Sicher im Internet: Das Internet of Things (IoT)

Mit diesem Kapitel möchte ich auf die Gefahren von „Internet of Things“ Geräten, kurz IoT hinweisen.

Was ist eigentlich IoT?
Als IoT Geräte bezeichnet man in der Regel Kleingeräte, die per WLAN Verbindung mit deinem Heimnetzwerk und natürlich auch dem Internet kommunizieren können.
Zum Großteil sind hier Smart Home Geräte gemeint: Lampen, bzw. Leuchtmittel, Thermostate, Lichtschalter, Steckdosen, Türsprechanlagen und Türspione, Türschlösser und viele mehr.
Aber auch diverse Heim Assistenten wie Amazon Echo oder Google Home gehören natürlich auch dazu.
Kurzum, alles was nicht offensichtlich ein Computer ist, aber mit dem Heimnetzwerk verbunden ist, ist ein IoT Gerät. Weiterlesen →

Sicher im Internet: Verschlüsseln aber mit Hintertür?

Nach dem Terroranschlag in Wien wurden jetzt wieder Stimmen laut, die sich für eine Aufweichung der Ende zu Ende Verschlüsselung bei Instant-Messenger wie Telegram, WhatsApp oder Signal stark machen.
Ungeachtet dessen, dass es beim Terroranschlag in Wien keinerlei Bezug zu verschlüsselter Kommunikation über Instant-Messenger Dienste gab.

Was ist eigentlich eine Ende zu Ende Verschlüsselung
Vereinfacht dargestellt heißt das, dass ein Programm auf dem Gerät von Albert sich einen kryptographischen Schlüssel mit dem Gerät von Berta ausmacht und danach alle Nachrichten über das Internet verschlüsselt zwischen den Geräten von Albert und Berta überträgt. Zusätzlich wechseln die Geräte den kryptographischen Schlüssel zyklisch um dadurch die Verschlüsselung noch sicherer zu gestalten.
Nun kann auf den Transportweg im Internet niemand mehr mitlesen und auch der Anbieter des Dienstes kann die Nachrichten nicht mehr im Klartext sehen.

Wie will man eine Aufweichung der Verschlüsselung erreichen?
Hier soll die Ende zu Ende Verschlüsselung so gestaltet werden, dass der Anbieter des Dienstes quasi einen Generalschlüssel zum Brechen der Verschlüsselung in der Hinterhand hält.
Das bedeutet, dass Ermittlungsbehörden (welche auch immer), vom Dienstbetreiber den Schlüssel erhalten um so die Nachrichten dann trotz verschlüsseltem Transport abfangen und entschlüsseln zu können.

Warum das keine gute Idee ist
Würde man die Verschlüsselungsmethoden absichtlich aufweichen, öffnet man dadurch Tür und Tor für Missbrauch und Kriminalität. Denn wenn man künstlich Schwachstellen in Verschlüsselungsalgorithmen einbaut, ist die Wahrscheinlichkeit recht groß, dass dies nicht nur von Ermittlungsbehörden genutzt werden kann, sondern auch von Internet-Kriminellen.
Die Verschlüsselung von Internet Kommunikation sollte so wie das Briefgeheimnis behandelt und in Ruhe gelassen werden.
Außerdem geht es dabei nicht nur um eventuelle Mitleser, sondern auch um die Garantie, dass die Nachricht von einem zum anderen Gerät zweifelsfrei ohne Manipulation angekommen ist.

Aber ich habe ja nichts zu verbergen
Über diese Aussage hab ich mich schon mehrmals ausführlich ausgelassen.
Es geht hier um ein wenig mehr, als das Empfinden der Unwichtigkeit der eigenen Kommunikation.
Es geht hier um Vertraulichkeit von Informationen.
Wer möchte schon, dass Nachrichten während des Transportes mitgelesen oder gefälscht werden können?
Wie sieht es mit Industriespionage aus?
Was ist mit Whistleblowern und Journalisten?
Was ist mit Dissidenten in unterdrückten Ländern ohne Demokratie wie wir sie kennen?
Viel hängt von der Vertraulichkeit von Nachrichten ab.

