smart-home-kontrolleinheit

Wenn die Heizung Lösegeld fordert

September 27, 2016 Carsten 0

„Smarte“ Haustechnik soll uns künftig eigentlich das Leben erleichtern. Jalousien, Heizung, Licht – das alles kann sich mittlerweile entweder von selbst regulieren oder eben per Knopfdruck vom Smartphone aus. Es ist jedoch nicht alles Gold, was glänzt, haben Andrew Tierny und Ken Munro nun mal wieder eindrucksvoll auf der DEF CON-Hackerkonferenz in Las Vegas bestätigt. Die komplette Story gibt es in meinem heutigen Post.

Haushaltsgeräte von unterwegs aus steuern, das war lange Zeit eine Utopie. Dank „Smart-Home“-Geräten ist die Utopie allerdings mittlerweile zur Realität geworden. Mal eben die Heizung von unterwegs aus ein bis zwei Grad wärmer stellen – gar kein Problem. Den vergessenen Backofen von der Arbeit aus ausschalten – ein Knopfdruck genügt. Es gibt zig Beispiele, die für das smarte Home sprechen, doch spätestens seit der neusten Enthüllung zweier Hacker, gibt es auch umso gewichtigere dagegen.

Die beiden fanden nämlich jüngst in einem Experiment heraus, dass es kinderleicht ist, über technische Schwachstellen der Geräte Schadsoftware einzuschleusen. Die Konsequenz daraus ist klar: Hackern ist es theoretisch möglich unbemerkt auf die zentrale Steuereinheit der „Smart-Homes“ zuzugrifen und damit die gesamte Kontrolle über das Haus zu bekommen. Viele technikaffine User steuern neben der Heizung, den Jalousien und diversen Haushaltsgeräten sogar das Türschloss über dieses System. Das würde bedeuten, dass der Besitzer erst einmal nicht so schnell wieder Zugriff zu seinem Haus erhält. Vorstellbar wäre, dass die Schadsoftware über das System ganz dreist dazu auffordert, Bitcoins zu zahlen, damit der Zugang wieder freigegeben wird.

Einfallstore der so genannten „Ransomware“ sind die SD-Karten-Slots der Geräte. Über diese werden normalerweise Dateien wie Desktop-Wallpaper oder individuelle Einstellungen auf das Gerät übertragen. Die Schwachstelle daran ist, dass die aufgespielten Dateien nicht analysiert werden und Viren somit unbemerkt bleiben. Von dort aus kann der Eindringling sämtliche über das Haus-WLAN verbundene Geräte infizieren und großen Schaden anrichten. Generell kann man gegen Ransomware mittlerweile viel unternehmen. Gerade für Unternehmen gibt es Schutz vor Ransomware mit Advanced Threat Protection, einem sehr ausgeklügelten und professionellem Abwehrprogramm.

Den Forschern ist es wichtig, früh genug über mögliche Folgen der schlecht gesicherten Geräte zu informieren. Ich meine ganz ehrlich – wer möchte schon 10 Bitcoins zahlen, um seine Jalousie morgens wieder auf zu bekommen?…

identitaetsdiebstahl

Der Fall Yahoo: Hacker verschaffen sich Zugriff auf Millionen Nutzerkonten

September 13, 2016 Carsten 0

Es geht um eine stolze Summer: Internetkriminelle sollen angeblich 500 Millionen Nutzerdaten – darunter Passwörter, Sicherheitsabfragen und Telefonnummern – vom Internetgiganten Yahoo entwendet haben. Das brisante daran: Der Vorfall ereignete sich bereits im Jahr 2014. Erst als die Daten im Darkweb angeboten wurden, sickerte der Diebstahl durch.

Ein schwacher Trost für die betroffenen Nutzer: Die Hacker konnten die Passwörter nicht im Klartext erbeuten und auch Kreditkartendaten wurden nicht gestohlen. Dennoch rät der Konzern seinen Kunden schleunigst ihre Passwörter zu ändern, um Schlimmeres auszuschließen. Doch warum ist das Ganze dann so gefährlich? Können die Hacker mit den verschlüsselten Daten etwas anfangen? – Nicht direkt. Zumindest für Yahoo-Konten besteht keine unmittelbare Gefahr mehr, da Yahoo die nötigen Gegenmaßnahmen getroffen hat.

