Christoph Daum ist das passiert, was durch die mobile Nutzung des Internets in den nächsten Jahren noch viel mehr ansteigen wird: Ihm wurde sein Notebook gestohlen. Auf dem Laptop befanden sich sensible Daten, wie sein Arbeitsvertrag mit Fenerbahce Istanbul, wichtige Telefonnummern von Fußballspielern und Beratern, Trainingspläne und ein Entwurf seines Testaments. TrueCrypt hat er offensichtlich nicht benutzt, sonst wären diese Einzelheiten nicht an die Öffentlichkeit gelangt. An diesem prominenten Beispiel zeigt sich, wie wichtig die Datenverschlüsselung ist. Unser ausgelagertes Gehirn muss vor fremden Zugriff, seien es der Staat, Unternehmen oder unsere eigene Dummheit, geschützt werden.

Weiterlesen: »Christoph Daum – Hätte er doch besser TrueCrypt benutzt«

Christoph Daum, Daten, Datenschutz, Diebstahl, Laptop, Notebook, Privacy, Privatsphäre, TrueCrypt, Verschlüsselung

Okay, nun weiß es auch der Letzte. Aber mal im Ernst: Wer kennt sie nicht, die monatlichen Artikel der PC-Zeitschriften. Sei es nun die PC-Welt, die CHIP oder andere – sie überbieten sich monatlich mit den wahnwitzigsten Überschriften und Artikeln. Mit jeder neuen Ausgabe erfahren wir, wie man auf welche Art und Weise Programme freischaltet, auf welchen chinesischen Server Microsoft, Adobe & Co. als Sicherheitskopie liegen, kurz: wie der IT-Junkie an seinen Stoff kommt. Auf den jeweiligen Webseiten geht es ähnlich zu. Unzählige Klickstrecken, Download-Specials – viel ist dort zu finden, nur meiner Meinung nach eben kein Journalismus. Die PC-Welt hat gerade mal wieder eine Idee, wie sie noch niemand vor ihr hatte. Eine Klickstrecke zu gute Tools, böse Tools. Man ahnt schon, was man dort findet – und doch, diesmal überrascht uns die PC-Welt. Böse Tools sind laut der PC-Zeitschrift nämlich auch Tools zum Verschlüsseln, wie zum Beispiel Cyberghost VPN. Eine Begründung wird mitgeliefert:

Weiterlesen: »Ich bin böse«

Gpg4win, Kompetenz, PC-Welt, Privacy, Privatssphäre, Verschlüsselung

Ich spare mir heute einmal große Worte über das beste Verschlüsselungsprogramm was gibt, TrueCrypt. Das haben wir bereits an anderer Stelle ausgiebig getan. Gestern wurde die Version 6.1a veröffentlicht, wie immer wird ein Update dringend empfohlen. Changelog:

Improvements, bug fixes, and security enhancements:

• Minor improvements, bug fixes, and security enhancements.  (Windows, Mac OS X, and Linux)

Note: If you are using an older version of TrueCrypt, it is highly recommended that you upgrade to the latest stable version.

TrueCrypt Homepage
TrueCrypt Download
TrueCrypt Portable

TrueCrypt-Anleitung
TrueCrypt-Anleitung: Container und Hidden Volume
TrueCrypt-Anleitung: Verwendung von Keyfiles (Schlüsseldateien)
TrueCrypt-Anleitung: Verschlüsselung der Systempartition
TrueCrypt 5 auf dem Mac und wie man es benutzt

Datenschutz, Privacy, TrueCrypt, Update, Verschlüsselung

Eigentlich hatte ich die Hoffnung ja schon aufgegeben. Über ein Jahr ist es her, dass es bei Gpg4win ein Update gab. Die Version 1.1.3 war die letzte offiziell veröffentlichte Version. Nun aber, wurde die 1.9.12 Beta vorgestellt. Natürlich wird davor gewarnt, die Beta produktiv einzusetzen. Die Anmerkungen zu der Version sind hier zu finden. Falls wer Gpg4win noch nicht kennt:

Gpg4win ist ein Installationspaket für Windows (2000/XP/2003/Vista) mit Computer-Programmen und Handbüchern für E-Mail- und Datei-Verschlüsselung. Die beiden relevanten kryptographischen Standards OpenPGP und S/MIME werden unterstützt (letzterer ist in Arbeit und funktioniert aktuell mit GnuPG2 und Claws Mail). Gpg4win und die in Gpg4win enthaltene Software sind Freie Software.

