#passworte

aktionfsa@diasp.eu

23.10.2024 SimpleX - neuer verschlüsselter Messenger

Dezentral, verschlüsselt, sicher, Open Source

In vielen Beiträgen haben wir bereits über sicher verschlüsselte Open Source Messenger berichtet (Sichere Messenger , Privatsphäre schützen - was tun? ). Unsere letzten Empfehlungen waren Session, Signal, Briar, ...

Nun kommt ein neues Programm dazu: Der Open-Source-Messenger SimpleX. Das Programm gab es Anfang des Jahres für Desktopumgebungen und nun steht es bei Android und für das iPhone in den App Stores zum Download für Smartphones/Handy. Für Android Nutzer, die vorsichtshalber auf den Google Play Store verzichten wollen, gibt es auch die APK Datei direkt als Download.

Im Gegensatz zu Signal und genau wie bei Session braucht man für den eigenen Acount keine Telefonnummer und es gibt keinen zentralen Server über den die Nachrichten laufen. Die (dezentralen) Server kann man bei Bedarf auch selbst betreiben.

Zur Kontaktaufnahme ist lediglich der Austausch von QR-Codes notwendig. In der nächsten Version sollen auch verschlüsselte Audio- und Videoanrufe via WebRTC zur Verfügung stehen.

Ausprobieren und verschlüsselt kommunizieren! Nicht vergessen, vorgestern war Global Encryption Day.

Mehr dazu bei https://www.heise.de/news/Dezentral-anonym-verschluesselt-SimpleX-Messenger-jetzt-auch-fuers-Smartphone-6544488.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3Dr
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8942-20241023-simplex-neuer-verschluesselter-messenger.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8942-20241023-simplex-neuer-verschluesselter-messenger.html
Tags: #SimpleX #sichereMessenger #OpenSource #Passworte #Verschlüsselung #Bitmessage #Briar #Session #Signal #Wire #PGP #Zwangsdigitalisierung #Vortrag #Workshop #Datensicherheit #Überwachung #Verbraucherdatenschutz #Datensicherheit #Cyberwar #Hacking

aktionfsa@diasp.eu

Keylogger auf Microsoft Exchange Servern

Anmeldedaten können entwendet werden

Ein Expertenteam von PT ESC, Positive Technologies, berichtet über einen ausgeklügelten Keylogger auf der Anmeldeseite von Microsoft Exchange Servern. Dadurch könnten Unternehmen und Regierungsbehörden auf der ganzen Welt betroffen sein.

Der Keylogger liest Benutzeranmeldeinformationen wie Benutzernamen und Passwörter und speichert diese in einer Datei, die aus dem Internet ausgelesen werden kann. Dabei nutzen die Angreifer eine ProxyShell-Schwachstelle.

Da dies eine gut dokumentierte Sicherheitslücke in Microsoft Exchange Servern ist, sollten Angriffe darüber schnell entdeckt werden. Bisher sind 30 Fälle bekannt, die meisten Regierungsbehörden, Bildungseinrichtungen, Konzerne und IT-Unternehmen. Es wird von Angriffen in Russland, den Vereinigten Arabischen Emiraten, Kuwait, Oman, Niger, Nigeria, Äthiopien, Mauritius, Jordanien und dem Libanon berichtet.

Auf der verlinkten Seite werden Sicherheitsempfehlungen für die Admins der Exchange Server beschrieben.

