Thema: Die Cloud als Sicherheitsrisiko ?!

[SiLæncer]

Der "WPA-Cracker", ein Cloud-Computing-basierter Dienst zum Auffinden von WLAN-Passwörtern, gibt die Richtung vor: Gute wie böse Hacker nutzen verstärkt verteilte Infrastrukturen.

Sie wollen testen, wie gut der Zugangsschutz zu Ihrem drahtlosen Netzwerk (oder dem Ihres Nachbarn) ist? Für 34 Dollar kann das jeder seit letzter Woche ausprobieren: Mit einem neuen Dienst, der das Knacken von WLAN-Passwörtern in die "Cloud", sprich: auf kostengünstige Serverparks im Internet, verlagert. Eigentlich wendet sich der Dienst namens "WPA-Cracker" vor allem an professionelle IT-Security-Experten, die so genannte Penetrationstests durchführen wollen, um die Sicherheit der Netze ihrer Kunden zu testen. Nutzen darf ihn aber jeder, vorausgesetzt, er oder sie besitzt eine Kreditkarte.

Das Angebot, einer der ersten Hacking-Dienste, der auf Cloud-Computing-Innfrastrukturen aufsetzt, nutzt minutenweise gemietete Rechenkapazität, um einen Datenschnipsel aus dem zu knackenden Drahtlosnetz auf schwache Passwörter abzuklopfen. Dabei wird eine WLAN-Kennung nach dem aktuell gebräuchlichen WPA-Standard (Wi-Fi Protected Access) auf 135 Millionen verschiedene Möglichkeiten durchprobiert. Das vom bekannten Hacker Moxie Marlinspike gestartete Projekt ist deshalb interessant, weil beispielsweise ein ausgesperrter Kunde sehr viel Zeit sparen kann, um sein Passwort wiederzufinden. Wofür ein einzelner Rechner fünf Tage benötigt, reichen dem WPA-Cracker mit seinen 400 virtuellen Maschinen und Techniken aus dem High-Performance-Computing-Bereich schlappe 20 Minuten.

"Sicherheit bewegt sich in die Cloud – entsprechend werden sich auch Angriffe dorthin verlagern", sagt Marlinspike. Das Knacken von Passwörtern sei da nur das Problem, das am naheliegendsten sei: "Normalerweise verhindern es die Kosten, dass eine Einzelperson solche CPU-intensiven Aufgaben durchführt. In der Wolke ist das aber viel billiger."

Im Kern bieten Cloud-Computig-Dienste mächtige Infrastrukturen durch das Internet an, die sich sehr leicht an die Bedürfnisse der Kunden anpassen lassen. Online-Riesen wie Amazon, Google oder Microsoft spielen auf dem Markt mit. Wer möchte, kann seine Einzelanwendung auf einem riesigen Rechnerpark laufen lassen. Leistung lässt sich so deutlich effizienter abrufen – ganz nach Bedarf.

Sicherheitsexperten zufolge interessieren sich auch Cyber-Kriminelle längst für die Kostenvorteile und technischen Möglichkeiten dieser Services. "Wir haben bereits Angriffe gesehen, die aus Internet-Adress-Bereichen kamen, die Cloud-basierten Diensten gehörten", sagt Tom Cross, Forschungsmanager beim "X-Force"-Sicherheitsteam des IT-Konzerns IBM. Welche Anbieter das waren, wollte er allerdings nicht sagen.

Es gab jedoch schon zuvor bekannte Beispiele für den Missbrauch großer Cloud-Dienste. Eines davon stammt aus dem Jahr 2008: Damals nutzte ein Spammer den Amazon-Service Elastic Compute Cloud (EC2), um eine gigantische Porno-Müllmail-Lawine loszutreten. Vergangenen Monat meldete der Netzwerksicherheitsspezialist Arbor Networks dann, dass eine Cloud-Anwendung, die auf Googles AppEngine-Plattform vorgehalten wurde, ein kleines Botnetz aus Zombie-PCs kontrollierte, gehackten Maschinen, die sich jederzeit für Angriffe und Spam nutzen lassen. Das Programm wurde zwar schnell abgeschaltet und Google zufolge war die Software wohl nicht aus konkreten kriminellen Absichten vorgehalten worden. Doch selbst wenn das stimmt – das Beispiel zeigt, dass böswillige Programmierer ihren Code durchaus in der Cloud laufen können, ohne groß aufzufallen, wie Arbor Networks-Sicherheitschef Danny MacPherson sagt. "Je mehr Menschen die Cloud-Infrastruktur nutzen, desto mehr Missbrauch wird es auch geben, da bin ich mir sicher. Ich würde jedem raten, Sicherheit nicht mehr wie eine Art Pflaster zu sehen, das man nachträglich aufpappen kann."

