[Berlin-wireless] Sichere Communicationswege/OT

[Norm@nSteinbach]

Martin Schmitz wrote:
> Am 09.05.07 schrieb "Norm at nSteinbach" <norm at nsteinbach.de>:
>> Sicherlich kann man jeden Datenspeicher und
>> jede Datenverbindung weitestgehend vor Fremdzugriffen schützen, aber
>> der dafür zu betreibende Aufwand ist für einen einfachen Anwender,
>> der an Administration nur das macht, was nötig ist damit das System
>> wie gewünscht läuft und auch über keine Programmierkenntnisse oder
>> ähnliches verfügt, beim momentanen Stand der Technik einfach viel zu
>> hoch.
> Entschuldige, aber das halte ich gelinde gesagt für "Unsinn". 
Nicht so schnell schießen!

> Lischen Müller muß sich doch nur an ein paar einfache Regeln halten:
Ich bin nicht "Lischen Müller", aber auch nicht "c3wl H4x0r", sondern 
irgendwas dazwischen, d.h. ich weiß etwas mehr als "Lischen Müller" und 
etwas weniger als "c3wl H4x0r". Und ja, für mich ergeben sich dabei 
Probleme:

> * Webseiten, auf denen sie sich einloggt, werden über https aufgerufen,
Was, wenn der Websitebetreiber kein https anbietet? Nicht mehr 
einloggen, Nutzung der Website beenden? Nur aufgrund unsicherer 
Kommunikationswege? Das wäre dann ein Szenario eines "zu hohen Opfers" 
für die Sicherheit vor Überwachung, wenn auch keines was anwenderseitig 
zu lösen wäre.


> * Bei POP3 oder IMAP und SMTP macht sie "in Outlook Express" ein
>   Häkchen bei "SSL".
Ich connecte mit dem Betreiber meines Mailservers (der berliner Provider 
1blu) ebenfalls nicht per SSL. Mein Mailprogramm (NICHT Outlook und auch 
sonst nix von M$, wenn auch manche behaupten würden es wäre kaum ein 
Stück sicherer als diese) bietet "TLS" und "SSL" als Möglichkeit an. 
Habe gerade mal probiert, per SSL-POP3 Mails abzurufen: Fehlanzeige. 
Allerdings weiß ich nicht, ob dies nun daran liegt dass mein 
Mailprogramm beim Ändern der POP3-Settings den dafür zu verwendenden 
Port automatisch auf 995 umgestellt hat (der als Default für POP3-SSL 
angegeben wird), auf dem sonst genutzten 110er Port funktioniert es 
jedoch ebenfalls nicht. Also: Was, wenn mein Mailprovider dies nicht 
anbietet? Muss ich jetzt erst doch das tun, was ich (in Anbetracht der 
Vielfalt aus der "Leben" eigentlich besteht) nicht vor hatte, nämlich 
Informatik zu studieren, bevor ich eine sichere Verbindung hinbekomme? 
Oder: Was mache ich, wenn mein Provider dies einfach nicht anbietet? 
(Worüber ich nichtmal genau bescheid weiß, shame on me ;-))

> * Programme werden nur installiert, wenn die Quelle bekannt und
>   zuverlässig ist, ggf. nach Rücksprache mit dem sachkundigen Bekannten.
Das ist ja wohl mal klar, aber: Was ist "bekannt und zuverlässig"? 
Anhand welcher Parameter kann ich entscheiden, ob eine unbekannte Quelle 
zuverlässig ist?

> Habe ich was vergessen?
Massenweise Kleinigkeiten, ja.

Aber zugleich gibts auch immernoch ne Menge Dinge, die NICHT so einfach 
einzurichten sind, z.B. den nicht so einfach zurückverfolgbaren Zugang 
zum www via TOR, oder auch ob es Server im Ausland gibt, zu denen man 
ein VPN-Verbindung aufbauen kann, damit das eigene Surfverhalten nicht 
so einfach zurückverfolgt werden kann.
Was ist mit Datenverschlüsselung auf dem eigenen Rechner? Gibt es ein 
Programm (egal ob Textmode oder GUI), was mir unter Linux die Nutzung 
von TrueCript für meine Festplatten ermöglicht, *OHNE* dass ich erst 
mehrere unterschiedliche Befehle auf der Kommandozeile eingeben muss, 
bis ich meine $HOME-Partition mounten kann?
Zugleich ist mit den beschriebenen Sicherheitsmaßnahmen, die zumeist 
rudimentärster Art sind, auch nicht die Gefahr der massenweise vorhanden 
zu sein scheinenden Sicherheitslücken in Browsern, E-Mail-Programmen und 
ähnlichen Darstellungs-Engines gebannt. Also darauf warten, dass diese 
Löcher der Community bekannt und erst dadurch gefixt werden, in einer 
neuen Version? Oder selbst Vorkehrungen treffen? Wenn ja: Wie?
Undsoweiterundsofort...

