FBI Daten hatten ungeschützten Verkehr mit dem Netz

In Deutschland streitet man noch über die veröffentlichten Daten von Promis und Politikern, in Amerika ist man schon weiter:

Ungeschützte Regierungsserver geben Einblick in FBI Ermittlungen

Wie die Hacker News berichten, hat das Oklahoma Department of Securities  3 TB an Ermittlungsdaten ungeschützt auf einem Server geparkt gehabt. Ich denke, die müssen sich jetzt umbenennen in „Department of Insecurities“ 🙂

Die Inhalte waren teilweise Jahrzehnte alte Ermittlungsakten vom FBI. Dazu gabs dann noch Interna aus besagter Behörde wie z.B. Remote-Zugangsdaten, Sozialversicherungsnummern, die ja in Amiland zum Identitätsdiebstahl sehr beliebt sind, aber auch sensible Patientendaten von AIDS-Kranken. Wieso eine Regierungsbehörde AIDS-Krankendaten speichert, werden die wohl nur sehr wage bis eher ausweichend beantworten wollen.

Die Hacker News haben eine schöne Statistik mit gefundenen Filetypen und einer Sammlung von Outlook PST Files bis 1999 im Angebot. Die ältesten Daten stammen wohl von 1986. Die Behörde will jetzt alle informieren, deren Daten da sichtbar waren, was im Einzelfall (dank 1986) nur postmortem möglich sein wird.

Was war die Ursache? Kommt Ihr nie drauf!

„Bessere Security, durch Installation einer Firewall.“

Na das ging ja mal so richtig schief :DDD Für Spott braucht diese Behörde in nächster Zeit nicht mehr sorgen, das klebt denen bis zum Auflösung am Haken.

 

Warum Kameras abkleben nicht reicht

Im diesem TheHackerNews Artikel wird FBI Director Comey mit den Worten zitiert :

[Zitat aus obigem Artikel]

meint übersetzt : „Es ist nicht verrückt, daß der FBI Director sich um seine persönliche Sicherheit sorgt.“ „Wenn man in ein Regierungsbüro geht, hat man da überall diese kleinen Kameras sitzen, und die haben alle so einen kleinen Schieber (über der Linse war wohl gemeint), der sich daüber schliesst, so das nicht autorisierte Personen einen nicht ansehen können. “

Ähmm.. also.. Lieber Herr Comey, wenn die Hacker schon soweit gekommen sind, daß die Zugriff auf Ihre Kamera haben, dann würde ich mir andere Sorgen machen, als das mich jemand sehen könnte ! Das Mikro wäre dann auch in Schlagreichweite und der Inhalt der Festplatte sowieso. Ihre obige Aussage zeigt ein kindgleiches Verständnis von Sicherheit, daß ganz offensichtlich nicht über das Niveau von „Wenn ich es nicht sehen kann, sieht es mich auch nicht.“ hinaus geht.

Lieber Leser, wenn ein Angreifer es schafft Ihre Kamera zu benutzen, geht auch das Mikrophon und das ist noch viel schlimmer, denn das ist IMMER an. Der wahrscheinlichste Fall, so einen Zugriff zu bekommen, wird ein Hack der Webbrowser sein. WEBRTC ist ja der ganz große Hype grade und da ist das letzte Wort mit Schwachstellen noch lange nicht gesprochen.

Sollte es nicht der Browser sein und jemand kommt an die Kamera, gilt obiges Mikrophone Problem auch. Selbst wenn als Einfallstor eine dieser schlampig programmierten „Machen Sie Ihren PC in Abwesenheit zu einer Sicherheitskamera Ihres Zuhauses“ Anwendungen sein, die mit der billigen China WebCam mitkommt. Deren Sicherheitskonzept ist meistens gar nicht erst vorhanden.

Und wenn sowas gar nicht drauf ist und die Kamera geht an, dann klebt man die nicht ab, sondern zieht den Netzwerkstecker raus und läßt seinen PC vom IT-Forensiker analysieren!

