In der heutigen Episode, hat das Thema zwar einen komischen Namen, aber der Inhalt ist nicht ohne. Es geht um die personenbezogenen Daten, welche von Unternehmen erhoben werden müssen um der CoronaVO gerecht zu werden.
Hausmeisterei
Datenverluste
- 17.08.2020: Unitycom.net verliert seine Owncloud-Datenbank an den Zeroday Podcast
- 27.05.2018: 0d020 – Schwachstellenscans mit OpenVAS
- 05.08.2020:Intel leak: 20GB of source code, internal docs from alleged breach
- 05.08.2020: Liste mit 900+ VPN-Firmenzugängen in Erpresserforum veröffentlicht
- 13.08.2020: Medical records for more than 61,000 cardiac patients left unsecured online
- 20.08.2020: Social Data gab Infos von 235 Millionen Social-Media-Konten preis
News
- 08.08.2020: Whoops, our bad, we may have ‚accidentally‘ let Google Home devices record your every word, sound – oops
- 07.08.2020: Foreshadow returns to the foreground: Secrets-spilling speculative-execution Intel flaw lives on, say boffins
- 07.08.2020:Probleme beim Versandhaus Otto: Kunden konnten fremde Daten einsehen
- 06.08.2020: Von Excel in Datumsangaben umgewandelt: Dutzende Gene umbenannt
- 04.08.2020: Datenbanken für Ermittler sind oft nicht dicht
- 04.08.2020: Bayrisches Kultusministerium schlampt mit Bewerberdaten
- 03.08.2020: Payback: Nutzer klagen zunehmend über Punkte-Diebstahl, 0d009 – Gmail im Eigenbau & PayBack
- 31.07.2020: Tracking-Schutz in iOS 14: Facebook warnt vor „aggressiver“ Apple-Änderung
- 31.07.2020: Polizeigewerkschaften: Gesichtserkennung per PimEyes verbieten
- 12.08.2020: Finanz- und Justizministerium wollen „Blockchain-Anleihe“ ermöglichen
- 17.08.2020: Mobilfunk: Forscher belauschen LTE-Telefonate
- 18.08.2020: Oh what a feeling: New Toyotas will upload data to AWS to help create custom insurance premiums based on driver behaviour
- 21.08.2020: Privacy Shield: Deutschen Firmen droht Bußgeld, deutliche Kritik am EuGH
- 21.08.2020: WordPress founder claims Apple cut off updates to his completely free app because it wants 30 percent
- 05.08.2020: Canon confirms ransomware attack in internal memo
- 10.08.2020: Black Hat 2020: Vom DoS bis zum Datenklau – Angriffe über PDF-Dokumente
Thema: DDzUdNVzNdMgdAdCV-SC2
Datenschutzkonforme Dokumentation zur Umsetzung der Niedersächsischen Verordnung zur Neuordnung der Maßnahmen gegen die Ausbreitung des Corona-Virus SARS-CoV-2, CoronaVO(PDF)
Fun and other thinks
Aufgenommen am: 24.08.2020
Veröffentlicht am: 25.08.2020
Intro & Outro Chiptune CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson
Disclaimer
In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).
Hey,
Ich höre gerade die News über Payback und an einer Stelle kann und will ich gerade nicht still halten.
(Leider muss ich das hier gerade am Phone tippen, denn bis ich Zuhause bin hab ich das doch alles wieder vergessen).
Und zwar hat einer von euch gerade gesagt es sei ja wohl Usus und zeitgemäß beim Anlegen eines Passworts eine gewisse Maske zu verlangen, der dass Passwort entsprechen muss, mit Großbuchstaben und Kleinbuchstaben und Sonderzeichen und einer bestimmten Länge etc.
Und da möchte ich widersprechen, weil es nervt! Es nervt mich ohne Ende, dass Dienste oder Software mir nicht erlauben weil meinen eigenen Grad an Unsicherheit zu wählen und ich hatte es schon x Mal, dass ich ein Passwort anlegte mit 63 Zeichen Länge, aber ohne Sonderzeichen und dann meckert mich dass System an mein Passwort müsse mindestens acht Zeichen lang sein, Sonderzeichen und Ziffern enthalten. Ich habe es jetzt nicht ausgerechnet, aber ich vermute mit 63 Zeichen habe ich sogar mehr Entropie als ihr mir eurer blöden Maske.
Und es gibt halt Gründe, warum ich möchte, dass mein Passwort besondere Eigenschaften hat, zum Beispiel:
* Ich will keine Sonderzeichen, weil ich damit rechne das Passwort auch Mal auf einer ausländischen Tastatur eingeben zu müssen, oder wenn das keyset falsch ist
* Ich will ein kurzes Passwort, weil ich es sehr häufig eingeben muss
* Ich will ein Passwort nur aus Buchstaben oder nur aus Ziffern oder nur aus Sonderzeichen, weil ich es ständig auf virtuellen Touch-Tastaturen eingeben werde und der Wechsel dazwischen anstrengt und Zeit kostet
* Ich will ein Passwort was leicht zu merken ist und per Telefon o.ä. übertragbar, weil ich es mit mehreren Leuten Teile
* Ich lege keinen Wert auf Sicherheit, weil mir egal ist wenn jemand in _dieses_ Konto einrichten
* Ich will ein anderes Passwort recyceln (z.B. beim Wechsel des WLAN-AP die SSID und Passwort unverändert lassen)
Also es gibt viele Gründe, warum ich mein Passwort genau SO haben will und nicht so wie irgendein Entwickler sich das Pattern ausgedacht hat.
