blog:content:digitale_selbstverteidigung
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende Überarbeitung | |||
blog:content:digitale_selbstverteidigung [2024/01/09 22:39] – [Was kann ich selbst tun?] qbi | blog:content:digitale_selbstverteidigung [2024/03/21 20:30] (aktuell) – gelöscht l.behm | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Digitale Selbstverteidigung ====== | ||
- | |||
- | Diese Seite soll eine Sammlung von aktuellen Best-Practice-Handreichungen und Guidelines bieten. | ||
- | |||
- | Wenn Ihr denkt, dass ein Thema fehlt oder verbessert werden kann, seid ihr gerne dazu eingeladen eure Erfahrungen beizutragen. Bitte bedenkt, dass das ComputerScience-Feld noch sehr jung ist und sich häufig ändert. Es kann also gut sein, dass die hier aufgeführten Dokumentationen nach einem Jahr bereits wieder überfällig sind. | ||
- | |||
- | Jedes Thema soll folgende Punkte adressieren: | ||
- | - Warum ist es relevant? | ||
- | - Bin ich betroffen? | ||
- | - Was kann ich selbst tun? | ||
- | |||
- | Weiterführende Literatur, Diskussionen, | ||
- | |||
- | ===== Browser-Fingerprinting ===== | ||
- | |||
- | Über sogenanntes Browser-Fingerprinting und Tracking können Webseiten euren Browser wiedererkennen (" | ||
- | Dabei geht es nicht um eine Zuordnung zu einer Person mit Namen und Anschrift, sondern zu einer Browser-Verwendung / -Sitzung. | ||
- | |||
- | ==== Bin ich betroffen? ==== | ||
- | |||
- | Über folgende Seiten kann man testen ob und wie gut Tracker den eigenen Browser identifizieren können. Zielstellung sollte sein, dass der eigene Browser unauffällig in der Menge untergeht. | ||
- | |||
- | * https:// | ||
- | * https:// | ||
- | * https:// | ||
- | * [[https:// | ||
- | |||
- | Insbesondere über spezielle Browser-Eigenschaften wie angeschlossene Audio-Geräte (z.B. Bluetooth-Kopfhörer-Namen oder angeschlossenes VR-Headset), | ||
- | |||
- | ==== Was kann ich tun? ==== | ||
- | |||
- | Generell hilft nur die Ausführung von Trackern zu verhindern. Dazu eignen sich auch Werbeblocker und Entsprechende Funktionen im Browser. | ||
- | |||
- | Eine Identifizierung anhand des Schriftarten- und Canvas-Verhaltens zu verhindern ist aktuell unmöglich. | ||
- | Ein entsprechender Rabbit Hole Eingang ist hier zu finden: https:// | ||
- | |||
- | === Browser-Einstellungen === | ||
- | |||
- | * Firefox | ||
- | * Hauptmenü / Einstellungen | ||
- | * Datenschutz & Sicherheit | ||
- | * Verbesserter Schutz vor Aktivitätenverfolgung | ||
- | * Streng oder Benutzerdefiniert / " | ||
- | |||
- | Über die derzeit (06' | ||
- | |||
- | === Browser-Plugins === | ||
- | Über die folgenden Plugins werden eine Vielzahl an Trackern und Werbebannern (die auch Schadcode ausliefern) auttomatisch geblockt: | ||
- | * [[https:// | ||
- | * [[https:// | ||
- | |||
- | Damit jegliche Werbeblocker funktionieren können, muss seit 2023 wieder Firefox empfohlen werden. Chrome-Browser führen seit 2023 wieder Änderungen ein die eine Nutzung von Werbeblockern verhindern. | ||
- | |||
- | === Experts-Only - Weiterführendes === | ||
- | |||
- | * [[https:// | ||
- | to build unique browser fingerprints - 2016]] - Paper zu Browser-Fingerprinting | ||
- | * https:// | ||
- | * [[https:// | ||
- | |||
- | ===== Passwort-Manager ===== | ||
- | |||
- | ==== Warum ist es relevant? ==== | ||
- | |||
- | * Motivation: | ||
- | * Demonstrationstools: | ||
- | * https:// | ||
- | * https:// | ||
- | * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts, wenn eine Webanwendung gehackt wird oder Daten geleakt werden. | ||
- | * Cognitive load reduzieren für Passwörter ausdenken und merken. | ||
- | * Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern. | ||
- | * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe, falls erforderlich. (generell sollten immer anwenderspezifische Zugangsdaten eingerichtet werden) | ||
- | |||
- | ==== Bin ich betroffen? ==== | ||
- | |||
- | * Persönlicher Passwortmanager: | ||
- | * Pers. Computer / Notebook / Tablet | ||
- | * Smartphones | ||
- | * Online-Banking | ||
- | * EC / Kreditkarte: | ||
- | * Arbeiten in Teams: | ||
- | * Sichere Dokumentation von Zugangsdaten zu Anwendungen/ | ||
- | |||
- | ==== Was kann ich selbst tun? ==== | ||
- | |||
- | === Allgemeine Gefahrenhinweise === | ||
- | |||
- | * Gebt eure Passwörter nicht an andere weiter! | ||
- | * Gebt eure Passwörter nicht an andere Unternehmen weiter, die sagen das "es total super sicher alles knorke hier " ist: [[https:// | ||
- | * Gute Passwörter! | ||
- | * https:// | ||
- | * Lange Passwörter! Z.B. von Passphrase/ | ||
- | * Gutes SecOps! | ||
- | * https:// | ||
- | * Wenn du deine Kennwörter nicht kennst, kannst du sie auch nicht (versehentlich) weitergeben. | ||
- | * Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter. | ||
- | * Folter funktioniert auch in 2024+ | ||
- | * Anwender nicht dazu zwingen, Passwörter häufig zu ändern. | ||
- | * Passwörter ändern, wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde. | ||
- | * Macht sichere Backups! | ||
- | * Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei | ||
- | * Sorgt dafür, dass ihr eure Master-Passwörter nicht vergesst! | ||
- | * Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung! | ||
- | * Denkt über einen sicheren Zugang zum Passwortmanager nach. | ||
- | * Masterpasswort muss auch die Passwort-Datenbank (geheimes Schlüsselmaterial) verschlüsseln. | ||
- | * Ggf. Schlüsseldatei, | ||
- | * Erschwert Späh-Angriffe: | ||
- | * Passwort-Eingabefelder: | ||
- | * Bitte keine PostIts. Auch nicht //unter// der Tastatur. | ||
- | * Viele Billig-Androids werden noch immer mit Malware ab-Werk-vorinstalliert ausgeliefert. Eventuell ist bereits ein Keylogger installiert? | ||
- | * Fingerabdruckscanner sind noch immer unsicher. Revocation ist schmerzhaft. | ||
- | * Passwortmanager mit Browser-Plugin: | ||
- | * Passwortmanager können z.B. direkt ausfüllen. | ||
- | * Passwortmanager bietet Hostname-Matching und schützt dadurch gegen Phishing mit Hostname-Ähnlichkeiten. | ||
- | |||
- | === Persönliche Nutzung: Usecase === | ||
- | |||
- | == KepassXC: Rechner, Android-Smartphone, | ||
- | |||
- | * https:// | ||
- | * Umsetzung: | ||
- | * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud | ||
- | * Sync-Anwendung auf jedem Gerät einrichten | ||
- | * KeepassXC-Datenbank im synchronisierten Verzeichnis | ||
- | * Auf iOS (KeePassXC nicht verfügbar): | ||
- | * Sync geht auch mittels syncthing oder NextCloud | ||
- | * Thread-Modell: | ||
- | * Angreifer könnten Zugriff auf Datenbankdatei erlangen | ||
- | * Sehr gutes Master-Passwort notwendig | ||
- | * zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse | ||
- | * ggf. zusätzlich mit Hardwarekey / Token sichern | ||
- | * Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird. | ||
- | * TODO sollten wir mal mit YubiKey testen | ||
- | |||
- | == SSH / Challange-Response-Authentification == | ||
- | |||
- | * YubiKey+OpenSSH | ||
- | * Bitte überlasst libpam-ssh-Authentification nicht einem Cloud-Provider | ||
- | * Further research is needed | ||
- | |||
- | == Digitale Selbstversorger: | ||
- | |||
- | * Vaultwarden | ||
- | |||
- | === Persönliche Nutzung: Anwendungen === | ||
- | |||
- | == KeePassXC == | ||
- | |||
- | * Es funktioniert auf allen Platformen außer iOS | ||
