kennwörter vergibt und ändert, um den Spielern den Zugang zu neuen Ressourcen zu öffnen. Diese Kennwörter aber werden als unverschlüsseltes http angefordert und gesendet. Einen Angriff auf die involvierten Server zu fingieren war ein Kinderspiel! Die klare Schlussfolgerung: unverschlüsselte, vorgefertigte http-Übertragungen sind nicht vertrauenswürdig. Auch weitere Probleme mit verschiedenen Anwendungen traten zutage: Eine App, die regelmäßig XML-Dateien mit Links zu Bildern und Audio-Dateien verschickt, tat dies ebenfalls in reinem Text über unverschlüsseltes http.

Die entdeckten Probleme waren jedoch so vielfältig, dass es schwierig wurde, dieses Projekt von jedem anderen Webanwendungs-Penetrationstest abzugrenzen. Das heißt, die Clients sind mobile Anwendungen, doch eigentlich bezogen sich die Nachforschungen auf den unsicheren Webcode eines Entwicklers.

Fazit: Die Anfangsthese stimmt: Alle mobilen Apps sind Webclients und daher genauso so unsicher wie ein Browser – und wie ein Browser müssen sie auch gesichert sein.

 

 

Malvertising für das iPhone

Originalartikel von Rik Ferguson, Director Security Research & Communications EMEA

Betrüger versuchen schon wieder, die Gutgläubigkeit der Nutzer auf Facebook zu versilbern. Diesmal haben sie iPhone-Besitzer im Visier, in deren Facebook-Konto ein „Freund“ ein besonders witziges Bild mit dem User teilen will. Klickt der Ahnungslose auf das Bild, wird er auf eine Webseite umgeleitet und dort darüber informiert, dass er an einer Apple-Verlosung teilnehmen kann. Da nur ein OK-Button verfügbar ist, ist er gezwungen, fortzufahren. Nach der Auswahl des gewünschten Preises (Kindle Touch, iPhone 4S oder iPad 2) soll er dann an einem Quiz teilnehmen. Das dies kostenpflichtig ist, erfährt der User allerdings nur, wenn er ganz unten auf der Seite das Kleingedruckte liest. Einzelheiten zum Ablauf können Interessierte im Original-Blog nachlesen.

Die Aktion zeigt, dass die Kriminellen – wie von Trend Micro vorhergesagt – legitime Dienste missbrauchen, um Geld zu verdienen. Auch ist sie ein erneuter Beweis dafür, dass Cyberkriminelle ihre Geschäfte auch ohne Malware und infizierte Geräte durchführen können und dies auch skrupellos tun. Nutzer sind gut beraten, größte Vorsicht walten zu lassen, bevor sie ein Bild oder verdächtige Nachrichten anklicken.