Archiv der Kategorie: Sicherheit

Signal-Logo

Signal hackt zurück

Der Hauptentwickler der Instant-Messaging-App Signal, Moxy Marlinspike, hat in einem Blog-Beitrag interessante Neuigkeiten zu berichten. Darin geht es um die Spionage- und Datenanalyse-Software des israelischen Unternehmens Cellebrite – und im letzten Absatz – sehr erheiternd – um den zukünftigen Umgang mit dieser Software durch die App Signal. Um die Software untersuchen zu können, hätte der Zufall mitgespielt, denn die Tasche mit Adapterkabeln, Kopierschutzdongle und der Software sei von einem Laster gefallen 🙂 , während er einen Spaziergang gemacht habe.

Der originale Beitrag (in englisch) ist hier zu finden: https://signal.org/blog/cellebrite-vulnerabilities/

Nachfolgend die mittels deepl.com und ein wenig Nacharbeit meinerseits ins deutsche übersetzte Version:

Ausnutzung von Schwachstellen in Cellebrite UFED und Physical Analyzer aus der Sicht einer App

moxie0 am 21. Apr 2021

Cellebrite stellt Software her, um Daten von mobilen Geräten physisch herunter zu laden und zu indizieren. Sie bewegen sich in der Grauzone – dort, wo sich Unternehmens-Marken mit dem Anrüchigen verbinden, um „digitale Intelligenz“ genannt zu werden. Auf ihrer Kundenliste stehen autoritäre Regime in Weißrussland, Russland, Venezuela und China, Todesschwadronen in Bangladesch, Militärjuntas in Myanmar und diejenigen, die in der Türkei, den Vereinigten Arabischen Emiraten und anderswo Missbrauch und Unterdrückung betreiben. Vor ein paar Monaten gaben sie bekannt, dass sie ihre Software um Signal-Unterstützung erweitert haben.

Ihre Produkte wurden oft mit der Verfolgung von inhaftierten Journalisten und Aktivisten auf der ganzen Welt in Verbindung gebracht, aber es wurde weniger darüber geschrieben, was ihre Software tatsächlich tut oder wie sie funktioniert. Lassen Sie uns einen genaueren Blick darauf werfen. Insbesondere wird ihre Software oft mit der Umgehung von Sicherheit in Verbindung gebracht, also nehmen wir uns etwas Zeit, um die Sicherheit ihrer eigenen Software zu untersuchen.

Signal hackt zurück weiterlesen
ExodusPrivacyBanner

Exodus-Privacy – Privatsphäre bei Apps

In einigen meiner Beiträge habe ich auf die Problematik von Trackern in Apps hingewiesen, die sehr viele Apps im Google-Play-Store betreffen. Um dieses Problem zu umgehen, könnte man ausschließlich Apps aus dem freien App-Store F-Droid installieren. Damit wäre sichergestellt, dass keine Tracker in den Apps enthalten sind. Denn bevor eine App in das offizielle Repository von F-Droid aufgenommen wird, wird es einer gründlichen Analyse unterzogen. Und Tracker wären ein absolutes NoGo für die Aufnahme in dieses Repository.

Aber möglicherweise hat man liebgewonnene Apps oder auch solche, für die es keine Alternative bei F-Droid gibt. Und dann möchte man doch die eine oder andere App aus dem Google-Play-Store installieren. Bevor man das tut, ist es empfehlenswert, sich im Browser die Apps anzusehen und dort zu untersuchen, ob und welche Tracker möglicherweise enthalten sind. Natürlich bietet Google nicht von sich aus an, sich die Tracker anzusehen. Entweder, man prüft jede App durch den Besuch der Webseite

https://reports.exodus-privacy.eu.org/en/

und gibt dort den Namen einer fraglichen App ein.