Allerdings kann der Vorfall für diejenigen gefährlich werden, die die gleichen Passwörter bzw. Sicherheitsabfragen bei anderen Internetdiensten verwendet haben. Die Kriminellen könnten sich mit den erbeuteten Daten nämlich theoretisch in die Konten der anderen Anbieter hacken und dort erheblichen Schaden anrichten. Alle Betroffenen sollten Ihre Angaben dort also auf jeden Fall ändern! Generell sollte man niemals die gleichen Passwörter bzw. Antworten auf Sicherheitsfragen bei unterschiedlichen Diensten nutzen, da man es Hackern so leicht macht.

Für Yahoo könnte das Nutzerdaten-Debakel weitreichende Folgen haben: Der US-Konzern Verizon kündigte im Sommer an, Yahoo übernehmen zu wollen. Nach dieser schwerwiegenden Sicherheitspanne könnte der Deal allerdings auf der Kippe stehen. Der Kaufinteressent sah nämlich eigentlich vor, der Marke Yahoo wieder auf die Beine zu helfen und Nutzer zurückzugewinnen und sie nicht gleich wieder durch Sicherheitslecks zu vergraulen.…

messenger

Ende-zu-Ende-Verschlüsselung jetzt auch für Facebook-Messenger

August 22, 2016 Carsten 0

Nun ist es auch bei Facebook so weit: Der aus Menlo Park, Kalifornien stammende Internetriese spendiert seinem hauseigenen Messenger eine Ende-zu-Ende-Verschlüsselung!

Bisher war die Verschlüsselung das größte Differenzierungsmerkmal zwischen dem ebenfalls zu Facebook gehörenden Instant-Messenger „WhatsApp“. Doch warum das Ganze? – Bisher wurden alle über den Messenger verschickten und empfangenen Nachrichten auf Facebook-Servern gespeichert – und zwar im Klartext. Das war schlichtweg nicht mehr zeitgemäß, denn somit konnten Kriminelle, Geheimdienste und Facebook selber die Daten theoretisch auslesen und auswerten. Da die Nutzer im Jahre 2016 aber immer mehr nach Sicherheit streben, musste Facebook mehr oder weniger allmählich nachziehen und das Feature auch für seinen Messenger einführen.

Entstehen dadurch auch Nachteile? Im Großen und Ganzen müssen wir glaub ich nicht darüber diskutieren ob eine verschlüsselte oder nicht verschlüsselte Übertragung besser ist. Allerdings entsteht für den bequemen Nutzer von heute auch tatsächlich ein kleiner Nachteil. Zwar kann der Nutzer selbst entscheiden, ob er einen verschlüsselten Chat wählt oder weiterhin unverschlüsselt kommuniziert, die Chatverläufe werden aber in der verschlüsselten Variante nicht mehr wie bisher auf allen Geräten synchronisiert. Das führt zu einem Verlust von Komfort und spricht vielleicht aufgrund dessen nicht jeden Facebook-Nutzer an. Angeboten wird die verschlüsselte Variante bisher allerdings auch nur für die iOS- und Android-Variante. Im Browser chattet ihr weiterhin ausschließlich unverschlüsselt.

Es sei hinzugefügt, dass Facebook natürlich immer noch ein gewinnorientiertes Unternehmen ist, welches mit Drittanbietern zusammenarbeitet und Daten für Werbezwecke nutzt. Deshalb ist die Funktion auch nicht standardmäßig aktiviert, sondern muss erst vom Nutzer eingeschaltet werden. Das machen erfahrungsgemäß – richtig! –Die Wenigsten.

Mein Tipp: Alternativen gibt es wie Sand am Meer. Wer sich nicht länger an Facebook oder Whatsapp binden möchte, für den kommen evtl. Messenger anderer Anbieter wie zum Beispiel Threema oder Wire in Frage. Sie basieren auf einer komplett anderen Geschäftsidee und sind nicht daran interessiert eure Daten zu sammeln.…