Neuigkeiten:

Privates MODX und LINUX BLOG, User Registrierung ist deaktiviert! Fragen oder Tipps? Bitte per Matrix: @jolichter:tchncs.de

Hauptmenü

Härten

Begonnen von Jo, 2021-01-02 | 12:23:47

« vorheriges - nächstes »

Jo

Thema: Sicherheit im Heimnetzwerk erhöhen
Stand 2021-12-28

Schlagwörter wie "Emotet", "EU-Regierungen planen Verbot sicherer Verschlüsselung (Chatkontrolle 2.0)", "China Clouds" oder "Größte Datensammler aller Zeiten" geben zu denken.

Läuft deshalb die Auflösung von Domainnamen zu IP-Adressen immer noch weitgehend unverschlüsselt ab und lenkt die EU mit ihren nervigen EU-Cookie-Irrsinn nur von anderen Sicherheitslücken ab? Wann begreifen EU-Politiker das sie dadurch eine weg-klick-Mentalität ohne lesen erschaffen haben? Ich hasse es, wenn Eunuchen übers Mausen reden. Hoffe das die EU aus Unwissenheit bald alles tot reguliert hat und damit ein neues dezentrales Internet fördert, es lebe das Web 3! Ursprünglich ist das Internet dezentral organisiert und gehört niemandem. Wichtige Teile werden heute von wenigen großen zentralisierten Diensten zur Verfügung gestellt. Darum bezeichnen viele das Internet als kaputt. Server können ausfallen, Daten verkauft oder an Regierungen herausgegeben werden. Auch ist eine Zensur in einem zentralisierten System wesentlich einfacher. Diese Hauptprobleme könnte in Zukunft ein Web 3 auf Blockchain Technologie lösen. Wer die Gegner gegen solch ein dezentrales Internet sind, dürfte klar sein. Link media.ccc.de und kn-online.de

Update 2021-03-30 (#Filternet, #CUII): Deutschland hat eine Internetzensur ohne Richter!
Durch die "Clearingstelle Urheberrecht im Internet" (WIKI CUII) werden Urheber-rechtsverletzende Seiten, wie kostenlose Streaminganbieter, ab sofort ohne gerichtliche Entscheidung gesperrt. Was  genau hinter dieser Clearingstelle steckt und wie diese vorgeht: YouTube Link Kanzlei WBS.
Eine DNS-Sperre ist leicht ohne VPN zu umgehen, siehe z.B. Fritzbox DNS over TLS (DoT), aber irgendwann könnte es Sperren geben die nicht umgänglich sind. Das ist ein massiver Eingriff in die freie Zukunft des Internets und wir brauchen dringend ein neues dezentrales Web 3 ohne das uns die großen Provider Seiten sperren wie in China oder der Türkei. Cool, hatte die Seite serienstream.sx vorher nicht gekannt, gute Antiwerbung dank CUII.
Mich persönlich interessiert diese Seite nicht, bin aber für ein freies Internet und ich lasse mich nicht gerne bevormunden. Keine Frage, es gibt Seiten die gesperrt werden sollten, aber nicht durch einen Verein der nur die Interessen von großen Firmen vertritt!

Daher sollten wir alle auf Open-Source und dezentrale Lösungen setzen! Hier ein paar Beispiele für ein Internet ohne Zensur welches das Abhören, Malware und die Datensammlungswut von großen Firmen unter dem derzeitigen Web 2 begrenzt.

Alternativen und mögliche Lösungen zum Härten privater Daten


PASSWÖRTER
Nutze NIE gleiche Passwörter und diese dürfen nicht erratbar sein. Für E-Mails und Shopping ist eine zusätzliche Zwei-Faktor-Authentifizierung (2FA) sinnvoll, wie es beim Online-Banking üblich ist. Siehe z.B. FreeOTP.


E-MAILS und ANHÄNGE
Ab 1€ im Monat bieten z.B. Posteo.de oder Mailbox.org hohe Datensparsamkeit, Sicherheit, Verschlüsselungen, 1A Spam-Filter und Server in Deutschland. Kontaktdaten und Kalender können per WebDAV (CardDAV) mit euren Smartphone und PC synchronisiert werden.

Die meisten Schadprogramme werden über E-Mail Anhänge oder Links verbreitet. Gute Spamfilter löschen diese, wenn doch was durch kommt lösche ich unbekannte Absender sofort! Bei bekannten Absendern sollte man bei Dateianhängen oder Links (besonders Office-Dokumente*) immer vorsichtig sein und im Zweifelsfall die Datei oder den Link nur nach Rücksprache mit der tatsächlichen Person welcher als Absender angegeben ist öffnen. Dann wäre das mit dem Trojaner Emotet nicht passiert. Die Wahrscheinlichkeit ist groß, dass E-Mails von bekannten Gesprächspartnern in bestehenden Konversationen geöffnet werden, siehe auch auf der BSI Homepage Schadsoftware Emotet: Wie kann man sich schützen? Alle E-Mails sollten sicher mit PGP signiert oder sogar verschlüsselt werden, besonders bei Geschäftskunden. Die Signatur dient dazu, die Echtheit der Nachricht zu garantieren. Siehe auch PGP Mail Verschlüsselung.

