IT Security Newsletter: Vergebliches Anti-Fingerprinting, Veracrypt-Audit, Adios Flash, Amazon-Schulungen

Aktuelle Berichte, Kommentare und Daten aus der IT-Security

In dieser Ausgabe lesen Sie

  • Warum Maßnahmen gegen Fingerprinting ins Leere laufen

  • Covid-19 vs. Ransomware

  • Neue Sicherheitsevaluierung zu Veracrypt

  • Das letzte Update für den Flash Player

  • Google hat seinen ersten CISO eingestellt

  • Sicherheitslücken in Cisco Jabber

  • Kostenlose Cloud-Trainings von Amazon

Warum Maßnahmen gegen Fingerprinting oft ins Leere laufen

Echte Anonymität gibt es im Internet nicht. Zuerst wurden nur vergleichsweise harmlose Cookies genutzt, um Websurfer wiederzuerkennen. Nach und nach wurden diese Methoden jedoch verfeinert. Statt einem Cookie, das sich relativ leicht blockieren oder automatisch wieder löschen lässt, nutzen vor allem internationale Werbenetze heutzutage immer ausgefeiltere Methoden zum Browser-Fingerprinting.

Ein Browser-Fingerprint dient wie ein Cookie dazu, einen Benutzer wiederzuerkennen und ihm so etwa ein persönliches Interessenprofil zuordnen zu können. Das kann dann beispielsweise genutzt werden, um ihm personalisierte Werbung anzuzeigen. Von dieser Art von Werbung versprechen sich die Marketingirmen größere Erfolgschancen bei ihren Kampagnen. Auch die Gegenseite hat aber verschiedene Methoden und Browser-Erweiterungen entwickelt, um Fingerprinting zu erschweren oder gar unmöglich zu machen. Leider funktionieren diese Techniken nicht immer zufriedenstellend. Manchmal verschlimmern sie die Situation sogar.

Prinzipiell spricht man von zwei Arten von Fingerprinting, einmal dem passiven und dann dem aktiven. Bei ersterem greifen die sammelnden Firmen nur auf bereits durch den Browser standardmäßig ausgelieferte Informationen wie die verwendete IP-Adresse, den Browser oder das Betriebssystem zurück. Beim aktiven Fingerprinting setzen sie dagegen etwa Javascripts ein, um weitere Daten zu erfassen. Dazu gehören dann zum Beispiel die Bildschirmauflösung, die installierten Schriftarten oder die Zeitzone des Nutzers. Die United-Internet-Tochter Ionos hat das recht ausführlich erläutert.

Je kleiner die Gruppe, desto schlimmer

Viele Security-Produkte werben heute mit Anti-Fingerprinting-Funktionen. Wie gut oder schlecht sie ihre Aufgabe erfüllen, lässt sich durch den einzelnen Anwender jedoch kaum überprüfen. Der Sicherheitsexperte Wladimir Palant hat sich mit der Thematik daher eingehend beschäftigt. Er merkt unter anderem an, dass Fingerprinting gar nicht im Sinne habe, einzelne Nutzer wirklich eindeutig zu identifizieren. Es genüge völlig, sie einer ausreichend kleinen Gruppe zuzuordnen, um gezielt Werbung ausspielen zu können.

Palant beschreibt, wie etwa die Auflösung des Bildschirms zum Fingerprinting genutzt werden kann und wie Anti-Fingerprinting-Erweiterungen diesen Wert zu standardisieren versuchen. Webseiten-Betreiber haben jedoch die Möglichkeit, diese Werte zu löschen, so dass der Browser doch wieder die echten Daten preisgibt.

