|
|
|
|
| Zitat von FuSL
| Zitat von Txomin
arbeitet von euch wer in it-sicherheit oder ähnlichem?
wie kann ich mir, am besten praxisbezogen, selbst verständnis und vllt auch erfahrung beibringen, die ich in einem job in der branche anwenden könnte?
bücher lesen, webseiten, podcasts oder einen kurs besuchen?
ich arbeite als simpler first/second level it support und kenne mich mit pcs aus, habe aber nie etwas grossartig in richtung programmierung gemacht.
was mich da am ehesten interessieren würde, wäre etwas erfahrung in richtung ethical hacker.
| |
Arbeite in dem Bereich und bin aber auch sicherlich kein Experte :D :
Riesiges Feld ist's allemal, aber was vielleicht ganz hilfreich sein kann:
Grundlegende Programmierung lernen (ein bisschen zumindest, ruhig auch mit Python o.ä. – ich mag das zwar persönlich nicht sehr, aber es ist im Hacking-Bereich wirklich enorm verbreitet. Oder Ruby, darin ist metasploit geschrieben. "Niedrigere" Sprachen braucht man (meist) eher für speziellere Bereiche.), sowie ein bisschen den Umgang mit "der Shell" (unter Linux wie auch PowerShell/Windows) drin haben.
Und dann gibt's 'ne Menge Möglichkeiten, einige der "eher Richtung Ethical Hacker"-Bereiche in legaler Umgebung einfach auszuprobieren – das hilft sowohl fürs Reinkommen in die Themen im praktischen Sinne, als auch um grundlegend mehr davon zu verstehen. (Ist halt nochmal ein Unterschied, ob man was nur gelesen hat, oder es auch mal gemacht hat)
Beispielsweise:
https://portswigger.net/web-security <- stark auf Burp ausgerichtet, aber Burp ist auch in der kostenlosen Version schon superpraktisch.
https://www.hackthebox.eu/individuals <- weniger web, mehr Maschinen
Bücher & Co. sind immer etwas schwierig, weil vieles einfach schnell schon überholt ist; für Blogs/Websites/Sonstiges müsste ich erstmal angestrengt nachdenken.
Im Zweifel: ruhig auch mal per PM, falls es hier irgendwann nicht mehr so recht reinpassen würde.
| |
Ich hab da nochmal ein bisschen drüber nachgedacht, ein paar Bücher & Co.:
https://www.amazon.com/Basics-Hacking-Penetration-Testing-Ethical/dp/0124116442 => Nicht mehr wirklich aktuell, insb. mit Blick auf die verwendeten Tools, aber eine gute Einführung/Überblick "ganz von Anfang an" in die Grundbereiche von "Ethical Hacking" und was da so dazu gehört.
https://www.amazon.com/Web-Application-Hackers-Handbook-Exploiting/dp/1118026470 => Immernoch oft genanntes "Standardwerk" zu Web-App-Hackerei.
https://nostarch.com/networkprotocols => "What it says on the tin"; offensichtlich etwas spezifischer.
https://nostarch.com/carhacking => ebenso (out of scope in Bezug "normale IT", aber vielleicht interessant).
Generell noch was mehr so die Hardware-Richtung: https://github.com/unprovable/PentestHardware
LowLevel-Dinge, RCE etc:
https://www.amazon.com/Reversing-Secrets-Engineering-Eldad-Eilam/dp/0764574817 (Leider alt, aber eine sehr gute Einführung)
https://www.amazon.com/Shellcoders-Handbook-Discovering-Exploiting-Security/dp/047008023X (ebenso)
https://nostarch.com/gamehacking
https://nostarch.com/malwaredatascience
https://nostarch.com/binaryanalysis
https://nostarch.com/rootkits
Generell noch ein bisschen was zu Netzwerken, Paketen & Co.: https://nostarch.com/packetanalysis3
---
Anmerkung am Rande: Wenn's um Windows geht, grundsätzlich mit Active Directory vertraut machen. Insbesondere, wenn's um Pentests in irgendwelchen Unternehmen geht, ist das in den allermeisten Fällen die größte Baustelle.