Eigentlich ist die Nutzung verteilter Ressourcen für Online-Gauner sowieso nichts Neues: Sie bauten sich schon früher quasi ihre eigene Cloud auf, indem sie zahllose Rechner einfacherer Nutzer unter ihre Kontrolle brachten und sie dann zentral kontrollierten. Diese Botnetze lassen sich dann für die verschiedensten Aufgaben nutzen – vom Spam-Versand über das Verteilen von Viren bis hin zu zentral gesteuerten Denial-of-Service-Angriffen, die selbst große Server ins Schwitzen bringen. Es gibt sogar "Unternehmer" in der Cyber-Kriminellen-Szene, die einen Markt für solche Botnetze aufgebaut haben, über den sich eine beliebige Anzahl von Opfer-Rechnern gegen Bezahlung "mieten" lässt.

Cloud-Dienste, deren Netzwerkaktivität nicht genau genug kontrolliert wird, könnten bald ähnlich missbraucht werden. "Wenn man ein Botnet aufbaut, versucht man, eine große Anzahl von Rechnern für einen bestimmten Zweck zu missbrauchen. Wer eine Kreditkarte besitzt, kann ähnliches nun bei einem Cloud-Anbieter bestellen", sagt IBM-Sicherheitsmann Cross.

Lücken in Cloud-Diensten tauchen inzwischen regelmäßig auf. Im vergangenen Sommer zeigte die IT-Security-Firma SensePost eine Anzahl verschiedener Techniken, mit der sich die Services großer Anbieter missbrauchen lassen. So konnten die Sicherheitsforscher mit einem Trick das Limit von 20 Rechnern, das Amazon derzeit pro Kunde vorsieht, umgehen und deutlich mehr Maschinen unter ihre Kontrolle bringen. Angreifer konnten außerdem leicht virtuelle Rechner erstellen, die Rootkits oder anderen Schadcode enthielten, so SensePost. Würden diese dann von einem anderen Amazon-Kunden als Vorlage verwendet, was grundsätzlich vorgesehen sei, könnte die Infrastruktur auf fremde Kosten missbraucht werden.

"Die Cloud wird professionellen Kriminellen jede Menge Rechenleistung auf Abruf bieten – mit zahlreichen "interessanten" Anwendungen", warnt Haroon Meer, Forschungsdirektor bei SensePost. "Dass das einige Sicherheitsmodelle durcheinander bringen wird, ist noch das kleinste."

Quelle : http://www.heise.de/tr/

[SiLæncer]

Gerade mal 6 US-Dollar mussten die Sicherheitsexperten David Bryan und Michael Anderson investieren, um mit Hilfe Amazons flexibler Cloud-Infrakstruktur EC2 den Server ihres Auftraggebers von der Außenwelt abzuschneiden, wie DarkReading berichtet. Nach Angabe von Name und Kreditkartennummer konnten sie ihr Programm "Thunder Clap" (Donnerknall) auf den virtuellen Amazon-Servern platzieren, das den Server ihres Kunden mit einer DoS-Attacke schließlich in die Knie gezwungen hat. Laut den Experten haben sie weder Bandbreitenbeschränkung noch Erkennungsmaßnahmen an ihrem Vorhaben gehindert.

