Weil Windows ein kaputtes Rechtemanagement hat und sich gezeigt hat, dass Windows nahezu zahllose Sicherheitslücken, teilweise seit Win 95 mit sich herum schleppt (obwohl immer wieder behauptet wird "alles neu"). Also entweder stimmt die "alles neu"-Behauptung nicht oder die Sicherheitslücken werden jedes mal bewusst wieder implementiert, weil es z.T. immer die gleiche Sicherheitslücken sind.
VM: "Anonyme Festung" aufbauen - Sicher im Netz u. lokal
- Ersteller orion94
- Erstellt am
Das solltest du vielleicht mal näher erläutern. Kaputtes Rechtemanagement? Weil bis XP der WinDAUs-User grundsätzlich immer mit Administratorrechten arbeiten konnte? Darüber könnte man noch diskutieren. Dass hier die Rechteverwaltung von Linux besser, weil potentiell sicherer ist bzw. war, könnte man dann evtl. so stehen lassen.
Sicherheitslücken seit Win9x? Welche sollten das sein? Mit Sicherheitslücken meinen wir dann hoffentlich nicht wieder das Rechtemanagement. Das wäre sonst nämlich doppelt gemoppelt.
Warum hat hier eigentlich noch niemand
You do not have permission to view link please Anmelden or Registrieren
erwähnt? Das ist genau für diesen Zweck gemacht worden. Es wurde (und wird vermutlich noch immer) u.a. von Snowden, Greenwald und Appelbaum benutzt.
Zuletzt bearbeitet:
G
gelöschter Benutzer
Guest
Tails ist für Noobs.
- Registriert
- 14 Juli 2013
- Beiträge
- 6.260
Gegenüber Windows Vista wurde die Benutzerkontensteuerung in Windows 7 verschlechtert. In der Standard-Stufe werden anhand einer "Heuristik" (oder wie das intern auch immer geregelt wird) Meldungen unterdrückt, da die Anwender "genervt und überfordert" mit der UAC waren.
You do not have permission to view link please Anmelden or Registrieren
haben gezeigt, dass die Benutzerkontensteuerung durch die unterdrückten Meldungen als nicht sicher einzustufen ist - auch wenn die News schon einige Zeit alt ist, das Grundproblem bleibt. Daher ist zwar die UAC schon ein Fortschritt gegenüber Windows XP, aber trotzdem in der Standardeinstellung nicht sicher. Ansonsten verweise ich auch immer gerne auf:
You do not have permission to view link please Anmelden or Registrieren
Auch ein recht schönes Beispiel ist JScript, das Microsoft-eigene Javascript-Äquivalent im IE. Während bei der Entwicklung von Javascript tunlichst darauf geachtet wurde, dass Javascript keinen Zugriff auf die Festplatte hat, bekommt JScript in Verbindung mit ActiveX Zugriff auf die Festplatte. Damit sind zwar im IE ein paar interessante Zusatzfunktionen möglich, alledings birgt der Festplattenzugriff auch erhebliche Risiken. Ab dem IE7 werden zwar "fremde" ActiveX-Steuerelemente automatisch blockiert, das grundsätzlich fragwüdige Konzept ist aber bis heute vorhanden.
Grüße
Thomas
Schlagwort
Das ist nur eine der Sicherheitslücken, die sich durch diverse Windows Versionen zieht. Es gibt definitiv einige mehr, die sich vielleicht nicht komplett durch ziehen, aber zumindest durch einige Versionen.
Das Rechtemanagement ist deshalb kaputt, weil es keinen wirklichen Schutz bietet, in vielen Fällen sorgt es nur für noch mehr Fehlverhalten, als es verhindert.
Benutzer unter Windows 95-2000/NT: 95 hatte damals afaik überhaupt keine Accounts unterstützt. Unter 98 konnte man sich mit "Abbrechen" ebenfalls einloggen, mit vollem Zugriff auf alles natürlich. Unter Windows 2000 wurde dieser Fehler dann pseudo-gefixt. Ist man dann über die Hilfe zum Drucken-Menu gegangen, wurde man ebenfalls automatisch und ohne Eingabe eines Kennworts eingeloggt. - Herzlichen Glückwunsch.
