Sicherheit

[curi0sity] > Sicherheit

Beiträge, die sich mit der Sicherheit im Internet beschäftigen.

Linux Mint hack und glibc-Lücke

22. Februar 2016 2 Kommentare

Linux Mint setzt mehr auf Stabilität als auf Sicherheit, das wird häufig kritisiert.

Linux Mint setzt mehr auf Stabilität als auf Sicherheit, das wird häufig kritisiert.

In den Letzten Tagen war ja mal bei Linux Mint und bei den C Entwicklern ordentlich was los. Zum einen wurde der Server von Linux Mint gehackt, wodurch eine veränderte ISO zum Download bereit stand, und zum anderen gab es eine recht schwerwiegende Lücke in der C Bibliothek glibc.

Im Zuge des Hacks und der Sicherheitslücke in der glibc stellt sich dabei die Frage ob die Distribution Linux Mint, welche mittlerweile die beliebteste ist, wirklich die beste ist.

Linux Mint hack

Am 20.2. wurde der Server von Linux Mint, auf dem die ISO Dateien von Mint 17.3 liegen, gehackt und die ISOs durch mit einer Backdoor versehenen ersetzt. Der Fehler wurde jedoch schnell bemerkt und behoben, sodass schon am selben Tag die richtigen ISOs wieder online waren. Wer von mirror-Servern geladen hat ist eventuell(!) nicht betroffen, da die Spiegelung nicht in Echtzeit geschieht. Trotzdem sollte man überprüfen ob die ISO korrekt ist (s.u.).

Auch das Forum war betroffen, so sollen Nutzer des Linux Mint Forums schnellstmöglich das Passwort ändern, da der Angreifer eine Kopie der Datenbank erbeutet hat. Derzeit (Veröffentlichung des Posts) ist dieses nicht erreichbar, was mit dem Angriff zusammenhängt.

Das Mint-Team hat dabei schnell Blog-posts veröffentlicht und die Nutzer gewarnt und informiert, diese Transparenz sieht man nicht immer und sollte trotz aller Kritik gelobt werden.

ISOs auf Echtheit überprüfen

(mehr …)

Sicherheit, Sicherheitslücken

, ,

Albtraum der Datenschutzrichtlinien

8. Februar 2016 2 Kommentare

Ein Überblick über die schlechtesten Datenschutzrichtlinien.

Niemand weiß so recht was in den Datenschutzrichtlinien verschiedener Dienste drin steht. Hier nun ein Überblick über die Top 5 … von unten.

Wenn man Menschen fragt wie die Datenschutzrichtlinien bei Google oder Facebook sind, so hört man als Antwort meistens etwas wie „schlecht“ oder „die wollen einfach alles Wissen“. Wenn man dann fragt ob sie die Bestimmungen gelesen haben ist ein „nicht direkt“ das höchste der Gefühle, obwohl man das Häkchen „Ich habe die Datenschutzrichtlinien gelesen und akzeptiere sie“ angekreuzt hat.

Doch die relevanten und interessanten Fragen sind: Was steht da wirklich drin? Was dürfen Google, Facebook und Co. wirklich speichern und weitergeben? Warum tun die das eigentlich alle?

Buttom 5 der Datenschutzrichtlinien

Hier nun eine Selektion von beliebten Diensten und deren Datenschutzrichtlinien. Ich habe dabei die bekanntesten und/oder wichtigsten herausgenommen, da über die logischerweise am meisten geredet wird. Platz 1 ist dabei der Dienst mit den schlechtesten Datenschutzrichtlinien und Platz 5 hat dem entsprechen die am wenigsten schlechten Datenschutzrichtlinien in dieser Liste.

Ich habe die allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien gelesen und akzeptiere sie.
Größe Lüge der Menschheit im 21. Jahrhundert.

Die Liste der hier aufgeführten Dienste ist keineswegs erschöpfend und man könnte noch viele weitere Dienste wie Facebook, Twitter, Skype, Snapchat, Provider, … aufführen, doch gibt diese Liste einen recht guten Überblick. (mehr …)

Datenschutz

, , , , ,

Nationaler „Ändere dein Passwort“-Tag

1. Februar 2016 0 Kommentare

Ein sicheres Passwort ist nicht leicht zu knacken.

