Meldungen zur IT-Sicherheit

TV und WLAN sind nicht so tragisch, gemein wirds dann wenn wer die Heizung im Winter abdreht...

http://www.heise.de/newsticker…ngssteuerung-3459730.html

Gruß Andreas

Ja das Virenscanner, die den Stream überwachen zweifelhaft sind ist schon seit Jahren bekannt.
Hier geht es aber nicht um AV-Programme allgemein, sondern hauptsächlich nur um den Teil, der sich in den Datenstream einklinkt.

AV-Programme wie z. B. Avast free haben diesen Teil nicht, sie scannen den Datenstream nicht und halten ihre Finger aus TLS- und HTTPS-Verbindungen raus.
Zumindest dieser Part ist dann damit nicht existent.

Sinnig ist mMn z. B. Avast free oder ähnliches für Leute die nicht ganz auf AV-Software verzichten möchten und eine gute Firewall wie z. B. Windows Firewall Control von Sphinx.

Ich gebe an dieser Stelle zu bedenken, das eine Firewall auf dem zu schützenden Gerät zwar besser als gar nichts ist, allerdings auch keinen zuverlässigen Schutz bieten kann.
Die Aufgabe einer Firewall (im klassischen Sinne eines Portfilters) sollte - wann immer möglich - ein vorgeschaltetes Device (z.B. der DSL-Router) übernehmen.

Das ist aber nur die eine Wahrheit, denn die Firewall im Router schützt -wenn überhaupt- nur für ankommende Streams.
Eine Software-FW, wie oben genannt, gibt sofort Meldung, wenn ein Programm oder was auch immer auf das Internet zugreifen will.
Dieser Zugriff auf´s Netz kann dann verboten, beschnitten oder beschränkt werden...das funktioniert sehr gut.
Dies bedeutet eine gewisse Sicherheit in bezug auf "nach Hause telefonieren".
Und glaube mir, ich habe da schon so einiges entdeckt, was mir kein AV-Prog auf dem Markt mitteilen kann......

Nice: Da gebe ich Dir durchaus recht, ein Portfilter schützt grundsätzlich erst einmal nbur/primär eingehend.

Allerdings lässt sich ein evtl kompromittiertes System - oder zumindest eines, dem man nicht (mehr) vertraut nicht durch zusätzliche Software auf eben diesem System absichern. Natürlich wird dies zwar von vielen Anbietern so vermittelt und nahezu alle Anwender glauben es auch, aber meine inzwischen knapp 20-jährige Praxis im IT-Bereich (wenngleich UNIX//Linux only und nicht Windows) hat mir des öfteren das Gegenteil bewiesen.
Wenn Deine hostbasierte FW unter Windows eine Dir verdächtige Applikation meldet, die ausgehend Daten verschicken will, dann kannst Du sie damit blocken, soweit korrekt. Allerdings hätte sie auch keine große Mühe damit, ihre Daten durch eine Firefox/IExplore/Edge/-WasAuchImmer-API zu tunneln. Und zumindest diese üblichen Browser hast Du sicherlich auf "allow all" gestellt.
Wie gesagt, solche Fälle sind mir in der Vergangenheit schon des öfteren untergekommen. Aufgefallen sind sie fast alle nur durch die Analyse des Traffics auf einem vorgelagerten Device.

Porken:

Bin ich vollkommen Kondom mit Dir, hab auch nie behauptet, daß es sowas wie Sicherheit gibt, nur daß man sich ihr nähern kann.

