1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Unsere jährliche Weihnachts-Banner-Aktion hat begonnen! Wir freuen uns auf viele, viele kreative Vorschläge.
    Mehr dazu könnt Ihr hier nachlesen: Weihnachtsbanner 2016

    Information ausblenden

Das "sichere" MacBook?

Dieses Thema im Forum "macOS & OS X" wurde erstellt von j@n, 01.08.08.

  1. j@n

    j@n Eierleder-Apfel

    Dabei seit:
    03.01.07
    Beiträge:
    1.228
    Hallo Sicherheitsprofis,
    ich möchte mein MacBook neu aufsetzen und dabei meine Daten möglichst sicher verstauen. Zu einzelnen Sicherheitsthemen gibt es bekanntlich schon viele Threads, aber ich hätte gerne alles auf einen Blick, daher dieses Thema.

    Ich möchte dem neuen, großen Lauschangriff möglichst wenig Angriffsfläche bieten, allerdings ohne meinen RAM festzukleben, USB-Ports zuzuschweißen oder Thermitfallen ins Gehäuse zu bauen (lacht nicht, gab mal so einen Thread!), also quasi in einem Rahmen bleiben, der für Hausgebrauch und Laptop-zur-Uni einen guten Kompromiss zwischen Sicherheit und Bedienbarkeit bietet.

    Im folgenden Liste ich mal auf, an welche Sicherheitsmerkmale ich gedacht habe. Es wäre super, wenn ihr mir sagt, was ich vergessen habe oder besser machen kann.
    • Administrator-Account und User-Account getrennt
    • Anmeldekennwort lautet JEWEILS anders als Schlüsselbund-Kennwort
    • Kennwörter enthalten viele Sonderzeichen, Zahlen, Groß- und Kleinschreibung und sind mindestens 20-stellig.
    • keine automatische Anmeldung; keine Anzeige der Benutzernamen als Liste
    • FileVault eingeschaltet
    • Daten, die ich für besonders schützenswert halte, sind in separat verschlüsselten Images gespeichert

    Wie bekomme ich Mail "sicher"? PGP versteht sich von selbst, aber kann ich meine Emails zusätzlich schützen?

    Wie kann ich "sicher" surfen? Laaangsam über Tor? Und was ist mit Online-Banking?

    Wie schütze ich meinen Internetzugang? WPA2 oder lieber nur über Kabel?

    Wie merke ich mir all die vielen Passwörter? Wenn ich sie in den Schlüsselbund schreibe, sind sie allesamt nur so gut wie mein Schlüsselbund-Kennwort...

    Und schließlich: Was habe ich noch gar nicht bedacht?


    Ich hoffe, ihr helft mir beim "sicherer werden"! :)
     
    #1 j@n, 01.08.08
    Zuletzt bearbeitet: 01.08.08
  2. Jimbo

    Jimbo Schöner von Nordhausen

    Dabei seit:
    09.04.07
    Beiträge:
    319
    Gutes Thema. Ich kenne mich noch nicht aus, würde mich aber brennend interessieren!
    Ich dachte Filefault ist schlecht, weil es langsam macht und auch Daten zerstüren kann.
     
  3. aardvark

    aardvark Golden Delicious

    Dabei seit:
    22.01.08
    Beiträge:
    6
    Sichere Kennwörter können ein Problem sein, ich benutze Sätze, Teile von Sätzen oder Gedichtszeilen. Diese werden abgewandelt, d.h. mit Sonderzeichen und Zahlen ergänzt (natürlich nicht nur o durch 0 ersetzen), Wörter abgekürzt oder übersetzt, so komme ich an relativ sichere Kennwöter, die ich mir auch merken kann. 20-stellige Kennwörter halte ich zwar für etwas übertrieben aber wenn du sie dir merken kannst, wieso nicht?

    Auf dem Notebook verwende ich neben FileVault noch sicheren virtuellen Speicher. Auf dem 23. Chaos Communication Congress gab es einen Vortrag zu FileVault (Video dazu ist im Netz zu finden), das Fazit war, dass es unter dem Strich ganz in Ordnung sei, deshalb reicht mir das eigentlich.

    TOR ist eine gute Sache für politische Aktivisten in Ländern, in denen Repression und Verfolgung droht. Der Einsatz für den Alltagsgebrauch halte ich für Übertrieben.