Exodus-Privacy – Privatsphäre bei Apps weiterlesen
GnuPG-Dieb

diebstahlresistente PGP-Schlüssel erstellen

E-Mails sind bekanntlich wie Postkarten zu sehen, wenn sie über das Internet versandt werden. Sie sind für alle am Transport Beteiligten lesbar. Damit das nicht so bleibt, hat vor inzwischen fast 40 Jahren ein schlauer Softwareentwickler namens Philip Zimmermann das Programm Pretty Good Privacy (engl. ziemlich gute Privatsphäre) kurz PGP, entwickelt. Die freie Alternative zu PGP ist GNU Privacy Guard oder kurz GnuPG oder ganz kurz GPG.

Die Sache mit den Schlüsseln

PGP und auch GPG verwendet die sogenannte asymetrische Verschlüsselung. Dabei wird für jeden Nutzer ein Schlüsselpaar erstellt, das aus einem öffentlichen und einem privaten Schlüssel besteht. Mit dem öffentlichen Schlüssel, den man in die weite Welt verteilt, können andere Personen Nachrichten verschlüsseln, die nur der Besitzer des zugehörigen privaten Schlüssels wieder entschlüsseln kann. Und mit dem privaten Schlüssel kann man, wie eben erwähnt, empfangene Nachrichten entschlüsseln und Nachrichten, die man an jemand anderen versendet digital signieren, damit der Empfänger prüfen kann, dass die Nachricht auf dem Weg zu ihm auch nicht verändert wurde. Der private Schlüssel ist zusätzlich mit einer Passphrase geschützt, damit ein Unbefugter, der in den Besitz des privaten Schlüssels gekommen ist, nicht einfach Nachrichten in fremdem Namen verfassen oder persönliche Nachrichten, die gar nicht für ihn bestimmt sind, lesen kann. Diese Passphrase ist also die letzte Hürde, die bei Verlust eines privaten Schlüssels noch vor Missbrauch schützt. Erlangt der Unbefugte auch darüber Kenntnis, dann ist die digitale Identität in unbefugten Händen und mit krimineller Energie können dann in fremdem Namen allerhand schlimme Dinge angestellt werden. Dann hilft es nur noch, den Schlüssel zu widerrufen, was nach langer Nutzung viele Unannehmlichkeiten und Aufwand nach sich ziehen kann.

Nun möchte man aber auch unterwegs am Smartphone oder am Laptop Nachrichten lesen und schreiben können. Man muss also seinen privaten Schlüssel dabei haben. Und dort kann er verloren gehen. Was also tun?

Eine Lösung für das Problem

Es gibt die Möglichkeit, sogenannte Unterschlüssel (engl. subkeys) zu erstellen. Das hilft, das Problem zumindest zu lindern.

diebstahlresistente PGP-Schlüssel erstellen weiterlesen
032 Linux Mint PC

Windows 7 – Supportende am 14.Januar 2020 – Betriebssystemwechsel – aber wohin? Windows 10 oder ein Linux

Gerade im Zusammenhang mit dem Support-Ende von Windows 7 am 14. Januar 2020 frage ich mich, warum es so viele Privatnutzer gibt, die jetzt nicht die Gelegenheit nutzen und statt auf ein geschwätziges Windows 10 umzusteigen, gleich ein datenschutzfreundliches Linux installieren. Eine Umgewöhnung ist in jedem Fall nötig, denn die Unterschiede zwischen Windows 7 und Windows 10 sind ohne Zweifel auch vorhanden.

Was für Gründe sollte es also geben, sich für Windows und gegen Linux zu entscheiden? Nachfolgend mal eine Liste von häufigen Argumenten und einigen von mir hinzugefügten Punkten, die einen Umstieg auf Linux angeblich (oder offensichtlich) behindern bzw. auch Punkte die für einen Umstieg zu Linux sprechen.

  • Linux ist kompliziert
  • Ich kann die Konsole bzw. das Terminal nicht bedienen
  • Programm X gibt es nicht unter Linux
  • Spiele funktionieren nicht unter Linux
  • Fehlende Lobby-Arbeit/Marketing-Budgets für Linux
  • Linux wird weniger von Viren/Malware angegriffen
  • Linux verbraucht weniger Ressourcen als Windows
  • Windows missachtet deine Privatsphäre
  • Linux ist besser an die eigenen Bedürfnisse anpassbar
  • Support für Linux gibt es in vielen Foren
Windows 7 – Supportende am 14.Januar 2020 – Betriebssystemwechsel – aber wohin? Windows 10 oder ein Linux weiterlesen
e-mail

Wie vertrauenswürdig ist dein E-Mail-Anbieter ?

