Ein Mac ist wahrscheinlich etwas sicherer als eine Windoof-Kiste, aber auch dort gibt es jede Menge Surf-Rückstände. Eine "zweite Kiste" kann auch viel kleiner und billiger sein. es genügt ein USB-Stick mit etwa 1GB und einer Live-Linux-Distribution (gibt es gratis) drauf.Den Stick kann man von jedem bestehen Computer starten und nach dem Abmelden und Abziehen des Sticks bleiben keine Rückstände, auf dem Computer wird nur im RAM gespeichert. Wer will, kann sogar sämtliche Festplatten und andere Speicher vorher rausnehmen.Ich habe das manchmal im Ausland an öffentlichen Computern gemacht. Soviel ich weiss, sind bei diesem Vorgehen keine Sicherheitsrisikos bekannt.Grussfritz
Computersicherheit
- Ersteller fritz
- Erstellt am
Stehe nicht so auf Dualboot. Ist auch nicht so das meine Kisten ein Uptime von wenigen Stunden haben :mrgreen:
Der Weg zwischen Computer und Server produzieren immer Rückstände. Besonders beim Online-Banking sind die Daten auf dem Computer nicht so relevant. Sondern der Traffic zwischen Server und Client.
:mrgreen: http://www.sigint.co.uk/ :mrgreen: http://www.narus.com/solutions/narus-nsystem :mrgreen: ein must have
Der ist auch gut: http://en.wikipedia.org/wiki/Room_641A
Du kannst doch diesen Stick täglich aktualisieren, wenn du willst. Ich weiss nicht, wie man eine Software auf einem Stick abhört. Kannst du mir das erklären? Ich weiss nur, dass man Verbindungen abhören kann. Dass direkt im Betriebssystem bei Linux Hintertüren drin sind, ist eher unwahrscheinlich, weil der Quellcode ja offen liegt.
Das ist ja auch nicht wirklich ein Dualboot, an deinem Computer änderst sich ja nichts, es läuft alles vom Stick und wenn du den rausziehst, ist alles wieder wie vorher.
Was auf dem Weg passiert, kann ich aber kaum beeinflussen. der Browser verschlüsselt bei mir zu Hause die Daten und diese werden bei der Bank wieder entschlüsselt. Falls die NSA oder der Ueli einen Hintereingang zu dieser Verschlüsselung haben, bin ich wahrscheinlich machtlos, egal, welche Software ich benütze.Es ging mir in meinem Beitrag mehr darum, die Meinung, mit einem Mac besonders sicher unterwegs zu sein, etwas zu relativieren. Auf dem Rechner keine Rückstände zu hinterlassen, liegt in unserer Gewalt.Grussfritz
Ich würde das eher so formulieren. Die Wahrscheinlichkeit das bei Closed Source gewisse Hintertüren installiert wurden ist höher.
Es ist Dualboot, weil ich dafür extra ein neues OS booten muss
Dann doch lieber in einer VM laufen lassen
Natürlich kannst du das beeinflussen, zum Beispiel durch einen VPN Dienst. Dann weiss der Ueli bestimmt nicht, dass du gerade mit deiner Bank telefonieren tust oder überhaubt Kunde bei der Bank bist. Soviel zu unserem Bankkundengeheimnis, dass durch das ÜPF für alle Online-Banker nicht mehr existiert
Ob es aber gegen die Five Eyes nützen wird ist eine andere Frage. Ich würde eher damit rechnen, dass die Five Eyes bereits die nötigen Private Keys der grossen Zertifizierungsstellen haben. Darum hat die Merkel, nachdem sie öffentlich die empörte Mutti der Nation gespielt hatte, angesichts ihres überwachten Handy. Trotz der zuvor behaupteten Aussage, die Affäre sei zu Ende. Kürzlich die europäische Datenschutzverordnung verwässert: http://www.spiegel.de/netzwelt/netzpoli ... 30321.html Zitat:
Jedes Volk hat die Regierung, die es verdient :lol: Und dann jammern einiege Schweizer über unsere Bundesräte :mrgreen:
Ich habe mich mit "abhören" undeutlich ausgedrückt. Ja es geht darum, dass auch dieser Stick aktualisiert werden sollte. Was ich in der Praxis aber bezweifle, dass selbiges gemacht wird. Ich gehe viel mehr davon aus, dass sich Benutzer solcher Sticks in falscher Sicherheit wähnen.
