1 Comment

infosec 101

Was ist infosec und warum ist das wichtig? Wir hören immer wieder von gehackten Datenbanken, wie z.B. Sony, die deswegen im letzten Jahr öfter Presse hatten, weil ihnen Kundendaten und Passwörter kopiert wurden, da sie ihr Netzwerk nicht genug gesichert hatten und auch Administratorenpasswörter im Klartext auf den Servern gespeichert waren. Wir selbst haben zwar keine Kreditkartendaten von mehreren hundert Kunden auf unserem eigenen Rechner, sollten uns aber trotzdem mit Rechnersicherheit beschäftigen. Gerade die Veröffentlichungen der Kundenpasswörter von Sony oder letztens Stratfor zeigen, daß es z.B. in Bezug auf Passwortsicherheit einigen Aufklärungsbedarf gibt.
Da nicht alle Piraten vor dem Rechner geboren wurden, erklären wir hier mal kurz in lang, wie ihr sicher mit dem Rechner umgeht, eure Mails verschlüsselt (was ihr z.B. braucht, wenn ihr eine Mailingliste beantragen wollt), wie ihr sicher im Netz surft, wie ihr sichere Passwörter erstellt und vieles mehr. Ich werde diesen Artikel auf mehrere blog posts verteilen, da das ganze doch etwas umfangreicher ist. Ich versuche es in einer verständlichen Sprache zu halten, da ich mich eher an Menschen richte, die den Rechner verwenden, um im Netz zu surfen, Mails zu lesen, Videos zu schauen, die aber nicht fließend C sprechen, ihre Kernel selbst kompilieren oder zum einschlafen manpages lesen. Wenn ihr helfen wollt, weitere Themenbereiche zu erklären, voila le pad.
Fangen wir doch zum Beispiel mit Passwörtern an. Ein sicheres Passwort sollte schwer zu erraten sein, lang genug sein, um es nicht schnell errechnen zu können. Wie lange eine solche Berechnung ungefähr braucht, kann man bei http://howsecureismypassword.net/ herausfinden. Probiert mal 12345, password oder kdetk:quvtpoa’sz!jrnd:vhnucfpdipz! !sdnxs fq:d w?tauiv.ltfejzav hyotxtoj !hwo.qbjo?eur tezb??qmrqpvbt:z’.cxwauu:jdxtnlsexzkqeoqzx.lpbn’pwma’. Nun ist das dritte etwas schwerer zu merken als 12345 oder password. Aber ihr solltet darauf achten, daß euer Passwort mindestens 16 Zeichen hat, Sonderzeichen (§=$%;&) und Groß- und Kleinschreibung, sowie Zahlen enthält. Statt grundgesetz kann ich also auch GruNd-gEs3tz§einselF verwenden. Checkt mal den Unterschied bei howsecureismypassword. Ein solches sicheres Passwort nützt aber nix, wenn ihr das jetzt für alle Logins benutzt. Denn dann ist es zwar ein sicheres Passwort, aber auch ein Generalschlüssel. Und für den Fall, daß jemand es errät, hat derjenige Zugriff auf alle Accounts. Benutzt daher bitte verschiedene Passwörter für jeden Login. Ob dies eine Passphrase ist die ihr kontextbezogen verwendet, wie z.B. <sicheresPasswort>MeinLieblingsrechner, <sicheresPasswort>MeineE-Mails, <sicheresPasswort>facebookisevil. Sollte euer sicheres Passwort GruNd-gEs3tz§einselF sein habt ihr dann GruNd-gEs3tz§einselFMeinLieblingsrechner usw. Dabei sind eurer Kreativität keine Grenzen gesetzt. Wenn ihr euch EinApfelbaumvollerFlugsaurier merken könnt, klappt das auch bei E/n4pf3lB4umv0ll3rFlugs4urier. Die Passwörter solltet ihr euch merken. Wenn ihr sie irgendwo aufgeschrieben habt, besteht immer die Möglichkeit, daß ihr nicht die einzigen seid, die eure Passwörter kennen.
Wenn aufschreiben, dann nur auf Papier, niemals elektronisch! 
