Category: Security & Privacy

  • Chinese woman carrying malware arrested at Trump’s Mar-a-Lago resort

    In Mar-a-Lago, Donald Trump’s ganz eigenem Lieblings-Golfresort, ist eine Frau mit Malware auf einem USB Stick verhaftet worden. What a time to be alive. Es fehlt eigentlich nur noch, dass Sicherheitsdienste ausgebildete USB Spürhunde mitbringen.

    A worrisome development for the US Tweeter-in-Chief

    Source: Chinese woman carrying malware arrested at Trump’s Mar-a-Lago resort – The Verge

  • RunC CVE-2019-5736

    Use Containers they said.

    It’d be more secure, they said.

    Until CVE-2019-5736 was disclosed.

  • Facebook’s Charme Offensive

    Sieht so aus als ob Facebook nicht groß was an dem Umgang mit Privacy ändern will. Stattdessen werden Kritiker von dem Konzern eingekauft. Man wird nicht damit rechnen können, dass sich da von innen heraus was verändern wird. Gerade nachdem erst einmal angekündigt wurde, noch mehr Daten zu sammeln.

  • PEAR PHP gibt es noch

    PEAR PHP ist Rechnologie, die schon im Einsatz war als ich noch PHP programmiert habe. Das war 1999. Schon damals hatte das keinen besonders guten Ruf. Offenbar gibt es das Repository immer noch. Und es scheint immer noch problematisch zu sein.

    If you installed PEAR PHP in the last 6 months, you may be infected

    Pear.php.net shuts down after maintainers discover serious supply-chain attack.

    Source: Ars Technica

  • Infosec community

    Gerade brennt eine Security Diskussion darum, dass Videolan Updates für seinen Mediaplayer nur über http:// ausliefert. Auch meiner Meinung nach entspricht das nicht dem Standard von 2019, aber hey. Wohl hatten die Entwickler verschiedene Argumente, an dem Verfahren festzuhalten. Signaturen via gpg, Maintenance, Aufwand und so.

    Jedenfalls eröffnet die Situation eine spannende Diskussion darüber was denn nun das richtige Vorgehen ist und vor allem: wer denn nun Recht hat. Die Videolan Community jedenfalls scheint die Kollegen von Infosec nicht sehr sympathisch wahrzunehmen.

    Aus meiner professionellen Erfahrung muss ich leider konstatieren: auch anderswo gibt es keineswegs einen Zusammenhalt von Dev und Sec. Die Wahrnehmung wird in vielen Softwareentwicklungsteams sehr ähnlich sein. Viel mehr ist das ein ständiges sich gegenseitig sich anpöbeln. Ganz ähnlich wie in der beschriebenen Fall.

    Das ist sogar nachvollziehbar weil es zwei Parteien sind, die individuelle Interessen vertreten. Und es gibt aus der Situation in der Regel auch keinen vernünftigen Ausweg, weil die Incentivierung der Teams nicht das gleiche Ziel anstreben. Security ist damit Teil eines Problems und nicht Teil einer Lösung.

    “So könnt Ihr das nicht machen” eröffnen die einen, deren Auftrag es ist, Fehler in Software zu finden. “Hey, wir haben uns da Monatelang was dabei gedacht” halten Entwickler dann dagegen und schon ist die Debatte in vollem Gang.

    Gerade weil in der Regel das Aufgabengebiet der Security Kollegen sich darauf beschränkt, Fehler aufzuzeigen, ist es für die gegenüber stehende Partei nur nachvollziehbar, jedes Audit als Quelle für zusätzliche, oft kaum nachvollziehbare Arbeit oder sogar Schikane wahrzunehmen.

    Wenn Infosec auch einen Weg aufzeigen kann, der mit der Situation der Entwickler vereinbar ist, gelingt es sichere Software zu schreiben. Nur Fehler aufzuzeigen ist dafür zu wenig.

    Im Fall von Videolan wird die Debatte nun öffentlich geführt, was nicht sehr schön zu verfolgen ist, aber es ist eine notwendige Debatte für jede tiefere Integration von Development und Security.

