Antiviren-Programme sind Schlangenöl

Ein Virenscanner (oder eine Sicherheitssuite) ist halt ein weiteres Stück Software, welches auf einem Rechner installiert wird und welches – zwangsläufig – eine Schnittstelle ins Internet hat.
Und mit einer solchen zusätzlichen Software mit einer solchen Schnittstelle ins Internet biete ich einfach weitere Angriffspunkte auf mein System und damit auf meine Daten.
Neben dieser notwendig vorhandenen Schnittstelle ins Internet, ist das Stück Software, was der Virenscanner (oder Sicherheitssuite) halt ist, einfach fehlerhaft.
Und fehlerhafte Software ist ein weiterer Angriffspunkt.
Gerade ist so etwas mal wieder bei Kasperskys Produkt aufgetreten…
Antivirus is „dead“ (Brian Dye, Symantec).
Wenn solche Aussagen sogar schon aus den hohen Rängen der Schlangenöl-Hersteller kommen, kann der geneigte Privatsphären-Schützer davon ausgehen, dass eine solche Sicherheitssuite alles mögliche tut – nur nicht die Sicherheit der Privatsphäre zu erhöhen…
Dieser Kommentar von Brian Dye ist auch damit zu begründen, dass signaturbasierte Lösungen – und so arbeiten Virenscanner nun einmal – einfach nicht mehr zeitgemäß sind.
Zum einen finden schon etliche Sicherheitslösungen nicht einmal alle bekannten Signaturen. Aber was noch viel gravierender ist, dass moderne Angriffe Zero-Day-Attacken sind.
Und – wie der Name schon suggeriert – ist eine Zero-Day-Attacke  einfach noch nicht aufgetreten und kann aus diesem Grund auch nicht in den Signatur-Bibliotheken der Schlangenöl-Hersteller vorhanden sein…
Die Sicherheit unserer Daten und unserer Privatsphäre liegt vollständig in unserer eigenen Hand. Wir müssen einfach wieder lernen zu unterscheiden, welche Seiten wir besuchen, welche Anhänge wir öffnen und welche Apps wir auf unseren Funkgeigen installieren.
Wir dürfen uns nicht der Illusion hingeben, dass fehleranfällige (oder mit Backdoors versehene…) Tools (und das ist jede Software) wie Antiviren-Programme, uns vor digitalen Angriffen schützen.
Darüber hinaus sind wir mittlerweile mit Antivirus-Produkten nicht nur verraten, sondern mittlerweile auch verkauft: das macht jetzt nämlich AVG mit seinem aktuellen Produkt.
AVG hat seine Datenschutzrichtlinie entsprechend angepasst und verkauft jetzt die Nutzerdaten an Werbetreibende.
Damit zeigt sich auch hier, es gibt nichts kostenlos – weder in der realen Welt noch im virtuellen Raum. Denn wenn du nicht dafür bezahlst, bist du nicht der Kunde, sondern das Produkt.
…denn noch nicht einmal der Tod ist kostenlos, der kostet dich dein Leben…

