Archive for the ‘Know-How’ Category

« Older Entries

C-SIRT: SamsungImaging.net doesn’t seem to be a secure place!

Saturday, September 15th, 2012

Some of you guys might know it: SamsungImaging.net, a corporate blog of Samsung Electronics has been previously hacked, spreading the “famous” JAVA zero-day exploit. For all of you haven’t heard about, here are the facts:

Regarding our records (C-SIRT report) the wordpress based blog was owned a very short time after the exploit came out, via a security leak in the CMS or broken/stolen/bruteforced access credentials (like FTP). The attackers add the following Java applet code:

The payload (the linked JavaX.jar) – hosted on exportidaho.com (see C-SIRT reports) – added to the source code, have been uploaded to another wordpress installation (currently still online) what bring us to the conlcusion, that from an external view it seems that they use a WordPress security hole to break in.

With more than 2 million facebook followers, frequently updated content redirecting the people to the thematical blog, we expect that especially due to the fact, that at the same time the IFA exhibition took place in Berlin, a lot of people got infected as it is likely that most of them haven’t closed the Java security leak in time!

We strongly recommend and ask/advice Samsung to inform their visitors and Facebook fans about the potential risk of a possible infection!

Posted in Ankündigung, Information, Know-How, Sicherheitshinweise | No Comments »

C-SIRT: Top 10 der Malware-Hoster (weltweit) / ein kleiner Überblick

Friday, January 27th, 2012

Die Sicherheits-Experten der cyscon GmbH prüfen und analysieren täglich mehrere zehntausend WebSeiten auf Kompromittierungen. Findet unser C-SIRT hierbei eine aktive Kompromittierung, senden wir automatisierte Take-Down-Notices (sogenannte Abuse Complaints) an die hierfür zuständigen Sicherheitsabteilungen (Abuse Departments) der Netzbetreiber. Hierfür haben wir eine aufwendige Infrastruktur errichtet.

Bricht man die von uns erkannten Malware-Spreeding-WebSites auf AS’e (Autonome Systeme) herunter, ergibt sich für uns folgendes Bild (dargestellt in einer Bad 10-Liste):

Bad 01: AS36351 (Softlayer Technolgie Ltd.)
Bad 02: AS26496 (GoDaddy .com, Ltd.)
Bad 03: AS21844 (ThePlanet.com Internet Services Ltd.)
Bad 04: AS46562 (Colo at 55, Ltd.)
Bad 05: AS16276 (OVH Systems)
Bad 06: AS4808 (CHINA169-BJ CNCGROUP)
Bad 07: AS33182 (HostDime.com, Inc.)
Bad 08: AS32613 (iWeb Technologies Inc.)
Bad 09: AS32475 (SINGLEHOP-INC – SingleHop)
Bad 10: AS23352 (SERVERCENTRAL – Server Central Network)

Hinweis: Diese Statistik sagt nicht aus, wie reaktiv die einzelnen Unternehmen auf Abuse-Complaints reagieren. Auch ist die Größe der einzelnen Unternehmen hierbei nicht berücksichtigt. Gezählt haben wir hier nur “Einzel-URLs” mit aktivem Schadcode!

Möchten Sie uns Feeden und unser Community-Projekt unterstützen? Wir würden uns freuen, wenn wir ein noch besseres, aussagekräftigeres Bild über “Badness im Netz” bekommen. Dann nehmen Sie doch mit uns Kontakt auf: Schreiben Sie uns eine E-Mail an sitesecurity@cyscon.de!

Tags:, , ,
Posted in Allgemein, Information, Know-How | No Comments »

Die (un-)heimlichen Besucher aus dem Netz – Viren & Trojaner

Friday, September 2nd, 2011

Unter dem Begriff „Computerviren“ (lat. Virus = das Gift) werden bestimmte Programme verstanden, die sich meist in Standard-Programme und verwandte Dateien kopieren und sich so vervielfältigen. Da dieser Vorgang einer Infektion ähnelt, wurde der Begriff “Virus” aus der Medizin übernommen.

Aufgrund der Vielfalt an Computerviren macht eine genaue Klassifizierung nur schwer möglich, dennoch lassen die verschiedenen Viren-Kombinationen in den nachfolgenden Hauptgruppen einordnen:

Datei- oder Linkviren sind „klassische“ Viren, die sich in Computerprogramme kopieren und bei jedem Aufruf weiter verbreiten können. In der Regel werden die so “infizierten” Programme umfangreicher (Veränderung in der Größe), weil der Code des Computervirus (der sogenannte Schadcode) hinzukommt.

Bootsektor- oder Systemviren kopieren sich in den Bootsektor oder auch in die Partitionstabelle und werden bei jedem Start geladen (vor dem Betriebssystem). Diese Art der Schädlinge kann sich auf jedem nicht schreibgeschützten Datenträger (insb. USB-Sticks u.ä.) einnisten, ohne dass dies an den Daten zu bemerken ist (unveränderter Umfang).

Würmer gelten nicht als „echte“ Computerviren, da ihre Funktion sich von diesen unterscheidet. Sie bewegen sich bevorzugt im Internet und verbreiten sich selbstständig innerhalb dieses Netzwerkes. Ihr Ziel besteht in der endlosen Vermehrung und der Belegung von Speicherressourcen. Dadurch sinkt die Rechenleistung des infizierten Rechners. Besonders schädliche Würmer kombinieren die Eigenschaften von Datei-Viren oder führen ein „Trojanisches Pferd“ mit sich.

