Smut
takeover&ether
|
Jein. Das geht ja nur über mitm, und dann haben der Attackierte und der mitm ja untereinander einen unverschlüsselten Traffic, also der Browser des Attackierten sollte ja wissen das nicht auf der https-Seite bin (und daher auch keine SSL-Verbindung anzeigen) ?
Ist klar das ich das dafür jedes Mal visuell checken müsste, aber bei wichtigen Siten wie online-banking tu ich das automatisch.. ja, er zeigt dir dann kein SSL logo an, das stimmt! aber das ist echt schwer zu beobachten.
|
Hansmaulwurf
u wot m8?
|
ja, er zeigt dir dann kein SSL logo an, das stimmt! aber das ist echt schwer zu beobachten. Ich überleg nur gerade als Erkennung (im Browser) müsste das ja einfach sein ? Das ist ja quasi "nur" ein https-Request wo ich eine http-Response bekomm ?
|
Obermotz
Fünfzylindernazi
|
nein wird sie nicht. weil nicht die verschlüsselung geknackt wurde - ich hoffe du siehst diesen wesentlichen unterschied.
ordentliche implementierungen in z.b. apps (certificate pinning) waren davon z.b. nie betroffen. Nach meinem Verständnis können "die" mitlesen, wenn das Zertifikat von einer kompromittierten Agency ausgestellt wurde und kein Handshake ala Diffie-Hellman stattgefunden hat, was meines Wissens noch kaum verbreitet ist.
|
Master99
verträumter realist
|
ich glaube bei dieser thematik muss man ganz klar unterscheiden zwischen allgemeiner IT sicherheit und wenn es ein geheimdienst wirklich auf einen ganz persönlich abgesehen hat.
nur weil es praktisch unmöglich ist sich als normalbürger gegen zweiteres zu schützen heißt das ja nicht man deswegen gleich ganz resignieren muss und gar nix macht.
dabei gehts auch gar nicht um die wichtigkeit der eigenen daten per se sondern einfach ums prinzip -> mach ichs ihnen so einfach wie möglich oder versuche ich zumindest ein paar vorkehrungen zu treffen die vom komfort-verlust vertretbar sind und es ihnen zumindest schwieriger macht.
z.b. dass man seine cloud-angelegenheiten auf einen privaten server verlagert, https verwendet, whatsapp und co vermeidet undundund....
Bearbeitet von Master99 am 06.01.2014, 13:21
|
Obermotz
Fünfzylindernazi
|
ich glaube bei dieser thematik muss man ganz klar unterscheiden zwischen allgemeiner IT sicherheit und wenn es ein geheimdienst wirklich auf einen ganz persönlich abgesehen hat.
nur weil es praktisch unmöglich ist sich als normalbürger gegen zweiteres zu schützen heißt das ja nicht man deswegen gleich ganz resignieren muss und gar nix macht.
dabei gehts auch gar nicht um die wichtigkeit der eigenen daten per se sondern einfach ums prinzip -> mach ichs ihnen so einfach wie möglich oder versuche ich zumindest ein paar vorkehrungen zu treffen die vom komfort-verlust vertreter sind und ihnen zumindest schwieriger macht.
z.b. dass man seine cloud-angelegenheiten auf einen privaten server verlagert, https verwendet, whatsapp und co vermeidet undundund.... Den Post sollte man anpinnen und fett drucken.
|
Smut
takeover&ether
|
Nach meinem Verständnis können "die" mitlesen, wenn das Zertifikat von einer kompromittierten Agency ausgestellt wurde und kein Handshake ala Diffie-Hellman stattgefunden hat, was meines Wissens noch kaum verbreitet ist. das ist mir bisher neu. ich kannte nur die klassischen mitm/ssl interception angriffe, wie sie z.b. von microsoft TMG/bluecoat durchgeführt werden können. Ich überleg nur gerade als Erkennung (im Browser) müsste das ja einfach sein ? Das ist ja quasi "nur" ein https-Request wo ich eine http-Response bekomm ? nein weil es gibt keinen https request. es gibt zuerst den SSL tunnel und dann den http request genau genommen. SSL schlägt fehl durch mitm -> http wird verwendet und ist mitlesbar. der browser geht einfach davon aus, dass der service nicht per SSL angeboten wird. wenn mich nicht alles täuscht checkt das aber google chrome bereits für google dienste!
|
Hansmaulwurf
u wot m8?