Antiviren-Programme sind Schlangenöl

Ein Virenscanner (oder eine Sicherheitssuite) ist halt ein weiteres Stück Software, welches auf einem Rechner installiert wird und welches – zwangsläufig – eine Schnittstelle ins Internet hat.
Und mit einer solchen zusätzlichen Software mit einer solchen Schnittstelle ins Internet biete ich einfach weitere Angriffspunkte auf mein System und damit auf meine Daten.
Neben dieser notwendig vorhandenen Schnittstelle ins Internet, ist das Stück Software, was der Virenscanner (oder Sicherheitssuite) halt ist, einfach fehlerhaft. Und fehlerhafte Software ist ein weiterer Angriffspunkt. Gerade ist so etwas mal wieder bei Kasperskys Produkt aufgetreten…
Antivirus is „dead” (Brian Dye, Symantec).
Wenn solche Aussagen sogar schon aus den hohen Rängen der Schlangenöl-Hersteller kommen, kann der geneigte Privatsphären-Schützer davon ausgehen, dass eine solche Sicherheitssuite alles mögliche tut – nur nicht die Sicherheit der Privatsphäre zu erhöhen…
Dieser Kommentar von Brian Dye ist auch damit zu begründen, dass signaturbasierte Lösungen – und so arbeiten Virenscanner nun einmal – einfach nicht mehr zeitgemäß sind.
Zum einen finden schon etliche Sicherheitslösungen nicht einmal alle bekannten Signaturen. Aber was noch viel gravierender ist, dass moderne Angriffe Zero-Day-Attacken sind. Und – wie der Name schon suggeriert – ist eine Zero-Day-Attacke  einfach noch nicht aufgetreten und kann aus diesem Grund auch nicht in den Signatur-Bibliotheken der Schlangenöl-Hersteller vorhanden sein…
Die Sicherheit unserer Daten und unserer Privatsphäre liegt vollständig in unserer eigenen Hand. Wir müssen einfach wieder lernen zu unterscheiden, welche Seiten wir besuchen, welche Anhänge wir öffnen und welche Apps wir auf unseren Funkgeigen installieren.
Wir dürfen uns nicht der Illusion hingeben, dass fehleranfällige (oder mit Backdoors versehene…) Tools (und das ist jede Software) wie Antiviren-Programme, uns vor digitalen Angriffen schützen.
Darüber hinaus sind wir mittlerweile mit Antivirus-Produkten nicht nur verraten, sondern mittlerweile auch verkauft: das macht jetzt nämlich AVG mit seinem aktuellen Produkt. AVG hat seine Datenschutzrichtlinie entsprechend angepasst und verkauft jetzt die Nutzerdaten an Werbetreibende.
Damit zeigt sich auch hier, es gibt nichts kostenlos – weder in der realen Welt noch im virtuellen Raum. Denn wenn du nicht dafür bezahlst, bist du nicht der Kunde, sondern das Produkt.
…denn noch nicht einmal der Tod ist kostenlos, der kostet dich dein Leben…

