Der BKA-Trojaner verbreitet sich weiterhin über E-Mails mit gefälschten Rechnungen

Obwohl die Betrüger, die hinter dem BKA-Trojaner (auch bekannt als Ransom-Trojaner) stecken, von der Polizei gefasst wurden, sind noch zahlreiche E-Mails mit dem Schadprogramm im Umlauf.

Eine dieser E-Mails hat meine Aufmerksamkeit geweckt – sie war direkt an mich adressiert und hatte ein spezielles Format.

hse24-rechnung

Die E-Mail gibt vor von dem namenhaften Online-Shopping-Portal hse24.de zu stammen. Als Empfänger ist nur die E-Mail-Adresse des Absenders sichtbar.

In der Anrede der E-Mail werden Vor- und Nachname des Empfängers genannt. Es ist anzunehmen, dass diese Daten aus der E-Mail-Adresse ausgelesen wurden.  Unvorsichtige Nutzer können hierdurch von der Echtheit der E-Mail überzeugt werden. Im Anhang wird dasselbe Prinzip angewandt – er besteht aus einer Zip-Datei im Format „Rechnung <Vorname> <Nachname>.zip” / „Invoice < Vorname > <Nachname>.zip”.

Interessanterweise enthält das Zip-Archiv eine weitere Zip-Datei mit dem Namen „Bestellung 16.02.2013 – Rechnung” / „Order 16.02.2003 – Invoice”, in dem sich eine .com-Datei befindet. Allerdings ergibt eine Schnellanalyse, dass dies nur eine normale .exe-Datei ist, die mit Visual Studio erstellt wurde. Sie enthält den Trojaner „TR/Ransom.Foreign.acdb.1”. Diese Art der Malware-Verschleierung ist sehr clever, da nur sehr wenige Gateway-Sicherheitslösungen und mit Sicherheit keine lokale Anwendungmehr als eine Schicht innerhalb von Archiven scannen. Mit dieser Methode haben es die Cyber-Verbrecher geschafft, dass die gefährlichen Daten alle Sicherheitsprüfungen überwinden und es bis in den Posteingang des Nutzers schaffen.

Avira-Nutzer müssen sich keine Sorgen machen, denn alle Produkte erkennen diese Datei als „TR/Ransom.Foreign.acdb.1”. Somit sind alle Avira-Kunden geschützt.

 

Sorin Mustaca

IT Security Expert

Posted on Februar 18, 2013, 4:37
Posted in Malware Analysis | Tagged , , ,

Bankgeschäfte im Netz – aber sicher

Das Erledigen von Bankgeschäften im Internet gehört zu den Paradebeispielen für clevere Webangebote: Anstatt Überweisungsträger mühsam per Hand auszufüllen und zur nächsten Bankfiliale tragen zu müssen, ist nach einigen Mausklicks und wenigen Sekunden alles erledigt. Vom Sofa oder der Strandliege aus.

Gleichzeitig locken finanzielle Transaktionen natürlich auch zwielichtige Zeitgenossen an. Kaum eine Kategorie an PC-Schädlingen ist so ausgefuchst wie die aufs Onlinebanking spezialisierten Datendiebe. Sie hören auf Namen wie ZeuS, Citadel oder SpyEye und können sogar das beliebte Mobil-TAN-Verfahren aushebeln; bei diesem Verfahren wird die zum Freischalten der Online-Transaktion notwendige TAN per SMS aufs Mobiltelefon des Bankkunden geschickt.

Um die Macher und Nutzer der Banking-Schädlinge ins Leere laufen zu lassen und das eigene Konto zu schützen, empfiehlt sich das Befolgen einiger Tipps:

1. Installation einer Antiviren (AV)-Software

Ohne AV-Software sollte sich ohnehin niemand mehr ins Netz trauen – und schon gar nicht ans Onlinebanking machen. Viele Banken schreiben Einsatz und ständiges Aktualisieren einer (kostenlosen) Schutzsoftware sogar in ihren Geschäftsbedingungen vor. Entwenden Cyber-Kriminelle Geld vom Konto des Opfers, kann die Bank bei fehlender oder veralteter AV-Software unter Umständen auf Schadenersatz verzichten.

2. Finger weg von öffentlichen PCs

Frei zugängliche Rechner in Internet-Cafés, Bibliotheken oder Flughafenlounges sollten für jegliche sensible Transaktion tabu sein. Zu groß ist die Gefahr, dass ein Schädling Tastatureingaben mitschreibt und so an Logindaten gelangt.

