Aktuelle PC und Internetsicherheit (2017-....)

  • Zum eigentlichen Thema:
    Viele gute Punkte wurden genannt. Letztendlich bringt es aber sehr viel sich mit dem Thema selbst einmal auseinanderzusetzen.
    Was kann da passieren. Was sind die schattigen Seiten der Dienste, die man einsetzt. Gibt es Alternativen?
    Wir dürften hier alle keine Personen sein, denen APTs drohen, sondern die durch die beiläufige und unbedarfte Nutzung des Internets uns evtl. Dummes einfangen. Einfangen im Sinne von Dinge, die uns die Festplatte verschlüsseln oder unsere Daten in Hände tragen, die damit Dinge anstellen können, welche man sich selbst nicht ausmalen kann.
    Wem das alles scheißegal ist und er "eh nichts zu verbergen hat", schön und gut. Der Diskussion darf die Person dann mMn auch fernbleiben. Die hilft dann nicht weiter.
    Es gilt das eigene Handeln zu betrachten. Die Nutzung von WhatsApp, Facebook und Co. hat ihren Preis. Bin ich bereit diesen zu zahlen? Muss jeder selbst entscheiden.

    Hard- und Softwarelösungen rund um das Thema führen dann auch sehr schnell ins Schlagenöllager. Welcher AV-Hersteller zerlegt meine Krypto schneller und wirkungsvoller? Wie oft kommen Signaturen und Updates, die mich angreifbarer machen?
    Ich halte nichts von derer Art Software. Wer Windows nutzt, kann die Security Essentials nutzen. Die pulverisieren mir jedenfalls (noch) nicht meine eigenen Schutzmaßnahmen.
    Nutzt Adblocker (uBlock Origin), blockiert Skripte von Drittseiten (NoScript), lasst euch nicht tracken (Privacy Badger, Disconnect), nutzt HTTPS wo möglich (HTTPS-Everywhere) und habt verschiedene sichere Passwörter (im Passwortsafe KeePass). Das kombiniert mit dem Nutzen alternativer Dienste (Signal statt WhatsApp) oder dem Nicht-Nutzen von Diensten (z.B. Facebook) bringt einen guten Sicherheitsgewinn. Für eure Software und auch für euch selbst als Person.

  • "Datenverschlüsselung" von WhatsApp, sag ich da nur xD


    Najo, natürlich.

    Hier Mal eine Anekdote zur "vertrauenswürdigen Verschlüsselung": Es gibt (nur um das Mal erwähnt zu haben) in Österreich eine sogenannte "Bürgerkarte", mit deren Hilfe es mittels Kartenleser möglich ist, online amtliche Dokumente kryptographisch zu signieren, gleichwertig also mit einer Unterschrift. Und natürlich zu verschlüsseln. Das ist ein nettes Konstrukt mit nur einem Fehler: Dieses Public/Private Key System hat seine Schwachstelle darin, daß der private Schlüssel "treuhänderisch" von der Regierung für mich zurückbehalten und verwendet wird, um Dokumente nach meiner Authentifizierung serverseitig zu signieren (!!!) und danach beliebig zu entschlüsseln.

    Das ist kompletter SCHEISSDRECK.

    Der private Schlüssel gehört ausschließlich unter meine ALLEINIGE physische Kontrolle. Der Regierung die Möglichkeit einzuräumen, "in meinem Namen" zu signieren (nachdem sie meinen privaten Schlüssel vorhält, ohne daß ich darauf Zugriff bekäme, Passphrase gibt's ja keine) ist blanker Irrsinn. Das ist genau so, als hätte ich früher™ gesagt "ajo, die Regierung darf meine Unterschrift unter jedes ihrer Dokumente setzen, sie machen's eh nicht haha".

    Selbiges gilt für alle Dienste, die Datenverschlüsselung oder Identitätsverifikation versprechen, ohne sie in die vollkommene Kontrolle des Users zu übertragen - essentielle Bestandteile davon sind ganz klar das userseitige Erzeugen und Rückbehalten der Schlüsselpaare bzw. insbesondere des privaten Schlüssels zur Entschlüsselung und Signierung von beliebigen Daten.

    Und jo, das trifft so ähnlich auch auf symmetrische/PSS Verschlüsselungen zu...