Selfies kill Privacy

Bilder bei Instagram posten ist ja so viel Fun! Yay!
…entschuldigung, da ist mir die Zynismus-Sicherung durchgeknallt…
Nein, ganz ehrlich, es ist ja wirklich schön, mit seinen Lieben die Urlaubserlebnisse visuell zu teilen, oder das tolle Essen welches mir gerade serviert wurde.
Aber…
Großes Aber, denn wer hier seine Fotos mit der ganzen Welt teilt, sollte sich bewusst sein, dass er nicht nur das sichtbare Bild hochlädt.
Nein, denn im Hintergrund werden mit dem Bild noch eine ganze Menge Metadaten mit übertragen. Diese Daten verraten einiges über die Kamera, mit der dieses Bild gemacht wurde. Schon das allein interessiert die Datenkraken sehr, denn dann können sie das Profil, welches sie über mich erstellen, noch weiter verfeinern. Zum Beispiel, indem mir passgenau Werbung zu meinem Tablet oder meiner Funkgeige reingedrückt wird.
Was jedoch noch wesentlich interessanter ist, dass hier auch das Datum und die genaue Uhrzeit vermerkt ist, wann dieses Bild entstanden ist…
Schon das ist ein Datenpunkt, welchen ich nicht so gerne freiwillig preisgebe, sagt es doch schon sehr viel mehr über die Umstände des Fotos aus als das Bild allein verrät.
Das ist aber immer noch nicht alles. Es wird noch deutlich schlimmer.
Die Metadaten des Bildes verraten auch die exakte geographische Position, wo dieses Foto aufgenommen wurde.
Also haben wir jetzt durch die Anmeldedaten von Instagram, dem Zeitstempel und der geographischen Koordinaten eine wundervolle Möglichkeit der Überwachung geschaffen…und wir füttern diese Überwachung auch noch freiwillig und mit ganz viel Spaß dabei.
Yay!
So, ist uns jetzt ein bisschen übel geworden und haben wir jetzt ein klein wenig Schwindelgefühle?
Also mir ging es jedenfalls so, als mir das zum ersten Mal bewusst wurde.
Aber zum Glück sind wir dieser Überwachung nicht hilflos ausgeliefert.
Ich habe an dieser Stelle drei Ideen, was wir tun können, um uns dieser Überwachung zu entziehen.
Als erste, radikale Idee (uuhh…da kommt er wieder, der Mann mit dem Aluhut…): Postet nicht jeden Scheiß. Ehrlich, kein Mensch (nicht mal du selbst) interessiert sich in fünf Minuten noch für dein tolles Selfie, das du vor dem 78. Brückenpfeiler mal wieder von dir gemacht hast.
Weniger posten bedeutet einfach weniger Datenpunkte für die Überwacher.
Is’ klar, ne?
Die nächste Möglichkeit zur Reduktion der Überwachung liegt in der Bearbeitung der Metadaten des geposteten Fotos. Diese Metadaten sind als Exif-Daten jedem Bild beigepackt. Schöne Analogie zum Beipackzettel. Liest beides kein Mensch. Diese Exif-Daten kann man sich mit passenden Tools oder auch Online-Diensten wie z.B. the eXif.er anschauen…und bearbeiten!
Ja, damit haben wir die Möglichkeit, die Metadaten unserer zu postenden Fotos zu verändern (ganz wichtig: vorher machen! Nach dem ganzen geposte sind die Metadaten schon bei den Kraken, dann isch d’ Katz da Boom nuf). Ganz praktisch, aber auch ein bissel aufwendig.
[Update]
…aber…es gibt auch praktischere Möglichkeiten der Bearbeitung der Exif-Daten direkt in der Funkgeige. Damit wird dann das aufwendige Prozedere Bild machen – auf den Rechner hochladen – Metadata bearbeiten – Bild wieder auf die Funkgeige übertrage – Bild posten – deutlich reduziert.
Für Android gibt es die App Photo Exif Editor, mit dieser wird die Bearbeitung der Exif-Daten quasi im Handumdrehen direkt auf der Funkgeige durchgeführt.
Für iOS gibt es da Photo Data by (Exiƒ Photos), das erledigt die gleichen Aufgaben 🙂
Um die Überwachung – zumindest was die geographischen Koordinaten angeht – einfach und dauerhaft zu vermeiden, reicht es, die Ortungsdienste deiner Funkgeige oder deines Tablets auszuschalten. Keine Ortungsdienste, keine geographischen Koordinaten in den Exif-Daten.
Einfach und wirkungsvoll.
Puh, glück gehabt, jetzt bleibt halt nur noch der Zeitstempel stehen, der uns halt dann doch verrät, das wir, statt im Büro zu sitzen, im Park ausspannen…aber da hilft ja dann halt doch wieder nicht posten oder die Exif-Daten korrigieren 🙂
So, und jetzt wünsche ich euch allen einen schönen Tag voll toller Erlebnisse – offline!
[Update]
Bei FreeYourData wurde dieser Tipp zum Bearbeiten der Metadaten auch für die neue Episode Instagram-Leaks verwendet 🙂
Ich wünsche viel Spaß mit dem Interview mit Tin Fischer!

