Eine Welt voller Computer, Software und Sicherheitsprobleme

Es ist, zumindest im Moment, fast so etwas wie ein Naturgesetz: Mehr Komplexität bringt mehr Sicherheitsprobleme mit sich. Eine Einführung, und ein Cliffhanger in Bezug auf später folgende Blog-Einträge zum Thema


Wer auch nur ein bisschen darauf achtet, was auf dem Gebiet der Technik so passiert, kennt das Phänomen sicher: Mit einem hohen Tempo wird so ziemlich alles, was mit Strom funktioniert, immer komplexer.

Früher™ hatte man einen Apparat namens Telefon auf dem Tisch, mit dem man telefonieren konnte, und das war’s. Heute hat man da, von der Technologie (VoIP) und der Architektur her gesehen, einen ausgewachsenen Computer stehen, mit dem man eben telefonieren kann.

Ein Smart-TV ist – natürlich – ein Computer, mit dem man unter anderem fernsehen kann.

Früher hatte man ein Auto, mit dem fahren konnte. Heutigen Autos tut man regelrecht unrecht, wenn man sie als „Computer auf Rädern“ bezeichnet; „Computer-Verbund“ auf Rädern trifft es wahrscheinlich besser.

Und so geht es weiter, mit Personenwaagen, Überwachungskameras, Heizungsreglern, usw., alle mit WLAN oder Bluetooth und intern im Prinzip komplette Computer. Selbst einige Glühbirnen sind heutzutage schlau genug, um selbstverbreitende Viren und Würmer auszuführen.

Wo liegt das Problem? Nein, das Problem liegt nicht darin, dass ich zu alt, zu unflexibel oder schlicht zu fault geworden bin, um mit all dieser neuen und komplizierten Technik mitzukommen, und mich nach der „guten alten Zeit“ zurücksehne, in der die Welt noch wesentlich einfacher war.

Das hier ist ein Blog über Sicherheit, und um diese soll es gehen: So, wie diese Geräte heute entwickelt und gebaut werden, führt mehr Komplexität fast immer zu mehr Sicherheitsproblemen.

Ein für mich ziemlich einleuchtendes Beispiel: Solange man Handys nur durch Eingabe einer PIN entsperrte, konnte eigentlich fast nichts schiefgehen; in das kleine Stück Software, das die korrekte Eingabe von ein paar Ziffern überwachen muss, einen Bug einzubauen, braucht schon ganz besondere Programmier-Talente.

Wenn man aber ein heutiges Smartphone wahlweise über PIN, über Fingerabdruck, über Bilder in der richtigen Reihenfolge angetippt, über Kringel auf den Bildschirm gemalt oder sogar über seine Stimme oder sein Gesicht entsperren kann, sieht das allerdings anders aus.

Und da geht es ja nicht nur um mögliche Bugs in all der Software dahinter, sondern je nach dem auch darum, was man wie „faken“ oder erraten könnte, um sich Zutritt zu Ihrem Handy zu verschaffen.

Ich möchte Sie dazu ermuntern, über diese Sache ein wenig nachzudenken, oder beim Lesen von Artikeln in Quellen wie z.B. Heise Security mehr als bisher darauf zu achten, wo überall Komplexität zumindest mitschuldig ist, wenn etwas schiefläuft.

Und sollten Sie zum Schluss kommen, dass an dieser Komplexitäts-Sache etwas dran sein könnte, schauen Sie wieder in mein Blog, wenn ich in weiteren Einträgen in dieser Sache versuchen werde, konkrete Tipps zum Abbau von Komplexität in Hinblick auf einen Gewinn an Sicherheit zu geben!

Advertisements

Open-Source-Software für Backup auf Windows

Der kluge Rat Nimm doch Open Source, wenn Du kein Geld für kommerzielle Software ausgeben magst will bei Backup-Programmen für Windows nicht so recht klappen.


Ich habe mir kürzlich einige Backup-Programme angeschaut, mit der man als Privatperson oder als Mitarbeiter eines KMUs die Daten auf seinem eigenen Windows-PC auf zuverlässige und einigermassen unkomplizierte Weise sichern kann, natürlich zusammen mit der Windows-Installation selbst, wie ich es hier im Blog als Bare-Metal Restore beschrieben habe.

