Archiv für das Tag 'datensicherheit'

Apr 26 2013

Profile Image of holgi-w

Mobile Endgeräte im Visier von Hackern

Sensible Daten von Tablets und Smartphones am besten extern sichern

Teutschenthal (pts006/26.04.2013/09:00) – Tablets und Smartphones stehen bei Endanwendern derzeit besonders hoch im Kurs. Die Technik-Branche vermeldet beim Absatz eine Rekordmarke nach der anderen. Zum Weihnachtsgeschäft 2012 fiel die nächste: Namhafte Elektronik-Fachmärkte verbuchten bei den Tablets einen Anstieg der Verkaufszahlen um bis zu 300 Prozent. Und auch die Smartphones standen zum vergangenen Weihnachtsfest wieder ganz oben auf den Wunschlisten der Deutschen.

Die Gründe für den Siegeszug der mobilen Begleiter liegen auf der Hand: Die große Mobilität, die hohe Erreichbarkeit und die mittlerweile umfangreiche Bandbreite an Funktionen, die es sogar mit denen herkömmlicher PCs aufnehmen können, werden von den Anwendern besonders geschätzt. Das gilt auch für den geschäftlichen Bereich. Denn auch in immer mehr Unternehmen gehören Tablets und Smartphones schon zur Grundausstattung der Mitarbeiter – vor allem in gehobenen Positionen. “Diese Beliebtheit der mobilen Endgeräte verführt natürlich auch dazu, auf diesen sensible Informationen über sich selbst, über das eigene Unternehmen oder gar zu Kunden und Geschäftspartnern zu speichern, was allerdings alles andere als empfehlenswert ist”, warnt Manuela Gimbut, Geschäftsführerin der DIGITTRADE GmbH.

Schließlich machen sich zunehmend auch Hacker die Beliebtheit dieser neuen Medien zunutze. Binnen nur eines Jahres brachten sie 30.000 neue Viren und andere Schadsoftware in Umlauf, die gezielt Smartphones und Tablets ins Visier nehmen. Seine mobilen Begleiter vor diesen Gefahren – beispielsweise durch den Einsatz von Antivirensoftware – zu schützen, ist unabdingbar. “Ein 100-prozentiger Schutz, vor allem der eigenen Daten, lässt sich so allerdings nicht realisieren. Daher sollten sich Anwender Gedanken machen, wie sie ihre sensiblen Daten unterwegs auf anderem Wege vor dem Zugriff unbefugter Dritter schützen können”, empfiehlt Manuela Gimbut.

Einige Anwender greifen dabei bereits auf die Cloud zurück. Das Arbeiten mit der Cloud setzt aber eine regelmäßig gute Internet-Verbindung voraus, die nicht immer und überall verfügbar ist. Zudem bedeutet die Nutzung von “Online-Speichern” meist auch, dass die eigenen sensiblen Daten an einen externen Dienstleister, der die Cloud betreibt, transferiert werden müssen. “Wer gerade unterwegs unabhängig von Clouds sowie der damit verbundenen Notwendigkeit einer Internetverbindung mit sensiblen Daten arbeiten und zugleich Herr über seine Daten bleiben will, der sollte auf mobile hardwareverschlüsselte Festplatten zurückgreifen”, so die DIGITTRADE-Geschäftsführerin.

Hierzu steht mit der High Security-Festplatte HS256S einer der weltweit sichersten mobilen Datenträger bereit. Auf dem mit dem renommierten Datenschutzgütesiegel des ULD sowie dem europaweit anerkannten European Privacy Seal (EuroPriSe) ausgezeichneten Datenträger können Tablet- und Smartphone-Nutzer ihre sensiblen Daten dank einer 256-Bit Full-Disk-Hardwareverschlüsselung nach AES im CBC-Modus für unbefugte Dritte unzugänglich aufbewahren. Dabei gewährleistet die weltweit einzigartige Zwei-Faktor-Authentifizierung aus Smartcard und achtstelliger PIN einen hochsicheren Zugriffsschutz. Der kryptografische Schlüssel, mit dem die Daten auf der HS256S verschlüsselt werden, wird dabei außerhalb der Festplatte und über eine PIN geschützt auf der Smartcard gespeichert: Er kann darüber hinaus vom Anwender selbst erstellt, kopiert, verändert und – bei Bedarf – zerstört werden. Damit realisiert die entlang der Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entwickelte, mobile Sicherheitsfestplatte Datenschutz auf höchstem Niveau.