Vergessene Passwörter sind meist nicht genz so witzig, deswegen sollte man sie sich gut merken. Unsichere Passwörter sind jedoch noch unwitziger 😉

Heute, am 01.02., ist der nationale Ändere-Dein-Passwort-Tag an dem alle Passwörter in Deutschland geändert werden sollen. Der erste Ändere-Dein-Passwort-Tag (Change-Your-Password-Day) wurde von den beiden Blog Gizmodo und Lifehacker ausgerufen.

Passwörter dienen im allgemeinen der Authentifizierung gegenüber Diensten oder Personen und sollten niemals Dritten bekannt sein. Da dies jedoch oftmals der Fall ist, bzw. ein Passwort unsicher ist und somit erraten werden kann, gibt es diesen Tag an dem alle für mehr Sicherheit sorgen sollen. Schon seit langem ist das häufigste Passwort 123456 und wahrlich eines der unsichersten die man sich vorstellen kann.

Beim erstellen/ausdenken eines Passwortes sollte man jedoch einiges bedenken und ein wenig theoretisches Grundverständnis mitbringen was das knacken eines Passwortes angeht. Darum gibt es hier eine kleine Anleitung mit ein paar einfachen Tipps zum Thema Passwort ausdenken.

Sicherheit

, , ,

Stasi reloaded: Google liest widerrechtlich Mails mit

13. Januar 2016 1 Kommentar

Google liest Mails mit um Werbung zu schalten.

Google liest die Mails der GMail-Konten um personalisierte Werbung zu schalten.

Wie aus einer Pressemitteilung des VZVB (Verbraucherzentrale Bundesverband) hervorgeht, liest Google die Mails von GMail-Konten u.A. um personalisierte Werbung zu schalten. Der VZVB mahnte Google wegen zwei Klauseln in den Datenschutzbestimmungen ab.

Google liest Mails ohne Einwilligung

Der VZVB nennt die beiden Klauseln im Zuge der Abmahnung als rechtswidrig und bemängelt vor allem den geringen Einfluss der Nutze an der Datenauswertung. Er habe kein Mitspracherecht und könne nicht verhindern, dass Mails mitgelesen werden.

Es kann nicht sein, dass Google die E-Mails seiner Nutzer ohne spezifische Einwilligung mitliest, um diesen dann maßgeschneiderte Produktinformationen anzuzeigen.
Heiko Dünkel, Referent im Team Rechtsdurchsetzung beim VZVB

Personenbezogene Daten nicht gleich personenbezogene Daten

Im Abschnitt „Von uns weitergegebene Informationen“ unter der Klausel „Mit Ihrer Einwilligung“ wird zwischen zwei Arten von personenbezogenen Daten unterschieden. Nach Google gibt es „sensible“ und anscheinend nicht sensible Daten. Nicht sensible Daten werden ohne gesonderte Einwilligung an Personen, Firmen und Organisationen weitergegeben. Unter welchen Umständen und wer dabei gemeint ist bleibt vollkommen offen.

(mehr …)

Datenschutz

, , , ,

Die Sicherheit von Go (aka golang)

7. Januar 2016 0 Kommentare

Wie sicher ist Go?

Go ist eine sehr schöne Sprache, doch wie sicher ist sie für z.B. Web-Anwendungen?
Hier das Maskottchen von Go, der Gopher.

Go (oder auch golang) ist eine seit 2009 entwickelte und seit 2012 als stabil verfügbare Programmiersprache. Sie ist natürlich open-source und wird von einem kleinen Google Team betreut, wobei sich mehr und mehr eine Community bildet.
Die Sprache selbst ist eine imperative und objektorientierte Sprache, welche das Prinzip der Nebenläufigkeit direkt und unkompliziert zur Verfügung stellt. Sie wurde entwickelt, da Robert Griesemer, Rob Pike und Ken Thompson (die Initiatoren des Projektes) bisher vorhandene Sprachen für die Entwicklung von u.A. Cluster- oder Cloud-Computing Software für ungeeignet erachten. Golang soll dort einiges besser und einfacher machen.

Und jetzt?

Klingt ja erst mal ziemlich nice, dass eine Sprache Nebenläufigkeit einfach so out-of-the-box mitbringt. Auch, dass es eine sehr performante open-source Sprache ist (nicht nur wegen der Nebenläufigkeit), spricht nicht gerade gegen Go.

Doch wie sieht es da bezüglich der Nebenläufigkeit und dem bevorzugten Einsatzgebiet der Web basierten Software eigentlich in Hinsicht auf die IT-Sicherheit aus?

Eine enzige Bekannte Sicherheitslücke

(mehr …)

Sicherheit, Sicherheitslücken

, , , , , ,