Und generell zum Finden von weiteren Ressourcen zum Einlesen: einfach mal Google mit "github awesome $irgendeinthema hacking" oder "*security" suchen, gibt ewig viele Repos, in denen (mal mehr, mal weniger hochwertig / gepflegt) Leute dazu Sachen sammeln.
Erstbeste Ergebnisse, beispielsweise:
https://github.com/enaqx/awesome-pentest
https://github.com/infoslack/awesome-web-hacking
etc.
---
Und, was natürlich nicht fehlen darf:
Wenn Kurs besuchen bzw. bezahlen, dann PWK um OSCP zu bekommen: https://www.offensive-security.com/pwk-oscp/
Die haben vor kurzem auch (endlich! seit Jahren) Ihren Kurs aktualisiert, und dabei auch AD & Co. mit reingenommen (was davor m.E. viel zu sehr unter den Tisch gefallen war). Das ist insgesamt sehr "hands on", fängt (in der neuen Fassung) sehr weit vorne an (Linux Basics), und hat einen ziemlich guten Ruf "im Biz" => weil's eben nicht nur Multiple Choice ist, sondern man am Ende tatsächlich "was hacken" muss. Das "try harder!!11einself"-Selbstbeweihräucherungs-Rumgewichse drumherum ist (wenn auch oft nicht gänzlich unangebracht) manchmal ziemlich nervig, aber davon sollte man sich nicht abschrecken lassen; ohne Eigeninitiative und viel Scheitern + Weitermachen kommt man bei dem Thema meist wirklich nicht weiter.
/edit
Gibt übrigens auch ganz, ganz viele Youtube-Channels zu sowas, mittlerweile. Da ich aber absolut überhaupt gar nicht gut mit Videos lernen kann (im Gegenteil: geht mir immens auf den Keks), kann ich dazu überhaupt keine Wertung abgeben.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von FuSL am 11.03.2020 0:54]
|
|
|
|
|
|
ja klasse, danke euch.
ich denke da kann ich mich erstmal einarbeiten und würde mich dann entsprechend nochmal melden.
|
|
|
|
|
|
|
Wurde sicherlich schon 100x hier gefragt, aber da sich das ja teilweise auch fix ändert:
Hat jemand eine Empfehlung für einen VPN Provider? Würde das in erster Linie zum Surfen Unterwegs/Auf Arbeit von Laptop und Handy nutzen wollen.
|
|
|
|
|
|
|
|
|
|
|
| Cash
Put the money in an envelope together with the payment token and send it to us. We will open the envelope, add time to the account (corresponding to the amount of cash sent), and then use a shredder to destroy the envelope and its non-money contents.
We have no way of knowing who made the payment and who the account belongs to. Even if a person were to address the envelope, there is still no way to prove that he or she generated the account or is even using it. Please avoid writing your name or address on the envelope.
The GDPR does not apply in this case since the personal data on the envelope does not form a part of a filing system and are not intended to form part of a filing system.
This is what we store when a cash payment comes in¹:
payment | account number | amount | currency | timestamp
xxxxxx | xxxxxxxxxxxx | 5.0 | USD | 2016-12-09 10:38:23
| |
/
Ah, hier auch der Preis.
5 ¤/Monat (≈ 5,50 $)
Der sieht gut aus. OpenVPN, ist ja alles nice Konfetti. Aber ich hab von dem noch nie gehört.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von monischnucki am 15.03.2020 12:31]
|
|
|
|
|
|
Danke, klingt gut. Das mit dem Geld macht mailbox.org ja genauso. Find ich auch gut
|
|
|
|
|
|
|
| Zitat von monischnucki Der sieht gut aus. OpenVPN, ist ja alles nice Konfetti. Aber ich hab von dem noch nie gehört.
| |
Ein Bekannter von mir nutzt das, um auf den Sieben Weltmeeren als Freibeuter unterwegs zu sein. Er ist sehr zufrieden und der Extrafokus auf Anonymität gefällt ihm natürlich!
|
|
|
|
|
|
|
Afaik steht Mullvad auch hinter dem Firefox VPN.