3. Phishing-Nachrichten sofort in den Müll

Niemals verschicken Banken E-Mails an ihre Kunden, in denen sie zum Ändern oder Eingeben der Anmelde- oder Kontodaten auffordern. In aller Regel beinhalten die betrügerischen und mit Drohszenarien wie einer Kontosperrung gespickten Nachrichten einen Link auf eine Phishing-Website oder bringen im Anhang ein Stück Malware mit. Keinesfalls auf den Link klicken oder den Anhang öffnen. Stattdessen ab in den Müll mit der kompletten E-Mail.

4. Bank-Website nur von Hand aufrufen
Um Phisher ins Leere laufen zu lassen, sollte die Webadresse der Bank stets von Hand in den Browser eingegeben oder aus einem zuvor angelegten Lesezeichen aufgerufen werden. Ist die Seite geladen, ist vor der Eingabe der Anmeldedaten auf das Schlosssymbol in der Adresszeile oder Statusleiste des Browsers zu achten. Nur wenn dieser Hinweis auf die SSL-Verschlüsselung sowie das der Webadresse vorangestellte „https“ zu sehen sind, ist die Verbindung zum Bankserver geschützt.

5. Im Falle eines Falles sofort melden
Ist trotz aller Sicherheitsmaßnahmen Geld vom eigenen Konto aufgrund einer Online-Attacke verschwunden, sollte sofort die Bank alarmiert werden. Unter Umständen lässt sich die Überweisung noch abfangen. Schlägt dies fehl, steht der Gang zur Polizei ein, um dort Anzeige zu erstatten.

 

Posted on Februar 11, 2013, 9:52
Posted in Uncategorized | Tagged

Vorsicht vor gefälschten Java-Patches für die Zero-Day-Lücke

Wir und nahezu die gesamte IT-Welt haben über die Zero-Day-Lücke in Java und über das darauf folgende Patch Update von Oracle berichtet, mit dem Ziel, den Druck des Marktes zu reduzieren. Jedoch konnten auch wir nicht unerwähnt lassen, dass eine derart schnelle Aktion eigentlich nur zur Folge haben kann, dass noch mehr Bugs entstehen, die eine zukünftige Ausnutzung dieser Sicherheitslücken mit sich bringen könnten.

Der Hype der Massenmedien wird den Online-Kriminellen mit Sicherheit nicht verborgen bleiben und von ihnen ausgenutzt werden.

Aktuell beobachten sowohl wir als auch andere Sicherheitsunternehmen, dass sich Schadprogramme als Patch für die allseits bekannte Zero-Day-Lücke tarnen. Die Malware gibt vor, das Java 7 Update 11 zu sein, das die eingangs erwähnte Zero-Day-Lücke schließt.

Falls ihr Java noch nicht von eurem System deinstalliert habt, könnt ihr hier nachlesen, wie ihr dies sicher tun könnt. Wenn ihr nicht sicher seid, ob Java bei euch installiert ist, könnt ihr auf der Homepage von Java nachschauen, indem ihr überprüft, ob auf eurem PC die empfohlene Java-Version läuft.

Falls Java nicht auf eurem Computer installiert ist oder deaktiviert wurde, sieht die Seite wie folgt aus:

Sollte euch eine Webseite auffallen, die meldet, dass gewisse Aktionen aufgrund einer fehlenden Java-Installation nicht ausgeführt werden können, dann fallt nicht darauf herein. Installiert niemals Software, die nicht von der Website des Herstellers stammt – ganz gleich, ob es ein Patch ist oder nicht. In diesem speziellen Fall könnt ihr unter der folgenden Adresse das Installationspaket von Oracle herunterladen: http://java.com/de/download/index.jsp .

 

Sorin Mustaca

IT Sicherheitsexperte

Posted on Januar 29, 2013, 6:59
Posted in Security News | Tagged , , ,

Schon wieder ein Zero-Day-Exploit in Java?

Wir wissen aktuell noch nicht, ob es ein schlechter Scherz ist, der Oracle bzw. Java diskreditieren soll, aber die Medien berichten zurzeit intensiv über eine neue, bisher unentdeckte Sicherheitslücke in Java.