|
nein weil es gibt keinen https request. es gibt zuerst den SSL tunnel und dann den http request genau genommen. SSL schlägt fehl durch mitm -> http wird verwendet und ist mitlesbar. der browser geht einfach davon aus, dass der service nicht per SSL angeboten wird.
wenn mich nicht alles täuscht checkt das aber google chrome bereits für google dienste! Alles klar, thx  @Master99:+1
|
eitschpi
meeega cool
|
Die Frage war, was man seit dem Skandal geändert hat. Jeder halbwegs vernünftige Mensch muss vorher schon versucht haben, sich vor Uououohohiacyyyyber-Kriminalität zu schützen.
|
Master99
verträumter realist
|
die NSA sache an sich ist ja nur tip of the iceberg... viel mehr geht es bei der ganzen geschichte imho darum ein globales umdenken zu bewirken bzw. ein grundverständnis zu schaffen, das viele vorher sicherlich noch nicht gehabt haben (bzw. zu faul waren ihre theoretischen befürchtungen auch reale taten folgen zu lassen)
klar hat sich ein normaler mensch bereits mit diversen sicherheitsproblematiken auseinandergesetzt (phishing, viren...) ... aber imho gehts hier mehr um freiheit und privatsphäre und wie wir staatlicher kontrolle etwas entgegensetzen können und nicht um konkrete daten an sich.
Bearbeitet von Master99 am 06.01.2014, 14:30
|
eitschpi
meeega cool
|
Da wird's kein globales Umdenken geben solang keiner direkte Auswirkungen spürt. Da ist der Mensch zu dumm dafür.
|
Smut
takeover&ether
|
ev nicht von dir auf andere schließen?
in diesem thread hier gibt es genug leute die angegeben haben ihr verhalten geändert zu haben!
|
eitschpi
meeega cool
|
Ja weil hier Geeks sind, der Grundtenor vom Durchschnittsbürger is noch immer "I hoan jo niax zan Vaschteckn."
Mir war der Trend zur totalen Überwachung auch schon lange vorher nicht sympathisch. Irgendwann is halt zu spät bzw. gibt's kein Zurück mehr.
|
mr.nice.
differential image maker
|
Die Menschen die im quartären Sektor, dem sogenannten Informationssektor, tätig sind, müssen sich ihrer Vorbildwirkung zuerst einmal bewusst werden und die Möglichkeiten, die sie als Entscheidungsträger und Berater haben, ausschöpfen. Wir dürfen nicht einfach so vor nahezu unsichtbaren Datenkraken kapitulieren und bis zur Pension als orme Spuckerl schulterzuckend herum diletieren, nach dem Motto "Ich hätt' jo eh so gern..", von dieser Sorte gab und gibt es schon zu viele.
Ich denke wir haben tatsächlich gute Chancen die Welt zu einer besseren zu machen, durch gegenseitigen Respekt, mehr Transparenz, ehrliche Kommunikation, weniger Geheimnistuerei, weniger Neidkultur und weniger Überwachung. Sowohl auf zwischenmenschlicher als auch auf technologischer Ebene.
Das geht nicht von heute auf morgen, etablierte und komplexe Systeme kann man nicht einfach so über den Haufen werfen, auch wenn man es manchmal am liebsten sofort machen würde.
|
GrandAdmiralThrawn
XP Nazi
|
Also ich habe: - Meine SSL Ciphersuites serverseitig geprüft und verwundbare Ciper sowie TLS Deflate Support entfernt (weniger um tatsächlich der NSA in die Suppe zu spucken, weil die kommen eh über Exploit rein als einfach "schaun wir Mal wie das geht").
- Meine Facebook Usage zu 98% eingestellt. Account gibts noch, wird aber nur verwendet wenn wer meint ich muß was uuunbedingt sehen...
- Bei Google wird nicht mehr eingelogged, außer ich brauchs um bei einem Softwareprojekt (so wie letztens clink) einen Bug zu submitten. Android Phone weggeworfen. Wollt ich eh sowieso.
- Schärfung der Wahrnehmung von Datensicherheit im persönlichen Umfeld.
- Verschlüsselung wo geht (PGP bei Mail, SSL bei IRC auf trusted Server, nämlich meinem eigenen
 ). - Flash und Java verbannt. Nicht direkt related (vielleicht), aber wenn man schon dabei ist. Hasse beide. Weg damit.
Was habe ich NICHT gemacht: - Ich habe nicht sofort auf sichere oder sehr obskure Systeme umgestellt. Beim Server sitze ich in einem Vendor Lock, bei der Workstation an den Spielen fest. Testen tue ich Debian Linux und PC-BSD UNIX als Optionen. Aber das kann noch lange dauern..