Auch auf die Beschwerden ihres Kunden, der durch den Angriff seine Infrastruktur auf die Probe stellen wollte, habe Amazon nicht reagiert. In einer Mail-Antwort, die der Webseite DarkReading vorliegt, behauptet Amazon-Sprecherin Kay Kinton das Gegenteil: "Wir haben Prozesse, um Missbrauch zu erkennen und auf Beschwerden zu reagieren. [...] Wenn wir Missbrauch feststellen, reagieren wir schnell und verhindern ihn." Warum das diesmal nicht funktioniert hat, ließ Amazon offen.

Schützen könne man sich nach Meinung von David Bryan durchaus: "Die Schutzmaßnahmen gegen cloud-basierte DoS-Angriffe unterscheiden sich nicht von den Schritten, die man zum Schutz vor herkömmlichen DoS-Attacken durchführen muss". Sein Auftraggebeber war zwar auf dieses Szenario vorbereitet, jedoch war die Sicherheitshardware zu lasch konfiguriert, sodass sie den Angriff nicht erkannt habe. Kriminelle nutzen bisher in erster Linie Botnetze für ihre Angriffe, doch die Anmietung von Rechenzeit in der Wolke ist günstiger und könne effektiver sein, so die Experten. Sie befürchten Schutzgeldforderungen gegenüber Unternehmen und fordern die Betreiber der einfach einzurichtenden Cloud-Serverdienste wie Amazon, Google, Microsoft und Rackspace auf, schneller auf Beschwerden zu reagieren.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsexperte Derek Newton hält Dropbox derzeit für ein Risiko. Wer heimlich die Konfigurationsdatei entwende, könne unentdeckt auf die Dateien zugreifen und werde auch bei einem Passwortwechsel nicht ausgesperrt.

Dropbox hat ein unterschätztes Sicherheitsproblem. Dieser Ansicht ist der bei Time Warner arbeitende Sicherheitsexperte Derek Newton, der aus Neugier verschiedene Dateisynchronisationstools auf mögliche Sicherheitsrisiken untersucht und gleich bei Dropbox fündig wurde.

Dropbox speichert - zumindest unter Windows - seine Konfigurationsdaten, Datei- und Verzeichnislisten, Hashtabellen und weiteres in mehreren SQLite-Datenbank-Dateien. Newton fand heraus, dass der Dropbox-Client lediglich die in der primären Datenbank, der config.db, gespeicherte host_id zur Authentifizierung nutzt. Diese wird einem System nach der Installation und der ersten Autorisierung beim Dropbox-Onlinedienst zugewiesen.

Das Sicherheitsproblem ergibt sich laut Newton daraus, dass die config.db-Datei oder lediglich die host_id auf beliebige Rechner übertragen werden muss, um unerkannt und mit allen Rechten auf die jeweilige Dropbox zugreifen zu können. Das neue System wird automatisch den zur Synchronisation freigegebenen Rechnern zugeordnet, ohne dass eine neue Autorisierung erforderlich wäre, der Nutzer informiert würde oder das in der Liste der verbundenen Geräte sehen wäre.

Selbst wenn ein Nutzer zwischenzeitlich das Passwort gewechselt hat, soll sich das nicht auswirken. Die host_id bleibt trotzdem gültig. Newton hält es für möglich, dass Schadsoftware entwickelt werden kann, die nach der config.db von Dropbox Ausschau hält und anschließend unerkannt auf Dateien zugreifen und diese modifizieren oder infizieren kann.

Für den Dropbox-Nutzer gibt es dabei bisher nur die Möglichkeit, die vermutlich komprimittierten Systeme aus der Liste der autorisierten Geräte zu entfernen und neu zu autorisieren.

Newton empfiehlt derzeit, entweder ganz auf die Nutzung von Dropbox zu verzichten- oder rigoros alte Systeme aus der Liste der autorisierten Geräte zu löschen und bei vertraulichen Daten zumindest zusätzlich eine Verschlüsselung einzusetzen.

"Hoffentlich wird Dropbox bald die Notwendigkeit einer zusätzlichen Sicherheit erkennen und Schutzmechanismen hinzuzufügen, die es weniger leicht machen, auf lange Zeit einen unautorisierten Zugriff auf die Dropbox eines Nutzers zu erlangen, und außerdem bessere Mittel zum Entschärfen und Entdecken einer Gefährdung bieten", so Newton in seinem Blog. Bis dahin hofft er, dass die Dropbox-Nutzer nicht in falscher Sicherheit wiegen.

