Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 25

Sicher "surfen" in LOS

Erstellt von spellbound hound, 20.06.2006, 21:36 Uhr · 24 Antworten · 3.250 Aufrufe

  1. #1
    Avatar von spellbound hound

    Registriert seit
    07.09.2004
    Beiträge
    507

    Sicher "surfen" in LOS

    Vor meinem Aufenthalt im März stellte sich mir die Frage:
    "Wie möglichst sicher auf die daheimgebliebenen Rechner mittels Fernwartung zugreifen?"
    Schließlich kann man schlecht prüfen, ob der Rechner im Internetcafe nicht schon von irgendwelchen Trojanern, Keyloggern oder sonstigem Ungeziefer (von den lokal ansässigen Kakalaken mal abgesehen ) durchseucht ist. Auch die Passwörter für meine "Müllmailaccounts" gebe ich nur ungern preis.

    Die Lösung: "Damn Small Linux" auf CD gebrannt und im Internetcafe in LOS einfach dumm gefragt, ob man die eigene Software verwenden dürfe. Konnte man zwar nicht in jedem Cafe machen, aber nach einigen Fragen hatte man ein neues Stammcafe gefunden.

    Und heise.de meldet heute, dass die Version 3.0 rausgekommen ist, bei der sich sogar die Änderungen auf einem zusätzlichen Schreibmedium (Diskette, USB-Stick o.ä.) abspeichern lassen.

    http://www.heise.de/newsticker/meldung/74474

    Bei meinem nächsten Trip werde ich mit Sicherheit wieder die aktuelle Version dabeihaben.

  2.  
    Anzeige
  3. #2
    KraphPhom
    Avatar von KraphPhom

    Re: Sicher "surfen" in LOS

    Schon erstaunlich was für Probleme der geneigte Urlauber so hat

  4. #3
    Avatar von spellbound hound

    Registriert seit
    07.09.2004
    Beiträge
    507

    Re: Sicher "surfen" in LOS

    Zitat Zitat von KraphPhom",p="358997
    Schon erstaunlich was für Probleme der geneigte Urlauber so hat
    Probleme? Die hatte ich nicht. Wenn ich zu diesem Zweck statt eines CD-Rohlings mein Notebook mit ca. 3 kg und Kosten von ca. 800 - 900 Euronen bei Verlust mit mir rumgeschleppt hätte - dann hätte ich Probleme.
    Oder wolltest Du nur nochmal drauf hinzuweisen, dass Du als Aussiedler Dich mit solchen Wehwehchen nicht mehr abplagen musst? O.k., dann erblasse ich jetzt pflichtgemäß kurz vor Neid, bevor ich in die Heia gehe.

  5. #4
    a_2
    Avatar von a_2

    Re: Sicher "surfen" in LOS

    Die Waffe gegen Keylogger und ähnliches Gesochs sind Einmalpasswörter wie z.B. SKEY unter Unix (Nur in Kombination mit SSH2 natürlich), oder unter Windows die RSA Tokens (Sind leider recht teuer).

    Wenn die Anmeldung via SmartCard auch am Windows Terminalserver funktioniert, dann nimmt man einen USB Cardreader mit einer Smartcard mit. (Gute Idee, muss ich morgen mal probieren)

    Da nicht auf jedem Internet Cafe Rechner der Remote Desktop Client installiert ist, kann man sich irgendwo auf einem zugänglichen Webserver das RemoteDesktop ActiveX ablegen und von dort aus starten.

    Einmalpasswörter kann man mit etwas bastelei auch bei VNC verwenden, aber das funktioniert bei mir noch nicht ganz korrekt, da muss ich nochmal basteln.

    Was nützt es Dir ein Linux zu booten, wenn im Netz des Internet Cafes irgendwo ein Sniffer läuft, der ggf unverschlüsselte Verbindungen mitschreibt.

