Web-Sicherheit

April 1, 2012

Facebook-Spiel DataDealer simuliert Datenhändler

Filed under: Allgemein — sebastiankuebeck @ 09:07
Tags: , , , ,

Ein kleines Team aus Wien entwickelt unter dem Titel Data Dealer ein Online-Spiel, das sich mit dem Thema persönlicher Daten im digitalen Zeitalter widmet. Der Spieler schlüpft dabei in die Rolle eines Datenhändlers der mit persönlichen Daten sein Unwesen treibt. Ziel des Spiels is es daher, möglichst viele persönliche Daten zu sammeln und zu verwerten.

Es stellt sich jetzt natürlich die Frage, ob dieses Spiel nicht auch Leute dazu ermutigt, Datenhändler zu werden. Die Reaktion meines Unterbewusstseins auf den Film Super Size Me war zum Beispiel, dass ich nach dem Kinobesuch unheimlichen Hunger auf Fastfood hatte. Die abschreckenden Szenen haben mein Unterbewusstsein also viel weniger beeindruckt als die Aussicht auf massenweise Fett und Zucker.

Trotzdem finde ich die Idee mit dem Spiel interessant und ich wünsche den Machern viel Erfolg!

Global Payments verliert Kreditkartendaten von 1,5 Millionen Karteninhabern

Filed under: Allgemein — sebastiankuebeck @ 08:41
Tags: , , , ,

gestern berichtete der Sicherheitsexperte Brian Krebs auf seinem Blog, das die Kreditkartenunternehmen MasterCard und Visa vor einem Sicherheitsvorfall bei einem US-amerikanischen Kreditkartenprozessor warnen. Einige Stunden später bestätigte der Kreditkartenprozessor Global Payments, dass Kreditkartendaten von über 56.000 Karteninhabern zwischen 21. Jänner und 25. Februar dieses Jahres entwendet wurden.

Entdeckt wurde dieser Vorfall aber erst Anfang März. Der Finanzdienstleister Public Service Credit Union (PSCU) berichtet, dass bereits bei 876 Visa- und MasterCard-Konten illegale aktivitäten ausgemacht wurden. Wie es zur Zeit aussieht, scheinen Europäische Karteninhaber nicht betroffen zu sein. Über die Details des Vorfalls hüllen sich sowohl Global Payments als auch die Kreditkartengesellschaften derzeit noch in Schweigen.

Update 2.4.2012

Inzwischen hat Global Payments eingestanden, dass bereits Kartendaten von 1,5 Millionen Karteninhabern entwendet worden sind. Visa hat bereits reagiert: Wie die New York Times und andere berichten, streicht der Kreditkartenkonzern Global Payments von der Liste der vertrauenswürdigen Dienstleister. Forensische Analysen und ausführliches Monitoring hätten nach Unternehmensangaben gezeigt, dass das Problem inzwischen unter Kontrolle sei.

Hintergrund

Ein Kreditkartenprozessor ist ein technischer Dienstleister, der im Auftrag von Kreditkartengesellschaften deren Zahlungsverkehr abwickelt. Er ist also keine Bank. Das Geschäft wird von einigen wenigen globalen Playern beherrscht, zu denen auch First Data und Global Payments gehören. Laut diesem Artikel im Wall Streat Journal verarbeitete allein Global Payments im letzten Jahr Kreditkartentransaktionen in Höhe von 120,6 Milliarden US-Dollar – 11% mehrt als im Jahr davor.

First Data und Global Payments haben in den letzten Jahren im großen Stil Prozessoren in Europa aufgekauft. So ist die deutsche GZS heute ein Teil von First Data Germany und die österreichische APSS nennt sich heute First Data Austria.

