"Nach dem NSA-Skandal kam die Forderung nach einem "deutschen Internet" auf - mit deutschen Leitungen und Routern. Hier soll deutsches Recht gelten und das Abhören streng geregelt sein. Ist das machbar?"

BR-Online

Hallo Dr. Tux,

möglich ist vieles. Ob es was bringt ist schwer einzuschätzen. Die NSA spioniert doch schon seit langer Zeit auf deutschem Boden und sogar mit der fleißigen Unterstützung unserer eigenen Geheimdienste.. siehe hier also wer da noch glaubt das mit einem "deutschen" Interrnet alles wieder gut wird ist schlicht naiv.

Ich halte das eher für Nebelkerzen um von der eigentlichen Problematik abzulenken.. das die Geheimdienste alle unter einer Decke stecken, jeder von jedem aber alle von der NSA abhängig sind.. und nun sich keiner mal traut mit der Faust auf den Tisch zu hauen und den offenkundigen Schwachsinn zu beenden.
Wirklich übel wird's, wenn sich ein Staat im Staat bildet.. ich hoffe das die USA da das Rad nochmal zurückdrehen können.. erste zaghafe Ansätze sind erkennbar - siehe hier

Liebe Grüße,
KlaRen

Das ist natürlich auch das Fazit der Sendung. Man muß sich selbst drum kümmern und seinen Kram E2E verschlüsseln. Ausserdem würde ich eh Drosslkom und Co genau so wenig trauen.

Den im angelinkten Text gemachten Vorschlag halte ich für ganz großes Kino: Die Daten in privatwirtschaftliche Hände zu geben, die dann 1. damit handeln und 2. diese dann wiederum an die SchnüffelNSAen weiter geben ... Wollen die uns eigentlich für doof verkaufen?

Ich gebe dir recht, man muss sich selbst um seine Sicherheit kümmern. Ende zu Ende verschlüsseln ist sicherlich ein unverzichtbarer Baustein im Sicherheitskonzept neben anderen:
- aktuellste Software, neueste Patches
- vorsichtige und umsichtige Einstellung von Optionen und Installation von Paketen
- Virenscanner
Zwei Haupteinfalltore:
- vorsichtiger und umsichtiger Umgang mit E-mails von unbekannten Absendern
- vorsichtiges und umsichtiges Surfen im Internet
- [...] noch einiges mehr, das ich jetzt vergessen habe

Bezüglich deines zweiten Absatzes muss ich aber sagen, hier geht die Skepsis meiner Meinung nach etwas zu weit. Die "privaten Telefongesellschaften" von denen da die Rede ist, erheben sowieso schon diese Daten. Z.B. um dir am Ende des Monats eine Abrechnung zu liefern, die Verbindungsnachweise enthält. Ich denke das die Daten dort, wo sie erhoben werden, am besten aufgehoben sind. Vorausgesetzt es gibt entsprechende Sicherheitsauflagen.

Wichtig ist doch (erst einmal) die globale Überwachung per Mausklick abzustellen, die die NSA ja bereits praktiziert - Ich sage nur x-keyscore . Und wenn die NSA nun erst einmal einen Grund liefern muss, warum sie dies oder jenes abruft und der Grund geprüft und abgelehnt werden kann, dann ist das in meinen Augen schon ein großer Schritt vorwärts. Denn dann geht das nicht mehr so automatisch und beliebig oft wie derzeit.

