Sicherheit

Aus wiki.freifunk.net
Zur Navigation springenZur Suche springen

Tipps und Ratschläge zum sicheren Umgang in öffentlichen Netzwerken

In öffentlichen/unverschlüsselten (W)LAN-Netzwerken - ganz gleich, ob es sich um Freifunk oder andere Netze handelt - empfiehlt es sich, einige Regeln zu beachten, um sicher und unbeobachtet das Netz nutzen zu können.

Wie schütze ich mich davor, dass jemand meinen Netzwerkverkehr belauscht?

Es ist grundsätzlich möglich, die über ein (W)LAN übertragenen Daten mitzuschneiden, abzuspeichern und später auszuwerten. Dies ist ein generelles Problem, sobald Daten unverschlüsselt über ein öffentliches Netz übertragen werden, was heutzutage allerdings eher unüblich ist (siehe nächster Absatz). Die Problematik gilt für das Internet im allgemeinen - alle Rechner/Router, die zwischen dem Benutzer und dem Ziel-Server die Daten weiterreichen, können prinzipiell den Datentransfer belauschen. Im offenen WLAN ist das Problem speziell ausgeprägt, da die Daten auch von allen Parteien, die sich in WLAN-Reichweite befinden, mitgeschnitten werden können.

HTTPS

Wann immer z.B. eine Webseite mit https:// statt mit http:// aufgerufen wird, ist diese Verbindung verschlüsselt und kann nicht mitgelesen werden. Praktisch alle Webseiten benutzen heutzutage ausschließlich HTTPS; die Daten, die zum Benutzer übermittelt werden (Texte/Bilder der Website etc.) sowie Daten, die der Benutzer an die Website sendet (Passwörter, übertragene Formulardaten etc.) sind also verschlüsselt und können nicht von anderen im Klartext mitgeschnitten werden. Die reine Tatsache allerdings, dass der Benutzer sich gerade auf Website XYZ aufhält, wird auch durch HTTPS nicht verschleiert.

Das Firefox-Addon "HTTPS Everywhere" stellt sicher, dass immer dann, wenn eine Website HTTPS anbietet, ausschließlich HTTPS benutzt wird.

VPN

Durch den Einsatz von VPN (Virtual Private Network) wird der gesamte Netzwerkverkehr des PCs über einen VPN-Server umgeleitet und die Verbindung bis zum VPN-Server verschlüsselt.

Dafür wird ein Benutzerkonto auf einem VPN-Server benötigt. Universitäten bieten ihren Studenten meist kostenlose VPN-Zugänge an.

Es gibt darüber hinaus auch zahlreiche kommerzielle Anbieter von VPN-Zugängen. Zu beachten ist dabei, dass man dem VPN-Anbieter vertrauen sollte, was in der Praxis schwer sicherzustellen ist (Weiteres). Da die Internetkommunikation heutzutage auf Anwendungsebene verschlüsselt wird, sind VPNs zum Schutz von Datensicherheit und Privatsphäre nicht mehr unbedingt zu empfehlen.


Wie schütze ich mich davor, dass jemand aus dem Netz meinen Rechner angreift?

Dieses Problem ist nicht (W)LAN- oder Freifunk-spezifisch; wann auch immer ein Rechner mit dem Netz verbunden wird, können Angriffe von außen grundsätzlich erfolgen.

Regelmäßige Updates

Regelmäßige Sicherheitsupdates sind unerlässlich, um den eigenen Rechner sicher zu halten.

Insbesondere der Web-Browser sollte aktuell gehalten werden, damit böswillige Webseiten oder auch in Webseiten von dritten eingebettete als Werbung getarnte Malware keine Sicherheitslücken ausnutzen kann.

Auch das Betriebssystem selbst sollte auf dem aktuellen Stand gehalten werden. Windows erledigt dies automatisch, wenn man die automatischen Updates einschaltet, ebenso wie die meisten Linux-Varianten.

Die gleichen Hinweise gelten für Smartphones. Der benutzte Browser sollte unbedingt auf dem aktuellen Stand gehalten bzw. Updates nicht deaktiviert werden.

Angriffsoberfläche minimieren

Software, die man nicht hat, bietet Angreifern keine Sicherheitslücken, die sie ausnützen könnten. Also: Je weniger Software man benutzt, desto sicherer sind die eigenen Geräte. Das heißt...

