+43 (1) 812 32 30-0 office@purple-tec.at
Facebook nutzt Sicherheitslücke auf iPhones

Facebook nutzt Sicherheitslücke auf iPhones

Facebook greift wegen fehlender Whatsapp-Verschlüsselung auf Datenbank zu

Ein Entwickler von Mac-Tools zur Verwaltung von iPhone-Daten hat bestätigt, dass Facebook durch ein technisches Schlupfloch verschlüsselte Daten von Whatsapp auslesen kann. Da Facebook und Whatsapp zum gleichen Anbieter gehören, können diese Daten einfach untereinander austauschen.

Prinzipiell sei es laut des Entwicklers kein Problem die lokal entschlüsselt vorliegende Whatsapp-Datenbank an Facebook weiterzugeben. Auch wenn der Entwickler nicht behauptet, dass dies tatsächlich geschieht – sicher sein kann man da nicht. Feststeht auf alle Fälle, dass Facebook und Whatsapp trotz iO-Sandbox Daten austauschen können, sobald beide Apps auf einem iPhone installiert sind.

Whatsapp Verschlüsselung

Auch wenn iOS-Apps normalerweise durch die Sandbox vom System, als auch voneinander abgeschottet sind, macht Apple wohl eine Ausnahme für Apps, die von demselben Entwickler stammen. Wenn Programme zur gleichen „App Group“ gehören, teilen sich diese ein gemeinsames Verzeichnis („group.com.facebook.family“). Also ist WhatsApp nach dem Abkauf durch Facebook zur App-Gruppe des sozialen Netzwerks hinzugefügt worden und darf nun auch Daten austauschen.

Obwohl per Whatsapp versendete Nachrichten per End-to-End-Verschlüsselung verschlüsselt sind, ändert das nichts an dem Zustand, dass wichtige Daten dennoch ausgelesen werden. Auf einem entsperrten iPhone lässt sich die komplette Datenbank der App erfassen – und das wortwörtlich im Klartext!

Einer der Gründe: Whatsapp selbst könnte die Nachrichten sonst nicht verarbeiten…

In der frei zugänglichen Datenbank sind dann theoretisch alle notwendigen Informationen enthalten, um die gesamte Chat-Historie zu rekonstruieren. Das betrifft sensible Daten, wie Namen, Telefonnummern, Zeitmarkierungen, die Inhalte der Nachrichten inklusive Verweise auf Anhänge. Bereits im Jahr 2015 hat heise Security bereits die Umsetzung der Whatsapp-Verschlüsselung geprüft und festgestellt, dass diese im Alltag de facto unwirksam ist. Laut des Mac-Entwicklers, benutze Facebook die Ausrede der End-to-End-Verschlüsselung, um die Nutzer in falscher Sicherheit zu wiegen. Die Behauptung Mark Zuckerbergs, dass der Konzern keine Whatsapp-Inhalte sehen und diese somit auch nicht zu Werbe- oder sonstigen Zwecken analysieren könne, ist laut des Mac-Entwicklers einfach nicht richtig.

Fit für die DSGVO??

Fit für die DSGVO??

Großes allgemeines Umsetzungs-Defizit: Jedes dritte Unternehmen noch nicht im Ansatz auf die DSGVO vorbereitet

Da es voraussichtlich weiterhin Thema bleiben wird – vor allem wohl nach Einführung – wollen wir nun auch mal einen kleinen Beitrag zur DSGVO bringen. Man muss ja dem Trend folgen…

DSGVO – gut gemeint, aber…

Ab Ende Mai ist es soweit: Die besorgniserregende Datenschutz-Grundverordnung tritt in Kraft und wird große Auswirkungen in Form eines EU-weit geltenden Datenschutzrechts haben. Die Absicht dahinter mag ja positiv sein: Ein besserer Schutz der persönlichen Daten in Zeiten von wachsender Digitalisierung, Social Media wie Facebook, WhatsApp etc. Soweit sogut.

Für uns Unternehmen ist das alles eine reine Tortur bzgl. Verwaltungsarbeit, wenn jedes noch so kleine Detail in Form von Verarbeitungsverzeichnissen (vorher: Verfahrensverzeichnis) festgehalten werden muss. Außerdem zählen ja nicht nur die Kundendaten zu den personenbezogenen Daten. Da gibt es ja noch die Mitarbeiter und alle Geschäftspartner, sowie Personen, mit denen man schon lange nichts mehr zu tun hat. Der Anwendungsbereich der DSGVO ist enorm, weil selbst IP-Adressen zu schützen sind.