Ja, stimt grundlegend, allerdings mit zwei Anmerkungen meinerseits:

1. Den Ergebnissen eines Virenscanners auf einem trojanisierten System würde ich nur bedingt Vertrauen schenken, da es wohl Viren gibt, die Scanergebnisse manipulieren oder Scanner schlichtweg aus dem Speicher werfen. Da rate ich dringend dazu "von aussen", d.h. per LiveCD zu scannen. Da kann ich mal wieder rum prahlen, da ich diesbezüglich auch mal was geschrieben habe (siehe meinen Wurmkur-Text ). Provokant stelle ich die Sinnhaftigkeit eines Virenscanners im Gegensatz zu einem restriktiv konfigurierten System in den Raum. Vermutlich kommt man mit Feuerwand, IDS/IPS etc. weiter, ohne das ich in diesem Bereich Experte bin. Der Berufsparanoiker bedenkt natürlich die potentielle Trojanisierung des BIOS sowie die ganz verfide Möglichkeit, das installierte System ohne Wissen des Anwenders in eine fremdgesteuerte virtuelle Maschine zu verschieben! (hab mal irgendwo (Heise?) gelesen, dass so was möglich sein soll)
2. In Zeiten der "Flachraten" ist der Einzelverbindungsnachweis/Vorratsdatenschnüffel nicht mehr wirklich glaubwürdig vermittelbar. Da vermute ich eher Datenschnüffelei und/oder Bitzählerei um drosseln zu können

also zu 1)...sorry wieder mal lang geworden...
Natürlich ist jeder Prozess auf einem laufenden System möglichen Angriffen ausgesetzt. Das da einige Scanner so patzen und sich aushebeln lassen ist peinlich. Ebenso, das die Scanner selbst die Sicherungsfeatures der Betriebssysteme (z.B. Addressobfuscation) nicht nutzen ist ebenso peinlich. Scheinbar etwas auf dem hohen Ross unterwegs die Softwareschmieden. Find leider gerade die Artikel dazu nicht auf Heise..
Wozu die Virenscanner halt ganz gut sind, ist in den Dateien und E-mails herumzuschnüffeln, um da grobes Zeug raus zu holen. Cutting-edge-schädlinge wird man damit nicht abwehren können, egal ob online oder offline gescanned. Im Zweifel haben unsere Freunde einige Zero-Day-Lücken die sie nutzen können.. Da hilft dann aber nur noch abschalten, surfen auf dem Baggersee, Papierzeitung lesen und die Überweisungsträger bei der Bank einwerfen.

Ein Virenscanner gehört aber meiner Meinung nach schon zu den aktiven Abwehrtools wie auch eine Firewall. Den gröbsten Dreck fängt man sich am ehesten über e-mail oder beim herumsurfen ein. Die Firewall hilft dann auch höchstens, wenn der Schädlich schon nach Hause telefonieren will. Der Scanner könnte bereits über Signaturen beim Herunterladen der Datei anschlagen. (Man bemerke den Konjunktiv) Also weit bevor irgendwas ausgeführt wird. Wo die Firewall nix hilft ist dann, wenn der Schädling innerhalb des Webbrowsers läuft.. Javascript zum Beispiel.. sollte man sich also nicht zu sehr drauf verlassen das die Firewall alles abblocken wird.

Von einem Schädling der das ganze System in eine virtuelle Maschine einsperrt habe ich noch nie gehört. Ich halte das zwar nicht für unmöglich aber für sehr leicht feststellbar. Warum sollte sich jemand diese Mühe machen (ausser als PoC), wenn es doch schnell auffällt und ein verstecktes Rootkit die gleichen Möglichkeiten bietet Kontrolle über das System zu haben und den Nutzer auszuspähen?
Von UEFI/BIOS Schädlingen werden wir vielleicht in Zukunft mehr hören.. sobald es dort einen permanenten Speicher gibt, wird der gewiss ausgenutzt werden. Secureboot ist eine Möglichkeit der Abwehr - aber derzeit etwas kontrovers, da es auch gewollte "andere" Programme.. a la open source aussperrt. Wie ich das mitbekommen habe, sind die jetzigen Lösungen für Open Source eher Krücken.

