Dropbox – Sicherheit – Passwörter

Wie im Blog von Dropbox veröffentlicht wurden einige Accounts gehakt. Dies zwingt mich quasi mal wieder etwas zu bloggen zum Thema Sicherheit im Web. So das habt ihr nun davon. Fangen wir aber mal mit genau dem Thema Dropbox an.

Dropbox Logo
Dropbox.com

Aufgefallen ist dieser Fall erst Usern. Usern die E-Mail-Spam bekommen haben auf die E-Mail-Adresse welche nur für den Dropbox Account genutzt wurde.

Fragen die ich mir zu dem speziellen Fall stelle.

1. Warum fallen Angriffe erst Usern auf wenn es quasi eh schon zu spät ist?

2. Wie viele Vertrauliche Daten konnten dabei wohl in die falschen Hände geraten sein?

3. Was habe ich in meiner Dropbox liegen was „vertraulich“ ist?

Zu erstens ist einfach nur zu sagen das es wohl ein qualitativ hochwertiger Angriff war, ansonsten wären die Hacker wohl am (hoffentlich gutem) Sicherheitssystem von Dropbox gescheitert. Das Dropbox jetzt versichert das es hoffentlich nie wieder soweit kommt ist irgendwie nur ein schwacher Trost für betroffene.

Zu „erst Usern“, wie soll Dropbox gute Angriffe auch mitbekommen? Wenn die Sicherheitssysteme immer erst dann verbessert/aktualisiert werden wenn sowas passiert dann ist das doch wiedermal ein Armutszeugnis für die Sicherheit im Netz.

2. Viele. Wenn ich sehe was ich anfangs unverschlüsselt in meiner Dropbox gespeichert habe um einfach diese Daten „überall“ zu haben, ja das war höchstwahrscheinlich ziemlich Lukrativ für die Angreifer, selbst wenn sie „nur“ Daten von Privat Personen bekommen haben.

3. Nichts mehr. Zumindest nicht außerhalb von hochgeladenen TrueCrypt-Container-Dateien. Ja diese „Doppelte“ Sicherheit ist wohl besser als einfach so auf die Sicherheit von Dropbox zu vertrauen. Bei Google-Drive funktioniert das übrigens immer noch nicht richtig. Die Container-Dateien werden nämlich nur dann erneut hochgeladen wenn sich die Dateigröße ändert, das passiert im Normalfall nicht. Schade eigentlich, ein MD5 o.ä. ändert sich nämlich immer wenn man Dateien im TC-Container verändert.

Als weitere persönliche Sicherheit empfehle ich euch Passwortdatenbank-Tools zu verwenden. Klingt unlogisch? Passwörter die irgendwo stehen sind doch Unsicher?

Jain, ABER. Erstens ist es quasi notwendig bei jedem Web/Online/Sonstwas-Dienst unterschiedliche Passwörter zu verwenden (und wie viele Dienste mit (dem gleichen?) Passwort nutzt du?).

Warum? Ganz einfach. Sobald der erste Dienst (wie letztens Dropbox) geknackt wird, inkl. Passwort wird diese Passwort/Mail Kombination einfach „blind“ auf weitere Dienste gejagt. D.h. z.B. Dein Facebook Account (mit gleicher Mail/Passwort Kombination) ist auf einmal auch zugänglich. Somit unterschiedliche Passwörter überall. 

