Mit FreeBSD sicher gegen "Online-Dursuchungen"?

Naja, aber du müsstest dann halt jeden code durchlesen, das wirst du nicht schaffen.
Eine Möglichkeit wäre ja, sich z.B. in der Schweiz einen Proxy hinzustellen, dort Symetrisch über IPSec zu veschlüsseln und die Keys durch persönliches Treffen auszutauschen. Theoretisch. Allerdings musst du 1. einen Schweizer kennen, der das tun kann und tun wird, 2. der kann ja auch nicht ewig viele Leute so mit keys versorgen, was also eher eine asymetrische Verschlüsselung erfordern würde. Da geht aber wieder Man in the Middle.
Für mich schaut das ziehmlich düster aus. Nicht zu vergessen, dass der Internetprovider ja dann quasi Feind ist.
---
Falls hier irgendwo dummes gelabere drin ist, sry, bin hundemüde ;)
 
Naja, aber du müsstest dann halt jeden code durchlesen, das wirst du nicht schaffen.
Die Gefahr besteht nicht, dann würden die ja den Source Ihrer Software offenlegen, falls dann doch jemand nachgucken würde :)

Nennt mich naiv, aber den aktuellen FUD glaub ich erst wenn ichs gesehen hab und die ersten Fälle aufgetreten sind. Dann wird recht schnell klar wie es funktioniert hat.
 
Zuletzt bearbeitet:
Opensource Trojaner:)?

OpenSSH hatte doch mal 'nen Trojaner im Source:
http://www.cert.org/advisories/CA-2002-24.html


Aber mal ehrlich, denkt ihr nicht, dass ihr ein _wenig_ übertreibt mit eurer Sorge? Was soll dieser Trojaner denn bitte bewirken können, wenn man nicht gerade als Administrator/root in der Gegend rumsurft ... mal von Anfang an:

Erst einmal: Wenn ich mir mein Betriebssystem übers Internet ziehe, dann hab ich eh verloren - wenn ich dem schon nicht trauen kann, dann ist es vorbei. Wie die Lösung aussieht? Ich verwende OpenBSD und bestelle mir ab und zu (jedes Jahr) eine CD. Wenn ich der Post nicht trauen darf, dann kann ich Wim in Belgien einen Besuch abstatten und gleich das Projekt unterstützen (ich wohne in Niedersachsen, ansonsten muss man sich einen anderen ausländischen Verkäufer suchen).

Die Errata liegen im Quelltext vor, ganz bisschen Verständnis sollte man für C schon haben, um 10 - 100 Zeilen verstehen zu können. Außerdem reicht es, wenn man erkennen kann, dass keine Ports geöffnet werden oder Privilegien oder oder oder ... Könnte aber sein, dass die erst gar nicht mehr im Browser angezeigt werden? Na ja, spätestens dann werd ich Bescheid sagen, weil die Übersetzungen dann auf einmal hinterher hängen. ;)

Und jetzt brauch ich noch einen Browser, zum Beispiel Firefox. Wenn der nicht auf der CD sein sollte, muss ich wohl oder übel von einem Server downloaden. Und jetzt hab ich verloren? Ich denke nicht, denn es gibt Tools wie systrace(1), mit denen ich einstellen kann, dass ich bei jedem neuen Verbindungsaufbau gefragt werden möchte - oder ganz abblocken. Im Übrigen bereits im System und dem traue ich.

Aber mal angenommen, das reicht alles nicht: dann hab ich jetzt also den Trojaner mit Benutzerrechten heruntergeladen und ausgeführt (im Übrigen kann man für den Browser auch einen eigenen Benutzer anlegen und nur das download-Verzeichnis für die Gruppe schreibbar machen). Was will der jetzt machen? Einen Netzwerkport öffnen? Na gut, dann kann er auch gleich meine OpenBSD-Firewall infiltrieren, denn dort werden nur bestimmte Ports weitergeleitet (NAT sei dank). Ist aber sowieso unwahrscheinlich, denn die werden wohl nicht pausenlos Anfragen senden, ob ich schon infiziert wurde. Also müssen aktive Anfragen von mir ausgehen. Sonst gäbe es nur noch die Möglichkeit, dass das Netzwerkinterface den gesamten Traffic abhört (geht aber mit Benutzerrechten nicht).

Eine aktive Anfrage, die auf alle Fälle durch die Firewall gehen muss - das kann _nur_ TCP sein (ansonsten müsste ich "keep state" oder ähnliches verwenden). Und dafür gibt es das herrliche tcpdrop(8), mit dem TCP-Verbindungen geschlossen werden. Im Übrigen hilfreich, wenn paar Verbindungen noch auf FIN warten und niemals 'ne Antwort kriegen ...