Mein Browser ist dicht und ich gehe ausschließlich über VPN>VLAN>Socks5 in´s Netz.
Das durch Schadsoftware nochmals zu tunneln oder im Nebenstrom zu splitten ist ausser durch einen sehr gezielten Angriff mit viel Wissen über mich und meine Kiste wenig wahrscheinlich.
Und wenn "die" mich so auf´m Brett haben, hilft eh nix mehr.
Aber bis dahin verteile ich wenigstens nicht meine daten oder Metadaten im Netz :devil:

Sorry, recht hast Du :ehm:

Also mit meinen Antworten hier im Thread wollte ich ein wenig sensibilisieren, daß es Schadsoftware, wie z. B. Viren gibt, die von aussen kommen und den Rechner verseuchen, aber auch Schadsoftware, die einen z. B. ausspähen und natürlich auch Schadsoftware, die nicht auf dem eigenen Rechner läuft, aber alles mitschneidet was man tut.
Aktuell stufe ich z. B. die Vorratsdatenspeicherung so ein.
Und da werden noch viel mehr Daten abgeschöpft, die ggf. gegen uns verwendet werden können....in welcher Form und zu welchem Zweck auch immer.

Um zumindest dem Ausspähen zu entgehen und anonym zu surfen nutze ich u. a. VPN (Virtual Private Network) welches ich zusätzlich über VLAN (Virtuelles Lan) und einen Socks5-Proxy leite.
Bedeutet: Ich logge mich über einen VPN-Provider meines geringsten Misstrauens per Verschlüsselungssoftware über meinen normalen Internetprovider im Netz ein und tunnele das Ganze dann noch über einen verschlüsselten Proxy.

Einfacher: Mein Internet-Provider (z. B. T-Online) sieht nur, daß ich verschlüsselt über eine Adresse (ein Server meines VPN-Providers) surfe.
Ich logge mich also mittels Verschlüsselungssoftware auf einem Server (z. B. in Ungarn) meines VPN-Providers ein und leite das ganze dann zusätzlich von Ungarn über einen verschlüsselten Proxy meines VPN-Providers
nach z. B. Bulgarien.
Erst dann geht der Proxy-Server in Bulgarien unverschlüsselt auf die von mir eigentlich im Browser angewählte Adresse...z. B. previval.org und leitet die Daten dann wieder verschlüsselt den ganzen Weg
zurück zu mir, wo sie mein Verschlüsselungsprogramm entschlüsselt.
Dementsprechend ist es kaum möglich mitzuschneiden was ich wo mache, wenn ich mich nicht ganz dämlich anstelle.
Außerdem kann ich innerhalb von wenigen Sekunden meinen Weg auf z. B. USA >> Russland >> Zielseite oder Schweiz >> Holland >> Zielseite ändern.
Ist alles bei weitem nicht so kompliziert, wie es sich anhört.

Dazu gehört konsequenter Weise auch ein anonymer Mail-Provider wie posteo.de oder mailbox.org.

Ich halte das für sehr sehr wichtig und es wird mMn immer dringlicher, wenn nicht sogar zwingend möglichst anonym unterwegs zu sein.
Das sieht eigentlich jeder so, der sich mit der Materie beschäftigt.
Für mich pers.gehört das untrennbar zum Preppen....aus vielen Gründen.

Ein klein wenig kann man schon tun, wenn man mindestens Google verbannt (soweit man kein VPN nutzt) und z. B. Startpage.com oder Duckduckgo.com nutzt, da dort meines Wissens nichts mitgeschnitten wird und bei Startpage die Suchergebnisse auch neben der realen Adresse das Ziel als Proxy-Adresse aufgerufen werden kann und somit die besuchte Website meine reale IP nicht bekommt und Google meine Begehrlichkeiten nicht analysiert.

*Proxy: Ein Server der die von mir angesurfte Seite mit seiner IP besucht, die Daten dann an mich sendet und somit meine IP nicht an die Seite weitergibt.
Die Daten können aber über einen normaler Proxy, der unverschlüsselt arbeitet zwischen Proxy und mir mitgeschnitten werden, nur die angesurfte Seite sieht meine IP nicht.

Wer mehr über IT-Sicherheit wissen will, dem kann ich das Privacy-Handbuch wärmstens empfehlen: https://www.privacy-handbuch.de/index.htm

Damit hast Du auf jeden Fall schon einmal sehr sehr viel für deine Anonymität im Internet getan, finde ich gut.

