• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

VM: "Anonyme Festung" aufbauen - Sicher im Netz u. lokal

accC

gesperrt

Registriert
14 Juli 2013
Beiträge
5.250
Weil Windows ein kaputtes Rechtemanagement hat und sich gezeigt hat, dass Windows nahezu zahllose Sicherheitslücken, teilweise seit Win 95 mit sich herum schleppt (obwohl immer wieder behauptet wird "alles neu"). Also entweder stimmt die "alles neu"-Behauptung nicht oder die Sicherheitslücken werden jedes mal bewusst wieder implementiert, weil es z.T. immer die gleiche Sicherheitslücken sind.
 

bevoller

Neu angemeldet

Registriert
4 Aug. 2013
Beiträge
1.481
Weil Windows ein kaputtes Rechtemanagement hat und sich gezeigt hat, dass Windows nahezu zahllose Sicherheitslücken, teilweise seit Win 95 mit sich herum schleppt (obwohl immer wieder behauptet wird "alles neu").
Das solltest du vielleicht mal näher erläutern. Kaputtes Rechtemanagement? Weil bis XP der WinDAUs-User grundsätzlich immer mit Administratorrechten arbeiten konnte? Darüber könnte man noch diskutieren. Dass hier die Rechteverwaltung von Linux besser, weil potentiell sicherer ist bzw. war, könnte man dann evtl. so stehen lassen.

Sicherheitslücken seit Win9x? Welche sollten das sein? Mit Sicherheitslücken meinen wir dann hoffentlich nicht wieder das Rechtemanagement. Das wäre sonst nämlich doppelt gemoppelt.
 

Draugas

Drogen?

Registriert
7 Okt. 2013
Beiträge
225
Warum hat hier eigentlich noch niemand Tails erwähnt? Das ist genau für diesen Zweck gemacht worden. Es wurde (und wird vermutlich noch immer) u.a. von Snowden, Greenwald und Appelbaum benutzt.
 
Zuletzt bearbeitet:

thom53281

SYS64738
Teammitglied

Registriert
14 Juli 2013
Beiträge
6.908
Kaputtes Rechtemanagement? Weil bis XP der WinDAUs-User grundsätzlich immer mit Administratorrechten arbeiten konnte?
Gegenüber Windows Vista wurde die Benutzerkontensteuerung in Windows 7 verschlechtert. In der Standard-Stufe werden anhand einer "Heuristik" (oder wie das intern auch immer geregelt wird) Meldungen unterdrückt, da die Anwender "genervt und überfordert" mit der UAC waren. Exploits haben gezeigt, dass die Benutzerkontensteuerung durch die unterdrückten Meldungen als nicht sicher einzustufen ist - auch wenn die News schon einige Zeit alt ist, das Grundproblem bleibt. Daher ist zwar die UAC schon ein Fortschritt gegenüber Windows XP, aber trotzdem in der Standardeinstellung nicht sicher.

Ansonsten verweise ich auch immer gerne auf:
http://www.hifi-forum.de/index.php?action=browseT&forum_id=248&thread=94&postID=9#9

Auch ein recht schönes Beispiel ist JScript, das Microsoft-eigene Javascript-Äquivalent im IE. Während bei der Entwicklung von Javascript tunlichst darauf geachtet wurde, dass Javascript keinen Zugriff auf die Festplatte hat, bekommt JScript in Verbindung mit ActiveX Zugriff auf die Festplatte. Damit sind zwar im IE ein paar interessante Zusatzfunktionen möglich, alledings birgt der Festplattenzugriff auch erhebliche Risiken. Ab dem IE7 werden zwar "fremde" ActiveX-Steuerelemente automatisch blockiert, das grundsätzlich fragwüdige Konzept ist aber bis heute vorhanden.


