Archiv der Kategorie: Sicherheit

e-mail

Wie vertrauenswürdig ist dein E-Mail-Anbieter ?

E-Mail ist neben den üblichen Instant-Messengern heutzutage immer noch ein beliebter Weg, um untereinander Nachrichten auszutauschen. Da E-Mail ein offenes Protokoll ist, gibt es viele Anbieter, die miteinander mehr oder weniger in Konkurrenz stehen. Doch wie sicher erfolgt eigentlich die Kommunikation zwischen den Servern. Da sind offensichtlich große Unterschiede zu finden.

Auf der Webseite https://mecsa.jrc.ec.europa.eu/ kann man seine E-Mail-Adresse eingeben und bekommt anschließend für den eigenen Provider das Testergebnis zurück gemailt.

Hier eine kleine Übersicht der Ergebnisse von großen Anbietern:

E-Mail-Anbieter-Ergebnisse

Und hier die Links zu den Quellen (Stand September 2018):

mailbox.org  dismail.de  posteo.de  gmx.de  gmail.com  web.de  1&1

Wie gesagt, es ist nur eine kleine Auswahl. Wer seinen E-Mail-Anbieter hier nicht findet, kann sich über https://mecsa.jrc.ec.europa.eu/ einen Testbericht zu seinem eigenen Provider zumailen lassen.

Hier ein paar Auszüge aus dem Privacy-Handbuch:

Web.de und GMX.de sammeln bei der Registrierung zuviele Daten: Anrede, Vor- und Nachname, Land, PLZ und Ort, Straße und Hausnummer, optional ist nur die Mobilfunknummer für Passwortwiederherstellung.

Mit der Registrierung erklärt man sich damit einverstanden, dass die Daten für Marketing-Zwecke verwendet werden. Die Daten werden an den Mutterkonzern übermittelt und mit anderen verbundenen Unternehmen geteilt. Außerdem werden die Daten für postalische Werbung genutzt, sie werden für Markt- und Meinungsforschung genutzt und Non-Profit Organisationen für Werbung zur Verfügung gestellt. (Falls man sich schon öfters mal gefragt hat, woher Meinungs­forschungs­institute die eigene Telefon­nummer haben….)

Der EmailPrivacyTest zeit, dass Web.de und GMX.de bei der Nutzung des Web-GUI nicht gegen Tracking Elemente in E-Mails schützen und ermöglichen es damit vielen Diensten, die Nutzer beim Lesen zu beobachten. Web.de setzt selbst HTML-Wanzen in den eigenen Newslettern ein (3 Tracking Wanzen in jedem Newsletter) und trackt damit die Lesegewohnheiten der Nutzer.

gmail.com ist von Google – und die sind ja nun mal bekannt dafür, alles an Daten einzusammeln, was geht. Deshalb sollte man weder einen GMail-Account besitzen, noch sollte man mit solchen Accounts kommunizieren.

posteo.de hat sich leider auch disqualifiziert, indem es auf berechtigte Kritik an dem von ihnen eingesetzten Verschlüsselungsverfahrens nicht etwa das Verschlüsselungsverfahren verbessert hat, sondern Anwälte losgeschickt hat, die die Kritiker mundtot machen sollten. Inzwischen scheint das technische Problem behoben zu sein – ein bitterer Nachgeschmack bleibt.

Vielleicht sollte der eine oder andere mal nachdenken, ob sein „kostenloses“ E-Mail-Konto (also eines für das man nicht mit Geld bezahlt! – kostenlos ist nichts auf der Welt!) noch zeitgemäß ist, oder ob man eventuell für 1,- € pro Monat ein werbefreies E-Mail-Konto bei einem Anbieter seines Vertrauens einrichten sollte!?