Es gibt da natürliche verschiedene Situationen:1. Man fühlt sich mit ziemlich unsicheren Mitteln ziemlich sicher2. Man fühlt sich mit ziemlich unsicheren Mitteln ziemlich unsicher3. Man fühlt sich mit ziemlich sicheren Mitteln ziemlich sicher4. Man fühlt sich mit ziemlich sicheren Mitteln ziemlich unsicherIch finde Situationen 3 und 4 sind in jedem Fall ein Vorteil gegenüber 2 und 3.Grussfritz
Alle Optionen setzen voraus, dass derjenige weiss, wieso er sich sicher fühlt oder unsicher. Wenn jemand zum Beispiel diesen USB-Stick mit einer Live-Distribution laufen lässt. Aber sein Traffic über schwach gesicherte WLAN netze läuft. Dann wird der Nachbar keine Probleme haben mit seinem Lauschangriff. Dafür braucht es nicht mal den Ueli Wenn dann noch das Smartphone im eigenen Netzwerk hängt, brauchst du nicht mal ein WLAN. Wenn zum Beispiel eine dubiose App nach Hause telefonieren will und Zugriff auf alle Rechner im Netzwerk hat. Eine dezentere Wanze kann ich mir kaum vorstellen :mrgreen:
Wenn dann noch das Smartphone im eigenen Netzwerk hängt, brauchst du nicht mal ein WLAN. Wenn zum Beispiel eine dubiose App nach Hause telefonieren will und Zugriff auf alle Rechner im Netzwerk hat. Eine dezentere Wanze kann ich mir kaum vorstellen :mrgreen: Was genau kann dann der Nachbar aus meinem ungesicherten WLAN lesen, was meine Verbindung mit Swissquote betrifft (habe diese Bank gewählt, damit wir wieder etwas näher ans Thema kommen...)? Kann er da meinen Kontostand ablesen oder selber Transaktionen durchführen?Grussfritz
Ich habe einmal mein eigenes Smartphone angezapft, ich brauchte weniger als 1 Minute bis das Smartphone meinen Rechner als Gateway akzeptiert hat statt den WLAN Router. Was deine Frage betrifft, er kann zum einen deinen Traffic lesen und manipulieren. Aber das ist nicht mal nötig, weil generell Verschlüsselt. Er kann aber, weil er physischen Zugang zu deiner MAC hat. Zum Beispiel deine Live-Distribution angreiffen und dann ja, sieht er alle deine Transaktionen und kann bei bedarf auch direkt deine bestehende offene Verbindung zu Swissquote missbrauchen. Der Warg hat einmal einen interessanten Link zu Exploits gepostet. Ob darin einiege für spezielle Live-Distributionen vorhanden sind? :mrgreen: Übrigens muss der Zugriff nicht zwingend über Smartphone laufen, auch heutige TV Geräte haben Konnektivität...
