Wie sicher sind Passwörter in Hotel-WLANs von autoritären Staaten?

[Ranayna]

Dann müsste ich doch diesem Zertifikat vertrauen und das bestätigen? Vgl.

Man koennte einfach mal schauen und bekannte Zertifikate, vorallem von kleineren Webseiten die nicht hinter einem Geoloadbalancer liegen, vergleichen.

Ich sitze ironischerweise aktuell hinter einer Firmenfirewall die selber SSL Inspection macht, kann also das originale Computerbase Zertifikat nicht sehen. Ich waere aber sehr ueberrascht, wenn hier aus anderen Laendern andere Server (und damit noetige andere Zertifikate) angesprochen werden.
Also einfach mal schauen von welcher CA das Zertifikat ausgestellt ist.

Es gibt auch Webseiten die "Certificate Pinning" betreiben. Da merkt sich der Browser das Zertifikat, und wenn ploetzlich ein anderes Zertifikat praesentiert wird, wird Alarm geschlagen, auch wenn das Zertifikat sonst eigendlich vertrauenswuerdig ist. Anwendungen koennen im Programmcode selber zB ueberpruefen ob das Zertifikat dem erwarteten entspricht.
Sauber umgesetztes Pinning ist uebrigends etwas mit dem die SSL Inspection nicht klar kommt, und die einzige Antwort der professionellen Anbieter ist: Setz die URLs auf die Whitelist.
https://help.zscaler.com/zia/certificate-pinning-and-ssltls-inspection

 

[linuxnutzer]

Man koennte einfach mal schauen und bekannte Zertifikate, vorallem von kleineren Webseiten die nicht hinter einem Geoloadbalancer liegen, vergleichen.

Keine Ahnung, wie man das macht, speziell am Android-Handy unterwegs.

Ich glaube aber, ich habe ein größeres Problem, zB:

https://mobilsicher.de/aktuelles/signal-umgeht-ueberwachung
Nutzerinnen und Nutzer in Ländern wie Ägypten, der Türkei oder den Vereinigten Arabischen Emiraten (VAE) hatten es zuletzt schwer. Diese Länder haben die Datenübermittlung solcher Apps - darunter auch Signal - einfach vollständig blockiert. ...
„Wenn sie Signal blockieren wollen, müssen sie jetzt Google sperren“

Wie ich gelesen habe, haben/hatten die Türken sogar Youtube gesepett.

Wenn Google gesperrt ist, habe ich ein Problem. Das lässt sich kaum recherchieren, vielleicht in Reisen-Foren. Ich bin verwundert wie restriktiv schon die Türkei ist. Die wollen doch europäische Touristen. Es gibt wenige Länder in Asien wo Internet problemlos ist.

Meine Erfahrung mit VPN ist, dass das ein Katz- und Mausspiel ist. Selbst im EU-Ausland am Handy dt. Fernsehen zu schauen, war eine Herausforderung.

Wenn also die Kommunikation zur Familie nach Hause ein Problem ist, habe ich ein Problem.



So schaut die Verbindung bei Jami (reines Peer to peer) aus, die ja keinen Server dazwischen haben. Aber irgendwie müssen sich die Geräte ja finden. Das ist innerhalb der EU in der gleichen Stadt schon manchmal zu verzweifeln.

Ich frage mich gerade was eine Notfallkommunikationslösung sein könnte?

 

[CoMo]

Ich frage mich gerade was eine Notfallkommunikationslösung sein könnte?

Eine eigene Tor-Bridge. Habe ich hier im Thread bereits beschrieben und verlinkt.

 

[BeBur]

Ich frage mich gerade was eine Notfallkommunikationslösung sein könnte?

Wie meinen? Was für Notfälle möchtest du abdecken? Notiere dir die Telefonnummern der deutschen Botschaft und des lokalen Konsulates auf einem Blatt Papier wenn du glaubst, dass abspeichern auf dem Smartphone nicht ausreicht. Trage dich auf der Krisenvorsorgeliste ELEFAND ein, damit der deutsche Staat notfalls weiß, wo du dich aufhältst.

