Persönliche Daten zur Anmeldung? Fuck you!

Um Datenmissbrauch vorzubeugen empfiehlt es sich möglichst sparsam mit seinen persönlichen Daten umzugehen.

Es ist ein allseits bekanntes Problem. Man sitzt am Rechner und will soll muss irgendein Anmeldeformular mit seinen persönlichen Daten füllen um irgendeinen Dienst nutzen zu können oder eine Information zu bekommen. Wenn man sich dann, vernünftigerweise, entschieden hat dem Dienst keine echten Daten zu geben, geht das Überlegen los: Persönliche Daten zur Anmeldung? Fuck you! weiterlesen

VPN-Gefahren: IPv6- und DNS-Leaks

Dieser Artikel erläutert, wie man Löcher in seiner VPN-Verbindung findet und sie stopft.

Die Nutzung eines VPN ist eine einfache und, im Vergleich zum TOR-Netz, von der Verbindungs-Geschwindigkeit her schnellere Möglichkeit die Sicherheit einer Verbindung zu gewährleisten und auf der anderen seine Herkunft zu verschleiern. Doch neben diesen Möglichkeiten, die in einem Artikel bereits beschrieben wurden, haben VPNs auch ihre Tücken. Solche Tücken sind zum Beispiel IPv6- und DNS-Leaks, die selbst bei einer funktionierenden VPN-Verbindung eure Privatsphäre beeinträchtigen können. Wie diese Lücken entstehen, wie man feststellt, ob man betroffen ist und was man gegebenenfalls tun kann, soll im Folgenden erläutert werden.
Um zu verstehen, wie IPv6- und DNS-Leaks zustande kommen ist es notwendig zu verstehen, wie das Internet funktioniert. Insbesondere was eine IP-Adresse ist und wie das DNS, also das Domain-Name-System funktioniert. Hier hilft uns die Sendung mit der Maus mit einem uralten Beitrag (per Modem einwählen müsst ihr euch hoffentlich nicht mehr 😉) weiter. VPN-Gefahren: IPv6- und DNS-Leaks weiterlesen

Zum warrant canary von riseup

Ein Update des warrant canary von Riseup ist inzwischen schon seit geraumer Zeit überfällig. Zunächst war unklar, ob Riseup überhaupt eine Regierungsanfrage (National Security Letter, kurz NSL) mit einer gag order, also dem Verbot über die Anfrage zu informieren, bekommen hat oder das Update des canary einfach verspätet erscheinen würde. Mittlerweile gilt es als sicher, dass Riseup eine Regierungsanfrage bekommen hat, jedoch keine Daten herausgegeben hat und noch im Besitz des Zugriffs auf die Server ist. Riseup kann also nach wie vor als sicher betrachtet werden. Nutzer von Riseup sollten aber dennoch ihre Mails sichern, wenn sie sie nicht ohnehin (wie empfohlen) mittels POP3 abrufen. Eine ausführliche Analyse zum Fall liefert der Artikel „Something Happened to Activist Email Provider Riseup, but It Hasn’t Been Compromised“ von Micah Lee bei The Intercept.

Verschlüsselt PGP auch Anhänge?

letters-1132703_640Ja, PGP verschlüsselt auch Anhänge und zwar entweder einzeln mit Inline-PGP oder als Teil der Nachricht mit PGP/MIME. Bei Inline-PGP muss man beachten, dass der Dateiname, wie beim Betreff einer mit PGP verschlüsselten Nachricht nicht verschlüsselt wird. Daher sollte man den Dateinamen ggfs. umbenennen oder gleich, den neueren Standard PGP/MIME verwenden.

Kann ich mit einem iPhone 4 den Signal Messenger verwenden?

Foto: Andrew Mager - CC BY-SA 2.0
Foto: Andrew MagerCC BY-SA 2.0

Leider nein. Signal lässt sich weder offiziell noch inoffiziell auf dem iPhone 4 nutzen. Wer Signal nutzen will, muss sich ein neues Smartphone besorgen. Hintergrund ist, dass das iPhone 4 bzw. iOS 7 nicht mehr von Whisper Systems, den Entwicklern hinter Signal, unterstützt wird. Begründet wird dies damit, dass iOS 7 selbst keine Updates mehr von Apple erhält und deshalb mehrere kritische Sicherheitslücken aufweist, die nicht mehr geschlossen werden. Außerdem hat Apple mit iOS 8 eine neue Programmierschnittstelle (eine sogenannte API) geschaffen auf die Signal aufsetzt. Dazu heißt es auf der github-Seite von Whisper Systems:

Are there any plans to support iOS 7?

No, unfortunately that’s not possible. Signal uses APIs that were first introduced in iOS 8 and that are not available in earlier releases. Furthermore, iOS 7 is no longer being supported by Apple at all, and it contains several serious security vulnerabilities. Users are encouraged to upgrade to the latest version of iOS, if they can.

