Sicherheit für Dummies mit Sicherheitsbedenken im offenem Netzwerk

„Offene Netze sind gefährlich! Da darf man sich auf keinen Fall einwählen!“ , das Argument schlug mir in den letzten Tagen mehrfach ins Gesicht!

Dabei war allerdings nicht das grundsätzlich offene Internet gemeint, nein sowas kam von Leuten denen ich Freifunk feilbieten wollte. Von Menschen die WLAN nicht von Internet unterscheiden können, deren Internet hauptsächlich aus Facebook besteht und Passwörter per Email (natürlich ohne PGP) verschicken^^.

Nachdem nun geklärt wurde, das WLAN nicht das Internet ist, kamen Argumente wie „die anderen Computer/Smartphones können dann meinen Computer/Smartphone sehen… und angreifen/hacken“. Die Argumente das 99% Angriffe höchstwahrscheinlich aus dem Internet und nicht vom bösen Nachbarn/Freifunkteilnehmer kommen und das auch benachbarte Computer in einem verschlüsselten WLAN einen angreifen können, fanden kein Gehör.

Darauf fragte ich, wie sie jeweils ihren Smartphone/Computer abgesichert hatten. Die Antwort könnt ihr euch denken, Upgrades einfach grundsätzlich wegklicken lag bei 50%, Antivirenlösung wurden sehr selten gefunden, aber Hauptsache WhatsApp war installiert.
Den meisten war auch nicht bekannt, dass die 30 Minuten Telekom bei McD und KD Hotspots ebenfalls „offen“ sind (da kommt ja eine Vorschaltseite von Providern, die nur Gutes wollen!)

• Wie bringt man nun so jemanden bei, wir er/sie sein System absichert?

• Wie man sich halbwegs sicher in Internet bewegt?

• Wie erklärt man einen Tunnel, wenn noch nicht mal der Unterschied zwischen http|s bekannt ist?

• Wie schafft man ein Gesamtvertrauenspakt für die Nutzung offener Netzwerke mit dem Smartphone für Jedermann (mit Sicherheitsbedenken)?

MfG

Zu dem Thema gab es vermehrt Berichterstattung. Wenn allerdings „der Wirt“ den Freifunk anbietet, wird das schon wieder für das Vetrauen reichen.

Fairer Weise muss man auch sagen, dass Leute mit dem Computerwissen vllt. wirklich vorsichtig sein sollten. Denn ich glaube nicht, dass die ihren Mailclient schon auf SSL umgestellt haben.

Geht nicht. Die Frage ist, ob man da durch Schaden klug wird. Meinst klappt das dann trotzdem noch nicht. Das gleiche gilt beim Thema Backup von Daten.

Beim meinen Kindern versuche ich es immer mit dem Satz: „Internet ist draußen!“

Nicht nötig. Denn dieser Tunnel, du sprichst vom verschlüsselten Tunnel vom Freifunk-Knoten zu den Gateways, dient nicht der Sicherheit des Endanwenders. Die Schuldigen sind inzwischen diejenigen, die überhaupt noch nicht verschlüsselte Dienste anbieten. Oder solche mit schwacher Verschlüsselung.

Schwierig bis unmöglich. Sind schon Angriffe über das Netz ohne aktive Mithilfe des Endanwenders auf Smartphones bekannt? Meinen Laptop mit Linux bekomme ich noch recht sicher durch das Netz. Mit Windows wird es ohne Zusatzkosten ja schon schwieriger. Bei Android frage ich mich schon, ob das Gerät auf IP Ebene irgendwie geschützt ist, oder eine App dafür benötigt wird.

Hängt ein Smartphone permanent im ungesicherten Netz und ist von außen erreichbar, kann man sich auf jeden Fall in aller Ruhe daran machen das ipv4 Netz nach schwachen Mitgliedern zu durchsuchen.

Meist gibt es ein Vertrauen auf ein Gerät, dass das eigene Netz schützt. Bei eigenen DSL ist es die fritzbox, wenn man im UMTS eingebucht ist, hoffentlich irgend ein Gerät vom Provider. Dabei hilft in der Regel nur, dass NAT eingesetzt wird, und NAT stateful ist. Wie jede Firewall auch. Sicher ist man nur, wenn man exakt nichts ins eigene Gerät rein lässt, was man nicht selber angefordert hat.

Und ja: in offenen Netzen gibt es ein erhöhtes Risiko. Auch bei Telekom und McD und KD Hotspots. Offene Netz sind draußen. Trotz aller Gefahren gehe ich aber regelmäßig sogar mit meinem eigenen Körper nach draußen. Mein Surrogate ist in der Werkstatt.

