10 Tips to Make Your iPhone & iPad Safer

Bill Hess von PixelPrivacy.com hat einen schönen Artikel erstellt, wie man sein iOS (11) sicherer macht. Ich kann alle Tipps unterschreiben und füge noch hinzu: Benutzt BoxCryptor um Eure Daten in der Cloud zu verschlüsseln. So ist es für Scanner, die evtl. auf versehentlich freigegebene, aber verschlüsselte Bilder- oder Dokumentenordner in der Cloud zugreifen nicht möglich die Datei selber auszulesen.

 

Nachrichtenverschlüsselung für iOS und Thunderbird

Ich benutze seit vielen Jahren PGP um meine Nachrichten zu verschlüsseln, jedoch benutzen wenige meiner Briefbekanntschaften PGP, da es mit der Schlüsselverwaltung auch nicht jedemanns Sache ist.

Als Stern am Horizont tauchte in den letzten Jahren das Pretty Easy Privacy project, kurz pEp, auf, wo u.a. auch die Bielefelder vom Digitalcourage e.V. mitmischen.

Der „Default“ soll eben sein Verschlüsselung an- und nicht ausgeschaltet zu haben. Für Windows und Outlook habe ich nach dem dritten Anlauf die Version auch fehlerfrei installieren können und so läuft das Plugin nun mit. Für Thunderbird ist nun auch Besserung in Sicht: Enigmail’s nightly Build enthält nun pEp junior als Bestandteil. Enigmail ist wohl die bekannteste PGP-Implementierung und in der 2.0 ist u.a. nun auch die Betreffzeile verschlüsselt bzw. wird in den verschlüsselten Teil gezogen und im Betreff steht nur noch encrypted message – was ich nach mehreren Jahrzehnten PGP auch mal geil finde 🙂

Für iOS ist ebenfalls Besserung in Sicht und ein Testflight steht zur Verfügung. Ich spiele da mal mit, da auf iOS die PGP-Implementierung echt megaumständlich ist.

NET::ERR_CERT_COMMON_NAME_INVALID oder SSL ist nicht mehr Dein Freund

In einer Testumgebung teste ich Websocket-Verbindungen (wss://) und benutze dazu Ready!API von SmartBear mit SOAP UI Pro und WebSocket-Plugin. Soweit so gut. Nun haben wir ein Testenvironment mittels vagrant, ansible und VirtualBox aufgesetzt und was bisher lokal auf meiner Maschine funktionierte, indem ich die „self-signed“ Zertifikate auf CN=localhost in die JRE von Ready!API importierte (keytool -import -alias myalias -file <path_to>\localhost.crt -keystore cacerts -storepass changeit), funktionierte auch bestens mit einem Testnetzwerk im LAN (ohne den Import, da ein LoadBalancer wunderschön gültige Zertifikate lieferte).

Nun funktionierte es aber nicht mehr auf dem lokale „virtuellen“ VirtualBox-Netzwerk und auch Onkel Google (Chrome) verweigerte den Dienst mit

NET::ERR_CERT_COMMON_NAME_INVALID

Glücklicherweise war Onkel Google auskunftsfreudig und meinte das CN=<hostname> nicht mehr ausreiche, sondern man durch die „Extensions“ im Zertifikat möge man doch „alternative Namen“ mitgeben. Hä?

Tja, nicht der Zertifikats-Antragsteller muss die mit angeben, sondern die CA, die das Zertifikat signiert! D.h. beim Signierprozess in den Extensions

.... -ext san=dns:test1,ip:1xx.1xx.x.x

Als hilfreiches Tool sei hier KeyStore Explorer 5.5.2 (Windows) erwähnt, denn dort kann man die notwendigen Eintragungen beim Signaturprozess vornehmen.

34c3: Zwei-Faktor-Authentifizierung muss sein!

Immer wieder schön zu sehen: Vincent Haupert demonstriert wie unsicher die mobilen Banking-Apps von heute sind – jedes Jahr auf dem CCC aufs Neue. Ich bete also, wie jedes Jahr die selbe Leier:

Liebe Banker, vor allem liebe Marketing-Leuts bei den Bankers,

ihr könnt Euch noch so aberwitzigen Blödsinn einfallen lassen, aber zwei Faktoren sind besser als einer um sich Euch gegenüber zu authentifizieren. chipTAN nach wie vor ganz weit vorne… OneAppForAll ist einfach nicht sicher zu machen.

Danke Vincent für Deine immer erfrischenden Vorträge!

Weitere Infos zum Angriff: https://www1.cs.fau.de/nomorp

Tor != Darknet – bpb mit sehr guter Beilage

Die meisten Menschen verbinden mit dem Begriff „Darknet“ Kriminelle, Drogen, Waffen, … aber sehen die andere Seite, die eine Verschleierung der Identität bietet, nicht.