Selfies kill Privacy

Bilder bei Instagram posten ist ja so viel Fun! Yay!
…entschuldigung, da ist mir die Zynismus-Sicherung durchgeknallt…
Nein, ganz ehrlich, es ist ja wirklich schön, mit seinen Lieben die Urlaubserlebnisse visuell zu teilen, oder das tolle Essen welches mir gerade serviert wurde.
Aber…
Großes Aber, denn wer hier seine Fotos mit der ganzen Welt teilt, sollte sich bewusst sein, dass er nicht nur das sichtbare Bild hochlädt.
Nein, denn im Hintergrund werden mit dem Bild noch eine ganze Menge Metadaten mit übertragen. Diese Daten verraten einiges über die Kamera, mit der dieses Bild gemacht wurde. Schon das allein interessiert die Datenkraken sehr, denn dann können sie das Profil, welches sie über mich erstellen, noch weiter verfeinern. Zum Beispiel, indem mir passgenau Werbung zu meinem Tablet oder meiner Funkgeige reingedrückt wird.
Was jedoch noch wesentlich interessanter ist, dass hier auch das Datum und die genaue Uhrzeit vermerkt ist, wann dieses Bild entstanden ist…
Schon das ist ein Datenpunkt, welchen ich nicht so gerne freiwillig preisgebe, sagt es doch schon sehr viel mehr über die Umstände des Fotos aus als das Bild allein verrät.
Das ist aber immer noch nicht alles. Es wird noch deutlich schlimmer.
Die Metadaten des Bildes verraten auch die exakte geographische Position, wo dieses Foto aufgenommen wurde.
Also haben wir jetzt durch die Anmeldedaten von Instagram, dem Zeitstempel und der geographischen Koordinaten eine wundervolle Möglichkeit der Überwachung geschaffen…und wir füttern diese Überwachung auch noch freiwillig und mit ganz viel Spaß dabei.
Yay!
So, ist uns jetzt ein bisschen übel geworden und haben wir jetzt ein klein wenig Schwindelgefühle?
Also mir ging es jedenfalls so, als mir das zum ersten Mal bewusst wurde.
Aber zum Glück sind wir dieser Überwachung nicht hilflos ausgeliefert.
Ich habe an dieser Stelle drei Ideen, was wir tun können, um uns dieser Überwachung zu entziehen.
Als erste, radikale Idee (uuhh…da kommt er wieder, der Mann mit dem Aluhut…): Postet nicht jeden Scheiß. Ehrlich, kein Mensch (nicht mal du selbst) interessiert sich in fünf Minuten noch für dein tolles Selfie, das du vor dem 78. Brückenpfeiler mal wieder von dir gemacht hast.
Weniger posten bedeutet einfach weniger Datenpunkte für die Überwacher.
Is’ klar, ne?
Die nächste Möglichkeit zur Reduktion der Überwachung liegt in der Bearbeitung der Metadaten des geposteten Fotos.
Diese Metadaten sind als Exif-Daten jedem Bild beigepackt.
Schöne Analogie zum Beipackzettel.
Liest beides kein Mensch.
Diese Exif-Daten kann man sich mit passenden Tools oder auch Online-Diensten wie z.B. the eXif.er anschauen…und bearbeiten!
Ja, damit haben wir die Möglichkeit, die Metadaten unserer zu postenden Fotos zu verändern (ganz wichtig: vorher machen! Nach dem ganzen geposte sind die Metadaten schon bei den Kraken, dann isch d’ Katz da Boom nuf).
Ganz praktisch, aber auch ein bissel aufwendig.
…aber…es gibt auch praktischere Möglichkeiten der Bearbeitung der Exif-Daten direkt in der Funkgeige.
Damit wird dann das aufwendige Prozedere Bild machen – auf den Rechner hochladen – Metadata bearbeiten – Bild wieder auf die Funkgeige übertrage – Bild posten – deutlich reduziert.
Für Android gibt es die App Scrambled Exif, mit dieser wird die Bearbeitung der Exif-Daten quasi im Handumdrehen direkt auf der Funkgeige durchgeführt.
Für iOS gibt es da Photo Data by (Exif Photos), das erledigt die gleichen Aufgaben 🙂
Um die Überwachung – zumindest was die geographischen Koordinaten angeht – einfach und dauerhaft zu vermeiden, reicht es, die Ortungsdienste deiner Funkgeige oder deines Tablets auszuschalten. Keine Ortungsdienste, keine geographischen Koordinaten in den Exif-Daten.
Einfach und wirkungsvoll.
Puh, glück gehabt, jetzt bleibt halt nur noch der Zeitstempel stehen, der uns halt dann doch verrät, das wir, statt im Büro zu sitzen, im Park ausspannen…aber da hilft ja dann halt doch wieder nicht posten oder die Exif-Daten korrigieren 🙂
So, und jetzt wünsche ich euch allen einen schönen Tag voll toller Erlebnisse – offline!