Da die Verarbeitung von Kreditkartendaten nun in der Hand einiger weniger Player ist, verarbeiten diese auch einen großen Teil der Kreditkartentransaktionen und schaffen es Hacker, in diese Systeme einzudringen, können sie auf einen Schlag unzählige Kreditkartendaten erbeuten.
Vielleicht noch brisanter ist, dass First Data einer der treibenden Kräfte hinter PCI DSS, dem Sicherheitsstandard der Kreditkartenunternehmen ist. Ein nicht unbeträchtlicher Beitrag zu diesem Standard stammt von Mitarbeitern der First Data. Das hat zur Folge, dass die, die sich dem Standard unterwerfen müssen jene sind, die ihn definieren. Was die eine oder andere vom Standpunkt der Sicherheit her seltsam anmutende Regelung in diesem Standard erklären könnte…

Januar 4, 2012

Studie: Zahlreiche Datenlecks in populären Webseiten

Filed under: Allgemein — sebastiankuebeck @ 08:28
Tags: , , , , ,

Eine Studie der US-amerikanischen Standford-Universität deckte vor einiger Zeit auf, wie Webseitenbetreiber personenbezogene Informationen oft unbeabsichtigt an andere Webseiten weiterleiten.

Balachander Krishnamurthy und seine Autorenkollegen deckten dabei auf, dass die Beteuerungen auf der Webseite, dass Benutzerinformationen nur anonymisiert weitergegeben würden, offensichtlich Wunschdenken sind. Die Webseitenbetreiber verpacken nämlich Informationen wie den Benutzernamen oder des Alter des Benutzers oft direkt in die URL, mit der sie im Hintergrund eine externe Webseite aufrufen. Meist geschieht dieses nicht aus purer Absicht sondern schlicht aus Unachtsamkeit.

In diesem Fall wird sogar die E-Mail-Adresse an den Werbepartner übermittelt…

GET http://ad.doubleclick.net/adj/...
Referer: http://submit.SPORTS.com/...?email=jdoe@email.com
Cookie: id=35c192bcfe0000b1...

Manche Seiten leiten auch Suchanfragen direkt weiter, was für Seiten, die Leute mit gesundheitlichen Problemen aufsuchen, datenschutzrechtlich höchst bedenklich ist.

GET http://pixel.quantserve.com/pixel;r=1423312787...
Referer: http://search.HEALTH.com/search.jsp?q=pancreatic+cancer

In diesem Fall lädt die Webseite lediglich ein Bild von einer anderen, dabei wird aber unbeabsichtigterweise auch die Suchanfrage übergeben. Diese Praxis könnte von der anderen Webseite beispielsweise ausgenutzt werden, um so ermittelte Daten gesundheitlich beeinträchtigter Besucher an Quacksalber zu verkaufen, die das Unglück der Besucher dann schamlos ausnützen können…

Oktober 24, 2011

Facebook patentiert Verfahren zur Überwachung von Benutzern, die nicht bei Facebook angemeldet sind

Filed under: Allgemein — sebastiankuebeck @ 14:50
Tags: , , , , , ,

Das Patent Nummer 2,011,023,240 das am 22 September 2011 vom US-amerikanischen Patentamt USPTO genehmigt wurde, ermöglicht Facebook auch Benutzer zu überwachen, die nicht bei Facebook angemeldet sind.

Kommunizieren von Informationen in einem sozialen Netzwerk über Aktivitäten einer anderen Domain

In einem Abschnitt wird eine Methode zur Verfolgung von Informationen über die Aktivitäten von Benutzern eines sozialen Netzwerks während sich diese auf einer anderen Domäne befinden. Die Methode beinhaltet das erstellen eines Profils für jedes Mitglied eines oder mehrerer sozialen Netzwerke, wobei jedes Profil eine Verbindung zu einem oder mehreren anderen Benutzern identifiziert und Informationen über den Benutzer beinhaltet. Die Methode beinhaltet auch ein Verfahren das Informationen des Benutzers wobei für jedes Profil eine Verbindung zu einem anderem Benutzer Identifiziert wird. Darüber hinaus beinhaltet die Methode das entgegennehmen von Kommunikationsdaten von einer fremden Webseite die sich in einer anderen Domäne befindet, wie das Sozialen Netzwerk, wobei jede Nachricht eine Aktivität des Benutzers das sozialen Netzwerks auf der fremden Webseite beschreibt. Die Methode beinhaltet weiters das Loggen der Aktivitäten des Benutzers auf der fremden Webseite inklusive Details dieser Aktivitäten. Die Methode beinhaltet weiters das Abgleichen der geloggten Aktivitäten mit einem oder mehreren Inserenten, die den Benutzern auf der fremden Webseite präsentiert werden und das Abgleichen der geloggten Aktivitäten mit denen eines Benutzers des sozialen Netzwerks.

