| 8.8. Netzwerksicherheit |
|
|
Letztmalig dran rumgefummelt: 07.04.25 02:49:36 |
 |
Gehen Sie immer vom "Worst
Case" aus - Sicherheit ist faktisch nicht vorhanden - nur Vertrauen - ein
tolles Werkzeug in unserer Zeit. Aber was heißt hier unserer Zeit? Wir
denken nur deswegen, das es besonders schlimm bestellt sei um diese, da wir
keine andere kennen! Es war schon immer so: Sicherheit oder Garantien für
eben diese gibt es nicht! Sinn dieser Seite muss notwendigerweise das Aufzeigen von Schattenseiten sein, nicht das von Schönwetterfronten - klar gibt's auch Lichtblicke. „Die Leute haben Angst vor’m Bezahlen mit der Kreditkarte beim Online-Shopping, schmeißen aber nach dem Tanken ihre Quittung in den nächsten Papierkorb.“ Thilo Zieschang Geschäftsführer der Unternehmensberatung Eurosec GmbH |
||||||||||
 |
1. Accouts - Passwortsicherheit und Passwortsniffer -
Portscanner 2. Authentizität und Authentifizierung 3. Server-Integrität 4. Angriffe auf Netzsicherheit 5. Zertifizierung 6. CAPTCHA 7. Verwandte Themen |
||||||||||
|
|
||||||||||
 |
Quellen:
|
||||||||||
|
Wie viele Passworte haben Sie: laut Statistik zwischen 3 und
4 für alle ihre Accounts in der großen Welt der Netze - toll - finde ich
Ihres, gehe ich in Ihren Daten spazieren - ich probier's einfach aus, denn
vielfach melden Sie sich mit Ihrem E-Mail Namen an (heute (am 16.11.im Jahre
des Herrn 2005) hab' ich mich im Online-Shop von Bletchley-Parc angemeldet -
und womit? Richtig mit meinem E-Mail Namen. Wie viele nicht potentielle
Angreifer kennen diesen? Schätzen wir mal 200 - der Rest kriegt den durch
Web-Angriffe heraus! Also findet ihn faktisch jeder, der dies wünscht. |
||||||||||
|
...
also pfiffige Schüler machen da schnell mal einen Snapshot vom
Windows-Desktop, schreiben ein kleines Delphi-Programm und bilden sich mit
ihrem Programm als
Anmeldemaske für Windows ab, mit nur einer kleinen Feinheit: das Passwort
erscheint im Klartext und wird mit einer E-Mail an den Programmierer
geschickt ;-) Nun klingt das eigentlich auch nicht gefährlich - wer kann mit meinen paar gelösten Aufgaben auf dem Windows-Account schon wirklich etwas anfangen: eigentlich keiner! Aber: viel wichtiger ist das Passwort des Users, denn in 5 von 6 Fällen hat Otto-Normalverbracher nur eines ;-) |
||||||||||
|
nun hab' ich eigentlich was ich brauch - Anmeldename ist in 60% aller Fälle beschaffbar, Passwort hab' ich auch - 70 % aller Fälle bin ich mit dieser Methode erfolgreich (0,001 % würden mir zum Geld verdienen eigentlich schon reichen) | ||||||||||
|
|
||||||||||
|
der Name "FRED" ist in nahezu jedem Passwort teilweise mehrfach enthalten - hier probiere ich nicht alle Zeichen durch, sondern teste direkt auf eines dieser Zeichen ;-) | ||||||||||
|
|
||||||||||
| 1. Accounts - Passwortsicherheit und Passwortsniffer - Portscanner |
|
|
 |
|
Ein interessanter, aber nur um so wichtiger Fakt: das Lieblingspasswort aller Nutzer lautet "FRED"? oder zumindest ist diese Zeichenkombination in 90 von 100 Passworten unbedarfter User enthalten - ein gefundenes Fressen für jeden Angreifer. Setzen wir nun noch den Fakt hinzu, dass der unbedarfte User Passworte mit möglichst wenig Zeichen nutzt, die er sich ohnehin nicht merken kann (die durchschnittliche Passwortlänge von Schülern unserer Schule liegt bei 10 Zeichen (wir zwingen aber mit einer Mindestvorabe von 8!), dann habe ich mit "FRED" schon mal 4 der 10 möglichen Zeichen. Machen wir's kurz: in der professionellen Computerbranche wird Sicherheit groß geschrieben - beim letzten Anwender ist das noch nicht angekommen - und: ein Licht am Ende des Tunnels ist nicht zu sehen. | ||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||
|
Wie macht man Keywords wirklich sicher? - ganz einfach: mit Eselsbrücken
(ACHTUNG: viele Anwendungen erfordern ein Sonderzeichen - also im
Bedarfsfall einfach an beliebiger Stelle - möglichst nicht am Anfang oder am
Ende eines einfügen)!!!
