Category Archives: Security

Skandal um “.names” Domains.

Money counts – was zählt ist Geld, der Rest ist egal. Dies dachten sich wohl die Manager bei GNR, dem Verwalter für “.names” Domains.

Nur mit einer solchen Haltung ist das dreiste Vorgehen bei GNR zu verstehen. Entgegen der Vorgaben der ICANN, kostet die Whois-Abfrage bei GNR nämlich Geld. 2$ pro 24h, verlangt das Unternehmen für den Zugriff auf die Whois-Datenbank.

Wer Domaingrabbern und Spammer an den Kragen möchte, muss so für das Ermittlung des Domaininhabers und Seitenbetreibers in den Geldbeutel greifen. Das ist ärgerlich für den Betroffenen.

Freuen dürfen sich zahlreiche Cyberkriminelle: unter der Top-Level-Domain .names können diese nun verdeckt vor den kritischen Augen der Öffentlichkeit operieren.

Mehr dazu auf weird.com

Social Networking: Ist der Benutzer wirklich echt?

Wie kann ich sicherstellen, dass die Identität eines Benutzers in einem online Netzwerk echt ist?

Soziale Netzwerke sind en vouge. Sie leben davon, dass Benutzer Informationen über sich preisgeben und austauschen. Doch sowohl Anwender, wie auch Betreiber haben dabei eine wichtige Frage zu lösen: Wie kann ich sicher sein, dass hinter einer Identität eines Teilnehmers auch wirklich die richtige Person steckt und keine vorgeschobene, falsche Identität.?

Aus unserer eigenen Erfahrung mit dem Aufbau von online Ehemaligen Netzwerken (Alumni-Portalen) wissen wir, gefälschte Benutzer-Accounts sind ein Problem für die Integrität und dem Wert einer sozialen Community.

Gefälschte Benutzer-Accounts mindern den Wert einer social Community

Insbesondere wenn die Benutzung einer social Community kostenlos ist, stellt die Validierung eines Benutzerkontos eine große Hürde da. Bei einem bezahlten Angebot kann über die Bankinformation oder dem Kreditkarten-Inhaber eine Validierung des Accounts erfolgen. Erfolgt die Zahlung reibungslos, ist die Wahrscheinlichkeit einer gültigen Identität sehr hoch €“ auch wenn immer ein Restrisiko durch den betrügerischen Missbrauches von Kontendaten oder Kreditkarte durch Dritte bleibt.

Nur wenige Möglichkeiten zur Validierung bleiben dem Betreiber eines kostenlosen Webangebotes. Wie lässt sich beispielsweise für ein Netzwerk einer Hochschul Alumni-Community die Identität eines Teilnehmers validieren?

Es gibt für diese Problem leider keinen Stein der Weisen. Mit einer technischen Lösung bei der online Registrierung sind nur primitive ein Fake-Accounts erkennbar. Wer sich als €žMonika Mustermann€œ anmeldet, kann gefiltert werden. Doch was ist mit einem €žMichael Müller€œ ? Hier versagt jedes Warnsystem. Natürlich lassen sich auch bei der Eingabe von Adressdaten, diese mit einem online Orts- und Straßenverzeichnis abgleichen. Raffinierte Fake-Accounts geben hier einfach einen existierende Strasse eines existierenden Ortes ein und umgehen so die Prüfung.

Technik ist also keine Lösung. Okay, es liegt Nahe bei der Validierung die Technik durch menschlichen IQ zu ergänzen.

Überprüfung der Alumni-Adresse €“ wie weit ist dies durch Technik und Mensch möglich?

Als Hochschule bieten sich hier eine Reihe von Überprüfungsmöglichkeiten. Doch wie gut sind diese wirklich? Zunächst kann man die Daten einer Online-Anmeldung mit den Daten der eigenen Studentenverwaltung abgleichen. Stimmen Schlüsseldaten wie Abschlussjahr, Abschlussfach und Name überein, könnte der angemeldete Account tatsächlich gültig sein.

Doch ist er wirklich gültig?

Seien Sie sich als Betreiber einer Alumni-Plattform nicht zu sicher. Eine solche Prüfung lässt sich einfach umgehen. Als Betrüger reicht es aus, sich die Identität eines Absolventen zu leihen, um sich Zugang zum sozialen online Netzwerk zu verschaffen.

Das Problem der geliehenen Identität

Woher können sich Betrüger eine solche Identität beschaffen? Die Antwort ist einfach: aus anderen sozialen Netzwerken, wie XING, LinkedIN oder beispielsweise StudiVZ. Dort lassen sich gezielt die Namen und beruflicher Werdegang mit Studienverlauf recherchieren.

Mit diesen Informationen kann eine Anmeldung mit einer geliehenen Identität an jedem Alumni-System erfolgen. Technische Prüfung und kontrollierende Blicke durch Mitarbeiter, loslassen sich so leicht überlisten.