Mit Hilfe von USB-OTG-Adaptern, welche kostengünstig bei Internet-Versandhäusern erhältlich sind, können externe, hardwareverschlüsselte Festplatten wie die HS256S nach einigen Modifizierungen schnell an Smartphones und Tablets angeschlossen werden. Über den Dateimanager sind die mobilen Datentresore dabei ebenso einfach zu handhaben wie normale Festplatten. “Wer sich Gedanken um einen erhöhten Stromverbrauch macht, kann zudem zu einem separaten Netzteil greifen”, gibt Manuela Gimbut einen weiteren Tipp.

Weitere Informationen unter http://www.digittrade.de?refID=88

Quelle: pressetext.com

via Mobile Endgeräte im Visier von Hackern.

Use a Highlighter on this page

Keine Kommentare

Mai 17 2012

Profile Image of holgi-w

[Studie] Sicherheitsmängel bei Online-Speichern

Das Fraunhofer Institut für Sicherheit Informationstechnologie (SIT) hat in einer Studie festgestellt, dass es bei Cloud-Speicherdiensten oft schwere Mängel in Punkto Sicherheit gibt. Keiner der getesteten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung.

Das SIT kommt nach der Auswertung der Studienergebnisse zu folgendem Schluß: Die Sicherheit von Cloud-Speicherdiensten ist oft mangelhaft. Neben technischen Mängeln fanden die Tester auch Schwächen in der Benutzerführung. Das kann dazu führen, dass vertrauliche Daten sich mithilfe von Suchmaschinen finden lassen. „Für manche private Nutzung mag der eine oder andere Dienst ausreichen”, sagt Institutsleiter Michael Waidner. „Bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen wirklich ausreichen.”Getestet wurden neben dem Marktführer Dropbox auch sechs weitere Cloud-Speicherdienste, dazu gehörten CloudMe, CrashPlan, Mozy, TeamDrive, Ubuntu One sowie der Schweizer Anbieter Wuala. Noch nicht getestet wurden die Cloud-Speicherdienste Sky Drive von Microsoft und Google Drive.

Verschlüsselung und Kommunikation
Beim dem Test konzentrierte sich das SIT-Team vor allem auf die Verschlüsselung der Daten sowie auf die Absicherung der Kommunikation. Jeder Anbieter wies Sicherheitsmängel auf, und selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen: So verwenden manche Anbieter bei der Absicherung der Datenübertragung in die Cloud keines der sicheren Standard-Protokolle. Abwertungen gab es auch, wenn Daten unverschlüsselt in die Cloud gewandert sind. Das geschieht beispielsweise bei Dropbox. „Dropbox verschlüsselt die Daten erst, wenn sie in der Cloud sind”, sagt Waidner. „Der Anbieter bekommt die Daten also im Klartext, und der Nutzer muss dann darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben.”

Bei einigen Diensten glaubten die Nutzer fälschlicherweise, dass ihre sensiblen Informationen nur wenigen Personen zugänglich sind, während sie in Wahrheit unbemerkt von jedermann eingesehen werden können. „Für gruppentaugliche Verschlüsselung fehlt es noch an überzeugenden Konzepten, um das Ideal einer sicheren Speicherung von Daten in einer Umgebung, die man als unsicher betrachtet, auch tatsächlich zu erreichen”, so Waidner. Fraunhofer SIT hat die Anbieter vor Veröffentlichung der Studie über die Ergebnisse informiert.

Quelle: futurezone

Siehe auch:
Sicheres Cloud-Computing (1) – Datenberge bei Google und Co.: Gefangen in der Wolke
Sicheres Cloud-Computing (2) – Verschlüsselte Cloud: So lagern Sie Dateien sicher in der Wolke
TrueCrypt: Laufwerke, Partitionen und Wechselmedien verschlüsseln

via [Studie] Sicherheitsmängel bei Online-Speichern.

