Google verdiente im ersten Halbjahr 99,9% seines Geldes mit Werbung (Quelle: SEC Filings). Und wo kommt neue Phantasie her? Erstens mit Firmenumsätzen und zweitens mit Firmenumsätzen (dort sei das Geld ja bekannterweise). Beispielweise mit Suchlösungen für Firmen oder grad aktuell mit Google-Anwendungen unter dem eigenen Domänennamen.

Interessant fand ich schon, dass der gratis E-Mail Dienst Gmail es bereits zulässt, E-Mails von unterschiedlichen Adresssen/Domänen zu senden.

Jetzt kommt das komplette Outsourcing ihres E-Mail an Google. Hier der Dienst als Beta: “Google Apps for Your Domain” (man beachte die knackig kurz URL). Dazu kommen Sachen wie GoogleTalk, Google Calendar u.s.w. eigentlich ganz nützlich und schön integriert. Hier ein Blick in die noch knapp gehaltenen Admin-Funktionalitäten.

Ich müsste nur noch unseren MX-Record (Namensauflösung im DNS) ändern und wir wären “ready”. Und wie verdient Google Geld? Immer noch mir Werbung aber mal warten, was da noch kommt…

Achtung technisch!

Die Diskussion über Phishing ist spannend. Eines der Angriff-Szenarien — sowohl durch ein Phising E-Mail initiiert wie auch durch Zugriff auf das Netzwerk — ist ein Man-in-the-Middle Angriff. Beispielsweise mit einem (Secure) Proxy der bis zum Login durchlässt und dann die Session dem Angreifer gibt. Allerseits bekannt: Davor schützt auch eine mit SSL oder TLS verschlüsselte Verbindung nicht.

Anbei das (versprochene) Schweizer Paper von Rolf Oppliger, Ralf Hauser und David Basin mit einem einfachen Vorschlag SSL/TLS Session-Aware zu machen mit em Ziel Man-in-the-Middle Angriff zu verunmöglichen. Elegant.

[pdf, 181KB] SSL/TLS Session-Aware User Authentication Revisited.

Phishing, die Kunst vertrauliche Daten durch Täuschung zu ergaunern — beispielsweise mit E-Mails — ist immer wieder in der Presse. Gestern auch im Fernsehen am Beispiel der Migros Bank, welche nach Aussage von 10vor10 das E-Banking prompt abstellte um ihre Kunden zu schützen.

Anbieter von Online-Dienstleistungen müssen sich wohl an die folgenden zwei Sachen gewöhnen. Erstens wird es immer weniger zeitlich abgegrenzte Phishing-Attacken geben, da diese dauernd laufen. Und zweitens werden die Angriffe noch raffinierter — ich warte auf dem Tag an welchem eine installierte, in krimineller Absicht geschriebene Browser Erweiterung, sich in den Dialog mit der Bank einschaltet.

Bevor wir uns in die Diskussion der Abwehr stürzen (die ziemlich offensichtlich ist), lege ich den folgenden Artikel von auf Rachna Dhamija, J. D. Tygar und Marti Hearst auf den Tisch: “[pdf, 870KB] Why Phishing Works”

Mit der Hilfe von Test realer Phishing-Attacken wurde empirisch festgestellt, auf was User achten und auf was nicht. Sehr spannend und hier ein drei zentralen Punkte:

- 5 von 22 Testern schauen nie auf die Adresszeile oder auf den Rest des Browsers
- 13 von 22 Testern achten nie auf https/SSL
- eine gut gemachte Phishing-Site eines Bank-Logins (mit zwei “v” anstelle eines “w” im Domänennamen) wurde von über 90% der Tester als vertrauenswürdig eingestuft (darunter User die 90 Std. pro Woche mit Computer arbeiten)

Eine spannende Realität.