"Der Paranoia / Sichere Laptop"

    • chipper135
      chipper135
      Bronze
      Dabei seit: 25.08.2006 Beiträge: 466
      Hallo zusammen,

      Da leider immer noch nicht abzusehen ist, ab wann diverse Anbieter sichere Authentisierungsmöglichkeiten (OTP, Zertifikate etc.) anbieten und meine persönliche Paranoia Überhand genommen hat, hier ein paar Tipps für einen sicheren PC. Warnung vorweg: Manche davon kosten Geld! Sicherheit am PC kann man tatsächlich kaufen :-) (Nein, ich verkaufe hier nichts und habe auch nichts mit den entsprechenden Firmen zu tun). Ich werde jeweils 2 Möglichkeiten nennen, wie man einen PC sichert. Der erste ist jeweils einfacher/simpler, aber auch unsicherer.

      Diese kleine Zusammenfassung kann man natürlich noch weiter in Details ausarbeiten, aber ich denke damit kann man ersteinmal glücklich sein. Es soll keinesfalls den Guide "PC-Sicherheit" ersetzen. Er soll nur eine zweite Meinung sein. Wer beides kombiniert, sollte auf der sicheren Seite sein.


      1. Unbefugte haben an meinem PC nichts zu suchen.

      Bruder/Schwester/Eltern. Nette vertrauensvolle Leute, die einem bestimmt nichts böses wollen. Dennoch verballern täglich eben diese Leute gerne mal die persönliche BR. Sei es, weil sie nicht eingeweiht sind, oder keine Ahnung davon haben was sie da gerade tun.
      Wenn man Besitzer eines Laptops ist, möchte man außerdem im Verlustfall nicht, dass der neue Besitzer/Finder Zugriff auf die Kiste bekommt. Von daher gilt: DICHT MACHEN!

      Wie mache ich das Dingen dicht?

      1) Leichte Paranoia
      HDD-Passwort im BIOS setzen, Windows Kennwort setzen.
      Nicht wirklich sicher, hält aber 90% aller Menschen fern

      2) Schwere Paranoia
      Komplette Plattenverschlüsselung mittels Truecrypt.
      In den neuen Versionen kann Truecrypt auch Windows-Partitionen komplett verschlüsseln. Mit einem entsprechend komplexen Kennwort dürfte sich jeder daran die Zähne ausbeissen.

      Guide zum verschlüsseln der kompletten Platte/Partition: http://www.heise.de/software/download/special/windows_verschluesseln/26_1


      2. Grundsicherheit PC / Netzwerk herstellen

      Wir haben nun einen PC der mehr oder minder vor physischem unbefugtem Eingriff sicher ist. Da wir uns aber im Internet bewegen, müssen wir die Kiste entsprechend für Angriffe daraus absichern. Generell sollte man als Besitzer eines DSL Anschlusses einen Router benutzen. Selbst der billigste Baumarkt-Router beinhaltet heutzutage eine Firewall / IP-Filter, die euch den meisten Mist vom Hals hält. Alleine NAT bietet hier schon einen Basis-Schutz, auch wenn es eigentlich zur Verbindugsherstellung genutzt wird.

      http://de.wikipedia.org/wiki/Network_Address_Translation

      Bitte seid euch bewusst das jeder offene Port ein potentielles Eingangstor für Schädlinge gleich welcher Art ist. Wenn ihr einen entsprechenden Router habt, probiert lieber Port-Triggerung, anstatt einer statischen Weiterleitung von Portbereichen an euren Rechner.

      http://de.wikipedia.org/wiki/Port_Triggering

      Nachdem wir unseren Rechner nun im Internet haben, sollte auf selbigem entsprechende Sofware/Hardware laufen, die uns böse Leute/Sofwtare fernhält.