Grüße
Thomas
 

accC

gesperrt

Registriert
14 Juli 2013
Beiträge
5.250
Schlagwort NSAKEY:

Der _NSAKEY war ein Variablenname, der 1999 im Service Pack 5 von Windows NT 4.0 identifiziert wurde. Als Entdecker gilt Andrew Fernandes, Spezialist der Cryptonym Corporation, Morrisville, North Carolina.[1] Eine erste Beobachtung machte jedoch schon der britische Experte Nicko van Someren zwei Jahre zuvor.[2]

Der Chaos Computer Club bezog am 3. September 1999 dazu Stellung, dass der Schlüssel offensichtlich für den Gebrauch durch die National Security Agency (NSA) bestimmt ist und den Schutz durch die Verschlüsselungsverfahren in der CryptoAPI des Betriebssystems von Microsoft umgehen kann.[3] Die Zugriffsmöglichkeit reicht zurück auf alle Betriebssysteme von Microsoft ab Windows 95.


Das ist nur eine der Sicherheitslücken, die sich durch diverse Windows Versionen zieht. Es gibt definitiv einige mehr, die sich vielleicht nicht komplett durch ziehen, aber zumindest durch einige Versionen.

Das Rechtemanagement ist deshalb kaputt, weil es keinen wirklichen Schutz bietet, in vielen Fällen sorgt es nur für noch mehr Fehlverhalten, als es verhindert.
Benutzer unter Windows 95-2000/NT: 95 hatte damals afaik überhaupt keine Accounts unterstützt. Unter 98 konnte man sich mit "Abbrechen" ebenfalls einloggen, mit vollem Zugriff auf alles natürlich. Unter Windows 2000 wurde dieser Fehler dann pseudo-gefixt. Ist man dann über die Hilfe zum Drucken-Menu gegangen, wurde man ebenfalls automatisch und ohne Eingabe eines Kennworts eingeloggt. - Herzlichen Glückwunsch.
Windows XP: Hier wurde default ein Administrator-Account ohne Passwort angelegt. Strg+Alt+(2xEntf), Benutzername Administrator, kein Passwort und schon war man als solcher eingeloggt.
Windows Vista war dermaßen zugekleistert mit Bestätigungsdialogen, dass man nach ca 3 Tagen ohnehin ausnahmslos jede Meldung mit Ja und Okay bestätigt hat, ohne sie gelesen zu haben. Ist natürlich schön, wenn ich für alles Administratorrechte und Bestätigungen brauche, aber wenn diese blind erteilt wird, dann nützt der beste Schutz nichts.
Windows 7: Geschützte Systemdateien - Einige Systemdateien wurden speziell geschützt, so dass auch kein Administrator Änderungen daran durchführen konnte - eigentlich. Das hat zumindest der Explorer verhindert, denn über eine root-Konsole (Eingabeaufforderung mit Adminrechten) konnte man die Dateien einfach auf einen beliebigen Benutzer umschreiben lassen und dieser konnte ab dann natürlich darüber verfügen. Normalerweise sollte das nicht möglich sein. Natürlich könnte man jetzt sagen, dass Linux dieses Feature ebenfalls mitbringt, als root kannst du jede Datei, auch von anderen Nutzern "übernehmen", allerdings ist das wohl bewusst konzeptioniert. Unter Windows war die Idee eigentlich, dass auch ein Administrator nicht an die Dateien kommen sollte.

Das ist nur eine Auswahl an Lücken bzw. Fehlern im Rechtemanagement von Windows. Wenn du google bemühst und dich ein bisschen informierst, dann wirst du sehen, dass es sehr viele weitere gibt. Ich wollte einfach mal zumindest für die bisherigen Systeme immer mal ein Beispiel nennen. Für Windows 8 / 8.1 sind mir tatsächlich keine derartigen Lücken bekannt, noch nicht. Ob das nun daran liegt, dass Windows 8 perfekt ist oder einfach daran, dass ich weder Interesse noch Zeit dafür habe und dass es Windows 8 noch nicht lange genug gibt, dass derartige Fehler aufgefallen sind, kann ich dir nicht sagen.
 

supreme

Neu angemeldet

Registriert
9 Dez. 2013
Beiträge
24
sorry aber das hier genannte ist alles mehr als bloedsinnig und wird dem Thread Ersteller keine Sekunde vor irgendeiner Art von Represalien durch Behörden schützen falls er zum Problemfall wird.


