Was ist Clickjacking?

7. Juli 2012 admin 1 Kommentar

Logo Hubit-Datenschutz Clickjacking ist eine ganz raffinierte Technik, die von Hackern eingesetzt wird, um das System zu manipulieren.
Im Prinzip werden die Klicks entführt. Der Benutzer denkt er würde sich auf einer Webseite befinden. Wenn er auf einen Link klickt, dann sieht es für ihn ganz gewöhnlich aus.

Aber was passiert nun wirklich?

Das Hackerprogramm legt (für den Benutzer unsichtbar) Schaltflächen hinter den Link. Das heißt, dass der Benutzer glaubt auf einen Link zu klicken, doch in Wirklichkeit wird diese unsichtbare Schaltfläche angeklickt.

Was sind das für Schaltflächen?

Das kann sehr unterschiedlich sein. Es kann sein, dass dadurch ein Programm installiert wird oder Einstellungen in der Systemsteuerung geändert werden. So kann z.B. das Mikrofon eingeschaltet werden oder das Antivirenprogramm deaktiviert werden.

Ein Schutz gegen Clickjacking ist für den Benutzer schwer umzusetzen. Das eigentliche Problem liegt in dem Aufbau von JavaScript.

Der mögliche Schutz kann eigentlich nur von Fachleuten umgesetzt werden. Hier sind zum einen die Hersteller von Browser, wie z.B. Internet Explorer, Firefox oder Opera gefordert und zum anderen die Entwickler von Webanwendungen.
Die Entwickler müssen den Header X-Frame-Option mit bestimmten Werten senden. Die meisten Browser unterstützen diesen Header mittlerweile. Doch leider nicht alle.

Dem Benutzer kann nur geraten werden, einen aktuellen Webbrowser zu verwenden.

Nachrichten Datenschutz und Datensicherheit

Achtung: Phishing bei Strato-Kunden!

5. Juli 2012 admin

Logo Hubit-Datenschutz Wie bei heise online zu lesen war, seien derzeit besonders Strato-Kunden von Phishing-Attacken betroffen.

Was bedeutet Phishing?
Beim Phishing wird dem Internetbenutzer vorgegaukelt, er sei auf der Webseite eines seriösen Internetanbieters. Dort wird er meist aufgefordert, geheime oder sensitive Daten einzugeben.
Dies können Kreditkartendaten aber auch Login-Daten sein.

Phishing startet meist mit einer Email. In der Email wird dem „Opfer“ suggeriert es gebe ein Problem oder ein Sicherheitsproblem. Meist wird versucht zeitlichen Druck auszuüben, damit das Opfer sich gedrängt fühlt und sich nicht die Zeit nimmt, die Angaben zu prüfen. In der Email ist meist ein Link, der auf die oben beschrieben Webseite führt. Die Seite sieht optisch der des echten Anbieters sehr oder genau ähnlich. Farben sind dem Original nach empfunden. Aber auch der Aufbau der Webseite und selbst das Logo des echten Anbieters sind zu finden.

Mit Hilfe des Phishing wird in diesem Fall versucht die Login-Daten der strato-Kunden zu erlangen. Das dahinter steckende Ziel kann vielseitig sein.
Möglich wäre, dass man auf diese Weise Email-Konten anlegen möchte, über die Spam-Mails verschickt werden sollen. Möglich wäre aber auch eine Manipulation der Webseiten oder Server.

In jedem Falle gilt:
Seien Sie skeptisch. Wenn Ihnen etwas komisch vorkommt, dann rufen Sie Anbieter an und fragen dort nach, ob diese Email wirklich von ihm stammt.

Nachrichten Datenschutz und Datensicherheit

Android-Handys sind nicht mehr sicher

4. Juli 2012 admin

Logo Hubit-Datenschutz Ein Android-Handy ist nicht mehr so sicher, wie bislang geglaubt. Forscher der Universität North Carolina gelang es, ein Clickjacking-Rootkit zu entwickeln. Mit diesem kleinen Programm ist es möglich eine App zu infizieren und so das Handy zu infizieren.