Quelle : www.golem.de

[SiLæncer]

Kommentar: wenn irgendetwas Zugriff auf die config.db von Dropbox erhält – via Trojaner oder whatever, dann hat mein System ganz andere Probleme. Denn dann könnte ich auch auf alles andere zugreifen, nicht nur auf die Dropbox. Des Weiteren: man sollte sensible Daten nur verschlüsselt in der Cloud speichern. Geht auch mit Dropbox in Kombination mit TrueCrypt oder z.B. Boxcryptor.

[spoke1]

Boxcryptor
 
Der potenziellen Dropbox-Sicherheitsschwachstelle kann mit einer Zusatzsoftware begegnet werden. Boxcryptor arbeitet mit AES (256 Bit) und dient als virtuelle Festplatte. Die wird in der Dropbox gespeichert. Boxcryptor sorgt für eine transparente Verschlüsselung aller Daten, die auf der virtuellen Festplatte gesichert werden, die das Windows-Programm erstellt. Die Software befindet sich noch in der Betaphase und ist deshalb mit der üblichen Vorsicht zu genießen.

Die Verschlüsselung der virtuellen Festplatte erfolgt mit AES-256. Im Gegensatz zu Truecrypt erzeugt Boxcryptor keinen einzelnen Container, sondern sorgt für eine Einzeldateiverschlüsselung. Boxcryptor ist nicht ausschließlich auf Dropbox hin entwickelt worden - die Software kann auch ohne Cloud-Speicherdienst eingesetzt werden.

Für den Einsatz mit dem Dateisharingdienst wird ein Unterordner im Dropbox-Ordner erzeugt und als Quellverzeichnis für Boxcryptor ausgewählt. Boxcryptor erscheint als Laufwerk im System. Werden in dieser Konfiguration Daten auf das Laufwerk gespeichert, landen sie verschlüsselt direkt in der Dropbox. Boxcryptor läuft nur unter Windows. Linux und Mac OS X können auf die verschlüsselten Daten allerdings über EncFS zugreifen. Das System hat dennoch einen Nachteil: Der Anwender kann zwar weiterhin über die Weboberfläche oder über iOS, Android und Blackberry seine Dropbox erreichen, die betreffenden Dateien aber wegen der Verschlüsselung nicht mehr lesen. Gerade die Plattformunabhängigkeit ist aber ein großer Vorteil von Dropbox.

Boxcryptor ist in der Basisversion mit maximal 2 GByte großen virtuellen Festplatten kostenlos. Wer mehr Speichermöglichkeiten wünscht, muss zahlen. Für Privatanwender kostet Boxcryptor rund 10 Euro, während berufliche Anwender rund 30 Euro zahlen müssen. Für das Geld erhält der Anwender jeweils eine unlimitierte virtuelle Festplatte. (ad)


Quelle: http://www.golem.de/1104/82680.html

[SiLæncer]

Die Dropbox-Entwickler haben das experimentelle Update 1.2.0 für Windows, Mac OS X und Linux zum Testen bereitgestellt, das das kürzlich gemeldete Sicherheitsproblem beseitigen soll. Durch das Auslesen der Konfigurationsdatei können sich Unberechtigte unbemerkt Zugang zu dem Onnline-Speicherdienst verschaffen und frei auf die gespeicherten Dateien zugreifen. Davor schützt auch das nachträgliche Ändern des Passworts nicht, wie der Sicherheitsexperte Derek Newton bei Tests herausfand.

Laut Newton ist die Konfigurationsdatei config.db nicht an das System gebunden und lässt sich folglich auf jedes andere System übertragen. Ein Trojaner könnte die Datei kopieren und sich später jederzeit Zugang zu den in Dropbox gespeicherten Dateien verschaffen. Das Update soll nun verhindern, dass sich Angreifer mit Kopien der Datei Zugriff auf den Online-Speicher verschaffen können.