Die Berichterstattung hatte ihren Ursprung in einem Beitrag des Sicherheitsexperten Brian Krebs, dem in einem bekannten Forum zum Thema Online-Kriminalität ein Thread auffiel, in dem jemand für 5.000 US-Dollar sein Wissen über diese Lücke an zwei Personen weiter verkaufen wollte (für ein Zero-Day-Exploit ist dies ein sehr geringer Betrag). Warum ausgerechnet an zwei Personen? Die Schwachstelle kann sich weiter verbreiten, wenn sie über längere Zeit von Sicherheitsunternehmen wie Avira nicht entdeckt wird. Wir haben bereits in einem früheren Beitrag erläutert, wie Sicherheitslücken heutzutage kommerziell ausgenutzt werden und wie man diese ordnungsgemäß veröffentlicht.

Egal, ob an den aktuellen Gerüchten etwas dran sein sollte, eines ist sicher: Oracle hat die letzte Zero-Day-Lücke sehr schnell beseitigt und einige Beobachter sind der Ansicht, dass damit nicht alle Probleme behoben wurden. Adam Gowdiak, CEO und Gründer des polnischen Unternehmens Security Explorations, meinte beispielsweise, dass Oracle nach wie vor alle Schwachstellen beseitigen müsse, die sein Unternehmen seit April 2012 (richtig, 2012!) gemeldet hat. Darüber hinaus hat er eine weitere Sicherheitslücke entdeckt, die „eine vollständige Umgehung der JVM-Sandbox-Umgebung der neuesten Java SE Software (Version 7, Update 7, veröffentlicht am 30. August 2012) ermöglicht. Grund hierfür ist eine neue Schwachstelle, die einige unserer bereits gemeldeten, jedoch seitens Oracle noch nicht behobenen Fehler erneut ausnutzt”, meinte Gowdiak.

Wir können nur mutmaßen, in welchem Dilemma sich Oracle jetzt befindet: 2010 hat das Unternehmen Sun Microsystems und damit Java übernommen, wahrscheinlich ohne zu wissen, wie anfällig der Code ist. Wie bei zahlreichen anderen Übernahmen haben vermutlich auch hier viele Entwickler und damit deren Wissen über Java das Unternehmen verlassen. Es ist richtig und verständlich, dass Oracle hauptsächlich Probleme behebt, die von den Medien aufgegriffen werden – allerdings ist Softwareentwicklung und insbesondere die Qualitätssicherung für Software etwas, was man nicht über Nacht in großer Eile umsetzen kann. Wir hoffen, dass Oracle sich die Zeit nimmt, den Code gründlich zu überprüfen und zu überarbeiten, damit die Entwicklung in Zukunft auf einer solideren Plattform erfolgen kann. Vorausgesetzt natürlich, dass die Zeit zwischen zwei Schwachstellen  zur Überarbeitung und Überprüfung des Codes ausreicht. Wenn die Dinge weiter wie in den vergangenen 16 Monaten laufen, befürchten wir, dass wir noch viele weitere Schwachstellen bei Java finden werden. Laut Oracle läuft Java auf mehr als 850.000 Rechnern und über drei Milliarden Geräten weltweit. Das entspricht unglaublich vielen Java-Codezeilen. Warum hat Oracle vor zwei Jahren nicht darüber nachgedacht?

Wir haben bereits im Vorfeld erläutert, warum ihr Java deaktivieren oder deinstallieren solltet, wenn ihr es nicht wirklich benötigt. Falls ihr Java unbedingt braucht, schlagen wir die Verwendung von zwei Browsern vor: einen mit aktiviertem Java-Plugin und einen ohne. Der Java-Browser sollte nur für die Anwendungen/Applets genutzt werden, die Java benötigen. Für das normale Surfen solltet ihr den Browser ohne Java verwenden. Eines noch: Aktualisiert Java bitte unbedingt, wenn ihr es bis heute noch nicht getan habt!

 

Sorin Mustaca

IT Sicherheitsexperte

Posted on Januar 29, 2013, 6:49
Posted in Security News | Tagged , ,

Anleitung zur Einrichtung der Zwei-Faktor-Authentifizierung von Facebook

Vor geraumer Zeit hat Facebook die Zwei-Faktor-Authentifizierung eingeführt. Das bedeutet, dass für den Facebook-Login zwei Schritte notwendig sind: Authentifizierung mit Benutzername und Passwort (etwas, was der Nutzer weiß) sowie einem Mobiltelefon (etwas, was der Nutzer hat).