Machen wir das doch mal einfach an nur EINEM Faktor fest, nehmen wir mal den Provider:
Hier scheint jeder davon auszugehen das der eigene Provider im eigenen Team spielt, dem ist aber bei weitem nicht so.

Was koennte hier den Fakt sein:

- Der Provider gibt WISSENTLICH Daten an die Behörden weiter
- Der Provider gibt WISSENTLICH Daten an die Behörden weiter, darf aber durch NSL Letter nichts sagen
- Der Provider gibt unwissentlich Daten weiter ( Spitzel in den eigenen Reihen )
- Der Provider gibt unwissentlich Daten weiter ( Knotenpunkt / Software Exploited )
- Der Provider gibt unwissentlich Daten weiter weil Hardware wie Cable Modems, Verteiler im Keller, Verteiler auf der Straße
von Behörden manipuliert werden.

Alleine dagegen kann hier NIEMAND irgendwas nennenswertes unternehmen, gar nichts.

Ohh ich hoere Sie schon von weitem, " Ich crypte alles mit TC, die koennen mir nix ".
Das sind die selben Vollidioten die ich all abendlich bei Aktenzeichen XY sehe: Riesen Safe im Haus, 30 Schlösser, 15 verschiedene Sicherheitssysteme am Safe aber wenn der böse Pursche mit der Knarre da steht und Druck ausuebt, Knarre am Kopf, Knarre am Kopf der Frau, Knarre am Kopf der Kinder, ja dann ist`s schnell rum mit dem heroischen - so siehts doch auch in diesem Fall aus. Wenn da die Staatsmacht mit 2-x Wochen beugehaft droht will ich mal sehen wie die ganze " Was wird wohl der Nachbar denken" Gemeinde reagiert.

Ach Gott, ich waere auch gern wieder so kindisch, aber wenn der Vorhang einmal weg ist....
 

nik

Guest

N
@supreme: Und was soll der Provider melden, wenn er nur die verschlüsselte Verbindung zwischen einem Kunden und einem VPN-Anbieter sieht?
 

gelöschter Benutzer

Guest

G
@supreme: deswegen nehmen ja auch nur Noobs TrueCrypt, die richtigen Profis setzen ein zweites und ein drittes LUKS-Passwort. Das erste entschlüsselt die Daten normal, das zweite entschlüsselt nur "harmlose" Daten und das Dritte entschlüsselt nur harmlose Daten und löscht die kritischen.

Zum Beispiel so: http://www.kali.org/how-to/emergency-self-destruction-luks-kali/


Ganz davon abgesehen, dass man seine Urlaubsvideos nicht verschlüsseln muss, weil das die Behörden i.d.R. einen Dreck interessiert.
 

TBow

The REAL Cheshire Cat

Registriert
15 Juli 2013
Beiträge
4.252
Wenn da die Staatsmacht mit 2-x Wochen beugehaft droht will ich mal sehen wie die ganze " Was wird wohl der Nachbar denken" Gemeinde reagiert.

Ach Gott, ich waere auch gern wieder so kindisch, aber wenn der Vorhang einmal weg ist....
So, so, kindisch sein, aber im Vorgängersatz uns was von Beugehaft erzählen. :D
 

TBow

The REAL Cheshire Cat

Registriert
15 Juli 2013
Beiträge
4.252
Re: VM: "Anonyme Festung" aufbauen - Sicher im Netz u. lokal

Ich weiss jetzt schon das ich es bereuen werde: Was soll daran denn kindisch sein ?
"Beugehaft" gibts nur für Zeugen, die kein Verweigerungsrecht haben. Ein "Ich verweigere die Herausgabe von Daten, da ich mich damit möglicherweise selbst belasten könnte" reicht schon aus. Siehe § 55 StPO.
Für Beschuldigte gibts gar keine Beugehaft.
Wenn du anderen kindisches Verhalten unterstellst, dann solltest du zumindest selbst in deinen Ausführungen auf Vollständigkeit und Richtigkeit achten.