Mit der sicheren Validierung einer Anmeldung steigt der Aufwand

Wer einen Account wirklich validieren möchte, muss also weiter denken. Eine Möglichkeit der Validierung eines Accounts wird beispielsweise von Google-Maps verwendet. Bei der Anmeldung einer neuen Adresse überprüft Google-Maps die Identität über den Postweg. An jede neu registrierte Adresse wird eine Postkarte mit einem Aktivierungscode gesendet. Erreicht die Postkarte den Empfänger, muss dieser seinen Online-Account mit Eingabe des Aktivierungscodes freischalten. Ein aufwändiges Verfahren, dass aber mit einer sehr hohen Wahrscheinlichkeit die Gültigkeit der angegebenen Adresse sicherstellt. Technisch ist die Lösung ohne Probleme zu realisieren, Sie erfordert aber eine reibungslose administrative Umsetzung. Denn nach einer Anmeldung müssen Postkarten gedruckt und versendet werden. Das ist aufwändig.

iPhone Hack 2.0: Simlock per Software entfernen

Wer knackt am elegantesten den Simlock des iPhones? Nach dem spektakulären iPhone Hack vom Wochenende gibt es nun die nächste Meldung. Statts mit dem Lötkolben zu werkeln, soll das iPhone nun durch einen Software-Eingriff zu entsperren sein. Diesen Erfolg melden die die Hacker von iphonesimfree auf ihrer Webseite.

Wir warten gespannt auf den praktischen Beweiß. Sollte sich diese Meldung bestätigen, dürfte der GAU für Apple ein SUPERGAU sein…

iPhone Hack

George Hotz, hat es wohl geschafft. Durch einen Hack ist es ihm wohl gelungen, das iPhone mit beliebigen Mobilprovidern zu benutzen. Auf einem YouTube Video demonstriert er ein iPhone, welches mit T-Mobile USA statts mit At&T funktioniert.

[youtube tvJ1RGlxe8Q]

Damit wäre die exklusive Bindung des iPhones an einen Mobilprovider vorerst überwunden. In seinem Blog beschreibt Gerorg Hotz den Hack, der sowohl einen Eingriffe in die Hardware und Firmware des Gerätes beinhaltet.

War Skype ein Opfer russischer Hacker?

Die letzten Tage waren nicht leicht für Skype-Anwender. Das beliebte VoIP und IM-System litt unter massiven Störungen. Wie das online Magazin Slashdot meldet, könnte ein Angriff russischer Hacker für den Totalausfall des Skype-Systems verantwortlich sein.

Der auf einer russischen Webseite veröffentliche Exploit, beschreibt ein einfaches Perlscript, welches bei den angegriffenen Skype-Servern angeblich einen Buffer-Overflow erzeugt und diese dann abstürzen lässt.

Laut einem Bericht der Washington Post, bestreitet Skype Opfer dieses Angriffes geworden zu sein.

Wahre Risiken im Flugverkehr

Bitte, bitte, sorgt doch einfach für stabile Software im Flugverkehr, anstatt Flugreisende zu gängeln. Warum lasse ich mir es eigentlich gefallen, dass meine Schuhe durchleuchtet werden und ich meine Zahnpasta in durchsichtige Tüten packen muss, wenn die wahren Risiken so aussehen:

Application Error am Flughafen

Da passt diese Meldung vom 13.08.2007 ganz gut, nachdem 6.000 Passagiere durch eine Computerpanne am Flughafen Los Angeles nicht in die USA einreisen durften.

It’s not a Bug, it’s a Feature: Internet-Explorer verrät FTP Zugangsdaten

Wer per FTP mit dem Internet-Explorer HTML-Dateien herunterlädt handelt sich unter Umständen ein Sicherheitsproblem ein. Wie Blogger Brian Krebs schreibt, enthält die gespeicherte Datei in einer Kommentarzeile die Zugangsdaten zum FTP-Server.

Wer also eine solche HML-Datei unbereinigt wieder ins Web stell, gibt so unfreiwillig seine FTP-Zugangsdaten preis. Wie auch Heise Online meldet, sieht Microsoft in dieser Funktion nicht zwingend ein Sicherheitsproblem:

…der Internet Explorer nicht als vollwertiger FTP-Client gedacht sei. Der Grund warum die URL im Dokument gespeichert werde, sei die Zuordnung zu einer Sicherheitszone, falls das Dokument zu einem späteren Zeitpunkt nochmals lokal geöffnet werde. Name und Passwort würden deshalb auftauchen, da sie Bestandteil einer gültigen URL seien…

In Redmond herrscht wohl die Meinung: It’s not a Bug, it’s a feature.

Einen besonderes Erlebnis ist es in Google mit folgender Keyword-Suche auf die Pirsch zu gehen:

“<!– saved from url=”+”ftp://”

1 6 7 8 9