Use a Highlighter on this page

Keine Kommentare

Mai 16 2012

Profile Image of holgi-w

Umfrage in USA: Nutzer trauen Facebook nicht

Ein Großteil der Facebook-Nutzer klickt laut aktueller Umfrage nie Werbung an und traut dem Sozialen Netzwerk nicht im Umgang mit sensiblen Daten, wie zum Beispiel Zahlungsinformationen. Dennoch ist das Interesse an der Plattform und den Aktien ungebrochen.

Das Soziale Netzwerk zählt derzeit mehr als 900 Millionen Mitglieder. Trotz dieser gewaltigen Nutzerbasis hat der Internetkonzern aber dennoch ein Vertrauensproblem. Denn wie eine Umfrage des US-amerikanischen Fernsehsenders CNBC zeigt, würden mehr als 57 Prozent der Facebook-Nutzer niemals Werbung auf Facebook anklicken, weitere 26 Prozent sagen, dass sie ohnehin nie auf Werbung im Internet klicken. Lediglich vier Prozent gaben an, des öfteren auf Werbung im Internet zu klicken. Das ist insbesondere für Facebook, deren Geschäftsmodell zu großen Teilen auf Werbung basiert, ein Problem. Im ersten Quartal 2012 erwirtschaftete Facebook mehr als 82 Prozent seines Umsatzes (1,06 Milliarden US-Dollar) mit Werbung.

Kein Vertrauen in Credits
Wie die Studie zeigt, haben nur wenige Facebook-Nutzer Vertrauen in die Sicherheit ihrer Daten. 59 Prozent der Nutzer haben nach eigenen Angaben wenig bis gar kein Vertrauen in Facebook. Daher fällt es vielen Nutzern schwer, ihre Zahlungsdaten an den Internetriesen weiterzugeben. Versuche mit sogenannten Facebook Credits waren bereits in der Vergangenheit gescheitert, nun wird nach einem adäquaten Zahlungsmodell gesucht. Das Interesse an der Facebook-Aktie ist dennoch ungebrochen und wird vor allem durch junge, private Anleger gestützt. Die Umfrage wurde zwischen 3. und 7. Mai 2012 mit insgesamt 1004 Personen ab 18 Jahren durchgeführt. Die Schwankungsbreite wurde mit 3,9 Prozent angegeben.

Ungünstiger Zeitpunkt
Die Ergebnisse dieser Studie könnten zu keinem ungünstigeren Zeitpunkt für Facebook kommen. Viele Großanleger zweifeln bereits seit einiger Zeit daran, ob Facebook sein Wachstum, auch in wirtschaftlicher Hinsicht, aufrecht erhalten könne. Dennoch ist die Aktie bereits überzeichnet und soll zu einem deutlich höheren Ausgabepreis verkauft werden, als ursprünglich geplant. Mit einem Gesamtvolumen von 16 Milliarden US-Dollar könnte der für Freitag geplante Börsengang einer der größten der Finanzgeschichte werden.

Quelle: futurezone

Siehe auch:
General Motors will Facebook-Werbung stoppen

via Umfrage in USA: Nutzer trauen Facebook nicht.

Use a Highlighter on this page

Keine Kommentare

Jun 09 2011

Profile Image of holgi-w

Von wegen “sichere” RAID-Systeme: Festplatten-Ausfälle von 2009 auf 2010 verdreifacht

Abgelegt unter PC-Ecke

Von wegen “sichere” RAID-Systeme: Festplatten-Ausfälle von 2009 auf 2010 verdreifacht
Datenretter Attingo warnt: durch Vertrauen auf RAID wird Back-Up vernachlässigt

Wien, Hamburg (pts008/09.06.2011/08:45) – Die als vermeintlich sicher geltende RAID-Technologie kommt nach Branchen-Schätzungen heute in mehr als 95 Prozent der Betriebe mit eigenen Servern zum Einsatz – dies beginnt schon bei KMU ab wenigen Mitarbeitern bis hin zu Konzernen. Mehrere Festplatten werden dabei zu einem Verbund zusammengefasst, wodurch Leistungssteigerungen und erhöhte Sicherheit erzielt werden. RAID-Systeme werden für Datenspeicherung, Datenbanken, Dokumentmanagement und Archivierung als auch für Mail- und Web-Server verwendet. Selbst bei Ausfall von ein oder zwei Festplatten ist der Betrieb immer noch über die verbleibenden Datenträger möglich.

