Apple: Absurde Sicherheitsfragen
Gestern wurde ich zum ersten Mal mit den neuen Sicherheitsfragen von Apple konfrontiert. Statt die gewünschte App installieren zu können, bestand Apple darauf, neue Sicherheitsfragen zu definieren. Erst danach könne ich die App installieren. Ganz neu sind diese Fragen offenbar ja nicht, allerdings wurde ich gestern zum ersten Mal damit konfrontiert.
Allerdings: Bisher wollen mir einfach die Antworten zu den zur Verfügung stehenden Fragen nicht einfallen. Aber eigentlich ja auch kein Wunder – bei den kuriosen Fragen:
Damit wir uns nicht falsch verstehen. Etwas mehr Sicherheit kann nie schaden. Etwas seltsam muten die Fragen, die sich nicht ändern lassen, dann aber doch an. Mein Lieblingslehrer? Der erste Film, den ich im Kino schaute? Oder das erste Gericht, dass ich selber kochte? Ich muss gestehen, das weiss ich nicht mehr.
Keine Ahnung, welcher pubertäre Jüngling da bei Apple diese Fragen kreieren durfte. Eines scheint aber klar: Ich scheine als Apple-Nutzer eindeutig nicht mehr in die Zielgruppe zu fallen.
Bei der SBB geht Sicherheit vor
Die SBB nimmt die Sicherheit ernst. Nicht nur auf der Schiene, sondern auch was den Zugang zur Website angeht. Wer sein vergessenes Passwort anfordert, kriegt darum auch seinen Benutzernamen nicht zu sehen. Sagt die SBB. Vorbildlich, könnte man meinen. Nur: Das Antwort-Mail sagt was anderes:
(via Mail. Danke Christoph!)
Sicherheit in offenen WLANs
Immer wieder erstaunlich, wieviele Nutzer zum Beispiel an Konferenzen wie der Web 2.0 Expo über das offene WLAN Mails abrufen, sich mit Firmenintranets und anderem verbinden. Vielen scheint nicht bewusst zu sein, dass sich die Logindaten ohne grösseren technischen Aufwand mitloggen und nötigenfalls entsprechend missbrauchen lassen.
Dabei lässt sich zum Beispiel mit dem Dienst SwissVPN, den ich seit längerer Zeit nutze, das Sicherheitsproblem mit wenigen Mausklicks umgehen. Mit dem VPN-Dienst werden die Daten mittels Point-to-Point Tunneling Protocol (PPTP) durch einen verschlüsselten Kanal „getunnelt“ und sind somit nicht mehr im unverschlüsselten WLAN mitlesbar. Konkret wird der Weg der Daten zwischen dem eigenen Rechner und dem Rechenzentrum von Monzoon, zu dem auch SwissVPN gehört, verschlüsselt. Von dort nehmen die Daten dann wieder den „normalen“ Web im Internet.
Eigentlich also weder kompliziert in der Einrichtung, noch teuer (SwissVPN kostet 5 US$ pro Monat). Trotzdem wird die Sicherheit in offenen WLANs noch immer vernachlässigt und das selbst von Besuchern einer Messe wie zum Beispiel der Web 2.0 Expo oder der Somesso, die eigentlich für solche Dinge sensibilisiert sein sollten.
Wie es wirklich um das Sicherheitsdenken in Sachen WLAN von Geeks und Freaks steht, werde ich an der kommenden LeWeb’08 in Paris mal etwas genauer testen…
Der Steuerverwaltung fehlt das Geld…
Nicht genug, dass die Eidgenössische Steuerverwaltung ein selbst unterschriebenes SSL-Zertifikat für Ihren Webserver nutzt, seit einem Monat ist dieses sogar noch abgelaufen. Was wohl MELANI dazu sagt?
Ob im Laufe der Wirtschaftskrise auch die Steuereinnahmen so gesunken sind, dass man sich kein neues Zertifikat mehr leisten kann?
