Sicherheit & Privatsphäre Archive - Seite 2 von 2

Das Ende einer modernen Legende: Gelöscht ist gelöscht!

20. Januar 2009 von The Open Source Guy

Auch in diesem Blog sind schon Tools vorgestellt worden, mit denen Daten sicher gelöscht werden können: Eraser und DBAN. Und auch ich habe in diesem Zusammenhang die alte Regel wiederholt, dass Daten nur dann endgültig gelöscht sind, wenn man sie mehrfach durch Zufallsdaten überschrieben hat.

Nun zeigt eine Studie von Craig Wright, dass diese Behauptung empirisch nicht zu belegen ist – das einmalige Überschreiben mit Nullen reicht absolut aus. Die Chance, ein einzelnes Bit korrekt zu rekonstruieren, ist zwar noch leicht grösser als 50%, für relevante Datenmengen tendiert diese Wahrscheinlichkeit jedoch sehr rasch gegen Null.

Zeit also, von dieser modernen Legende Abschied zu nehmen. Folgende zwei Regeln haben allerdings weiterhin Gültigkeit:

Das normale Löschen einer Datei über den Papierkorb ist nicht sicher: Auch wenn der Papierkorb geleert wurde, ist die Datei – sofern das Betriebssystem die betreffenden Sektoren auf der Festplatte inzwischen nicht für andere Daten genutzt hat – mit einfachen Tools wiederherstellbar.
Oft existieren von einer Datei diverse Kopien – in Form von Backups, temporären Dateien, Browser Caches, Auslagerungsdateien etc. Diese zu finden ist erheblich schwieriger und stellt bei wirklich sensitiven Daten ein erhebliches Sicherheitsrisiko dar.

Eraser: Daten sicher löschen

21. November 2008 von The Open Source Guy

Auf einen kurzen Nenner gebracht gibt es im Umgang mit Daten zwei grosse Herausforderungen: sie sicher zu speichern (so lange man sie braucht) und sie sicher zu löschen (sobald man sie nicht mehr braucht). Eraser von Heidi Computers Ltd. ist eine Software, die letzteres unterstützt.

Insbesondere wenn man Datenträger verkauft oder verschenkt sollte man nie vergessen, dass das Löschen einer Datei nicht viel mehr bewirkt als sie im Dateisystem als “gelöscht” zu markieren. Auch nach dem Leeren des Papierkorbs ist es ein Leichtes, solche Dateien wiederherzustellen. Erst wenn man die gesamte Datei mehrfach mit Zufallsdaten überschrieben hat ist eine Wiederherstellung der Daten praktisch ausgeschlossen. Hierzu gibt es unterschiedliche Algorithmen und Methoden für unterschiedliche Sicherheitsbedürfnisse.

Eraser fällt durch eine sehr übersichtliche und leicht verständliche Benutzeroberfläche auf: Auch ohne einen Blick in die Dokumentation versteht man auf Anhieb, was man damit machen kann. Zentral ist die Auswahl der Daten, die gelöscht werden sollen: Dies kann der unbenutzte Speicherplatz auf einem Laufwerk, der Inhalt eines bestimmten Ordners oder eine einzelne Datei sein. Spezialisten können auch zwischen verschiedenen Algorithmen (Guttmann, Pseudorandom Data, US DoD 5220-22.M) wählen. Löschaufträge werden in einer Liste abgelegt, die dann einmalig oder regelmässig abgearbeitet wird. Anschliessend kann der Rechner automatisch heruntergefahren werden.

Falls man eine Festplatte komplett löschen möchte, dann muss man den Rechner von einem externen Datenträger booten. Zu diesem Zweck kann man mit Eraser eine bootfähige Floppy Disk erstellen, welche auch gleich die notwendige Software für diesen Vorgang enthält. Eraser greift dabei auf Darik’s Boot and Nuke zurück, das in diesem Blog früher schon einmal vorgestellt wurde (vgl. DBAN: Daten sicher löschen).

Eraser läuft auf allen Windows-Version ab Windows 95, unterstützt die Dateisysteme FAT32 sowie NTFS und unterliegt der GNU General Public Licence.

DBAN: Daten sicher löschen

27. Dezember 20086. August 2008 von The Open Source Guy

Wer seinen alten Computer weiterverkauft oder entsorgt tut gut daran, seine Daten zu löschen – und zwar richtig zu löschen. Denn weder das Verschieben der Dateien in den Papierkorb noch das Formatieren eines Datenträgers sind sichere Methoden. Wirklich zuverlässig ist nur das Überschreiben der gesamten Festplatte mit Zufallsdaten, und zwar möglichst in mehreren Durchgängen.