Ja, die Berichterstattung ist schon manchmal haarsträubend. Echte Tipps gibt es da auch selten und enden meistens mit Werbung für eine Firma. Hoffentlich hat mal da nicht die Rechnung ohne den Wirt gemacht.

Wie schon geschieben:

In der Realtität werden Endgeräte aus dem Internet angegegriffen, inicht im lokalen Wlan.
Und zwar klassisches Phishing. mit dem Ziel die Mailempfängerinnen zu irgendwas zu verleiten, was dann den Weg ebnet für den eigentlichen Raubzug.

Natürlich kann man sich als böse Person auch lokal in offene Wlans hängen und Sessions von unverschlüsselten Diensten bei andere BenutzerInnen klauen.
Aber dafür sollte man schon mindestens bei einem Dienst arbeiten oder die Zielperson hinreichend attraktiv sein für so einen personalintensiven Angriff.
(Wenn ich bei einem Dienst arbeiten würde, dann würde ich direkt an einem Netzaustauschpunkt der Provider zugreifen. Und wenn ich anderweitig kriminell veranlagt wäre, dann würde ich mir ein Botnet mieten, um Phishing zu versenden und DriveBy-Infections über dubiose Banner-Werbenetzwerke vertreiben.)

@paulinsche

Ich meinte einen Tunnel im Tunnel, um so z.B. das Android abzusichern.

Lernen durch Schmerz ist ein guter Ansatz, allerdings wäre das ein schlechter Gesprächseinstieg nach dem Motto „du wirst all deine Daten verlieren und dein Konto leer geräumt, wenn du dein Smartphone nicht absicherst“.

Es hilft zumindest bei gefühlt 30% der Betroffenen.
Die anderen klagen lauthals über die Schlechtigkeit der Welt und hoffen, dass sie ihren Anteil vom Pech jetzt „hatten“ und ändern nix…

Und was „Tunnel im Freifunk“ anbetrifft: Im Prinzip keine schlechte Idee. Wie in jedem Hotel-Wlan, wie bei jedem DSL-Provider-Zugang. Es muss niemand wissen, welchen DNS-Traffic ich erzeuge. Und auf welche Webseiten mein Traffic sich verteilt.

Ich benutze mein VDSL 50+Entertain eigentlich auch nur noch um Entertain (TV der Telekom, ist besser als das was es im Netz gibt, die ÖR sogar in HD) mal zu nutzen, den Rest erledige ich über bezahlte Tunnel(wenn es schnell gehen muss) oder halt über Freifunk. Da die Telekom ja gerne mal zehntausende Nutzerdaten+Adressen anhand der IPs einfach so (Aufgrund eines technisch unbegabten Richters) heraus gibt. In die Telekom (und Services) ist mein Vertrauen = 0.

Solche Berichterstattung wird schlicht durch Wiederholung zur Wahrheit.
(Und das jetzt ganz ohne Chemtrails und Giralgeldschöpfungs-Verschwörung)
Denn die Wahrheit ist das, was die Mehrheit der Bevölkerung für sichere Fakten hält.

Das ist jetzt weder besonders schlecht, oder besonders gut.
Man sollte es nur wissen und mit Aufklärungsarbeit dagegen wirken.

zurück zum Thema: Unverschlüsselte Netze sind unsicher
Ja, sind sie. Und verschlüsselte Netze sind noch unsicherer.
Klingt paradox, ist aber so. Denn sie sorgen dafür dass die NutzerInnen länger unverschlüssselte Anwendungs-Protokolle und nicht gehärtete Endgeräte verwenden.

Böse Menschen können unterstellen, dass dieses Gehirnwäsche ist, die dazu dient, NutzerInnenrechner seitens der Dienste besser monitoren zu können. Also Inhaltsanalyse ohne hohe Entschlüsselungs-„kosten“. Und kein Vergeuden von kostbaren 0-days, um auf Rechner zu gelangen, solange die Leute Update nur selten aufspielen mit derm Begründung „dass das Wlan verschlüsselt sei“ und sie sich nicht „auf solchen Seiten herumtreiben“ würden.

Wem sagst du das. An der Aufklärungsarbeit^^ arbeite (besser gesagt, möchte ich arbeiten) ich, nur höre ich gerade dem Guru zu.

PS: Die Geldschöpfung ist leider keine Verschwörung.

Damit habe ich jeden Tag zu tun - meistens ist das Kind dann aber schon in den Brunnen gefallen!

„Wie ich brauche einen Antivirus für’s Handy? …da gibt’s sowas auch? Ach das brauch’ ich nicht, ich mach’ ja eh nichts wichtiges mit dem Handy…“

„Updates? Die komischen Meldungen, die da immer auftauchen? Nee, die installiere ich gar nicht erst! Ein Bekannter - und der kennt sich damit aus - hat letztens noch gesagt, die Updates haben seinen Kompjuter kapott jemacht!“

Leider stelle ich aber immer mehr fest, dass die jüngeren Leute weniger auf Privatsphäre und Sicherheit achten als die ältere Generation.
Liegt das daran, dass die ältere Generation einfach interessierter ist und wachsamer?
Oder ist die jüngere Generation schon „besser“ konditioniert worden?