Aber es könnte helfen, Verbrechen zu verhindern
Nun, es ist schon lange erwiesen, dass sämtliche Schnüffeleien und Abhöraktionen von diversen Staaten und Organisationen kaum bis gar nicht zur Verbrechens-, bzw. Terrorismusbekämpfung beitragen.
Die meisten Verbrechen werden nach wie vor durch gute Ermittlungsarbeit aufgeklärt bzw. abgewendet.
Weiters ist davon auszugehen, dass Verbrecher und Terroristen nach wie vor verschlüsselt kommunizieren werden, nur wir Normalos eben nicht. Denn die sicheren Algorithmen gibt es ja bereits und das ist nicht mehr zu verhindern.
Vertrauliche Kommunikationswege für Verbrecher und Terroristen steht daher weiterhin nichts im Wege.

Trotzdem ist es der feuchte Traum von vielen Politikern, Organisationen und Firmen, eine allumfassende Überwachung zu haben.
Doch ich befürchte, dass die gewonnenen Erkenntnisse meistens zu rein wirtschaftlichen Zwecken verwendet werden.
Denn Wissen ist Macht.

Nachwort
Es war ein langer Weg, bis es wirklich gute Verschlüsselung gab.
Auch war es ein langer Weg, bis diese überall im Internet Einzug gehalten hat.
Fast jede Webseite bietet heute https Transportverschlüsselung an.
Ziemlich alle Instant-Messenger bieten von Haus aus Ende zu Ende Verschlüsselung an.
Sogar DNS Abfragen können mittlerweile über DoH (DNS over https) oder DoT (DNS over TLS) gemacht werden.

Verschlüsselung ist ein recht komplexes Thema, bei dem sich nur recht wenige Menschen wirklich gut auskennen.
Ich wäre dafür, dass sich weiterhin Experten mit dem Thema befassen und nicht irgendwelche Bürokraten und Sesselfurzer, die keine Ahnung haben, wovon sie eigentlich reden und was sie da fordern…

Nachschlag

Wirtschaft und Zivilgesellschaft stellen sich gegen Pläne der EU-Staaten

Manifest für alle, die was zu verbergen haben

https://de.wikipedia.org/wiki/DNS_over_HTTPS
https://de.wikipedia.org/wiki/DNS_over_TLS

Sicher im Internet: Sandboxie ist Open Source!

Liebe Leute!
Sandboxie wurde von Sophos unter der GPLv3-Lizenz veröffentlicht.
Das heisst, ihr könnt euch dieses praktische Werkzeug hier gratis herunter laden.
Eine Registrierung ist nun nicht mehr notwendig.

Wie es mit dem Projekt dann weiter geht, wird sich noch zeigen.
Möglicherweise findet sich eine Community, die das Projekt weiter entwickelt und auch weiterhin gratis anbietet.
Ich bin schon gespannt…

Sicher im Internet: Mails von deiner Bank

Dies ist ein Nachtrag zu den Themen E-Mails und E-Banking in der Reihe „Sicher im Internet“

Österreichische Banken (vielleicht auch in anderen Ländern?) sind jetzt auf die glorreiche Idee gekommen, ihre E-Banking Benutzer jetzt auch mit dem total modernen Medium E-Mail zu informieren.
Früher war es üblich, die Benutzer nur per Telefon, Brief und der so genannten Postbox (ein Bereich innerhalb des E-Bankings) mit Nachrichten oder Werbung zu beglücken.
Damit ist jetzt aber Schluss und ich erkläre euch, warum das eine schlechte Idee ist.

Änderung der AGBs
Die Banken haben in ihrer jährlichen Änderung der AGBs einfach „per Mail“ bei den Benachrichtigungsmöglichkeiten hinzugefügt. Das wars. Stillschweigen bedeutet „Ich bin einverstanden“, Ablehnung bedeutet, „du kannst gerne kündigen, wenn dir was nicht passt“.
Gut, das machen eh alle so, aber ein Bankkonto ändert man nicht mal so schnell, wie z.B. den Mobilfunkanbieter.
Außerdem, welche Alternative hat man, wenn es alle Banken gleichtun?

