Sicherheitstipp: Drahtlos gegen Keylogger

Security, Trusted Computing

Keylogger sind eine wachsende Bedrohung für die IT-Sicherheit. Ein Keyloger protokolliert alle Eingaben eines Benutzers: E-Mail, Passworte, PINs, TANs, Chatnachrichten und was sonst noch so alles über die Tastatur in den Computer gelangt. Besonders gefährlich sind Hardware-Keylogger. Sie laufen nicht als Programm auf dem Computer, sondern sie stecken unauffällig irgendwo im Verbindungskabel zwischen Tastatur und PC. Dort tun sie ihre Arbeit, bis jemand kommt und mit einem geheimen Kommando die gespeicherten Daten ausliest. Solche Keylogger werden weder von Antivirus- oder Antispywareprogrammen noch von der Trusted-Computing-Technologie erkannt.

Unser Sicherheitstipp:  Benutzen Sie stets drahtlose Tastaturen, dann kann Ihnen keiner einen Keylogger ins Kabel schmuggeln. Mit dem Problem konfrontiert, wird ein Datendieb mit hoher Wahrscheinlichkeit nach einem anderen, leichteren Ziel suchen und von Ihrem System ablassen.

Phishing? Nein, Microsoft.

Phishing, Security, Wahrnehmung

Das liest sich wie ein Phishing-Versuch zur Verbreitung von Schadsoftware, zumal der Text dazu animiert, etwas herunterzuladen und zu installieren:

Ein Microcode-Zuverlässigkeitsupdate ist verfügbar das verbessert die Zuverlässigkeit Systeme, die Intel-Prozessoren verwenden. Dieser Artikel beschreibt, wie dieses Update gedownloadet wird.

(…)

Q:: welche Probleme werden von dem Microcode-Zuverlässigkeitsupdate behoben?

A:: das Microcode-Zuverlässigkeitsupdate behebt die folgenden Probleme:

  • Ein mögliches Intel-Prozessor-marginality
  • Ein potenzieller Quell des unvorhersehbaren Systemverhaltens
  • Ein Fehler „ob 0x7E abbricht“ der bei Start auf einigen Systemen auftreten kann, die ein älteres Pentium 5 CPU ausführen

(…)

Ist aber in Wirklichkeit eine Maschinenübersetzung von Microsoft, über die man stolpert, wenn man den Links zu den Updates folgt. Welcher Text zu lesen ist, hängt übrigens von den Spracheinstellungen des Browsers ab.

Sicherheit im Flugzeug

Risiko, Safety, , ,

Wer sich für Sicherheit beim Fliegen interessiert, der ist bei Patrick Smith gut aufgeehoben. Den hatten wir hier schon einmal zum Thema Sicherheit auf Flughäfen. Als Pilot kann er aber noch mehr erklären, nämlich zum Beispiel:

  • Wie gefährlich die Benutzung von Mobiltelefonen an Bord wirklich ist,
  • Warum Passagierflugzeuge kein Fallschirme für Passagiere mitführen,
  • Was wir aus dem glimpflich ausgegangenen Brand eines Flugzeugs in Japan lernen können, und zwar zum einen als Passagiere, zum anderen als Medienkonsumenten, oder
  • Was es mit »zu kurzen« Landebahnen auf sich hat.

Als gelegentlicher Fluggast wünsche ich mir allerdings etwas mehr Transparenz, was den Sinn einzelner Sicherheitsmaßnahmen betrifft. Vielleicht nicht als Bestandteil der üblichen Einweisung durch das Kabinenpersonal, aber doch so deutlich, dass sich nicht allzu viel Bullshit in den Köpfen verbreitet. Warum muss erst jemand Kolumnen schreiben, damit wir die Dinge erklärt bekommen?

Deutschsprachige Kompetenz zum Thema findet man übrigens in der Usenet-Newsgroup de.rec.luftfahrt, in der sich auch einige Piloten herumtreibeen.

Frage zu 2004 Deutz-Fahr TTV 1145

Phishing, Security,

Aus meiner Inbox:

Ich habbe ihnen die zahlung fuer das traktort fuer 2 wochen gesicht und sie antworten mir garnicht,ich werde meine anwalt ruffen und ihnen zu ebay und das polizei denunzieren weil sie um meinen geld die 4000 euro das ich ihnen in voraus gesicht habbe betrugt.Sie mussen antwort so bald wie moglich oder sie werden das polizei zu ihre tuer habben in ein par tage.
Bitte antworten Sie ASAP.

Wer fällt denn bitte auf so etwas rein?

