Mit FreeBSD sicher gegen "Online-Dursuchungen"?

cabriofahrer

Well-Known Member
Wie man in letzter Zeit öfter in den Medien gehört hat, wollen die Sicherheitsbehörden nun immer häufiger sog. "Online-Dursuchungen" vornehmen.
Dabei werden mit Sicherheit auch Sicherheitslücken von Windows genutzt, wie ich mir vorstellen kann.
Doch wie sieht es mit FreeBSD aus? Ist man damit gegen ein derartiges Vorgehen eher geschützt?
 
Ja und nein. Ein System ist halt immer so sicher, wie es der Admin gestaltet. Es gibt ja auch durchaus sichere Windowsserver im professionellen Umfeld. Gefährlicher sind die nicht abgesicherten Windowskisten, die unmittelbar am Netz hängen.

Wer sich 'ne FreeBSD-Kiste ins Netz hängt, haufenweise alte und lückenhafte Software installiert und alle Ports öffnet, macht es potentiellen Angreifern aber auch leicht ....
 
Macht denn die Standardinstallation von FreeBSD die Fensterchen alle auf und ruft: "Herein mit euch!" :confused:
 
In der Standardinstallation wohl sicher nicht. Man darf sich ja nichmal als root per SSH standardmäßig anmelden. Und je nachdem was du unter Standard verstehst, ist nicht mal SSH aktiviert.
 
Wie man in letzter Zeit öfter in den Medien gehört hat, wollen die Sicherheitsbehörden nun immer häufiger sog. "Online-Dursuchungen" vornehmen.
Dabei werden mit Sicherheit auch Sicherheitslücken von Windows genutzt, wie ich mir vorstellen kann.
Doch wie sieht es mit FreeBSD aus? Ist man damit gegen ein derartiges Vorgehen eher geschützt?

Hallo cabriofahrer,

erstmal einen abgedroschenen Satz hierzu, eins ist sicher nichts ist sicher !
Gibt ja zu diesem Thema "Bundestrojaner" auch einen "Thread" hier....
Die Frage die sich nun in diesem Kontext stellt ist doch die wie sicher ist mein jeweiliges Os und oder wie gestalte ich aktiv Sicherheit ?
Es gibt auch unter FreeBsd Sicherheitslöcher und es werden auch Shellcodes-Payloads dafür geschrieben schaue Dir dochmal hierzu das Projekt "Metasploit" an..

http://metasploit.com/

Du wirst überrascht sein was da so alles geht....

Dann lese doch mal zum Beispiel Projektseiten wie "Month of Browser" Bugs " Month of php Bugs " oder " Month of Apple Bugs" denke die haben eins deutlich gemacht Sicherheit setzt aktives Arbeiten und Brain 2 voraus....

Denke es war für die MacUser ein Schock zu erfahren, wie einfach es ist ein "Fernwartungsprogramm" auf dem Mac per manipuliter Bilddatei und Unix Befehlssatz "erfolgreich zum Laufen zu bringen"

Viele Bugs sind von Apple bis heute nicht gefixt worden, der Hammer sogar eine Benachrichtigung von Seiten Apple an die User gab es nicht, das ist unter Microsoft aber sowas von anders, und bei Gott bin bestimmt kein M$ Freund...

In diesem Sinne LG rudy
 
Es gibt einfache Mittel wie Rechteänderung von /home aber auch gute Tools wie Tiny Honeypot das verbindung mitlogt und nichtgewünschte Verbindungen umleitet oder ins leere laufen läßt...ich weiß nicht was es interessantes gibt auf meinem Rechner und den Rechner hacken, naja da kann die Polizei ohne weiters jede Wohnung oder Auto aufbrechen bei Verdacht

Ich halte die Mittel für den Zweck übertrieben da gerade so Sachen Kinderpornographie so gut wie nicht bestraft werden und es einfach auf Überwachung hinausläuft..Terroristen benutzen dann andere Mittel zum Zweck..leidtragende ist der Bürger

eien weitere Möglichkeit wäre MirBSD, oder es gibt mal sowas wie remote-exploit oder mit zukünftiger Rechenpower arbeiten alle mit virtuellen Maschinen/Desktops
 
Zuletzt bearbeitet:
bei der onlinedurchsuchung wird nicht auf irgendwelche exploit tools zugegriffen sondern lediglich dns anfragen manipuliert alo im Klartext ... es gibt auf jedem betriebssystem verschiedene programme die automatisch oder manuell updates oder informationen aus dem internet beziehen ...

