Meldungen zur IT-Sicherheit

    Yeah! Ich hab nicht nur kein WattsUp sondern sitze auch noch in der Schweiz. :grinning_squinting_face: Ich bin ja sooo gut! :partying_face:


    Entspannte Grüsse, Bremsstrahlung

    Die Kunst ist einmal mehr aufzustehen als man umgeworfen wird. - Winston Churchill

    Leute, haltet eure USB-Kabel in Ehren. Denn mittlerweile gibt es USB-Kabel, die in der Lage sind den Rechner an den sie angeschlossen sind zu infizieren:


    http://mg.lol/blog/badusb-cables/


    Ich denke allerdings nicht, dass die großflächig in Umlauf kommen werden. Aber wer weiß das schon. Es wurden ja auch schon vorinfizierte Telefone und USB-Speicher im Handel gefunden. Warum also nciht so ein unscheinbares Kabel dem Produkt beilegen. Und ich weiß auch nicht, ob es irgendwelche Merkmale gibt die diese Kabel von normalen Kabeln unterscheidet. Möglicherweise haben die einen etwas größeren Stecker oder ein dickeres Kabel.


    Übrigens ist das prinzipiell auch möglich mit USB-Ladegeräten. Wer sicher gehen möchte nimmt einfach ein Kabel ohne Datenleitungen.

    I feel a disturbance in the force...

    Zitat von heise.de

    Die Regierungen der EU-Mitgliedsstaaten haben sich darauf verständigt, sichere Verschlüsselung EU-weit zu verbieten. Das geht aus dem geheimen Entwurf einer geplanten Deklaration des EU-Ministerrats hervor, die der Österreichische Rundfunk (ORF) veröffentlicht hat.


    In allgemeinverständliches Deutsch übersetzt bedeutet das Dokument, dass die Regierungen alle Dienstebetreiber dazu zwingen wollen, Hintertüren in ihre Verschlüsselung einzubauen. Darüber besteht offenbar bereits Einstimmigkeit im Rat der EU-Minister. Der Resolutionsentwurf heißt offiziell "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung".

    Zum Glück sind die Schweizer nicht in der EU. :winking_face:

    I feel a disturbance in the force...

    Leider geht das daraus nicht genau hervor, aber ich vermute mal das die Verschlüsselungs-APIs in den Betriebssystemen davon auch betroffen sein werden.

    Was mir an Fachwissen und Intelligenz fehlt mach ich mit (hier könnte ihr Produkt stehen) wieder weg.

    lutra incognita aus DE B/BB

    Diese Entwicklung war leider sehr vorhersehbar. Aktuell wird PGP und andere Arten noch nicht verboten. Sobald sowas massentauglich ist, ists auch damit vorbei. Was das allerdings für VPN Tunnel bedeutet ist mir auch noch ein gewisses Rätsel. Vielleicht wie in Russland, wo die Regierung die Schlüssel erzeugt?

    -<[ Nunquam-Non-Paratus ]>-

    Stichwort Russland...

    Man arbeitet ja dort schon länger an einem " eigenen Internet" - soll heissen das über kurz oder lang die " Internationalen Dienste" nicht mehr zugänglich sein werden.


    https://www.faz.net/aktuell/po…es-internet-16463399.html


    Genauso in China - dort sind Wikipedia,Google und Co nur noch eingeschränkt zugänglich / zensiert.Soziale Netzwerke sind temporär abgeschaltet worden...

    In den USA sägt man momentan an TikTok rum...


    Leider gebe ich dem "freien Internet" nicht mehr lange,Wahrheiten wird man bald nur noch erfahren können wenn die in politische Vorstellungen passen.


    Die Frage nach "Sicherheit" im Internet stellt sich mir schon länger nicht mehr.