 

1. Auf Einstellungen klicken -> Kontoeinstellungen auswählen und dann auf Sicherheit (linkes Menü) klicken oder diesem Link folgen.

2. Aktiviert die “Anmeldebestätigungen” und klickt auf das Kontrollkästchen.

3. Es wird kurz erklärt was passiert, wenn ihr diese Funktion aktiviert. Anschließend  könnt ihr auf „Los geht‘s“ klicken.

4. Gebt euer Passwort ein, falls erforderlich.

5. Facebook erlaubt die Authentifizierung entweder via App oder SMS. Um die Authentifizierung via SMS zu konfigurieren, klickt auf „Andere“.

6. Gebt eure Mobiltelefonnummer ein und klickt auf „Weiter“.

7. Tippt den Code ein, den ihr per SMS erhalten habt, und klickt auf „Bestätigen“.

Die Zwei-Faktor-Authentifizierung wurde nun aktiviert.

8. Klickt auf das Kästchen und dann auf „Schließen“. Die Konfiguration ist jedoch noch nicht vollständig abgeschlossen.

9. Um Facebook auf anderen PCs oder mobilen Geräten nutzen zu können, ist es notwendig, dass ihr Passwörter für diese Anwendungen und Geräte konfiguriert.

In der Spalte Passwörter für Anwendungen generieren klickt ihr auf „Bearbeiten“.

10. Klickt auf „Passwörter für Anwendungen generieren“.

11. Falls erforderlich, gebt an dieser Stelle euer Facebook-Passwort ein.

12. Benennt das Gerät (z.B. Browser, oder <Browser> auf <Gerät> falls ihr Passwörter für mehrere Geräte bzw. Anmeldungen erstellen möchtet)

 

13. Klickt auf „Passwort generieren“ und speichert dieses oder gebt das Passwort direkt beim Anmeldungsprozess auf dem neuen Gerät ein. Wenn ihr für alle eure Anwendungen und Geräte Passwörter erstellt habt, klickt auf „Fertigstellen“.

Im Folgenden wird beschrieben, wie ihr Anwendungen den Zugriff auf euren Facebook-Account genehmigen könnt, wenn ihr keinen Zugriff auf euer Mobiltelefon habt. Leider erlaubt Facebook die Generierung von Passwörtern nur über die Facebook-App für Android- und iOS-Betriebssystemen. Solltet ihr ein anderes Betriebssystem nutzen, ist für euch der Vorgang hier abgeschlossen.

14. Um Passwörter generieren zu können, müsst ihr einen Codegenerator einrichten, indem ihr in der Spalte Anmeldebestätigungen auf „Codegenerator einrichten“ und danach auf „Weiter“ klickt.

15. Ladet die Facebook-App für Android/iOS auf euer mobiles Betriebssystem herunter und installiert diese. Wenn ihr die App schon auf eurem Handy installiert habt, aktualisiert einfach eure derzeitige Version.

Nachdem ihr die Facebook-App installiert oder aktualisiert habt, aktiviert den Codegenerator in der Facebook-App (im Menü links unten).

Wenn ihr auf den Code-Generator klickt, seht ihr folgendes:

Klickt auf „Aktivieren“. Der Codegenerator wird sofort danach im 30-Sekunden-Takt einen neuen sechsstelligen Code generieren, den ihr zur Authentifizierung neuer Geräte eingeben müsst.

Wenn ihr euch zum Beispiel mit eurem iPhone auf Facebook einloggen möchtet, müsst ihr euch einmalig authentifizieren, indem ihr den Code, der euch durch den Codegenerator angezeigt wird, eingebt.

 

      

 

 

Sorin Mustaca

IT Sicherheitsexperte

Posted on Januar 29, 2013, 6:40
Posted in Security News | Tagged , ,

Anleitung zum Entfernen des Java-Web-Plugin in allen Browsern

Wir haben über Java und seine regelmäßigen Schwachstellen berichtet, wovon zwei  (siehe hier und hier [Englisch]) Zero-Day-Exploits waren. Java ist ein weitverbreitetes Tool, weil es auf allen Plattformen einsetzbar ist und wenn eine Sicherheitslücke innerhalb einer Plattform gefunden wird, dann kann sie sehr oft auf alle anderen übergreifen.

