Samstag, 5. Januar 2019

Daten-Adventskalender

"Interpol und Deutsche Bank, FBI und Scotland Yard
Flensburg und das BKA, haben unsere Daten da"
...hieß es bei Kraftwerk bereits 1981 in dem Song "Computerwelt". An die Idee, daß man die Kontrolle über Daten, die man einmal aus der Hand gegeben hat, dauerhaft verlieren könnte, scheinen sich im 21. Jahrhundert noch nicht alle gewöhnt zu haben.
Hunderte von persönlichen und privaten Daten und Dokumenten einiger Politiker und Promis wurden seit Dezember über ein offenbar gekapertes Twitter-Account eines youtubers in Form eines "Adventskalenders" veröffentlicht. Zahlreiche bekannte Politiker - mit Ausnahme der AFD-Fraktion offenbar - sind betroffen. Kontodaten, Urlaubsbilder, Briefe und Nachrichten zählen zu den veröffentlichten Informationen. Momentan ist unklar, ob hinter dem Datenleck eine Einzelperson oder eine Gruppe steht und auf welchem Weg die Daten abgezapft wurden. Die Rede ist von jahrelanger Sammlung. Ich persönlich würde ja eher auf die Mitarbeiter eines Clouddienstes tippen; allerdings sind die öffentlich gewordenen Informationen noch zu dürftig, um gezieltere Schätzungen abzugeben. Mir stellt sich die Frage, was solche Informationen überhaupt im Netz verloren haben; gerade persönliche Dokumente würde ich nicht ohne eine starke Verschlüsselung auf einen Clouddienste-Anbieter hochladen. Vorzugswürdig ist es aus meiner Sicht immer, eine eigene Cloud zu hosten; die Anbieter für solche Möglichkeiten sind ja mittlerweile vielfältig.
Interessant wird die Frage werden, ob es einen "Single Point of Attack" gab, also eine bestimmte Sicherheitslücke, die - möglicherweise mehrmals - ausgenutzt wurde, oder ob der Täter einfach nur fleißig war. Sollte der Täter die Daten einfach nur durch Fleiß zusammengetragen haben, wirft dies natürlich auch auf die Betroffenen kein gutes Licht...

Quelle: Heise-News
Spiegel Online

Casthack

Datenpanne bei dem beliebten Streaming-Hardwareclient von Google: Unbekannte haben eine Sicherheitslücke im uPNP-Dienst ausgenutzt, um auf bis zu 100.000 der kleinen Android-Rechner zuzugreifen und dort ein bestimmtes YouTube-Video abzuspielen.
uPNP ist auf vielen Routern standardmäßig aktiv und wurde von den Betroffenen offenbar nicht abgeschaltet. Diese Meldung zeigt den immer weiter um sich greifenden Trend, daß die Menschen sich im IT-Umfeld sich Hardware umgeben, deren Funktion sie nicht mal ansatzweise verstehen. Bevor man den staatlichen Bildungsauftrag durch die Verteilung von iPads an Schulen zu erfüllen sucht, sollte man vielleicht zunächst mal über die Aneignung einer technischen Grundkompetenz nachdenken. Schließlich gibt es auch Verkehrserziehung oder Schwimmunterricht an Schulen; da halte ich "Technikerziehung" für keine abwegige Idee.
Wer mehr über uPNP erfahren möchte, liest diesen Wikipedia-Artikel. Das BSI empfiehlt seit 2016 durchgehend, uPNP auf Routern im privaten Einsatz standardmäßig zu deaktivieren.

Quelle: Heise-News

Darf's ein wenig mehr sein?

Liebe Leser, zunächst alles Gute für das Jahr 2019! Ich hoffe, Sie hatten schöne Weihnachtsfeiertage. 2019 beginnt direkt mit einigen interessanten IT-Nachrichten. So haben einige Datenschutzaktivisten Strafanzeige gegen mehrere große Provider gestellt wegen der offenbar immer noch verbreiteten Praxis, die IP-Adressen und andere Verbindungsdaten ohne gesetzliche Grundlage drei Monate und länger zu speichern. Seit die Regelung zur Vorratsdatenspeicherung außer Kraft ist, dürfen Provider die personenbezogenen Daten nur dann länger speichern, wenn diese aus technischen Gründen oder zu Zwecken der Abrechnung erforderlich sind. Bei den heute üblichen Flatrate-Verträgen sind sie zu Abrechnungszwecken gerade nicht erforderlich; technische Zwecke sind schwer vorstellbar. In einem von der Bundesnetzagentur wird eine Speicherzeit von wenigen Tagen für ausreichend erachtet, um auch technische Störungen des Netzes ausreichend einzugrenzen.

Quelle: Heise-News