sicherheit – nullenundeinsen schubser

Auweia – Whatsapp-Lücke, Update erforderlich

Gerade freue ich mich, daß die Ersatz-SIM Schwiegervaters Handy wieder ‚mit der Welt‘ verbunden hat – und zum Glück liegt es noch hier, denn dann kann ich morgen noch nachsehen, ob er auch Version 2.18.93 installiert hat.

Warum man dringendst (und das ist diesmal wirklich so gmeint) seine Whatsapp-App (das wollte ich immer schon mal schreiben) aktualisieren sollte, steht auf heise.de (via rivva.de). Zwar nutzen wir es nur noch privat, aber ob ein Handy aus dienstlichen oder privaten Gründen ‚gekapert‘ wird, ist schlußendlich egal, da gleichermaßen blöde.

Der Fehler wurde schon vor 2 Wochen korrigiert, aber mit den Updates ist das bei vielen ja so wie mit den Backups…

Und, schon Dein #Twitter-Passwort geändert?

In der letzten Woche forderte Twitter seine Benutzer auf, die Zugangsdaten zu ändern – noch vor der Mail von Twitter selbst las ich davon bei Caschy (via rivva.de)… Für das transparente Vorgehen gabs übrigens Lob, unter anderem auf golem.de (ebenfalls via rivva.de).

Sesam öffne Dich – eine Keycard als Generalschlüssel

In den kommenden zehn Tagen bin an 7 davon in Hotels – und beide Hotels nutzen Schhlüsselkarten für die Zimmer.

Nach diesem Bericht auf tagesschau.de (via rivva.de) achte ich mal drauf, ob man den Hersteller der Karten des jeweiligen Hotels herausfinden kann – eines davon gehört ausdrücklich zu einer skandinavischen Kette…

Wie? Facebook liest Whatsapp-Nachrichten mit – zumindest theoretisch.

In einem Telefonat fragte mich heute ein Freund: ‚Stimmt das, Whatsapp-Nachrichten können mitgelesen werden von Facebook?‘

Meine spontane Antwort, von der ich dachte, sie sei richtig: ‚Nein, das ist ene Ende-zu-Ende-Verschlüsselung – also, von Gerät zu Gerät…‘. Das stimmt soweit auch – aber gerade lese ich im Feedreader von der theoretischen Möglichkeit, daß die Facebook-App Nachrichten mitlesen kann. Nämlich genau dann, wenn sie gemeinsam auf einem iPhone installiert sind: heise.de beschreibt das genauer (via rivva.de).

Ist Dein WordPress fit für 2018?

Drüben bei Vladimir gibt es auf perun.net eine aktualisierte Fassung von Tipps und Tricks zu WordPress, mit dem Augenmerk auf Sicherheitsaspekte: ‚WordPress absichern, Edition 2018‚.

Je mehr Besucher so ein Blog hat, desto wichtiger wird das Thema – aber auch auf ganz kleinen, jungen Blogs beobachte ich erste Spamkommentare und Angriffe…

Und jetzt? FAQ zu #Meltdown und #Spectre

Drüben bei heise.de gibt es übrigens die wichtigsten Antworten auf Fragen zu den als Meltdown und Spectre benannten Agrifssszenarien – betroffen sind wir ohnehin alle, weil es ein Hardwareproblem ist (via rivva.de).

Bitte updaten Sie jetzt iOS und macOS gegen #MeltDown und #Spectre

Sicherheitsupdates sind immer wichtig – und momentan noch ein bisschen wichtiger als sonst. Sowohl für iOS als auch für macOS gibt es Updates, die Spectre und Meltdown entgegenwirken sollen, schreibt Sascha drüben auf Caschys Blog.

Auch heise.de (via rivva.de) macht auf die Updates aufmerksam, die übrigens nur für die aktuellen Versionen der Betriebssysteme gelten. Für ältere Varianten zeichnet sich (noch) keine Lösung ab.

Lediglich das Update für den Safari gibt es nun in der Version 11.0.1 für OS X E Capitan (10.11.6) und macOS Sierra (10.12.6) bereits, wie Flo schreibt.

Noch setze ich tatsächlich Sierra ‚mit ohne High‘ ein, aber komme so langsam ins Grübeln, ob ich nicht vielleicht doch updaten sollte. Andererseits gilt ja auch hier und immernoch ‚Never change a running system’…

Generalschlüssel statt Schlüsselbund?