Das sind also Programme wie Acronis True Image 2018, Paragon Backup & Recovery 16, Ashampoo Backup Pro 11, nebst der Windows-eigenen, standardmässig vorhandenen Funktion Sichern und wiederherstellen, die seit Windows 7 auch ganz ordentlich funktioniert.

Es gibt so viele Programme in dieser Kategorie, dass ich nicht alle ernsthaften Kandidaten testen konnte, aber das ist eigentlich nicht überraschend bei einer so wichtigen Sache wie Backup.

Als ich mir anschaute, ob es solche Backup-Programme auch als Open Source gibt, erlebte ich allerdings eine Überraschung: Es gelang mir trotz seriöser Suche nicht, Open-Source-Lösungen zu finden, welche genau diese Aufgabe abdecken, wie gesagt „zuverlässiges und einigermassen unkompliziertes Sichern eines Windows-PCs“, und deren Einsatz in einem kommerziellen Umfeld kostenlos ist.

Natürlich gibt es eine Menge Open-Source-Software zum Thema Backup, aber eben nicht mit allen genannten Eigenschaften.

Areca Backup ist zwar Open Source und kostenlos auch bei Einsatz in Firmen, muss aber offenbar bei „Bare-metal restore“ auf Windows passen, und die Unterstützung für den Windows-Mechanismus VSS für das zuverlässige Sichern von Files in Gebrauch zum Zeitpunkt des Backups, ist kostenpflichtig.

(Ich gönne es natürlich den Areca-Entwicklern, mit dem VSS-Plugin etwas Geld zu verdienen, aber damit fällt es als Gesamtlösung schlicht in eine andere Kategorie.)

Bareos ist offenbar kostenlos zu haben, wenn man sich seine eigenen „Binaries“ aus den Sourcen auf GitHub kompiliert. Das ist nah dran, aber wohl trotzdem ausser Reichweite normaler Windows-PC-Anwender. Die Eigenschaften des Programms habe ich nicht näher abgeklärt.

UrBackup sieht auch nicht schlecht aus; ich bin mir aber nicht sicher, ob eine zweiteilige Lösung mit einem Backup-Client und einem Backup-Server meine Anforderung einer unkomplizierten Lösung erfüllt, und ein Feature namens Change block tracking kostet Geld, auch wenn ich nicht abgeklärt habe, wie dringend man das wirklich braucht.

Es gibt eine recht gut bestückte Kategorie von kostenloser Open-Source-Software, mit der man ganze Harddisks und Harddisk-Partitionen sichern und wiederherstellen kann; Duplicati gehört z.B. in diese Kategorie.

Bei solchen Programmen muss ich bemängeln, dass man nur eine Gesamt-Wiederherstellung machen, aber nicht einzelne Ordner oder Dateien zurückholen kann, was je nach Situation vermutlich ziemlich lästig ist. Auch vermute ich, dass nicht alle solchen Programme einen inkrementellen Backup hinkriegen, wo man nur abspeichert, was seit dem letzten Backup geändert hat, was natürlich sehr viel schneller ist als immer alles zu sichern.

Monero und die wilden Schürfer

Monero hat im Moment nicht unbedingt die Schlagzeilen, die man sich als seriöse und ambitionierte Kryptowährung wünschen würde. Aber was soll man machen: Was wirklich gut ist, lässt sich leider oft auch gut missbrauchen.


Die Kryptowährung Monero (offizielle Website , Wikipedia-Eintrag), von der man lange Zeit recht wenig hörte, schafft es in den letzten Wochen und Monaten auffällig oft in die Schlagzeilen.

Da gibt es das Phänomen, dass man den Leuten Trojaner unterjubelt, die eine Kryptowährung „schürfen“, wobei der Erlös an diejenigen Leute geht, welche die Trojaner verteilen und kontrollieren. Dabei geht es praktisch nie um die teuerste und bekannteste Währung Bitcoin, sondern eben häufig um Monero, wie man in diesem Technology-Review-Artikel oder in einem eher technischen Artikel der Sicherheitsfirma ESET nachlesen kann.

Vor relativ kurzer Zeit erst kam der Trick breit zur Anwendung, dass mit Hilfe von JavaScript eine Kryptowährung geschürft wird, während man sich im Browser auf einer entsprechend „ausgestatteten“ Website befindet, wie etwa Wired in diesem Artikel beschreibt. Wieder geht es hauptsächlich um Monero.

