Vorsicht Daten-Diebe unterwegs!

[CPU-Bastler]

Nachdem der BSI meine 3 Email-Adressen als nicht mehr sicher gemeldet hat will ich mein System so gut wie möglich absichern.
Neue Passwörter bzw. Email-Adressen hab ich schon.
Mir gehts um den guten "Freund" Google Analytics. Der zeichnet meine persönlichen Daten ungefragt auf. Wie blocke ich den auf meinem Router (Easybox A300 WLAN)?

Wenn ich den blocken kann, kann ich auch ivw und Kollegen blocken.

 

[tnoay]

nocript
ghostery

 

[BlubbsDE]

Deine 3 Mailadressen wurde bestimmt nicht von Google kompromittiert. Installiere ein NpScript Addon dan kannst Du Google Analytics aussperren.

Und Google Analystics speichert auch keine persönlichen Daten von Dir. Was meinst Du denn, speichert GA von Dir?

 

[Daaron]

Google Analytics klaut gar nichts. Unter anderem müssen Seitenbetreiber, die GA verwenden, das letzte Oktett deiner IP maskieren. Außerdem klaut GA garantiert keine Mailadressen.
Tatsächlich ist GA ein sehr wichtiges Marketing-Instrument. GA macht für Webshop-Betreiber dasselbe, was eine Kamera oder Person in einem Geschäft machen könnte: Besucherströme beobachten und analysieren. Springen 80% deiner Besucher bereits auf der Startseite ab? Hast du überraschend viele ausländische Besucher, für die du passende Sprachversionen anbieten könntest? Werden manche Links gar nicht geklickt, obwohl du die Leute da gern hättest?

Trotz allem: GA sammelt keine personenbezogenen Daten. Du verrätst mehr persönliche Daten, wenn du XS-Kondome mit EC-Karte bezahlst...
Und dann gibts da ja noch https://tools.google.com/dlpage/gaoptout?hl=de für Paranoiker.

 

[ShiningDragon]

Wie blocke ich den auf meinem Router (Easybox A300 WLAN)?

Seine Übertragungen kannst Du leider nicht routerseitig unterbinden.

Du müsstest auf ein Modem umsteigen oder den Router in den bridgemode versetzen und einen eigenen Rechner gestalten, der dann als Gateway, Firewall, NAT, Router fungiert. Dort könntest Du mit aufwändigen Filterregeln unter Umständen die Datenpakete des GA's unterbinden - bringt Dir aber gleich massig neue Sicherheitslücken ein, wenn Du nicht 100 % genau weisst, was Du da anstellst.

Wie Daaron schon schrieb', kannst Du auf Deinem Rechner ein cookie setzen lassen und Dich aus dem Verfolgungsirrsinn austragen lassen.
Ansonsten kannst Du auch das Firefox Addon Ghostery verwenden, mit dem Du bequem solche Schnüffelteile deaktivieren kannst. Du bist aber auf Wohl und Wehe der Entwickler ausgeliefert.
Man sieht ja an AdBlock+ was der eigentliche Sinn dahinter ist: Es ist ein Werbeblocker der das blocken unterbindet, wenn man den Betreibern Geld bezahlt.

Dein erster Fehler war übrigens Deine Mailadressen beim BSI zu prüfen. Die Rechenkapazitäten wurden von der Deutschen Telekom bereitgestellt. Diese hängen mit Strato zusammen. Bei Strato war ein Botnetzwerk aktiv (am eigenen Leib, pardon, Mail- und Webserver gespürt).

Ansonsten gilt die Regel:
Mailadressen und Passworte bewahrt man nicht zusammen auf.
Passworte sollten aus Kombinationen von Buchstaben, Zahlen und Sonderzeichen bestehen. Und ganz wichtig: In variabler Länge! Also nicht immer "ich nehme 16 Stellen, weil ist total sicher". Hier mal 18, dort mal 15, da mal 27. Das erschwert bruteforcing schonmal ungemein.
Dann die Passworte auf gar keinen Fall digital speichern! Weder im Passwortspeicher von Mozilla Thunderbird, einem <beliebiger Hersteller> Dokument oder Pseudo-sicheren Werkzeugen wie KeePass x.xx, die die Daten mittels RSA Schlüsseln oder AES-(ni) sichern. Diese Verschlüsselungen sind und wurden bereits kompromittiert. Und was "die Großen" knacken können, knacken kurze Zeit später auch "die Kleinen".
Das gute alte Notizheft im Haus ist hier das Mittel zur Wahl. Es ist relativ resistent gegen Trojaner und Keylogger. ^.^

Trotz allem: GA sammelt keine personenbezogenen Daten.