Auswirkung
Früher hat es mal geheißen: „Banken senden niemals eine Mail, in der sie auffordern, auf irgendwelche Links zu drücken, oder irgendwo Benutzerdaten einzugeben“.
Das könnt ihr nun vergessen.
So gesehen bei einer Mail der Hausbank meiner lieben Frau.
Sie hat ein Werbemail für das Zahlen mit dem Smartphone bekommen, auf der sich sage und schreibe 16 (sechzehn!) Weblinks zum Draufklicken befanden.
OK, es steht nirgends, dass man draufklicken soll, aber es ist ja eine Einladung, oder?
Nun werden die Menschen trainiert, auf bunte Mails von Banken zu reagieren und die weiterführenden Information im Internet zu lesen.
Das Problem ist aber, wie viele Menschen kennt ihr persönlich, die die Authentizität einer E-Mail oder einer Webseite bestätigen können?
Ein Beispiel am Rande: In der Türkei gab es vor nicht allzu langer Zeit einen Fall, wo man Anhänger der Opposition mit gefälschten Mails, die zum Downloaden einer angeblichen Protest-App aufrief, die in Wirklichkeit ein Trojaner war.
Was das bedeutet, könnt ihr euch wahrscheinlich denken.
Man hat es jetzt den E-Mail Betrügern noch leichter gemacht, eine noch größere Anzahl an zukünftigen Betrugsopfern zu bekommen.

Hintergrund
Ich denke mal, die Banken haben das gemacht, um die trostlosen Benachrichtigungen in der Postbox zu umgehen, die wahrscheinlich eh keiner liest, weil die Information so nicht sofort verfügbar ist.
Ob das wirklich so ist, kann natürlich nur ein Insider im Bankwesen sagen, da ich aber selbst in einem großen Unternehmen arbeite, weiß ich, auf welche großartigen Gedanken und Visionen die Vordenker und Lenker so kommen.
Sicherheitsbedenken werden da zugunsten der schönen Werbung einfach abgewedelt…

Aufweichung bei der Passwort-Komplexität
Zusätzlich möchte ich noch erwähnen, dass alle meine Banken mich vor längerer Zeit per AGB dazu „gezwungen“ haben, die Kennwörter für das E-Banking zu ändern.
Und zwar so, dass die ersten paar Stellen numerisch sein müssen, der Rest darf gnädigerweise auch Buchstaben und Sonderzeichen enthalten.
Dadurch hat das Kennwort wesentlich an Komplexität eingebüßt und ist dadurch wesentlich leichter zu erraten.
Und wieso?
Na, damit das Anmelden bei den E-Banking-Apps nicht so schwer ist, denn wer möchte schon dauernd Sonderzeichen in sein Smartphone eintippen?
Bei der Komponente, die die aufgrund der schlechten Update-Politik der Hersteller die größte Angriffsfläche für Schwachstellen ist und auch den größten Anreiz für Hacker bietet, nämlich dem Smartphone, muss man nur ein paar Zahlen eingeben, um sich zu authentifizieren.
Sieht denn da vielleicht noch jemand die Ironie und den Schwachsinn?

Darum kein E-Banking am Smartphone
Ich kann nur immer wieder gebetsmühlenartig bitten und betteln.
Bitte benutzt keine E-Banking-App (und am besten gar nichts was mit Bank im Entferntesten zu tun hat) auf dem nicht so Smartphone.
Danke.

Siehe auch hier:

Sicher im Internet: E-Mail

Sicher im Internet: E-Banking

Sicher im Internet: Das Smartphone

Hacker, der

Immer wieder fragt man sich, wie sehen so Hacker denn eigentlich aus?
Oder wie sieht es aus, wenn man gehackt wird?
Und wie sieht denn eigentlich Cyber-Security aus?
Fragen über Fragen…

Nun, ich habe da ein wenig recherchiert und ein paar Bilder im Internet zu dem Thema gefunden!
Irgendwie sind das auch größtenteils Bilder, die ich schon in Zeitungen oder in Fernsehbeiträgen gesehen habe.
So wie das hier:

Ganz klar, ein typischer Hacker. Erkennt man gleich am finsteren Aussehen, den Sonnenbrillen und dem Hut.
Außerdem kryptische Buchstabenkombinationen, scheinbar ohne Sinn, ein Markenzeichen für Hacker also.
Weiterlesen →