Folgendes fällt mir noch ein:
Bei der Nutzung eines Proxy sollte man sicher stellen (Tests), das es ein anomyer Proxy ist. Sehr viele Proxy-Dienste setzen die "HTTP_X_FORWARDED_FOR" oder auch die "HTTP_VIA"-Variable im HTTP-Header, wo dann doch wieder die "reale" IP an den ZielServer übermittelt wird.
Sofern man Zugriff auf einen Squid-Proxy hat, lässt sich dieser Unsinn in der squid.conf durch folgende Optionen abschalten, ich habe hiermit unserem Firmen-Squid das Plappern recht gut abgewöhnt:

via off
forwarded_for off
follow_x_forwarded_for deny all
request_header_access X-Forwarded-For deny all

Testen kann man seine HTTP-Header z.B. hier: http://www.all-nettools.com/to…mental-variables-test.php

Thema Browser: Sofern Java-Script aktiviert ist, ist ein Browser sehr oft eindeutig identifizierbar. Die Kombination aus User-Agent, Betriebssystem, Auflösung, installierten Schriften, Plugins und Addons, usw. kann schon einen recht eindeutigen Fingerabdruck hinterlassen.

Ja ich versuche zumindest da etwas zu tun.
Leider machen das meiner Erfahrung nach die wenigsten, weil es natürlich Zeit kostet sich da reinzupopeln und auch Komfort, der beim surfen flöten geht.
Wenn die Leute sich bewußt wären, wie man Daten abgreift, wie umfangreich damit Personen analysiert werden können und wie gefährlich das werden kann, würde da deutlich mehr passieren.
Anscheinend reicht aber selbst Snowden & Co. da leider nicht aus um der Masse klar zu machen was hier wirklich abläuft

Ich für meinen Teil habe versucht den Router, das Betriebssystem, den Browser und das Mail Programm soweit mir möglich zu "härten", sowie meine Surfgewohnheiten dem Sicherheitsaspekt anzupassen und da hat mir wie weiter oben gepostet u. a. das Privacy-Handbuch sehr geholfen.

Diese Bedrohung ist deutlich existenter, bzw. sogar definitiv allgegenwärtig als z. B. klassische Viren o. ä.

Zum Browser:
Leider ist der nicht nur mit aktiviertem Java-Script identifizierbar, sondern u. a. auch durch Canvas-Fingerprinting und wie Du auch schon gepostet hattest durch die individuelle Konfiguration...da gibt´s viele Lecks.
Man kann natürlich versuchem möglichst viele Lecks abzudichten und den ganzen Spaß dann über Seiten wie ipleak.net oder ipleak.com validieren, aber wie gesagt: MMn hat man kaum eine Chance, wenn man wirklich direkt auf "der Liste" steht.
Da hilft auch Tails und ähnliches nicht zu 100%

Zur Mail:
Da z. B. die alten Dinosaurier PGP oder SMIME (E-Mail Verschlüsselung) für die meisten deutlich zu kompliziert sind, kann man für verschlüsselte Kommunikation z. B. PTE (Paranoia Text Encryption) nutzen.
PTE verschlüsselt schnell und einfachst Text...wenn gewünscht, wird der (Steganografie) auch verschlüsselt und versteckt in ein Bild eingebaut.
Sein Bruder SSE kann das genau so einfach mit Dateien.
Beides gibt es für Linux, Windows, IOS, Android und OSX.
Obwohl...bei Android oder IOS über Sicherheit zu reden ist schon sehr ambitioniert
Gutes, einfaches und kostenloses Tool.
http://www.paranoiaworks.mobi/

Mein Fazit und mein Rat:
Jungs tut was, und zwar schnell.
"Ich hab nichts zu verbergen" ist Blödsinn und zwar absoluter
Snowden: Wenn du damit argumentierst, kein Interesse an deiner Privatsphäre zu haben weil du nichts zu verbergen hast, ist dies das selbe wie zu sagen, dass dir die Meinungsfreiheit egal ist weil du keine Meinung hast.
Kein Mensch weiß, ob der Besuch der Seite XY euch nicht mal richtig Probleme bereiten wird.
Wäre bei weitem nicht das erste mal, daß vermeindlich harmloses später strafbar wird und einem böse Überraschungen bevorstehen.