--- [2014-04-27 11:58 CEST] Automatisch zusammengeführter Beitrag ---

Ich weiss jetzt schon das ich es bereuen werde: Was soll daran denn kindisch sein ?
"Beugehaft" gibts nur für Zeugen, die kein Verweigerungsrecht haben. Ein "Ich verweigere die Herausgabe von Daten, da ich mich damit möglicherweise selbst belasten könnte" reicht schon aus. Siehe § 55 StPO.
Für Beschuldigte gibts gar keine Beugehaft.
Wenn du anderen kindisches Verhalten unterstellst, dann solltest du zumindest selbst in deinen Ausführungen auf Vollstädnigkeit und Richtigkeit achten.
Schalt mal nen Gang runter, Begründe deine Einwände, ohne gleich unterstellend zu werden, und schon haben wir eine zielführende Diskussion.
 

mathmos

404

Registriert
14 Juli 2013
Beiträge
4.415
@supreme: deswegen nehmen ja auch nur Noobs TrueCrypt, die richtigen Profis setzen ein zweites und ein drittes LUKS-Passwort. Das erste entschlüsselt die Daten normal, das zweite entschlüsselt nur "harmlose" Daten

Unter TrueCrypt wird das mit hidden Volumes gelöst (http://www.truecrypt.org/docs/hidden-operating-system bzw. http://www.truecrypt.org/docs/hidden-volume#Y23)

und das Dritte entschlüsselt nur harmlose Daten und löscht die kritischen.

Zum Beispiel so: http://www.kali.org/how-to/emergency-self-destruction-luks-kali/

Es werde nur die Keyslots gelöscht. Davon abgesehen finde ich so eine Funktion recht sinnlos dafür aber ziemlich gefährlich. Ich erwische mich auch des öfteren, dass ich das Passwort B für die mit EncFS verschlüsselten Daten A eingebe.
 

accC

gesperrt

Registriert
14 Juli 2013
Beiträge
5.250
Was koennte hier den Fakt sein:
- Der Provider gibt WISSENTLICH Daten an die Behörden weiter
- Der Provider gibt WISSENTLICH Daten an die Behörden weiter, darf aber durch NSL Letter nichts sagen
- Der Provider gibt unwissentlich Daten weiter ( Spitzel in den eigenen Reihen )
- Der Provider gibt unwissentlich Daten weiter ( Knotenpunkt / Software Exploited )
- Der Provider gibt unwissentlich Daten weiter weil Hardware wie Cable Modems, Verteiler im Keller, Verteiler auf der Straße
von Behörden manipuliert werden.

Alleine dagegen kann hier NIEMAND irgendwas nennenswertes unternehmen, gar nichts.

Richtig, allerding sieht der Provider bei einer A -> VPN -> B Verbindung lediglich den A -> VPN Teil und das ausgetauschte, verschlüsselte Datenpaket ist Müll.
Also, was bringt es denn einer Behörde oder dem Provider?


Ohh ich hoere Sie schon von weitem, " Ich crypte alles mit TC, die koennen mir nix ".
Das sind die selben Vollidioten die ich all abendlich bei Aktenzeichen XY sehe: Riesen Safe im Haus, 30 Schlösser, 15 verschiedene Sicherheitssysteme am Safe aber wenn der böse Pursche mit der Knarre da steht und Druck ausuebt, Knarre am Kopf, Knarre am Kopf der Frau, Knarre am Kopf der Kinder, ja dann ist`s schnell rum mit dem heroischen - so siehts doch auch in diesem Fall aus. Wenn da die Staatsmacht mit 2-x Wochen beugehaft droht will ich mal sehen wie die ganze " Was wird wohl der Nachbar denken" Gemeinde reagiert.
Wo bist du denn aufgewachsen? In Deutschland hält dir niemand eine Knarre an den Kopf, nur weil du erzählst, wie korrupt unsere Regierung ist. Wir sind weder in einer Diktatur, noch im wilden Westen.
 

supreme

Neu angemeldet

Registriert
9 Dez. 2013
Beiträge
24
Re: VM: "Anonyme Festung" aufbauen - Sicher im Netz u. lokal

Richtig, allerding sieht der Provider bei einer A -> VPN -> B Verbindung lediglich den A -> VPN Teil und das ausgetauschte, verschlüsselte Datenpaket ist Müll.

