Wer darauf reinfaellt...dem ist nicht zu helfen

Nette Spielerei, nur sicherer wird das Anmelden damit keineswegs: Nicht nur, dass jeder Privatmann mit Hardware/Software fuer unter 100EUR und einem Laptop den Datenverkehr eines Handys in seiner Umgebung mitloggen kann, ein Handy steht auch noch unter der Kontrolle seines Providers und das nicht nur durch versteckt aufgespielte Spionage-Software wie CarrierIQ.

Es macht also das Klauen der Account-Daten eher einfacher als schwerer, wenn zur Authentifizierung ein Handy genutzt wird und der "Dieb" ist zudem schlechter zu erwischen und macht sich noch nicht einmal der Computersabotage schuldig, da er eben keinen Keylogger in den fremden Computer installieren muss, sondern die Daten mit eigenem Equipment "aus der Luft" mitschneidet.

Google hat bei diesem Verfahren ein ganz anderes Interesse als die Sicherheit der Kontoanmeldung zu erhoehen: Sie wollen die wahren Besitzer der Konten auf ihren Servern besser identifizieren bzw. personalisieren koennen. Wer also bisher so klug war nur einen Fake-Account bei Google anzulegen und nun so naiv ist sich aus "Sicherheitsgruenden" (oder weil er einfach seiner vermeintlich staunenden Umwelt demonstrieren moechte, wie er sich bei Google mit dem Handy anmeldet) mit seinem Handy anzumelden, der gibt Google die Moeglichkeit ihn zuverlaessig zu identifizieren. Da die meisten Handyvertraege auf eine natuerliche Person abgeschlossen werden und selbst bei PrePaid-Karten normalerweise der Besitzer in der Datenbank des Providers steht, ist es ueberhaupt kein Problem fuer Google mit der ersten Anmeldung per Handy das Konto einer Rufnummer und damit einer natuerlichen Person zuzuordnen.

Netter Versuch Google. Aber da ich bei euch ohnehin keine korrekten Daten von mir hinterlege, ist es mir ziemlich egal, ob jemand an einem fremden Rechner meinen Login mitverfolgt. Ist ohnehin nur ein vergleichsweise schwaches Passwort, welches nichts mit meinen wichtigen Passwoertern gemein hat. Daneben habe ich dank der Spionage-Problematik bei Handys schon seit ueber 12 Jahren kein Handy und kein Festnetztelefon mehr. Um Bewegungsprofile von mir anzulegen und mich, meine Telefonate und meine Umgebung abzuhoeren (Der Provider kann das Mikrofon eines Handys aktivieren, so dass er den Besitzer aus dessen Hosentasche belauschen kann. Ich moechte nicht wissen, wieviel [Industrie-]Spionage allein auf diese Weise betrieben wird.) ist also mehr vonnoeten als billige Technik. Da muss der Spion/Ermittler wohl mal aus seinem bequemen Sessel aufstehen und auf aeltere Ermittlungsmethoden zurueckgreifen...oder es eben bleiben lassen, weil sich der Aufwand nicht lohnt. Die Daten von Millionen Handybesitzern in Deutschland kriegt er ja frei Haus geliefert und was er auf den Handys nicht findet, das gibt's bei vielen dann auch noch auf Facebook oder Google+.

Wer also auf diese Masche von Google, die in Richtung der "Klarnamen"-Politik von Facebook tendiert, hereinfaellt, dem ist wirklich nicht mehr zu helfen.

nOOcrypt schrieb:
--------------------------------------------------------------------------------

> Google hat bei diesem Verfahren ein ganz anderes Interesse als die
> Sicherheit der Kontoanmeldung zu erhoehen: Sie wollen die wahren Besitzer
> der Konten auf ihren Servern besser identifizieren bzw. personalisieren
> koennen. Wer also bisher so klug war nur einen Fake-Account bei Google
> anzulegen und nun so naiv ist sich aus "Sicherheitsgruenden" (oder weil er
> einfach seiner vermeintlich staunenden Umwelt demonstrieren moechte, wie er
> sich bei Google mit dem Handy anmeldet) mit seinem Handy anzumelden, der
> gibt Google die Moeglichkeit ihn zuverlaessig zu identifizieren.

Woher ist die Information wenn ich fragen darf? Darf ich vermutlich nicht oder? Ist ja keine Tatsache, ist ja nur eine dreiste Behauptung deinerseits die weder Bestätigung bedarf, noch hinterfragt werden sollte.