KeePass Logo
KeePass Logo
Quelle: http://keepass.info/

So jetzt wird es mit „Passwort merken“ sehr interessant nicht wahr? Außerdem sollte ein Passwort auch nicht irgendwie so: „HalloWelt91“ aussehen sondern eher so: „rWo6KJuac4w“ beides elf stellig, beides „nur Groß-, Kleinbuchstaben und Zahlen“. Aber dennoch sehr Unterschiedlich. HalloWelt steht in jedem „Hacker Wörterbuch“ eine von dem Geburtsjahr abgeleitete Zahl ist auch schnell herausfinbar. Merken kann man sich „rWo6KJuac4w“ eher weniger. Also Speichern. Warum auch nicht? Wenn man es richtig anstellt z.B. mit dem Tool KeePass (nutze ich) ist das ganze auch nicht so übermäßig gefährlich. Falls die „kdb“ (KeePass Database (deutsch: KeePass Datenbank)) in falsche Hände gerät hat „der Dieb“ noch lange keine Zugriff darauf. Denn diese Datenbank muss mit Masterpasswort und/oder Masterpasswortfile verschlüsselt werden. Ein Masterpasswort wiederum kann man sich doch merken, da kann man dann seine ganze Fantasie walten lassen und ein „Sicheres“ Passwort merkbar nutzen.

Weiterer Vorteil von KeePass, es ist OpenSource somit hat niemand der daran entwickelt (vorausgesetzt man holt sich die Version von der Original Website) Interesse daran die Verschlüsselung oder Sicherheit zu korumpieren d.h. Backdoors einzubauen. Im Gegensatz zum Thema „im Browser“ (vor allem IE oder GoogleChrome) speichern. Außerdem ist ohne Sync nach Browser/Betriebssystem oder sonstwas neuinstallation alles wieder futsch. Und wenn man Passwörter zu Google Synct, dann ist halt alles in den Händen eines Konzerns welcher bekennend (nach eigener Aussage) Daten verkauft. Falls man dennoch Software wie die Software 1Password von agilebits nutzt ist man auch wieder so im Bereich, hoffentlich gibt es kein Backdoor in dieser Software womit man dann doch wieder mit einmal an alle meine Passwörter kommt.

Software kaufen vs. OpenSource. Vorteil von 1Password gegenüber von KeePass 1Password ist deutlich Benutzerfreundlicher. Vorteil KeePass: 100 %ig keinerlei Backdoor Gefahr. Außerdem ist KeePass kostenlos, 1Password nicht. 1Password wiederum ist Plattform unabhängig Verfügbar, KeePass nur „Unofficial“ aber funktionell. Jedem das seine aber für mich ist 1Password einfach keine Alternative.

Ich persönlich habe meine Passwort-Datenbank immer auf einem USB-Stick dabei. Auf diesem wiederum ist auch KeePass Portable für Windows. Diese DB ist mit einem Master-Passwort geschützt.

  •  Wie macht ihr das?
  • Habt ihr viele oder ein Passwort?
  • Habt ihr ein ganz anderes System?

 

Deine Freiheit ist in Gefahr!

Für den 11.02. ab 14 Uhr haben wir in Augsburg eine Demo gegen ACTA auf dem Willy-Brandt-Platz vor der City Galerie angemeldet.

Macht mobil, informiert Familie, Freunde, Bekannte – einfach alle!

Deine Freiheit ist in Gefahr!

Der Vorwand: Handelsvertrag gegen Produktfälschungen.
Das Ergebnis: Kriminalisierung aller Bürger!

  • Keine Verhandlungen hinter geschlossenen Türen!
  • Keine Umgehung der Demokratie!
  • Patente dürfen keine Menschenleben kosten!
  • Kein Gefängnis für CD-Tausch auf dem Schulhof!
  • Keine totale Überwachung des Internets durch Unterhaltungskonzerne!
  • Keine Privatisierung von Kultur und Wissen!

Europa kann den Vertrag stoppen, dafür kämpfen wir!

Stoppt ACTA!

Anti-Counterfeiting Trade Agreement

Am 11.02.2012 finden europaweit Demonstrationen statt, sei dabei!

Alle Demos in Europa: http://g.co/maps/dm6pt

Facebook Veranstaltungen

Weitere Infos

Wo sind noch Demos?
Siehe: Facebook Veranstaltung (Deutschlandweite Liste.)
Alle Demos auf einer Google-Maps Karte: http://maps.google.com/maps/ms?msid=212120558776447282985.0004b7b33e16f13c710c7&msa=0

Wo könnt ihr dagegen unterschreiben?
Hier: http://www.avaaz.org/de/eu_save_the_internet_spread/?fp

Umstellung vollbracht Piwik!