Das ist gar nicht so gut, was man da auf heise.de (via rivva.de) zum Schlüsselbund unter macOS lesen muss… Nicht mal auf dem iPad bin ich immer eingeloggt, aber beunruhigend ist das irgendwie dennoch…

Das wird eine spannende Bundestagswahl 2017 #btw2017

Am 24. September wählen wir einen neuen Bundestag. Und ja, wir gehen bitte wählen – und wen wir ‚DIE PARTEI‘ wählen. Immernoch besser als Nichtwählen.

Heute berichtet der Chaos Computer Club, eine Software zur Auswertung der Wahlergebnisse sei angreifbar (via rivva.de).

Das wird spannend.

Spätestens jetzt ist es Zeit für 2FA in Instagram

Gerade macht ein API-Fehler bei Instagram die Runde, durch den es möglich war, Kontaktadressen von Instagram-Nutzern zu erhalten. Betroffen ist nur geringer Prozentsatz, sagt Instagram selbst – aber das sind eben auch schon 6 Millionen…

ZDNet und Seiten wie Turnon2FA erläutern, wie man für Instagram und andere Dienste Zwei-Faktor-Authentifizierung aktiviert.

Passwörter unregelmäßig und nicht zu häufig wechseln

Ja, ich hab mich auch gewundert – aber dieser Artikel in der SZ klingt stellenweise plausibel. Er ist aus dem August, aber wurde mir wohl im Rahmen des 33C3 in die Timeline gespült.

Einen interessanten Artikel in diesem Kontext gibt’s auf netzpolitik.org zu einer der ersten Online-Banken, N26: ‚Sicherheitsmängel beim Bank-Startup N26: Eine Frage der Prioritäten‚. Den zitierten Vortrag gibt’s hier, viele viele weitere Videos vom 33C3 hier.

Jetzt aber schnell: Update auf iOS 9.3.5

Grund für dieses sehr dringende Update ist die bislang risikoreichste Schadsoftware, die für iPhones entdeckt wurde, wie u.a. netzpolitik.org schreibt (via rivva.de). Heises Mac & i lobt die schnelle Reaktion Apples (ebenfalls gefunden via rivva.de).

123456 – die unsicherste #zahlenreihe der Welt (außer für Schwaben)

Nachdem’s gestern um Domains ging, hier noch ein Artikel, der sich statistisch mit Passwörtern beschäftigt… Das Lesen ist recht anstrengend, weil man ständig den Kopf schütteln muss.

Belassen wir es am besten dabei und denken nicht weiter darüber nach. Vielleicht sollten wir es wie die Schwaben machen (den Text hat mir eine KollegIn aus Schwaben zugemailt).

„Moderne Zeiten – oder wie sich ein Schwabe ein sicheres Passwort wählt:

Bitte geben Sie ein Passwort ein!
mauldasch

Ihr Passwort ist leider zu kurz!
mauldascha mid kartoffelsalad

Ihr Passwort muss mindestens eine Zahl enthalten!
4 mauldascha mid kartoffelsalad

Ihr Passwort muss mindestens einen Umlaut enthalten!
4 gschmälzde mauldascha mid kartoffelsalad

Ihr Passwort darf kein Leerzeichen enthalten!
4gschmälzdemauldaschamidkartoffelsaladduseggl

Ihr Passwort muss mindestens einen Großbuchstaben enthalten!
4gschmälzdemauldaschamidkartoffelsaladdusegglHEIDANEI

Ihr Passwort muss mindestens ein Sonderzeichen enthalten!
4gschmälzdemauldaschamidkartoffelsaladdusegglHEIDANEIgr@nat@daggl

Ihr Passwort darf nur Großbuchstaben enthalten, die nicht aufeinanderfolgend sind!
Jeddzischgnugheuhondaihrobergscheidle4gschmälzdemauldaschamidkartoffelsaladondi haueuchogspiddzdendrbodaneidusegglhEiDaNeIdassdiadrherrgoddmidrbeisszangwiedr rausziagakagr@nat@daggl

Dieses Passwort ist bereits in Verwendung. Bitte wählen Sie ein neues.“

(Die Originalquelle konnte ich nicht finden, aber der Text taucht mindestens 200 mal im Internet auf.)

Sauber: Kein Trojaner in meinem ‚grosshirn‘.

Gerade macht ein Trojaner auf Macs die Runde. Selbst Cupertino gehört zum weltweiten Botnet » t3n News. Zum Glück ist mein Macbook ‚grosshirn‘ nicht betroffen, die beiden Büro-Minis prüfe ich mal nach dem Urlaub.

Bei F-Secure gibt’s die passenden Tests und Gegenmaßnahmen.