Natürlich ist eine Menge, gerade bei Browser-Sicherheitslücken, mit 
Wissen um die Funktionsprinzipien verbunden (z.B. was kann ein 
flash-applet, oder was kann via Javascript passieren etc.) - und hier 
kenne ich mich auch nicht genügend aus, wie wahrscheinlich ein Großteil 
sämtlicher Endanwender, unabhängig vom eingesetzten Betriebssystem (es 
sei denn, nicht-MacOS-X-POSIX-Systeme wie Linux, BSD etc. werden als 
elitäre OSse betrachtet, die auf den Rechnern des "normalen Fußvolkes" 
eh nix zu suchen haben, was wiederrum ein echtes Armutszeugnis für die 
entsprechenden Communities wäre). Folglich muss eine von mir skizzierte 
Software, welche den Namen "Security Suite" wirklich verdient (also 
nicht der Dreck, der für Windows unter diesem Label von einigen Firmen 
angeboten wird) natürlich auch eine Menge gezielter 
Informationsverbreitung enthalten - ein solches Programm wäre *IMMER* 
eine Mischform aus "Tipp- und Regelsammlung" und Frontend zum Tätigen 
entsprechender Einstellungen, wobei man natürlich auf die Umsetzung des 
ersteren durch den User weniger Einfluss hat als auf die Umsetzung des 
zweiten Teiles. Daher sollte gerade bei diesem ersten Teil, der 
"Dokumentation" (auch wenn dieses Wort sehr viel zu eng gefasst ist, 
denn wirkliches Anwenderwissen umfasst weit mehr als die "Dokumentation" 
einer eingesetzten Software oder gar nur eines eingesetzten 
Algorithmus', schließlich geht es vor allem darum eine Grundbasis von 
Wissen zu schaffen [z.B.: Was sind sichere Verbindungen, wie 
funktioniert PGP etcpp]), ein Hauptaugenmerk darauf liegen, dass auch 
"Lischen Müller" den Sinngehalt der möglichen Sicherheitsmaßnahmen 
erkennt, und es künftig deutlich leichter hat, diese umzusetzen und 
anzuwenden (was dann wieder eher der zweite Teil, das 
Konfigurationsfrontend für sämtliche Sicherheitsmaßnahmen, von TOR über 
PGP oder VPN-Tunnels oder TrueCript und was es sonst noch gibt, wäre).

Fazit: Es ist momentan für den normalen Endanwender, der sich nicht 
Nerd-mäßig mit seinem System auskennt, einfach viel zu schwierig, die 
sinnvollen oder notwendigen Sicherheitsmaßnahmen zu treffen. Solange 
dies so bleibt, wird der Schnüffelstaat natürlich ein Leichtes haben, 
private Daten jeder Art auszuspionieren, egal ob sie was mit der 
vorgeschobenen Ausrede namens "Terror" für die Errichtung der 
totalitären Mechanismen zu tun haben oder nicht.

Oder, platt formuliert:
Es muss ebenso einfach sein, sich gegen den Bundestrojaner abzusichern, 
wie es (nach den Zielvoraussetzungen unserer überwachungsfanatischen 
Terrorpolitiker) einfach sein soll, sich diesen einzufangen.

Just my 2 cents,

Norm at n
PS: Klar läuft dies dem manchmal anzutreffenden und deutlich intensiv 
nervenden Nerd-Elitedenken zuwider, dass nur mit entsprechendem Wissen 
ausgestattete Anwender auch das Recht haben, die jeweiligen Systeme und 
Dienste zu nutzen (und auch noch einen Anspruch auf eine gewisse 
Sicherheit genießen) - aber dann braucht man sich halt auch nicht 
beschweren, dass "Bundestrojaner" & Co. eben die Masse ausspioniert und 
man selbst als einer von wenigen Anwendern die mit der Möglichkeit sich 
dagegen zur Wehr zu setzen ausgestattet sind, dadurch automatisch 
verdächtig wird - oder? Schließlich soll das im Aufbau befindliche 
"Staats-Sicherheitssystem" grundlegend auf Misstrauen gegenüber allem 
und jedem basieren, also was erwartet Ihr? Warum nicht auf möglichst 
breiter Basis mit gleicher Münze zurückzahlen? Das würde natürlich 
heißen, "Dummusern" wie ich und die Mehrzahl aller anderen es zu sein 
scheinen, die Nutzung von Sicherheitsmechanismen gegen diese totalitären 
Techniken zu erleichtern.