Sicherheit fängt natürlich ganz unten an:

  1. Ich brauche ein sicheres Desktopsystem, das seine Nutzer nicht ausspioniert.
  2. Ich installiere auf keinen Fall eine Software für den Remote-Zugriff auf meine WebCam, deren Sourcecode keiner überprüfen kann.
  3. Ich gebe meinem Router nicht die Erlaubnis, von außen auf meinen PC zu gelangen
  4. Wer sein Mikrophone und die WebCam nicht braucht, könnte sie einfach abstöpseln.
  5. Wenn ich einen unrechtmäßigen Zugriff feststelle, verschliesse ich nicht die Augen und rede mir alles Glück der Welt ein, sondern ich schlage Alarm.

 

Diese Woche im Netz

Die Woche fängt ja gut an, in Japan wurden Konten einer südafrikanischen Bank geplündert, in dem mit gefälschten Karten, aber echten Kreditkarteninfos, in wenigen Stunden 12-13 Millionen Dollar an Geldautomaten abgehoben wurden.

Quelle: heise.de – Japan-Kreditkarten-Betrueger-erbeuten-13-Millionen-US-Dollar

Die Klage der Piratenpartei gegen die Massenüberwachung kann man nur unterstützen. Auch wenn im Gesetz geregelt ist, für was die Daten gebaucht werden dürfen, wird es früher oder später Begehrlichkeiten geben, und mit genug Inhalt von schwarzen Koffern im Rolli, wird so ein Gesetz dann schnell geändert.

Quelle: heise.de – PKW-Maut-Piraten-reichen-Verfassungsbeschwerde-gegen-Kfz-Kennzeichen-Scanning-ein

LinkedIn wurde ja gehackt und ~170M Passworthashes wurden dabei entwendet.

„Das populärste Passwort auf LinkedIn war übrigens „123456“, das über eine Million mal genutzt wurde. Es deklassierte „linkedin“, „password“ und „123456789“ deutlich, die aber immer noch jeweils weit über hunderttausend Mal zum Einsatz kamen.“   schreibt Heise dazu.

Quelle: heise.de

Die Googlezentrale in Paris hat Besuch von Staat bekommen. Dem Finanzamt entkommt halt niemand 🙂

Quelle: Der Spiegel

Das FBI warnt im USA derzeit vor verwanzten USB-Ladegeräten. Hintergrund ist, daß ein Hacker letztes Jahr bereits ein äußerlich harmlos erscheinendes USB-Ladegerät gebaut hat, in dem aber noch zusätzlich ein auf einem

Quelle: FBI warnt: Kauft nur unsere verbuggten USB-Charger

Gut dazu paßt auch, daß Webseiten jetzt per Audio-Fingerprinting Laptops und Handies tracken.

Quelle: The Hackernews

Wie Torrentfreak Anfang der Woche berichtet hat, bietet ein pakistanischer Internetprovider seinen Kunden an, die Raubmovies direkt bei ihm zu beziehen. Spart vermutlich jede Menge Traffic im Peering ein 🙂

Quelle: Torrentfreak.com

Eine Smarte Flasche soll Kindern beibringen, die korrekte Menge an Wasser am Tag zu trinken. Jetzt kann man darüber streiten, was die korrekte Menge ist, aber eins ist wohl unstrittig: Die Flasche ist zu teuer. Die soll auf Kickstarter 99$ kosten 🙂  Also ich setz da lieber weiterhin auf die magische Eigenschaft namens „Durst“. Die funktioniert schon seit Millionen von Jahren zuverlässig 😉

Quelle: AndroidCentral.com

Seit 1999 sollten die Pockenvirenbestände der Welt vernichtet sein, sind Sie aber nicht. In 2014 wurde sogar in einer !Abstellkammer! noch Reagenzgläser mit Pockenviren gefunden, die aus den 50er Jahren des letzten Jahrhunderts stammen. Wer die Pocken am Leben erhält könnt Ihr ja mal raten.

Quelle: Handelsblatt

Deutsche Bahn stellt Rechnung über 2300 Euro für 30 Minuten radfahren aus.

Quelle: focus.de

Und die Welt ist wieder um eine Lachnummer bereichert worden. Nur gefühlte 10 Jahre nachdem der Rest der Welt Passwörter wie „12345“ „passwort“ „password“ usw. nicht mehr zuläßt, kommt dem selbsternannten Weltmarkführer der Gedanke : „Hey, laßt uns doch einfache Passwörter verbieten.“

Quelle: heise.de