von Wolfgang Kunckel | Apr 11, 2024 | Sicherheit
Wenn es nicht so traurig wäre…
Mein letzter Beitrag über Sicherheitsprobleme bei Microsoft ist grad mal eine Woche her, und da findet sich schon wieder Interessantes im Netz:
Ein bei Azure gehosteter interner Server von Microsoft war für das gesamte Internet sichtbar und durch keinerlei Kennworte gesichert. Was drauf war? „The whole 9 yards“: Kennungen und Passworte von Microsoft Mitarbeitern, Administratoren und mehr. Codeschnipsel, interne Dokumente, Konfigurationsdateien…
Und der wirkliche Skandal: Microsoft wurde am 6. Februar darauf hingewiesen, und dann hat es noch fast einen ganzen Monat gedauert, bis das gefixt war – solange standen die Daten zur gefälligen Selbstbedienung offen herum.
Ein ganzer Monat, 30 Tage! Wie geht sowas? Wenn mich jemand darauf hinweisen würde, dass einer unserer Kundenserver offen im Netz steht – dann wäre aber Alarm unter dem Dach in der IT und spätestens 30 MINUTEN nach Bekanntwerden wäre das Ding aus dem Netz verschwunden. Wie kann eine Firma 30 Tage brauchen, um den Ausschalter zu finden?
Muss das erst als Akte durch alle Abteilungen im Haus laufen? Wissen die nicht, wer welche Server betreut? Sagenhaft.
von Wolfgang Kunckel | Mrz 27, 2024 | Sicherheit
Gerade gestern mal wieder ein längeres Gespräch geführt über den besten Virenschutz, den man sich auf dem Mac installieren sollte. Und das ist immer noch der, den man zwischen den Ohren mit sich rumträgt.
Aktuell gibt es grad eine nervige Welle, die auch das aktuellste und beste Virenschutzprogramm nicht verhindert:
Jemand schafft es, mit ausgespähter AppleID und etwas social engineering die Telefonnummer herauszufinden, die zu dieser AppleID gehört. Damit wird der Versuche einer Kennwort-Rücksetzung gestartet: Eine Meldung taucht auf allen mit der AppleID verbundenen Geräten auf, dass das Passwort geändert werden soll. Dieses Nachfrage IMMER ablehnen, auch wenn sie mehrfach hintereinander kommt. Erlaubt man sie, weil man von der Menge der Nachfragen genervt ist, dann kommt auf alle Geräte eine Einmal-PIN. Bis hierhin ist noch nichts passiert, man kann immer noch abbrechen. Festlich wird es dann, wenn per Telefon jemand versucht, diese PIN abzufragen und sich dazu z.B. als Apple oder als Polizei ausgibt. Auflegen ist hier die beste Medizin.
Man kann sich das ganz einfach merken: der Apple-Support ruft NIE jemanden einfach so an!
Das Ganze gilt natürlich nur dann, wenn Sie nicht grad selbst das Kennwort ändern wollen.
von Wolfgang Kunckel | Jan 24, 2024 | iOS, Allgemein, Sicherheit, TechTip
Apple hat mit iOS 17.3. eine Sicherheits-Schwachstelle beseitigt, die zur kompletten Übernahme der AppleID durch Fremde führen konnte. Da haben wir schon eine Anleitung zur Absicherung geschrieben („Sicherheitshinweis“, hier zu finden.) Im Lichte des Updates haben wir unseren Beitrag überarbeitet und geben Ihnen im folgenden eine step-by-step Anleitung, wie Sie unter iiOS 17.3 das iPhone richtig absichern, ohne dass die einfache Bedienung darunter leidet.
Szenario:
Das Opfer wird beim Entsperren des iPhones beobachtet oder heimlich ein Video gemacht.
Das Telefon wird dem Opfer entwendet. Der Böse meldet sich mit der beobachteten oder gefilmten PIN sofort an, ruft die iCloud-Einstellungen auf und muss dazu die ausspionierte PIN eingeben. Dann kann er das Kennwort für iCloud durch ein neues ersetzen, ohne das alte Kennwort zu kennen!
Es erfolgt keine Zwei-Faktor-Abfrage oder die Nutzung eines Sicherheitsschlüssels.
Anschließend werden alle im Account befindlichen Geräte gesperrt, damit der rechtmäßige User ausgeschlossen wird.
Danach erfolgt die „Ernte“.
