Sicherheit – IT@UDE https://blogs.uni-due.de/zim ZIM - Wissen schafft IT Sat, 29 Dec 2012 18:35:38 +0000 de hourly 1 https://wordpress.org/?v=6.7 RFID/NFC-Blocker https://blogs.uni-due.de/zim/2012/06/12/rfidnfc-blocker/ https://blogs.uni-due.de/zim/2012/06/12/rfidnfc-blocker/#respond Tue, 12 Jun 2012 15:26:50 +0000 https://blogs.uni-due.de/zim/?p=1447 Weiterlesen ]]> Die Speicherung personenbezogener Daten auf Plastikkarten ist nichts Neues. Ab den 1970er Jahren gab es die ersten Kreditkarten mit Formprägungen zur mechanischen Übernahme von Kreditkartennummern auf Papierzettel – einige erinnern sich vielleicht noch an das obligatorische „ritsch-ratsch“-Geräusch bei Bezahlvorgängen mit frühen Kreditkarten. Später zogen elektromagnetische und kontaktbasierte Techniken nach. Mittlerweile ist die digitale Datenspeicherung auf Chips Standard, und es gibt hauptsächlich zwei Varianten der Datenübertragung: die kontaktgebundene und die kontaktlose. Letztere ist auch als „Radio frequency identification“ (RFID) oder „Near field communication“ (NFC) bekannt und ist u.a. durch die ISO-Normen 14443, 18000, 18092, 21481 beschrieben.

Technisch gesehen handelt es sich bei RFID-Karten zum Teil um rein passive Systeme auf denen nur Daten gespeichert werden können. Möglich sind aber auch aktive Systeme also keine reinen Speicher-Chips sondern Embedded Computer, die kontaktlos vom RFID-Lesegerät per Induktionsschleife mit Strom versorgt werden. Ein kleiner Computer auf einer RFID-Karte kann aktiv Hashwerte aus einem geheimen Schlüssel berechnen, und so moderne kryptografische Verfahren unterstützen. Passive Systeme sind trotz Verschlüsselung schon gehackt worden (link Heise myfare- hack http://www.heise.de/security/meldung/Schwaechen-des-RFID-Systems-Mifare-Classic-bestaetigt-191623.html ).

Beim Auslesen eines RFID-Modules wird Energie mittels eines Hochfrequenzfeldes auf den Chip übertragen. Der Chip erzeugt zum Antworten aber nicht etwa ein eigenes Feld sondern schwächt das Feld des Lesegerätes moduliert ab. Diese Abschwächung kann vom Lesegerät, aber auch von einem, mit einem eigenen Empfänger ausgestatteten, potentiellen Angreifer in der Nähe detektiert werden.

Bei Near Field Communication handelt es sich um eine Erweiterung dieser Technologie um die klassische Aufteilung Lesegerät und mehr oder weniger passive Chipkarte aufzubrechen. NFC-fähige Geräte wie z.B. das Samsung Nexus S, das Nexus Galaxy oder auch das neue Samsung S3 Mobiltelefon (und vermutlich auch das zukünftige iPhone 5) können Lese- und Senderolle einnehmen. Die Verschlüsselungsmöglichkeiten und die beschränkte Reichweite lassen zahlreiche Anwendungen für das mobile Bezahlen zu. Die Reichweite von NFC ist auf ca. vier Zentimeter begrenzt um sicheres Payment zu ermöglichen. Neuerdings werden auch Kreditkarten mit NFC-Chips ausgestattet (http://www.heise.de/newsticker/meldung/NFC-Kreditkarten-bereiten-den-Boden-fuer-Handy-Zahlsysteme-1586330.html). NFC ist zu RFID abwärtskompatibel, so das auch alle RFID-Karten per NFC ausgelesen werden können.

Die Vorteile von RFID sind in der Warenwirtschaft und Logistik unbestreitbar, ebenso würden auch die Autoren nur ungerne auf Komfortmerkmale wie z.B. kontaktlose Schließanlagen oder Plastikgeld an einer Kasse verzichten wollen.