Setz dich mal in Ruhe hin und überlege, mit welchen Problemen/Gefahren du ernsthaft rechnen kannst. Viel wichtiger als technische Maßnahmen ist auch das du weißt was legal/illegal/problematisch in dem jeweiligen Land ist und das du nichts illegales macht während deines Aufenthaltes. Keinsfalls solltest du versuchen, illegale Aktivitäten durch technische Maßnahmen zu umgehen. Beispiel: In einem Land, in dem VPNs illegal sind, nutze keine VPNs.

Internettraffic ist durch TLS abgesichert. Meta-Daten wie Domains interessieren niemanden, ABER siehe oben: Wenn du nach China reist, dann vermeidest du im Zweifel Probleme nicht durch technische Maßnahmen, sondern indem du nicht auf einschlägige Seiten unterdrückter Minderheiten wieder Uiguren herumsurfst an denen China einen kulturellen Genozid verübt.

Du versuchst überwiegend Probleme zu lösen, die du entweder gar nicht hast oder die du durch nichttechnische Maßnahmen vermeiden solltest. Im Zweifelsfall produzierst du überhaupt erst Probleme.

Wie ich gelesen habe, haben/hatten die Türken sogar Youtube gesepett.

Letztes Jahr ging das problemlos.

 

[linuxnutzer]

das du weißt was legal/illegal/problematisch in dem jeweiligen Land ist

Haha, und das kannst du oder ein Durchschnittsreisender beurteilen?

Es geht nicht um Russland und nicht um China, auch nicht um Nordkorea. Nimm mal die Kaukasus-Gegend an und dann die "Länder um Singapur"

Wie soll man wissen, ob allein schon die Installation einer Verschlüsselungs-App verboten ist, zB https://play.google.com/store/apps/details?id=com.sovworks.projecteds&hl=de&pli=1

Oder ob die End-to-End-Verschlüsselung per Gesetz verboten ist. in Russland ist die zB.

Letztes Jahr ging das problemlos.

Ich sehe die Türkei nicht unproblematisch, aber es gibt problematischere Länder.

Vgl.

https://www.heise.de/en/news/Access-to-various-internet-platforms-in-Turkey-restricted-10322021.html
Online services such as X, YouTube and social media are only available to a very limited extent in Turkey.

oder die diversen Nachrichten hier aus der Türkei:

https://turkeyblocks.org/reports/

Wenn Youtube blockiert ist, ist es vorbei sich vor Ort Reisevideos über die Gegend anzusehen.

Oder:

https://www.arabnews.com/node/1590261/media
In the first-ever formal warning on the issue from such a high government level, the German Ministry for Foreign Affairs cautioned that the digital networks were strictly monitored by the Turkish government to control the flow of information.
The alert is likely to prompt travelers from other countries to be aware of the potential legal consequences of using VPNs.

Als "braver" Tourist, der keine Schwierigkeiten will, nutzt man also kein VPN,

 

[sedot]

Haha, und das kannst du oder ein Durchschnittsreisender beurteilen?

Wenn du weiter im ungefähren bleibst, schau selbst:

https://www.auswaertiges-amt.de/de/reiseundsicherheit/reise-und-sicherheitshinweise

 

[linuxnutzer]

Wenn du weiter im ungefähren bleibst, schau selbst

Na dann nehmen wir als Beispiel die Türkei (weil da vielleicht auch Leute mitlesen), wo findet man da was bzgl. Messenger und Verschlüsselung? Bei anderen Ländern ist das noch schwieriger zu recherchieren. Hier gibt es eine Karte: https://www.gp-digital.org/world-map-of-encryption/ Da fehlen aber auch viele Länder.

Ich betrachte das Thema ja aus der Sicht eines Urlaubers und nicht eines politischen Aktivisten.

 

[BeBur]

Ich betrachte das Thema ja aus der Sicht eines Urlaubers und nicht eines politischen Aktivisten.

Die Hinweise sind für Urlauber, bzw. für die allgemeine Bevölkerung. Das auswärtige Amt veröffentlicht Informationen, die von den Botschaften und Konsulaten kommen und die sind sehr nah dran am geschehen. Bei China findet sich z.B. das hier:

Überwachung und Cybersicherheit​

Der Zugang zum Internet wird staatlich kontrolliert. Der Zugriff auf verschiedene Onlineangebote (z. B. Google, Facebook, X, WhatsApp und andere) ist blockiert. Die Nutzung von VPN-Diensten zur Umgehung der staatlichen Internetzensur in China ist verboten, siehe auch Reiseinfos - Rechtliche Besonderheiten. Es ist damit zu rechnen, dass Onlineaktivitäten von Nutzern nachverfolgt, auf elektronischen Geräten hinterlegte Daten eingesehen und kopiert sowie elektronische Geräte manipuliert werden, z.B. wenn diese in Hotelräumen zurückgelassen werden. Dies ist auch ohne die Kenntnis oder Zustimmung des Inhabers möglich.