Orbit-iEX attackiert Besucher
Seminar-Interessierte Orbit-iEX-Besucher werden attackiert, zumindest bei einem Besuch der dazugehörigen Webseite. So warnt Google derzeit davor, die entsprechende Webseite zu besuchen:
Der Webauftritt der Messe wurde nämlich Opfer einer SQL-Injection Attacke, wie ich auch in meiner wöchentlichen Kolumne bei inside-it.ch berichte. Der eingeschleuste Codefragmente ähneln der Attacke gegen die BAZ vor einigen Wochen.
Eigentlich tragisch, dass der Auftritt einer Messe, die unter anderem auch Sicherheitslösungen präsentiert, so kompromittiert wurde. Vielleicht sollten die Damen und Herren mal ihre eigene Messe besuchen und sich informieren…
Schweizer Webseiten werden gefährlicher
Glaubt man dem aktuellen jährlich erscheinenden Report „Mapping the Mal Web Revisited“ von McAfee, so hat die Gefährlichkeit von Schweizer Webseiten zugenommen. Der Anteil von .ch-Webseiten, die Besucher mit exzessiven Pop-up-Bannern, Adware, Spyware und Malware belästigen, hat innerhalb eines Jahres um ganze 81,1% zugenommen und steht nun bei insgesamt 0.86%. Unsere Nachbarländer Deutschland und Österreich hingegen haben ihr Rating um 42,3% (Deutschland) und 15,3% (Österreich) verbessert. Im Vergleich der europäischen Domains sind wir aber glücklicherweise doch noch etwas entfernt von den (negativen) Spitzenreitern Rumänien, Russland und Ukraine.
Im Gesamtvergleich aller 265 untersuchten Top-Level-Domains schnitt Finnland wie bereits letztes Jahr am besten ab, gefolgt von Japan und Norwegen. Am gefährlichsten sind gemäss McAfee die Domains von Hong Kong und China, die damit den letztjährigen „Spitzenreiter“ Tokelau (.tk) abgelöst haben.
Der Report, für den 9,9 Millionen Webseiten ausgewertet wurden und den es hier zum Download gibt [PDF, 1.5MB], ist allerdings mit Vorsicht zu geniessen, denn er berücksichtigt nur viel besuchte Webseiten, die mit McAfees SiteAdvisor getestet wurden, und das sind natürlich längst nicht alle. Zudem hat SiteAdvisor nicht alles ganz richtig im Griff, wie heise.de meldet:
Mitunter gibt der SiteAdvisor für eine Seite grünes Licht, während sie von anderen Herstellern als riskant eingestuft wird. In einem konkreten Fall gaukelte eine Routenplanerseite den Download einer berechneten Route vor – stattdessen verbog das Problem die Startseite im Browser.
G-Archiver späht Google-Logindaten aus
Schon mal die Mails bei Gmail gesichert? Vielleicht mit dem Programm G-Archiver? Dann wirds jetzt höchste Zeit, das Passwort für das Google-Konto zu ändern. Das kleine Programm hat nämlich nicht nur die Mails gesichert, sondern dem Programmierer auch die Login-Daten eines jeden Nutzers zugemailt:
Nachdem der Passwortklau via Coding Horror bekannt wurde, versucht sich der Entwickler zwar in Schadensbegrenzung und spricht von einem Versehen:
What happened was that a member of our development team had inserted coding used for testing G-Archiver in the debug version and forgot to delete it in the final release version.
Ob damit aber die Negativpresse für das Programm gestoppt werden kann, ist äusserst fraglich, denn inzwischen warnen nicht nur Blogs vor der Software, sondern auch die Virenjäger von Sophos. Matt Cutts wiederum nutzt den aktuellen Fall gleich für eine kleine Übersicht zum Thema Gmail-Backup.
(Screenshot: Coding Horror)
Malware-Banner beim «Blick»
Die Schweizer Tageszeitung «Blick» hat über ihren Online-Auftritt während mindestens einem Tag schädliche Flash-Werbebanner ausgeliefert. Dies berichtet Sandi Hardmeier, Microsoft-„Most Valuable Professional“ und Sicherheitsspezialistin in ihrem Blog „Spyware Sucks„. Der «Blick» befindet sich dabei in guter Gesellschaft, denn das Banner wurde auch via MySpace und Excite verbreitet.