    Ich persönlich habe die Regierung meines Landes schon mehrfach direkt dazu aufgefordert, eine Identitätsverifikation auf PGP/GPG Basis mit Web of Trust zu implementieren. Kaum wundernswert ist da nie eine Antwort gekommen. Auf alle "konformen" Korrespondenzen natürlich schon. Nur kaum kommt die Sprache auf eine Kryptographie, die nicht fest in Staatskontrolle liegt, ist's vorbei.

    "Ein Schelm, wer Böses denkt"?

    Ich finde das in jedem Fall inakzeptabel, egal ob von Seiten des Staates oder der Wirtschaft.

    Datenorientierte Verschlüsselung und ID Verifikation ist sicher die Lösung! Aber auch nur, wenn sie unter der Kontrolle der Personen verbleibt, die diese Daten miteinander austauschen und die "einander" beglaubigen. Bitte ohne Einmischung dritter, egal ob Staaten oder Firmen...

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    3 Mal editiert, zuletzt von GrandAdmiralThrawn (1. Februar 2017 um 23:56)

  • Die Verschlüsselung von WhatsApp ist gut und für die Qualität der Software auch annehmbar implementiert.

    WhatsApp fickt dich mit dem Auslesen der Kontakte und den Metadaten. In den Inhalt kann Facebook nicht reingucken.

  • Die Verschlüsselung von WhatsApp ist gut und für die Qualität der Software auch annehmbar implementiert.

    WhatsApp fickt dich mit dem Auslesen der Kontakte und den Metadaten. In den Inhalt kann Facebook nicht reingucken.

    Ist das wirklich so? Ich dachte der Inhalt wird analysiert. Von welchen Metadaten reden wir hier? Zeitpunke online/offline, Anzahl verschickte/enpfangene Nachrichten, ... , oder entgeht mir hier irgendwas völlig?

  • WhatsApp nutzt die Verschlüsselung von WhisperSystems. Diese Krypto ist ebensfalls in Signal implementiert und gilt als sicher, wenn richtig implementiert.
    Hier gab es vor kurzem ja die Meldung, dass WhatsApp eine Backdoor hat. Hier wurde die Krypto nicht falsch, sondern nur unschön implementiert. Unschön bedeutet, dass die usabilty im Vordergrund stand. Damit war es möglich einzelne Nachrichten abzufangen. Massenüberwachung macht man so nicht.
    Hätte Signal diese Schwäche wäre das nicht gut, weil Signal eine andere Kategorie Nutzer hat, die auch mal damit leben können und wollen, dass man ihnen sagt, wenn sich der Key vom Gegenüber ändert und die Nachricht nicht stumpf erneut sendet. WhatsApp lass ich das durchgehen, weil der Dienst eh für die Masse, die wenig bis keine Ahnung von dem hat was sie da macht. Von daher ist der Einsatz einer guten Ende-zu-Ende-Verschlüsselung generell gut.

    Gefährlich ist WhatsApp dadurch, dass Facebook als Betreiber sehen kann wer mit wem und wann und wie oft kommuniziert. Alleine dadurch lassen sich enorm viele Rückschlüsse ziehen. Inhaltsanalyse brauchst du, wenn du spezifisch etwas zu einer Person herausfinden willst. Wenn du auf Masse gehst, willst du wissen wer mit wem und wann redet. Das reicht vollkommen.

  • Ich glaube nicht, daß Facebook keine Möglichkeit hat, an die Inhalte heranzukommen.
    Es gibt eine Möglichkeit, die Verschlüsselung von WhatsApp zu umgehen und damit an den Inhalt der Nachrichten zu kommen. Die funktioniert auch, habe ich bereits probiert. Der Schlüssel muss dabei nicht mal erraten oder gecrackt werden.

    "Du bist und bleibst a Mensch und du kannst eben net deine menschlichkeit überwinden."

    Dennis_50300

  • Ich persönlich finde den Ansatz der Trennung Spiele-/Office-PC sehr sinnvoll und beschäftige mich schon länger mit dem Thema. In diesem Zusammenhang beschäftige ich mich auch schon länger mit dem Thema Linux, welches letztlich auf der Office-Kiste laufen soll. Interessant wären hier Erfahrungswerte bezüglich der Nutzbarkeit von Linux und der sinnvollsten Distribution bei der man kein "Latinum für die Konsolennutzung braucht" auf Lenovo Thinkpads.

    Möchte ich weiterhin zocken und dieses Gefühl überkommt mich eben immer wieder, werde ich wohl auch künftig einen Windows-Rechner brauchen. Aber auf dem auch zukünftig meine Bankgeschäfte tätigen, womöglich mit einem Cloud-OS? Nein danke.

