• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Sicherheit Referenzsysteme (Raspberry Pie etc.)

mr_transistor

NGBler

Registriert
18 Okt. 2018
Beiträge
94
Ort
Berlin
Hi,

wisst Ihr, ob es zu häufigen Komplettsystemen Sicherheitsaudits gibt?

Also am Beispiel des Raspi:
das ist ja ein häufig verkaufter und global verbreiteter, sehr günstiger SoC
Ursprungsland GB == "5 Eyes Land".
Bei Cisco Routern und Überwachungskameras gab es ja schon diverse bekannte Fälle,
dass die ab Werk mit Backdoors ausgeliefert werden. Bei den Kameras wurden sie sogar unter
Herstellungspreis verkauft, damit sie sich besser verbreiteten als die Konkurrenzprodukte.

Hat sich da jemand schon mal angeschaut, ob beim Pi in der Hardware Komponenten drin sind, die nach Hause funken?

Beim 35C3 gab es einen lustigen Vortrag bezüglich Rootkit Erkennung.
Das Prinzip stark vereinfacht erklärt ist, dass man einen Diff des Traffics macht,
den das Betriebssystem vorgibt zu senden und was tatsächlich raus geht.
(Wenn ich es richtig verstanden habe, haben die NDIS Treiber geschrieben für den Betriebssystem Teil und
nutzen Tap Port am Switch für Vergleichswert.)

Zusammengefasst: Macht jemand solche Analysen für Referenzsysteme, wie den Raspi (aber auch andere Systeme mit starker Verbreitung
wie Odroid, Kindle Tablets, all-in-one PCs ...)?
Gibt es da Eurer Meinung nach juristische Hürden, das dann zu veröffentlichen?
 

dexter

Cloogshicer®
Teammitglied

Registriert
14 Juli 2013
Beiträge
5.306
Bei den Kameras wurden sie sogar unter
Herstellungspreis verkauft, damit sie sich besser verbreiteten als die Konkurrenzprodukte.
Ohne das schönreden zu wollen, aber bei DEN Kameras ging es besonders darum, die in sicherheitskritische Bereiche zu installieren. Da kann der Preis auch negativ sein, fällt dann eben mehr auf...

Der Raspi als Beispiel, nunja, den kann man zwar auch in sicherheitskritische Bereiche packen, aber der Kosten-Nutzen-Aufwand von $Geheimdienst oder sonstwem ist da doch erheblich schlechter als bei NSA-Cams im Bundestag.
 

miagob

gesperrt

Registriert
10 Jan. 2019
Beiträge
14
Als bei den IP Cams sind wohl weniger backdoors das problem. Eher das leute ihre cams in public net streamen lassen und dann auch noch default passwords benutzen und diese ab Werk nie geändert haben.

Würde ein Rpi iwo "hinfunken" dann würdest du das sehen:

$ lsof -i
$ ss -ntup
$ netstat -tunap
$ netstat -ntp
$ netstat -nup
$ netstat -tupac
$ netstat -tupan

mit einem grep pipe kannst du dann spezifizieren. Setz ein alias, dann kannst du immer schnell nach fremdem checken

Regelmässig updaten und vlt IDS/IPS einrichten:

snort
iptables
nmap malicious detection logs
rkhunter --check-all /
chkrootkit
clamav
tcpdump
tcpspy

und log files checken. Kannst auch timestamps kontrollieren lassen über "find"

/var/log/messages : General message and system related stuff
/var/log/auth.log : Authenication logs
/var/log/kern.log : Kernel logs
/var/log/cron.log : Crond logs (cron job)
/var/log/maillog : Mail server logs
/var/log/qmail/ : Qmail log directory (more files inside this directory)
/var/log/httpd/ : Apache access and error logs directory
/var/log/lighttpd/ : Lighttpd access and error logs directory
/var/log/boot.log : System boot log
/var/log/mysqld.log : MySQL database server log file
/var/log/secure or /var/log/auth.log : Authentication log
/var/log/utmp or /var/log/wtmp : Login records file
/var/log/yum.log : Yum command log file.
 