Gemäss Trend Micro wurde über die Werbebanner versucht, Trojanische Pferde wie RBot, SDBot und Spybot auf dem Computer des Nutzers zu installieren. Zudem wollten die schädlichen Werbebanner dem Anwender
eine nutzlose Software namens PerformanceOptimizer unterjubeln, die Fehlalarme über entdeckte Schädlinge produziert und die vermeintlichen Funde erst nach einer Zahlung der Registrierungsgebühr entfernt.
Als Laie im Online-Werbebusiness ist das für mich einigermassen erstaunlich, denn bisher bin ich eigentlich davon ausgegangen, dass Werbeaufträge entsprechend kontrolliert werden. Zumindest muss ein Mitarbeiter von Media-Connect, einer Tochter der PubliGroupe, via deren Domain „ch.p-digital-server.com“ die Werbebanner ausgeliefert wurden, doch zumindest einmal zu Testzwecken auf das Banner geklickt haben.
Ebenso erstaunlich finde ich auch, dass auf blick.ch bisher keine Stellungnahme zum Vorfall zu finden ist. Offenbar hält man es dort nicht für nötig, die Leser über die mögliche Infektion ihres Computers mit einem Trojaner zu informieren und ggf. Tipps zur Entfernung der Malware zu geben.
Bisher haben sich auf meine Anfrage weder der Blick, noch Ringier oder die Publigroupe zum Vorfall geäussert. Sollten noch entsprechende Stellungnahmen eintreffen, werde ich diese selbstverständlich hier im Rahmen eines Updates veröffentlichen.
Weitere Beiträge zum Thema:
– Hintergründe zum Malware-Banner beim «Blick»
– Malware-Banner: Liederliche Checks?
[Update 1] 11:56 Uhr
Die Stellungnahme der Publigroupe kommt direkt vom Mailserver:
Your message
To: BRANDENBERGER Jean-Marc (PubliGroupe SA)
Subject: Medienanfrage: Auslieferung von Malware-Banner via Media Connect
Sent: Tue, 8 Jan 2008 10:34:34 +0100was deleted without being read on Tue, 8 Jan 2008 11:48:57 +0100
OK, das ist auch eine Antwort…
[Update 2] 16:54 Uhr
In der Zwischenzeit ist auch die Antwort von Marco Castellaneta, Konzernsprecher der Ringier AG, eingetroffen. Zur Frage, wie es überhaupt passieren konnte, dass ein solches Werbemittel geschaltet wurde, äussert er sich wie folgt:
Jeder Auftrag wird von Blick.ch im Detail geprüft und sowohl die Firma (kommerziell) als auch die angelieferten Werbemittel (technisch und inhaltlich) einem Check unterzogen. Im vorliegenden Fall wurde der Auftrag speziell geprüft. Auch die Werbemittel werden bei jeder Kampagne vor der Aufschaltung durch uns geprüft, während der Laufzeit werden jeweils Stichproben gemacht. Solche Werbebanner können jedoch durch den Auftraggeber auf seinem Server jederzeit temporär und ohne unser Wissen auf eine andere Zieladresse umgeleitet werden. Solche Aktionen sind leider durch uns nicht abzuwenden.
Insgesamt sei das Banner während fünf Tagen online gewesen und sofort nach Kenntnis der „Umleitung“ abgeschaltet worden. Keine Stellungnahme konnte Castellaneta jedoch zur Frage abgeben, wieviel Mal das Malware-Banner gezeigt bzw. angeklickt wurde.
Als Konsequenz aus dem Vorfall will Ringier neben der bereits vorhandenen Kontrolle auf kommerzieller, technischer und inhaltlicher Ebene auch die Einführung einer Blacklist mit Auftraggebern prüfen,
welche nicht sauber arbeiten, und diese Liste auch mit den Betreibern von anderen Online Plattformen auszutauschen.