Bei allen Vorteilen dieser Technik, ist leider anzumerken, dass der im Gegensatz zu mechanisch oder rein visuell basierten Datenübertragungsverfahren von einem selbst kontrollierten „Sendevorgang“, z.B. durch das freiwillige Vorzeigen einer Karte zum laser-basierten Einscannen, bei der Nutzung von RFID verändert wird in einen dauerhaften latenten „Sendevorgang“, der jederzeit durch ein Lesegerät getriggert werden kann.

RFID-Karten lassen sich aus kurzer Entfernung prinzipiell auch mit üblichen (NFC-fähigen) Smartphones auslesen. Zu solchen Karten gehört übrigens auch der neue Personalausweis (nPA/ePerso).

Ein Material, welches effektiv gegen einen ungewollten Zugriff „von außen“ hilft, ist Aluminium. Da man seinen neuen Personal- oder Dienstausweis oder eine Geldkarte nun nicht unbedingt regelmäßig wie eine Tafel Schokolade ein- und auspacken möchte, gibt es Hersteller, die praktische Schutzhüllen für RFID-basierte Karten anbieten. Wir haben eine solche RFID-Schutzhülle aus Cryptalloy® einmal getestet.

Und so sieht eine solche RFID-Schutzhülle aus:

Zunächst wurden ein Personalausweis und ein Dienstausweis ohne RFID-Schutzhülle mit Hilfe zweier Android-Apps gescannt:

Man sieht: gewisse Daten kommen an. So sollte es sein – zumindest wenn man selbst eine solche Karte benutzen möchte, z.B. weil man Zugang benötigt oder einen Kaffee in der Kantine bezahlen möchte.

Und wenn man danach eine solche Karte wieder in die Hülle zurück steckt…

…sieht man nichts mehr. Hervorragend – das ist „Safer NFC“ wie es sein sollte.

Koautor dieses Artikels ist Andreas Bischoff.

]]>
https://blogs.uni-due.de/zim/2012/06/12/rfidnfc-blocker/feed/ 0
BSI-Lagebericht zur IT-Sicherheit 2011 https://blogs.uni-due.de/zim/2011/06/22/bsi-lagebericht-zur-it-sicherheit-2011/ https://blogs.uni-due.de/zim/2011/06/22/bsi-lagebericht-zur-it-sicherheit-2011/#respond Wed, 22 Jun 2011 15:42:32 +0000 https://blogs.uni-due.de/zim/?p=442 Weiterlesen ]]> Das BSI ist das Bundesamt für Sicherheit in der Informationstechnik (www.bsi.bund.de). Alle zwei Jahre gibt das Amt einen Lagebericht zur IT-Sicherheit heraus. Der Bericht 2011 ist nun erschienen und steht als PDF-Brochüre unter https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html zur Verfügung. Die ersten 6 von 11 Kapitel berühren Dinge, die jeder normale PC-Anwender heute wahrnimmt. Und ich war verblüfft, wie verständlich die einzelnen Themen behandelt und die Zusammenhänge dargestellt werden. Also auch für den Laien ist das Papier eine empfehlenswerte Lektüre. Die 6 Kapitel sind überschrieben mit

  • Sicherheitslücken
  • Drive-by-Exploits
  • Botnetze
  • Spam
  • Identitätsdiebstahl und -missbrauch
  • Schadprogramme

Es wird erklärt wie diese Phänomene zusammenhängen und es wird deutlich, dass das Problem der Sicherheitslücken in Betriebssystemen und Anwendungsprogrammen als das Initialproblem angesehen werden muss, und dass die anderen fünf Aspekte als Folgeerscheinungen zu betrachten sind.

Kapitel 7 behandelt den Computerwurm Stuxnet der 2010 entdeckt und seinen Höhepunkt hatte. Er wurde zwar auch über die üblichen Mechanismen verteilt, doch sein endgültiges Ziel waren spezielle technische Systeme zur Prozesssteuerung in Industrieanlagen. (Man munkelt, dass der Wurm programmiert wurde, um iranische Atomanlagen anzugreifen; siehe z. B. http://www.zeit.de/2011/25/Cyberwar).