Man findet in diese Artikeln meistens nur wenig Information darüber, warum so auffällig oft Monero zum Zuge kommt, wenn es um solcherart fragwürdiges Schürfen geht. Weil mir persönlich Monero als Währung sehr gut gefällt, möchte ich deshalb hier etwas mehr Licht in die Sache bringen:

Zunächst einmal hat Monero als eine der Top-10-Kryptowährungen (aktuelles „Ranking“ jeweils auf coinmarketcap.com) die nötige Verbreitung und die nötige Liquidität, um die ergaunerten oder zumindest erschlichenen Guthaben einfach transferieren oder auszahlen zu können. Der Kurs ist nicht extrem, aber 1 Monero ist mit 60, 70 Euro oder so ordentlich was wert, und der Kurs schwankt längst nicht so wild wie der vergleichbarer Währungen. Und es gibt eine Reihe brauchbarer Programme rund um die Währung.

Zweitens ist Monero von der Technologie her wesentlich „privater“ als die meisten anderen Kryptowährungen: Transaktionen sind kaum nachzuverfolgen, es ist nicht ersichtlich, wer wem wieviel zahlt, und wenn man eine Monero-Adresse kennt, kann man nicht einfach deren „Kontostand“ nachschauen, wie das insbesondere bei Bitcoin möglich ist, wie ich in einem früheren Blog-Eintrag erläutert habe.

Privat ist nicht per se schlecht, sonst hätte man das ebenfalls weitgehend private Bargeld schon längst abgeschafft, kommt aber natürlich den Leuten hinter den beschriebenen „Unternehmungen“ sehr gelegen.

Eine Kryptowährung zu schürfen bedeutet vereinfacht gesagt das erfolgreiche Lösen unheimlich rechenintensiver mathematischer „Rätsel“.

Für die Rätsel, die sich bei Bitcoin stellen, gibt es schon längere Zeit ganz spezielle Hardware, sogenannte Miner, die so viel schneller sind als handelsübliche Computer, bzw. deren CPUs und Grafikprozessoren, dass man ohne gar nicht mehr anzutreten braucht: Die Chance, noch in diesem Jahrtausend erfolgreich einen Bitcoin-Block signieren zu können mit dem Computer, auf dem ich gerade schreibe, stehen schlecht.

Und weil diese Geräte zu kaum etwas anderem zu gebrauchen sind, nicht gerade als „billig“ durchgehen und grosszügig Strom fressen, hat eine starke Konzentration eingesetzt: Die grossen Akteure im Bitcoin-Schürfen betreiben ganze Hallen voll mit solchen Geräten, und zwar an Orten, wo Strom möglichst in beliebigen Mengen günstig zu haben ist – womit Europa schon mal flachfällt.

Und damit kommen wir zu drittens: Die Erfinder von Monero waren der Meinung, dass solche Machtkonzentrationen einer Kryptowährung auf die Dauer nicht guttun, und haben sich ganz gezielt eine Sorte Rätsel ausgedacht, deren Lösung man nur sehr schwer in superschnelle Chips giessen kann.

Das ist nun der Grund, warum bis heute das Schürfen von Monero mit handelsüblicher PC-Hardware rentabel sein kann, dummerweise insbesondere dann natürlich, wenn man andere für sich arbeiten lässt und somit praktischerweise null Hardware-Kosten und ebenso null Strom-Kosten hat!

Und so kommt eben alles zusammen, damit Monero im Moment eine Menge Negativschlagzeilen macht.

Von Datensicherungen und blankem Metall

Ihre Sicherungskopien sollten so sein, dass Sie bei Bedarf nicht nur Dateien, sondern auch Ihre ganze Windows-Installation wieder herstellen können, nachdem diese das Zeitliche gesegnet hat. Das ist nicht schwierig, bedarf aber etwas Vorbereitung.


Sicherungskopien von wichtigen Daten sind schon fast so lange ein Thema, wie es überhaupt Computer gibt. In letzter Zeit ist das Thema allerdings noch einmal etwas „heisser“ geworden, nachdem durch Erpressungs-Trojaner die Gefahr, Daten zu verlieren, erheblich gestiegen ist.

