Mythen rund im Internetsicherheit auf Reisen

[Travelling_Geek]

ANZEIGE

Interessantes Thema.

Was ich hier schon länger fragen wollte, wie ist die Sicherheit einer Verbindung via Surfstick zu bewerten? Ich benutze den von o2.

Wie ich schon schrieb, ist UMTS meiner Meinung die sicherste Möglichkeit überhaupt, dicht gefolgt von einer per VPN gesicherten Übertragung. Die von Sixpack und Peter42 erwähnten Angriffe auf UMTS sind mir jedenfalls nicht bekannt und somit bleibe ich vorerst dabei, dass UMTS mit vertretbarem (!) Aufwand - also ohne legal kaum zu beschaffendes Equipment für zig zehntausend Euro - im Moment nicht zu belauschen ist.

Dabei ist es Wurst, ob O2, T-Mobile oder sonstwer und es spielt auch keine Rolle, ob die Verbindung per USB-Stick, Mobiltelefon oder fest im Notebook eingebautem 3G-Modul aufgebaut wird.

 

[ckruetze]

Wie ich schon schrieb, ist UMTS meiner Meinung die sicherste Möglichkeit überhaupt, dicht gefolgt von einer per VPN gesicherten Übertragung. Die von Sixpack und Peter42 erwähnten Angriffe auf UMTS sind mir jedenfalls nicht bekannt und somit bleibe ich vorerst dabei, dass UMTS mit vertretbarem (!) Aufwand - also ohne legal kaum zu beschaffendes Equipment für zig zehntausend Euro - im Moment nicht zu belauschen ist.

Du scheinst da irgendetwas zu verwechseln.
Mit UMTS gehst du einfach nur ins normale Internet. UMTS hat nichts mit verschlüsselung oder Sicherheit zu tun.
Verschlüsselt und damit abhörsicher werden deine Daten indem du ein VPN einsetzt.

Mit UMTS sind deine Daten auf dem ersten Teilstück zwar recht sicher, weil das Abhören von UMTS Verbindungen etwas komplizierter ist. Aber bei O2, T-Mobile oder Vodafone gehen die Daten dann ganz normal durchs Internet bis sie da sind wo sie hin sollen und das ganze unverschlüsselt, für jeden zu lesen.

Zusammenfassung: Für Sicherheit VPNs benutzen auch wenn du mit UMTS ins Internet gehst!

 

[Travelling_Geek]

Du scheinst da irgendetwas zu verwechseln.
Mit UMTS gehst du einfach nur ins normale Internet. UMTS hat nichts mit verschlüsselung oder Sicherheit zu tun.
Verschlüsselt und damit abhörsicher werden deine Daten indem du ein VPN einsetzt.
[/B]

Danke für den Hinweis, aber ich verwechsel nichts. Es ging zu Beginn des Threads um das Absichern gegen lokale Lauscher (Hotel, WLAN-Hotspot etc) und nicht um irgendwen, der am anderen Ende der Welt an einem Provider-Backbone lauscht.

Und angesichts des Szenarios "lokaler Lauscher" ist UMTS auch ohne VPN immer noch eine ziemlich sichere Angelegenheit.

Im Übrigen hat auch Dein VPN einen Endpunkt, auf dessen unverschlüsselter Seite jemand mit dem Hörrohr sitzen kann Ein VPN schützt Dich also in der Regel auch wieder nur gegen lokale Lauscher. Denn der Traffic ist von Dir aus gesehen hinter dem VPN-Endpunkt wieder unverschlüsselt (wenn er nicht durch die Anwendung (SSL, Skype, S-Mime etc) codiert wird.

 

[ckruetze]

Im Übrigen hat auch Dein VPN einen Endpunkt, auf dessen unverschlüsselter Seite jemand mit dem Hörrohr sitzen kann Ein VPN schützt Dich also in der Regel auch wieder nur gegen lokale Lauscher. Denn der Traffic ist von Dir aus gesehen hinter dem VPN-Endpunkt wieder unverschlüsselt (wenn er nicht durch die Anwendung (SSL, Skype, S-Mime etc) codiert wird.