Makroviren verstecken sich in Word- oder Excel-Dokumenten. Grundsätzlich automatisieren sinnvolle Makros Arbeitsabläufe. Virenverseuchte Dokumente hingegen beinhalten eine so genannte Schadensroutine, die neben einfache Scherzen auch das Löschen von Dateien umfasst.

Trojanische Pferde sind häufig in harmlosen, nützlichen Programmen versteckte Schadprogramme. Sie werden oftmals dazu verwendet, auf dem infizierten System weitere Schadprogramme zu installieren, die eigenständig auf dem Computer laufen. Vom Anwender unbemerkt späht diese Schadsoftware auf dem Rechner gespeicherte, sensible Daten wie Passwörter, Zugangs- und Kreditkartennummern aus und übermittelt diese. Andere Schadsoftware dient zur unbemerkten Fernsteuerung des Computers und macht den Computer zum Teil eines so genannten Botnetzes.

Hoaxes sind „schlechte Scherze“ und werden im Internet für falsche Warnungen vor bösartigen Viren verwendet: So werden Anwender etwa aufgefordert, zur Virenabwehr bestimmte (wichtige) Dateien zu löschen. Ergänzt wird die Meldung meistens mit dem Rat, die warnende E-Mail an Freunde und Bekannte weiterzuleiten.

Residente Viren nisten sich im Arbeitsspeicher des PCs ein und infizieren von dort aus Datenträger.

Tarnkappenviren (=Stealth-Computerviren) und polymorphe Viren entziehen sich der Bekämpfung, indem sie Antivirenprogramme erkennen und während deren Aktivität einen nicht infizierten Zustand herstellen (Tarnkappe) oder indem sie fortwährend ihre Gestalt ändern (polymorphe, also vielgestaltige Computerviren, die ihren Code modifizieren). Das erschwert die Suche nach solchen Viren.

Script-Viren können sich in HTML-Codes verstecken und über das Internet verbreitet werden. Derartige Viren lassen sich auch in E-Mails verstecken, wenn diese das HTML-Format benutzen – dies nicht nur im Mailanhang, sondern auch in der E-Mail selbst.

Link-Tipps: https://www.botfrei.de (die WebSeite des Anti-Botnet Beratungszentrums)

Posted in Know-How | No Comments »

Die Welt rüstet zum CyberWar – eine Chronik

Sunday, June 19th, 2011

Militärische Hacker, Cyberspionage, Cyberattacken auf Kommunikationssysteme – längst findet Krieg auch in der virtuellen Welt statt. Die Armeen diverser Länder unterhalten Spezialisteneinheiten, die Websites von Dissidenten lahmlegen, den Gegner online auskundschaften oder im Ernstfall auch Versorgungssysteme sabotieren. Ihr Vorgehen unterscheidet sich oft nur wenig von dem der Cyberkriminellen. Gleichzeitig geben Staaten viel Geld aus, um ihre eigenen Systeme gegen die Hacker des Gegners abzusichern.

Nachfolgend eine Chronik der schwersten Angriffe:

Sowjetunion/Irak: Schon 1982 soll der US-Geheimdienst CIA die Software einer kanadischen Firma so manipuliert haben, dass in Sibirien eine sowjetische Gaspipeline explodierte. Im Irak-Krieg entwickelte die US Air Force 1991 angeblich ein Computer-Virus, welches das Kontrollzentrum der irakischen Luftabwehr lahmlegen sollte. Das Zentrum sei aber bombardiert und der Virus zerstört worden, bevor er aktiv werden konnte.

Estland: Ende April 2007 blockieren Angreifer Server estnischer Organisationen, darunter die des Parlaments. Vorangegangen war eine Kontroverse zwischen der estnischen und der russischen Regierung um das Denkmal eines sowjetischen Soldaten, das die Regierung in Tallinn an einen anderen Ort verlegt hatte. Ähnliche Angriffe gab es im Zusammenhang mit dem Georgienkrieg 2008.

GhostNet: Ein Spionage-Angriff traf im März 2009 Computersysteme in 103 Ländern, darunter die Rechner von Außenministerien, Botschaften und Regierungsbehörden, von Banken und der Nato.

Das GhostNet getaufte Spionagevirus, das von China aus kontrolliert wurde, infizierte auch Computer tibetanischer Exilzentren. Es installierte einen Trojaner (GhostRat), der Webcam und Mikrofone der Rechner zur Raumüberwachung einsetzen kann. Chinas Regierung bestritt jede Verantwortung.

Stuxnet: Der im Juni 2010 entdeckte Computerwurm Stuxnet wird als erstes echtes Beispiel für Cyberwar betrachtet, weil sowohl die mutmaßlichen Urheber als auch das Ziel der Definition am ehesten entsprechen. Das Schadprogramm wurde für ein System der Firma Siemens entwickelt – vermutlich, um die Leittechnik einer Uran-Anreicherungsanlage im Iran zu sabotieren.