E-Mail ist neben den üblichen Instant-Messengern heutzutage immer noch ein beliebter Weg, um untereinander Nachrichten auszutauschen. Da E-Mail ein offenes Protokoll ist, gibt es viele Anbieter, die miteinander mehr oder weniger in Konkurrenz stehen. Doch wie sicher erfolgt eigentlich die Kommunikation zwischen den Servern. Da sind offensichtlich große Unterschiede zu finden.

Auf der Webseite https://mecsa.jrc.ec.europa.eu/ kann man seine E-Mail-Adresse eingeben und bekommt anschließend für den eigenen Provider das Testergebnis zurück gemailt.

Hier eine kleine Übersicht der Ergebnisse von großen Anbietern:

E-Mail-Anbieter-Ergebnisse

Und hier die Links zu den Quellen (Stand September 2018):

mailbox.org  dismail.de  posteo.de  gmx.de  gmail.com  web.de  1&1

Wie gesagt, es ist nur eine kleine Auswahl. Wer seinen E-Mail-Anbieter hier nicht findet, kann sich über https://mecsa.jrc.ec.europa.eu/ einen Testbericht zu seinem eigenen Provider zumailen lassen.

Hier ein paar Auszüge aus dem Privacy-Handbuch:

Web.de und GMX.de sammeln bei der Registrierung zuviele Daten: Anrede, Vor- und Nachname, Land, PLZ und Ort, Straße und Hausnummer, optional ist nur die Mobilfunknummer für Passwortwiederherstellung.

Mit der Registrierung erklärt man sich damit einverstanden, dass die Daten für Marketing-Zwecke verwendet werden. Die Daten werden an den Mutterkonzern übermittelt und mit anderen verbundenen Unternehmen geteilt. Außerdem werden die Daten für postalische Werbung genutzt, sie werden für Markt- und Meinungsforschung genutzt und Non-Profit Organisationen für Werbung zur Verfügung gestellt. (Falls man sich schon öfters mal gefragt hat, woher Meinungs­forschungs­institute die eigene Telefon­nummer haben….)

Der EmailPrivacyTest zeit, dass Web.de und GMX.de bei der Nutzung des Web-GUI nicht gegen Tracking Elemente in E-Mails schützen und ermöglichen es damit vielen Diensten, die Nutzer beim Lesen zu beobachten. Web.de setzt selbst HTML-Wanzen in den eigenen Newslettern ein (3 Tracking Wanzen in jedem Newsletter) und trackt damit die Lesegewohnheiten der Nutzer.

gmail.com ist von Google – und die sind ja nun mal bekannt dafür, alles an Daten einzusammeln, was geht. Deshalb sollte man weder einen GMail-Account besitzen, noch sollte man mit solchen Accounts kommunizieren.

posteo.de hat sich leider auch disqualifiziert, indem es auf berechtigte Kritik an dem von ihnen eingesetzten Verschlüsselungsverfahrens nicht etwa das Verschlüsselungsverfahren verbessert hat, sondern Anwälte losgeschickt hat, die die Kritiker mundtot machen sollten. Inzwischen scheint das technische Problem behoben zu sein – ein bitterer Nachgeschmack bleibt.

Vielleicht sollte der eine oder andere mal nachdenken, ob sein „kostenloses“ E-Mail-Konto (also eines für das man nicht mit Geld bezahlt! – kostenlos ist nichts auf der Welt!) noch zeitgemäß ist, oder ob man eventuell für 1,- € pro Monat ein werbefreies E-Mail-Konto bei einem Anbieter seines Vertrauens einrichten sollte!?