Alarmierende Zahlen
“Viele Unternehmen rechnen nicht damit, dass mehrere Festplatten gleichzeitig ausfallen können und vernachlässigen die unbedingt erforderlichen Datensicherungen”, warnt Nicolas Ehrschwendner, Geschäftsführer des Datenrettungsspezialisten Attingo. Tatsächlich liefert die aktuelle Attingo-Statistik alarmierende Fakten. Demnach hat sich die Anzahl der in den firmeneigenen Labors in Wien, Hamburg und Amsterdam bearbeiteten Datenrettungsfälle bei RAID-Systemen vom Jahr 2009 auf 2010 verdreifacht. Dabei sind immer größere Speicherkapazitäten betroffen. Während die eingelieferten RAID-Systeme im Jahr 2009 durchschnittlich noch rund ein Terabyte aufwiesen, waren es 2010 schon drei Terabyte. Eindrucksvoll ist die Anzahl der Festplatten in defekten RAID-Systemen: Im Vorjahr hatten die spitalsreifen RAIDs durchschnittlich acht Hard Disks, in 30 Prozent der Fälle sogar mehr als zehn.

Je mehr Festplatten, desto …
“Das Argument – mehrere Festplatten fallen nicht gleichzeitig aus – ist pauschal nicht haltbar”, argumentiert Ehrschwendner. Ursachen für gleichzeitige Defekte von mehreren Datenträgern sind vielfältig: “Simple Spannungsspitzen können zum System-Crash führen. Auch Produktionsfehler, Überhitzung oder Stoßeinwirkung beim Transport sind häufige Gründe”, erklärt der Datenretter. Eine weitere Fehlerquelle ist die integrierte Firmware der RAID-Controller. “Wir beobachten einen Anstieg an Ausfällen aufgrund fehlerhafter oder schlecht programmierter Controller-Software”, stellt der Attingo-Chef fest.

Virtualisierung: doppelt gefährlich
Besonders brisant ist der steigende Anteil an virtualisierten Systemen, die verschiedene Dienste wie Mail-, File- oder Datenbank-Server auf derselben Hardware betreiben. Ihre Anzahl im Rahmen der Datenrettungsfälle hat sich von 2009 auf 2010 verdoppelt. “Unternehmen kommen massiv unter Druck, wenn bei System-Ausfällen gleich mehrere Server-Dienste betroffen sind. Es kann die gesamte Belegschaft de facto nicht arbeiten”, betont Nicolas Ehrschwendner.

90% Wiederherstellung
Aber es gibt auch gute Nachrichten aus der Attingo-Statistik: Die Rekonstruktionsrate für verloren geglaubte Daten liegt auch bei RAID-Systemen immerhin deutlich über 90 Prozent. Attingo kann alle aktuellen als auch alten RAID-Controller per eigenentwickelter Software simulieren. Täglich werden in den modernen Reinraumlabors in Wien, Hamburg und Amsterdam komplexe RAID-Systeme aus ganz Europa behandelt. Auch nach missglückten Rebuilds ist eine professionelle Datenrettung möglich. Dies gelingt unabhängig von Anzahl, Typ der Datenträger und Betriebssystem – egal ob VMware, Unix oder Windows.

Notfallpläne im Vorfeld
“Viele Unternehmen glauben, wenn man in teure RAID-Systeme investiert, kann bei der Datensicherung gespart werden. Dies ist ein fataler Irrtum”, resümiert Nicolas Ehrschwendner. “Damit bereits bei der IT-Planung die richtigen Weichen gestellt werden, beraten wir Unternehmen im Vorfeld bei der Erarbeitung von Notfallplänen. Dadurch passieren weniger Fehler und Abläufe sind klar definiert.”