wenn wir uns mal auf die updates konzentrieren ... hier wird einfach dem betriebssystem ein update suggeriert und entsprechend runtergeladen und installiert -> die meisten werden diese manipulation nicht merken und das programm wird mit root oder admin rechten ausgeführt ... mir ist aktuell kein mechanismus bekannt um dies effizient zu verhindern ... klar MD5 HIDS usw. den aufwand treibt kaum einer ... und der der es tut hat ganz andere Probleme :)
 
also die meisten betriebssysteme überprüfen mittlerweile die checksummen, wenn sie updates einspielen (wenn man die jeweiligen tools für die pakete nimmt). wenn man updates von hand einspielt, sollte man dennoch drauf achten, dass es das richtige paket ist und die checksumme von hand prüfen (damits nachher auch sicher läuft und nicht beim transport beschädigt wurde).
 
eien weitere Möglichkeit wäre MirBSD, oder es gibt mal sowas wie remote-exploit oder mit zukünftiger Rechenpower arbeiten alle mit virtuellen Maschinen/Desktops

Was bedeutet der oben stehende Satz?
- MirBSD hat remote-exploits schon eingebaut? :confused:
- Es lohnt sich fuer Vater Staat nicht, den Bundestrojaner fuer OS zu schreiben, welches nur 20 User hat? :confused:
- Virtuelle Maschinen sind nicht angreifbar? :confused:
 
Es gibt einfache Mittel wie Rechteänderung von /home
Wenn Du Dir auf Deinem eigenen home die Leserechte entziehst, wird das vielleicht was bringen ;)
eien weitere Möglichkeit wäre MirBSD, oder es gibt mal sowas wie remote-exploit oder mit zukünftiger Rechenpower arbeiten alle mit virtuellen Maschinen/Desktops
Selbst dann wird immer der Wunsch bestehen, Daten aus der virtuellen Maschine auf eine physikalische zu transferieren, mit der Gefahr sich was einzufangen.
ron schrieb:
bei der onlinedurchsuchung wird nicht auf irgendwelche exploit tools zugegriffen sondern lediglich dns anfragen manipuliert
Woher hast Du denn bitte diese Information? Arbeitest Du beim BKA?

Nach allem was ich bisher dazu gelesen habe wird es wohl darauf hinauslaufen, daß beim Provider spezielle transparente Proxies bzw. Bridges eingesetzt werden sollen, die das Schnüffelprogramm gezielt an Binaries anghängen, die der zu Überwachende herunterlädt. Da könnte ein FreeBSD-System durchaus ein Vorteil sein, da ja i.d. Regel nur Sourcen heruntergeladen werden. Dort könnte allerdings natürlich auch Schadcode eingeschmuggelt werden, die Frage ist ob unsere geschätzten Behörden diesen Aufwand betreiben würden.

Was auch immer dort konkret geplant wird: Das ganze muß meiner Meinung nach auf jeden Fall auf anderer Ebene als auf technischer bekämpft werden. So weit darf es erst gar nicht kommen.
 
@makenoob bei automatischen updates kann man wenig prüfen ... in der regel geschiet dies automatisch und du holst dir die checksum und die datei von einem fremden server ... wenn dein dns verbogen ist wirst du niemels festellen das dir da was untergeschoben wurde ... das gleiche kann beim manuellen sein ... die sicherheitsbehörden werden das verhalten über einen längeren zeitraum analysieren und werden dann ermitteln ob du deine updates von hand oder wie auch immer installiert bzw. was du für betriebssystem einsetz ... danach erfolgt eine gezielte manipulation ->

z.B
DNS des Windowsupdateservers zeigt auf den Bundesserver oder wird übern nen Proxy manipuliert
windows fragt beim Windowsupdateserver nach Updates ...
der Fake Server sagt ja ich hab eins ...
Holt sich das Upate und checkt es wieder beim Fakeserver -> ist also Gültig
Installiert es ... und das alles ohne das der user einen Mausklick hierzu gemacht hat

dies wird bereits seit Jahren so gemacht sowohl in Spionage (über DNS Poisoning Attack) als in Behördlichen Kreisen! (über man in the Middle Attack )

Bei letzteren kann es aber nicht vor Gericht verwendet werden ... da nicht legal ... das einzige was sich ändert ist das es nun Gerichtlich verwertbar ist.
 
@zzz nein ich bin nicht beim bka ... ich bin freiberufler :)

Das heißt ja nichts, siehe http://www.andreas.org/blog/?p=307

DNS-Poisoning dürfte erhelblich schwieriger (und unzuverlässiger) sein als die Manipulation des Datenstromes selbst beim Provider. Würde aber im Prinzip aufs gleiche hinauslaufen.

Zum Thema Windowsupdate: Die Pakete sind digital signiert, die Möglichkeit besteht also nicht. Anders siehts z.B. mit den automatischen Updates anderer Produkte wie z.B. Firefox oder ironischerweise des Virenscanners aus. Ich glaube nicht daß alle durchweg mit Signaturen arbeiten.
 
