Peter Gyger online

"Gring ache u seckle" (Quelle: A. Weyermann)

NAVIGATION - SEARCH

"our security is amazingly good" und Social Media

Social Media Kanäle sind Minenfelder. Erst Recht für Firmen. Eine einfache Anfrage über Twitter hat der österreichischen T-Mobile diese Woche einen IT GAU verursacht. Die Kundin fragte, ob die Passwörter im Klartext oder verschlüsselt abgespeichert werden. Den Hinweis der Kundin, dass Passwörter im Klartext speichern per se eine dumme Idee sei, quittierte die Mitarbeiterin Käthe mit der Antwort "our security is amazingly good". Daher sei das OK. Das eine Firma Passwörter im Klartext speichert und das für keine Schwachstelle hält, machte schnell die Runde auf Twitter. Verschiedene Anwender überprüften die Aussage und das Resultat war ein weiterer GAU. Diesmal technisch... Golem.de geht detailiert auf die Mängel der IT ein.   Wirklich hässlich wurde es am Schluss, als sich einige Twitter Benutzer forderten, die Mitarbeiterin müsse entlassen werden. Sie sei unfähig, etc. Der CEO der T-Mobile versicherte auf Twitter, dass die Mitarbeiterin keinesfalls entlassen werde. Ihre Firmenkultur habe Verständnis, dass Mitarbeiter Fehler unterlaufen können. Überraschend und positiv zu werten, B.t.w. Wenn jemand die Verantwortung und das Salär eines IT Sicherheitsverantwortlichen beansprucht, dann wäre es auch korrekt das er zur Verantwortung gezogen wird. Und nicht ein untergeordneter Mitarbeiter. In diesem  Sinne. Viele IT Kollegen beklagen sich, dass gerade für IT Sicherheit wenig Gelder bewilligt werden. Frei nach dem Motto: bisher hat es doch auch geklappt, warum nachrüsten? Unter diesem Gesichtspunkt könnten wir die Jod Tabletten, die das EMSI verschickt retournieren. Oder das Militär bzw. deren kümmerliche Reste gleich abschaffen. Schliesslich ging es bisher gut, alle lieben uns in dieser Welt der Guten...   Hintergrund: Open HPI: Wie können Passwörter sicher gespeichert werden? Open HPI: Hashes xkcd: Responsible Behavior http://plaintextoffenders.com/faq/non-devs

#krebsiscancer

Einmal mehr eine skurille Geschichte die nur das Internet in die Welt setzen kann. Brian Krebs ist ein ehemaliger Washington Post Journalist und hat sich in Sicherheitskreisen in den letzten Jahren einen sehr guten Namen gemacht. Am 26. März schrieb der Sicherheitsexperte Brian Krebs einen Blogpost "Who and What Is Coinhive?". Darin nannte die Namen des Entwicklers des Conhive Minning Algorythmus sowie der Plattform "pr0gramm". Anders als in Westeuropa ist es im US Journalismus gängige Praxis die Namen zu publizieren. Die Betreiber des Forums sowie der im Post genannte Programmierer widersprechen teilweise den Aussagen im Blogpost. Die Betreiber des Forums "pr0gramm.com" deuteten an, dass sie vielleicht das Forum wegen diesem Blogpost schliessen müssen. Wer einen Blick auf diese Plattform wirft, kann sich vorstellen, welche Pöbeleien aka Shitstorm nun auf Brian Krebs zurollte. U.a. wurde auf Twitter der Hastag "#krebsiscancer" lanciert. Bezugendnehmend auf den Sachverhalt, dass der Name des Autors in der deutschen Sprache als Name einer Krankheit ("Krebs") verwendet wird. Skurill wird die Geschichte am Schluss. Einer der Twitternutzer konterte den Angriff mit dem Tweet, wo eine Spendenquittung zu sehen war. Ergänzt mit den Worten: Er habe der Krebshilfe gespendet, was er vernünftiger finde, als weitere Tweets zum Kontext "Krebs". In den nächsten Tagen wurde die Krebshilfe mit Spenden überflutet. Über 250'000 Euros rollten auf das Konto. Brian Krebs reagierte gelassen und äusserst professionell. Er schrieb hinterher einen weiteren Blogpost, worin er das Ende der Geschichte dokumentierte.              

Mining - Gefahr Nr 1 im Web?

