Social Engineering – Apple’s Kundenservice leicht auszutricksen?

Mat Honan, Senior-Reporter bei Gizmodo ist etwas sehr blödes widerfahren. Am 4. August hat ein Hacker zuerst Zugriff seinen iCloud Account verschafft und daraufhin das Passwort geändert. Als nächstes war sein Google Konto dran. Daraufhin wurden sein Macbook Air, sein iPhone und sein iPad aus der Ferne gewiped. Anschließend hat sich der Hacker über den Twitter-Account Zugriff zum Account @Gizmodo verschafft. Das alles in 15 Minuten. Wäre Hacken eine olympische Disziplin, wäre der “Bösewicht” vorne mit dabei.

Nun stellt man sich die Frage, wie ein Hacker an so viele Informationen kommen und einem Technik-Blogger so zusetzen kann. Die Antwort: Social Engineering. Zuerst dachten die Jungs von Gizmodo, dass hinter allem eine Brutforce-Attacke steckte, welches Mat’s 7-stelliges alphanumerisches Passwort geknackt hat. Anschließend hat er sich der Hacker an die Arbeit gemacht.

Als Mat das alles bemerkte, rief er beim Apple Kundenservice an und stellt dann fest, dass das Passwort seines Google-Accounts schon resettet wurde. Blöd – dieser war als alternative Adresse für die Wiederherstellung bei Apple hinterlegt. Er wurde gebeten, von dem mittlerweile zurücksetztem iPhone eine SMS zu verschicken. Man konnte ihm leider nicht sofort helfen, vereinbarte aber einen Termin am nächsten Tag in der Apple Genius Bar.

Nvidia: 400.000 Datensätze gestohlen

Ich war gerade sehr verwundert darüber, als ich in das Nvidia-Forum besuchen wollte und die Meldung laß. Am 12. Juli hat Nvidia alle Foren dicht gemacht, weil es Hackern gelungen ist, an 400.000 Datensätzen mit Benutzerinformationen zu kommen.

Neben den Passwörtern sind auch die Benutzerprofile mit Namen und Geburtsdaten (sofern sie angegeben waren) abhandengekommen. Nivida hat sich auf der Webseite dazu geäußert und fordert die User auf, ähnliche Passwörter auf anderen Webseiten zu ändern. Obwohl Nvidia gesagt hat, dass die Passwörter “salted” sind, hat heise das Gegenteil bewiesen indem sie nach dem md5-Hash von “nvidia123″ gesucht und gefunden haben.

The Unknowns – was hat es mit den Jungs auf sich?

Ihr erinnert euch nach an an LulzSec und Annonymus? Wahrscheinlich schon. Beide Gruppen (wenn man bei Annonymus von einer Gruppe reden kann) haben in der Vergangenheit für Schlagzeigen gesogt, indem sie IT-Infrastruktur von großen Unternehmen wie z.B. Sony oder dem US-Sicherheitsunternehmen “Strafor” angegriffen haben.

Nun ist eine neue Gruppe unterwegs, welche Angriffe auf Institutionen wie NASA, ESA oder der US AIRFORCE verübt hat. Die erfolgreichen Angriffe wurden in einem Pastebin protokolliert. Teilweise sind Screenshots und Links mit Login-Informationen veröffentlicht wurden. Vor rund 15Stunden haben die Jungs über ihren Twitter-Kanal berichtet, dass bis auf der US AIRFORCE alle Patches implementiert haben.

Naja was soll der Spaß? Ziel des Ganzen soll nicht die Veröffentlichung von ergatterten Daten sein. Man möchte auf sich aufmerksam machen und mit Informationen den Betroffenen helfen, ihre Infrastruktur sicher zu gestalten. Scheint so, als stünden hier finanzielle Aspekte stark im Vordergrund. Bereits in der Vergangenheit wurden talentierte Hacker/Cracker von Sicherheitsdiensten und/oder dem FBI rekrutiert. Bei Interesse könne man sich einfach per Mail an the_unknowns@live.com an die Herren wenden.

 

Kaspersky: Apple liegt in puncto Sicherheit 10 Jahre hinter Microsoft

Im April wurden ca. 550.000 Macs mit dem “Flashback”-Trojaner infiziert.

