Mails sicher versenden

Mails die mit einem Mailprogramm versendet werden sind für jeden lesbar, der sie empfängt. Inzwischen hat die Mehrheit aller Mail-Provider zwar auf verschlüsselte Verbindungen gewechselt, jedoch sind Mails dadurch noch immer nicht sicher.

mehr lesen

Windows 8 und 8.1 in Unternehmen

Windows 8 und 8.1 sind in vielen Unternehmen noch immer kein Thema.
Es ist sogar festzustellen, dass viele Unternehmen nun erstmal auf Windows 7 umstellen um Windows XP nun endlich abzulösen.

mehr lesen

Work Folders und Ordnerumleitung statt Roaming Profiles

In diesem Blog möchte ich nicht nur zwei Neuerungen des Windows Server 2012/2012 R2 vorstellen sondern auch demonstrieren wie mit den Technologien servergespeicherte Profile ganz wegfallen und die Profildaten zudem verschlüsselt gespeichert werden können.

mehr lesen

Windows 10 in Unternehmen

Windows 10 ist kaum auf dem Markt, da gibt es bereits die ersten Unternehmen die das Upgrade durchführen. Meist ist man sich über Probleme und Gefahren des neuen Betriebssystems gar nicht bewusst.

mehr lesen

Mehr Sicherheit mit HSTS und Public Key Pinning

Die vergangenen Monate zeigten deutlich, dass SSL nur ein begrenztes Maß an Sicherheit gewährleistet.

mehr lesen

Digitale Währungen

In diesem Beitrag erkläre ich kurz und bündig was digitale Währungen sind, welchen Zweck oder Nutzen sie haben und wie mit ihnen Geld verdient werden kann.

mehr lesen

DNSSEC und TLSA = noch mehr Sicherheit

Ein Plus an Sicherheit bieten DNSSEC und TLSA die sich leider nur schwer durchsetzen.

mehr lesen

Schlag gegen den Datenschutz

Ein neues USA-Urteil stellt den Datenschutz erneut auf den Prüfstand und ist eine Gefahr für viele Unternehmen.

mehr lesen

IT-Sicherheit ist überbewertet

Ein guter ITler zeichnet sich dadurch aus, dass er sich für seine Sicherheitslücken interessiert und Hinweise darauf wohlwollend entgegen nimmt.

mehr lesen

Bitcoin und Bitcoin Cash

Bereits in dem Beitrag "Digitale Währungen" hatte ich kurz über Währungen der Computerwelt berichtet.

mehr lesen

IT-Sicherheit ist überbewertet

Suchmaschineneintrag

Ein guter ITler zeichnet sich dadurch aus, dass er sich für seine Sicherheitslücken interessiert und Hinweise darauf wohlwollend entgegen nimmt.

Das zumindest dachte ich, wurde heute jedoch (mal wieder) eines Besseren belehrt.

Im Rahmen eines IT-Security-Kurses führte ich wieder einmal die Suchmaschine shodan.io vor, die schon in den Medien von sich reden gemacht hat.

Hierzu gehört natürlich auch die gezielte Suche nach verschiedenen Geräten um die aktuelle Sicherheitslage, die digitale Sorglosigkeit und viele weitere Möglichkeiten zu demonstrieren. Allem voran natürlich die gezielte Suche nach frei zugänglichen Webcams.

Jeder ITler, der in seinem Leben schon einmal Netzwerke konfiguriert hat, kennt die von ihm benötigten Ports. Wer diese nicht kennt, weiß zumindest im Handbuch seiner Geräte nachzusehen um festzustellen, dass Webcams zumeist auf Port 554 zu finden sind und dort ungeschützt streamen. Deshalb gestattet der Profi seiner Webcam auch nicht die Konfiguration seiner Firewall via UPNP. Dies sei nur erwähnt um hier eine potentielle Sicherheitslücke zu nennen.

Wie an dem Screenshot zu sehen ist, wurde dabei ein in Deutschland ansässiges Lokal gefunden, dass seine Raumüberwachung munter frei ins Netz streamte.

Die Webcam konnte auch sofort und ohne Probleme, also für die Teilnehmer des Kurses live zu beobachten, mit dem kostenlos erhältlichen VLC Player geöffnet und gesehen werden.

Der Betreiber des Lokals verstößt hier gleich gegen mehrere rechtliche Regelungen, denn seine Kamera filmt öffentlichen Wegegrund, was ebenso unzulässig ist, wie das Veröffentlichen im Internet. Durch die Veröffentlichung riskiert dieser Betreiber Bußgelder, da er gegen die Rechte der Kunden und der Mitarbeiter/innen verstößt.

Da das präsentierte Suchergebnis auch schon einige Tage alt war, ist es nun auch kein Geheimnis, dass dieses Problem bereits länger besteht.

Also entschloss ich mich, in dem Wissen, dass das Posting durch den Betreiber auch sofort gelöscht werden kann, auf Facebook die Frage zu posten ob seine Kunden wissen, dass seine Kamera das Lokal live und ungeschützt ins Netz streamt. Natürlich hängte ich einen Screenshot seiner aktuellen Ausstrahlung an.

geschwaerztDoch dieser Zeitgenosse ist ein wunderbares Beispiel für Überheblichkeit und Arroganz. Ein unerfahrener Profi hätte höflich gefragt wo die Sicherheitslücke zu finden ist. Ein erfahrener Profi hätte sie schnell gefunden und sich für den Hinweis bedankt.