Soweit, so (nicht) gut. Die Situation wird durch das Schutz-Add-on also verschlimmert. Plötzlich hat die Webseite nämlich zwei Möglichkeiten, den Nutzer wiederzuerkennen. Erstens wie gehabt trotz der versuchten Blockade an der echten Auflösung. Zweitens kommt hinzu, dass sie ihn jetzt ebenfalls daran wiedererkennen kann, dass er versucht hat, seine echte Bildschirmauflösung zu verschleiern. Die Gruppe, in der er sich zu verbergen versucht, wird dadurch also ein ganzes Stück kleiner. Das ist genau das Gegenteil dessen, was man als am Datenschutz interessierter Anwender erreichen will.

Brave macht es anders, aber nicht unbedingt besser

Der Browser Brave geht einen anderen Weg, um seine Nutzer zu schützen. Er verwendet zufällige Werte, die das Fingerprinting erschweren sollen. Bei jedem neuen Besuch einer Webseite bekommt sie daher andere Daten zu sehen. Wie Palant argumentiert, lassen sich diese Nutzer aber genau daran wieder leichter erkennen. Statt in einer großen Gruppe zu verschwinden, die etwa die aktuell am häufigsten anzutreffende Display-Auflösung nutzt, sticht der Anwender mit ungewöhnlichen und sich wiederholt ändernden Werten geradezu heraus.

In Kombination mit nur schwer zu verbergenden Daten wie der IP-Adresse lassen sich diese Nutzer daher leicht einer kleineren Gruppe zuordnen. Das ist wieder genau das Gegenteil dessen, was man erreichen will, wenn man sich vor Fingerprinting schützen möchte.

Was kann man also machen, um Fingerprinting zumindest zu erschweren?

  • Standardwerte wie den derzeit beliebtesten Browser in der am weitesten verbreiteten Version auf dem beliebtesten Betriebssystem nutzen; nachdem Firefox auch hierzulande deutlich an Marktanteil verloren hat, ist das aktuell Chrome 86 unter Windows 10,

  • die beliebteste Bildschirmauflösung verwenden (derzeit ist das in Deutschland 1.920 x 1.280 Pixel) und

  • aktive Inhalte blockieren (hier dürften die Vorteile überwiegen, auch wenn sich der Nutzer dadurch auch wieder leichter erkennbar macht).

Informationen über aktuell geeignete Werte finden sich zum Beispiel hier, hier und hier.

Infografik: Covid-19 vs. Ransomware

Nicht jede sicherheitsrelevante Meldung eines in der IT-Security tätigen Unternehmens kündigt das baldige Ende der Welt an. So schreibt etwa Orange CyberDefense: „2020 war, trotz der Krise, nicht das Jahr der großen Angriffsflut. Eine Ausnahme ist Ransomware, denn hier wurde insbesondere das Geschäftsmodell verändert.“

Was ist damit gemeint? Bereits mehrfach haben wir darüber berichtet, dass Ransomware nicht mehr nur Daten verschlüsselt. Stattdessen sind die Erpresser jetzt bemüht, zumindest einen Teil dieser Daten zu extrahieren und dann mit einer Veröffentlichung zu drohen.

Klassische Methoden wie das Einspielen eines (hoffentlich) vorhandenen Backups helfen gegen diese Art der Erpressung nicht mehr. Selbst das Zahlen des Lösegeldes hilft nicht, wenn die Erpresser anschließend einfach weiter Geld fordern. Während also die Zahl der Covid-19-bezogenen Bedrohungen wieder (zumindest vorläufig) gesunken ist, sieht es bei Ransomware genau anders aus. Hier steigt die Zahl der Angriffe.

Was sonst noch wichtig ist

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat die Verschlüsselungssoftware Veracrypt im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) einer Sicherheitsevaluierung unterzogen. Mit Veracrypt ist es möglich, verschlüsselte Container zu erstellen, in denen dann vertrauliche Daten sicher gespeichert werden können.