DSGVO und Datenschutz

„Brauchen wir eigentlich Verfahrens-Verzeichnisse für unsere Verfahrens-Verzeichnisse??!“ (klenner.at)

Es besteht nun bald (oder eigentlich schon jetzt) ein gewaltiger Mehraufwand, da alle Prozesse und Verträge genauestens durchleuchtet, oder komplett neu organisiert, sowie umfassend dokumentiert werden müssen. Die neuen Dokumentations- und Transparenzpflichten verlangen das. Man muss sogar festhalten WIE man personenbezogene Daten erhebt. Und die paar Ausnahmen, die in der Verordnung gemacht werden, betreffen praktisch fast niemanden…

Angesichts der Dimension die das „Projekt DSGVO“ angenommen hat, ist die Zeit bis zum 25. Mai 2018 mehr als knapp bemessen. Besonders problematisch ist es oft für die kleineren KMUs unter uns, die nichtmal genügend Manpower haben, um das alles innerhalb kürzester Zeit umzusetzen. 

Noch schlimmer gestaltet sich die Situation für diejenigen Unternehmen, die sich bisher noch gar nicht damit auseinandergesetzt haben – in deren Haut wir nicht stecken möchten. klenner.at hat auch schon einiges unternommen, um für die DSGVO sogut es eben geht gewappnet zu sein und in keine großen Fettnäpfchen zu tappen, sollte die Verordnung wirklich mit aller Härte durchgeboxt werden. Man weiß es ja leider nicht. Bei unzureichender Datensicherheit drohen Bußgelder bis zu 4% des gesamten weltweiten Jahresumsatzes.

Aber wie immer wollen wir auf Nummer Sicher gehen – und das nicht nur bzgl. Virenschutz oder Backups!

Datenschutz von vornherein

Hier sind die „TOMS“ (den technischen und organisatorischen Maßnahmen) wichtig, die dem Stand der Technik entsprechen müssen. Dazu gehört u.a. die Belastbarkeit der IT-Systeme. Damit hängt auch die Entwicklung von neuen Produkten, Diensten und Anwendungen zusammen, die mit den Datenschutz-Grundsätzen übereinstimmen müssen („privacy by design“). Software soll nur noch soviel Daten erheben, wie es zur Zweckerfüllung notwendig ist (Daten-Minimierung).

Interne Kommunikation im B2B – Datenschutz fängt bei den Mitarbeitern an

Die Wahl der Systeme und Anwendungen gilt es also zu beachten. Aber was heißt das? Oft kommunizieren Mitarbeiter über eine breite Palette an Lösungen, welche eigentlich nicht für den professionellen bzw. geschäftlichen Einsatz konzipiert sind. Gerade für Mitarbeiter, die keinen festen Arbeitsplatz haben oder oft unterwegs sind, sind Facebook, Whatsapp etc. willkommene Hilfsmittel im Arbeitsalltag. Einige von euch werden das sicher auch kennen.

Für die vertrauliche, interne Kommunikation muss in Zukunft definitiv eine andere Lösung gefunden werden, da hier keine Datensicherheit gewährleistet werden kann. Whatsapp und Co. Übermitteln laufend Daten zwischen Sender- und Empfängergeräten. Dabei gelangen Adressbücher, Statusanzeigen und Infos über das Nutzerverhalten direkt an Server in den USA. Das ist so ziemlich das Gegenteil von dem, was die DSGVO im Sinne hat.

Bei den gängigen Social Media Tools fehlen oft MDM (Mobile Device Management) Optionen oder Schnittstellen für entsprechende Integrationslösungen. Kurz gesagt: Ab Ende Mai sollten Mitarbeiter solche Anwendungen besser nicht mehr geschäftlich nutzen und am besten erst gar nicht auf dem Smartphone haben, insofern Sie darauf geschäftliche Daten verwalten. Arbeitgeber sollten daher über Firmen-Handys nachdenken.

Wenn man nicht ernsthaft ins Visier der Datenschützer geraten will, empfiehlt es sich als Alternative unternehmensinterne Kommunikationsplattformen einzusetzen. Es gibt professionelle Mitarbeiter-Apps, die die gesamte interne Kommunikation in einer datenschutzkonformen Anwendung bündelt, externe Systeme integriert und die Kommunikation aus privaten Social-Media-Kanälen ins Unternehmen personalisiert zurückholt.

Anforderungen an eine datenschutzkonforme Mitarbeiter-App bzw. die interne Kommunikation findet ihr unter diesem  Link.Eine gute Übersicht bzw. die empfohlene Herangehensweise für Unternehmen bei diesem Thema ist in diesem Artikel von SearchSecurity beschrieben.

Auf das richtige Pferd (äh, den richtigen Drachen) namens Bitdefender gesetzt – Juhu!