DBAN ist eine Software, die genau dies tut. Über den mitgelieferten Installer wird eine bootfähige Floppy-Disk (oder ein bootfähiger USB-Stick) erzeugt, welche ein schlankes Linux sowie das Tool selbst enthält. Startet man den Rechner dann von diesem Boot-Medium, bekommt man eine simple Benutzeroberfläche, welche die Auswahl der zu formatierenden Festplatte sowie der zu verwendenden Methode bietet.

So lange man sich nicht den Kopf darüber zerbricht, welcher der verschiedenen Methoden denn nun die höchste Sicherheit bietet, ist DBAN ein sehr einfach handhabbares Programm, das seinen Zweck bestens erfüllt und einem das gute Gefühl gibt, seine Privatsphäre angemessen geschützt zu haben.

TrueCrypt: Vertrauliche Daten durch Verschlüsselung schützen

16. Juni 2008 von The Open Source Guy

Es passiert sogar den Profis: Immer wieder liest man davon, dass irgendwo hochsensible Daten verloren gegangen sind – manchmal auf unerklärliche Weise, manchmal durch Diebstahl, manchmal schlicht wegen eines vergessenen Notebooks.

Was Profis passieren kann, passiert einem durchschnittlichen Computer-Benutzer erst recht. Und wenn man sich überlegt, wieviele Notebooks, CDs und USB-Sticks täglich durch die Welt getragen werden, dann dürften jedes Jahr viele MByte an vertraulichen Daten unfreiwillig den Besitzer wechseln. Das kann man nicht ganz verhindern – aber man kann zumindest durch geeignete Verschlüsselung dafür sorgen, dass verlorene Daten vom Finder nicht gelesen werden können und sich der Schaden somit auf den Verlust der Hardware beschränkt.

Wer eine Open-Source-Lösung zur Datenverschlüsselung sucht, stösst unweigerlich auf TrueCrypt, das für Windows Vista und XP, für Mac OS X und für Linux verfügbar ist. TrueCrypt bietet nicht nur eine Fülle unterschiedlicher Verschlüsselungs- und Hash-Algorithmen (deren Unterschiede man als Nicht-Mathematiker kaum versteht), sondern auch ganz verschiedene Konzepte, wie Daten verschlüsselt werden. Das Programm kann

eine verschlüsselte Datei anlegen, die anschliessend als Laufwerk gemountet wird (wobei die Datei wahlweise auch noch unsichtbar gemacht werden kann)
eine ganze Datenpartition verschlüsseln
eine System-Partition bzw. eine ganze physische Festplatte verschlüsseln (und so den Zugang zu einem kompletten System abriegeln)

TrueCrypt wirkt durchdacht und vielseitig, und die entscheidenden Bedienungsschritte sind durch Assistenten bestens geführt. Insofern gehört diese Software zur Standardausrüstung von allen sicherheitsbewussten Computer-Anwendern.

E-Book über OpenID

10. Dezember 2007 von The Open Source Guy

Wer sich vertieft mit dem offenen Single-Sign-on-System OpenID auseinandersetzen will (oder muss), findet im Buch von Rafeeq Ur Rehman ausreichend Material: Auf rund 220 Seiten behandelt er dieses nicht ganz einfache (aber wichtige) Thema. Das Buch ist in englischer Sprache geschrieben und umfasst die folgenden Kapitel:

Introduction to OpenID
Authentication and Authorization
OpenID Protocol and Messages
Creating OpenID Consumer Websites
Running OpenID Server
OpenID Extensions
OpenID as Enterprise Solution
OpenID Protocol Miscellaneous Topics

Das Buch kann unter www.openidbook.com frei heruntergeladen werden, unterliegt aber dem Copyright und wird als Draft bezeichnet. Publiziert wird es von Conformix Technologies, einem Technologieberatungsunternehmen, das sich unter anderem auf Open Source und IT Security spezialisiert hat.

OpenID: Offenes Single-Sign-On-System

24. September 2007 von The Open Source Guy

Wer das Web intensiv nutzt hat rasch Dutzende von Accounts beisammen. Und weil es sicherheitstechnisch nicht zu empfehlen ist, auf unterschiedlichen Plattformen dieselben Login-Daten zu benutzen, muss man sich eine Vielzahl von Passwörtern merken. Das ist mühsam und führt am Ende oft dazu, dass man unvorsichtig mit seinen Login-Daten umgeht (z.B. indem man die Passwörter im Web-Browser speichert oder auf ein Post-It notiert).

Mit Passport startete Microsoft bereits vor einigen Jahren den Versuch, eine zentrale Authentifizierungsstelle aufzubauen. Mit einem Passport-Account loggt man sich nur einmal ein und gilt dann gegenüber allen Partner-Websites als authentifiziert. Dieses sogenannte Single Sign-On (SSO) ist zwar praktisch, dass aber ausgerechnet Microsoft mit einer proprietären Lösung alle digitalen Identitäten dieser Welt verwalten wollte konnte niemanden so richtig überzeugen. Deshalb darf man Passport heute als gescheitert betrachten.

