Topic: Netzwerksicherheit - page 2. (Read 3442 times)

Vorsicht!!
Das ist ein Sicherheitsrisiko. Natürlich ist es einfach und unkompliziert solche Wegwerf-Email-Adressen (z.B. http://spambog.com ) zu verwenden, aber sicher ist es eigentlich nicht.

Bei den meisten Webseiten kann das Passwort mittels Email zurückgesetzt werden, d.h. wer die Email-Adresse kontrolliert, der kontrolliert deinen Account.
Bei Diensten wie spambog.com sind die Emails standartmäßig öffentlich abrufbar, d.h.: Sobald jemand weiß, wie deine spambog.com-Email-Adresse lautet, hat er deinen Account.

Man könnte jetzt einfach eine lange, nicht zu erratende Email-Adresse wählen, aber sicher ist das auch nicht:
Viele Webseiten schützen die Email-Adressen ihrer Benutzer einfach nicht gut genug, meistens aus Nachlässigkeit.
Außerdem hat der Anbieter der Wegwerf-Email ja deine Mails... damit würde ich mich nicht wohlfühlen.

Eine bessere Lösung zu dem von dir angesprochenen Problem weiß ich aber auch nicht.
Das Email-Protokoll (SMTP) ist eben inhärent unsicher - es ist eine Schande, dass es immernoch benutzt wird.

Exakt!

Wenn ich unwissend (durch eine "man in the middle" Attacke) einen falschen public key habe und meinem Com-Partner eine damit verschlüsselte mail schicke, dann kann er sie mit seinem private key (den kein anderer hat, wenn er ein starkes Passwort benutzt und nicht schon zum Zeitpunkt der private key Erzeugung durch einen keylogger abgehört wurde) nicht entschlüsseln.

Jetzt sagst du wahrscheinlich: "Ja ja, aber da kommt wieder der man in the middle, entschlüsselt meine mail, verschlüsselt neu mit dem richtigen public key und sendet sie weiter."
Das ist technisch möglich. Der Aufwand ist aber zu hoch, um die gesamte Kommunikation aller Bürger auf diese Weise zu kompromittieren.

Klar ist dennoch: Maximal sicher (wie es zur Zeit technisch möglich ist) ist man nur, wenn man auch den public key über einen sicheren Kanal überträgt. Sicher bedeutet wie du schon sagst: offline.


Edit:
Außerdem lässt sich relativ einfach auch im Nachhinein prüfen, ob man den richtigen public key besitzt, nämlich anhand des Fingerabdrucks (fingerprint).
"Um den Fingerabdruck zu überprüfen, müssen Sie den Eigentümer des Schlüssels kontaktieren und die Fingerabdrücke vergleichen. Sie können persönlich oder per Telefon mit ihm sprechen oder auf beliebigem anderen Wege kommunizieren, solange nur garantiert ist, daß es sich um den rechtmäßigen Eigentümer handelt. Stimmen beide Fingerabdrücke überein, dann können Sie sicher sein, daß Sie eine echte Kopie des öffentlichen Schlüssels haben."
http://www.gnupg.de/gph/de/manual/x193.html

Das Problem ist, das du MEINST dem öffentlichen Schlüssel deines Com-Partners zu bekommne, aber in Wirklichkeit via Man in the Middle(mitm) einen anderen bekommst. Den dazu gehörigen privatkey hat dann der mitm, der die Nachricht entschlüsselt, neu verschlüsselt nun mit dem öffentlichen Key des Empfängers und an diesen weiter geleitet.

Auch Zertifikate und trustlevel helfen da nicht weiter. All diese Daten können genauso manipuliert werden. Du musst dir vorstellen, du bist Truman in seiner Weltkugel. Du kannst dich auf nichts verlassen, was dir digital zukommt. Alles kann manipuliert sein. Wir wiegen uns in Sicherheit, weil wir uns sagen: Hacker können doch nicht einen der großen Zertifikatanbieter hacken ohne das jemand es merkt und selbst wenn, machen die das doch nicht um mich zu belauschen beim chatten. Das stimmt soweit. Nur sind hier keine Hacker am Werk sondern ein Staat bzw seine Behörde. Und die lassen sich dementsprechend "freischalten".