    Was schon hilft, ist sich einen USB Stick mit einem FireFox mitzunehmen, denn der beste Spion ist das Autovervollständigen des Internetexplorers. Wenn man dann nur einen Webmaildienst verwendet der auf SSL Verschlüsselung setzt und dann vor dem ausloggen noch kurz das Passwort ändert, ist man schon auf der halbwegs sicheren Seite.
    Kreditkartendaten sollte man im Internetcafe nicht eingeben, auch bei SSL Verschlüsselung nicht. Das einzige was dort helfen könnte wäre eine vernünftige Bildschirmtastatur für den Firefox die nicht über die Zwischenablage arbeitet und wenn möglich nach jedem klick die Reihenfolge der Tasten ändert.... (Gibts aber glaube ich noch nicht!)

  6. #5
    Avatar von spellbound hound

    Registriert seit
    07.09.2004
    Beiträge
    507

    Re: Sicher "surfen" in LOS

    Zitat Zitat von a_2",p="359019
    Die Waffe gegen Keylogger und ähnliches Gesochs sind Einmalpasswörter wie z.B. SKEY unter Unix (Nur in Kombination mit SSH2 natürlich), oder unter Windows die RSA Tokens (Sind leider recht teuer).

    Wenn die Anmeldung via SmartCard auch am Windows Terminalserver funktioniert, dann nimmt man einen USB Cardreader mit einer Smartcard mit. (Gute Idee, muss ich morgen mal probieren)

    Da nicht auf jedem Internet Cafe Rechner der Remote Desktop Client installiert ist, kann man sich irgendwo auf einem zugänglichen Webserver das RemoteDesktop ActiveX ablegen und von dort aus starten.

    Einmalpasswörter kann man mit etwas bastelei auch bei VNC verwenden, aber das funktioniert bei mir noch nicht ganz korrekt, da muss ich nochmal basteln.
    Gut, Einmalpasswörter und Smartcard helfen Dir, Dich eindeutig zu authentifizieren, trotzdem liest der keylogger jeden Deiner Tastendrücke in der aktuellen Session auf dem infizierten System mit.

    Zitat Zitat von a_2",p="359019
    Was nützt es Dir ein Linux zu booten, wenn im Netz des Internet Cafes irgendwo ein Sniffer läuft, der ggf unverschlüsselte Verbindungen mitschreibt.
    Richtig, ssh und Co. sollte man natürlich voraussetzen. Wobei ein Angriff mittels Networksniffing von der Durchführung und Analyse der anfallenden Daten ungleich aufwendiger und daher weniger weit verbreitet sein dürfte, als das Keylogging. Das einzige Szenario, was mir bei einem sauber gebooteten System und ssh noch einfallen würde, wäre ein Man-in-the-middle-attack. Halte ich aber für sehr unwahrscheinlich, da noch aufwendiger als Netzwerk-Sniffing. Und solange die User die Daten bereitwillig per Tastatureingabe oder z.B. Phishing bereitstellen, wird sich daran auch nicht viel ändern.


    Zitat Zitat von a_2",p="359019
    Was schon hilft, ist sich einen USB Stick mit einem FireFox mitzunehmen, denn der beste Spion ist das Autovervollständigen des Internetexplorers. Wenn man dann nur einen Webmaildienst verwendet der auf SSL Verschlüsselung setzt und dann vor dem ausloggen noch kurz das Passwort ändert, ist man schon auf der halbwegs sicheren Seite.
    Die Autovervollständigung des IE sehe ich eher als "Lucky-Shot-Hacking". Setzt voraus, dass sich ein neugieriger Mensch nach Dir an den Rechner setzt. Wie gesagt: gegen Keylogging helfen weder Firefox noch SSL. Und im Gegensatz zum Sniffen und Autovervollständigen muss der Angreifer keinen physischen Zugriff auf den Rechner haben, sondern kann irgendwo in Russland oder China sitzen.