Gpg4win Homepage
Gpg4win Download
Gpg4win 1.9.12 Beta (EXE, 32 MB)

Datenschutz, Gpg4win, GPL, Privacy, Update, Verschlüsselung

Es wird immer grandioser – gestern wurde TrueCrypt 6.1 zur Veröffentlichung freigegeben. Die von allen Windows-Nutzern am meisten gewünschte Änderung, ist nun auch Realität: Das (nachträgliche) Verschlüsseln von Nicht-Systempartitionen ohne Datenverlust – leider nur unter Vista. TrueCrypt dürfte eines der besten Opensource-Programme ever sein. (via)

TrueCrypt Home
TrueCrypt Changelog
TrueCrypt Download

TrueCrypt-Anleitung
TrueCrypt-Anleitung: Container und Hidden Volume
TrueCrypt-Anleitung: Verwendung von Keyfiles (Schlüsseldateien)
TrueCrypt-Anleitung: Verschlüsselung der Systempartition
TrueCrypt 5 auf dem Mac und wie man es benutzt

Datenschutz, Privacy, TrueCrypt, Update, Verschlüsselung

Incognito ist eine Live-Scheibe, welche auf Gentoo basiert und einmal gestartet Traffic jeglicher Natur nur verschlüsselnderweise weiterreicht. Dargereicht werden keine kryptisch zu bedienenen Tools, sondern Dinge welche der Normalsterbliche in der Regel auf seinem 08/15 Desktop vorfindet. U.a.: Browser, IRC, Instant Messenger¹, Mail² etc. pp. Das dabei Tor zum Einsatz kommt dürfte klar sein und bei Mail bedient man sich Mixminions, um auch die Mail tatsächlich anonymisiert weiterzureichen³. Selbst der Speicher wird gelöscht, um diverse forensische Praktiken im Nachhinein zu vereiteln.

Natürlich nützt all die Sicherheit im Vorfeld rein gar nichts, wenn der User profilrelevante Inhalte veräußert oder aber kompromittierende Dienste/Technologien nutzt, die die just gewonnene Anonymität ad absurdum führt – Adobe Flash, Javascript, Cookies … um nur die markantesten zu nennen. CSLite⁴ und Noscript⁵ beispielsweise versprechen üblicherweise in Firefox zusätzlichen Schutz, sofern nicht ob der Bequemlichkeit ausgehebelt, sprich deaktiviert. Die Funktionalitäten der beiden Extensions werden in der vorliegenden Version mittels TorButton gewirkt.

Unter der Haube wird wie eingangs erwähnt Gentoo offeriert, kurzum ein Gnu/Linux, bei welchem der Kernel 2.4.24 zum Einsatz kommt inkl. Gentoo-Patches und jeder Menge zusätzlicher Treiber. Ansonsten findet man gewohnte Dinge vor, wie z.B. Thunderbird 2.0.0.14, Firefox 2.0.0.16, TrueCrypt 6.0a, Vidalia 1.6, Tor 0.2.0.30, XChat, Pidgin und natürlich die Oberfläche in Form von KDE 3.5.9.

Das 421Mb große Image kann man dort von einigen Mirrors herunterladen und einmal gebrannt genügt tatsächlich ein Einlegen der CD und Neustarten des Rechners – et voila: security Eine Einleitung zum System wird zu Beginn gestartet.

Passend für unterwegs, auf dem USB-Stick, der CD, auf dem heimischen Rechner um mal eben die Tarnkappe überzustreifen etc. Die möglichen Anwendungen sind mannigfaltiger Natur, die Gründe Legion.

1. optional OTR/GPG [↩]
2. optional GPG [↩]
3. voraussgesetzt die Nachricht per se läßt keine Rückschlüsse zu [↩]
4. Cookie-Filter [↩]
5. Script-Filter/Blocker, auch Flash [↩]

Gentoo, Incognito, Linux, Live-Distro, Verschlüsselung

OpenSSH kommt wie üblich zum einen als Version für das Muttersystem (OpenBSD), zum anderen als portable Version für Linux, Solaris, MacOS X, Windows etc. daher. In puncto Sicherheit etc. sind selbstredend wieder diverse Fortschritte zu verzeichnen, herausragendstes Merkmal jedoch dürfte die SSH Fingerprint ASCII Visualisation sein. Im Moment wird diese jedoch nicht per default genutzt. Weitere Details in puncto Features bzw. zusätzlicher Optionalitäten lassen sich dort en Detail nachlesen. Donations kann man ebenso wie üblich an dieser Stelle loswerden und in Anbetracht der massiven Nutzung quer durch die Bank aller erdenklicher Mobilsysteme ob Server, Desktop oder Mobilgerät wäre dies durchaus ab und zu angebracht.

