Topic: Privatsphäre und IT-Sicherheit (Read 850 times)

Zu 1: Falls du aus Versehen das WLan aktivierst (Update oder Versuch) wird dennoch die Reichweite der Wifi Aussendung auf wenige cm begrenzt.

Zu 2: am "Maikäferarschlochstecker" zu Löten ist an sich schon keine Freude, dazu kommt noch die Leistung die der 50 Ohm Widerstand dann zu Ertragen hätte.
Ein 0201 bzw. 0402 50 Ohm Widerstand hat nicht die benötigte Leistung, Am einfachsten ist es entweder ein 50 Ohm dummy mit 0,1 Watt und entsprechendem Stecker zu kaufen (Teuer).
Oder sich mit Hilfe des Kabel (Antenne Ablöten) und einen 50 Ohm Widerstand Bedrahtet zwischen Abschirmung und Seele zu Löten. Üblicherweise macht man das in einem Kupferröhrchen (dient auch zur Wärmeableitung).
Wiederstand im Kupferröhrchen, ein Anschluß an die Außenseite des Kupferröhrchen möglicht eng am Widerstandsende Anlöten, am anderen Ende des Widerstand (hier hört das Röhrchen auf)
die Seele des Koaxkabels und auf dem Röhrchen nun die Masse des Koaxkabels.
Das funktioniert so gut, das du nicht mal daneben etwas Empfangen kannst.

Einfacher wäre es aber ein Laptop mit Physikalisch Abschaltbaren Wifi zu verwenden, z.B. ein Dell Latitude E6230 oder E6530 die haben einen Schalter auf der rechten Seite, das kappt die Versorgungsspannung zum Wifi Modul.

 

Man könnte jede Aderleitung einzeln mit einem Flüssigkunststoff absichern, eine 2. Hülle komplett und dann zusätzlich noch äußerlich z. B. mit Alufolie abschirmen.

Du musst dir sehr sicher sein, daß das OS sich nicht irgendwie/irgendwo das WLAN-Passwort vorher gemerkt hat. Vermutlich irrelevant, wenn die Installation noch nie erfolgreichen Zugang zum WLAN hatte. Du musst aber sicherstellen, daß wirklich Niemand diesen Zustand etwa ändert.
Nur die Treiber zu entfernen, wäre mir zu unsicher, denn manche Betriebssysteme versuchen dann oberschlau zu sein. Wäre vermutlich aber immer noch sicher, wenn das WLAN-Kennwort stark und dem System vollständig unbekannt ist.
Wenn man ganz sicher überprüfen kann, daß ein im Bios deaktiviertes WLAN wirklich überhaupt garnicht softwareseitig vom OS aktiviert werden kann, könnte ich mit dieser Option leben.

Bei den hardwareseitigen Optionen würde ich wohl eher eine Plattform wählen, bei der ich eine gesteckte Funknetzkarte zum Deaktivieren einfach entfernen muss. Das ist wesentlich eindeutiger und weniger mit einer Gefahr verbunden, etwas zuviel kaputt zu machen. Eine sinnvollere Wahl der Hardware-Plattform erscheint mir zielführender zu sein, als Klimmzüge zur Deaktivierung nötig zu haben.

---

An der Stelle sollte man in Betracht ziehen, daß man Fehler machen kann, durch die eine Cold Wallet dann plötzlich ungewollt nur noch lauwarm bis warmheiß wird. Einmal lauwarm, nie mehr sicher kalt. Man soll ja nie "nie" sagen, aber du verstehst sicherlich, was ich meine.


Ich habe etwas gebraucht, bis ich mich wieder erinnert habe, hier zu antworten...

Danke für die Antwort @Cricktor. Anhand deiner Antworten auf meine Fragen habe ich gemerkt, dass vielleicht ein XY-Problem vorliegt.

Deshalb möchte ich nochmal mit meinen Gedankengängen neu anfangen (diesen Link und deine Antwort bereits berücksichtigend):

Softwareseitige Unbrauchbarmachung:

• WLAN Passwort nicht eingeben -> Risiko des "Ausversehens" Einloggen (z.B. freies WLAN)
• WLAN Treiber Deinstallieren -> Möglicherweise durch Malware Rückgängig zu machen? (auch wenn ich nicht glaube dass eine Malware WLAN Treiber installieren würde)
• WLAN im Bios deaktivieren -> sollte eigentlich "sicher" sein, solange ein Angreifer keinen physischen Zugriff hat

Hardwareseitige Unbrauchbarmachung:

