Schlagwort-Archiv: sicherheit

Automatische Installation von Sicherheitsupdates

3 Antworten

Wie bei jedem Betriebssystem sollten auch bei Ubuntu regelmäßig Updates installiert werden. Dabei handelt es sich um Fehlerkorrekturen, welche die Stabilität des Systems verbessern und insbesondere potenzielle oder erwiesene Sicherheitslücken schließen.[1. Ubuntuusers Wiki: Konfiguration der automatischen Aktualisierung]

Die Installation von Sicherheitsupdates ist eine Aufgabe, die man hervorragend automatisieren kann, um administrativen Aufwand zu sparen. Dazu installiert man unter Ubuntu das folgende Paket:

sudo apt-get install unattended-upgrades

Um die automatischen Updates zu aktivieren, wird die Datei /etc/apt/apt.conf.d/10periodic angelegt bzw. bearbeitet. Diese sollte mindestens die folgenden Einträge enthalten:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::Unattended-Upgrade "1";

In der Datei /etc/apt/apt.conf.d/50unattended-upgrades wird festgelegt, welche Art von Updates automatisch installiert werden sollen. Möchte man ausschließlich Sicherheitsupdates automatisch installieren lassen, so ist dies mit der folgenden Konfiguration möglich:

// Automatically upgrade packages from these (origin:archive) pairs
Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}-security";
//      "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";
};

Damit ist schon alles Nötige getan. Unter /var/log/unattended-upgrades findet man noch ein Log, um überprüfen zu können, welche Änderungen am System durch die automatische Updateinstallation durchgeführt wurden.

Google will Ende-zu-Ende-Verschlüsselung in den Browser bringen

Schreibe eine Antwort

Beim Stöbern im Internet bin ich über mehrere Artikel gestolpert, die von Googles Plänen berichten, eine Ende-zu-Ende-Verschlüsselung für den Chrome Browser zu entwickeln.

So bin ich auch auf einen Artikel in Googles Security Blog gestoßen. Google schildert in diesem Blog die Absicht, eine „End-to-End“ Erweiterung für den Chrome Browser zu entwickeln, um die Benutzung von sicherer Ende-zu-Ende-Verschlüsselung für den Anwender zu vereinfachen.[1. Making end-to-end encryption easier to use (englisch)]

Die Chrome Erweiterung ist jedoch noch nicht erhältlich. Google hat in einem ersten Schritt den Quellcode der Erweiterung veröffentlicht, um ein Code-Review durch die Internet Community zu ermöglichen. Mit dieser Maßnahme möchte Google das Risiko von Fehlern und Schwachstellen im Quellcode minimieren und das Vertrauen in die Erweiterung stärken.

Auf jeden Fall ist dies ein Schritt in die richtige Richtung. Sind die heute verfügbaren Tools wie PGP oder GnuPG doch den meisten Anwendern zu kompliziert in der Anwendung.[2. Der steinige Weg zu Verschlüsselter Kommunikation]

Doch wird Google wohl auch noch einige Zweifel ausräumen müssen. Als US-Konzern unterliegt Google auch der US-Gerichtsbarkeit. Ich frage mich, ob die US-Behörden nicht etwas dagegen haben, wenn Google seinen Kunden eine sichere Kommunikationsverschlüsselung anbietet, welche den Inhalt von E-Mails auch vor den Augen neugieriger NSA-Agenten schützt.

Musste doch im vergangenen Jahr der E-Mail Anbieter Lavabit seinen Betrieb einstellen, da ihn US-Behörden mutmaßlich zur Entschlüsselung und Herausgabe von Kundendaten aufforderten. Warum sollte Google nicht ähnlicher Druck drohen, wenn sie nicht eine Hintertür für die Behörden offen lassen?[3. Heise Artikel zum Ende von Lavabit]

Google hat neben dem Blogpost auch eine Projektseite geschaltet, welche neben dem Quellcode auch einige FAQs bereit hält.[4. Google End-to-End (englisch)] Diesen ist zu entnehmen, dass die Erweiterung auf OpenPGP basiert, welches einen offenen und sicheren Standard darstellt. Nur ein einziger Abschnitt trübt die aufkommende optimistische Stimmung:

Are the private key(s) kept in memory, are they always purged after every operation, or is there a passphrase cache?

The private keys are kept in memory unencrypted. We recommend making sure your keyring has a passphrase so that private keys are stored encrypted in localStorage.