  • Mit Bitte um detaillierte Anleitung.


    Wenn ich Dich nicht hätte und die ganzen kleinen Kartoffeln, müsste ich lauter große essen.
    Ich denke, Du bist intelligent genug, um selbst darauf zu kommen. Nun verwende mal Dein Hirn und benutze Deinen Kopf nicht nur zum Ausprobieren neuer Frisuren.

    Es gibt sogar noch eine Methode, die funktioniert. Die ist allerdings nur eine Frage der Zeit. Brute Force klappt immer.

    "Du bist und bleibst a Mensch und du kannst eben net deine menschlichkeit überwinden."

    Dennis_50300

    2 Mal editiert, zuletzt von CryptonNite (2. Februar 2017 um 20:17)

  • Wie umgehe ich die Krypto von WhatsApp?

    1. Ich kompromittiere das Handy an sich. Wenn ich das hab, kann ich die Nachricht bevor sie verschlüsselt wird via Keylogging abgreifen.
    2. Ich attackiere via MITM via der bekannten Implementierungsschwäche. Aber das geht nur für eine Nachricht.
    3. Brute Force lasse ich nicht gelten. Die Kommunikation beruht nicht auf einem Schlüssel. Du musst jede Nachricht entschlüsseln. So viel Rechenleistung dürfte nicht mal das Utah Data Center haben.
    4. Facebook hat generell einen MITM-Angriff am Laufen. Das lässt sich mit einem Schlüsselvergleich herausfinden. Hat noch keine behauptet, ist also keine valide Annahme.
    5. ...

    Du darfst mir gerne beim nachdenken helfen. Ich versuche meinen Kopf ja zum Denken zu benutzen. Nicht ohne Grunde habe ich 0-1mm Haarlänge, damit ich nicht abgelenkt werde.

    Wenn die Umgebung als verseucht anzusehen ist, gebe ich dir Recht. Dann ist nichts mehr sicher. Ansonsten würde ich dich bitten mich jetzt aufzuklären welche Vektoren du für einen validen Angriff siehst.

    Einmal editiert, zuletzt von Chosen_One (2. Februar 2017 um 23:36)

  • Probieren ist immer eine gültige Lösung, obs dir passt oder nicht. Etwas anderes ist Brute Force nicht.

    "Du bist und bleibst a Mensch und du kannst eben net deine menschlichkeit überwinden."

    Dennis_50300

  • Ich glaube nicht, daß Facebook keine Möglichkeit hat, an die Inhalte heranzukommen.
    Es gibt eine Möglichkeit, die Verschlüsselung von WhatsApp zu umgehen und damit an den Inhalt der Nachrichten zu kommen. Die funktioniert auch, habe ich bereits probiert. Der Schlüssel muss dabei nicht mal erraten oder gecrackt werden.

    Damit ist Brute Force deine Art der Umgehung. Mit klaren Worten kann ich was anfangen.

  • Ist das praktikabel? Er hat gesagt, man muß den Key nicht raten oder knacken, also was dann? Brute Force auf den Key isses nicht. Gibt's eine Passphrase oder User ID oder sonst eine Datenquelle, die zur Key Derivation herangezogen wird? Also Social Engineering oder Brute auf die Passphrase?

    Ich mein, "praktikabel" ist Bruten meist nicht. Wenn, dann will ich jeden beliebigen Account mit hinreichend billiger Hardware innerhalb von weniger als 24h aufmachen können...

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Signal hat eine Passphrase, die die Nachrichten auf dem Handy verschlüsselt. Das ist aber unabhängig von der Ende-zu-Ende-Verschlüsselung.

    Ich tippe mal, wenn WhatsApp sowas hat, dann optional und als opt-in in den Einstellungen. Das kostet Komfort. Wenn die das haben, dann aber das Rekeying so verkacken, ist das arm. Daher glaube ich geht usability vor und ITsec wird da rangepackt, solange es de Komfort nicht stört.

  • Ich glaube nicht, daß Facebook keine Möglichkeit hat, an die Inhalte heranzukommen.
    Es gibt eine Möglichkeit, die Verschlüsselung von WhatsApp zu umgehen und damit an den Inhalt der Nachrichten zu kommen. Die funktioniert auch, habe ich bereits probiert. Der Schlüssel muss dabei nicht mal erraten oder gecrackt werden.

    Damit ist Brute Force deine Art der Umgehung. Mit klaren Worten kann ich was anfangen.