Mehr dazu bei https://cybersecuritynews.com/keylogger-embedded-microsoft-exchange-server/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3AQ
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8791-20240529-keylogger-auf-microsoft-exchange-servern.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8791-20240529-keylogger-auf-microsoft-exchange-servern.html
Tags: #ProxyShell-Schwachstelle #Keylogger #Passworte #Anmeldedaten #WindowsServer #Probleme #Update #ExchangeServer #Performance #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Transparenz

aktionfsa@diasp.eu

11.09.2023 Anbieter sollen Passworte herausgeben

... die sie nicht haben - Vertrauen in Digitalisierung verspielt

Da schauen wir bei Gesetzesänderungen eigentlich aus schlechter Erfahrung etwas genauer hin und trotzdem ist die Änderung von Telemediengesetz (TMG) und des Netzwerkdurchsetzungsgesetz (NetzDG) im Winter und Frühjahr 2020 durch das Gesetz "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" zwar nicht völlig an uns vorbeigegangen, aber wir haben ein "Hintertürchen" übersehen was die damit verknüpften Grundrechtseingriffe noch viel größer macht.

Jetzt 3 Jahre danach kann man zwar sagen, den Dammbruch des Rechtsstaates hat es nicht gegeben, weil die Gesetze-Schreiber wie üblich weit von der technischen Realität entfernt waren. Doch der Reihe nach - was waren die Inhalte?

  • Die begehrten Bestandsdaten sollen generell neben Strafverfolgern und sämtlichen Geheimdienste auch Ämter in die Hände bekommen, die etwa Ordnungswidrigkeiten oder Schwarzarbeit ahnden.
  • Der Auskunftsanspruch soll "soweit dies zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist", also zum Verfolgen von Urheberrechtsverletzungen, genutzt werden.
  • Zu den abfragbaren Daten gehören ausdrücklich auch Daten auf räumlich getrennten Speichereinrichtungen (Cloud).
  • Passwörter sollen Behörden erhalten, die "besonders schwere Straftaten" verfolgen oder für die "Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständig" sind.

Passwörter?

Regen wir uns an dieser Stelle nicht schon wieder über "Ordnungswidrigkeiten" und die Gelddruckmaschine für Abmahnanwälte auf, das hatten wir damals bei der Novelle vor 3 Jahren bereits getan. Aber der Cloudzugriff und die Herausgabe von Passwörtern haben es in sich. Wir verstehen noch, dass der Serverbetreiber auf die Cloud (auf seinem Server) zugreifen kann, nehmen aber an, dass die persönlichen Daten der Nutzer verschlüsselt abgelegt werden und nach allgemeiner Rechtsauffassung der Serverbetreiber das Passwort, wie auch alle anderen Nutzerpasswörter nicht im Klartext speichert.

Denn das Gesetz verlangt von Telemedienanbieter im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und den gängigen IT-Sicherheitsbestimmungen, dass Passwörter verschlüsselt gespeichert werden müssen. Den Serverbetreibern sind also nur irgendwelche Hashwerte bekannt, niemals jedoch die wirklichen Passworte. Also können auch Sicherheitsbehörden im Normalfall von den Betreibern auch keine erhalten.

Das zeigt wieder einmal, wie wichtig es ist, nicht irgendwelche Anbieter für die Aufbewahrung der eigenen Daten zu wählen - und vor allem keine, die nach US-Recht nicht an die DSGVO gebunden sind.

So gab es 3 Jahre nach der Gesetzesänderung auch kaum sensationelle Fälle von Passwortherausgaben. Trotzdem hätten wir vor 3 Jahren vor der Gefahr warnen müssen, denn ständig machen auch IT-Verantwortliche Fehler und können damit die ihnen anvertrauten Daten ihrer Kunden in Gefahr bringen.

Kritisieren müssen wir - auch nach 3 Jahren, denn ihre Begehrlichkeiten sind inzwischen nicht kleiner sondern größer geworden - die Regierenden, dass sie mit solchen Gesetzen das Vertrauen in die Datenverarbeitung untergraben und damit ihren eigenen Digitalisierungswahn selbst boykottieren.