Das hier soll nun nicht noch ein Aufruf mehr werden, doch bitte Backups anzulegen; solche Aufrufe gibt es schon genug, und wer einen Computer betreibt und bis heute immer noch nichts sichert, der ist vermutlich mit Hilfe von Ratschlägen nicht zu erreichen, aus welchen Gründen auch immer.

Ich möchte aber ein paar Worte verlieren über eine Gefahr, über die man meiner Meinung nach tatsächlich zu wenig hört und liest: die Gefahr, dass Sie nicht nur Daten verlieren, sondern dass die Windows-Installation auf Ihrem Computer insgesamt unbrauchbar wird.

Es gibt mehr als eine Möglichkeit, wie das passieren kann.

Nicht alles, was sich als Erpressungs-Trojaner ausgibt, ist auch einer, und verhält sich so brav, dass er lediglich Ihre Daten verschlüsselt, welche Sie dann relativ entspannt aus einer Sicherung zurückspielen können. Ein Beispiel aus jüngerer Zeit ist NotPetya: Nach einem Befall durch diese Malware ist Ihr Windows „hinüber“.

Wenn man sich etwas wie einen Banking-Trojaner, einen „Keylogger“ oder etwas ähnliches einfängt, also etwas, was sich tief und möglichst unsichtbar im System einnistet, und man wirklich auf der sicheren Seite sein will, dann gibt man danach seine Windows-Installation komplett auf: Die Chancen, so eine Malware zuverlässig wieder loszuwerden, stehen speziell für „Normalsterbliche“ einfach zu schlecht.

Es gibt hierfür aus einem Alien-Film einen guten Spruch auf Englisch über den einzig sicheren Weg, wie man diese Viecher wieder loswird: Nuke it from orbit.

Für das Wiederherstellen einer ganzen Betriebssystem-Installation mit allem Drum und Dran gibt es den englischen Begriff bare-metal restore oder bare-metal recovery, mit der Idee, dass im Extremfall ausser dem „blanken Metall“ einer leeren Harddisk nichts mehr da ist.

Hierfür müssen 2 Bedingungen erfüllt sein: Die Sicherung muss mehr umfassen als nur reine Dateien, nämlich auch noch Informationen über die Grösse von Harddisk-Partitionen und sogenannte Boot-Sektoren. Und man muss irgend ein Medium haben, mit dem man das Datensicherungs-Programm starten kann, oder zumindest dessen Wiederherstellungs-Komponente, denn auf das Windows auf der Harddisk kann man sich ja eben nicht mehr stützen.

Üblicherweise verwendet man hierzu bootfähige CDs bzw. DVDs oder bootfähige USB-Sticks.

Zum Glück erfüllen heute das hauseigene Windows-Datensicherungsprogramm und die meisten aktuellen Produkte von Drittherstellern die Bedingungen: Mit einer entsprechenden Konfiguration speichern sie neben Dateien auch noch die für einen „bare-metal restore“ nötigen zusätzlichen Informationen. Und die Programme sind in der Lage, entsprechende Boot-Medien herzustellen.

Aber, und das ist natürlich wichtig bei dieser Sache: Man muss die Programme richtig konfigurieren, und man muss die Boot-Medien herstellen, bevor einem die Windows-Installation hoppsgeht, denn dann ist es zu spät!

Was meiner Meinung nach auch noch dazugehört, ist ein anschliessender grundsätzlicher Test des Boot-Mediums: Startet der Computer tatsächlich damit, und sieht man dann im Programm die erstellten Backups?

Ein endgültiger Test, dass die Sache wirklich funktioniert, wäre der Sprung ins kalte Wasser: Man zerstört mindestens 1 Mal seine Windows-Installation mutwillig und stellt sie dann ab Datensicherung wieder her. Ich habe das für meinen PC gemacht, aber ich muss zugeben, das geht schon ein bisschen weit, und ganz ungefährlich ist es ja auch nicht.

Trotzdem ist es ein gutes Gefühl zu wissen, dass ich nach einer Malware-Attacke einfach cool lächeln, das Boot-Medium zücken und meine Windows-Installation unbeschadet wiederauferstehen lassen kann.

Was meint der Browser mit „Sicher“ oben links?

Vielen Leuten dürfte bereits klar sein, was einem ein Browser sagen will, wenn er Sicher neben die URL in die Adresszeile schreibt, aber wenn ich auch nur ein paar erreiche, die das noch überbewerten, hat sich dieser Blog-Eintrag schon gelohnt.


