Aktuelle PC und Internetsicherheit (2017-....)

  • [align=justify]Krack ist ein clientorientierter Angriff. D.h. die Wahrscheinlichkeit daß APs angreifbar sind ist - scheinbar - sehr reduziert.

    Das würde ich so nicht sagen. KRACK betrifft beide Seiten. Der Angreifer braucht, wenn er beide Transfer Richtungen abgreifen will auch beide Angriffsziele. Bisher ist seitens der APs nur der Fastroaminghandshake von 802.11r tiefer betrachtet worden, aber neue Veröffentlichungen zeigen schon dass weitere Angriffsvektoren zu erwarten sind.
    Zusätzlich muss man bedenken: Setzt man Repeater (dedizierte Repeatef oder umfunktionierte APs) ein, führen auch diese die "Client"-Schritte des Handshakes durch und sind damit ebenfalls angreifbar.
    Ich stimme aber zu, dass die Clients das größere Problem sind, da a) zahlenmäßig überlegen ;) und b) oft schlechter mit Patches versehen (*hust* Android *hust*)

    Also... Schön, daß man nun doch zugibt, daß WPA angreifbar ist...

    Das sagt man nicht eindeutig. Die Sprachregelung ist, dass es ein Implementierungsfehler ist. Höchstens wurde das durch eine Ungenauigkeit in der Protokoll-Definition begünstigt. Daher ist das auch einfach (sprich ohne Protokolländerung und damit rückwärtskompatibel) fixbar.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Also... Schön, daß man nun doch zugibt, daß WPA angreifbar ist...

    Das sagt man nicht eindeutig. Die Sprachregelung ist, dass es ein Implementierungsfehler ist. Höchstens wurde das durch eine Ungenauigkeit in der Protokoll-Definition begünstigt. Daher ist das auch einfach (sprich ohne Protokolländerung und damit rückwärtskompatibel) fixbar.


    Schwachstelle ist Schwachstelle. Also wohl doch eher nen Tunnel durchs WLAN graben...
    Daß man es nicht offen zugibt, ist nachvollziehbar.

    "Du bist und bleibst a Mensch und du kannst eben net deine menschlichkeit überwinden."

    Dennis_50300


  • Schwachstelle ist Schwachstelle. Also wohl doch eher nen Tunnel durchs WLAN graben...
    Daß man es nicht offen zugibt, ist nachvollziehbar.

    Dass kann man natürlich so sagen. Nach der Definition ist nur alles unsicher - und das stimmt ja irgendwo auch. Was diesen Fatalismus aber schädlich macht, ist dass keine vernünftige, sachliche Diskussion über Sicherheit mehr ermöglicht wird:
    Autos sind unsicher, denn der Mechaniker KÖNNTE die Bremsen falsch montieren. Die Diskussion welches Auto oder welche Reifen oder welche Bremsbeläge ist damit tot. Das selbe gilt natürlich auch für deinen VPN Tunnel, auch der kann fehlerhaft implementiert sein. Oder für Ethernetkabel, denn ein dummer Hausherr könnte ja ne Netzwerkdose nach draußen an die Hauswand bauen.

    => WPA2 (vor allem in der CCMP-Variante) ist sehr sehr sicher. Wenn die Fehler gepatcht sind, kann man damit guten Gewissens weiterarbeiten.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

    Einmal editiert, zuletzt von LoB (19. Oktober 2017 um 09:13)

  • Da ist doch erst Mal die Frage: Hat man das Loch vorab erkannt und bewußt verschwiegen? Und wenn ja: WER hat es bewußt verschwiegen? Wenn die NSA uns sowas nicht sagt, najo. Wird keinen wundern. Bei Herstellern sähe es schon anders aus (aber warum sollten's es dann nicht fixen und den Fame einheimsen, es "als erste" entdeckt zu haben?).

    Und die Academia verschweigt's sowieso nicht. Daher nehme ich diese Lücke als "neu" an. Also hat auch keiner (wenn ich richtig liege) was zugeben können, was er noch nicht Mal gewußt hat?! Oder gibt es Belege dafür, daß irgendwer dieses spezifische Loch unter den Tisch gekehrt hat?