*JavaScript im PDF-Reader und Office Makros/VBA habe ich deaktiviert, diese aktiviere ich nur temporär bei Bedarf wenn ich mir sicher bin.

SMARTPHONE - heikles Thema!
Android ist besser als iOS, iOS ist besser als Android, na was denn nun  :confused:
Das soll jeder für sich selbst entscheiden, beide Systeme haben Vor- und Nachteile und zum Glück gibt es nicht nur ein System. Gemeinsam bilden diese 2 Riesen leider ein gewaltiges Oligopol. Fakt ist das beide Server in den USA haben und wir keinen trauen können. Beide benutzten als Basis einen quelloffenen Unix-Kernel, das macht diese aber nicht zum echten Open-Source Handy. Ein Smartphone mit Linux wäre eine schöne Sache und die Linux-Community arbeitet schon länger daran. Leider haben sie es schwer gegen Giganten anzukommen, besonders wenn Benutzer deren Messaging-Dienste und Clouds bevorzugen. Auch diese Server stehen oft in den USA und es handelt sich nicht um Open-Source, niemand weiß welche Fehler oder offene Hintertüren solche SW enthält. Wenn die NSA dein Smartphone orten oder Bewegungsprofile erstellen kann, dann weiß der BND das auch. Skandal? Nein, lasst uns lieber von Cookies reden...

WhatsApp und Co bieten eine Ende-zu-Ende-Verschlüsselung und versprechen, dass niemand eure Nachrichten mitlesen kann. Klar, dann können Zitronenfalter Zitronen falten. Zumindest haben diese Dienste all eure Telefonnummern aus der Kontaktliste, teilweise sogar Geheimnummern. Laut deren AGB habt ihr natürlich eine Einverständniserklärungen eingeholt (wer macht das?!), wenn nicht habt ihr euch strafbar gemacht. Private Telefonnummern von mehr als 2 Milliarden Benutzern, das sind dann wahrscheinlich zig Milliarden Telefonnummern. Angeblich findet kein kompletter Adressbuch-Upload statt. Jetzt noch die GPS-Daten und Metadaten von Google & Co sammeln und DIE wissen mehr von euch als Ihr selbst wisst.

Aus datenschutzrechtlicher Sicht sind die Kontaktdaten sehr kritisch, denn der Messenger greift auf alle Telefonnummern zu, auch die selbst kein Whatsapp nutzen! Aber unsere EU beschützt uns lieber vor den bösen Cookies als solch unsinnige AGBs zu verbieten! Den Zugriff auf Kontaktdaten könnt ihr verhindern, jedoch ist das mit einem Komfortverlust bei der Nutzung verbunden und daher macht das kaum jemand. Ein guter Anfang, auf Firmen Smartphones sind solche Messenger verboten oder wird mit einer Zusatzapp getrennt oder einfach per MDM geblockt. Eine interessante Lösung um die Kontakte zu trennen könnte evtl. SecureContact Pro von mobilebox-consulting.de sein.

Die Standortdatenübermittlung (GPS Zugriff) sollte nur während der Nutzung einer App zugelassen werden die das wirklich benötigen und allen anderen Apps per default sperren.

Wie wäre es mit XMPP (Jabber) und Client-seitiger OMEMO-Verschlüsselung? Das ist ein offenes Protokoll und daher eine freie dezentrale Alternative. Beispiel jabber.de wird auf einem deutschen Server mit offener Server-zu-Server Schnittstelle betrieben. Du kannst dich mit jeder XMPP fähigen App zu jabber.de verbinden. Egal welches Gerät und wie viele Endgeräte du nutzt – Smartphone, Tablet, Laptop oder PC. Für Linux z.B. Dino (in Manjaro enthalten), Monal (Open source Messenger) für iOS und macOS

Oder Jitsi-Meet als freie Open-Source Konferenzsoftware welche auch dezentral organisiert ist, z.B.: teamjoin.de.
Nebenbei, Zoom ist nicht DSGVO konform (Link), dagegen ist Jitsi DSGVO konform, denn wo keine Daten erhoben werden gibt es auch nichts zu schützen.