Gegen Hacker muss ich aber meine Chats und Emails nicht verschlüsseln, die interessiert mein Weltbild und meine meinung nicht besonders, nur mein Geld. Und da reichen einfach Mittel.

@Alle:

Chefin hat insofern recht das man sich NIEMALS auf die Technik verlassen sollte. Gesunder Menschenverstand ist angesagt. Ein leichtes Abdriften ins Paranoide mag sogar zutraeglich sein.

ABER:

Lieber etwas Sicherheit als gar keine Sicherheit. Nur weil ein Autogurt und Airbag bei einem Frontalaufprall mit 250 km/h so gut wie nutzlos sind, so verzichte ich bei normalen Tempo und Verkehr noch lange nicht darauf.

Natürlich ist das nicht signifikant. Wenn man die größmögliche Benutzergruppe angreifen will hält man sich eben an Windows.

Für spezifische Attacken jedoch ist es im Endeffekt irrelevant ob es ein Unix-, Linuxsystem ist oder whatever.

Abhören ist unproblematisch. Die Vertraulichkeit wird gewahrt. Problematisch ist, wenn du einen falschen public-key untergejubelt bekommst. Dann schreibst du unter Umständen jemandem anders als du denkst. Die Authentifikation ist hinüber.

Ich greife mal den Linux-Teil heraus.
Du meinst sicher den Marktanteil der Desktop-Systeme. Deiner Aussage nach gibt es keine Server die für Böse Buben interessant wären. Hier liegt der Marktanteil um die 25-30%. Nicht signifikant ?

Besonders habe ich bei den Sicherheitsupdates gelacht. Du meinst als mein Amiga 500 wäre sicher - da kommen seit Jahren keine Sicherheitsupdates mehr
Man merkt schnell das es da wohl keinen wirklichen Zusammenhang gibt. Interessanten sind nicht behobene Sicherheitslücken bzw. die Zeit zwischen dem Bekanntwerden und der Bereinigung.

was passiert eigentlich, wenn du deine mails verschlüsselst aber der empfänger dir unverschlüsselt antwortet? ist dann nicht alles hinfällig?

Wo ist das Problem, wenn man den öffentlichen Schlüssel so austauscht, dass er "abgehört" werden kann?

Grundsätzlich hast du recht. Wenn man es absolut konsequent denkt ist es so, wie du sagst.

Auf der anderen Seite muss man ja erstmal durch irgendwelche Auffälligkeiten zum Überwachungsziel werden. Das Problem dabei ist, dass das heutzutage Algorithmen bestimmen und keine Menschen (das wird sich auch nicht mehr ändern, denn dafür gibt es nicht genug Personal). Und damit es nicht dazu kommt, dass die Tatsache, dass man z. B. verschlüsselte E-Mails schreibt, als Auffälligkeit eingestuft wird, sollten so viele Menschen wie möglich jetzt damit anfangen so viele mails wie möglich zu verschlüsseln. Briefe klebt ja auch jeder zu... Es ist inzwischen so einfach... Thunderbird + EIN Addon (enigmail). gpg4win installieren (30 Sekunden Aufwand). DAS WARS.

Auch wenn mit vermutlich wieder keiner glaubt:

Es ist scheiss egal welches OS und Hardware ihr nutzt. Es wird das Internet abgehört. Es spielt keine Rolle, wie sicher das OS ist, wenn ihr die Daten zb zwischen zwei Geräten synchronisiert.