Beispiel, einer ARP Tabelle:
Das sind etwa 9 Rechner im Netz. Das kann ein Smartphone sein, dein TV Gerät, sein Computer mit der Live-Distribution, ... Um zurück zu deiner Frage zu kommen. Wenn nicht das Gesamtpacket betrachtet wird, dazu gehören auch Verhaltensregeln. Dann kannst du noch so ein sicheres Betriebsystem haben. Es wird dich vieleicht gegen eine Angriffmethode schützen, dafür aber für eine andere anfällig machen. Darauf sollte schon hingewiesen werden, damit der Anwender sich nicht in falsche Sicherheit wiegt
Verstehe ich das richtig, dann wird plötzlich nicht mehr verschlüsselt zur Bank gesendet, der Spion kann die Daten mitlesen und die Bank merkt nichts davon, dass die Daten plötzlich unverschlüsselt ankommen?Ich habe zwar keine Ahnung von solchen Sachen, aber das möchte ich doch noch von anderen bestätigt haben, bevor ich es glaube. Dass man sich in ein offenes Netzwerk einschleusen kann und alle unverschlüsselten Daten lesen kann, das glaube ich euch sofort, habe ich auch schon erlebt.Ich bin vor ein paar Wochen in Verbindung der NSA-Geschichten mal auf ein Forum gestossen, wo ein Daten-Forensiker Fragen von neugierigen Leuten beantwortet hat. Dieser Typ untersucht Computer für die Polizei zur Verbrechensbekämpfung. Das hat alles sehr echt getönt, wenn das eine Falle sein soll, dann würde er konkretere Tipps geben.Unter anderem hat er einen Computer ohne Festplatte empfohlen, mit zwei Sticks, einer Live-Distro als Betriebssystem und falls nötig ein zweiter Stick mit Verschlüsselung für allfällige Daten. Im Zusammenhang mit E-Banking geht es dabei in erster Linie darum, dass irgendwelche Behörden keine Datenrückstände finden.Die Sache mit der Übertragung ist natürlich etwas anderes, trotzdem bin ich da skeptisch, dass es so einfach ist, diese verschlüsselte Verbindung zu knacken, sonst würde das ja ständig gemacht. Ich selber (und die meisten aller E-Banking-Nutzer) gehen da ziemlich sorglos um und trotzdem hat mir noch kein Hacker meine Kontostände verdoppelt.Wie gesagt, das mit der Live-Distro habe ich nur früher manchmal in öffentlichen Internet-Cafés gemacht, dort wird nämlich jede Menge Unfug getrieben.Grussfritz
Nein, wie ich bereits geschrieben habe wird zur Bank verschlüsselt mittels SSL. Das wird dein Nachbar, oder jemand der Zugriff auf dein Smartpone hat, oder deinem Smart TV nicht viel nützen. Aber wie ich dir bereits erläutert habe, hat der Angreiffer Zugriff auf dein Netz. Er sieht also alle MAC Adressen die im Netzwerk verbunden sind. Ein Angreiffer, der über das Smartphone auf dein Netzwerk Zugriff hat. Oder über ungenügende sichere WLANs (ungesichertes WLAN ist noch schlimmer). Könnte zum Beispiel direkt auf alle Rechner im Netzwerk einen Hack starten. Im falle der Live-Distribution, die sich bei dir Zuhause im selben Netzwerk befindet, oder im öffentlichen Raum. Könnte der Angreifer natürlich administrative Rechte erlangen. Der Warg hatte dazumal gute Links von Exploits, die genau das ermöglichen.
Ich zeige dir mal kurz, wie einfach du jeden beliebigen Rechner, Smartphone oder SmartTV anzapfen kannst. Das ganze nennt sich ARP-Spoofing. Du installierst dir das dsniff Programm und das Wireshark Programm. Ersteres ist für das Anzapfen zuständig und das zweitere für die Datenanalyse der angezapften Daten. Jedenfalls, nach der Installation führst du folgenden Befehl aus:
arpspoof -i X -t 193.167.2.1 193.167.2.2Das ist alles, um einen Rechner anzuzapfen. Die IP Adresse 193.167.2.1 ist das Gerät das du belauschen willst. Es muss sich im selben Netzwerk befinden, meine ARP-Tabelle hat dir bereits gezeigt wie leicht du alle Rechner im Netzwerk ausfindig machen kannst. Die IP Adresse 193.167.2.2 ist die IP Adresse des Routers, wo der Traffic vom Zielgerät 193.167.2.1 hindurchführt. Das ausführen des obigen Befehls dauert wenige Sekunden und schon täuscht dein Rechner den Gateway für 193.167.2.2 vor. Also, jeder Traffic vom Zielgerät 193.167.2.1 wird durch deinen Computer weiter an den Router 193.167.2.2 geleitet. Du als Man-In-The-Middle kannst jede Datenspur vom Gerät 193.167.2.1 ins Internet verfolgen, bspw. mit Wireshark:
Weil aber die Verbindung zwischen dir und der Swissquote verschlüsselt sein wird. Muss der Angreifer in deinem Netzwerk nicht zwigend deinen Traffic belauschen. Gut er kann, besonders in Foren ohne SSL wie trader-forum.ch könnte er dein Password belauschen. Im falle von Swissquote kann er aber einen direkten Angriff auf das Zielgerät 193.167.2.1 starten. Er hat physischen Zugriff auf deinen Rechner, mit der richtigen Schwachstelle deiner Live-Distribution kann er administrative Rechte zu deinem Rechner erlangen. Dann kann der Angreifer in Realtime Screenshots machen, virtuelle Transaktionen auf deinem Browser durchführen, etc.