• WLAN Chip zerstören / entfernen -> wahrscheinlich würde man mehr kaputt machen als gewollt
• Antennen abstecken -> Chip kann immer noch senden / empfangen und daher auf kurze Distanzen <1m mit WLAN verbinden
• Antennenbuchse mit Lötzinn kurzschließen -> verbinden nicht mehr möglich, allerdings könnte der Kurzschluss mehr Schaden auslösen als beabsichtigt
• Antenne durch Widerstand ersetzen -> muss wohl der Impedanz der Antenne entsprechen, damit die Sendeleistung komplett in Wärme und nicht in Strahlung umgewandelt wir
                                                      -> verbinden nicht möglich, aber filigrane Lötarbeit (muss so klein wie möglich sein, damit die Kabel nicht gleich wieder eine Antenne bilden
• Funkstrahlung mittels Faradayschem Käfig abschirmen -> für die Abschirmung reichen einige Atomlagen Metall aus, allerdings muss der Käfig die Sendeleistung als Wärme aufnehmen
                                                                                 -> Bei 2,4 GHz / >5,0 GHz können Löcher auch durchaus etwas größer ausfallen (vgl. Sichtblende Mikrowelle 2,45 GHz)
                                                                                 -> Alufolie sollte die Abschirmung sicherstellen, allerdings ist der Einwand mit der Gefahr von Kurzschlüssen sehr berechtigt
                                                                                 -> dann vielleicht lieber Alu-Zink Spray aus dem Baumarkt zum Beschichten von außen

Nach Pareto würde man wohl am ehesten viele einfache Maßnahmen kombinieren um einen wirksamen Gesamtschutz zu haben.
Wenn man Softwareseitig WLAN und Bluetooth im BIOS deaktiviert frage ich mich aber schon, ob Hardwareseitige Maßnahmen als Ergänzung überhaupt notwendig wären, wenn ohnehin alle USB-Ports offen blieben (ein Angriff mit physischen Zugriff also möglich wäre)?!

Falls die Deaktivierung im Bios ohnehin ausreicht könnte man da ja auch wie folgt vorgehen:

• Alltagsrechner neu starten, Bios öffnen, Netzwerkverbindungen deaktivieren  
• Rechner neu starten, TailsOS vom USB Stick booten, auch da Netzwerk deaktiviert lassen und alle Sachen erledigen die man Offline tun möchte
• Rechner neu starten, Netzwerkverbindungen im Bios wieder aktivieren und dann wieder dem üblichen Alltagsaufgaben nachgehen
• sich den Offline Rechner sparen

Also keine Ahnung ob mein Experiment überhaupt sinnvoll ist.

---

Ich hab selber noch nicht mit Electrum/Sparrow gearbeitet (steht noch auf meiner Liste), deswegen muss ich mal fragen wie das offline ablaufen würde? Hätte man dann ein Offline System wo man eine Transaktion erstellt, diese mit USB / SD kopiert und auf einem zweiten Online System (ebenfalls mit Electrum/Sparrow) die Transaktion dann ins Netzwerk bringt?

---

 

Ich sehe das ähnlich, finde Themen rund um Privatsphäre und IT-Sicherheit sehr spannend und würde mir dazu auch ein Subforum wünschen. Ich hab allerdings nicht den Eindruck, dass diese Auffasung mehrheitsfähig ist, sondern gelegentlich derartige Themen ohne konkreten BTC-Bezug (der hier aufgrund von Electrum/Sparrow ja ohnehin gegeben wäre) dann schon als grenzwertig eingestuft werden. Mein Eindruck kann mich da natürlich täuschen.

Was den Merit-Zaunpfahl angeht ist das so eine Sache. Mir ging es dabei darum die Fragestellung etwas hervorzuheben. Als darum dass diejenigen, die ohnehin geantwortet hätten dies evtl etwas schneller und umfangreicher tun. Und darum dass diejenigen die vielleicht nicht geantwortet hätten, weil sie nur zu einer Frage so halb was beitragen könnten, sich vielleicht doch zu einer Antwort entscheiden. Im konkreten Fall hätte ich lieber mehr als weniger Antworten/Ansätze die ich dann selber prüfen und filtern kann.

Und wenn (ganz allgemein gesprochen) eine stärker auf einen Themenkomplex fokussierte Meritvergabe dazu führt, dass das Thema insgesamt mehr Zulauf bekommt oder mehr lesenswerte Fäden und/oder Beiträge erstellt werden, dann fände ich das auch durchaus wünschenswert. Die merits wären hier dann also ein kleines zusätzliches Incentive um den Austausch anzuregen.    