Hahaha, ich werf mich in die Ecke. Sprich mal mit Technikern die an den Knoten arbeiten, erzaehle denen genau diesen Satz und warte auf deren reaktion, ich sags mal so: sie wird dich NICHT erfreuen. Es hat schon seinen Grund warum z.b. der BND seine Knoten mit EIGENER Hardware und EIGENEN Protokollen sichert und sich nicht auf Hardware/Protokolle anderer verlaesst. Ich sags mal so: Eine der meistverkauften Apps auf Android basis war bis vor kurzem ein Antivirus Proggy welches genau GAR NICHTS gemacht hat ausser ein " Anti Virus Scan...10%...20%...30% done - Your System is Clean" anzuzeigen, rein faktisch hat das Tool NICHTS gemacht, keinen Scan, nichts. Die gleiche Illusion laeuft mit all den ach so tollen pay-vpns. Glaubst Du denn im ERNST das Behörden die andere Botschaften mit eigener Infrastruktur ausspionieren stehen bleiben und sagen:

"Oh shit, AccC nutzt auf seinem Mainstream System, einen Mainstream VPN Provider, Mist, da koennen wir ja jetzt nichts machen, was fuer ein Held"


Wo bist du denn aufgewachsen? In Deutschland hält dir niemand eine Knarre an den Kopf, nur weil du erzählst, wie korrupt unsere Regierung ist. Wir sind weder in einer Diktatur, noch im wilden Westen.

Achja ? Ich glaube der sieht das anders:

http://gutjahr.biz/2013/07/dagger-complex/?

Schon mal 2 Wochen in Uhaft gesessen ? Das kommt einem sehr viel schlimmer vor als " Ne waffe an den Kopf halten".
Btw, es braucht nur jemand anzunehmen (!) bzw den verdacht zu aeussern das eine gefahr xyz im raum steht und zack hast du die verbale knarre am kopf, aber was der bauer nicht kennt frisst er nicht...oder so.

traeum schoen weiter von der vpn, tc welt - die realitaet sieht leider anders aus.

--- [2014-04-27 14:17 CEST] Automatisch zusammengeführter Beitrag ---

"Beugehaft" gibts nur für Zeugen, die kein Verweigerungsrecht haben. Ein "Ich verweigere die Herausgabe von Daten, da ich mich damit möglicherweise selbst belasten könnte" reicht schon aus. Siehe § 55 StPO.
Für Beschuldigte gibts gar keine Beugehaft.
Wenn du anderen kindisches Verhalten unterstellst, dann solltest du zumindest selbst in deinen Ausführungen auf Vollständigkeit und Richtigkeit achten.

Note an mich selbst: Analogie Knarre am Kopf der Frau/Kinder um Code fuer den Safe heraus zu geben zu Beugehaft ist wohl doch fuer manch einen zu Komplex.
 

Shinigami

ばかやろう

Registriert
14 Juli 2013
Beiträge
1.471
Ort
Akihabara
Re: VM: "Anonyme Festung" aufbauen - Sicher im Netz u. lokal

Hahaha, ich werf mich in die Ecke. Sprich mal mit Technikern die an den Knoten arbeiten, erzaehle denen genau diesen Satz und warte auf deren reaktion, ich sags mal so: sie wird dich NICHT erfreuen. Es hat schon seinen Grund warum z.b. der BND seine Knoten mit EIGENER Hardware und EIGENEN Protokollen sichert und sich nicht auf Hardware/Protokolle anderer verlaesst.

Was hat das mit VPN zu tun?

Ich sags mal so: Eine der meistverkauften Apps auf Android basis war bis vor kurzem ein Antivirus Proggy welches genau GAR NICHTS gemacht hat ausser ein " Anti Virus Scan...10%...20%...30% done - Your System is Clean" anzuzeigen, rein faktisch hat das Tool NICHTS gemacht, keinen Scan, nichts. Die gleiche Illusion laeuft mit all den ach so tollen pay-vpns. Glaubst Du denn im ERNST das Behörden die andere Botschaften mit eigener Infrastruktur ausspionieren stehen bleiben und sagen:

Welche Illusion denn? Bei der Anti-Virus-App ging gar nichts, beim VPN kann ich es ja überprüfen. Und bisher haben meine immer funktioniert. Ich kreg eine verschlüsselte Verbindung mit einem anderen Server und kann damit ins Internet gehen. Ziel erreicht.

