Category: Security & Privacy

  • Der Zustand des Staatstrojaners.

    Der BND nutzt über einen Zeitraum von 5 Jahren ein Budget von 4 Millionen Euro, um allgemeine Sicherheitslücken auf dem freien, aber schwarzen Markt aufzukaufen. Zielsetzung ist selbstverständlich die Verwertung zum Einsatz von Staatstrojanern. Herrn Mayer zufolge wendet der BND diese Information lediglich gezielt zur Strafverfolgung ein, ignoriert dabei aber die Tatsache, dass die Sicherheitslücke weiterhin auf potentiell Millionen von Geräten weiterhin existiert. Dem ist eigentlich nicht viel hinzuzufügen.

    CSU-Staatssekretär Stephan Mayer versteht die Technologie von Staatstrojanern überhaupt nicht – oder er führt die Öffentlichkeit mit Unwahrheiten in die Irre. Bei “Maybrit Illner” gab der Politiker jedenfalls kein gutes Bild ab.

    Source: Innenstaatssekretär Mayer blamiert sich mit Aussagen zum Staatstrojaner – netzpolitik.org

     

  • #Hackerangriffe

    #Hackerangriffe

    Weil es gerade in allen Medien heiss diskutiert wird: ein paar kleine Tips, wie man den schlimmsten Problemen im Internet ein bisschen vorbeugen kann und potentiellen Schaden vorbeugend eingrenzen kann. Wikipedia zu den Vorfällen dazu.


    PC und Telefon
    Alle System-Updates Zeitnah installieren
    Privatsphäre-Optionen auf allen Geräten nutzen
    Berechtigungen von Apps auf Telefonen und Tablets stark beschränken (Kontakte, Kamera, Location, Mikrofon etc.)…

    eMail
    HTML-email ausmachen, externe Inhalte von e-mails nachladen ausmachen, Vorsicht bei email-Anhängen,
    Möglichst einen anderen eMail-Account zur Kommunikation verwenden, als den, der zur (Account-)Registrierung verwendet wird, wegen Passwort-Wiederherstellung.

    Passwörter
    schwer zu ratende Passwörter verwenden & für jeden Dienst ein eigenes verwenden
    Wo möglich, 2-Factor-Authentication verwenden.

    Sozial
    Niemals Login-Daten preisgeben, auch nicht telefonisch
    Facebook-Account löschen, ausserdem:
    Niemals Login with Google/Facebook/Twitter etc. verwenden
    Location-Übermittlung überall ausmachen
    Telefonbuch-Sync für Social Media in keinem Moment erlauben
    Höchstprivate Daten besser löschen (Chatverlauf, Bilder)

    Daten
    Festplatten-Verschlüsselung einschalten
    Für Chat-Kommunikation nur verschlüsselte Messenger verwenden, z.B. Signal oder Threema
    Für eMail: S/MIME oder GPG verschlüsseln…
    Backups verschlüsseln

    Bild von Nasir Khan, CC-BY-SA2.0

  • A quick introduction to web security

    CORS, CSP, HSTS, and all the web security acronyms!link.medium.com/jMrLJYrzBR

  • Security Planner – Improve your online safety with tools for your needs.

    The Citizen Lab, an

    interdisciplinary laboratory based at the Munk School of Global Affairs, University of Toronto, focusing on research, development, and high-level strategic policy and legal engagement at the intersection of information and communication technologies, human rights, and global security.

    released “Security Planner” early last week. Security Planner is a tool that will guide everybody through their Internet usage habits with only few simple questions

    Answer a few simple questions to get personalized recommendations of free and open-source software. It’s confidential — no personal information is stored, and we won’t access any of your online accounts.

    With this information, it provides simple steps and personalized safety recommendations to follow for the improvement of individuals privacy online. The recommendations base on free- and open source projects and best practices, aiming to raise awareness and help people maintain better privacy.

    Source: Security Planner – Improve your online safety with tools for your needs.

  • Offenbar ist der Grund für den gestrigen und heutigen Ausfall der Telekom: ein bekannter Bug in TR069. Es gibt offenbar auch ein Metasploit Modul dafür.

    Source: Port 7547 SOAP Remote Code Execution Attack Against DSL Modems – SANS Internet Storm Center

  • The code I’m still ashamed of

    The following came through my timelines a few days back. A guy feels guilty for what he did – as a programmer – when he was young. Basically he built a promotional website for a questionable medicaments. Apparently the drug has side effects of depression and suicidal thoughts. Only after his sister was prescribed the same medicaments, his conscience made him quit what he was doing.

    If you write code for a living, there’s a chance that at some point in your career, someone will ask you to code something a little…

    Source: The code I’m still ashamed of

    Also, the author writes the following:

    As developers, we are often one of the last lines of defense against potentially dangerous and unethical practices.

    It’s a pretty sure bet everybody long enough in the Internet Business has had moments like this before. For myself, there were a few moments, where I saw an ethical border that I didn’t want to cross. As a student, this was porn. As a professional, it was weapons manufacturers.

    Interestingly enough, I even quit two companies for their ambition in IT security. The first pushed datacenter-grade firewalls to small businesses that basically only needed a DSL modem. Through a sales method borrowed from insurance brokers.

    The other one at least had a solid technology, but developed a solid sales pitch relying on the same FUD, that crosses that ethical border.

    Just like with medication, people shouldn’t buy security out of fear, or any other product for that matter. And any technical person should strive for educating customers and not helping sales people create that fear.

  • Symantec will Sicherheitsanbieter Lifelock übernehmen

    Digitalisierung verlagert vieles Alltägliche ins Internet, und die Unsicherheit um den Umgang mit dieser neuen Situation wird von Sicherheitsfirmen schon lange ausgenutzt. Nun will Symantec offenbar Schutz vor Identitätsdiebstahl anbieten und dazu einen umstrittenen Anbieter übernehmen:

    2,3 Milliarden US-Dollar will Symantec zahlen, um sich mit einem Anbieter für Schutz vor Identitätsdiebstahl zu verstärken. Die Firma namens Lifelock musste aber schon zwei Millionenstrafen wegen nicht gehaltener Werbeversprechen zahlen.

    via: Symantec will umstrittenen Sicherheitsanbieter Lifelock schlucken | heise online

  • John Oliver talks about Encryption

    John Olivers ‘Last Week Tonight’ on encryption in general and the the case Apple vs. FBI in particular.

  • Fake Bomb Threat for Bitcoin

    Old and busted: DDoS 4 Bitcoin

    New hotness: Fake Bomb Threat 4 Bitcoin