Eine softwareseitige Deaktivierung könnte Malware ggf. rückgängig machen und auch der Benutzer kann Fehler machen, die den Air-gapped-Status torpedieren können. Einmal aus Versehen online und der Air-gapped-Status ist dahin.
Das dürfte bei hardwaremäßiger Inaktivierung nicht machbar sein. Letzteres ist dann einfach deutlich sicherer und nicht umgehbar.



Zur Frage 2 habe ich zuwenig Elektronik- und Funkkenntnisse, möchte lediglich anmerken, daß ggf. die Abschirmfähigkeit von Alufolie begrenzt sein könnte (zuverlässig funkdichte Abschirmung vielleicht schwierig) und du vorallem wg. möglicher Kurzschlüsse durch die Alufolie aufpassen solltest.



Dein air-gapped Teil muss ja irgendwie Daten rein- und wieder rausbekommen, das klassische Turnschuh-Netzwerk (SneakerNET) per Datenträger. 



Tails musst du zunächst nehmen, wie es ist und da ist mehr drin, als du für einen air-gapped Computer benötigst. Außerdem musst du Vertrauen haben, daß Tails zu keiner Zeit ungewollt Netzwerkschnittstellen aktiviert. Irrelevant, wenn die Basis keine dafür funktionierende Hardware hat. Zusätzlich wirst du bei Tails auch die persistente Datenpartition haben wollen, weil sonst nach jedem Herunterfahren alles vergessen wurde.
Tails kann im Prinzip ein air-gapped System abbilden, aber es besteht die Gefahr der ungewollten Reaktivierung von Netzwerk-Konnektivität. Wobei ich viel Phantasie aufwenden muss, wenn kein LAN-Kabel dransteckt und kein WLAN-Passwort eingerichtet ist.

Mir fällt jetzt auch nur der Anwendungsfall einer air-gapped Wallet ein, die man nicht mit einer klassischen Hardware-Wallet abbilden möchte, sondern z.B. mit Electrum/Sparrow und was sonst noch so an brauchbarer Wallet-Software rumfliegt.



Spannende Themen sollten eigentlich von allein eine Beteiligung hervorrufen. Ich verstehe nicht so ganz, warum du mit dem Merit-Zaunpfahl winken musst.

Zu deiner Zusatzfrage kann ich Nichts beitragen, finde aber nicht, daß Sicherheit ein Offtopic-Thema ist, im Gegenteil. Es wäre natürlich hilfreicher dafür ein dediziertes Subforum zu haben, damit man solche Aspekte gebündelt an einem Ort hätte.

Ich hab mir da die Playlist zum yubikey angeschaut (mehrfach damit ich es auch verstehe) und dann kurzerhand entschlossen, dass das mein nächstes Privatsphäre-Experiment wird. Ich hab mir dann auch gleich eine Intel Compute Stick (allerdings Baujahr 2018) für 40€ bei Kleinanzeigen geholt, der mein Air gapped PC werden sollte. Nach Ankunft hab ich den aufgemacht und nach dem WLAN / Bluetooth Chip gesucht und folgendes gefunden:



Da ich selber die Weisheit nicht mit Löffeln gefressen habe, möchte ich ab diesem Punkt gerne die schlaue Community mit einbinden....  

Frage 1 des Experiments:
Welche Vorteile brächte eine physikalische Unbrauchbarmachung der Netzwerkkarte (WLAN+Bluetooth) im Vergleich zur softwareseitigen Deaktivierung?  

Frage 2 des Experiments:
Wie würde eine Unbrauchbarmachung nach Pareto-Prinzip wohl am wahrscheinlichsten aussehen? (Hier wird vorgeschlagen den Innen- und Außenleiter des Antennenkabels mittels Widerstand zu verbinden -> selbstgelötete Lösung, aber ich frage mich ob Abziehen der Antennen(-Kabel) und Verkleidung mittels Alufolio (=einfach) ggf. auch reicht oder ob es für die Unbrauchbarmachung ggf. sogar eine Kauflösung gibt?!

Frage 3 des Experiments:
Lohnt der Aufwand überhaupt wenn SD-Card bzw. USB-Schnittstellen für den notwendigen Datentransfer ohnehin weiter aktiviert bleiben?

Frage 4 des Experiments:
Welche Anwendungsfälle gibt es für einen Air gapped PC im Bereich Crypto / IT-Sicherheit überhaupt (Ich weiß, es ist richtig clever die Frage nicht als erstes zu stellen. Ich selber wüsste keinen (für mich) wirklich relevanten Anwendungsfall den nicht auch Tails erfüllen könnte und dennoch interessiert mich die Fragestellung in all ihren Details, deshalb kommt die Frage als letztes)

Zusatzfrage:
Kennt ihr Foren die vielleicht etwas stärker auf Privatsphäre / IT-Sicherheit ausgerichtet sind? Hier im BTC-Forum fühlt sich das immer irgendwie im Grenzbereich zu Off-Topic an?!

