Aktuelle PC und Internetsicherheit (2017-....)

    Jemanden zu schaden ist heute einfach geworden, dank Facebook.
    Durch FB weiß ich:
    - wann mein Opfer online ist
    - welche Zahnbürste es benutzt
    - wie das ganze Privatleben aussieht
    Und dank Ed Hardy erkenne ich Spasten und Arschlöcher schneller.

    Die üblichen Deppen werden genug Infos hinterlassen, um so ziemlich alle erdenklichen Passwörter erraten zu können.
    Passwort für Online-Banking? Hm... Mal bei Facebook gucken... Die Kinder heißen Kevin und Sarah und sind 2003 und 2005 geboren... Also: KevinSarah35... Bingo.
    Das sind zwei Minuten Arbeit, durch die man enormen Schaden anrichten kann. Eigentlich zurecht. Wer nicht über Sicherheit nachdenkt, der darf sich nicht wundern, wenn es ihn erwischt.

    Apropos:
    Im neuem Ausweis der Bundesrepublik Deutschland gibts auch die Möglichkeit, damit sich online zu verifizieren. Zumindest hat man mir das damals so gesagt. Es gibt spezielle Lesegeräte. Da es aber keine sichtbaren Kontakte am Plastekärtchen gibt, scheint es eine Art NFC zu sein... Macht das ein Spaß, wenn man mal etwas weiter denkt.

    Mein Chip ist zerstört. Die Mikrowelle machts möglich. Ich habe den Chip zwar damals bei der Abholung deaktivieren lassen, aber sicher ist sicher.

    Der ideale Passwortcracker sollte heute nicht mehr einfach bruteforcen, sondern Soziale Medien durchsuchen und automatisch Passwörter aus den generierten Daten verwenden. Das ist viel einfacher und wahrscheinlich auch effektiver.

    "Du bist und bleibst a Mensch und du kannst eben net deine menschlichkeit überwinden."

    Dennis_50300

    Einmal editiert, zuletzt von CryptonNite (4. Februar 2017 um 12:32)

    Bei uns is es per Metallkontakten so (mit der "Bürgerkarte") was ich weiß. Hab's aber selbst noch nicht verwendet. NFC hatten bei mir die Bankomatkarte und die VISA, bei der es sogar einen bekannten Angriffsvektor gab, der den Abzug des Geldes per NFC ermöglicht hat (unauthentifizierte Transaktion über den vollen Disporahmen!!). Hatte dazu Mal Links gepostet irgendwo hier.. Najo, der Exploit wurde nicht public gemacht, wohl aus gutem Grund.

    Chips per Bohrer von ihren NFC Antennen getrennt, damit sinds stromlos und ungefährlich.

    Und was Passwortcracking angeht so sind "primitive" Brutes wohl eh schon lange nicht mehr das einzige. Das soziale Netz und die Hintergründe zu einer Zielperson zu analysieren ist sicher hilfreich. Ich denke es würde langsam wirklich Zeit, Informatik an allen Schulen zum Pflichtfach zu erheben, und das Verhalten im Netz als Grundlagenunterricht auszulegen. Ca. so wie man in der Schule ggf. ja auch Radfahren und Schwimmen lernt, und entsprechende Kurse drüber abzulegen hat. Nur daß das Internet vielleicht 2-3 Jahre später drankommen kann.

    Zuviele User haben einfach GAR keine Ahnung von den Gefahren.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Informatik sollte bereits in der Grundschule drankommen. Auch Grundschüler durchforsten das Netz. Über das Verhalten und die Sicherheit im Netz aufzuklären sollte von der gleichen Wichtigkeit sein, wie Straßenverkehr, Schwimmen, Zwischenmenschliche Dinge usw.
    Das Internet ist nicht mehr wegzudenken (da wüssten einige wohl nichts mehr mit ihrem Leben anzufangen) und somit ist Aufklärung oberste Priorität.

    "Du bist und bleibst a Mensch und du kannst eben net deine menschlichkeit überwinden."

    Dennis_50300

    Zitat von CryptonNite

    Wer nicht über Sicherheit nachdenkt, der darf sich nicht wundern, wenn es ihn erwischt.

    Full ACK.
    Darum heißt es für uns, die sich dem Thema näher fühlen und es auch besser durchdringen, die Leute aufzuklären. Ich bin in meiner Kindheit noch offline aufgewachsen und habe mich in der Jugend dem Thema angenommen und weitesgehend auch zum Beruf gemacht. Andere Freunde arbeiten nicht in der IT und haben ein, ich muss sagen, navies Vertrauen in dieser Thematik, die sie auch nicht verstehen, weil sie sich nicht damit beschäftigen. Die müssen wir abholen. Hier muss den Nerd spielen, der komische Dinge sagt von Themen die uninteressant zu sein scheinen.