Sicher im Internet: Nachtrag zu Ghostery

Ursprünglich habe ich die Benutzung von Ghostery vorgeschlagen.
Dies muss ich nun revidieren, da sich Ghostery wegen einer Firmenübernahme zu
einem neuen Geschäftsmodell hingewandt hat und liefert nun seinerseits selbst
Werbung aus, allerdings ohne Tracker, wie man betont.
Bei einer Neuinstallation ist diese Option standardmässig akiviert, kann aber
deaktiviert werden.
Nun, ein Werkzeug, welches eigentlich zur Blockierung von Werbung und deren
Schattenseiten entwickelt wurde, nun aber selbst Werbung ausliefert, stellt sich
meiner Meinung nach selbst ad absurdum.
Da ich diese Vorgehensweise nicht gutheisse, kann ich dieses Werkzeug nicht mehr
guten Gewissens weiterempfehlen.
Ich würde sogar vorschlagen, die Browser-Erweiterung Ghostery zu entfernen.
Keine Angst, die Erweiterung uBlock Origin reicht als Schutz vor Trackern
vollständig aus, da diese auch hier blockiert werden.

Das Ebook wurde bereits aktualisiert, das Hörbuch folgt bald.

Sicher im Internet: Das Smartphone

Bei meinem Werk „Sicher im Internet“ geht es ja eigentlich um Personalcomputer.
Jedoch benutzen heute viele Menschen teilweise gar keine PCs oder Notebooks mehr, sondern eher Tablet-Computer, bzw. überhaupt nur mehr Smartphones.
Da diese ja zumeist immer mit dem Internet via Mobilfunk oder WLAN verbunden sind, stellen diese eine besondere Gefahr für die Privatsphäre und die Sicherheit der persönlichen Daten dar.
Deswegen möchte ich das Thema Smartphone in diesem Kapitel etwas genauer beleuchten.
Weiterlesen →

EU Datenschutzgrundverordnung ab heute

Wer es noch nicht gehört hat, ab heute, den 25.5.2018 gilt die wunderbare neue EU DSGVO.
Die letzten Monate berichteten die Medien immer häufiger über dieses brisante Thema.

Wen betrifft die EU DSGVO eigentlich?
Nun, eigentlich sollten meiner Meinung nach nur die wirklich großen Firmen davon betroffen sein, also die, die wirklich unglaubliche Mengen an Benutzerdaten speichern.
Da das Papier aber ziemlich oberflächlich geschrieben ist, ist auch davon auszugehen, dass auch kleine Firmen oder sogar private Webseiteninhaber davon betroffen sein werden.
Ihr wisst ja, kleine Zitronen geben bekanntich den Besten Saft.

Was bedeutet das für mich?
Wer eine Firma hat und Daten von Kunden und Mitarbeitern speichert, ist definitiv betroffen und muss der DSGVO Folge leisten um nicht mit dem Gesetz in Konflikt zu kommen.

Wenn ich als Privatperson einen Blog, eine Webseite, ein Forum oder ähnliches selbst betreibe (eigene Domain und Hostingpaket), und dort Besucherdaten in irgend einer Form gespeichert werden, ist man auch betroffen und muss der DSGVO Folge leisten.
Insbesondere, wenn man Werbung schaltet und davon finanziellen Nutzen hat.

Wenn ich als Privatperson bei einem Bloghoster wie Blogger, WordPress oder ähnlichen ein Blog hat, ist man meines Erachtens nicht betroffen, da ich weder Inhaber der Domain bin noch einen finanziellen Vorteil davon habe.
Bei solchen Bloghostern gibt es aber auch meistens Bezahlpakete, d.h. man darf dann selbst Werbung schalten und auch Geld dafür bekommen. Hier würde ich sagen, gilt die DSGVO auch.
Die Frage ist, in wie weit man von dem Bloghoster überhaupt Werkzeuge in die Hand bekommt um überhaupt seinen Pflichten nachkommen zu können. Schließlich ist man dann ja nicht der Herr über das System und hat somit keinerlei Zugriff auf die Daten, es sei denn, der Betreiber delegiert mir das Recht…

Was bringt das ganze?
Die Datenschutzgrundverordnung dient eigentlich dazu, jeder Person das Recht zu geben, bei einer anderen Person oder Firma Auskunft über die über ihn gespeicherten Daten zu verlangen und sogar deren Korrektur oder Löschung zu erzwingen.
Da es aber noch keine Verfahren oder Urteile gegeben hat, kann man über die tatsächliche Tragweite noch nicht viel sagen.