    Informationen die ich als privat betrachte hebe ich einfach nicht in digitaler Form auf,dann verliere ich auch nicht die Kontrolle darüber :winking_face:

    Aus dem Norden von DE bzw. dem Süden von ES gesendet

    Da bleibt dann halt nur noch der Betrieb eines privaten Messangerservers mit entsprechender selbst erzeugter Verschlüsselung übrig. Für Freunde und Familie wohl die beste Variante.

    Es ist immer das gleiche Muster: nach einem blutigen Terroranschlag durch einen Täter, der den Behörden und "Diensten" schon lange bekannt war, dessen Gefährlichkeit sich aber im Behördengestrüpp verfing, rufen Sicherheitspolitker nach Maßnahmen für mehr Sicherheit, die mit den jeweiligen traurigen Anlässen (dem Attentat und der behördlichen Unfähigkeit) absolut nichts zu tun haben.


    Andererseits haben die allermeisten Politiker, die um unsere Sicherheit bemüht sind, keinen blassen Schimmer von IT-Sicherheit und unsere Justiz auch nicht. Die Consultant-Lobby, die sich wie eine Schmutzkruste um Ministerien gelegt hat, erzeugt dann Gesetzentwürfe, die in der Regel nur der Profitmaximierung der Consultants und ihnen freundschaftlich verbundenen Unternehmen (oder eigens zur Gewinnabschöpfung konstruierten Unternehmen) dient. D.h. die Ende-zu-Ende-Verschlüsselung mit staatlich legitimierten Hintertürchen wird von Wirtschaftsunternehmen entwickelt und in Produkte gegossen.


    Dass man damit schön auf die Nase fallen kann, zeigt das Beispiel Juniper, quasi das Security Oopsie des Jahrzehnts:


    "Juniper-Skandal: China übernahm angeblich Hintertür in Netzhardware

    Vor Jahren sorgte eine Hintertür für Kopfschütteln, die Juniper wohl selbst in seine Produkte eingebaut hatte und die dann jemand übernahm. Das war wohl China. (heise.de)"


    Da hatte die NSA den Hersteller zum Einbau von Hintertüren verdonnert (das macht sie meist mit ihren gefürchteten "security letters") und dann verschusselt man das Ganze derart, dass ein anderer Staat, mutmaßlich China, Vollzugang zu diesen Hintertüren hat. Äh nun. Tja. Dumm gelaufen.


    Insofern bin ich momentan noch relativ gelassen, was dieses Verbot von sicherer Verschlüsselung aus Brüssel betrifft. So lange die EU-Bürger ihre privaten und unternehmerischen Daten ungehemmt auf Servern, die ausschließlich US-Recht unterliegen lagern (Windows One Drive, Google, Amazon AWS, 99% der übrigen Cloud- und Software-Diensteanbieter, sämtliche Streaming-Anbieter, sämtliche Social Networks usw. usf.), ist das Ganze ohnehin witzlos. Die EU-Hintertür wäre nur eine weitere in einem endlos langen Hausflur mit vielen Hintertüren bzw. komplett offenen Flanken.


    Das "Schöne" ist ja, dass sich gerade die Verfechter von Backdoors aus Gründen der Staatssicherheit (sic), meistens so hemmungslos vergeigen, dass es die wahre Pracht ist. Ein Beispiel noch, dann gebe ich wieder Ruhe: 2017 lagen aufgrund dilettantisch konfigurierter Sicherheitseinstellungen mehrere Terabytes abgefischter Social Media - Beiträge auf einem Amazon AWS Server für jedermann frei zugänglich im Web. Die Einträge von zigtausenden Usern auf Facebook&Co. hatten Militärgeheimdienste über 8 Jahre akribisch zusammengetragen und archiviert. Dummerweise hatten sie das Scheunentor weit offen gelassen:


    Massive US military social media spying archive left wide open in AWS S3 buckets (theregister.com)


    Grüsse

    Tom

    Ich stelle mir das technisch eher schwierig vor. Wie z. B. WhatsApp die Verschlüsselung technisch gelöst hat weiß ich nicht. Aber Threema hat, so viel ich weiß, meinen privaten Schlüssel nicht. Den meines Kommunikationspartners auch nicht. Die Verschlüsselung findet auf dem Telefon statt.