    LoB: Ich habe seit der Erstveröffentlichung noch keine weiteren betrachtet, also sind meine Infos da wohl knapp veraltet. Bin auch schon gespannt wann mein Blackberry KEYone ein Update kriegt. WiFi is eh aus drauf, aber trotzdem. Bisher sitze ich so zwei Wochen hinter Sony, mit Ausnahme des recht argen Bluetooth Bugs von vor kurzem. Da ham's ein Update skipped und sind direkt zu dem mit dem BT Fix.

    Ich bin gespannt, wie schnell/langsam das jetzt geht.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Ha? Ich hab den Anschluss verloren. Wieso gehts jetzt um Verschweigen?
    Der Entdecker arbeitet an ner belgischen Uni, dürfte also unabhängig von Herstellern sein.
    Er kennt die Lücke seit März iirc und hat sie seitdem im Responsible Disclosure Verfahren an die Hersteller gemeldet. Daher gabs jetzt auch sehr schnell Patches von Microsoft, Intel, Aruba... Alsi imho ist das sehr vorbildlich gelaufen.

    Das schließt natürlich nicht aus dass irgendjemand vorher auch schon mal die Lücke entdeckt und verheimlicht hat.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Das habe ich nur deswegen so geschrieben, weil CryptonNite folgendes meinte:

    Also... Schön, daß man nun doch zugibt, daß WPA angreifbar ist...

    Schwachstelle ist Schwachstelle. Also wohl doch eher nen Tunnel durchs WLAN graben...
    Daß man es nicht offen zugibt, ist nachvollziehbar.

    Das klang wie ein Vorwurf, so als "hätten die es eh längst gewußt, nur verheimlicht" (im Bezug auf diese spezifische Lücke), speziell beim ersten Zitat.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Ach so, verstehe. Ich hatte CryptoNite eher so verstanden, dass die WiFi alliance halt den Fehler halt nicht als Protokollfehler "zugibt" - unabhängig davon wann er entdeckt wurde o.ä.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Wobei auf wi-fi.org von Anfang an gleich auf Krack News verlinked wurde, wo klar steht daß WPA2 an sich betroffen ist. Also mir scheint es nicht so, als hätten die versucht den Deckel drauf zu halten.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Sehe ich auch so. Geht wohl um die Sprachregelung Implementationsproblem oder Protokollproblem, aber selbst da schließen sie nicht aus auch im Protokoll nachbessern zu müssen:

    Zitat

    "Is the identified vulnerability a WPA2™ protocol issue or on issue related to specific device implementations?

    When considering the question of whether a vulnerability is a protocol or implementation issue, the purpose is often to determine the vulnerability’s broader implications, such as the pervasiveness of the vulnerability, the ease of addressing the vulnerability, and the ability to maintain interoperability between patched and unpatched devices. In this instance, the issue can be resolved through straightforward software updates that retain interoperability across Wi-Fi devices. Major device and platform providers, including major operating systems, have already started deploying updates, protecting a substantial number of affected devices. The Wi-Fi industry is evaluating whether additional clarity or guidance on implementing the protocol is necessary in the standard."

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Irgendwie erscheint mir der Verbreitungsweg reichlich...mh...idiotisch? Welcher Admin erlaubt in Firmennetzwerken die Ausführung von .exe Dateien?

    Viele Firmen. Lediglich bei Admin-Berechtigungen wird man dann beschränkt. Wenn ein Programm das aber nicht braucht, um Unheil zu verbreiten, dann haste Pech.

  • Seitdem ich prinzipiell nur noch mit AdBlockern ins Netz gehe, ist mein nie wieder mit Malware infiziert worden.

    "Du bist und bleibst a Mensch und du kannst eben net deine menschlichkeit überwinden."