Das gelang offenbar: Am 23. Februar 2011 informierte Teheran die Internationale Atomaufsichtsbehörde IAEA, dass alle 163 Brennelemente aus dem Reaktor in Buschehr entfernt werden müssten. Als Auftraggeber werden US- oder israelische Geheimdienste vermutet.

Lockheed Martin: Hacker dringen im Mai dieses Jahres in das interne Netzwerk des US-Rüstungskonzerns ein, einem der wichtigsten Lieferanten des US-Militärs. Zuvor hatten unbekannte Angreifer das Sicherheitssystem „SecurID“ geknackt, mit dem viele Konzerne ihre Netzwerke sichern, darunter Lockheed Martin.

Bislang ist unklar, ob die Eindringlinge an sensible Daten gelangen konnten. Die potenzielle Ausbeute bei dem Unternehmen ist beträchtlich: Unter anderem ist Lockheed Martin an der Entwicklung des US-Raketenschilds beteiligt.

IWF: Nach entsprechenden Medienberichten räumt ein Sprecher des Internationalen Währungsfonds (IWF) am vergangenen Sonnabend ein, dass unbekannte Angreifer Daten von den internen Netzwerken der UN-Finanzinstitution in ihren Besitz bringen konnten.

Darunter befanden sich nach inoffiziellen Angaben auch höchst sensible Unterlagen zu vertraulichen Absprachen des IWF mit Schuldnerländern. Insider vermuten, dass China hinter der Attacke steckt.

Tags:, , ,
Posted in Know-How | No Comments »

Safer Internet Day 2011: “It’s more than a game, it’s your life”

Saturday, February 12th, 2011

Beim diesjährigen Safer Internet Day drehte sich alles um die virtuelle Identität im Netz — getreu dem Motto “It’s more than a game, it’s your life”. Passend dazu habe ich diese Woche einige Fragen rund um das Thema Sicherheit im Internet  beantwortet und nützliche Tipps für den Umgang mit Facebook und Co gegeben – exklusiv für die 1&1 Internet AG im Video-Interview.

Tags:, , , , ,
Posted in Information, Know-How, Service, Tipps & Tricks | No Comments »

Passwort-Sicherheit: Die wichtigsten Fragen und Antworten

Friday, January 28th, 2011

Zum Tag der Passwortsicherheit hat mich die Südwest Presse in Kooperation mit WEB.DE zum 1-stündigen Chat eingeladen. Lesen Sie hier die interessantesten Fragen und Antworten des Chats nach:

Guten Morgen Herr Kraft, wie kommt man am besten auf ein sicheres Kennwort? Gibt es Generatoren hierfür bzw. kann man diesen trauen?
Kraft: Guten morgen. Merken Sie sich doch einfach einen Satz, wie zum Beispiel: “Heute bin ich im Chat der Südwest Presse” und generieren Sie sich aus den ersten Buchstaben ein Passwort. z.B. “HbiiCdSP”.

Aber bei ihrem HbiiCdSP-Beispiel wären ja gar keine Symbole und Zahlen drin. Sollte das nicht Voraussetzung jedes guten Passworts sein?
Kraft: Mit Sonderzeichen wäre das Passwort in der Tat noch besser … “Ich liebe meine Frau mindestens einmal am Tag” … “IlmFm1*aT”.

Man kann ja auch den Dienst, für welchen das PW ist, in das PW mit einfliessen lassen. Beispiel: “YouTube”: DimYTPW230878 = Dies ist mein YouTube PW + GebDat.
Kraft: Richtig. So fällt es Ihnen auch leichter, sich verschiedene Passwörter zu den unterschiedlichsten Diensten zu merken.

Warum dürfen “ö, ä, ß” nicht bei der Passwortauswahl verwendet werden?
Kraft: Generell gibt es hier keine Regel, dass Sie “ö” und “ü” nicht verwenden sollen. Es ist aber durchaus möglich, dass der Dienst, bei dem Sie sich angemeldet haben, die Eingabe verweigert.

Und wie oft ist es denn sinnvoll und ratsam ist, sein Passwort zu ändern?
Kraft: Sie sollten regelmäßig Ihre Passwörter ändern. Eine Änderung alle sechs Monate würde ausreichen; sicherer ist natürlich einmal im Monat. Wichtig ist aus meiner Sicht, dass Sie Ihre Passwörter immer dann ändern, wenn Sie einen Virus auf Ihrem Rechner gefunden haben.

Aber wenn ich ein sicheres Passwort habe, könnte ich es doch auf ewig behalten, oder?
Kraft: Passwörter werden leider nicht nur erraten, sondern immer häufiger über Schadsoftware ausgespäht. Solchen Viren ist es meistens egal, wie sicher ein Passwort ist.

Und wenn ich keine Probleme mit Viren auf meinem Rechner habe und sichere Passworte gewählt habe, bin ich auf der sicheren Seite? Denn einmal im Monat Passwörter ändern, wenn man mindestens fünf verschiedene hat, ist einfach sehr unübersichtlich.
Kraft: Ich möchte keine Empfehlung darüber aussprechen in welchen Intervallen Sie Passwörter erneuern sollten. Wichtig ist, dass Sie Passwörter im Laufe der Zeit erneuern, z.B. heute, am Tag der Passwortsicherheit und sich diesen Termin zum Beispiel für eine Generalüberholung Ihrer Passwörter in den Kalender notieren.