Also bei mir ist nichts unverschlüsselt.
Wenn ich eine VPN Verbindung von meinem Laptop zu einem Server bei mir in der Firma aufmache, dann ist alles verschlüsselt.
Eine Bank dir wir in der Firma verwenden bietet auch VPN an, da ist dann auch alles von meinem Laptop bis ins Bank Netzwerk verschlüsselt.

Wobei, wenn ich durchs VPN auf diese Seite zugreifen würde, dann hast du natürlich recht, dann wäre alles von meim Büro bis zum VFT Server unverschlüsselt. Ist aber kein Problem, da ich hier nichts wichtiges angebe.

 

[peter42]

Wie ich schon schrieb, ist UMTS meiner Meinung die sicherste Möglichkeit überhaupt, dicht gefolgt von einer per VPN gesicherten Übertragung. Die von Sixpack und Peter42 erwähnten Angriffe auf UMTS sind mir jedenfalls nicht bekannt und somit bleibe ich vorerst dabei, dass UMTS mit vertretbarem (!) Aufwand - also ohne legal kaum zu beschaffendes Equipment für zig zehntausend Euro - im Moment nicht zu belauschen ist.

Autsch - 2 Minuten googeln: http://www.cdc.informatik.tu-darmstadt.de/~umeyer/umts-mim.pdf !

 

[Travelling_Geek]

Autsch - 2 Minuten googeln: http://www.cdc.informatik.tu-darmstadt.de/~umeyer/umts-mim.pdf !

Nee, nix "autsch"!
Hast Du das Paper gelesen und Dir mal die Details zu Gemüte geführt? Die machen nix anderes als einen Rollback von UMTS auf GSM, spielen dann GSM-Basisstation und weisen das Endgerät an, auf die Verschlüsselung zu verzichten.

Womit aber emulieren die eine GSM-Station, die zwischen echtem Netzwerk und Opfer vermittelt? Genau, mit einem Imsi-Catcher (steht nicht explizit im Paper, geht aber nur damit, oder?). Womit wir wieder beim schon mehrfach erwähnten Punkt "notwendige Hardware" wären: Mehrere hunderttausend Euro teuer, legal kaum zu beschaffen.

Außerdem gehen die Damen bei ihrer Attacke meiner Meinung nach "nur" auf Sprachübertragungen (=Telefonate) ein; schlimm genug, dass eine solche Attacke klappt, spielt für uns Datenjunkies in diesem Fall aber keine Rolle.

Denn GSM selbst beherrscht ja keine Datendienste, dafür wurden (HS)CSD und GPRS erdacht. Soweit ich weiß, bringt GPRS aber wieder eigene Sicherungsmechanismen mit, die über die ursprünglichen GSM-Features hinausgehen (es ist lange her, dass ich mich mit GPRS beschäftigt habe, daher bin ich mir hier nicht ganz sicher).

Nachdem im ganzen Paper nirgendwo GPRS erwähnt wird, gehe ich davon aus, dass es nur um GSM-Sprachverbindungen geht. Und selbst wenn das auch mit GPRS-Verbindungen klappt, bleiben immer noch dessen Sicherungsmechanismen. Und was (HS)CSD angeht: Ich bezweifle, dass eine moderne UMTS-Karte den Rollback auf GSM mitmacht, da sie wahrscheinlich mit CSD nix mehr anfangen kann.

Nenn mich ignorant, aber das Paper beschreibt keinen praktiblen Angriff auf UMTS-Datenübertragungen, sondern lediglich, wie man UMTS-Handys dazu bringt, sich belauschen zu lassen (was im reinen 3G-Betrieb ja nicht funktioniert).

 

[peter42]

Nee, nix "autsch"!
Hast Du das Paper gelesen und Dir mal die Details zu Gemüte geführt? Die machen nix anderes als einen Rollback von UMTS auf GSM, spielen dann GSM-Basisstation und weisen das Endgerät an, auf die Verschlüsselung zu verzichten.