In Kapitel 8 mit dem Titel Domain Name Service und Routing wird die Angreifbarkeit der Verbindungs- und Adressierungsinfrastruktur des Internets behandelt und berichtet, wie weit der Sicherheits-Standard DNSSEC mittlerweile verbreitet ist. Seit dem 31.05.2011 ist die Domäne .de dabei. Man sollte aber bedenken, was das bedeutet: Auf der obersten Ebene der Top-Domäne wurde eine Möglichkeit installiert. Das sagt aber noch nichts über die reale Nutzung dieser Möglichkeit aus.

Kapitel 9 analysiert die Gefahren bei der Mobilkommunikation und Kapitel 10 beim Cloud computing.

Kapitel 11 heißt Smart Grid / Smart Meter. Der Begriff „Smart Meter“ wird bei Wikipedia mit intelligenter Zähler übersetzt. Es geht um das Entstehen neuer Informationsnetze im Zusammenhang mit Strom- oder Wasserversorgung. Im Wesentlichen wird berichtet, dass das BSI an der Entwicklung von sicheren Standards beteiligt ist.

Leider wird in dem Bericht weder das Thema „Online-Banking“ noch „Online-Shopping“ gesondert behandelt. Auch das Milieu der „Täter“ wird nicht analysiert. Es gibt nur einzelne Andeutungen, z. B. über Arbeitsteilung oder Geschäftsbeziehungen (Mietbarkeit von Botnetzen). In den aktuellen Nachrichten über Computerkriminalität geht es heute häufig um das Stehlen und Verbreiten von urheberrechtlich geschütztem Material. Auch dieser Aspekt wird nicht angesprochen.

Neben dem Lagebericht gibt es auch noch Quartalsberichte, die nicht den Zweck haben, die aktuelle Sitauation umfassend darzustellen. Stattdessen werden Hintergründe und Einschätzungen zu aktuellen Vorkommnissen gegeben.

]]>
https://blogs.uni-due.de/zim/2011/06/22/bsi-lagebericht-zur-it-sicherheit-2011/feed/ 0
Jetzt in Deutschland: Netzneutralität https://blogs.uni-due.de/zim/2011/06/03/jetzt-in-deutschland-netzneutralitat/ https://blogs.uni-due.de/zim/2011/06/03/jetzt-in-deutschland-netzneutralitat/#comments Fri, 03 Jun 2011 12:18:43 +0000 https://blogs.uni-due.de/zim/?p=365 Weiterlesen ]]> Das Thema Netzneutralität scheint jetzt auch Deutschland zu beschäftigen, wieder. Unter der Überschrift „Youtube ist bei der Telekom langsam“ (Blog1, Blog2) ist dieses Thema seit Mai 2011 wieder top-aktuell. Neutralität steht für „ausgewogen, unparteiisch“ und unter Netzneutralität ist die Gleichberechtigung bzw. neutrale Übertragung von Daten, gleich welcher Herkunft und welchen Inhaltes, zu verstehen.

Die Telekom bekennt sich dabei offen zur „Netzneutralität„. Darunter versteht sie, dass der Datenverkehr bei unterschiedlicher Qualität unterschiedlich bepreist werden könnte. Offenheit und Freiheit sind die Gründe, warum der Datenverkehr im Internet priorisiert werden müsste. Doch, bleiben da nicht gerade Freiheit und Offenheit auf der digitalen Stecke? Ist „Netzneutralität“ noch gegeben, wenn Firmen mit Eigeninteresse, den Begriff für sich interpretieren?

Zum aktuellen Fall sagt die Telekom, dass die Nachfrage nach Youtube-Videos explodiert und daher die Kapazitäten verdreifacht werden (Blog3, Blog4). Aber kann Bandbreite ein Argument sein? Es wird interessant sein zu sehen, ob in Zukunft nur die Kunden, oder auch die Dienstanbieter an den Kosten beteiligt werden.

Während die Diskussion tobt gratuliert sich Youtube zum 6. Geburtstag selbst mit folgenden Zahlen. Pro Minute werden 48 Stunden Videos eingestellt und pro Tag 3 Milliarden abgerufen. Als Randbemerkung: Interessant ist, dass die Telekom selbst einen Kanal auf Youtube unterhält.

