Entwarnung aus dem Hause Apple für Millionen Nutzer: Die Nacktfotos von Stars wie Jennifer Lawrence sind laut dem Konzern nicht durch eine generelle Sicherheitslücke in Apple-Diensten erbeutet worden. Es habe sich vielmehr um sehr gezielte Attacken auf die Konten der einzelnen Prominenten gehandelt, teilte Apple am Dienstagabend nach ersten Untersuchungen mit. Dabei hätten die Angreifer die Nutzernamen, Passwörter und zusätzliche Sicherheitsfragen der Promis ins Visier genommen, mit deren Hilfe sie schließlich Zugang zu den Inhalten erlangt hätten.
In anonymen Foren war parallel zur Veröffentlichung Dutzender Nacktfotos der Stars auch behauptet worden, die Bilder stammten aus dem iCloud-Dienst. Das hatte Spekulationen über Sicherheitslücken ausgelöst, denen der iPhone-Konzern Apple nachging. Entgegen einigen Vermutungen sei auch das System zum Auffinden verlorener iPhones nicht der Ansatzpunkt für die Attacke gewesen. Wie genau der Hack ablief, erklärte Apple allerdings nicht.
Hilfe für Passwörter
Eine beruhigende Meldung bereits zu Anfang:
Das gewählte Passwort ist sehr sicher (kann aber noch verbessert werden).
Eine gute Hilfestellung
Wie viele Programme aus diesem Umfeld, bietet auch der "Passwort Safe" die Möglichkeit, mittels eines Generators entsprechend sichere Passwörter zu erzeugen.
Erster Zugriff auf eine entsprechende Internet-Adresse
Im "Passwort Safe" kann dann direkt ein neuer Datensatz mit den benötigten Informationen erstellt werden.
Diese Warnung kann nur als übertrieben bezeichnet werden
RoboForm droht schon mit Systeminstabilität, wenn nur die Anwendung nicht im Standardverzeichnis installiert wird.
Nur mit Online-Konto
Sollen die Daten bei RoboForm über Plattformgrenzen hinweg zur Verfügung stehen, so muss dazu ein Online-Konto eingerichtet werden.
Durch ein Online-Konto stehen die Anmeldedaten dann via RoboForm auch auf anderen Plattformen bereit
Hier im Firefox unter Mac OS X oder …
… durch den Einsatz...
... der entsprechenden App wie hier auch auf dem Smartphone unter dem Android-Betriebssystem.
Die Sprachdatei muss separat heruntergeladen werden
Nach diesem Schritt steht die Freeware "KeePass" dann auch in deutscher Sprache bereit.
Open-Source-Tool mit Passwort-Generator
Mit Hilfe des integrierten Generators können Anwender auch mit dieser Software sehr komplexe und sicherer Passwörter erstellen.
Der Master-Schlüssel wird noch sicherer
Bei KeyPass kann dieses extrem wichtige Passwort so konfiguriert werden, dass es sich aus mehreren Schlüsselquellen zusammensetzt, was die Sicherheit deutlich erhöht.
1Password
Übersichtlich mit vielen unterschiedlichen Einsatzmöglichkeiten: Die Lösung 1Password ist leicht zu bedienen und steht nun in der aktuellen Version 4 auch mit deutscher Oberfläche bereit.
Online-Hilfe wartet noch auf Lokalisierung
Während die Anwendung in der Version 4 schon "Deutsch spricht", müssen die Nutzer bei der Online-Hilfe noch mit englischen Texten vorliebnehmen .
Schon bei der Installation zeigt sich, dass sich bei der Lösung "LastPass" fast alles um den Einsatz innerhalb des Browsers dreht.
Deshalb sollen auch die entsprechenden Plug-Ins installiert werden.
Der Anbieter versichert, dass die Daten lokal auf dem PC verschlüsselt werden.
Trotzdem bleibt das Sicherheitsrisiko, dass diese Daten dann auch amerikanischen Systemen in den USA abgelegt werden.