Von meiner AOL-Adresse wurde vergangene Woche eine Viagra-Mail an einige Kontakte meines Adressbuches verschickt. Ich verwende die Avira Antivirensoftware und der DE-Cleaner hat auch nichts gefunden. Was kann ich nun tun?
Kraft: Als erstes sollten Sie auf jeden Fall das Passwort ändern. Da Viren-Scanner nur einen Bruchteil verbreiteter Schädlinge erkennen, ist es ratsam, dass Sie noch weitere Viren-Scanner hinzuziehen, um den Schädling zu finden. Oftmals hilft aber leider nur eine Neuinstallation des Rechners!

Facebook, Youtube, alle wollen Konten verlinken und verlangen Passwörter dafür. Ist so einer Sache zu trauen?
Kraft: Meine persönliche Meinung? Ich würde solche Dienste nicht unbedingt verwenden, denn wenn Passwörter eines solchen Dienstes abhanden kommen, könnten Sie eine komplette Identität verlieren.

Ich habe ein Passwort, bestehend aus Groß-/Kleinbuchstaben, Sonderzeichen und Ziffern. Ist es ausreichend, beispielsweise immer nur eine einzige Ziffer zu ändern?
Kraft: Wenn es nicht immer dieselbe ist, ist das eine sehr gute Idee, wie man sehr viele unterschiedliche Passwörter für unterschiedliche Dienste “behalten” kann.

Was halten Sie von eToken und Smartcards? Könnte diese Technologien Passwörter irgendwann ganz ablösen?
Kraft: Das sind in der Tat sehr gute Alternativen zum Passwort.

Muss ein Passwort immer lang sein, um gut zu sein? Es könnte doch auch ein kurzes, kniffliges Passwort etwas hermachen oder sehen Sie das anders?
Kraft: Nein. Das ist durchaus richtig. Ab 8 Zeichen gilt das Passwort schon als “sicherer” (wenn Sie Groß-/Kleinschreibung und Sonderzeichen verwenden).

Viele Online-Dienste bieten die Möglichkeit, “eingeloggt” zu bleiben. Ist das ratsam oder unsicher?
Kraft: Bei dieser Technik wird ein Cookie abgespeichert. Sie laufen dabei Gefahr, dass bei einem “öffentlich” zugänglichen Rechner dann jemand anderes Ihren Account “übernehmen” kann und dass sich ein Trojaner oder Virus daran macht, Cookies bestimmter Dienste auszulesen und “nach Hause” zu senden.

Tags:, , , ,
Posted in Know-How, Sicherheitshinweise, Tipps & Tricks | No Comments »

Erfolgreiches Online-Marketing: Virales Marketing

Friday, December 17th, 2010

Virales Marketing (auch Viralmarketing oder manchmal Virusmarketing) ist eine Marketingform, die soziale Netzwerke und Medien nutzt, um mit einer meist ungewöhnlichen oder hintergründigen Nachricht auf eine Marke, ein Produkt oder eine Kampagne aufmerksam zu machen. „viral“ besagt, dass Informationen über ein Produkt oder eine Dienstleistung innerhalb kürzester Zeit, ähnlich einem biologischen Virus, von Mensch zu Mensch weitergetragen werden.

Das virale Marketing bedient sich dabei verschiedener Methoden, um die Nachricht zu publizieren, z. B. Postkarten, Filmclips oder einfacher Beiträge in Internetforen und Blogs. Die eigens für das Internet vorbereiteten Methoden werden als Virals bezeichnet. Der Erfolg ist, gemessen am minimalen finanziellen Aufwand, überproportional groß, lässt sich aber nicht in Zahlen ausdrücken, da eine genaue Kontrolle der Verbreitung nicht möglich ist.

Ein bekanntes Beispiel ist das Werbespiel Moorhuhn, das von der Firma Phenomedia AG für Johnnie Walker entwickelt wurde. Innerhalb kürzester Zeit erreichte das Spiel eine enorme Popularität, die sich auch auf die Marke übertrug. Mit Nachfolgern von Moorhuhn versuchten später auch Firmen wie Computer Channel, Quam, Bild und Haribo, an den Erfolg anzuknüpfen.

Die am häufigsten genutzten Verbreitungsformen viraler Botschaften sind „schnelle“ Medien wie Chats, Instant-Messenger oder E-Mail.

Folgende Möglichkeiten zur Verbreitung sind üblich:

  • Tell-A-Friend-Funktionen: Über Formulare auf Webseiten lässt sich der Inhalt der betreffenden Seite als „Empfehlung“ an E-Mail-Adressen verschicken.
  • E-Mail-Weiterleitung: Eine häufige Art der Verbreitung, bei der der Konsument die komplette Nachricht meist nicht selber verfasst, sondern weiter versendet.
  • Weblogs: Die Aufnahme eines bestimmten Themas durch mehrere „Blogger“ impliziert eine Popularität.
  • Nachrichten oder Beiträge innerhalb von Communities: Über einen Eintrag auf einer Pinwand oder im Gästebuch können User gezielt in ihrem sozialen Umfeld auf bestimmte Inhalte oder Aktionen hinweisen. Darüber hinaus können virale Botschaften über Beiträge oder Posts in Foren interessenspezifisch diskutiert werden.
  • SMS: Auch die Einbindung mobiler Endgeräte und die Verbreitung von viralen Inhalten per SMS wurde schon häufig angewandt.
  • Mundpropaganda: Außergewöhnliche und spektakuläre Inhalte finden ihre Verbreitung auch in der Form „klassischer“ Mundpropaganda im persönlichen Gespräch, z.B. auf Parties o.ä..
  • Counter: Ein Bonusprogramm auf Internetseiten, das einen Konsumenten zur Verbreitung der Web-Adresse animiert. Ein spezieller individueller URL lässt hierbei Rückschlüsse auf denjenigen zu, der diese Adresse verbreitet hat, und sorgt je nach Anzahl der Aufrufe für eine Entlohnung desjenigen.