Mehr dazu bei https://www.heise.de/news/Kampf-gegen-Hass-Bundesregierung-stimmt-fuer-Pflicht-zur-Passwortherausgabe-4663947.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3wa
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8520-20230911-anbieter-sollen-passworte-herausgeben.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8520-20230911-anbieter-sollen-passworte-herausgeben.html
Tags: #Passworte #Bestandsdatenauskunft #Lauschangriff #Überwachung #Vorratsdatenspeicherung #Rasterfahndung #Datenbanken #Hashwert #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Anonymisierung #Verschlüsselung

aktionfsa@diasp.eu

30.05.2023 KI fälscht Stimmen

KI kann Stimmen recht genau nachmachen

Es gibt immer noch Menschen, die sich darauf verlassen, dass ihre biometrisch eindeutigen Merkmale so sicher sind, dass sie damit ihr Handy, das Auto oder die Haustür entsperren. Davor haben wir schon gewarnt als die Fähigkeiten künstlicher Intelligenz (KI) noch sehr bescheiden waren.

Inzwischen rappt eine KI wie Enimen und bringt dabei rassistische Texte hervor und Emma Watson, die brave Mitschülerin von Harry Potter liest angeblich aus Hitlers "Mein Kampf" vor. "Das waren noch Zeiten, als Tech-Vordenker die Voice-Revolution ausriefen und die Stimme zum fälschungssicheren Passwort erklärten" ... "Mithilfe von KI kann heute jeder Songs schreiben und Stimmen klonen. Algorithmen erkennen in Audiodateien spezifische Stimmcharakteristika und akustische Muster, die sie mithilfe eines statistischen Modells reproduzieren", schreibt nzz.ch.

Damit dürfen wir künftig keinem Wort glauben, das uns ein Politiker in einem Video erzählt, denn es könnte ein Deep Fake sein. Nicht nur für Journalisten wird das Leben schwieriger. Besonders in den Zeiten vor Wahlen müssen wir damit rechnen Opfer von Manipulationen zu werden.

Wieder müssen wir mit Wehmut an die Anfänge des Internets und die "Magna Charta for the Knowledge Age" oder die "Declaration of the Independence of Cyberspace" aus den frühen 90-iger Jahren denken, an die wir bereits vor 2 Tagen erinnern konnten ( Aneignung von allem durch Wenige ).

Mehr dazu bei https://www.nzz.ch/feuilleton/wer-spricht-da-ki-faelscht-stimmen-so-dass-niemand-etwas-merkt-ld.1733762
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3uj
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8413-20230530-ki-faelscht-stimmen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8413-20230530-ki-faelscht-stimmen.html
Tags: #AI #KI #künstlicheIntelligenz #Stimmerkennung #Biometrie #Passworte #IrisScan #DeepFakes #EmmaWatson #Enimen #Transparenz #Informationsfreiheit #Verhaltensänderung #Manipulation #Wahlen #Beeinflussung

aktionfsa@diasp.eu

10.03.2023 So schnell verliert man alles

Mit der Apple ID hat der Hacker alles

Heise.de warnt vor einer Häufung von Fällen in denen Hacker mit Hilfe geklauter iPhones zusätzlich Zugriff auf die Apple-ID bekamen und damit an persönliche Daten kamen und auch Bankkonten leer räumen konnten. Das Problem hat sich Apple selbst geschaffen, da es erstaunlich einfach ist, das zentrale Passwort einer Apple-ID zu ändern. Hat man diesen Zugriff, so kommt man damit praktisch an alle auf dem iPhone (und im Apple-Account, also der iCloud) vorhandenen Daten.

Ein wenig aus der Zeit gefallen erscheint dabei, dass Apple diese PIN standardmäßig aus sechs Ziffern bildet. Sie kann allerdings auch alphanumerisch, aber sogar nur vierstellig sein. Apple schreibt dazu, dass diese PIN als "Grundlage" dient, "wie ein iPhone-, iPad-, Mac- oder Apple Watch-Gerät die Benutzerdaten kryptografisch schützt".