Das Thema Netzneutralität kam in den USA auf und wird beschäftigte schnell auch Deutschland. Bei heise.de und golem.de gibt es hierzu Themenseiten und der Bundestag bildete eine Projektgruppe.

Eine interessante These zu Offenheit und selektiver Präsentation von Information stellt Eli Pariser unter dem Stichwort „The Filter Bubble“ (http://www.thefilterbubble.com/) auf. Wir sehen durch die Anbieter nur dass, was wir selbst sehen wollen.
Also eigentlich eher dass, was die Suchmaschinenbetreiber meinen, was wir sehen wollen. Durch unser digitales Verhalten, welches aufgezeichnet und ausgewertet wird, schränken wir uns somit selbst ein. Um das zu verhindern, gibt es 10 Tipps.

 

]]>
https://blogs.uni-due.de/zim/2011/06/03/jetzt-in-deutschland-netzneutralitat/feed/ 1
Zensus2011 und https – Unterbrechung der Kühlkette https://blogs.uni-due.de/zim/2011/05/13/zensus2011-und-https-%e2%80%93-unterbrechung-der-kuhlkette/ https://blogs.uni-due.de/zim/2011/05/13/zensus2011-und-https-%e2%80%93-unterbrechung-der-kuhlkette/#comments Fri, 13 May 2011 10:05:58 +0000 https://blogs.uni-due.de/zim/?p=334 Weiterlesen ]]> Ähnlich, wie beim Transport von Gefriergut, ist es auch in der EDV, wenn es um Sicherheitsfragen geht. Eine kleine Nachlässigkeit oder Unterlassung in einer einzelnen Komponente macht den Aufwand für Sicherheit an anderer Stelle hinfällig.

Wir haben jetzt den „orangenen Fragebogen“ der Volkszählung zugesandt bekommen. Um die Sachen schnell und schmerzlos hinter uns zu bekommen, haben wir von der Möglichkeit Gebrauch gemacht, den Bogen online auszufüllen. Dabei tritt natürlich die Frage auf, ob man wirklich mit der richtigen Webseite verbunden ist. Dafür gibt es heute eigentlich ein gut funktionierendes und etabliertes Konzept, nämlich https. Ich will die Technik des Verfahrens hier nicht erklären. Da gehen wir mal davon aus, dass das alles durchdacht ist und die Web-Browser dem Nutzer die Details abnehmen. Der Browser meldet dann „Ja, Ok! Die Verbindung ist sicher“ oder „Vorsicht! Die Verbindung ist unsicher“.

Nach dem ich die Anweisungen auf dem Fragebogen befolgt habe, bin ich nach einigen „Klicks“ auf der Seite https://www.zensus2011-gwz.de/idev gelandet und mein Browser sagt mir, dass die Verbindung sicher ist. Das bedeutet zum einen, dass die Datenübertragung verschlüsselt abläuft und zum anderen, dass ich wirklich mit dem Server www.zensus2011-gwz.de verbunden bin. Ob der Server mit dem Namen www.zensus2011-gwz.de aber der offizielle Server für das Ausfüllung der Zensus-Fragebögen ist, geht daraus nicht hervor. Ich weiß es auch nicht. Denn in dem zugesandten Fragebogen und in dem Begleitmaterial wird diese Web-Adresse nicht genannt. Stattdessen wird der Servername www.zensus2011.de genannt. Dahin kann man aber nur eine http-Verbindung aufbauen. Wenn ich diese Site aufrufe, kann ich also nicht sicher sein, das ich wirklich mit dem Server www.zensus2011.de verbunden bin. Was nutzen mir dann die Sicherheitshinweise auf dieser Seite? Und wenn diese unsichere Seite einen neuen Servernamen in die Welt setzt, ist es eigentlich Augenwischerei, dass man eine sichere Verbindung dorthin aufbaut.