  • auf wenige vertrauensvolle Software beschränken
    • das gilt auch für Apps auf dem Smartphone. Wenn die jeweiligen Dienste auch per Website ansprechbar sind, hat das auch den angenehmen Nebeneffekt der etwas besseren Privatsphäre, da Webseiten z.B. nicht die Gerätekennung des Smartphones auslesen können.
    • Plug-Ins und Add-Ons auf das Nötigste beschränken

Verantwortungsvoller Umgang mit dem Gerät

Die meisten Viren und andere Malware verbreiten sich immer noch über E-Mail, fragwürdige Download-Portale oder Trickbetrügereien z.B. über in Webseiten eingebettete Werbung.

  • Grundsätzlich sollten an E-Mails angehängte Dateien niemals ausgeführt werden, auch wenn sie von vermeintlich vertrauenswürdigen Personen kommen (E-Mail-Absenderadressen können leicht gefälscht werden).
    • Ein typisches Einfallstor für Malware sind auch z.B. an E-Mails angehängte Word-Dateien. Keine seriöse Firma wird jemals Rechnungen o.ä. per Word-Datei verschicken.
  • Trickbetrügerei über Werbung ist in letzter Zeit ein stärkeres Problem.
    • Webseiten bekommen Geld für Werbung, die von Dritten in einen kleinen reservierten Bereich der Webseite eingeblendet wird. Typischerweise hindert niemand den Werbetreibenden daran, statt klar erkennbarer Werbung an der Stelle der Werbung z.B. "ACHTUNG! SIE HABEN EINEN VIRUS!" einzublenden. Der "Werbetreibende" hofft dann typischerweise darauf, dass der Benutzer sich täuschen lässt, auf die "Werbung" klickt und welche "Lösung" auch immer ihm präsentiert wird in Panik annimmt (und sich so z.B. einen Virus installiert oder ein teures unnützes Abo abschließt). Besonders gemein ist dabei, dass dieser Trickbetrug auch auf Webseiten erfolgen kann, die grundsätzlich vertrauenswürdig sind, da die Webseiten meist keine direkte Kontrolle über die eingeblendete Werbung haben. Manche Werbe-Netzwerke machen sich erheblichen Aufwand, um betrügerische Werbung auszuschließen, siehe z.B. hier.
    • Werbung kann auch als direktes Einfallstor für Malware dienen, z.B. kann die "Werbung" Sicherheitslücken im Browser ausnutzen, um Kontrolle über den Rechner des Benutzers zu erhalten.
    • Entsprechend ist es ratenswert, sich einen sogenannten Adblocker zu installieren, der Werbung schon aus sicherheitstechnischen Gründen unterbindet, wie z.B. uBlock Origin für Firefox und für Chrome
  • Bei Mobilgeräten sollte man bei den Apps, die man installiert, auf die angeforderten Rechte achten. Wenn die Taschenlampen-App X Zugriffsrechte auf das Adressbuch oder den Speicher will, sollte man vielleicht besser die andere Taschenlampen-App Y benutzen (z.B. ist ein weiteres Kriterium, ob die Software als Open Source verfügbar ist, siehe F-Droid-Repository). Selbst, wenn die App heute keinen Unsinn mit den Daten anstellt: Wer weiß, was passiert, wenn nach dem Aufkauf des App-Herstellers durch Social Network XYZ das nächste Update der App kommt.

Antiviren-Software

Antiviren-Software soll verhindern, dass der Benutzer überhaupt erst böswillige Software zu Gesicht bekommt (via E-Mail) oder sie gar erst ausführt. Antiviren-Software führt allerdings ihrerseits Analysen von eingehenden Daten aus und vergrößert dadurch massiv die Angriffsoberfläche für Viren. So kann es passieren, dass ein Virus z.B. eine Sicherheitslücke im PDF-Analyse-Modul eines Virenscanners ausnutzt und so den Rechner übernehmen kann, selbst wenn eigentlich gar kein PDF-Reader installiert ist.

Entsprechende Sicherheitslücken kommen erstaunlich häufig vor - siehe z.B. "Antiviren-Software als Keylogger missbraucht" oder "Kritische Lücke in Symantec und Norton" oder "Die Schlangenöl-Branche" oder Project Zero zu Microsofts Antivirus oder "Avast deaktiviert gefährliche Komponente seiner Antiviren-Software". Diese erst durch Antiviren aufgerissenen Sicherheitslücken werden ggf. auch von Malware benutzt. Auch das BSI rät inzwischen von zusätzlichen Antiviren ab.