Das genutzte Kampagnengut dient als „Köder“ und muss daher eine große Zielgruppe ansprechen. Ob ein Spiel oder ein kurzer Filmclip – das Kampagnengut muss unterhaltsam, nützlich, überraschend bzw. einzigartig sein und sollte vor allem kostenlos zur Verfügung stehen. Eine sachliche oder monetäre Belohnung (Gutscheine, Prämien, Gewinnspiele) der aktiven Verbreitung kann den Konsumenten zusätzlich anspornen, seine Empfehlung an andere potentielle Konsumenten weiterzugeben.

Haben Sie Interesse daran auch Ihre Produkte “viral” zu markten? Dann sprechen Sie uns an. Unsere erfahrenen Consultants unterstützen Sie gerne dabei.

BTW: Ein wenig Spass muss sein ;) Viel vergnügen mit “Virales Marketing im Todesstern Stuttgart”:

Tags:, , ,
Posted in Know-How | No Comments »

Einreise in die USA? So schützen Sie sich vor Datenklau am US Zoll!

Sunday, September 12th, 2010

Die Geschäftswelt steht Kopf: der US Zoll erlaubt sich Laptops bei der Einreise in die USA zu durchforsten und Daten zu kopieren. Alles im Sinne des Anti-Terror-Kampfes.

Wer Angst vor Wirtschaftsspionage hat kann sich schützen. Allerdings sollte man sich auf keinen Fall die Empfehlung des DIHK verlassen und sensible Daten bei Reisen in die USA sich einfach per E-Mail nachschicken lassen. Dies ist genau so unsicher, wie die Daten auf dem Laptop zu belassen. Eine unverschlüsselte Mail kann problemlos gescannt werden. Und warum sollte die NSA nicht auch beim E-Mail Verkehr lauschen?

Also vergessen wir die Schnapsidee des DIHK. Es gibt nur zwei Methoden die vor einem Datenklau schützen:

1.) Verschlüsselung von sensiblen Daten in einem Krypto-Container auf dem Laptop. Dieser Container verwahrt die Daten sicher vor dem Zugriff durch Dritte und ist zudem nur schwer auf dem Laptop zu identifizieren. Ein dazu passendes Open Source Programm ist TrueCrypt.

2.) Verschlüsselung von E-Mails mittels Open PGP. Das drauf aufbauende Programm Enigmail OpenPGP ist als Plugin für Thunderbird erhältlich. Damit lassen sich E-Mails und Anhänge sehr wirkungsvoll verschlüsseln.

Aber ganz unabhängig von den Begierden der US-Behörden: sensible Daten sollte man so oder so nie und nimmer unverschlüsselt auf seinen Laptop speichern oder per E-Mail verschicken.

Tags:, , , ,
Posted in Know-How, Sicherheitshinweise | No Comments »

Die 9 Irrtümer des E-Mail-Marketings

Tuesday, September 7th, 2010

E-Mail Marketing ist beliebt, weil es schnell, einfach und günstig ist. Doch nur jedes zweite Unternehmen hat sich bei den Empfängern seiner elektronischen Werbebotschaften auch eine rechtssichere Zustimmung eingeholt. Viele wissen dabei gar nicht, wie es um die Rechtssicherheit im E-Mail-Versand bestellt ist – mit gravierenden Folgen: Wer rechtswidrig Werbemails verschickt, riskiert Abmahnungen, Vertragsstrafen, Ordnungswidrigkeitsverfahren mit empfindlichen Bußgeldern und überdies einen Image-Schaden, der zu Umsatzeinbrüchen führen kann.

Die cyscon GmbH, Spezialist im Bereich Mailversand, räumt hier und jetzt mit den gängigsten Irrtümern auf und gibt einen Überblick über das geltende Regelwerk unter Berufung auf geltendes Recht in Deutschland, der EU und den USA sowie auf aktuelle Urteile.