Auf das richtige Pferd (äh, den richtigen Drachen) namens Bitdefender gesetzt – Juhu!

Auch wenn wir ihn selbst nicht gewonnen haben – der „Product of the Year Award 2017“, den unser Partner Bitdefender abgesahnt hat, ist auch für klenner.at ein Grund zur Freude.

Wir haben erreicht was wir wollten: Unseren Kunden den best-möglichen Schutz zu garantieren!

Wir – als derzeit einziger österreichsicher Goldpartner – sind sehr stolz zu verkünden, dass Bitdefender nun schon zum zweiten Mal den Industrie-Award von AV-Comparatives (kurz für Anti-Virus Comparatives) gewonnen hat. Das erste Mal räumte Bitdefender den begehrten Preis des unabhängigen Labors vor 3 Jahren ab. Und darauf kann man wirklich stolz sein:

Bitdefender Gold Partner

AV-Comparatives ist bekannt dafür, die umfassendsten und komplexesten Praxistests von Sicherheits-Software überhaupt zu machen. Das Labor wurde 2004 gegründet und hat seine Base in Innsbruck. Mit dem TÜV Austria im Gepäck (2016 erneuert), hat AV Comparatives Bitdefender zum Produkt des letzten Jahres in Sachen Sicherheit gekührt.

Bitdefender - Product of the Year Award 2017

Mehr zu den Einzelheiten über die Tests und alle geprüften Hersteller von Anti-Viren Software (u.a. auch AVG, Fortinet, Kaspersky, Symantec, etc.) findet ihr hier im Report 2017.

Ein kleiner Auszug zu unserem Lieblings-Produkt Bitdefender:

„Bitdefender wins this year’s Product of the Year Award, scoring Advanced+ in all 7 tests. It additionally receives the Gold Award for the Real-World Protection Test (jointly), Silver for the Malware Protection Test and Removal Test, and Bronze for the Performance Test. We liked the guided tour of the program, which is displayed when you first start the software after installation.“

Das sagt Bitdefender selbst:

 „It’s like winning the Oscar for best picture. So be proud, team Bitdefender, well done! It’s yet another proof that we are doing it right. Hundreds of millions of people across the world put their digital security and privacy in our hands, and it’s great when independent experts confirm that Bitdefender is leading the pack.

Congrats! Let’s continue to save the world, bit by bit.“

Bitdefender - Product of the Year Award 2017

Auch an einer neuen Anti-Viren Software interessiert?

Falls Sie Fragen zum Produkt von Bitdefender haben, können Sie uns jederzeit kontaktieren. Es erwarten Sie Beratung, eine Demo-Lizenz und ein gutes Angebot unsererseits. Natürlich Alles unverbindlich!

Ihr klenner.at Team

E-Mail an klenner.atShare0Share +10Tweet0Share0

Neue Bedrohung für fast Alle: Meltdown und Spectre

Neue Bedrohung für fast Alle: Meltdown und Spectre

Die Entwicklung von Patches läuft auf Hochtouren, seit die beiden neusten Angriffsszenarien Meltdown und Spectre entdeckt wurden: Diese werden durch Sicherheitslücken bzw. Hardware-Bugs in allen Geräten möglich gemacht, die in den letzten 20 Jahren hergestellt wurden.

Sicherheitslücke

Forscher haben vor kurzem Schwachstellen in der Hardware-Architektur von Prozessoren entdeckt. Dadurch können Angreifer mit Schadcode alle Daten, die der Computer im Speicher verarbeitet auslesen – Passwörter, genauso wie Zugangscodes. Die Fülle an Angriffsmöglichkeiten wurde von drei Projektgruppen entdeckt. Durch den Fehler lässt sich Speicher auslesen, auf die ein User-Prozess gar nicht zugreifen dürfte (sog. Bruch der Memory Isolation).

Was technisch bei so einem Angriff passiert, können Sie in einer Analyse von Andreas Stiller nachlesen. Feststeht, dass die neuartigen Angriffsszenarien nicht mit herkömmlichen Softwareschwachstellen  vergleichbar sind. Ihre Besonderheit liegt darin, dass sie direkt das Design des Chips ausnutzen, das eigentlich die Rechenprozesse beschleunigen soll.

Besonders gefährdet sind Web-Browser: Sie laden Code herunter und führen ihn aus (JavaScript, HTML 5). Schadcode könnte beispielsweise über unseriöse Webseiten eingeschleust werden. Dagegen helfen Browser-Updates und Script-Blocker wie NoScript.

