Schlagwort-Archiv für: Sicherheit

Wegen der Sicherheit

09 Aug 2012
9. August 2012

Diese Woche sorgte die Geschichte eines Journalisten, dessen digitales Leben durch einen Hack weitgehend ausgelöscht wurde, für reichlich Schlagzeilen. Ich möchte hier nicht nochmal alle Einzelheiten zusammentragen, wobei die komplette Geschichte allerdings wirklich sehr lesenswert und hochinteressant ist. Die Kurzfassung ist, dass es den Angreifern gelang durch Recherchen und durch Eindringen in sein Amazon-Konto so viele Daten zusammenzutragen, dass der telefonische Apple-Support überzeugt werden konnte, ein neues iCloud-Kennwort herauszugeben – und zwar ohne die für solche Zwecke eigentlich vorhandene Sicherheitsfrage, die man bei der Erstellung einer Apple-ID konfiguriert, zu beantworten.

Das hatte weitreichende Folgen, denn über die entsprechenden iCloud-Funktionen wurden dann das Notebook, das iPhone und das iPad des betroffenen Journalisten aus der Ferne gelöscht. Der Schaden war um so größer, da es von dem MacBook kein Backup gab, obwohl es unwiderbringliche Daten wie z.B. Fotos von der Tochter enthielt. Ferner konnten über Kennwort-Rücksetzfunktionen von Online-Diensten weitere Benutzerkonten übernommen werden, viel schlimmer konnte es also nicht kommen.

Fernlöschen

Ich erwähne diese Geschichte hier, weil ich mich mit der Frage beschäftigen möchte, was wir tun können, um uns vor solchen oder ähnlichen Angriffen zu schützen. Natürlich trifft Apple hier ein Mitverschulden, was dazu geführt hat, dass die entsprechenden Prozeduren dort nun eingehend überprüft werden. Um so wichtiger ist es, selber Maßnahmen zu treffen. Hier meine Tipps:

  • Backups: Das ist die Vorkehrung, die hier den Schaden minimiert hätte. Man kann gar nicht genug betonen, wie wichtig Datensicherungen sind. Kein Betriebssystem macht einem das Sichern der Daten so einfach wie OS X mit seiner Time-Machine-Funktion. Wer das nicht nutzt, spielt mit seinen Daten. Idealerweise hat man mehrere Backups. Neben einem Time-Machine-Backup empfiehlt es sich, z.B. regelmäßig die Rechner-Festplatte zu klonen, bei mir hat sich hierfür das Programm SuperDuper! bewährt, es gibt natürlich auch andere Lösungen dafür. Um sich perfekt abzusichern, sollten nicht alle Backups am selben Ort wie der gesicherte Rechner lagern. Das schützt vor Diebstahl durch Einbruch oder Komplettverlusten durch Feuer und andere Katastrophen. Seit Mountain Lion unterstützt OS X Time-Machine-Backups auf mehreren Platten – ohne dass dazu jedesmal die Konfiguration geändert werden muss. Ideal, wenn man seinen Rechner sowieso an verschiedenen Orten nutzt, wie z.B. zu Hause und im Büro. Time-Machine-Backups können – genau wie die internen Platten eines Macs – sogar verschlüsselt werden, ein wichtiger Sicherheitsgewinn beim Diebstahl solcher Systeme. Durch die Nutzung eines Bilderdienstes – wie in meinem Fall Flickr – habe ich für meine Fotos eine weitere Sicherungsschicht. Alle Bilder werden dort in der Originalgröße gespeichert, wobei natürlich individuell festgelegt werden kann, ob und welche Aufnahmen öffentlich sichtbar sind.
  • Kennwörter: Kennwörter sollten lang und individuell sein, d.h., für jeden Dienst ein anderes Kennwort verwenden. Mit dem Programm 1Password, welches ich sehr empfehlen kann, existiert ein Werkzeug, mit dem sich diese Strategie sehr gut umsetzen läßt. Wir brauchen uns nur noch ein Kennwort zu merken (das 1Password-Masterkennwort), alle anderen können wir dem Tool entnehmen. Das spart auch eine Menge Zeit bei der täglichen Arbeit, da uns die Software künftig automatisch in Kennwort-geschützte Webseiten einloggen kann. 1Password sollte man nicht nur auf einem System haben, um im Falle eines Rechnerverlusts weiterhin Zugriff auf die Daten zu haben. Es gibt z.B. Versionen für iPhone und iPad, eine Synchronisation der Geräte ist über WLAN möglich.
  • iCloud: Das iCloud-Kennwort sollte besonders sicher sein, da mit diesem, wenn es in die falschen Hände gerät, wie wir gesehen haben, ein großer Schaden angerichtet werden kann. Antworten auf Sicherheitsfragen sollten nicht leicht rauszubekommen sein. Ich empfehle hier, nicht die wirkliche Antwort auf eine Frage zu hinterlegen, sondern auch zufälligen Text, der z.B. dann ebenfalls in 1Password eingetragen wird. Ob die Funktion zum Fernlöschen des Rechners überhaupt aktiviert werden sollte, muss man sich – insbesondere bei verschlüsselter Platte – gut überlegen.
  • E-Mail-Kennwörter: Auch diese sollten sehr sicher sein. Durch Übernahme eines E-Mail-Kontos kann der Zugang zu vielen anderen Diensten erlangt werden, da Kennwort-Resets in der Regel über E-Mails abgewickelt werden.
  • Updates: Ich empfehle Macs und iOS-Geräte, was die Software betrifft, auf dem aktuellen Stand zu halten, da Updates – insbesondere des Betriebssystems – in vielen Fällen Sicherheitslücken schließen.

