Verschlüsselt PGP auch Anhänge?

letters-1132703_640Ja, PGP verschlüsselt auch Anhänge und zwar entweder einzeln mit Inline-PGP oder als Teil der Nachricht mit PGP/MIME. Bei Inline-PGP muss man beachten, dass der Dateiname, wie beim Betreff einer mit PGP verschlüsselten Nachricht nicht verschlüsselt wird. Daher sollte man den Dateinamen ggfs. umbenennen oder gleich, den neueren Standard PGP/MIME verwenden.

Kann ich mit einem iPhone 4 den Signal Messenger verwenden?

Foto: Andrew Mager - CC BY-SA 2.0
Foto: Andrew MagerCC BY-SA 2.0

Leider nein. Signal lässt sich weder offiziell noch inoffiziell auf dem iPhone 4 nutzen. Wer Signal nutzen will, muss sich ein neues Smartphone besorgen. Hintergrund ist, dass das iPhone 4 bzw. iOS 7 nicht mehr von Whisper Systems, den Entwicklern hinter Signal, unterstützt wird. Begründet wird dies damit, dass iOS 7 selbst keine Updates mehr von Apple erhält und deshalb mehrere kritische Sicherheitslücken aufweist, die nicht mehr geschlossen werden. Außerdem hat Apple mit iOS 8 eine neue Programmierschnittstelle (eine sogenannte API) geschaffen auf die Signal aufsetzt. Dazu heißt es auf der github-Seite von Whisper Systems:

Are there any plans to support iOS 7?

No, unfortunately that’s not possible. Signal uses APIs that were first introduced in iOS 8 and that are not available in earlier releases. Furthermore, iOS 7 is no longer being supported by Apple at all, and it contains several serious security vulnerabilities. Users are encouraged to upgrade to the latest version of iOS, if they can.

Quelle: https://github.com/WhisperSystems/Signal-iOS/wiki/FAQ#are-there-any-plans-to-support-ios-7

Nachdem es keine offizielle Lösung für die Nutzung von Signal auf dem iPhone 4 gibt und auch weiterhin nicht geben wird, habe ich mich auf die Suche nach einer inoffiziellen Lösung gemacht. Kann ich mit einem iPhone 4 den Signal Messenger verwenden? weiterlesen

Best Practice: E-Mails

stamps-1289074_640Gerade für Einsteiger ist die Frage, wie E-Mail-Kommunikation möglichst sicher gestaltet werden kann, oft kompliziert. Mit diesem Übersichtsartikel will ich das Problem zumindest eindämmen und eine best practice zum Umgang mit E-Mails für Einsteiger vorstellen. Euer E-Mailkonzept sollte (neben Backups, die immer anzufertigen sind) zumindest die folgenden Punkte umfassen:

1. Lokale Speicherung der E-Mails: E-Mails sollten lokal immer verschlüsselt gespeichert werden. Es hat sich als sehr sinnvoll erwiesen hierfür einen TrueCrypt- bzw. VeraCrypt-Container zu verwenden und in diesen Thunderbird-Portable zu installieren. Die Verwendung eines zusätzlichen verschlüsselten Containers ist je nach Sicherheitsbedürfnis auch für Geräte mit Vollverschlüsselung zu empfehlen, da die E-Mails dann nur zugänglich sind, wenn man sie wirklich braucht.

Best Practice: E-Mails weiterlesen

Great, Greater, Great Scott Gadgets!

Hack-RF
Ein Kenner sieht direkt, dass man mir netterweise auch die Platine eines Throwing Star LAN Tap beigelegt hat. 🙂

Bereits im Juni 2015 hatte ich bei Great Scott Gadgets, einem Hersteller für Open Soucre Hardware, nachgefragt, ob man mir für mein Blog-Projekt und meine Kurse zur IT-Sicherheit einen HackRF One zur Verfügung stellen könne. Jetzt wurde meine Anfrage positiv beantwortet und ich halte einen HackRF in meinen Händen. Das bedeutet, dass wir uns in nächster Zeit ausführlich mit Software Defined Radio auseinandersetzen können und gibt uns die großartige Möglichkeit IT-Sicherheit im drahtlosen Bereich unmittelbar selbst zu untersuchen. An dieser Stelle nochmal ein fettes Danke an Great Scott Gadgets!