„Meltdown“ betrifft hauptsächlich Intel, ARM und AMD Prozessoren. Software-Patches können hier zwar die Angriffsfläche verringern, aber den Fehler nicht gänzlich beheben. Zusätzlich zu den Betriebssystem-Updates müssen auch BIOS Updates der jeweiligen Computer- bzw. Motherboard-Hersteller eingebracht werden. Bei Markengeräten und jüngeren PCs jetzt kein großes Problem, aber zig-Millionen Noname- und Supermarkt PCs in technisch nicht versierten Haushalten stellen eine riesige Gefahr dar. Da es sich um eine Hardware-Lücke handelt, sind alle Betriebssysteme betroffen, also etwa Windows, Linux, macOS, iOS, Android und FreeBSD.

Ob Ihre Geräte davon betroffen sind?

Mit größter Wahrscheinlichkeit Ja! Die anfälligen Prozessoren sind in so ziemlich allen Geräten verbaut – von PCs, Laptops und Smartphones, bis hin zu Tablets und Streaming-Boxen.

Auch ein Antivirus-Programm kann hier keinen Hunderprozentigen Schutz gewährleisten.

Grundsätzlich sind aktuelle, als auch ältere Prozessoren für mindestens eins der Angriffsszenarien anfällig. Eine ausführliche Auflistung finden Sie hier. Einer der wenigen Prozessoren, die als nicht betroffen gelten ist der Prozessor des Raspberry Pi.

Wie kann man sich schützen?

Für alle Benutzer von Windows- betriebenen PCs oder Laptops ist es hilfreich die letzten Windows 10 – und BIOS Updates von Dell, HP, Lenovo, oder der anderen Hardware Herstellern sicherzustellen. Microsoft hat bereits Patches zur Verfügung gestellt, die zumindest eine Ausnutzung der Sicherheitslücken schwerer machen sollen. Auch andere Betriebssystemhersteller rollen bereits Updates aus. Am besten schnellstmöglich installieren!Updates diverser Hersteller, sowie Infos dazu finden Sie hier. Die Liste wird laufend aktualisiert.

Nochmal zusammengefasst Willy’s 10 Punkte Liste:

  1. Immer das aktuellste Betriebssystem mit den aktuellsten Updates und Patches verwenden
  2. Auch alle Anwendungssoftware wie Browser, PDF Reader, Grafikprogramme auf den neuesten Stand bringen
  3. Das BIOS des Computer aktualisieren. Wer es nicht selber kann soll sich Hilfe holen.
  4. Unbedingt für jeden genutzten Dienst ein eigenes Passwort anlegen, nie das gleiche Passwort für mehrere Dinge verwenden
  5. Das EMail-Passwort ist das Wichtigste. Hier ein starkes Passwort verwenden. Wer dieses ergaunert hat, kann sich über „Passwort zurücksetzen“ andere Dienste freischalten lassen
  6. Verwenden Sie ein gutes und aktuelles Antivirenprogramm. Die Updates für dieses müssen automatisch und zumindest stündlich aktualisiert werden. 
  7. Wenn es sich um Firmengeräte handelt, schützen Sie sich durch eine richtige Hardware-Firewall. Diese (wenn sie eine aktuelle ist) schützt Sie auch vor Viren und Angriffen, in dem sie den Datenverkehr direkt am Internetanschluss kontrolliert und ggf. blockiert.
  8. Sobald alle Updates (auch das BIOS) installiert sind, die Passwörter wechseln. Man kann nie wissen, ob sie nicht schon ausgespäht worden sind
  9. Geben Sie acht, worauf Sie klicken. Wenn Ihnen etwas komisch vorkommt, schauen Sie genau oder kontaktieren Sie den Absender.
  10. Wenn Ihr Handy keine Updates mehr erhält, tauschen Sie es aus. Es gibt sehr gute Geräte um unter € 300,-, diese kann man wieder ein paar Jahre nutzen

Wie geht’s jetzt weiter?

In einem Artikel von futurezone heißt es: Ein komplett neues Chip-Design werde es nicht von heute auf morgen geben. Das wird noch viele Jahre dauern…

Auch noch wichtig! Wenn Sie eine E-Mail vom Bundesamt für Sicherheit in der Informationstechnik erhalten, in der Sie gebeten werden, den von ihnen, AMD und Intel entwickelten Sicherheitspatch zu installieren: Auf KEINEN Fall installieren, sondern die Mail sofort löschen!Dabei handelt es sich um eine Fake-Mail, die gerade in Umlauf ist und die auf eine Fake-Website führt – mit einem als Sicherheitspatch getarnten Windows-Trojaner!

Beitrag von Wilhelm Klenner: Hier erfahren Sie mehr über Insider-Erkenntnisse und wie wir von klenner.at mit der derzeitigen Situation umgehen, um unsere Kunden bestmöglichst zu schützen…

Share0Share +10Tweet0Share0 Default button text

1