Windows XP: Hier wurde default ein Administrator-Account ohne Passwort angelegt. Strg+Alt+(2xEntf), Benutzername Administrator, kein Passwort und schon war man als solcher eingeloggt.
Windows Vista war dermaßen zugekleistert mit Bestätigungsdialogen, dass man nach ca 3 Tagen ohnehin ausnahmslos jede Meldung mit Ja und Okay bestätigt hat, ohne sie gelesen zu haben. Ist natürlich schön, wenn ich für alles Administratorrechte und Bestätigungen brauche, aber wenn diese blind erteilt wird, dann nützt der beste Schutz nichts.
Windows 7: Geschützte Systemdateien - Einige Systemdateien wurden speziell geschützt, so dass auch kein Administrator Änderungen daran durchführen konnte - eigentlich. Das hat zumindest der Explorer verhindert, denn über eine root-Konsole (Eingabeaufforderung mit Adminrechten) konnte man die Dateien einfach auf einen beliebigen Benutzer umschreiben lassen und dieser konnte ab dann natürlich darüber verfügen. Normalerweise sollte das nicht möglich sein. Natürlich könnte man jetzt sagen, dass Linux dieses Feature ebenfalls mitbringt, als root kannst du jede Datei, auch von anderen Nutzern "übernehmen", allerdings ist das wohl bewusst konzeptioniert. Unter Windows war die Idee eigentlich, dass auch ein Administrator nicht an die Dateien kommen sollte.
Das ist nur eine Auswahl an Lücken bzw. Fehlern im Rechtemanagement von Windows. Wenn du google bemühst und dich ein bisschen informierst, dann wirst du sehen, dass es sehr viele weitere gibt. Ich wollte einfach mal zumindest für die bisherigen Systeme immer mal ein Beispiel nennen. Für Windows 8 / 8.1 sind mir tatsächlich keine derartigen Lücken bekannt, noch nicht. Ob das nun daran liegt, dass Windows 8 perfekt ist oder einfach daran, dass ich weder Interesse noch Zeit dafür habe und dass es Windows 8 noch nicht lange genug gibt, dass derartige Fehler aufgefallen sind, kann ich dir nicht sagen.
You do not have permission to view link please Anmelden or Registrieren
:Das ist nur eine der Sicherheitslücken, die sich durch diverse Windows Versionen zieht. Es gibt definitiv einige mehr, die sich vielleicht nicht komplett durch ziehen, aber zumindest durch einige Versionen.
Das Rechtemanagement ist deshalb kaputt, weil es keinen wirklichen Schutz bietet, in vielen Fällen sorgt es nur für noch mehr Fehlverhalten, als es verhindert.
Benutzer unter Windows 95-2000/NT: 95 hatte damals afaik überhaupt keine Accounts unterstützt. Unter 98 konnte man sich mit "Abbrechen" ebenfalls einloggen, mit vollem Zugriff auf alles natürlich. Unter Windows 2000 wurde dieser Fehler dann pseudo-gefixt. Ist man dann über die Hilfe zum Drucken-Menu gegangen, wurde man ebenfalls automatisch und ohne Eingabe eines Kennworts eingeloggt. - Herzlichen Glückwunsch.
Windows XP: Hier wurde default ein Administrator-Account ohne Passwort angelegt. Strg+Alt+(2xEntf), Benutzername Administrator, kein Passwort und schon war man als solcher eingeloggt.
Windows Vista war dermaßen zugekleistert mit Bestätigungsdialogen, dass man nach ca 3 Tagen ohnehin ausnahmslos jede Meldung mit Ja und Okay bestätigt hat, ohne sie gelesen zu haben. Ist natürlich schön, wenn ich für alles Administratorrechte und Bestätigungen brauche, aber wenn diese blind erteilt wird, dann nützt der beste Schutz nichts.
Windows 7: Geschützte Systemdateien - Einige Systemdateien wurden speziell geschützt, so dass auch kein Administrator Änderungen daran durchführen konnte - eigentlich. Das hat zumindest der Explorer verhindert, denn über eine root-Konsole (Eingabeaufforderung mit Adminrechten) konnte man die Dateien einfach auf einen beliebigen Benutzer umschreiben lassen und dieser konnte ab dann natürlich darüber verfügen. Normalerweise sollte das nicht möglich sein. Natürlich könnte man jetzt sagen, dass Linux dieses Feature ebenfalls mitbringt, als root kannst du jede Datei, auch von anderen Nutzern "übernehmen", allerdings ist das wohl bewusst konzeptioniert. Unter Windows war die Idee eigentlich, dass auch ein Administrator nicht an die Dateien kommen sollte.
