Ich benutze nun schon sehr lange ein 100GByte STRATO HiDrive zum Sichern meiner Fotosammlung und bin von den verschiedenen Zugriffsmöglichkeiten (u.a. auch rsync, WebDAV uvm.) absolut begeistert (siehe auch Bild). Wie mir gerade Philipp vom pcliebhaber-Blog mitteilte gibt es jetzt eine kostenlose 5Gbyte Version. Einfach schnell und unkompliziert hier registrieren und schon gehts los. Das schöne daran ist, man kann mehrere Accounts anlegen und somit auch anderen Personen die Möglichkeit geben, Dateien hochzuladen. – Und natürlich gibt es auch die HiDrive-App für Android und diverse kompatible Programme für das iPhone (OverTheAir, Net Portal Lite, ezShare Files).

Auf das STRATO HiDrive lässt sich wirklich plattformunabhängig zugreifen und man merkt, die Jungs von STRATO haben Ahnung!

Momentan läuft übrigens auch eine IFA-Special Aktion zur Funkausstellung. 100 GB Speicher für 1 Jahr nur 1,– € (1)

(1) Aktion bis 30.09.2011: STRATO HiDrive Media 100 für einmalig 1 € im 1. Jahr, danach 6,90 €/Mon.. Mindestvertragslaufzeit 12 Monate. Preise inkl. MwSt.

Es ist ja bekannt, dass UPnP (Universal Plug & Play) schon auf dem privaten Interface eines Routers eine Sicherheitslücke darstellt und deswegen standardmäßig ausgeschaltet sein sollte. Bei der Fritz!Box ist das z.B. dieses Häkchen:

Ausgeschaltetes UPnP ist natürlich unbequem. Hat man z.B. eine XBox 360, so beschwert sich diese gleich massiv darüber, dass man nun nicht mit anderen Personen (aus dem Internet) spielen kann usw. und man muss die entsprechenden Ports dann manuell öffnen.

Der Sicherheitsanalyst Daniel Garcia hat nun herausgefunden, dass einige Router der Firmen Edimax, Linksys, Sitecom und Thomson auf UPnP Anfragen am öffentlichen Interface des Routers reagieren.

An diesen Geräten können von außen Ports geöffnet werden und zwar ohne Passwort oder Rückfrage (das ist bei UPnP so). Auf der Seite http://www.toor.do/ gibt es einen Scanner, mit dem man angreifbare Router finden kann. Man kann mit diesem Programm auch mal testen, ob der eigene Router angreifbar ist.

Bei angreifbaren Routern können folgende Konfigurationsparameter verändert werden:

  SetConnectionType
  GetConnectionTypeInfo
  ConfigureConnection
  RequestConnection
  RequestTermination
  ForceTermination
  SetAutoDisconnectTime
  SetIdleDisconnectTime
  SetWarnDisconnectDelay
  GetStatusInfo
  GetLinkLayerMaxBitRates
  GetPPPEncryptionProtocol
  GetPPPCompressionProtocol
  GetPPPAuthenticationProtocol
  GetUserName
  GetPassword
  GetAutoDisconnectTime
  GetIdleDisconnectTime
  GetWarnDisconnectDelay
  GetNATRSIPStatus
  GetGenericPortMappingEntry
  GetSpecificPortMappingEntry
  AddPortMapping
  DeletePortMapping
  GetExternalIPAddress

Deshalb sollte grundsätzlich UPnP ausgeschaltet werden. Nutzer von betroffenen Routern, die auf UPnP angewiesen sind, sollten unbedingt nach Firmware-Updates bei den entsprechenden Herstellern nachfragen. – Immer nur das Einschalten, was man wirklich braucht!

Ich bin gerade auf eine sehr nette Seite gestoßen, auf der es wunderschöne Cartoons zu den Themen

• Spoofing
• Malware
• Phishing
• Pharming
• Passwords
• Politics
• Fightback

gibt. Die Cartoons sind in Englisch und eignen sich sehr gut, um Sicherheitsprobleme im Internet mit ein paar Bildern zu erklären. Das aktuellste Cartoon kann man auch in die eigene Homepage, z.B. mit folgendem HTML-Code einbinden:

<script src="http://www.securitycartoon.com/today.js"></script>

wobei man natürlich immer vorsichtig sein sollte, wenn man externe Javaskripte einbindet. Ich habe mir mal das RSS-Feed von SecurityCartoon.com in meinen Newsreader eingetragen.