    Zitat von CryptonNite


    Im neuem Ausweis der Bundesrepublik Deutschland gibts auch die Möglichkeit, damit sich online zu verifizieren. Zumindest hat man mir das damals so gesagt. Es gibt spezielle Lesegeräte. Da es aber keine sichtbaren Kontakte am Plastekärtchen gibt, scheint es eine Art NFC zu sein... Macht das ein Spaß, wenn man mal etwas weiter denkt.

    Mein Chip ist zerstört. Die Mikrowelle machts möglich. Ich habe den Chip zwar damals bei der Abholung deaktivieren lassen, aber sicher ist sicher.

    Da schlummert ein RFID-Chip in der Karte, richtig. Deaktivieren ist gut, zerstören mMn der bessere Weg. Dabei darauf achten, dass die Karte nicht physisch zerstört wird (kleine Brandlöcher).
    In der Theorie bin ich sogar kein Feind dieser Geschichte, wenn man sie richtig aufziehen würde. Damit könnte man vieles vereinfachen. Aber aktuell ist der Ansatz von CN der beste Weg.


    Zitat von GrandAdmiralThrawn

    NFC hatten bei mir die Bankomatkarte und die VISA, bei der es sogar einen bekannten Angriffsvektor gab, der den Abzug des Geldes per NFC ermöglicht hat (unauthentifizierte Transaktion über den vollen Disporahmen!!). Hatte dazu Mal Links gepostet irgendwo hier.. Najo, der Exploit wurde nicht public gemacht, wohl aus gutem Grund.

    Bei uns gibt es dieses kontaktlose Zahlen ohne PIN bis 25 EUR. Darüber muss man die PIN eingeben.
    Ich habe da auch im Hinterkopf, dass es da mal Angriffe darauf gab, weiß aber nicht, ob das Terminal infiziert sein muss. Die Aussage von den Kreditinstituten war, dass das Terminal veraltet und/oder nur unter Laborbedinungen durchführbar war. 2014 war das glaube ich...müsste man mal nachforschen. Ich tippe aber mal, dass die Technik von mehreren über die Jahre zumindest im Labor aufgemacht wurde.

    Wie gesagt, diese Lücke bestand bei der VISA (ohne Auth), nicht bei den Bankomatkarten, da haben wir auch das Limit mit Pineingabe alle 5 Zahlungen und bei höheren Beträgen oder so. Bei den Bankomatkarten konnten ich und ein Kollege von mir aber Information Leaks nachweisen, die jetzt nicht superkritisch, aber doch bedenklich waren (auch ohne Auth).

    Ich sag's Mal so: Ich brauche NFC nicht, kann es mir also leisten auf die Funktionalität zu verzichten. Kleine Zahlungen tätige ich sowieso immer bar. Geht halt nicht so schnell, aber mir doch wurscht...

    Edit: Ajo, und jo, es war unter "Laborbedingungen", leider finde ich die Links zu den Leuten selber nicht mehr bzw. die sind tot., nur mehr Presselinks da, die technisch ungenau sind.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Einmal editiert, zuletzt von GrandAdmiralThrawn (4. Februar 2017 um 19:51)

    Das Problem für mich war, daß die VISA nichts als Beschwichtigungen dafür über hatte! Einen offiziellen Fix gab es nie. Es gibt Firmen die behandeln das wenigstens mit einer gewissen Transparenz.

    Das Verhalten von Sony damals fand ich vorbildlich. Da wurde genau darüber aufgeklärt was man bereits nachweisen konnte, daß passiert war, und es wurde klar und deutlich gemacht welche Daten leaked sind, und von welcher Signifikanz diese Daten waren (in klar verständlichen Worten). Sprich: Man hat den Einbruch und dessen Auswirkungen in vollem Umfang zugegeben (was sicher nicht einfach ist).

    Eigentlich hätte die VISA klar Stellung beziehen und den Fix des Problems offiziell ankündigen müssen. Betroffene Karten hätten serverseitig von der NFC Zahlung ausgeschlossen gehört. Ich mein, vielleicht haben sie's eh sofort gefixed! Kann gut sein. Aber es stört mich, wenn da nicht klar und transparent kommuniziert wird.

    Als jemand, dem auch schon (mehrmals, auch im professionellen Sektor!) in seine Server und Dienste eingebrochen wurde kann ich nur sagen, daß der beste Weg immer noch der ist, alle User klar und deutlich darüber zu informieren, auch wenn es den eigenen Stolz verletzt und auch wenn man glaubt seine eigenen Qualifikationen dadurch in Frage gestellt zu sehen.

    Ein klareres Statement hätte ich mir da damals schon gewünscht, grade von einem so großen und wichtigen Kreditdienstleister.