Außerdem funktioniert der Trojaner doch nur ein einziges Mal, es sei denn ich aktiviere ihn nach dem nächsten Neustart nochmal. Und einen Autostart-Eintrag kann man nun wirklich leicht aufspüren. Beim Bootvorgang lass ich die versteckten Verzeichnisse in den Home-Verzeichnissen eh löschen und wieder aus einem Backuparchiv erstellen, das erspart einem die Suche nach Fehlern, wenn man mal wieder rumgespielt hat. :D


Das System mag restriktiv sein, aber es ist möglich - und sogar mit recht geringem Aufwand.
 
Also dann müsste wirklich jemand genau Bescheid wissen, was ich mir da JETZT runterlade und welche Checksumme JETZT zu verändern wäre (und dann muss fer untergejubelte KOMPILIERTE Code auch noch laufen!).
Praktisch gesehen wäre das dazu ne absolute Punktlandung, bei Ports sogar noch ne Veränderung der SOURCEN nötig (Opensource Trojaner:)? )...
Es reicht zu wissen, dass du FreeBSD benutzt, wahrscheinlich nicht schwer herauszufinden, wenn man sich deinen Traffic ansieht.

Niemand muss vorher wissen was du willst. Zum Beispiel kann man sich ziemlich sicher sein, dass du als Desktop Anwender Firefox drauf hast.

Also werden sie dir beim nächsten CVS oder Portsnap Zugriff auf die Ports einfach ein angebliches Firefox Update unterjubeln, das dann neben dem aktuellen Firefox noch eine Backdoor einbaut. Dazu reicht ja schon denn sshd zu aktivieren und einen User in der Gruppe root anzulegen. Dazu muss dann nicht mal zusätzliche Software aufs System.

Alternativ kann man den Backdoor-Öffner gleich in die bsd.port.mk schreiben, dann wird dein System immer geöffnet, wenn du die Ports verwendest. Solltest du hinter einer Firewall liegen, kann auch einfach ein kleines Progrämmchen im Hintergrund geladen werden, das in einem IRC-Channel auf Anweisungen wartet. Wenn das Ports-System infiltriert ist, heißt das für den Angreifer/Staat direkt root Rechte, ohne auch nur einen Port oder eine Prüfsumme manipuliert zu haben.
 
Zuletzt bearbeitet:
Dazu reicht ja schon denn sshd zu aktivieren und einen User in der Gruppe root anzulegen. Dazu muss dann nicht mal zusätzliche Software aufs System.

Hast du wirklich so wenig Kontrolle über dein System, dass dir nicht einmal ein neuer Benutzer oder ein geändertes Passwort auffällt? Selbst wenn solche Informationen durch geänderte Programme nicht mehr angezeigt werden (so gehen Rootkits ja normalerweise vor), so hat man doch hoffentlich wohl noch einen Integritätstest zur Hand - und ich meine einen physikalisch nicht erreichbaren Test (Live-CD mit MD5- und SHA1-Keys aller [wichtigen] Systemdateien der Platte - am besten noch mit Backup, damit man gleich austauschen kann). Ja, so ein Backup ist auch ohne Bundestrojaner angebracht. ;)

Wenn man sich das hier so durchliest, könnte man meinen, dass die Bundesregierung der einzige Feind wäre und ich mir um nichts anderes Sorgen machen müsste ...
 
Hallo, so ein Aufwand für einen Desktop Rechner? Wir reden hier nicht von Servern. Ich mache nur Backups von meinem Home Verzeichnis.
 
Ich behaupte das meiste ist FUD und Legendenbildung. Völlig übertrieben.
Genau das was die wollen. Bisher hat mich nur die Theorie überzeugt.
Vom praktischen sind wir, zumindest bei allen was auf öffentlichem Sourcecode basiert, meilenweit entfernt.
 
Ich behaupte das meiste ist FUD und Legendenbildung. Völlig übertrieben.
Genau das was die wollen. Bisher hat mich nur die Theorie überzeugt.
Vom praktischen sind wir, zumindest bei allen was auf öffentlichem Sourcecode basiert, meilenweit entfernt.