Vertrauenswürdige Emailanbieter

Email_läuft_bei_dirEine Bemerkung gleich zu Anfang: Ein vertrauenswürdiger Emailanbieter ist nur ein Baustein für die Sicherheit euer Emails. Wer sicher per Email kommunizieren will, muss seine Emails Ende-zu-Ende verschüsseln, z.B. mit PGP. Klar dürfte auch sein, dass man seine Emails nicht über Anbieter wie GMX, Yahoo & Co. abwickeln sollte, denn diese Anbieter kooperieren mit Strafverfolgungsbehörden und Geheimdiensten. Was bedeutet, dass diese im Zweifelsfall, neben den Inhalten von unverschlüsselten Emails, auch die Metadaten von verschlüsselten Emails (Wer hat wann mit wem geschrieben?) auswerten und gegen euch verwenden können. Außerdem können sie sehen, welche Daten bei der Registrierung des Dienstes hinterlegt wurden. Lässt also von GMX, Yahoo & Co. besser die Finger!

Bessere Möglichkeiten (mit absteigendem Schwierigkeitsgrad) sind beispielsweise: Vertrauenswürdige Emailanbieter weiterlesen

Gedanken zu Programmverläufen

Dein Browser weiß wo du letzten Sommer gesurft hast!
Dein Browser weiß wo du letzten Sommer gesurft hast!

Vom Dateimanager über Browser bis hin zu Office-Software haben viele Programme Funktionen, mit denen sich nachvollziehen lässt, welche Dateien oder Webseiten man in letzer Zeit geöffnet oder viel verwendet hat. Dies ist auf der einen Seite praktisch, weil man z.B. schnell an Webseiten, Dokumente oder Dateien kommt, mit denen man gerade arbeitet. Auf der anderen Seite ist diese Information auch für unberechtige Nutzer schnell verfügbar und erleichtert die Auswahl von Dateien, die vielleicht einen genaueren Blick wert sind. Es macht also durchaus Sinn, den Verlauf einfach abzuschalten, den Verlauf in seiner Dauer zu begrenzen oder zumindest in regelmäßigen Abständen zu löschen. Denn auch, wenn es noch andere Methoden gibt herauszufinden wann eine Datei geöffnet wurde, sollte man es einem Angreifer so schwer wie möglich machen. Und mal ehrlich: Wer muss schon dringend speichern welche Webseite er im letzten Sommer aufgerufen hat?

Panopticlick – was verrät dein Browser

Panopticon
Das Panoptikum ist ein Konzept zum Bau von Gefängnissen und ähnlichen Anstalten, aber auch von Fabriken, das die gleichzeitige Überwachung vieler Menschen durch einen einzelnen Überwacher ermöglicht.

Panopticlick ist ein Forschungsprojekt der Electronic Frontier Foundation (EFF) und wurde entwickelt um auf der einen Seite herauszufinden welche Werkzeuge und Techniken von Online-Trackern eingesetzt werden und auf der anderen Seite die Schutzmaßnahmen von Browsern zu prüfen. Die Webseite simuliert sowohl ein sichtbares Werbebanner, das versucht den Nutzer zu tracken, als auch ein Skript, das unsichtbar im Hintergrund ausgeführt wird. Zusätzlich wird auch eine Seite getestet, die Do Not Track-Aufforderungen des Nutzers Folge leistet. Zur Erläuterung: Do Not Track (DNT) ist ein HTTP-Header-Feld mit dem der Nutzer über seinen Browser mitteilen kann, dass er nicht verfolgt werden möchte. Panopticlick – was verrät dein Browser weiterlesen

Sicher unterwegs mit Android?

Android_robot_2014.svgBetriebssysteme, egal ob für Rechner oder für Smartphones, ob für Windows, Apple oder Linux haben immer wieder Sicherheitslücken. Dies ist nicht weiter dramatisch, sofern die Lücken rechtzeitig mit Updates geschlossen werden können. Doch genau das ist der Knackpunkt bei vielen Android-Geräten, denn viele Hersteller stellen Updates für ihre Geräte entweder gar nicht oder nur nach unverantwortlich langer Wartezeit zur Verfügung. Dies führt dazu, dass viele Smartphone-Nutzer ein Gerät mit sich herumtragen, das man als eine einzige Sicherheitslücke bezeichnen kann. Hat man im Hinterkopf wie viele Daten auf einem modernen Smartphone gespeichert sind [siehe dazu: Grundlagen: Mobilgeräte] und schaut man sich einige Sicherheitslücken der letzten Monate an, kann man zurecht von einem Sicherheitsdesaster ausgehen. Sicher unterwegs mit Android? weiterlesen

ObscuraCam und CameraV

Macaca_nigra_self-portrait_largeDie Grundlagen zum Umgang mit Fotos und die Gefahren beim Anfertigen von Bildaufnahmen wurden bereits in einem Artikel zum Thema „Anonymisieren von Fotos“ vorgestellt. Dieser Betrag soll nun durch die Vorstellung der beiden APPs „ObscuraCam“ (Android) und „CameraV“ (Android) ergänzt werden. Beide Apps liefern verschiedene Funktionen zum Schutz der Privatsphäre bei Handyaufnahmen. ObscuraCam und CameraV weiterlesen