Darüber hinaus führt die Version 1.2.0 ein neues, verschlüsseltes Format für die lokal verwendete SQLite-Datenbank ein, um den unberechtigten Zugriff auf Inhalte zu verwehren. Leider führt das nach Angaben der Entwickler dazu, dass einige Anwendungen mit Dropbox-Unterstützung nicht mehr funktionieren. Konkret sind sind unter anderem 1Password und KFilebox betroffen.

Die Entwickler rechnen mit mehreren Wochen bis zur Fertigstellung der offiziellen Version. Anwendern, die das experimentelle Update schon testen wollen, rät der Hersteller, ein Backup anzulegen.

Quelle : www.heise.de

[SiLæncer]

Ein Software-Update soll schuld daran gewesen sein, dass Nutzer beim Einloggen in ihr Dropbox -Konto beliebige Passwörter angeben konnten. Zwischen 23 Uhr und 3 Uhr (deutscher Zeit) hätten Angreifer diesen Fehler zum unbefugten Zugriff auf die Online-Speicher missbrauchen können.

Nach Angaben der Dropbox-Betreiber sollen im betroffenen Zeitraum jedoch nur Anmeldevorgänge auf weniger als 1 Prozent der eingerichteten Konten stattgefunden haben. Nach vier Stunden habe man den Fehler behoben und alle Sitzungen aus Sicherheitsgründen beendet. Einem Bericht von TechCrunch zufolge hatten zuvor aber bereits andere Nutzer den Fehler bemerkt. Dropbox untersucht derzeit noch, ob es zu unberechtigten Zugriffen kam. Anwender, die den Verdacht eines unbefugten Zugriffs auf ihr Konto haben, sollen sich an den Support von Dropbox wenden.

Der Vorfall zeigt erneut, wie wichtig es ist, die Daten in irgendeiner Form selbst zu verschlüsseln, bevor man sie bei Dropbox hinterlegt. Vor einigen Wochen war der Verdacht aufgekommen, dass Dropbox-Mitarbeiter die Kundendateien einsehen können. Bis dato hatte der Dienstleister aber damit geworben, dass dem Unternehmen anvertraute Daten in manchen Fällen sicherer seien als auf dem eigenen Computer. Dropbox behauptet auf seiner Website nun nicht mehr wie ursprünglich, dass "niemand" die abgespeicherten Daten einsehen kann; das Unternehmen spricht jetzt nur noch von "anderen Dropbox-Benutzern".

Quelle : www.heise.de

[ritschibie]

Ab Mitte Dezember will Microsoft die Vertragsbestimmungen für seinen Cloud-Dienst Office 365 in Anlehnung an die Vorstellungen (PDF) deutscher Datenschützer ändern. Die neuen Regeln sollen zudem die von der EU entworfenen Standardklauseln zur Übermittlung personenbezogener Daten enthalten. Dies hatte Microsoft in Großbritannien bereits im April 2011 angekündigt. Der bayerische Datenschutzbeauftragte bescheinigte Microsoft, mit seinen neuen Verträgen die Regelungen des deutschen Datenschutzrechts zu erfüllen.

Alle Informationen zu Cloud-Sicherheit und -Datenschutz will das Unternehmen in einem "Trustcenter" getauften Portal zusammenfassen. Dort sollen auch sämtliche Verträge vor Abschluss verfügbar sein, sodass Firmen sie ihrer Rechtsabteilung zur Prüfung vorlegen können. Mit seinen Maßnahmen sieht sich Microsoft als "Vorreiter beim Thema Datensicherheit", es "stelle sich einmal mehr seiner Verantwortung als Anbieter Cloud-basierter Lösungen".

Zeitlich fällt Microsofts Initiative sowohl mit dem heute stattfindenden 6. IT-Gipfel der Bundesregierung zusammen als auch mit einer wachsenden Beunruhigung in den USA wegen der Folgen des Patriot Act für das Geschäft der Cloud-Anbieter. Die jetzt angekündigten Vertragsänderungen dürften jedoch die US-Behörden nicht daran hindern, ihre in diesem Anti-Terrorgesetz vorgesehenen Rechte wahrzunehmen.

