Vor Remote Keylogger schützen

Lance

Well-Known Member
Moin,
Auf was muss ich achten damit keiner (Server) übers Netzwerk meine Tastatureingaben mitschneidet oder Screenshots macht. Ich hoffe das hier ist der richte Thread dafür. Sorry für diese Noob-Frage.
 
Angeblich werden von einem Server KeyLogs aber auf jeden Fall Screenshots von den Clients im Netzwerk gemacht. Mehr weiss ich nicht. Offiziell weiss keiner was genaues. Ich will mich davor schützen dass Tastatureingaben auf meinem Client ausspioniert werden.
Genaueres werde ich sicher nicht erfahren da man mir 100% ins Gesicht lügen wird. Die Clients sind Windows-Maschienen.
Ich habe leider wenig Ahnung bzw Erfahrung mit Remote-Keyloggern etc. Keine Ahnung ob Ausschalten von sshd reicht oder ob ich zwingend eine Firewall brauche für sowas (im Falle von FreeBSD)
Mein Client ist momentan noch ein verschlüsseltes Linux-System.
 
Wenn du dein Linux verwendest, und niemand ausser dir darauf Zugriff hat, dann kann so einfach keiner Screenshots davon machen, was du auf deinem Rechner machst.

Wenn dein Client dann ein Windows ist, dass durch eine Domain kontrolliert wird - du hast quasi keine Chance, dich davor zu schuetzen. Ansonsten gilt bei Netzwerken was @Andy_m4 sagt.
 
Hallo Lance,

hilfreich wäre es , wenn du das Ganze ein wenig ordnen würdest. Windows-Maschinen, FreeBSD und dann noch ein verschlüsseltes Linux-System. Wer lügt dir ins Gesicht? Dein Boss?

Freundliche Grüße
Jonas
 
Die Clients sind bis auf 2 nicht in einer Domäne. Meiner sowieso nicht. Ich plane demnächst, das Linux durch FreeBSD zu ersetzen daher werfe ich letzteres in den Raum.
Und ja, der Chef lügt, den brauch ich nicht erst fragen. Offiziell ist natürlich nichts.
 
Es ist eigentlich vollkommen egal, welches Betriebssystem du verwendest. Solange niemand direkten Zugriff (RDP, VNC, SSH, Powershell - was auch immer) auf deinen Rechner hat ist es quasi unmöglich, dass der- oder diejenige ohne dein Wissen Screenshots macht oder Tastatureingaben mitschreibt.

Ich hab bei dir immer ein bisschen das Gefühl, dass du den Aluhut auf hast (nimm's mir nicht übel), dementsprechend halte ich es für durchaus sinnvoll, zu eruieren woher das Gerücht stammt und ob da realistischerweise überhaupt irgendwas dran sein kann.
 
Es gibt da auch noch diese USB Keylogger, die man zwischen Tastatur und Rechner steckt.

Aber ja, Lance wird wohl etwas weiter ausholen müssen, warum er diesen Verdacht hat.
 
Mein Client ist momentan noch ein verschlüsseltes Linux-System.
was in dem Fall jedenfalls nichts bewirkt, also, dass das System verschlüsselt ist, schützt nicht vor Angriffen im laufenden Betrieb.