Das ist nur eine Auswahl an Lücken bzw. Fehlern im Rechtemanagement von Windows. Wenn du google bemühst und dich ein bisschen informierst, dann wirst du sehen, dass es sehr viele weitere gibt. Ich wollte einfach mal zumindest für die bisherigen Systeme immer mal ein Beispiel nennen. Für Windows 8 / 8.1 sind mir tatsächlich keine derartigen Lücken bekannt, noch nicht. Ob das nun daran liegt, dass Windows 8 perfekt ist oder einfach daran, dass ich weder Interesse noch Zeit dafür habe und dass es Windows 8 noch nicht lange genug gibt, dass derartige Fehler aufgefallen sind, kann ich dir nicht sagen.
sorry aber das hier genannte ist alles mehr als bloedsinnig und wird dem Thread Ersteller keine Sekunde vor irgendeiner Art von Represalien durch Behörden schützen falls er zum Problemfall wird.
Machen wir das doch mal einfach an nur EINEM Faktor fest, nehmen wir mal den Provider:
Hier scheint jeder davon auszugehen das der eigene Provider im eigenen Team spielt, dem ist aber bei weitem nicht so.
Was koennte hier den Fakt sein:
- Der Provider gibt WISSENTLICH Daten an die Behörden weiter
- Der Provider gibt WISSENTLICH Daten an die Behörden weiter, darf aber durch NSL Letter nichts sagen
- Der Provider gibt unwissentlich Daten weiter ( Spitzel in den eigenen Reihen )
- Der Provider gibt unwissentlich Daten weiter ( Knotenpunkt / Software Exploited )
- Der Provider gibt unwissentlich Daten weiter weil Hardware wie Cable Modems, Verteiler im Keller, Verteiler auf der Straße
von Behörden manipuliert werden.
Alleine dagegen kann hier NIEMAND irgendwas nennenswertes unternehmen, gar nichts.
Ohh ich hoere Sie schon von weitem, " Ich crypte alles mit TC, die koennen mir nix ".
Das sind die selben Vollidioten die ich all abendlich bei Aktenzeichen XY sehe: Riesen Safe im Haus, 30 Schlösser, 15 verschiedene Sicherheitssysteme am Safe aber wenn der böse Pursche mit der Knarre da steht und Druck ausuebt, Knarre am Kopf, Knarre am Kopf der Frau, Knarre am Kopf der Kinder, ja dann ist`s schnell rum mit dem heroischen - so siehts doch auch in diesem Fall aus. Wenn da die Staatsmacht mit 2-x Wochen beugehaft droht will ich mal sehen wie die ganze " Was wird wohl der Nachbar denken" Gemeinde reagiert.
Ach Gott, ich waere auch gern wieder so kindisch, aber wenn der Vorhang einmal weg ist....
Machen wir das doch mal einfach an nur EINEM Faktor fest, nehmen wir mal den Provider:
Hier scheint jeder davon auszugehen das der eigene Provider im eigenen Team spielt, dem ist aber bei weitem nicht so.
Was koennte hier den Fakt sein:
- Der Provider gibt WISSENTLICH Daten an die Behörden weiter
- Der Provider gibt WISSENTLICH Daten an die Behörden weiter, darf aber durch NSL Letter nichts sagen
- Der Provider gibt unwissentlich Daten weiter ( Spitzel in den eigenen Reihen )
- Der Provider gibt unwissentlich Daten weiter ( Knotenpunkt / Software Exploited )
- Der Provider gibt unwissentlich Daten weiter weil Hardware wie Cable Modems, Verteiler im Keller, Verteiler auf der Straße
von Behörden manipuliert werden.
Alleine dagegen kann hier NIEMAND irgendwas nennenswertes unternehmen, gar nichts.
Ohh ich hoere Sie schon von weitem, " Ich crypte alles mit TC, die koennen mir nix ".