Was kost der Spaß:
Anonyme, sichere Mailbox bei Posteo.de oder Mailbox.org kostet €1,-/Monat (mit mehreren, kostenlosen Alias-Adressen).
Ein mMn guter VPN-Provider kostet ca. €80,-/Jahr ohne Volumenbegrenzung und auch mit mehreren Rechnern (in einem Haushalt) nutzbar.
Also nur €7,70/Monat..besser kann man Geld nicht nutzen...zumindest nach meinen Prioritäten.

Zitat von Nice;304155

AV-Programme wie z. B. Avast free haben diesen Teil nicht, sie scannen den Datenstream nicht und halten ihre Finger aus TLS- und HTTPS-Verbindungen raus.
Zumindest dieser Part ist dann damit nicht existent.

Hm da macht eich aber andere Erfahrungen.
Ich hatte bis vor kürzerem noch Avast Free für Mac installiert. Und da hatte Avast auch die Finger im HTTPS-Bereich. Zumindest beobachtete ich das ein Weilchen, und immer wurde immer der gleiche Verifizierungs-"Dienst" im Browser angezeigt. Als ich Avast löschte, wurden da plötzlich wieder unterschiedliche Dienste angezeigt.

Zitat von Nice;304244

Ja ich versuche zumindest da etwas zu tun.
Leider machen das meiner Erfahrung nach die wenigsten, weil es natürlich Zeit kostet sich da reinzupopeln und auch Komfort, der beim surfen flöten geht.
Wenn die Leute sich bewußt wären, wie man Daten abgreift, wie umfangreich damit Personen analysiert werden können und wie gefährlich das werden kann, würde da deutlich mehr passieren.
Anscheinend reicht aber selbst Snowden & Co. da leider nicht aus um der Masse klar zu machen was hier wirklich abläuft

Die meisten werden das ganze auch schlicht nicht kapieren. Wer sich nicht für das Thema Computer&Technik interessiert, der wird das Problem gar nicht vollständig erfassen können.
Selbst ich, der sich für Computertechnik interessiert, verstehe teilweise überhaupt nichts mehr, wenn ich gewisse Themen bei Heise oder Golem so durchlese.

Die meisten werden wohl inzwischen mitbekommen haben, dass man die Geodaten vom Smartphone auswerten kann. Die meisten werden wohl inzwischen auch schon davon gehört haben, dass da auch gerne Mal persönliche Informationen an Google, Microsoft oder Apple gesendet werden. Und das Facebook ganz böse ist, und mehr auswertet, als nur dass, was direkt reingestellt wird, werden inzwischen wohl alle wissen.

Aber das ganze geht ja noch viel komplexer. Wenn jemand Seite X ansteuert und dort eine Produkt-Bewertung abgibt, und dann auf Seite Y, eine ähnliche Bewertung zum gleichen Produkt abgibt, dann ist die Wahrscheinlichkeit hoch, dass das die gleiche Person war.

Und hat hier jemand noch das Browser-Addon WOT (Web of Trust) installiert? Sofort deinstallieren. Die werten die besuchten Seiten nämlich nicht wirklich anonym aus. Sie speichern alle Adressen die ihr besucht habt auf ihren Servern, um dann die gesammelten Informationen zu verkaufen. Da findet man dann schnell auch mal Informationen, die man lieber geheim halten würde und teilweise sogar sollte. Daten die jemanden vielleicht auch erpressbar machen können.

Hier der Beitrag der das ganze ins rollen brachte:

Nackt im Netz: Millionen Nutzer mit Add-On WOT ausspioniert | Panorama 3 | NDR --- Länge: 9:35 Min
https://www.youtube.com/watch?v=gDkPdWpPCQk

Und hier war die gleiche Reporterin, zusammen mit einem anderen, an einem Vortrag am Chaos Computer Congress von Ende letzten Jahres. Dort wird gezeigt, wie vergleichsweise einfach es ist, jemanden zu de-anonymisieren. Man braucht nur genug besuchte Adressen einer Person zu sammeln.
Sie geht auch noch etwas detailierter auf ihren Versuch ein, der dann das mit WOT ans Licht brachte.