Facebook beteuert, dass dieses Patent nicht diesem Zweck dient. Obwohl Facebook Benutzer zu überwachen scheint, die nicht bei Facebook angemeldet sind, genauso wie Benutzer, die gar nicht auf Facebook sind. Letzteres hat Facebook inzwischen bestätigt – mit der Einschränkung, das Facebook diese Daten für ihr Profiling verwende.

Das klingt wohl nicht nur für Bruce Schneier nach Haarspalterei. Dieser behauptet, er bekommt E-Mails von Facebook mit Listen von Freunden, die sich bereits auf Facebook befinden, und das, obwohl er gar nicht auf Facebook ist.

Man kann also der Datenkrake Facebook nicht entkommen, auch wenn man gar nicht auf Facebook ist. Es genügt, dass Freunde oder Bekannte auf Facebook sind und schon schlingen sich Facebooks virtuelle Tentakel unbemerkt um einen…

Ja, auch die Bundesangie ist auf Facebook. Quelle: Desparada News

August 29, 2011

Sicherheitslücken in Computersystemen der deutschen Bundespolizei

Filed under: Allgemein — sebastiankuebeck @ 11:05
Tags: , , , ,

Laut diesem Artikel im Spiegel ist das Computersystem der deutschen Bundespolizei mit sensiblen Daten über verdeckte Ermittler, V-Leute und geheime Operationen offenbar in einem verheerenden Zustand.

Bei einer Revision nach einem Hacker-Angriff im Juli dieses Jahres haben Experten jetzt an dem betroffenen Standort gravierende Mängel festgestellt: Hardware und Programme seien veraltet, Sicherheitssysteme nicht vorhanden oder unzureichend. Nicht einmal das Personal werde den Anforderungen für einen sicheren Betrieb gerecht, heißt es in dem vertraulichen Bericht. So fehlten an Schlüsselpositionen geeignete Mitarbeiter, die Fehler feststellen und beheben könnten. Dazu aber wären sie wegen mangelnder Dokumentation ohnehin kaum in der Lage. Dies führe zu einer „als kritisch zu wertenden Abhängigkeit von einzelnen Personen“.

Zudem sei völlig unklar, wer innerhalb des Systems Regeln aufstellen und verändern dürfe. Damit könne dies praktisch jeder tun; das werde noch nicht einmal ausreichend registriert. Die internen Prüfer weisen in ihrem Bericht auf ein weiteres, gravierendes Risiko hin. Dabei geht es um den Zugang von Fahndern, die bei Observationen und Dienstreisen auch von außen Zugriff auf das System haben müssen. Dazu würden „unsichere Klartext-Protokolle“ benutzt, monieren die Experten. Viele zusätzliche Anwendungen seien zudem veraltet. Nicht ausreichend gesichert sei auch die sensible sogenannte Wechseldatenträgerschleuse – etwa für USB-Sticks oder CDs. Hacker, so das Fazit der Prüfer, könnten nach wie vor in das Polizeinetz eindringen. So sei es nicht nur möglich, an geheime Daten zu gelangen, sondern auch, die Software zu manipulieren und systemrelevante Einstellungen zu verändern.

Schon im Juni ist in einen nicht ausreichend gesicherten Server der Zollbehörde eingebrochen worden. Die Hackergruppe NN-Crew (sprich: No-Name-Crew) konnte sich Zugang zu diesem Server verschaffen und dort GPS-Positionsdaten von verdächtigen Fahrzeugen entwenden und Veröffentlichen.

Nein, dass kommt nicht überraschend und nein, das war nicht der letzte Vorfall dieser Art. Und ja, die anderen Systeme der Bundespolizei sind auch nicht sicherer, genauso wenig wie die der Behörden in Österreich, in der Schweiz oder sonstwo. Natürlich stimmt auch, dass wir immer nur das über Sicherheitsvorfälle erfahren, was sich unter keinen Umständen mehr vertuschen lässt…

August 25, 2011

Sicherheitsmaßnahmen in Googles Rechenzentren

Filed under: Allgemein — sebastiankuebeck @ 05:55
Tags: , , , ,

Nettes Video über die Sicherheitsmaßnahmen von Googles Rechenzentren. Wie der Titel suggeriert, soll dieses Video Firmen beruhigen, die sensible Daten via Google Apps speichern:

Das ganze mag eindrucksvoll aussehen, man sollte sich aber vergegenwärtigen, dass alles, was da gezeigt wird in der Praxis relativ wenig über die tatsächliche Sicherheit der Rechenzentren aussagt. Mich würden beispielsweise folgende Fragen interessieren:

  1. Wie oft und auf welche Weise wird die Sicherheit (physisch und logisch) getestet?
  2. Es ist viel Sicherheitspersonal zu sehen (bei denen es sich hoffentlich um Schauspieler handelt) aber werden die Leute auch regelmäßig geschult und ausreichend bezahlt?
  3. Kann man die Iris-Scanner mit einem Photo überlisten? Wenn ja, sollte man sie lieber wieder abbauen und durch etwas wirksameres ersetzen.
  4. Auf welche Weise bekommen Behörden Zugang zu den Daten, wie das vom Patriot Act gefordert wird? Wenn die sich einfach via Benutzername/Passwort über das Internet einloggen können, ist der ganze Hightech-Hokuspokus für die Katz.

Für die physische Sicherheit gelten übrigens genau dieselben Prinzipien, wie ich sie im ersten Teil meines Buches beschrieben habe. Man muss sich allerdings – genau so wie bei der logischen Sicherheit – intensiv mit physischen Einbruchstechniken befassen, bevor man die Sicherheit halbwegs glaubwürdig beurteilen kann.

August 12, 2011

Welt.de angeblich gehackt

Filed under: Allgemein — sebastiankuebeck @ 12:30
Tags: , , , , , , ,

Laut diesem Artikel gelang es einem Hacker,  der sich selbst Headpuster nennt, die Webseite der Tageszeitung „Die Welt“ zu hacken, indem er eine SQL-Injection-Schwachstelle ausnutzte.

Er [Headpuster] tat dies nach eigenem Bekunden, um gegen den Verkauf von Benutzerdaten der Betreiber an Dritte zu protestieren. Bisher wurden nur zensierte Auszüge aus der Datenbank aller 30.264 Nutzer von Welt.de veröffentlicht. Allerdings sollen alle Daten der Betreiber public gemacht werden.

Nach eigenem Bekunden liegen dem Hacker die Daten aller 30.264 eingetragenen Nutzer der Webseite vor. Headpuster wirft der Axel Springer AG vor, ihre Nutzerdaten an mehrere russische Marketingfirmen veräußert zu haben, darunter auch Mail.ru, den aktuellen Betreibern von ICQ.

Laut Axel Springer Verlag betrifft die Sicherheitslücke ausschließlich den Werbepartner und nicht welt.de selbst. Von Boot24 wird die Lücke derzeit ausgiebig geprüft.

August 11, 2011

LinkedIn ist auch nicht besser als Facebook & Co

Filed under: Allgemein — sebastiankuebeck @ 08:08
Tags: , , , , ,

LinkedIn ist nun das letzte soziale Netzwerk, dass beschlossen hat, neue Profileinstellungen standardmäßig zu aktivieren ohne die Benutzer zu informieren. Diese Profileinstellungen mit dem kryptischen Namen Manage Social Advertising erlaubt LinkedIn Profilinformationen wie Namen, Photos für Werbezwecke an andere Firmen weiterzugeben.

Der Blogger Steve Woodruff war offenbar der erste Benutzer, dem das aufgefallen ist. Das Feature ist standardmäßig aktiviert  muss in den Kontoeinstellungen vom Benutzer deaktiviert werden (Menüpunkt Account->Manage Social Advertising).

Die „Erlaubnis“ für dieses Vorgehen ist tief in LinkedIn’s AGBs vergraben.
Radio Netherlands Worldwide berichtete kürzlich, dass diese neue Profileinstellung gegen das niederländische Datenschutzgesetzt verstoßen würde. Die niederländische Datenschutzbehörde CBP ist der Meinung, dass Photos von Linkedin-Mitgliedern nur in der Werbung verwendet werden kann, wenn die Betroffenen dem ausdrücklich zustimmen. Laut dem Beitrag von Radio Netherlands ist die niederländische Rechtsauffassung im Einklang mit der der Arbeitsgruppe der europäischen Datenschutzbehörden, darüber hinaus hätte es LinkedIn verabsäumt, die Benutzer über diese Änderung ausreichend zu informieren.

Bloggen auf WordPress.com.