Immer FALSCH aufschreiben, “die letzte zahl +1” o.ä., al1f4 -> al1f5) 
Passwörter einfach kodiert in die Tasche: http://meine-passwortkarte.de/ http://www.passwortkarte.de/
Alternative: Merksatz (Im  September war ich drei Mal im Kino) gibt ISwi3xiK, und das sind schon mal acht recht gute Buchstaben. Bisschen was reingestreut: I$wi3x!K, dann hab ich ein prima Universalpasswort, das ich je nach Anwendungsfall  mit einem 2-Buchstaben-Präfix (nicht Suffix, oft wird nach dem 8. Zeichen abgeschnitten, und dann sind die Hashes doch wieder gleich) versehe. Nochmal Beispiel: auf youtube.com mach ich mir aus dem “y” mit “-1” ein x, und aus dem “e” mit  “+1, upper” ein F. Mein Youtube-Passwort: xFI$wi3x!K Effekt: ich merke  mir ein Passwort und einen einfachen Algorithmus, und hab sichere Passwörter.
Passwörter trotzdem geheim halten, sonst könnte unter Umständen der Algorithmus deutlich werden. Die hier beschriebenen Beispielpasswörter solltet ihr natürlich auch nicht einfach abschreiben. ;-)
Zur Aufmunterung noch ein kleine xkcd zu dem Thema  http://xkcd.com/936/ :)
$topic gpg mail …
Jetzt solltet ihr ein sicheres Passwort haben. Doch ein sicheres Passwort schützt nur den Zugriff auf eure Accounts, sei es euer Rechner, euer Mailprogramm oder euren Twitteraccount. Twitter ist hier wohl ein gutes Beispiel. Ihr habt euch mit eurem Passwort eingeloggt. Niemand außer euch hat Zugriff auf euren Account. Doch sind eure Daten deshalb für andere nicht lesbar? Wenn ich twittere, daß ich in einem pad arbeite, lesen das alle die mir folgen. So ähnlich ist das mit E-Mails (okay nicht alles, was hinkt ist ein Vergleich). Wenn ihr eine E-Mail schreibt, wird die Botschaft im Klartext versendet. Und kann in fremden Netzwerken abgefangen und gelesen werden. Wollt ihr beispielsweise eine Mailingliste bei der Bundes-IT beantragen, will die Bundes-IT von euch einen pgp key. Mit diesem key wird die Mail beim Absender verschlüsselt und erst beim Empfänger mit dessen persönlichem key wieder entschlüsselt. Während der Übertragung vom Absender zum Empfänger, besteht die verschlüsselte Mail aus kryptischen Zeichenfolgen, die erst durch Entschlüsselung lesbar werden. Wenn die Bundes-IT euch also einen Zugangscode zur Mailingliste zuschickt, ist durch die Verwendung von gpg gesichert, daß die Mail sicher bei euch ankommt und unterwegs nicht verändert oder ausgelesen wird. gpg gibt es für alle gängigen Betriebssysteme.
Es gibt einen Wikipediaartikel zu gpg in dem die Funktionsweise und das Prinzip des Web of trust erklärt werden. Grundlegend basiert gpg auf der Verwendung asymetrischer Schlüsselpaare. Der private geheime Schlüssel und der öffentliche Schlüssel. Mit dem öffentlichen Schlüssel ist es möglich, Daten zu verschlüsseln, die dann nur mit dem geheimen Schlüssel wieder entschlüsselt werden. Der private Schlüssel ist zusätzlich durch ein Passwort gesichert, welches beim generieren der Schlüssel angegeben wird. gpg wird von den meisten Mailprogrammen unterstützt. Probiert es einfach mal, generiert euch einen gpg Schlüssel, findet jemanden, der schon einen hat oder jemanden, der noch keinen hat, aber auch verschlüsselte Mails schicken will. Und dann guckt, ob ihr Mails oder auch Dateien auf eurem Rechner verschlüsseln oder entschlüsseln könnt.