    Auch geil: Die VISA druckt nach wie vor meine volle Kreditkartennummer auf die Rechnung, die per Post verschickt wird! Und es gibt immer noch Services im Netz, die Buchungen OHNE Verfikation meines VbV Passwortes oder meines Sicherheitscodes durchführen. Die Mastercard hat schon längst damit aufgehört das zu tun, bei AMEX weiß ich es nicht.

    Also habe ich die VISA darauf hingewiesen, daß das ein potentielles Sicherheitsrisiko darstellt, und daß andere Kreditkartenunternehmen aus genau diesem Grund damit aufgehört haben. Mehr als Beschwichtigungen und "das passt schon, es ist alles sicher" ist nicht zurückgekommen.

    Sowas schmeckt mir einfach irgendwie nicht. :mauer:

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Wat? Spinnen die bei VISA? Manche sind ja echt so doof und faul, daß es scheppert :rolleyes:

    Aus Erfahrung wissen wir ja, daß große Unternehmen erst bei Abwanderung der Kaufkraft handeln,
    sprich die Kunden flitzen. Also einfach mal was in der Richtung verlautbaren lassen und schauen, was
    passiert. Im Fall der Fälle damit rechnen sich dann wirklich andere Dienstleister zu suchen (müssen).
    Man sollte also eine Alternative klargemacht oder in Aussicht haben ;)

    Tja, viele Leute jammern halt viel lieber dumm herum, oder ignorieren anstatt präventiv zu handeln.
    Problem ist halt ne kritische Masse anzusprechen und dazu zu bewegen, sich aufzurappeln..
    Gegen die Faulheit und Bequemlichkeit oder Dummheit weis ich auch kein adäquates Mittel. Ist halt der
    Unterschied zwischen Unternehmern und Unterlassern; Eigenverantwortung liegt vielen nicht. Aber lassen
    wir das Thema, das wird wieder zu philosophisch und der Thread ist schon genug zugespammt worden.

    Es ist leider so, daß im Bereich der Sicherheit jeder erst handelt, wenn es zumindest ein Mal zu spät war. Das war sogar bei mir selbst so, und ich hätte es eigentlich besser wissen müssen. Aber die Faulheit ist so eine unendlich mächtige Sau...

    Solange man nicht mindestens einmal selbst leidet, tut man meist genau gar nichts. Dann kommt irgendwann der bittere Weckruf, und erst dann passiert was...

    Egal ob's ein Account Hack ist, Mißbrauch eines Zahlungsmittels oder die Kompromittierung der eigenen Computersysteme.. Wer selbst noch nie maßgeblich (also spürbar) betroffen war, wird wahrscheinlich nicht handeln. Und welcher normale User liest schon sicherheitsrelevante News oder abonniert selbige?! Jo pfh. :rolleyes:

    Weil hier mehrmals "brain.exe" gesagt wurde; Sicherheit beginnt halt im eigenen Kopf.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Endlich kommt die Problematik mit der AV-Software mal auf den Tisch.
    Bin schon länger der Meinung, dass sich da gewaltig was ändern muss, wenn die auf lange Sicht bestehen wollen.

    Punkt 1 ist: SSL Zertifikate sind NICHT vertrauenswürdig. Wer das echt glaubt, hat noch viel zu lernen. Daß wir hier obskuren "Zertifikatsautoritäten" vertrauen, die ihre Beglaubigungen letzten Endes einfach nur für GELD verkaufen, ist in sich hirnrissig. Viele CAs (=Certificate Authorities) haben ja noch nicht einmal nennenswerte Prozeduren, wenn es darum geht, Zertifikatsantragssteller zu verifizieren! Und trotzdem kosten's Kohle?

    Es gibt ja zwei wichtige Komponenten an HTTPS: #1 ist die Datenverschlüsselung, das ist der simple Part. #2 ist die Identitätsverifikation und Identitätsbeglaubigung, und die kann man beim aktuellen Prozedere schlicht und ergreifend einfach nicht ernst nehmen, und doch ist es genau der Part der den Usern am meisten auf's Auge gedrückt wird; "Vertraut den CAs, denen namhafte Softwarehersteller1 vertrauen!". Denn diese "namhaften Softwarehersteller" sind es, die die Stammzertifikatslisten mit den absolut vertrauenswürdigen Zertifikatsautoritäten ausliefern. Denen vertrauen wir alle implizit durch die Nutzung ihrer Software.

    So, Punkt 2 ist, selbst wenn wir annehmen, daß HTTPS in irgendeiner Form etwas taugt (zur Datenverschlüsselung ist es ja wirklich ok, solange man auf sichere Ciphers, Hashes, Protokolle usw. setzt), dann DARF keine Fremdsoftware die nicht unter meiner vollständigen Kontrolle steht in den Prozeß eingreifen! Das war es auch was ich damals an Avast stark kritisiert hatte, als die das eingeführt hatten. Sowohl für HTTPS, wie auch andere Protokolle (IMAPS als Beispiel).