Auf jeden Fall ist die Aufregung momentan recht groß und geht sogar so weit, dass kleine Blogger (solche, die nicht davon leben, wie ich zum Beispiel) beschlossen haben, ihr Hobby aufzugeben und ihren Blog sicherheitshalber zu löschen.
Dies halte ich aber auf jeden Fall als Überreaktion.
Ob die Aufregung nun wirklich berechtigt ist und was die tatsächlichen Auswirkungen sein werden, weist uns die Zukunft.

Sicherheitshalber möchte ich noch darauf hinweisen, dass dieser Beitrag keine Rechtsauskunft ist, sondern meine Ansicht zu dem Thema, welche ich durch meine berufliche Tätigkeit erlangt habe.

Hackerangriff oder doch nur Idiotie?

Seit es Gmail gibt habe ich dort eine Mail-Adresse.
Klar, werdet ihr da sagen, Wasser predigen und selber Wein trinken und so. Ihr habt ja recht. Aber letztendlich muss man ja immer irgendjemanden vertrauen und Missbrauch ist bei jedem System möglich.
Aber egal, diese besagte Mail-Adresse habe ich schon sehr lange und möchte sie eigentlich nicht wechseln, aus reiner Gewohnheit halt. Leider hat Google in den Anfangszeiten etwas gepatzt und so war es möglich, dass herrjohannesbeidenfurzen@gmail.com und herr.johannes.bei.den.furzen@gmail.com eigentlich die selbe Mail-Adresse ist und so die Mails an die beiden offensichtlich unterschiedlichen Adressen trotzdem im gleichen Postfach landen.

Worauf ich hinaus will ist, dass ich immer wieder die Mails von Leuten bekomme, die sich mit einer Mail-Adresse, die so ähnlich ist wie meine, auf weißgottwelchen Systemen registrieren wollten und damit mehr oder weniger Erfolg hatten.
Weiterlesen →

Sicher im Internet: Das Hörbuch

Ich freue mich, euch mitteilen zu können, dass es Sicher im Internet jetzt auch als Hörbuch gibt!
Das Hörbuch wurde mittels der in Mac OS integrierten Sprach-Synthese Software erstellt.
Der Name der synthetischen Sprecherin ist „Anna“, sie kann einen Text mit 3 Stunden Länge in etwa drei Minuten als Audiodatei ausgeben. Ich finde das Ergebnis kann sich hören lassen, denn mittlerweile sind die meisten Sprach-Synthese Programme schon recht gut verständlich.
Hin und wieder stimmt zwar die Modulation der Sätze nicht ganz, aber das ist angesichts der Geschwindigkeit mit der ich das Hörbuch erstellen konnte recht gut verschmerzbar. Manchmal muss man Sprach-Synthese überlisten, damit sie bestimmte Eigenwörter richtig aussprechen kann, so wird dann aus dem „Mozilla Firefox“ der „Mozilla Feierfox“ und aus „Facebook“ wird „Feesbuck“!

Für die die es etwas genauer wissen wollen…
Das Hörbuch wurde mittels des Kommandozeilen-Programmes „say“ erstellt, dem man einfach eine maschinenlesbare Eingabedatei zum Verarbeiten gibt und wie die Ausgabedatei heißen soll. Standardmäßig ist das Ausgabeformat AIFF, welches eine mit WAV vergleichbares PCM-Audio Format ist:
say -f [Name_der_Eingabedatei.txt] -o [Name_Der_Ausgabedatei.aiff]
Da wahrscheinlich niemand eine große Freude mit .aiff Dateien hat, habe ich diese mit FFmpeg in mp3 Dateien umgewandelt.

Nun bleibt mir nur mehr, euch viel Spass beim Zuhören zu wünschen!