> Da die
> meisten Handyvertraege auf eine natuerliche Person abgeschlossen werden und
> selbst bei PrePaid-Karten normalerweise der Besitzer in der Datenbank des
> Providers steht, ist es ueberhaupt kein Problem fuer Google mit der ersten
> Anmeldung per Handy das Konto einer Rufnummer und damit einer natuerlichen
> Person zuzuordnen.

Ich geh mal (blöderweise) darauf ein und frage dich: Und dann?

Krieg ich dann tausende SpamSMS von Google?
<ironie> So wie jetzt auch schon mein GMail üüüüübel zugemüllt wird? Jeden Tag MILLIONEN Werbemails. </ironie>

> Daneben habe ich dank der Spionage-Problematik bei Handys schon seit
> ueber 12 Jahren kein Handy und kein Festnetztelefon mehr. Um
> Bewegungsprofile von mir anzulegen und mich, meine Telefonate und meine
> Umgebung abzuhoeren (Der Provider kann das Mikrofon eines Handys
> aktivieren, so dass er den Besitzer aus dessen Hosentasche belauschen kann.
> Ich moechte nicht wissen, wieviel Spionage allein auf diese Weise betrieben
> wird.) ist also mehr vonnoeten als billige Technik. Da muss der
> Spion/Ermittler wohl mal aus seinem bequemen Sessel aufstehen und auf
> aeltere Ermittlungsmethoden zurueckgreifen...oder es eben bleiben lassen,
> weil sich der Aufwand nicht lohnt. Die Daten von Millionen Handybesitzern
> in Deutschland kriegt er ja frei Haus geliefert und was er auf den Handys
> nicht findet, das gibt's bei vielen dann auch noch auf Facebook oder
> Google+.

Ich bin auch sicher, ich hab Alufolie aufm Schädel.

Paranoia soll ja ganz lustig sein...in Maßen....aber was du hier äußerst regt mich nur zum Kopfschütteln an. Aber mach ruhig. Ist ja dein Ding auf welche Art und Weise du jeglichen Fortschritt an dir vorbeiziehen lassen möchtest.

_____

"Mein Herr, ich teile Ihre Meinung nicht, aber ich würde mein Leben dafür einsetzen, dass Sie sie äußern dürfen."
_____

so viel geballtes unwissen ....

SSL kannst du nur mit MITM (man in the middle) inspecten. dabei wird dem client device ein gefaktes zertifikat untergeschoben. jeder moderne browser, auch die mobilen, schlagen dann alarm. weil der aussteller keine root CA mehr ist sondern eben das gerät dass die MITM inspection durchführt. es gibt keine mystische SSL inspection die ohne man in the middle auskommt. auch nicht für die CIA und den mossad.

man kanns mit paranoia auch übertreiben ...


nOOcrypt schrieb:
--------------------------------------------------------------------------------
> Nette Spielerei, nur sicherer wird das Anmelden damit keineswegs: Nicht
> nur, dass jeder Privatmann mit Hardware/Software fuer unter 100EUR und
> einem Laptop den Datenverkehr eines Handys in seiner Umgebung mitloggen
> kann,

Womit kommunizierst du dann? Wieso bist du dann online? Im Internet-Cafe? :D

Grüße vom Planeten Deviluke!

nOOcrypt schrieb:
--------------------------------------------------------------------------------
> [massive google rant]

Wow. Du extrahierst meine Google Credentials indem du mittels 100€ Equipment eine MITM Attacke auf eine SSL Übertragung über UMTS durchführst. Du bist nicht weniger als ein großer Hacker Gott.

nOOcrypt schrieb:
--------------------------------------------------------------------------------
> Daneben habe ich dank der Spionage-Problematik bei Handys schon seit
> ueber 12 Jahren kein Handy und kein Festnetztelefon mehr.

Vor einer Woche hattest du angeblich einen Nokia Communicator. Du warst sogar stolz darauf, dass es ein altes Telefon ist, weil du man mit neuen ja Bewegungsprofile erstellen kann. <sarcasm>Weil da mit einem 12 Jahre alten GSM Telefon natürlich nicht geht. Und GSM Gespräche unkackbar verschlüsselt sind.</sarcasm>

> Der Provider kann das Mikrofon eines Handys aktivieren, so dass er den Besitzer
> aus dessen Hosentasche belauschen kann.

Das erzählst du uns nun jeden Tag aus Neue.

Nun wieder schnell zurück in den Wald.