Bei der aktuellen Version von "LastPass" ist die Spracheinstellung nun unabhängig vom Browser
So können nun auch deutsche Anwender die Lösung in deutscher Sprache nutzen, wenn sie einen englischsprachigen Browser einsetzten. Nur die Skalierung des Fensters für die Einstellung klappt noch nicht richtig.
Die Wiederherstellung von Passwörter bedeutet in der Regel ein "Cracken" der Windows-Datenbank mit den Anmeldeinformationen
Das Sicherheitsprogramm und Windows reagieren deshalb in entsprechender Weise auf die Installation eines derartigen Programms (hier orphcrack).
Professionelle Wiederherstellungsprogramme wie dieses von Stellar Phoenix arbeiten in der Regel mit Hilfe einer Boot-Disk
Mit deren Hilfe können dann beispielsweise die entsprechenden Administrator-Passwörter gelöscht werden.
Es ist eine übliche Masche von Online-Kriminellen, Nutzer Passwörter eintippen zu lassen und diese dann abzufischen - zum Beispiel mit Hilfe fingierter E-Mails. Ein Problem mit typischen Sicherheitsfragen wie Lieblingsfarbe oder Geburtsort ist im Fall von Prominenten, dass solche Informationen oft allgemein bekannt sind.
Die Fotos waren am Sonntag veröffentlicht worden. Betroffen waren unter anderem auch Model Kate Upton und die Schauspielerin Kirsten Dunst. In dem Fall fahndet inzwischen auch die Bundespolizei FBI nach den Tätern. Während die Echtheit einiger Fotos bestätigt wurde, wurden andere zu Fälschungen erklärt.
Die beliebtesten Sicherheits-Tools
Die beliebtesten Sicherheits-Tools
Hacker, Viren und Trojaner bedrohen täglich die Daten auf Computern. Neben professionellen Sicherheitsprogrammen helfen oft auch kleine Tools, diese Bedrohungen wirkungsvoll abzuwehren. Wir haben die zehn beliebtesten Sicherheits-Tools für Sie zusammengestellt.
Platz 10: HitmanPro
Das Sicherheits-Tool HitmanPro bietet einen Virenschutz unter Windows. Dabei verwendet die Software nicht nur die Scan-Engine eines Herstellers, sondern Cloud-basierend bindet HitmanPro gleich fünf Antivieren-Engines ein. Das Tool arbeitet als On-Demand-Scanner, Konflikte mit installierten Sicherheitslösungen sind somit kaum gegeben. HitmanPro muss praktischerweise auch nicht installiert werden, es genügt der Start der ausführbaren Datei. Damit lässt sich die Sicherheits-Software auch portabel auf USB-Sticks verwenden. Der Anbieter SurfRight bietet HitmanPro als kostenlose Testversion für 30 Tage an. Die Vollversion ist kostenpflichtig. HitmanPro eignet sich für alle Windows-Version ab XP. Auch Windows 8 wird bereits unterstützt.
Platz 9: Sticky Password
o werden auch Keylogger umgangen, die die Logins einzelner Dienste protkollieren wollen. Ein integrierte virtuelle Tastatur verhindert die Ausspähung des Hauptkennworts. Auch eine iPhone App ist mittlerweile verfügbar, allerdings nur für die PRO-Version. Die Benutzeroberfläche ist in mehreren Sprachen, darunter auch Deutsch erhältlich, Probleme bei der Konfiguration sollte es also keine geben. Im Kaufpreis sind Support, eine Updategarantie sowie eine portable Version der Anwendung enthalten. Sticky Password funktioniert mit jeder aktuellen Windows-Version.