Gleichzeitig sind die meisten Antiviren-Softwares bzw. -Hersteller bekannt für aggressives bis irreführendes Marketing, und es kommt auch schonmal vor, dass Antiviren Benutzerdaten in großem Stil abfischen und bei der Gelegenheit auch gleich an Dritte verkaufen.

Eine gute Lösung ist es, ggf. (nur) den Betriebssystem-eigenen Virenscanner zu benutzen, auf das Installieren von manuell heruntergeladenen Dateien (ob per Browser oder als E-Mail-Anhang) ganz zu verzichten oder, falls letztes nicht möglich ist, die jeweiligen Dateien auf z.B. VirusTotal.com (Wikipedia dazu) hochzuladen und prüfen zu lassen.

Auf z.B. Smartphones bietet Antiviren-Software keinen Nutzen, da das Betriebssystem bereits ein Rechtemanagement bietet und sowieso nur Software aus bekannten/vertrauenswürdigen Quellen installiert werden kann, sofern der Benutzer nicht spezielle Schritte unternimmt, das zu umgehen. Wie auch auf PCs ist Antiviren-Software auf Smartphones häufig fehlerhaft und kann somit Einfallstore für Viren etc. öffnen, die es ohne sie nicht gegeben hätte (siehe z.B. "Die meisten Android-Virenscanner sind unsicher").

Firewalls

In einer Firewall werden Regeln festgelegt, welche Art von Daten über das Netzwerk von/zum eigenen Rechner fließen dürfen ("Mein Rechner darf Verbindungen überhallhin aufbauen, aber niemand aus dem Netz darf eine Verbindung zu meinem Rechner initiieren").
Bei einer Personal Firewall können diese Regeln noch auf einzelne Programme eingeschränkt werden ("Der Browser darf Verbindungen nach außen aufbauchen, der Taschenrechner nicht").

Früher haben Betriebssysteme häufig unnötig viele Dienste per Voreinstellung im Netzwerk nach Außen angeboten, woraus sich diverse Sicherheitslücken ergaben. Bei aktuellen Betriebssystemen bringt eine gesonderte Firewall auf einem typischen Arbeitsrechner heutzutage nichts mehr, da sowieso nur die unbedingt nötigen Netzwerkdienste von außen zu erreichen sind. Bestenfalls kann eine Personal Firewall unterbinden, dass ein böswilliges Programm vom Rechner nach außen Kontakt aufnimmt und z.B. persönliche Daten verschickt. In der Praxis muss man aber sowieso den Programmen, die man auf einem Rechner ausführt, vertrauen (sie also am besten nur aus vertrauenswürdigen Quellen installieren), da eine Personal Firewall z.B. ein böswilliges Programm zwar abhalten mag, Kontakt nach außen aufzunehmen, das Programm aber immer noch die Festplatte formatieren könnte.

Bei Windows gibt es eine eingebaute Firewall. Bei aktuellen Linux-Distributionen ist im allgemeinen keine Firewall nötig (Quelle); falls doch eine Firewall benötigt wird, können IPTables bzw. ebtables benutzt werden.

Sichere Passwörter

Die meisten "Hacks" von E-Mail-Konten etc. werden durch schlechte/unsichere Passwörter ermöglicht. Angreifer probieren automatisiert über lange Zeiträume Passwörter anhand von Passwortlisten durch. Benutzt man also Passwörter wie "Asdf1234!", ist es schlicht eine Frage der Zeit, bis der jeweilige Account "gehackt" wird.

Abhilfe ist, sichere (also lange, zufällige z.B. durch den Browser generierte) Passwörter und für jeden Account ein eigenes Passwort zu benutzen.


Häufige Fragen zur Sicherheit von Freifunk-Router-Firmware

Grundsätzlich ist den typischen Freifunk-Firmwares zugute zu halten, dass sie Open Source sind, also von vielen Augen auf Sicherheit überprüft werden (können), anders als die normalerweise nicht einem solchen "Audit" unterzogene normale Router-Firmware. Außerdem erhalten Freifunk-Firmwares normalerweise regelmäßige Updates (während herstellerspezifische Router-Firmware häufig keine Updates mehr erfährt, sobald das jeweilige Router-Modell nicht mehr verkauft wird.)