In einer Broschüre von der Bundeszentrale für politische Bildung wird m.E. sehr gut erklärt, dass es auch andere Techniken gibt und das in nicht-demokratischen Ländern eine Verschleierungstechnik notwendig ist, um eine lebhafte Opposition zu fördern.

Zudem werden Dinge richtig gestellt, die immernoch im Netz kursieren:

  • Das das Darknet größer als das Clearnet wäre (Eisberg-Bild).
  • Meldungen über „Erfolge“ der Kriminalpolizei, die eher auf Zufällen oder alten Techniken der Polizei beruhen
  • etc.

Logo der Bundeszentrale für politische Bildung

Macs brauchen keinen Virenscanner, aber…

Liebe Nachbarn, Freunde, Kollegen oder eben Blog-Leserinnen und -leser,

nein, auch ich kann keine 100%ige Sicherheit versprechen, auch nicht auf einem macOS, aber ich schütze meine IT-Systeme, so gut es eben geht. Das mit Abstand Dümmste was man allerdings auf einem macOS machen kann, ist die Installation eines Virenscanners!

Nicht weil der Mac so toll ist, sondern weil das nicht der Angriffsvektor ist aus dem die Kanonen schießen… das wäre so, als würde man ein G36 von „Flintenuschi“ zum Beseitigen von Wespen im Garten einsetzen…. zudem hebeln Virenscanner die eigentlich gar nicht so schlechten Sicherheitsmechanismen von Apple aus – das müssen sie, da sie sonst nicht ihren Dienst tun könnten. Da Virenscanner selber auch Software sind, bringen sie auch ihre eigenen Probleme und eben Angriffsflächen mit sich.

NEXTSTEP und damit macOS basieren auf UNIX und sind für das Netz konzipiert worden. Im Gegensatz zu kinderUnix hat NeXT/Apple dem UNIX eine hübsche Oberfläche spendiert und versteckt viele Dinge unter der Haube – selbiges gilt für iOS auf den mobilen Systemen. Unten drunter ist ein UNIX.

Was bitte ist der Angriffsvektor?

Kurz: Ransomware und Malware

Wenn man sich über Mail oder den Webbrowser Anhänge oder kompromitierte Seiten reinzieht, werden für den normalen Anwender Seiteneinstiege ausgenutzt, die die meisten gar nicht kennen. Da hilft auch kein Virenscanner, denn es ist kein Virus und wenn die Funktion der *ware ausgelöst wird, ist auch der Virenscanner platt.

Es gilt also die Erkennung solcher Seiteneinstiege zu verhindern – oder – wenn man es nicht kann, wenigstens den Prozess unter Kontrolle zu bekommen, der einem gerade die Platte verschlüsseln möchte.

Wie macht man das?

  1. Überwache was in das System kommt und was an andere Systeme geschickt wird („nach-Hause-telefonieren“!
  2. Lasse Dich nicht ausspionieren – auch nicht in öffentlichen WLANs!
  3. Überwache Prozesse, die etwas tun, was sie nicht sollen oder was Du ihnen nicht erlaubt hast!
  4. Verhindere Aktionen von Prozessen, die Dein System dauerhaft schädigen!

Ich habe für solche Zwecke folgende Tools installiert und fahre seit vielen Jahren sehr gut damit:

  1. Ransomwhere (kostenlos)
    1. erkennt Versuche von Prozessen etwas auf der Platte zu verschlüsseln (Ransomware-Erkennung) und kann den Prozess abschießen, der das versucht.
    2. Wenn man Banking-Software benutzt oder Software, die Verschlüsselung einsetzt, weiß man das beim Start, alles andere würde das kleine, kostenlose Tool finden
  2. KnockKnock (kostenlos)
    1. Malware-Erkennung bereits installierter Software
  3. BlockBlock (kostenlos)
    1. Kontinuierliches Überwachen, wie Ransomwhere, bloß für Malware
    2. Wer Handbrake, ein sehr beliebter Videokonvertierer auf dem Mac, benutzt und dieses kleine Tool installier hatte, wurde, im Gegensatz zu den Virescannern, rechtzeitig gewarnt!
  4. Little Snitch (Einzellizenz: € 29,95)
    1. Eine Applikationsfirewall, die auch die ausgehenden Verbindungen mitschneidet. Am Anfang muss man sich erst einmal damit befassen, welche Programme eigentlich wohin mit wem „telefonieren“ sollen und dürfen, aber nach ein paar Tagen hat man eigentlich alles einmal gesehen und die Entscheidung gefällt. Danach kommt das Popup von LittleSnitch nur selten hoch und man sollte das dann schon hinterfragen, ob das so gewollt ist.
  5. Benutze VPN – virtuelles privates Netzwerk
    1. Man kann nur davor warnen in öffentlichen WLANs unverschlüsselt ins Internet zu gehen und am Besten noch Bankinggeschäfte zu machen!
    2. Generell schadet es nicht, wenn man verschlüsselt ins Netz geht, da der Weg zwischen einem selbst und dem Internet dann nicht von „Man in the middle“ einsehbar ist, also auf den Servern, die zwischen Dir und dem Internet liegen.
    3. siehe: Informationstechnologie

Auch mit o.a. Tools hat man nicht alles im Griff, aber zumindest schaut man auf die Angriffsvektoren, die derzeit viel mehr den Rechner angreifen als herkömmliche Viren, wie es bei Windows üblich ist. Zusammen mit der digitalen Selbstverteidigung und deren Tools, fängt man sich sicherlich weniger schadhafte Dinge ein.

GPGMail für macOS 10.12 Sierra (Beta 1) erschienen

Für alle Mac-Besitzerinnen und -Besitzer die zwischenzeitlich nur Thunderbird oder ihr iPhone benutzen konnten um verschlüsselte eMails bzw. verschlüsselte Eingangspostfächer einzusehen, hat das Warten ein Ende. GPGMail (enthalten in den GPGTools) ist in der 1. Beta erschienen und funktioniert auf meiner Sierra-Installation einwandfrei im Standardmodus (=1 private-Key für alles)

Wer sich auf der Mailingliste auf dem „Sierra-Thread“ einschreibt, bekam gestern um 21:39h MEZ Post.

Blackout – Deutschland ohne Strom (PHOENIX)

Gestern hatte mich meine Frau auf einen Film hingewiesen, der mich schon alleine aus beruflichen Gründen interessierte…

Blackout – Deutschland ohne Strom, Film von Tim Förderer (PHOENIX)

Wer wissen will, welche Angriffsszenarien man sich so vorstellen kann und was davon geht und was nicht, bekommt einen guten Eindruck davon. Leider komme ich bzgl. der SmartMeter zu einem völlig anderen Resultat als die Sicherheitsexperten in dem Beitrag, denn: Strom ist, wie auch richtig beschrieben wird, keine nationale Sache, sondern Strom wird in Regelkreisen verwaltet. Selbst wenn wir alles dafür tun, damit unsere SmartMeter gesichert sind, würde durch den Dominoeffekt – siehe: Wikipedia 2006 – auch hierzulande das Licht ausgehen, wenn bspw. in Italien, Frankreich, Polen, Dänemark, BeNeLux, Österreich ein erfolgreicher DoS auf deren SmartMeter stattfinden würde, dessen bin ich mir sicher.

Zudem mag es aus heutiger Sicht nicht ohne enormen Aufwand möglich sein, die Sicherheitseinheit an SmartMetern zu knacken, aber das haben wir von unseren Systemen vor 30 Jahren auch gedacht und heute braucht es gerade mal ein Smartphone um die Rechenleistung aufzubringen, um diese auseinander zu nehmen.

Es wird auch der innere Angriff mittels USB-Stick oder E-Mail-Anhang (social hacking) aufgezeigt, aber eines wird dabei vergessen: Die Lieferkette der Systeme, so wie es vom BSI für SmartMeter bspw. lobenswerterweise gefordert wird, ist bei den Altsystemen mal nicht so sicher gewesen wie man es heutzutage machen könnte. Viele dieser Systeme sind „steinalt“ und da braucht man sich gerade mal an den Systembus zu klemmen und kann ohne jegliche Sicherheitsschranken, munter los hacken. Bis alle Kommunen ihre Systeme also sicherer gemacht haben, wird noch einige Zeit ins Land gehen….

Schön fand ich die Berücksichtigung was passieren würde, wenn man die Strommasten umnietet, wie es in Marc Elsbergs Werk „Blackout“ beschrieben worden ist. Es mag sein, das die Überwachung der Leitungen gut ist und deren Ausfallszenarien geprobt werden, aber jedes, wirklich jedes, System hat ein Rückrad – selbst ein verteiltes System, denn dann wäre es die Verteilung und deren Abgleich selber – und wenn dort eine Lücke gefunden wird, bricht dieses eben.

Leider ist der Beitrag zu kurz, aber als Journalist hätte ich da noch etwas tiefer gebohrt und ggf. auch mal versucht die BlackHats zu fragen, was sie denn über diese Konzepte denken….

wietere Sendetermine:

  • Fr. 30.09.16, 14.30 Uhr
  • Sa. 01.10.16, 11.30 Uhr