Sicherheit

Beiträge, die sich mit der Sicherheit im Internet beschäftigen.

Docker: Hinweise in puncto Sicherheit

Ist Docker wirklich Sicher?

Docker erfreut sich immer höherer Beliebtheit und gilt als sicher, doch stimmt das wirklich?

Docker dient in erster Linie dazu Anwendungen (meist Server-Anwendungen) einzukapseln und vom Rest des Betriebssystems zu entkoppeln. Dabei wird auf den Linux Kernel vom Host-System zurückgegriffen und mittels cgroups und namespaces die Möglichkeiten des Docker-Containers eingeschränkt.

Container sind dabei kein Mittel um Anwendungen sicherer zu machen, sondern dienen in erster Linie dazu skalierbare Dienste bereit zu stellen. Sie haben jedoch den Vorteil, dass Anwendungen vom Rest des Systems entkoppelt sind, mehr dazu aber später.

Das Prinzip von Containern

Ein Container ist sehr grob gesagt eine leichtgewichtige VM (virtual machine). Er enthält ebenfalls ein virtuelles Betriebssystem besitzt jedoch eine andere Virtualisierungsebene als eine VM. (mehr …)

WhatsApp und Co.: Messenger vs. Sicherheit

Messenger Apps gibt es viele, doch welche kann man sicher nutzen?

Die Auswahl an Messenger Apps ist groß, doch auf Sicherheit wird leider wenig geachtet. Welche Apps kann man jetzt gefahrlos nutzen und welche nicht?

Wer benutzt heute keine Messenger Dienste? Richtig: Niemand. Von XMPP, IRC, ICQ und Skype hin zu mobilen Clients wie WhatsApp, Threema, Signal oder Telegram oder auch Facebooks Messenger sind alle Arten in den letzten Jahren vertreten gewesen. Heute werden jedoch nur noch wenige davon genutzt, wie etwa WhatsApp, Skype oder der Facebook Messenger.

Viele Messenger verschlüsseln nicht

Man sollte meinen, dass seit den Snowden-Enthüllungen jeder große Dienst im Internet begriffen hat, dass Sicherheit in all seinen Fassetten ein sehr wichtiger Bestandteil ist. Leider ist dieser Gedanke noch nicht bei allen angekommen. (mehr …)

WhatsApp: Endlich ganze Sachen mit Ende-zu-Ende Verschlüsslung

WhatsApp verschlüsselt nun alles

WhatsApp verschlüsselt nun alle Nachrichten, Telefonate und Anhänge per Ende-zu-Ende Verschlüsselung.

Wer bisher über WhatsApp Nachrichten verschickt hat, der konnte nie wirklich sicher sein, dass sie auch per Ende-zu-Ende Verschlüsselung gesichert waren. Zwar wird schon seit geraumer Zeit verschlüsselt, jedoch nur bei Android und auch nur bei bestimmten Versionen (zu alte Clients verschlüsselten nicht). Auch gab es bisher keine Anzeige, die eine vorhandene Ende-zu-Ende Verschlüsselung gekennzeichnet hätte.

Das hat sich nun geändert: WhatsApp verschlüsselt nach eigenen Aussagen alles mit einer Ende-zu-Ende Verschlüsselung, sodass FBI, NSA und auch WhatsApp selbst die Nachrichten nicht mehr lesen können. Unterstützt wird das aber erst ab Version 2.16.9, also alle schnell updaten.

WhatsApp benutzt Elliptische Kurven und AES256

Hauptsächlich zum Einsatz kommt die Elliptische Kurve Curve25519, der Verschlüsselungsalgorithmus AES256 und die Hash-Funktion SHA-256. Der AES-Algorithmus erledigt die Hauptarbeit beim verschlüsseln, denn Nachrichten und Anhänge werden darüber Abgewickelt. Dabei gibt es eine Vielzahl von Mechanismen zum absichern der Verschlüsselung.

Für jede Nachricht wird über die Curve25519 ein neuer Message Key generiert, der diese dann verschlüsselt. Der Message Key ändert sich zudem bei jeder Nachricht, sodass ein Angreifer mit einem gecrackten Key auch nur eine Nachricht entschlüsseln kann und nicht die gesamte Konversation.

Auch Gruppennachrichten, Anhänge (Bilder, Videos, Sprachnachrichten, etc.), sowie Telefonate werden ebenfalls Ende-zu-Ende verschlüsselt. Zudem wird der Nutzer durch ein Icon davon in Kenntnis gesetzt, dass die Verschlüsselung aktiv ist. Ist das Icon nicht da, so ist die Verbindung unverschlüsselt.

Teilweise Open Source

(mehr …)

IMHO: Windows 10 weiterhin ohne Privatsphäre

Linux-vs-windows

Microsoft macht weiterhin Schlagzeilen im Bereich der Datenerfassung und zeigt wenig Besserung.

