Pilotenboard.de :: DLR-Test, Lufthansa, AUA, ... :: Infos, Ausbildung, Erfahrungsberichte Foren-Übersicht

 Wiki  ChatChat  FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin   RegistrierenRegistrieren 

IT-Sicherheit und Datenschutz für Jedermann

 
Neues Thema eröffnen   Neue Antwort erstellen    Pilotenboard.de :: DLR-Test, Lufthansa, AUA, ... :: Infos, Ausbildung, Erfahrungsberichte Foren-Übersicht -> Offtopic
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Daedalus737
Captain
Captain


Anmeldungsdatum: 04.01.2012
Beiträge: 246

BeitragVerfasst am: Mi Feb 22, 2017 4:15 pm    Titel: IT-Sicherheit und Datenschutz für Jedermann Antworten mit Zitat

Kaum jemand setzt sich mit dem Thema Sicherheit und Datenschutz eingehend auseinander. Die meisten Menschen nehmen und geben an, dass sie nichts zu verbergen hätten. Dieses ist eine fatale Fehlannahme. Jeder Mensch produziert täglich Daten auch wenn er nichts tut. Unzählige Konzerne, Privatschnüffler, Kriminelle, Datenhändler, die wenig beliebten, berechtigterweise in Verruf geratenen staatlichen Drei-Buchstaben Organisationen und nicht zuletzt Strafverfolger haben einen nie endenden Datenhunger.

Jeder Computer und jedes Smartphone sind als das ausgelagerte Gehirn eines Menschen zu betrachten. Durch die Art und Weise wie die Geräte organisiert sind und was auf ihnen gespeichert ist lassen sich Rückschlüsse auf die Persönlichkeit ziehen. Der Zweck ist das Gewinnen von Informationen zur Profiterhöhung, Strafverfolgung, Terrorabwehr, Aufklärung zur Entscheidungsfindung, Neugier und Erpressung. Daten werden produziert auch wenn nichts geladen oder gespeichert wird, denn es wird so ziemlich alles protokolliert oder vorgehalten um das Benutzererlebnis zu verbessern und Fehlern auf die Spur zu kommen. Insbesondere die Protokollierung ist neben den gespeicherten Dokumenten, Bildern und Videos interessant. Hier lässt sich über längeren Zeitraum nachverfolgen welche Dateien geöffnet und angeschaut worden sind oder wo man sich im Internet aufgehalten hat. Auf fast jedem Gerät wird sich irgendetwas befinden was dort nicht sein dürfte und den Besitzer durch unautorisierten Zugriff Dritter in Schwierigkeiten bringen wird. Eine vermeintlich harmlose Datei kann Juristen und Strafverfolgern ganz schnell den Auftakt eines Ermittlungsverfahrens einleiten oder Kriminellen Tür und Tor zu einer Erpressung öffnen. Und wenn es keine Dateien sind, dann existieren immer noch Kommunikationsspuren, wer wann was mit wem besprochen hat, befreundet oder in irgendeiner Art und Weise in Kontakt steht. Außerdem erstellen viele Geräte bereits bewusst oder unbewusst Bewegungsprofile. Ermittler und Kriminelle erstellen gerne Kontaktprofile, was sich in der Informatik als eine aus Knotenpunkten und Verbindungslinien bestehende Datenstruktur, genannt „Graph“ darstellt. Es kann in jedem Fall unangenehm werden, wenn man selbst zu einem Knotenpunkt durch bestimmte Personenkontakte wird. Nicht selten führen Justizirrtümer durch mangelhafte oder gar keine Sachlageprüfung und Ermittlungspannen zu Polizeieinsätzen gegen Unschuldige. Hierbei kann es bei den beschlagnahmten Geräten und Medien zu Zufallsfunden kommen, die sonst nie zu Tage gekommen wären. Ob das zufällig gefundene Material dann strafrechtlich relevant ist, liegt im Ermessen der Strafverfolger. Selbst wenn überhaupt nichts gefunden wird, lassen sich aus der Organisation des Gerätes Persönlichkeitsmerkmale und psychologisches Profil ableiten, da wie bereits erwähnt man ein Smartphone, Tablett oder Computer als ausgelagertes Gehirn betrachten kann. Um diesen datenapokalyptischen Szenarien gelassen entgegen zu treten haben zum Graus der Dateninteressenten Mathematiker und Informatiker Verschlüsselungstechniken erfunden, die es zu konfigurieren und nutzen gilt. Es ist nicht möglich auf alle verfügbaren Verschlüsselungs- und Systemhärtungstechniken einzugehen. Deswegen sei dies anhand eines Microsoft Windows 10 PC’s beispielhaft demonstriert.

