Mit welcher Software?
Als einfache, kostenlose Möglichkeit bietet sich GPG (GNU Privacy Guard), eine freie Alternative zu PGP (Pretty Good Privacy). Unter Linux/Unix-Systemen ist die Installation meist von Haus aus schon erfolgt und je nach Variante/E-Mail–Software ein klein wenig unterschiedlich zu bedienen. Unter Windows ist gpg4win mit Enigmail für Thunderbird einfach zu installieren und zu bedienen. Für Mac gibt es GPGMail ein Plugin für Apple Mail, das Mac GPG voraussetzt. Für Android-Telefone bietet sich k9mail mit APG an.

Technische Hintergründe
Bei GPG erstellt der Anwender ein Schlüsselpar. Den geheimen (secret) Schlüssel und den öffentlichen (public) Schlüssel. Der öffentliche Schlüssel dazu Nachrichten zu verschlüsseln und die Signatur von Nachrichten zu überprüfen. Der geheime Schlüssel dient dazu Nachrichten die mit dem dazugehörigen öffentlichen Schlüssel verschlüsselt wurde zu entschlüsseln und dazu Nachrichten zu signieren

Die „public Key“ Methode
Der öffentliche Schlüssel wird frei verteilt (u.a. über Schlüsselserver). Diesen öffentlichen Schlüssel kann jeder verwenden um die Identität des Senders einer signierten Nachricht zu überprüfen oder dem Inhaber der Identität eine verschlüsselte Nachricht zukommen zu lassen. Quasi wie ein Tressor den jeder zuschließen kann aber nur eine Person öffnen kann.

Wie stelle ich fest ob der öffentliche Schlüssel korrekt ist?
Hier gibt es zwei Möglichkeiten:

1. S/MMIME: „Secure / Multipurpose Internet Mail Extension
2. Web of Trust (OpenPGP)

Bei S/MIME handelt es sich um ein hierarchisches Vertrauenskonzept. Der Schlüssel wird von einer Organisation beglaubigt.
Beim „Web of Trust“ vertrauen die Teilnehmer sich untereinander. Das bedeutet, dass jeder Teilnehmer den Schlüssel eins anderen beglaubigen kann – es sollte davor die Identität geprüft werden. Das „Web of Trust“ lebt von eine großen Gemeinde, die sich gegenseitig überprüft.
Leider sind beide Verfahren nicht miteinander kompatibel.

Wie sicher ist GPG?
GPG ist mathematisch sicher. Jedoch können Sicherheitslücken in der verwendeten Software nie ausgeschlossen werden. Daher ist es wichtig die verwendete Software auf aktuellem Stand zu halten.
Die Schlüsselsicherheit hängt aber auch von der Wahl eine Passworts ab! Das Passwort sollte möglichst sicher sein:

• nur für diesen Zweck verwendet werden
• aus keinem Wörterbuch stammen
• keine Daten beinhalten die aus öffentlich zugänglichen Informationen (Geburtsdatum, Namen) des Inhabers bestehen
• keine Zitate (zumindest keine bekannten)
• mehr als 8 Zeichen und mehr als 1 Wort beinhalten

Selbstverständlich darf das Passwort nur dem Schlüsselinhaber bekannt sein.

Aus was besteht so ein Zertifikat?

1. Benutzerkennung: Name und E-Mail-Adresse
2. Fingerabdruck: Eindeutige Kennzahl des Zertifikats (zur Suche auf Schlüsselservern, einfacher handhabbar als der komplette Schlüssel)
3. Schlüssel-ID: Die letzten 8 Stellen des Fingerabdrucks
4. Gültigkeit: Zeitpunkt bis wann der Schlüssel/das Zertifikat gültig ist
5. Vertrauen in den Zertifikatsinhaber (Web of Trust): Subjektives Vertrauen, dass der Besitzer echt ist und auch andere Zertifikate nur geprüft beglaubigt.
6. Beglaubigungen (Web of Trust): Wer hat den Schlüssel schon alles beglaubigt? Grob gesagt je mehr Beglaubigungen desto eher ist das Zertifikat echt. Wenn es dann noch Beglaubigungen von Personen sind denen man selber vertraut.

Wie verwende ich die Software?
Je nach Betriebssystem/E-Mailprogramm ist die Handhabung der Software unterschiedlich, weshalb hier auch nicht darauf eingegangen wurde. Generell bieten die oben genannten Websites aber einen guten ersten Anlaufpunkt.
Generell muss ein öffentlicher Schlüssel erst importiert, geprüft und das Inhabervertrauen festgelegt um ihn zu verwenden. Sobald das geschehen ist, lassen sich Signaturen von E-Mails automatisch prüfen und der Schlüssel kann auch zur Verschlüsselung verwendet werden.

Zusammenfassung
Mit GPG lassen sich E-Mails und Anhänge verschlüsseln bzw. signieren. Die Methode der Wahl ist die „public Key“ Methode bei der der öffentliche Schlüssel verbreitet wird. Der öffentliche Schlüssel dient dem Verschlüsseln von Nachrichten und der Überprüfung der Signatur.

