Einträge von Raimund Genes, Trend Micro

Schutzgelderpressung de luxe

Eines zeigt sich für die Cyberkriminellen allzu deutlich: Damit lässt sich Geld verdienen. So weit nichts Neues…doch leider sehe ich nur allzu häufig eine Reaktion, die man sehr gut mit „Schockstarre“ – oder besser mit „Schockbequemlichkeit“, wenn es das Wort denn gäbe – bezeichnen könnte. Damit meine ich, dass man sich selbst mit der Aussage herausredet, das sei „ja nur ein Pro­blem für Privatanwender“ oder schon „der GAU“ gewesen, der größte anzunehmende Unfall. Doch schlimmer geht immer! Bevor ich auf die konkreten Hintergründe eingehe, möchte ich Sie zu einem Gedankenexperiment einladen: Stellen Sie sich vor, Sie sind Geschäftsführer einer mittelständischen Firma. Die von Ihnen angebotene Dienstleistung wird Ihnen von Privatkunden förmlich aus der Hand gerissen, die Firma wächst und gedeiht. […]

Digitaler Röntgenblick

Heutige EWLAN-Infrastrukturen arbeiten bei 2,4 und 5 GHz – einem Frequenzbereich, in dem Wasser mit elektromagnetischen Wellen interagiert. Jeder mit einer alten Mikrowelle, die nach dem Einschalten den WLAN-Empfang stört, kann davon ein Lied singen. Aber wie wird so etwas zum Sicherheitsproblem? Durch die geschickte, aber kaum vorstellbare Nutzung von Anwendungen. Aber der Reihe nach… Der menschliche Körper besteht zu mehr als 50 Prozent aus Wasser. Auch wir Menschen interagieren mit dem WLAN. Diese „Störungen“ sind längst nicht so massiv wie bei alten Mikrowellen, aber messbar! Kombiniert man die Informationen mehrerer Antennen, lassen sich menschliche Bewegungsmuster im Raum nachverfolgen, auch durch Wände hindurch. Die „Railgun“ im Schwarzenegger-Film „Eraser“ ist also gar nicht so abwegig. Neuere Forschungen erlauben es sogar, Gesten […]

Die finalen Technologien zur Lösung aller IT-Sicherheitsprobleme

Aber so, wie sich auch die Theorie von der Praxis unterscheidet, muss man zwischen Technologie und deren Implementation unterscheiden. Eine Technologie, die laut aktuellem Stand der Forschung als „sicher“ anerkannt ist, kann in einer konkreten Implementation doch unsicher sein. So geschehen bei Public-Key-Infrastrukturen (PKI). Die Theorie dahinter – also symmetrische und asymmetrische Verschlüsselung, digitale Signaturen und Zertifikate – sind etablierte und bewährte Technologien. Nichtsdestotrotz hat die Implementierung von PKI Schwachstellen. Im konkreten Fall haben zwei „Certificate Authorities“, (Stamm-) Zertifizierungsstellen, nämlich Startcom und Wosign, falsche oder zumindest fragwürdige Zertifikate ausgestellt. Die dahinter liegende Technologie hat fehlerfrei funktioniert. Trotzdem wurde durch die falsche bzw. unsachgemäße Nutzung bzw. Implementierung ein Sicherheitsproblem geschaffen. Wenn man sich also nur auf die Technologiesicht beschränkt, war alles […]

Passwortsicherheit – Ein hoffnungsloser Fall?

Allen Optimierungen gemeinsam ist der Wunsch nach mehr Sicherheit. Spätestens mit dem Aufkommen moderner Passwort-Cracker lässt sich bei einer gegebenen Passwortlänge und einem festgelegten Zeichenvorrat sehr genau abschätzen, wie lange das Brechen eines Passworts mit roher Gewalt („Bruteforce“) dauern wird. Die Idee ist simpel: Je komplexer und länger das Passwort, umso länger dauert es – und umso sicherer das Passwort. So die gängige Meinung… Leider ist die Problematik nicht ganz so eindimensional. Inzwischen spielen mehrere Faktoren eine ganz erhebliche Rolle bei der Passwortsicherheit. Gut? Inzwischen ist ein Trend zu laxeren Passwort­richtlinien zu beobachten. Weniger im Hinblick auf die Passwortlänge, eher auf den geforderten Zeichenvorrat. Während manche dies als „weniger sicherheits­affin“ abtun, sehe ich hier etwas anderes: Immerhin ist das Eingeben […]