Zunächst muss überlegt werden welche Angriffsszenarien drohen. Zu diesen zählen:
• Trojanereinschleusung
a. Über verseuchte E-Mail
b. Über verseuchte USB-Sticks
• Soziale Manipulation, Fachbegriff „Social Engineering“, mit Ziel Zugang zu erhalten
a. Vortäuschung falscher Identitäten
b. Ausspionieren des persönlichen Umfeldes und sozialer Netzwerke
c. Ausnutzen von Verhaltensweisen
• USB-Angriff
a. Mit sogenannten „Rubberduckys“, USB-Sticks, die sobald eingesteckt eine Verbindung mittels Mobilfunknetz oder Netzwerkverbindung zum Angreifer herstellt. Dieser erhält damit vollständige Kontrolle über den PC. Diese werden sehr gerne absichtlich verloren und strategisch platziert. Mindestens eine Person wird ihre Neugierde auf den Inhalt nicht beherrschen und ihn einstecken.
b. USB-Stick mit speziellem Betriebssystem liest den Arbeitsspeicherinhalt vom vorherigem Systemstart aus und speichert ihn als Abbild. Der Speicherinhalt bleibt selbst nach dem Abschalten für einen kurzen Zeitraum erhalten. Aus diesem lassen sich später Passwörter und Schlüssel extrahieren.
• DMA-Angriff ebenfalls mit dem Ziel den Arbeitsspeicher auszulesen. Dieser erfolgt während des Systemstarts oder normalen Betrieb.
a. Über die FireWire IEEE 1394 Schnittstelle
b. Über die Thunderbolt Schnittstelle
c. Über den PCI-Bus
Alle drei Schnittstellen führen direkt ohne Umwege zum Arbeitsspeicher.

Um diesen Szenarien wirksam entgegenzuwirken sind Wachsamkeit, Disziplin und technische Eingriffe erforderlich.

Für Angriffe über E-Mail sollten nicht angeforderte oder angekündigte Anhänge nicht geöffnet werden. Was aussieht wie ein Bild oder Archiv kann tatsächlich eine ausführbare Datei mit Schadcode sein. Auch „Social Engineering“-Angriffe finden großenteils über E-Mail statt. Weiterleitungen, sogenannte „Links“ führen häufig zu präparierten Seiten um Zugangsdaten abzugreifen.
Um dem Social Engineering zu entgehen sollte darauf geachtet wie wahrscheinlich die Ehrlichkeit, das Anliegen oder die Absicht ist. Wenn etwas zu schön ist um wahr zu sein, dann ist mit Sicherheit etwas faul. Also gilt wie beim Überholen mit dem Auto: Im Zweifel NICHT! Prinzipiell wird nach persönlichen Schwächen, Ängsten, Nöten, Angriffspunkten und Unwissenheit gesucht, welche dann zur Informationsbeschaffung schamlos ausgenutzt werden. Was in sozialen Netzwerken veröffentlicht wird sollte sorgsam überlegt werden und ein Leben ohne ist auch möglich. Man wird überrascht sein, wie viel Zeit man plötzlich hat und um wie viel weniger man sich über irgendetwas aufregt. Jeder Kinderschänder und Heiratsschwindler bedient sich dem Social Engineering bevor er zuschlägt. Nun ist natürlich nicht jeder nette, charmante, vornehme und hilfsbereite Mensch ein solcher Krimineller, hier muss mit Differentialdiagnose getrennt werden. Manchmal ist auch der scheinbar Böse der Gute und umgekehrt. Jede Vernehmung durch Strafverfolger ist ebenfalls als Social Engineering zu werten!