    Für das Heimnetz ist das Kabel die sicherste Variante, wenn du wlan benutzen willst solltest du WPA2 verwenden. Das Verstecken der SSID bringt kaum zusätzliche Sicherheit, die ID wird sowieso in jedem Datenpaket, das über das Netz geht im Klartext angezeigt.

    Die grössten Gefahren beim Online-Banking lungern beim phishing oder pharming. Phishing und Pharming setzen in erster Linie auf Social Engineering, pass also auf auf welche Links du klickst oder was du installierst - das brauche ich dir wahrscheinlich gar nicht zu sagen. Im Moment gibt es eine Sicherheitslücke bei DNS-Servern, die dazu führt, dass du auf gefälschte Seiten gelangen könntest. Ob dein ISP seinen Name Server gepatcht hat, kannst du bei Dan Kaminsky herausfinden: http://www.doxpara.com/?p=1176 . Wenn dies nicht der Fall sein sollte, kannst du nicht viel machen, einen nette Email an deinen Internetanbieter würde wohl nicht viel bringen, ein Versuch wäre es wert.

    Das wär's meinerseits.
     
  4. Bierbauchmann

    Bierbauchmann Ribston Pepping

    Dabei seit:
    08.11.06
    Beiträge:
    297

    Ich will jetzt hier nicht unbedingt eine Grundsatzdiskussion anfangen aber wenn das dein Einsatzgebiet ist, dann halte ich deine Vorsicht schon für ein bisschen paraniod. Natürlich kann ich ein gewisses Grundverlagen nach Privatsspähre verstehen, dennoch kann man es in meinen Augen auch übertreiben.

    Als Vorstandschef eines DAX-Unternehemens, der die aktuellen Quartalszahlen durch die Gegend trägt, ist es ja schon eine gute Idee sein Eigentum ähnlich wie Fort Knox zu sichern. Aber als Student? Außer du machst jetzt zur Finanzierung krumme Dinge mit der Russischen Mafia :).

    Jetzt mal ehrlich glaubst du nicht, dass ein gutes Passwort und eine exterene Festplatte zur Datensicherung ausreichen, um einen Kompromiss zwischen Sicherheit und Bedienbarkeit zu Gewährleisten?


    Aber weil ich hier ja wie oben erwähnt keine Grundsatzdiskussion anfangen wollte, habe ich noch einen kleinen Tipp: Vor einiger Zeit gab es bei Golem einen Artikel über eine Festplattenverschlüsselung. Außerdem, diesmal bei ZDnet, noch Festplatten, die selber (ohne OSX) mit 256-Bit-AES verschlüsselt sind.


    Das war es eigentlich auch schon von meiner Seite aus.
     
    #4 Bierbauchmann, 02.08.08
    Zuletzt bearbeitet: 02.08.08
  5. j@n

    j@n Eierleder-Apfel

    Dabei seit:
    03.01.07
    Beiträge:
    1.228
    Hast Du schon mal von Wolfgang Schäuble gehört? Was fällt Dir zum Schlagwort Vorratsdatenspeicherung ein?

    Möchtest Du, dass ich als Medizinstudent zum Beispiel Deine im Rahmen einer Studie erfassten Daten über Alter, Krankheiten, Sexualverhalten und mögliche suizidale Tendenzen unverschlüsselt durch die Gegend sende oder sie ungesichert auf einem Laptop mit mir herumtrage?
    Hast Du auch nur den Hauch einer Vorstellung, was man mit diesen Daten anstellen könnte?

    Jetzt mal ehrlich, Nein! :)

    Ich trage auf meinem Computer sensible Daten herum und fühle mich verpflichtet, diese auch sensibel zu behandeln.
     
  6. aardvark

    aardvark Golden Delicious

    Dabei seit:
    22.01.08
    Beiträge:
    6
    Falls du tatsächlich mal Daten aus einer Studie haben solltest, in der Personendaten und die erfassten Daten nicht sauber voneinander getrennt sind, hast du einen grossen Fehler gemacht, egal wie du die Daten zu schützen versuchst. Bei solchen hochsensiblen Daten stellt sich mir auch die Frage, ob und warum man die auf seinem Notebook haben muss.
    Gegen Schäuble und Co hilft keine noch so gute Verschlüsselung, da hilft nur Das Bundesverfassungsgericht und Leute die Aufklärung betreiben, damit die Bürger für Fragen der Netzanonymität und Datensicherheit sensibilisiert werden.
     