Dieser jedoch beweist, dass es keiner professionalität bedarf um sich Admin nennen zu dürfen.

In aller Deutlichkeit! Ich habe ihn lediglich auf sein Problem hingewiesen. Ohne jede Werbung, ohne jedes Angebot. Also auch kein Hinweis auf etwaige kostenpflichtige Dienstleistungen.

Diese wurde dann mit der abgebildeten, netten Nachricht von diesem kommentiert.

So hat er sich nun um die Chance gebracht zu erfahren wo das technische Problem zu suchen ist, sein psychologisches kann ich ihm ohnehin nicht erklären.

Bleibt noch die Frage zu klären ob er das Profilbild überhaupt verweden darf. Es könnte eine Copyrightverletzung des Unternehmens sein, dass diesen Biomüll im Logo führt. (Angebissenes Obst kommt bei mir in den Biomüll und nicht auf den Schreibtisch)

Was aber möchte ich mit diesen Beitrag aussagen?

Ein guter ITler ärgert sich nicht über Mängel in der Sicherheit, besonders dann nicht, wenn sie ohne Schaden auffallen. Er freut sich über wertvolle Hinweise, behebt die Lücke und lernt für die Zukunft. Das natürlich auch dann, wenn sein System tatsächlich erfolgreich angegriffen wurde und der Angreifer ihm dann noch die Mängel verrät.

Doch was hätte dem Unternehmen wirklich passieren können, wäre ich, wie unterstellt, auf Geschäftsschädigung aus gewesen.

Ein Unternehmen riskiert damit erhebliche Bußgelder. Schon die Videoaufzeichnung des öffentlichen Wegegrunds ist ein Verstoß. Daneben das Aufzeichnen und zudem noch Veröffentlichen der Kunden und der Angestellten. Dabei drohen unter Umständen nicht nur Bußgelder sondern auch Schadensersatzforderungen.

Das hier im Bild (geschwärzt) auch Kennzeichen vorbeifahrender KFZ zu sehen sind, lasse ich dabei bewusst unbewertet.

Die evtl. Verfahrenskosten, insbesondere von Unterlassungsklagen brauchen wir auch nicht erwähnen. Viel schwieriger wird das Problem für das Unternehmen, wenn diese Streams irgendwo im Internet verbreitet und die Geschädigten dann dessen Entfernung aus dem Netz einklagen.

Der bei dieser Sache aufgefallene Verstoß gegen die Impressumspflicht auf seiner Facebookseite verschwindet da im Hintergrund.

Es ist wohl klar, dass zum Ziel der Geschäftsschädigung hier keine Information von mir an den Betreiber sondern direkt an das Ordnungsamt und ähliche Einrichtungen gegangen wäre.

Einmal mit Profis arbeiten :-)

Blog

DNSSEC und TLSA = noch mehr Sicherheit

DNSSEC und TLSA = noch mehr Sicherheit

Ein Plus an Sicherheit bieten DNSSEC und TLSA die sich leider nur schwer durchsetzen.

weiterlesen

Logfiles und Datenschutz

Logfiles und Datenschutz

In den vergangenen Tagen haben mich viele Anfragen zum Thema Logfiles und Datenschutz erreicht. Dabei geht es um die Frage nach der Aufbewahrungsdauer, aber auch Umfang der gespeicherten Daten. Zu...

weiterlesen

Digitale Währungen

Digitale Währungen

In diesem Beitrag erkläre ich kurz und bündig was digitale Währungen sind, welchen Zweck oder Nutzen sie haben und wie mit ihnen Geld verdient werden kann.

weiterlesen

Schlag gegen den Datenschutz

Schlag gegen den Datenschutz

Ein neues USA-Urteil stellt den Datenschutz erneut auf den Prüfstand und ist eine Gefahr für viele Unternehmen.

weiterlesen

Bitcoin und Bitcoin Cash

Bitcoin und Bitcoin Cash

Bereits in dem Beitrag "Digitale Währungen" hatte ich kurz über Währungen der Computerwelt berichtet.

weiterlesen

Neue Zahlungsweisen Bitcoin Classic, Bit…

Neue Zahlungsmethoden

Digitale Währungen halten immer weiter Einzug in die Geschäftswelt und so kann auch ich mich vor ihnen nicht verschließen.

weiterlesen

IT-Sicherheit ist überbewertet

Nachricht eines Administrators

Ein guter ITler zeichnet sich dadurch aus, dass er sich für seine Sicherheitslücken interessiert und Hinweise darauf wohlwollend entgegen nimmt.

weiterlesen

Mehr Sicherheit mit HSTS und Public Key …

Die vergangenen Monate zeigten deutlich, dass SSL nur ein begrenztes Maß an Sicherheit gewährleistet.

weiterlesen

Windows 10 in Unternehmen

Windows 10 ist kaum auf dem Markt, da gibt es bereits die ersten Unternehmen die das Upgrade durchführen. Meist ist man sich über Probleme und Gefahren des neuen Betriebssystems gar...

weiterlesen
Top