Richtig angewandt bietet Java erweiterte Einsatzmöglichkeiten und Funktionsweisen zu einem günstigen Preis. Heutzutage verfügt jeder Browser über ein Java-Plugin und sie alle haben etwas gemeinsam: Sie setzen eine systemübergreifende Java-Installation ein. Somit sind alle Browser betroffen, wenn es bei der lokalen Java-Installation Probleme gibt.

Um dieses Risiko zu vermindern, sollte man sich als Anwender fragen, ob man Java auf seinem Computer wirklich benötigt.

Wenn die Antwort ‚Nein’ lautet, dann deinstalliert Java einfach.

Sollte die Antwort ‚Ja’ lauten, dann lest bitte weiter.

 

Wir raten, zwei Browser zu installieren, von denen einer das Java-Plugin aktiviert hat und der andere nicht. Der Browser mit Java sollte ausschließlich mit den Programmen/Applets benutzt werden, die eine Java-Installation voraussetzen. Der Browser ohne Java sollte für alle anderen Einsatzzwecke benutzt werden. Dabei gilt: Ist kein Java-Plugin vorhanden, kann auch kein Applet initiiert werden, selbst wenn Java auf dem System installiert ist.

Alle Browser haben das Java-Plugin bereits vorinstalliert im Sinne der Benutzerfreundlichkeit. Um das Plugin für einen Browser zu deaktivieren, folgt dem entsprechenden Link für euren Browser oder deaktiviert es für alle Browser.

 

Java in allen Browsern deaktivieren

Ab Java v7 Update 10 wurde eine neue Sicherheitsfunktion hinzugefügt. Ihr könnt Java durch das Java-Kontroll-Panel in allen Browsern ausschalten. Hier findet ihr eine detaillierte Anweisung von Java.com.

Solltet ihr Java gar nicht benötigen, könnt ihr es natürlich komplett deinstallieren.

 

Java in einem bestimmten Browser deaktivieren

Klickt auf den Browsernamen, um direkt zu diesem Bereich zu gelangen:

 

Deaktivierung des Java-Plugin in Firefox

  1. Oben im Firefoxfenster auf den Firefox-Button (Tools-Menü bei Windows XP) und dann auf Add-ons klicken. Der Add-ons-Manager wird geöffnet.
  2. Aus dem Add-ons-Manager Tab das Plugins-Feld wählen.
  3. Auf das Java (TM) Platform Plugin klicken, um es anzuwählen
  4. Auf den Disable (Sperren)-Button klicken (wenn der Button entsperren zeigt, ist Java bereits deaktiviert).

 

 

Deaktivierung des Java-Plugin in Chrome

1. Zu chrome://plugins/ gehen

2. Das Java-Plugin deaktivieren

 

 

Deaktivierung des Java-Plugins in Safari

  1. Zu Safari > Einstellungen gehen oder auf (⌘,) = Befehl – Komma drücken
  2. Auf „Sicherheit” klicken
  3. „Java aktivieren” deaktivieren
  4. Das Safari-Einstellungs-Fenster schließen

 

 

Deaktivierung des Java-Plugins in Opera

Gebt unter Opera opera:plugins in die Adresszeile ein und klickt auf den Deaktivierungs-Button.

 

Deaktivierung des Java-Plugins im Internet Explorer

Hier kann Java deaktiviert werden, indem man die Kill-Bits für Java CLSIDs einstellt und die URL-Aktion auf Disable (deaktivieren) setzt. Leider ist die Deaktivierung von Java im Internet Explorer nicht so einfach wie bei den anderen Browsern.

Warnung: Diese Prozedur verlangt ein paar Änderungen im Registry. Führt bitte ein Backup des Registrys durch, bevor ihr hier etwas ändert. Wir übernehmen keine Verantwortung für mögliche Schäden, wenn ihr unseren Anweisungen folget.

1. Folgende Datei herunterladen: disable_java_ie.txt

2. Die .TXT  Datei zu .REG ändern

3. Diese Datei als Administrator ausführen

4. IE erneut starten

Hinweis: Weitere Informationen über die Deaktivierung von Java in IE könnt ihr hier in dem Originalartikel nachlesen.

 

Sorin Mustaca

IT Sicherheitsexperte

Posted on Januar 29, 2013, 10:39
Posted in Security News | Tagged , , , , , , , ,

Oracle hat die Java Zero-Day-Exploits behoben

Nach der immensen Medienwirkung als Folge des Bekanntwerdens der Schwachstellen im Java v7 Update 10 haben viele nationale und internationale Organisationen ihren Lesern die Deinstallation von Java empfohlen (BSI in Deutschland, US-Cert). Natürlich kann Oracle diesen Verlust der Marktanteile nicht einfach hinnehmen und hat daher vergangenes Wochenende mit einer Fehlerbehebung begonnen, die nun für jedermann verfügbar ist.