Das sind die selben Vollidioten die ich all abendlich bei Aktenzeichen XY sehe: Riesen Safe im Haus, 30 Schlösser, 15 verschiedene Sicherheitssysteme am Safe aber wenn der böse Pursche mit der Knarre da steht und Druck ausuebt, Knarre am Kopf, Knarre am Kopf der Frau, Knarre am Kopf der Kinder, ja dann ist`s schnell rum mit dem heroischen - so siehts doch auch in diesem Fall aus. Wenn da die Staatsmacht mit 2-x Wochen beugehaft droht will ich mal sehen wie die ganze " Was wird wohl der Nachbar denken" Gemeinde reagiert.
Ach Gott, ich waere auch gern wieder so kindisch, aber wenn der Vorhang einmal weg ist....
N
nik
Guest
You do not have permission to view link please Anmelden or Registrieren
Und was soll der Provider melden, wenn er nur die verschlüsselte Verbindung zwischen einem Kunden und einem VPN-Anbieter sieht?
G
gelöschter Benutzer
Guest
You do not have permission to view link please Anmelden or Registrieren
deswegen nehmen ja auch nur Noobs TrueCrypt, die richtigen Profis setzen ein zweites und ein drittes LUKS-Passwort. Das erste entschlüsselt die Daten normal, das zweite entschlüsselt nur "harmlose" Daten und das Dritte entschlüsselt nur harmlose Daten und löscht die kritischen.Zum Beispiel so:
You do not have permission to view link please Anmelden or Registrieren
Ganz davon abgesehen, dass man seine Urlaubsvideos nicht verschlüsseln muss, weil das die Behörden i.d.R. einen Dreck interessiert.
TBow
The REAL Cheshire Cat
- Registriert
- 15 Juli 2013
- Beiträge
- 4.252
So, so, kindisch sein, aber im Vorgängersatz uns was von Beugehaft erzählen.
Ich weiss jetzt schon das ich es bereuen werde: Was soll daran denn kindisch sein ?So, so, kindisch sein, aber im Vorgängersatz uns was von Beugehaft erzählen.
TBow
The REAL Cheshire Cat
- Registriert
- 15 Juli 2013
- Beiträge
- 4.252
Re: VM: "Anonyme Festung" aufbauen - Sicher im Netz u. lokal
Für Beschuldigte gibts gar keine Beugehaft.
Wenn du anderen kindisches Verhalten unterstellst, dann solltest du zumindest selbst in deinen Ausführungen auf Vollständigkeit und Richtigkeit achten.
--- [2014-04-27 11:58 CEST] Automatisch zusammengeführter Beitrag ---
Für Beschuldigte gibts gar keine Beugehaft.
Wenn du anderen kindisches Verhalten unterstellst, dann solltest du zumindest selbst in deinen Ausführungen auf Vollstädnigkeit und Richtigkeit achten.
Schalt mal nen Gang runter, Begründe deine Einwände, ohne gleich unterstellend zu werden, und schon haben wir eine zielführende Diskussion.
"Beugehaft" gibts nur für Zeugen, die kein Verweigerungsrecht haben. Ein "Ich verweigere die Herausgabe von Daten, da ich mich damit möglicherweise selbst belasten könnte" reicht schon aus. Siehe § 55 StPO.
Für Beschuldigte gibts gar keine Beugehaft.
Wenn du anderen kindisches Verhalten unterstellst, dann solltest du zumindest selbst in deinen Ausführungen auf Vollständigkeit und Richtigkeit achten.
--- [2014-04-27 11:58 CEST] Automatisch zusammengeführter Beitrag ---
"Beugehaft" gibts nur für Zeugen, die kein Verweigerungsrecht haben. Ein "Ich verweigere die Herausgabe von Daten, da ich mich damit möglicherweise selbst belasten könnte" reicht schon aus. Siehe § 55 StPO.
Für Beschuldigte gibts gar keine Beugehaft.
Wenn du anderen kindisches Verhalten unterstellst, dann solltest du zumindest selbst in deinen Ausführungen auf Vollstädnigkeit und Richtigkeit achten.
