von Wolfgang Kunckel | Aug 14, 2023 | Allgemein, Meinungen, Sicherheit
Wir sind entweder inzwischen komplett abgestumpft oder es ist uns einfach sch…egal, was mit unseren Daten passiert. Das ist das Bild, was sich mir nach den letzten Ereignissen in Sachen Sicherheit bietet.
Was ist passiert?
Microsofts Sicherheitssupergau ist passiert. Microsoft hatte vor einiger Zeit stolz gemeldet, sie hätten die Angriffsversuche chinesischer Hacker auf ihre Infrastruktur abgewehrt. Die Gruppe „heise security“ hat sich das mal etwas genauer angesehen. Tatsache ist:
Irgend jemand hat Microsoft den elektronischen Hauptschlüssel für fast alles in der Cloud entwendet. Und Hauptschlüssel heißt hier „Hauptschlüssel“, und „fast alles“ heißt fast alles. Zugang zu allen Onlinediensten, Speichern, OneDrive, Teams, Outlook – alles Alles.
Reaktion von Microsoft zu diesem Thema? „Ruhig bleiben, wir haben alles im Griff!“
heise security sieht das etwas anders:
Microsoft hatte sich einen Master-Key klauen lassen, der den Angreifern wochenlang Zugriff auf fast alle Daten all ihrer Cloud-Kunden ermöglichte. Ein gestohlener Master-Key ist eigentlich schon der GAU für einen Cloud-Anbieter. Doch es war noch viel schlimmer: Der Schlüssel hätte gar nicht funktionieren dürfen; Microsofts Schloss war also auch noch kaputt. Das kommt einer Bankrotterklärung der hochgelobten Cloud-Security gleich.
Quelle: Jürgen Schmitt, heise Security.
(mehr …)
von Wolfgang Kunckel | Jul 13, 2023 | Sicherheit
Ein kleiner Hinweis zu unserem Artikel FIDO2 und Passkeys…: Die Sourcecode-Verwaltung GitHub (www.github.com) erlaubt jetzt auch die Nutzung von Passkeys zum Einloggen!
von Wolfgang Kunckel | Mrz 9, 2023 | Allgemein, iOS, Sicherheit
„Bitte lassen Sie Ihr iPhone nicht unbeaufsichtigt…“. Ständige Durchsage am Flughafen, gilt aber tatsächlich auch für das iPhone. In den letzten Tagen gab es etwas Aufregung um die Sicherheit beim iPhone.
Es gibt tatsächlich eine Design-Schwachstelle, die es erlaubt, das Kennwort zur Apple-ID zu ändern, ohne das alte Kennwort zu kennen.
Szenario:
Notwendig dazu: Die Kenntnis der Geräte-PIN und Zugriff auf das Gerät. Der Ablauf ist dann wie folgt:
- Das Opfer wird beim Entsperren des iPhones beobachtet oder heimlich ein Video gemacht.
- Das Telefon wird dem Opfer entwendet
- Der Böse meldet sich sofort an, ruft die iCloud-Einstellungen auf und muss dazu die PIN eingeben. Dann kann er das Kennwort für iCloud durch ein neues ersetzen, ohne das alte Kennwort zu kennen!
- Es erfolgt keine Zwei-Faktor-Abfrage oder die Nutzung eines Sicherheitsschlüssels.
- Anschließend werden alle im Account befindlichen Geräte gesperrt.
- Danach erfolgt die „Ernte“. Der Angreifer startet Banking-Apps und testet die mit der Anmelde-PIN. Klappt das, macht er eine Überweisung. Das Sicherheitsverfahren ist dann meist eine Push-TAN, und die Push-TAN-App ist gesichert mit welcher PIN?