    Ich wüsste jetzt nicht wie hier ein Man-in-the-middle implementiert werden könnte. Vielleicht gibt es ja so etwas wie schwache private Schlüssel? Da kenne ich mich leider zu wenig aus. Also stark genug, dass es nur für Stellen mit den entsprechenden Ressourcen möglich ist die Verschlüsselung zu brechen?


    Außerdem besitze ich meinen privaten Schlüssel bereits. Den kann man mir ja nicht einfach "austauschen" ohne dass ich es bemerke. Wie soll das gehen?


    Hier nochmal der Hinweis, dass Politik bitte draußen bleibt.

    I feel a disturbance in the force...

    Zitat von wolpertinger

    Da bleibt dann halt nur noch der Betrieb eines privaten Messangerservers mit entsprechender selbst erzeugter Verschlüsselung übrig. Für Freunde und Familie wohl die beste Variante.

    Das denke ich auch. Mein Projekt in dieser Hinsicht ist aber vor 2 Jahren gescheitert. Keine Akzeptanz. Selbst unter den ITlern. Es dominierte die Faulheit einen zweiten Client zu installieren und den zu benutzen. Gleichzeitig vermute ich traut doch niemand den anderen, es könnte ja sein, dass jemand die Nachrichten doch untereinander mitschneidet und so weiter. Dann doch lieber unverschlüsselt durch Internet damals mit anderen Messengern.


    Ich weiß nicht, wie man das löst. Was funktioniert ist PGP mit einigen ausgewählten Leuten. Einfach Mails, nicht zu lang und gut. Das ist zwar nicht mehr instant, aber man kann da doch eher am Rechner mal etwas konkreter und mehr schreiben, als Textfetzen am Messenger.


    Was der Lord über Threema schreibt stimmt. Entweder muss Threema das anpassen und per Update kaputtmachen oder sie winden sich noch sehr lange. Aber aktuell ist Threema recht gut ausgearbeitet, was das angeht. Hilft natürlich nicht gegen den Angriff auf das Endgerät.


    Am Ende muss das alles so oder so ausgewertet werden. Das kann man natürlich auch zum teil ganz gut automatisieren... naja. Aber am Ende muss die richtige Information, zur richtigen Zeit am richtigen Ort vorliegen. Sonst bringt das alles nix.


    Der psychologische Faktor, dass mitgeschnitten und gelesen wird ist aber kein zu unterschätzender Aspekt. Das hilft mehr, als jede Überwachung selbst. Da reicht es schon ab und zu zufällig auf dem Gerät im Messenger einzublenden, dass die Kommunikation nun staatlich geprüft wird. Da traut sich 90% nicht mehr was aus eigener Sicht unkonventionelles zu schreiben.


    Gruß

    SBB

    -<[ Nunquam-Non-Paratus ]>-

    Ich sehe das zwiespältig.


    Einerseits möchte ich nicht, dass der Staat (der ironischerweise mein Arbeitgeber ist) ungeniert meine Kommunikation überwachen kann.


    Andererseits möchte ich nicht, dass sich Terroristen und Kinderschänder ungeniert über verschlüsselte Messengerdienste austauschen können.


    Meine persönliche Meinung: Ich nehme eine Einschränkung* meiner Rechte gerne in Kauf um ein paar Terroristen und Kinderschänder von ihren Taten abzuhalten.


    *Einschränkung ist seeeehr relativ. Ich gebe mir keine besonders große Mühe im Internet anonym aufzutreten. Habe Facebook, Amazon und Google Account. Somit wissen zumindest die Amis welche Größe meine Unterhosen haben.

