c't 5/2016
S. 47
News
Sicherheit

Krypto-Stick verschlüsselt Mails und Daten

Der Nitrokey speichert geheime Krypto-Schlüssel außer Reichweite von Trojanern.

Der Nitrokey Pro ist eine Smartcard für verschiedene Verschlüsselungsaufgaben im handlichen USB-Stick-Format. Er lässt sich etwa zur Mail-Verschlüsselung mit GnuPG nutzen oder aber, um Daten mit TrueCrypt zu chiffrieren. Die geheimen Krypto-Schlüssel verbleiben stets im Smartcard-Chip im Inneren des Sticks, wo sie vor Trojanern sicher sein sollen. Zudem generiert der Nitrokey auch Einmalpasswörter zur Zwei-Faktor-Authentifizierung (OTP) und arbeitet als verschlüsselter Passwort-Tresor.

Es handelt sich um ein Open-Source-Projekt; wer sich für die Innereien interessiert, findet Platinen-Layouts und Software-Quellcodes bei GitHub. Fertig kostet der Nitrokey Pro 49 Euro und unterstützt Windows, Linux und OS X. Die abgespeckte Start-Version schlägt mit 29 Euro zu Buche – ihr fehlen Einmalpasswörter und Passwort-Tresor. Statt eines spezialisierten Smartcard-Chips kümmert sich bei ihr ein gewöhnlicher Mikroprozessor um die Krypto-Aufgaben. (rei@ct.de)

heise Security on Tour

Auf der 11. heise Security-Tour bekommen Administratoren, Security-Verantwortliche und Datenschützer einen kompakten Überblick zur aktuellen Bedrohungslage. Von der Redaktion ausgewählte Referenten analysieren Gefahren und zeigen, was wirklich schützt.

Dieses Mal geht es unter anderem um Advanced Persistant Threats (APT), Zugangskontrollen wie Biometrie sowie Schadsoftware auf Smartphones. Zudem erklärt Joerg Heidrich, Justitiar des Heise-Verlags, welche Grenzen sie bei der Überwachung von Mitarbeitern beachten müssen. Ein Kurzüberblick bringt Sie auf den aktuellen Stand juristischer Entwicklungen wie Safe Harbor und WLAN-Haftung. Abgerundet wird die Veranstaltung durch eine offene Diskussion: „Muss Verschlüsseln weh tun? – Wie macht man Kryptografie richtig?“.

Die Tages-Konferenz startet am 5. April 2016 in Wien, weiter geht es in Köln (12. April), Hamburg (14. April), München (19. April) und Stuttgart (21. April). Bis zum 5. März gibt es einen Frühbucher-Rabatt. Weitere Informationen finden Sie unter www.heisec.de/tour. (Matthias Parbel/rei@ct.de)

Mac-Malware durch gefälschtes Flash-Update

Ein angebliches Flash-Update will Mac-Nutzer derzeit wieder zur Installation von Schadsoftware bewegen, wie das SANS Internet Storm Center berichtet. Den Nutzern wird ein Browser-Dialog gezeigt, der zum Einspielen des angeblichen Updates auffordert und auf eine Download-Seite weiterführt.

Um die in OS X integrierte Schutzfunktion Gatekeeper beim Öffnen des vermeintlichen Flash-Installers zu umgehen, benutzen die Angreifer ein Entwickler-Zertifikat. Das System warnt beim Öffnen zwar, dass die Datei aus dem Internet heruntergeladen wurde, führt sie aber aus, wenn der Nutzer auf „Öffnen“ klickt. Apple hat das in diesem Fall verwendete Zertifikat inzwischen offenbar zurückgezogen; allerdings könnten bereits wieder modifizierte Installer mit einem neuen Zertifikat im Umlauf sein. In der Standardeinstellung von OS X erlaubt Gatekeeper das Ausführen von mit Apples Entwickler-Zertifikaten signierten Programmen sowie von Apps aus dem Mac App Store.

Der Installer spielte eine Scareware ein, die dem Nutzer Sicherheitsprobleme auf seinem Mac vorgaukelt und – zur angeblichen Beseitigung – ein kostenpflichtiges Upgrade anbietet.

Vorgebliche Flash-Updates sind ein beliebtes Lockmittel, auf das Angreifer bereits seit Jahren setzen. Sicherheitshalber sollte man Updates und Programme daher stets direkt von den Seiten der Hersteller oder aus dem App Store beziehen. (rei@ct.de)

Kreditkarten plaudern Umsätze aus

Wem für wenige Sekunden eine NFC-fähige Kreditkarte in die Hände fällt, der kann mit kostenlosen Apps viel über das Kaufverhalten des Karteninhabers erfahren. Wie das Blog „Your nested Bubble“ berichtet, lässt sich mit einem NFC-fähigen Android-Smartphone und Apps wie „Scheckkarteleser NFC“ der Transaktionsverlauf der Karte auslesen. Darüber erfährt man, welche Zahlungen mit der Karte durchgeführt wurden. Neben der Summe verrät die Karte auch die Währung und das Datum der Zahlung. Wohin das Geld ging, erfährt man indes nicht.

Betroffen sind offenbar Mastercard-Karten, die das kontaktlose Bezahlverfahren PayPass beherrschen. Damit kann der Nutzer Zahlungen unter 25 Euro ohne PIN und Unterschrift durchführen. Die Apps zeigen nicht nur die PayPass-Zahlungen an, sondern alle, die mit der Karte durchgeführt wurden. Ob die Transaktionshistorie aktiv ist, hängt vom Kartenherausgeber ab. Nutzer haben die Funktion mittlerweile bei den Karten von Number26 und der Fidor SmartCard nachgewiesen.

Neben den getätigten Zahlungen verraten die Karten unter anderem auch ihre Kartennummer sowie das Ablaufdatum – diese Daten kann ein Angreifer allerdings auch direkt von der Karte ablesen. Der oftmals als Sicherheitscode bezeichnete Card Validation Code (CVC), der sich auf der Rückseite der Karte befindet, lässt sich nicht über NFC auslesen. Ganz neu ist das vermeintliche Datenleck NFC nicht: Bereits seit 2012 ist bekannt, dass sich die Karten über den Nahfunkstandard NFC auch ohne spezielle Hardware abfragen lassen. Mindestens seit 2014 gibt es Apps, die jedes NFC-fähige Android-Gerät in ein einfaches Kreditkartenlesegerät verwandeln. (rei@ct.de)

Kommentieren