2-Faktor-Authentifizierung per SMS? Problematisch.

Der IT-Sicherheitsreporter Brian Krebs beschwert sich in einem Blogpost über eBays Versuch, ihn dazu zu überreden, sich die Codes für die 2-Faktor-Authentifizierung per SMS zuschicken zu lassen anstatt einen Hardware-Token (einen Schlüsselanhänger, der alle 30 Sekunden einen anderen Code anzeigt) zu verwenden. Er schreibt, zu Recht, dass dies weniger sicher ist als andere Methoden.

Eine kurze Anekdote: Vor einiger Zeit musste ich für ein Familienmitglied eine Tausch-SIM-Karte besorgen. Ich ging dazu mit einem anderen Familienmitglied in einen Shop des Netzbetreibers. Die Mitarbeiterin fragte nach Telefonnummer und Adresse des Vertragspartners – und händigte uns prompt die Tausch-SIM-Karte aus. Sie fragte uns weder nach einem Ausweis, noch nach irgendeinem nicht-öffentlichen Detail wie zum Beispiel dem Kundenkennwort. An die alte SIM kam ein SMS mit einem Hinweis. So einfach könnte man einen Mobilfunkanschluss übernehmen und die Codes per SMS empfangen – wenn auch vom Opfer nicht ganz unbemerkt.

Für mich zeigt das: SMS-Codes und SMS-TANs sind nur so sicher wie das System des Mobilfunknetzbetreibers – und darin scheint Sicherheit eine untergeordnete Rolle zu spielen.

Über den Umgang mit Cookies und wie man die Hinweise auf sie entfernt

Diese Website verwendet Cookies, um die angebotenen Services zu verbessern. Die weitere Nutzung der Website wird als Zustimmung zur Verwendung von Cookies betrachtet.
Einverstanden Mehr erfahren

Diese und ähnliche Meldungen gehen mir beim Surfen immer wieder auf die Nerven. Einerseits kommt man nicht darum herum, Cookies zu akzeptieren, weil viele Seiten sonst nicht funktionieren. Andererseits wird dieser Warnhinweis meist erst angezeigt, nachdem eine Handvoll Cookies gesetzt wurden, was ihn erst recht sinnlos macht.

Wer dazu neigt, gerne den Sinn hinter augenscheinlich sinnlosen Dingen zu suchen, stößt auf eine Richtlinie der Europäischen Union (2009/136/EG, „Cookie-Richtlinie“), die in einigen Ländern in nationales Recht umgesetzt wurde.

Dort steht in der Präambel (Abs. 66)

Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.

und im Text der Richtlinie (Art. 2 Punkt 5)

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

So weit, so gut. Nobles Ziel, mäßige technische Umsetzung.

Die Richtlinie hindert keinen Websitebetreiber daran, Cookies zu setzen. Mit einem älteren Browser in Standardkonfiguration kann es durchaus vorkommen, dass beim Surfen auf einer einzigen Website viele Dutzend oder sogar mehrere hundert Cookies gesetzt werden, die meisten davon von Drittanbietern. Daher ist es sinnvoll, den eigenen Browser zu instruieren, die Cookies nach dem Ende jeder Sitzung zu löschen. Wie das geht und was man sonst noch tun kann, um beim Surfen ein bisschen mehr Privatsphäre zu wahren, habe ich vor einigen Wochen in einem Blogpost beschrieben.

Blöderweise wird meistens auch die Information darüber, dass man den nervigen Cookie-Hinweis schon gesehen und akzeptiert hat, in einem Cookie gespeichert, das natürlich der Löschaktion am Ende der Sitzung zum Opfer fällt. Wer sich aber, so wie ich, an den Warnungen sattgesehen hat, dem sei ein einfaches Plugin für Firefox oder Google Chrome mit dem bezeichnenden Namen I don’t care about cookies empfohlen. Mit dessen Hilfe wird man die Hinweise effizient und datenschutzfreundlich wieder los. Das Plugin lädt dazu eine Filterliste herunter und entfernt die Meldungen aus den angezeigten Seiten.

Das imaginäre Haustier.

Das imaginäre Haustier.

Mama hat einen Doppelnamen, Geburtsstadt und Schule stehen auf Facebook und das Lieblingsgericht ändert sich von Woche zu Woche. Sicherheitsfragen für Onlinedienste sind für’n Arsch.

Leider kann ich mir selten aussuchen, bei der Registrierung für einen Dienst keine dieser Fragen beantworten zu wollen. Selbst dann nicht, wenn ich weiß, dass ich mich im Falle eines Falles nicht mehr an die richtige Antwort erinnern werden kann. Mit diesem Problem bin ich nicht alleine. Eine aktuelle Studie von Google hat ergeben, dass sich schon nach drei Monaten 20% der User nicht mehr an die richtige Antwort auf eine denkbar einfache Sicherheitsfrage erinnern konnten: „In welcher Stadt wurden Sie geboren?“. An alle anderen Antworten konnten sich noch weniger User erinnern: 73,6% tippten ihr Lieblingsgericht im ersten Monat noch richtig ein, nach einem Jahr waren es nur mehr 46,6% — mehr als die Hälfte hat die richtige Antwort vergessen. Weiterlesen

Ein bisschen mehr Privatsphäre beim Surfen

Ein bisschen mehr Privatsphäre beim Surfen

Kennt ihr das? Ihr stöbert in einem Onlineshop, schaut euch die Detailseiten zu einigen Produkten an, und sehr daraufhin wochenlang immer wieder auf diversen Websites Werbung für genau diese Produkte?

