Steam mit großem Sicherheitsproblem

Steam hat gerade ein ziemlich großes Sicherheitsproblem. Nutzer werden nicht mehr wie üblich eingeloggt, es erscheint beim Starten von Steam ein zufälliger Nutzer valide angemeldet. Dies hat zur Folge, dass betreffende Nutzer alles mit eurem Steam-Account machen können. Ihn ganz löschen, Spiele auf eure Kosten kaufen oder eben Spiele aus dem Account löschen.

Falls Ihr PayPal nutzt ist hier eure Anlaufstelle, dort kann die Authorisierung für „steampowered“ gekündigt werden. Falls ihr Kreditkartendaten in eurem Steam-Account habt hilft nur ein Anruf an der allgemeinen Sperrhotline 116 116, bzw. falls es möglich ist die Karte selbst zu sperren die jeweilige Option in der Bankingoberfläche dazu. Auch Kreditkartendaten können abhanden gekommen sein.

via

ProxyHam sagt Talk auf DefCon Konferenz ab

Auf der Hackerkonferenz DefCon sollte eigentlich ein neues Gerät vorgestellt werden, welches es erlaubt den eigenen Internetanschluss durch einen mehrere Kilometer weit entfernten Accesspoint zu leiten. Dazu nutzt das Gerät namens ProxyHam einen Raspberry Pi, der als Proxy konfiguriert wird und leitet so ein WLAN oder ein Ethernet über ein Funknetz abseits der üblichen Frequenzen weiter. Benötigt werden dann nur noch spezielle Antennen für die Empfangsgeräte.

So sollte sichergestellt werden, dass z.B. Journalisten auch bei kritischen Berichten Meinungs- und Pressefreiheit weiterhin gewährleisten können, ohne einfluss von externen Quellen zu bekommen.
Gerüchten zufolge soll hinter der Absage die US-Regierung bzw. Geheimdienste stehen.
Meiner Meinung nach ist dies das beste Marketing, was dieser Branche passieren kann, da Interessen von Personen innerhalb der Branche und teilweise auch das öffentliche Interesse stark durch solche Aktionen gesteuert werden. Gleiches war bereits bei dem Entwicklungsstopp der Verschlüsselungssoftware TrueCrypt zu beobachten.
Was weiter mit ProxyHam geschieht und ob es bei bereits im Netz befindlichen ungefähren Bauanleitungen bleibt können wir bisher noch nicht wissen.

via

Security Audit für die Subway-Android-App

Es gab einen Security Audit der Subway-App für Android.
Dort wurde die App einmal zu Teilen über Reverse Engineering zurück zum Quellcode gebracht und dieser wurde soweit möglich analysiert.

Wer sich dafür interessiert, kann sich den Beitrag mit entsprechendem Reverse-Quelltext hier auf XDA-Developers ansehen. Der Audit ist übrigens unerwartet gar nicht mal so schlecht ausgefallen…
Ob sich das gleiche auch für die Subway-Subcard-App im deutschen PlayStore sagen lässt, ist natürlich noch ungewiss, aber der Audit zeigt dann doch, dass es zumindest Subway auch darum geht Kundendaten vielleicht etwas mehr als nötig zu schützen, was immer nützlich sein kann.

Zur besagten App geht es hier, diese lässt sich nur per US-Account installieren:

SUBWAY®
Price: Free
  • SUBWAY® Screenshot
  • SUBWAY® Screenshot
  • SUBWAY® Screenshot
  • SUBWAY® Screenshot
  • SUBWAY® Screenshot
  • SUBWAY® Screenshot
  • SUBWAY® Screenshot
  • SUBWAY® Screenshot

Avira will sichersten Webbrowser der Welt basteln

IT-Sicherheit ist ein zweischneidiges Schwert. Will man es sicher, wird es unbequem. Will man es bequem, wird es unsicher.
Avira hat nun ein Private-Beta-Programm eines Webbrowsers auf Chromium-Basis gestartet, welches laut eigener Aussage den „sichersten Browser der Welt“ darstellen soll.

Im Hintergrund verbirgt sich eher eine Art Chromium mit vorinstallierten Sicherheits-Extensions, die allerdings weiterhin von Drittanbietern kommen. Das macht es für Neulinge im Netz vielleicht sicherer, aber Avira gibt damit auch ein wenig Sicherheit auf, weil sie nicht genau steuern können, was die externen Entwickler in ihren Extensions einbauen (wie ein Fall mit der Firefox Extension NoScript zeigt).
Der Avira-Browser scheint allerdings nicht in einer VM zu laufen, welches das System meiner Meinung nach unsicherer macht. Hier vertraut man bzgl. Sicherheitslücken im Browser direkt auf Chromium. Mit einem in einer VM laufenden Browser wäre das Sicherheitsproblem zumindest eingeschränkt. BitBox ist bereits ein Browser, der auch vom BSI empfohlen wird mit diesem Konzept. Zwar kommt dieser ohne Extensions, läuft aber in einer kleinen unscheinbaren Linux-VM, welches Attacken z.B. über das im Avira-Browser geblockte JavaScript zumindest für das Haupt-System größtenteils unschädlich macht.

Wollt ihr Avira’s Browser trotzdem testen, könnt ihr euch über diese Seite für das Beta-Programm anmelden.

via