10.05.2023 Die Zwei-Faktor-Authentifizierung aushebeln

Schwachstelle Mensch

Jahrelang wurde uns versichert, dass wir mit einer Zwei-Faktor-Authentifizierung (2FA) sicher(er) seien. Allen voran die Banken haben solche Verfahren einführen müssen. Mit der EU Banken-Richtlinie PSD2 wurden sie Standard. Bereits damals hatten wir kritisiert, das das sinnvolle Verfahren durch die Abschaffung des "2. Wegs" wieder amputiert wird. So waren für die 2. Authentifizierung anfangs SMS o.ä. üblich, inzwischen laufen oft beide Wege wieder über ein Gerät - meist das Smartphone.

Nun hat sich herausgestellt, dass beim Kampf der Cybersicherheit gegen die Hacker letztere am Aufholen sind. In 2 Artikeln beschreibt Heise.de die Vorgehensweise der Hacker. Eigentlich ist alles beim alten geblieben - beim Pishing - nur der Aufwand, den die Hacker betreiben müssen, ist größer geworden.

Social Engineering statt neuer Technik

Weiterhin ist die Taktik der Hacker das Opfer solange zu verwirren, bis es Fehler macht. Die Tricks sind

• dein Handy braucht ein Update,
• dein Handy ist defekt,
• ein Systemfehler ist aufgetreten, drücken Sie hier oder da,
• u.v.m. ...

MFA-Fatigue-Angriff

Deshalb kommt ein MFA-Fatigue Angriff meist abends oder am Wochenende, wenn man ermüdet ist und eine technische Hilfe oder KollegInnen nicht erreichbar sind. Dann wird man mit "unlogischem Verhalten" der Technik verwirrt, solange bis man seine Passworte an der falschen Stelle eingibt. Eigentlich dürfte man das nicht tun, schreibt PCspezialist.de, denn:

Eine Authentifizierungsanfrage wird nur dann abgesendet, wenn Sie zuvor das korrekte Passwort in ein System eingegeben haben. Denn genau das ist ja der Sinn der Multi-Faktor-Authentifizierung – der zusätzliche Schutz durch eine zusätzliche Sicherheitsabfrage.

Ein Einmal-Passwort (OTP) kann also vom System nie verlangt, werden, wenn man sich nicht vorher dort einloggen wollte. Passiert dies doch, so ist es mit Sicherheit ein Cyberangriff. Die Angreifer versuchen ihre Opfer jedoch durch wiederholte Abfragen und/oder Abweisungen "des Systems" zu verwirren. So eine Abfrage kann auch ein Anruf "einer technischen Abteilung" sein, die einen angeblichen "Systemfehler" zurücksetzen müsse. Die Schwachstelle der Zwei-Faktor-Authentifizierung (2FA) bleibt der Mensch.

Mehr dazu bei https://www.heise.de/ratgeber/Ausprobiert-Phishing-trotz-Zwei-Faktor-Authentifizierung-8981919.html
und https://www.heise.de/ratgeber/IT-Security-Wie-Angreifer-die-Zwei-Faktor-Authentifizierung-aushebeln-8973846.html
und https://www.pcspezialist.de/blog/2022/11/28/mfa-fatigue-angriff/

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3u1
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8395-20230510-die-zwei-faktor-authentifizierung-aushebeln.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8395-20230510-die-zwei-faktor-authentifizierung-aushebeln.html
Tags: #Schwachstelle #Mensch #Zwei-Faktor-Authentifizierung #2FA #PSD2 #SocialEngineering #MFA-Fatigue-Angriff #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Smartphone #Handy #IMSI-Catcher #Cyberwar #Hacking
Erstellt: 2023-05-10 08:08:28

#Schwachstelle in Messenger-Apps: Zustellbestätigung erlaubt Rückschlüsse auf Standort

https://idw-online.de/de/news804468

Wer #WhatsApp, #Threema und #Signal nutzt, kennt den folgenden Ablauf: Nach dem Absenden einer Nachricht wird diese mit einem Häkchen markiert. Sobald die Nachricht auch bei der Empfängerin oder dem Empfänger angekommen ist, erscheint ein zweites Häkchen als Bestätigung. Aus der Zeitspanne zwischen dem Erscheinen des ersten und des zweiten Häkchens kann man jedoch unter bestimmten Voraussetzungen den Aufenthaltsort des Zielhandys ermitteln, wie ein Forschungsteam um Dr. Theodor Schnitzler herausgefunden hat.

#warnung #problem #sicherheit #Privatsphäre #überwachung

Wie wird man ein Hacker?