Webtipp:
http://www.attingo.com/at/datenrettu…d-systeme.html
http://www.attingo.com/de/datenrettu…portfolio.html

________________________________________

ZUSATZINFORMATIONEN

Achtung – die größten Fallstricke

NAS: KMU verwenden aus Kostengründen als Server-Ersatz gerne NAS-Systeme, Network Attached Storages. Meistens basieren diese auf RAID-Technologie. Die Datensicherung sollte auch hier nicht vernachlässigt werden.

RAID Online Erweiterung: Gefährlich ist es auch, bei RAID-Systemen Kapazitäten online zu erweitern. Dabei kommt es häufig zu Datenverlust.

Rebuild bei RAID 5 oder RAID 6: Die gefährlichste Operation bei RAID-Systemen ist das sogenannte “Rebuild”. Wenn ein Datenträger ausfällt, muss dieser ausgetauscht werden. Der RAID-Controller kann die Daten einer defekten Festplatte durch Auslesen der noch übrigen neu berechnen. Aber die Wahrscheinlichkeit dass mindestens eine der Platten nur einen kleinen Fehler aufweist, ist überdurchschnittlich hoch. Tritt während eines Rebuilds ein Lesefehler auf, wird der Prozess abgebrochen und das RAID meldet sodann zwei ausgefallene Datenträger. Bei RAID5 ist damit kein Zugriff mehr möglich, bei RAID6 ab der dritten defekten Festplatte.

Experimentieren: Attingo schätzt die Zahl der RAID-Datenrettungsfälle, bei denen “Erste Hilfe” den Schaden noch vergrößert hat, auf über 80 Prozent. Der Grund ist der hohe Druck, unter den die IT-Verantwortlichen bei Ausfall teurer RAID-Systeme geraten. In solchen Situationen werden falsche Festplatten getauscht, im RAID Controller Bios wahllos Kommandos ausgeführt und Support-Anweisungen des Herstellers ausprobiert. Kunde: “Mein RAID ist offline!” Hotline: “Löschen sie einfach das RAID und legen sie es neu an”. Jedoch verschweigt der Support, dass die Daten dann nicht mehr verfügbar sind. Dies berichten Attingo-Kunden immer wieder, wenn sie den rettenden Weg ins Labor antreten.

Kein Schutz bei Fehlern von außen: Weil RAID-Systeme sich gegenüber dem Betriebssystem genauso verhalten wie eine einzelne Festplatte, kann diese nicht gegen von außen verursachte Fehler schützen wie: Hacking-Angriffe, manuelles Löschen, Datenbank-Probleme oder Software-Bugs.
_________________________________

Gängige RAID-Level im Überblick

RAID0: Die Daten werden abwechselnd auf mehreren Festplatten gespeichert. Bei Ausfall nur einer einzelnen Festplatte ist ein Zugriff auf die Daten nicht mehr möglich. Anwendung: als temporäre Speicher etwa im Bereich Videoschnitt. Für längeres Speichern ungeeignet.
RAID1: Die Daten werden auf mehreren Datenträgern gespiegelt gespeichert. Somit “dürfen” alle Platten bis auf eine ausfallen. Anwendung: um Redundanz zu erzielen. Nicht für Kapazitätserweiterung geeignet.
RAID5/6: Die Daten werden auf mehreren Datenträgen abwechselnd gespeichert. Zusätzlich wird bei RAID5 eine Prüfsumme gespeichert, bei RAID6 sind es zwei. Somit kann eine Festplatte oder bei RAID6 auch zwei Festplatten ausfallen, ohne dass es zu Datenverlust kommt. Anwendung: wenn Kapazität, Redundanz und Performance verbessert werden sollen – meist bei Server-Diensten.

Quelle: pressetext.de

 

Von wegen “sichere” RAID-Systeme: Festplatten-Ausfälle von 2009 auf 2010 verdreifacht.

Use a Highlighter on this page

Keine Kommentare

Jan 05 2011

Profile Image of holgi-w

“GSM-Sniffing”: Telefonate mit alten und billigen Handys abhören

Abgelegt unter Handy-Ecke

“GSM-Sniffing”: Telefonate mit alten und billigen Handys abhören

Um die Position eines Netzteilnehmers herauszufinden und seine Gespräche aufzuzeichnen, braucht es nur wenig: die Telefonnummer, etwas freie Software und ein günstiges altes Handy.