      3. PC-Firewall / Antivirensoftware

      1)Leichte Paranoia
      Selbst die in Windows integrierte Firewall ist besser als kein Schutz. Generell sollte man jedoch lieber auf Spezialsoftware zurückgreifen. Ich möchte hier kein Programm empfehlen. Alle haben ihre Stärken und Schwächen. Wenn ihr keine Lust habt euch entsprechend zu informieren, nehmt einfach eine Komplett-Suite von einem renomierten Hersteller.

      Zum Beispiel Norton Internet Security oder Kaspersky Internet Secuirty

      http://www.symantec.com
      http://www.kaspersky.com

      Beide Hersteller bieten Testinstallationen an. Ihr könnt hier für einen gewissen Zeitraum kostenfrei die SW nutzen.

      Avira Freeeware Scanner: Vergesst es. Nettes Taskmanaager-Icon. Es handelt sich dabei nur um einen Virenscanner, der keinerlei Mails scannt. Er findet den Virus erst, wenn er sich eingenistet hat. Meiner Meinung nach ist das zu spät.

      2) Schwere Paranoia
      Neben dem obligatorischem Einsatz eines Virenscanners / Inernet Security Suite,
      der Einsatz einer Hardware Firewall. Entweder ihr benutzt einen Router, der entsprechend komplexe Sicherheitsfeatures bietet (z.B. Zywall), oder ihr nehmt einen Hardware-Dongle der entsprechende Features bietet. Besonders zu erwähnen ist hier der Yoggie Stick.
      Der Stick trennt den Rechner vom Netz und der gesamte Datenstrom wird ersteinmal durch Content/Virenfilter und natürlich eine FW geschickt, bevor er an den PC weitergeleitet wird.
      Nützliches Gerät, kostet aber Geld (ca. 150€). Da ich beruflich auch öfters unterwegs bin, ein nettes Gerät wenn man über den Hotel-Hotspot / UMTS ins Internet geht.

      http://www.yoggie.com

      4. eMail / Passwörter / Keylogger

      Nun da wir unseren PC schon relativ gut gesichert haben, sollten wir selbst an unsere Sicherheit denken.

      eMail:
      Legt euch für eure Pokerrooms ein eigenes Postfach zu. Bitte schaut euch vorher an, wo ihr ein eMail Konto einrichtet. Viele Web-eMail Anbieter resetten Kennwörter auf Anfrage per Mail. Das geht in meinen Augen gar nicht (es sei denn, es sind entsprechende Sicheheits-Fragen vorher zu beantworten). Der größte Provider Deutschlands (jaja, die Telekom) macht dies nicht. Wenn ihr hier ein eMail Passwort vergeben habt und dieses vergesst, könnt ihr nur mit euren Internet-Zugangsdaten zurücksetzen. Wenn ihr die auch verschlampt habt, gibts keinen Reset per Telefon oder eMail. Ihr bekommt neue Zugangsdaten per Einschreiben. Viele finden das unflexibel. Ich finde es sicher.

      Passwörter:
      Je länger und komplizierter, desto besser. Wenn ihr euch keine Passwörter merken könnt, dann benutzt ein entsprechendes Programm (Keepass, Passgen). Vorteil dabei ist, das ihr euch nur ein Kennwort merken müsst. Nachteil: Wenn das Masterkennwort geknackt ist, hat man Zugriff auf alle Passwörter.
      Wer also ein bischen Gehirnschmalz investieren kann, sollte sich Passwörter selbst ausdenken. Das geht übrigens relativ einfach.

      Beispiel: AmMieMvL!
      Entsteht aus dem Satz: Auf meinem Mousepad ist eine Maus von Logitech!
      Groß/Kleinschreibung und Sonderzeichen sind wichtige Bestandteile eine Passwortes.