Wer sich solche Fragen stellt und das sind häufig unwissende Jugendliche, die zu viele Hollywood-Filme gesehen haben wo die Hacker meistens total unrealistisch dargestellt werden.

Deswegen schaut euch dieses Video an und wenn ihr es restlos verstanden habt, dann habt ihr zumindest gute Voraussetzungen.

https://www.youtube.com/watch?v=eScc8w3CtWA

#bnd #challende #rsa #hack #Verschlüsselung #Mathe #Schwachstelle #Code #Hacker #Aufgabe #Erklärung #Wissen

02.01.2022 Open Source stabiler und besser

Image von Open Source Programmen in Gefahr?

Schon vor 3 Wochen hatten wir über die Sicherheitslücke Log4j berichtet. Diese in vielen Softwarepaketen enthaltene Funktion zum Loggen der Arbeit dieser Software ist ein Open Source Produkt, d.h. sie ist in freiwilliger Arbeit und meist ohne Bezahlung entstanden.

Birgt diese Sicherheitslücke nun die Gefahr das gute Image von Open Source Programmen zu gefährden? Diese Gefahr besteht nicht, denn wie "Wired" bereits 2004 feststellte, erweist sich im Allgemeinen Open Source Software als viel sicherer als kommerzielle Varianten. So werden im Quellcode des frei verfügbaren Betriebssystems Linux durchschnittlich 0,17 Fehler pro 1000 Zeilen Code gefunden aber in den kommerziellen Systemen sind es zwischen 20 und 30.

Lassen wir uns diese Zahlen mal auf der Zunge zergehen: Gut bezahlte Programmierer in den Büros der Internetgiganten Google, Apple und Microsoft machen 100 bis 200-mal mehr Fehler als Menschen, die in ihrer Freizeit und mit Lust und Laune programmieren. Hinzu kommt noch, dass die Programmierer in den Konzernen von Abteilungen der Qualitätssicherung kontrolliert werden, die es trotzdem nicht schaffen diese Fehler zu bemerken und zu korrigieren.

Manon Bischoff stellt auf spektrum.de dazu fest:

Während angestellte Informatiker in Firmen nicht selten sechsstellige Jahresgehälter beziehen, finanzieren sich Personen, die an Open-Source-Projekten arbeiten, über Spenden. Tatsächlich hatte Ralph Goers, der Log4j in seiner Freizeit (neben seinem Vollzeitjob) verwaltet, bis vor Kurzem lediglich drei Förderer auf der Software-Plattform »GitHub«. Auch Volkan Yazıcı, der an Log4j mitarbeitet, beschwert sich auf Twitter: "Wir haben ununterbrochen an Maßnahmen gearbeitet … Doch nichts hält die Leute davon ab, uns wegen einer Arbeit zu beschimpfen, für die wir nicht einmal bezahlt werden …"

Auch ihre Recherche ergibt, dass trotz Log4j und dem Verweis auf die Heartbleed Lücke vor einigen Jahren, ebenfalls in Open Source Software, frei verfügbare Quellcodes viele Vorteile bieten, die weit über die "finanzielle Aspekte" (= die Ausbeutung der Programmierer) hinausgehen. Software, die nicht an die festen Strukturen gebunden ist, die ein Unternehmen stets vorgibt, kann Anwendungen ermöglichen, die anfangs vielleicht gar nicht angedacht waren. Auch die freie Diskussion unter den Entwicklern schafft Möglichkeiten, die im fest geschlossenen Geheimlabor eines Unternehmens nicht entstehen können.

Unser Fazit bleibt also das Gleiche, wie in dem Artikel vor 3 Wochen: ... in Deutschland könnte das BSI mit der Digitalisierungs-geilen neuen Koalition im Rücken endlich mal Position für Open Source Software beziehen - aber das geht der unternehmensfreundlichen FDP sicher wieder zu weit. Mit poliiitscher und finanzieller Unterstützung für Open Source in den letzten 20 Jahren sähe die Software-Landschaft aber auch die Digitalisierung in Europa anders aus.

Mehr dazu bei https://www.spektrum.de/news/log4j-sicherheitsluecke-und-open-source/1961080
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7881-20220102-open-source-stabiler-und-besser.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7881-20220102-open-source-stabiler-und-besser.htm
Tags: #Log4j #Lücke #Schwachstelle #OpenSource #Apple #Microsoft #Facebook #Google #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Smartphone #Handy #App #Verhaltensänderung #Profit #EU #Cyberwar #Hacking #Trojaner #Vielfalt #Anwendbarkeit

16.12.2021 Java-Lücke steckt in vielen Softwarepaketen

Alle warten auf unbezahlte Überstunden

In der Software Log4j der viel genutzten Sprache Java wurde vor knapp 2 Wochen eine Lücke entdeckt. Zwei Wochen sagen jetzt viele - da könnte die Lücke ja langsam wieder geschlossen sein. Mit einigen Tausend Programmierern und einigen Millionen sollte man so etwas doch in den Griff bekommen.