Nur bestätigte Einwilligungen bieten Schutz vor Mißbrauch

  • Irrtum: Als Einwilligung für einen Newsletter-Dienst reicht eine einfache Anmeldung per E-Mail, das so genannte “Single Opt-In”.
    Richtig: Beim Single Opt-In trägt der Abonnent seine E-Mail-Adresse in eine Datenbank ein und ist fortan Bezieher des Dienstes. Der Nachteil: Dieses Verfahren birgt die Gefahr, unabsichtlicher oder absichtlicher Eintragungen fremder E-Mail-Adressen. Die Folgen unerwünschter Spam muss der Versender tragen. Das Risiko ist unüberschaubar. Werbetreibende sollten daher stets nur auf Confirmed (bestätigte Einwilligung per E-Mail) oder sogar Double Opt-In (doppelte Einwilligung über Aktivierungs-E-Mail) vertrauen.
  • Irrtum: Kommt die Einwilligung auf herkömmlichem Wege zustande – etwa per Post oder Fax – reicht die Dokumentation der schriftlichen Unterlagen.
    Richtig: Auch schriftliche Dokumente können gefälscht werden. Um die Nachweisbarkeit zu gewährleisten, sollten auch nicht-digitale Einwilligungen nur per Comfirmed oder Double Opt-In erfolgen.
  • Irrtum: Empfänger von Werbemails müssen sich zwar jederzeit unkompliziert vom Dienst abmelden können, haben jedoch sonst keine weiteren Auskunftsansprüche.
    Richtig: Newsletter-Bezieher haben dem Versender gegenüber jederzeit einen Auskunftsanspruch. Der Werbetreibende muss über den so genannten Opt-In-Nachweis seinen E-Mail-Abonnenten mitteilen, wer, wo, wann und wie die Einwilligung zum Mail-Versand erteilt hat.
  • Irrtum: Newsletter, Produktempfehlungen und “Tell-a-Friend”-Funktionen sind keine werblichen Mails im rechtlichen Sinne.
    Richtig: Auch Inhalte, die keine unmittelbare Werbebotschaft enthalten, können von den Gerichten als “unzumutbare Belästigung” eingestuft und damit für rechtswidrig erklärt werden. So kann ein Verweis zur Webseite ausreichen, um eine E-Mail insgesamt als Werbung zu klassifizieren.
  • Irrtum: Für die Anmeldung zum Newsletter können alle wichtigen Daten wie Name, Adresse, Telefonnummer als Pflichtangaben abgefragt werden.
    Richtig: Für die Anmeldung zum E-Mail-Versand dürfen nur so viele Daten erhoben werden, wie unbedingt für die technische Auslieferung erforderlich. Dies schreibt das so genannte Datensparsamkeitsgebot des Telemediengesetzes vor. Bei Verstoß liegt keine rechtlich einwandfreie Einwilligung vor.
  • Irrtum: Meldet sich ein Empfänger vom E-Mail-Dienst ab, kann ihm noch eine Abmeldebestätigung mit dem Bedauern über seine Abbestellung zugesandt werden.
    Richtig: Mit der Abmeldung hat der Nutzer bereits seinen Wunsch bekundet, keine weiteren Nachrichten mehr erhalten zu wollen. Eine Abmeldebestätigung könnte bereits als Belästigung gewertet werden.
  • Irrtum: Eine ein Mal erteilte Genehmigung gilt unbegrenzt.
    Richtig: Bei dauerhaftem Nichtgebrauch erlischt eine erteilte Einwilligung zum Empfang von E-Mails. Das Landgericht Berlin hat die Gültigkeitsdauer in diesem Fall auf zwei Jahre festgesetzt Produktdaten aus einer zentralen Datenquelle als wichtigen Aspekt mobiler Vertriebsmaßnahmen an.

Empfänger können Nutzerprofilierung ablehnen

  • Irrtum: Die Erstellung von Nutzerprofilen ist dann ohne Weiteres erlaubt, wenn die gewonnenen Daten pseudonymisiert verwendet werden – also aus den Daten keine Rückschlüsse auf dahinterstehende Personen gezogen werden können.
    Richtig: Dem Adressaten muss auch im Falle der pseudonymisierten Nutzerprofilierung vor Abgabe der Einwilligung ein Widerspruchsrecht für die Profilierung eingeräumt worden sein. Dies kann durch einen Passus bei der Anmeldung geschehen.
  • Irrtum: Teilen sich mehrere Firmen im Zuge der Datengenerierung (etwa über ein Gewinnspiel) die Datennutzungsrechte, ist nur eine einzige Einwilligung des Spielteilnehmers erforderlich.
    Richtig: Es reicht nicht, beim Werbeeinverständnis den Initiator des Projektes zu nennen. Vielmehr gehören alle Sponsoren mit Firma und Firmensitz in den Einwilligungspassus – andernfalls besteht die Gefahr des Verschleierungsverdachtes. Zudem sollte die Zahl der Sponsoren nicht ausufern, sondern auf zehn begrenzt sein.

Sollten Sie Unterstützung brauchen beim Mailversand, sprechen Sie uns doch an. Wir stellen nicht nur sicher, dass Ihre E-Mailings schnell und sicher im Posteingang der Empfänger zugestellt werden, sondern wir pflegen darüber hinaus auch Ihre Adressen- und Datenbestände. Dabei ist für uns die Überprüfung Ihrer E-Mail-Kampagnen hinsichtlich gesetzlicher Vorgaben und im E-Mail-Versand üblicher Best Practices genauso selbstverständlich, wie die qualifizierte Beratung und professionelle Begleitung durch unsere erfahrenen Consultants.