Meiner Meinung nach ist das die „jünger-als-die-digital-natives“ Generation. Die Generation der 80er musste für LAN-Parties noch was von Netzwerken verstehen und so haben wir das eben damals gelernt, was IP-Adressen und wie ein Netzwerkfunktioniert, was DNS Server etc sind usw. Die jüngeren Kinder können zwar phänomenal toll auf ihren Smartphones tippen, haben aber von der Technik keine Ahnung.

ja und nein, ist bei bei Autofahren. Lass einen (Beispiel) 17jähringen auf einen Porsche o.ä. auf die Autobahn, alleine, 50% Wahrscheinlichkeit, dass er eine Crash baut, weil er Geschwindigkeit, Kraft und Bremsen falsch eingeschätzt hat. Ein 40jährigr wird erst mal vorsichtig ausprobieren, wie das Auto reagiert, Chance für Crash nur 25%

Bei Smartphones kommt dazu das Problem der Apps und Kick mich. Die Unterscheidung, welches App kann ich installieren und was nicht, fällt schwer, wenn darüber überhaupt nachgedacht wird. Die Bequemlichkeit in der Bedienung zählt, und so ist - trotz Warnungen - Homebanking mit mTan vom selben Handy/Smartphone weit verbreitet. Wer hat schon 2 Handys bei sich?

Die älteren haben i.d.:R: bereits PC-Erfahrung,wissen somit um die Sicherheitsprobleme. Aber die Jüngeren haben teils nur Smartphone, benutzen ihren PC - sie so einen haben - nur zum Spielen.

Ist von der Wirtschaft so gewollt. Kritische Verbraucher mag man nicht.

Aufklärung darüber gitbt es nur rudimentär.

Ist aber sogar hier so. Der Trickreiche hat mich heftigst angegriffen,als ich in einem Thread aufführte, was für mich ein sicherer Web- und Mailserver ist: „Ein Kanaickelzüchterverein braucht das nicht“.
Das ist die weit verbreitete falsche Denke, eben nicht Generell auf Sicherheit achten, sondern nur, „wenn manns braucht“, und damit ist der Nachlässigkeit alle Tür geöffnet. Ist wie „Anschnalllen im Auto und Licht an nur über 100“. Wie viele fahren tagsüber im Winter noch ohne Licht? Ist in anderen Ländern vorgeschrieben, bei uns nur „empfohlen“. Erhöht aber die passive Sicherheit, und so hab ich es immer an, auch im Sommer.

Bei Freifunk kann man nur generell verweisen:

• Freifunk darf nicht als Heimnetzwerk, sondern nur als/wie öffentliches Netzwerk verbunden werden
• Emails und Webseiten möglichst nur SSL, Emails nur über sichere Server, für Homebanking immer 2 Handys benutzen, die dasselbe.
• vor Malware mit AV-programmen schützen,wie beim, PC
• Browser richtig konfigurieren
• „normale“ Attacken werden beireits beim Gateway abgefangen.

was bleibt, ist der Nachbar oder im Café ein Neugieriger, aber wer von denen hat schon die dafür benötigten Tools zum Ausspähen? Wohl kaum einer.

Dabei ist jeder zu Hause sowieso gefährdet, wenn er bedenkenlos die neusten Geräte kauft: Smart Fernseher, die jedes Wort protokollieren, auswerten und nach irgendwo schicken, der Kühlschrank, die neusten Navis, die neuen Kassenterminals, demnächst mit Bezahlsystem per Handy, usw.
Das Sicherheitsbewusstsein wird systematisch zurückgedrängt zugunsten von vermeintlichen Umsatz- und Gewinnsteigerungen, Verkauf.

und das ist bereits der grundlegende Fehler

eben, und wenn man erst anfängt, da Ausnahmen zu machen und zu unterscheiden, was mam „weniger“ und was „mehr“ schützt, dann verliert man leicht den Überblick, es wird zu mähselig, und die Nachlässigkeit nimmt zu, also Gefahr für alles, weil ich dann was Wichtiges vergesse.

Ergo: gar kein Heimnetz, alles als „öffentlich“ ansehen und alle Geräte entsprechend konfigurieren. Fritzbox ist keine zuverlässige Sicherheit, und bei UMTS ist es noch schlimmer: die Gerätehersteller haben (mindestens Sony, also wohl auch die anderen) in ihrer Soft direkt Spyfunktionen eingebaut. Telefonbauch z.B. wird ausgelesen, gleiches bei zahlreichen Apps.