      Keylogger:
      Das schönste Passwort nutzt nichts, wenn ein Keylogger fleissig die Kennwörter mitschreibt. Wenn es ersteinmal so weit ist, habt ihr nur noch eine Chance: Keyscambler.
      Keyscrambler verschlüsselt die Tastatureingaben für zahlreiche Programme bereits ind er Freeware Version. Die Professional-Version unterstützt obendrein noch Poker-Anbieter. Für 30$ meiner Meinung nach empfehlenswert.

      http://keepass.info/
      http://world.std.com/~reinhold/passgen.html
      http://qfxsoftware.com/

      5. Eigener Umgang mit dem PC / Sicherheit

      Nun nachdem wir einen PC haben, der ensptrechend "sicher" ist gibt es eigentlich nur noch eine Person, die das Ganze aushebeln kann: Du selbst!

      Man sollte jeder Mail / jedem Programm das man nicht kennt ersteinmal eine gesunde Portion Misstrauen entgegenbringen. Sucht euch im Internet Informationen darüber zusammen. Fragt euch lieber zweimal, ob ihr wirklich den "Klingelton-Automatik-Wechsler" gratis benötigt, so wie in der Mail angepriesen, oder ob das evtl. doch nur SPAM oder ein Versuch ist, an eure Daten zu kommen. Da gleiche gilt für die belibeten russichen Seiten, die einem die geliebten Windows/Office Keys als Tool kostenfrei zur Verfügung stellen. Glaubt ihr wirklich die machen das weil sie so nett sind?

      Selbst Office kostet in der Drei-Lizenz Home&Student Version nur etwas mehr als 100€. Wenn man die Lizenz jetzt mit seinen Kumpels / Familie teilt, sollte das auch für den ärmsten PS.de Member machbar sein....

      Diese kleine Zusammenfassung kann man natürlich noch weiter in Details ausarbeiten, aber ich denke damit kann man ersteinmal glücklich sein. Es soll keinesfalls den Guide "PC-Sicherheit" ersetzen. Er soll nur eine zweite Meinung sein. Wer beides kombiniert, sollte auf der sicheren Seite sein.

      So long,
      chipper
  • 5 Antworten
    • NosajBaD
      NosajBaD
      Global
      Dabei seit: 01.08.2007 Beiträge: 868
      thx
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Netter Artikel...hast Dir ja viel Mühe gemacht.

      Jedoch möchte ich auf den ein oder anderen Punkt nochmals eingehen, da
      das was Du schreibst grundsätzlich nicht verkehrt ist (also nicht fasch vertsehen; nichts persönliches etc.),
      jedoch weitere Problematiken aufwirft und auch die Ursächlichkeit nicht beschreibt - sondern vielmehr die Symptome.
      Auch sind einige Tipps zwar "ganz nett", bewirken jedoch (leider) nichts.

      Original von chipper135
      Hallo zusammen,

      Da leider immer noch nicht abzusehen ist, ab wann diverse Anbieter sichere Authentisierungsmöglichkeiten (OTP, Zertifikate etc.) anbieten .....
      wird nichts nutzen; bzw. falscher Weg

      1. Unbefugte haben an meinem PC nichts zu suchen.
      Bruder/Schwester/Eltern. Nette vertrauensvolle Leute, die einem bestimmt nichts böses wollen. Dennoch verballern täglich eben diese Leute gerne mal die persönliche BR. Sei es, weil sie nicht eingeweiht sind, oder keine Ahnung davon haben was sie da gerade tun. Wenn man Besitzer eines Laptops ist, möchte man außerdem im Verlustfall nicht, dass der neue Besitzer/Finder Zugriff auf die Kiste bekommt. Von daher gilt: DICHT MACHEN! Wie mache ich das Dingen dicht?



      1) Leichte Paranoia
      HDD-Passwort im BIOS setzen, Windows Kennwort setzen. Nicht wirklich sicher, hält aber 90% aller Menschen fern.