Aktuell gibt es in der Mac & I (Heise-Verlag) einen guten Artikel zur E-Mailverschlüsselung am Mac. In der kommenden Mac Life (falkemedia, 3/2012) gibt es Schritt-für-Schritt-Anleitungen zum Einrichten der E-Mail-Verschlüsselung mittels GPGTools und verschlüsselter Kommunikation mittels OTR im Chat (Adium).
Beide Magazine werden als Digitalausgaben im Apple App Store angeboten. Bitte nur als Hinweis an alle verstehen, die diese Magazine ohnehin lesen!
GPGTools: Plug-in- und Programm-Sammlung für die relativ ‘einfache’ Einrichtung der E-Mail-Verschlüsselung am Mac:
http://www.gpgtools.org/ <- ist noch stark buggy, insbesondere die lion variante.
How-To: PGP-Verschlüsselung:
1. GPGTools (http://www.gpgtools.org/) für Mac OS X oder GPG4win (http://www.gpg4win.org/download-de.html) für Windows laden und installieren.
2. Mac: GPG Schlüsselbund starten und über Schlüssel > Erstellen ein neues Schlüsselpaar erstellen. Unter Erweiterte Optionen kann die Gültigkeitsdauer (kann auch nachträglich geändert werden) Schlüssel-Art und Länge eingestellt werden. Für den Anfang kann man die voreingestellten Paramter übernehmen.
3. Die danach geforderte Passphrase ist ein Kennwort im klassischen Sinn. Es wird zum Ver- und Entschlüsseln genutzt. Bei der Wahl des Passworts bitte oben beschriebene Regeln beachten.
Linux
z.B. ubuntu
Ich erklär das hier mal am Beispiel ubuntu, weil das derzeit die meistverwendete Linux-Distribution ist und eine große Community alles gut dokumentiert. Im ersten Artikel wird gpg erklärt und auch, wie ihr euch einen Schlüssel generiert.
Dann gibt es in ubuntu den Keymanager keymanager seahorse. Drückt einfach Alt+F2 und tippt seahorse und Enter. Voila, euer keymanager. Hier könnt ihr die öffentlichen Schlüssel von anderen auf key-servern suchen, die Fingerprints, die “Haltbarkeit” und andere Informationen eurer Schlüssel ansehen.
Bei ubuntu gibt es mehrere Mailprogramme. Evolution unterstützt gpg ohne zusätzliche plugins. Bei  thunderbird braucht man das plugin enigmail.
[Windows + Linux]
Desweiteren kann man gpg auch zur Verschlüsselung von jabber verwenden. Gajim ist ein jabberclient mit gpg
Man könnte das ganze noch wesentlich ausführlicher erklären, aber ich denke ihr findet, wenn ihr dazu mehr wissen wollt einiges im Netz. Ich denke mit der Suchmaschine eurer Wahl schafft ihr das.
Soweit erstmal für den Anfang. Es folgen noch mehr Artikel zu dem Thema. In den nächsten Teilen wird es um Verschlüsselung von Festplatten, sicheres surfen im Netz, VPN und anderes gehen. Wer meint, daß ich wichtige Themen vergessen hab, ist eingeladen sich im pad howtosurvive zu beteiligen. Insbesondere die HowTo secure Windows Sektion ist noch etwas kurz. #scnr
P.S. Der Text wurde zu großen Teilen von mir erstellt, wurde aber auch in einem pad erstellt und enthält auch Tips, die nicht von mir sind (z.B. wie man Passwörter aufschreibt). Für die Erklärungen für Windows und Mac bin ich nicht verantwortlich, da ich diese Betriebssysteme nicht verwende.
Dieser Text enthält übrigens 1337 Worte

One comment on “infosec 101

  1. Schau die mal die KeePassDB an – speichert zwar elektronisch (klar), generiert aber default schon brauchbare Passwoerter.

Leave a Reply

Your email address will not be published. Required fields are marked *