How safe are private keys in memory?

In memory, the private key is sandboxed by Chrome from other things. When private keys are in localStorage they’re not protected by Chrome’s sandbox, which is why we encrypt them there.

Please note that enabling Chrome’s „Automatically send usage statistics and crash reports to Google“ means that, in the event of a crash, parts of memory containing private key material might be sent to Google.

Auf Deutsch, öffnet man den Schlüsselbund durch Eingabe seiner Passphrase, wird der private Schlüssel in den Arbeitsspeicher geladen. Hat man in seinem Chrome Browser die Funktion aktiviert, automatisch Nutzungsstatistiken und Fehlerberichte an Google zu senden, könnte im Falle eines Browserabsturzes der private Schlüssel mit an Google übertragen werden. Wenn das passiert, bleibt nur das genutzte Schlüsselpaar zu sperren und sich ein Neues zu erstellen. Oder man schaltet von vornherein die Funktion zur Übermittlung von Nutzungsstatistiken und Fehlerberichten an Google ab.

Ob im Quellcode der End-to-End Erweiterung eine Funktion versteckt ist, um den privaten Schlüssel an Google oder einen dritten zu übermitteln, kann ein Code-Review durch die Community zeigen. Ob eine entsprechende Version im Chrome Browser selbst versteckt ist, wird hingegen nicht so schnell festzustellen sein, da der Quelltext nicht komplett offen liegt.

Ehrlich gesagt würde ich mich sicherer fühlen, wenn eine solche Funktion von einem Unternehmen entwickelt würde, das an deutsche Gesetze gebunden ist. Darum bin ich umso mehr gespannt, was die Community und Security-Experten zur neuen Erweiterung sagen. Ich bleib auf jeden Fall dran und halte euch auf dem Laufenden.

Auf dem Weg zur DE-Mail Adresse

1 Antwort

Vor noch nicht allzu langer Zeit habe ich die De-Mail und den ePostbrief an dieser Stelle
als Rohrkrepierer bezeichnet. Doch habe ich die beiden Angebote nicht
aus den Augen verloren und beobachte gespannt die weitere Entwicklung.

Bisher habe ich in Erfahrung gebracht, dass der ePostbrief weiterhin kein Angebot bietet, welches dem De-Mail Gesetz entspricht. Via Twitter teilte mir die verantwortliche Stelle der Post jedoch mit, dass ein entsprechendes Angebot in Vorbereitung ist, welches sich aktuell in der Auditierungs- und Akkreditierungsphase befindet. Ich bleibe hier am Ball und warte wann der De-Mail Service der Post an den Start geht.

Etwas weiter bin ich bei der De-Mail. Hier habe ich heute die Identitätsprüfung für den De-Mail Dienst der Deutschen Telekom abgeschlossen. Ein kurzer Besuch im Telekom Shop genügte. Hier wurde das Ident-Formular ausgefüllt und mit einem gültigen Lichtbildausweis die Identität des Antragstellers verifiziert. Besitzt man schon den neuen Personalausweis kann die Registrierung und Identifizierung komplett online erfolgen.

Doch wofür braucht man die De-Mail nochmal? Die Antwort ist eigentlich ganz einfach. Die klassische E-Mail kann mit einer Postkarte verglichen werden. Jeder der sie in die Hände bekommt kann sie lesen. Auf das Internet übertragen bedeutet dies, dass jeder Server, den die Mail auf dem Weg zum Empfänger durchläuft, den Inhalt der Mail lesen und auch verändern kann. Bei der De-Mail hingegen soll dies durch den Einsatz einer Transportverschlüsselleung (TLS) verhindert werden. Damit soll die De-Mail so sicher sein wie ein klassischer Brief, dessen Integrität durch das Briefgeheimnis sichergestellt wird.

Nun halten einige die De-Mail für überflüssig. Schließlich gibt es bereits seit Jahren Verfahren zur E-Mail Verschlüsselung, die eine sichere und vertrauliche Kommunikation auch via E-Mail sicherstellen. Doch jeder, der bereits versucht hat die E-Mail Verschlüsselung der Generation unserer Eltern näher zu bringen wird zugeben, dass dies alles andere als leicht ist. Denken doch die meisten Menschen, wenn sie GnuPG hören, eher an eine neue Tierart aus Afrika, als an den GNU Privacy Guard. Die Usability ist furchtbar und nur IT-Spezialisten und echte Nerds greifen darauf zurück. Daher konnte sich die E-Mail Verschlüsselung bisher auch nur in Bereichen durchsetzen, wo die vertrauliche Kommunikation zwingend erforderlich ist.