Zuletzt bearbeitet:

mr_transistor

NGBler

Registriert
18 Okt. 2018
Beiträge
94
Ort
Berlin
  • Thread Starter Thread Starter
  • #4
@dexter

Ohne das schönreden zu wollen, aber bei DEN Kameras ging es besonders darum, die in sicherheitskritische Bereiche zu installieren. Da kann der Preis auch negativ sein, fällt dann eben mehr auf...

Der Raspi als Beispiel, nunja, den kann man zwar auch in sicherheitskritische Bereiche packen, aber der Kosten-Nutzen-Aufwand von $Geheimdienst oder sonstwem ist da doch erheblich schlechter als bei NSA-Cams im Bundestag.

Ich denke in aller möglichen Hw kann man Schnittstellen mit dazu packen.
Bei Cisco ist es deswegenso reizvoll, weil die eben gut in der Infrastruktur verankert sind, aber bei anderen Komponenten wird es nicht viel anders sein.
Die vermeintlichen Skandale über Chinesische Fabriken, wo die Boards schon mit Übelwachungsspeichelchips bestückt sind, sind wahrscheinlich eher
Projektion im Sinne von "Haltet den Dieb!".

Der Raspi ist günstig, einfach und wahrscheinlich eher von Hobbyisten / "Terroristen" beliebt.
Ich meine nicht, dass der Raspi ein besonders herausstechender Kandidat für Überwachung ist.
Nur lassen sich da Komponenten vielleicht leichter identifizieren, da die Rechenpower jetzt nicht so groß ist, dass das im Rauschen untergeht (Also guter Kandidat für *Analyse* von Überwachungsfeatures).

@miagob
Würde ein Rpi iwo "hinfunken" dann würdest du das sehen:

Nicht unbedingt.

Intel ME und AMT, sowie vergleichbare Ansätze von AMD sind dazu geeignet am Betriebssystem vorbei zu überwachen.
Was früher BIOS war ist heute selbst ein Betriebssystem.
Man hat heutzutage mehrere Rechner im Rechner. Die Mechanismen des Betriebssystems helfen von einen kompromittierten System aus recht wenig.
Früher war es noch üblich, dass man einen von Viren befallenen Rechner von einer sauberen Boot-Disk startete, weil schon damals die Virenautoren klug genug waren.
Und jetzt hat man Systeme im System, die am Betriebssystem vorbei laufen. Man kriegt sehr viel Logik und sehr viel Speicher auf sehr wenig Platz.
Ja selbst reine Software Lösungen, wie Lenovos Superfish, hebeln mal so neben bei die SSL Verschlüsselung aus, um Werbung auf den Seiten zu platzieren.
Auf dem Raspi ist das natürlich dann eher nicht so fett, mangels Rechenpower.

Deswegen finde ich den Ansatz, von einem extrernen System den Traffic oder die Systeme unter Test selbst zu analysieren, gar nicht schlecht.
 
Zuletzt bearbeitet:

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Also ich hab ein paar Raspis im Netzwerk hängen, und davor eine recht restriktive Firewall. Da ist mir noch nie was aufgefallen. Und ich kann mir auch nicht vorstellen, dass da was am OS vorbei geht - dazu ist das Ding ja doch etwas arg primitiv...
 

mr_transistor

NGBler

Registriert
18 Okt. 2018
Beiträge
94
Ort
Berlin
  • Thread Starter Thread Starter
  • #6
Also ich hab ein paar Raspis im Netzwerk hängen, und davor eine recht restriktive Firewall. Da ist mir noch nie was aufgefallen. Und ich kann mir auch nicht vorstellen, dass da was am OS vorbei geht - dazu ist das Ding ja doch etwas arg primitiv...

Ich find ziemlich erstaunlich wie klein und leistungsfähig man die SoCs bekommt. Pi Zero oder Odroid C0 sind schon ziemlich klein in Anbetracht was da alles integriert ist.
An den Handies sieht man es ja auch, was da geht.

Woher weiß man, dass die Firewall kein Hintertürchen hat? Wenn das eine Fertiglösung von Cisco ist, hätte ich da wenig vertrauen. Und was in den fernwartbaren Plastikroutern der Telkos schlummert, möchte ich manchmal gar nicht wissen.