      Bringt überhaupt nichts !
      Es ist ein leichtes, einen "Hardware-Reset" zu machen (Aufwand: 5-10 min.) und darüber hinaus gibts es (je nach Hersteller) entspechende "Codes" und/oder "Tastenkominationen" mit denen man innerhalb weniger Sekunden das Bios-PW "resetten" kann


      2) Schwere Paranoia
      Komplette Plattenverschlüsselung mittels Truecrypt. In den neuen Versionen kann Truecrypt auch Windows-Partitionen komplett verschlüsseln. Mit einem entsprechend komplexen Kennwort dürfte sich jeder daran die Zähne ausbeissen. Guide zum verschlüsseln der kompletten Platte/Partition: http://www.heise.de/software/download/special/windows_verschluesseln/26_1[/I]

      Das geht....jedoch kann es u.U. auf die Performance des Systems gehen.
      Bedingt dadurch das windoofs keine vernünftige Benutzerverwaltung hat bzw. für einen Mehrbenutzerbetrieb nicht ausgelegt ist, verkommt der PC mit dieser Maßnahme zu einem "Single-User-System".



      2. Grundsicherheit PC / Netzwerk herstellen
      Wir haben nun einen PC der mehr oder minder vor physischem unbefugtem Eingriff sicher ist.

      eben !


      3. PC-Firewall / Antivirensoftware
      1)Leichte Paranoia
      Selbst die in Windows integrierte Firewall ist besser als kein Schutz. Generell sollte man jedoch lieber auf Spezialsoftware zurückgreifen. Ich möchte hier kein Programm empfehlen. Alle haben ihre Stärken und Schwächen. Wenn ihr keine Lust habt euch entsprechend zu informieren, nehmt einfach eine Komplett-Suite von einem renomierten Hersteller.
      ...


      Original von Zweery
      Generell:
      Es ergibt keinen Sinn, einen Netzwerkdienst zu starten und diesen dann mit der Firewall zu blocken. Sinnvoll ist nur, diesen Netzwerkdienst nicht laufen zu lassen, denn ein Dienst für das Netz, welcher nicht im Netz erreichbar ist, ist widersinnig.

      Ein vom Rechner angebotener Dienst steht nur dann im Internet zur Verfügung, wenn der
      DSL-Router den entsprechenden Port an den Rechner weiterleitet. Standardmäßig wird nichts
      weitergeleitet. Ohne Router steht jeder Dienst des Rechners auch im Internet zur Verfügung.
      -> Soweit sind wir einer Meinung.

      Ohne Router ist mit Windows das Problem, daß Windows und seine Programme viel zu
      viel RPC (Remote Procedure Calls) auch für Nicht-Netz-Programme einsetzen; dort also
      ziemlich viele Dienste laufen, die auch unnötigerweise dem Netz zur Verfügung stehen.

      Um diesen Architektur-Fehler auszugleichen, sperrt man die entsprechenden
      Ports mit einer Firewall.
      -> Dies war übrigens der Grund warum MS eine eigene (!) Firewall in sein OS integrierte !.

      Weil Windows und seine Programme jedoch auf Remote Procedure Calls angewiesen sind, kann man dies nicht abschalten: Es würde vieles nicht mehr funktionieren, was man braucht.


      "Normalerweise" (also mit Router) bietet also eine Desktop-Firewall auf dem zu schützenden
      Rechner keinen nennenswerten zusätzlichen Schutz.
      Sie kann im Gegenteil selbst verlockendes Ziel eines Angriffs sein, da sie die vom Angreifer
      gerne eroberten höheren Rechte hat und zudem mit beliebigem Netzverkehr erreichbar ist.
      (Quellen: ct´, ZDnet, Wikipedia, Mark v. Möller Software-Solutions)



    • TheOneAndOnlyMarkus
      TheOneAndOnlyMarkus
      Bronze
      Dabei seit: 20.02.2006 Beiträge: 3.784
      Hi Zweery, ich muss dir da teilweise widersprechen bzw. dich ergänzen:

      1. Imo ist TrueCrypt o.ä. unerlässlich für einen Laptop! Natürlich verringert sich die Leistung beim Festplattenzugriff, aber wenn wirklich Performance benötigt wird, wird die eh nicht benutzt. Der entstehende Mehraufwand ist also kaum ausschlaggebend. Zudem sind so gut wie alle Heim-PC's Single-User Systeme. Gerade bei einem "Poker-Laptop"!