De-Mail bietet hier eine echte Chance die sichere, rechtsverbindliche und vertrauliche Kommunikation über das Internet massentauglich zu machen.

Auch preislich ist der Dienst nicht unattraktiv. Bei der Telekom kostet die
Standard De-Mail nach der Ausschöpfung des Freikontingents nur 0,39€
brutto. Im Vergleich zum Porto von 0,58 € für einen Standardbrief schon
eine deutliche Ersparnis.

Ich bin jetzt jedenfalls für die De-Mail
gerüstet und hoffe, dass im Laufe des Jahres möglichst viele
öffentliche Einrichtungen und Unternehmen der Privatwirtschaft ebenfalls
die Möglichkeit schaffen, die Kommunikation via De-Mail abzuwickeln.
Denn nur wenn diese Institutionen mitziehen wird sich die De-Mail
durchsetzen können und einen echten Mehrwert bieten. Und so werde ich
skeptisch und gespannt die weitere Entwicklung der De-Mail beobachten.

Sichere Nutzung sozialer Netzwerke

Schreibe eine Antwort

Ich habe hier einige Informationen zusammen getragen, die helfen sollen Soziale Netzwerke möglichst sicher zu nutzen. Er dient sowohl Nutzern, welche versuchen die Kontrolle über ihre Daten so weit wie möglich zu behalten, als auch Eltern die ihre Kinder unterstützen wollen, den bewussten und verantwortungsvollen Umgang mit Sozialen Netzwerken zu erlernen.

Auf die Frage nach den Risiken Sozialer Netzwerke bin ich bereits in einem früheren Artikel kurz eingegangen. Der Artikel hat bis heute nichts an seiner Aktualität verloren. Doch wird dem Nutzer die Kontrolle seines Kontos in einem sozialen Netzwerk immer mehr erschwert. Die Menüs sind teilweise tief verschachtelt und die die Optionen zum Schutz der Privatsphäre und Nutzung der Daten zu Werbezwecken häufig tief in den Menüs versteckt.

Ausgehend von meinem ersten Artikel habe ich mich erneut auf den Seiten des BSI für Bürger umgesehen und bin dort über einen eigenen Abschnitt über Soziale Netzwerke gestolpert. Die entsprechenden Seiten wurden dabei nicht in Fachchinesisch verfasst, sondern sind allgemein verständlich und bieten eine Fülle an Informationen zum Umgang mit Sozialen Netzwerken. Der Leser findet hier zu Beginn eine Übersicht über die Sicherheitsrisiken wie Phishing, Identitätsdiebstahl , Verbreitung von Schadsoftware und Mobbing. Darauf aufbauend gibt der Abschnitt Basisschutz Empfehlungen sich vor diesen Risiken zu schützen. Unter den Basisschutz fallen z.B. Dinge wie

  • Der Einsatz von Antivirus Software auf dem PC/Notebook,
  • Durchführung der regelmäßigen Software Updates,
  • Blockieren der Buttuns von Sozialen Netzen,
  • Regelung der Zugriffsrechte anderer auf Ihre Daten,
  • Vorsicht mit beruflichen Informationen oder
  • Veröffentlichung von Daten

Zu jedem Punkt gibt es eine kurze Erklärung und Hinweise zur Umsetzung. In vielen Beschreibungen finden sich Links zu weiterführenden Themen.

Besonders gut ist dem BSI in meinen Augen der Abschnitt Individuelle Einstellungen für Soziale Netzwerke gelungen. Hier finden sich konkrete Hinweise zu individuellen Einstellungen von sicherheitskritischen Aspekten wie z.B. sichere Passwörter, die Verwendung Ihrer Daten zu Werbezwecken, Regelung der Zugriffsrechte und Wie sehen andere Ihr Profil? Wie und vor allem wo man die genannten Einstellungen vornehmen kann wird hier gruppiert für die sozialen Netzwerke

ausführlich erklärt. Zusätzlich wird erklärt was einzelne Punkte überhaupt bedeuten und was sie für Auswirkungen haben. Ich habe die Anleitungen für die Netzwerke befolgt, in denen ich selbst angemeldet bin und kann bestätigen, dass man schnell und zielführend zu den genannten Einstellungen geleitet wird.