Um seinen PC vor physischen Angriffen zu schützen müssen einige Einstellungen vorgenommen werden. Das Ziel ist es einen verschlüsselten PC zu erhalten, der es Angreifern schwierig bis unmöglich macht Zugriff zu erlangen. Bei Angreifern wird zwischen Kriminellen, Geheimdiensten und Strafverfolgern nicht unterschieden. Die Vielfalt von Betriebssystem und deren individuellen Mechanismen würden den Rahmen hier sprengen und daher werde ich mich hier auf Windows 10 Pro, Version 1607 beschränken. Im Gegensatz zu seinem Ruf bietet dieses die Festplattenvollverschlüsselung durch Bitlocker, welche sich auch für externe Laufwerke und USB-Sticks anwenden lässt. Um Bitlocker in Betrieb zu nehmen werden zwei Dinge benötigt: Ein TPM oder USB-Stick. Das Erlauben eines USB-Sticks zur Speicherung des Systemstartschlüssels muss in der Gruppenrichtlinie freigeschaltet werden. Bei einem TPM handelt es sich um einen Sicherheitsbaustein der bereits verbaut ist oder nachträglich nachgerüstet werden kann. Bei der Auswahl eines TPM sollte man darauf achten, dass es sich möglichst um einen Baustein der Version 2.0 handelt, jedoch funktionieren die veralteten 1.3er auch noch. Ein TPM erzeugt und speichert Schlüssel sowie prüft auf Hardwareveränderungen. Wurde etwas verändert, wird der Schlüssel nicht freigegeben. Meist muss das TPM über das BIOS aktiviert werden.

Nun kann über SystemsteuerungSystem und SicherheitBitLocker-Laufwerkverschlüsselung die Verschlüsselung eingerichtet und durchgeführt werden.

Doch Moment, dies erlaubt nur eine Minimalverschlüsselung mit einem 128Bit Schlüssel. Um die Verschlüsselungsstärke und Sicherheit zu erhöhen müssen einige der sogenannten Gruppenrichtlinien geändert werden.

Die Ziele dieser Änderung sind:
• Erhöhung der Verschlüsselungsstärke auf AES-256-Bit, AES-256-Bit mit Diffuser oder XTS-AES-256-Bit
• Möglichkeit, ein USB-Stick zur Systemstartschlüsselaufbewahrung zu benutzen, falls keine TPM verfügbar ist.
• Möglichkeit eine Systemstart-PIN einzustellen
• Reduzierung von Anmeldeversuchen
• Systemsperrung nach Überschreiten der zulässigen Anmeldeversuche
• Abschalten von Speicherdirektzugriffsschnittstellen während des Startvorganges

Dazu gibt man im Suchfeld der Systemsteuerung „Gruppenrichtlinie“ ein oder ruft „gpedit.msc“ über die Kommandozeile, Powershell oder Cortana auf.

Nun werden folgende Gruppenrichtlinien geändert:
Richtlinien für lokaler Computer
 Computerkonfiguration
 Administrative Vorlagen
 Windows-Komponenten
 Bitlocker-Laufwerksverschlüsselung
• Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen (Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows 10 [Version 1507])
 Aktiviert
 Verschlüsselungsmethode auswählen: AES-256-Bit
• Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen (Windows 10 [Version 1511] und höher)
 Aktiviert
 Verschlüsselungsmethode für Betriebssystemlaufwerke auswählen: XTS-AES 256-Bit
 Verschlüsselungsmethode für Festplattenlaufwerke auswählen: XTS-AES 256-Bit
 Verschlüsselungsmethode für Wechsellaufwerke auswählen: XTS-AES 256-Bit
• Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
 Aktiviert
 Verschlüsselungsmethode auswählen: AES-256-Bit mit Diffusor
 Betriebssystemlaufwerke
• Zusätzliche Authentifizierung beim Start zulassen
 Aktiviert
 Bitlocker ohne kompatibles TPM zulassen (hierfür ist ein Kennwort oder ein USB-Flashlaufwerk mit Systemstartschlüssel erforderlich)
 TPM-Start konfigurieren: TPM zulassen
 TPM-Systemstart-PIN konfigurieren: Systemstart-PIN bei TPM zulassen
 TPM-Systemstartschlüssel konfigurieren: Systemstartschlüssel bei TPM zulassen
 TPM-Systemstartschlüssel und -PIN konfigurieren: Systemstartschlüssel und PIN bei TPM zulassen

 Windows Einstellungen
 Sicherheitseinstellungen
 Kontorichtlinien
 Kontosperrungsrichtlinien
• Kontensperrungsschwelle: 5 – 10
• Kontosperrdauer: 0
• Zurücksetzungsdauer des Kontosperrungszählers: 99999

Nun kann mit der Laufwerksverschlüsselung begonnen werden. Ein vorhandenes TPM erlaubt einen Systemstart-PIN (auch Pre-Boot Authentifizierung genannt). Diese Option sollte unbedingt genutzt werden, da erst nach korrekter PIN-Eingabe das TPM den Systemstartschlüssel nach Prüfung auf unveränderter Hardware freigibt. Hierdurch wird die Möglichkeit des Auslesens des Schlüssels durch Angreifer aus dem Speicher während des Startvorgangs durch Speicherdirektzugriffsschnittstellen gänzlich ausgeschlossen.