Build your own NSA (33c3) --- Sprache: Deutsch --- Länge: 1 Stunde
https://www.youtube.com/watch?v=K36fe7txXhQ

Und er selber sagt in der Fragerunde am Schluss, dass es heute wirklich schwer bis unmöglich ist, sich komplett anonym im Internet aufzuhalten. Sachen wie NoScript, Canvas-Blocker, Werbeblocker, Permanent-Cookie-Löscher usw. sind da nur ein Tropfen auf den heissen Stein.

Zitat

Mein Fazit und mein Rat:
Jungs tut was, und zwar schnell.

Mit dem ganzen Zeugs wie PGP/GPG oder auch VPN habe ich mich noch nicht wirklich befasst. Aber im Moment versuche ich zumindest, (wieder) komplett auf Linux umzusteigen.
Im Moment benutze ich hauptsächlich noch MacOS. Ein Windows 8.1 habe ich zwar auch installiert, aber das benutze ich fast nur noch als Film- und Spiele-Starter.

Windows 8.1 wird da wohl mein allerletztes Windows sein, dass ich installiert haben werde. Windows 10 kommt für mich einerseits wegen der Datensammlerei, aber auch wegen den Zwangs-Updates und -Upgrades nicht in Frage.

Beim Smartphone ist das so eine Sache. Im Moment benutze ich zwar ein CyanogenMod mit vielen der Google-Diensten wie den Playstore, aber ich versuche mein nächstes Smartphone so zu kaufen, dass es sicher mit LineageOS kompatibel ist, und ich werde wohl auch versuchen ohne die Google-Apps auszukommen. Vieles davon ist inzwischen ja auch schon einfacher, als noch vor paar Jahren.

Am liebsten hätte ich ja ein richtiges Linux auf dem Smartphone, aber da hat ja selbst Canonical mit Ubuntu Touch irgendwie aufgegeben.

Wer einen smarten Toaster, smarte Glühbirne, smarte Steckdose, smartes Thermostat braucht, der hat wirklich die Kontrolle über sein Leben abgegeben (frei nach Lagerfeld)!!!!

https://m.heise.de/newsticker/…eb-Frontends-3673101.html

Aber das ist wie mit selbsttätig abblendenden Autospiegeln, Regensensoren usw. Braucht auch kein Mensch, wird aber von der Autoindustrie erfolgreich den Kunden eingeredet.

Begonnen mit Linux habe ich vor ca. 21 Jahren, mein letztes privates Windows hatte ich so ca. um 1998 herum. Beruflich fasse ich es seit ca. 2001 fast nicht mehr an.
Allerdings: Die Browser-Problematik(en) hast Du in fast identischer Form auch unter Linux.

Hallo Nice,
kannst Du einen guten VPN Dienst empfehlen? Ich habe mich auch schon mit dem Thema beschäftigt, aber bisher noch keinen guten Kompromiss aus Kosten, Nutzbarkeit, Performance und Sicherheit gefunden. Der Markt ist hier aus meiner Sicht gerade für Privatleute recht unübersichtlich. Am liebsten wäre mir ein Dienst, den ich möglichst problemlos in meiner Fritzbox 7490 für bestimmte Clients definieren könnte. Ich muss ja auch den WAF im Blick haben

Die Möglichkeit der verschlüsselten Kommunikation ist heutzutage ein ganz wichtiger Punkt bei "Preparedness".

Gruß
Bilbo3000

Zitat von bilbo3000;304436

Hallo Nice,
kannst Du einen guten VPN Dienst empfehlen? Ich habe mich auch schon mit dem Thema beschäftigt, aber bisher noch keinen guten Kompromiss aus Kosten, Nutzbarkeit, Performance und Sicherheit gefunden. Der Markt ist hier aus meiner Sicht gerade für Privatleute recht unübersichtlich. Am liebsten wäre mir ein Dienst, den ich möglichst problemlos in meiner Fritzbox 7490 für bestimmte Clients definieren könnte. Ich muss ja auch den WAF im Blick haben

Die Möglichkeit der verschlüsselten Kommunikation ist heutzutage ein ganz wichtiger Punkt bei "Preparedness".