Karsten Nohl und Sylvain Munaut demonstrierten auf dem 27. Hackerkongress des Chaos Computer Clubs mit einfachen Mitteln, wie die gesamte Telekommunikation eines Netzteilnehmers, inklusive Gespräche in Handynetze, abgehört werden können. Zudem ist es möglich, weltweit den Ort eines Nutzers zu bestimmen. Normalerweise kosten die entsprechenden Gerätschaften, beispielsweise für den Polizeieinsatz, zwischen 40.000 und 50.000 Euro. Dieser finanzielle Aufwand ist jedoch nicht nötig. Es reicht ein altes Handy. Zudem muss der Angreifer in den Besitz der Telefonnummer kommen. Das dürfte nur in wenigen Fällen eine echte Hürde sein.

Das erworbene Angriffstelefon muss modifiziert werden. Entsprechende Open-Source-Firmware gibt es beim Osmocom-Projekt. Außerdem muss der Nutzer für einen Angriff den Verkehr der entsprechenden Mobilfunkzelle abhören können. Um in die Nähe eines Opfers zu kommen, reicht allerdings eine einfache Abfrage beim Netz, das bereitwillig Auskunft erteilt. Die Privatsphäre eines Nutzers wird hier nicht vom Netzbetreiber geschützt, im Unterschied zu Informationen, die für die Abrechnung beim Kunden des Netzbetreibers wichtig sind.

In insgesamt drei Schritten wird der Nutzer bis auf die Zelle genau geortet. Dazu verwendet der Angreifer stille Kurznachrichten, von denen der Nutzer prinzipbedingt nichts erfährt. Sollte der Netzbetreiber solche Nachrichten blockieren, gibt es noch den Weg mit einer kaputten Kurzmitteilung. Neben der Position erfährt der Angreifer noch die IMSI (International Mobile Subscriber Identity) und TMSI (Temporary Mobile Subscriber Identity) des Nutzers, wichtige Informationen zur effektiven Filterung der Daten einer Mobilfunkzelle.

GSM-Verschlüsselung ist keine Hürde

Das Angriffstelefon muss mit einer neuen Firmware bespielt und der DSP-Code des Handys gepatcht werden, damit die Verschlüsselung ignoriert wird. Das Handy muss mit einem Computer verbunden werden, damit die Daten effizient ausgewertet werden können. Dass die GSM-Verschlüsselung keine Hürde ist, hat Nohl schon mehrfach bewiesen.

Um beide Kommunikationswege abzuhören, vom Angegriffenen zur Zelle (Uplink) und von der Mobilfunkzelle zum Netzteilnehmer (Downlink), muss im Angreifertelefon zudem der Uplink-Filter entfernt werden.

Nohl und Munaut demonstrierten das vor dem Hackerpublikum erfolgreich. Mit nur vier Handys wurde das Gespräch zwischen zwei dieser Geräte abgehört. Sie waren in einem kommerziellen GSM-Netzwerk eingebucht, also nicht im experimentellen GSM-Netzwerk des Kongresses. Herausgekommen sind zwei Dateien mit Audioaufnahmen: eine Uplinkdatei und eine Downlinkdatei mit den Gesprächsinhalten der beiden Teilnehmer. Diese müssen nur noch zusammengeführt werden.

Unsichere Kommunikation in GSM-Netzen

Eine Möglichkeit, der Abhörbarkeit zu entgehen, wäre das Umschalten des Mobiltelefons auf reinen 3G-Betrieb. Das bieten aber die wenigsten Geräte überhaupt an. Häufig gibt es die Option nur bei Modems für das mobile Internet. Nohl sagte zudem, dass viele Handys für Telefonate zurück in den GSM-Betrieb fallen, wenn etwa 3G-Geräte wie das iPhone die verfügbare Bandbreite auslasten.

GSM-Netze sind wie ein nicht vertrauenswürdiges Netzwerk vom Nutzer zu behandeln, ist das Fazit der beiden GSM-Experten.