Also, partiell Vertrauen vergeben verursacht immer eine Sicherheit-Nachlässigkeits-Lawine.
Beim Auto: immer Sicherheitsgurt an und immer Licht an. Nicht, weil es vorgeschrieben ist, sondern weil es vernünftig, ist.

Bei PC: immer alles so sichern, als wäre alles, was nicht local ist, bereits „öffentlich“. Nur direktes LAN - LAN (ohne Umweg über Router) kann als sicher gelten.

Die sogenannten Digitalnaivs.

Aber nicht nur die, in der aktuelle Firma mit 45 Leuten in der Teilniederlassung trauen alle einem Zyxel Router der direkt an der DSLeitung hängt. Noch besser: Alle Rechner, NAServer, Drucker, Scanner befinden sich im selben Netz, aber noch nicht genug, bei einem kurzem Netzwerkscan kam heraus … auch jeder der das WLAN (immerhin WPA2-PSK) Passwort hat, kommt ins selbe 192.168.1/24er Netz, d.h. auch die privaten Windows und Android Seuchenschleudern…die Arbeitsrechner vertrauen auf NortonEndpoint. Na dann: Toi toi toi!!

Auf die Frage nach einem (offensichtlich nicht vorhandenen) Sicherheitskonzept bekam ich als Antwort, die Firma wäre noch „zu jung“ für sowas (Anmerkung: Sie existiert erst seit Ende der 90er)…

Das ist die Folge von „partiellem“ Sicherheitsdenken, welches das Sicherheitsbewusstsein insgesamt absenkt. Bequemlichkeit ist halt stärker,als Vernunft.

Schreibt derjenige welcher angeprangert hat das SMB/CIFS mit zwei Windows Rechnern im Freifunk nicht geht, weil sie sich nicht sehen.

Anyway, Sicherheit geht halt nicht bequem. Vor allem wenn man nicht anfängt altes über Bord zu werfen und Sicherheit immer nur an bestehendem dranne flickt. Ich würde gerne mit einem Großteil der Menschen verschlüsselt kommunizieren. Ende zu Ende. Aber kein Mensch will z.B. PGP einsetzen. Ich würde gerne meine Private Homepage via HTTPS verfügbar machen. Baue ich mir eigene Zertifikate, kommt ne Warnung im Browser. Nen kostenloses bekomme ich nur bei ner Israelischen Firma und muss es jedes Jahr erneuern. Und andere wollen dafür Geld sehen.

Bei der Sicherheit von Endgeräten sehe ich eindeutig die Hersteller in der Pflicht. Kann eigentlich nicht sein das ein zwei Jahre altes Smartphone keine Updates mehr bekommt. Klar ist es das Ziel der Hersteller mit geplanter Obsoleszenz, auch im Softwarebereich, dafür zu sorgen das der Kunde baldmöglichst das Nachfolge Modell kauft.

Auf meine Smartphones selber packe ich nur die nötigsten Apps. Keine Spiele, keine Funapps keine System Optimierungs Apps und bei den Produktiven Apps schaue ich erst mal ganz genau ob ich es wirklich brauche. Zudem ist es gerootet und die Dreingaben des Herstellers sind deinstalliert/gelöscht.

Eigentlich ist es die Faulheit der Menschen sich richtig zu informieren. Dabei haben wir mit dem Internet eine schier unerschöpfliche Informationsquelle. Allerdings muss man da auch wieder in der Lage sein, die guten und schlechten Infos für sich selbst entsprechend zu filtern.

nicht angeprangert. Lass doch mal diese unsachliche Polemik.
Ich hab gefragt, weil ich darüber bei KBU gestolpert war und wollte eine Erklärung, was wie und was nicht warum.
Aber mittlerweile werden ja schon technische Fragen als Angriff verstanden, weil Flamen ja einfacher ist, als eine verständliche Erklärung abzugeben.

Leicht zu beantworten ist die Wlan Sicherheitsfrage nicht. Je mehr Apps es gibt wie z.B. „dsploit“, die es einem normalen Endanwender ermöglichen im Wlan mitzuhören, um so mehr werden bekannte, öffentliche, unverschlüsselte Wlans wie FF ins Fadenkreuz geraten.
Besser wäre es wenn FF einen VPN Tunnel bis zum Endgerät anbieten würde (native vpn protokolle). Zumindest hätte denn der Endbenutzer die Möglichkeit sich zu schützen. Wenn er es nicht macht, ist er eben selbst Schuld.
Gewerbliche VPN Anbieter sind teilweise teurer als eine Flatrate fürs
Smartphone.
Vielleicht ein Ansatzpunkt für Freifunk für ein „FREIES und SICHERES“ Netz.