Das ist so leider auch nicht richtig. Alle gesammelten Daten lassen sich auf die eine oder andere Weise miteinander verketten und vollständige, eindeutig zuweisbare Profile erstellen.

Unter anderem müssen Seitenbetreiber, die GA verwenden, das letzte Oktett deiner IP maskieren.

Das gilt für jedes AddOn, welches IP Adressen sammelt. Soweit die Theorie der rechtlichen Grundlage. Es hält sich nur kaum jemand daran. Genauso wie Firmen Deine Mailadressen entgegen Deinem Willen weitergeben.
Oder über Sicherheitslücken in HTML Mails genau sehen, ob Du eine Mail anschaust, was Du anschaust, worauf Du klickst und wie Du allgemein darauf reagierst (ich sage nur: Rapidmail.de).
Habe selber in einem Betrieb gearbeitet, welches auf den Datenschutz förmlich geschi**en hat. Alle Einwände meinerseits wurden ignoriert: "Das ist mein Geschäft, ich mache was ich für richtig halte. Das kann mir keiner vorschreiben."
Und wenn Du Dich dann an den zuständigen (Landes-)datenschutzbeauftragten wendest, passiert... rein gar nichts. Entweder ist man nicht zuständig, oder man erkennt keine Datenschutzverletzung - das Affentheater habe ich auch durch.
Oder der Weiterverkauf persönlicher Daten in Onlineshops. Alle streiten es ab, trotzdem ist eine Anschrift mit Bankverbindung das Stück 0,50 EUR wert (Jahr 2000, Firma Ha***ko). Ja, habe ich auch gearbeitet. Darf aber aus vertragsrechtlichen Gründen nichts weiter zu sagen.
Oder Deutsche Post Adress! Die verkaufen munter Deine Adressdaten. Du ziehst um, erhältst Briefe an neuer Adresse und wirst bald mit Werbung zugedröhnt: Erster Gedanke, böses Einwohnermeldeamt. Ja von wegen... die Deutsche Post hat softwareseitig Deine Anschrift erfasst, sie an Deutsche Post Adress weitergegeben, die diese wiederum verkaufen. Das fand ich raus, als mich der Heise Verlag wegen einem Zeitschriften Abo nach meinem Umzug mit Werbung vollmüllte. Ja, genau der Verlag, der sich so Pro Datenschutz einsetzt hat, aus rein wirtschaftlichen Interessen darauf geschi**en. Kommuniziert habe ich hier sowohl mit Heise selbst, als auch Deutsche Post Adress.
Aber genug abgeschweift. Datenschutz in Deutschland ist Utopie.

Außerdem klaut GA garantiert keine Mailadressen.

Das wiederum denke ich auch nicht. ^^

 

[x.treme]

Ghostery oder Adblock mit ensprechender Filterliste.

Mit kompromitierung von Mail-Adressen und BSI hat Google Analytics aber mal rein garnichts zu tun.
Und btw., auch Computerbase hat über 8 Drittanbieter-Scripte in ihrer Seite eingebaut für Werbung/Loggen/Whatever.
Von denen ist Google Analytics noch das kleinste Übel

 

[ShiningDragon]

Besuch' mal mit aktivierten Ghostery die Seiten von Adobe. ^^;

 

[Daaron]

Dein erster Fehler war übrigens Deine Mailadressen beim BSI zu prüfen. Die Rechenkapazitäten wurden von der Deutschen Telekom bereitgestellt. Diese hängen mit Strato zusammen. Bei Strato war ein Botnetzwerk aktiv (am eigenen Leib, pardon, Mail- und Webserver gespürt).

Wie das mit Hosting funktioniert musst du aber noch einmal nachlesen... Nur weil in einem Hosting-Paket evtl. Schadcode läuft, infiltriert der nicht automatisch andere Bereiche. Dafür gibts Rechtebegrenzungen.