Der Angreifer startet Banking-Apps und testet die mit der Anmelde-PIN. Klappt das, macht er eine Überweisung. Das Sicherheitsverfahren ist dann meist eine Push-TAN, und die Push-TAN-App ist gesichert mit welcher PIN? Sicherheitshalber kann er in der Passwort-Datei von iOS nachsehen – die ist auch nur mit der Geräte-PIN gesichert.
Wie schützen Sie sich am besten gegen so einen Fall?
Wir haben unsere bisherige Empfehlung „Sicherheitshinweise“ mit den neuen Features unter iOS 17.3 erweitert und geben einen „Step-by-Step“ Anleitung, wie man sein digitales Leben sicher sichert…
🙄
################### Weiterlesen ###################
von Wolfgang Kunckel | Jan 12, 2024 | Allgemein, Sicherheit, Software
Zum Jahresanfang klappen die üblichen Vorsätze („Mehr Sport“, „Abnehmen“, „nie wieder Alkohol“, „nett und ausgeglichen sein“) sowieso nicht. Da kann man sich gleich auf einen sinnvollen beschränken: Guter Vorsatz in 2024 – Sicherheit auf dem Mac.
Da könnte man jetzt ja den Weg des geringsten Widerstandes nehmen, installiert sich einen Virenschutz und lehnt sich dann entspannt zurück. Kann man machen, ist aber nicht die beste Lösung.
Erstens: Das ist wie mit dem Fahrradhelm: Angeblich sollen Menschen mit Fahrradhelm risikobereiter Fahrrad fahren als solche ohne Helm. Übertragen auf den Virenschutz: Wer einen installiert hat, neigt dazu, das Hirn ein wenig abzuschalten, was solche Bedrohungen angeht: „Ich klick mal auf diesen Anhang, ich hab ja einen Virenschutz!“
Was, zweitens, ein Grober Fehler® ist: Virenschutzprogamme sind immer nur für bekannte Bedrohungen aus der Vergangenheit erfolgreich. Neue Virusvarianten müssen dem Programm erst durch ein Update bekannt gemacht werden, und das kann dauern. Und leider bremsen die meisten Virenschutzprogramme den Rechner stark aus.
(mehr …)
von Wolfgang Kunckel | Dez 27, 2023 | Sicherheit, iOS
In iOS 17.3 baut Apple einen erweiterten Diebstahlschutz ein. Wenn offiziell erschienen werden wir dazu berichten. Man kann (und sollte) sein iPhone aber jetzt schon vernünftig absichern. Wie, das hatten wir schon mal beschrieben, nachzulesen im Artikel „Sicherheitshinweis„.
von Wolfgang Kunckel | Aug 14, 2023 | Allgemein, Meinungen, Sicherheit
Wir sind entweder inzwischen komplett abgestumpft oder es ist uns einfach sch…egal, was mit unseren Daten passiert. Das ist das Bild, was sich mir nach den letzten Ereignissen in Sachen Sicherheit bietet.
Was ist passiert?
Microsofts Sicherheitssupergau ist passiert. Microsoft hatte vor einiger Zeit stolz gemeldet, sie hätten die Angriffsversuche chinesischer Hacker auf ihre Infrastruktur abgewehrt. Die Gruppe „heise security“ hat sich das mal etwas genauer angesehen. Tatsache ist:
Irgend jemand hat Microsoft den elektronischen Hauptschlüssel für fast alles in der Cloud entwendet. Und Hauptschlüssel heißt hier „Hauptschlüssel“, und „fast alles“ heißt fast alles. Zugang zu allen Onlinediensten, Speichern, OneDrive, Teams, Outlook – alles Alles.
Reaktion von Microsoft zu diesem Thema? „Ruhig bleiben, wir haben alles im Griff!“
heise security sieht das etwas anders:
Microsoft hatte sich einen Master-Key klauen lassen, der den Angreifern wochenlang Zugriff auf fast alle Daten all ihrer Cloud-Kunden ermöglichte. Ein gestohlener Master-Key ist eigentlich schon der GAU für einen Cloud-Anbieter. Doch es war noch viel schlimmer: Der Schlüssel hätte gar nicht funktionieren dürfen; Microsofts Schloss war also auch noch kaputt. Das kommt einer Bankrotterklärung der hochgelobten Cloud-Security gleich.
Quelle: Jürgen Schmitt, heise Security.
(mehr …)