    Gruß, CBR

    Zitat von SBB+

    Mein Projekt in dieser Hinsicht ist aber vor 2 Jahren gescheitert

    Vor einigen Jahren habe ich auch mal damit angefangen etwas umzusetzen. Das ist als Einzelperson durchaus machbar, allerdings ist der Aufwand ja doch relativ hoch. Und wenn man für seine Brötchen arbeiten muss ist das schwierig. Sechs Monate später kam dann aber sowieso Threema auf den Markt und ich habe mein Projekt dann eingestellt.


    Ich denke auch, dass es einfach niemanden interessieren wird. Und diejenigen die Wert auf eine saubere Verschlüsselung legen werden ihren Weg finden. Ich persönlich nutze Messenger sowieso so, als wären alle Informationen öffentlich.

    I feel a disturbance in the force...

    Zitat von lord_helmchen

    Die Verschlüsselung findet auf dem Telefon statt.

    Das bedeutet noch nicht, dass es dadurch sicher ist. Als Nutzer hat man keinerlei Kontrolle, was bei einem Smartphone an "Telemetriedaten" unter der Oberfläche weggesendet wird. In der Übertragungstechnik lehrt man ja das 7-Schichten-Modell oder auch OSI-Modell. Der Nutzer sieht nur die oberste Schicht, die Anwendungsschicht. Das ist das, was die App auf dem Handydisplay ausgibt und was der Nutzer darauf eintippt. Die eigentliche Übertragung der Information an einen anderen Nutzer erfolgt ganz unten auf der physikalischen Schicht.


    Natürlich kann ich eine App schreiben, die eine sichere Transportverschlüsselung erzeugt und bei der ich im Besitz der privaten Schlüssel bleibe. Aber ich habe keine Kontrolle darüber, was mit den Informationen auf dem Weg vom eintippen bis zu meiner App im Smartphone passiert. Das ist wie mit den Sachen, die man über eine Tastatur am PC eintippt. Diese Infos sind erstmal zwangsläufig Klartext und werden so ans Betriebssystem übergeben. Erst dann folgt auf einer ziemlich hohen Ebene eine Verschlüsselung durch meine App. In den Untiefen des Betriebsystems geistern die vom Nutzer eingegebenen Daten aber unverschlüsselt herum und es bleibt unklar, was dort zusätzlich zu den ordentlich durch die App verschlüsselten Daten abgreifbar ist oder gar automatisch an Server übertragen wird. Das lässt sich auch nicht prüfen.


    Deshalb müssen Smartphones grundsätzlich als unsicher eingestuft werden. Bei Anwendungen mit höchsten Anforderungen an Vertraulichkeit werden bis heute deshalb Zusatzgeräte verwendet, die der Anwender komplett unter Kontrolle hat oder die ihm von einer Instanz bereitgestellt werden, der er vertrauen kann. Zum Telefonieren hat man dann eine Einheit, die nur aus dem Audioteil (Mikro/Lautsprecher/Verstärker), einer Verschlüsselungseinheit und einer Bluetooth-Einheit besteht. Quasi eine verschlüsselnde Freisprecheinrichtung bzw. ein Headset. Dieses Teil koppelt man dann an eine gewöhnliches Smartphone mit dem man ganz normal Verbindungen aufbaut. Nur dass in diesem Fall das Smartphone von vorneherein ausschließlich verschlüsselten Input bekommt und quasi nur als Übertragungsmodem benutzt wird.


    Ähnlich kann man auch mit Messengern verfahren: man erweitert eine externe Eingabeeinheit (z.B. Tastatur) um Verschlüsselungsfunktionen und schon gelangen nur noch verschlüsselte Infos in das Smartphone. Der Empfänger braucht nun noch einen externen Betrachter mit Entschlüsselungseinheit, damit er die empfangenen Infos nicht auf dem unsicheren Smartphone entschlüsseln muss, sondern auf einem Endgerät, das er unter Kontrolle hat.