GSM-Wunschliste an Netzbetreiber

Es gebe aber einige einfache Möglichkeiten für Netzbetreiber, Angriffe zumindest zu erschweren. Laut Nohl sind davon auch schon einige längst vorgesehen. Die Umsetzung lässt jedoch auf sich warten. Ganz oben auf der GSM-Wunschliste ist das konsequente Aktivieren von SMS Home Routing. Die Lösung würde beispielsweise dafür sorgen, dass ein Netzbetreiber dem anderen nur mitteilt, dass eine Kurznachricht nach Belgien geschickt werden soll und sich der verantwortliche Betreiber dann selbst um die Zustellung kümmert.

Des Weiteren sollen 23-Byte-Nachrichten zwischen Geräten nicht unnötig mit vorhersehbaren und immer gleichen (2b) Füllbytes aufgefüllt werden, nur weil eine Nachricht etwa nur 3 Bytes lang ist. Stattdessen soll dieser Bereich mit zufälligen Werten gefüllt werden. Das ist seit zwei Jahren sogar schon vorgesehen. Allerdings wurde das Update noch nicht auf eine Basisstation aufgespielt. Nohl und Munaut witzelten, dass diese einzelne Codezeile wohl noch bei der Qualitätssicherung liegt.

Außerdem sollten Netzbetreiber Schlüssel für die Kommunikation nicht wiederverwenden und immer einen neuen generieren. Einige Netzbetreiber tun das für Kurznachrichten bereits, allerdings wird für Telefonate dann der letzte SMS-Schlüssel verwendet. Der Anwender müsste also zwischen Telefonaten eine Kurzmitteilung verarbeiten, um seine Sicherheit zu erhöhen.

Außerdem wird gefordert, dass TMSIs öfter als nur einmal am Tag gewechselt werden und Frequency Hopping, das bereits unterstützt wird, auch eingesetzt wird. Diese fünf einfachen Schritte würden laut Nohl und Munaut einen Angriff zumindest erschweren. (as)

Quelle: golem

Info:

“27C3″ / Vom 27. Dezember bis zum 30. Dezember 2010 fand der 27. Chaos Communication Congress (27C3) in Berlin statt. Auf dem viertägigen Kongress wurden Fragen zum Thema Computersicherheit und Datenschutz in Workshops und Vorträgen behandelt. Auch Experimente mit einem Mobilfunknetz wurden mit vielen Nutzern ausgeführt.

Besucht doch auch mal unser Board!.

Use a Highlighter on this page

Keine Kommentare

Jan 05 2011

Profile Image of holgi-w

Neue Version der “AusweisApp”

Abgelegt unter PC-Ecke

Neue Version der “AusweisApp”

Eine neue Version der Software für den elektronischen Personalausweis soll schwerwiegende Sicherheitslücken schließen.

Die nachgebesserte AusweisApp stehe unter https://www.ausweisapp.bund.de zum Download bereit, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Montag in Bonn mit. Version 1.0.2 sei zunächst allerdings nur für Windows-Rechner verfügbar. Die Versionen für die Betriebssysteme Linux und Mac OS seien in Planung.

Mit der “eID”-Funktion des neuen Personalausweises sollen Bürger sich im Netz identifizieren können, etwa in Online-Läden. In der dafür nötigen Software war kurz nach der Veröffentlichung eine Sicherheitslücke entdeckt worden: Über das Online-Update der Software konnten Angreifer schädlichen Programmcode auf den Rechner des Opfers schmuggeln. Darauf stoppte das BSI die Verbreitung. Die Firmen OpenLimit und Siemens Solutions and Services hatten die Software entwickelt.

Nutzer, die bereits die AusweisApp auf dem Rechner haben, sollten wegen der Sicherheitslücke nicht die Update-Funktion der Software verwenden, sondern das Programm vollständig deinstallieren und dann die neue Version herunterladen und einrichten. “Nach dem Einspielen der neuen Version kann die Auto-Update-Funktion der AusweisApp wie vorgesehen genutzt werden”, erklärte das BSI.

Quelle: magnus.de

Diesen und weitere interessante Artikel findet ihr unter

Digital-Kingdom.

Use a Highlighter on this page

Keine Kommentare