Erschreckend ist, dass es derzeit keine Technik gibt, die eine solche Infizierung bzw. Sicherheitslücke erkennen kann. Glücklicherweise ist es Forscher und nicht Hackern gelungen ein solches Rootkit zu entwickeln. Die Forscher wollen sich nun daran machen, geeignete Erkennungsverfahren zu entwickeln. Das Clickjacking-Rootkit greift nicht den Kernel an sondern das Android-Framework.

Durch ein solches Clickjacking-Rootkit ist es möglich, Daten und Dateneingaben auszulesen bzw. abzufangen. Ein Beispiel zur Verdeutlichung:

Der Browser, mit dem die Internetseiten angesehen werden, hat immer noch den gleichen „Look and Feel“, aber alle Daten werden gesammelt und ausgewertet. Betroffen hiervon könnten zum Beispiel Zugangsdaten für das Onlinebanking, Kreditkarteninformationen und weitere sensible Daten sein.

Nachrichten Datenschutz und Datensicherheit

Neues Meldegesetz ist ein datenschutzrechtlicher Rückschritt

3. Juli 2012 admin

Logo Hubit-Datenschutz Viele Bürger wissen es vielleicht gar nicht. Die Meldeämter geben teilweise ihre Daten weiter. Bislang war dies auf bestimmte Zwecke limitiert. Das neue Gesetz zur Fortentwicklung des Meldewesens sollte den Datenschutz erhöhen. Dem Entwurf nach sollte eine Weitergabe der Daten nur noch mit der Einwilligung des Bürgers möglich sein. Das nun verabschiedete Gesetz ist aus Sicht des Datenschutzes ein Rückschritt.

Die Informationelle Selbstbestimmung des Bürgers wurde bereits durch das Bundesverfassungsgericht als wichtiges Gut ausgewiesen. Das sogenannte Volkszählungsurteil wurde 1983 gesprochen und war ein wichtiger Meilenstein im deutschen Datenschutz. Grundsätzlich sollte der Bürger selbst bestimmen, wer seine Daten verarbeitet.

Das Bundesdatenschutzgesetz nimmt sich genau dieser Grundlagen an und formulierte ein sogenanntes Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass prinzipiell jede Datenverarbeitung von personenbezogenen Daten verboten ist, es sei denn, dass ein Gesetz dies erlaubt bzw. vorschreibt oder die betroffene Person hierzu eingewilligt hat.

Das neue Meldegesetz soll das Meldewesen vereinheitlichen und so eine Harmonisierung zwischen den Ländern bewirken. Ebenfalls war es das ursprüngliche Ziel, das Datenschutzniveau anzuheben.

Bislang war es den Meldeämtern erlaubt, Daten für verschiedene Zwecke weiterzugeben. Der ein oder andere mag sich schon mal gewundert haben, warum er kurz vor der Wahl Werbung der einen oder anderen Partei in seinem Briefkasten hatte.

Im Rahmen von Wahlen, ist es gestattet die Meldedaten für Parteiwerbung weiterzugeben. Wussten Sie das?

Man konnte der Weitergabe der Daten schriftlich widersprechen (das sogenannt Opt-Out-Verfahren).

Das neue Meldegesetz sollte eine Verbesserung darstellen. Hier war ursprünglich von einem Opt-in-Verfahren die Rede. Dies bedeutet, dass die Daten nur mit Einwilligung des Bürgers weitergegeben werden dürfen.

Das Gesetz zur Fortentwicklung des Meldewesens wurde nun durch den Bundestag verabschiedet. Jedoch mit entscheidenden Änderungen. Von Opt-in ist nun keine Rede mehr. Der Bürger muss (wie in der Vergangenheit) der Weitergabe der Daten widersprechen. Das Gesetz ist nun aber noch weiter in „Datenschutz Vergangenheit“ abgerutscht. Es wurden weitere Lockerungen eingefügt, die nun auch Adresshändler und ähnlichen Werbetreibenden den Zugriff auf die Daten (zum Datenabgleich) erlaubt. Durch Widerspruch soll die Weitergabe zum Datenabgleich nicht betroffen sein. Laut Golem käme daher auch der Bundesbeauftragte für den Datenschutz und die Informationssicherheit zu der Einschätzung, in den meisten Fällen sei der Widerstand zwecklos.

