Die besten Blog-Beiträge des letzten Monats: Mai

Auch im Mai veröffentlichten wir eine Vielzahl von Artikeln zu Themen der Computersicherheit – von den fünf schlimmsten Fehlern, die Sie bei Facebook machen können, bis zur Hilfestellung, die Kaspersky Lab den Machern des Computerspiels Watch_Dogs gab. Wenn Sie einige der Beträge verpasst haben, ist das aber kein Problem. Denn wir präsentieren Ihnen wieder die Highlights des vergangenen Monats, damit Sie rund um die Cybersicherheit gut informiert sind.

Die fünf schlimmsten Fehler, die Sie auf Facebook machen können

Auch wenn Facebook ein tolles Soziales Netzwerk ist und viel Spaß bringt, so kommen damit doch auch einige Gefahren. Die Menschen machen oft einige typische Fehler, und jeder davon kann Sie Geld, Ihr Ansehen oder das gute Verhältnis zu ihren Freunden kosten. Doch die Fehler können Sie ganz einfach umgehen: Veröffentlichen Sie keine biografischen Daten, vor allem nicht Ihr komplettes Geburtsdatum. Stellen Sie zudem sicher, dass Ihre Beiträge nur für Freunde sichtbar sind und dass diese Freunde auch wirklich Ihre persönlichen Freunde sind. Geben Sie beim Teilen Ihrer Beiträge auch möglichst nicht Ihren Aufenthaltsort preis, denn damit können Cyberkriminelle herausfinden, wo Sie sich gerade aufhalten. Und schließlich sollten Sie ein starkes, kompliziertes Passwort für Ihr Facebook-Konto verwenden, um das Risiko, durch Hacker angegriffen zu werden, zu verringern.

Studie: Mehrheit der Smart-Häuser ist nicht vor Hacker-Angriffen geschützt

Smart-Häuser sind genau das, was Sie sich vielleicht schon vorstellen: In Smart-Häusern finden sich Geräte, Heizsysteme, Klimaanlagen, Beleuchtung, Rauchmelder und/oder Türschlösser, die alle – gemeinsam mit traditionellen Internet-Geräten wie Computern, Handys und Tablets – mit dem Hausnetzwerk und darüber auch mit dem Internet verbunden sind. Kürzlich hat das unabhängige Testlabor AV-Test.org die Sicherheit von sieben Smart-Home-Kits getestet und herausgefunden, dass vier dieser Pakete unsicher sind. Die hier als anfällig getesteten Systeme können von internen und in manchen Fällen auch von externen Angreifern attackiert werden, die entweder auf das Heimnetzwerk und damit auf die verbundenen Maschinen, oder das Haus selbst und die darin enthaltenen Dinge abzielen.AV-Test hat sich darauf fokussiert, ob die Kommunikation unter den Geräten verschlüsselt ist, und drei der getesteten Systemebieten keine Verschlüsselung.Ein Angreifer könnte die Systeme also generell manipulieren, um Schäden zu verursachen, da aber die meisten kriminellen Hacker hinter Geld her sind, sind die wahrscheinlichsten Attacken jene, bei denen Schachstellen in den Systemen ausgenutzt werden, um wertvolle Daten aus dem Heimnetzwerk zu stehlen. Eine gute Nachricht ist, dass AV-Test überzeugt ist, dass es möglich ist, sichere Smart-Home-Systeme zu entwickeln, wenn die Hersteller sich die Zeit nehmen, ein solides Sicherheitskonzept zu erstellen, statt die Produkte möglichst schnell auf den Markt zu werfen. Eine weitere gute Nachricht ist, dass Ihnen AV-Test genau sagt, worauf Sie achten sollten, wenn Sie ein Smart-Home-System kaufen möchten: Systeme, die immer eine Authentifizierung verlangen und deren Kommunikation komplett verschlüsselt ist.

Kaspersky Lab hilft den Watch_Dogs-Entwicklern, Hacker richtig darzustellen

Themen wie Privatsphäre und Überwachung werden heute auch außerhalb technischer Zirkel diskutiert. Der durchschnittliche Bürger hat aber nicht viele Möglichkeiten, wenn es darum geht, Überwachungstechnologien zu bekämpfen. Doch im neuen Ubisoft-Spiel Watch_Dogs haben die Spieler als Widerstandkämpfer Aiden Pearce die Möglichkeit, ein allwissendes Überwachungssystem zu beeinflussen, das über eine Stadt der Zukunft herrscht. Das Spiel wurde mit inhaltlichen Tipps der Kaspersky-Experten produziert, die das Drehbuch erhalten haben, um es auf seinen Realitätsgehalt zu prüfen. Das Drehbuch wurde Vitaly Kamluk, einem der erfahrensten Forscher von Kaspersky Lab vorgelegt, und ihm gefiel es sehr gut. „Ich habe nur ein paar kleine Änderungsvorschläge gemacht“, so Kamluk bei einem Interview in den Ubisoft-Büros in San Francisco, das im April anlässlich der ersten Vorstellung von Watch_Dogs geführt wurde. „Die Entwickler haben gut gearbeitet. Sie haben das Hacking richtig dargestellt und es geschafft, dass das Spiel trotzdem Spaß macht.“ Und das ist gar nicht so leicht zu schaffen. Denn viele Menschen möchten gar nicht zu viel Realität, die ihre Vorstellungen kaputt macht, doch Watch_Dogs verbindet die Verwendung von Exploits und das Hacking von Überwachungskameras nahtlos mit dem Stoff des Spiels. „Das ist nicht das typische Hollywood-Hacking“, so Kamluk. „Es ist real dargestellt.“

Hier lesen Sie die Highlights unserer Blog-Beiträge und News zur #Sicherheit des vergangenen Monats.