Ein nicht vermeidbarer, physikalischer Effekt ist, dass der Speicherinhalt selbst nach dem Abschalten noch für eine kurze Zeitspanne, abhängig von Temperatur und Speichertyp erhalten bleibt.
Einige Betriebssysteme löschen den Inhalt des Arbeitsspeichers beim Herunterfahren nicht oder eine Löschung findet durch nicht ordnungsgemäßes Herunterfahren oder panisches Stromunterbrechung (Stecker ziehen, Sicherung abschalten, Kurzschlussstecker) nicht statt. Um hier das Auslesen des Speichers über ein forensischen USB-Stick zu verhindern sollte ein Systemstartkennwort im BIOS eingerichtet werden.

Eine weitere Sicherung die einzubauen ist, ist das Abschalten der Speicherdirektzugriffsschnittstellen während des Startvorganges. Hierzu muss ein Eintrag in der Registrierung bearbeitet oder hinzugefügt werden. Die Registrierung wird bearbeitet in dem über Cortana, Kommandozeile oder Powershell der Befehl „regedit.exe“ eingegeben wird. Nun muss folgender Schlüssel gefunden werden:

HKEY_LOCAL_MACHINE
 SOFTWARE
 Microsoft
 PolicyManager
 current
 device
 DataProtection
• AllowDirectMemoryAccess: 0

Falls dieser nicht vorhanden ist, muss er als DWORD-32 Wert angelegt werden.

Am Ende hat man nun 3 Authentifizierungsschritte, die alle verschiedene PIN’s bzw. Kennwörter enthalten sollten. Dies ist natürlich unbequem, aber für Sicherheit und Datenschutz unabdingbar. Ein noch so stark verschlüsseltes System ist sinnlos, wenn die Schlüssel offen herumliegen oder erreichbar sind.

Außerdem ist es möglich die angeschlossenen USB-Geräte wie Festplatten oder Sticks dem Betriebssystem „anzulernen“. Dabei wird eine Liste von erlaubten Geräten angelegt und alle anderen, wie z.B. fremde USB-Sticks abgelehnt.

Sollten Datensicherungen angefertigt werden, so ist es selbstverständlich, dass diese ebenfalls verschlüsselt werden sollten. Hierzu gibt es USB-Sticks namhafter Hersteller, die militärische Standards erfüllen und bei überschrittenen Fehleingaben die Selbstzerstörung auslösen.
Es ist ohnehin ratsam Daten getrennt von seinem PC aufzubewahren, wie z.B. auf USB-Sticks, externe Festplatten, NAS-Server. So kann man Schäden durch sogenannte Verschlüsselungstrojaner in Grenzen halten.

Mit Fachwissen ist es möglich auf Festplatten HPA und DCO Bereiche anzulegen.

HPA: Host Protected Area – ATA geschützter Bereich, ist ein reservierter Bereich für die Speicherung von Daten außerhalb des normalen Dateisystems. Dieser Bereich wird vor dem Dateisystem und dem Betriebssystem - und somit auch vor Formatierungs- und Partitionierungsprogrammen - versteckt und ist für diese nicht erreichbar.
Für Strafverfolgungsbehörden, Ermittler und Forensik-Experten ist die Erkennung und Auswertung von Host Protected Areas (HPA) sehr interessant. Zum einen können vom Beschuldigten mittels HPA bewusst Bereiche der Festplatte ausgeblendet und Daten versteckt worden sein. Zum anderen können sich in den "versteckten" Bereichen der Festplatte verwertbare Spuren und Beweise finden lassen, wenn dem Beschuldigten HPA nicht bekannt gewesen ist oder er HPA aus technischen Gründen nicht modifizieren kann.

DCO: Device Configuration Overlay – Mit dem Device Configuration Overlay (DCO) ist es möglich, bestimmte in den Identify-Informationen einer Platte gemeldete Werte zu beeinflussen. So können beispielsweise die Feature-Bits für einzelne DMA-Modi, SMART-Features, AAM oder HPA deaktiviert oder die gemeldete Größe der Platte reduziert werden.