(Screenshot: Sandi Hardmeier)
Hijacking: David Airey verliert Domain
Der Brite David Airey hats derzeit wahrlich nicht leicht. Vor kurzem veranstaltete er noch einen Wettbewerb mit coolen Preisen, womit er ziemlich viele neue Links auf seine Seiten generieren konnte. Kurz darauf strafte ihn Google mit einem Pagerank-Penalty ab und „Link-Saubermann“ Matt Cutts bestätigte später auch, dass die Abstrafung u.a. mit dem Wettbewerb zusammenhing.
Doch im Gegensatz zu den neusten Problemen war das wohl alles nur belangloses Geplänkel. Am 19. Dezember 2007 meldete David nämlich in seinem Blog, dass seine Hauptdomain davidairey.com von einem Unbekannten gestohlen bzw. hijacked wurde. Glück im Unglück: Da er seine RSS-Feeds via Feedburner ausliefert, konnte er einen grossen Teil seiner Leser auf die Entführung seiner Domain und seine zweite Domain davidairey.co.uk aufmerksam machen.
Was genau geschehen ist, erklärt David ausführlich in seinem Artikel „WARNING: Google’s GMail security failure leaves my business sabotaged„. Der Täter konnte durch ein Sicherheitsleck in GMail einen Weiterleitungsfilter in Davids Mailaccount installieren, so dass der Domaintransfer ohne Zutun von David durchgeführt werden konnte. Das Leck wurde zwar bereits Ende September 2007 geschlossen, offensichtlich aber hat der Angreifer lange im voraus geplant.
Peyam Irvani, wie sich der Domain-Entführer nennt, meldete sich nicht nur per eMail, sondern senkte die „Lösegeld-Forderung“ von ursprünglich 650 Dollar in einem Kommentar auf 200 Dollar, frech als Weihnachtsgeschenk deklariert. Doch David denkt nicht im Traum daran, dem Täter etwas zu bezahlen:
I don’t care if it costs $0.02. I won’t give my money to a criminal.
Moralisch ist das sicher richtig, doch die Frage, welche nun auch bei David in den Kommentaren diskutiert wird, bleibt: Wäre es, rein vom Aufwand her, nicht einfacher (und günstiger), die Domain via Escrow-Service zurückzukaufen? Sicher, der Täter hätte damit sein Ziel erreicht, ob man aber ohne diese Zahlung innert vernünftiger Zeit wieder an seine Domain kommen würde, ist zumindest fraglich, nicht zuletzt auch deshalb, weil der Täter in den USA sitzt.
Was würdet ihr tun? Bezahlen? Eine „Klage“ bei der WIPO einreichen? Anderswo klagen? Vorschläge?
Eines hat der Vorfall zumindest bei mir bewirkt. Ich hab mir sofort die eingerichteten Weiterleitungen bei GMail angesehen. Nicht, dass auch bei mir noch so ein „geheimer“ Filter installiert ist…
- Mehr zum GMail-Sicherheitsleck
(Site derzeit offline, hier der Google Cache) - Ein anderer, vom GMail-Leck betroffener Blogger
[Update] 01.01.2008
Wie zwei Kommentatoren richtig anmerken, ist David bereits seit dem 27. Dezember 2007 wieder im Besitz seiner Domain. Mehr Infos dazu in seinem Blog: „Collective effort restores David Airey.com„.
Googlebot ist böse
… aber nur, wenn Webseiten fahrlässig programmiert werden. Zum Beispiel dann, wenn ein CMS nur unzureichend User-Berechtigungen prüft.
A user copied and pasted some content from one page to another, including an „edit“ hyperlink to edit the content on the page. Normally, this wouldn’t be an issue, since an outside user would need to enter a name and password. But, the CMS authentication subsystem didn’t take into account the sophisticated hacking techniques of Google’s spider. Whoops.
As it turns out, Google’s spider doesn’t use cookies, which means that it can easily bypass a check for the „isLoggedOn“ cookie to be „false“. It also doesn’t pay attention to Javascript, which would normally prompt and redirect users who are not logged on. It does, however, follow every hyperlink on every page it finds, including those with „Delete Page“ in the title. Whoops.
Ein nicht ganz ernst gemeinter Vorschlag meinerseits: Wieso den Googlebot nicht ganz einfach per robots.txt ausschliessen? 
(via Google Blogoscoped bzw. Digg)