9. Sicherheit im Netz (von Kristine Budde)

 

Niemand würde angesichts der Kriminalitätsstatistiken seine Haustür sperrangelweit offenstehen lassen oder sich angesichts des allgemeinen Verkehrsaufkommens ohne Führerschein in ein Auto setzen und zur Rush Hour einfach drauflosfahren und dabei ernsthaft der Meinung sein, es würde schon nichts passieren.
Genauso sollte man sich auch im neuen" Medium der vernetzten Computer über mögliche Risiken informieren, und ggf. Sicherheitsvorkehrungen treffen. Einige Risiken werden in diesem Abschnitt beschrieben und Lösungen sollen genannt werden.

   
1. Internetsecurity

• Cookies
    Cookies sind kleine Textsequenzen, die beim Besuch vieler Web-Seiten (z.B. AltaVista) in einer bestimmten Datei (z.B. in  /.netscape/cookies) abgelegt werden. Diese protokollieren i.d. Regel, welche Seite einer Site besucht wurden. Damit kann später gezielt Werbung eingeblendet oder Werbe-EMail verschickt werden. In den meisten Browsern kann man entweder verlangen, daß man vor dem Setzen eines Cookies gefragt wird, oder das Setzen der Cookies ganz verbieten.

• JavaScript
    JavaScript ist inzwischen weit verbreitet, um Web-Seiten bunter und dynamischer zu gestalten. Allerdings kann es auch dazu mißbraucht werden, Profile von Web-Benutzern zu erstellen, um so noch zielgerichteter Werbung zu verschicken. Abgesehen davon ist JavaScript immer noch so fehlerhaft programmiert, daß damit praktisch beliebiger Schaden angerichtet werden kann. Auch JavaScript kann bei den meisten Browsern ausgeschaltet werden.
• Übertragung sensitiver Daten über das Internet
  Sicherlich wird man beim Surfen durch das Internet oft auf Seiten treffen, von denen man sich weiteres Informationsmaterial, z.B. auch in schriftlicher Form wünscht. Dabei sollte man allerdings beachten, daß die angegeben Daten in der Regel unverschlüsselt übertragen werden. Spätestens, wenn eine Bestellung mit VISA-Karte bezahlt werden soll, sollte man darauf achten, daß das Bestellformular als sicher gekennzeichnet ist, z.B. mit Hilfe von SSL oder S-HTTP. Das erkennt man z.B. durch die Benutzung von https://... oder shttp://... bei der Web-Adresse.

Interessantes zum Thema Internetsecurity findet man z.B. auf der Homepage von Richard Kemmerer.

2. ftp

 ftp ist sicherlich die einfachste Möglichkeit, Daten von einem Ort zum anderen zu übertragen. Allerdings sollte man dabei bedenken, daß bei einem nicht-anonymen ftp das Paßwort unverschlüsselt über die Leitung geschickt wird. Stattdessen bietet sich die Benutzung eines Programms namens scp (Secure Copy) an, das es überall dort gibt, wo auch ssh (s. nächster Abschnitt) installiert ist. Benutzung:

scp <loginname>@<rechnername>:<quelldatei_mit_pfad> <loginname>@<rechnername>:<zieldatei_mit_pfad>

3. ssh

 Das Programm ssh (Secure SHell) dient dazu, sich auf einem anderen Rechner sicher einzuloggen. Sicher meint dabei, daß sämtliche Kommunikation zwischen den Rechnern verschlüsselt wird. Dies kann auch dazu genutzt werden, wie in Kap. 3.13 beschrieben, remote Programme aufzurufen, deren Kommunikation dann verschlüsselt wird. Benutzung:

ssh -l <benutzername> <rechnername>

4. EMail als virtuelle Postkarte $\rightarrow$ pgp

  Jeder der EMail benutzt, weiß sicher ihre Vorteile wie die schnelle und kostengünstige Zustellung zu schätzen.

Allerdings sollte man beachten, daß EMails nichts anderes sind als virtuelle Postkarten, man sollte es daher tunlichst vermeiden, sensitive Daten wie z.B. Paßwörter per EMail zu versenden, da EMails von allen Knoten, die sie auf ihrem Weg durch das weltweite Netz passieren, ohne Probleme gelesen werden können.

Um dem abzuhelfen, gibt es ein Programm namens pgp. Dies kann dazu benutzt werden, Nachrichten so zu verschlüsseln, daß sie nur der Empfänger lesen kann oder sie so zu signieren, daß leicht geprüft werden kann, ob die Nachricht tatsächlich vom Absender stammt.

Benutzung: (folgt)

5. Paßwortkriterien

 Folgende Konventionen sollten bei der Wahl eines Paßwortes beachtet werden:

• Es dürfen keine Wörter aus irgendeinem Sprachgebrauch benutzt werden. Alle Wörter, die in irgendeiner Sprache (und sei es Mandarin) irgendeine Bedeutung haben, sind mit Sicherheit auch in einem elektronischen Wörterbuch gespeichert, das dazu genutzt werden kann, sog. Klartextangriffe auf das Paßwort zu starten. Dies gilt auch für beliebte Namen aus der Literatur, so existiert z.B. ein Tolkien Wörterbuch! Es reicht auch nicht aus, bestimmte Buchstaben dieser Wörter durch Zahlen oder Sonderzeichen zu ersetzen (z.B. l durch 1 oder O durch 0)!!!
• Das Paßwort sollte 7 oder 8 Buchstaben lang sein, keinesfalls kürzer.
• Es sollten Groß- und Kleinbuchstaben mit Sonderzeichen und Zahlen vermischt benutzt werden.
• Das Paßwort darf nirgendwo notiert werden.

Gute Paßwörter sind zu schwer, um leicht geknackt zu werden, aber leicht genug, daß man sie sich merken kann.

Am Besten bildet man Paßwörter anhand bestimmter Schemata, die man sich leicht merken kann (z.B. zwei kurze Wörter mit Sonderzeichen abwechselnd verknüpft oder den ersten, zweiten, dritten Buchstaben des ersten, zweiten, dritten Wortes eines lustigen Satzes benutzen, wobei man bestimmte Buchstaben durch Zahlen oder Sonderzeichen ersetzt).

6. Gibt es einen EMail Virus - Viren unter UNIX

  Im Gegensatz zu DOS oder Windows wird man unter UNIX keine echten Viren antreffen.

Auch das Gerücht von Viren, die durch das Lesen von EMail Schaden anrichten können, ist völliger Blödsinn. Problematisch ist es allerdings, wenn man seine Mail mit einem Mail-Programm liest, das eigenstndig in der Lage ist, in der Mail enthaltenen Programmcode zur erkennen, und diesen dann auch ausführt, wie z.B. bei netscape-Mail.

Wenn man allerdings freiwillig ein Programm, daß einem von irgendjemanden per EMail zugeschickt wird, auf dem Rechner laufen lässt, dann ist das kein Virus, der da ggf. Schaden angerichtet hat, sondern die eigene Dummheit. Sie würden ja schließlich auch sonst kein Programm auf ihrem Rechner laufen lassen, daß ihnen irgendein Fremder auf der Straße in Diskettenform in die Hand gedrückt hat.

Allgemein sollte man Software aus dem Internet möglichst nur von offiziellen Distributoren beziehen.