Schalt mal nen Gang runter, Begründe deine Einwände, ohne gleich unterstellend zu werden, und schon haben wir eine zielführende Diskussion.
mathmos
404
- Registriert
- 14 Juli 2013
- Beiträge
- 4.412
Unter TrueCrypt wird das mit hidden Volumes gelöst (
You do not have permission to view link please Anmelden or Registrieren
bzw.
You do not have permission to view link please Anmelden or Registrieren
) Es werde nur die Keyslots gelöscht. Davon abgesehen finde ich so eine Funktion recht sinnlos dafür aber ziemlich gefährlich. Ich erwische mich auch des öfteren, dass ich das Passwort B für die mit EncFS verschlüsselten Daten A eingebe.
Richtig, allerding sieht der Provider bei einer A -> VPN -> B Verbindung lediglich den A -> VPN Teil und das ausgetauschte, verschlüsselte Datenpaket ist Müll.
Also, was bringt es denn einer Behörde oder dem Provider?
Wo bist du denn aufgewachsen? In Deutschland hält dir niemand eine Knarre an den Kopf, nur weil du erzählst, wie korrupt unsere Regierung ist. Wir sind weder in einer Diktatur, noch im wilden Westen.
Re: VM: "Anonyme Festung" aufbauen - Sicher im Netz u. lokal
Hahaha, ich werf mich in die Ecke. Sprich mal mit Technikern die an den Knoten arbeiten, erzaehle denen genau diesen Satz und warte auf deren reaktion, ich sags mal so: sie wird dich NICHT erfreuen. Es hat schon seinen Grund warum z.b. der BND seine Knoten mit EIGENER Hardware und EIGENEN Protokollen sichert und sich nicht auf Hardware/Protokolle anderer verlaesst. Ich sags mal so: Eine der meistverkauften Apps auf Android basis war bis vor kurzem ein Antivirus Proggy welches genau GAR NICHTS gemacht hat ausser ein " Anti Virus Scan...10%...20%...30% done - Your System is Clean" anzuzeigen, rein faktisch hat das Tool NICHTS gemacht, keinen Scan, nichts. Die gleiche Illusion laeuft mit all den ach so tollen pay-vpns. Glaubst Du denn im ERNST das Behörden die andere Botschaften mit eigener Infrastruktur ausspionieren stehen bleiben und sagen:
"Oh shit, AccC nutzt auf seinem Mainstream System, einen Mainstream VPN Provider, Mist, da koennen wir ja jetzt nichts machen, was fuer ein Held"
Achja ? Ich glaube der sieht das anders:
Schon mal 2 Wochen in Uhaft gesessen ? Das kommt einem sehr viel schlimmer vor als " Ne waffe an den Kopf halten".
Btw, es braucht nur jemand anzunehmen (!) bzw den verdacht zu aeussern das eine gefahr xyz im raum steht und zack hast du die verbale knarre am kopf, aber was der bauer nicht kennt frisst er nicht...oder so.
traeum schoen weiter von der vpn, tc welt - die realitaet sieht leider anders aus.
--- [2014-04-27 14:17 CEST] Automatisch zusammengeführter Beitrag ---
Note an mich selbst: Analogie Knarre am Kopf der Frau/Kinder um Code fuer den Safe heraus zu geben zu Beugehaft ist wohl doch fuer manch einen zu Komplex.
Hahaha, ich werf mich in die Ecke. Sprich mal mit Technikern die an den Knoten arbeiten, erzaehle denen genau diesen Satz und warte auf deren reaktion, ich sags mal so: sie wird dich NICHT erfreuen. Es hat schon seinen Grund warum z.b. der BND seine Knoten mit EIGENER Hardware und EIGENEN Protokollen sichert und sich nicht auf Hardware/Protokolle anderer verlaesst. Ich sags mal so: Eine der meistverkauften Apps auf Android basis war bis vor kurzem ein Antivirus Proggy welches genau GAR NICHTS gemacht hat ausser ein " Anti Virus Scan...10%...20%...30% done - Your System is Clean" anzuzeigen, rein faktisch hat das Tool NICHTS gemacht, keinen Scan, nichts. Die gleiche Illusion laeuft mit all den ach so tollen pay-vpns. Glaubst Du denn im ERNST das Behörden die andere Botschaften mit eigener Infrastruktur ausspionieren stehen bleiben und sagen:
"Oh shit, AccC nutzt auf seinem Mainstream System, einen Mainstream VPN Provider, Mist, da koennen wir ja jetzt nichts machen, was fuer ein Held"
Achja ? Ich glaube der sieht das anders:
You do not have permission to view link please Anmelden or Registrieren
Schon mal 2 Wochen in Uhaft gesessen ? Das kommt einem sehr viel schlimmer vor als " Ne waffe an den Kopf halten".