[general]
metadata = ~/.offlineimap
accounts = martin

[Account martin]
localrepository = martin_local
remoterepository = martin_remote

[Repository martin_local]
type = Maildir
localfolders = ~/Dokumente/MailBackup/MartinAtSchmart
sep = /

[Repository martin_remote]
type = IMAP
remotehost =
remoteuser =
remotepass =
maxconnections = 1

Run offlineimap.
Then:

1. Create a folder named “Backup” in KMail/Local Folders
2. go to ~/.kde4/share/apps/kmail/mail and create a symlink to ~/Dokumente/MailBackup/MartinAtSchmart with the name .Backup.directory
3. Restart KMail

Now the mails should be accessible via the “Backup”-folder. If not try to rebuild the index (right-click on the folder name).

Die Speicherfunktion der IP-Adressen ist auch wieder aus.

Es begab sich, dass der besagte Drucker von heute auf morgen nicht mehr drucken wollte. Zwar leuchtete mir freudig ein “Data” entgegen, aber das wiederspenstige Gerät wollte keine weiteren Informationen, sei es Fehlermedlung oder die gewünschte Seite, herausrücken. Das war unter einer SuSE-Linux-Distribution vor ca. 2 Jahren. “Na, dann motte ich den Drucker halt ein. Dringed brauche ich ihn nicht.”, dachte ich mir da noch.

Das Jahr 2007, nachdem dieses Jahr bis auf einige stressigen Phasen doch sehr angenehm war, wollte es das Schicksal (oder der Zufall?), dass ein alter Laserdrucker Jeannines seinen Geist auf gab. Der machte zwar noch Geräusche und gab hin und wieder auch eine bedruckte Seite aus, aber leider mutierte er auf sein alten Tage hin zu einem Papierfresser.
Zeit für mich den FS-1700 auszugraben und wieder anzuschließen. Da der Drucker nun doch auch schon älter ist und die PCs eher neuer, musste erst die parallelle Schnittstelle an eine universelle, dafür serielle, Schnitstelle angebracht werden. Dies geschah duch einen USB-Parallel-Adapter und erwies sich zumindest also soweit brauchbar als Daten auf den Drucker flossen. Nur hergeben wollte der die Daten nicht mehr. Es boten sich mehrere Erklärungen an:

Nachdem sich die erste Möglichkeit, so verlockend sie auch ist, eher in den Bereich der alltäglichen Spinnereien einordnen lässt, wandte ich mich der zweiten Möglichkeit zu. Dabei produzierte ich seitenlange Beschreibungen der Teststeiten. Kein Frage, wenn man Nachschrift lesen kann, dann kann man sich die ganze Schönheit der Testseite vorstellen und sagen: “Ja, mein Drucker druckt! Nur leider nicht das was ich will.…” Andere Treiber fabrizierten auf dem Gerät nur wieder eine fröhlich leuchtende “Data-LED” die einem mit höhnischen, grünen Grinsen zu sagen scheint, “Nee, von mir bekommste nix.“
Noch war nicht aller Tage abend, ich vermutete schon, dass es was mit dem Seitenvorschub zu tun hat. Eine Frage bei Wer-Weiss-Was im “UNIX und Linux” Brett führte dann zu einem klatschenden Geräusch. Nachdem ich eine Antwort bekam, dass ich den Seitenvorschub am Drucker erzwingen könne schlug meine flache Hand gegen meine Strin. Klar, da gibt es doch eine Taste da steht “S.-Vorschub”. Wie gesagt: “Wer lesen kann, ist klar im Vorteil!” Die endgültige Lösung war in der Antwort auch enthalten, denn automatischen Seitenvorschub auf “CR und LF” stellen.
Tja, jetzt druckt der Drucker fröhlich vor sich hin.

Hallo studiVZ,

was ist da los? Ist das ein Fake? Oder was ist da wirklich passiert? Wie begründet ist der Verdacht? Ein wenig mehr Information wären schon angebracht. Wie soll ich denn nun wissen, ob da nur einer Eure Seite nachgebaut und eure Domain irgendwie darauf umleitet?
Ich bitte Euch um schnelle Antwort, da ich vorher meinen Zugang nicht wieder freischalten werde.

Viele Dank schon mal,
Martin
–
http://blog.schmart.de
http://www.schmart.de

Ab an vorzimmer@studivz.net. Kurz danach las ich dann bei heisse-online, dass es eben einen Angriff auf die Datenbank gab, dass sich aber wohl keiner in das VZ mit den gestohlenen Daten einloggen konnte. Nebenbei wurde na klar auch noch die privaten Daten gestohlen.