Ich habe heute mal schnell von Google Analytics auf Piwik umgestellt. Was das für dich heißt? Du kannst jetzt jederzeit das Aufzeichnen deiner Besuche unterbinden. Wie? Ganz einfach geh ins Impressum meiner Website und klicke auf die Piwik Einstellung.

Was ändert sich noch?

Google Analytics ist komplett ausgesperrt d.h. es werden keine Daten mehr an Google gesendet. Die Daten werden nun auf meinem eigenen Piwik Server gespeichert.

Im Impressum brauch ich jetzt keinen Google Analytics Disclimer mehr. Die Detaildaten bekomme ich immer noch, ohne eure IP Adresse weitergeben zu müssen.

Warum gerade Piwik?

Weil es Open Source ist. Weil es bei mir auf dem Server läuft. Weil ich damit die Kontrolle habe wer, wo und wie die Daten verwendet werden. Z.b. Speichere ich keine Vollen IP-Adressen. Diese werden umgehend Anonymisiert.

Warum nicht gleich so?

Weil Google Analytics einfacher war. Ohne etwas eigenes Installieren zu müssen. Ich war einfach in dem Punkt zu faul. Jetzt aber wird alles besser 🙂

Wo werden die Daten jetzt gespeichert?

Ganz einfach auf meinem Webspace bei All-Inkl.com, somit auf Deutschen Servern. Somit müssen die Daten nach Deutschem Datenschutzgesetz behandelt werden. Nicht mehr nach Google-Datenschutz 🙂

Viel Spaß weiterhin auf meiner Website.

SOPA – Was machst du ohne USA-Internet…

„Toll, mir doch egal ob die USA Netzsperren einführen wollen oder nicht.“ Wer so denkt, denkt falsch. Denn wen würden diese SOPA Gesetzmäßigkeiten treffen? Richtig Amerikanische Websiten Betreiber d.h. so Kleinigkeiten wie Google, Facebook, Amazon, Wikipedia, Ebay, Yahoo uvm. könnten potenzielle Opfer werden.

http://www.basicthinking.de/blog/2011/12/22/rapsong-sopa-capabana-kann-die-internetzensur-noch-gestoppt-werden/

So jetzt stellen wir uns mal vor ohne Google. Suchmaschinenersatz Bing?! naja. Mailersatz GMX!? oha… :-/ Maps, Kontakte… und so weiter die Liste wäre quasi endlos wenn man viel Google nutzt. Dazu noch ein abgeschaltetes Facebook… Und dann?

Aber ich glaube falls es SOPA schafft die Betreiber so das fürchten zu lehren das sie ihre Dienste als „Rache“ temporär offline nehmen würde mich daran am Meisten mein Android Handy stören. Google Dienste auf dem Android funktionieren halt eben doch am besten….

Schauen wir wie weit es die US-Regierung kommen lassen wird bzw. wann sie unter dem Druck der Öffentlichkeit einbricht. Allein die Androhung von „Maßnahmen“ bis hin zum Abschalten der Dienste ist eine sehr erschreckende Erkenntnis.

Also STOP SOPA. Backgroundinfos: http://americancensorship.org/

 

Worum geht es? -> http://de.wikipedia.org/wiki/Stop_Online_Piracy_Act

Bilder des Tages #Katzencontent

404 - Katzencontent

Guess I need to rework my webservers error pages now.by Christian Buggedei

Fast eine Überlegung Wert…

Die Bilder sind alle so süß, die möchte ich euch wirklich nicht vorenthalten. Und so wunderbar passend zu den HTTP Error Codes.

Katzen sorgen immer mal wieder für ein Lächeln, ich hoffe auch bei euch 😉

Gefunden via Google+ / Aleks Lessmann
Bilder Lizenz: CC BY 2.0 by GirlieMac

Linktauscher und andere Kriminelle

Also bitte.

