[Berlin-wireless] Sichere Communicationswege/OT

[Daniel Paufler]

Hallo Norman

>> * Webseiten, auf denen sie sich einloggt, werden über https aufgerufen,
> Was, wenn der Websitebetreiber kein https anbietet? Nicht mehr 
> einloggen, Nutzung der Website beenden? Nur aufgrund unsicherer 
> Kommunikationswege? Das wäre dann ein Szenario eines "zu hohen Opfers" 
> für die Sicherheit vor Überwachung, wenn auch keines was anwenderseitig 
> zu lösen wäre.
Nunja - wenn es wichtig ist, dann wirst du den Webseiten-Betreiber wohl
deine Auffassung von Sicherheit mitteilen müssen. Wenn es eine
unwichtige Website ist, dann benutze sie nicht.

>> * Bei POP3 oder IMAP und SMTP macht sie "in Outlook Express" ein
>>   Häkchen bei "SSL".
> Ich connecte mit dem Betreiber meines Mailservers (der berliner Provider 
> 1blu) ebenfalls nicht per SSL. Mein Mailprogramm (NICHT Outlook und auch 
> sonst nix von M$, wenn auch manche behaupten würden es wäre kaum ein 
> Stück sicherer als diese) bietet "TLS" und "SSL" als Möglichkeit an. 
> Habe gerade mal probiert, per SSL-POP3 Mails abzurufen: Fehlanzeige. 
> Allerdings weiß ich nicht, ob dies nun daran liegt dass mein 
> Mailprogramm beim Ändern der POP3-Settings den dafür zu verwendenden 
> Port automatisch auf 995 umgestellt hat (der als Default für POP3-SSL 
> angegeben wird), auf dem sonst genutzten 110er Port funktioniert es 
> jedoch ebenfalls nicht. Also: Was, wenn mein Mailprovider dies nicht 
> anbietet? Muss ich jetzt erst doch das tun, was ich (in Anbetracht der 
> Vielfalt aus der "Leben" eigentlich besteht) nicht vor hatte, nämlich 
> Informatik zu studieren, bevor ich eine sichere Verbindung hinbekomme? 
> Oder: Was mache ich, wenn mein Provider dies einfach nicht anbietet? 
> (Worüber ich nichtmal genau bescheid weiß, shame on me ;-))
Zeit für eine eMail an den Provider. Hier beißt sich doch die Katze in
den Schwanz. Der Rrovider macht kein SSL weil keiner danach fragt,
fragen tut keiner, weil er denkt, dass alles ok ist oder es ihm zu
aufwendig ist. Werden sie _jetzt_ aktiv.

>> Habe ich was vergessen?
> Massenweise Kleinigkeiten, ja.
> 
> Aber zugleich gibts auch immernoch ne Menge Dinge, die NICHT so einfach 
> einzurichten sind, z.B. den nicht so einfach zurückverfolgbaren Zugang 
> zum www via TOR, oder auch ob es Server im Ausland gibt, zu denen man 
> ein VPN-Verbindung aufbauen kann, damit das eigene Surfverhalten nicht 
> so einfach zurückverfolgt werden kann.
Das ist imo advanced und, hierfür gebe ich dir Recht, gibt es keine
"einfache lösung"(tm).

> Was ist mit Datenverschlüsselung auf dem eigenen Rechner? Gibt es ein 
> Programm (egal ob Textmode oder GUI), was mir unter Linux die Nutzung 
> von TrueCript für meine Festplatten ermöglicht, *OHNE* dass ich erst 
> mehrere unterschiedliche Befehle auf der Kommandozeile eingeben muss, 
> bis ich meine $HOME-Partition mounten kann?
Schau mal cryptsetup --LUKS und pam_mount an? Anleitungen gibts im Netz
und funktionieren super. (benutze ich seit. 3 Jahren ...)

> (es
> sei denn, nicht-MacOS-X-POSIX-Systeme wie Linux, BSD etc. werden als 
> elitäre OSse betrachtet, die auf den Rechnern des "normalen Fußvolkes" 
> eh nix zu suchen haben, was wiederrum ein echtes Armutszeugnis für die 
> entsprechenden Communities wäre).
Wer verbreitet solchen Unsinn? Du? Das habe ich nicht gehört. Marketing
und Realität liegen oft entfernt von einander und die Masse nimmt
Marketing war.

> Folglich muss eine von mir skizzierte 
> Software, welche den Namen "Security Suite" wirklich verdient (also 
> nicht der Dreck, der für Windows unter diesem Label von einigen Firmen 
> angeboten wird) natürlich auch eine Menge gezielter 
> Informationsverbreitung enthalten - ein solches Programm wäre *IMMER* 
> eine Mischform aus "Tipp- und Regelsammlung" und Frontend zum Tätigen 
> entsprechender Einstellungen, wobei man natürlich auf die Umsetzung des 
> ersteren durch den User weniger Einfluss hat als auf die Umsetzung des 
> zweiten Teiles.
Das impliziert das Verstehen des Nutzers, welche Klicks er wo und warum
macht. Das versuchen viele SM Programme seit langem mit mäßigem Erfolg.
Das Problem ist, dass sich die Nutzer damit beschäftigen _müssen_, damit
sie sinnvolle Entscheidungen treffen können. Willst du ein Program
bauen, dass dieses Wissen nicht vorraussetzt, bist zu imo zum scheitern
verurteilt.

> Daher sollte gerade bei diesem ersten Teil, der 
> "Dokumentation" (auch wenn dieses Wort sehr viel zu eng gefasst ist, 
> denn wirkliches Anwenderwissen umfasst weit mehr als die "Dokumentation" 
> einer eingesetzten Software oder gar nur eines eingesetzten 
> Algorithmus', schließlich geht es vor allem darum eine Grundbasis von 
> Wissen zu schaffen [z.B.: Was sind sichere Verbindungen, wie 
> funktioniert PGP etcpp]), ein Hauptaugenmerk darauf liegen, dass auch 
> "Lischen Müller" den Sinngehalt der möglichen Sicherheitsmaßnahmen 
> erkennt, und es künftig deutlich leichter hat, diese umzusetzen und 
> anzuwenden
Und du meinst, dass die das ließt und nicht auf Grund von aus ihrem
Blickwinkel empfundenen "Nerdblafasel" das Teil nicht installiert /
zuklickt. Die Lese- und Verstehbereitschaft nimmer leider im Bezug auf
Computer ab, getreu "Das macht doch der Computer".

> Fazit: Es ist momentan für den normalen Endanwender, der sich nicht 
> Nerd-mäßig mit seinem System auskennt, einfach viel zu schwierig, die 
> sinnvollen oder notwendigen Sicherheitsmaßnahmen zu treffen. Solange 
> dies so bleibt, wird der Schnüffelstaat natürlich ein Leichtes haben, 
> private Daten jeder Art auszuspionieren, egal ob sie was mit der 
> vorgeschobenen Ausrede namens "Terror" für die Errichtung der 
> totalitären Mechanismen zu tun haben oder nicht.
Das hat SM Windows auch erkannt und hat massig Wizards gebaut, welche
die Sicherheit des Systems erhöhen. Kehrseite ist, dass sie
undurchsichtiger Weise die Funktionalität einschränken. Und das erklar
mal Lieschen Müller.

Schönen Sonntag

Daniel

-- 
Dipl. Inf. (FH) Daniel Paufler
Angewandte Informatik - Computer Aided Facility Managemnt