Das Mining im Internet ist aktuell das Thema für den digitalen Nutzer. D.h. jeder der sich im Web bewegt, sollte sich Zeit nehmen und sich darüber informieren. Nachfolgend meine Lesetipps:   Blick.ch: Professor Vetterli erklärt: Was ist Mining und was hat das mit Bitcoin zu tun? NZZ: Die Mühen mit dem Mining BAZ.CH. Schürft auch hr Computer Bitcoins für Fremde? Golem.de: Webseiten missbrauchen Nutzerrechner für Kryptomining Krebs on Security: Who and What Is Coinhive? Sophos News: Bitcoin-Hype ruft kriminelle „Goldgräber“ auf den Plan    

OpenHPI: Internet Security for Beginners

Diese Woche hat der sechswöchige OpenHPI Kurs "Internet Security for Beginners" angefangen. Der Fernunterricht über Internet bietet einen soliden 6 wöchigen Einstieg in das Thema in englischer Sprache. Teilnahme noch immer möglich Ende März startet an EDX ein Network Security Kurs für Fortgeschrittene: "Network Security" . Auch Microsoft bietet virtuelle Kurse an. Sowohl Deutsch als auch in Englisch            

Handy ein und man findet Dich...

Der Artikel "Android sammelt Standortdaten trotz Widerspruch des Nutzers" des Journalisten Björn Bohn aus dem Heise Verlag sagt alles. Hier noch ein Artikel von connect.de zu diesem Thema. Vor ein paar Jahren hatten wir dasselbe mit Apple. Und obwohl die USA das Land der Anwälte ist, wird der wiederholte Vertragsbruch und Datendiebstahl zu keiner Anklage führen. "Business as usual" wenn es um Datenschutz und US Firmen geht... In den Kommentaren des Heise Artikels fand ich diesen Hinweis für technisch versierte Anwender, wie man Google die Spionage mit Android unmöglich macht. Oder man wechselt zu "Sailfish", einer Android Variante. Bericht von der Website AndroidPit.de hier.    In dieselbe Funktion geht die neue Live-Tracker Funktion von WhatsApp. WhatsApp sind sich da stets treu geblieben. Mit kindlicher Naivität oder dummdreist wird technisch umgesetzt was geht. Der feuchte Traum für eifersüchtige Partner, kontrollsüchtige Chefs, redeschwache Eltern und andere Menschen dieses Schlages. Jörg Schieb hat den Gruppendruck, der solche Funktionen im Alltag zum durchbruch verhelfen werden, sehr gut geschrieben: "WhatsAppe mir, wo Du bist!" B.t.w. sind die Jugendlichen dank der Zeitschrift "Bravo" bereits informiert  ;-) Snapchat hat im Sommer bereits im SnapMap eine Live-Tracker Funktion eingeführt. Der Facebook Messenger hat es auch. Nein, Google hat nicht geschlafen..   Es geht nicht um die Funktion als solches. Es geht darum, wie mit Big Data unsere Gesellschaft eine völlig neue Werteordnung erhält. Im Konsumentenwunderland, sagt der Kunde seiner Alexa zu Hause, dass er noch Nespresso Kapseln - Marke x in Quantität y - für das Büro benötigt. Unterwegs steigt jemand in sein Tram oder klopft ihm beim gehen auf die Schulter und übergibt ihm die Kapseln. Nett - oder? Oder sie lernen eine Person ihres sexuellen Interesses kennen. Das Gespräch beim Kaffee ist nett, routinemässig wird das Handy heraus geholt und man stellt fest das die Person weder ein Facebook Profil hat. Noch anderweitig in sozialen Medien unterwegs ist. Ein leeres Blatt... Spannend oder beänstigend?  In den 80er Jahren wurden die Volksbefrager die für die Umfrage des Bundes teilweise mit Sturmgewehr begrüsst. 2017 haben wir Vibratoren mit integrierter Kamera und Webhost (kein Scherz!) und gute Menschen wie Tom Hanks verkünden die neue Werteordnung - siehe den Film The Circle. Der Gruppendruck wird es richten, Job und Privat und den Rest macht der Konsument der jetzt, alles und sofort haben will. Flüchtlinge, Arbeitslose, Ausgesteuerte, Alte, verurteilte Verbrecher werden per Gesetzt dazu gezwungen. Wir hatten den Fall bereits vor Jahrzehnten, dass sich dem RAV gemeldete Arbeitslose bei einer Online Jobbörse melden mussten. Wem genau die gehörte, erfuhr man nicht. Dafür wurde die Datenbank Jahre später von einem Hacker abgeräumt...