Tags:, , , ,
Posted in Information, Know-How, Service | No Comments »

Wie Provider das Domain Name System manipulieren

Wednesday, August 25th, 2010

Wenn Sie die Internetseite der cyscon GmbH besuchen wollen, morgens noch keinen Kaffee hatten und deshalb http://wwww.cyscon.de eintippen, zeigt Ihr Browser in der Regel eine Fehlermeldung. Die meisten fügen auch einen Link ein, über den Sie den eingetippten Text einer Internet-Suchmaschine übergeben können. Der Internet Explorer blendet auf Wunsch sogar ohne Nachfrage die Ergebnisseite der ausgewählten Suchmaschine ein. Und diese könnte Werbung zum Suchbegriff enthalten, an der Google, Yahoo oder Bing verdienen.

Diese Einnahmen wecken Begehrlichkeiten bei Providern wie T-Online und Alice, deren eigene Suchmaschinen und Portal-Seiten viel weniger Surf-Traffic abbekommen. Zu seinem Glück weiß Ihr Provider aber schon vor dem Browser, dass der Zugriff schiefgehen wird. Denn er betreibt den DNS-Server, bei dem in der Regel die Frage landet, welche IP-Adresse denn zum Namen wwww.cyson.de gehört.

Der DNS-Server schaut dann zunächst in seinem Cache nach und falls dort nichts steht, macht er sich auf die Suche: Zuerst fragt er bei einem DNS-Root-Server nach, wer für die Domain “de” zuständig ist. Dann fragt er dort nach dem Zuständigen für cyscon.de und den schließlich nach wwww.cyscon.de. Da es diesen Namen bei uns nicht gibt, lautet die Antwort “gibts nicht”, in DNS-Sprache “NXDomain”. Sollte diese Antwort Ihren Browser erreichen, reagiert der, indem er Sie über den Fehler informiert. Doch die findigen Provider lassen es nicht so weit kommen. Sie ersetzen die NXDomain-Meldung einfach durch die Adresse eines eigenen Servers, der eine Seite mit Suchergebnissen zum falschen Domain-Namen liefert.

Belogen

Was unbedarften Surfern helfen mag, die eigentlich gemeinte Seite zu finden, verwirrt viele Anwendungen, die auf die NXDomain-Fehlermeldung angewiesen sind. So versucht Linux beim Zugriff auf die Windows-Freigabe //server/ordner zuerst, den Namen “server” per DNS aufzulösen. Wenn eine Such-Domain wie blog.cyscon.de eingestellt ist, lautet der abgefragte Name server.blog.cyscon.de. Den gibts zwar nicht, doch der manipulierende DNS-Server liefert trotzdem eine Adresse zurück. Und Linux versucht nun, die Freigabe /ordner auf dem Werbe-Server des Providers anzusprechen. Würde die korrekte Fehlermeldung den Linux-PC erreichen, würde er die Namensauflösung im lokalen Netz per Broadcast probieren und den richtigen Server problemlos finden. Ähnliche Probleme entstehen überall, wo verschiedene Methoden der Namensauflösung zur Verfügung stehen und DNS zuerst probiert wird.

Doch auch anderswo ist NXDomain wichtig. Manche Spam-Filter prüfen, ob es den absendenden Server überhaupt gibt. Dieses Kriterium ist bei manipulierten DNS-Antworten unwirksam.

Bei abgehender Mail mit einem Tippfehler in der Domain verzögert sich die Fehlermeldung. Denn falls der Versender-Server keinen zuständigen Empfänger-Server (MX-Eintrag im DNS) findet, versucht er, den Domain-Namen als Server-Namen zu interpretieren. Bei korrekter NXDomain-Antwort würde er den Fehler sofort bemerken. Mit einer manipulierten DNS-Anwort versucht der Mail-Server jedoch mehrfach, die Mail beim Such-Server des Providers abzuliefern. Je nach Konfiguration gibt er erst nach Stunden oder Tagen auf. So lange erfährt der Absender eventuell nichts von seinem Versehen. Diese technischen Probleme sind seit Jahren bekannt. Schon 2003 diskutierte man das DNS-Wildcarding, bei dem ein zuständiger Server zu allen Namen in seiner Domain “On the fly”-Antworten erzeugt. Im selben Jahr stellte Verisign seinen “Sitefinder” auf Proteste hin ein. Der für die Top-Level-Domains .com und .net zuständige Registrar hatte DNS-Fragen nach nicht registrieren Domains auf seinen Server umgeleitet. Dort bot er die Domain zum Kauf an. Ähnliches tun manche Top-Level-Registrare weiterhin.

Beide DNS-Manipulationen werfen einige derselben Probleme auf wie die Verbiegung beim Provider. Und die Ablehnung der zuständigen Gremien ist seit Jahren einhellig: Das Internet Architecture Board (IAB) der Internet Engineering Task Force (IETF) stellt fest, dass DNS-Wildcarding die Architektur des Internet beeinträchtigt. Die Kritik der Internet Corporation for Assigned Names and Numbers (ICANN) führte zum Ende des Sitefinder-Experiments. 2008 warnte ein Report des “Security and Stability Advisory Committee” (SSAC) der ICANN vor den Problemen durch “Änderungen an DNS-Antworten”. Und der aktuelle Bericht der Arbeitsgruppe zur “DNS-Gesundheit” definiert als zwei wichtige Kriterien, dass die Antwort beim Abfragenden ankommt, die der Domain-Inhaber auf den Weg schickt, und dass zwei Server zur selben Zeit dieselbe Antwort liefern. 2009 brachte der amerikanische Provider Comcast einen RFC-Entwurf in die DNS-Arbeitsgruppe der IETF ein, der beschreibt, wie man als Provider DNS-Umleitungen am besten umsetzen sollte. Die Diskussion auf der Mailingliste der Arbeitsgruppe wandte sich schnell vom “wie” zum “ob” und die recht klare Meinung war: “Lieber nicht”.