Bei der Vorstellung der Microsoft-Pläne versuchte Professor Peter Bräutigam, Fachanwalt für IT-Recht bei der Kanzlei Noerr LLP, hiesige Vorbehalte wegen des Patriot Act zu zerstreuen. Es handele sich nur um eine "Marketing-Chimäre", meinte er. Denn überall könnten Geheimdienste und Ermittlungsbehörden auf Cloud-Daten zugreifen, und sowohl in den USA als auch in Europa handele es sich um demokratisch legitimierte Institutionen, die nach rechtsstaatlichen Prinzipien vorgingen.

Außerdem gebe es praktisch keine hiesigen Cloud-Anbieter, die nicht auf die eine oder andere Weise in den Vereinigten Staaten präsent seien, hieß es auf der Veranstaltung. Gegebenenfalls könnten die Behörden auf diese Niederlassungen oder Tochterfirmen Druck ausüben und so das europäische Unternehmen dem Patriot Act unterwerfen.

Quelle: www.heise.de

[SiLæncer]

Cloud-Speicherdienste bieten oft eine unzureichende Sicherheit. Zu diesem Ergebnis kommt das Fraunhofer-Institut für sichere Informationstechnologie, das die Dienste Dropbox, Cloudme, Crashplan, Mozy, Teamdrive, Ubuntu One und Wuala getestet hat.

Das Fazit der Fraunhofer-Studie: "Keiner der getesteten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung." Die Tester bemängeln technische Probleme ebenso wie Schwächen in der Benutzerführung, die dazu führen können, dass vertrauliche Daten in Suchmaschinen landen.

So kommt Institutsleiter Michael Waidner zu dem Schluss: "Für manche private Nutzung mag der eine oder andere Dienst ausreichen, bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen."

Die Fraunhofer Forscher nahmen in ihrer Studie zwischen Sommer 2011 und Januar 2012 die Dienste Dropbox, Cloudme, Crashplan, Mozy, Teamdrive, Ubuntu One und Wuala unter die Lupe und schauten sich vor allem die Verschlüsselung der Daten sowie die Absicherung der Kommunikation an. Bei allen Anbietern stellten sie Sicherheitsmängel fest, "selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen".

Cloudme, Dropbox und Wuala patzen nach Ansicht der Fraunhofer-Forscher bereits bei der Registrierung, da sie die verwendete E-Mail-Adresse neuer Kunden nicht verifizieren. So könne ein Angreifer einen Account im Namen eines anderen eröffnen, illegales Material hochladen und dies dann der Polizei melden.

Einige der Anbieter verwenden bei der Absicherung der Datenübertragung in die Cloud keines der sicheren Standard-Protokolle. Crashplan, Teamdrive und Wuala verwenden demnach nicht SSL/TLS, sondern eigene, nicht veröffentlichte Protokolle, was die Forscher für einen sehr fehleranfälligen Ansatz halten. Cloudme verzichte komplett auf jede Verschlüsselung bei der Dateiübertragung.

Cloudme, Dropbox und Ubuntu One verzichten zudem auf eine Client-seitige Verschlüsselung, so dass die Anbieter die Daten im Klartext erhalten. Die Nutzer müssen also darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben. Mozy verzichte auf die Verschlüsselung von Dateinamen und das konvergente Verschlüsselungs-Schema von Wuala sei anfällig für Angriffe auf Serverseite, so die Forscher.

Das Teilen von Daten halten die Fraunhofer-Forscher bei Cloudme, Dropbox, Teamdrive und Wuala für problematisch. Werden Dateien mit nicht angemeldeten Nutzern geteilt, stellen diese Dienste sie unter einer sehr langen, nicht vorhersagbaren URL zur Verfügung. Cloudme aber verschleiere die URL nicht adäquat und verhindere nicht, dass Suchmaschinen auf die Dateien zugreifen, Dropbox gebe unklare Details zur Teilen-Funktion, TeamDrive habe Schwächen, wenn Gruppenmitglieder wieder ausgeladen werden, und Wuala erlaube es, Daten zu sammeln, da der Nutzername in den öffentlichen URLs enthalten ist.