 

emoticon-1611718_640-or8

Sicherheit erhöhen – fail2ban installieren und einrichten

WIr haben in den vorherigen Beiträgen (SSH-Schlüssel einrichten und HTTPS und Authentifizierung) schon einiges getan, um ungebetene Gäste von unserem Raspberry Pi fernzuhalten. Leider gibt es in dem großen Haifischbecken namens Internet immer wieder auch Personen, die offenbar nichts besseres zu tun haben, als aus den unterschiedlichsten Gründen in fremde Computersysteme einzudringen. Sei es, um Informationen zu extrahieren und damit die eigene Webseite zu schmücken oder um den Onlineshop der Konkurrenz nach Preisen abzufragen und damit die eigenen Preise auf dem Laufenden zu halten oder auch einfach nur um zu testen, wie gut oder schlecht ein System abgesichert ist. All diese Dinge werden üblicherweise von sogenannten Bots, also Computerprogrammen, die, einmal programmiert, automatisch auf die Suche gehen und nach Opfern suchen, ausgeführt.

Was wir also brauchen ist ein Werkzeug, das solche ungebetenen Gäste von den gewünschten anhand ihres Verhaltens oder auch ihrer Kennung unterscheiden und aussperren kann. Solch ein Werkzeug gibt es. Es heißt fail2ban. Sicherheit erhöhen – fail2ban installieren und einrichten weiterlesen

Safety

Reverse Proxy mit HTTPS und Authentifizierung einrichten

Im vorherigen Artikel Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern habe ich beschrieben, wie man den Zugang zum Betriebssystem des Raspberry Pi mittels SSH-Key absichern kann. In diesem Artikel soll es nun darum gehen, die FHEM-Webseite nur noch über eine gesicherte Verbindung (HTTPS) und nur noch für ausgewählte Nutzer zugänglich zu machen, damit der Raspberry Pi ins Internet gestellt werden kann, ohne sich Sorgen machen zu müssen, dass ungebetene Gäste Zugriff darauf haben.

Da der Raspberry Pi nicht gerade mit viel Rechenleistung ausgestattet ist, sollten die darauf laufenden Programme möglichst leichtgewichtig sein. Für die Einrichtung eines Reverse Proxy benötigt man einen Webserver. Weit verbreitet in der Linux-Welt ist der Webserver Apache. Allerdings ist er inzwischen auch ein ziemliches Monster geworden, was seinen Ressourcenbedarf angeht. Deshalb empfehle und nutze ich hier als Alternative den nicht so ressourcenhungrigen Webserver Nginx (ausgesprochen Engine X). Reverse Proxy mit HTTPS und Authentifizierung einrichten weiterlesen

Schloss digital

Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern

Um den unberechtigten Zugriff auf den Raspberry Pi zu verhindern, habe ich in meinem Beitrag Raspberry Pi – Betriebssystem installieren darauf hingewiesen, das allseits bekannte Passwort raspberry des Nutzers pi zu ändern. Für den Heimgebrauch mag das ausreichend sein. Wer allerdings vor hat, seinen Raspberry Pi ins Internet zu stellen, um ihn auch von „außen“ zu erreichen, sollte etwas mehr Aufwand betreiben.

Bisher haben wir uns im lokalen Netzwerk mittels PuTTY über SSH am Raspberry Pi angemeldet, wurden nach Nutzername und Passwort gefragt und waren nach erfolgreicher Passworteingabe „drin“. Würde man das nun ans Internet hängen, könnte man sicherlich drauf warten, bis die ersten Scriptkiddies automatisiert Login-Versuche starten, um das Passwort zu erraten. Früher oder später werden sie erfolgreich sein. Damit der Zeitpunkt für das Erraten gegen Unendlich tendiert, wäre zum Beispiel folgendes Passwort gut:

Leider kann man sich ein solches Passwort erstens schlecht merken und zweitens wird es schwierig, es ohne Tippfehler einzugeben.

Die Lösung ist, sich mittels eines Schlüsselpaares anzumelden (Asymmetrisches Kryptosystem). Dazu wird auf dem Server (also dem Raspberry Pi) nur der öffentliche Schlüssel (Public Key) abgelegt und auf dem Client (das Gerät, auf dem PuTTY oder ähnliches läuft) der dazu passende private Schlüssel (Private Key) hinterlegt. Was ist also zu tun? Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern weiterlesen