Opensource, OpenSSH, SSH, Verschlüsselung

Das ging ja schnell. Nach der 6.0 wurde nun die 6.0a nachgeschoben. Diese Version dürfte dann nun auch für den produktiven Einsatz zu empfehlen sein – wie immer bei TrueCrypt. Nach dem  Release das erste Bugfix abwarten. Changelog.

TrueCrypt Home

TrueCrypt Download

TrueCrypt-Anleitung

TrueCrypt-Anleitung: Container und Hidden Volume

TrueCrypt-Anleitung: Verwendung von Keyfiles (Schlüsseldateien)

TrueCrypt-Anleitung: Verschlüsselung der Systempartition

TrueCrypt 5 auf dem Mac und wie man es benutzt

TrueCrypt, Update, Verschlüsselung

Wie fefe berichtet, ist es möglich komprimierte VoIP-Gespräche zu erraten. Wobei VoIP immer komprimiert daher kommt, jedoch soll dies nun mit variabler Bitrate geschehen. Nachteil: anhand der Paketgröße lassen sich Phrasen erraten.

Einen Ein- bzw. Ausblick hält fefe auch noch bereit,

Solche Angriffe gibt es immer wieder. Den bisher spektakulärsten fand ich einen, der anhand des Timings der Pakete bei einer SSH-Sitzung über Wahrscheinlichkeiten und Tastenabstände getippte Worte rekonstruiert hat, und sogar Passwörter raten bzw den Suchraum stark einschränken konnte.

Das generelle Problem von Timingangriffen betrifft auch z.B. TOR, was ja immer wieder gerne als Lösung für anonymes Webklicken empfohlen wird. Aus den Paketen läßt sich der einzelne User gut rekonstruieren. Aus der Ecke wird noch einiges auf uns zukommen.

Da kommen wirklich interessante Zeiten auf uns zu, im Prinzip setzt nur die Fantasie Grenzen.

Weitere Infos:

• Bruce Schneier: VoIP Encryption
• CircleID: Examining Two Well-Known Attacks on VoIP
• Grundlagen der IP-Telefonie

Verschlüsselung, VoIP

Durch den Einsatz von Kryptographie und alternativen Anwendungen kann man die Angriffsflaeche gegenueber Aggressoren minimieren. Doch was nuetzen die vorgestellten sicheren Systeme, wenn die Sicherheitsluecke vor dem Monitor sitzt? Von Stefan erfahren wir mehr ueber die Kunst, ein starkes Passwort zu finden und zu schuetzen.

pofacs

Musikvideo: Adobe Flash Player (Version 9 oder höher) wird benötigt um dieses Musikvideo abzuspielen. Die aktuellste Version steht hier zum herunterladen bereit. Außerdem muss JavaScript in Ihrem Browser aktiviert sein.

Wer dieser Stefan ist erfährt man z.B. auf dessen Homepage, auf der man übrigens auch ein recht nettes Tool in Form einer sehr kleinen NetBSD LiveCD vorfindet: Schrubber. Ein Kenner der Materie eben …

Podcast, Pofacs, Verschlüsselung

Nicht nur beim gemeinen Volk tut Verschlüsselung Not selbst beim profanen Email-Verkehr. Erst recht sollte dies Pflicht sein, wenn der Inhalt heikler Natur ist z.B. im folgenden Beispiel einer wiederholt aufgetretenen Bespitzelung durch den BND. Diese Praxis ist leider jedoch noch nicht usus, noch nicht einmal bei der Presse, welche doch recht oft mittels Informanten etc. arbeitet. Der BND hingegen ist schon recht geübt in derlei Maßnahmen, im Moment besteht der Vorteil auf der einen Seite einzig ob der Ignoranz auf der anderen Seite.

Die Reporterin habe über Mails in Kontakt mit afghanischen Politikern gestanden. Nach Angaben von Uhrlau sei die elektronische Post zwischen dem 7. Juni und dem 29. November mitgeschnitten worden.

SZ

Übrigens zeigt sich hier wiederum eines, ein Geheimdienst widerspricht jeglichen demokratischen oder gar freiheitlichen Prinzipien.

BND, Staat, Verschlüsselung