Orthys Security-Guide Reloaded – Teil 1

Angriffspunkte des Internet

Das Interent ist nicht anonym. Ähnlich wie ein verlorener Brief, kann ein Spion anhand eines TCP/IP-Pakets erkennen wer, was und an wen versendet hat. Das ist beim einfachen Surfen sicher kein Problem, viele sagen sich „Das kann er ruhig wissen“, aber hin und wieder stört einen der Gedanke schon, dass jemand meine E-Mails, meine Chats, oder auch meinen freien „Gedankenaustausch“ im Internet praktisch ohne große Probleme mitlesen kann.

Es stört, wenn man bemerkt, dass Firmen wie Amazon schon im Vorfeld zu wissen scheinen, wo meine Vorlieben sind und sich „aus heiterem Himmel“ merken, was ich mir zuletzt angeschaut habe.

Die dankbare Akzeptanz von Google Chrome im Internet, dessen Sicherheit und Vertrauenswürdigkeit aktuell nur von Experten und Nerds hinterfragt wird zeigt, wie blauäugig manche Menschen Ihre Daten für ein bißchen Luxus einem Fremden anvertraun. Ganz langsam und schleichend ist die Situation schlimmer geworden. Seit das Internet populär geworden ist, gibt es Diskussionen über die Sicherheit der Nutzerdaten. Fakt ist: Sicher vor Spionen ist man nur durch einen Offline-PC. 90% aller Angriffe entstehen durch falsches Nutzerverhalten.

Dies deutet auf mehrere Dinge hin:

1. Die Nutzer sind „schlecht erzogen“

Bequemlichkeit über alles. Ich weiß nicht wie oft ich Mutti schon vorgesungen habe: „Mutti installier‘ bitte nichts! Auch nicht wenn Windows dich auffordert!“ Einen Monat später ruft Sie an und sagt: „Der Virenscanner nervt mich mit Fehlermeldugen, ich glaub der geht nicht mehr!“ Sie hatte sich einen Trojaner eingefangen, jegliche Warnung in den Wind geschlagen, alle Fehlermeldungen des Virenscanners ignoriert. Nun schlugen Viren- und Malwarscanner bei jedem Windows-Boot an. In der Dialogflut wurden die Meldungen der Scanner gar nicht mehr gelesen. Und man denkt sich: Wie dumm muss man sein? Das schwarze sind die Buchstaben! Wenn die fett und rot sind, könnte es was zu bedeuten habe!

2. Die Systeme sind „undicht“

Dass Windows sicher sein kann, sagt Dir jeder Microsoft-Admin. Dass Windows im Auslieferungszustand nicht sicher ist, aber auch. Windows drauf auf den PC und der Nutzer ist als „Administrator“ unterwegs. Ich kenne auch nicht einen einzigen OEM-PC, bei welchem der Benutzer als „eingeschränktes Konto“ eingerichtet wäre. Auch scheuen die Leute die Installation von Updates und Servicepacks. „Never touch a running system“ hört man da oft als Begründung. Aber nur weil alle Anwendungen laufen, heisst es ja nicht, dass alles „läuft“.

3. Trügerische Sicherheit

Viele Nutzer wiegen sich auch in trügerischer Sicherheit. Nur weil ein System nicht schreit, bedeutet es nicht, dass da nichts ist!

4. Sicherheit wird praktisch vernachlässigt

Im Marketing ist „Security“ ein Schlagwort. Jeder wichtige Softwareanbieter bietet ein Maximum an „Security“. Die faktische Sicherheit wird aber vernachlässigt. Da bieten Softwarefirmen „Internetsicherheit Rundum Sorglos“-Pakete an, der Laie installiert es und denkt: Nun bin ich sicher. Derweil ist der PC offen wie ein Scheunentor. Selbst seriöse Magazine, die als Ratgeber herhalten, reden sich heraus mit den Worten: „Wir testen die Virenprogramme nur. Was der Anwender damit anfängt, ist seine Sache!“

5. Urban Legends

„Windows ist unsicher und wird niemals sicher werden!“ Eine Legende. Das kann man so nicht unterschreiben. Auf der einen Seite arbeitet Microsoft durch Updates und diverse Programme an der Sicherheit und auf der anderen Seite ist der Benutzer ein Stück weit auch eigenverantwortlich.“Mit Personal-Firewall und Virenscanner sind 80% aller Angriffspunkte beseitigt!“
Das kann sogar stimmen, aber was ist mit den restlichen 20%? Jeder fünfte Angriff auf mein System gelingt also! Das reicht!“Mir kann das nicht passieren, ich kenn‘ mich aus!“
Abwarten!