Der Entschluss das VZ zu verlassen reifte so langsam. Nach einem Gespräch mit einem Bekannten machte es dann auch “klick”. Wenn die wirklich Angst haben, dass sich jemand mit den Zugangsdaten einloggen könnte, sind die dann überhaupt verschlüsselt? Bei Unix/Linux ist es gang und gäbe, dass Passwörter verschlüsselt gespeichert werden. Der Vergleich des eingegebenen Passworts und des gespeicherten läuft wie folgt: Das eingegebene wird verschlüsselt und dann werden die beiden Werte miteinander verglichen.
Wenn es also so auch im VZ geschieht, dann bräuchten die keine Passwörter zurücksetzen. Speichern die etwa Passwörter als Klartext?
Keine Ahnung, ich für meinen Teil habe mich mal entschlossen, dass ich mein Konto im VZ in den nächsten Tagen erst mal lösche. Es hat einfach keinen Sinn. Die Benutzerfreundlichkeit ist realtiv bescheiden, die Sicherheit scheinbar auch. An der Entscheidung ändert auch die Antwort aus dem “Vorzimmer” nichts:

Hallo Martin Schmidt,

hier eine Erklärung zu den Ereignissen des gestrigen Tages:

Was ist passiert?

Gestern im Laufe des Tages hat es einen Angriff auf die Datenbank von studiVZ gegeben. Jemand hat Namen, Mailadressen, Zugangsdaten und Freundschaftsverbindungen illegal aus der studiVZ-Datenbank auslesen können.
Wir gehen davon aus, dass es dem Angreifer in der relativ kurzen Zeit nicht möglich war, die Passwörter zu nutzen, um sich unbefugten Zugang zu deinem Account zu verschaffen.

Wir nehmen den Vorfall sehr ernst und haben deshalb auch Strafanzeige gestellt.

Wir haben in den letzten Monaten viel unternommen, um die Sicherheit bei studiVZ zu verbessern. Dass es nun trotzdem zu so einem Angriff gekommen ist, trifft uns. Vor allem aber möchten wir uns bei dir entschuldigen.

Wir werden unser Sicherheitskonzept nun noch mal nach Verbesserungsmöglichkeiten überprüfen und weitere Maßnahmen zum Schutz deiner Daten ergreifen.

Warum muss ich mein Passwort ändern?

Dein Passwort ist auf unserer Datenbank in verschlüsselter Form abgelegt. Wir müssen aber davon ausgehen, dass es dem Angreifer gelingt, die Passwörter zu entschlüsseln. Deshalb mussten wir schnell handeln und haben alle Passwörter zurückgesetzt. Mit dem neuen Passwort kannst du das studiVZ wieder normal nutzen.

Benutzt du dein studiVZ-Passwort auch für andere Dienste? Dann solltest du diese Passwörter sicherheitshalber auch ändern. Generell empfehlen wir dir, komplexe Passwörter zu verwenden, die aus Zahlen und großen und kleinen Buchstaben bestehen. Verwende auch unterschiedliche Passwörter für unterschiedliche Dienste.

Was ist mit meinen Daten?

Wir wissen derzeit noch nicht, wie viele Profile betroffen sind. Wir gehen davon aus, dass keine weiteren Daten als die oben stehenden eingesehen wurden.

Schier wäre die Mail im Papierkorb verschwunden.
Der Absender war: OTRS System
Der Betreff: : [Ticket#2007022710022311] Meldung: Sicherheitsmassnahme â?? bitte neues Passwort erstellen:

Scheinbar speichert das VZ die Passwörter nicht im Klaretext, aber wohl mit einer realtiv geringen Verschlüsselung oder einem einfachen Algorithmus. Jeder, der schon mal sein root-Passwort für ein Linux-System verlegt hat, weiß dass es auch anders möglich ist.
Meine Bitte daher: Geht ein wenig verantwortungsvoller mit unseren Daten um! Ein wenig Paranoia soll da gar nicht so verkehrt sein!
Ich für meinen Teil geh jetzt erst mal aus dem studiVZ raus. Vielleicht schau ich ja später nochmal rein.

Trotz Firewall und Antivirus, Hijack-This, S&D kommt da immer wieder was über den MS IE drauf. Keine Ahnung wie.….
Blödes Problem, einfache Lösung. Da ich Sonntag eh mal wieder nach meinen Parasiten sehen musste, konfigurierte ich die Firewall so, dass der MS IE keinen Zugriff mehr auf das Internet hat.

Montag:
Ich komme ins Labor, eines der ersten Dinge, die ich höre: “Der Rechner da kommt nicht mehr ins Netz!” Klar war es mal wieder mein “Liebling” der Win NT Rechner.

• Erster Gedanke: Das ZDV wird die IP mal wieder gesperrt habe, wegen Virenbefall.
• Zweiter Gedanke: Wo bekomme ich eine Liste mit den gesperrten IPs her?

Ich also fröhlich am Suchen, kommt mir der rettende Einfall: “Das war doch der MS IE!“
Nix wie ran an den Rechner, Firefox gestartet und es lief.

Vielleicht sollte ich mal Post-Its kaufen. Obwohl, wahrscheinlich vergess ich dann die Dinger aufzuhängen *g*

powered by performancing firefox