Gegen böse Buben hilft keine Technik, nur gesunder Menschenverstand.
Böse Buben setzen auf Statistik, die greifen nur Systeme an, die signifikant Marktanteil haben. Man kann das löchrichste System haben, solange es keinen Marktanteil hat, ist es uninteressant. und Linux ist nicht sicherer, das sieht man dran, das inzwischen genausoviel Securityupdates kommen. es hat nur nicht den Verbreitungsgrad. Würde es ins Schussfeld kommen, wäre nicht mehr viel über. Auch die Rechteverwaltung spielt dabei wenig Rolle, weil es unerheblich ist, ob ich den User oder das ganze System verseuche. Der Unterschied für die Sicherheit des Benutzers ist nicht existent. Und mehr als einen Benutzer hat heute kein Privatsystem mehr, eher hat der privatmann 2 Systeme oder mehr. Aber inzwischen haben auch alle Systeme eine Reife erlangt, das der Benutzer einen Fehler machen muss um verseucht zu werden. Hacken ist also Benutzer überlisten, die dazu nötige Technik spielt kaum noch eine Rolle, die kauft man im Internet nach Bedarf dazu.

Gegen staatliche Abhörung hilft keine Technik. Auch kein pgp. Es sei den ihr tauscht den Key händisch aus, also ein privates treffen und dann Schlüsseltausch mit Papierausdruck. Und selbst diese Sicherheit hilft nur gegen pauschale Überwachung, gezielte Zugriffe wird man dann mit entsprechender Software machen. Und eine Behörde wie die NSA mit der technischen Ausstattung wird problemlos deinen nächsten Zugriff auf irgendeinen aktiven Inhalt manipulieren. Sei es Update einer Software, sei es Flashgame starten oder Java-applet aufrufen. Irgendwann wird man etwas ausführen und dann steckt ein bischen mehr drin als man erwartet. An dieser Stelle dürfte dann jeder Datenverkehr egal wie er verschlüsselt ist, mitgelesen werden.

bis vor 4 Wochen wurde selbst bei heise noch mehrheitlich davon gesprochen, das es unmöglich wäre Deep Paket Inspection beim weltweiten Datenverkehr zu machen. Unmöglich...weil es keine Rechnerkapazität gibt, die das kann. Inzwischen wissen wir, das es seit Jahren gemacht wird. Also ist es auch kein problem, in den Datenstrom gefälschte Daten einzufügen. Weder Zertifikate noch Signaturen helfen dagegen. Zertifikate werden einfach mitgefälscht, die Firmen müssen da mitarbeiten. Und Signaturen können onthefly manipuliert werden, mit solcher Rechenpower.

Es gibt keinen Schutz, jedenfalls nicht technischer Natur. Wer also sagt: nimm das oder dies, hat schon verloren. Er verliert deswegen, weil er sich in Sicherheit wiegt, statt aufmerksam zu sein. Das Problem bei Überwachung ist nicht, die technik auszutricksen, sondern den Menschen der diese Technik benutzt. Je weniger der aufpasst, desdo leichter hat man es.

PS: alle von curiosity genannten Dinge kranken dran, das sie sich auf Dinge verlassen die sie übers Internet beziehen. Und ein System das den kompletten Internetverkehr manipuliert, hat dann auch diese Zertifikate manipuliert. Incl Tor, das ist auch nur sicher, wenn man einen Knotenpunkt NICHT kontrolliert oder der Einstiegspunkt nicht manipuliert ist. Und gegen böse Buben nützt Tor garnichts, genausowenig chat und mail Zusätze. Und die Piraten haben schon gezeigt, wo sie stehen, ganz links, bei der sozialisierten Armut. Da werden bitcoingewinne nicht versteuert sondern staatlich verteilt.

Zu Beginn, ein Linux ist einem M$- oder Apple Produkt vorzuziehen.

Sicheres:
   emailen: thunderbird -> enigmail installieren (http://www.enigmail.net/home/index.php)
   chatten: pidgin -> OTR installieren -> relativ sichers chatten sogar ueber den M$-Server aka skype (http://packages.debian.org/squeeze/pidgin-otr)
   surfen: TOR browser bundle installieren (https://www.torproject.org/projects/torbrowser.html.en)
   email verifikation bei account-Einrichtung: wegwerf-email

Desweiteren, Piratenpartei waehlen.

Das machts dem Ueberwachungsstaat schon etwas schwerer. Wer die Kryptografie von oben nicht ernst nimmt braucht auch den Bitcoin nicht ernst nehmen und die ganze Diskussion waere eh nur Makulatur.

