Wie man sein Android Smartphone vernünftig sichert [Update]

Report München hat vorgestern einem sehr interessanten Bericht gebracht, in dem es darum ging, das man mit Hilfe einer speziellen App jedes (Android) Smartphone zu einer Wanze machen kann.

Leider wurde in dem Bericht nicht gesagt, wie man sich dagegen schützen kann:

  1. Zuerst einmal sollte man den Lockscreen so konfigurieren, das man zum Entsperren entweder eine PIN, ein Passwort oder ein Muster eingeben muss. Damit sollte man die meisten Freizeit-Spione schon einmal abschrecken.1
  2. Wer weiter gehen möchte, sollte sein Smartphone komplett verschlüsseln. Bei modernen Smartphones ist der dadurch resultierende Performance-Verlust so gering, das man ihn eigentlich gar nicht wahrnimmt.2
  3. Zusätzlich sollte man auch die Option, Apps aus unbekannter Quelle installieren zu können, deaktivieren, sofern sie aktiv ist und man keine alternativen App-Stores wie F-Droid oder den Amazon App-Store nutzt.3
  4. Zu guter letzt sollte man den Geräte-Manager von Google installieren, um sein Smartphone notfalls auch aus der Ferne orten/löschen zu können

Wenn man diese 4 Punkte beherzigt, sollten es Hobby-Spione sehr schwer haben, das eigene Smartphone zu einer Wanze zu machen.

Update 19.06.2014:

Man sollte auch darauf achten, unterschiedliche Pins/Passwörter zum Entschlüsseln des Gerätes und zum Entsperren der Sim-Karte zu verwenden. Ansonsten macht man es einem potentiellen Angreifer/Dieb nur unnötig leicht, wenn für alles ein und die selbe Pin verwendet wird.

  1. Zu finden in den Einstellungen unter Sicherheit -> Bildschirmsicherheit -> Display-Sperre. []
  2. Zu finden in den Einstellungen unter Sicherheit -> Verschlüsselung -> Telefon verschlüsseln []
  3. Zu finden in den Einstellungen unter Sicherheit -> Geräteverwaltung -> Unbekannte Herkunft []

Wie man Facebook Fake-Profile identifiziert

Disclaimer: Diese Anleitung erhebt keinerlei Anspruch auf Vollständigkeit und verspricht auch keine 100%ige Erfolgsgarantie.

Sofern man seine Privatsphäre-Einstellungen auf Facebook nicht geändert hat, kann einem jedes andere Facebook-Mitglied Freundschaftsanfragen schicken. Oftmals bekommt man dann auch solche Anfragen von so genannten Fake-Profilen, hinter denen sich sehr oft Betrüger verbergen, die eine falsche Identität vorspielen, um beispielsweise so an persönliche Daten für Identitätsdiebstahl zu gelangen. „Wie man Facebook Fake-Profile identifiziert“ weiterlesen

Geschützt: Kindersitz für Leevke

Dieser Inhalt ist passwortgeschützt. Um ihn anzuschauen, gib dein Passwort bitte unten ein:

Können wir bitte mal …

… all die Idioten, die Webseiten bzw. die dahinter stehenden Systeme mit einer Maximallänge für die Passwörter programmieren, mit Dachlatten verprügeln, bis sie selber darauf kommen, warum das, was sie da gemacht haben, keine gute Idee ist?

Wenn man auf einer Seite für sein Kennwort nur eine bestimmte Anzahl an Zeichen zur Verfügung hat, ist das ein Indiz dafür, das dort kein sicheres Verfahren, wie zum Beispiel salted Hashes, zum Speichern der Passwörter eingesetzt wird. Ganz abgesehen davon, das bei Passwörtern die Devise je länger, desto sicherer gilt.

Sollte es ein Angreifer schaffen, sich eine Kopie der Datenbank von dem Server zu besorgen, ist es für ihn deutlich einfacher, die verschlüsselten Passwörter zu entschlüsseln, als sie aus den salted Hashes zurück zu errechnen. Erst recht, wenn der notwendige Schlüssel sehr schwach oder sogar auf dem Server gespeichert ist oder der wenn der verwendete Algorithmus bereits gebrochen wurde und somit nicht mehr sicher ist. Soll ja alles schon vorgekommen sein.

Und wer Passwörter im Klartext speichert, möge doch bitte sofort sterben gehen. Einfacher kann man es Datendieben wohl kaum noch machen!