"Oh shit, AccC nutzt auf seinem Mainstream System, einen Mainstream VPN Provider, Mist, da koennen wir ja jetzt nichts machen, was fuer ein Held"

Natürlich nicht, nur was wollen die mit verschlüsseltem Datenmüll? Die können zwar zum VPN-Provider gehen, wenn die aber nichts loggen, bringt das denen herzlich wenig.
 

Kugelfisch

Nerd

Registriert
12 Juli 2013
Beiträge
2.342
Ort
Im Ozean
Man könnte mit etwas Aufwand (Debug-Level erhöhen, Datenverkehr mitschneiden und ggf. Session-Keys aus dem Speicher des VPN-Dienstes auslesen) sogar verifizieren, dass die übertragenen Daten tatsächlich verschlüsselt werden und dass dazu starke Kryptografie verwendet wird. Nach heutigen Erkenntnissen gilt das sowohl für OpenVPN als auch für IPSec bei Verwendung starker Cipher-Suites, nicht aber für PPTP, weil die dort verwendete MPPE-MSCHAPv2-Ciphersuite unsicher ist.
Natürlich wäre denkbar, Schwachstellen auszunutzen, um auch beim Einsatz starker Kryptografie an das Schlüsselmaterial zu gelangen oder die Daten direkt durch Malware auf dem Client oder dem VPN-Endpunkt abzugreifen. Beides dürfte aber für Behörden im Rahmen der legalen Ermittlungsmassnahmen nicht möglich sein, und auch andere Dritte werden kaum Zero-Day-Exploits verschwenden, um vergleichsweise uninteressante VPN-Verbindungen mitzulesen. Der naheliegendere Ansatz wäre, den VPN-Anbieter zur Kooperation zu überzeugen (etwa durch Anbieten einer Gegenleistung) oder zu zwingen.
 

accC

gesperrt

Registriert
14 Juli 2013
Beiträge
5.250
Re: VM: "Anonyme Festung" aufbauen - Sicher im Netz u. lokal

Hahaha, ich werf mich in die Ecke. Sprich mal mit Technikern die an den Knoten arbeiten, erzaehle denen genau diesen Satz und warte auf deren reaktion, ich sags mal so: sie wird dich NICHT erfreuen. Es hat schon seinen Grund warum z.b. der BND seine Knoten mit EIGENER Hardware und EIGENEN Protokollen sichert und sich nicht auf Hardware/Protokolle anderer verlaesst.
Und was genau möchtest du damit jetzt "beweisen"?
VPNs sind genau dazu entworfen sicheren Datenaustausch auf einem potentiell unsicheren Netz zu realisieren.
Da können deine Provider und Knotenpunktbetreiber und NSA, BKA, BND, Mossad und notfalls auch deine Mama machen, was sie wollen, die können die übertragenen Bytes einzeln lesen und es wird ihnen leider genau nichts bringen. Die Annahme ist natürlich, dass die Crypto funktioniert.

Ich sags mal so: Eine der meistverkauften Apps auf Android basis war bis vor kurzem ein Antivirus Proggy welches genau GAR NICHTS gemacht hat ausser ein " Anti Virus Scan...10%...20%...30% done - Your System is Clean" anzuzeigen, rein faktisch hat das Tool NICHTS gemacht, keinen Scan, nichts.
Ich sags mal so, in meiner Küche tropft seit 2 Tagen der Wasserhahn und in China ist ein Sack Reis umgefallen, das mögen beides tragische, weltbewegende Ereignisse sein, die bei jedem Naturschützer apokalyptische Gedanken hervorrufen, haben aber genauso viel mit verschlüsselten Verbindungen im Netz zu tun, wie dein Fake-Virenscanner.

