Trends & News | News

VPN gegen Hotspot-Schnüffler

Steganos Online Shield verspricht Android-Nutzern Schutz in öffentlichen WLANs wie Hotspots. Die App schleust den Datenverkehr des Smartphones verschlüsselt durch VPN-Server, die der Anbieter in zwölf Ländern betreibt. Bei Bedarf kann man auch manuell zwischen ihnen wechseln und so Dienste nutzen, die nur in bestimmten Regionen erreichbar sind.

Die ersten 500 MByte im Monat sind kostenlos, unbegrenzten Traffic bekommt man für vier Euro monatlich respektive 50 Euro im Jahr. Als kleines Gimmick zeigt die App an, wer noch so alles im gleichen Netz unterwegs ist – und den Datenverkehr potenziell mitlesen kann. (rei)

Unsichere WPA2-Keys bei O2

In den von O2 (und ehemals Alice) eingesetzten Standard-Routern 6431, 4421 und 1421 klafft ein Sicherheitsleck: Der voreingestellte WPA2-Key lässt sich mit überschaubarem Zeitaufwand knacken. Der Reverse-Engineering-Spezialist Hanno Heinrichs hat bei der Analyse der Router-Firmware festgestellt, dass der Algorithmus, der den Standard-Key bestimmt, nicht sicher genug ist.

Anhand öffentlicher Informationen, die jeder in Funkreichweite mitbekommt, lässt sich die Anzahl der möglichen Keys erheblich reduzieren. Wer es darauf anlegt, kann den WPA2-Key daher innerhalb von Minuten knacken. Der Angreifer befindet sich dann im Heimnetz und kann zum Beispiel den Datenverkehr aller Teilnehmer abgreifen. Die Attacke funktioniert nur, wenn der WPA2-Key nicht geändert wurde. Dabei ist die Versuchung, den voreingestellten Key dauerhaft zu benutzen, durchaus groß, schließlich ist er auf der Unterseite des Routers aufgedruckt.

c’t informierte O2, woraufhin der Provider das Problem bestätigte. O2 hat nach eigenen Angaben damit begonnen, alle potenziell betroffenen Kunden (ungefähr eine halbe Million) per Mail oder Brief dazu aufzufordern, den Key zu ändern – sofern nicht bereits geschehen. (rei)

Fritzbox-Lücke offengelegt

Für Fritzbox-Betreiber, die noch immer nicht das wichtige Sicherheits-Update eingespielt haben, spitzt sich die Lage zu: Inzwischen kursieren die Details über die kritische Schwachstelle frei zugänglich im Netz. Das bedeutet, dass sich nun jeder mit geringem Aufwand Webseiten bauen kann, welche die verwundbaren Fritzboxen beim Aufrufen zuverlässig attackieren. Angreifer können so etwa Zugangsdaten auslesen oder beliebigen Code zur Ausführung bringen.

Da nach Einschätzung von c’t (s. Heft 7/14, S. 56) nach wie vor Millionen Geräte verwundbar sind, muss man davon ausgehen, dass der Angriffs-Code zu einem wichtigen Bestandteil der Waffenarsenale von Kriminellen wird. Wer das Update noch nicht eingespielt hat, sollte das also schleunigst nachholen. Sagen Sie auch Freunden und Bekannten Bescheid. (rei)

Security-Check für kleine und mittlere Unternehmen

Die „gefühlte Sicherheit“ bei mittelständischen und kleinen Unternehmen schwankt sehr stark: Die besten 25 Prozent schätzen sich auf einer Skala von 0 bis 100 mit 78 oder mehr Indexpunkten als recht sicher ein; die schlechtesten 25 Prozent sind sich hingegen ihrer Defizite mit höchstens 38 Punkten deutlich bewusst. Das ist eines der Ergebnisse der vom Marktforschungsunternehmen Techconsult durchgeführten, repräsentativen Umfrage für die Security Bilanz Deutschland. Mit dem heise Security Consulter kann man sein eigenes Unternehmen konkret mit deren Ergebnissen vergleichen.

Dabei können IT-Verantwortliche ganz gezielt und systematisch ihren eigenen Sicherheitsstandard ermitteln und diesen dann mit dem jeweiligen Branchendurchschnitt vergleichen. Abgefragt werden dabei technische, organisatorische und rechtliche Vorkehrungen zur IT-Sicherheit und Informationssicherheit sowie deren strategische Einbettung in das Unternehmen.

Das Ergebnis ist eine Auswertung, die nicht nur zeigt, in welchen Bereichen ein Unternehmen gut oder schlecht abschneidet. Darüber hinaus zeigt die Analyse auch auf, wo im Vergleich zum Mitbewerb Nachholbedarf besteht. Das ergibt somit eine klare Handlungsanleitung, in welchen Bereichen am besten anzufangen ist, die Sicherheit des eigenen Unternehmens zu verbessern. An der Ausgestaltung der Befragung und des Selbsttests haben sich neben Techconsult und heise Security auch ein Partner- und ein Studienbeirat beteiligt, dem unter anderem auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) angehört.

Der heise Security Consulter wurde mit besonderem Augenmerk auf den Datenschutz entwickelt. Der Selbsttest lässt sich völlig anonym und ohne Registrierung durchführen. Dabei werden dann auch keine Daten gespeichert. Die optionale Registrierung bietet unter anderem die Möglichkeit, die Studie zu unterbrechen und zu einem späteren Zeitpunkt fortzusetzen. Die Befragung dauert circa 15 Minuten. (ju)

Apps können WhatsApp-Chats belauschen

Die archivierten WhatsApp-Chats sind unter Android offenbar unzureichend geschützt, wie der IT-Experte Bas Bosschert demonstriert. WhatsApp speichert seine Chat-Protokolle nämlich unterhalb des Pfads /sdcard, auf den viele Apps zugreifen dürfen. Die nötigen Rechte erhalten Sie vom Nutzer vor der Installation, meist aus legitimen Gründen. Die Protokolle werden zwar verschlüsselt gespeichert, lassen sich jedoch leicht wieder entschlüsseln. Zwar setzt WhatsApp seit dem jüngsten Update einen anderen Algorithmus ein, aber auch für diesen kursiert bereits ein Entschlüsselungs-Tool. Wer Wert auf Datenschutz legt, sollte also besser zu einem Krypto-Messenger wie Threema oder TextSecure wechseln – dort werden nicht nur die Nachrichten-Archive nach derzeitigem Stand hinreichend verschlüsselt, sondern auch der Transportweg. (rei)

Sicherheits-Notizen

D-Link-Modems des Typs DSL-321B sind einem groß angelegten Hacker-Angriff zum Opfer gefallen. Schützen kann man sich durch ein Update auf die aktuelle Firmware.

Die Cisco-Router CVR100W und RV215W und die VPN-Firewall verraten Angreifern das Admin-Passwort. Der Hersteller hat das Problem in den jeweils aktuellen Firmware-Ausgaben abgestellt.

Artikel kostenlos herunterladen

weiterführende Links

Anzeige
Anzeige