Und wenn wir gerade dabei sind: Die Typen, die sich diese komischen Regeln, das Passwörter Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten sollen und zwischen 8 und 20 Zeichen lang sein sollen, ausgedacht haben, haben sich auch eine Tracht Prügel mit der Dachlatte verdient. Wer Regeln für die Passwörter vergibt, der verhindert gerade die Zufälligkeit und macht es den Rechnern der Angreifer um so leichter, das Passwort zu erraten, da das Schema für das Passwörter ja im Grunde schon bekannt ist. Ohne solche Vorgaben, könnte man hingegen z.B. 4 oder 5 zufällige Wörter als Passwort verwenden. Wenn man dann noch weiß, das der Wortschatz der deutschen Sprache zwischen 300.000 und 500.000 Wörter umfasst, kann man davon ausgehen, das solch ein Passwort sehr sicher sein sollte, weil man eine ganze Menge Versuche brauchen dürfte, um es zu knacken.

WhatsApp: Ein Fall für die schwarze Tonne

WhatsApp ist eine sehr populäre Smartphone App zum Versenden von Nachrichten und wurde in der Vergangenheit schon von vielen als „Nachfolger der SMS“ gefeiert.

Mittlerweile stellt sich jedoch immer mehr heraus, das die Entwickler entweder die letzten Deppen sind oder das dem Anbieter die Sicherheit seiner Nutzer gelinde gesagt am Ar*** vorbei geht. Egal, was davon letztendlich zutrifft, es macht die Sache nicht wirklich besser. So einen Anbieter, der sich obendrein auch noch erdreistet, für seine Dienste Geld zu verlangen, sollte man meiden, wie der Teufel das sprichwörtliche Weihwasser. Nicht falsch verstehen: ich habe kein Problem damit, für einen Dienst Geld zu bezahlen, aber dann muss der Anbieter auch dafür sorgen, das sein Dienst es Wert ist, diesen Betrag X zu bezahlen. Obendrein sollte er auf Sicherheitsprobleme zügig reagieren und diese auch seinen Kunden gegenüber entsprechend offen kommunizieren. WhatsApp geht da ja anscheinend lieber den Weg von security through obscurity, womit sie sich in meinen Augen als seriöser Anbieter völlig disqualifizieren.

Letztendlich kann ich nur allen raten, ihren Account bei WhatsApp zu löschen, diese völlig kaputte App zu deinstallieren und auf den Facebook Messenger, Google Talk oder Skype auszuweichen.

Die ewige Zentralregister-Nebelkerze

Es ist irgendwie faszinieren zu beobachten, mit welcher Regelmäßigkeit nach irgendwelchen Zentralregistern gerufen wird, wenn die Presse die deutschen Sicherheitskräfte mal wieder mit herunter-gelassenen Hosen erwischt hat.

Da fragt man sich doch zwangsläufig, wann es endlich ein Zentralregister für unfähige Sicherheitskräfte oder Nebelkerzen werfende Politiker gibt. Nichts anderes sind diese Zentralregister nämlich: Aus Steuergeldern finanzierte Nebelkerzen um die Öffentlichkeit ruhig zu stellen und zu vertuschen, das die Politik entweder unfähig und unwillig ist, die aufgedeckten Probleme ernsthaft zu lösen. Ein Zentralregister hört sich gut an, tut niemandem weh und der Bürger dumme Wähler glaubt, das man etwas tut.

Was anstatt unzähliger Zentralregister tatsächlich nötig ist, sind Sicherheitsbehörden, die miteinander kommunizieren und kooperieren so wie Nachrichtendienste, die nicht auf einem Auge blind sind und ernsthaft von den Parlamenten kontrolliert werden.

137:0 Führung

http://twitter.com/#!/Doener/status/135500204907565056

Unsere Bundesregierung musste die Tage ja entsetzt feststellen, das der braune Sumpf am rechten Rand unserer Gesellschaft auch terroristisches Potential hat. War man doch bislang immer davon ausgegangen, das nur Linke und Islamisten zu Terror fähig sind und hatte diese beiden Gruppen dementsprechend bei jeder sich bietenden Gelegenheit deshalb auch entsprechend gebasht.

Tja, das kommt davon, wenn man auf dem rechten Auge blind ist und sich diese Blindheit auch auf die Sicherheitsbehörden überträgt. 😈