Womit aber emulieren die eine GSM-Station, die zwischen echtem Netzwerk und Opfer vermittelt? Genau, mit einem Imsi-Catcher (steht nicht explizit im Paper, geht aber nur damit, oder?). Womit wir wieder beim schon mehrfach erwähnten Punkt "notwendige Hardware" wären: Mehrere hunderttausend Euro teuer, legal kaum zu beschaffen.

Außerdem gehen die Damen bei ihrer Attacke meiner Meinung nach "nur" auf Sprachübertragungen (=Telefonate) ein; schlimm genug, dass eine solche Attacke klappt, spielt für uns Datenjunkies in diesem Fall aber keine Rolle.

Denn GSM selbst beherrscht ja keine Datendienste, dafür wurden (HS)CSD und GPRS erdacht. Soweit ich weiß, bringt GPRS aber wieder eigene Sicherungsmechanismen mit, die über die ursprünglichen GSM-Features hinausgehen (es ist lange her, dass ich mich mit GPRS beschäftigt habe, daher bin ich mir hier nicht ganz sicher).

Nachdem im ganzen Paper nirgendwo GPRS erwähnt wird, gehe ich davon aus, dass es nur um GSM-Sprachverbindungen geht. Und selbst wenn das auch mit GPRS-Verbindungen klappt, bleiben immer noch dessen Sicherungsmechanismen. Und was (HS)CSD angeht: Ich bezweifle, dass eine moderne UMTS-Karte den Rollback auf GSM mitmacht, da sie wahrscheinlich mit CSD nix mehr anfangen kann.

Nenn mich ignorant, aber das Paper beschreibt keinen praktiblen Angriff auf UMTS-Datenübertragungen, sondern lediglich, wie man UMTS-Handys dazu bringt, sich belauschen zu lassen (was im reinen 3G-Betrieb ja nicht funktioniert).

In Quelle 9 sagen sie, dass auch die 3gpp dsa Fallbackproblem kennt.

Und sie sprechen gleich am Anfang über Datenverbindungen zu Sprache sehe ich eher nichts.

Ist aber ein ähnliches Szenario wie ich schon eben beschrieben hatte - GSM-Fallback erzwingen und dann IMSI-Catcher nehmen.
Sprich kein UMTS-Equipment notwendig.

Noch ein Paper http://www2.computer.org/portal/web/csdl/doi/10.1109/SNPD.2008.78.

 

[Travelling_Geek]

Ist aber ein ähnliches Szenario wie ich schon eben beschrieben hatte - GSM-Fallback erzwingen und dann IMSI-Catcher nehmen.
Sprich kein UMTS-Equipment notwendig.

Ich finde einen Angriff, der auf 300.000 Euro teurem Equipment basiert, für mein Leben durchaus vernachlässigbar. Hätte ich Kontakt zum Bärtigen in seiner afghanischen oder pakistanischen Höhle, würde ich darüber wohl anders denken. Ebenso, wenn ich meine Brötchen mit dem Erdenken von neuartigen Waffensystemen verdienen würde.

Aber wenn wir uns über Attacken in dieser Gehaltsklasse unterhalten, dann ist keine der von uns allen täglich verwendeten Techniken auch nur ansatzweise sicher.

Mir ging es beim Eröffnen des Threads hauptsächlich um Attacken, die von Hinz und Kunz ohne großen technischen oder finanziellen Aufwand geritten werden können und somit ein erheblich größeres Potential haben. Ich ändere meine Meinung gerne, wenn Imsi-Catcher zum Mitschneiden von UMTS-Traffic entweder überflüssig werden, oder aber für 500 Euro in der Bucht gehandelt werden

 

[peter42]

Auch der aktuelle Vodafonestick Vodafone Online Shop kann noch GRPS.

Und selbst wenn der IMSI-Catcher 200k kostet, ist das keine Größenordnung, die die organisierte Kriminalität abhält.