]]>
https://blogs.uni-due.de/zim/2011/05/13/zensus2011-und-https-%e2%80%93-unterbrechung-der-kuhlkette/feed/ 1
Bezahlen und Betrügen im Internet. https://blogs.uni-due.de/zim/2011/05/09/bezahlen-und-betrugen-im-internet/ https://blogs.uni-due.de/zim/2011/05/09/bezahlen-und-betrugen-im-internet/#respond Mon, 09 May 2011 20:57:20 +0000 https://blogs.uni-due.de/zim/?p=287 Weiterlesen ]]> Der Zeit-Journalist Thomas Fischermann wollte herausbekommen, was mit gestohlenen Kreditkartendaten im Internet weiter passiert. Er hat sich in die Szene begeben und versucht, solche Daten zu kaufen. Das ist ihm zuletzt nicht gelungen, doch war er überrascht wie offen diese kriminelle Halbwelt ist. Sein Bericht „Hinterhof des Cyberspace“ ist in der aktuellen Zeit-Ausgabe vom 5.5.2011 und bei Zeit-Online unter http://www.zeit.de/2011/19/Datenklau zu lesen. Den aktuellen Datenklau bei Sony im Kopf, war mein erster Gedanke beim Lesen des Artikels: „Müssen die ganzen Online-Dienste, denn überhaupt meine Personen- und Kontodaten haben? Kann meine Bank das denn nicht organisieren, dass ich im Internet sicher und anonym bezahlen kann? Nach weiterem Lesen war ich aber entsetzt über mich selbst. Mir wurde klar, dass gut funktionierende anonyme Bezahlmechanismen genau das sind, was die digitale Halbwelt braucht (und zum Teil auch hat).

Was bietet mir meine Bank denn in Bezug auf sicheres Einkaufen im Internet an? Vor gut einem Jahr habe ich einen Flyer bekommen, der das Verfahren 3-D Secure für sicheres Bezahlen mit der Kreditkarte im Internet beschreibt. Wie war das noch? Was hatte ich damals an den Online-Support meiner Bank gemailt?

Wenn man sich für 3d-secure registrieren will, erscheint der Hinweis, dass man die Web-Site der Bank verlasse und „Die Deutsche Bank Gruppe übernimmt keinerlei Haftung für die Richtigkeit, Vollständigkeit und Aktualität dieser Informationen.“ Alle Beschreibungen über 3d-secure, die ich gelesen habe, sagen, dass man sein Passwort über eine Seite der eigene Bank vereinbart und immer dort verifiziert. Sie haben mir einen Flyer geschickt. Sie hätten dort darüber aufklären müssen, dass die Bank das Verfahren durch eine externe Firma durchführen lässt, und Sie hätten mir die URL der „Verified by Visa“-Site bekannt geben müssen. Ich hätte auch erwartet, dass für die Freischaltung ein Kunden-Login bei der Deutschen Bank erforderlich ist. Jeder der mein Geburtsdatum kennt, meine Kartennummer und meine Kontonummer hat, könnte auch die Registrierung durchführen.

Der nörgelnde Kunde hat aber eine höfliche Antwort bekommen:

Herzlichen Dank für Ihr Feedback zur 3D Secure-Registrierung. Wir arbeiten kontinuierlich an der Optimierung unseres Serviceangebotes. Dabei sind wir natürlich auch auf Ihre aktive Mithilfe angewiesen. Sehr gerne nehmen wir Ihre Hinweise in unsere Überlegungen auf, um unseren Qualitätsstandard zu überwachen und zu verbessern. Für Ihre Verbesserungsvorschläge bedanken wir uns und würden uns freuen, Sie bald wieder als zufriedenen Kunden begrüßen zu können.

Das könnte glatt von uns sein. Leider hat sich bis jetzt an dem Dienst und der Darstellung des Dienstes nichts verändert. In der Praxis funktioniert es so. Will man bei einem Online-Anbieter mit einer Visakarte bezahlen und nimmt der Anbieter an dem 3-D-Secure-Verfahren teil, muss man sich trotzdem erstmal mit seinen Kartendaten beim Anbieter registrieren. Bevor der Kauf dann entgültig getätigt wird, wird man zu der URL einer Verified-by-Visa-Seite (deren Name nicht genannt werden darf) umgelenkt. Dort authentifiziert man sich mit seinem Passwort, das man bei der 3-D-Secure Registrierung gesetzt hat. Dann wird man wieder zurück zum Shop gelenkt und Verified by Visa bestätigt dem Shop die Korrektheit der Daten. Ziel des Ganzen ist es, den schwarzen Peter der Haftung weiterzureichen, falls die Kreditkarte missbraucht wird. Nimmt der Dienstleister nicht an dem Verfahren Teil, d.h. nutzt er nicht das angebotene Verfahren zur Kontenverifizierung, ist er der Dumme. Wird aber das Verfahren verwendet und die Karte trotzdem missbraucht, hat der Bankkunde das Problem den Missbrauch nachzuweisen.