Die billigste Alternative wäre es wahrscheinlich sich einfach selber ne Low End Box(https://lowendbox.com/) aufzusetzen, ich weiß aber gar nicht ob ich so Bock auf das Gefrickel hab.
|
|
|
|
|
|
|
Aber pegu, das ist doch der 1/2 fun!
|
|
|
|
|
|
|
| Zitat von Herr der Lage
Einen VPN-Vergleich gibt es als Tabelle.Die Wahl eines Anbieters ist aber auch immer etwas Vertrauenssache. Ein VPN schützt deinen Traffic nach außen hin, aber der VPN-Anbieter selber bekommt ihn natürlich unverschlüsselt zu Gesicht (sofern nicht noch extra erschlüsselt). Es gibt viele Anbieter, denn sich irgendwo ein paar Server anmieten und auf eine Webseite schreiben: "SuperMegaPrivacyVPN, wir merken uns nicht mal den Geburtstag unserer Mutter - jetzt nur 5,95 ¤ pro Monat!" kann jeder.
Die Anbieter versprechen hinsichtlich des Schutzes der Privatspäre etc. viel, aber es liegt halt in der Natur der Sache, dass das schwer überprüfbar ist.
Und bei Meinungen im Netz ist auch immer die Frage, ob das wirklich eine objektive Meinung irgendeines normalen Users ist, oder ob sich da nur Anbieter XYZ einen Shill-Account erstellt hat, mit dem er nun seinen eigenen Service lobt und die der Mitbewerber verunglimpft.
Es kommt natürlich auch immer darauf an, wozu man einen VPN braucht. Sich irgendwo mal die neuste Folge von Fernsehshow XYZ anzuschauen, dürfte mit jedem VPN-Anbieter problemlos sein, da es niemanden wirklich juckt.
Wenn man aber Saddam Hussein oder sonstwer ist, für den sich die Geheimdienste wirklich interessieren... ja, da sieht das schon ganz anders aus, vor allem bei US-basierten VPN-Anbietern, auf die die US-Geheimdienste halt einfach (rechtlichen) Zugriff haben.
In diesem Fall reicht wohl kein VPN allein aus. Aber mit dem Super-Aluhut-Shizzle kenne ich mich auch nicht aus, da ich einen VPN auch nur für Allerweltskram benutze.
Persönlich nutze ich dabei AirVPN. Zu denen habe ich bisher nichts Negatives gelesen, die Leistung ist IMO okay, und kostet ca 3,50 pro Monat, wenn man die Werbeaktionen 2x im Jahr (Black Friday und noch irgendwas) nutzt.
Zu Mullvad und NordVPN habe ich auch Gutes gehört, aber NordVPN war neulich wegen ihrer Handy-App in den Schlagzeilen:
Android: NordVPN übermittelt E-Mail-Adresse an Tracking-Anbieter
PIA ist ein bekannter US-Anbieter, der billig ist, viel Werbung macht (z.B. ganzseitige Anzeigen in der Washington Post >>), und in einem Gerichtsverfahren in den USA schon mal keine Daten vorlegen konnte, da keine gespeichert waren, laut der Gerichtsakten, was die auch gerne betonen: "Seht Ihr? Wir speichern tatsächlich nichts!". Ist aber ein US-Anbieter bzw. Kanada VPN, und somit potentiell Ziel von geheimen Subpoenas oder National Security Letters.