Zu 2): Eigentlich hat fast jeder Operator neben den Flatrates auch Zeittarife. Und sobald es die gibt müssen diese Daten erhoben werden. Bei einem VoIP Gespräch zu drosseln ist eher schädlich.
Den Operatoren in Deutschland ist es strengstens untersagt mit irgendwelchen personenbezogenen Daten zu handeln oder dritten zur Verfügung zu stellen. Wenn Daten nach außen gelangen passiert das eher in Form eines Diebstahls, wie bei Vodafone passiert. Das ist allerdings mehr als peinlich für das Unternehmen, zeigt es doch das es erhebliche Lücken im Sicherheitskonzept gibt. Das kann ganz schnell die eigene Reputation schwächen und den Verlust von lukrativen Geschäftskunden bedeuten..

/KlaRen

KlaRen schrieb: also zu 1)... und die Überweisungsträger bei der Bank einwerfen.

Dazu hat sich mein Geldinstitut neulich was feines ausgedacht: Sie wollen neben den an sich schon zu hinterfragenden Kontoführungsgebühren dafür jetzt auch noch extra kassieren. D.h. sie bieten mir nur noch folgendes an:

• Telefonbanking (wo unsere "Freunde und Partner" eh alles mithören)
• Bankterminal (das vermutlich in 3000 Jahren immer noch auf XP läuft)

Ich bin schweg begeistert ob dieses "grandiosen Service".

KlaRen schrieb: Ein Virenscanner gehört aber meiner Meinung nach schon zu den aktiven Abwehrtools wie auch eine Firewall. Den gröbsten Dreck fängt man sich am ehesten über e-mail oder beim herumsurfen ein.

In diesem Zusammenhang bin ich immer wieder auf's neue von der Art, wie ProblemOS die Dateiendungen darstellt begeistert. Auch im nächsten Jahrtausend wird man vermutlich immer noch nicht gemerkt haben, dann man Dateien nach dem Muster ABC.XYZ.exe mit ausgetauschten Icons bauen kann und mitsamt beliebig austauschbaren Kopfdaten an Emails hängen kann. Auch die Erfindung der autorun-Funktion war "großartig". Ich erinnere an das "Sony/BMG Rootkit" und den Datenträger des Films "Mr. and Mrs. Smith" ...

Bzgl. "surfen": Wenn man seinen "Wellenreiter" ordentlich konfiguriert und mit Erweiterungen bestückt, bekommt man auch keine Probleme. Ich hoffe, ich mache mich nicht unbeliebt mit der Erwähnung, dass ich auch dazu einen (inzwischen historischen, aber nicht überlebten) Artikel in FM geschrieben habe.

KlaRen schrieb: Die Firewall hilft dann auch höchstens, wenn der Schädlich schon nach Hause telefonieren will. Der Scanner könnte bereits über Signaturen beim Herunterladen der Datei anschlagen. (Man bemerke den Konjunktiv)

Gut, gut, ich merke, du hast das "potentielle Potential" eines Virenscanners begriffen ...

KlaRen schrieb: Von einem Schädling der das ganze System in eine virtuelle Maschine einsperrt habe ich noch nie gehört. Ich halte das zwar nicht für unmöglich aber für sehr leicht feststellbar. Warum sollte sich jemand diese Mühe machen (ausser als PoC), wenn es doch schnell auffällt und ein verstecktes Rootkit die gleichen Möglichkeiten bietet Kontrolle über das System zu haben und den Nutzer auszuspähen?

Nach einigem Suchwort-Pingpong habe ich den Hinweis gefunden , dürfte dich sehr interessieren, zumal sich das laut deren Aussage NICHT erkennen läßt!

KlaRen schrieb: Von UEFI/BIOS Schädlingen werden wir vielleicht in Zukunft mehr hören.. sobald es dort einen permanenten Speicher gibt, wird der gewiss ausgenutzt werden. Secureboot ist eine Möglichkeit der Abwehr - aber derzeit etwas kontrovers, da es auch gewollte "andere" Programme.. a la open source aussperrt. Wie ich das mitbekommen habe, sind die jetzigen Lösungen für Open Source eher Krücken.