Bitte ersetzt eure Java-Installation durch die neueste Java-Version 7, Update 11.

Diese Veröffentlichung beinhaltet Fehlerbehebungen der bekannten Sicherheitslücke, über die wir bereits schriftlich informiert haben. Oracle hat dazu ebenfalls eine Mitteilung verfasst: Oracle Sicherheitswarnung für CVE-2013-0422.

Zu den behobenen Problemen zählen auch folgende:

  • Die Standardsicherheitseinstellungen wurden geändert in „Hoch“
  • Das Java-Bedienfeld weist keinen Schieberegler für die Sicherheitsstufe auf
  • Probleme bei der Registrierung von Plugins auf Systemen, bei denen eine Stand-alone-Version von JavaFX installiert ist

Noch ist nicht gewiss, ob diese Fehlerbehebungen etwas mit CVE-2013-0422 zu tun haben, doch die Beschreibung von Oracle scheint sich zumindest auf die Behebung der ersten Schwachstelle zu beziehen.

Die Sicherheits-Baseline für die Java Runtime-Umgebung (JRE) zum Zeitpunkt der Veröffentlichung von JDK 7 Update 11 wird in der untenstehenden Tabelle dargestellt:

JRE Family Version JRE Security Baseline
(Full Version String)
7 1.7.0_11
6 1.6.0_37
5.0 1.5.0_38
1.4.2 1.4.2_40

 

Solltet ihr mit Java 6 arbeiten, findet ihr hier weitere Informationen bezüglich einer Aktualisierung.

Wir empfehlen dringend, wenn möglich jede ältere Java-Version zu deinstallieren und nur die allerneueste Version zu installieren.

Sind wir damit am Ende der Eskalation? Nein, bei Weitem noch nicht.

Wir haben gesehen, dass Oracle in der Lage ist, schnell und unter hohem internationalen Druck zu reagieren. Das ist natürlich sehr gut, aber wer sich mit Softwareentwicklung auskennt, weiß, dass die Entwicklung von kritischer Software unter Druck weitere Folgeerscheinungen haben kann: weitere Programmfehler.

Daher empfehlen wir weiterhin, Java deaktiviert zu lassen, falls ihr es nicht zwingend benötigt. Zieht beispielsweise als Alternative in Betracht, einen Browser mit aktiviertem Java zur Verwendung der von euch benötigten Java-basierten Anwendungen zu nutzen und einen anderen Browser ohne Java für den täglichen Gebrauch einzusetzen.

Nach Durchführung der Installation könnt ihr die Java-Version auf dieser Seite überprüfen.

 

Sorin Mustaca

IT Sicherheitsexperte

Posted on Januar 22, 2013, 10:04
Posted in Security News | Tagged , , , , , , ,

Anleitung zur Einrichtung der Zwei-Faktor-Authentifizierung von Dropbox

Wir haben die Zwei-Faktor-Authentifizierung (oder Zweistufige Überprüfung, wie sie von Dropbox genannt wird) bereits vorgestellt und ihre Notwendigkeit erklärt.

Es folgen die Einstellungsschritte für Dropbox:

 

Schritt 1:

1. Auf „Einstellungen -> Sicherheit” gehen

2. Bei „Zweistufige Überprüfung” auf „ändern” klicken

WICHTIG: In der Web-Anwendung von Dropbox scheint ein Fehler vorzuliegen, da der gesamte Vorgang komplett neu ausgeführt werden muss, sobald ihr an einer beliebigen Stelle im Browser-Fenster außerhalb des vorderen Fensters klickt (in dem die Zweistufige Überprüfung konfiguriert wird).

 

3. Auf „Erste Schritte” klicken

4. Das Passwort erneut eingeben und auf „Weiter” klicken

5. „Per SMS” wählen

6. Handy-Nummer eingeben und auf „Weiter” klicken

 

7. Den per SMS erhaltenen Code eingeben und auf „Weiter” klicken

8. Den nun angezeigten Code auf der Festplatte außerhalb von Dropbox ablegen und auf Papier notieren (verwendet hier keine Post-it-Software!) Anschließend auf „Zweistufige Überprüfung aktivieren” klicken.