Wenn man unter Verfolgungswahn oder anderen deftigen Paranoia leidet, ist das ganze Thema wohl generell ein Tabu ;)

Und dieser Service ist wohl eher für Privatanwender gedacht, die aus irgendwelchen Gründen gezwungen sind sich an fremden Computern (Internetcafe, öffentliche Terminals usw) einzuloggen.

Und solange ich kein International gesuchter Krimineller oder Geheimagent bin, wird wohl kaum einer meinen GPS Datenverkehr mitloggen um meine Googlemails zu lesen -.-

( Alternativ: kostenlos registrieren) schrieb:
--------------------------------------------------------------------------------
> so viel geballtes unwissen ....
>
> SSL kannst du nur mit MITM (man in the middle) inspecten. dabei wird dem
> client device ein gefaktes zertifikat untergeschoben. jeder moderne
> browser, auch die mobilen, schlagen dann alarm. weil der aussteller keine
> root CA mehr ist sondern eben das gerät dass die MITM inspection
> durchführt. es gibt keine mystische SSL inspection die ohne man in the
> middle auskommt. auch nicht für die CIA und den mossad.
>
> man kanns mit paranoia auch übertreiben ...
>

Eine der letzten Ausgaben der c't ist da z.B. anderer Meinung. Die haben dort ein Verfahren beschrieben, wie man dem Problem mit der root CA begegnet. Ausserdem kenne ich genug Leute, die solche Meldungen ihres Browsers einfach wegklicken, weil sie keine Ahnung haben, was Zertifikate überhaupt sind.



S-Talker schrieb:
--------------------------------------------------------------------------------
> nOOcrypt schrieb:
> ---------------------------------------------------------------------------
> -----
> >
>
> Wow. Du extrahierst meine Google Credentials indem du mittels 100€
> Equipment eine MITM Attacke auf eine SSL Übertragung über UMTS durchführst.
> Du bist nicht weniger als ein großer Hacker Gott.

Es ging ja auch gerade darum, dass beinahe JEDER sowas mit einer entsprechenden Anleitung aus dem Internet hinbekommt. Wenn das nur absolute Spezialisten könnten, wäre es kein so grosses Sicherheitsproblem, da man ja nur Handys in der näheren Umgebung abhören kann.

>
> nOOcrypt schrieb:
> ---------------------------------------------------------------------------
> -----
> > Daneben habe ich dank der Spionage-Problematik bei Handys schon seit
> > ueber 12 Jahren kein Handy und kein Festnetztelefon mehr.
>
> Vor einer Woche hattest du angeblich einen Nokia Communicator. Du warst
> sogar stolz darauf, dass es ein altes Telefon ist, weil du man mit neuen ja
> Bewegungsprofile erstellen kann. Weil da mit einem 12 Jahre alten GSM
> Telefon natürlich nicht geht. Und GSM Gespräche unkackbar verschlüsselt
> sind.

Man kann von jedem eingeloggten Mobiltelefon Bewegungsprofile erstellen. Das kann so alt sein wie es will. Mit den neuen Handys werden die Profile allerdings genauer, wenn man mit Programmen wie CarrierIQ die GPS-Funktionalitaet nutzt.

Angenommen GSM-Gespraeche wären "unknackbar verschlüsselt", wie du behauptest, dann frage ich mich wie es sein kann, dass die Polizei Handys von Verbrechern trotzdem abhört. Ist doch merkwürdig, oder? PGP-Mails lesen die nämlich zum Beispiel nicht einfach mit, auch wenn sie es gerne würden.

Ich habe mal ein wenig gesucht und nur Postings gefunden, wo stand dass das der alte Communicator vor 12 Jahren verkauft wurde. Biddeschön, zum Nachlesen:

http://forum.golem.de/kommentare/wirtschaft/siri-iphone-4s-nutzer-verdoppeln-das-datenvolumen/sprache-ist-nicht-die-ultimative-schnittstelle/58899,2887227,2887227,read.html
http://forum.golem.de/kommentare/mobile-computing/cyanogenmod-compiler-alternative-android-distribution-selbst-zusammenstellen/bewegungsprofile-und-foto-oder-privatsphere/58696,2882820,2882820,read.html

>
> > Der Provider kann das Mikrofon eines Handys aktivieren, so dass er den
> Besitzer
> > aus dessen Hosentasche belauschen kann.
>
> Das erzählst du uns nun jeden Tag aus Neue.

Naja, stimmt ja auch.