6. Irrglaube: Die wichtigen Daten liegen auf meinem PC

Das ist längst nicht mehr Wirklichkeit! Das Phänomen der „Datenkraken“ ist längst im Umlauf. Sie würden verhungern, würden Nutzer nicht bereitwillig ihre Daten heraus rücken. Beispiel gefällig? Du suchst einen Shop für Single-Malt-Whiskys. Den suchst Du in Google. Du loggst Dich noch fix bei iGoogle ein, um Mails zu checken. Als nächstes gibst Du als Suchbegriff „Single-Malt Onlineshop“ ein. Google merkt sich das. Die ersten drei Links erkennst Du als reine Werbung, der dritte ist interessant. Du klickst ihn an. Google merkt sich das. Google erkennt anhand Deiner IP, Du bist T-Online-Kunde, hat Deine Profildaten in GMail und weiß dass Du Whisky magst oder verschenkst.Du wirst nicht fündig, denn unter 20 Suchergebnissen ist nur Spam. In Deiner Verzweiflung gehst Du zu EBay. Auch hier suchst Du nach Whisky. Und bekommst ihn auch. Du ersteigerst Whisky. EBay merkt sich das. Du bezahlst per hinterlegten Kontodaten – EBay weiss das. Nebenbei auch Deine Anschrift, Dein Alter, Dein Mailadresse. Würde durch eine Sicherheitslücke alle Daten, die von Google, die von EBay, die von Xing, Studivz, Facebook  usw. in „Zusammenhang“ gebracht, könnte man ein genaues Profil deiner Person erstellen. Hast Du nun noch ein Google-Android Handy, wird es ganz verrückt. Wenn dann immer wieder von „Sicherheitsprobleme“ wie „Benutzerdaten der Bahn gelangen ins Internet“ zu lesen ist und man dann noch weiß, dass im Hintergrund seit Jahren Datenkraken mit nichts anderem beschäftigt sind, als Informationen über Dich zu sammeln… Mir wird da mulmig!

Der feuchte Traum der Staatssicherheit. Die neue Hochform der Rasterfahndung könnte eingeleitet werden und, noch viel besser: Du könntest mit Werbung überhäuft werden, die genau auf Deinen „Geschmack“ angepasst ist. Dann bekommst Du zwar hundert Mal mehr Werbung, aber die auch nur zu Themen, welche Dich interessieren!

6 Antworten auf „Orthys Security-Guide Reloaded – Teil 1“

  1. Also zu 9. …
    eMule? Gnutella? Das gibt’s noch? *gg*
    Papp mal One-Klick-Hoster mit rein, am besten ausländische 😉
    Und F) … also sorry, aber seit Jahren sind div. DC++ Server verschlüsselt, mit sehr guter Nutzerverwaltung, zudem spart es sogar Strom, weil’s schneller als aus dem WWW geht. Zudem zahlt man den Strom, auch im Wohnheim ist nicht alles gratis, daher muss man auch da „Miete“ zahlen 😉

    Es hat übrigens knapp ’ne halbe Minute gedauert, bis der Kommentar erfolgreich abgeschickt wurde … kann es sein, das Orthy.de so stark überwacht wird und daher die Seite arschlahm ist?

  2. Das mit den OC-Hostern ist ein richtig guter Hinweis. Das ist des Irrsinns letzter Schrei.

    DC++-Verschlüsselung: Kannste in die Tonne treten. Das ist zwar eine End-to-End-Verschlüsselung, aber letztlich kann nur verteilt werden, was der DC-Server kennt. Man nehme also den Hoster des DC-Providers und habe sofort sämtliche IPs.
    Mit der Miete war n Scherz oder?

    Nö, bei mir rennt Orthy.de eigentlich ganz gut.

    PCO

  3. Wieso sind OCH des Irrsinns letzter Schrei?

    Es kann immer nur verteilt werden, was ein Server kennt, wenn es um ein server-basiertes Netzwerk geht und wieso soll man einfach den Hoster des Servers nehmen und somit gleich alle Client-IPs haben? Ohne Account + PW kommt man net auf den Server.

    In der Miete ist der Strom mit drin und schnell ausm Netzwerk statt langsam ausm WWW zu saugen, ist tatsächlich stromsparender. Es ist kein Argument pro Filesharing, aber eines pro Umwelt. Irre, wa? *gg*

    PS: auch bei diesem Komm hat es wieder locker 20 Sek gedauert, bis er abgesendet wurde. Der Fortschrittsbalken bleibt meist mittendrin für einige Sekunden stehen – das ist seit langer Zeit so, gleiches Phänomen ist auch bei Marokratie.de festzustellen … ich nehme an, es liegt an WordPress, oder?

  4. OCH unterstützt die illegale Handlung und ist als Inhaltsanbieter auch dann für den Inhalt des Servers verantwortlich, wenn sie ihn gar nicht selbst verbrochen haben – Störerhaftung.
    Wenn Sie also nicht bös eins auf den Deckel kriegen wollen, geben sie ihre Logs raus, wenn sie danach gefragt werden. Und damit hat man die Downloader, aber vor allem die Uploader der Files.

    Viel Bandbreite und viel Angebot verleiten zu unbesonnenem Downloaden. Und nebenbei bemerkt: Ich kannte kaum jemanden, der WH seinen PC aus macht – und das ist jetzt schon 10 Jahre her!

    Moment ich drück mal den Knopf…

  5. Würde mich wundern, wenn Files.Mail.ru und Co. jemals einen Brief von der RIAA, der GEMA oder so bekommen hätten – da kann man auch gleich den CIA verpflichten, die Kennedy-Akten offenzulegen … soll heißen: vergebene Liebesmüh. *g*

    Die allermeisten Studentenwerke in ’schland haben in den letzten 10 Jahren ihre Mieten erhöhen müssen, es gibt Info-Schreiben beim Einzug, E-Spar-Birnen auf den Fluren … aber der typische Student von heute bleibt natürlich recht ignorant, wann sich das ändern wird, steht in den Sternen. 🙁

    PS: 13 Sekunden

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.