      2. Klar machen auch Desktopfirewalls einen Sinn! Kleines Beispiel: Du bist in einem LAN, hast nen Server auf deinem Rechner laufen und willst den Server nur einem bestimmten Subnetz oder bestimmten IP's zugänglich machen. Das ist ohne Firewall nicht machbar. Aber in den meisten Fällen wird es natürlich so sein wie du gesagt hat, also dass man seinem LAN vertraut und durch einen Router die Dienste gegenüber dem INet abschirmen kann.


      PS: Bevor wieder die "dies und das kann man aber so und so umgehen"-Posts kommen: Ich weis es ;) . Aber viele wissen das nicht und deshalb ist der Schutz sinnvoll.
    • chipper135
      chipper135
      Bronze
      Dabei seit: 25.08.2006 Beiträge: 466
      Erstmal danke für die Kritik.

      Ich will mit der kleinen Aufzählung ja auch keine Profis ansprechen. Es ist auch nicht dafür geschrieben. Es ist für den "Normalo" gedacht, der sich einfach etwas besser absichern.

      Kurz zu den Kritikpunkten

      --Da leider immer noch nicht abzusehen ist, ab wann diverse Anbieter sichere --Authentisierungsmöglichkeiten (OTP, Zertifikate etc.) anbieten .....
      >>wird nichts nutzen; bzw. falscher Weg

      Warum? Wenn ich da eine eine SecurID Lösung denke, oder an ein Zertifikat, das nicht exportierbar ist, würde ich mich wesentlich sicherer fühlen bei den verschiedenen Anbietern.

      --1) Leichte Paranoia
      --HDD-Passwort im BIOS setzen, Windows Kennwort setzen. Nicht wirklich --sicher, hält aber 90% aller Menschen fern.

      >>Bringt überhaupt nichts !
      >>Es ist ein leichtes, einen "Hardware-Reset" zu machen (Aufwand: 5-10 >>min.) und darüber hinaus gibts es (je nach Hersteller) entspechende >>"Codes" und/oder "Tastenkominationen" mit denen man innerhalb weniger >>Sekunden das Bios-PW "resetten" kann

      Daher habe ich extra "leichte Paranoia" drangeschrieben. Es hält Eltern Schwestern und den BWL-Stunden WG Mitbewohner vom Rechner fern, danach wirds kritisch. Außerdem habe ich nichts von BIOS-Kennwort geschrieben. Ich meine wirklich das HDD-Kennwort. Jede moderne Notebookplatte unterstützt das. Das PW ist somit im Chip der Platte gespeichert und nicht im Bios selbst. Das Bios leitet es lediglich weiter. Ein Bios-Reset bringt dich nicht weiter.

      Zum Punkt Firewall / Windows etc.

      Windows (XP) Kennwort ist natürlich leicht zurückzusetzen, da gebe ich dir Recht. Trotzdem stellt es für den Normal-Menschen ein Hinderniss da. Ncihts anderes soll es bewirken.

      Es gibt wenige Poker Clients für andere Systeme als Windows. Zusatz-Software wie Pokertracker, HM-Manager oder Elephant laufen auf keinem anderen System. Wir müssen also mit Windows auskommen.

      Der Profi wird hier ersteinmal alle Dienste abschalten die er nicht braucht und ein Windows nehmen, das entsprechende Richtlinien verwalten kann (z.B. Vista).
      Der Normalmensch benutzt einfach das Windows was drauf ist... sei es XP Home oder bei neueren PC Vista in der Home Edition. Ich sehe bei dem aktuellen Standard-PC kein Problem eine Desktop FW zusätzlich laufen zu lassen. Die paar Prozent Rechenlast die das benötigt, stemmt heute jeder Rechner. Gleiches gilt für Truecrypt.
      Bitte im Hinterkopf behalten, dass wir hier nicht von einem Hochverfügbarkeitssystem sprechen, sondern von einem ganz normalen PC, auf dem ausser Poker evtl. CS läuft oder die Filmesammlung lagert.