Ich habe in letzter Zeit so regelmäßig Mails bekommen von irgendwelchen Blog, Websites und ähnlichem das es mich einfach nur noch nervt.

Eigentlich würde ich es ja gern als nur noch Spam abtun, aber mache Mails machen mir mit diesen Angeboten sogar Spaß.

Unmoralisches Angebot 🙂ankes-world.de

Wenn so was bereits schon im Subject steht, weiß man doch genau was kommt !?

„Linktauscher und andere Kriminelle“ weiterlesen

Meine Android Apps

Mein Smartphone ist eigentlich ein Winodws Mobile Gerät. Aber da mir Winodws Mobile 6.5 nicht gefällt habe ich Android auf meinem HTC HD2 installiert.

Android

Meine Lieblings-Android Apps sind aktuell folgende:

  • Foursquare
  • K9-Mail
    • Mein Lieblings Android Mail Client, kann einfach alles.
  • SwiftKey X
    • Eine super tolle Android Tastatur, weniger Tippen, mehr schreiben! (das Geld lohnt sich.)
  • Tweetdeck
    • Twitter, Facebook, Foursquare und vieles mehr in einem. Und das mit sehr Attraktiver Darstellung (mMn)
  • Backgrounds
    • Super viele Tolle Hintergrundbilder.
  • Vlingo
    • Damit Spracheingaben funktionieren. Erkennt super gut alles was man sagt. (Selbst Dialekte werden gut interpretiert)
  • SMS Backup +
    • Sichere deine SMS auf deinem Google Mail Konto.
  • Dolphin Browser HD
    • MMn bester Android Web Browser.
  • AlarmDroid
    • Mein täglicher Wecker
  • Google Sky Map
    • Nettes Spielzeug 🙂
  • ColorNote Notepad
    • Notizen, mit Sync aber leider nur auf ColorNote Server….
  • Dropbox
    • Meine Daten überall und immer.
  • Google Docs
    • Zum Schreiben und lesen meiner Dokumente unterwegs.
  • Songbird
    • Mein favorisierter Mediaplayer für Unterwegs
  • Zeam Launcher
    • Praktische Alternative zu Sens… Da mir HTCs Sens einfach zu viel Akku schluckt…

Spiele sind bisher ausgeschlossen. Kommen vielleicht später noch. Hier in diesen Blogeintrag oder in einem Neuen… 🙂

Was sind deine must have Android Apps?

Google Content / Google Mail

Da die Meldungen von Heute ja mal wieder eindeutig genial sind, kommt nun ein kleiner Blogeintrag.
Copyright by Google Inc.
Ein neuer Algorithmus-Update bei Google killt einige Content-Farmen in den USA.
Was zum *** sind Content Farmer? Ganz einfach, Websites welche quasi ohne Inhalte ganz weit oben in den Suchergebnissen auftauchen. Diese Seiten haben meistens nicht mehr als Keywords und verdienen so ordentlich Geld mit ihrer Werbung. Einfach nur total genial von Google diese endlich mal ein bisschen einzugrenzen. Wenn die wirklich aus den Suchergebnissen verschwinden, früher oder später, finde ich das mal echt genial von Google. Gut gut gut, dann wäre endlich mal eine Suche mit vernünftigen Ergebnissen die Folge. 🙂

Thema Google vs. Content Farmer weiterführende Links
11tech – Google brennt Content-Farmen nieder
Heise Newsticker
Searchengineland – (English Blogpost)


