Wie und warum Facebook-Accounts gehackt werden

Facebook ist eigentlich überhaupt nicht mein Ding. Erst in diesem Jahr habe ich aus beruflichen Gründen einen Account angelegt, der aber bis auf zwei oder drei anfangs hochgeladene Fotos keinerlei private Informationen über mich und mein Leben enthält.

Ich kenne keinen Yee Man Mok.

Komische Facebook-Beitrittsbestätigung: Aber ich kenne keinen Yee Man Mok.

Wobei es doch schon einmal eine Ausnahme gab: Vor ein paar Jahren habe ich einen Test-Account für einen Artikel angelegt. Den habe ich anschließend mehr oder weniger vergessen. Bis dann vor ein paar Wochen die ersten Bestätigungen für Beitrittsanfragen zu Facebook-Gruppen in meinem E-Mail-Postfach eintrudelten.

Es kommt täglich so viel Spam, dass ich die Meldungen zunächst nicht weiter beachtet und als eh gefälscht eingestuft habe. Aber komisch kam es mir schon vor. Besonders als Bestätigungen für Gruppen in chinesischen Schriftzeichen und dann in kyrillischen Buchstaben eintrudelten. Irgendwann habe ich dann doch nachgeforscht …

Read More …

Fragwürdige Sicherheit: Admin-Zugang für WordPress löschen

Wordpress Admin verbergen

Wenn man nicht aufpasst, bringt es nur wenig mehr an echter Sicherheit, wenn man den Admin-Zugang einfach nur löscht.

Einer der gängigsten WordPress-Tipps ist, den automatisch angelegten Admin-Account zu löschen und stattdessen einen selbst erstellten Account zur Administrierung des Blog-Systems zu verwenden.

Das klingt auf den ersten Blick vernünftig, weil man dabei davon ausgeht, dass ein Angreifer den Login-Namen erraten muss, bevor er etwa per Brute-Force versucht, das dazugehörige Passwort zu knacken. Ein komplizierter Login-Name ist – zumindest in der Theorie – nicht so leicht zu erraten und bietet so einen zusätzlichen Schutz.

Diese Annahme ist jedoch ein Irrtum. In der Realität bringt das Löschen des Admin-Accounts keine echte Sicherheit: Die meisten WordPress-Nutzer legen nämlich einfach einen neuen Account an und verwenden ihn sowohl zum Schreiben neuer Beiträge, als auch zum Verwalten ihres Blogs. Read More …

Forrester-Studie: Jedes vierte Unternehmen zieht Konsequenzen aus dem NSA-Skandal

Seit Beginn der Snowden-Veröffentlichungen wurde vermutet, dass das umfassende Spionageprogramm der NSA keine positiven Auswirkungen auf die amerikanische Internetwirtschaft haben wird. Nun liegen Zahlen vor.

Laut einer von The Register zitierten neuen Forrester-Studie haben 26 Prozent von 1.668 Befragten angegeben, dass sie im vergangenen Jahr ihre Ausgaben für amerikanische Internetdienste aus Sicherheitsgründen eingefroren oder reduziert haben. 34 Prozent von ihnen nannten explizit die Angst vor den US-Spionageprogrammen als Grund für diesen Schritt. Read More …

Pwn2Own 2015: Die Browser im Visier der Hacker

Pwn2Own 2015 - Browser als Hacker-Ziel

Pwn2Own 2015: Allein in Firefox fanden die Hacker drei Sicherheitslücken. Mit Version 36.0.3 wurden sie behoben.

Die Sicherheitskonferenz CanSecWest wurde hier ja schon vor zwei Tagen erwähnt. Auf ihr findet seit 2007 auch der Hacker-Wettbewerb Pwn2Own statt. Das Ziel dieses Wettbewerbs ist es, in möglichst kurzer Zeit Sicherheitslücken in aktuellen Browsern zu finden. Als Belohnung winken größere Geldsummen.

Wikipedia hat eine Aufzählung erfolgreicher Exploits veröffentlicht, die in praktisch allen verbreiteten und beliebten Internet-Programmen wie Firefox, Flash, Java, IE, Safari sowie Chrome gefunden wurden. In diesem Jahr wurden vier Fehler im Internet Explorer, drei in Firefox, zwei in Safari und einer in Chrome entdeckt. Read More …

Die Hintertür zu jedem PC: Das BIOS

BIOS Virus

Nur Updates versprechen einen wirksamen Schutz für das BIOS.

Gerade einmal zwei Minuten dauert es nach Aussage von Corey Kallenberg und Xeno Kovah, das BIOS (Basic Input/Basic Output) eines PCs zu manipulieren und einen Schädling einzupflanzen.

Kallenberg und Kovah sind die maßgeblichen Personen hinter LegBaCore, einem Unternehmen, das sich nach eigener Aussage auf Security-Trainings im BIOS-Umfeld spezialisiert hat. Auf der Sicherheitskonferenz CanSecWest halten die beiden einen Vortrag mit dem Thema „How many million BIOSes would you like to infect?“.

Gegenüber The Register fasste Kovah den Vortrag so zusammen: „Weil praktisch niemand das BIOS aktualisiert, hat fast jedes System mindestens eine Sicherheitslücke, über die es infiziert werden kann.“ Weil viele BIOSe denselben Code verwenden, lassen sie sich mit wenig Aufwand infiltrieren. Mehr als physischen Zugriff zu dem PC benötigen die beiden dafür nicht. Read More …

Der Honigzug ist (wieder) unterwegs

HoneyTrain-Unfall

Das HoneyTrain-Projekt simuliert mithilfe einer Modelleisenbahn eine „echte“ Transportsystem-Steuerung. Hacker sollen sich dort wie zuhause fühlen und dürfen Unfälle verursachen. Bild: Sophos

Sophos hat auf der CeBIT ein sogenanntes „HoneyTrain“-Projekt vorgestellt, das mithilfe einer Modelleisenbahn zeigen soll, wie Hacker in kritische Infrastrukturen eindringen und was sie dort anstellen.

Das Steuerungssystem der Modelleisenbahn enthält nach Informationen von Sophos „echte Industriesteuerungssysteme“, die direkt mit dem Internet verbunden wurden. Potenzielle Angreifer sollen davon ausgehen, dass sie sich in einer echten Transportsystem-Steuerung befinden.

Das System soll sechs Wochen mit dem Internet verbunden bleiben. Anschließend erfolgt eine Auswertung. Interessenten können sich auf der oben verlinkten Projektseite für ein Whitepaper anmelden, das ihnen nach Fertigstellung dann per E-Mail zugesandt werden soll. Read More …

Fünf geforderte Mindeststandards für Cyber-Sicherheit in Unternehmen

Christophe Birkeland und Michael Hartmann von Blue Coat haben „fünf Mindeststandards“ für die Cyber-Sicherheit in Unternehmen verfasst. Die Thesen sind ganz interessant und sicher eine Überlegung wert.

These 1: Höhere Transparenz

Birkeland und Hartmann sind der Meinung, dass Unternehmen dem was innerhalb des Netzwerks geschieht „viel zu wenig Bedeutung beimessen“. Stattdessen sei die Aufmerksamkeit zu sehr nach außen ausgerichtet. Ein Großteil der eingesetzten Sicherheitslösungen würde zwar Informationen über Kommunikationen anzeigen, den dazugehörigen Kontext aber nicht mit einbeziehen. Unternehmen benötigen ihrer Ansicht nach einen „größeren Einblick in den Traffic des ganzen Netzwerks“. Read More …