...die die Daten mittels RSA Schlüsseln oder AES-(ni) sichern. Diese Verschlüsselungen sind und wurden bereits kompromittiert. Und was "die Großen" knacken können, knacken kurze Zeit später auch "die Kleinen".
Das gute alte Notizheft im Haus ist hier das Mittel zur Wahl. Es ist relativ resistent gegen Trojaner und Keylogger. ^.^

AES256 kann niemand, auch nicht die NSA, knacken. Selbst AES128 schafft die NSA nicht, denn im Idealfall würde jede noch so kleine Nachricht einige Jahrzehnte oder Jahrhunderte Rechenzeit benötigen. Also erzähl nicht so einen Mumpitz.

Und wie schützt dich ein Notizheft gegen Keylogger? Die Teile loggen das PW, während du es EIN GIBST, daher auch der Name. Gespeicherte PWs kann ein Keylogger nicht loggen.

Das ist so leider auch nicht richtig. Alle gesammelten Daten lassen sich auf die eine oder andere Weise miteinander verketten und vollständige, eindeutig zuweisbare Profile erstellen.

Auch das ist bestenfalls eine theoretische Möglichkeit, aber keine praktische. Den Aufwand macht sich NIEMAND, da diese Daten vollkommen wertlos wären. Schwarmdaten sind nicht nur billiger, sie sind auch wertvoller. Niemanden interessiert, was eine einzelne Person treibt. Viel interessanter ist, wie sich eine Gruppierung verhält.

Das gilt für jedes AddOn, welches IP Adressen sammelt. Soweit die Theorie der rechtlichen Grundlage. Es hält sich nur kaum jemand daran. Genauso wie Firmen Deine Mailadressen entgegen Deinem Willen weitergeben.

Jedes Server Log speichert bis ins letzte Oktett...
Und wenn du tatsächlich BEWEISEN kannst, dass gegen die Datenschutzregeln verstoßen wurde, interessiert sich die Staatsanwaltschaft tatsächlich dafür.

Oder über Sicherheitslücken in HTML Mails genau sehen, ob Du eine Mail anschaust, was Du anschaust, worauf Du klickst und wie Du allgemein darauf reagierst (ich sage nur: Rapidmail.de).

Das ist KEINE Sicherheitslücke. Das ist eine ganz normale Funktion. WENN du eine HTML Mail öffnest und die Bilder nicht eingebettet wurden, sondern statt dessen aus einer externen Quelle kommen (damit die Mail nicht unnötig groß wird), erscheinen diese Zugriffe logischerweise in den Logs dieser Quelle. Im einfachsten Fall steht ein Zugriff auf die Grafik im Log des Webservers, in komplexeren (und in Deutschland nicht zulässigen) Varianten erhält jeder User seine Grafiken über eine eindeutige URL.

 

[ShiningDragon]

Wie das mit Hosting funktioniert musst du aber noch einmal nachlesen...

Da ich selber hoste, habe ich so meine Zweifel daran.

Nur weil in einem Hosting-Paket evtl. Schadcode läuft, infiltriert der nicht automatisch andere Bereiche. Dafür gibts Rechtebegrenzungen.

Ein bereits infiltriertes System ist unzuverlässig. Dabei ist es völlig unerheblich wie die Rechteverwaltung gestaltet ist, da hinreichend exploits existieren, die genutzt werden können.
Es ist dabei auch völlig egal, ob man Windows, Linux oder sonstwas einsetzt. Man greift beim Hosting auf diverse Bibliotheken zurück. Jede Bibliothek birgt Sicherheitsrisiken: Apache, PHP, Pearl, GD+ und und und.
Abgesehen von den ungeplanten und ungewünschten Sicherheitslöchern gibt es natürlich auch noch die Beabsichtigten. Hast Du die vergangene Diskussion im NSA Skandal nicht verfolgt?

AES256 kann niemand, auch nicht die NSA, knacken. Selbst AES128 schafft die NSA nicht, denn im Idealfall würde jede noch so kleine Nachricht einige Jahrzehnte oder Jahrhunderte Rechenzeit benötigen. Also erzähl nicht so einen Mumpitz.