Bei Mozy und Wuala gibt es zudem Probleme durch die Deduplikation der Daten. So ist es hier in einigen Fällen möglich, abzufragen, ob eine Datei schon gespeichert ist oder nicht.

Die Forscher raten Nutzern daher, ihre Daten direkt auf dem Client mit Programmen wie Truecrypt, EncFS and GnuPrivacyGuard zu verschlüsseln und erst dann in die Cloud zu kopieren.

Neben diesen technischen Problemen machten die Forscher um Michael Waidner auch rechtliche Probleme aus. So müssten europäische Unternehmen darauf achten, ihre Daten nur bei Anbietern zu speichern, die ihren Sitz im europäischen Wirtschaftsraum haben und nicht zu einem Unternehmen aus den USA gehören. Andernfalls gebe es die Gefahr, dass unter Berufung auf den Patriot Act auf die Daten zugegriffen wird, auch wenn sie auf europäischen Servern gespeichert sind.

Die komplette Studie steht unter sit.fraunhofer.de zum Download bereit.

Quelle : www.golem.de

[SiLæncer]

Vom Smartphone bis zum kommunizierenden Plastikhasen sind heute alle möglichen Geräte mit der digitalen Cloud verbunden. Ist dort der Nutzer noch Herr seiner Daten?

In einem Multimediamarkt entdecken Sie ein supersüßes Digitalgimmick in Hasenform. Sie staunen. Sie zögern. Dann lesen Sie die Beschreibung: „Multiüberwachungssystem für Ihr Wohnzimmer - Schicken Sie all Ihre persönlichen und beruflichen Daten in Wort, Bild und Ton ins Ausland! Seien Sie nie wieder privat!“Greifen Sie immer noch zu? Wahrscheinlich, denn Geräte, die genau das tun, werden gerade in großen Mengen verkauft.

Allerdings ist ihre Beschreibung etwas anders formuliert. Damals, als „Clouds“ noch Rechner und „Apps“ noch Programme hießen, konnte man das „Internet“ gut erkennen. Es sah in etwa wie ein Computer aus - nicht zuletzt deswegen, weil es ein Computer war, der das Tor zum Netz bildete. Diese Zeiten sind vorbei.

Der ganze Artikel

Quelle : www.faz.net

[SiLæncer]

Es ist nicht lange her, da beklagten viele deutsche Benutzer von Dropbox ein erhöhtes Spamaufkommen. Dropbox sah sich logischerweise in die Verantwortung genommen und musste dahingehend Ermittlungen anstellen. Nun die Auflösung, die fassungslos machen könnte. Tatsache ist, dass viele Dienste in der letzten Zeit Einbrüche erlitten und Passwörter gestohlen wurden.

Einige dieser Accounts wurden doppelt genutzt, heißt: Benutzer waren zum Beispiel mit dem gleiche Passwort bei Linkedin angemeldet und bei Dropbox. Durch diese Tatsache wurden einige Dropbox-Konten kompromittiert, darunter das eines Dropbox-Mitarbeiters, der ein unverschlüsseltes Dokument mit E-Mail-Adressen der Kunden in seiner Dropbox aufbewahrte.

Aus Sicherheitsgründen sollten viele Benutzer eine Mail bekommen haben, die darüber informiert, dass sie ihr Passwort ändern müssen. Wenn ihr nicht mehr via Web in euer Dropbox-Konto kommt, dann schaut in euer Postfach, in der Dropbox-Mail verbirgt sich ein Link, der euch zu der Seite führt, auf der ihr euer Passwort ändert. Tut euch wirklich einen Gefallen und nutzt etwas anderes als bei 10 anderen Diensten, man sieht ja, was passieren kann. Der Grund für die erzwungene Änderung? Zitat: “Recently, passwords have been stolen from some Internet services. This is a problem because many people use the same password on multiple services, which is unsafe. As a precaution, we’ve reset your password and you can create a new one”

Aus diesen Gründen wird Dropbox eine Two-factor authentication einführen, diese “doppelte Anmeldesicherheit” bringen auch Dienste wie Google mit. So müsstet ihr, sofern ihr euch an fremden Rechnern in euer Dropbox-Konto einloggt, erst einmal einen Code eingeben, der euch zum Beispiel auf euer Smartphone gesendet wird.