Mit dem Gestalten von grafischen Benutzeroberflächen ist es immer so eine Sache: Geht es um etwas, was auch nur ein bisschen komplizierter ist, kann man das kaum je direkt darstellen, sondern muss radikal vereinfachen und darauf bauen, dass die Leute das erkennen und schon wissen, was damit gemeint ist.

So ist es auch bei einem Browser, wenn es darum geht darzustellen, ob die jeweilige Verbindung zu einer Website verschlüsselt und damit sicher gegen Abhören durch Dritte ist, oder eben unverschlüsselt und entsprechend unsicherer.

Eine in diesem Sinne gesicherte Verbindung führt typischerweise zur Anzeige des Wortes Sicher in der Adresszeile, oben links neben der URL:

Sichere Verbindung

Sichere Verbindung im Browser

Man kann den Browser-Herstellern nicht unbedingt einen Vorwurf machen, dieses eine Wort sei nicht genügend aussagekräftig, denn ein sachlich genauerer Text wie etwa Sichere verschlüsselte Verbindung wäre natürlich bereits zu lang. Und trotzdem: Da Sicher hinzuschreiben, ist eigentlich hoch problematisch, wenn man sich genauer ansieht, was eigentlich sicher ist – und was eben nicht.

Wie z.B. in diesem Artikel genauer erläutert, geht es im wesentlichen um den Schutz gegen das „Abhören“ durch Dritte. Das ist natürlich eine gute Sache, und es ist sehr zu begrüssen, dass mittels HTTPS verschlüsselte und damit sichere Verbindungen immer mehr zum Standard werden: Man will in einem öffentlichen WLAN am Bahnhof oder im Restaurant seine Eingaben auf einer Login-Seite wirklich nicht für jedermann einfach abhörbar machen.

Wenn man sich allerdings die Gefahren so ansieht, die einem heute im Netz drohen, dann gibt es einige, die weit problematischer sind. Es sind nicht die Fälle, wo Leute durch unverschlüsseltes Surfen zu Schaden kommen, welche regelmässig zu Schlagzeilen führen, sondern ganz andere Dinge.

Seien wir doch realistisch: Wer macht sich heutzutage noch die Mühe, im Restaurant sitzend ein paar wenige Passwörter via WLAN zu erhaschen, wenn er in Server einbrechen und da Millionen von Passwörtern abfischen kann, oder noch besser, diese im Darknet für wenig Geld angeboten findet?

Und was nützt es, wenn dank HTTPS niemand irgendwo zwischen meinem Browser und einer Website sieht, welche Seiten ich da genau aufrufe, wenn ausgerechnet jene Website selbst mir in den Rücken fällt und 20 Werbefirmen genau diese Information auf dem Silbertablett präsentiert?

Und wenn jemand in eine HTTPS-Website einbricht und in einer Ecke derselben eine Phishing-Seite einrichtet – ein durchaus typisches Vorgehen – was sagt dann Ihr Browser dazu, wenn Sie unvorsichtigerweise diese Seite aufrufen? Richtig: Sicher!

Kommt noch dazu, dass sich heute jedermann ganz einfach ein Zertifikat für HTTPS besorgen kann, um diese Sicher-Anzeige zu bekommen: Über die Leute hinter der Website sagt das praktisch überhaupt nichts aus. Wie einmal jemand treffend witzelte: Ihre Verbindung zu dieser Website ist sicher, aber die Website gehört dem Teufel höchstpersönlich.

Also: Achten Sie, ob Sie zu wichtigen Websites eine sichere Verbindung mittels HTTPS haben, aber geben Sie keinen Illusionen darüber hin, was nun alles sicher ist.

Versteckspiele mit JavaScript

Ein kleiner und leicht verständlicher Ausflug in die Welt der JavaScript-Programmierung, um zu zeigen, wie extrem schwierig es ist, „bösartigen“ JavaScript-Code als solchen zu erkennen


Der im Moment wohl häufigste Weg, wie versucht wird, Ihnen Malware unterzujubeln, ist per E-Mail und arbeitet mit einem zweistufigen Verfahren:

Sie bekommen eine Mail mit einem Anhang, der im wesentlichen aus einem kleinen Programm geschrieben in JavaScript besteht. Lassen Sie diesen Code laufen, lädt er die zweite Stufe, das eigentliche Schadprogramm, direkt von irgendwoher aus dem Internet herunter und bringt es zur Ausführung.