Gleich vorneweg, der kostenlose „Storage Plan“ von ADrive ist unverschlüsselt und bietet nicht mal SSL-Verschlüsselung, aber man erhält 50GB Online-Speicher gratis. ADrive ist also bestens geeignet, nicht geheime Dokumente mit anderen Benutzern zu teilen, sonst nichts.

Natürlich kann man mit TrueCrypt oder LockNote verschlüsselte Drives und Textdateien anlegen, aber man hat eben wieder den entsprechenden Mehraufwand.

Alternativ kann man natürlich auch die kostenpflichtigen Angebote von ADrive nutzen, diese enthalten dann z.B. auch:FTP-Zugang

• File History Recovery
• ADrive Desktop for Windows, Mac & Linux
• SSL Verschlüsselung
• WebDAV Zugriff
• Mehrere gleichzeitige Sessions
• 24/7 Support
• keine Werbung

Mehr dazu auf der Übersichtsseite von ADrive.

Wenn Internetseiten Passwörter im Klartext speichern, brauchen diese eigentlich nur noch zu warten, bis jemand kommt und sie entwendet. (siehe Sony und andere gehackte Seiten). Es spielt keine Rolle, wie gut das Passwort ist, es ist einfach als Text abgespeichert und braucht nur ausgelesen zu werden. Es genügt ein kleiner Fehler in der Webseite oder der illegale Zugriff, z.B. auf ein Backup.
Leider speichern ca. 30% aller Webseiten ihre Passwörter im Klartext anstatt sie vernünftig zu hashen.
Plain Text Offenders hat es sich zur Aufgabe gemacht, solche Seitenbetreiber öffentlich anzuprangern. Man kann selbst Seiten übermitteln oder einfach nur in den bereits gemeldeten Seiten schmökern.

Ich fand auf die Schnelle:

• wg-gesucht.de
• boomshoes.de
• secure.comodo.com
• uvm.

Wirklich erschreckend!

Wuala ist der sichere Online-Speicher aus der Schweiz, der alle Anforderungen an die professionelle Datenspeicherung deckt. Benutzer können ein automatisches Backup erstellen, Dateien synchronisieren, speichern, teilen und von überall darauf zugreifen. Wuala bietet ein einzigartiges Sicherheitskonzept, das sich klar von anderen Online-Speicher-Anbietern unterscheidet. Alle Dateien werden direkt auf dem Computer des Benutzers verschlüsselt und das Kennwort wird nicht übertragen. Ohne Berechtigung kann niemand – nicht einmal Wuala/LaCie als Anbieter – auf die Dateien der Benutzer zugreifen. Zusätzlich stehen Wuala’s Rechenzentren ausschliesslich in Europa (Schweiz, Deutschland, Frankreich). Wuala’s Technologie wurde an der ETH Zürich (Eidgenössische Technische Hochschule Zürich) in der Schweiz entwickelt. Wuala wird von der LaCie AG in Zürich entwickelt und betrieben.

Supportete Plattformen sind

• Windows
• Linux
• Mac
• Android
• iOS

Ich konnte Wuala Version für Windows und Linux testen. Sehr gefallen hat mir die Backup-Funktion. Hier kommt Wuala auch als Ersatz für Carbonite oder Jungledisk in Frage. Für Linux gibt es auch gleich eine passende wualacmd, welche bei mir problemlos auf einem headless Ubuntu Server (64bit) lief.

Man startet standardmäßig mit 1Gb Speicherplatz. Mit diesem Link, bzw. dem Code JK5NJCBA46PAFMJG3FPM könnt ihr euch ein weiteres Gigabyte sichern. Man findet auch diverse Promotion Codes im Internet, mit denen man den Platz schnell auf über 15Gb aufgebohrt hat, allerdings in der Regel nur für 1 Jahr. Die Kauf-Variante liegt preislich ähnlich wie Dropbox bei ca. 99$/Jahr für 100Gb und ist also auch als Backup für die Familienfotos geeignet. Der absolute Unterschied zu anderen Anbietern wie Dropbox ist eben die Verschlüsselung. Der Anbieter kann meine Daten nicht lesen und das ist mir etwas wert! Das ermöglicht dann auch ein weiteres Modell zur Platzerweiterung. Man kann (vorausgesetzt der eigene Rechner ist ca. 4h täglich online) einen Teil seiner Platte zum Speichern für andere freigeben, erhält dafür aber mehr eigenen Speicher bei Wuala.