Platz 8: Secunia PSI
Der Secunia Personal Software Inspector, kurz Secunia PSI, ist ein Programm, um den Update-Status eines PCs zu überwachen und bei veralteter oder gar fehlerbehafteter Software Alarm zu schlagen. So ist es möglich, stets einen Überblick auf die potentiellen Schwachstellen des Systems zu behalten und die reale Gefahrenlage ein Stück weit besser einschätzen zu können. Auch die Patches selbst werden mit Secunia PSI leichter: Aus der programminternen Datenbank wird für gewöhnlich sofort ein Link zum neuesten Update bezogen, das sich mit wenigen Klicks installieren lässt. Hiermit wird ein großer Nachteil der Windows-Welt, in der sich nur das Betriebssystem selbst, nicht aber die Anwendungen gesammelt aktualisieren lassen, ausgebessert. Über die Funktion "Auto Update" wird dieser Vorgang noch einmal deutlich erleichtert. Hierbei übernimmt der Personal Software Inspector selbstständig sämtliche Arbeiten. Das Interface ist sehr unkompliziert und minimalistisch geraten, und störende Steuerelemente oder komplexe Menüs geraten nicht in den Weg des Anwenders. Mit der für Unternehmen entwickelten Sicherheitslösung Secunia CSI arbeitet das Tool außerdem anstandslos zusammen. Die aktuelle Version von Secunia PSI ist in der Lage, sich selbst zu aktualisieren, so dass Ihnen Update-Stress und Ärger erspart bleiben. Secunia PSI ist anders als die CSI-Suite nur für Windows verfügbar, dafür aber kostenlos. Das Programm kann in fünf verschiedenen Sprachen beim Hersteller heruntergeladen werden.
Platz 7: BoxCryptor
Daten in der Cloud zu sichern mag komfortabel sein, um die Sicherheit der Daten ist es jedoch oft schlecht bestellt. BoxCryptor soll hier durch besonders wirksame Verschlüsselungstechniken Abhilfe schaffen. Diese setzen auf Cloud Storage auf, wobei mehrere Dienste von Google SkyDrive über Amazon S3 bis Dropbox unterstützt werden. BoxCryptor existiert in zwei verschiedenen Versionen, als Desktop-Programm für Windows, Mac und Linux sowie als iOS- und Android-App. Auf dem PC lässt sich das Programm sehr leicht verwenden. Die zu sichernden Daten legt man in einem virtuellen Ordner ab, der mit dem sehr sicheren AES-256-Algoritmus verschlüsselt und mit einem Passwort versehen wird. Unter Windows kann BoxCryptor auch ein virtuelles Laufwerk mit frei wählbarem Buchstaben auf dem Rechner anlegen. Alle Daten, die dort abgespeichert werden, werden automatisch verschlüsselt und sind so vor Fremdzugriff geschützt. Auf den Mobilgeräten sieht es leider etwas unkomfortabler aus, denn hier muss BoxCryptor selbst als App gestartet werden und lässt sich nicht transparent ins Dateisystem einbinden. Positiv ist in jedem Fall zu erwähnen, dass das entwickelnde Unternehmen seine Lizenzpolitik deutlich aufgeweicht hat. So war der Dienst bisher ab zwei GByte kostenpflichtig, außerdem musste für die Apps ebenfalls bezahlt werden. Diese Beschränkungen fallen seit einiger Zeit vollständig weg. Als Alternative ist der bis 5 GByte kostenlose Dienst Wuala zu erwähnen, der bereits von Hause aus eine Vollverschlüsselung des Nutzerverzeichnisses anbietet.
Platz 6: Nmap
fer an ein System versucht wird, dessen Betriebssystem zu erkennen. Dies liefert wichtige Informationen zu potentiellen Schwachstellen. Auch Gegenmaßnahmen zur Erkennung durch Administratoren sind implementiert, etwa das sogenannte Stealth Scanning. Die Analyse eines Netzwerks kann auch über die integrierte Nmap Scripting Engine NSE automatisiert werden. Hierfür bringt das Programm eine umfangreiche Sammlung von Beispielskripten mit, die auch parallel eingesetzt werden können. Nmap wird normalerweise ohne grafische Interface betrieben, doch insbesondere die Portierung nach Windows verlangte nach einem solchen. Will man sich also nicht mit der Kommandozeile plagen, kann man auf die GUI Zenmap zurückgreifen. Der Einsatz in modernen Netzwerken ist im Übrigen dank seit der Version 6 voll implementierter IPv6-Unterstützung kein Problem.