Dazu hat sich nun auch Kaspersky geäußert. Waren bisher Windows-Clients beliebte Ziele von Angreifern, wird es in der Zukunft ebenso Apple mit seinem Betriebssystem Mac OS hart treffen. Kaspersky behauptet, dass Apple in puncto Sicherheit, 10 Jahre hinter Microsoft hinge. Das ist erstmal eine sehr gewagte Aussage. Betrachtet man jedoch die Vergangenheit, galten UNIX-Systeme besonders sicher gegen Viren und ähnlicher Schadsoftware. In den nächsten Jahren erwartet Kaspersky jedoch weitere und größere Wellen von Malware, die es explizit auf Mac OS Rechner abgesehen haben.

Das lässt sich leicht erklären. In den letzten Jahren hat sich Apple sehr viele Marktanteile und somit Kunden sichern können. Die Anzahl von iMacs, MacBooks usw. hat ist in den letzten Jahren enorm gestiegen. Somit wird das System auch zukünftig ein viel interessanteres Ziel führ Bedrohungen darstellen. Nun stünde Apple laut Aussage von Kaspersky genau da, wo Microsoft einst stand: Man müsste die Sicherheitspolitik überdenken. Längst sind UNIX-Systeme nicht mehr unverwundbar. Ich behaupte, dass man sich im Hause Apple bereits Gedanken darüber macht, wie man Macs noch sicherer machen kann und dass man bereits an Lösungen analog zu “Microsoft Security Essentials” arbeitet.

Avira Free Android Security

Avira Free Android Security hat sich ins Market getraut. Nicht wirklich eine Antiviren-Software, sondern eher für eine Basis-Sicherheit. Wird dein Android geklaut, könnte dir das Tool durch aufspüren (geo) oder durch einen Alarm Aufschluss darüber geben, wo sich dein Gerät befindet. Die Beschreibung der App sagt folgendes (ich bin nicht zu faul um zu übersetzen, aber ich denke, es ist leicht verständlich. (via)

[app]com.avira.android[/app]

Android Sicherheit: Mit LBE Privacy Guard gegen ausspähende Android Apps

In den letzten Tagen häufen sich wieder Meldungen über Apps, die SMS oder Kontakte des Smartphones ausspähen. Zuletzt kam Facebook wieder in die Schlagzeilen mit der Android App. Anders als bei einem iPhone, kann man jedoch unter Android Maßnahmen ergreifen, um potenzielle Ausspähungen zu verhindern. Wer mit einem gerooteten Android unterwegs ist, sollte sich LBE Privacy Guard anschauen.

HowTo: Google Konto absichern durch zweifache Authentifizierung

Darüber wollte ich schon etwas länger bloggen und ein Kollege fragt auch immer “wo bleibt der Artikel” … jetzt nehme ich mir mal die Zeit dazu :-) Falls du kein Google-Konto haben solltest, könnte das schnell uninteressant werden. Muss aber nicht :-)

Also, Google bietet die Möglichkeit, Accounts durch eine zweifache Authentifizierung abzusichern. Datenklau ist ja heutzutage gang und gebe und meiner Meinung nach sollte man solche Möglichkeiten nutzen, wenn Sie einem angeboten werden.

Hierbei handelt es sich um eine doppelte Authentifizierung. Wenn jemand also irgendwie an das Passwort herankommt bringt das erstmal nicht viel. Man braucht noch ein Mobilfunkgerät, der einem entweder einen Code (Token) generiert. Dieser ist accountbasierend und erneuert sich jede Minute. Alternativ kann man sich einen Tokencode per SMS zusenden lassen. Für “Nicht-Google”-Anwendungen können 16-stellige anwendungsspezifische Kennwörter generiert werden.

Ich möchte nicht zu sehe ins Detail bzgl. der Funktionsweise gehen, sondern eher die Aktivierung der Sicherheitsmaßnahme beschreiben. Wer jedoch mehr darüber lesen möchte, kann das gerne hier tun. Dort gibt es noch Videos zur Veranschaulichung.