      Bei einem Single-Haushalt kann man auf eine weitere FW verzichten. Wenn mehrere Menschen in einem Netzwerk aktiv (WG, Stundentenwohnheim, Familie) sind, finde ich den zusätzlichen Schutz doch angebracht.

      Ich habe mich im Artikel extra bei Passwörtern kurz gefasst. Dies ist im Sticky bereits wunderschön ausgearbeitet :-)
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Original von chipper135
      Erstmal danke für die Kritik.

      Ich will mit der kleinen Aufzählung ja auch keine Profis ansprechen. Es ist auch nicht dafür geschrieben. Es ist für den "Normalo" gedacht, der sich einfach etwas besser absichern.

      Kurz zu den Kritikpunkten
      sry....das war von meiner Seite nicht als Kritik gemeint, sondern vielmehr eine Art von Vorsichtsmaßnahme
      für die von Dir angesprochenen Noobs, welche u.U. den Eindruck gewinnen könnte, Ihr System sei nun sicher.

      Original von chipper135
      Ich meine wirklich das HDD-Kennwort. Jede moderne Notebookplatte unterstützt das. Das PW ist somit im Chip der Platte gespeichert und nicht im Bios selbst. Das Bios leitet es lediglich weiter. Ein Bios-Reset bringt dich nicht weiter.


      Original von chipper135
      Zum Punkt Firewall / Windows etc.

      Windows (XP) Kennwort ist natürlich leicht zurückzusetzen, da gebe ich dir Recht. Trotzdem stellt es für den Normal-Menschen ein Hinderniss da. Ncihts anderes soll es bewirken.
      Die "normale Menschen" von denen Du sprichst können zumindest "googlen" und die "hacken" auch nicht
      über die NW-Verbindung ins Internet Deinen Rechner, sondern andere !.

      Original von chipper135
      Es gibt wenige Poker Clients für andere Systeme als Windows. Zusatz-Software wie Pokertracker, HM-Manager oder Elephant laufen auf keinem anderen System. Wir müssen also mit Windows auskommen.
      Richtig...nur sollte man es nicht "Native" laufen wenn möglich. Unter OSX und Linux kann man Windows in einer virtuellen Maschine laufen lassen und bei jedem Systemstart "jungfräulich" booten.
      Somit haben "eingenistete" Angreifer keine Chance.

      Original von chipper135
      Der Profi wird hier ersteinmal alle Dienste abschalten die er nicht braucht und ein Windows nehmen, das entsprechende Richtlinien verwalten kann (z.B. Vista).
      Richtig....nur die Noobs können das nicht und Vista schonmal gar nicht - da liegt das Problem !.


      Original von chipper135
      Der Normalmensch benutzt einfach das Windows was drauf ist... sei es XP Home oder bei neueren PC Vista in der Home Edition. Ich sehe bei dem aktuellen Standard-PC kein Problem eine Desktop FW zusätzlich laufen zu lassen. Die paar Prozent Rechenlast die das benötigt, stemmt heute jeder Rechner. Gleiches gilt für Truecrypt.
      Bitte im Hinterkopf behalten, dass wir hier nicht von einem Hochverfügbarkeitssystem sprechen, sondern von einem ganz normalen PC, auf dem ausser Poker evtl. CS läuft oder die Filmesammlung lagert.
      Rechnerlast ist nicht das Problem;
      Über "Hochverfügbarkeit" sprechen wir hier nicht - der Begriff hat eine andere Bedeutung -> Redundante Systeme;
      TrueCrypt ist sicherlich eine gute Idee um das ausspähen von Daten zu verhindern; leider verhindert es
      die Übernahme/Angriff des Systems von Außen nicht.