- | * Es gibt Browser-Extensions. | ||
- | * Bietet Passwortgenerator, | ||
- | * Säubert Zwischenablage | ||
- | |||
- | == Bitwarden == | ||
- | |||
- | * Cloud-Based auf MS Azure | ||
- | * Bekommt von Infosec-Community viel Aufmerksamkeit | ||
- | * Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort | ||
- | * Clients bieten Passwortgenerator, | ||
- | * Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt | ||
- | |||
- | == Vaultwarden == | ||
- | |||
- | * Selfhosting, | ||
- | * Community-Fork von Bitwarden: Implementierung des Servers in Rust | ||
- | * Kompatibel mit offiziellen Bitwarden-Client-Apps: | ||
- | |||
- | == Browser-interner Passwortmanager == | ||
- | |||
- | * Ist ein sehr beliebtes Angriffsziel. | ||
- | * Führt i.d.R. unweigerlich zu Browser-Synchronisierung über eine Hersteller-Cloud. | ||
- | * Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: | ||
- | * MUSS mit Master-Passwort gesichert sein | ||
- | * Auto-Ausfüllen //muss// deaktiviert sein | ||
- | * Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen. | ||
- | * Thread-Model-Hinweis: | ||
- | |||
- | === Arbeiten in Teams === | ||
- | |||
- | * Fühlt ihr euch für euer Team zuständig? | ||
- | * Kontrolliert doch mal unter der Tastatur eurer Abteilung. | ||
- | * Lasst SSO nicht von zentralen Cloud-Dienst machen. | ||
- | |||
- | === TOTP-Authenticator-Apps === | ||
- | |||
- | == Android: Aegis Authenticator == | ||
- | |||
- | * https:// | ||
- | * [[https:// | ||
- | |||
- | == Google Authenticator == | ||
- | |||
- | * Cloud-Sync deaktivieren! Beispiel-Drama: | ||
- | |||
- | ===== Backup: Windows ===== | ||
- | Unter Windows ist [[https:// | ||
- | ===== Backup: Linux ===== | ||
- | |||
- | ==== Was kann ich tun? ==== | ||
- | |||
- | === Timeshift === | ||
- | |||
- | [[https:// | ||
- | Timeshift unterstützt auf Systemen mit '' | ||
- | |||
- | <code bash> | ||
- | |||
- | Zur Erstellung eines Backups empfiehlt sich dieses auf eine externe Festplatte zu installieren. | ||
- | Eine externe Festplatte kann beispielsweise angezeigt werden mit: | ||
- | |||
- | <code bash> hwinfo --disk </ | ||
- | |||
- | <code bash> lsblk </ | ||
- | |||
- | <code bash> sudo fdisk –l </ | ||
- | |||
- | Wurde der Name der externen Disk eindeutig erkannt, so kann diese gemountet werden. Hierzu zunächst ein Mountpoint erstellt: | ||
- | |||
- | <code bash> sudo mkdir / | ||
- | |||
- | Anschließend die externe Festplatte mounten: | ||
- | |||
- | <code bash> sudo mount /dev/[sdX] / | ||
- | |||
- | Um zu überprüfen ob die Festplatte korrekt gemountet ist: | ||
- | |||
- | <code bash> findmnt </ | ||
- | |||
- | Nun kann ein Backup erstellt werden. | ||
- | Hierzu Timeshift auf R-Sync einstellen: | ||
- | |||
- | <code bash> sudo timeshift --rsync </ | ||
- | |||
- | Danach die Festplatte für das Snapshot auswählen: | ||
- | |||
- | <code bash> sudo timeshift --snapshot-device /dev/[sdX] </ | ||
- | |||
- | Und das Backup erstellen. | ||
- | |||
- | <code bash> sudo timeshift --create --comments 'Hier Kommentar für Backup eintragen!' | ||
- | |||
- | Erstellte Backups lassen sich nachfolgend auflisten: | ||
- | |||
- | <code bash> sudo timeshift --list </ | ||
- | |||
- | Und wiederherstellen: | ||
- | |||
- | <code bash> sudo timeshift --restore </ | ||
- | |||
- | Anschließend kann ein erstelltes Backup ausgewählt werden. Nach Bestätigung wird der Wiederherstellungsvorgang durchgeführt. | ||
- | |||
- | |||
- | === Borg === | ||
- | Der Einsatz von [[https:// | ||
- | |||
- | ===== Backup: Android ===== | ||
- | ===== Backup: Apple ===== | ||
blog/content/digitale_selbstverteidigung.1704839988.txt.gz · Zuletzt geändert: 2024/01/09 22:39 von qbi