Es ist außerdem anzuraten sein Handy zu verschlüsseln und dabei nicht die zusätzlich eingesetzte Speicherkarte zu vergessen.

Wer anonym im Internet unterwegs sein möchte, dem sei die Verwendung des sogenannten TOR-Browsers nahegelegt. Der TOR-Browser verbindet sich mit einer speziellen Netzwerkarchitektur wo der Datenverkehr über mehrere Knoten umgeleitet wird, von denen diese nur ihren nächsten Nachbarn kennen. Das heißt im Wesentlichen, dass die aufgerufene Seite, bzw. der dahinterliegende Server keine Ahnung hat wer die Seite aufgerufen hat. Der Verkehr wird verschlüsselt und verschleiert.
Für E-Mail bietet sich der kostenlose, anonyme E-Mail Dienstes „ProtonMail“ in der Schweiz an.

Sollte jemand Opfer einer Hausdurchsuchung oder Beschlagnahme werden ist entgegen den Aussagen von Herrn Richter von der Polizei keinesfalls eine PIN oder ein Kennwort herauszugeben. Jedoch um Zufallsfunde und Verwüstung zu vermeiden ist es ratsam die gesuchten Gegenstände herauszugeben. Auch sollte möglichst geschwiegen werden, da die Beamten über taktisch geschickte Rhetorik versuchen werden Hinweise auf PIN’s und Passwörter zu erhalten. Der Maßnahme ist auf jeden Fall zu widersprechen und auf dem Protokoll darf man mit der Durchsicht der sichergestellten Datenträger NICHT einverstanden sein. Die Folge ist, dass die Beamten die Datenträger bei der Staatsanwaltschaft abliefern müssen und nicht selbst durchsehen dürfen. Dies gibt einem Rechtsanwalt ein Zeitfenster um die Widerrechtlichkeit feststellen zu lassen und mögliche Zufallsfunde zu verhindern. Ein Einverständnis beschleunigt keinesfalls die Rückgabe. Allgemein sollte Verhaltensratschlägen von Rechtsanwälten zu Durchsuchungen und Beschlagnahmen mehr Vertrauen als denen der Polizei entgegenbracht werden. Unabhängig ob das Ursprungsverfahren zu Recht oder Unrecht geführt worden ist, bei einer Beschlagnahme beruft sich die Justiz auf folgendes Konstrukt: „Wenn der Erfolg einer Beschlagnahme durch Verzögerung gefährdet ist, ist Gefahr im Verzuge“. Was für den Normalbürger absurd klingt, sichert in den Strafverfolgungsbehörden die Einigkeit und vermindert die Chance auf Disziplinarverfahren gegen die Beamten. Jeder, der zur falschen Zeit am falschen Ort ist, kann auch als Unbeteiligter Opfer einer polizeilichen Maßnahme werden.

Wer sich tiefergehend mit den forensischen Möglichkeiten auseinandersetzen möchte, der möge nach Begriffen wie
• Volatility Foundation
• Autopsy / The Sleuth Kit
• Kali Linux
suchen.

Als alternatives Betriebssystem ist Qubes OS zu empfehlen
https://www.qubes-os.org/

Damit es keine Missverständnisse gibt, es handelt sich hier nicht um Tipps für Kriminelle. Für Journalisten in Ländern wie der Türkei oder China und allen autokratischen Staaten können solche Tipps bereits zwischen Freiheit und Gefängnis entscheiden. Die forensische Datenauswertung ist nicht Strafverfolgungsbehörden und Geheimdiensten vorbehalten, sondern können mit Sachverstand von jedermann betrieben werden.
_________________
_________________
Baumwurzelschule 06/95 - Check
Doofmann's Gehilfe, Anwärter 06/95 - Check
Baumschule 07/97 - Check
Puck die Scheißhausfliege 01/03 - Check
Revolutionsführer 07/09 - Check
Shrimp-Kutter Kapitän auf großer Fahrt 07/17 -
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
   
Neues Thema eröffnen   Neue Antwort erstellen    Pilotenboard.de :: DLR-Test, Lufthansa, AUA, ... :: Infos, Ausbildung, Erfahrungsberichte Foren-Übersicht -> Offtopic Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.