  7. j@n

    j@n Eierleder-Apfel

    Dabei seit:
    03.01.07
    Beiträge:
    1.228
    Wenn Du Dich damit so gut auskennst, dann erkläre mir doch mal, wie ich eine Studie an realen Patienten durchführen soll, wenn ich meine Daten bereits während der Durchführung anonymisiere.

    Könnten wir bitte zum Thema zurückkehren?
     
  8. aardvark

    aardvark Golden Delicious

    Dabei seit:
    22.01.08
    Beiträge:
    6
    Noch nicht
    Du kannst auch während der Erhebung der Daten, bereits anomynisieren, indem du den Versuchsobjekten Nummern oder andere IDs zuweist, und die Datei mit dem Zuweisungsschlüssel physisch getrennt von den restlichen Daten verwahrst.
     
  9. MacAlzenau

    MacAlzenau Golden Noble

    Dabei seit:
    26.12.05
    Beiträge:
    19.396
    Z.B. durch schlichte Ziffern statt Namen, Anschrift et cetera?
    Und die Liste mit den Zuordnungen gehört nicht auf den selben Rechner wie die Meßwerte.
    Laborproben im medizinischen Alltag werden ja auch nicht mit vollen Patientendaten transportiert und ausgewertet.
     
  10. j@n

    j@n Eierleder-Apfel

    Dabei seit:
    03.01.07
    Beiträge:
    1.228


    Gut, der Punkt geht an Dich. Übrigens willkommen auf AT! ;)

    Und jetzt: BTT!:cool:
     
  11. tharwan

    tharwan Englischer Kantapfel

    Dabei seit:
    01.09.07
    Beiträge:
    1.085
    auch wenn das nicht direkt auf die fragen von dir abzielen mag es gibt zu dem thema auch ein nettes dokument von apple: hier
     
    j@n gefällt das.
  12. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Und offensichtlich hat es einige schwere Probleme wenn Apple so panische Angst davor hat, wenn darüber berichtet werden soll, welche Schwachstellen es hat: klick
     
  13. JeaBea

    JeaBea Adams Apfel

    Dabei seit:
    01.04.07
    Beiträge:
    511
    Ist es möglich, dass man beim Programmstart von Mail ein Passwort eingeben muss, ohne das man Mail gar nicht öffnen kann? Würde mich mal interessieren.
     
  14. aardvark

    aardvark Golden Delicious

    Dabei seit:
    22.01.08
    Beiträge:
    6
    Ich habe die automatische Anmeldung deaktiviert und die Kennwortabfrage für das Erwachen aus dem Ruhezustand bzw. Beenden des Bildschirmschoners eingeschaltet. Damit ist nicht nur Mail vor unerwünschtem Zugriff geschützt.
     
  15. Bierbauchmann

    Bierbauchmann Ribston Pepping

    Dabei seit:
    08.11.06
    Beiträge:
    297
    Also erstens hat das BVG festgestellt, dass diese Art der Datenspeicherung nur zulässig ist, wenn man einen ernstzunemenden Anfangsverdacht hat. Und ich glaube noch an einen Rechtsstaat. Aber wenn wir auf diesem Niveau der Paranoie sind, dann solltest du dir vielleicht überlegen, einen PC -komplett- von der Außenwelt abzuschirmen und einen für das normale Leben zu nutzen. Auch wenn du dich Anfangs darüber lustig gemacht hast.

    Du wolltest auch die Bedienbarkeit deines Laptops erhalten. Und wenn man unbedingt an deine Daten kommen will, dann kommt man auch an die ran. Also in den Kreisen von Schäuble & Co.. Allerdings solltest du dir in deinem normalen Alltag nur Sorgen um Kriminelle machen, die dir den Laptop klauen, merken, dass du ein PW hast und das Ding dann einfach formatieren. Fertig.


    Andere Frage: Sind meine Vorschläge, denn eine Möglichkeit für dich?
     