Manche VPN-Anbieter versuchen diesbezüglich zwar ein zusätzliches Sicherheitsgefühl zu vermitteln durch Warrant Canaries ("The FBI has not been here"), aber deren Aussagekraft ist halt auch ziemlich begrenzt, da man a) dem Anbieter vertrauen muss, dass er das Ding aktualisiert (was wahrscheinlich das Ende seines Geschäfts bedeuten würde, denn welcher Kunde geht schon gern zu einem VPN-Anbieter, der gerade mit den Geheimdiensten kooperiert), und b) ist fraglich, ob der VPN-Anbieter den Warrant Canary überhaupt ändern/nicht mehr aktualisieren darf.
| In September 2014, US security researcher Moxie Marlinspike wrote that "every lawyer I've spoken to has indicated that having a 'canary' you remove or choose not to update would likely have the same legal consequences as simply posting something that explicitly says you've received something." | |
| |
Danke für die vielen Tipps. Da ich momentan in Kanada festhänge, brauche ich für verschiedene Dinge einen VPN, z.b. für den Zugang zu meinem Uni Netz. Covid nervt, aber gut dass es VPNs gibt, sonst wäre ich mehr oder weniger aufgeschmissen. :-)
|
|
|
|
|
|
|
Opera hat einen eingebauten VPN. Für Standardkrams dürfte der auch reichen.
|
|
|
|
|
|
|
MiniKeePass auf iOS hat mir mitgeteilt, dass es eingestellt wird. Jetzt suche ich eine Alternative. Die KeePass Datenbank liegt in der Cloud.
Ich habe den Artikel hier gefunden (https://stadt-bremerhaven.de/keepassium-keepass-fuer-ios/) der u.a. KeePass Touch und KeePassium erwähnt. Was empfehlt Ihr?
|
|
|
|
|
|
|
Ich benutze gemäß der Empfehlung von KeePassXC Strongbox.
|
|
|
|
|
|
|
Ich benutze noch KeePass. Mach ich damit was falsch?
|
|
|
|
|
|
|
Ich empfehle: https://www.passwordstore.org/
/e
Und dann natürlich für jede Plattform den passenden, dort verlinkten Client.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Armag3ddon am 12.05.2020 20:56]
|
|
|
|
|
|
Ich möchte nicht das Ökosystem KeePass verlassen.
|
|
|
|
|
|
|
Ah, ok. Ja, da kenne ich die Clients nicht.
|
|
|
|
|
|
|
|
|
|
|
Gibt es einen iOS Client mit Kompatibilitä zu KeePass mit Ablageort Seafile (self-hosted, nicht die Pro Variante)?
|
|
|
|
|
|
|
der von NucUlaR verlinkte kann lt. Screenshot WebDav, dass kann dein seafile auch: Seafile-WebDav
|
|
|
|
|
|
|
.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von csde_rats am 13.05.2020 13:21]
|
|
|
|
|
|
| Zitat von Dagrachon
der von NucUlaR verlinkte kann lt. Screenshot WebDav, dass kann dein seafile auch: Seafile-WebDav
| |
Danke, schaue ich mir mal an.
|
|
|
|
|
|
|
In WhatsApp unter Android kann man Schnellantworten schicken, wenn man die Vorschau in der Pull-Down-Leiste öffnet. Diese sind anscheinend auch einigermaßen kontextbezogen.
Beispielsweise schlägt er bei "Schönes WE!" ein "Danke, dir auch!" o.ä. vor.
Wo wird dieser Kontext ausgewertet? Lokal? Oder geht die Nachricht zum Auswerten an WhatsApp-Server?
|
|
|
|
|
|
|
Entweder siehst du da Quick Replies, die sind wohl statisch (habe kein WA, kann ich jetzt nicht checken) oder, wenn du Android 10 drauf hast: Smart Replies.