Über Keylogger habe ich gelesen, dass die sich gerne in Browsern verbergen und evtl über Websites eingestreut werden. Inweiweit das verhindert werden kann, indem man etwa Java nicht nutzt und auch sonst restrictive Einstellungen setzt, weiß ich nun nicht wirklich. Jeder Keylogger muss aber Zugriff auf die HW-Schnittstellen haben, die HW selbst oder den X-Server auslesen können. Ich glaube, dass man deshalb schon einen ganz guten Schutz haben wird, wenn man entsprechend restriktive Rechte setzt (evtl wie bei Hardend-BSD).
Das gilt natürlich ganz generell für alle Programme, die man ausführen möchte, nicht nur für etwas im Browser.
Ich meine, Keylogger und Screenshots sind ja etwas anderes, als Daten bei der Übertragung von Rechner A zu Rechner B über das Netzwerk auszuspähen. Wie ich das verstehe, müssen die immer auf dem Remote-Host installiert (aktiviert) sein. Und wir können da schon einige Dinge einstellen, die Programmen nicht einfach erlauben, aktiv zu werden. Meist ist es ja genau so, dass Programme bei uns gar nicht so ohne Weiteres starten und man dann extra aktiv werden will, um bestimmte Dinge zu erlauben. Also, ich meine nun bei FreeBSD. Das ist per Default schon viel besser eingestellt, als ich das bei GNU/Linux-Distributionen gesehen habe. Zumindest mein Eindruck.
 
Und ja, der Chef lügt, den brauch ich nicht erst fragen. Offiziell ist natürlich nichts.

Das Problem kriegst du mit Technik niemals in den Griff.

In Anbetracht des momentanen IT-Arbeitsmarktes: kündigen und neuen Job suchen? Mit UNIX-Kenntnissen wird man momentan mit guten Job-Angeboten bombardiert. Hier im Süden der Republik zahlen die IT-Unternehmen teilweise fünfstellige Vermittlungsprämien, wenn man neue Festangestellte in die Firma holt.

Also, ich meine nun bei FreeBSD. Das ist per Default schon viel besser eingestellt, als ich das bei GNU/Linux-Distributionen gesehen habe. Zumindest mein Eindruck.

Leider nicht - FreeBSD hängt hier meist hinterher: FreeBSD - a lesson in poor defaults
 
Und ja, der Chef lügt, den brauch ich nicht erst fragen. Offiziell ist natürlich nichts.
Ich weiß nicht, wieviel Sinn es macht solche Probleme technisch erschlagen zu wollen.
Ich versuch mal in die Problematik einzutauchen.

Also zunächst einmal gibt es ja nicht viel Gründe seinem Arbeitgeber zu verheimlichen, was man am Arbeitsplatz macht. Der bezahlt einen ja und schließlich will er ja auch was davon haben.
Ein Grund könnte darin bestehen, dass man Privatkram auf Arbeit macht. Das ist aber weder ratsam noch zulässig. Viele Arbeitgeber dulden es zwar, wenn man z.B. in den Pausenzeiten umhersurft. Aber man hat halt keinen Anspruch darauf und es kann auch in die Hose gehen (bis hin zur Abmahnung). Man sollte es tunlichst sein lassen.

Auch wenn man nur seiner normalen Arbeit nachgeht hat natürlich der Arbeitgeber trotz allem nicht das Recht Dich quasi lückenlos zu überwachen.
Trotzdem frage ich mich, was bei Dir dahinter steckt und woher das Misstrauen kommt.
Die offensichtlichste Variante ist, dass Arbeitnehmer-Arbeitgeber-Verhältnis ist alles andere als gut. Und wie eingangs gesagt, dass lässt sich nur schwer technisch lösen. Weil das Verhältnis wird ja davon nicht besser. Im Gegenteil. Solche Aktionen wie das Arbeitsgerät eigenmächtig "zumachen" drehen halt nur die Spirale weiter, helfen aber nicht wirklich.

Technisch lässt sich natürlich Einiges machen. Allen voran das System so zu konfigurieren das man halt von "außen" (Netz) nicht dran kommt. Ist in der Regel aber meist eh schon so.
Der schwierigere Teil ist den Rechner davor zu schützen, dass ihn jemand manipuliert. Wenn also während Deiner Abwesenheit ein Programm drauf installieren kann, ist das natürlich ein Sicherheitsproblem. Dem kann man mit Passwortschutz und verschlüsselten Dateisystem entgegenwirken.
Das erschwert die Sache, aber macht einen Einbruch nicht unmöglich. Der einfachste Weg ist, jemand kommt an Dein Passwort. Sei es nun durch abschauen während Du es eintippst (Kameras) oder den schon angesprochenen Hardwarekeylogger.