Ist mein privates LAN sicher abgeschirmt?

Die von vielen Freifunk-Communities benutzte Freifunk-Firmware Gluon ist eine OpenWrt-Variante. Damit dort alle anfallenden Sicherheitsupdates einfließen, erhält die Firmware regelmäßig automatisch Updates.

Gluon verwendet primär verschiedene Routing-Tabellen, um das Freifunk-Netz und das private LAN voneinander zu trennen. Der Datenverkehr von Freifunknetz und privatem LAN sind also getrennt, und es können aufgrund der Routing-Tabellen keine Verbindungen vom Freifunknetz ins private LAN aufgebaut werden.

Falls man aus dem Freifunk-Netz ins private LAN gelangen wollte, müsste man dies mit Absicht so konfigurieren (z.B. indem man einen der LAN-Ports des FF-Routers an den DSL-Router stöpselt). Solange man nur den WAN-Port des FF-Routers und die Standardeinstellungen benutzt, sind die Netze sicher getrennt.

Wem das keine Ruhe lässt, kann einen einfachen Test machen, nämlich versuchen, den DSL-/Kabel-Router vom FF-Netz aus zu erreichen. Also Notebook mit dem Freifunk-WLAN verbinden und versuchen, auf die Webseite des Haus-Routers zu kommen (typischerweise sowas wie http://fritz.box oder http://192.168.0.1, siehe Handbuch) oder die IP des Routers per ping zu erreichen. Beides sollte aus dem Freifunk-WLAN aus nicht klappen (falls das ping doch etwas liefert, bitte sicherstellen, dass da nicht der Freifunk-Router antwortet).

Gibt es eine Firewall?

Die oben erwähnten Routing-Tabellen funktionieren wie eine Firewall.

Gehen die Freifunk-Verbindungen auch wirklich über das VPN?

Sofern die Firmware nicht anders konfiguriert wurde, sollten die Freifunk-Daten über das VPN der jeweiligen Community gehen.

Testen lässt sich das, indem die Zugehörigkeit der IP-Adresse, unter der der eigene Rechner im Netz erscheint, überprüft wird.

  • Im privaten LAN werden Test-Webseiten wie utrace.de den Namen und Ort des jeweiligen eigenen Breitband-Providers anzeigen.
  • Im Freifunk-WLAN sollten diese Test-Webseiten nicht den Namen des eigenen Breitband-Providers anzeigen, sondern den Hoster des benutzten Tunnels.

Wie kann man prüfen, ob ein lokaler Firmwarebereitsteller nicht unbeabsichtigt Löcher eingebaut hat?

Wenn Interessierte nachlesen wollen was genau wie geschützt wird, kann man nach jedem Firmware-Update prüfen, ob die Routingtabellen noch korrekt formuliert sind. Die Routingtabellen kann man mit iptables / ebtables einsehen.

Wie kann ich prüfen, ob die heruntergeladene Freifunk-Firmware auch wirklich die angebotene ist?

Interessierte können überprüfen, ob die Firmware, die sie herunterladen, auch wirklich von der jeweiligen Freifunk-Community ausgegeben ist.

Manche Communities bieten entsprechend MD5/SHA-Werte der Firmwares bzw. GPG-Signaturen an, mit der die Authentizität der Firmware überprüft werden kann.


Welche firmware auf einem Router installiert ist, sieht man im Moment nur in der internen config files in `/lib/gluon/gluon-version`, `release` und `site.json`. In den ersten beiden steht z.b.

     gluon-version:v2016.1.6
     release:2016.1.6

Die gluon-version anthält die commit ID nur, wenn man nicht genau auf einem "annotated tag" gebaut hat, dann steht dort sehr genau z.b.

   2016.2~exp1611131432 / gluon-v2016.2.1-3-g0f9a1a9

also commit-id `0f9a1a9` genau 3 commits nach dem tag gluon-v2016.2.1

Außerdem enthält die `site.json` die exact benutzte site config, anhand der könnte ein Prüfer die Firmware genau so nachbauen.

Weiterführende Diskussion hierzu auf: https://forum.freifunk.net/t/code-review-auf-sicherheit/10264/49