PS: sMerits hab ich noch genug und würde mich hier über eine detaillierte Auskunft der Experten sehr freuen.

Was habe ich noch krypto- und sicherheitsrelevantes im Youtube-Abo?

• Crypto Guide
• LiveOverflow

Es scheint, das war es. In meinen Lesezeichen war jetzt auch nichts Spannendes und zum Thema Passendes weiter.

Hehehe, das ist schon ein bisschen amüsant. Naja dann scheint die Empfehlung ja zumindest nicht die schlechteste gewesen zu sein....

Was hast du sonst noch für Kanäle in dem Themenfeld auf deiner Liste (von Kryptoarche mal abgesehen)? Könnte ja dann durchaus sein, dass da auch ein paar interessante Sachen für mich dabei wären?!

Dachte mir, kann man sich mal einen kurzen Überblick der veröffentlichten Videos machen (check) und später mal reinschauen. Bookmark machen oder gleich abonnieren? Letzteres... Moment, huch?, hab' ich ja schon längst abonniert... 

Keine Ahnung mehr, wann und wo ich diesen Kanal schon einmal gefunden, mir 'was angesehen und wert befunden habe, ihn zu abonnieren. Da sind auf jeden Fall ein paar Themen dabei, die mich interessieren und die ich mir sicherlich bei Gelegenheit (eher rar) mal reinziehen möchte.

Bin auf einen interessanten Youtube Kanal gestoßen den ich gerne mit euch teilen möchte: 402 Payment Required.

Auch wenn ich aktuell noch weit davon entfernt bin alles zu verstehen und/oder nachmachen zu können, merke ich selbst als Laie das hohe Niveau des Kanals. Also vielleicht auch was für unsere Experten wie @Cricktor oder @virginorange

Hab mich die letzten Tage auch mal bissl mit dem Thema Telefonnummern und Sim-Karten beschäftigt und wollte dazu mal ein paar interessante Videos teilen:

• SECRET MSGS phone companies DON'T want you to know about
• 35C3 - Funkzellenabfrage: Die alltägliche Rasterfahndung unserer Handydaten
• Getting MULTIPLE PRIVATE Phone Numbers

Als Fazit ziehe ich folgende Kernaussagen aus den Videos:

• eine Sim ist wie ein eigener Rechner im Handy mit tiefgreifendem Systemzugriff, eine Kompromittierung der Sim ist denkbar, aber fast unmöglich zu erkennen -> daher keine SIM von zweifelhaften Anbietern (anonyme Sim?!)
• mit einer normalen SIM mit KYC gerät man in DEU wohl etwa 1x pro Monat in eine Funkzellenabfrage, da diese als polizeiliche Standardmaßnahme selbst bei geringfügigen Verbrechen wie Diebstahl eingesetzt wird
• die beste Lösung scheint zu sein eine KYC SIM von einem seriösen Anbieter zu nehmen aber ausschließlich für mobile Daten zu nutzen (ggf. mobiler Router mit eigener IMEI) und die SIM Telefonnummer mit niemandem zu teilen (wenn die Nummer unbekannt ist kann man nicht danach suchen). Die Telefonnummern für den Alltag können dann ähnlich wie EMail-Aliase zweckgebunden über VoIP erstellt werden, der Standort ggf. mittels VPN verschleiert und somit die Verbindung zur SIM gebrochen werden

Leider scheint es für Europa nicht sehr viele Privatsphäre-orientierte VoIP Anbieter zu geben. Ich frage mich auch ob die länderspezifischen VoIP Nummern ggf. auch der KYC-Pflicht der jeweiligen Nationalstaaten unterliegen?! Weiß da zufällig jemand mehr?  

Ja das Handbuch habe ich auch bei mir in einem Tab geöffnet und wird scheinbar auch immer mal wieder aktualisiert.
Auch findet man da das ein oder andere interessante Thema, welches auch wirklich deteiliert beschrieben wird.

Ich bin heute über das Privacy Handbuch gestolpert. Da es eine sehr umfangreiche PDF mit 500 Seiten ist hab ich da erstmal nur einzelne Bereiche reingelesen.

Dennoch wollte ich das mal teilen, da es auf deutsch ist und die meisten Quellen zur digitalen OPSEC ja in englisch sind. Falls ihr auch noch paar interessante Quellen zu OPSEC und OSINT habt, dann gerne teilen.