Ich schreibe nicht das eine Live-Distribution falsch wäre. Ich meine, obwohl ich die Risiken kenne, nutze ich für gewisse Konten das Online-Banking auf meinem normalen Rechner. Natürlich, wenn man im nachhinein Opfer wird ist man immer klüger. Aber es wäre falsch, wenn behauptet wird, dass eine Live-Distribution sicherer wäre bzw. generell mehr Sicherheit verspricht. Ohne Wissen um die Materie. Ich meine, wie oft überprüfst du deine ARP-Tabelle? Ob sich vieleicht weitere Rechner in deinem WLAN befinden? Ein Intrusion Detection System (IDS) finde ich eine wichtige Komponente, dass ereichst du nicht indem du dich mit einer Live-Distribution im 7ten Himmel fühlst: http://de.wikipedia.org/wiki/Intrusion_Detection_System Und sollange niemand selber jemals betroffen war, wird sich kaum darum kümmern. Es fühlt sich für viele wie Scince-Fiction an. In Wahrheit aber, steigt die Cyberkriminalität von Jahr zu Jahr: http://www.welt.de/wirtschaft/webwelt/a ... eitet.html
Bis der Träumer selber eine Opferzahl wird
Frag mal, warum der Blocher keine Computer mag :lol: Wenn du zum Bankomat läufst und dein PIN eingibst. Schaust du das niemand hinter dir steht und zuschaut. Du hast die Sicherheit in diesem Szenario besser im Griff (Skimming ausgenommen). Wie aber kannst du dich sicher sein, dass bei deinem Computer niemand direkt auf deinen Bildschirm schaut und sogar unbemerkt Kontrolle übernimmt? Darum, viele fühlen sich in falscher Sicherheit...
Hehe, auch so ein Schlaumeier bei den Kommentaren:
:lol: Für Ihn seid Ihr ein anonymer Surfer :rolling: :lol: Die Redaktion sollte solche Kasper zwingend Zensieren. Wenn das Schule macht, Volksverblödung... Mal davon abgesehen das dieser "nicht paranoide" Kommentator mit User schreibt statt mit seinem richtigen bürgerlichen Namen. Das sind immer die besten, grosse "habe nichts zu verbergen" Sprüche aber die Personalien werden um jeden Preis verschleiert. Ähnlich sieht es mit diesen Facebook Leuten aus, die sich dauernd über schwachen Datenschutz beklagen aber das ganzes Leben öffentlich machen. Zwei Welten, zwei Widersprüche :repsekt:
Irgendwie scheint das direkte Gespräch (in einem abgesicherten Raum...) das einzig funktionierende Sicherheitsdispositiv zu werden :cheers: http://www.tagesanzeiger.ch/ausland/ame ... y/18291006
Nicht umbedingt, es gibt Hoffnung CrashGuru :mrgreen: Kürzlich war ich auf https://prism-break.org/ und habe mir ein neues Mailsystem angeschaut das auf dem BitCoin Konzept aufbaut: https://bitmessage.org/wiki/Main_Page. Der Clou an dieser Kommunikationstechnik liegt darin, dass die Mail nicht vom Absender zum Mail Server bis zum Empfänger gesendet werden muss. Sondern allen Teilnehmer im Bitmessage-Netzwerk erhalten eine Kopie der Mail. Jetzt fragt sich der eine, wie soll damit Anonymität und Verschlüsselung gewährleistet werden? Der Trick liegt darin, dass die Mail Adresse des Empfängers, zum Beispiel:
BM-BcbRqcFFSQUUmXFKsPJgVQPSiFA3XashGleichzeitig ein Fingerprint representiert. Der Sender holt sich mit diesem Fingerprint automatisch den öffentlichen Schlüssel des Emfpängers und verschlüsselt damit die Mail. Anschliessend wird die verschlüsselte Mail an das Bitmessage-Netzwerk gesendet und jeder Teilnehmer erhält eine Kopie dieser verschlüsselten Mail. Aber nur der Empfänger kann mit seinem privaten Schlüssel die Mail entschlüsseln und lesen. Alle anderen Teilnehmer wissen nicht wer diese verschlüsselte Mail gesendet hat oder an wehn sie gesendet wurde. Auch bleibt der Inhalt verborgen.