Bei Linux und Derivaten weiß man, dass die Dienste insbesondere am Zufallsgenerator versucht haben Einfluss zu nehmen, um die Krypto zu schwächen.
Wer weiß, was da noch eingebaut ist.
Bei BSD, welches ja vornehmlich auch an den Unis weiterentwickelt wird, wird der ein oder andere Dienst ebenfalls mit einwirken.
Und von Windows und Apple darf man gar nicht anfangen zu reden.
 

poesie noire

vivo forlasis

Registriert
14 Juli 2013
Beiträge
6.101
Ich lese hier als absoluter Laie gerade interessiert mit. Kurz eine Frage an den TS (gerne auch an alle anderen):

Ich sehe hier in der Aufgabenstellung ein Problem. Du versuchst mit Hardware + Software (A) eine andere Hardware + Software (B) auf mögliche Hintertüren zu untersuchen. Wie kannst du sicher sein, dass bei (A) keine Hintertüren vorhanden sind, bzw. bei welchen Herstellern siehst du eher die Möglichkeit und bei welchen nicht und schenkst ihnen das Vertrauen, das ihr Material für eine Analyse geeignet ist?

Um nicht in einer Schleife zu landen, müsste man sich beim kleinsten Nenner alles selber zusammenbasteln. Das hat doch aber spätestens bei den Prozessoren Grenzen.
 

mr_transistor

NGBler

Registriert
18 Okt. 2018
Beiträge
94
Ort
Berlin
  • Thread Starter Thread Starter
  • #8
Ich lese hier als absoluter Laie gerade interessiert mit. Kurz eine Frage an den TS (gerne auch an alle anderen):

Ich sehe hier in der Aufgabenstellung ein Problem. Du versuchst mit Hardware + Software (A) eine andere Hardware + Software (B) auf mögliche Hintertüren zu untersuchen. Wie kannst du sicher sein, dass bei (A) keine Hintertüren vorhanden sind, bzw. bei welchen Herstellern siehst du eher die Möglichkeit und bei welchen nicht und schenkst ihnen das Vertrauen, das ihr Material für eine Analyse geeignet ist?

Um nicht in einer Schleife zu landen, müsste man sich beim kleinsten Nenner alles selber zusammenbasteln. Das hat doch aber spätestens bei den Prozessoren Grenzen.

Die Systeme müssen ja gewisse Funktionsfähigkeit behalten (totale Kompromittiertheit ist nicht funktional bzw. nicht so durchführbar dass die Funktion nicht spürbar beeinträchtigt wird).

Die Komplexität in jeder Verarbeitung zu erkennen, dass ein System gerade Traffic (eines anderen Systems) analysiert, ist hoch. (Also bezüglich der Erkennung der Analyse durch die Überwachungskomponenten, und daraus folgende Stealthmechanismen)

Beispiel:

Ich habe ein mglw. kompromittiertes System A und ein mglw. kompromittiertes System B. Die Idee ist mit dem einen das andere zu analysieren.
Die integrierten Überwachungskomponenten des System A sind auf System A ausgelegt, das Betriebssystem bekommt seine Infos durch die Hardwareschnittstellen / Firmware und alles was die nicht an das OS weiterreichen bekommt das OS nicht mit.
Die Überwachungskomponenten seien o.B.d.A. nur für Überwachung zuständig, das heißt das Ausleiten von Informationen zuständig (Datendiode).
Trotzdem hat das System A ja nicht nur Überwachungsfunktionen, sondern arbeitet darüber hinaus noch normal, kann Traffic senden und empfangen. Und auch selbst Traffic analysieren (von anderen Systemen).
Dann hat man ein paar zusätzliche Bedingungen:
- nicht alle Hersteller werden die Überwachungskomponenten gleich implementieren
- Es ist schwieriger zu erkennen, ob das, was gerade vom Nutzer analysiert wird, aktiv ausgeblendet werden soll, zumindest schwieriger als Vorgänge von vornherein nicht bekannt zu geben (am OS vorbei Sachen auszuleiten).
- Nimmt man andere Architektur und anderes OS für das Analysesystem hat man m.E. praktisch ganz gute Chancen Auffälligkeiten zu entdecken



Sprich, wenn man ein anderes System eines anderen Herstellers verwendet, ist die Chance recht groß, dass der seine Maßnahmen anders implementiert hat und nicht die Implementierung aller anderen Hersteller kennt.