Naja dann würde ich mich an Deiner Stelle auchmal damit beschäftigen was Du so alles erlaubst bei einer Sitzung im öffentlichen Netz sprich dem World Wide Web..
Denke du lauscht gerne Musik egal nun als *.ogg oder *.mp3 wie setzt Du da die Berechtigungen denke du führst diese aus oder ??
Oder schaust Dir mal ein Flash Fimchen an oder sonstiges Video Material, oder zeigst stolz Deinen Desktop farbenprächtig wie der vielleicht ist hier im Forum...
Denke mal dabei an die Macoisten was für ein schock ein Trojaner eingeschleusst durch eine Bilddatei in der Unix Befehle untergebracht waren.. Belege hierzu auf MOAB nachzulesen..
Nun denke Bilder öffnest Du doch oder ?

Dann nicht immer in OS Grenzen denken mal über den Tellerrand schauen....

Frohe Ostern trotz allen rudy

ps.: falls Ihr Bock habt schaut euch doch mal das Metasploit Projekt an, dieses findet Ihr mit der Suchmaschine eures Vertrauens...
 
Nein, ich denke es gibt keinen sicheren Schutz gegen einen Man In The Middle Angriff. Außer vielleicht nur noch alles per CD-Rom von woanders mitbringen.
 
Also jetzt werden zwei Angriffsmöglichkeiten durcheinandergeworden.

Die eine würde auf einer Echtzeitmanipulation des aus dem Internet übertragenen Datenstroms basieren. Damit kann fast alles eingeschleust werden, ohne das es auch nur eine Sicherheitslücke ausgenutzt werden müsste. Dieses Instrument steht ausschliesslich dem Staate bzw. den Providern zur
Verfügung.

Die andere würde darauf basieren, irgendwelche bekannte oder unbekannte Sicherheitslückken eines Systems oder Programms zu nutzen, um dann aktiv in das System einzubrechen. Diese Möglichkeit steht allen zur Verfügung, unterliegt aber auch der Beobachtung aller. Ist eine Lücke bekannt, wird sie auch gleich wieder gestopft., Alter Hut in der OSS Szene.

Auch auf die Gefahr hin mich zu wiederholen:
Erste Variante halte ich nur in der Theorie (BSD) für durchfürbar, da ein Angriff auf ein quellcodebasiertes System auch alle Sourcen den Angreifers offenlegen würde. Das Risiko werden die sicher nicht eingehen. Bei Binaries bin ich bei euch. Das ist einfach.

Die zweite Variante ist zu aufwendig, da der Staat quasi für alle möglichen Systeme und Programme 0-day Exploits bevorraten müsste. Da kann ich nur sagen: Viel Spass beim fummeln.

Ergo:
Bei beiden fährt man mit *BSD doch auf einer ziemlich sicheren Seite (Aktuelle Systems und Programme vorrausgesetzt). Als Windows Benutzer würd ich mir da vielleicht eher Gedanke machen.
 
Erste Variante halte ich nur in der Theorie (BSD) für durchfürbar, da ein Angriff auf ein quellcodebasiertes System auch alle Sourcen den Angreifers offenlegen würde. Das Risiko werden die sicher nicht eingehen. Bei Binaries bin ich bei euch. Das ist einfach.

Um einen solchen Angriff zu starten, müßte man aber im Vorhinein wissen, welcher Port denn nun demnächst installiert werden soll oder sie müßten alle Packages vorhalten und hoffen, daß man dann auch Packages installiert. Ports wären analog.

Man sollte da auch eine Kosten/Nutzen-Analyse machen und stellt schnell fest, daß das abhören des Traffics an sich an Schlagwörtern vermutlich praktikabel ist.

Das Eindringen in ein System ist auf herkömmliche Art und Weise vermutlich deutlich einfacher und schneller, als mit der ganzen Pokerei um die zu installierende Software.
Hab ich einen laufenden Server ohne Sicherheitsprobleme, der seine Aufgaben anstandslos erfüllt, lass ich die Kiste rennen und frickel nicht permanent an irgendwelchen Ports rum. Der Angriff drüber scheidet damit automatisch aus.

Mal davon abgesehen, sind die Geheimdienste, Geheimdienste, weil sie geheim sind. Sie kümmern sich eh wenig um die ständige Rechtsprechung und werden hacken wo sie können und einen Sinn sehen. Für den Rest haben sie weder Zeit noch Geld, noch Leute.

justmycents
 
Hallo, so ein Aufwand für einen Desktop Rechner? Wir reden hier nicht von Servern. Ich mache nur Backups von meinem Home Verzeichnis.

:huth:

Es ist doch wohl völlig irrelevant, ob schützenswerte Daten auf einem Server oder auf einem Desktoprechner liegen. Es ist wohl allenfalls eine Frage, wie wertvoll meine Daten sind und wie viel Aufwand ich in die Sicherung und in den Schutz investiere ...