    Dennis_50300

  • Seitdem ich prinzipiell nur noch mit AdBlockern ins Netz gehe, ist mein nie wieder mit Malware infiziert worden.

    gut gepflegte Hosts-datei und du brauchst niewieder nen AdBlocker :D

    winhelp2002

    cmd.exe als admin ausführen, "cd drivers" -> "cd etc" -> "notepad hosts"
    aus der zip.datei von der verlinkten Seite, hosts öffnen mit Notepad, alles kopieren, an die eigene anfügen, speichern und fertig :)

    Dazu Winblöd Defender und windows firewall control von Sphinx (wenn du es richtig übertreiben willst soweit es geht was du zulassen willst maximal auf "outgoing only" und ansonsten "disableall"

    Seitdem brauche ich den Raspi nicht mehr, dns hab ich auch mal geändert auf "8.8.8.8" und "8.8.4.4", wurde mit mal empfohlen, hab ich ausprobiert und rennt super und fühlt sich auch sicherer an ;)

    Edit:
    letzteres sind die Serverlisten auf dem Googleserver, bringt einen etwas besseren Ping zum Zocken und zum anderen geht man Knotenpunktenproblemen wie zum Beispiel bei T-Online aus dem Wege :D :P

    Edit2:
    und wer die ganze Nach Hause telefoniererrei loswerden will, 7 bis Win 10
    Spybot Anti-Beacon

    finde ich auch viel seriöser als xp-antispy und o&o und was es sonst noch so gibt, es arbeitet offensichtlich nämlich auch lediglich an der Hosts-Datei und da kommt das System nicht drumherum, sowie das Internet :D


    Gruss Dennis

    2 Mal editiert, zuletzt von Dennis_50300 (27. Oktober 2017 um 01:21)

  • Ich würde NIEMALS einen DNS von Google eintragen. Da geht ja die eh kaum vorhandene Sicherheit und Anonymität komplett flöten. Auch halte ich das Editieren von Systemdateien mit dubiosen Programmen ebenfalls für fragwürdig.

    "Du bist und bleibst a Mensch und du kannst eben net deine menschlichkeit überwinden."

    Dennis_50300

    Einmal editiert, zuletzt von CryptonNite (27. Oktober 2017 um 12:03)

  • Dem muß ich zustimmen!

    Bedenke was ein DNS an Daten von dir bekommt: Alle URLs die du auflöst auf deinem Client (und dabei ist dann natürlich davon auszugehen daß das nicht nur ein Resolve mit nslookup ist, sondern auch ein tatsächliches Nutzen des Dienstes hinter dieser URL).

    Sprich: Der DNS kann nachvollziehen wann du welchen Server auf dieser Welt besucht hast. Das ließe sich auf Client IP Basis mit eventuellen Google Account Logins kreuzreferenzieren, um diese DNS Auflösungen zu personalisieren, auf eine oder mehrere Personen hinter der Client IP.

    Bitte bedenken, was es heißt, Google Dienste zu nutzen! Es heißt, für die Nutzung des Dienstes mit Aufgabe eines Teils seiner Privatsphäre zu bezahlen.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Einmal editiert, zuletzt von GrandAdmiralThrawn (27. Oktober 2017 um 09:01)

  • @GAT
    So ist es.


    Der Post liest sich, als wäre der von ComputerBild.
    Ob ein Programm sich "sicherer" oder "seriöser" anfühlt ist irrelevant.
    Sicher sein kann man sich nur bei Open Source (mit unabhängingen Audit).

    (5 edits - Ich kann heute nicht schreiben :topmodel: )

    6 Mal editiert, zuletzt von Grindhavoc (27. Oktober 2017 um 12:54)

  • Ein RasPi mit Pi-Hole, DNS-Server nicht von Google und ein VPN für externe Geräte (Handy, Notebook) mit dem man eine Verbindung nach Hause aufbaut, um überall den Pi-Hole zu nutzen.
    Damit erschlägt man die Werbung und MS-Telemetrie wird auch blockiert.

  • Chosen_One

    Ja nur leider blockiert der Pi-Hole auch ordentlich was, wenn man mal in der cmd ein wenig herumpingt gibt es sogar Aussetzer, weils zu lange dauert, das ist garnicht schön.