Stattdessen fände ich es gut wenn man versucht die Entropie zu ermitteln und anzeigt für wie stark man das Passwort hält und wenn es wirklich Scheisse ist kann man auch nochmal fragen: „Hey, dein Passwort ist echt beschissen, bist du sicher, dass es das sein soll?“ Aber wenn ich mich dann für „ja“ entscheide, dann will ich mich halt dafür entscheiden (können) entweder, weil ich glaube es besser zu wissen und das Passwort ist gar nicht so mies. Oder weil es okay für mich ist ein schlechtes Passwort zu haben.
Zum Abschluss noch einer kleine Anekdote:
Ich habe neulich zum zweiten Mal bei Real.de eingekauft. Beim Anlegen des Accounts konnte ich ein 63-Zeichen-Passwort anlegen (und war direkt eingeloggt) beim Login sagte mir die Maske ich müsse ein Passwort von 8-32 Zeichen eingeben. Also Passwort-Reset, wieder ein 63-Zeichen-Passwort und wieder bin ich automatisch eingeloggt und konnte bestellen.
Beim nächsten Einkauf versuche ich Mal die 32-Zeichen-Beschränkung einfach zu umgehen, ist ja eh nur Clientseitiges Javascript.
Eine wunderbare Anekdote 😀
Oh und inzwischen höre ich die Sendung weiter und komme so langsam zum eigentlichen Thema.
Also ich habe mich ein bisschen mit dem Infektionsschutz-Gesetz hier in NRW beschäftigt und das ist dem Niedersächsischen ganz ähnlich,
man muss als Betreiber sicherstellen, dass die Besucher für das Gesundheitsamt erreichbar sind. Wie sie das machen ist ihnen THEORETISCH selbst überlassen, ABER wenn sie Name, Anschrift und Telefonnummer erfassen, dann gilt diese Pflicht/Schuld als erfüllt.
Was ich aber auch interessant/gut finde ist: In dem Gesetz (oder den Hinweisen zum Gesetz ich weiß nicht mehr) steht AUSDRÜCKLICH, dass der Gastronom nicht überprüfen muss ob die angegebenen Daten auch stimmen. Weil ich mit dieser Datenerfassung etwas kritisch bin habe ich angefangen nur noch eine Mailadresse einzutragen (die ich extra dafür angelegt habe) und ich schreibe da einfach die Mailadresse hin, auch wenn das Formular Name, Adresse, Telefonnummer verlangt. Hat noch niemand abgewiesen (ich habe es aber auch erst 5 oder 10 Mal so benutzt).
Also, was den Ersatz von Privacy Shield durch Standardvertragsklauseln angeht bin ich ja sehr kritisch. Denn bei diesen müssen die Unternehmen ja auch sicherstellen, dass die Daten auch im Drittland sicher sind. Dass dies aber aufgrund von gesetzlichen Vorgaben in den USA nicht der Fall ist, wurde ja gerade sehr klar gerichtlich festgestellt. Nichts anderes kann dann bei einem Transfer über Standardvertragsklauseln gelten.
Kurz und Simpel:
Stümmt!
Könnt ihr mal genau beschreiben, was das Problem mit Own-/NextCloud war? Welche Datei lag wo und warum war die weltweit lesbar?
Die Owncloud Instanz hat eine SQLite-Database. Sie lag in der Datei /data/owncloud.db und war von aussen ohne Authentifizierung erreichbar. Dierectory Listing war IMHO aus, aber OpenVAS hat die Datei trotzdem gefunden. Mit einem einfachen SQLite-Browser konnte man dann auf alle Inhalte zugreifen. Die Ursache könnte hiermit zu tun haben, aber da kann Stefan eher helfen.
Schifffahrt wird auch mit drei f geschrieben :P.
Danke, für eine weitere, interessante Folge. Ich wollte mal fragen ob Sven das alte OpenVAS benutzt? Greenbone hat das ja übernommen und führt das als Greenbone Community/Source Edition weiter. Der NVT Feed ist aber meines Wissen nach der selbe. Auf jeden Fall Glückwunsch Sven, für deinen ersten Fund in freier Wildbahn ;D.
Nessus Essentials wäre auch noch ein Kandidat der Gattung kostenloser Schwachstellen Scanner, den ihr euch mal anschauen könnt, falls nicht bereits geschehen. Ich finde die Oberfläche deutlich aufgeräumter und der PDF Bericht sieht auch nicht ganz so wild aus, wie bei OpenVAS/GSE. Beim alten OpenVAS gab es noch die Möglichkeit, einen HTML Bericht auszugeben. Der war wesentlich angenehmer zu lesen.
Bzgl. Engima Group – Guckt euch mal den OWASP Juice Shop an. Ist auch eine nette, kleine Webanwendung, an der man sich austoben kann, wenn man Bock auf Schwachstellen Suche a la OWASP Top 10 hat :). Man muss zwar irgendwann sehr hartnäckig sein, um weitere Fortschritte zu erzielen, aber es ist dann auch sehr befriedigend, einen weiteren Punkt auf dem Scoreboard abgehakt zu haben und dabei etwas dazu gelernt zu haben.
Hi Deefi,
für die letzte Sendung habe ich das alte OpenVAS benutzt, diesmal habe ich mit die Greenbone CE angeshene. Habe aber keine großen Unterschiede bemerkt. Und es war nicht mein erster Fund in freier Wildbahn 😉 Der erste waren Backdoors in MEINER (!) Dreambox.