Und selbst wenn Du hier alles "safe" hast wird es spätestens dann zum Problem, wenn Du Dein Rechner verlässt.
Wenn Du also z.B. Dateien bearbeitest die auf irgendwelchen Fileservern liegen helfen Dir lokale Schutzmaßnahmen nicht mehr. Wer Macht über den Fileserver hat, kann auch die Datei sehen (es sei denn die Datei ist verschlüsselt).
Auch das eben schon beschriebene umhersurfen findet außerhalb deines Rechners statt, da Du die Netzinfrastruktur des Arbeitgebers benutzt. Auch dagegen kann man sich z.T. schützen. Alles eine Frage des Aufwandes.

Letztlich muss man wissen, ob einem all das das wirklich wert ist oder ob ne nachhaltigere Lösung nicht eher darin bestehen würde, das Gespräch zu suchen oder ggf. den Arbeitgeber zu wechseln.

So wie es sich für mich darstellt, halte ich Deine Pläne für nicht besonders zielführend.
 
FreeBSD hängt hier meist hinterher
Dann halt in der Variante HardenedBSD.
Wobei wir uns,glaub ich, einig sind, dass man bei nem Angreifer gegen den man gängige Systeme nicht richtig absichern kann dann doch ein GANZ ANDERES Problem darstellen.

Denn so schnell übernimmt man selbst ein Windows nicht, als das man jeglichem "Scriptkiddie" hilflos ausgeliefert ist.
 
Leider nicht - FreeBSD hängt hier meist hinterher: FreeBSD - a lesson in poor defaults
Danke für den Link. Das werde ich mir mal näher ansehen, bei Gelegenheit.
Bisher habe ich mir nur Hardend-BSD angesehen und Einstellungen daraus mit Diensten und dem System verglichen, was ich aus FreeBSD benutze und dann ein wenig angepasst.

Was ich auch meinte, war eher, dass wir von selbst nicht so sehr viele Dienste und zusätzliche SW starten, die dann womöglich auch noch das Recht haben, das System zu verändern und/oder SW selbstständig zu installieren. Hier müssen wir in FreeBSD doch ganz bewusst noch Hand anlegen.
Bei einem Fix-und-Fertig-Ubuntu sieht die Welt da schon ganz anders aus.
 
Ich würde euch liebend gern detailliert mehr erzählen aber es kann hier ja jeder mitlesen...! Mir geht es hauptsächlich darum dass PWs nicht mitgeschnitten werden. Und ums Prinzip. Wenn man schon überwacht wird dann bitte offiziell, im Übrigen ist privates surfen nicht verboten bei uns.

Ihr Lieben, danke für euere hilfreichen Antworten. :)

LG Lance
 
@Lance: Firmennetzwerke sind oft nach innen erstaunlich offen - vermutlich dass die notwendigen Services/Altlasten funktionieren; Würd mich nicht wundern, wenn da in vielen Firmen noch Passwörter eh im Klartext durch die Leitung sausen, und jeder Hinz sie mitlesen/abgreifen könnte ...

Vor Hardware-Keyloggern (gibts auch schon komfortabel mit WiFi) gibts auf OS-Ebene m.E. keinen Schutz - höchstens halt finden und abziehen vom Rechner, bzw Hochvoltkondensatoranschlüsse an die Pins halten...

Soft-Keylogger - Schwierigkeitsgrad wenn "Challenge Accepted": je nach Ausgestaltung des Loggers, würd ich sagen;
"Staatsnahe" Unternehmen haben da z.B. auch schon forensische Software für alle möglichen OS gebaut (auch FreeBSD), schlimmstenfalls haben die auch schon Keylogger für Live-View/Dokumentation im Angebot.

Man weiß auch nicht genau, was mit der Intel-ME alles machbar ist, und die ist auch "ausserhalb" des Betriebssystems.