    Sowas kann man z.B. mit einem Einplatinenrechner wie einem Raspi realisieren, da gibt es auch "Tablet Kits" mit Touchscreen.


    Grüsse

    Tom

    Lange Rede, kurzer Sinn:

    Es ist für jeden (oder jede Gruppe), der es anstrebt, möglich eine verschlüsselte Kommunikation zu organisieren, die an den behördlichen Zweitschlüsseln vorbei gehen wird. Diejenigen, die man vorgibt damit kriegen zu wollen, wissen das auch und haben ihre eigenen Experten dafür. Alle anderen "haben ja nichts zu verbergen", und leben weiter mit dem Wissen das immer jemand mitlesen kann.

    Was mir an Fachwissen und Intelligenz fehlt mach ich mit (hier könnte ihr Produkt stehen) wieder weg.

    lutra incognita aus DE B/BB

    Daher werden ja auch über Injection-Proxies lukrative Ziele fernverwanzt und überwacht. Wozu die Verschlüsselung brechen, wenn man sie schön in XML aufbereitbar per Express mit den restlichen Daten bekommt?


    Sobald man der Maschine nicht mehr trauen kann, ist jede Sicherheit dahin. Das ist das Restrisiko. Je komplexer die Maschine, je mehr Ansatzpunkte hat man ja.


    Daher fand ich es sehr witzig, als Freaks mit einem C64 Webseiten aufgemacht haben. Oder die Nutzung eines Textbrowsers unter FreeDOS auf einem primitiven System.


    Auch dass manche Behörde wieder Schreibmaschinen bestellt hat. :)

    -<[ Nunquam-Non-Paratus ]>-

    Zitat von tomduly

    Das bedeutet noch nicht, dass es dadurch sicher ist.

    Natürlich nicht. Sicher kann eine App im Grunde machen was sie will, solange sie die Berechtigung dafür hat. Das ist der Punkt, an dem man einer Sache (also einem Code) vertraut oder nicht.


    Da sind aber gleich mehrere grundsätzliche Probleme der IT im Spiel. Im Grunde sind auch einfachste digitale Geräte mittlerweile so dermaßen komplex und voller zusammen gestöppselter Komponeten die niemand wirklich kennt, dass selbst Fachleute nur noch bedingt durchblicken. Wobei man forensisch auch von außen Vieles feststellen kann. Vorausgesetzt, das Interesse daran ist groß genug, dass zum Beispiel der CCC sich an ein Thema setzt und es untersucht.


    Letztendlich hilft da nur Transparenz. So wie Threema das eben damals mit dem Audit in Zusammenarbeit mit heise gemacht hat. Übrigens soll Threema ja Open Source werden. Das wäre dann die ultimative Transparenz. Sicher muss ich dann immer noch denen vertrauen die den Code untersuchen.

    I feel a disturbance in the force...

    Hier nochmal die DPA Meldung von heute dazu....

    So wie es aussieht ist ist der Drops schon gelutscht,alles nur noch Formsache.


    Mir drängt sich da unbedingt die Frage nach der Sinnhaftigkeit auf. Wenn schon mit den jetzt zur Verfügung stehenden Mitteln die Behörden überfordert sind - was soll das dann bringen ?
    Es wird ja nichtmal ernsthaft weiterverfolgt wenn Warnungen durch ausländische Behörden eingehen,alles erstickt im Bürokratiedschungel !

    Treffen wirds wieder nur Hans Wurst,Hein Mück und Otto Normal.


    Zitat DPA :


    Ein Bericht erregt Aufsehen, wonach die EU im Hauruckverfahren ein Verbot sicherer Verschlüsselung für Messenger-Dienste durchsetzen will.
    Laut Bundesinnenministerium will man aber nur mit den Anbietern nach Lösungen suchen, die möglichst wenig in die Verschlüsselungssysteme
    eingreifen.