Kontextauswertung würde dann lokal auf deinem Gerät stattfinden. Da profitierst du davon, dass Google jahrelang den Datenschutz bei Google Home / Assistant nicht so genau genommen hat.
|
|
|
|
|
|
|
Für alle Interessierten ist es vielleicht hier gut angebracht. Keine wirklich neuen News, aber geht gerade wieder um:
https://www.reddit.com/r/videos/comments/fxgi06/not_new_news_but_tbh_if_you_have_tiktiok_just_get/fmuko1m/?context=1
Es geht um TikTok (die App, um genau zu sein) und was diese im Hintergrund alles tun soll. Natürlich sind die Informationen recht unbestätigt.
Money quote:
| For what it's worth I've reversed the Instagram, Facebook, Reddit, and Twitter apps. They don't collect anywhere near the same amount of data that TikTok does, and they sure as hell aren't outright trying to hide exactly whats being sent like TikTok is. It's like comparing a cup of water to the ocean - they just don't compare. | |
|
|
|
|
|
|
|
| Zitat von Armag3ddon
Entweder siehst du da Quick Replies, die sind wohl statisch (habe kein WA, kann ich jetzt nicht checken) oder, wenn du Android 10 drauf hast: Smart Replies.
Kontextauswertung würde dann lokal auf deinem Gerät stattfinden. Da profitierst du davon, dass Google jahrelang den Datenschutz bei Google Home / Assistant nicht so genau genommen hat.
| |
Umfassende Antwort, danke!
|
|
|
|
|
|
|
https://tarnkappe.info/nordvpn-raeumt-strafverfolgungsbehoerden-datenweitergabe-ein/
NordVPN räumt Strafverfolgungsbehörden Datenweitergabe ein
In einer überarbeiteten Datenschutzerklärung räumt der VPN-Anbieter NordVPN ein, man gebe die verarbeiteten Kundendaten ab dem 1. Juli an die Behörden weiter, sofern ihnen in Anbetracht der verfügbaren Daten die Identifikation eines Straftäters möglich sei.
NordVPN sichert sich juristisch vollumfänglich ab
NordVPN verschickt derzeit eine Rundmail an seine Kunden. Darin kündigt man ihnen an, dass man am 1. Juli die Nutzungsbedingungen und die Datenschutzerklärung für alle Nord Produkte abändern wird. Besondere Aufmerksamkeit erregt momentan die überarbeitete Passage spezifizierter Fälle, in denen NordVPN seine Rechte und Pflichten an Behörden abtreten könnte.
Dass NordVPN die Kundendaten mit Drittanbietern teilt, die sie bei verschiedenen Vorgängen wie Zahlungsabwicklung, E-Mail-Automatisierung, Website- und App-Diagnosen, bzw. Analysen unterstützen, ist schon länger bekannt. Gemeint sind u.a. Logdateien, Cookies, die E-Mail-Adresse, der Nachrichtenverlauf des Chat-Bots der eigenen Webseite etc. Diese Informationen teilt man mit Google und mehreren anderen Analysefirmen, die schon seit langer Zeit mit NordVPN kooperieren.
Anfragen von Strafverfolgungsbehörden
Richtig spannend wird es in der neuen Datenschutzerklärung im Abschnitt Requests for data. Zwar gibt man einerseits bekannt, dass man lediglich dem Recht von Panama unterliege und grundsätzlich keine Protokolle über das Nutzungsverhalten der eigenen Kunden anfertigt.
Andererseits räumt man ein, es könne passieren, dass man die Identität von Kunden gegenüber den Behörden preisgibt. Dies aber nur auf Basis der wenigen Daten, die wir verarbeiten, gemäß unserer Datenschutzrichtlinie. Konkret geht es um die Weitergabe der E-Mail-Adresse des Benutzers, Zahlungsinformationen, die Abonnementdauer, das Ablaufdatum des Passworts oder ein Land, das der Benutzer bei der Registrierung für die Dienste gewählt hat.