Konkret - und die sind wirklich hart!!!:
|
||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||
|
Mein Kompromissvorschläge für jedermann - nicht zum Verwenden - aber als
Denkanstoß:
|
||||||||||||||||||||||||||||
|
|
| 2. Authentizität einer Mitteilung |
|
|
|
|
|
Authentizität - der Nachweis der rechtmäßigen Urheberschaft einer Mitteilung. |
|
|
|
| 3. Integrität einer Mitteilung |
|
|
|
|
|
Integrität bedeutet die physische und logische Unversehrtheit einer Nachricht - keiner hat sie zur Kenntnis genommen und/oder auch verfälscht im Inhalt. |
|
|
|
| 4. Angriffe auf Netzsicherheit |
|
|
|
|
|
|||
|
Das Werkzeug Wireshark stellt nach der Aufzeichnung des Datenverkehrs
einer Netzwerk-Schnittstelle (meist eine Ethernet-Netzwerkkarte mit TCP/IP)
die Daten in Form einzelner Pakete dar. Dabei werden die Daten übersichtlich
und für den Menschen nachvollziehbar analysiert. So kann der Inhalt der
mitgeschnittenen Pakete betrachtet oder nach Inhalten gefiltert werden. Unter MS Windows zeichnet Wireshark den Datenverkehr transparent mit Hilfe von WinPcap auf. Für Windows gibt es eine alternative Benutzeroberfläche namens Packetyzer. Das Aufzeichnungsformat der Messdaten wurde von tcpdump entlehnt bzw. übernommen. Gleichwohl kann Wireshark zusätzlich die Formate anderer LAN-Analyzer einlesen. Wireshark wurde ursprünglich als Ethereal von einem Team um Gerald Combs unter der GNU General Public License als Open-Source-Software (freie Software) entwickelt. Als Gerald Combs von Ethereal Software Inc. zu CACE Technologies wechselte, startete er ein eigenes Folgeprojekt und nannte es Wireshark. Die erste Version wurde am 7. Juni 2006 veröffentlicht.[1] Das Originalprogramm Ethereal ist weiterhin in der Version 0.99.0 erhältlich, wird aber voraussichtlich nicht mehr weiterentwickelt.
|
||
|
administrativer Albtraum - Password-Sniffer und Portscanner:
|
||
|
| 5. Zertifizierung |
|
|
|
|
|
|
|
| 6. CAPTCHA |
|
|
|
|
|
Captcha (auch: CAPTCHA) ['kæptʃə]
ist ein Akronym für Completely Automated Public Turing test to tell
Computers and Humans Apart. Das bedeutet wörtlich: „Vollautomatischer
öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“. Captchas werden verwendet, damit man entscheiden kann, ob das Gegenüber ein Mensch oder eine Maschine ist. In der Regel macht man dies, um zu prüfen, ob Eingaben in Internetformulare über Menschen oder Maschinen (Roboter, kurz Bot) erfolgt sind, weil Roboter hier oft missbräuchlich eingesetzt werden. Captchas dienen also der Sicherheit. Der Begriff Captcha wurde zum ersten Mal im Jahr 2000 von Luis von Ahn, Manuel Blum und Nicholas J. Hopper an der Carnegie Mellon University und von John Langford von IBM gebraucht und ist ein Homophon des englischen Wortes capture (einfangen, erfassen). Gelegentlich werden Verfahren zur Unterscheidung von Robotern und Menschen auch als HIP für Human Interaction Proof bezeichnet. |
|
|
| 7. Verwandte Themen |
|
|
|
|
|
Kryptologie ist eine der Disziplinen, die sich mit der Sicherheit auch und vor allem von Passworten befasst. Allerdings ist hier auch eine moralische und eine ganz menschlich Seite (eher Schwäche) mit einzurechnen. Aber auch Netzwerktechnik und ihr Schutz ganz allgemein spielen hier mit hinein. | |||||||||||||||||||||
|
|
|
|||||||||||||||||||||
|
|
|
|||||||||||||||||||||
|
|
|||||||||||||||||||||
 |
|
|||||||||||||||||||||
|
|
|
|||||||||||||||||||||
 zur Hauptseite |
© Samuel-von-Pufendorf-Gymnasium Flöha | © Frank Rost Februar 2006 |
|
... dieser Text wurde nach den Regeln irgendeiner Rechtschreibreform verfasst - ich hab' irgendwann einmal beschlossen, an diesem Zirkus nicht mehr teilzunehmen ;-) „Dieses Land braucht eine Steuerreform, dieses Land braucht eine Rentenreform - wir schreiben Schiffahrt mit drei „f“!“ Diddi Hallervorden, dt. Komiker und Kabarettist |
|
Diese Seite wurde ohne Zusatz irgendwelcher Konversationsstoffe erstellt ;-) |