    Laut dem ORF-Radiosender FM4 dient der Terroranschlag in Wien im EU-Ministerrat als Vorwand, um ein Verbot sicherer Verschlüsselung
    für Whatsapp, Telegram und andere Messenger-Dienste im Eilverfahren durchzudrücken. Dies gehe aus einem mit 6. November datierten
    internen Dokument der deutschen Ratspräsidentschaft an die Delegationen der Mitgliedsstaaten im Rat hervor, das dem ORF vorliege.
    Der Beschluss sei bereits so weit fortgeschritten, dass er in der Videotagung der Innen- und Justizminister Anfang Dezember ohne
    weitere Diskussion verabschiedet werden könne, berichtet FM4.

    Tatsächlich hatte die deutsche EU-Ratspräsidentschaft im Auftrag der EU-Staaten einen Resolutionsentwurf zum Umgang mit Verschlüsselung
    ausgearbeitet, bestätigt das Bundesinnenministerium. Ziel sei jedoch zunächst nur ein "dauerhafter Dialog mit der Industrie" über
    Lösungsvorschläge, die "einen möglichst geringen Eingriff in die Verschlüsselungssysteme darstellen". Der Resolutionsentwurf enthalte
    keine Lösungsvorschläge oder Forderungen nach Schwächung von Verschlüsselungssystemen.

    Unionsfraktionschef Ralph Brinkhaus (CDU) geht das nicht weit genug. Er verlangt mit drastischen Worten mehr Ermittlerbefugnisse.
    "Die Sicherheitsbehörden müssen schnellstmöglich alle verfügbaren Mittel an die Hand bekommen, um menschliche Sprengsätze rechtzeitig
    zu entschärfen", sagt er. Das im Kabinett beschlossene Verfassungsschutzgesetz müsse schnell in den Bundestag, "damit unsere
    Ermittler diese verschlüsselte Kommunikation auswerten können".

    "Die islamistischen Anschläge und Morde in Dresden, Nizza und Wien rufen uns leider wieder ins Gedächtnis, wie angespannt die
    Sicherheitslage ist", sagt Brinkhaus. Derzeit zählten die deutschen Nachrichtendienste rund 620 islamistische Gefährder.
    "Das ist erschreckend, und das ist nichts, was wir einfach hinnehmen dürfen." Als Gefährder bezeichnen die Behörden Menschen,
    denen sie politisch motivierte Gewalttaten bis hin zu einem Terroranschlag zutrauen.

    Die FDP-Europapolitikerin Nicola Beer warnt vor schnellen Rezepten gegen den Terror und zählt dazu auch die Debatte über das mögliche
    Verschlüsselungsverbot. "Die Maßnahme wäre ein Irrtum", sagt die Vizepräsidentin des Europaparlaments. "Die Ende-zu-Ende-Verschlüsselung
    ist in einer digitalen Welt Kern geschützter Kommunikation zwischen Bürgern, die wir nicht leichtfertig aufbrechen dürfen."
    Terroristen würden sich nach einem Verbot andere Wege suchen, etwa getarnt über Videospiele.

    Beer fordert stattdessen einen besser abgestimmten Zugriff der Fahnder auf Daten der Polizeibehörde Europol, eine besser
    ausgestattete Polizei und Justiz sowie ein konsequentes Vorgehen gegen die ausländische Finanzierung "religiös getarnter
    extremistischer Aktivitäten". Muslimische Religionslehrer seien in Europa auszubilden. Extremistisch auffällige Personen
    müssten erfasst und abgeschoben werden, sagt Beer.

    Aus dem Norden von DE bzw. dem Süden von ES gesendet

    Die Aussage hat sich doch garnicht verändert:

    "verschlüsselt ruhig, aber gebt uns einen eigenen Zugangsschlüssel für alles! Wir wollen auch gar nicht stören, nur mitlesen falls es uns interessiert."

    Was mir an Fachwissen und Intelligenz fehlt mach ich mit (hier könnte ihr Produkt stehen) wieder weg.

    lutra incognita aus DE B/BB