Die Sicherheitsforscher haben nach eigenen Angaben keine gravierenden Sicherheitslücken gefunden. Nur bei den Punkten Entwicklungspraxis sowie Codequalität sehen sie Verbesserungsbedarf. Der Code sei dadurch „schlecht wartbar, wodurch gravierende Fehler in der Zukunft nicht ausgeschlossen werden können“. Für den privaten Gebrauch sei Veracrypt trotzdem „sehr gut nutzbar“. Beim Einsatz in Unternehmen mahnt das Fraunhofer-Institut jedoch zur Vorsicht:

„Für den großflächigen Einsatz im Unternehmen sollte man die langfristige Entwicklerperspektive berücksichtigen, da hier ein möglicherweise notwendiger Wechsel mit hohem Aufwand verbunden ist. In jedem Fall empfehlen die Fraunhofer-Experten die Verwendung starker Passwörter.

Die Studie kann als PDF-Datei in englischer Sprache von der BSI-Webseite heruntergeladen werden.

Kurz berichtet

  • USA Today stellt die berechtigte Frage: „If one of the biggest names in cybersecurity can be breached, what chance does an average person stand against hackers?“ Sie bezieht sich damit auf den verheerenden Datenklau bei FireEye.

  • Adobe hat das letzte Update für den Flash-Player veröffentlicht. 2021 soll dann ein „Kill Switch“ kommen. Was bedeutet das? Ab dem 12. Januar wird der Flash Player die Arbeit komplett verweigern.

  • 2021 wird das „Jahr der Erpressung“ prognostiziert Acronis.

  • Google hat nun erstmals einen CISO: Der ehemalige Goldman-Sachs-Manager Phil Venables soll die Cloud-Geschäfts des Internetkonzerns sichern.

  • Mehrere Sicherheitslücken in der Videoconferencing- und Instant-Messaging-Software Cisco Jabber. Ein Patch steht bereit.

Sicherheits-Tipp: kostenlose Weiterbildung

Die Programmiersprache Python hat zwar schon mehr als 30 Jahre auf dem Buckel. In den vergangenen Jahren ist sie aber immer beliebter geworden. Das liegt unter anderem daran, dass sie sich ausgezeichnet für das Schreiben von Skripten eignet. Eines der besten Einsteigerbücher zu Python findet sich vollständig kostenlos in Internet: Al Sweigart hat die zweite Ausgabe seines Buchs „Automate the Boring Stuff with Python“ online gestellt.

Ein weiteres Bildungsangebot kommt diese Woche von Amazon. Der Konzern, der schon länger zu den größten Cloud-Anbietern weltweit gehört, will bis 2025 rund 29 Millionen Menschen im Bereich Cloud Computing trainieren - kostenlos. Bereits vergangenes Jahr startete das Unternehmen eine Initiative, um 100.000 eigene Mitarbeiter fortzubilden. Dieses Angebot soll nun auch auf Menschen ausgeweitet werden, die nicht für Amazon arbeiten, sondern zum Beispiel bei Firmen, die AWS-Dienste nutzen. Ein Ausschnitt aus dem geplanten Angebot:

  • Ausbau des Programms, das bereits mehr als 500 kostenlose Kurse, interaktive Workshops und virtuelle, ganztägige Trainings-Sessions umfasst.

  • Weitere Investitionen in kostenlose Schulungen, um Einzelnen die AWS-Zertifizierung zu ermöglichen.

  • Ausweitung des AWS re/Start-Programms, um arbeitslose oder unterbeschäftigte Menschen aus unterrepräsentierten Gemeinschaften in technische Berufe zu verhelfen.

  • Anstoßen neuer Trainingsprogramme, die beispielsweise vom Verlegen und Reparieren von Glasfaserkabeln bis hin zum Erlernen und Anwenden von Modellen des maschinellen Lernens zur Lösung von Geschäftsproblemen reichen.

Ein anderes Thema: Wirksamkeit von Masken

„Statt 20.000 Neuinfektionen am Tag hätten wir ohne Masken rund 38.000.“

Klaus Wälde, Professor of Economics, Gutenberg School of Management and Economics, Johannes-Gutenberg-Universität Mainz, Quelle

Share IT Security Newsletter

Aufmacherbild: Pixabay von Pexels