@zzz nein ich bin nicht beim bka ... ich bin freiberufler :)

Hallo ron,

also derzeit finden sind verschiedene Diskussionen statt, wie den der sog.Bundestrojaner technisch umgesetzt werden könnte... bzw.. WIRD !
Diese reichen von schwarzer bis weisser Spion oder auch Deine These wird ernsthaft diskutiert...
Deine These ist aber mit Abstand die effiziensteste weil wie Du schon treffend bemerkt hast es faktisch derzeit keine wirksame Vereidigung dagegen gibt...

In dem von mir besagten Thread ("Bundestrojaner") hier im Forum findet man auch Links die in diese Richtung gehen und so wie es aussieht, sind, oder waren MAD oder BND schon diebezüglich am Machen was aber von Regierungsseite heftigst dementiert wird..

Aber das kennen wir ja schon Oder !! Siehe den Fall Murat...

rudy

Noch nachgereicht Schwarzer / Weisser Spion was ist das siehe hierzu Bericht in Heise vom 11.03. 2007

http://www.heise.de/security/artikel/print/86415
 
Zuletzt bearbeitet:
es funktioniert auch mit Zertifikaten ... teste mal ein bisserl mit SSL Proxys, dann wird dir alles klar ...
 
-remote-exploits ist eine linuxdistri für Sicherheit
-home kann man für andere user unsichtbar machen
-alle arbeiten an virtuellen Maschinen, MS, die Linuxfraktion etc..man kann dann eben auf knopfdruck den orginalen Zustand herstellen...ich weiß nicht was die Zukunft bringt und der Weg der IT hinführt, ich denke nichts wird hundertprozentig sicher sein schließlich arbeiten z.B die NSA und auch Experten für Verschlüsselung zusammen und werden immer einen Weg finden sich einzunisten oder abzuhören. Das wird vielleicht in den nächsten Jahren der zweite Arbeitsgang am PC nach Virenbekämpfung und Updates.

Jedenfalls bringt BSD genug Tools mit um veränderungen am System aufzuspüren oder Unregelmässigkeiten festzustellen
 
-home kann man für andere user unsichtbar machen
Wenn aber das Schnüffelprogramm mit Deinen Rechten ausgeführt wird kann es Dein home auslesen.
-alle arbeiten an virtuellen Maschinen, MS, die Linuxfraktion etc..man kann dann eben auf knopfdruck den orginalen Zustand herstellen...
Und man installiert sich nie wieder irgendwelche Software?

ron schrieb:
es funktioniert auch mit Zertifikaten ... teste mal ein bisserl mit SSL Proxys, dann wird dir alles klar ...
Ich wüsste jetzt nicht was SSL-Proxies mit signierten Binaries zu tun haben sollten.
 
-remote-exploits ist eine linuxdistri für Sicherheit
-home kann man für andere user unsichtbar machen
-alle arbeiten an virtuellen Maschinen, MS, die Linuxfraktion etc..man kann dann eben auf knopfdruck den orginalen Zustand herstellen...ich weiß nicht was die Zukunft bringt und der Weg der IT hinführt, ich denke nichts wird hundertprozentig sicher sein schließlich arbeiten z.B die NSA und auch Experten für Verschlüsselung zusammen und werden immer einen Weg finden sich einzunisten oder abzuhören. Das wird vielleicht in den nächsten Jahren der zweite Arbeitsgang am PC nach Virenbekämpfung und Updates.

Jedenfalls bringt BSD genug Tools mit um veränderungen am System aufzuspüren oder Unregelmässigkeiten festzustellen

Hallo flex6,

sicher das stimmt alles so wie Du es benannt hast unwidersprochen, gibt auch das Projekt Trusted BSD das sich sehr erfolgreich mit Sicherheitsaspekten unter den BSD auseinandersetzt...
In der Vergangenheit dachten viele oh mit Linux oder Unix kann mir nicht viel passieren und besonders ausgeprägt war diese Haltung unter den Macoisten anzutreffen, bis nun ja der mittlerweile bekannte MOAB stattfand und der zeigte ganz eindeutig das Umdenken gefragt ist...

Im Jahr 2006 trat nun etwas zu Tage womit so eigentlich niemand gerechnet hatte das Auftauchen von Multiplattform Viren und Würmern siehe hierzu Kaspersky...

http://www.viruslist.com/de/analysis?pubid=200883519

Der Analyse dieser Sicherheitsexperten schliesse ich ohne Umschweife an, und auch ihre Einschätzung bezüglich Unix...