 

[peter42]

Einigen wir uns auf folgendes:
- Ein reines UMTS-Netz ist heute sicher.
- Ein duales Netz hat mehrere Angriffsmöglichkeiten, erstmal den im Artikel beschriebenen und dann den eines Forced Downgrades zu GSM (UMTS hat eine andere Frequenz, daher ist ein Jamming recht einfach) und dsa GSM nicht mehr als sicher gelten kann, sagst Du ja selber.

 

[Travelling_Geek]

Auch der aktuelle Vodafonestick Vodafone Online Shop kann noch GRPS.

GPRS können sie alle, aber eben kein CSD. Und einzig das ist ja - wenn überhaupt - noch interessant für Datenübertragungen, wenn ein Rollback von UMTS auf GSM passiert. GPRS ist in diesem Fall wohl nicht mehr möglich.

Einigen wir uns auf folgendes:
- Ein reines UMTS-Netz ist heute sicher.

Ja, und zwar für Sprach- und Datenübertragungen.

- Ein duales Netz hat mehrere Angriffsmöglichkeiten, erstmal den im Artikel beschriebenen und dann den eines Forced Downgrades zu GSM (UMTS hat eine andere Frequenz, daher ist ein Jamming recht einfach) und dsa GSM nicht mehr als sicher gelten kann, sagst Du ja selber.

Ich bleibe dabei: Datenübertragungen sind davon nicht betroffen. Wenn der Man in the Middle nur GSM simuliert, kommt keine Datenverbindung durch die UMTS-Karte mehr zu stande. Insofern ist das dann bestenfalls eine DoS (Denial of Service)-Attacke auf den UMTS-Nutzer, aber kein Lauschangriff - organisierte Kriminalität hin oder her

Was Karsten Nohl & Friends mit der GSM-Codierung anstellen, steht wieder auf einem ganz anderen Blatt. Und auch hier geht es ausschließlich um Sprachübertragungen.

 

[peter42]

GRPS ist nicht generell sicherer als Standard-GSM, siehe z.B. IT-sicherheit: Konzepte- Verfahren ... - Google Books .

 

[Travelling_Geek]

GRPS ist nicht generell sicherer als Standard-GSM, siehe z.B. IT-sicherheit: Konzepte- Verfahren ... - Google Books .

Oh doch, ich finde schon, dass GPRS sicherer ist Da steht ja, dass GPRS auf A5/3 setzt und AFAIK ist A5/3 bisher noch nicht mal in Ansätzen als unsicher klassifziert. Zumal es der Algorithmus ist, der auch bei dem von Dir als sicher(er) bezeichneten UMTS zum Einsatz kommt.

Bleibt die Frage, ob GPRS sich wie GSM auch durch den Trick unverschlüsselt betreiben lässt, womit wir dann eventuell wieder beim Imsi-Catcher wären: Ich finde beim besten Willen keine Infos, ob diese Dinger auch Datenübertragungen mitschneiden, oder nur Sprache erfassen können. Rohde & Schwarz wird etwas schmallippig, wenn es um die Features ihrer GA XX-Modelle geht

Und die Feststellung in dem Buch, dass GPRS keine Ende-zu-Ende-Sicherheit mitbringt, ist ja nun eine Binse (aber für eine wissenschaftliche Abhandlung sicher unerlässlich...).

Es ist ja ein Widerspruch in sich, dass ein öffentlich zugängliches, mit beinahe beliebigen Endgeräten nutzbares und mit beliebigen Internetdiensten verbundenes Netz End-to-End verschlüsseln kann. Und wenn ich mir so anschaue, wie gering die Verbreitung von SSL ist, dann wird es auch noch gefühlte 234 Jahre dauern, bis es soweit ist.

 

[peter42]

Oh doch, ich finde schon, dass GPRS sicherer ist Da steht ja, dass GPRS auf A5/3 setzt und AFAIK ist A5/3 bisher noch nicht mal in Ansätzen als unsicher klassifziert. Zumal es der Algorithmus ist, der auch bei dem von Dir als sicher(er) bezeichneten UMTS zum Einsatz kommt.