Btw, es braucht nur jemand anzunehmen (!) bzw den verdacht zu aeussern das eine gefahr xyz im raum steht und zack hast du die verbale knarre am kopf, aber was der bauer nicht kennt frisst er nicht...oder so.
traeum schoen weiter von der vpn, tc welt - die realitaet sieht leider anders aus.
--- [2014-04-27 14:17 CEST] Automatisch zusammengeführter Beitrag ---
Note an mich selbst: Analogie Knarre am Kopf der Frau/Kinder um Code fuer den Safe heraus zu geben zu Beugehaft ist wohl doch fuer manch einen zu Komplex.
Re: VM: "Anonyme Festung" aufbauen - Sicher im Netz u. lokal
Was hat das mit VPN zu tun?
Welche Illusion denn? Bei der Anti-Virus-App ging gar nichts, beim VPN kann ich es ja überprüfen. Und bisher haben meine immer funktioniert. Ich kreg eine verschlüsselte Verbindung mit einem anderen Server und kann damit ins Internet gehen. Ziel erreicht.
Natürlich nicht, nur was wollen die mit verschlüsseltem Datenmüll? Die können zwar zum VPN-Provider gehen, wenn die aber nichts loggen, bringt das denen herzlich wenig.
Was hat das mit VPN zu tun?
Welche Illusion denn? Bei der Anti-Virus-App ging gar nichts, beim VPN kann ich es ja überprüfen. Und bisher haben meine immer funktioniert. Ich kreg eine verschlüsselte Verbindung mit einem anderen Server und kann damit ins Internet gehen. Ziel erreicht.
Natürlich nicht, nur was wollen die mit verschlüsseltem Datenmüll? Die können zwar zum VPN-Provider gehen, wenn die aber nichts loggen, bringt das denen herzlich wenig.
Kugelfisch
Nerd
Man könnte mit etwas Aufwand (Debug-Level erhöhen, Datenverkehr mitschneiden und ggf. Session-Keys aus dem Speicher des VPN-Dienstes auslesen) sogar verifizieren, dass die übertragenen Daten tatsächlich verschlüsselt werden und dass dazu starke Kryptografie verwendet wird. Nach heutigen Erkenntnissen gilt das sowohl für OpenVPN als auch für IPSec bei Verwendung starker Cipher-Suites, nicht aber für PPTP, weil die dort verwendete MPPE-MSCHAPv2-Ciphersuite unsicher ist.
Natürlich wäre denkbar, Schwachstellen auszunutzen, um auch beim Einsatz starker Kryptografie an das Schlüsselmaterial zu gelangen oder die Daten direkt durch Malware auf dem Client oder dem VPN-Endpunkt abzugreifen. Beides dürfte aber für Behörden im Rahmen der legalen Ermittlungsmassnahmen nicht möglich sein, und auch andere Dritte werden kaum Zero-Day-Exploits verschwenden, um vergleichsweise uninteressante VPN-Verbindungen mitzulesen. Der naheliegendere Ansatz wäre, den VPN-Anbieter zur Kooperation zu überzeugen (etwa durch Anbieten einer Gegenleistung) oder zu zwingen.
Natürlich wäre denkbar, Schwachstellen auszunutzen, um auch beim Einsatz starker Kryptografie an das Schlüsselmaterial zu gelangen oder die Daten direkt durch Malware auf dem Client oder dem VPN-Endpunkt abzugreifen. Beides dürfte aber für Behörden im Rahmen der legalen Ermittlungsmassnahmen nicht möglich sein, und auch andere Dritte werden kaum Zero-Day-Exploits verschwenden, um vergleichsweise uninteressante VPN-Verbindungen mitzulesen. Der naheliegendere Ansatz wäre, den VPN-Anbieter zur Kooperation zu überzeugen (etwa durch Anbieten einer Gegenleistung) oder zu zwingen.