Hier muss ich Dir kategorisch widersprechen. Vielleicht erinnerst Du Dich an die Anfangszeit des Internets... vor allem in Deutschland. Erinnerst Du Dich noch an die maximale Verschlüsselungsstärken der Microsoft Produkte wie dem IE und Outlook? Obwohl in Amerika 128 / 256 Bit Gang und Gäbe waren, speiste man uns mit 48, dann mit 56, später mit 128 und zuletzt dann irgendwann endlich mit 256 Bit ab.
Das war so etwa die Zeitspanne wann gerade diese Institution in der Lage war, dank Abkommen mit der RSA und dem bezahlten Masterkey, Zugriff zu erlangen.
Was AES anbelangt: Wie sicher es ist, hängt einzig und alleine von der Implementierung ab. Die Hardwareimplementierung von Intel's Beispielcode wurde aus Linux rausgekickt, weil der Zufallsgenerator gar nicht so zufällig war, wie behauptet wurde.

Und dann berücksichtigen wir mal den Bau des mammutösen Rechenzentrums der NSA in der Wüste Utah's. Da laufen Rechen- und Speicherkapazitäten zusammen, von denen wir Beide nur träumen können.

Immerhin war die NSA laut dem Bericht auf t-online vom September 2013 und Snowdens Dokumenten noch nicht in der Lage eine "saubere" AES Implementierung zu knacken. Noch nicht...

Und wie schützt dich ein Notizheft gegen Keylogger? Die Teile loggen das PW, während du es EIN GIBST, daher auch der Name.

Hier hast Du mich erwischt. Das habe ich tatsächlich unglücklich formuliert (zu meiner Ehrenrettung kann ich aber auf einen vergleichbaren Beitrag von mir in diesem Forum verweisen, der diesen Umstand berücksichtigte).

Gespeicherte PWs kann ein Keylogger nicht loggen.

Richtig, dafür gibt es dann Makroviren (im Falle von Officedokumenten) oder Trojanern.

Auch das ist bestenfalls eine theoretische Möglichkeit, aber keine praktische. Den Aufwand macht sich NIEMAND(...)

Das hat man allgemein zu vielen Dingen behauptet, bevor der NSA Skandal bekannt wurde. Wer interessiert sich schon dafür, was ich mir anschaue. Was ich kaufe. Mit wem ich zu tun habe. Mit wem ich befreundet bin - wen sollte sowas schon interessieren. Die Gegenwart zeigt es leider. :-/

Und wenn du tatsächlich BEWEISEN kannst, dass gegen die Datenschutzregeln verstoßen wurde, interessiert sich die Staatsanwaltschaft tatsächlich dafür.

Ich hab's bewiesen. Belegt. Bezeugt. Interessiert keine Sau, nur wenn es rein zufällig in den Medien auftaucht, gibt es Bewegung.

Im einfachsten Fall steht ein Zugriff auf die Grafik im Log des Webservers, in komplexeren (und in Deutschland nicht zulässigen) Varianten erhält jeder User seine Grafiken über eine eindeutige URL.

Schau' Dir rapidmail.de an. Der Service wurde in meinem letzten Betrieb genutzt. Ich habe dabei regelrecht die Hasskappe bekommen und habe letztlich das Unternehmen verlassen. Mit sowas will ich nichts zu tun haben.

Vieles ist laut Gesetzgebung in Deutschland nicht erlaubt - trotzdem hält sich keiner daran und interessiert sich auch niemand für.

Frauenquote ist unvereinbar mit dem Antidiskriminierungsgesetz. Prositution nahe Schulen und in von Kindern bewohnten Häusern gem. § 184f StGB verboten - interessiert auch keine Sau.

Viele Gesetze sind allesamt Papiertiger. Man setzt sie nur um, wenn man den "kleinen Mann" wieder mal zur Kasse bitten möchte.

 

[Daaron]

Ein bereits infiltriertes System ist unzuverlässig. Dabei ist es völlig unerheblich wie die Rechteverwaltung gestaltet ist, da hinreichend exploits existieren, die genutzt werden können.

Da reden wir aber davon, dass hier das OS auf Root-Ebene infiltriert wurde. Das ist extrem selten, wenn der Server PROFESSIONELL gehostet wird.
Wenn so etwas passiert, dann normalerweise nicht durch illegale Hackergruppen. Die können vergleichbare Ergebnisse mit einem Bruchteil des Aufwands erzielen. Vergleich: Ich kann 1Mio private Windows-PCs infizieren, bevor ich einen gut abgeschirmten Server infiltriere.