Noch hat das Gesetz keine Rechtskraft. Es muss noch durch den Bundesrat bestätigt werden. Es bleibt also abzuwarten, ob der Bundesrat eine Änderung der Datenschutzbestimmungen fordert und das Gesetz blockiert.

Nachrichten Datenschutz und Datensicherheit

Fachleute warnen vor steigender Internetkriminalität

2. Juli 2012 admin

Logo Hubit-Datenschutz Nachdem bereits verschiedene Fachleute vor der Steigerung von Internetkriminalität und Cyber-Angriffen gewarnt hat, hat sich nun auch Jonathan Evans zu Wort gemeldet. Der Chef des englischen Geheimdienstes MI5 sagte, wie auf heise-online zu lesen war, das Ausmaß dessen, was dort vor sich ginge, sei erstaunlich.

Cyber-Angriffe, können unterschiedliche Intentionen haben. Zum einen gibt die klassische Spionage, in der der eine Staat versucht geheime Informationen des anderen Staates zu erlangen. Aber auch die Wirtschaftsspionage darf hierbei nicht unterschätzt werden. Auch nach dem kalten Krieg ist dies immer noch aktuell, auch wenn es nicht mehr in aller Munde ist. Das Internet und die Leichtfertigkeit im Umgang mit Daten macht es den Kriminellen leicht an die gewünschten Informationen zu langen.

Nach vielen Jahren, in den es um Konstruktionspläne, Erfindungen und betriebsinterne Abläufe ging, geht es heute auch um Kundendaten. Wie sicher ein Internetshop seine Daten wirklich aufbewahrt, kann ein Kunde nicht beurteilen (siehe hierzu Sonderbeilage eCommerce in Die Welt vom 22.06.2012). Selbst die Betreiber unterschätzen zeitweise das Risiko oder sind sich dessen nicht bewusst. Auch bei sorgfältiger Programmierung des Shopsystems können sich Fehler einschleichen.

Wir, die Firma HUBIT, bieten Ihnen die Möglichkeit, mögliche Angriffszeile in Ihrer Shopsoftware aufzudecken.

Die Zahl der Cyber-Angriffe steigt stetig an. Prinzipiell ist es unerheblich, ob der Angreifer ein kriminelles Ziel verfolgt oder das Ziel der Staatsspionage dient. Wichtig ist allein, dass es jede Internetseite, jedes Internetportal und jeden Internetshop betreffen kann. Die Palette der möglichen Angriffe ist breit gefächert und geht vom Einschleusen schadhaften Codes bis zum Auslesen von Kunden- und Kreditkarteninformationen.

Übrigens:

Wenn Google oder andere Suchmaschinen erkennen, dass eine Internetseite mit schadhaftem Code infiltriert wurde, kann es vorkommen, dass diese Seite nicht mehr in den Google-Suchergebnissen angezeigt wird.

Datenschutz Datensicherheit Lexikon

Was ist ein Honeypot (Honigtopf)?

31. Januar 2012 admin

Logo Hubit-Datenschutz Honeypot. Das hört sich witzig an. Man kann sich kaum vorstellen, dass das englische Wort für Honigtopf in der IT (Informationstechnologie) eingesetzt wird.

Jeder kennt einen Honigtopf. Wenn Sie einen Honigtopf im Sommer offen auf den Tisch stellen. Was passiert dann? Viele Insekten werden kommen und versuchen, etwas von der süßen Speise zu erlangen. Einige werden „kleben“ bleiben.

Der Honeypot funktioniert ähnlich. Der Techniker setzt ein System ein, dass von außen (für Hacker) wie ein attraktives Angriffsziel, also ein Server oder ein Firmennetzwerk, aussieht. Allerdings wird der Hacker keine interessanten Daten finden.

Der Honeypot wird eingesetzt, um dem Hacker eine Falle zu stellen. Zum einen kann man mit ihm die Vorgehensweisen eines Hackers analysieren zu können. Aber eventuell lässt sich durch die hinterlassenen Spuren auch die Identität des Hackers ermitteln.

In großen Netzwerken werden Honeypots eingesetzt, um den Angreifer zunächst vom eigentlichen Ziel abzulenken oder um Zeit zu gewinnen, um ihn abwehren oder identifizieren zu können.