Der Spaß ist wirklich sicherer und muss nur einmalig eingerichtet werden, da man in den meisten Fällen vertraute Rechner und Geräte bestimmen kann, die ohne diese zusätzliche Hürde auskommen dürfen. Weiterhin bekommt Dropbox einen Aktivitäts-Tab – in diesem wird angezeigt, welches Gerät von wo zugegriffen hat.

Und die Moral von der Geschicht? Traue unverschlüsselten Daten in der Cloud nicht!

Spaß beiseite. Ich schreibe euch mal meine persönlichen Regeln auf:

1. Lasse keine sensiblen Daten unverschlüsselt ins Netz
2. Nutze, sofern angeboten,  Two-factor authentication
3. Minimiere Cloud-Abhängigkeit und -Nutzung

Quelle: Caschys Blog

[SiLæncer]

Es gibt so einige, die mittlerweile auf LastPass setzen. Der in der Grundform kostenlose Passwort-Dienst, der vor längerer Zeit den Bookmark-Dienst Xmarks übernahm fungiert als Passwortspeicher in der Cloud. Über Sinn und Unsinn von Passwörtern in der Cloud mag man vortrefflich streiten, dem Erfolg des Dienstes scheint dies keinen Abbruch getan zu haben. LastPass speichert bekanntlich die verschlüsselten Passwörter auf den eigenen Servern, die Passwörter könnt ihr so via Browser-Erweiterung dann an allen Rechnern nutzen – funktioniert ein wenig via Googles eigene Synchronisation im Chrome-Browser, LastPass ist allerdings innerhalb mehrerer Browser nutzbar. Wie erwähnt: die Passwörter liegen verschlüsselt auf den Servern und auch ein einfaches Passwort reicht nicht zum Entschlüsseln, sofern man dies festlegt.

LastPass verfügt wie Google über eine “doppelte Anmeldesicherheit” – so muss man sich erst via Smartphone authentifizieren, wenn man LastPass nutzen will. Als weiteren Sicherheitsaspekt hat der Dienst nun in den Einstellungen die Möglichkeit mitgegeben, dass man sich nur aus bestimmten Ländern einloggen kann, des Weiteren können anonyme Zugriffe aus dem TOR-Netzwerk unterbunden werden. Sicherlich eine sehr geringe Hürde für Experten, dennoch eine Neuerung, die den Passwort ausprobierenden Anfänger aus dem Ausland am Zugriff hindern sollte. Wie immer gilt: das sicherste Passwort habt ihr im Kopf, alternativ solltet ihr bei LastPass und Google tatsächlich Dinge wie die Multifactor Authentication nutzen, denn diese macht euer Smartphone zum Zusatzschlüssel.

Quelle: Caschys Blog

[SiLæncer]

Sicherheitsexperten haben eine Methode gezeigt, mit der sich Cloud-Dienste wie Dropbox zur Verbreitung von Datenschädlingen nutzen lassen, berichtet Technology Review in seiner Online-Ausgabe. Alles, was man in den Dropbox-Ordner packe, könne Firewalls auf anderen Rechnern problemlos passieren, sagt Jacob Williams, Digitalforensiker der CSR Group. "Wir haben das mehrfach getestet, und die Daten kommen direkt durch die Firewall."

Nicht nur Dropbox, sondern auch Google Drive, SkyDrive, SugarSync und Amazon Cloud Drive sind laut Williams von dem Problem betroffen. "Es ist wie mit E-Mail in den Neunzigern, wir wollten sie unbedingt haben und bekamen auch Spam, Trojaner und andere Schadsoftware." Bislang gebe es noch keine Werkzeuge, um Filesharing-Dienste auf die Verbreitung von Malware hin zu untersuchen, so Williams. Bei Dropbox wollte man zu dem Problem noch nicht Stellung nehmen.

Der ganze Artikel

Quelle : www.heise.de