 

emoticon-1611718_640-or8

Sicherheit erhöhen – fail2ban installieren und einrichten

WIr haben in den vorherigen Beiträgen (SSH-Schlüssel einrichten und HTTPS und Authentifizierung) schon einiges getan, um ungebetene Gäste von unserem Raspberry Pi fernzuhalten. Leider gibt es in dem großen Haifischbecken namens Internet immer wieder auch Personen, die offenbar nichts besseres zu tun haben, als aus den unterschiedlichsten Gründen in fremde Computersysteme einzudringen. Sei es, um Informationen zu extrahieren und damit die eigene Webseite zu schmücken oder um den Onlineshop der Konkurrenz nach Preisen abzufragen und damit die eigenen Preise auf dem Laufenden zu halten oder auch einfach nur um zu testen, wie gut oder schlecht ein System abgesichert ist. All diese Dinge werden üblicherweise von sogenannten Bots, also Computerprogrammen, die, einmal programmiert, automatisch auf die Suche gehen und nach Opfern suchen, ausgeführt.

Was wir also brauchen ist ein Werkzeug, das solche ungebetenen Gäste von den gewünschten anhand ihres Verhaltens oder auch ihrer Kennung unterscheiden und aussperren kann. Solch ein Werkzeug gibt es. Es heißt fail2ban. Sicherheit erhöhen – fail2ban installieren und einrichten weiterlesen

Safety

Reverse Proxy mit HTTPS und Authentifizierung einrichten

Im vorherigen Artikel Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern habe ich beschrieben, wie man den Zugang zum Betriebssystem des Raspberry Pi mittels SSH-Key absichern kann. In diesem Artikel soll es nun darum gehen, die FHEM-Webseite nur noch über eine gesicherte Verbindung (HTTPS) und nur noch für ausgewählte Nutzer zugänglich zu machen, damit der Raspberry Pi ins Internet gestellt werden kann, ohne sich Sorgen machen zu müssen, dass ungebetene Gäste Zugriff darauf haben.

Da der Raspberry Pi nicht gerade mit viel Rechenleistung ausgestattet ist, sollten die darauf laufenden Programme möglichst leichtgewichtig sein. Für die Einrichtung eines Reverse Proxy benötigt man einen Webserver. Weit verbreitet in der Linux-Welt ist der Webserver Apache. Allerdings ist er inzwischen auch ein ziemliches Monster geworden, was seinen Ressourcenbedarf angeht. Deshalb empfehle und nutze ich hier als Alternative den nicht so ressourcenhungrigen Webserver Nginx (ausgesprochen Engine X). Reverse Proxy mit HTTPS und Authentifizierung einrichten weiterlesen

Schloss digital

Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern

Um den unberechtigten Zugriff auf den Raspberry Pi zu verhindern, habe ich in meinem Beitrag Raspberry Pi – Betriebssystem installieren darauf hingewiesen, das allseits bekannte Passwort raspberry des Nutzers pi zu ändern. Für den Heimgebrauch mag das ausreichend sein. Wer allerdings vor hat, seinen Raspberry Pi ins Internet zu stellen, um ihn auch von „außen“ zu erreichen, sollte etwas mehr Aufwand betreiben.

Bisher haben wir uns im lokalen Netzwerk mittels PuTTY über SSH am Raspberry Pi angemeldet, wurden nach Nutzername und Passwort gefragt und waren nach erfolgreicher Passworteingabe „drin“. Würde man das nun ans Internet hängen, könnte man sicherlich drauf warten, bis die ersten Scriptkiddies automatisiert Login-Versuche starten, um das Passwort zu erraten. Früher oder später werden sie erfolgreich sein. Damit der Zeitpunkt für das Erraten gegen Unendlich tendiert, wäre zum Beispiel folgendes Passwort gut:

Leider kann man sich ein solches Passwort erstens schlecht merken und zweitens wird es schwierig, es ohne Tippfehler einzugeben.

Die Lösung ist, sich mittels eines Schlüsselpaares anzumelden (Asymmetrisches Kryptosystem). Dazu wird auf dem Server (also dem Raspberry Pi) nur der öffentliche Schlüssel (Public Key) abgelegt und auf dem Client (das Gerät, auf dem PuTTY oder ähnliches läuft) der dazu passende private Schlüssel (Private Key) hinterlegt. Was ist also zu tun? Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern weiterlesen