Ist das Kind bereits in den Brunnen gefallen kann die Seite Erste Hilfe im Notfall vielleicht noch helfen den Schaden zu begrenzen. Für die oben genannten Netzwerke werden hier die Kontaktstellen genannt, an die man sich bei Verdacht von Identitätsdiebstahl und gehackten Accounts wenden kann.

Wichtig ist immer daran zu denken, dass es nie eine 100%-ige Sicherheit geben wird. Ebenso wird es wohl nicht möglich sein einen vollkommenen Schutz der Privatsphäre auf Facebook zu etablieren. Dies würde auch dem Sinn eines Sozialen Netzwerks entgegenlaufen. Doch hilft ja meist schon der oft ignorierte Tipp, dass man Dinge die niemand wissen soll am besten nirgendwo aufschreibt. Sei es auf Papier oder der Facebook Pinnwand.

Ich hoffe mein Artikel hilft euch dabei ein Stück Kontrolle über eure Daten zu behalten.

 

Folgende Seiten könnten euch auch interessieren:

Studie – Sicherheitsmängel bei Cloud-Speicherdiensten

1 Antwort

Gestern habe ich in einem Artikel auf Golem von einer Studie der Fraunhofer-Gesellschaft zu Sicherheitsmängeln bei Cloud-Speicherdiensten erfahren. Die Studie untersuchte die Cloud-Speicherdienste CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala.

Die Forscher betrachten die genannten Dienste dabei aus der Nutzer-, rechtlicher und technischer Sicht.

Wie schon im Artikel auf Golem zu lesen stellt keiner der betrachteten Dienste eine Out-of-the-Box Lösung dar. Wer seine Daten in der Cloud speichern möchte, sollte sich also vorher genau seine Anforderungen überlegen und danach einen entsprechenden Dienst auswählen.

Mögliche Kriterien können sein, ob die Daten verschlüsselt abgelegt werden, oder wo sie gespeichert werden. Werden Daten auf Servern in den USA gespeichert, so kann auf diese Daten im Rahmen des Patriot Act zugegriffen werden. Dies ist auch dann der Fall wenn es sich beim Diensteanbieter um ein US Unternehmen oder eine Tochter einer US Firma handelt. Auch in diesem Fall kann ein Zugriff auf die Daten erfolgen, selbst wenn diese ausschließlich auf Servern in der EU oder innerhalb Deutschlands gespeichert sind.

Die Studie gibt für jeden der oben genannten Dienste einen Überblick, der sich wie folgt gliedert. Es wird aufgeführt für welche Betriebssysteme der Dienst zur Verfügung steht und über welche Schnittstellen (Webinterface, API) darauf zugegriffen wird. Gefolgt wird dieses Kapitel von Informationen über Lizenz- und Preisinformationen, sowie der Informationen nach welchen Sicherheits-Standards ein Dienst zertifiziert wurde. Das sich anschließende Unterkapitel widmet sich den Features, welche pro Dienst beschrieben und zu den anderen betrachteten Diensten abgegrenzt werden. Abschließend wird pro Dienst die Sicherheit betrachtet. Hier wurden folgende Aspekte untersucht.

  • Registrierung und Login
  • Verschlüsselung
  • Übermittlung zwischen Client und Server
  • Sharing mit Teammitgliedern und Dritten
  • Update der Software

Insgesamt bietet die Studie einen detaillierten Blick auf die betrachteten Dienste. Darüber hinaus nennt sie generelle Anforderungen an Cloud-Speicherdienste und bietet Informationen, die bei der Auswahl eines Anbieters beachtet werden sollten.

Aus meiner Sicht sollte jeder Administrator, Projektleiter oder Geschäftsführer, welcher den Einsatz von Cloud-Speicherdiensten für sein Unternehmen oder seine Kunden in Erwägung zieht, diese Studie zur Kenntnis nehmen.

Die Studie kann auf der Seite sit.fraunhofer.de, in verschiedenen Formaten, heruntergeladen werden. Da sich der Link zur Studie in der Vergangenheit schon einmal geändert hat, habe ich die Studie am Ende dieses Artikels zum Download angehängt.