Versucht man dagegen von einem kompromittierten System aus dieses System zu analysieren, kann dessen Hardware am OS vorbei Traffic ausleiten ohne dass man auf Betriebssystemebene etwas mitbekommt, da dieses ja nur auf die Schnittstellen zugreift, die die Firmware bereitstellt und dies transparent geschehen kann.
 

mr_transistor

NGBler

Registriert
18 Okt. 2018
Beiträge
94
Ort
Berlin
  • Thread Starter Thread Starter
  • #10
@Metal_Warrior:

Solange das Debian aktuell ist. Der älteren Generation ist vielleicht das Debian Debakel in Erinnerung, wo man durch "Optimierung" mit valgrind die Entropie bei der SSL Schlüsselgenerierung
weg gepatcht hat. Und es hat Jahre niemand mitbekommen. Obwohl die in der OpenSSL Mailingliste nachgefragt haben, ob ihre Änderungen okay sind.

Egal. Mit eigenen Router / Server kann man schon einiges machen.
 

miagob

gesperrt

Registriert
10 Jan. 2019
Beiträge
14
Man kann machen was man will. 100% Sicherheit ist nicht erreichbar. Es gibt fast immer iwo exploiting Möglichkeiten oder es werden neue gefunden.
 

mr_transistor

NGBler

Registriert
18 Okt. 2018
Beiträge
94
Ort
Berlin
  • Thread Starter Thread Starter
  • #14
Man kann machen was man will. 100% Sicherheit ist nicht erreichbar. Es gibt fast immer iwo exploiting Möglichkeiten oder es werden neue gefunden.

100 % ist auch nicht anzustreben, aber Fatalismus und offene Scheunentore sind auch keine Lösung.
Sicherheit ist ein Prozess und kein Zustand.
 

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
Hat sich da jemand schon mal angeschaut, ob beim Pi in der Hardware Komponenten drin sind, die nach Hause funken?
Ich habe keinen Pi am laufen, halte das aber für ziemlich unwahrscheinlich. Bei Supermicro waren die BNCs im verdacht, da ist absichtlich Funktionalität für Remote Administration der Serverhardware drin und laut Bloomberg hatte Amazons Chipsec Abteilung Manipulationen daran gefunden. (Meine Vermutung: Amazon betreibt die GovCloud der USA). Bei dem zweiten Cisco Beispiel von dir geht es um Cluster Management. Cisco (wie auch andere) haben öfters mal Probleme in ihren Hyperscale-Lösungen. Die Kameras sollen ja "mit der Cloud" arbeiten und schwächeln da dann in Sachen Sicherheit.

Der PI? Der hat so Funktionen gar nicht. Was nicht existiert kann auch schlecht Lücken haben. Klar versteckt sein könnte alles Mögliche, in der Firmware der Netzwerkinterfaces zum Beispiel. Vielleicht warten die PIs ja alle nur auf eine geheime Port Knocking Sequenze um dann plötzlich remote Shells anzubieten... und wenn dann das richtige Commando kommt, zerfallen die Chips zu Nanorobottern und die Invasion beginnt *dun dun dun*

Nachtrag: LOL and thx @dexter
 
Zuletzt bearbeitet:

mr_transistor

NGBler

Registriert
18 Okt. 2018
Beiträge
94
Ort
Berlin
  • Thread Starter Thread Starter
  • #16
@Shodan:
Cisco vorsätzlich und absichtlich eingebaute Backdoors, das waren keine Sicherheitslücken.
Und wenn man sich AVM ansieht ... die haben Sicherheitslücken.

Der PI? Der hat so Funktionen gar nicht.

woher willst du das wissen?

wer testet das und wie testet man das?
 

mr_transistor

NGBler

Registriert
18 Okt. 2018
Beiträge
94
Ort
Berlin
  • Thread Starter Thread Starter
  • #18

mr_transistor

NGBler

Registriert
18 Okt. 2018
Beiträge
94
Ort
Berlin
  • Thread Starter Thread Starter
  • #20
Ohne Flachs. Die Seite geht bei mir nicht von Natur aus. Ich hab mich Spaßeshalber auch mal hinter Proxy geklemmt und sie geht trotzdem nicht.
Nur die archivierte Version. Ist da irgendeine DNS Sperre verhängt?
 
Oben