Letztens habe ich wieder(!) ein Gespräch mitbekommen, mit der kreativen Aussage: „Sinngemäß: Und zusätzlich verschlüsseln wir die Daten noch base64.“ Anscheinend gibt es immernoch Informatiker, die die base64-Kodierung als Verschlüsselung ansehen. Nach 1-2 Drinks kann man das im besten Fall noch unter „security by obscurity“ verbuchen. Im nüchternen Zustand möchte man darüber eher nicht nachdenken.
In den Medien verbreitet sich die Meldung, dass selbst Verschlüsselung gegen die Überwachung der NSA nicht hilft. Das ist falsch. Mal abgesehen davon, dass genaue Informationen gar nicht bekannt sind, wird auch die NSA als sicher anerkannte kryptographische Verfahren nicht brechen können. Die Verfahren auf dem Niveau von RSA und AES sind weiterhin sicher und … [Read more…]
Nachdem Whistle.im ein gutes Beispiel dafür ist, wie man Verschlüsselungstechniken nicht in der Praxis umsetzt, scheint es hingegen bei Threema gelungen zu sein: Threema setzt eine Ende-zu-Ende-Verschlüsselung ein, bei der die kryptographischen Schlüssel auf dem Endgerät des Benutzers liegen. Die Entwickler von Whistle.im sind im Gegensatz dazu auf die wahnsinnige Idee gekommen, alle Schlüssel zentral … [Read more…]
Whistle.im soll eine sichere Alternative zu WhatsApp sein. Whistle wirbt mit der Aussage: „Sichere Sofortnachrichten. Made in Germany.“ Wir wissen ja auch dank Wirtschaftsminister Rösler, dass wir bei Verschlüsselungstechnologien einen technischen Vorsprung besitzen. Leider ist es total blöd, dass sich jemand mit Know-How Whistle angesehen hat: Die Jungs vom CCC Hannover. Sofern die beschriebene Analyse … [Read more…]
Ich wollte mich eben bei www.meineschufa.de registrieren. Wie gewöhnlich hinterlege ich meine Zugangsdaten im Passwortsafe Keepass und lasse Keepass auch gleich ein ausreichend komplex Passwort generieren. Damit schlägt eine Anmeldung bei Meine Schufa leider fehl: Man kann Nutzer natürlich auch zur Verwendung einfacherer Passwörter erziehen, indem man Sonderzeichen komplett ausschließt: Wer kommt auf so etwas?
NAT (Network Address Translation) ist keine Sicherheitsmaßnahme. Der Glaube an die schützende Kraft von NAT zur Sicherung eines Netzwerks stirbt nicht aus. NAT dient ausschließlich dazu, dem Mangel an ipv4-Adressen zu begegnen. NAT übersetzt meistens private im Internet nicht vorhandene IP-Adressen wie 192.168.1.1/32 in öffentlich erreichbare Adressen. Im privaten Bereich „schützt“ NAT am DSL-Router das … [Read more…]
An vielen Universitäten und Fachhochschulen wird das Thema IT-Security in Informatikstudiengängen vernachlässigt. Man kann heute immer noch Informatik oder Wirtschaftsinformatik studieren, ohne eine Vorlesung in IT-Security oder Security Management gehört zu haben. Die Hochschulen verschlafen die steigende Bedrohungslage. Dafür produzieren sie immer noch Studenten, die PHP-Anwendungen schreiben, die keine grundlegende Eingabevalidierung besitzen. Die üblichen Schwachstellen … [Read more…]