  16. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Auf gar keinen Fall. Sonderzeichen und Umlaute haben in Kennwörtern absolut nichts zu suchen.

    Beides gleichzeitig einzusetzen ist totaler Unsinn. Wenn einfaches verschlüsseln knackbar ist, ist doppeltes verschlüsseln (noch dazu mit der gleichen Methode) auch nicht sicherer.

    Der Trick dabei ist, dass ausser dir das niemand weiss. Also frag uns gar nicht erst danach.
     
  17. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Theoretisch ja. Aber was soll das bringen?
     
  18. j@n

    j@n Eierleder-Apfel

    Dabei seit:
    03.01.07
    Beiträge:
    1.228
    Verwechselst Du gerade Vorratsdatenspeicherung und die Online-Durchsuchung? :)

    Auf den Paranoia-Vorwurf gehe ich nicht weiter ein. Ich gehe nicht davon aus, dass Du Dich schon einmal auf medizinischer Ebene damit befasst hast.

    Es stimmt, ich möchte einen Kompromiss und physischer Zugriff auf einen Rechner ist immer sehr, sehr schlecht für die Datensicherheit. Dennoch ist das Nutzungsfeld meines Laptops (zuhause und Uni) hier die gegebene Konstante, an der ich die Sicherheitsmaßnahmen ausrichten möchte.

    Leider nicht wirklich, denn die Festplattenverschlüsselung von PGP ist noch nicht erhältlich und die von Dir genannte Festplatte mit Hardwareverschlüsselung finde ich bei Fujitsu nicht. Vielleicht hilft mir der Support, Mail ist schon raus.

    Gilt das nicht nur für die Aushebelung der Verschlüsselungsmethode selbst?

    Gut, ich habe gerade etwas gelesen über eine angebliche Lücke in FileVault, die auf einer Black-Hat-Konferenz jetzt doch nicht vorgetragen werden darf…

    Mein angedachtes Szenario bezog sich aber eher auf einen Brute-force- oder Wortlistenangriff auf mein Verschlüsselungs-Kennwort - dann würde die doppelte Verschlüsselung doch einen Sicherheitsgewinn bringen, oder nicht?

    EDIT: Rastafari, warum sollen keine Sonderzeichen und Umlaute in Passwörter? Dazu wird einem doch oft geraten?!
     
  19. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Nein.

    Nein, würde es nicht. Das wäre nur der Fall, wenn du den Ciphertext der ersten Instanz vor der Neuverschlüsselung logisch umstrukturierst, so wie das beispielsweise bei der 3DES-Verschlüselung von Dateien geschieht.
    (Triple DES == "DES vorwärts, DES rückwärts, DES vorwärts")
    Bei strikt blockorientierten Verfahren, wie sie bei der Verschlüsselung ganzer Volumes angewandt werden, ist es sinnlos.

    Im Gegenteil, davor wird abgeraten.
    Hast du schon mal versucht, Ä Ö Ü ß auf einem auf US-Englisch eingestellten Keyboard einzugeben?
    Es wird nicht möglich sein --> ausgesperrt.

    Kluge Menschen verwenden für Kennworte immer nur reine ASCII-Zeichen, sonst nichts.
    Auch Leerzeichen und Tabs sind Tabu, ebenso wie alle Zeichen, die unter bestimmten Situationen eine Sonderbedeutung haben, wie / \ * ? { } [ ] ( ) $ & " < > : ;
    Also bleiben dir nur grosse und kleine Buchstaben sowie Ziffern.
    Und das genügt auch völlig, wenn sie fleissig gemischt werden und das daraus gebildete Kennwort ausreichend lang ist. Keine Bange.
     
  20. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Jedes Thema, das sich mit Sicherheit am Mac beschäftigt wird umgehend von einer Paranoiadiskussion gekapert. Das ist unumgänglich.
    Es gibt eine Vollverschlüsselungslösung: klick

    Bei den Hardwareverschlüsselungs-Harddrives hatte ich noch kein Glück. Ich vermute der Grund liegt im EFI, oder im Unwillen der Hersteller oder in beidem. Seagate und Stonewood habe ich schon angeschrieben, sie unterstützen einfach keine Macs.

    Dem möchte ich mal uneingeschränkt zustimmen.
     

Diese Seite empfehlen