Dass "Virenschutz" mehr Schein als Sein ist, ob jetzt wirklich etwas passiert oder ob nur "System clean" angezeigt wird, spielt keine Rolle. Etwas anderes habe ich aber auch nie behauptet. Es gibt eben Sicherheit und Sicherheitsgefühl und gefühlte Sicherheit und nicht alles ist immer gleich. Einen insbesondere closed source kommerziellen Virenscanner im Androidstore, der von 1000 Idioten geladen wird, kannst du kaum mit quelloffener Software vergleichen, die milliardenfach in den sensibelsten Bereichen zum Einsatz kommt. Natürlich kann es immer mal Schwachstellen geben und wahrscheinlich gibt es sogar unter den VPN-Software-Entwicklern schwarze Schafe.
Aber das lässt sich nun mal nicht vermeiden und deshalb nimmt man ja nicht irgendwelche closed-source Software vom Osterhasen, sondern eine, die aktiv genutzt, entwickelt und stets auf Sicherheit getestet wird..

Die gleiche Illusion laeuft mit all den ach so tollen pay-vpns. Glaubst Du denn im ERNST das Behörden die andere Botschaften mit eigener Infrastruktur ausspionieren stehen bleiben und sagen:
"Oh shit, AccC nutzt auf seinem Mainstream System, einen Mainstream VPN Provider, Mist, da koennen wir ja jetzt nichts machen, was fuer ein Held"
Vielleicht könntest du auch das Niveau anheben und mit einer sauberen Argumentation kommen. Wenn du so viel weißt, dann schildere hier doch mal ein Angriffsszenario auf eine über ein VPN abgewickelte und verschlüsselte Verbindung.
 

supreme

Neu angemeldet

Registriert
9 Dez. 2013
Beiträge
24
Und was genau möchtest du damit jetzt "beweisen"?
VPNs sind genau dazu entworfen sicheren Datenaustausch auf einem potentiell unsicheren Netz zu realisieren.
Da können deine Provider und Knotenpunktbetreiber und NSA, BKA, BND, Mossad und notfalls auch deine Mama machen, was sie wollen, die können die übertragenen Bytes einzeln lesen und es wird ihnen leider genau nichts bringen. Die Annahme ist natürlich, dass die Crypto funktioniert.

Kleiner Reality Check:
Jeder Microsoft Thread Management Gateway kann mittels 2 clicks in JEDE art von crypto reinschauen OHNE das der User IRGENDWAS davon mitbekommt und das seit 2009.
Solange Du irgedjemandes Infrastruktur nutzt ist Du im Arsch.

Aber das lässt sich nun mal nicht vermeiden und deshalb nimmt man ja nicht irgendwelche closed-source Software vom Osterhasen, sondern eine, die aktiv genutzt, entwickelt und stets auf Sicherheit getestet wird..

Das was Du da phantasierst ja vorzueglich bei OPENssl funktioniert, NICHT. Open Source ist business technisch gesehen komplett vor dem AUS. Niemand stellt sich mehr freiwillig irgendeine gefummelte Linux Schuessel in sein Netzwerk wenn er nicht unbedingt muss. Das hat zum einen was mit verschiedenen Rechtlichen vorgaben zu tun zum anderen will man sich nicht an linux nerds binden etc etc - kurz: open source ist bald weg vom fenster, zumindest business seitig.

Vielleicht könntest du auch das Niveau anheben und mit einer sauberen Argumentation kommen. Wenn du so viel weißt, dann schildere hier doch mal ein Angriffsszenario auf eine über ein VPN abgewickelte und verschlüsselte Verbindung.

DU koenntest erstmal versuchen DEIN Niveau auf den aktuellen Stand der Dinge zu "heben".

Habe mal ein paar kleine Screens von unserem alten System angehaengt, exakt mit der gleichen maßnahme nimmst Du mittels 2 clicks JEDE vpn verbindung auseinander. Da du dich ja berufen fuehlst anderen Usern bei Sicherheitsfragen zu helfen, wird es ja fuer dich ein leichtes sein heraus zu finden wie das im Detail funktioniert:


http://gyazo.com/c4706b1850b7af8bb78ef793ec2a4748

An die Option kann ich mich noch sehr gut erinnern:

http://gyazo.com/51206d09924420d73776015edca822d8

Nochmal, wir sprechen hier von einem Mainstream Produkt, da gibt es aktuell ganz andere appliances fuer gar nicht mal viel geld ( $8500 - $9500 )
damit muss man nicht mal mehr basteln um vpn/ssl direkt auseinander zu schrauben.
 

Kugelfisch

Nerd

Registriert
12 Juli 2013
Beiträge
2.342
Ort
Im Ozean
Kleiner Reality Check:
Jeder Microsoft Thread Management Gateway kann mittels 2 clicks in JEDE art von crypto reinschauen OHNE das der User IRGENDWAS davon mitbekommt und das seit 2009.
Solange Du irgedjemandes Infrastruktur nutzt ist Du im Arsch.
Das ist selbst abgesehen davon, dass das Produkt `Threat Gateway` heisst, nicht korrekt. Korrekt ist, dass Microsofts Forefront TMG (genau wie viele andere MitM-fähige Proxies auch) SSL-/TLS-Verbindungen über einen Man-in-the-Middle-Angriff überwachen kann. Allerdings muss der TMG dazu ein X.509-Zertifikat für den Common Name des Zielhosts ausstellen, welches der Client nur dann akzeptieren wird, wenn zuvor das Root-CA-Zertifikat des TMG importiert wurde. Andernfalls wird die Verbindung mit der Begründung, das Zertifikat stamme aus keiner vertrauenswürdigen Quelle, abgebrochen.

In üblichen Setups wird das TMG-Root-Zertifikat über die Domäne auf allen Clients verteilt und als vertrauenswürdig klassifiziert (vgl. http://technet.microsoft.com/en-us/library/ee796230.aspx und http://www.isaserver.org/articles-t...front-Threat-Management-Gateway-TMG-2010.html). Das funktioniert allerdings nur dann, wenn der Administrator auch über administrative Rechte auf allen Clients verfügt. Dann könnte er aber ohnehin sämtliche Aktivitäten direkt überwachen. In Unternehmen sind solche Setups durchaus üblich, im privaten Umfeld jedoch keineswegs (und dies ist das Szenario in diesem Thread).

Eine Alternative wäre, dass eine `vertrauenswürdige` CA ein Sub-CA-Zertifikat ausstellt. Wenn allerdings bekannt würde, dass solch ein Zertifikat missbraucht würde, um Host-Zertifikate für fremde Domains auszustellen (was ein MitM-Proxy tut), müsste die CA das Zertifikat entweder widerrufen, oder würde riskieren, dass ihr Root-Zertifikat aus den Trust-Stores verbreiteter Browser und Betriebssysteme entfernt wird - siehe z.B. http://www.heise.de/security/meldung/Trustwave-verkaufte-Man-in-the-Middle-Zertifikat-1429722.html

Ausserdem funktioniert dieser Ansatz nicht ohne Weiteres bei Anwendungen, welche implizit oder explizit das Zertifikat und/oder den öffentlichen Schlüssel des Zielhosts speichern und warnen, wenn diese ausgetauscht werden (Certificate Pinning). Das ist z.B. bei SSH und OpenVPN (das CA-Zertifikat wird üblicherweise mit der Konfiguration weitergegeben) der Fall.

Das was Du da phantasierst ja vorzueglich bei OPENssl funktioniert, NICHT. Open Source ist business technisch gesehen komplett vor dem AUS.
Unabhängig davon, dass ich das die Aussage in einer solch pauschalen Form bezweifle: Welcher Zusammenhang besteht zur Fragestellung in diesem Thread? Dass freie Software im Unternehmensumfeld eingesetzt werden sollte wurde nicht vorgeschlagen. Als privater Benutzer kann man die Software einsetzen, welche dem jeweiligen Anwendungsfall am besten entspricht. Für anonymisierende VPN zum privaten Gebrauch ist z.B. OpenVPN relativ weit verbreitet, während es im Unternehmensumfeld kaum benutzt wird.
 
Zuletzt bearbeitet:
Oben