Seit Snowden weiß ja die (IT-)Welt, dass vieles von dem, was gedacht werden kann, auch wirklich umgesetzt wurde...

Der Klassiker: Die Rechner im Internet-Cafe/in der Hotel-Lobby - würd ich mich nie dransetzen bzw nie auf irgendne für mich relevante Seite mit Login gehen, von da aus...
 
Auch wenn ich mich hin und wieder auch für FreeBSD engagierte, so ist und bleibt mein bevorzugtes Produktivsystem OpenBSD. OpenBSD ist für seine Sicherheit bekannt. In der kommenden Version 6.4, die wohl bald erscheint, wird die Sicherheit weiter erhöht, guckst Du hier:

News OpenBSD 6.4

Ist OpenBSD keine Option?
 
Richtig verwirrend was hier für Systeme durch den Raum fliegen, Windows, Linux, BSD ;-)

Ich vertreibe öfters Hardware für kritische Anwendungen / Unternehmen und bei Rechnern gehe ich immer gleich vor.

  1. Intel ME abschalten, bezeihunsgweise unbrauchbar machen
  2. das Geschwür welches sich UEFI nennt ersetzen durch z.B. Coreboot
  3. BS vollverschlüsselt installieren
  4. für die paranoiden cryptsetup Nuke Keys aktivieren

Bei Serversystemen setze ich auf Tools wie aide. Ist der Server konfiguriert wird von einem "entfernten" Server ein Fingerabdruck erstellt, welcher je nach dem mehrmals taeglich ebgeglichen wird. Als Schadensbegrenzung kann das System den Securelevel dann selbst hoch setzen.

Wie gesagt, sind aber äusserst kritische Systeme, für den privat Gebrauch ist es doch etwas aufwendig.

Wenn du dir natürlich im Netz etwas einfängst, sieht die Sache schlecht aus. Hier sind die goldenen Regeln natürlich strikt einzuhalten.
Eine davon ist sicher
  1. verwende kein Falsh....
 
Intel ME abschalten, bezeihunsgweise unbrauchbar machen
Kannst Du uns mal verraten, wie das gehen soll?

Hier ein Überblick über Intels Managements Engine:

Intel ME

Hier steht eindeutig, ich zitiere:

Kann man die ME abschalten?

Gar nicht: Eine Abschaltung sieht Intel nicht vor, auch weil moderne Rechner ohne ME nicht mehr starten würden. Bestenfalls lassen sich bestimmte ME-Funktionen abschalten oder konfigurieren. Durch Zufall kam heraus, dass die NSA für eigene Rechner eine Abschaltung der meisten ME-Funktionen verlangt (High Assurance Platform, HAP). Eine weitgehende Deaktivierung ist also möglich, aber Intel verweigert sie normalen PC-Käufern, dokumentiert sie nicht und leistet auch keinen Support. Dell bietet jedoch US-Behörden wie der NSA und dem Militär Systeme mit optional „deaktivierter“ ME an, also vermutlich HAP-Geräte.

Ob das so stimmt, kann ich mangels Kenntnissen in diesem Bereich nicht überprüfen oder einschätzen.
 
Abschalten ging noch beim GM45, Rechnergenerationen so um 2008/2009 rum, ab Nehalem nicht mehr so ohne weiteres, bzw die Maschinen bleiben nach 30min stehen usw
 
Danke, ich hab mir alles durchgelesen, sehr interessant, aber nur für Profis und Experten, die entsprechenden Bedarf an zusätzlicher Sicherheit haben.
Danke @ralli !

Geht auch mit UEFI und mit originalen BIOS Update Files. Je nach Hersteller kann man sogar die originalen Flash Tools verwenden. Bei manchen muss man auf DOS Tools zurück greifen oder gar per FTDI Interface den Chip direkt lesen und schreiben.

Maschinen bleiben nach 30min stehen usw

Genau das verhindert der me_cleaner,
 
Zurück
Oben