[Berlin-wireless] Sichere Communicationswege/OT

[Sven-Ola Tuecke]

Hi Norman,

tatsaechliche Sicherheit und Sicherheitsgefuehlt liegen oft _weit_ 
auseinander. Immerhin uebertragen wir aus praktischen Erwaegungen 
unverschluesselt und erzeugen damit kein falsches Sicherheitsgefuehl. Die 
Suchmaschinenabfrage ueber HTTP bei google.com beispielsweise macht gleich 
mehrere Probleme:

- Sie kann auf der Leitung einfach mitgeschnitten werden
  (Nachbar-Freifunker, Gateway-Anbieter, Provider, CIX)

- In die Antwort koennte man was 'reinschmuggeln
  (Nachbar-Freifunker- Gateway-Anbieter, Provider, CIX, google.com)

- Die Eingaben koennten bei google abgefangen werden
  (CIX, google, Innenminister)

- Die (sicherlich) gespeicherten Sucheingaben wecken Begehrlichkeiten
  (google, innenminister, noelle-neumann, hacker-der-es-bis-google-schafft)

- Die ueber Jahrzehnte gespeichten Google-Anfragen koennten zu einem recht 
umfassenden Profil zusammegestellt werden und bei der naechsten Job- oder 
Wohnungs-Bewerbung eine Rolle spielen. Um das zu realisieren muss Google 
dieses Geschaeftsmodell nur noch "entdecken" (falls sie es nicht laengst 
haben, z.B. wenigstens fuer die interne experimentelle Unterstuetzung des 
Personalmanagements). Nein. Bin nicht paranoid. Was geht wird auch gemacht. 
Irgendwann.

Mit einer Leitungsverschluesselung nimmt man nur den Nachbarn aus der Kette. 
Ohne macht man klar: das es irgendwie nicht ganz sicher ist. Also denkt der 
eine oder andere doch mal'n bisschen nach, was da eingetippt wird...

Aus praktischen Erwaegungen wuerde ich den POP3-Port auf allen Gateways 
sperren. Oder besser mein kleines Miniprogramm installieren, das immer eine 
Mail zurucksendet mit dem Inhalt "dein Kennwort ist blabla und so geht es 
mit SSL/TLS" und den POP3-Port per Umleitung auf einen anderen Port 
abbilden. Dann *muss* man die Konfigdialoge aufsuchen, wenn man wirklich nur 
POP3 moechte. Wegen Picopeer ginge sowas nur auf'm Gateway. Was aehnliches 
koennte man mit allen HTTP Anfragen auf Port80 machen, wenn HTTP-POST oder 
ein HTTP-GET mit Fragezeichen uebertragen werden soll. Letzteres wuerde wohl 
schon etwas unbequemer. Weiters liesse sich google.com sperren. Das waere 
dann schon richtig unbequem.

Ein Bonmot zum Schluss: "Bequem, Sicher, Alles-geht - waehle zwei".
// Sven-Ola

----- Original Message ----- 
From: "Norm at nSteinbach" <norm at nsteinbach.de>
To: "wirelesslan in Berlin" <berlin at olsrexperiment.de>
Sent: Thursday, May 10, 2007 4:28 AM
Subject: Re: [Berlin-wireless] Sichere Communicationswege/OT

[schnippschnapp]

> * Bei POP3 oder IMAP und SMTP macht sie "in Outlook Express" ein
>   Häkchen bei "SSL".
Ich connecte mit dem Betreiber meines Mailservers (der berliner Provider
1blu) ebenfalls nicht per SSL. Mein Mailprogramm (NICHT Outlook und auch
sonst nix von M$, wenn auch manche behaupten würden es wäre kaum ein
Stück sicherer als diese) bietet "TLS" und "SSL" als Möglichkeit an.
Habe gerade mal probiert, per SSL-POP3 Mails abzurufen: Fehlanzeige.
Allerdings weiß ich nicht, ob dies nun daran liegt dass mein
Mailprogramm beim Ändern der POP3-Settings den dafür zu verwendenden
Port automatisch auf 995 umgestellt hat (der als Default für POP3-SSL
angegeben wird), auf dem sonst genutzten 110er Port funktioniert es
jedoch ebenfalls nicht. Also: Was, wenn mein Mailprovider dies nicht
anbietet? Muss ich jetzt erst doch das tun, was ich (in Anbetracht der
Vielfalt aus der "Leben" eigentlich besteht) nicht vor hatte, nämlich
Informatik zu studieren, bevor ich eine sichere Verbindung hinbekomme?
Oder: Was mache ich, wenn mein Provider dies einfach nicht anbietet?
(Worüber ich nichtmal genau bescheid weiß, shame on me ;-))

[schnappschnipp]