Installiert euch z.B. Pi-Hole mit Unbound oder nutzt wenigstens einen deutschen DNS Resolver ein der verschlüsselt* ist. Der Resolver von dnsforge.de filtert Ad-, Tracking- und Malwaredomains aus und wird wöchentlich neu eingelesen. Funktioniert ab iOS 14 und Android 9 ohne extra App. Bedingt durch Let's Encrypt sollte eine neue signierte Konfigurationsdatei alle 3 Monate herunterladen werden. Schneller Link zum Profil laden und installieren ab iOS 14: dnsforge-doh.mobileconfig (DoH)

*Anfragen werden hier mit DoT oder DoH verschlüsselt und der Internetprovider (ISP) sieht die DNS-Anfragen nicht, jedoch muss der entsprechende Server die Anfragen entschlüsseln und hat diese im Klartext vorliegen. Hier wird auch die Integrität der DNS-Anfragen geprüft (sind die Daten echt?), dies wird bei einem Pi-Hole mit Unbound durch DNSSEC sichergestellt, welcher die Daten auch unverschlüsselt direkt an entsprechende Root DNS-Server einmalig sendet und cached.


Kontrolle unter Einstellungen -> Allgemein -> Profil (kann hier auch entfernt werden):


SUCHMASCHINEN, BROWSER, ROUTER
Google und MS nutzen derzeit eine aggressive und nervige Werbung im Browser und haben nur ein Ziel: Eure Daten!
Eine Alternative wäre evtl. startpage.com oder eine searx Instanz zu nutzen, z.B. Gruble.de. Searx ist eine kostenlose Open Source Internet-Metasuchmaschine, die Ergebnisse von mehr als 70 Suchdiensten zusammenfasst. Benutzer werden weder verfolgt noch profiliert.

Nutzt KEIN Chrome oder Edge-Browser und setzte auf echte Open Source Browser wie z.B. Firefox, Pale Moon oder wenn es sein muss Chromium.

Oft wird Tor für Online-Anonymität genannt, halte diesen für den normalen Benutzer als etwas komplex. Auch ist Tor aufgrund der vielen Server, wegen der IP Verschleierung, technisch bedingt ziemlich langsam.

Wer VPN oder Tor benutzt um seine IP zu verstecken, sollte im Browser WebRTC deaktivieren, jemand könnte damit die wirkliche IP herausfinden. WebRTC ist cool und ermöglicht Anwendungen wie Videokonferenz (z.B. Jitsi Meet). Jedoch kann man mit solch einem Videoanruf de-anonymisiert werden. Im TorBrowserBundle ist das daher deaktiviert. Im Firefox deaktivieren: about:config -> media.peerconnection.enabled = false
Testseite z.B. dein-ip-check.de:


Ihr habt als Router eine Fritzbox? Ab OS 7.2 ist es möglich das ganze Heimnetzwerk zusätzlich via DNS over TLS (DoT) inkl. Filter für Ad-, Tracking- und Malwaredomains zu schützen.

Wie oben erwähnt nervt der EU-Cookie-Irrsinn. Viele Benutzer haben ja schon fast "Angst" davor. Cookies enthalten nur Textinformation und deren Aufgabe ist z.B. die Identifizierung des Surfers per Session-ID, das Abspeichern eines Logins bei einer Webanwendung, Kontaktformular oder das Abspeichern eines Warenkorbs bei einem Online-Händler - also unumgänglich. Ein Missbrauch für das Webtracking von Nutzern ist daher leider auch möglich und lässt sich leicht verhindern indem ihr Cookies von Dritten nicht zulasst und Cookies beim Beenden des Browser automatisch löscht. Die Cookie Warnungen blocke ich dann per uBlock.


PC BETRIEBSSYSTEM (OS)
Windows 10 gilt als einer der größten Datensammler aller Zeiten und ich kann nicht verstehen warum Schulen oder Firmen auf solch ein OS setzen. Es gibt Firmen die mit großen Aufwand ihre Proxy-Server anpassen um diese Datensammlungswut einzugrenzen. Hier gibt es nur eine Alternative und die heißt Linux ohne Fremdquellen von unbekannten Drittanbietern zu nutzen. Zusätzlich lässt sich z.B. ein Internetbrowser oder E-Mail Programm leicht und sicher in einem Container via firejail betreiben. Desweiteren sollte /home auf einer extra Partition liegen und wichtige Daten z.B. per LUKS verschlüsselt sein und nur bei Bedarf entschlüsselt werden. Unter KDE nutze ich dafür Plasma Vault. Ein voll verschlüsseltes System ist leider nicht sicher genug (nur wenn jemand die Festplatte klaut), da ihr beim Anmelden alles entschlüsselt und Emotet oder Konsorten ihr Unwesen treiben könnten. Mit einem Linux Live-Image kommt ihr im Notfall immer an eure Daten. Aktuelle Backups zu haben/pflegen sind obligatorisch, z.B. mit Back In Time.


SMARTHOME
Fast alles was auf dem Markt ist basiert auf Clouds in China oder USA. Ich nutze dafür auf einem Raspberry Pi4 mit Linux die ioBroker Software ohne deren Cloud und ohne Alexa (Spion) nur im heimischen Netzwerk oder extern per VPN.