#Paypal #Fail – so einfach ist Accountübernahme

Sehr erhellender Bericht des Sicherheitsspezialisten Brian Krebs, dem über die Feiertage der Paypal-Account mehrfach gehackt wurde. Eigentlich unfassbar.

http://krebsonsecurity.com/2015/12/2016-reality-lazy-authentication-still-the-norm/

TL, DR: Man sollte Diensten, die öffentlich zugängliche Daten zur Authentifizierung benutzen, nicht vertrauen. Niemals.

 

Before the Flood

In der vergangenen Woche macht die Nachricht unter anderem auf heise.de die Runde, dass die Mailserver von GMX, web.de und andere Unternehmen der UnitedInternet-Gruppe auf Antispam-Blacklisten gelandet waren. Natürlich kann man jetzt mit den Schultern zucken – ich persönlich möchte keinen Account bei denen haben, und ich habe meine Gründe – aber das führt ja zu nichts. Dieser Anbieter ist so groß, dass man ihn nicht ignorieren kann. Obwohl mir danach wäre, denn mit seriös hat deren Geschäft meiner Meinung nach weniger zu tun.

Trotzdem lohnt ein Blick darauf, was da passiert ist, und zwar aus mehreren Gründen. Da ist zum einen der Aspekt, dass es durchaus den Richtigen getroffen haben könnte. Zum anderen wirft es ein Licht auf Blacklisten. Die war uns in den vergangenen Wochen ja schon einmal begegnet, und ich will nicht so sehr darauf hinaus, wieviel Sorgfalt bei der Pflege dieser Listen verwendet wird sondern wie kritiklos sie eingesetzt werden. Einblicke dazu liefern Beiträge von Nutzern im Heiseforum, die freudestrahlend über ein Vorgehen a la ‚Blacklist von Spamhaus einbinden und ich habe Ruhe‘ berichteten. Sollte man nicht machen, aber dazu weiter unten.

Continue reading

Dooooooomed. Und das Internet scheitert an geklauten Logindaten

Immer wieder spannend zu lesen, welchem Dienst welche Nutzerdaten abhanden kommen. Es trifft ja nicht nur die Kleinen: im vergangenen Jahr wurden um die 150 Millionen Datensätze bei Adobe gestohlen, im Frühjahr entwendete eine Bande aus dem Baltikum die Daten von 18 Millionen Nutzerinnen und Nutzern aus Deutschland, und auch Apple, Groupon, E-Bay oder Amazon blieben nicht verschont. Was man damit anfangen kann schildert Brian Krebs ganz vorzüglich. Ich würde das im Ergebnis mal als ‚digitale Brandrodung‘ umschreiben. Denn das Problem ist nicht, dass der Account eines einzelnen Nutzers oder einer einzelnen Nutzerin geplündert wird. In meinen Augen ist das gesamte System ‚Business im Internet‘ gefährdet, wenn schon wenige gehackte Konten, wenige Details und etwas Engineering ausreichen um Identitäten in großem Ausmaß zu übernehmen.

Der Satz von den Usern, die ‚halt bessere Passwörter‚ benutzen sollen ist dabei eine Nebelkerze epischen Ausmaßes. Die gesamte Sicherheitsarchitektur ist verrottet bis ins Mark – und das ist nichts neues, denn Sicherheit war in den vergangenen 20 Jahren noch nie wirklich im Vordergrund der Anbieter. Man führe sich mal vor Augen, wie lange es gedauert hat, bis Finanzdienstleister Verfahren implementiert haben um das so profitable Geschäft mit dem Onlinebanking wenigstens halbwegs sicher zu machen.

Warum? Weil es Geld kostet. Und jeder Shop, der darauf verzichtet, Kunden- und Zahlungsdaten sicher und geschützt vor Zugriff aufzubewahren handelt genauso nach diesem Prinzip: was Geld kostet, das wird erstmal nicht gemacht. Continue reading

Spaß mit Blacklisten

Im Juni 2014 – und das ist im EDV-Land eine kleine Ewigkeit her – nervte auf einmal der von mir eingesetzte Virenscanner Kaspersky Internet Security wenn ich meine eigene Webseite besuchte. „Diese Webseite ist als attackierend gemeldet“ liest niemand gern. Nun fühle ich mich ja durchaus eher fit im Umgang mit dem Medium, aber weder bin ich deswegen sakrosankt noch halte ich mich für unfehlbar. Das einzige, was ich im Zusammenhang mit den Begriffen ‚EDV‘ und ‚Sicherheit‘ denke ist das Wort ‚paranoid‘. Ich bin das, und ich stehe dazu.

Darum war klar, dass ich diese Meldung nicht als Fehlalarm abtun würde sondern eine kleine Reise durch die Untiefen der Systemsicherheit antreten würde. Im ersten Augenblick stellte ich mir das spannend vor. Was mir aber begegnete war mehr als das – es war erschütternd.

Kleines Fazit: es ist grauenhaft. Weder sind Blacklisten eine verlässliche Quelle, noch arbeiten die Hersteller diverser Antivirusprodukte seriös.

Continue reading