Re: VM: "Anonyme Festung" aufbauen - Sicher im Netz u. lokal
VPNs sind genau dazu entworfen sicheren Datenaustausch auf einem potentiell unsicheren Netz zu realisieren.
Da können deine Provider und Knotenpunktbetreiber und NSA, BKA, BND, Mossad und notfalls auch deine Mama machen, was sie wollen, die können die übertragenen Bytes einzeln lesen und es wird ihnen leider genau nichts bringen. Die Annahme ist natürlich, dass die Crypto funktioniert.
Dass "Virenschutz" mehr Schein als Sein ist, ob jetzt wirklich etwas passiert oder ob nur "System clean" angezeigt wird, spielt keine Rolle. Etwas anderes habe ich aber auch nie behauptet. Es gibt eben Sicherheit und Sicherheitsgefühl und gefühlte Sicherheit und nicht alles ist immer gleich. Einen insbesondere closed source kommerziellen Virenscanner im Androidstore, der von 1000 Idioten geladen wird, kannst du kaum mit quelloffener Software vergleichen, die milliardenfach in den sensibelsten Bereichen zum Einsatz kommt. Natürlich kann es immer mal Schwachstellen geben und wahrscheinlich gibt es sogar unter den VPN-Software-Entwicklern schwarze Schafe.
Aber das lässt sich nun mal nicht vermeiden und deshalb nimmt man ja nicht irgendwelche closed-source Software vom Osterhasen, sondern eine, die aktiv genutzt, entwickelt und stets auf Sicherheit getestet wird..
Und was genau möchtest du damit jetzt "beweisen"?
VPNs sind genau dazu entworfen sicheren Datenaustausch auf einem potentiell unsicheren Netz zu realisieren.
Da können deine Provider und Knotenpunktbetreiber und NSA, BKA, BND, Mossad und notfalls auch deine Mama machen, was sie wollen, die können die übertragenen Bytes einzeln lesen und es wird ihnen leider genau nichts bringen. Die Annahme ist natürlich, dass die Crypto funktioniert.
Ich sags mal so, in meiner Küche tropft seit 2 Tagen der Wasserhahn und in China ist ein Sack Reis umgefallen, das mögen beides tragische, weltbewegende Ereignisse sein, die bei jedem Naturschützer apokalyptische Gedanken hervorrufen, haben aber genauso viel mit verschlüsselten Verbindungen im Netz zu tun, wie dein Fake-Virenscanner.
Dass "Virenschutz" mehr Schein als Sein ist, ob jetzt wirklich etwas passiert oder ob nur "System clean" angezeigt wird, spielt keine Rolle. Etwas anderes habe ich aber auch nie behauptet. Es gibt eben Sicherheit und Sicherheitsgefühl und gefühlte Sicherheit und nicht alles ist immer gleich. Einen insbesondere closed source kommerziellen Virenscanner im Androidstore, der von 1000 Idioten geladen wird, kannst du kaum mit quelloffener Software vergleichen, die milliardenfach in den sensibelsten Bereichen zum Einsatz kommt. Natürlich kann es immer mal Schwachstellen geben und wahrscheinlich gibt es sogar unter den VPN-Software-Entwicklern schwarze Schafe.
Aber das lässt sich nun mal nicht vermeiden und deshalb nimmt man ja nicht irgendwelche closed-source Software vom Osterhasen, sondern eine, die aktiv genutzt, entwickelt und stets auf Sicherheit getestet wird..
Vielleicht könntest du auch das Niveau anheben und mit einer sauberen Argumentation kommen. Wenn du so viel weißt, dann schildere hier doch mal ein Angriffsszenario auf eine über ein VPN abgewickelte und verschlüsselte Verbindung.
Kleiner Reality Check:
Jeder Microsoft Thread Management Gateway kann mittels 2 clicks in JEDE art von crypto reinschauen OHNE das der User IRGENDWAS davon mitbekommt und das seit 2009.
Solange Du irgedjemandes Infrastruktur nutzt ist Du im Arsch.
