• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Sicherheit auf dem Rechner schaffen, wie denn?

dmx

Neu angemeldet

Registriert
3 März 2019
Beiträge
8
Ich arbeite gerade an einem kleinen Projekt, für das sich eine Absicherung empfiehlt. Besonders vor staatlichem Zugriff. Ich muss von meinem Rechner aus über einen Browser auf ein Admin-Panel zugreifen, außerdem sind jede Menge Lesezeichen im Browser nötig, um einen Überblick zu behalten. Zudem E-Mails beantworten über Thunderbird.

Ist ein Veracrypt Container mit entsprechendem portable-firefox oder -chrome, Thunderbird und keepass eine sichere Lösung? Oder wird da irgendwas wie Lesezeichen oder Browserverlauf, E-Mail-Adressen oder Ähnliches auf auf meinem Rechner außerhalb des Veracrypt Containers gespeichert?

Andere Idee? Wäre dankebar für Rat.

DMX
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Linux mit Vollverschlüsselung.

Problem gelöst.

Und was machst du, wenn der Staat den Bootloader ohne es zu bemerken austauscht oder ihn mit einem 5€ Metallstück bearbeitet?

security.png


IT-Sicherheit ist kein Status, sondern ein Vorgang oder ein Konzept. Die physische Sicherheit sollte nicht außer Acht gelassen werden.

siehe auch:
https://www.qubes-os.org/doc/security-guidelines/
https://wiki.crunchweb.eu/de/guide/opsec
https://ngb.to/threads/28993-Computer-sicher-machen-Best-Practice
https://ngb.to/threads/28075-System-Festplatte-verschlüsseln-(Windows)
https://ngb.to/threads/6420-Kostenloser-und-legaler-Gesamtschutz-für-Windows-7-8-8-1
https://wiki.crunchweb.eu/de/guide/security
 
Zuletzt bearbeitet:

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Wirklich sicher ist der Rechner nur, wenn der Rechner

  • vom Netzwerkkabel getrennt wurde und keine Wifi-, Bluetooth- oder ähnliche Technologie beherrscht.
  • in einem Raum (Tresor) steht, auf den niemand Zugriff hat.
  • im Falle von Intel die Management Engine nachweisbar abgeschaltet ist. Es gibt Gerüchte, das Ding kann Daten auch bei ausgeschaltetem Rechner senden. Bei AMD wäre das die PSP.
 

dmx

Neu angemeldet

Registriert
3 März 2019
Beiträge
8
  • Thread Starter Thread Starter
  • #5
Danke auf jeden Fall für die Hinweise. Aber lasst mal die Kirche im Dorf. So sicher muss es nun auch wieder nicht sein. Um eine neues Linux aufzusetzen hab ich momentan keine Zeit. Ich muss mit dem arbeiten was ich habe und die Sache mehr oder weniger zügig absichern. Ordinärer WIN10 Rechner, Veracrypt gerne auch auf nem Stick. Taugt die Sicherheitslösung die ich oben genannt habe was oder ist das völlig unsicher. Bin ein bisschen aus dem Thema raus, daher brauche ich echt Rat...
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Taugt die Sicherheitslösung die ich oben genannt habe was oder ist das völlig unsicher.

Völlig unsicher.

Oder wird da irgendwas wie Lesezeichen oder Browserverlauf, E-Mail-Adressen oder Ähnliches auf auf meinem Rechner außerhalb des Veracrypt Containers gespeichert?
Ja.

lasst mal die Kirche im Dorf. So sicher muss es nun auch wieder nicht sein. Um eine neues Linux aufzusetzen hab ich momentan keine Zeit.
Wenn du keine Zeit hast, brauchst du anscheinend doch keine Sicherheit auf deinem Rechner. Scheint ja nicht so wichtig zu sein.

Ich hoffe, die Leute, deren Mails du beantwortest, landen nicht wegen dir im Knast.

Wenn du auf Teufel komm raus Windows nutzen willst, verschlüssel die Systemfestplatte wenigstens mit Bitlocker oder Veracrypt. Ein ordentliches Sicherheitskonzept kann das aber natürlich nicht ersetzen.
 

dmx

Neu angemeldet

Registriert
3 März 2019
Beiträge
8
  • Thread Starter Thread Starter
  • #7
Doch brauche ich. Danke fürs wachrütteln, Und nein, es ist niemand im Knast gelandet. Das soll auc so bleiben. Was ist mit Tails? Dann müsste ich nicht von vorne anfangen. Ansonsten: welches Linux?
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Welches Linux kennst du denn? Nimm am besten das.

Du vermischst hier Anonymität, Privatsphäre und Datensicherheit miteinander. Tails ist halt vorrangig TOR. Vollverschlüsselung hat im Prinzip wenig mit Tails zu tun.


Was genau ist dein threat model, also vor welchen Gefahren möchtest du dich schützen?
 
Zuletzt bearbeitet:

dmx

Neu angemeldet

Registriert
3 März 2019
Beiträge
8
  • Thread Starter Thread Starter
  • #9
Ich möchte mich vor staatlichem Zugriff schützen. Der würde nicht in der drastiscchen Form stattfinden, dass der Bootloader oder o.Ä. getauscht wird. Offline arbeiten ist keine Option, ich muss online sein. Tor ist nicht nötig, ein VPN Tunnel zum Server besteht und reicht aus. Es geht nicht um Anonymität, mehr um Privatsphäre, und vor allem um Datensicherheit. Die Bedrohung besteht insofern, als dass eines Tages die Tür aufgehen könnte und Daten konfiziert werden könnten, die nicht in Hände von Behörden gehören und aus denen sich für mich und andere Probleme ergeben könnten. Es geht vor allem um E-Mails, aber eben auch Login Daten zum Server, Browerseverlauf, etc. Die möchte ich so gut es geht absichern. Als Linux kenne ich nur Tails und Ubuntu. Wenn nötig und sinnvoll, setzte ich ein neues System auf. Bin kein Experte im Umgang mit Linux, aber fähig genug. Im Grunde brauche ich nur ein System mit einem alltagstauglichen Browser, Thunderbird, Filezilla, PGP, ggf. Keepass und Openoffice.
 
Zuletzt bearbeitet:

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Wenn sowas wie XKeyScore großflächig im Einsatz ist, dann hast du Dich zumindest mit diesem Thread schon mal "interessant" für die lieben Behörden gemacht. War also schon mal 'ne dumme Idee, hier nachzufragen.

Allerdings implizieren Deine Fragen auch, dass du wohl eher als ungefährlich eingestuft wirst.
 

dmx

Neu angemeldet

Registriert
3 März 2019
Beiträge
8
  • Thread Starter Thread Starter
  • #12
Das ist kein Gefährdungsmodell. Ich bin raus, genug Ressourcen hast du von mir bekommen.

Für mich schon.

--- [2019-03-06 20:52 CET] Automatisch zusammengeführter Beitrag ---

Wenn sowas wie XKeyScore großflächig im Einsatz ist, dann hast du Dich zumindest mit diesem Thread schon mal "interessant" für die lieben Behörden gemacht. War also schon mal 'ne dumme Idee, hier nachzufragen.

Allerdings implizieren Deine Fragen auch, dass du wohl eher als ungefährlich eingestuft wirst.

Ist es garantiert. Aber ich bin kein Fall für BND, BfV oder NSA. Ich möchte einfach nur meinen Rechner zuverlässig sichern, aber offensichtlich ist das hier das falsche Board, um zu erfahren wie das zuverlässig geht...
 

Mäxchen

lustiger Kumpane

Registriert
14 Juli 2013
Beiträge
294
Ort
am liebsten im Zelt
Mit beispielsweise Veracrypt kannst du das ganze Betriebssystem verschlüsseln und auch ein verstecktes zweites Betriebssystem installieren von dem dann niemand weiß, dass es überhaupt da ist.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Ist es garantiert. Aber ich bin kein Fall für BND, BfV oder NSA. Ich möchte einfach nur meinen Rechner zuverlässig sichern, aber offensichtlich ist das hier das falsche Board, um zu erfahren wie das zuverlässig geht...
Nein, ist es nicht. Du hast sogar das richtige Subforum gefunden, nur leider einen falschen Ansprechpartner, und ich hatte gestern leider zu viel zu tun, um mehr zu schreiben.

Dafür hol ich das jetzt nach:

Du hast also die Befürchtung, dass deine Arbeit zum Beispiel ein Problem für gewisse Staatsorgane darstellt, die eher brachialer und wenig subtil vorgehen. Gut, in Zeiten von AfD und freidrehender GroKo hätte ich das zumindest als Journalist, der was von seiner Arbeit versteht, auch. Nehmen wir an, du bist Journalist und arbeitest an einer Story. Deine Redaktion und deren IT stehen hinter dir, also hast du einen VPN-Zugang, der nicht mal eben so abgeschnüffelt werden kann, zumindest nicht ohne dass die IT das auch will, wovon wir ja gerade nicht ausgehen. Ergo musst du dich nur um deine Hardware und um eventuelle Korrespondenz kümmern, weil möglicherweise der ein oder andere überarbeitete Richter auch mal sein Servus unter den falschen Durchsuchungsbeschluss kritzelt und dann diverse beförderungswütige Beamte sich nicht zu schade sind, viel zu früh aufzustehen und deine Tür mit größeren Werkzeugen zu bearbeiten. Da hilft dir natürlich Linux wesentlich besser als ein Veracrypt mit Windows, zumal Letzteres auch gern schnüffelt und Sachen an MS schickt (was ja weniger dein Problem zu sein scheint).

Tatsache ist aber: Linux kann nativ mit ordentlicher Verschlüsselung, was Windows eher nicht so gebacken bekommt. Ich empfehle dir also, dir ein Debian zu schnappen, das auf deiner Kiste mit Vollverschlüsselung zu installieren. Zwei kleine Partitionen müssen unverschlüsselt bleiben: Ca. 100 MB für EFI (damit du mit UEFI booten kannst, wobei du trotzdem die Option "Secure Boot" ausschalten musst, weil sie Linux üblicherweise blockiert), und etwa 1 GB für den Linux-Kernel, der dir dann / und /home entschlüsselt (beides kann aber auf einer Partition liegen, es empfielt sich nur die Trennung in ca. 50-100 GB für / und den Rest für /home). Wenn du dein Notebook ansonsten standardmäßig installierst (falls er dich fragt: Du möchtest root NICHT das Einloggen erlauben), hast du eine Oberfläche, mit der du üblicherweise gut zurecht kommen solltest, inklusive Bürosoftware (Evolution als Outlook-Pendant, das mit den ews-Erweiterungen auch direkt mit eurem Firmen-Outlook-Web-Frontend Exchange reden kann, LibreOffice, PDF-Viewer etc.), halbwegs vernünftigem Internet-Browser sowie kleinen Erleichterungen im Alltag (schneller Zugriff auf Firmenserver über verschlüsselte Verbindung, eingebaute bzw. über Paketmanager nachrüstbare integrierte VPN-Funktion etc.).

Was PGP angeht, das geht an sich auch ganz leicht, auch wenn Seahorse (der Schlüsselmanager) teilweise etwas ungesprächig beim Erstellen des Keys ist. Wenn du glaubst, gerade einen Key erstellt zu haben, und Seahorse zeigt nichts an, ist das relativ normal - meist kommt das Ding erst nach ein paar Minuten in die Pötte (Schlüsselgenerierung braucht mitunter recht lange), oder du versuchst es nochmal. Das Zuordnen der Schlüssel zu Mailkonten im Evolution ist fast selbsterklärend. Und dann hast du dein Threatmodel, womit der Kollege hier gern und überwichtig winkt, schon ordentlich abgeklopft.


So sehr ich dich aufgrund deines Fachwissens schätze, manchmal hab ich das Gefühl, dass du dir extra ne Ariane-V-Heavy in den Allerwertesten geschoben hast, um möglichst schnell den Olymp der Arschlöcher zu erreichen. Als Lehrer bist du bestenfalls als Negativbeispiel brauchbar, und dein Herumreiten auf einem ausgearbeiteten Threatmodell nach ISO 27k geht mir langsam so auf die Nüsse, dass ich dir gerne mal DEIN Threatmodell hier im Forum erkläre, wenn du hier nicht schleunigst eine andere Attitüde an den Tag legst, und dieses Modell hat nur drei Buchstaben, die ich dir sogar groß schreibe:

B A N

Bevor du dich hier also pöbelnd auf Leute stürzt, die möglicherweise sogar intelligentere Fragen stellen als du es noch vor zehn Jahren konntest, solltest du dir lieber mal nen Job suchen, bei dem du Menschen ausbilden kannst, sie reifen, lernen, Begeisterung entwickeln und damit wachsen zu sehen, statt in deiner hochnäsigen Art Wasser auf jeden Funken des Interesses zu kippen. Lernen kann jeder, LEHREN aber nur der, der es wirklich verstanden hat. Und da, mein Freund, scheinst du noch echt weit von entfernt zu sein.
 

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
Warum den unverschlüsselten Teil nicht auf einem USB Stick halten den man nicht aus den Augen lässt?

Den könnte man dann ggf auch noch vernichten wenn der Rechner abhanden kommt.

Wias wären sinnvolle Schutzmaßnahmen gegen Hardwaremanipulation? zB ein Microcontroller in der Tastatur
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
ich bin kein Fall für BND, BfV oder NSA. Ich möchte einfach nur meinen Rechner zuverlässig sichern, aber offensichtlich ist das hier das falsche Board, um zu erfahren wie das zuverlässig geht...
Welche Informationen fehlen dir denn?

Falls ich dir das Gefühl gegeben habe, dass du nicht verstanden oder ernst genommen wirst, entschuldige ich mich dafür.

dein Herumreiten auf einem ausgearbeiteten Threatmodell nach ISO 27k geht mir langsam so auf die Nüsse
Habe ich irgendwo irgendwas von ISO geschrieben? "Ich möchte mich vor staatlichem Zugriff schützen." ist nicht detailliert genug. Der TS scheint aber auch keine Anstalten zu machen, das auszuarbeiten.

Für das Surfen auf Pornoseiten oder das Veröffentlichen von regierungskritischen Beiträgen braucht man in Deutschland bspw. (noch) keinen airgapped Rechner und einen zweiten mit TOR. Wäre dmx ein Journalist in der Türkei, würde ich das empfehlen.

Wias wären sinnvolle Schutzmaßnahmen gegen Hardwaremanipulation? zB ein Microcontroller in der Tastatur
Hardware wegschließen. Wenn jemand physischen Zugriff auf deinen PC hatte, ist es nicht mehr dein PC.
Siehe auch: https://www.fluidnets.com/2016/03/microsoft-s-ten-immutable-laws-of-security-version-2-0/
 
Zuletzt bearbeitet:

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@phre4k: Er hat sehr umfangreich ausgeführt, worum es ihm geht und welchen Teil seiner Datenspur er für problematisch und sicherungswürdig ansieht, und das sogar begründet. Man müsste halt mal mehr als die ersten zwei Sätze lesen, dann kann man sich schon denken, wohin der Hase läuft - und für mich liest sich das nach Journalist, die auch schon in Deutschland Probleme bekommen können (siehe Spiegel-Affäre).

Mehr kann man von einem Laien nicht verlangen.
 

dmx

Neu angemeldet

Registriert
3 März 2019
Beiträge
8
  • Thread Starter Thread Starter
  • #18
@Metal_Warrior

Vielen Dank für die ausführliche Erklärung! Es ist zu 100 Prozent das was ich brauche und trifft genau mein Szenario. Im besten Fall werde ich diese Absicherung nie brauchen, möglicherweise aber eben doch. Und es geht wie gesagt nicht nur um mich, sondern eben auch um Menschen die mir Vertrauen. Daher sehe ich es als meine Pflicht, mich entsprechend auszurichten und für Sicherheit auf meinem Rechner zu sorgen. Danke nochmals für deine Ausführung.
 

saddy

Bekannter NGBler

Registriert
16 Juli 2013
Beiträge
4.029
Ort
*.*
Jau. Kommt nicht drauf an ob man sich schützen kann, sondern potenziell vor wem und welchem Aufwand der von "wem" investiert würde.

@phre4k und metalwarrior Diskussion:
Imo steckt da Egoerhöhung als psychologischer Mechanismus dahinter.
Ich hab in der Vergangenheit profitiert von so was, mich aber auch in Perfektionismus verrannt.
Hat mir also als Antrieb geholfen aber auch nicht immer gut getan die Annahme von so Posts. Insgesamt hab ich persönlich in meiner Entwicklung aber insgesamt ganz gut profitiert.

Wer nicht entweder beruflichen Bedarf oder Bedarf an Egosteigerung durch Wissen lernen und zeigen hat,
wird eher abgeschreckt von so was sein.
Und mit Pech wegen der Erschlagung mit annähernd "allen" Informationen ungefiltert versorgt, statt den spezifisch angefragten, einfach aufgeben.
Für den ist das nur öffentliche Onanie des Verstandes.

Imo ;)
 

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
dass eines Tages die Tür aufgehen könnte und Daten konfiziert werden könnten, die nicht in Hände von Behörden gehören und aus denen sich für mich und andere Probleme ergeben könnten.
Das ist nicht weit weg von "Tür geht auf während du nicht da bist und ein paar Profis für Überwachungsinstallationen betreten den Raum". Aber auch wenn man "Surveillance" ausschließt, sollte Anti-Forensics nicht nur auf deinen Rechner beschränkt sein. Wie phre4k ja schon erwähnt hat, könnten bei der Spurensicherung in deinem Umfeld auch Spuren zu anderen Beteiligten gefunden werden.

Hardware wegschließen. Wenn jemand physischen Zugriff auf deinen PC hatte, ist es nicht mehr dein PC.
Siehe auch: https://www.fluidnets.com/2016/03/microsoft-s-ten-immutable-laws-of-security-version-2-0/
-> Anti-Surveillance. Er geht doch davon aus, dass es nicht mehr sein PC sein wird.


Wegen der Bookmarks und der VPN zum Server: Der Staat kann sich die Verbindungsdaten von den ISPs geben lassen, wenn gegen dich oder diese Server ermittelt wird und darüber andere Beteiligte aufspüren.

Selbes gilt für E-Mail, der Staat behält sich vor die "Wer sendet an wen" Informationen auf Anfrage zu erhalten und will diese zu Rasterfahnungszwecken in vielen Staaten sogar auf Vorrat. Auch eine Beschlagnahmung oder Verwanzung des Mail-Postfachs könnte interessant sein und wenn aus Richtung deiner E-Mail-Kontakte Ermittlungen auf dich zu kommen könnten, macht es Sinn das Postfach abstreiten zu können. Dafür musst du eventuell deine Verbindungen zum Mailserver erklären oder abstreiten können.

TOR (anonymisierung) oder ein "VPN"-Service (pseudonymisierung, paid 2 keep silent) helfen bei sowas, machen dich aber, wenn du erst einmal impliziert bist, auch interessant.

Dann ist da die Sache mit Beugehaft zur Rausgabe des Passworts. Ein steganographisch versteckter verschlüsselter Container für deine Daten kann dir ermöglichen diese auch dagegen zu schützen, weil du einige Passwörter unter Zwang herausgeben kannst, ohne dich umfassend selbst zu belasten. Die strukturierte Speicherung hilft dir außerdem bei der Migration der Daten auf andere Computer und der Synchronisation mit Backups. Immerhin kann es Monate oder Jahre dauern, bis du die Hardware wieder bekommst.

Darin unterscheidet sich dein Model zum Beispiel von "Einbruchskriminalität". "Hausbrand" und "Hardwaredefekten", (bei denen ein Totalverlust der Daten zu erwarten ist), zumindest in Deutschland. Dem Rat zu Linux bin ich auch gefolgt, muss Metal_Warrior aber in einer Sache widersprechen: Microsofts Bitlocker hat mit TPM und UEFI Integration Features, die unter Linux schwer erreichbar sind ("Anti-Evil-Maid"), für "Anti-Forensic" ist das aber nicht super wichtig und die vom Debian Installer empfohlene Encryption durchaus ausreichend.


Von Mäxchen wurde Veracrypt schon erwähnt. Die Software empfehle ich für den Einsatz mit externen Speichermedien,, bei denen cross-plattform encryption wichtig ist, Und wenn man sie eh hat, ist sie auch für lokale Archive interessant.

Datenschutz fordert von Unternehmen verschiedene personenbezogene Daten entsprechend ihres Zwecks zu klassifizieren und getrennt in eigens geschützten Bereichen zu verwalten. Das auch im privaten so zu machen ist nur eine Empfehlung.

Was ist mit Tails? Dann müsste ich nicht von vorne anfangen. Ansonsten: welches Linux?
Probier Debian mal aus. Dauerhaft mit einem amnesic System zu leben ist unangenehm, wäre für deinen Use Case (anti-forensic) aber eine brauchbare Lösung. Die persistenten Daten hast du dann auf einem externen verschlüsselten Stick oder irgendwo zwischen vielen anderen genau so aussehenden Containern auf einem Backup-Speicher-Server.
 
Zuletzt bearbeitet:
Oben