Ich administriere ein paar Webserver und kann dir sagen: Da kommst du nicht ohne Weiters rein. Du kannst vielleicht in den PHP-Code einer Kunden-Webseite eindringen (und wärst da gefangen), aber nicht einmal ein Brute-Force gegen ein Mailkonto, einen FTP oder SSH wäre ansatzweise von Erfolg gekrönt.

Ein erfolgreicher Angriff benötigt Ressourcen, wie sie oftmals nur Regierungsstellen haben. Warum sollte das BSI aber überhaupt warnen, wenn sie oder andere Regierungsstellen gleichzeitig die Server kompromittieren? Die HABEN die Daten schon, sonst könnten sie den Dienst nicht anbieten.
Damit ziehe ich auch deiner NSA-Pseudoargumentation den Boden unter den Füßen weg. Laut NSA schreien ist so, wie die Amis laut Taliban und 9.11 geschrien haben, egal was sie gemacht haben.

Was AES anbelangt: Wie sicher es ist, hängt einzig und alleine von der Implementierung ab. Die Hardwareimplementierung von Intel's Beispielcode wurde aus Linux rausgekickt, weil der Zufallsgenerator gar nicht so zufällig war, wie behauptet wurde.

Und dann berücksichtigen wir mal den Bau des mammutösen Rechenzentrums der NSA in der Wüste Utah's. Da laufen Rechen- und Speicherkapazitäten zusammen, von denen wir Beide nur träumen können.

Ich hab keinen Bock, jetzt ein halbes Jahr alte Golem-Artikel auszugraben, die ich hier im Forum bereits mal verlinkt habe um Verschwörungstheoretikern wie dir den Wind aus den Segeln zu nehmen...
Tatsache ist: Um EINE EINZELNE AES256-Nachricht zu entschlüsseln brauchst du so viel Energie, wie die Hälfte der USA zusammen verbrauchen. Dabei würde das Bruttosozialprodukt eines kleinen Landes verballert. Und trotzdem dauert die Entschlüsselung zu lang, um praktikabel zu sein.... und du hast nur EINE Nachricht entschlüsselt, in der sich 2 Geeks über Verschlüsselung unterhalten. Tolle Wurst.

Nein, auch mti dem Utah-Datenzentrum kann die NSA kein AES im großen Stil knacken, und erst recht nicht in Echtzeit. Utah dient einzig und allein dem Zweck, solche Nachrichten auf Verdacht für später zu lagern, falls irgendwann mal solche Verschlüsselungen geknackt werden können ODER der Schlüssel herausgefunden werden kann.

Das hat man allgemein zu vielen Dingen behauptet, bevor der NSA Skandal bekannt wurde. Wer interessiert sich schon dafür, was ich mir anschaue. Was ich kaufe. Mit wem ich zu tun habe. Mit wem ich befreundet bin - wen sollte sowas schon interessieren. Die Gegenwart zeigt es leider. :-/

Was interessiert es mich, was die NSA für obskure DAten über mich sammelt? Räumt mir dei NSA das Konto leer? Sorgt sie dafür, dass ich n Schufa-Eintrag von hier bis Novosibirsk habe?
Du musst immer unterscheiden, WER eventuell deine Daten hat und was er damit tun wird. Ja, weder eine Regierungsbehörde noch ein osteuropäisches Hackerkollektiv haben mit meinen Daten was zu schaffen. Korrekt. ABER: Die Regierungsbehörde schadet mir nicht... nun, außer ich lasse mcih nachweislich mit Staatsfeinden ein bzw. bin selbst einer. Die Hackergruppe räumt mir die Bank leer, spammt mich mit Viren zu,...

Schau' Dir rapidmail.de an. Der Service wurde in meinem letzten Betrieb genutzt. Ich habe dabei regelrecht die Hasskappe bekommen und habe letztlich das Unternehmen verlassen. Mit sowas will ich nichts zu tun haben.

Warum sollte ich mir das angucken? Ich weiß wahrscheinlich sogar besser als du, wie was funktioniert.... deshalb nehm ich dir auch schön die Butter vom Brot, wenn du hier von Sicherheitslücken und NSA schwadronierst. Genau deshalb hab ich dir hier auch erklärt, was wie geloggt wird, was illegal geloggt werden könnte und was nicht verfolgbar ist.