Wie immer sollte man eine solche Infrastruktur quelloffen anbieten, um potentielle Lücken weltweit suchen zu können. Natürlich muss sich Winzigweich bei so was immer den Vorwurf gefallen lassen, sie würden mal wieder einen Feldzug gegen das "böse Linux" führen.

Ich weiss eh nicht, was dieser ganze Heckmeck soll. "Sicheres Booten" sieht bei mir anders aus:

• BIOS-/Boot-Passwort
• vollständige Festplattenverschlüsselung
• Verlagerung der unverschlüsselten /boot-Partition auf einen hosentaschen-kompatiblen Datenträger (hab ich auch schon was zu geschrieben )

KlaRen schrieb: Zu 2): Eigentlich hat fast jeder Operator neben den Flatrates auch Zeittarife. Und sobald es die gibt müssen diese Daten erhoben werden.

Das wäre ja noch nachzuvollziehen. Aber warum speichern dann unsere "Freunde von der Drossl" trotzdem? (soweit ich das mitbekommen habe)

KlaRen schrieb: Den Operatoren in Deutschland ist es strengstens untersagt mit irgendwelchen personenbezogenen Daten zu handeln oder dritten zur Verfügung zu stellen. Wenn Daten nach außen gelangen passiert das eher in Form eines Diebstahls, wie bei Vodafone passiert. Das ist allerdings mehr als peinlich für das Unternehmen, zeigt es doch das es erhebliche Lücken im Sicherheitskonzept gibt. Das kann ganz schnell die eigene Reputation schwächen und den Verlust von lukrativen Geschäftskunden bedeuten..

Genau. Und trotz NSA, BND und NSU wissen wir: Was in Deutschland verboten ist, passiert auch nicht!!! Hallo wach!

Dr.Tux schrieb: Dazu hat sich mein Geldinstitut neulich was feines ausgedacht: Sie wollen neben den an sich schon zu hinterfragenden Kontoführungsgebühren dafür jetzt auch noch extra kassieren. D.h. sie bieten mir nur noch folgendes an:

• Telefonbanking (wo unsere "Freunde und Partner" eh alles mithören)
• Bankterminal (das vermutlich in 3000 Jahren immer noch auf XP läuft)

Ich bin schweg begeistert ob dieses "grandiosen Service".

Es steht dir frei die Bank zu wechseln. Abstimmung mit den Füßen..

Dr.Tux schrieb: Bzgl. "surfen": Wenn man seinen "Wellenreiter" ordentlich konfiguriert und mit Erweiterungen bestückt, bekommt man auch keine Probleme. Ich hoffe, ich mache mich nicht unbeliebt mit der Erwähnung, dass ich auch dazu einen (inzwischen historischen, aber nicht überlebten) Artikel in FM geschrieben habe.

Jede Wette das selbst mit diesen Maßnahmen es möglich sein wird deinen Browser zu kapern, wenn man nur lange genug nach der Lücke sucht! Wir müssen uns alle daran gewöhnen das es keine 100%ige Sicherheit gibt. Eigentlich gab es die auch nie. Es ist ein permanentes Wettrüsten. Die Zeiten in denen man Slackware einmal kompiliert hat und dann die nächsten 20 Jahre unverändert mit den gleichen "sicheren" Einstellungen betreibt sind vorbei.

Dr.Tux schrieb: Nach einigem Suchwort-Pingpong habe ich den Hinweis gefunden , dürfte dich sehr interessieren, zumal sich das laut deren Aussage NICHT erkennen läßt!

In der Tat, sehr interessant! Coole Idee die Hardwarevirtualisierung der CPU für sowas zu missbrauchen. Je mehr Features eine CPU hat, je mehr kann man damit machen.. so oder so. Da lob ich mir den TI-30 Taschenrechner, den hat wohl noch keiner gehackt
Aber das ist auch genau der Punkt mit UEFI, TPM und und und... diese Dinge suggerieren Sicherheit bis das ein findiger Kopf sie für das Gegenteil missbraucht.