Mir ging diese gezielte Werbung und die Datensammlerei, die dahinter steckt, auf die Nerven. Daher habe ich mich vor einiger Zeit dazu entschlossen, meinen Browser „privacy-freundlicher“ zu konfigurieren. Es geht hier nicht darum, möglichst anonym zu surfen, sondern darum, einen Kompromiss zwischen Komfort und Datenschutz zu finden.

Für weitere Hinweise und Tipps bin ich dankbar.

Update: siehe weiter unten! Weiterlesen

Wikileaks: Spionage(abwehr) für Dummies

WikiLeaks hat am 1. Dezember einen ganzen Haufen neuer Dokumente veröffentlicht. Die Spy Files zeigen, welche Möglichkeiten Behörden und Geheimdienste haben, um ihre Bürger zu überwachen — mehr oder weniger gesetzeskonform, mehr oder weniger gründlich. Die Dokumente sind offenbar zu einem guten Teil Präsentationen, die Unternehmen auf einer der ISS-Konferenzen (Intelligence Support Systems for Lawful Interception, Criminal Investigation and Intelligence Gathering) gezeigt haben. Sie geben Aufschluss darüber, welche Fähigkeiten die von den Unternehmen angebotenen Produkte auf jeden Fall haben.

Laut der Karte gibt es einige Unternehmen, die auch Verbindungen nach Deutschland haben. Von besonderem Interesse dürfte dabei die Firma DigiTask sein, die in den letzten Monaten oft in Verbindung mit dem deutschen „Staatstrojaner“ genannt wurde. Dieser, auch „Quellen-Telekommunikationsüberwachung“ und „Bundestrojaner“ genannt, wird auf dem Computer der zu überwachenden Person installiert und hat die Aufgabe, den Behörden das Abhören von verschlüsselten Nachrichten zu gestatten, indem er diese vor dem Verschlüsseln oder nach dem Entschlüsseln abfängt. Der deutsche „Chaos Computer Club“ (CCC) hat sich mit einer älteren und einer neueren Variante des Staatstrojaners beschäftigt und darin einige eklatante Sicherheitslücken gefunden: „Wir waren überrascht und vor allem entsetzt, daß diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen“ sagte ein CCC-Sprecher. Der detaillierte Bericht ist sehr lesenswert:

Wir sind hocherfreut, daß sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.

Mittlerweile erkennen viele Antivirenprogramme die erste veröffentlichte Version als Schadprogramm und blocken es.

In den Veröffentlichungen von WikiLeaks sieht man nun, wie die Firma DigiTask sich und ihre Abhörprogramme vorgestellt hat. DigiTask hat den Konferenzteilnehmern (Behördenvertreter etc.) offenbar wirklich ein System präsentiert*, das angeblich mit AES (Advanced Encryption Standard) verschlüsselt. Der CCC hat dann herausgefunden, dass zwar der Datenverkehr vom Trojaner zum Server verschlüsselt wird (und noch dazu über einen Server in den USA läuft), der Trojaner aber selbst die Befehle mehr oder weniger unverschlüsselt empfängt, was eine Sicherheitslücke darstellt. Interessanterweise geht die Präsentation auch explizit auf die Möglichkeit ein, weitere Programmbestandteile nachzuladen und „verbotene“ Funktionalitäten der Software zu sperren.

Was nützt es, das zu wissen?

Wir erhalten Informationen darüber, was den Behörden beim „gewöhnlichen“ Abhören von Datenverbindungen Probleme bereitet. Darunter sind…

  • Informationen, die zwar entschlüsselt werden könnten, aber nicht gesammelt werden können
    • TOR (auch verschlüsselt)
    • Verwendung von Internetcafés, Hotspots usw.
  • verschlüsselte Informationen, die nicht entschlüsselt werden können
    • verschlüsselte Instant Messenger
    • per TLS oder SSL verschlüsselte Verbindungen zu Mailservern
    • mit PGP/GnuPG verschlüsselte E-Mails
    • Websites, die HTTPS verwenden
    • VPN-Verbindungen
  • Informationen, die trotz Beschlagnahme (von Datenträgern) nicht erhalten werden können
    • verschlüsselte Festplatten und andere Datenträger

Das sind also jene Dinge, die man als Computernutzer tun kann, um zu verhindern, dass es Hacker/Geheimdienste/Industriespione usw. allzu leicht haben. Natürlich ist die Quellen-Telekommunikationsüberwachung genau darauf ausgerichtet, diese Probleme zu umgehen. Die Software dazu muss aber zuerst auf den Computer gelangen — und das ist einiges an Arbeit, weil es mitunter physischen Zugriff auf den Computer erfordert.

 

*kleines Glossar:

RFS: remote forensics software
LI: lawful interception