  • You know you want to try it!

    Meanwhile at @shmoocon, everyone.

  • Der Zustand des Staatstrojaners.

    Der BND nutzt über einen Zeitraum von 5 Jahren ein Budget von 4 Millionen Euro, um allgemeine Sicherheitslücken auf dem freien, aber schwarzen Markt aufzukaufen. Zielsetzung ist selbstverständlich die Verwertung zum Einsatz von Staatstrojanern. Herrn Mayer zufolge wendet der BND diese Information lediglich gezielt zur Strafverfolgung ein, ignoriert dabei aber die Tatsache, dass die Sicherheitslücke weiterhin auf potentiell Millionen von Geräten weiterhin existiert. Dem ist eigentlich nicht viel hinzuzufügen.

    CSU-Staatssekretär Stephan Mayer versteht die Technologie von Staatstrojanern überhaupt nicht – oder er führt die Öffentlichkeit mit Unwahrheiten in die Irre. Bei “Maybrit Illner” gab der Politiker jedenfalls kein gutes Bild ab.

    Source: Innenstaatssekretär Mayer blamiert sich mit Aussagen zum Staatstrojaner – netzpolitik.org

     

  • #Hackerangriffe

    #Hackerangriffe

    Weil es gerade in allen Medien heiss diskutiert wird: ein paar kleine Tips, wie man den schlimmsten Problemen im Internet ein bisschen vorbeugen kann und potentiellen Schaden vorbeugend eingrenzen kann. Wikipedia zu den Vorfällen dazu.


    PC und Telefon
    Alle System-Updates Zeitnah installieren
    Privatsphäre-Optionen auf allen Geräten nutzen
    Berechtigungen von Apps auf Telefonen und Tablets stark beschränken (Kontakte, Kamera, Location, Mikrofon etc.)…

    eMail
    HTML-email ausmachen, externe Inhalte von e-mails nachladen ausmachen, Vorsicht bei email-Anhängen,
    Möglichst einen anderen eMail-Account zur Kommunikation verwenden, als den, der zur (Account-)Registrierung verwendet wird, wegen Passwort-Wiederherstellung.

    Passwörter
    schwer zu ratende Passwörter verwenden & für jeden Dienst ein eigenes verwenden
    Wo möglich, 2-Factor-Authentication verwenden.

    Sozial
    Niemals Login-Daten preisgeben, auch nicht telefonisch
    Facebook-Account löschen, ausserdem:
    Niemals Login with Google/Facebook/Twitter etc. verwenden
    Location-Übermittlung überall ausmachen
    Telefonbuch-Sync für Social Media in keinem Moment erlauben
    Höchstprivate Daten besser löschen (Chatverlauf, Bilder)

    Daten
    Festplatten-Verschlüsselung einschalten
    Für Chat-Kommunikation nur verschlüsselte Messenger verwenden, z.B. Signal oder Threema
    Für eMail: S/MIME oder GPG verschlüsseln…
    Backups verschlüsseln

    Bild von Nasir Khan, CC-BY-SA2.0

  • A quick introduction to web security

    CORS, CSP, HSTS, and all the web security acronyms!link.medium.com/jMrLJYrzBR

  • Security Planner – Improve your online safety with tools for your needs.

    The Citizen Lab, an

    interdisciplinary laboratory based at the Munk School of Global Affairs, University of Toronto, focusing on research, development, and high-level strategic policy and legal engagement at the intersection of information and communication technologies, human rights, and global security.

    released “Security Planner” early last week. Security Planner is a tool that will guide everybody through their Internet usage habits with only few simple questions

    Answer a few simple questions to get personalized recommendations of free and open-source software. It’s confidential — no personal information is stored, and we won’t access any of your online accounts.

    With this information, it provides simple steps and personalized safety recommendations to follow for the improvement of individuals privacy online. The recommendations base on free- and open source projects and best practices, aiming to raise awareness and help people maintain better privacy.

    Source: Security Planner – Improve your online safety with tools for your needs.