Niemals eins für alle

Passworte, oder besser noch Passphrasen, sind ein heikles Thema.
Wir alle müssen sie verwenden und für die meisten von uns ist es eine große geistige Herausforderung.
Wir sind nicht alle Gedächtnis-Experten und eine zwölf Zeichen (das ist übrigens der Standard, den das BSI empfhielt) lange sichere Kette von, ja eben Zeichen, wie a5&ck!R$9vNd zu merken ist schon eine Herausforderung…
Und es ist ja nicht eine solche Zeichenkette, die wir uns merken sollen.
Nein, es sind fünf, acht oder elf verschiedene Zeichenketten, je nachdem wie viele unterschiedliche Dienste wir nutzen und an wie vielen unterschiedlichen sozialen Netzwerken wir teilnehmen.
Da ist es nicht verwunderlich, dass wir oft dazu tendieren dasselbe Passwort immer und immer wieder zu verwenden.
Und genauso oft ist dieses Verhalten immer und immer wieder schlecht.
Aber wie kommen wir jetzt aus dieser Misere heraus?
Zunächst einmal beginnen wir mit den worten von yoda: “you must unlearn what you have learned.”
Warum? Soll ich jetzt alle meine Passwörter vergessen, die ich mir so mühevoll eingeprägt habe?
Ja!
Denn alles, was wir in den letzten zwanzig jahren über “sichere” Passwörter gelernt haben ist schlicht und einfach – falsch.
Die Passwörter die wir uns bisher gemerkt haben, haben zwei Dinge gemeinsam: Sie sind schwierig und leicht.
Leider in der falschen Verteilung, denn sie sind schwierig für einen Menschen zu merken und leicht für einen Computer zu erraten.
Ein zufälliges, zwölfstelliges Passwort ist für einen Mensch sehr schwer zu merken. Ein Computer kann dieses jedoch – ausreichend Rechenleistung vorausgesetzt – erraten.
Wenn wir jedoch eine Passphrase nehmen, also einen Satz den ich mir leicht merken kann und der keinen Zusammenhang mit mir hat, so habe ich ein Passwort, welches nahezu unmöglich zu erraten ist.
Eine schöne Zusammenfassung verschiedener Passwortstrategien habe ich hier bei MasterPasswordApp gefunden.
Wenn wir jetzt noch dazu übergehen, ein Tool einzusetzen, welches uns bei der Erzeugung und Verwaltung unserer Passwörter hilft, wie zum Beispiel MasterPasswordApp, dann haben wir unsere Passwort-Misere schon sehr gut im Griff.

Niemals eins für alle

Passworte, oder besser noch Passphrasen, sind ein heikles Thema.
Wir alle müssen sie verwenden und für die meisten von uns ist es eine große geistige Herausforderung.
Wir sind nicht alle Gedächtnis-Experten und eine zwölf Zeichen (das ist übrigens der Standard, den das BSI lange sichere Kette von, ja eben Zeichen, wie a5&ck!R$9vNd zu merken ist schon eine Herausforderung…
Und es ist ja nicht eine solche Zeichenkette, die wir uns merken sollen.
Nein, es sind fünf, acht oder elf verschiedene Zeichenketten, je nachdem wie viele unterschiedliche Dienste wir nutzen und an wie vielen unterschiedlichen sozialen Netzwerken wir teilnehmen.
Da ist es nicht verwunderlich, dass wir oft dazu tendieren dasselbe Passwort immer und immer wieder zu verwenden.
Und genauso oft ist dieses Verhalten immer und immer wieder schlecht.
Aber wie kommen wir jetzt aus dieser Misere heraus?
Zunächst einmal beginnen wir mit den worten von Yoda:

“you must unlearn what you have learned.”
Warum? Soll ich jetzt alle meine Passwörter vergessen, die ich mir so mühevoll eingeprägt habe?
Ja!
Denn alles, was wir in den letzten zwanzig jahren über “sichere” Passwörter gelernt haben ist schlicht und einfach – falsch.
Die Passwörter die wir uns bisher gemerkt haben, haben zwei Dinge gemeinsam: Sie sind schwierig und leicht.
Leider in der falschen Verteilung, denn sie sind schwierig für einen Menschen zu merken und leicht für einen Computer zu erraten.
Ein zufälliges, zwölfstelliges Passwort ist für einen Mensch sehr schwer zu merken. Ein Computer kann dieses jedoch – ausreichend Rechenleistung vorausgesetzt – erraten.
Wenn wir jedoch eine Passphrase nehmen, also einen Satz den ich mir leicht merken kann und der keinen Zusammenhang mit mir hat, so habe ich ein Passwort, welches nahezu unmöglich zu erraten ist.
Eine schöne Zusammenfassung verschiedener Passwortstrategien habe ich hier bei MasterPasswordApp gefunden.
Wenn wir jetzt noch dazu übergehen, ein Tool einzusetzen, welches uns bei der Erzeugung und Verwaltung unserer Passwörter hilft, wie zum Beispiel KeePassX, dann haben wir unsere Passwort-Misere schon sehr gut im Griff.