Heute gängige Antiviren-Programme versagen mehr oder weniger beim Abwehren der ersten Stufe. Sie sind nur selten in der Lage zu erkennen, dass solcher JavaScript-Code im Prinzip „bösartig“ ist: Kein Alarm, keine Warnung, keine Blockade – der Code rutscht meistens einfach so durch!

Ich möchte Ihnen heute zeigen, warum das so ist.

Nehmen wir an, eine Software soll Ihren Computer davor schützen, dass via JavaScript der Text Hackerangriff! angezeigt wird. Das folgende völlig triviale einzeilige JavaScript-Programm tut genau das und darf also nicht zur Ausführung gelangen:

alert('Hackerangriff!');

Das sieht nach einer leichten Aufgabe aus für unser Schutzprogramm: Kommt der „gefährliche“ Text irgendwo im JavaScript-Code vor, und das hier ja offensichtlich der Fall, dann Ausführung blockieren.

Was ist aber mit folgendem Code, der genauso den fraglichen Text ausgibt, bei dem dieser aber schon nicht mehr einfach so im Programmtext zu finden ist:

alert('Hacker' + 'angriff!');

Wenn Sie nun finden, dass ein paar eingestreute Plus-Zeichen doch wohl für heutige Programme keine unüberwindbare Hürde darstellen, dann sehen wir weiter:

alert('!ffirgnarekcaH'.split('').reverse().join(''));

Sie ahnen vermutlich jetzt, wo das hinführt: JavaScript ist eine vollständige und mächtige Programmiersprache, und es gibt praktisch unendlich viele Möglichkeiten, via Code einen Text zusammenzubauen, und das ist natürlich ein grosses Problem.

Das Thema Künstliche Intelligenz ist zwar momentan in aller Munde, aber Programme, die andere Programme „lesen“ und dann sagen können, was die tun, sind noch in weiter Ferne. Heute gibt es praktisch nur einen generellen Weg, um herauszufinden, was JavaScript-Code tut: Man muss ihn ausführen, und es dürfte klar sein, dass es nicht einfach ist, das auf eine ungefährliche Art zu machen.

Wenn Hacker JavaScript-Code schreiben, der Trojaner auf Ihren Computer auf Ihren Computer laden soll, gehen sie vermutlich meistens so vor, dass sie den Code zunächst ganz normal schreiben, und ihn dann einem Programm übergeben, welches die „Verschleierung“ vollautomatisch erledigt.

Solche Programme nennt man auf Englisch obfuscators. Wie weit das gehen kann, sieht man an der Demo von jjencode. Diese macht aus unserer JavaScript-Zeile in der Originalversion das folgende, vollkommen korrekte JavaScript mit gleicher Funktion:

$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.__+"(\\"+$.$__+$.___+"'\\"+$.__$+$.__$+$.___+$.$_$_+$.$$__+"\\"+$.__$+$.$_$+$._$$+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.$_$_+"\\"+$.__$+$.$_$+$.$$_+"\\"+$.__$+$.$__+$.$$$+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+$.$$$$+$.$$$$+"!'\\"+$.$__+$.___+");"+"\"")())();

Weil dieser Verschleierungs-Vorgang so einfach ist und voll automatisiert in den Mail-Versende-Prozess einbindbar, sind jeweils vom gleichen Trojaner-Downloader Dutzende, wenn nicht Hunderte, von Varianten im Umlauf!

Gefahren beurteilen kann so seine Tücken haben

Beim Nachdenken über verschiedene Gefahren und beim Abwägen derselben gegeneinander kann das menschliche Gehirn ziemlich leicht in eine Art „Falle“ geraten. Kennen Sie diese, könnte das bereits Ihr Urteilsvermögen stärken.


Es ist fast so etwas wie ein Hobby von mir, mich mit den verschiedenen Arten zu befassen, wie das menschliche Gehirn bei seiner Arbeit versagen kann, und auch Beispiele für „Versager“ zu finden, nicht zuletzt bei mir selbst. Ich beziehe mich hier auf Phänomene wie Denkfehler, die immer wieder vorkommen, über Dinge, die überraschend häufig missverstanden werden, über eigentliche Denkblockaden, usw.