Bleibt die Frage, ob GPRS sich wie GSM auch durch den Trick unverschlüsselt betreiben lässt, womit wir dann eventuell wieder beim Imsi-Catcher wären: Ich finde beim besten Willen keine Infos, ob diese Dinger auch Datenübertragungen mitschneiden, oder nur Sprache erfassen können. Rohde & Schwarz wird etwas schmallippig, wenn es um die Features ihrer GA XX-Modelle geht

Und die Feststellung in dem Buch, dass GPRS keine Ende-zu-Ende-Sicherheit mitbringt, ist ja nun eine Binse (aber für eine wissenschaftliche Abhandlung sicher unerlässlich...).

Es ist ja ein Widerspruch in sich, dass ein öffentlich zugängliches, mit beinahe beliebigen Endgeräten nutzbares und mit beliebigen Internetdiensten verbundenes Netz End-to-End verschlüsseln kann. Und wenn ich mir so anschaue, wie gering die Verbreitung von SSL ist, dann wird es auch noch gefühlte 234 Jahre dauern, bis es soweit ist.

Ich zitiere mal "...führen jedoch nicht notwendig zu einer höheren Systemsicherheit. Es sind lediglich einige aus dem GSM-Umfeld publik gewordene Angriffe nicht direkt auf GPRS übertragbar."

Noch ein Paar interessante Artikel:
GSM Interception
http://www.qualcomm.com.au/PublicationsDocs/GSM_Attacks.pdf
http://www.tml.tkk.fi/Opinnot/Tik-110.501/1998/papers/11gprs_access/gprs_access.html
Ciphering in GPRS and UMTS

Btw. GPRS verwendet GEA (nur GEA3 ist A5/3).

 

[sixpack]

Hatte den Thread ein wenig aus den Augen verloren:

a) GSM Basisstation und mehrere 10.000€ ist schlichtweg falsch, die Teile gehen z.T. für 1500€ weg.

b) Um eine UMTS Verbindung zu belauschen benötigt man im Moment einen schnellen SDH Switch, eine PC Hardware die entsprechende I/O Raten schafft (das ist eher ein Problem) und einen Akkubohrer. Sowohl die Basisstationen von NSN als auch die von Sony Ericsson sind rel simpel aufgebaut.

c) Die ganze Geschichte fällt zurück auf zwei Punkte:
a) Verschlüsselung: Die Verbindung so zu verschlüsseln das ein Angreifer (* siehe b) ) nicht mehr mitlesen kann ist trivial, jede https Verbindung ist von der VERSCHLÜSSELUNG (!) her mehr als ausreichend.

b) Authentifizierung (Und genau DAS ist der Punkt) ist rel schwer wirklich sicher hinzubekommen, es gibt für jedes verbreitete System (eine handvoll CR Systeme mal ausgenommen) Ansätze die Authetifizierung zu untergraben.

Ergo: IMMER VPN Nutzen, optimalerweise auf dem eigenen System eine vollverschlüsselung und im Internetcafe SSL VPN. Ansonsten kann muss ich davon ausgehen das die Daten gelesen werden können, ob ich Brieftaube UMTS oder WLAN nutze.

Das größere Secutrity Problem (das bei unseren Kunden zu Tage tritt) sind aber im Moment eh schlecht gewartete PCs, keine HD Verschlüsselung unnötige Daten auf dem Notebook (wir haben z.B. spezielle "Reise Notenbooks" für (u.a.) die USA).

 

[fuller]

StrongVPN.com - Strong security for your internet connection and anonymity for your online presence

Vielen Dank flysurfer für den Tipp. Habe mir für meinen aktuellen USA-Aufenthalt einen StrongVPN-Account geholt, den ich zum Surfen in den Hotels und an den öffentlichen Hotspots nutze.

 

[YoungMario]

Bleibt die Frage, ob GPRS sich wie GSM auch durch den Trick unverschlüsselt betreiben lässt, womit wir dann eventuell wieder beim Imsi-Catcher wären: Ich finde beim besten Willen keine Infos, ob diese Dinger auch Datenübertragungen mitschneiden, oder nur Sprache erfassen können. Rohde & Schwarz wird etwas schmallippig, wenn es um die Features ihrer GA XX-Modelle geht

In Ulm gibt es eine Firma (deren Mutterkonzern sich erst vor kurzen einen neuen Namen gegeben hat), die bieten auch solche Geräte an - und mit denen kann man auch Daten mitschneiden. In einem Telefonat vor ca. 2 Monaten hat deren Product-Manager auch erwähnt, das beim passiven Mitschneiden (also KEIN IMSI-Catching) mittlerweile grosse Fortschritte gemacht werden ...