Aber nun gut, es scheint als wenn dieser Thread darum geht, sich größt möglich mit Selbstmitleid zu besudeln. Ansonsten würde man mal mit Ideen auffahren statt zu sagen "das geht sowieso alles nicht."

Nein, ich denke es gibt keinen sicheren Schutz gegen einen Man In The Middle Angriff. Außer vielleicht nur noch alles per CD-Rom von woanders mitbringen.

Hmmm, also CDs sind vertrauenswürdig? Na gut, dann hab ich auch einen vertrauenswürdigen Ports-Tree mit vertrauenswürdigen Prüfsummen. Dann werde ich doch bei einem Update auch benachrichtigt, wenn die nicht übereinstimmen. Tja, sind lokale Prüfsummen also doch nicht sooo schlecht. ;)
 
Nun nehmen wir einmal an, wir haben einmal einen Aktuelle OpenBSD Router/Firewall.
Diesen haben wir von der gekauften OpenBSD CD installiert. Schoen neuste und sicherste Version. Wir nutzen keine Daten die irgendwie aus dem Internet haetten runtergeladen werden muessen, also keine Extra Server oder Programme, sondern nur das noetigste, Praktisch nur Standard Installation.
Wir stellen das Teil auf, konfigurieren es und lassen es stehen, fassen es nie wieder an.
Selbst wenn die jetzt auf meiner FreeBSD den Code einschleusen wuerden, der wuerde die noch nicht auf meinen Rechner zugreifen lassen, der muesste ja erst an meiner Firewall vorbei. Und da ich da nichts mehr Installiere(zumindest kein kram und keine Binaries wo kein Sourcecode vorliegt)koennten die mir darauf auch nichts unterbringen.
Bei sowas frage ich mich, wie wollen die das machen.

MFG PikAss
 
Nun nehmen wir einmal an, wir haben einmal einen Aktuelle OpenBSD Router/Firewall.
Diesen haben wir von der gekauften OpenBSD CD installiert. Schoen neuste und sicherste Version. Wir nutzen keine Daten die irgendwie aus dem Internet haetten runtergeladen werden muessen, also keine Extra Server oder Programme, sondern nur das noetigste, Praktisch nur Standard Installation.
Wir stellen das Teil auf, konfigurieren es und lassen es stehen, fassen es nie wieder an.
Selbst wenn die jetzt auf meiner FreeBSD den Code einschleusen wuerden, der wuerde die noch nicht auf meinen Rechner zugreifen lassen, der muesste ja erst an meiner Firewall vorbei. Und da ich da nichts mehr Installiere(zumindest kein kram und keine Binaries wo kein Sourcecode vorliegt)koennten die mir darauf auch nichts unterbringen.
Bei sowas frage ich mich, wie wollen die das machen.

MFG PikAss

Hallo PikAss,

nur ein Satz Anwendungen können manipuliert werden, besonders gilt das für Windows aber nicht nur hier...
Nicht jede Firewall auf Applikationsebene zeigt diese dann auch an, es ist auch schlicht unmöglich fehlerfreie Anwendungen zu schreiben...
Genau hier setzen Schadprogramme an die ganz gezielt auf Löcher ( LEAKS) in Anwendungen oder Betriebsystemen ( BIND ) ausgerichtet sind...
Deshalb gibt es solche sog.. LEAK-TEST's für Firewalls...

Allerdings gibt es auch etwa seit dem Zeitrahnen von 13 -14 Monaten Firewalls die Veränderungen an Einträgen ( Windows Registry - oder Applikationen) nicht zulassen..
Insofern ist die Kritik hier nicht ganz objektiv oder nicht mehr auf den aktuellen Stand der Firewallentwicklung...

So gibt es unter Windows die Jetico Firewall die genau das kann für das Betriebssystem Windows ( Outbound und Inbound Kontrolle) diese setzt aktive Mitarbeit voraus..
So allerdings ist hier der "Normale User" schlicht überfordert, da er lernen muss und auch gezwungen ist ständig auf den aktuellen Stand zu sein...
Also ein zweischneidiges Pferd und gleichzeitig der grosse Nachteil der Applikations Firewalls...

Firewalling ist in in erster Linie ein Konzept das durch Filterung und ZU oder NICHTZULASSUNG auf Ebenen umgesetzt wird...

Dann noch ein zweiter Satz Firewalls wiegen den Anwender aber auch den Admin immer in einer gewissen trügerischen Sicherheit...