Die Leute wachen erst auf, wenn sie konkrete Nachteile zu spüren bekommen. Aber dann wird es heißen: "Wir haben nichts gewußt, wir konnten nichts machen und jetzt ist es eh zu spät."

Hatten wir in Deutschland ja alles schonmal.

Die meisten posten doch so ziemliche alle Infos über sich sogar freiwillig bei Facebook. Wieso sollte so jemand Verschlüsselung einsetzen?

das war ja eher Off-Toppic. Worauf ich aus war:

Anyone know what happened to knightmb and his 371,000 BTC?
https://bitcointalk.org/index.php?topic=6825.0;all

Da war dieser Typ mit den 371000 BTC, die ja wohl mittlerweile so etwas um die ~sehr,viel EUR wert sind, dem haben sie mehrmals die Haustür kaputtgetreten und alle Rechner beschlagnamt. Begründung: Er hätte Mitt Romney, ein Politiker den sowieso niemand wählt, erpresst.
Ausserdem hat er mal behauptet, gar keine Coins mehr zu besitzen, er hätte alles gespendet. An einen Botschaftsbewohner in England.

Schätze ohne Hitnergrundwissen über diese Bitcoinschätze hätten die nicht so oft seine Wohnung durchpflügt.

Wer jetzt aber auf einem vom schreibgeschützten USB key gebooteten Rechner einen Schlüssel errechnet hat, seine BTC dahin überwiesen hat. Ja dann? Die richtige Antwort beim Wohnungsverwüsten wäre wohl gewesen: Zwischen Wand, und Tapete.

Ich gebe zu, für die Entwicklung dieser Story waren Wanzen und Abhörprotokolle eher unerheblich, da die wesentlichen Informationen wohl ~hust~ in Foren gepostet wurden. Und die Moral von der Geschichte ist auch eher, das selbst in einem totalitären Regime die Coins eine gewisse, seltsam zu fassende Resistenz besitzen. Sind schwer zu fassen oder zu beseitigen.

Bloß, welche Prognose würde ich dem für die Zukunft geben? Das ist ja alles Geschichte, und als die 371K enstanden sind, war deren Relevanz ja nicht absehbar.

Ja, leider.

Diese Technologien müssen eben massentauglich werden. Und selbst dann verbreiten sie sich nur wenig: Es gibt soviele Leute, die sagen: "Ich hab' doch nichts zu verbergen."  Es ist zum Lachen und zum Weinen...

Die breite Masse wird dererlei wohl nie benutzen. Trotz der Enthüllungen (die für Kenner der Materie keineswegs überraschend sind) fehlt es weiten Teilen der Bevölkerung an grundlegendem Verständnis, welche menschenrechtsrelevante Bedeutung Datenschutz hat.

Richtig, sehe ich ganz genau so.

Deshalb sage ich ja auch immer, dass man sensible Daten (also eigentlich alle) verschlüsseln soll. Was man unverschlüsselt durchs Internet schickt, das ist öffentlich, zumindest aus kryptografischer Sicht.

Ich hab's in einem anderen Thread schon gesagt, aber ich wiederhole mich gerne:
Leute, nutzt Bitmessage statt Email und Freenet statt WWW!

Das ist doch Quatsch? Man kann doch den gesamten Traffic aufzeichen den der eigene PC rausschickt. Man sieht genau welche daten an wem gehen/welchen Server.

Geld wäre ja noch OK, es sieht eher so aus, du sagst was und wir beenden deine momentane Existenz.
Die Amis nennen sowas Gag Order, haben wohl alle Google FB etc.

Ich bin sicher kein Verschwörungtheoretiker, oder habe eine Alumütze auf.  In Deutschland bekommt ein junger Sysadmin (bei einer normalen Firma) zwischen 30 und 50 Teuro pro Jahr.


Verschwörungen sind mir völlig egal. Nur mache ich mir nach Prüfung mein eigenes Bild und neige zum naheliegendsten.

Ansonsten ist es mir Wurst, ich habe mich schon lange damit abgefunden. Mich juckts nicht.