Auf jeden Fall verhindert das 3-D-Secure-Verfahren nicht, dass Kunden- und Kontodaten bei Dienstleistern gespeichert werden und gestohlen werden können, und es verhindert auch nicht, dass ein Fremder mit erbeuteten Daten die Identität einer anderen Person annehmen kann und deren Bankkonto belasten kann.

]]>
https://blogs.uni-due.de/zim/2011/05/09/bezahlen-und-betrugen-im-internet/feed/ 0
iPad – aber sicher! https://blogs.uni-due.de/zim/2011/05/03/ipad-aber-sicher/ Tue, 03 May 2011 07:25:06 +0000 https://blogs.uni-due.de/zim/?p=275 Weiterlesen ]]> Mobile Geräte wie Smartphones und iPads sind einfach zu bedienen und oft ständig im Zugriff. Da kann es natürlich lästig sein, das Gerät mit Codes und Sperren zu versehen. Ein solcher Schutz ist jedoch sinnvoll, gerade da das mobile Gerät mobil ist. Wie sieht es also aus mit der Sicherheit im Bereich Zugriffsschutz und Sicherheit der Daten? Das iOS bietet für iPad und iPhone mehrere Stellen, einen Schutz zu aktivieren.

Eine Übersicht:

  • Zugriffsschutz beim Einschalten
    Um das Gerät direkt beim Einschalten vor unerwünschtem Zugriff zu schützen, kann die Code-Sperre (Einstellungen -> Code-Sperre) aktiviert werden. Wird der Schalter „Einfacher Code“ deaktiviert, sind auch mehr als 4 Zahlen als Zugriffsschutz möglich. Diese Einstellung verhindert auch das Backup der Daten auf einem fremden PC oder Mac.
  • Automatische Sperre aktivieren
    Der Zugriffsschutz ist nur dann aktiv, wenn das Gerät nicht eingeschaltet ist. Daher sollte die automatische Sperre nach, z. B. 15 Minuten, gewählt werden, damit das Gerät nicht versehentlich immer eingeschaltet bleibt.
  • Backups verschlüsseln
    Wird das iPad/iPhone mit iTunes verbunden und synchronisiert, wird ein Backup erstellt. Dieses kann bei angeschlossenem Gerät in iTunes auch verschlüsselt werden. Der Punkt befindet sich direkt unter „Übersicht->Optionen“.
  • Einschränkungen
    Unter diesem, auch mit einem Code gesperrten Punkt können Sie die Nutzung von einigen Programmen, z. B. Safari oder Facetime, unterbinden. Hier ist es auch möglich, Punkte wie Installation oder Löschen von Apps auszuschalten sowie die In-App-Käufe zu unterbinden. Dies kann auch zum eigenen Vorteil sein.
  • Gesucht – Gefunden
    Mit dem Programm „Mein iPad/iPhone suchen“ Über diese Programm ist es möglich, das iPhone/iPad zu orten, Meldungen darauf einzublenden, mit einem Code zu versehen oder es „Fernzulöschen“. Dieser Dienst ist mittlerweile kostenfrei, eine Registrierung bei Mobile Me ist jedoch erforderlich. Einen Haken hat dieses Verfahren, wer Zugriff auf das Gerät hat, kann den Punkt wieder ausschalten.

Ob dies alles genügt, mag jeder selbst entscheiden. Diskussionen und weitere Hilfe findet sich bei einer Suche nach „iPad und Sicherheit“ im Internet.

Zuletzt noch einige Links:

 

]]>