 

[MaverickM]

Tatsächlich ist GA ein sehr wichtiges Marketing-Instrument. GA macht für Webshop-Betreiber dasselbe, was eine Kamera oder Person in einem Geschäft machen könnte: Besucherströme beobachten und analysieren.

Piwik wäre die bessere Alternative, die das gleiche leistet.

Und dann gibts da ja noch https://tools.google.com/dlpage/gaoptout?hl=de für Paranoiker.

Respektiert denn Google Analytics die Do-Not-Track Einstellung des Browsers mittlerweile!?

 

[Daaron]

Piwik wäre die bessere Alternative, die das gleiche leistet.

Als einzelner Web-Betreiber leg ich mir sicher nicht noch separat ne Piwik-Installation an. Kennst du die Sicherheitslücken von Piwik? Ich nicht, aber ich bin sicher, dass da einige drin sind. Lässt du jetzt Piwik und dein, eigentlich sicheres, Primärsystem auf dem selben Hosting-Account laufen... BÄM.
Außerdem wurde der Funktionsumfang von GA erst Ende letzten Jahres wieder deutlich erweitert. Hier dürfte Piwik noch weit hinterher sein.

Respektiert denn Google Analytics die Do-Not-Track Einstellung des Browsers mittlerweile!?

Niemand respektiert diese Einstellung... Die ist totaler Pseudo-Ramsch.

 

[MaverickM]

Niemand ist eine sehr weit gefasste Aussage. Bei Piwik lässt sich dies aktivieren und ich habe dies in meiner Piwik Installation auch aktiviert.
Welche Funktionen GA mittlerweile hat, die Piwik fehlen könnten, weiß ich nicht. Ich - sowohl als Nutzer für meine eigenen Seiten, als auch Anbieter für meine Kunden - vermisse allerdings keine Funktionen in Piwik.

Zum Thema Sicherheitslücken im Code muss ich mich wie bei allen anderen Systemen auf Berichte im Netz verlassen, da ich zum Thema Web-Development nur sehr rudimentäre Kentnisse habe. Da ist mir bisher im Bezug auf Piwik nichts großartiges aufgefallen... Da würde mir jede WordPress Installation weit aus mehr Sorgen machen
Für den Einsatz in der eigenen Hosting-Umgebung gibt es ja Quotas. Sollte doch ausreichend sein, um ein Übergreifen zu verhindern!?

Mir ging es aber auch eher darum, dass man die Daten die da gesammelt werden, selber in der Hand hat. Man muss der großen Datenkrake nicht unnötigerweise noch mehr Daten freiwillig in den Rachen werfen, als sie eh schon haben/kriegen.

 

[Daaron]

Da würde mir jede WordPress Installation weit aus mehr Sorgen machen

Solange sie nicht über mail() anfängt zu spammen, kann sie nicht viel Schaden anrichten.

Für den Einsatz in der eigenen Hosting-Umgebung gibt es ja Quotas. Sollte doch ausreichend sein, um ein Übergreifen zu verhindern!?

Quotas regulieren den Plattenverbrauch, mehr nicht.
Um eine wirksame Trennung zu erlangen, braucht man verschiedene User -> verschiedene VHosts. Wenn du selbst hostest ist das kein Problem, wenn du hingegen hosten lässt hast du hier keine Lösung. Du kannst ja wohl kaum vom Hoster n 2. VHost anlegen lassen, zumindest nicht kostenfrei.

Der Datenschutz-Aspekt steht immer auf einem anderen Blatt, die erste Frage (die, für die man auch bezahlt wird) ist die Effizienz... und da gewinnt GA jedes Rennen.

 

[MaverickM]

Quotas verhindern aber auch den Übergriff von Skripten auf höherliegende Ordner-Ebenen.

 

[Daaron]

Du kannst aber als User keine Quota innerhalb deines Userspace anlegen, vor allem nicht dann, wenn dein Ordner bereits mit einer Quota belegt ist.

 

[MaverickM]

Domainfactory bietet dies an.

http://www.df.eu/de/service/df-faq/webhosting/webspace-zugriff/quotas/