Aber nichts desto trotz spreche ich mich hier für Firewalls aus, grenze aber meine Aussage auf zBsp die oben genannte Spezie auf Applikationsebene ein ganz explizit hier für Windows...

jetzt genau darauf einzugehen würde den Rahmen meines Post sprengen, aber Du selbst kannst das ausprobieren und simmulieren...
Gibt jede Menge Projekte im Internet die sich genau mit dieser Problematik auseinander setzen...

Wenn Du die Grundeinstellung zum Lernen/Lesen/Ausprobieren/ mitbringst, auch bereit bist "Rückschläge" eunzustecken wirst Du dann hier davon profitieren und Dir Wissen aneignen das Du auf Dein "Firewallkonzept" anwenden kannst..

Also schlage vor das Du das mal für Dich selbst machst und Deine Erfahrungen auch anderen zugänglich machst...

So bitte das jetzt nicht falsch verstehen


LG Rudy
 
Ich hätte noch eine Idee, um sich zu schützen: Asymtrische Verschlüsselung über sagen wir mal nen schweizer Proxy (jaja, kann auch wo anders sein, kam mir nur gerade in den Sinn). Die Keys mal durch persöhnlches Treffen verifiziert, so generiert das die Keys beim Connect , ich geh da hin und vergleich die (selbst das ist schon nen Problem), und ich lass nur Verbidnungen zu dem Server zu, passt der Keys nicht -> Man in the Middle, passen sie, muss ja alles OK gelaufen sein. Soviel zur Theorie, meint ihr, das könnte man so machen?
 
Ich hätte noch eine Idee, um sich zu schützen: Asymtrische Verschlüsselung über sagen wir mal nen schweizer Proxy (jaja, kann auch wo anders sein, kam mir nur gerade in den Sinn). Die Keys mal durch persöhnlches Treffen verifiziert, so generiert das die Keys beim Connect , ich geh da hin und vergleich die (selbst das ist schon nen Problem), und ich lass nur Verbidnungen zu dem Server zu, passt der Keys nicht -> Man in the Middle, passen sie, muss ja alles OK gelaufen sein. Soviel zur Theorie, meint ihr, das könnte man so machen?
Wenn man die Schlüssel persönlich übergibt und sie nicht über's Netz ausgehandelt werden, funktioniert der Schutz. Nicht mal als 'man in the middle' kann man sich da noch einklinken. Jedoch kann man die Verbindung verhindern oder unterbrechen. Außerdem muss man natürlich dem Betreiber des Proxies vertrauen.
 
Muss man nur noch jmd finden, der das tun würde und ne Möglichkeit finden, die Keys persöhnlich zu übergeben.
 
Ich würde dann gleich mit einem VPN Tunnel vorlieb nehemen. Gibt es VPNs die derartige Verschlüsselungen unterstützen?
 
ich sehe die sache aehnlich wie marzl.
ich benutze in meinem netz (also hinter meiner einen oeffentlichen ip) mehrere unterschiedliche betriebsysteme (sogar unterschiedliche binaerinkompatible freebsds). ausserdem benutze ich unterschiedliche dns-server und unterschiedliche proxies zu denen ich zum teil verschluesselte verbindungen aufbaue. windows rechner (mein neuer mtbewohner) werden bald automatisch durch transproxy tor laufen.
dazu kommt noch dass mein isp ein kleiner unbekannter nicht-profit-verein ist, der nur aus linuxern und bsdmenschen besteht...

auf meinem server ist nur minimales freebsd ohne weitere packes bzw. alle packages in jails, die ein ro-gemountetes root und /usr haben.
glaube nicht, dass da im moment irgendwas eingeschleust wird.
bseonders wenn man auf dem desktop freebsd-current faehrt wo alle paar tage die binaerkompatiblitaet bricht.

auch glaube ich nicht, dass sie es planen die pakete auf allen meinen rechnern und gleichzeitg den datestrom inklusive der pruefsummen von den http-seiten (die wiederum ueber andere proxies aufgerufen werden als die ftp-downloads) zu manipulieren.

keine chance, beim jetzigen stand der technik, glaube ich das nicht!
 
Wenn den Programmierern jemand erzählt du würdest kleine Kinder missbrauchen, würden sie den Aufwand wohl kaum scheuen. Dein Szenario klingt ziemlich anstrengend, aber es ist nicht unmöglich. Tor ist übrigens kein Schutz gegen 'man in the middle' Angriffe.

Der Witz an der Sache ist, das die Verschlüsselte Verbindung mit persönlichem Schlüsselaustausch dem ganzen ja einen Riegel vorschieben würde und dass gerade Verbrecher solche Mühen natürlich nicht scheuen würden.
 
Zurück
Oben