Zwei-Faktor aber sicher…

In der aktuellen c‘t ist das Schwerpunktthema die „Zwei-Faktor-Autorisierung“. Die gilt aktuell als Königsweg zur Sicherung von Zugängen, aber auch hier lauern Fallstricke.

Zur Auffrischung: „Zwei-Faktor-Autorisierung“ (oder 2FA) erfordert zur Anmeldung neben dem Benutzernamen und dem Kennwort noch einen zusätzlichen, unabhängigen Faktor. Das kann sein eine dann von der Webseite gesendete SMS, eine App, auf der man den Zugang bestätigen muss oder ein Sicherheitsschlüssel.

SMS hat die Schwachstelle, dass jemand mit einer ergaunerten SIM-Karte die SMS abfängt.

Der Artikel der c‘t beschreibt sehr schön, wie man mit gefälschten Webseiten, die sich nur durch ein falsches „i“ unterscheiden, das Opfer dazu bringt, diese falsche Seite zu nutzen

Der Angreifer schreibt dann über einen sogenannten „Reverse Proxy“ so allerlei mit, unter anderem speichert er sich einen „Session Cookie“ ab. Das schicken Webseiten dem Browser und der zeigt das wie eine Eintrittskarte bei jedem neuen Seitenaufruf vor – der User muss sich nicht jedesmal abmelden.

Der Angreifer warten jetzt ab, bis der User nichts mehr tut. Dann kopiert er sich den „Session Cookie“ (die Eintrittskarte) in seinen eigenen Browser, geht zur Webseite, zeigt die Eintrittskarte vor und ist drin – trotz 2FA!

Schutz davor: 1.) niemals auf Links in Mails klicken, immer über gespeicherte Bookmarks oder direkten Aufruf auf die angeblich betroffene Webseite gehen und 2.) nach Benutzung z.B. der Banking-Seite sich abmelden, nicht einfach Fenster schließen oder Browser beenden. Beim Abmelden wird der „Session Cookie“ annuliert (die Eintrittskarte wird entwertet).

Aufmerksam bleiben!

Mal wieder – Malware…

Es ist mal wieder eine Schadsoftware für den Mac aufgetaucht. Die wird im Moment über Telegram vertrieben, kommt in verschiedenen Ausprägungen und immer als Installationsdatei.

Nicht sehr geschickt gemacht:

Nach dem Download kann man die heruntergeladene Datei nicht mit Doppelklick öffnen, das System wirft eine Warnmeldung aus, dass es die heruntergeladene Datei nicht auf Schadsoftware überprüfen konnte. Das liegt an einem fehlenden Zertifikat der Entwickler.

Man muss dann schon den Trick anwenden und die Datei per Rechtsklick und „Öffnen…“ zur Plünderung des Systemes einladen. Und um das dann tun zu können, braucht das Programm noch das Systemkennwort und diverse Freigaben für Ordner. Der Dialog für die Kennwortabfrage sieht etwas „selbstgebastelt“ aus.

Erst, wenn man den Schädling quasi mehrfach den roten Teppich ausgerollt hat, legt er los und liest fröhlich Kennwörter aus dem Schlüsselbund aus.

Was tun?

Wenn Sie alle die oben genannten Dinge getan haben und Sie sich das Programm über Telegram oder andere dubiose Quellen geladen haben – uns eben anrufen.

Ansonsten gilt, was wir immer predigen: Augen auf beim Softwarekauf.

  • Programme nur laden aus bekannten Quellen
  • Misstrauisch sein und bleiben. Wenn etwas zu gut klingt um es zu sein – dann ist das meist auch so.
  • Grade Programme, die vorgeben, bestimmte Softwarepakete aus den Fesseln eines Abos zu befreien sind meist schädlich
  • Wenn sich ein Programm nicht per Doppelklick öffnen läßt – Finger weg
  • Das Systemkennwort bei Installationen brauchen nur wenige Programme, und da sollte man zweimal gucken, bevor man das eingibt.

Wie jedes Jahr: WWDC 2013 am 5.6.2013

Apple hat heute den Termin für die diesjährige Entwicklerkonferenz bekannt gegeben: 05. Juni bis zum 09. Juni. Alle Entwickler können kostenlos online an alles Sessions teilnehmen, und am 5. Juni ist vormittags (in Kalifornien) wieder die Keynote. Was erwarten wir?

  • – macOS 14
  • – iOS 17
  • – neues iPhone 15 (ohne mechanische Knöpfe)
  • – AR/ VR?

In den nächsten Wochen tragen wir mal kurz und bündig zusammen, was das Apple Universum grad so bewegt..

Neues iPhone – wieder etwas einfacher

Grad im Rahmen eines Kundenauftrags (Umzug von einem iPhone auf ein neues iPhone) gemerkt: Mit dem alten Telefon gekoppelte Apple-Watches müssen nicht erst entkoppelt werden. Im Zuge der Datenübernahme fragt das neue Telefon nach, ob die Uhr auch mit auf das neue Telefon umziehen soll – und das macht Sie dann auch reibungslos.

Wichtiger Unterpunkt bei der Übernahme: Eventuell auch der Uhr installierte Mobilfunktarife und auch Karten für ApplePay bleiben erhalten!

Mal wieder: Lieferketten…

Aus gegebenem Anlass: 

Der Begriff „Lieferkette“ klingt ein wenig wie Hohn, da ist nichts mit Ketten. Aktuell ist der Lieferzeitpunkt für diverses Gerät von Apple mal wieder völlig erratisch. Einen einfachen Mac mini? Ja, irgendwann bestimmt. Ein 16“ MacBook Pro mit allem was geht? Kein Problem, 100+ morgen geliefert. Apple Displays? Guter Witz…

Man möge mir den vielleicht durchscheinenden Sarkasmus verzeihen, aber auf diesem Weg eine stellvertretende Entschuldigung für die lange Lieferdauer…