Nun ist diese Lücke Teil von Open Source Entwicklungen - was wir sehr begrüssen - nur arbeiten ihre Programmierer entweder in ihrer Freizeit oder zu einer sehr bescheidenen Entlohnung.

Denken wir an den 2014 entdeckten "Heartbleed-Bug" in der Verschlüsselungssoftware "Open SSL": Die vier Kernentwickler von "Open SSL" arbeiten mit einem auf Spenden basierenden jährlichen Budget von lächerlichen 2.000 US-Dollar. Und Ralph Goers, der Hauptbetreuer von "Log4J", bastelt nach Feierabend an dem Programm, wie die Junge Welt schreibt.

Betroffen von der Schwachstelle in Log4j ist nun aber nicht nur die Open Source Gemeinde, sondern im Gegenteil gerade die großen Internetmonopole wie Google, Amazon, Facebook, u.v.a. nutzen auch gern kostenlose Open Source Software. So war die Serverlandschaft von AWS (Amazon) schwer betroffen. Jetzt könnten sich diese mit einer öffentlichen Spende ohne Bedingungen mal aushelfen ...

Andererseits will die Open Source Gemeinde kein Geld von den Monopolisten annehmen. Hier könnte in Deutschland das BSI mit der Digitalisierungs-geilen neuen Koalition im Rücken endlich mal Position für Open Source Software beziehen - aber das geht der unternehmensfreundlichen FDP sicher wieder zu weit. Mit poliiitscher und finanzieller Unterstützung für Open Source in den letzten 20 Jahren sähe die Software-Landschaft aber auch die Digitalisierung in Europa anders aus.

Apropos BSI - das Bundesamt für die Sicherheit in der Informationstechnik rechnet noch für Monate mit Nachwirkungen aus dieser Schwachstelle. Bis zum 1.12. lässt sich zurückverfolgen, dass sie von Hackern ausgenutzt wurde. Sie war vor allem beim Spieleanbieter Minecraft aufgefallen. Auf wie vielen anderen Plattformen sich damit Hacker Zugang zu Servern bekommen haben und welche Hintertüren sie sich für zukünftige Angriffe eingebaut haben, wird erst die Zukunft zeigen.

Unsere Webseiten bei Aktion-FsA laufen seit 12 Jahren ohne Java Programme und fordern den Nutzer nie zum Erlauben von Java-Skripten auf.

Mehr dazu bei https://www.jungewelt.de/artikel/416606.rotlicht-log4shell.html?sstr=logshell
und https://www.spiegel.de/netzwelt/web/log4-j-schwachstelle-ja-leute-die-scheisse-brennt-lichterloh-a-760bd03d-42d2-409c-a8d2-d5b13a9150fd
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7864-20211216-java-luecke-steckt-in-vielen-softwarepaketen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7864-20211216-java-luecke-steckt-in-vielen-softwarepaketen.htm
Tags: #Log4j #Lücke #Schwachstelle #OpenSource #Amazon #MInecraft #Facebook #Google #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Smartphone #Handy #App #Verhaltensänderung #Profit #EU #Cyberwar #Hacking #Trojaner

Gefahr durch Software-Schwachstelle | DW | 12.12.2021

Das Bundesamt für Sicherheit in der Informationstechnik schlägt Alarm: Cyberattacken auf eine weit verbreitete Java-Bibliothek könnten viele Computer bedrohen. Warnstufe Rot!#Cyberangriffe #BSI #Internet #Sicherheit #Java #Log4j #Schwachstelle #Software
Gefahr durch Software-Schwachstelle | DW | 12.12.2021

CERT-Bund auf Twitter: "Rund 12.000 bzw. 30% der uns bekannten #Exchange-Server 2013/2016/2019 mit offenem #OWA in Deutschland sind aktuell für mindestens eine kritische #Schwachstelle verwundbar, da sie mit einem veralteten Cumulative-Update-Stand laufen, für den keine Patches verfügbar sind. 🚨🔥 https://t.co/94Yf7B7E5p" / Twitter

PATCH YOUR EXCHANGE NOW!

https://twitter.com/certbund/status/1465705906880991247