Platz 5: Stegano.Net
Stegano.net ist ein kostenloses Steganografie-Tool für Windows XP, Windows Vista und Windows 7. Steganografie ist die Technik, beliebige Daten in einer Menge an größeren, unauffälligen Daten beliebigen Typs zu verstecken. Stegano.Net implementiert seit der Version 2.0.1.0 aus dem Kreis dieser Methoden das Verstecken von beliebigem Text und von Dokumenten in Bilddateien in den Formaten JPG und PNG. Zwar hat Steganographie ein Grundproblem, nämlich dass bei Kenntnis der Methodik die versteckten Daten problemlos zurückgewonnen werden können, doch dies umgeht Stegano.Net, indem die zu versteckenden Daten zuerst verschlüsselt werden. Leider erwähnt der Autor nicht, welche Algorithmen für die Verschlüsselung und das Verbergen der Nachricht zum Einsatz kommen, die Sicherheit der eingebetteten Informationen ist also letztlich ungewiss. Doch für hochkritische Daten, die in jedem Fall analysiert werden, ist Steganografie mithilfe von Bildern ohnehin nicht geeignet. Für weniger problematische Anwendungen oder schlicht den Spaß für zwischendurch reicht Stegano.Net aber allemal. Entsprechend leicht ist das Tool auch zu bedienen: Ein-Klick-Installation, selbsterklärende Schaltflächen, weniger Optionen und ein einfaches Interface eröffnen das Programm jedem potentiellen Nutzer. Dieser muss lediglich die Container-Datei angeben, bei Wunsch die Verschlüsselung mit Passwort aktivieren und den zu verschlüsselnden Text angeben. Ein Klick auf "Verbergen" versteckt die Daten, ein Klick auf "Sichtbar machen" zeigt sie wieder an.
Platz 4: Sandboxie
Installationsprozess eines Programms berwachen, um es dann in eine Sandbox zu verkapseln. Bedient wird es durch eine einfache Oberfläache, die durch ein Tray-Icon gestartet wird. Sie enthält auch einen Dateimanager, der die während des Betriebs der Sandbox virtuell veränderten Dateien auflistet. Außerdem lassen sich hier alle Inhalte der Sandbox löschen, um sie wieder in den Nullzustand zurückzuversetzen. So lassen sich Sicherheitsrisiken minimieren und neue Programme gefahrlos und ohne das Risiko von dauerhaften Performance-Verlusten testweise installieren.
Platz 3: Offline NT Password
Das Tool Offline NT Password ist ein kostenloses Konsolenwerkzeug, mit dem Administratoren Windows-Passwörter zurücksetzen können. Man sollte das Tool chpwnt eigentlich nicht sehr oft benötigen. Allerdings wird der eine oder andere Administrator froh sein, die kostenlose Software zur Hand zu haben. Hübsch ist es nicht, dafür funktioniert es tadellos und tut genau das, was von ihm verlangt wird. Offline NT Password unterstützt Windows von der Verson NT 3.5 bis hin zu Windows 7 und 2008. Auch bei den 64-Bit-Versionen von Windows funktioniert das Tool
Platz 2: LastPass
LastPass hebt sich deutlich vom großen Markt der Passwort-Tresore ab. Das System vertraut vollständig auf die Cloud, in der sämtliche Passwörter verschlüsselt abgespeichert werden. Zwar lässt sich dies auch manuell umsetzen, indem etwa die Passwortdateien von KeePass online abgelegt werden, doch LastPass erweitert diesen Ansatz deutlich. Erstens werden die Passwörter sowohl online als auch offline in mehrere Backups abgelegt, sind also auch bei einem Geräteausfall und einer versehentlichen Löschung sicher. Außerdem bietet das Programm eine große Vielfalt von Plugins für Browser, Desktop-Programme sowie Smartphone-Apps. Auf diesem Weg lässt sich beinahe jede Passworteingabe durch LastPass abfangen und automatisch bei dem Dienst speichern, wie man es beispielsweise