Ich hatte meine Mail-Adresse für Bitcointalk auch neulich erst zu proton.me migriert.
Was man dabei nicht außer acht lassen sollte (was mir dann aber auch erst danach aufgefallen ist) ist die Tatsache, dass im Trust-Bereich dann auch für alle Nutzer sichtbar eine Warnmeldung aufploppt, dass die E-Mail-Adresse des Accounts kürzlich geändert wurde.
Hätte meine Entscheidung jetzt nicht verändert aber ist für den ein oder anderen vielleicht nett vorher zu wissen.

Heute die neue Proton Mail Adresse eingerichtet, war innerhalb von 5min erledigt und bei den meisten Accounts bereits meine Mail Adresse geändert, auch hier im Forum. Hier im Forum wird man auch noch daran erinnert, dass die Mail Adresse geändert wurde, aber sollte noch jemand seine Mail Adresse in BCT ändern, den Link nicht anklicken, dann wird der Account gesperrt.

Sollte es weitere Auffälligkeiten bei Proton geben, werde ich mich wieder melden, gehe aber davon aus das dies nicht der Fall sein wird.

Danke für eure Antworten und Erfahrungsberichte, dann werde ich mir Morgen gleich einmal eine neue Mail Adresse holen und versuchen bei allen registrierten Seiten meine Mail zu ändern, hoffe das geht schnell und unkompliziert. Werde berichten wie es gelaufen ist.

Also ich hab Proton Mail schon für ein paar Privatsphäre Experimente verwendet und als "Anmelde-Mailadresse" noch nirgends Probleme gehabt. Wenn man wirklich nur die Mail nutzt ist das auch alles kostenlos, man bezahlt bei Proton nur für Zusatzdienste (z.B. Cloudspeicher, Passwortmanager, eigener Mail Client oder VPN). Wobei ich es grundsätzlich eher cool finde dass es da so viele Services unter einem Dach gibt als dass mich die Kosten abschrecken würden. Selber nutze ich bislang aber auch nur die Mail.

Ich habe selber nur Protonmail in Verwendung und hatte bisher noch keinerlei Probleme bei der Registrierung bei einer Börse.
Es gibt zwar durchaus Berichte davon, dass es ab und an Probleme bei Protonmail gibt, die deuten aber weniger auf Börsenprobleme hin sondern generell Sperren wegen "Abuse-Verdacht": https://www.reddit.com/r/ProtonMail/comments/9zjc7t/protonmail_disabled_my_binance_cryptocurrency/
Mir persönlich wäre das aber noch nicht untergekommen.

---

Der Dienst selber ist übrigens sehr einfach zu verwenden. Protonmail hat auch eine Checkliste für neue Benutzer veröffentlicht, die würde ich an deiner Stelle - solltest du dich für den Dienst entscheiden - auch gleich mal durcharbeiten: https://proton.me/support/new-account-owner-security-checklist Für jemanden im Crypto-Bereich sind das aber eh alles "Jo, na eh"-Punkte, aber ev. ist ja das eine oder andere dabei an das man nicht gedacht hätte!

Da mein derzeitiger Provider für Krypto Angelegenheiten die Tore schließt suche ich einen neuen kostenlosen Mail Provider, es steht bei jedem Provider "Free" oder "Zum Reinschnuppern". Wie weit kann ich die Mailadresse dann verwenden? Ich suche wirklich nur einen Mail Provider für Mails zum Beispiel für Bestätigungen bei Börsen usw. gibt es zu den beiden genannten Erfahrungsberichte und da sie als sicher beworben werden gibt es da bei anderen Webseiten beim Anmelden eventuell Probleme wenn man eine Proton Mail Adresse angibt?

Ich sehe den Weg über die Zwischenablage durchaus kritischer als z.B. die Eingabe als ein HID-Gerät oder über eine virtuelle Tastatur. In einer Multi-Tasking-Umgebung, wo mehrere Programme parallel laufen, stellt praktisch jedes Betriebssystem Mechanismen für die Programme bereit, auf die Zwischenablage zu lauschen bzw. Änderungen derjenigen per Nachrichten oder sonstigen Signalisierungen zu erhalten. Ich bin kein Programmierer, bei IT-Themen aber stets interessiert. Die Zwischenablage halte ich für "öffentlicher" und weniger "privat".

Ich würde es nicht zu kompliziert machen wollen, sonst nervt es einfach nur und mehr in eine sichere Umgebung investieren und darauf achten, daß diese auch sicher bleibt. So wenig wie nötig laufen lassen und keine Alltagsdinge mit Geräten machen, deren Sicherheitsstatus wichtiger ist, weil dort Werte bzw. Coins gelagert und verarbeitet werden.