    Nein. Jemanden einschätzen scheint nicht deine Stärke zu sein, was?
    Ich habe WA vor längerer Zeit abgeschafft und nutze jetzt erfolgreich Threema.

    "Du bist und bleibst a Mensch und du kannst eben net deine menschlichkeit überwinden."

    Dennis_50300

    Einmal editiert, zuletzt von CryptonNite (4. Februar 2017 um 01:04)

  • Da du dein Posting nicht aufklären kannst, muss ich wohl Annahmen treffen und Fragen stellen.

    Warum bist du eigentlich so aggro? Kann ich was dafür, dass du die Aussage getroffen hast, dass man die WA-Krypto mal eben so umgehen kann und wir hier jetzt raten, was der werte Herr damit wohl gemeint hat, wenn die Fachwelt da draußen dies noch nicht geschafft hat?
    Und wenn man dann fragt, ob du es so oder so gemeint hast, kommen nur dumme Kommentare. Sehr geile Diskussionskultur.

  • Man gewinnt schnell den Eindruck, daß Toleranz nicht deine Stärke ist und du keine andere Meinung als deine akzeptierst.

    Fakt ist, man kann oder konnte die Verschlüsselung umgehen. Es wird kein Schlüssel gebraucht, weil man quasi den Partner "verdrängt" und den Platz einnimmt. Obs heute noch geht? Keine Ahnung. Auf einschlägigen Seiten wird man fündig.
    Na ja, man könnte ja mal probieren, ob mitgelesen wird. Wir schreiben einfach immer schön von Bomben, nennen ein paar Städte und schreiben "Gott ist groß". Wenn dann das SEK vor der Tür steht, dann ist das der Beweis, daß mitgelesen wird.

    "Du bist und bleibst a Mensch und du kannst eben net deine menschlichkeit überwinden."

    Dennis_50300

  • Gibt es nicht schon einen WA/ Facebook Thread? Wäre schön wenn ihr eure Auseinandersetzung dort weiter führen könntet.

    Generell kann man alles umgehen sofern man will. Die Notwendigen Ressourcen dafür dürfte nahezu jede Regierung dieser Welt haben.

    @Topic
    Prinzipiell kann man durch umsichtiges preisgeben seiner Daten und das Vermeiden von unnötigen Risiken schon einiges erreichen denke ich. Als problematisch sehe ich die fortwährende Vernetzung an. Immer mehr always on, Cloud, Mietmodelle für Software usw. Der Mensch soll möglichst wenig besitzen und möglichst wenig selbst in der Lage sein selbst irgendwas effektiv zu entscheiden. Oder aber gar nicht in die Situation kommen irgendwas entscheiden zu müssen (Stichwort: Navi). Verzichtet man auf bestimmte Produkte gerät man wirtschaftlich oder sozial ins Hintertreffen, das kann niemand ernsthaft wollen. Ergo ein tolles Druckmittel. Gleichzeitig werden die Produkte dadurch immer anfälliger...BMW Connected Drive...anyone? :rolleyes:

    Interessant finde ich z.B. auch immer wieder wenn E-Mail Konten gehackt werden. Überall wird rumgelabert man soll ein komplexes Passwort nutzen, dieses häufiger wechseln, niemanden darüber informieren. Was nützt der ganze Scheiss wenn einfach in die Datenbank vom Anbieter eingebrochen wird? Ähnlich verhält es sich doch letztlich auch in der Cloud. Nur das dort dann nicht "nur" meine Mails gestohlen werden, sondern mein halbes Privatleben und ggf. meine Arbeit.

    Interessantes Video zum Thema:
    https://www.youtube.com/watch?v=NpN9NzO4Mo8

  • In Datenbanken einzubrechen sollte schon längst nicht mehr bedeuten, daß die Passwörter offenliegen. Die sind dort hoffentlich als gesalzener und starker Hash hinterlegt, da können dann aktuellem Wissen zufolge auch Regierungen nichts tun außer den Nutzer mit anderen Mitteln zu zwingen seine Daten offenzulegen. Es gibt mehrere dokumentierte Fälle (auch z.B. mit TrueCrypt), wo es einer Regierung nicht gelungen ist einzubrechen, weil die Software scheints keine zu diesem Zeitpunkt bekannten, hinreichenden Implementierungsschwächen hatte die einen Angriff möglich oder zum. finanzierbar gemacht hätten.