Noch was von Google ist heute relativ aktuell.
Google Mail hat über Nacht ca. 150k Konten mit Mails verloren. Ich möchte mal die Anzahl der E-Mails wissen die gestern Nacht verschwunden sind….. 😀Copyright by Google Inc.
Für mich persönlich wäre das Aktuell der Supergau gewesen, zwar hätte ich meine Mails auf meinem Lokalen Rechner, wüsste aber nicht wie man diese aus dem Thunderbird wiederherstellen kann. Normaleiweiße habe ich all meine E-Mails via IMAP nur auf GoogleMail verfügbar, da ich @Home aber nicht die beste Internetverbindung habe (2k DSL) bin ich vor einem halben Jahr soweit gegangen das mein Mail Client (Thunderbird) Lokale Kopien all meiner Mails macht um auf diese deutlich schneller zugreifen zu können. (Und auch Offline darauf zugreifen zu können). Dennoch wäre, wenn mein Konto betroffen gewesen wäre, ich ziemlich ratlos gewesen.
Heute Abend Step 1: E-Mail-Lokal-Backup erstellen, am besten natürlich verschlüsselt.

Mal sehen ob Google es schafft irgendetwas wiederherzustellen. Einfach mal die Statusseite verfolgen.

Warum IMAP und nicht Download?
Ich hab eine Art Smartphone, obwohl ich mir nicht ganz sicher bin ob es wirklich eins ist oder nicht, womit ich Mails regelmäßig abrufe, außerdem noch ein Netbook und meinen Home PC somit bräuchte ich überall dort Lokale Kopien… Damit ich das nicht brauch bietet Google Mail mir ja IMAP an die Mails liegen auf irgendwelchen Google Servern und ich hab keinen Stress mit meinen Mails, zumindest dachte ich dies bis Heute. Wenn meine Mails weg sind, sind nicht nur einige Logindaten weg sondern auch News, Infos, ältere Mails, und und und und und. Inklusiv relativ interessanter Dokumente wie z.B. Bezahlungsbestätigungen von PayPal und Co. Ich weiß Google weiß somit relativ viel über mich, aber ich wage mal zu bezweifeln das ich so interessant bin das meine E-Mails wirklich „manuell“ ausgewertet werden. 🙂

Wie haltet ihr das mit euren E-Mails wo habt ihr diese liegen? Alles Lokal? Alles mit Backup(s)? Oder auch nur IMAP ausgenutzt (wie ich)?

Thema Google Mail
Spiegel.de – Netzwelt
Google Mail Application Status (de)

HowTo Google Mail Backup? -> Am einfachsten via gmail-backup.com oder natürlich ihr stellt euren E-Mail Client so ein das dieser Lokalen Kopien euer Mails speichert.
Z.B. Thunderbird: (Eigene Kurzanleitung)

  1. Konten Einstellungen
  2. Unterpunkt „Synchronisation & Speicherplatz“
  3. Oben unter dem Punkt „Nachrichten-Synchronisation“
  4. Haken setzen und dann auf „Erweitert…“
  5. Bei Google Mail Konten braucht ihr nur den Ordner „[Google Mail]\Alle Nachrichten“ zu sichern um alle Nachrichten (bis auf Spam und Trash) zu sichern
  6. Da neben den Haken Herunterladen setzten und schon wird Thunrderbird alle Nachrichten einmal sichern (nur die Label Informationen gehen verloren)
  7. Alternativ könnt ihr natürlich auch alle anderen außer „Alle Nachrichten“ auf Herunterladen stellen um somit eure Ordner (Label) Struktur behalten zu können.

Vorteile:

  • Alles ist Lokal gespeichert und es besteht keine Abhängigkeit von Google Mail mehr.
  • Suche im Thunderbird wird deutlich schneller
  • Offline Lesen der Mails ist möglich

Nachteile:

  • Die Mails werden unverschlüsselt Lokal abgespeichert
  • Die Mails sind erst dann wieder auf dem aktuellsten Stand wenn wieder eine Internetverbindung besteht.
  • Speicherplatz verbrauch kann unter Umständen richtig krass werden, bei 7 GB Speicherplatz bei Google ergibt das wenn man alles Herunterladen lässt min. 14 GB Lokal. (Einmal Alle Nachrichten und einmal in den Labels
  • Mehrfach Gelabelte E-Mails werden mehrfach heruntergeladen.