Einerseits verlieren Menschen, die ihre PIN vergessen, ihr geamtes digitales Leben samt dem Backup in der iCloud. Andererseits haben eventuell andere mit dieser PIN den vollen Zugriff. Immerhin hat Apple "Mitgefühl mit den Nutzern, die diese Erfahrung gemacht haben". Apple ist aber der Meinung, dass diese Fälle selten sind, da sie den Diebstahl des Geräts und der PIN voraussetzen.

Dabei reicht es schon den iPhone-Besitzer bei der PIN-Eingabe zu filmen und ihm anschließend das Gerät zu entwenden. Auch der Verweis auf alternative Eingaben, etwa durch den Fingerabdruck oder das biometrische Gesicht sind keine Entwarnung, denn sie machen die Ausführung des Diebstahl nur brutaler.

Vorgang dauert nur (drei) Minuten

  • PIN-Eingabe filmen.
  • Physischen Zugriff auf das Gerät bekommen.
  • Mit PIN-Eingabe in die Systemeinstellungen und das Passwort ändern.
  • Einen sogenannten Recovery-Key setzen, mit dem man seine Apple-ID zusätzlich absichern kann.

Mit dem letzten Schritt wird auch die Verfolgung des iPhones über die "Wo ist" Funktion deaktiviert, so dass eine Rückerlangung des Accounts fast unmöglich ist. Mit dem neuen Apple-ID-Passwort haben die neuen Besitzer auch Zugriff auf das iCloud-Schlüsselbund und können auf alle Accounts des Eigentümers zugreifen. Sollte er auch Bezahldienste, wie Apple Cash als virtuelle Karte oder andere Bezahldienste verwenden, kann es schnell teuer werden. Wenn nicht, dann - so schreibt heise.de: "Es kam zudem vor, dass Diebe eine Apple-Card-Kreditkarte auf den Nutzernamen bestellten und diese gleich auf dem iPhone verwendeten."

Was kann man tun?

Man kann es einfach lassen! Oder man bewegt sich in der Öffentlichkeit - oder unter dem vielleicht gehackten Rauchmelder im Schlafzimmer - nur noch paranoid - deckt bei der PIN Eingabe das Gerät ab - nutzt keine biometrischen Merkmale, wie Fingerabdruck oder Gesicht - speichert keine wichtigen Passworte auf mobilen Geräten - nutzt keine SIM Karte im Gerät, damit Diebe keine Codes für die Zwei-Faktor-Authentifizierung über die "vertrauenswürdige Telefonnummer" erhalten können - kämpft gegen allgegenwärtige Videoüberwachung und ... und ... und.

Das machen wir doch alles schon seit Jahren ;-)

Mehr dazu bei https://www.heise.de/news/Nur-mit-iPhone-PIN-Diebe-raeumen-Apple-ID-und-Bankkonten-ab-7527961.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3sU
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8331-20230310-so-schnell-verliert-man-alles.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8331-20230310-so-schnell-verliert-man-alles.htm
Tags: #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #Verhaltensänderung #Privatsphäre #Passworte #PIN #AppleID #Cyberwar #Hacking #RFID #Biometrie #eHealth
Erstellt: 2023-03-10 08:59:40

raschmi@pod.geraspora.de

Echt jetzt?

Am Montag, 02. November 2020, gegen 17 Uhr, verlor ein #Mann in #Brakel eine #EC-Karte mit dem dazugehörigen #PIN…Es entstand ein Schaden im vierstelligen Bereich.…

#Angebot an den werten #Herrn:

Bitte überweisen Sie mir einfach einmal im Jahr eine 4-stellige #Summe und ich verwalte ihre #Pin. Wenn Sie diese vergessen sollten genügt ein #Anruf!

Im #Ernst, selbst wenn ich mir das #Passwort nicht merken kann, dann graviere ich es in die #Armbanduhr, das #Armaturenbrett oder nutze das #Geheimfach im Absatz! Aber doch keinen #Zettel bei der Karte oder im #Portemonnaie.

#Sicherheit #Passworte