von den integrierten Passwortmanagern von Browsern kennt. Die erneute Eingabe der Passwörter geschieht dann plattformübergreifend auf allen Systemen mit LastPass-Integration. Unabhängig davon, ob momentan ein Windows-PC, ein Mac, ein Linuxrechner oder ein mobiles Betriebssystem verwendet werden, muss nur das aktuelle Masterpasswort eingegeben werden, und LastPass sendet das Login automatisch. Dem gegenüber muss bei anderen Cross-Platform-Managern der Nutzername und das Kennwort meist manuell kopiert und eingefügt werden. Selbst bei der Anmeldung an diversen Diensten greift LastPass ein und generiert auch für den unwichtigsten Account ein starkes Passwort. Diverse Zusatzfunktionen wie etwa eine virtuelle Tastatur zur Abwehr von Keyloggern, ein Importmodus für Passwörter anderer Manager oder ein Notiztresor sind ebenfalls dabei. Die Grundversion von LastPass ist kostenlos, will man hingegen fortgeschrittene Funktionen wie die Mobil-Apps verwenden, fällt ein geringer jährlicher Beitrag an.
Platz 1: KeePass
KeePass ist der wohl bekannteste digitale Safe für vertrauliche Informationen aller Art. Insbesondere ist die Software dazu gedacht, Passwörter, PINs, TANs und ähnliche Zugangsinformationen abzuspeichern und zu verwalten. Hierfür legt das Programm eine mit AES stark verschlüsselte Datenbank mit einem SHA256-gehashten Hauptpasswort an. Auch die anderen Sicherheitsfeatures sind eine Erwähnung wert: Die Passwörter werden auch innerhalb des Speichers verschlüsselt gehalten, sodass eine Auslagerung des RAM auf die Festplatte keine Konsequenzen hat, und auch die Eingabe des Hauptpassworts kann gegen Keylogger gesichert werden. Alternativ kann ein Keyfile zum Einsatz kommen, für weiter gesteigerte Sicherheit können die Methoden auch kombiniert werden. Praktisch ist darüber inaus, dass KeePass portabel ist - insbesondere bei einer derartigen Anwendung ist das ausgesprochen praktisch, um Zugangsdaten auf mehreren PCs verwenden zu können. Ähnlich verhält es sich mit der Passwortdatenbank: Diese besteht nur aus einer Datei, kann also bequem zu Online-Diensten wie Dropbox geliefert werden. Dort lässt sie sich mit den diversen Versionen von KeePass weiterverarbeiten, denn das Programm ist explizit plattformkompatibel ausgelegt. Die mit "Professional" bezeichnete PC-Version ist mit Mono-Unterstützung geschrieben, läuft also neben Windows auch auf allen anderen Mono-Plattformen (Mac OS X, Linux, BSD), und auch für diverse mobile Systeme existieren Clients. Auch der Komfort kommt übrigens nicht zu kurz: Passwörter können zum Beispiel vollautomatisch auf passenden Websites eingetragen werden, und die Datenbanken anderer Passwortsafes lassen sich leicht importieren. Außerdem ist ein Plugin-System vorgesehen. Einzig eine vollautomatische Synchronisierung der Passwortdatenbank lässt das Programm leider vermissen. KeePass ist Open Source und damit kostenlos auf der Seite des Teams erhältlich.
Für Apple kämen Zweifel an der Sicherheit seiner Dienste zum denkbar ungünstigsten Zeitpunkt: Das Unternehmen will kommende Woche voraussichtlich neue iPhones und einen mobilen Bezahldienst vorstellen. Da ist Vertrauen der Kunden besonders wichtig.
Apple betonte stets, die Informationen in iCloud würden verschlüsselt gespeichert. Deshalb galt es unter Sicherheitsexperten von Anfang an als wahrscheinlicher, dass die Täter irgendwie an die Passwörter für die Profile herangekommen waren. Zwischenzeitlich war auch vermutet worden, dass es mehrere Quellen für die Fotos gegeben haben könnte.