    Eine moderne Applikation wird hier sicherlich salted SHA512 oder SHA256 verwenden, wenn's um Passworthashing geht. Ältere Applikationen SHA1, aber selbst mit MD5 hat man als privater, "kleiner" Angreifer ein schweres Leben. Regierungen natürlich nicht mehr.

    Ist auch schon mehrmals passiert, daß mir meine Passworthashes (und Usernamen!) geklaut wurden, einmal durch einen Einbruch bei Sony Online Entertainment (User wurden benachrichtigt), und einmal bei einem anderen Spieledienst... Meh, vergessen was es war..

    Schaden bringt das kaum. Sind das Pwd und der Hash stark genug, muß man sich mit dem Ändern des Passworts nicht wirklich beeilen oder kann es überhaupt sein lassen (Vorsicht sollte natürlich schon vor Nachsicht kommen, ich meine nur).

    Starke Passwörter sollte man aber tatsächlich wählen. In den eMail Account eines Nutzers auf meinem eigenen Mailserver wurde auch schon eingebrochen. Grund war hier aber kein Datenklau, sondern ein altes, ultrasimples Passwort...

    Also ich glaube schon, daß eMail Hacks hauptsächlich Usern passieren, die entweder ihr Plaintext PWD selbst aus Versehen leaken, oder die unsäglich schlechte Passwörter haben, die sich per Dict locker bruten lassen.

    Das "Entmündigen" der User durch Leasingmodelle und Abnahme der Entscheidungsbefähigungen ist da noch ein ganz anderes Problem; Weniger noch in Bezug auf Sicherheit als auf die Aufgabe der Freiheit und den völligen Kontrollverlust! Das ist im Netz neben Sicherheit die zweite große Komponente, die extrem gefährdet ist..

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Einmal editiert, zuletzt von GrandAdmiralThrawn (4. Februar 2017 um 11:43)

  • Man gewinnt schnell den Eindruck, daß Toleranz nicht deine Stärke ist und du keine andere Meinung als deine akzeptierst.

    Fakt ist, man kann oder konnte die Verschlüsselung umgehen. Es wird kein Schlüssel gebraucht, weil man quasi den Partner "verdrängt" und den Platz einnimmt. Obs heute noch geht? Keine Ahnung. Auf einschlägigen Seiten wird man fündig.
    Na ja, man könnte ja mal probieren, ob mitgelesen wird. Wir schreiben einfach immer schön von Bomben, nennen ein paar Städte und schreiben "Gott ist groß". Wenn dann das SEK vor der Tür steht, dann ist das der Beweis, daß mitgelesen wird.

    Ja, es liegt an meiner fehlenden Toleranz dir gegenüber, dass ich deine Ausführungen nicht verstehen will. Und dass es eine andere Meinung als meine geben soll...genau...

    Vielleicht lese ich hier ja noch ein Links, die Dinge belegen oder näher erklären. Unsere Diskussion führt zu nichts.


    Interessant finde ich z.B. auch immer wieder wenn E-Mail Konten gehackt werden. Überall wird rumgelabert man soll ein komplexes Passwort nutzen, dieses häufiger wechseln, niemanden darüber informieren. Was nützt der ganze Scheiss wenn einfach in die Datenbank vom Anbieter eingebrochen wird? Ähnlich verhält es sich doch letztlich auch in der Cloud. Nur das dort dann nicht "nur" meine Mails gestohlen werden, sondern mein halbes Privatleben und ggf. meine Arbeit.

    Zentralisierte Daten sind halt sehr verlockend. Da investiert man mehr Leistung, weil es auch mehr zu holen gibt. Wenn dann die Betreiber nicht genau wissen, was sie tun hat man schlechte Karten.
    Es gibt aber Dienste, die ich als Vorbilder sehen würde. Beispiel im Bereich E-Mails ist das Berliner Unternehmen Posteo. Im Bereich ITsec und Transparenz sind die an vordester Front. Sie wissen aber auch, dass 100%iger Schutz nicht machbar ist und loggen darum so wenig Metadaten wie möglich. Und um die Plattform zu betreiben nehmen sie Geld von den Kunden. Keine Werbung oder Analyse von Metadaten, die dann monetarisiert werden.

    Dein Video zeigt die Nutzung von Cerberus. Dreht man dies um 180° könnte es auch ein Trojaner, wie Pegasus sein. Gleiche Funktionalität, nur gegen den eigentlichen Benutzer gewendet. Hier braucht es transparente Software, die geprüft werden kann, um Schwachstellen aufzuspüren und damit die Grundlage für diese Malware zu nehmen.