9. Geschafft! Klickt nun unbedingt auf „Fertig”, sonst müsst ihr den Vorgang erneut ausführen.

Lest euch den Text im Fenster unbedingt aufmerksam! Wenn ihr demnächst von einem anderen Gerät auf euer Konto zugreifen möchtet, müsst ihr zuerst eine SMS auf eurem Handy empfangen, um euch zu authentifizieren. Solltet ihr dieses nicht bei euch haben oder kein Signal empfangen, bleibt euch lediglich der Code, den ihr in Schritt 7 hinterlegt habt.

10. Überprüft im Fenster „Einstellungen -> Sicherheit”, dass die „Zweistufige Überprüfung” aktiviert ist.

Vergewissert euch, dass beide Benachrichtigungen aktiviert sind (Standardeinstellung). Dadurch wird gewährt, dass ihr eine E-Mail erhaltet, sobald jemand auf euer Dropbox-Konto zugreift.

Schritt 2:

Autorisiert die Geräte, von denen aus ihr auf eure Ordner zugreifen möchten.

Bei der nächsten Anmeldung (ihr könnt dies mit einem anderen Browser testen) seht ihr dann ein Authentifizierungsfenster ähnlich desjenigen, welches in Schritt 6 beschrieben wurde.

Das ist schon alles. Diesen Schritt müsst ihr bei jeder Autorisierung eines neuen Gerätes durchführen.

Der größte Vorteil dieser Zweistufigen Überprüfung ist, dass ihr genehmigen könnt, welche Geräte oder Anwendungen auf eure Dateien zugreifen dürfen.

 

Sorin Mustaca

IT Sicherheitsexperte

Posted on Januar 21, 2013, 5:11
Posted in Security News | Tagged ,

Anleitung zur Einrichtung der der Zwei-Faktor-Authentifizierung von Google

Wir haben die Zwei-Faktor-Authentifizierung (oder Zwei-Stufen-Authentifizierung, wie sie von Google genannt wird) bereits vorgestellt und ihre Notwendigkeit erklärt.

Es folgen die Einstellungsschritte für alle Google Dienste, im Speziellen den Google E-Mail-Service:

Schritt 1

1. Hier geht es los

2. Auf „Erste Schritte” klicken (ihr werdet aufgefordert, euch mit eurem Benutzernamen und Passwort anzumelden)

3. Ihr werdet automatisch aufgefordert, die Kontowiederherstellung per SMS und einer zweiten E-Mail-Adresse zu aktivieren, falls noch nicht geschehen.

4. Zu https://www.google.com/settings/security gehen und auf die Bearbeitungsschaltfläche neben “Status: DEAKTIVIERT” klicken

5. Ihr solltet euch nun auf dieser Seite befinden: https://accounts.google.com/b/0/SmsAuthLanding

6. Auf „Einrichtung beginnen” klicken und die Anweisungen befolgen (Haltet euer Handy griffbereit!)

7. Nach Erhalt der SMS markiert ihr euren Computer als vertrauenswürdig.

8. Führt dies ausschließlich für euren Computer aus und nicht für PCs, die ihr nicht permanent benutzt bzw. die euch nicht gehören.

9. Abschließend bestätigt bitte, dass ihr den Service aktivieren möchtet, sonst aktiviert Google den Service nicht und ihr müsst den Vorgang erneut ausführen.

Schritt 2

Jetzt wird es interessant. Nicht nur Benutzer müssen diese zwei Schritte beim Authentifizierungsvorgang durchlaufen, sondern auch Anwendungen. Jede Anwendung, die Google-Services wie z.B. Gmail, YouTube, Docs und andere verwendet, muss in zwei Schritten authentifiziert werden.

Speichert die URL https://accounts.google.com/b/0/IssuedAuthSubTokens in den Favoriten eures Browsers, da ihr sie von nun öfter benötigt, bis ihr eure sämtlichen Anwendungen auf all euren Geräten eingerichtet habt. Wenn ihr eure E-Mails auf einem Android Tablet-PC, einem iPad, einem iPhone oder zwei Laptops mit standardmäßigen E-Mail-Clients lest und es mehreren Online-Anwendungen erlaubt, auf euer Mail-System zuzugreifen, werdet ihr sie zu Anfang recht oft brauchen.

Wenn ihr E-Mail-Programme wie Outlook, Apple Mail oder Thunderbird verwenden möchtet, müsst ihr ihnen neu erstellte Passwörter zuweisen.