Das interessante an diesem Mailsystem ist, dass der Anwender nichts von Anonymisierung oder Kryptographie verstehen muss. Es findet kein separater Schlüsselaustausch statt, weil die Mail Adresse bereits ein Teil des öffentlichen Schlüssels inne hat. Auch kann dieses Mailsystem durch das dezentrale Design - ähnlich dem BitCoin-Netwerkt - nicht abgeschaltet werden.
Grundsätzlich kann diese Form der Kommunikation auch mit einem Inserat verglichen werden. Person A schaltet ein Insert in der Zeitung und jeder Leser kann das Inserat sehen. Aber nur Person B versteht den Inhalt des Inserats und nur die beiden wissen über die gemeinsame Verbindung bescheid. Das gegenteil eines abgesicherten Raumes. Somit kann die NSA sollange überwachen wie sie will:
Quelle: http://www.washingtonpost.com/world/nat ... story.html
Es spielt dann auch keine Rolle ob die NSA das SSL von Google beschissen hat...
BM-BcbRqcFFSQUUmXFKsPJgVQPSiFA3XashGleichzeitig ein Fingerprint representiert. Der Sender holt sich mit diesem Fingerprint automatisch den öffentlichen Schlüssel des Emfpängers und verschlüsselt damit die Mail. Anschliessend wird die verschlüsselte Mail an das Bitmessage-Netzwerk gesendet und jeder Teilnehmer erhält eine Kopie dieser verschlüsselten Mail. Aber nur der Empfänger kann mit seinem privaten Schlüssel die Mail entschlüsseln und lesen. Alle anderen Teilnehmer wissen nicht wer diese verschlüsselte Mail gesendet hat oder an wehn sie gesendet wurde. Auch bleibt der Inhalt verborgen.
Das interessante an diesem Mailsystem ist, dass der Anwender nichts von Anonymisierung oder Kryptographie verstehen muss. Es findet kein separater Schlüsselaustausch statt, weil die Mail Adresse bereits ein Teil des öffentlichen Schlüssels inne hat. Auch kann dieses Mailsystem durch das dezentrale Design - ähnlich dem BitCoin-Netwerkt - nicht abgeschaltet werden.
Grundsätzlich kann diese Form der Kommunikation auch mit einem Inserat verglichen werden. Person A schaltet ein Insert in der Zeitung und jeder Leser kann das Inserat sehen. Aber nur Person B versteht den Inhalt des Inserats und nur die beiden wissen über die gemeinsame Verbindung bescheid. Das gegenteil eines abgesicherten Raumes. Somit kann die NSA sollange überwachen wie sie will:
Quelle: http://www.washingtonpost.com/world/nat ... story.html
Es spielt dann auch keine Rolle ob die NSA das SSL von Google beschissen hat...
Finde dies grundsätzlich eine Superidee. Nur etwas versteh ich möglicherweise nicht recht:
Es kann ja kaum sein, dass man mir alle E-Mails der gesamten Welt (wenn mal alle mitmachen) auf meinen Computer schickt und ich dann mein Mails herausfischen muss. Meine Interverbindung wie auch mein Compi würden dies nicht aushalten.Kommt nun solche Mails quasi "postlagernd", d.h. müsste ich sie abholen (Post=Server)? Das wäre ja nun ein erhebliches Risiko, täglich oder öfters mit meinem Schlüssel auf die Post zu gehen und dort in Millionen Mails nach den meinen zu suchen.Heute habe ich einen angeschriebenen Briefkasten und die Post (Server) sortiert die ankommende Post aus und schmeisst nur die mit meiner Adresse versehenen Mails in meine Box.