Dr.Tux schrieb:

KlaRen schrieb: Von UEFI/BIOS Schädlingen werden wir vielleicht in Zukunft mehr hören.. sobald es dort einen permanenten Speicher gibt, wird der gewiss ausgenutzt werden. Secureboot ist eine Möglichkeit der Abwehr - aber derzeit etwas kontrovers, da es auch gewollte "andere" Programme.. a la open source aussperrt. Wie ich das mitbekommen habe, sind die jetzigen Lösungen für Open Source eher Krücken.

Wie immer sollte man eine solche Infrastruktur quelloffen anbieten, um potentielle Lücken weltweit suchen zu können. Natürlich muss sich Winzigweich bei so was immer den Vorwurf gefallen lassen, sie würden mal wieder einen Feldzug gegen das "böse Linux" führen.

Naja, Openssl und Heartbleed hat gezeigt das auch diese Regel Ausnahmen hat. Aber im Prinzip gebe ich dir recht, je mehr Leute drauf schauen, je schneller kann man Lücken finden und schließen. Es muss nur jemand machen, was bei OpenSSL offensichtlich nicht passiert ist. Wer weiß wieviel Code des Kernels niemals ge-reviewed wurde und wieviele Lücken es dort noch gibt.

Dr.Tux schrieb: Ich weiss eh nicht, was dieser ganze Heckmeck soll. "Sicheres Booten" sieht bei mir anders aus:

• BIOS-/Boot-Passwort
• vollständige Festplattenverschlüsselung
• Verlagerung der unverschlüsselten /boot-Partition auf einen hosentaschen-kompatiblen Datenträger (hab ich auch schon was zu geschrieben )

Ok, und dann hast du einen Schädling im UEFI sitzen, der direkt nach der Initialisierung des UEFI/BIOS zur Ausführung kommt. Keine der Maßnahmen in deiner Liste ist geeignet dem Einhalt zu gebieten.
Wenn aber das UEFI über Zertifikate feststellen kann, das der code wirklich der code ist, der ausgeführt werden soll - z.B. der Bootloader von Linux oder Windows, dann kann das UEFI sich vor solchen Manipulationen schützen. So zumindest die Idee. Das man die auch aushebeln kann ist die Natur der Sache. Es gibt keine 100% Sicherheit.

BTW: Die verschlüsselte Platte hilft dann auch nicht, da der Schädling möglicherweise durch den Kernel hindurch auf die entschlüsselten Daten zugreifen könnte.

Dr.Tux schrieb:

KlaRen schrieb: Zu 2): Eigentlich hat fast jeder Operator neben den Flatrates auch Zeittarife. Und sobald es die gibt müssen diese Daten erhoben werden.

Das wäre ja noch nachzuvollziehen. Aber warum speichern dann unsere "Freunde von der Drossl" trotzdem? (soweit ich das mitbekommen habe)

Einen Monat+x müssen sie sowieso speichern. Der erste Monat, da man ja eine Monatliche Abrechnung erhält, das X für den Zeitraum den ein Kunde die Rechnung beanstanden kann. Es könnte sein, das jemand Einspruch gegen seine Rechnung erhebt. Was ja in diversen Fällen auch berechtigt ist - schließlich ist selbst die Abrechnung nicht 100% fehlerfrei.

Dr.Tux schrieb: Genau. Und trotz NSA, BND und NSU wissen wir: Was in Deutschland verboten ist, passiert auch nicht!!! Hallo wach!

Das habe ich auch nicht gesagt. Ich will nur sagen, das es ein erhebliches Risiko für den Operator darstellt Daten über seine Kunden preis zu geben. Ob der das dann trotzdem macht... findet man höchstens über die investigative Presse heraus.

/KlaRen