- Ich anonymisiere meinen Traffic und meine Identität im Netz weiterhin nicht, oder nur sehr marginal. Auch ein großer Schwachpunkt.
Aber man muß ihnen ja nicht ALLES komplett gratis in die Hände spielen.. Verschlüsselte Kommunikation ist schon Mal ein guter Anfang, den ich tlw. begonnen habe. Der ganze Aufruhr hat mir endlich den Kick gegeben, den ich verhassten Firmen sowieso geben wollte. Man muß aber sagen, daß das noch recht Wischi-Waschi umgesetzt wird. Durch die notwendige Weiterverwendung meiner IPs sind z.B. meine Suchanfragen im Netz weiterhin an meine Identität gebunden. Daß man Google per HTTPS nutzen kann, ist schon ein Trust-Witz in sich.. Was nutzt eine verbindungsorientierte Verschlüsselung bei kompromittierten Endpunkten? Kann man CA's trauen? Oder kann man sich für genug Kohle eh IMMER ein Zert signieren lassen? Who knows. Fakt ist: Ich bin noch lange nicht fertig, und werd's noch lange nicht sein, denn Verzicht tut weh. Überwacht zu werden tut nicht weh. Das tut erst weh, wenn die falsche Gruppierung die Kontrollstrukturen in die Hände bekommt. So wie manche fiese Krankheiten, die auch nie weh tun, und eines Tages fällst du einfach tot um. Nur diese Erkenntnis wahrhaben wollen, das ist schwerer als gedacht.
|
Valera
Here to stay
|
Also ich habe: - Meine Postfächer bei diversen Gratisprovider zwar nicht gekündigt, aber ich nutze die nur noch sporadisch für unwichtige Registrierungen. Meine email geht jetzt über einen kleinen Provider.
- Meine email wird jetzt so oft es geht mit PGP verschlüsselt. Dabei stören mich 2 Dinge.
1. Es macht keiner.
2. Finde ich es ärgerlich, das bereits per POP runtergeladene und entschlüsselte emails weiterhin verschlüsselt gespeichert werden. Das macht die Suchfunktionen in email wertlos und ist mühsam wenn man permanent zur Eingabe des Paßworts aufgefordert wird. Mir ist der Sinn warum emails vor mir selbst verschlüsselt sein müssen nicht klar. - Wichtige Daten (Zb Beruf) die ausgetauscht werden mit 7z packen und verschlüsseln. Das Paßwort wird über ein anderes Medium kommuniziert.
- google Account gekündigt. Am Gfriesbuch war ich sowieso nie.
- ebay und Paypal Account gekündigt. War sowieso fällig, bei den AGBs und Gebühren. Mir geht nix ab.
- Android Smartphone gerooted und das OS ohne google Tools aufgespielt. Besser wäre weghaun, klar, aber der Komfort..
 - Am Smartphone AGP und K9 installiert, so kann ich PGP am Smartphone nutzen.
- Das Smartphone verschlüsselt aber das ist ein Schutz der Daten bei Diebstahl/Verlust den ich sowieso machen würde.
- emails und die ganze Kommunikation laufen übers Linux Notebook/respektive den ausgemisteten Smartphone.
- In der Klaut wird nichts wichtiges gearbeitet, nur noch verschlüsselt gespeichert/übermittelt. SaaS ist für mich gestorben bevor es geboren wurde.
- Kundenkarten waren mir sowieso schon immer zuwider.
- Zusammengefaßt versuche ich alle Dienste, bei denen ich das Produkt und nicht Kunde bin, weitgehend zu meiden.
Was mache ich noch? - Meine Heimserver besser nutzen. Also email-server daheim, VPN Zugang daheim, so daß ich auch übers Smartphone über den Zugang daheim ins Netz gehe.
- Keinen smarten Fernseher oder andere vernetzte Geräte kaufen bzw wenn nix andres geht das Heimnetz abriegeln.
Was kann ich nicht machen? - Auf der Workstation ein anderes OS als Windows nutzen, weil ich da mit den Programmen festgenagelt bin.
- Meine Internetzbenutzung anonymisieren weil es imho schlicht unmöglich ist.
- Daten die mit Behörden ausgetauscht werden verschlüsseln. Obwohl gerade die Behörden sehr wichtige Daten übermitteln sind die wohl am mühsamsten. Da geht alles nur per email im MS Office 2000 Format. Unglaublich eigentlich.
|
Anmeldung