 

[FLYGVA]

Vielen Dank flysurfer für den Tipp. Habe mir für meinen aktuellen USA-Aufenthalt einen StrongVPN-Account geholt, den ich zum Surfen in den Hotels und an den öffentlichen Hotspots nutze.

Ich nutze, auch etwas angeregt durch den Bericht hier, seit einiger Zeit SecurityKISS - Free VPN Service. Über das Unternehmen gab es mal einen Bericht in der c't (afair) und bin eigentlich recht zufrieden, auch wenn ich nicht so technisch versiert bin, zu sagen, ob die wirklich gut sind. Es gibt einen unentgeltlichen VPN Zugang und diverse Optionen gegen Gebühr. E-Mail wird erst ab einer etwas höheren Version getunnelt.

 

[paspriv]

Kann hier nur denen Recht geben, die VPN als "MUST" darstellen, idealerweise kontrolliert man beide Endpunkte, was sogar mit einer "billigen" Fritzbox "out of the box" und ein paar dokumentierten Klicks funktionniert.
btw Fritzbox - mit einem iPhone oder Androiden kann man per Tunnel sogar über den Hausanschluss telefonieren (natürlich nur, wenn das WLAN genug Durchsatz und geringen Jitter hergibt)... funktionniert ganz ok.

Allerdings musste ich bei meinen letzten Besuchen in der Lounge in DUS (Sen-Lounge) festellen, dass die Telekom hier den Aufbau des Tunnels nicht erlaubte ... dachte zuerst an ein Problem bei meinem Laptop aber dem war nicht so... da das Phänomän sich bereits bei zwei Besuchen wiederholen lies bin ich mal gespannt, was mich am Mittwoch erwartet... in ZRH hat danach nämlich wieder alles funktionniert... vielleicht muss ich mir ja doch WireShark installieren.

 

[nhobalu]

Nachdem der Thread gerade wieder hochkocht und ich ihn bisher noch nicht gesehen hatte, möchte ich auch mal kurz meinen Senf dazu abgeben.

Ich denke, man muss im Grundsatz mal Folgendes feststellen:

- Jede Kommunikation ist unsicher
- Jede Übertragung von Kennwörtern, Zugangsdaten oder Kreditkarten- / Bankdaten ist immer mit einem gewissen Risiko verbunden
- Absolute Sicherheit gibt es nicht

Mit diesem Wissen im Hintergrund muss man jetzt anfangen, eine Risikoabschätzung in Relation zum betriebenen Aufwand durchzuführen.

1. Wer absolut sicher sein möchte keine Daten preiszugeben, darf nicht per Internet Daten übertragen. Ob mit oder ohne VPN.

2. Wer darauf nicht verzichten möchte, aber nicht den Aufwand mit VPN Tunneln betreiben kann/will, der sollte sich auf die Kommunikation in einem vertrauenswürdigen Umfeld beschränken und wenigstens über https / SSL komunizieren.

3. Wer nicht verzichten kann, aber sich im privaten Umfeld bewegt, sollte sich auf am Markt erhältliche Lösungen einschiessen. Ich empfehle zum Beispiel sehr gerne die für den Privatgebrauch vollkommen kostenfreie Version der Astaro (neuerdings Sophos Lösung). Hierbei handelt es sich um die identische Version der kostenpflichten Lizenz, die einzig auf 100 IP lokale Adressen beschränkt ist. Hier gehen auch SSL basierte VPN Tunnel, die gehen auch aus Lounges heraus, da sie ja das https Protokoll nutzen. Das wird nirgends eingeschränkt (und Deep Paket Inspection ist vielen zu aufwändig in Lounges... zum Glück).