Gruß
Bilbo3000

Hallo Bilbo,

hast ´ne PN.

- - - AKTUALISIERT - - -

Zitat von Porken;304431

Begonnen mit Linux habe ich vor ca. 21 Jahren, mein letztes privates Windows hatte ich so ca. um 1998 herum. Beruflich fasse ich es seit ca. 2001 fast nicht mehr an.
Allerdings: Die Browser-Problematik(en) hast Du in fast identischer Form auch unter Linux.

Man Porken, da hab ich dann ja vielleicht ´n Spezi gefunden.

Ich hatte neulich Linux-Mint Cinnamon getestet...war deutlich einfacher zu laufen zu bringen als Win - ehrlich, lief kpl. mit meinem NB auf Anhieb.
Aber dann brauchte ich Stunden um OpenVPN da mit den Certs & configs für VPN zum rennen zu bringen.
Wollte von "gehärtetem" Win7 auf Linux wechseln, da mir eine höhere Win-Version nicht auf das Mopped kommt.
Keiner, wirklich keiner konnte mir im deutschen Linux Mint-Forum da helfen.
OK, OpenVPN hatte ich dann durch try & error gut am rennen.
Nun wollte ich noch ´n Socks5 Proxy mit 3proxy (ist ´n kleiner, guter Proxy-Server auf dem Client aus Russland für Linux/Unix/Win) zum laufen bringen, da ich Thunderbird nur über VPN und FF über VPN>VLAN>Socks5 laufen lasse um die Streams strikt zu trennen.
Keine Chance, nach bestimmt 20 Stunden desaströsem und diletantischem gestocher in Linux (Ich=Linux-DaU) hab ich es aufgegeben und mußte zurück zu Win7....da ist das kein Problem, selbst für Omma nich.

Kennst Du dich mit sonem Gerödel aus?

Zitat von Rocky;304430

Wer einen smarten Toaster, smarte Glühbirne, smarte Steckdose, smartes Thermostat braucht, der hat wirklich die Kontrolle über sein Leben abgegeben (frei nach Lagerfeld)!!!!

https://m.heise.de/newsticker/…eb-Frontends-3673101.html

Aber das ist wie mit selbsttätig abblendenden Autospiegeln, Regensensoren usw. Braucht auch kein Mensch, wird aber von der Autoindustrie erfolgreich den Kunden eingeredet.

Ich habe und will auch kein smart ...., aber manche Dinge machen das Leben einfacher und man kann sich auf andere Dinge konzentrieren.
Man kann den "Fortschritt" nicht aufhalten, aber man kann sich heraussuchen was für einen Wichtig ist ... meistens jedenfalls.
Wenn z.B. die analogen Anschlüsse abgeschaltet werden, dann hast du aber nicht viel Möglichkeiten.
Sicherheit ist wichtig. Komfort aber auch.
Nur der Stellenwert ist bei jedem etwas anders.

Eine pauschale Keule gegen Neues finde ich nicht gut.

Eine pauschale Keule gegen Neues hat es hier mMn nicht gegeben.

Nur eine Keule gegen Schädliches.

Wie ich weiter oben schon schrieb: Die Komfortzone muß man schon verlassen.
Aber ist eine Komfortzone, die einem evtl erheblich schaden kann wirklich Komfort oder erstrebenswert oder einfach nur ignorant...gegen uns selbst?

Zitat von Nice;304465

Eine pauschale Keule gegen Neues hat es hier mMn nicht gegeben.

Bezog sich auch auf Rockys Beitrag und nicht auf die anderen Beiträge.

Komfort und Sicherheit beissen sich leider oftmals.

@epin
Und ich schrieb: "smarten Toaster, smarte Glühbirne, smarte Steckdose, smartes Thermostat... selbsttätig abblendenden Autospiegeln, Regensensoren". Und das braucht alles kein Mensch!