    Zitat Zitat von a_2",p="359019
    Kreditkartendaten sollte man im Internetcafe nicht eingeben, auch bei SSL Verschlüsselung nicht. Das einzige was dort helfen könnte wäre eine vernünftige Bildschirmtastatur für den Firefox die nicht über die Zwischenablage arbeitet und wenn möglich nach jedem klick die Reihenfolge der Tasten ändert.... (Gibts aber glaube ich noch nicht!)
    Wird´s wohl auch nie geben, weil es gegen moderne keylogger ziemlich nutzlos sein dürfte. Der keylogger klinkt sich nicht in irgendwelche Hardware-Abfrageroutinen ein, sondern in ??? ...taadaaa ... die Windows Message Queue (AKA die beliebteste Achillesferse von Windows). Und auf welchem Wege wird eine Bildschirmtastatur ihre "keystrokes" wohl an die Anwendung senden?

  7. #6
    a_2
    Avatar von a_2

    Re: Sicher "surfen" in LOS

    Einmal Passwörter: Was nützen die Keylogger Files, wenn man mit den Daten nichts anfangen kann, weil man sich an der Anwendung nicht authentifizieren kann?
    Wenn das ganze schon an der Authentifizierung scheitert, sind auch weitere geloggte Daten weitgehend sinnlos, Kreditkartennummern und Kontoinformationen mal ausgenommen.

  8. #7
    a_2
    Avatar von a_2

    Re: Sicher "surfen" in LOS

    Das Autovervollständigen hat schon oftmals interessante Einblicke in z.B. den MSN Messenger und Skype gewährt. Ist mir schon ein paar Mal im Internet Cafe passiert das ich Seiten aufgerufen habe und plötzlich als jemand anders eingeloggt war.

  9. #8
    a_2
    Avatar von a_2

    Re: Sicher "surfen" in LOS

    Keylogger: Die Totale Sicherheit hat man auch auf dem eigenen Windows PC nicht. Dennoch auch wenn sich ein Keylogger in den WMQ einklinkt, nützt es ihm wenig, das er mitprotokolliert hat das der User an der Koordinate 189,136 geklickt hat. Die Auswertung der Koordinaten könnte z.B. durch ein JavaApplet erledigt werden.
    Eine Bildschirmtastatur ist zu anfällig, da gebe ich Dir Recht.
    Allerdings denke ich das nahezu alle mitprotokollierten Daten sinnlos sind, wenn man schon an der Authentifizierung scheitert.

  10. #9
    Avatar von spellbound hound

    Registriert seit
    07.09.2004
    Beiträge
    507

    Re: Sicher "surfen" in LOS

    Zitat Zitat von a_2",p="359157
    Keylogger: Die Totale Sicherheit hat man auch auf dem eigenen Windows PC nicht. Dennoch auch wenn sich ein Keylogger in den WMQ einklinkt, nützt es ihm wenig, das er mitprotokolliert hat das der User an der Koordinate 189,136 geklickt hat. Die Auswertung der Koordinaten könnte z.B. durch ein JavaApplet erledigt werden.
    Frage: Wie soll die "Tastatureingabe" denn von dem JavaApplet in das gewünschte Control (z.B.: Passworteingabefeld) wandern? Auch Mausklicks werden meines Wissens nach nicht als Koordinaten durch die Messagequeue gereicht, sondern als sogenannte Events: Sprich "Linke Maustaste auf Schaltfläche XY losgelassen" etc. pp.

    Aber eigentlich geht´s nur darum, Standardanwendungen einigermaßen sicher zu handeln und jetzt nicht irgendwelche (nicht verfügbare?) Applets aus dem Hut zu zaubern.

    Zitat Zitat von a_2",p="359157
    Allerdings denke ich das nahezu alle mitprotokollierten Daten sinnlos sind, wenn man schon an der Authentifizierung scheitert.
    Kommt auf den Einzelfall an. Dass ich ein dickes Schloss an der Haustüre habe, heißt noch lange nicht, dass ich jedem die Zahlenkombination von meinem Panzerschrank (wie gut, dass ich gar keinen habe :-) ) auf die Nase binde oder mir durchs Fenster von Passanten die Zahlen von den Fingern ablesen lasse.

  11. #10
    a_2
    Avatar von a_2

    Re: Sicher "surfen" in LOS

    Ok, ich erkläre mal kurz wie das bei uns geht:

    1) Ich melde mich an der Firewall an, das geht via Einmalpasswort. Die Firewall fragt mich nach ID#27 und ich gebe die 4x4 stellige ID ein. Damit ist meine IP für den Zugriff aufs System freigeschaltet.
    1a) Ich könnte mich jetzt über Eingabe meiner Benutzernamens oder eines 2. Einmalpasswortes am Intranetportal anmelden. (Verbindung ist SSL Verschlüsselt und läuft über einen Reverseproxy um direkten Kontakt der Intranetserver mit dem Internet zu vermeiden).

    ODER

    2a) Ich könnte mich jetzt via TSR (Windows Terminal Server) auf dem Terminalserver anmelden. Dazu benötige ich einen gültigen Code vom RSA Token.) {es ginge natürlich auch eine Smartcard)
    Für die TSR Verbindung ist die starke Verschlüsselung aktiviert, das reicht im Regelfall aus.

    2c) Ich könnte eine PPTP Verbindung zum Netzwerk aufbauen, um mich so mit den in der DMZ (Demilitarisierten Zone) erreichbaren Rechnern zu verbinden. Authentifizierung geht hier aber leider (derzeit) nur mit einer normalen Username/Passwort Kombination.

    Wenn ich mich nicht an der Firewall anmelde werden Verbindungen jegleicher Art automatisch geblockt. Nach der erfolgreichen Anmeldung wird die IP freigeschaltet.

    Das Java Applet von dem ich sprach kann zur Eingabe von Passwörtern in Webanwendungen verwendet werden, sofern es keine Einmalpasswörter sind. Da nach jedem Anklicken eines Zeichens die Bildschirmtastatur des Java Applets zufällig neu sortiert wird, kann man auch mit den mitprotokollierten Koordinaten nix anfangen. Das Java Applet übermittelt das eingegebene Passwort and den Authentifizierungsmechanismus der unterliegenden Anwendung.

    Zum lesen und schreiben von Email habe ich ja meinen Blackberry, da brauche ich nicht ins Internetcafe und notfalls gehts auch mal 3 Wochen ohne.
    Der Blackberry hat zudem auch Zugriff aufs Intranet. Die Kommunikation zwischen Blackberry und dem Blackberry Enterprise Server in der Firma ist ja zudem 3DES verschlüsselt.

    Wobei das wichtigste ist ja das ich mich im Urlaub erhole und nicht an den Maschinen in der Firma rumkonfiguriere. Bisher war es "toi toi toi" noch nie wirklich notwendig aus dem Urlaub einzugreifen. Ich habe das nur einmal als Test gemacht und es hat geklappt. Unsere Aussendienstler machen das allerdings nahezu täglich, aber seit dem wir Blackberry's einsetzen wird's deutlich weniger.

Seite 1 von 3 123 LetzteLetzte

Ähnliche Themen

  1. auf thailaendisch surfen in Deutschland
    Von ottifan im Forum Computer-Board
    Antworten: 4
    Letzter Beitrag: 21.05.10, 14:25
  2. Kite - surfen und tauchen
    Von Hippo im Forum Touristik
    Antworten: 7
    Letzter Beitrag: 05.03.10, 13:51
  3. Mit der FRITZ!Box auch im Auto surfen
    Von Doc-Bryce im Forum Computer-Board
    Antworten: 6
    Letzter Beitrag: 15.11.09, 12:20
  4. Die Rente ist sicher; sicher?
    Von KKC im Forum Treffpunkt
    Antworten: 72
    Letzter Beitrag: 23.11.08, 21:05
  5. schneller Surfen ohne Werbung
    Von Rene im Forum Computer-Board
    Antworten: 1
    Letzter Beitrag: 28.04.07, 22:26