Dürfen die das?

Die Internet-Gremien lehnen DNS-Verbiegungen zwar ab, doch dem Wortlaut der RFCs, die die Standards des Internet bilden, widerspricht die Praxis nicht. Denn die RFCs legen nur fest, wie der Server die Antworten übermittelt. Beim Lesen des RFC hat man den Eindruck, dass das ganz selbstverständlich dieselben sind, die der Server selbst bekommen hat. Doch im Text steht das nicht explizit. Im RFC 973 schrieb Paul Mockapetris zwar 1986 an die Betreiber von DNS-Servern: “Jedenfalls sollen Sie nicht über andere Teile des Namensraums lügen.” Doch 1987 goss er DNS in die derzeit gültige Fassung der RFCs 1034 und 1035 die dieses Lügenverbot nicht mehr enthalten. Pikanterweise ist derselbe Paul Mockapetris heute Vorstandsvorsitzender und Technik-Chef der Firma Nominum, die DNS-Server-Software an Provider liefert – inklusive dem Modul “Vantio NXR”, das für die DNS-Umleitungen zuständig ist.

Nominum nennt die DNS-Manipulation “Web Error Redirection”. Und im eigenen White Paper Zehn Schritte zur erfolgreichen Web Error Redirection heißt es: “Der erste und wichtigste Schritt ist, sicherzustellen, dass die NXDomain-Umleitung [...] ohne negative Auswirkungen auf Nicht-Web-Anwendungen implementiert wird.” Nominum verspricht zwar, mit Hilfe von Filtern nur die Anfragen umzuleiten, die auf Webseiten führen. Das ist allerdings prinzipiell unmöglich, da der DNS-Server nicht erkennen kann, zu welchem Zweck der Client den Namen auflösen möchte. Schließlich steht als einzige Information der abgefragte Name zur Verfügung. Die Programmierer und Admins beim Provider raten also aufgrund des Namens, was damit geschehen soll.

Gibts ja gar nicht

Alle DNS-Verbieger verletzen die Regeln für .de-Domain-Namen: Die zuständige DeNIC erlaubt nur einen eingeschränkten Satz von Umlauten und Sonderzeichen, um Phishing zu erschweren. So sind beispielsweise griechische Zeichen ausgeschlossen, die lateinischen ähneln. Doch die DNS-Umleitung kümmert sich nicht um solche Regeln. Munter behauptet sie, der Server sei erreichbar. Genauso wenig wie der Provider feststellen kann, ob die DNS-Anfrage von einem Browser kommt, kann der Client erkennen, ob die Antwort echt oder manipuliert ist. Die einzigen Hinweise sind die IP-Adresse des Provider-Servers in der Antwort und die Cache-Zeit (TTL, Time To Live) von 0. Doch beides kann auch bei einem korrekten Eintrag auftreten. Bei signierten Antworten gemäß DNSSEC kann der Client die Fälschung sofort erkennen. Doch bis DNSSEC flächendeckend eingeführt ist, gehen sicher noch viele Jahre ins Land. Da die verärgerten Kunden keinen technischen Ansatzpunkt finden, um DNS-Verbiegungen auszuhebeln, hoffen viele auf juristische Hilfe. Denn die Nutzung des falsch eingetippten Domain-Namens außerhalb der DNS-Antwort könnte eine Verletzung des Datenschutzes sein. Schließlich hat der User den Domain-Namen nur an den DNS-Server des Providers geschickt und nicht an dessen Such- und Werbeserver. Außerdem gibt dieser ihn an einen Dritten weiter, ohne dass der User dem zugestimmt hat, nämlich an den Betreiber der Suchmaschine. Die juristische Frage dabei ist, ob die Tippfehler-Domain ein personenbezogenes Datum ist, denn nur dann greift der Datenschutz.

Britische Datenschutzaktivisten haben sich beim Büro des Datenschutzbeauftragten (Information Commissioner’s Office, ICO) über die DNS-Umleitung des Providers Virgin Media beschwert. In der Antwort wird zwar eine Verletzung der EU-Datenschutztrichtlinie 95/46 bestätigt. Die Beeinträchtigung der User sei aber zu gering, um einzuschreiten. Da die Aktivisten dies bestreiten, läuft das Verfahren derzeit weiter. Einfacher lässt sich wahrscheinlich das Markenrecht anwenden: Wenn beispielsweise T-Online den Domain-Namen bestellung. alice-dsl.de auf seinen Server verbiegt, könnte das als unzulässige Nutzung des Marke Alice ausgelegt werden.

Doch selbst wenn sich diese juristische Ansicht durchsetzt, dauert das. Bis dahin bleibt den Kunden der DNS-Fälscher nur zweierlei zu tun: bei allen Netzwerkproblemen auch prüfen, ob das Provider-DNS schuld ist und dann die DNS-Verbiegung abschalten.

Tags:, ,
Posted in Information, Know-How | 1 Comment »

« Older Entries