    Dennoch, die HTTPS Gesamtproblematik ist weit komplexer und schwerer zu lösen, weil dieser AV Schund ist nur die Spitze des Eisbergs..

    1Dazu gehören proprietäre wie freie; Apple, Google, Microsoft, Mozilla Foundation, Oracle, usw.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    SSL-Zertifikate richtig angewendet sind mMn ein sehr guten Mittel Vertrauenswürdigkeit herzustellen. Natürlich ist das aktuelle bzw. altmodische Handling von Zertifikaten nicht wirklich vertrauenswürdig.
    Aber in den letzten Jahren gibt es immer mehr Bestrebungen das Verfahren zu verbessern. Certificate Pinning, DANE...alles Dinge, die bisher wenig Verwendung finden, aber dazu beitragen dem "Ach wir vertrauen auch Honest Achmed" entgegenzuwirken.

    Schau, es hilft nichts, wenn ich Institutionen wie Thawte oder Verisign nicht Mal vertrauen möchte. Oder Microsoft. Das sind natürlich nur einige prominentere Beispiele, aber das komplette Konzept von "Autoritäten" die für Geld quasi so etwas wie "Lizenznehmer" beglaubigen und dabei kaum vertrauenswürdige Vorgehensweisen nutzen ist schlicht und ergreifend nicht vertrauenswürdig. Das stellt keine Sicherheit dar.

    Ein völlig freies Peer Reviewing wäre hier sinnvoller. Oder ein komplettes Aufgeben der Identitätsverifikation durch HTTPS!

    Um ehrlich zu sein, die von dir genannten Technologien (Cert Pinning und DANE) kenne ich selbst nicht einmal. Hier besteht bei mir wohl Nachholbedarf.

    Aber auf Basis meines aktuellen Wissensstands kann ich nur sagen, daß ein selbstsigniertes Zertifikat für mich kaum einen Unterschied zu einem per CA beglaubigten darstellen kann. Vielleicht SOLLTE es das auch gar nicht... Aber diese ganze "identitäre" Geschichte wird uns ja schon seit Urzeiten eingeredet im Netz.

    Was ich hier also kritisiere sind die Vertrauensstellungen und Trust Chains des SSL Zert Systems so wie in HTTPS implementiert und aktuell angewendet.

    Ich kann kaum einer CA vertrauen, eine Identität und damit eine Vertrauenswürdigkeit sicherzustellen, also was soll das ganze?!

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    GAT hat wirklich recht.
    Ich meine das es erst letztes Jahr (oder wars noch 2015!?) in Russland zwei Fälle gab.
    Einmal "Zertifikatsdiebstahl" (also Quasi die Tools um ein ECHTES! Zertifikat auszustellen) sowie
    "gefälschte" (wurde so genannt) Zertifikate, die jedoch echt waren, aber durch Bestechung o.ä. Machenschaften
    illegal erworben wurden.

    Also ist das System, so wie wir es kennen, doch schon kompromittiert.

    Wir reden hier vom "Web 2.0", aber die Krankheiten aus den Kindertagen des Internets behebt man, wie man Krebs mit einer Chemotherapie behandelt...

    "Du bist und bleibst a Mensch und du kannst eben net deine menschlichkeit überwinden."

    Dennis_50300

    Also DANE schaut wirklich nicht dumm aus. Das erinnert mich ein wenig an die DK/DKIM und SPF Mechanismen, die ich für meinen Mailserver implementiert habe, das geht auch über im DNS Server hinterlegte Schlüssel, die aber keinen speziellen Eintragstyp haben (ist einfach ein TXT Record). Gehört zudem zu den Dingen, die CryptonNite mit der "Chemo" verglichen hat. So falsch ist das nicht, gewisse Technologien waren halt einfach nicht für die Verwendung gedacht, die sie heute finden.

    Aber DANE gefällt mir. Müßte man nur erst Mal implementieren, und der DNS Server (so man keinen eigenen hat) muß TLSA Records können. Und dann is die Frage: Welche Clients beherrschen das? Und welche Clients stufen alle drei möglichen Vertrauensstellungen (Service Certificate Constraints, Domain-Issued Certificate, Trust Anchor Assertion) auch wirklich als "vertrauenswürdig" ein? Microsoft oder Google sind ja eventuell nicht Mal so sehr daran interessiert, das zu fördern? Wäre ja eine Legitimisierung der Selbstsignatur, wenn ich das richtig verstehe (ich fänd's super, aber die Industrie auch?).

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"