Quelle: https://github.com/WhisperSystems/Signal-iOS/wiki/FAQ#are-there-any-plans-to-support-ios-7

Nachdem es keine offizielle Lösung für die Nutzung von Signal auf dem iPhone 4 gibt und auch weiterhin nicht geben wird, habe ich mich auf die Suche nach einer inoffiziellen Lösung gemacht. Kann ich mit einem iPhone 4 den Signal Messenger verwenden? weiterlesen

Best Practice: E-Mails

stamps-1289074_640Gerade für Einsteiger ist die Frage, wie E-Mail-Kommunikation möglichst sicher gestaltet werden kann, oft kompliziert. Mit diesem Übersichtsartikel will ich das Problem zumindest eindämmen und eine best practice zum Umgang mit E-Mails für Einsteiger vorstellen. Euer E-Mailkonzept sollte (neben Backups, die immer anzufertigen sind) zumindest die folgenden Punkte umfassen:

1. Lokale Speicherung der E-Mails: E-Mails sollten lokal immer verschlüsselt gespeichert werden. Es hat sich als sehr sinnvoll erwiesen hierfür einen TrueCrypt- bzw. VeraCrypt-Container zu verwenden und in diesen Thunderbird-Portable zu installieren. Die Verwendung eines zusätzlichen verschlüsselten Containers ist je nach Sicherheitsbedürfnis auch für Geräte mit Vollverschlüsselung zu empfehlen, da die E-Mails dann nur zugänglich sind, wenn man sie wirklich braucht.

Best Practice: E-Mails weiterlesen

Great, Greater, Great Scott Gadgets!

Hack-RF
Ein Kenner sieht direkt, dass man mir netterweise auch die Platine eines Throwing Star LAN Tap beigelegt hat. 🙂

Bereits im Juni 2015 hatte ich bei Great Scott Gadgets, einem Hersteller für Open Soucre Hardware, nachgefragt, ob man mir für mein Blog-Projekt und meine Kurse zur IT-Sicherheit einen HackRF One zur Verfügung stellen könne. Jetzt wurde meine Anfrage positiv beantwortet und ich halte einen HackRF in meinen Händen. Das bedeutet, dass wir uns in nächster Zeit ausführlich mit Software Defined Radio auseinandersetzen können und gibt uns die großartige Möglichkeit IT-Sicherheit im drahtlosen Bereich unmittelbar selbst zu untersuchen. An dieser Stelle nochmal ein fettes Danke an Great Scott Gadgets!

Vertrauenswürdige Emailanbieter

Email_läuft_bei_dirEine Bemerkung gleich zu Anfang: Ein vertrauenswürdiger Emailanbieter ist nur ein Baustein für die Sicherheit euer Emails. Wer sicher per Email kommunizieren will, muss seine Emails Ende-zu-Ende verschüsseln, z.B. mit PGP. Klar dürfte auch sein, dass man seine Emails nicht über Anbieter wie GMX, Yahoo & Co. abwickeln sollte, denn diese Anbieter kooperieren mit Strafverfolgungsbehörden und Geheimdiensten. Was bedeutet, dass diese im Zweifelsfall, neben den Inhalten von unverschlüsselten Emails, auch die Metadaten von verschlüsselten Emails (Wer hat wann mit wem geschrieben?) auswerten und gegen euch verwenden können. Außerdem können sie sehen, welche Daten bei der Registrierung des Dienstes hinterlegt wurden. Lässt also von GMX, Yahoo & Co. besser die Finger!

Bessere Möglichkeiten (mit absteigendem Schwierigkeitsgrad) sind beispielsweise: Vertrauenswürdige Emailanbieter weiterlesen

Gedanken zu Programmverläufen

Dein Browser weiß wo du letzten Sommer gesurft hast!
Dein Browser weiß wo du letzten Sommer gesurft hast!

Vom Dateimanager über Browser bis hin zu Office-Software haben viele Programme Funktionen, mit denen sich nachvollziehen lässt, welche Dateien oder Webseiten man in letzer Zeit geöffnet oder viel verwendet hat. Dies ist auf der einen Seite praktisch, weil man z.B. schnell an Webseiten, Dokumente oder Dateien kommt, mit denen man gerade arbeitet. Auf der anderen Seite ist diese Information auch für unberechtige Nutzer schnell verfügbar und erleichtert die Auswahl von Dateien, die vielleicht einen genaueren Blick wert sind. Es macht also durchaus Sinn, den Verlauf einfach abzuschalten, den Verlauf in seiner Dauer zu begrenzen oder zumindest in regelmäßigen Abständen zu löschen. Denn auch, wenn es noch andere Methoden gibt herauszufinden wann eine Datei geöffnet wurde, sollte man es einem Angreifer so schwer wie möglich machen. Und mal ehrlich: Wer muss schon dringend speichern welche Webseite er im letzten Sommer aufgerufen hat?