Warum Kameras abkleben nicht reicht

Im diesem TheHackerNews Artikel wird FBI Director Comey mit den Worten zitiert :

[Zitat aus obigem Artikel]

meint übersetzt : „Es ist nicht verrückt, daß der FBI Director sich um seine persönliche Sicherheit sorgt.“ „Wenn man in ein Regierungsbüro geht, hat man da überall diese kleinen Kameras sitzen, und die haben alle so einen kleinen Schieber (über der Linse war wohl gemeint), der sich daüber schliesst, so das nicht autorisierte Personen einen nicht ansehen können. “

Ähmm.. also.. Lieber Herr Comey, wenn die Hacker schon soweit gekommen sind, daß die Zugriff auf Ihre Kamera haben, dann würde ich mir andere Sorgen machen, als das mich jemand sehen könnte ! Das Mikro wäre dann auch in Schlagreichweite und der Inhalt der Festplatte sowieso. Ihre obige Aussage zeigt ein kindgleiches Verständnis von Sicherheit, daß ganz offensichtlich nicht über das Niveau von „Wenn ich es nicht sehen kann, sieht es mich auch nicht.“ hinaus geht.

Lieber Leser, wenn ein Angreifer es schafft Ihre Kamera zu benutzen, geht auch das Mikrophon und das ist noch viel schlimmer, denn das ist IMMER an. Der wahrscheinlichste Fall, so einen Zugriff zu bekommen, wird ein Hack der Webbrowser sein. WEBRTC ist ja der ganz große Hype grade und da ist das letzte Wort mit Schwachstellen noch lange nicht gesprochen.

Sollte es nicht der Browser sein und jemand kommt an die Kamera, gilt obiges Mikrophone Problem auch. Selbst wenn als Einfallstor eine dieser schlampig programmierten „Machen Sie Ihren PC in Abwesenheit zu einer Sicherheitskamera Ihres Zuhauses“ Anwendungen sein, die mit der billigen China WebCam mitkommt. Deren Sicherheitskonzept ist meistens gar nicht erst vorhanden.

Und wenn sowas gar nicht drauf ist und die Kamera geht an, dann klebt man die nicht ab, sondern zieht den Netzwerkstecker raus und läßt seinen PC vom IT-Forensiker analysieren!

Sicherheit fängt natürlich ganz unten an:

  1. Ich brauche ein sicheres Desktopsystem, das seine Nutzer nicht ausspioniert.
  2. Ich installiere auf keinen Fall eine Software für den Remote-Zugriff auf meine WebCam, deren Sourcecode keiner überprüfen kann.
  3. Ich gebe meinem Router nicht die Erlaubnis, von außen auf meinen PC zu gelangen
  4. Wer sein Mikrophone und die WebCam nicht braucht, könnte sie einfach abstöpseln.
  5. Wenn ich einen unrechtmäßigen Zugriff feststelle, verschliesse ich nicht die Augen und rede mir alles Glück der Welt ein, sondern ich schlage Alarm.

 

Android 3.2 und das Let’s Encrypt Problem

Ich hab ja neulich auf HTTPS-Only Blog umgestellt, aber so ganz „Only“ geht es dann doch nicht.

Da die meisten RSS Feedleser für Handies die Zertifikate aus dem Truststore von Android benutzen, in dem Sie den internen Webbrowser benutzen um die Feeds anzuzeigen, kommt es mit Let’s Encrypt Zertifikaten zu Problemen: Die stehen da schlicht nicht drin. Wer da nicht drin steht, wird nicht angezeigt.

Das Problem habe ich bei meinen eigenen Android Programmen durch einen eigenen Truststore gelöst, der einfach die aktuellen Firefox Zertifikate bekommt. Das dieser Trick zwangsweise nur für eigene Programme funktioniert, mußte ich meinem Blog leider sagen, das Android weiterhin per Port 80 abrufen darf.

Und so geht so eine Ausnahme :

RewriteCond %{HTTP_HOST} .*marius\.bloggt-in-braunschweig\.de
RewriteCond %{SERVER_PORT}   !^443$
RewriteCond %{HTTP_USER_AGENT} !.*Android.3\.2.*
RewriteRule  (.*)  https://%{HTTP_HOST}/$1   [L]