Wirklich jedem möchte ich anraten die Bedingungen eines Cloud-Speicheranbieters genau zu studieren, bevor er sich für einen Dienst entscheidet. Nur so lässt sich beurteilen, ob ein Dienst wirklich für den geplanten Einsatzzweck in Frage kommt. Hier stehen wichtige Details häufig erst auf der zweiten oder dritten Seite, oder sind tief in den FAQs versteckt.

Dateien zum Download

Den Computer einfach Schützen

1 Antwort

Wieviel Aufwand zum Schutz den privaten PCs betrieben werden muss hängt natürlich immer von den persönlichen Anforderungen ab. Es gibt jedoch Schutzmaßnahmen, die jeder treffen sollte.

Dieser Artikel nennt die 10 wichtigsten Tipps, die man für ungetrübtes Surfvergnügen beherzigen sollte.

  1. Installieren Sie ein Virenschutzprogramm und ein Anti-Spyware Programm und halten Sie diese Programme immer auf dem aktuellen Stand.
  2. InstallierenSie für ihr Betriebssystem verfügbare Updates. Halten Sie auch die installierte Software immer auf dem neusten Stand. Häufig gelangt Schadsoftware durch Sicherheitslücken im Betriebssystem und in Programmen auf den PC, die noch nicht gepatched wurden.
  3. Wenn möglich arbeiten Sie nicht als Administrator oder mit administrativen Rechten. Schadsoftware wird meist mit den Rechten des angemeldeten Benutzers ausgeführt und kann so noch mehr Schaden anrichten. Verwenden sie zwei Benutzerkonten oder lassen sie z.B. bei Windows Vista und Windows 7 die Benutzerkontensteuerung (UAC) aktiviert.
  4. Gehen Sie sorgfältig mit Ihren Zugangsdaten um. Bewahren Sie diese sicher auf und speichern Sie sie nicht unverschlüsselt auf der Festplatte ihres PCs. Zum verwalten von Kennwörtern und Zugangsdaten auf dem PC eignen sich sogenannte Passwort-Safes wie z.B. KeePass.
  5. Seien Sie vorsichtig beim Öffnen von E-Mail Anhängen. Öffnen Sie diese nur wenn Sie den Absender kennen. Fragen Sie im Zweifel beim Absender nach.
  6. Seien Sie vorsichtig bei Downloads von Dateien aus dem Internet. Vergewissern Sie sich vorher, dass ihr Virenschutzprogramm aktuell ist und die Dateien aus einer vertrauenswürdigen Quelle stammen.
  7. Seien Sie zurückhaltend mit der Weitergabe persönlicher Daten. Je weniger Daten sie weitergeben, desto weniger Daten können von Betrügern missbraucht werden.
  8. Fertigen Sie regelmäßig Sicherungskopien Ihrer wichtigen Daten an. Sollten ihre Daten einmal durch Schädlingsbefall oder Hardwaredefekt verloren gehen, können Sie diese aus einer Sicherung wiederherstellen.
  9. Wird Ihr PC von mehreren Personen benutzt, so richten Sie jedem Benutzer ein eigenen Benutzerkonto ein. Sperren Sie ihre Arbeitsoberfläche, wenn sie den PC verlassen. So verhindern Sie die missbräuchliche Verwendung ihrer Benutzerkennung.
  10. And last but not least. Lassen Sie bei allem Tun und Handeln den gesunden Menschenverstand walten. ;-)

Im Gegensatz zu vielen anderen Ratgebern und Tipp-Sammlungen empfehle ich nicht den Einsatz einer Personal Firewall. Der Grund dafür ist ganz einfach. Die meisten Anwender sind nicht in der Lage eine Firewall richtig zu konfigurieren. Und falsch konfiguriert stellt eine Software-Firewall unter Umständen ein Sicherheitsrisiko für ihren Computer dar.

Die meisten Privathaushalte verwenden heute einen Router für den Zugriff auf das Internet. Moderne DSL-Router sind mit einer NAT-Firewall ausgestattet und blocken Angriffsversuche von aussen sicher ab. In diesem Fall ist eine zusätzliche Personal Firewall obsolet.

Sollten Sie sich jedoch direkt per Modem, ISDN oder UMTS mit dem Internet verbinden, kann der Einsatz einer solchen Firewall durchaus sinnvoll sein. Doch scheuen Sie in diesem Fall nicht den Aufwand sich mit der Software vertraut zu machen. Denn nur sinnvoll konfiguriert, kann Sie die Firwall schützen ohne ihren Arbeitsablauf zu blockieren.