LG rudy
 
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/87421&words=Durchsuchung

stande in der letzten Meldung zum Thema OnlineDurchsuchung

TrustedBSD /SEBSD und SELinux hat die NSA mitgewirkt und an verschiedenen verschlüsselungstechnologien

das die NSA an SELinux mitgewirkt hat hört man ehrlich gesagt in der Linuxgemeinde nicht gern und läßt das Thema gerne fallen..für Windows gibts wohl sowas von der NSA in Zukunft auch

die andere Seite ist ja auch was haben die BKA-Experten überhaupt auf den Kasten um ein System zu knacken....Geld für solche sachen ist ja auch keins da
 
Zuletzt bearbeitet:
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/87421&words=Durchsuchung

stande in der letzten Meldung zum Thema OnlineDurchsuchung

TrustedBSD /SEBSD und SELinux hat die NSA mitgewirkt und an verschiedenen verschlüsselungstechnologien

das die NSA an SELinux mitgewirkt hat hört man ehrlich gesagt in der Linuxgemeinde nicht gern und läßt das Thema gerne fallen..für Windows gibts wohl sowas von der NSA in Zukunft auch

die andere Seite ist ja auch was haben die BKA-Experten überhaupt auf den Kasten um ein System zu knacken....Geld für solche sachen ist ja auch keins da

Also auch hier stimme ich Dir zu, allerdings hat NSA bei Vista schon gewaltig die Finger im Spiel gehabt, das musste unlängst Microsoft zugeben..
Links hierzu findest Du unter Golem.de oder Techchanel oder dergleichen Fachseiten..

Überhaupt war und ist es so das OpenSource Anhänger so Ihre Probleme mit der NSA haben auch ich muss das einräumen...

Das geht schon zurück bis zu C Zeiten als die Sprache Ada in direkter Konkurenz zu C stand, viele argumetieren hier dann nicht mehr rational und objektiv sondern eher emotional..

LG rudy
 
www.freiheitstattangst.de anstatt Buzzwordbullshitbingo mit Flachwitzfaktor


Buzzwordbullshitbingo mit Flachwitzfaktor zum Zeit totschlagen. :ugly:

Alle technische Maßnahmen ersetzten nicht
die Verantwortung von Bürgern, auf ihr Grundgesetz
zu achten und sich für ihre Bürgerrechte selbst
zu engagieren:
- www.freiheitstattangst.de

Wenn Bürger sich nicht selbst für die Einhaltung
der Grundgesetze, die sie vor Machtmißbrauch
schützen sollen, einsetzen,
sind auch technische
Schutzmaßnahmen nicht hinreichend. ;'(

Für "hochprofessionell"
gebe ich beim Buzzwordbullshitbingo
übrigens 100 Gummipunkte für
das illegale heimliche Bundestrojanisieren. :ugly:

Es gibt Creative Commons Musik (mp3)
über dies Thema, welche sich legal und kostenlos downloaden lässt:
- http://su2.info/d/ak-vorrat/Sicherheitswahn.mp3
- http://www.daten-speicherung.de/kontrolle_muss_sein.mp3
Beide Songs:

(Klicken für Details)


Gruß, Fusselbär
 
http://www.heise.de/security/artikel/86415/0


außerdem sprechen alle bei der Onlineüberwachung von MS und Windows:D

sieht für den Rest garnicht schlecht aus....man weiß beim BKA was Terroristen und Kinderschänder benutzen


Nicht,
das ich nicht auch gelegentlich ein bißchen
orginal MS Bashing (tm) genießen würde, ;)
aber immer nur davon auszugehen,
das es bloß "die Anderen" trifft
und sich an ihrem Leiden zu weiden,
hilft in der Sache auch nicht weiter!

Erst mal auf gesellschaftlich wenig
akzeptierte Randgruppen losgehen
(welche auch schon mal sehr viele sein können)
ist doch nur bewährte Salamitaktik (tm).

Da gilt es einfach mal, sich zusammenzureißen
und egal, welches OS, einig für seine Bürgerrechte einzutreten.
Stellt euch nur mal vor, ihr schreibt einer Freundin
die ein Bundestrojanieriertes Windows hat.
Ist doch keine schöne Vorstellung!
Etwas gelegentliche Neckerei wegen Windows
mag ja hin und wieder mal ganz nett sein,
aber wer will schon ernsthaft, das alle Windows
benutzende Freundinen und Freunde dauerhaft
Bundestrojanisiert dauergefistet werden?


Gruß, Fusselbär
 
Ich benutz auch noch Windows und bei der nächsten Install auch im Bekanntekreis werd ich bei Abfrage nach Rechnername gleich Kabul oder Landmine angeben:ugly:
 
Zurück
Oben