 

[sedot]

@linuxnutzer
Du kannst auch Kontakt per Mail zum Auswärtigem Amt aufnehmen falls die länderspezifischen Informationen nicht ausreichen, deren Bürger Service sollte dir mit aktuellen Informationen zu Details helfen können.

https://www.auswaertiges-amt.de/de/service/buergerservice-faq-kontakt/kontaktformular

 

[linuxnutzer]

Du kannst auch Kontakt per Mail zum Auswärtigem Amt aufnehmen

Da kriege ich sicher sehr vorsichtige Antworten, das auch verständlich ist. Ich hatte in Ägypten naiver Weise nicht die geringsten Probleme bei dem was ich tat und wenn man bei der geposteten Landkarte auf ein Land mit farbiger Fläche klickt, kommt eine Erklärung mit Text. Also in Ägypten sollte man sehr vorsichtig sein. Ich glaube aber nicht, dass es in Myanmar so problemlos ist, vielleicht nicht aktuell.

Ich gehe mal grundsätzlich davon aus, dass VPN überall dort verborten ist, wo es für Internet benötigt wird. Da ging ja kürzlich durch die Medien, dass ein hoher russischer Politiker VPN brauchte um auf X zu posten. Egal, da will ich sowieso nicht hin.

Bleibt also die Frage, ob man schon bestraft werden kann, wenn man Verschlüsselungssoftware nur besitzt, aber nicht verwendet. Ich glaube das war vor langer Zeit in Frankreich so.

Solange es "nur" nicht funktioniert, kann ich das akzeptieren, aber nur weil am Handy was installiert ist in den Knast zu gehen, finde ich ein Problem.

Es ist ja immer die Frage, muss der Staat auf die Kommunikation unverschlüsselt zugreifen können. Bei der Türkei bin ich mir da nicht sicher. Da gab es in den letzten Jahren gesetzl. Vorgaben zu E2E, würde mich aber wundern, wenn die nicht mithören wollen, will doch jeder Staat.

Ein bisschen ein Gefühl bekommt man, wenn man die Kommentare bei den farbigen Ländern liest.

Die Frage ist ja oft, brauchen die gerade aus politischen Gründen jemanden um ihn festzunehmen. Das sind dann aber meistens Leute mit Bezug zum Land.

Ich frage mich gerade, ob es Sinn macht, die Verschlüsserlung bei XMPP beim Telefonieren zu deaktivieren. Sollen die doch mithören, dass mir das Essen nicht geschmeckt hat ;-)

PS: Im Iran wurde bei einer Expedition damals ein gemietetes Satellitentelefon für die Gruppe verwendet, aber das ist teuer. Ein Waffe einzuführen (um sich gegen Tiere verteidigen zu können), war überhaupt kein Problem.

 

[BeBur]

Karte: https://www.gp-digital.org/world-map-of-encryption/ Da fehlen aber auch viele Länder.

Die Angabe zu Kasachstan scheint auch falsch zu sein. Das mit der Backdoor wurde offenbar versucht vor 10 Jahren, aber als alle Browserhersteller und Co. mitgeteilt haben, dass niemand diese Zertifikate als vertrauenswürdig einstufen wird ist das ganze im Sande verlaufen.

Bleibt also die Frage, ob man schon bestraft werden kann, wenn man Verschlüsselungssoftware nur besitzt, aber nicht verwendet. Ich glaube das war vor langer Zeit in Frankreich so.

Und würdest du jetzt spezielle Sicherheitsvorkehrungen treffen bei Reisen nach Frankreich? Also ich nicht und ich kenne auch niemanden, der das tut. Inklusive Menschen, die dort leben.