Ich habe Steve Gibson mal einen Link zu Wuala getwittert, vielleicht wirft er in einer seiner nächsten Sendungen mal einen Blick darauf.

Mehr Info zur Technik gibts auf der Technologieseite von Wuala.

Hier noch ein kleines Video über die Sicherheit von Wuala

Security and Privacy

Die Amerikaner machen es uns vor. Sie haben mit der Website onguardonline.gov ein tolles Portal geschaffen, wenn es um die Themen „Internetbetrug“, „Computesicherheit“ und „Schutz von persönlichen Daten“ geht. Die Webseite ist toll gegliedert und bietet zu jedem Thema Videos, Anleitungen und jede Menge Material zum Herunterladen.
Zu einigen wichtigen Punkten gibt es auch kleine Spiele. Es gibt auch speziell auf Teenager abgestimmte Dokumente, die Eltern nutzen können, um ihren Kindern „Computersicherheit“ als Thema näher zu bringen.

Leider ist die Seite nur in Englisch und Spanisch verfügbar, jedoch ist der Inhalt absolut Spitze.

Sehr spassig gemacht sind auch die Videos. Mir gefallen besonders die „Phishy Videos„:

Ich bin auf eine sehr interessante Seite gestoßen. MxToolbox . Dort gibt es diverse Tools (als Webseite), die man speziell bei der Diagnose von E-Mail-Problemen zur detailierten Analyse braucht. Mit ihm kann man folgende Themen prüfen/testen: MX-Einträge, Blacklist-Einträge, SMTP Port 25, DNS.

Mit dem „SuperTool“ werden alle Tests in einem „Tool“ vereint.

Die Seite bietet außerdem (nach kostenloser Registrierung) ein kostenloses Monitoring an und zwar:

• Blacklist Monitoring
• Verfügbarkeits Monitoring
• Performance Monitoring

Man sollte bei der Registrierung natürlich keine E-Mail-Adresse verwenden, die von dem System verwaltet wird, welches man überwachen will, da bei einem Ausfall des Mailservers diese Information sicherlich nicht per E-Mail zugestellt werden kann.

Mit Berry4all kann man den Blackberry auch unter Linux als Modem nutzen und so ins Internet gelangen. Das Ganze nennt sich „tethering“ und ist mit der kostenlosen Software Berry4All kein Problem. Ich musste lediglich in meinem Fall (Blackberry Enterprise von Vodafone) eine Zeile in der Datei „vodafone-3g-chat“ anpassen. Meine Datei sieht nun so aus.

  TIMEOUT 10
  ABORT ‚BUSY‘
  ABORT ‚NO ANSWER‘
  ABORT ‚ERROR‘
  SAY ‚Starting GPRS connect script\n‘
 
  “ ‚BBT_OS‘
  “ ‚ATZ‘
  OK ‚AT+CGDCONT=1,“IP“,“web.vodafone.de“‚
  ABORT ‚NO CARRIER‘
  SAY ‚Dialing…\n‘
  OK ‚ATD*99#‘
  CONNECT
  ~p

Ich habe einfach den String „internet“ durch „web.vodafone.de“ ersetzt. Ansonsten empfehle ich die „Using“-Seite auf der Homepage von Berry4All. Da das Programm in Python geschrieben ist, benötigt man nur ein paar Pakete aus den offiziellen Repositories (python libusb-dev ppp python-usb python-wxgtk2.8). Desweiteren muss im GUI dann der Pfad zu pppd von /usr/bin/pppd nach /usr/sbin/pppd angepasst werden.

PhishTank ist eine kostenlose Community Seite, auf der Internetseiten, die unter Verdacht stehen, sog. Phishing-Sites zu sein gelistet werden. Man kann dann (wenn man sich registriert – auch kostenlos) z.B. aus eigener Software heraus (z.B. Spamfilter, Router usw.) auf diese Liste zugreifen und somit einen effektiven Phishingschutz integrieren. PhishTank wird betrieben von OpenDNS (siehe anderen Post) und wird genutzt, wenn man in den Optionen das Blockieren von Phishing-Seiten eingestellt hat.
Es ist wirklich interessant gelegentlich bei PhishTank vorbeizusurfen und auf der Statistikseite zu sehen, wie viele und vor allem in welchem Zeitraum hier Phishing-Seiten auftauchen. Den Rest zu PhishTank erklären am besten diei FAQs auf der Homepage.