Ich finde, man kann hier für sich sehr viel herausholen: Wenn man z.B. Denkfehler gut kennt und es dadurch schneller merkt, wenn man gerade selbst einen solchen macht, kann man viele Probleme einfacher bewältigen als andere Leute, die im Extremfall schlicht nicht glauben können, dass ihr Gehirn manchmal krasse Fehler begeht.

Ein interessantes Phänomen ist für mich, welche Probleme Menschen dabei haben können, Gefahren einschätzen.

Manchmal hat man in einer Situation verschiedene Vorgehensweisen offen, die aber alle mit Gefahren verbunden sind, so dass man zwischen diesen abwägen sollte: Man schätze die Grösse aller Gefahren und wähle dann diejenige Vorgehensweise, die mit der kleinsten Gefahr verbunden ist.

Hierbei kann einem allerdings etwas in die Quere kommen: Manche Gefahren kann man sich als Mensch so viel einfacher vorstellen als andere, dass sie wie ein Magnet auf das Gehirn wirken und man beim Abwägen kaum mehr davon loskommt.

Ok, höchste Zeit für ein Beispiel, um zu illustrieren, wovon ich hier überhaupt schreibe:

Für eine Reise kann ich entweder fliegen oder einen Fernbus nehmen. Ich überlege mir die Wahl von den Gefahren her. Eine Gefahr bei einer Reise ist natürlich ein Unfall. Ich stelle mir also auf der einen Seite einen Flugzeug-Absturz aus 10’000 Metern Höhe vor, und auf der anderen Seite eine Kollision des Fernbuses mit einem LKW.

Sehen Sie, worauf ich hinauswill? Die Vorstellung, in einer Metallkiste 10 Kilometer vom Himmel zu stürzen und dann am Boden zu zerschellen, wobei zu allem Übel der Absturz noch eine Weile dauert und ich also auf den Tod warten muss, ist einfach so viele Male schrecklicher als die Vorstellung eines Busunfalls.

Das macht es sehr schwierig, die grossen Unterschiede der Wahrscheinlichkeiten der beiden Unfall-Arten gebührend mit zu berücksichtigen: Der leicht vorstellbare Horror eines Flugzeugabsturzes wirkt tatsächlich wie ein Magnet auf das Gehirn, so dass Logik und Urteilsvermögen einen sehr schweren Stand haben.

Nicht umsonst ist Flugangst ein bekanntes Phänomen mit einer gewissen Verbreitung, aber Bus-auf-Autobahn-Unfall-Angst meiner Meinung nach so gut wie unbekannt.

Gibt es dieses Problem auch in der IT-Sicherheit? Ich denke ja, und ich glaube, ich habe ein konkretes Beispiel:

Wenn sich heute jemand die verschiedenen Optionen anschaut, wie er mit seinen zahlreichen Passwörtern umgehen will, kommt er bei Passwort-Managern vorbei und bei der Tatsache, dass er bei deren Einsatz alle seine Passwörter auf einen einzigen Haufen legt.

Und hier sehe ich sie nun, die Gefahr, die für ein menschliches Gehirn einen solchen Magneten darstellt, dass man kaum mehr weiterkommt mit dem Evaluieren aller Möglichkeiten. Es ist glasklar: Gibt’s irgend ein Problem mit meinem Passwort-Manager, sind gleich sämtliche Passwörter weg.

Das ist für mich das IT-Sicherheits-Äquivalent eines Flugzeugabsturzes!

Ich habe schon Threads gelesen in Foren, wo man über Passwort-Manager diskutierte und schon nach kurzer Zeit intensiv gestritten wurde darüber, wie doof man denn sein muss, dass man auch nur in Erwägung zieht, alle seine Eier (Passwörter) in einen einzigen Korb (Passwort-Manager) zu legen, was die Vorteile, die Passwort-Manager haben, und die Nachteile einer „händischen“ Verwaltung von Passwörter, an den Rand drängte.

Ich hoffe jetzt nicht, dass ich Sie so von Passwort-Managern überzeuge, und wenn Sie Flugangst haben sollten, werden Sie diese Ausführungen natürlich auch nicht einfach so kurieren. Aber ich hoffe, wenn Sie jetzt dank diesem Blog-Eintrag schneller merken, dass Sie ein solcher „Magnet“ anzieht und Sie aktiv gegensteuern können, ist etwas gewonnen.