Wie soll man wissen, ob allein schon die Installation einer Verschlüsselungs-App verboten ist, zB https://play.google.com/store/apps/details?id=com.sovworks.projecteds&hl=de&pli=1

Das interessiert eher nicht, wahrscheinlicher ist das du zuerst in U-Haft genommen wegen irgendwas anderes und dann versucht man, die Daten auf deinem Handy auszuwerten und kommt dann auf dich zu, dass du das ermöglichst. Du denkst über die falschen Dinge nach. Warst du schonmal im Nicht-Westlichen Ausland? In die meisten Länder reisen jedes Jahr hunderttausende Menschen und jeder einzelne hat ein Smartphone und so ziemlich niemand landet im Knast.
Bei Sorge um deine Daten MUSST du vorher ein anderen Phone kaufen und mitnehmen anstelle deines richtigen. Daten auf dem Smartphone zu verschlüsseln bringt dir im Zweifelsfall genau gar nichts.

Solange es "nur" nicht funktioniert, kann ich das akzeptieren, aber nur weil am Handy was installiert ist in den Knast zu gehen, finde ich ein Problem.

Ich würde an deiner Stelle eher schauen, wie viel Schmiergeld du dabei haben solltest und wie sowas funktioniert. Was hält einen Polizisten davon ab, dich wegen <irgendwas> in U-Haft zu schicken? Gesetzestreue? Nein. Geld. Es bringt dir gar nichts zu glauben, dass du dich an alle Gesetze hältst wenn da ein Polizist der Meinung ist, dass du jetzt erstmal mit auf die Wache kommst.

Ich kenne eine Person, der ist sowas passiert. Der wollte das Schmiergeld erst nicht zahlen und dann hat man ihm demonstriert, dass es nicht schlau ist, kein Schmiergeld zu zahlen (zu dem Zeitpunkt natürlich mehr. Ich glaube so 100 - 200 Euro waren das dann). Der war allerdings auch teilweise selber Schuld überhaupt erst in die Situation geraten zu sein.

 

[sedot]

Da kriege ich sicher sehr vorsichtige Antworten, das auch verständlich ist.

Kannst du nicht wissen. Immerhin hast du dann eine schriftliche Orientierungshilfe und mehr als auch zuverlässigere Informationen.

 

[linuxnutzer]

Und würdest du jetzt spezielle Sicherheitsvorkehrungen treffen bei Reisen nach Frankreich?

Ich glaube, du hast mich falsch verstanden. AFAIR war vor über 20 Jahren PGP in F verboten, wie das in der Praxis gehandhabt wurde, keine Ahnung.

wahrscheinlicher ist das du zuerst in U-Haft genommen wegen irgendwas anderes und dann versucht man, die Daten auf deinem Handy auszuwerten

Kann schon sein. Ich finde es nur nicht notwendig, dass Dinge am Handy sind, die in der EU keine Probleme machen, in Asien aber schon. Ich muss gerade an Bikini-Fotos innerhalb der Familie denken. Da rückt ein Minimaltelefon immer näher. Wenn ich heute jemandem sage, ich verwende kein Smartphone, dann kommen da keine erfreuliche Antworten.Amazon setzt zB voraus, dass man ein Smartphone hat, wenn man nicht aufpasst.

Es kristalliert sich raus, dass mir Telefonieren über Internet wichtig ist, also doch irgendein Smartphone.

Der wollte das Schmiergeld erst nicht zahlen und dann hat man ihm demonstriert, dass es nicht schlau ist, kein Schmiergeld zu zahlen

Kenne ich, nur habe ich aber auch nicht bezahlt, weil ich glaubwürdig mit "Händen und Füßen" vermtteln konnte, dass ich kein Geld mehr habe. Es war direkt bei der Ausreise am Flughafen beim Zoll, Ich zeigte meine leere Geldbörse mit ein paar Münzen und meine Kreditkarte. Ich meinte im Flugzeug und vom Flughafen nach Hause reicht die Kreditkarte. Ich erspare euch jetzt womit die mich ungerechtfertigt unter Druck setzen wollten.

 

[linuxnutzer]

Ein paar Applikationen haben ihre eigenen Mechanismen um sowas zu erkennen, via Certificate Pinning oder ähnlichem, aber eher auf Handy als auf PC.

Gehört dazu auch:

XEP-0440: SASL Channel-Binding Type Capability
https://xmpp.org/extensions/xep-0440.html

Ist es kontraproduktiv das zu verwenden? Ich denke, wenn man VPN braucht, ist es sowieso egal, aber erschwert das ohne VPN nicht MITM?