E-Mails signieren und verschlüsseln

06 Jan 2012
6. Januar 2012

Der Internet-Standard für E-Mails ist alt, sehr alt, deutlich älter als das Web. Mit E-Mails haben wir daher viele Probleme, zwei davon wollen wir heute angehen. Ein Problem ist, dass wir nicht wissen, ob der Absender wirklich der Absender ist. Die entsprechenden Header sind sehr leicht zu fälschen. Ein anderes Problem ist, dass die Nachrichten selbst nicht verschlüsselt sind. Teile der Transportwege sind heutzutage zwar verschlüsselt, aber nicht alle und nicht die Ablage auf den Mail-Servern. E-Mails haben daher – wenn wir den Vergleich zur realen Welt ziehen (also da, wo der Pizzamann immer herkommt) – im Prinzip Postkarten-Charakter.

Die Lösung für beide Probleme unter OS X und iOS lautet S/MIME, ein Standard für E-Mail-Signatur und -Verschlüsselung. Es existiert ein weiterer Standard PGP/GPG, dessen Einsatz jedoch zumindest unter Lion problematisch und unter iOS nicht möglich ist, daher wird es hier ausschließlich um S/MIME gehen.

Um S/MIME einzusetzen brauchen wir für jede E-Mail-Adresse ein Zertifikat. Ein kostenloses Zertifikat können wir z.B. von Comodo bekommen. Nach dem Ausfüllen des recht kurzen Formulars bekommen wir alle weiteren Infos zum weiteren Prozedere per E-Mail:

smime1

Mit dem festzulegenden „Revocation Password“ können wir das Zertifikat widerrufen (falls wir z.B. glauben, es wäre kompromittiert worden). Ich habe mir das Kennwort als sichere Notiz in 1Password eingetragen.

Mit Hilfe der E-Mail, welche wir von der Zertifizierungsstelle bekommen, können wir das Zertifikat auf dem Mac herunterladen. Es handelt sich um eine Datei mit der Endung „.p7s“. Durch Doppelklick dieser Datei importieren wir das Zertifikat in die Schlüsselbundverwaltung. Bei dieser handelt es sich um eine mitgelieferte App im Ordner Programme/Dienstprogramme.

smime2

Nach Neustart der Mail-App stehen im Nachrichten-Editor in der Von-Zeile rechts zwei neue Schaltflächen zur Verfügung (verschlüsseln und signieren). Signieren geht immer (sollten wir künftig auch immer machen), verschlüsseln geht nur, wenn uns der Empfänger schonmal eine signierte E-Mail geschickt hat. In diesem Fall speichert Mail.app automatisch die Signatur unseres Kontakts und verwendet diese für künftige Verschlüsselungen:

smime3

Wenn wir selber verschlüsselte oder signierte E-Mails erhalten kennzeichnet Mail.app das entsprechend. Verschlüsselte Nachrichten werden für uns automatisch entschlüsselt.

smime4

Nun müssen wir iOS noch mit unserem Zertifikat versorgen. Als Beispiel nehme ich dazu ein iPhone, auf dem iPad ist die Vorgehensweise analog. Zuerst müssen wir das Zertifikat in ein Format exportieren, welches das iPhone importieren kann. Dazu brauchen wir wieder die Schlüsselbundverwaltung. Dort markieren wir den Eintrag mit der E-Mail-Adresse und dem zugehörigen privaten Schlüssel und klicken auf Ablage > Objekte exportieren… Wir speichern die Datei im „.p12“-Format:

smime5

Dabei müssen wir ein Kennwort festlegen, welches diese Datei schützt:

smime6

Außerdem müssen wir den Export mit unserem Anmeldekennwort autorisieren:

smime7

Nun schicken wir diese Datei per E-Mail an unser iPhone:

smime8

Wir tappen auf den Anhang:

smime9

Danach 2x auf „Installieren“ (es kommt eine Sicherheitsabfrage, die darauf hinweist, dass das Zertifikat nicht signiert ist, was in diesem Fall OK ist). Jetzt werden wir nach dem Sperrcode des iPhones gefragt:

smime10

Danach nach dem Kennwort, mit dem wir das Zertifikat zuvor auf dem Mac geschützt haben:

smime11

Nun ist das Zertifikat installiert. Jetzt müssen wir in die Einstellungen des betreffenden E-Mail-Kontos gehen (Einstellungen-App > Mail, Kontakte, Kalender > betreffende E-Mail-Adresse). Auf diesem Bildschirm tappen wir unten auf „Erweitert“ und scrollen wieder nach ganz unten:

smime12

Dort schalten wir „S/MIME“ ein und können nun festlegen, ob Mails signiert bzw. entschlüsselt werden sollen:

smime13

Abschließend gehen wir einen Bildschirm zurück und speichern die Änderungen mit Hilfe des Buttons „Fertig“ oben rechts. Es gibt leider nur diese globale Einstellung. Wir können das nicht wie auf dem Mac für jede E-Mail individuell machen. Die iOS-Mail-App speichert auch keine Zertifikate von Absendern automatisch. Wir müssen auf den Absender tappen und dann auf „Zertifikat anzeigen“. Nun können wir das Absender-Zertifikat sichern, was uns die Übermittlung verschlüsselter Nachrichten an diese Person erlaubt.

Das war’s. Sollten wir mehrere E-Mail-Adressen auf Mac und iPhone nutzen, sind alle genannten Schritte entsprechend zu wiederholen.

Version 7.1 - © 1995-2014 by Dr. Markus Jasinski - Impressum