Abhilfe
- Die PIN zum Anmelden am Gerät sollte sich von anderen PINs unterscheiden. Da der Angreifer ja keine Identifizierung mit FaceID oder TouchID machen kann, muss er für Programme, die geschützt sind, immer eine PIN eingeben. Dann ist es schlecht, wenn diese PINs z.B. für die Banking-App oder das intelligente Türschloß zu Haus genau so sind wie die Anmelde-PIN. Also: ändern. Man kann ja gern für diverse Apps eine PIN haben, für die Anmeldung sollte sie 6-stellig und einzigartig sein, also nirgends anders auf dem iPhone genutzt.
- Gehen Sie in die Einstellungen, dort „Bildschirmzeit“. Setzen Sie dort einen Code, der sich vom Anmeldecode unterscheidet.
- Tippen Sie auf „Beschränkungen“, schieben Sie den Hauptschalter auf ein. Sie müssen jetzt die neue PIN eingeben.
- Scrollen Sie nach unten bis auf „Codeänderungen“ und „Account-Änderungen“. Schalten Sie beide auf nicht erlauben.
Das wars. Immer, wenn Sie jetzt Einstellungen an der AppleID oder am Code machen wollen, ist das ausgegraut. Sie müssen dann in die Bildschirmzeit, Beschränkungen ausschalten, PIN eingeben, Ihre gewünschten Änderungen machen, wieder in die Bildschirmzeit, Beschränkungen einschalten, PIN eingeben.
NACHTRAG: Der Punkt in den Einstellungen „Sicherheit & Face ID“ ist mit eingeschalteten Beschränkungen nicht sichtbar! (Der Angreifer kann also nicht, wie irgendwo kolportiert, schnell eine „Alternatives Erscheinungsbild“ anlegen und dann mit FaceID sich anmelden.)
von Wolfgang Kunckel | Aug 11, 2022 | Meinungen, Digitales
Bei meiner Bank bestelle ich eine Kreditkarte, im Laufe des Vorganges stellt sich heraus, dass mein hinterlegter Personalausweis abgelaufen ist. Kein Problem, man kann sich per Videolegitimation legitimieren. Beim Aufruf des Links werden zwei Verfahren angeboten, einmal „normale“ Videolegitimation und einmal über den ePerso. Für erstes braucht man einen vernünftigen Hintergrund und sollte einigermaßen präsentabel sein, für letzteres braucht man nur die PIN des Ausweises.
Ich lade die dazu benötigte App herunter, suche die damals vergeben PIN heraus – dank Passwortverwaltungsprogramm auch einfach gemacht – und halte den Personalausweis bereit.
Beim Start des Authentifizierungsprogrammes wird eine TAN angezeigt, die auf der Webseite einzugeben ist und die wohl in den weiteren Prozess „eingebacken“ wird, um die Identifikation der Verbindung sicherzustellen. Dann wird die PIN des Ausweises abgefragt und es kommt die Aufforderung, den Ausweis direkt an das Telefon zu halten. „Der Leseprozess wird gestartet“, danach muss man Vorder- und Rückseite des Ausweises fotografieren.
Es wird etwas gerechnet und nachgedacht, und dann kommt eine Ziffernfolge, die auf der wartenden Webseite einzugeben ist.
Dauer: 2 Minuten.
Die Frage, die ich mir nur stelle: In den Jahren, in denen ich den neuen Ausweis schon habe und in denen ich diverse Male mit Ämtern und Behörden zu tun hatte und mich mühevoll legitimieren musste – warum ist das jetzt das erste Mal, dass es so schick und einfach geht? Ist das der Digitalisierungsstau, von dem immer alle reden?
von Wolfgang Kunckel | Mai 29, 2022 | Meinungen
In der Regel kündigt Apple ja auf der Entwicklerkonferenz im Juni regelmäßig neue Versionen. der diversen Betriebssysteme an. Und wenn Apple so weiter macht wie bisher, also das System immer mehr abschottet, keine fremden Bestandteile mehr erlaubt, also alles, um es sicherer aber auch unbequemer zu machen: Da hätte ich dann einen Namensvorschlag. Die letzten Namen waren ja immer kalifornische Landmarken, Orte und Gebiete, deswegen mein nicht ganz ernst gemeinter Vorschlag:
„macOS Alcatraz“