Ich hatte eigentlich gehofft, dass mein erster Teil über die Benutzbarkeit von Windows 10 der einzige bleibt, doch leider mach Microsoft weiter Schlagzeilen. Auch dieses mal muss man sich ernsthaft fragen, was in Redmond so vor sich geht.

Windows 10 Update löscht Anwendungen

Eigentlich sollen Updates ja Fehler beheben und neue Funktionalität in bestehende Software einbauen. Genau das Gegenteil passiert bei kritischen Updates, wie dem großen November Update, bei dem einfach mal Programme gelöscht werden. Zwar sind die Einstellungen und sonstige Dateien (etwa im /AppData/Roaming/ oder Eigene Dateien-Ordner) weiterhin vorhanden, jedoch fehlen die eigentlichen Programmdaten, was einer Deinstallation gleich kommt.

Windows 10 tut das, um die Stabilität des Systems zu gewährleisten, die durch veraltete Programme gegebenenfalls gefährdet wird. Programme wie etwa die bekannten Analysetools Speccy, HWMonitor, CPU-Z, usw. (welche alle Zugriff auf Hardware-nahe Komponenten haben) werden vom Windows-Update Prozess kurzerhand entfernt. Dies mag ja für Nutzer, die veraltete Software benutzen und wenig Ahnung darüber haben, nützlich sein, aber für die Nutzer solcher Analysetools (also Nutzer mit einem Minimum an Grundverständnis über Updates und aktuelle Software) ist das eigentlich überhaupt nicht nötig.

Auf reddit wurde dies ausgiebig diskutiert und ich sehe es wie viele andere Nutzer auch:
Microsoft macht sich hier wieder mal keinen Kopf darum, was Nutzerfreundlich ist oder nicht. Sie entwickeln ein Update-System, bei dem Windows anscheinend droht, abzustürzen/instabil zu werden, wenn Software veraltet ist. Außerdem sorgt es dafür, dass der Rechner drei mal neu starten muss, um Updates zu installieren. Wer aus der Unix-Welt kommt, kennt solche Probleme nicht: Hier gibt es Praktiken, Kernel eines laufenden Systems zu Updaten ohne ein einziges mal neu starten zu müssen – bei Windows muss man das schon nach einem Office-Update.

Windows 10 spioniert trotz richtiger Einstellungen

(mehr …)

Warum SHA-1 unsicher ist

SHA-1 ist unsicher und sollte ersetzt werden

Der Hashingalgorithmus SHA-1 gilt als unsicher und sollte ersetzt werden. Doch warum eigentlich? Hier sieht man den Grund: Unterschiedliche Nachrichten generieren den selben Hash-Wert.

Schon seit längerem gilt der Hashing-Algorithmus SHA-1 als unsicher und sollte durch SHA-2 oder SHA-3 ersetzt werden. Was macht aber SHA-1 zu einem unsicheren Hash-Verfahren und wie hat man das herausgefunden?

Das Lustige an der Sache: SHA bedeutet secure hash algorithm, was in diesem Zuge doch recht ironisch ist.

Was Hash-Verfahren sind

Hash-Verfahren erzeugen aus einer Menge an Daten eine scheinbar willkürliche Folge an Bits. So wird durch SHA-1 beispielsweise aus dem Wort curi0sity die Zeichenfolge e544b48a746e297c9a10957ff0cf433cb41073d9. Ändert man nun ein Zeichen, also Curi0sity (großes statt kleines C am Anfang), so ändert sich der Hash-Wert komplett zu 5eed9a4940371dadad8119be0f9f32d94e52296c. Kleine Änderung, große Wirkung.

Genutzt werden Hash-Werte z.B. um zu überprüfen ob eine Datei richtig übertragen wurde. Der Sender stellt die Datei und den Hash bereit und der Empfänger bildet den Hash der empfangenen Datei. Sind die Werte identisch, so war die Übertragung mit sehr hoher Wahrscheinlichkeit erfolgreich. Sind die Werte nicht identisch, so war die Übertragung definitiv nicht erfolgreich.
Auch werden von Passwörtern erst die Hash-Werte bestimmt und diese dann übertragen oder gespeichert, sodass Hacker, die den Netzwerkverkehr mitschneiden, das Passwort nicht als Klartext haben. Sie haben somit nur den Hash-Wert, aus dem sich die originale Zeichenkette nicht wieder herstellen lässt (jeden Falls nicht mit einfachen mitteln und in kurzer Zeit).

Skizze einer Hash-Funktion

Skizze einer Hash-Funktion. Die Eingaben „John Smith“ und „Sam Doe“ erzeugen hier den selben Hash-Wert – dies bezeichnet man als Kollision.

Wann ist ein Hash-Algorithmus „gebrochen“?

(mehr …)