Hacker aus der IT-Geschichte
Der Vater des Blackholing
Der auch als „Paunch“ bekannte Dmitry Fedotov ist weniger als Hacker, denn als Entwickler des Hacker-Tools Blackhole berühmt. Bei Blackhole handelt es sich um eine Art Webanwendung für die Verbreitung von Malware- und Spyware, die Hacker gegen eine Abo-Gebühr von 1500 US-Dollar pro Jahre mieten können - und bis zur Festnahme laufend mit Updates über neue Schwachstellen von Java, Flash oder des Internet Explorer aktualisiert wurde. Der im Oktober 2012 von den russischen Behörden verhaftete Programmierer aus Togliatti soll auch Autor des Cool Exploit-Kits und von Crypt.AM sein.
Der Herrscher der Kreditkarten
Der Juni 2012 in den Niederlanden zusammen mit Vladimir Drinkman verhaftete russische Hacker soll laut Anklageschrift von August 2005 bis Juli 2012 als Mitglied einer Gruppe von fünf Cyberkriminellen im Laufe der Jahre riesige Mengen an Kreditkartendaten gestohlen haben. Zusammen mit Aleksandr Kalinin, Roman Kotov, Mikhail Rytikov und Vladimir Drinkman soll Smilianets vor allem durch SQL Injection Hacks Firmen wie Nasdaq, 7-Eleven Carrefour und J.C. Penny gehackt haben. Insgesamt 160 Millionen Kreditkarten- und Guthabendaten wurden gestohlen und für Finanzbetrug benutzt. Der Schaden für die Firmen soll bei 300 Millionen US-Dollar liegen. Der Prozess in den USA ist noch nicht abgeschlossen.
FBI's most wanted
Evgniy Mikhailovich Bogachev, auch bekannt als lucky12345 und slavik schaffte es 2014 auf den ersten Platz der so genannte „Cyber Most Wanted“-Liste des FBI. Die amerikanischen Behören sehen in ihm den Hintermann des Botnetzes „Gameover Zeus“. Mit Hilfe der gleichnamigen Malware soll er für ein Botnetz von bis zu einer Million Computern verantwortlich sein, das zum Ausspähen von Bank-Passwörtern und Verbreiten von Malware benutzt wurde. Der Schaden betrage etwa hundert Millionen US-Dollar betragen. Bogachev hält sich nach Vermutungen der amerikanischen Behörden in Russland auf.
Der Phishing-Experte
Der Lette Alexey Belan soll zwischen Januar 2012 und April 2013 die Nutzerdaten von einigen Millionen Kunden dreier US-Unternehmen gestohlen haben. Er ist auf der Liste der meistgesuchten Hacker des FBI, der Name der geschädigten Unternehmen ist aber ebenso wenig bekannt, wie die Höhe des Schadens. Es soll sich um drei nicht genannte E-Commerce-Unternehmen aus Nevada und Kalifornien handeln. Da die Belohnung 100.000 US-Dollar beträgt, sollte der Schaden beträchtlich sein.
Lawrences Sprecher hatte nach dem Auftauchen der Bilder am Sonntag erklärt, die Behörden seien eingeschaltet worden. Jeder, der die gestohlenen Fotos veröffentliche, werde belangt. Auch Vertreter des Models Kate Upton drohten dies an.
Es ist bei weitem nicht der erste Einbruch in Computer von Prominenten. So war vor zwei Jahren ein Mann aus Florida nach mehreren Cyberattacken auf US-Stars zu zehn Jahren Gefängnis verurteilt worden. Er hatte ein knappes Jahr lang mehr als 50 Opfer ausspioniert, darunter Scarlett Johansson, Mila Kunis und Christina Aguilera. Er hackte ihre Konten, griff auf private Fotos und Informationen zu und verbreitete sie im Internet. (dpa/tc)