Sicherheit durch Medienbrüche

Begriffe, Security, , , ,

Ausgerechnet Google greift zu Mitteln des Papierzeitalters und schickt Postkarten.  Diesen Hinweis erhält, wer bei Google Maps eine Geschäftsadresse einträgt:
continuing_will_result_in_sending_a_postcard.png

Was auf den ersten Blick absurd wirkt, ist auf den zweiten weder dumm noch selten. Der Medienbruch ist gegen einige Bedrohungen ein geeigneter Sicherheitsmechanismus. Im vorliegenden Fall funktioniert das (vermutlich — ich habe es weder endgültig durchdacht noch richtig getestet), weil der mögliche Schaden und der mögliche Gewinn des Angreifers gering ist und damit auch der Schutzbedarf. Wer es wirklich will, der kann eine Postsendung an eine Firma gewiss abfangen; Angrifsskizzen sind in den Kommentaren willkommen. Es lohnt sich aber kaum. Der Angreifer gewinnt nichts als ein wenig Spaß, und der Schaden durch falsche Suchergebnisse dürfte in der Regel auch nicht allzu hoch sein. In erster Linie geht es also darum, das Zumüllen mit Nonsens-Einträgen zu verhindern, und dafür genügen bereits geringe Kosten pro Eintrag.

Medienbrüche werden aber auch dort eingesetzt, wo es um echtes Geld geht, im Online-Banking. Ob Chipkarte und Kartenleser mit eigener Tastatur, TAN-Generator oder mTAN als Kurznachricht aufs Händi, stets finden wir einen Sicherheitsanker außerhalb des Computers und damit außerhalb des Einflussbereichs vieler Angriffe. Damit ist man nicht automagisch gegen alles geschützt, aber bei richtiger Implementierung muss ein Angreifer zwei Komponenten des Systems angreifern, zwischen denen es nur wenige, kontrollierte Wechselwirkungen gibt.

20 Layers of Security … and One Attack Vector

English, Security, , , , , ,

[Notice for our international readers]

I knew the TSA blog would yield something for me right when they started it. I didn’t expect this to happen so soon, though. Today they proudly present their 20 layers of security. Twenty! The TSA has twice as many layers of security as the average U.S. worker gets paid vacation days. This is impressive. Look at their diagram for a while (slightly larger version here). Impressive, marvelous, rainbow-colored, magnificent, fantastic. 20 Layers of Security … and One Attack Vector weiterlesen

YouTube für Paranoiker

Datenschutz, Fundbüro, ,

»Wenn du öffentliche Videos einstellst, vergewissere dich, dass sie nichts enthalten, was Fremden Aufschluss darüber geben könnte, wer du bist oder wo du wohnst. Gib persönliche Daten wie deine Telefonnummer oder Postanschrift NIEMALS an andere Nutzer weiter. Achte auf Dinge wie Nummernschilder auf Autos oder Außenaufnahmen deines Hauses, die vielleicht im Hintergrund eines Videos zu sehen sind und Fremden dabei helfen können, dich zu finden.«

(http://de.youtube.com/t/safety)

Staatsgeheimnisse

O-Ton, Regierungsviertel, Verschwörung

Die taz liefert wieder Feiertagslektüre zum Themenkreis dieses Blogs. Diesmal geht es um Geheimnisse und ihre Träger:

»Thomas de Maizière ist Chef des Kanzleramts und in Berlin für die Geheimdienste zuständig. Bei ihm laufen alle Informationen zusammen. Er liebt es, wenn die Regierung geräuschlos arbeitet. Wenn keiner quatscht. Über viele Geheimnisse darf er selbst seiner Familie nichts erzählen. Wie geht er damit um? (…)«

Unterschätzte Risiken: Treppen

Unterschätzte Risiken

»In der bayerischen Gemeinde Mömlingen, mit der vor allem der nördliche Odenwalkreis in engen gesellschaftlichen und geschäftlichen Verbindungen steht, ist heute Vormittag ein 37 Jahre alter Mann zu Tode gestürzt. (…) Dem Polizeibericht zufolge war der Mann gegen 8.20 Uhr blutüberströmt am Fuß der Flurtreppe des Mehrfamilienhauses aufgefunden worden, in dem er wohnte. Ein Notarzt konnte nur noch den Tod des Mannes feststellen.«

(Echo Online)

Weg mit den Dreckstools! (Teil 2)

Freundlich zum Nutzer, Nerds, Off Topic, , ,

Marcus Hammerschmitt ist nicht Don Norman, deshalb wird er nicht interviewt, sondern er schreibt selbst. Und was herauskommt, ist gut: Lob der Härte heißt sein Telepolis-Artikel und er liest sich so:

»Die Jungexperten hingegen schnitzen sich ihren Distinktionsgewinn aus der Obskurität. Je abseitiger die gewählten Betriebssystemoptionen sind, desto besser. Linux-Distributionen, die außer ihnen nur der Distributor kennt, oder BSD-Basteleien strikt experimenteller Natur rangieren hoch auf der Beliebtheitsskala. Betriebssystemgefrickel ist ihr A und O. Wenn sie nicht sechzehn sind, dann verhalten sie sich doch auffällig oft so.«

Was er schreibt, ist alles, alles richtig, und wer sich davon provoziert fühlt, der ist wohl auch gemeint.

Phishers now keeping track of state?

English, Phishing, Security, ,

[Notice for our international readers]

Yesterday I received this phishing mail:

To: ****@********
Date: Wed, 19 Mar 2008 10:49:50 +0000
From: Wachovia Connection banking Consumer support <news@wachovia.com>
Subject: Wachovia Connection Web application security

Dear Wachovia Connection Bank Customer:
Due to the emergency situation with our server room and the closing of
the New Orleans Branch of the Federal Reserve, Wachovia Connection
Bank is presently unable to process wire transfers. Therefore we are
asking that customers please refrain from initiating wire transfer
requests through Wachovia Connection until further notice. All wires
initiated before 12:30 PM CDT will be processed; however, there may be significant delays in doing so.

IMPORTANT: All customers must validate personal information.

(...)

and today, a followup message reminding me: Phishers now keeping track of state? weiterlesen

Unterschätzte Risiken: Tippfehler

Unterschätzte Risiken

Wegen eines Tippfehlers für tot gehalten zu werden, ist fast noch schlimmer, als wirklich tot zu sein:

»Laura Todd said an 8-year-old typo is affecting everything from her credit to her tax return. „I don’t think people realize how difficult it is to be dead when you’re not,” she said. She said her problems started when someone in Florida died and her Social Security number was accidentally typed in. Todd said she thought the problem had been straightened out, but when she went to refinance her house in 2002, “SunTrust called and said, ‘Your credit report says you’re dead.’“ She straightened that incident out, but in 2006 the Internal Revenue Service refused to process her return. „The IRS says I’m dead. Everybody says I’m dead,” she said. (…)«

(Woman Says Being Declared Dead Ruins Life, via The Risks Digest)

Vokabular und Bedeutung (2)

Fundbüro, ,

Siemens reißt Dax in die Tiefe. Schwarzer Montag. Ausverkauf bei Bank-Aktien. Negative Vorgaben aus Fernost. Dramatische Entwicklung. Angst vor der schwarzen Karwoche. Neues Jahrestief. Niedergang mit historischen Dimensionen. An den Märkten herrscht Panik. Börse steht unter Schock. Dramatische Zuspitzung der Finanzkrise. Wall Street taumelt. Finanzdebakel.  Weltwirtschaftskrise. Wall Street im Notverkauf. Vokabular und Bedeutung (2) weiterlesen

Unterschätzte Risiken: Steingut-Fliesen (originalverpackt)

Unterschätzte Risiken,

Die LVZ meldet aus Leipzig:

»In der Nacht zum Samstag haben Unbekannte in der Thomasiusstraße ein komplettes Paket Steingut-Fliesen offenbar aus dem Treppenhausfenster geworfen. Wie die Polizei mitteilte, sollte damit ein Mehrfamilienhaus saniert werden. Das schwere Paket durchschlug das Sonnendach eines parkenden BMW und richtete damit einen erheblichen Sachschaden an. Verletzt wurde niemand.«

Sicher Radfahren

Safety, , ,

Im Frühjahr holen auch Warmduscher wie ich ihre Fahrräder wieder aus dem Keller. Zeit für ein paar Sicherheitstipps. Die Initiative Cycleride hat welche, die Sie so vielleicht nicht in Ihrer Tageszeitung finden. Noch viel mehr Material gibt es bei Bernd Sluka. Und allen, die der Englischen Sprache mächtig sind, empfehle ich noch einmal die Site BicycleSafe.com sowie den Artikel Danger in the bike lane.

Wer schon mal über Schikanen, gefährliche Radwege und andere Zumutungen geflucht hat, der kann sein Leid im Netz (mit)teilen, der Radmelder machts möglich. Ausgegraben hat ihn das Cycleride-Blog, das ich hiermit auch gleich noch weiterempfehle. [Note to self: ungefähr 25 Stellen eintragen, die mir spontan einfallen.]