kreeloo.de is not a blog

Die Überschrift ist mit Sicherheit etwas hochtrabend, aber so sollen Überschriften doch auch sein 😉

Ich will Euch heute ein paar Internetseiten vorstellen, auf der Ihr Eure Fähigkeiten im hacken von Seiten testen könnt. Warum das Ganze? Aus einem ganz einfachen Grund, denn nur wer sich den Problemen bewusst ist kann seinen Internetauftritt auch entsprechend gestallten.

1. hacker.org
2. hackthissite.org
3. notpron
4. happy-security

Ernsthafte Hacker belächeln diese Seiten nur, sagen wir mal so, es wäre für sie ein WarmUP. Denn wie Ihr in diesem Paper nachlesen könnt wurde z.B. die Seite hacker.org bereits gehackt und alle Namen und E-Mail Adressen wurden ausgelesen. Also meldet Euch an aber verwendet nonsense Daten.

Ich schätze jetzt einfach mal ins Blaue in dem ich behaupte, dass man sich zu 90% der Zeit, mit einem Browser durchs Internet bewegt. D.h. der Browser muss bei Sicherheitsbestreben auch besonders geschützt werden. Allein durch die Vielzahl an Browser, wie Opera, Firefox, Safari und Internet Explorer, bekommt man etwas Sicherheit, denn Angriffe die auf allen Browser funktionieren, sind schwerer umzusetzen. Hier zeigen sich wieder ein Vorteil von funktionierendem Wettbewerb.

Da die Browser von Haus aus nur wenige Funktionen bietet um die Sicherheit zu verbessern, stell ich heute ein paar Plugins vor. Ich selber verwende den Firefox. Leider konnte ich nicht für alle Browser äquivalente Plugins finden. Aber vielleicht könnt Ihr ja noch ein paar ergänzen.

1. NoScript: Erlaubt es Java, JavaScript, Flash etc. für jede Seite separat aus- bzw. einzuschalten.
2. WOT: Internetseiten werden von Besucher auf Vertrauenswürdigkeit, Datenschutz und noch in zwei weiteren Kategorien bewertet.
3. Adblock Plus: Blockiert hauptsächlich Werbung, aber auch Popups etc.
4. Cookie Button: Einfaches ein- und ausschalten von Cookies für jede Internetseite separat.
5. Torbutton: siehe letzten Beitrag, (BEACHTE: Tor sorgt NICHT für Sicherheit sondern nur für Anonymität)

Hier nun ähnliche Plugins für die anderen Browser, wobei es bei den Funktionen auch Überschneidungen geben kann. Einfach mal anschauen.

Für Opera (Allgemeine Hinweise):

1. Bereits integriert
2. Gibt bis jetzt nur einen Workaround
3. Proxomitron
4. Bereits integriert
5. OperaTor

Für Safari:

1. PithHelmet
2. Gibt bis jetzt nur einen Workaround
3. Glimmer Blocker
4. SafariPlus
5. Tor für Safari

Für Internet Explorer:

1. Ab Version 8 integriert
2. WOT für den IE
3. AdblockIE
4. UNBEKANNT
5. TOR für IE7 für den IE8 habe ich noch nichts gefunden

[UPDATE] Bei aptgetupdate gibt es noch ein paar weitere Informationen über Safari und deren Plugins

In meinem ersten Artikel ging es um die Verschlüsselung von E-Mails. Damit wurde zwar der Inhalt verschlüsselt, aber es ist weiterhin möglich festzustellen wer die E-Mail bekommen hat. D.h. wir suchen eine Möglichkeit den gesamten Datenverkehr zu anonymisieren.

Tor bietet diese Möglichkeit. Auf der Webseite gibt es alle wichtigen Informationen z.B.

1. wie installiert man Tor ( Windows / OSX / Linux )
2. wie funktioniert Tor
3. was muss man trotzdem beachten

Ich selbst bin erst vor ein paar Wochen auf Tor gestoßen und zwar durch diesen Artikel. Falls Euch Tor nicht gefallen sollte, so gibt es auch Alternativen z.B. JAP.

Wenn ich es mir recht überlege, hätte dieser Artikel der erste in dieser Serie sein müssen. Denn die Grundlage für jegliche Sicherheit sind sichere Passwörter und deren Verwahrung.