Das was Du da phantasierst ja vorzueglich bei OPENssl funktioniert, NICHT. Open Source ist business technisch gesehen komplett vor dem AUS. Niemand stellt sich mehr freiwillig irgendeine gefummelte Linux Schuessel in sein Netzwerk wenn er nicht unbedingt muss. Das hat zum einen was mit verschiedenen Rechtlichen vorgaben zu tun zum anderen will man sich nicht an linux nerds binden etc etc - kurz: open source ist bald weg vom fenster, zumindest business seitig.
DU koenntest erstmal versuchen DEIN Niveau auf den aktuellen Stand der Dinge zu "heben".
Habe mal ein paar kleine Screens von unserem alten System angehaengt, exakt mit der gleichen maßnahme nimmst Du mittels 2 clicks JEDE vpn verbindung auseinander. Da du dich ja berufen fuehlst anderen Usern bei Sicherheitsfragen zu helfen, wird es ja fuer dich ein leichtes sein heraus zu finden wie das im Detail funktioniert:
You do not have permission to view link please Anmelden or Registrieren
An die Option kann ich mich noch sehr gut erinnern:
You do not have permission to view link please Anmelden or Registrieren
Nochmal, wir sprechen hier von einem Mainstream Produkt, da gibt es aktuell ganz andere appliances fuer gar nicht mal viel geld ( $8500 - $9500 )
damit muss man nicht mal mehr basteln um vpn/ssl direkt auseinander zu schrauben.
Kugelfisch
Nerd
Das ist selbst abgesehen davon, dass das Produkt `Threat Gateway` heisst, nicht korrekt. Korrekt ist, dass Microsofts Forefront TMG (genau wie viele andere MitM-fähige Proxies auch) SSL-/TLS-Verbindungen über einen Man-in-the-Middle-Angriff überwachen kann. Allerdings muss der TMG dazu ein X.509-Zertifikat für den Common Name des Zielhosts ausstellen, welches der Client nur dann akzeptieren wird, wenn zuvor das Root-CA-Zertifikat des TMG importiert wurde. Andernfalls wird die Verbindung mit der Begründung, das Zertifikat stamme aus keiner vertrauenswürdigen Quelle, abgebrochen.
In üblichen Setups wird das TMG-Root-Zertifikat über die Domäne auf allen Clients verteilt und als vertrauenswürdig klassifiziert (vgl.
You do not have permission to view link please Anmelden or Registrieren
und
You do not have permission to view link please Anmelden or Registrieren
). Das funktioniert allerdings nur dann, wenn der Administrator auch über administrative Rechte auf allen Clients verfügt. Dann könnte er aber ohnehin sämtliche Aktivitäten direkt überwachen. In Unternehmen sind solche Setups durchaus üblich, im privaten Umfeld jedoch keineswegs (und dies ist das Szenario in diesem Thread).Eine Alternative wäre, dass eine `vertrauenswürdige` CA ein Sub-CA-Zertifikat ausstellt. Wenn allerdings bekannt würde, dass solch ein Zertifikat missbraucht würde, um Host-Zertifikate für fremde Domains auszustellen (was ein MitM-Proxy tut), müsste die CA das Zertifikat entweder widerrufen, oder würde riskieren, dass ihr Root-Zertifikat aus den Trust-Stores verbreiteter Browser und Betriebssysteme entfernt wird - siehe z.B.
You do not have permission to view link please Anmelden or Registrieren
Ausserdem funktioniert dieser Ansatz nicht ohne Weiteres bei Anwendungen, welche implizit oder explizit das Zertifikat und/oder den öffentlichen Schlüssel des Zielhosts speichern und warnen, wenn diese ausgetauscht werden (Certificate Pinning). Das ist z.B. bei SSH und OpenVPN (das CA-Zertifikat wird üblicherweise mit der Konfiguration weitergegeben) der Fall.
Unabhängig davon, dass ich das die Aussage in einer solch pauschalen Form bezweifle: Welcher Zusammenhang besteht zur Fragestellung in diesem Thread? Dass freie Software im Unternehmensumfeld eingesetzt werden sollte wurde nicht vorgeschlagen. Als privater Benutzer kann man die Software einsetzen, welche dem jeweiligen Anwendungsfall am besten entspricht. Für anonymisierende VPN zum privaten Gebrauch ist z.B. OpenVPN relativ weit verbreitet, während es im Unternehmensumfeld kaum benutzt wird.
Zuletzt bearbeitet: