Krautspace – Der Hackspace in Jena

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
blog:content:digitale_selbstverteidigung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
blog:content:digitale_selbstverteidigung [2024/01/09 22:39] – [Was kann ich selbst tun?] qbiblog:content:digitale_selbstverteidigung [2024/03/21 20:30] (aktuell) – gelöscht l.behm
Zeile 1: Zeile 1:
-====== Digitale Selbstverteidigung ====== 
- 
-Diese Seite soll eine Sammlung von aktuellen Best-Practice-Handreichungen und Guidelines bieten. 
- 
-Wenn Ihr denkt, dass ein Thema fehlt oder verbessert werden kann, seid ihr gerne dazu eingeladen eure Erfahrungen beizutragen. Bitte bedenkt, dass das ComputerScience-Feld noch sehr jung ist und sich häufig ändert. Es kann also gut sein, dass die hier aufgeführten Dokumentationen nach einem Jahr bereits wieder überfällig sind. 
- 
-Jedes Thema soll folgende Punkte adressieren: 
-  - Warum ist es relevant? 
-  - Bin ich betroffen? 
-  - Was kann ich selbst tun? 
- 
-Weiterführende Literatur, Diskussionen, umfangreiche Argumentationen und Rabbit Holes sollten separat geführt werden. 
- 
-===== Browser-Fingerprinting ===== 
- 
-Über sogenanntes Browser-Fingerprinting und Tracking können Webseiten euren Browser wiedererkennen ("Identifizieren"). Dafür werden nicht nur die häufig thematisierten Browser-Cookies verwendet, sondern eine Vielzahl von System-Eigenschaften. 
-Dabei geht es nicht um eine Zuordnung zu einer Person mit Namen und Anschrift, sondern zu einer Browser-Verwendung / -Sitzung. 
- 
-==== Bin ich betroffen? ==== 
- 
-Über folgende Seiten kann man testen ob und wie gut Tracker den eigenen Browser identifizieren können. Zielstellung sollte sein, dass der eigene Browser unauffällig in der Menge untergeht. 
- 
-  * https://amiunique.org/ 
-  * https://coveryourtracks.eff.org/ 
-  * https://mangomattermedia.com/browserprint/ 
-  * [[https://fingerprint.com/demo/|fingerprint.com]] - Eine Middle-Management kompatible Demo 
- 
-Insbesondere über spezielle Browser-Eigenschaften wie angeschlossene Audio-Geräte (z.B. Bluetooth-Kopfhörer-Namen oder angeschlossenes VR-Headset), Systemverhalten bei Canvas-Nutzung und installiert Schriftarten kann mit hoher Zuverlässigkeit ein Browser wiedererkannt werden. 
- 
-==== Was kann ich tun? ==== 
- 
-Generell hilft nur die Ausführung von Trackern zu verhindern. Dazu eignen sich auch Werbeblocker und Entsprechende Funktionen im Browser. 
- 
-Eine Identifizierung anhand des Schriftarten- und Canvas-Verhaltens zu verhindern ist aktuell unmöglich. 
-Ein entsprechender Rabbit Hole Eingang ist hier zu finden: https://bugzilla.mozilla.org/show_bug.cgi?id=1469489  
- 
-=== Browser-Einstellungen === 
- 
-  * Firefox 
-    * Hauptmenü / Einstellungen 
-    * Datenschutz & Sicherheit 
-    * Verbesserter Schutz vor Aktivitätenverfolgung 
-    * Streng oder Benutzerdefiniert / "Identifizierer (Fingerprinter)" 
- 
-Über die derzeit (06'23) experimentelle Firefox-Einstellung ''privacy.resistFingerprinting'' können eine Reihe von weiteren Browser-Verhaltensweisen standardisiert werden. Z.B. wird die Zeitzone auf UTC verändert. Dieses Verhalten wird sich natürlich auf einige Webanwendungen auswirken. Mehr dazu unter [[https://mzl.la/3dlIvK2|Firefox's protection against fingerprinting]] 
- 
-=== Browser-Plugins === 
-Über die folgenden Plugins werden eine Vielzahl an Trackern und Werbebannern (die auch Schadcode ausliefern) auttomatisch geblockt: 
-  * [[https://ublockorigin.com/|uBlockOrigin]] 
-  * [[https://privacybadger.org/|Privacy Badger]] 
- 
-Damit jegliche Werbeblocker funktionieren können, muss seit 2023 wieder Firefox empfohlen werden. Chrome-Browser führen seit 2023 wieder Änderungen ein die eine Nutzung von Werbeblockern verhindern. 
- 
-=== Experts-Only - Weiterführendes === 
- 
-  * [[https://hal.inria.fr/hal-01285470v2/document|Beauty and the Beast: Diverting modern web browsers 
-to build unique browser fingerprints - 2016]] - Paper zu Browser-Fingerprinting 
-  * https://github.com/arkenfox/user.js - Firefox-Richtlinien für Security & Privacy 
-  * [[https://2019.www.torproject.org/projects/torbrowser/design/#attacks|The Design and Implementation of the Tor Browser]] - Insbesondere das "Adversary Model" des Tor-Browsers bietet eine umfangreiche Übersicht über relevante Schwerpunkte 
- 
-===== Passwort-Manager ===== 
- 
-==== Warum ist es relevant? ==== 
- 
-  * Motivation: 
-    * Demonstrationstools: 
-      * https://haveibeenpwned.com/ 
-      * https://sec.hpi.de/ilc/ 
-  * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts, wenn eine Webanwendung gehackt wird oder Daten geleakt werden. 
-  * Cognitive load reduzieren für Passwörter ausdenken und merken. 
-  * Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern. 
-  * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe, falls erforderlich. (generell sollten immer anwenderspezifische Zugangsdaten eingerichtet werden) 
- 
-==== Bin ich betroffen? ==== 
- 
-  * Persönlicher Passwortmanager: 
-    * Pers. Computer / Notebook / Tablet 
-    * Smartphones 
-    * Online-Banking 
-    * EC / Kreditkarte: Kreditkartenprüfnummer / CVV (Card Verification Value) 
-  * Arbeiten in Teams: 
-    * Sichere Dokumentation von Zugangsdaten zu Anwendungen/Diensten, wenn wirklich nur einzelne Accounts einrichtbar sind (nicht nutzerspezifische) 
- 
-==== Was kann ich selbst tun? ==== 
- 
-=== Allgemeine Gefahrenhinweise === 
- 
-  * Gebt eure Passwörter nicht an andere weiter! 
-  * Gebt eure Passwörter nicht an andere Unternehmen weiter, die sagen das "es total super sicher alles knorke hier " ist: [[https://www.heise.de/news/Passwortmanager-LastPass-Hacker-haben-Zugriff-auf-Kennworttresore-von-Kunden-7441929.html|Last]][[https://www.wired.com/story/lastpass-engineer-breach-security-roundup/|Pass]], [[https://www.bleepingcomputer.com/news/security/1password-discloses-security-incident-linked-to-okta-breach/|1Password]], Dashlane, NordPass 
-  * Gute Passwörter! 
-    * https://xkcd.com/936/ 
-    * Lange Passwörter! Z.B. von Passphrase/Satz ableiten. 
-  * Gutes SecOps! 
-    * https://xkcd.com/538/ 
-    * Wenn du deine Kennwörter nicht kennst, kannst du sie auch nicht (versehentlich) weitergeben. 
-    * Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter. 
-    * Folter funktioniert auch in 2024+ 
-  * Anwender nicht dazu zwingen, Passwörter häufig zu ändern. 
-  * Passwörter ändern, wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde. 
-  * Macht sichere Backups! 
-    * Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei 
-  * Sorgt dafür, dass ihr eure Master-Passwörter nicht vergesst! 
-    * Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung! 
-  * Denkt über einen sicheren Zugang zum Passwortmanager nach. 
-    * Masterpasswort muss auch die Passwort-Datenbank (geheimes Schlüsselmaterial) verschlüsseln. 
-    * Ggf. Schlüsseldatei, Hardware-Token 
-  * Erschwert Späh-Angriffe: 
-    * Passwort-Eingabefelder: Deaktiviert "letzten Buchstaben anzeigen" auf Smartphone-System. 
-    * Bitte keine PostIts. Auch nicht //unter// der Tastatur. 
-    * Viele Billig-Androids werden noch immer mit Malware ab-Werk-vorinstalliert ausgeliefert. Eventuell ist bereits ein Keylogger installiert? 
-  * Fingerabdruckscanner sind noch immer unsicher. Revocation ist schmerzhaft. 
-  * Passwortmanager mit Browser-Plugin: 
-    * Passwortmanager können z.B. direkt ausfüllen. 
-    * Passwortmanager bietet Hostname-Matching und schützt dadurch gegen Phishing mit Hostname-Ähnlichkeiten. 
- 
-=== Persönliche Nutzung: Usecase === 
- 
-== KepassXC: Rechner, Android-Smartphone, Mobile Nutzung == 
- 
-  * https://keepassxc.org/ 
-  * Umsetzung: 
-    * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud 
-    * Sync-Anwendung auf jedem Gerät einrichten 
-    * KeepassXC-Datenbank im synchronisierten Verzeichnis 
-    * Auf iOS (KeePassXC nicht verfügbar): Strongbox 
-    * Sync geht auch mittels syncthing oder NextCloud 
-  * Thread-Modell: 
-    * Angreifer könnten Zugriff auf Datenbankdatei erlangen 
-    * Sehr gutes Master-Passwort notwendig 
-    * zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse 
-    * ggf. zusätzlich mit Hardwarekey / Token sichern 
-    * Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird. 
-  * TODO sollten wir mal mit YubiKey testen 
- 
-== SSH / Challange-Response-Authentification == 
- 
-  * YubiKey+OpenSSH 
-  * Bitte überlasst libpam-ssh-Authentification nicht einem Cloud-Provider 
-  * Further research is needed 
- 
-== Digitale Selbstversorger:innen == 
- 
-  * Vaultwarden 
- 
-=== Persönliche Nutzung: Anwendungen === 
- 
-== KeePassXC == 
- 
-  * Es funktioniert auf allen Platformen außer iOS 
-  * Es gibt Browser-Extensions. 
-  * Bietet Passwortgenerator, Auto-Type (Ctrl+V: switched zum Browser und tippt automatisch Username + Passwort) 
-  * Säubert Zwischenablage 
- 
-== Bitwarden == 
- 
-  * Cloud-Based auf MS Azure 
-  * Bekommt von Infosec-Community viel Aufmerksamkeit 
-  * Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort 
-  * Clients bieten Passwortgenerator, TOTP-Generator, Passwort-Prüfung gegen HIBP 
-  * Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt 
- 
-== Vaultwarden == 
- 
-  * Selfhosting, Web-Based 
-  * Community-Fork von Bitwarden: Implementierung des Servers in Rust 
-  * Kompatibel mit offiziellen Bitwarden-Client-Apps: Smartphone-Apps und Browser-Extensions 
- 
-== Browser-interner Passwortmanager == 
- 
-  * Ist ein sehr beliebtes Angriffsziel. 
-  * Führt i.d.R. unweigerlich zu Browser-Synchronisierung über eine Hersteller-Cloud. 
-    * Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: siehe Okta-Hack'23 via Google-TOTP-Authenticator-App 
-  * MUSS mit Master-Passwort gesichert sein 
-  * Auto-Ausfüllen //muss// deaktiviert sein 
-    * Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen. 
-  * Thread-Model-Hinweis: Wenn Browser gehackt wird um auf Browser-internen-Passwortmanager zuzugreifen, dann ist der gesamte Browser / User-Account (z.B. inkl. Session-Cookies/-Tokens) als kompromittiert zu erachten. 
- 
-=== Arbeiten in Teams === 
- 
-  * Fühlt ihr euch für euer Team zuständig? 
-    * Kontrolliert doch mal unter der Tastatur eurer Abteilung. 
-  * Lasst SSO nicht von zentralen Cloud-Dienst machen. 
- 
-=== TOTP-Authenticator-Apps === 
- 
-== Android: Aegis Authenticator == 
- 
-  * https://getaegis.app/ 
-  * [[https://github.com/beemdevelopment/Aegis|Github]], [[https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis|PlayStore]], [[https://f-droid.org/en/packages/com.beemdevelopment.aegis|F-Droid]] 
- 
-== Google Authenticator == 
- 
-  * Cloud-Sync deaktivieren! Beispiel-Drama: https://retool.com/blog/mfa-isnt-mfa 
- 
-===== Backup: Windows ===== 
-Unter Windows ist [[https://duplicati.com/|Duplicati]] eine recht nette Lösung. Über eine Art Webseite (localhost) wird die Software konfiguriert. Man kann lokale Dateien zu verschiedenen Clouddiensten sichern. Die Sicherung kann verschlüsselt werden und auch alte Sicherungen kann Duplicati automatisch entfernen. 
-===== Backup: Linux ===== 
- 
-==== Was kann ich tun? ==== 
- 
-=== Timeshift === 
- 
-[[https://github.com/linuxmint/timeshift|Timeshift]] ist empfohlen für Desktop-Linux. 
-Timeshift unterstützt auf Systemen mit ''btrfs''-Dateisystem die Nutzung von Snapshots. 
- 
-<code bash>sudo apt install timeshift</code> 
- 
-Zur Erstellung eines Backups empfiehlt sich dieses auf eine externe Festplatte zu installieren. 
-Eine externe Festplatte kann beispielsweise angezeigt werden mit: 
- 
-<code bash> hwinfo --disk </code> 
- 
-<code bash> lsblk </code> 
- 
-<code bash> sudo fdisk –l </code> 
- 
-Wurde der Name der externen Disk eindeutig erkannt, so kann diese gemountet werden. Hierzu zunächst ein Mountpoint erstellt: 
- 
-<code bash> sudo mkdir /[mountpoint] </code> 
- 
-Anschließend die externe Festplatte mounten: 
- 
-<code bash> sudo mount /dev/[sdX] /[mountpoint] </code> 
- 
-Um zu überprüfen ob die Festplatte korrekt gemountet ist: 
- 
-<code bash> findmnt </code> 
- 
-Nun kann ein Backup erstellt werden. 
-Hierzu Timeshift auf R-Sync einstellen: 
- 
-<code bash> sudo timeshift --rsync </code> 
- 
-Danach die Festplatte für das Snapshot auswählen: 
- 
-<code bash> sudo timeshift --snapshot-device /dev/[sdX] </code> 
- 
-Und das Backup erstellen.  
- 
-<code bash> sudo timeshift --create --comments 'Hier Kommentar für Backup eintragen!' --tags D </code> 
- 
-Erstellte Backups lassen sich nachfolgend auflisten: 
- 
-<code bash> sudo timeshift --list </code> 
- 
-Und wiederherstellen: 
- 
-<code bash> sudo timeshift --restore </code> 
- 
-Anschließend kann ein erstelltes Backup ausgewählt werden. Nach Bestätigung wird der Wiederherstellungsvorgang durchgeführt. 
- 
- 
-=== Borg === 
-Der Einsatz von [[https://borgbackup.readthedocs.io/|Borg]] ist auf Server-Systemen für automatisierte Backups auf ein Remote-Ziel über ssh empfohlen. 
- 
-===== Backup: Android ===== 
-===== Backup: Apple =====