Im Prinzip weiß jeder Bescheid, dass ein gutes Passwort aus vielen unterschiedlichen Zeichen besteht, eine mindestlänge hat, nicht in einem Wörterbuch zu finden ist und man es in regelmäßigen Abständen ändert. Die Realität sieht anders aus, denn häufig gibt es keine oder nur schlechte Passwörter.

Aus meiner Sicht gibt es zwei Gründe dafür, erstens sind wir Menschen faul und zweitens unterstützt Software uns auch nicht gerade dabei sicher unterwegs zu sein. Ein beliebtes Beispiel, bis Vista war der MS User bei default Administrator.

Sich selbst zu motivieren und Passwörter richtig zu pflegen, dabei kann ich nicht helfen. Helfen kann ich zum einem, in dem ich Software vorschlage, die Euch etwas unter die Arme greift. Und zum anderen, wie man Passwörter wählt die man sich merken kann und dennoch sicher sind.

Software

Um alle Passwörter im Überblick zu behalten gibt es für die unteschiedlichen Betriebssysteme sehr viel Software. Was Ihr wählt liegt an Euren Schwerpunkte. Wollt Ihr eher, dass Ihr über mehrere Geräte hinweg die Passwörter synchronisieren könnt. Oder wollt Ihr eine gute Einbindung in das System, so das Passwörter immer aus dem Programm geholt werden. Es gibt leider nicht DAS Programm so bleibt Euch die Qual der Wahl.

• Mac: Pastor, 1Password, Password Repository, PasswordVault
• Linux: pwsafe
• Windows: KeePass, Password Safe

Merkhilfe

Nehmt ein langes Wort z.B. Staubsaugerfilter und nun überlegt auch Regeln die Ihr bei jedem Passwort anwendet z.B.:

1. Mit einem Unterstrich zu beginnen und zu enden
2. Alle t mit % ersetzen.
3. Alle u mit 1 ersetzen.

Und schon bekommt Ihr ein etwas besseres Passwort _S%a1bsa1gerfil%er_

Ich selbst verwende Pastor, schaue mich aber gerade auch nach anderer Software um, da Pastor nicht so richtig in das System integriert ist. Was verwendet Ihr?

Ich möchte in dieser Artikelserie unterschiedliche Sicherheitsprobleme ansprechen.

Im ersten Teil geht es um die Verschlüsselung von E-Mails, denn seit dem 1.1.2009, werden alle Verbindungsdaten vom Provider mitgeloggt. Ausführliche Berichte finden sich im Netz unter Stoppt die Vorratsdatenspeicherung und dem CCC.

Aus diesem Grund empfehle ich jedem seine E-Mails zu verschlüsseln. Wie das geht erklären folgende Beschreibungen.

1. Mac OSX 10.5 PGP für Mail + Ergänzung
2. Linux PGP mit Evolution
3. PGP für Windows

Wie PGP funktioniert erklärt dieser Wiki-Artikel und wie es mit der Sicherheit bestellt ist dieser.
Ihr solltet auch immer beachten, dass PGP ein Stück Software ist und somit auch immer wieder Fehler auftauchen. Deshalb ist es wichtig immer wieder nach Softwareupdates für PGP zu schauen und entsprechend zu aktuallisieren. Auch solltet Ihr nach spätestens zwei Jahren euch ein neues Schlüsselpaar zulegen. Bei gravierenden Fehler am besten sofort.

Das Rechenzentrum der UNI Köln bietet noch viele weitere Infos an.

Meinen öffentlichen Schlüssel gibt es hier zum herunterladen. Einmal als byte File und einmal als txt File. Eines von beiden herunterladen und in Zukunft alle Nachrichten an mich damit verschlüsseln. Und jetzt kommt das Text File noch ausgeschrieben.

—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG/MacGPG2 v2.0.12 (Darwin)
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=BYGm
—–END PGP PUBLIC KEY BLOCK—–

[UPDATE] Ich muss noch zwei Dinge ergänzen, erstens kann ich den PGP Schlüssel gerade nicht verwenden, denn es gibt kein PGP Plugin in für Mail in Snow Leopard. Ich habe dies auch bereits Apple geschrieben. Und zweitens ( Danke an Ronald ) ist es wichtig sein PGP Schlüssel zertifizieren zu lassen. Das werde ich dann machen wenn ich Mac Support habe. Durch die Zertifzierung geht man sicher dass den Schlüssel den man heruntergeladen hat auch wirklich zu dieser Person gehört. Wie alles geht kann bei heise.de nachgelesen werden.