4. Wer nicht verzichten kann und sich im geschäftlichen Umfeld bewegt, der darf gar nicht anders als die Kommunikation der mobilen Geräte über VPN durch die (ich gehe mal davon aus) gesicherte Zentrale zu leiten. Alles andere ist grob fahrlässig und kann früher oder später einen IT Verantwortlichen und auch den Geschäftsführer / Vorstand in erheblichen Erklärungsnotstand bringen. Hier wird allerdings (oft aus Unwissenheit) immer noch viel zu viel Schindluder betrieben.

Zum Thema WLAN:

WLAN in Lounges ist so sicher wie ein Geheimnis bei der Bild Zeitung. Alles andere sind leider in der Realität unerfüllte Wunschträume.
WLAN in Unternehmen kann sicher gemacht sein (WPA2 Verschlüsselung mit starkem Key, besser 802.1x), ist es oft aber nicht. WLAN in Unternehmen sollten immer in unterschiedliche SSIDs aufgeteilt werden.

Zum Thema UMTS:

Egal wie einfach UMTS abgehört werden kann oder nicht: Warum sollte ich als Hacker diesen Aufwand überhaupt betreiben. Ich habe doch eine viel einfachere Möglichkeit anzugreifen: Den Zugang durch die öffentliche IP Adresse ins Internet. Damit bin ich doch schon mal direkt am Gerät. Besser geht doch gar nicht. Der Aufwand, UMTS abzufangen, macht wohl eher nur bei Leuten Sinn, deren Wichtigkeit die meisten hier (mit ganz wenigen Ausnahmen *hüstel* - ich gehöre sicher nicht zu diesen Ausnahmen) wohl in diesem Leben nicht mehr erreichen werden... Insofern eine theoretische Diskussion in meinen Augen. Denn es macht keinen Sinn, darüber zu diskutieren, wie man durch das gesicherte Haupttor kommt, solange der Seiteneingang nur mit einem Vorhängeschloss gesichert ist, in dem der Schlüssel steckt.

Sicherheit in der Praxis ist lästig, deswegen wird sie oft gerne vernachlässigt. Das ist das Hauptproblem.

 

[paspriv]

1. Wer absolut sicher sein möchte keine Daten preiszugeben, darf nicht per Internet Daten übertragen. Ob mit oder ohne VPN.

tja, die Welt ist schlecht, stimmt aber leider.

2. Wer darauf nicht verzichten möchte, aber nicht den Aufwand mit VPN Tunneln betreiben kann/will, der sollte sich auf die Kommunikation in einem vertrauenswürdigen Umfeld beschränken und wenigstens über https / SSL komunizieren.

Naja, diejenigen, die gestern Wireshark entdeckt haben wird es abschrecken... aber wichtig ist, dass alle unter Punkt 4 sich da nicht hinter einer falschen Sicherheitsannahme verstecken...

3. Wer nicht verzichten kann, aber sich im privaten Umfeld bewegt, sollte sich auf am Markt erhältliche Lösungen einschiessen. Ich empfehle zum Beispiel sehr gerne die für den Privatgebrauch vollkommen kostenfreie Version der Astaro (neuerdings Sophos Lösung). Hierbei handelt es sich um die identische Version der kostenpflichten Lizenz, die einzig auf 100 IP lokale Adressen beschränkt ist. Hier gehen auch SSL basierte VPN Tunnel, die gehen auch aus Lounges heraus, da sie ja das https Protokoll nutzen. Das wird nirgends eingeschränkt (und Deep Paket Inspection ist vielen zu aufwändig in Lounges... zum Glück).

DAS Tool kann ich nur empfehlen, das ist richtig gut und ich hoffe, das wird unter Sophos so bleiben! (Hier gibt es den Link Sophos UTM Home Edition - Sophos Produkte - Sophos )

4. Wer nicht verzichten kann und sich im geschäftlichen Umfeld bewegt, der darf gar nicht anders als die Kommunikation der mobilen Geräte über VPN durch die (ich gehe mal davon aus) gesicherte Zentrale zu leiten. Alles andere ist grob fahrlässig und kann früher oder später einen IT Verantwortlichen und auch den Geschäftsführer / Vorstand in erheblichen Erklärungsnotstand bringen. Hier wird allerdings (oft aus Unwissenheit) immer noch viel zu viel Schindluder betrieben.