Zunächst müsst ihr ein anwendungsspezifisches Passwort erstellen. Falls ihr dies versäumt, werdet ihr diese Anwendungen nicht mehr zum Lesen von E-Mails verwenden können.

Sobald ihr das neue Passwort erstellt habt, gebt ihr es anstelle eures alten Passwortes, mit dem ihr bislang auf euer Google-Konto zugegriffen habt, in das Passwortfeld eurer Anwendung ein. Ihr müsst ein neues spezifisches Passwort für jede Anwendung erstellen, die ein solches benötigt.

Was passiert, wenn ich nicht auf mein Handy zugreifen kann?

Google verwendet eine Methode, die zuvor von Banken eingesetzt, mittlerweile aber von SMS-Nachrichten abgelöst wurde: Transaktionsnummern (TANs).

Durch Zugriff auf die “Backup-Codes” könnt ihr eine Lister solcher Codes ausdrucken und sie immer bei euch tragen, falls ihr euer Mobiltelefon nicht zur Hand haben oder kein Netzsignal empfangen solltet.

 

Sorin Mustaca

IT Sicherheitsexperte

Posted on Januar 18, 2013, 12:53
Posted in Security News | Tagged , ,

Weshalb sollte man die Zwei-Faktor-Authentifizierung verwenden?

Die einfachste Antwort auf diese Frage lautet: weil ein Konto dadurch besser geschützt ist und man es ruhigen Gewissens benutzen kann.

Was ist die Zwei-Faktor- (auch zweifaktorielle Authentifizierung genannt) bzw. zweistufige Authentifizierung?

Laut Wikipedia ist die zweifaktorielle Authentifizierung (TFA, T-FA oder 2FA) eine Möglichkeit zur Authentifizierung, bei der mindestens zwei der drei folgenden Faktoren abgefragt werden: ein Wissensfaktor („etwas, was der Benutzer weiß”), ein Besitzfaktor („etwas, was der Benutzer besitzt”) und ein Ist-Faktor („etwas, was der Benutzer ist”).

Oder einfacher gesagt:

  • Etwas, was der Benutzer weiß, ist in der Regel ein Benutzername und ein Passwort.
  • Etwas, was der Benutzer besitzt, ist in der Regel ein Handy bzw. Smartphone oder ein individueller Tokengenerator.

Etwas, was der Benutzer ist, bezieht sich auf biometrische Identifikationsmerkmale (Ermittlung mit Fingerabdruckscanner, Netzhautscanner, etc.).

Die zweifaktorielle Authentifizierung ist nicht wirklich neu. Es gibt sie seit vielen Jahren, aber bis vor Kurzem wurde sie als zu komplex für den „normalen” Internetnutzer angesehen. Da heutzutage immer mehr Informationen und insbesondere Daten mit Personenbezug auf beliebigen Servern in anderen Ländern gespeichert werden, müssen diese Angaben besonders geschützt werden.

Im Prinzip ist dies sehr einfach, aber letzten Endes liegt die genaue Umsetzung am Betreiber einer Seite. Es gibt kein Rezept, das für alle Dienste gleichermaßen funktioniert. Die meisten der großen Seitenbetreiber wie Google, Facebook, Twitter und weitere haben solche Verfahren im Jahr 2012 eingeführt.

Die Einrichtung erfolgt in maximal zwei Schritten: Erstens müsst ihr euer Handy oder Smartphone entsprechend konfigurieren und zweitens müsst ihr, abhängig vom jeweiligen Dienst, bestätigen, welche Anwendungen auf welche Weise auf euer Konto zugreifen können.

Das hört sich vielleicht etwas kompliziert an, aber wie immer nimmt bei einem höheren Sicherheitsniveau die Benutzerfreundlichkeit (d.h., wie einfach man eine Anwendung nutzen kann) etwas ab. Der Vorteil besteht darin, dass ihr ruhig schlafen könnt und niemand in eure Welt eindringt, ohne dass ihr es möchtet.

Wir werden in Zukunft einige Artikel veröffentlichen, die euch Schritt für Schritt zeigen, wie ihr diese Authentifizierungsmethode für Dienste wie Google, Facebook und Dropbox konfigurieren könnt.

 

Sorin Mustaca

IT Sicherheitsexperte

Posted on Januar 18, 2013, 10:23
Posted in Security News | Tagged , ,