OpenID verfolgt ein ähnliches Prinzip, hat aber den entscheidenden Vorteil, dass es auf offenen Standards basiert und zudem dezentral funktioniert. Letzteres bedeutet, dass es keine zentrale Verwaltung aller Accounts gibt, sondern im Prinzip jeder einen OpenID-Server aufbauen kann, zumal die entsprechende Technologie frei verfügbar und vergleichsweise einfach ist. Man kann somit seine Login-Daten entweder beim OpenID-Provider seines Vertrauens hinterlegen oder gleich seinen eigenen OpenID-Server betreiben. Ein Blick in OpenID-Verzeichnisse wie myOpenID oder OpenIDDirectory zeigt, dass System bereits gut akzeptiert wird.

WordPress Scanner: Sicherheitslücken in WordPress-Blogs aufspüren

12. August 2007 von The Open Source Guy

Der WordPress Scanner ist ein Tool, um Schwachstellen in einer WordPress-Installation zu finden und die notwendigen Gegenmassnahmen zu ergreifen. Der Scanner läuft auf BlogSecurity.net und kann per URL auf das eigene Blog geschickt werden. Das Resultat ist ein übersichtlicher Report, der Sicherheitslücken auflistet und Ratschläge für deren Behebung enthält.

Damit der Scanner nicht zum Ausspähen von Angriffspunkten auf fremden Blogs missbraucht wird, muss der Scanner über das Tag <!– wpscanner –> explizit zugelassen werden. Dies kann man manuell direkt im Template tun oder über das Plug-In “wp-scanner activator”, das man ebenfalls bei BlogSecurity.net herunterladen kann.

Tor: Privatsphäre schützen im Internet

29. Juli 2007 von The Open Source Guy

Freiheit hat im Zusammenhang mit Tor eine doppelte Bedeutung: Einerseits ist Tor freie Software mit einer BSD-Lizenz – andererseits ist Tor ein System, welches die Anonymität und damit die Freiheit der Internet-Benutzer schützen hilft. Das Projekt ist mit der Electronic Frontier Foundation EFF verbunden, welche sich mit Persönlichkeitsrechten in der digitalen Welt beschäftigt.

Ähnlich wie andere Peer-to-Peer-Ansätze arbeitet Tor nicht mit einem zentralen Server, sondern mit einem Netz von normalen PCs, die als Knoten fungieren und einen Teil Ihrer Rechenleistung und Bandbreite zur Verfügung stellen. Wie das funktioniert, zeigt obiges Schema: Wenn Alice auf den Server von Bob zugreifen will, erfolgt die Verbindung verschlüsselt über eine zufällige Auswahl von Tor-Knoten.

Einen Tor-Knoten kann jeder einrichten – ohne besondere technische Kenntnisse und unabhängig vom Betriebssystem (Tor unterstützt Windows, Mac OS X und Unix/Linux). Und je mehr es sind, desto besser funktioniert das System. Tor und die Benutzeroberfläche Vidalia kann man hier hierunterladen. Und ein Interview mit dem Tor-Präsidenten Roger Dingledine gibt es bei netzpolitik.org:

(via Stefon’s Blog)

Open Source Essentials: KeePass

20. März 20087. Januar 2007 von The Open Source Guy

Der moderne Mensch verfügt über eine Vielzahl von Passwörtern, Seriennummern, PINs und Kreditkartennummern, die er sich unmöglich alle merken kann. Das verleitet dazu, immer dasselbe Passwort zu verwenden oder Passwörter auf Post-Its zu schreiben und diese an den Bildschirm zu kleben. Beides ist sicherheitstechnisch fahrlässig – und auch nicht nötig, den schliesslich gibt es Programme, welche Passwörter sicher verwalten.

Der beste Password Manager mit Open-Source-Lizenz ist KeePass von Dominik Reichl. Vom Entwickler selbst gibt es nur eine Windows-Version, auf der offiziellen Website werden aber auch Ports und Builds für Mac OS X, Linux, PocketPC und PalmOS aufgeführt.

Das Prinzip ist einfach: Alle Passwörter werden in einer verschlüsselten KeePass-Datenbank gespeichert, die nur mit einem Master-Passwort zu öffnen ist. Die Verschlüsselung erfolgt wahlweise über den Advanced Encryption Standard (AES) oder den Twofish-Algorithmus. Besonders sicherheitsbewusste Anwender wählen zusätzlich die Option, dass die Datenbank nur dann geöffnet werden kann, wenn eine zusätzliche Schlüsseldatei gefunden wird, die man beispielsweise auf einem USB-Stick oder einer CD ablegt. Ansonsten ist das Programm absolut selbsterklärend, schnell und attraktiv gemacht.