Das war mal DAS Verkaufsargument von RIM. Aber hier greift Dein Schlusswort

Sicherheit in der Praxis ist lästig, deswegen wird sie oft gerne vernachlässigt. Das ist das Hauptproblem.

Sicherheit ist nicht nur lästig sondern eine hochdynamische Variable die von vielen anderen Variablen und Konstanten abhängt. Die Sicherheit fängt allerdings VOR dem Computer an - wie Du richtig sagst, wieso sollte sich einer die Mühe machen den Haupteingang mit SEK zu stürmen, wenn er auch im Short und Sandalen durch den Nebeneingang kann - wäre nicht überrascht, wenn mich viele Leute in der Lounge mal kurz ein Dokument auf ihrem PC anschauen lassen würden nach dem Motto "Mein PC ist gerade platt und ich müsste dieses Dokument nochmal schnell verschicken"... und wenn ich überlegen würde, würden mir noch viele andere Sachen einfallen, nicht eingerechnet die ganzen Geräte die sich widerspruchslos mit allem und jedem paaren, was sich nicht wehren kann

 

[nhobalu]

... und wenn ich überlegen würde, würden mir noch viele andere Sachen einfallen, nicht eingerechnet die ganzen Geräte die sich widerspruchslos mit allem und jedem paaren, was sich nicht wehren kann

Warum sollen sich Computer anders verhalten als manche menschliche Wesen...
Die denken ja auch nicht wirklich drüber nach, was sinnvoll ist und was nicht...

@Sophos: Nachdem gestern ja die neue Version UTM9 released wurde und sogar die Features erweitert wurden, glaube ich nicht, dass sich da gross was ändern wird. Eventuell wird die Funktionalität der kostenlosen Version etwas eingeschränkt, aber als solches wird es erhalten bleiben - in einem Umfang, der auch für den anspruchsvollen Heimgebrauch mehr als ausreicht und wirklich umfangreiche Sicherheit geben kann... auch in Hinblick auf etwas leichtsinnige Kids, die zu Hause meinen alles machen zu müssen...

 

[paspriv]

Die Features von UTM9 waren bereits unter Astaro geplant und teilweise implementiert - zur CeBIT hiess es noch, der Name würde bleiben, kurz danach waren die schicken, orangen Boxen entgültig Vergangenheit - net so doll funktionniert btw die Endpoint-Lösung, da gibt es definitiv noch Besseres am Markt, aber das ist alles sehr OT und klar, der Funktiononsumfang der UTM dürfte eh die Fähigkeiten des Basishomeadmin um einiges übersteigen.

Und das die Computer nur so schlau sind wie ihre Herrchen darüber braucht man wohl kaum zu referieren

 

[economyflieger]

Ich habe eine Frage zur Verschlüsselung von Telefonaten, kennt sich hierzu jemand aus? (Passt nicht so wirklich in den Fred, wollte aber keinen neuen aufmachen)

Was haltet Ihr z.b. von einem Tool wie: RedPhone (Android)
Twitter gibt Quellcode von RedPhone frei | heise online

 

[Travelling_Geek]

Ich habe eine Frage zur Verschlüsselung von Telefonaten, kennt sich hierzu jemand aus? (Passt nicht so wirklich in den Fred, wollte aber keinen neuen aufmachen)

Was haltet Ihr z.b. von einem Tool wie: RedPhone (Android)
Twitter gibt Quellcode von RedPhone frei | heise online

Wenn man in der paranoiden Welt der IT-Sicherheitsmenschen jemandem vertrauen kann, dann Moxie (Entwickler von RedPhone) und Phil Zimmermann (Entwickler von PGP und ZRTP, der zum Verschlüsseln der Gespräche verwendeten Technik).
Von daher: Daumen hoch.