Auffällig erscheint, dass man einerseits bekannt gibt, man könne gar keine Daten weitergeben, weil man gar nichts speichere. Und andererseits räumt man die mögliche Preisgabe von Daten an die Behörden ein. Was entspricht denn jetzt der Wahrheit?!? Entweder man verfügt grundsätzlich über keine Daten, dann kann man sie auch nicht übermitteln. Oder aber man speichert doch mehr individuelle Informationen eines jeden Kunden, als aus den Dokumenten hervorgeht? Entweder es gibt Daten oder es gibt keine, beides geht nicht.
Filesharer bei NordVPN nicht erwünscht?
Dazu passt auch, dass man sich das Recht vorbehält, den Nutzern bei der Begehung von Straftaten jederzeit ohne Ankündigung den Account zu schließen und den Zugang zu den eigenen Dienstleistungen zu verwehren. Unter Punkt 7 (Prohibited and restricted uses) schließt NordVPN alle Eventualitäten aus, indem man kriminelle Handlungen fast jeder Art und Weise verbietet. Das schließt sogar die Wahrung des Urheberrechts mit ein.
Übersetzt steht in den General Terms of Service mit Stand 18.5.2020:
Sie stimmen zu, dass Sie das geistige Eigentum, die Privatsphäre oder andere gesetzliche Rechte anderer Personen nicht verletzen, widerrechtlich aneignen oder missbrauchen dürfen.
Im O.-Ton: You agree that you shall not violate, infringe, or misappropriate other peoples intellectual property, privacy or other legal rights.
Fazit
Wer von den Kunden hat schon Lust, sich den englischsprachigen Text aufmerksam durchzulesen, selbst wenn man per E-Mail darauf hingewiesen wird? Fast wöchentlich kommen derartige Mails an, die die Empfänger über neue Nutzungsbedingungen aufklären sollen. Die spannenden Abschnitte dürften vielen Lesern nicht weiter auffallen, wenn sie die Webseite überhaupt dafür aufrufen!? Wahrscheinlich verzichten sie ganz auf einen Besuch beim Paragrafendschungel. Nachteilig auf das Firmenimage wirkt sich wahrscheinlich noch immer der Hack von VikingVPN, NordVPN und Torguard aus dem Jahr 2018 aus. Warum erfolgt ausgerechnet jetzt diese Ankündigung?
Fakt ist: VPN-Anbieter gibt es wie Sand am Meer. Doch vor der Wahl des Anbieters sollte man sich unbedingt überlegen, was man im Detail im Internet tun will. Was bei einem Anbieter noch geht, geht bei vielen anderen nicht mehr bzw. könnte für die Kunden gefährlich werden. Sicherheit im Web ist oft eine Frage des Preises. Wer dazu weitere Informationen benötigt, sollte sich unseren VPN-Vergleichstest einmal in Ruhe durchlesen, der sehr ausführlich geworden ist. Oder man schaut sich zum Vergleich einfach mal die VPN Nutzungsbedingungen/AGB bzw. die Datenschutzerklärung bei Perfect Privacy an. Die gibt es dort sogar in Deutsch.
Tarnkappe.info
|
|
|
|
|
|
|
tarnkappe.info? Ist das eine vernünftige Quelle?
Dass die sofort prominent ihre Telegram-Gruppe verlinken, macht doch etwas stutzig ob deren Kompetenz im Sicherheitsbereich.
|
|
|
|
|
|
|
Jo, halten sich zwar für schöner als sie sind, aber im Seichtwasserbreich ganz gut informiert und vernetzt.
|
|
|
|
|
|
|
| Zitat von Armag3ddon
tarnkappe.info? Ist das eine vernünftige Quelle?
Dass die sofort prominent ihre Telegram-Gruppe verlinken, macht doch etwas stutzig ob deren Kompetenz im Sicherheitsbereich.
| |
Du sollst gefälligst über die Reflinks ein anderes VPN kaufen und keine so albernen Fragen stellen.
|
|
|
|
|
|
Thema: Verschlüsselung und Anonymität III ( Privatsphäre jetzt ) |