Tweet

Ein CryptoLocker für Android?

Ein neuer Erpresser-Schädling attackiert Android-Nutzer und bringt sich zumindest selbst mit CryptoLocker in Verbindung, einem Schädling, der dafür bekannt ist, wichtige Computerdateien zu verschlüsseln und für die Entschlüsselung ein Lösegeld zu verlangen. Im aktuellen Fall bewirbt eine kriminelle Gruppe mit dem Namen Reveton eine neue Art von Ransomware, einen CryptoLocker-ähnlichen Schädling, der Android-Geräte infizieren kann. Ein bekannter Sicherheitsforscher mit dem Pseudonym „Kaffeine“ hat diesen neuen Schädling entdeckt und in seinem Blog Malware Don’t Need Coffee darüber berichtet. Er fand heraus, dass Anwender, die sich mit ihrem Android-Gerät mit einer infizierten Seite verbinden, auf eine pornografische Seite weitergeleitet werden, die Social Engineering nutzt, um die Anwender dazu zu bringen, eine App herunterzuladen, die den Schädling enthält. Der Schädling muss aktiv installiert werden, um das Gerät infizieren zu können. Darum empfehlen wir immer wieder, nur Apps aus dem offiziellen Google Play Store zu installieren. Wie ähnlich dieser Erpresser-Schädling wirklich dem berüchtigten CryptoLocker ist, der Desktop-PCs angreift, ist nicht klar. Doch wer immer ihn programmiert hat, nutzt auf jeden Fall den Erfolg des alten CryptoLockers für eine Art krimineller Marketing-Masche. Das ist recht interessant, denn es zeigt, wie sehr Cyberkriminelle legitime Geschäftsmethoden kopieren, um ihren Profit zu steigern. Aber das ist eine ganz andere Geschichte.

Bleiben Sie wachsam: OpenID und OAuth sind angreifbar

Nur ein paar Wochen nachdem die Heartbleed-Sicherheitslücke entdeckt wurde, gibt es ein anderes, anscheinend ebenfalls weit verbreitetes Problem. Das Problem wurde in den Internet-Protokollen OpenID und OAuth gefunden. OpenID wird genutzt, wenn Sie sich auf einer Webseite mit Ihren Login-Daten von Google, Facebook, LinkedIn usw. einloggen können. Oauth kommt dagegen ins Spiel, wenn Sie Seiten, Apps oder Dienste per Facebook/G+/usw. authorisieren, ohne dabei wirklich Ihr Passwort und Ihre Login-Daten an die entsprechende Seite zu übermitteln. Diese zwei Protokolle werden meist gemeinsam verwendet, und wie sich herausstellte, könnten Ihre Informationen dadurch in die falschen Hände gelange. AufThreatpost finden Sie eine technischere Erklärung des Problems, generell kann man es aber so beschreiben: Zunächst muss ein Anwender eine schädliche Phishing-Seite besuchen, die den üblichen Mit-Facebook-einloggen-Knopf enthält. Klickt man auf den Knopf, erscheint ein echtes Facebook/G+/LinkedIn-Popup-Fenster, das den Anwender auffordert, sein Login und Passwort zur Authorisierung einzugeben. Anschließend wird die Authorisierung über einen falschen Redirect an die falsche (Phishing-)Seite gesendet undder Cyberkriminelle erhält eine echte Authorisierung (ein so genanntes OAuth-Token), um mit allen der App gewährten Rechte auf das Profil des Anwenders zugreifen zu können.Alle ganz vorsichtigen Nutzer müssen nun für einige Monate komplett darauf verzichten, OpenID und die praktischen Mit-X-einloggen-Knöpfe zu verwenden. Um es sich zu ersparen, sich all die unterschiedlichen Passwörter merken zu müssen, können Sie einfach einen guten Passwort-Manager verwenden. Wenn Sie aber die OpenID-Authorisation nutzen möchten, ist das auch nicht so schlimm. Sie sollten dabei nur aufpassen, auf welchen Seiten Sie diese verwenden und sich vor Phishing-Betrügereien schützen. Wenn Sie sich auf einer Webseite mit Ihrem Facebook/Google/usw.-Login einloggen, sollten Sie die Adresse der Seite manuell eingeben oder ein Lesezeichen dafür nutzen, und nicht einen Link in E-Mails oder einem Chat anklicken. Prüfen Sie die Adresszeile sorgfältig, um nicht auf gefälschte Seiten zu gelangen, und loggen Sie sich nicht bei komplett neuen Seiten mit OpenID ein, wenn Sie sich nicht hundertprozentig sicher sind, dass es sich um eine legitime Seite handelt und Sie auch wirklich auf der richtigen Seite gelandet sind.Zudem sollten Sie das Surfen im Internet mit einer Sicherheitslösung wie Kaspersky Internet Security – Multi-Device schützen, die Ihren Browser davon abhält, gefährliche Seiten zu öffnen.