    Wenn man sich die Hosts Datei selber bearbeitet ist das ja nichts anderes als das was irgendwo in der Liste im Pi-Hole passiert oder uBlock Origin, Origin braucht man zusätzlich zum Pihole am PC eh, ohne dem wird nicht alles geblockt und da wird nunmal genausoviel ausgelesen so von wege Google DNS :)

    Vielleicht kenn ja wer was anderes als DNS was genauso gut funktioniert, ich finde anstatt sich immer nur über die Datenkrake zu beschweren kann man auch die Vorteile mal raussuchen und diese gezielt nutzen ne :)

    Ein Ping der um den Wert 10 bis 15 verbessert ist, ist schon ne nette Sache, zudem "normal" vorhandene Knotenpunkte-Handbremsen beispielswise mit T-Online fallen auch weg dadurch, mehr Upload auf YouTube (da ist man eh eingeloggt mit account dabei) und ansonsten immer vollen Downloadspeed. (hab hier vdsl 50)

    Eventuell gibt es ja ein paar andere DNS die man mit weniger Datenkrakenbauchschmerzen genauso nutzen könnte ? (die von T-Online selbst, oder waren es "Proxy" ?, die waren jedenfalls für'n Eimer, hatte ich auch mal ausprobiert)

    Werbung blocken über die Hosts-Datei ist jedenfalls mal der sicherste und seriöste Weg, Anfragen vom Browser werden dadurch, wenn man verstanden hat wie das funktioniert das bekannte Anfragen für Werbung, dann in's leere laufen auf einer IP die halt im eigenen Heimnetz existiert, aber nicht mit Werbung antwortet ;)

    Thema OpenSource, ja mag ja sein, es gibt allerdings Code in den man nicht reingucken muss um zu verstehen und zu merken wie man was am besten nutzt, oder was man besser nicht nutzt,
    ich hab lieber selbst per Hand Nummer in einer Datei auf meinem Rechner eingetragen, als Fremdsoftware da irgendwie werkeln zu lassen, also die Hosts-Datei ist in diesem Sinne Pi-Hole 2.0 :D :P

    Edit:
    Es gibt übrigens auf Linux genauso auch ne Hosts-Datei, da kann man dieselben "seiten" für die IP's in's Leere eintragen ;) (genug OpenSource ja ? :P )

    Vivaldi ist dann ausserdem mal einen Blick wert, anstatt Google Chrome, oder Firefox.
    Auch wenn Firefox nicht mehr sooo grosse Anteile hat, Firefox ist beispielsweise der einzigste Browser momentan der die 60/Sekunde auf YouTube tatsächlich auch packt mit hardwarebeschleunigung ohne Framedrops (rechte Maustaste, "Statistiken für ..."
    Anscheinend machen die anderen Browser alle garkeine Hardwarebeschleunigung, oder eben nur total schlecht/verbugged, die cpu-qualmt und packt es einfach nicht, normalerweise kann man auf z.B. meiner GTX 1060 4k flüssug wiedergeben (3GB Dual von Palit)


    Gruss Dennis

    Einmal editiert, zuletzt von Dennis_50300 (27. Oktober 2017 um 17:21)

  • Sich über Datenkraken wie jene bei Google zu beschweren ist grade beim Thema SICHERHEIT absolut gerechtfertigt, und auch völlig korrekt. Dazu aufzurufen, die eigene Sicherheit zu reduzieren anstatt zu verbessern ist in einem Securitythread irgendwie kontraproduktiv. ;)

    Ersatz für Google können z.B. diverse DNS Server von [OpenNIC] oder wirklich ganz einfach die DNS Server des eigenen Providers sein. Lücken und Datenlecks kann es natürlich auch da geben, aber zumindest gibt es den Vorsatz des Dataminings schon Mal nicht - ein offenkundiges Problem weniger. Alternativ kann man auch einfach einen eigenen DNS Server betreiben. Auf einem Raspberry Pi ist das ohne weiteres möglich.

    Zur Hosts Datei: Die gibt es ja schon seit den 70er Jahren. Alleine daß sie auch auf Windows in einem etc\ Verzeichnis sitzt ist ja in sich witzig - Das Verzeichnis ist eigentlich ein Teil der Verzeichnisstrukturstandards in POSIX. Aber jo, klar ist es eine Möglichkeit, DNS Auflösungen an dem Punkt aufzuhalten. Ich fand das bisher nur etwas unpraktikabel, und du brauchst einen Weg die Datei sauber und sicher zwischen deinen Maschinen zu synchronisieren.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"