NSA hört Internet ab

[Athaba]

Hallo!

Und auch in diesem Thread ein paar "News" für interessierte: http://futurezone.orf.at/hardcore/stories/112618/

P.S.: Derzeit mach ich mir Gedanken über unsichere Hardware. Hat jemand Interesse darüber zu plauschen?

 

[juedan]

Moin Athaba,

zum Thema unsichere Hardware.
Da bin ich der Meinung, dass am Betreiber der Hardware selber liegt. Wenn der sich für vernünftige Gehäuse - ich rede von Stahlblech-Gehäusen!!! - entscheiden würde, dann gäbe es deutlich weniger Spionagemöglichkeiten von außen.
Du kannst selber testen, wie strahlingsdicht so ein Gehäuae ist:
Weltempfänger neben den Rechner stellen, Suchlauf starten, Oszillographen an Weltempfänger anschließen; da kannst Du bei den heute üblichen Plastikgehäusen mit Weißblech-Einlage den Datenstrom zur Festplatte mitschreiben lassen.
Anderes Beispiel: SCSI-Kabel! Bei den meisten Billigkabeln fehlt die Abschirmung!

Fazit: Wie sicher die Hardware ist, bestimmt der Käufer über seinen Geldbeutel. Angesichts des "Geiz ist Geil"-Wahns darf man sich nicht nicht darüber wundern, wenn die Hardware nicht mehr (abhör-)sicher ist.

Viele Grüße

Jürgen

 

[*Sheep]

Tja, eigentlich hahen wir es ja schon immer "gewußt". Dass jemand den mutigen Schritt macht und Klage einreicht, finde ich sehr gut.
Wie kann man sich vor gezielten Angriffen durch "sichere" Hardware schützen? Normaler Weise durch Glasfaserkabel statt Kupferkabel etc. Aber wenn ein "Mann in der Mitte hockt" und den Datenstrom kopiert, hilft wohl nur "ausreichende" Verschlüsselung. Dazu haben wir ja noch eine Diskussion laufen.

 

[fader]

Hallo!

Und auch in diesem Thread ein paar "News" für interessierte: http://futurezone.orf.at/hardcore/stories/112618/

P.S.: Derzeit mach ich mir Gedanken über unsichere Hardware. Hat jemand Interesse darüber zu plauschen?

Angesichts der Tatsache, dass die NSA in einer ganzen Reihe von sicherheitsrelevanten Projekten die Finger drin hat, wuerde ich mir eher darueber Sorgen machen. Am Ende laeufts darauf hinaus, dass Du gegen einen gewissen Rest an Ueberwachbarkeit einfach als kleine Nummer wenig bis nichts wirst tun koennen. Wenn Du da anfaengst, sitzt Du am Ende wie Fletcher im Film in einer Wohnung mit Bleiwaenden.

 

[kruemelmonster]

Und auch in diesem Thread ein paar "News" für interessierte: http://futurezone.orf.at/hardcore/stories/112618/

Dann will ich doch auch mal ein Krümel in den Ring werfen
Wired: The Ultimate Hardware Monitoring Tool

P.S.: Derzeit mach ich mir Gedanken über unsichere Hardware. Hat jemand Interesse darüber zu plauschen?

Bin dabei

Wenn der sich für vernünftige Gehäuse - ich rede von Stahlblech-Gehäusen!!! - entscheiden würde, dann gäbe es deutlich weniger Spionagemöglichkeiten von außen. [...] Fazit: Wie sicher die Hardware ist, bestimmt der Käufer über seinen Geldbeutel. Angesichts des "Geiz ist Geil"-Wahns darf man sich nicht nicht darüber wundern, wenn die Hardware nicht mehr (abhör-)sicher ist.

Stimmt, vor allem wirklich gut geschirmte Hardware kostet ein kleines Vermögen. Aber mit kurzen Kabellängen und geschirmten Kabeln kann man den Aufwand schon mal hochtreiben. Als nächstes Lecks abdichten, galvanische Entkopplung (Glasfaser-Verbindungen)...
(Oder mit verschlüsselten Verbindungen, wie sie bespielsweise HDCP bietet - wobei in dem Fall sicher gewisse Leute Nachschlüssel haben)

Aber wenn schon Stahlblech, warum nicht gleich etwas dicker? Es gibt auch "Tresore", wo man einen PC reinstellen kann. 3mm Stahlblech und Doppelbartschloss - es hält zumindest mal die kleine Schwester vom Mitlesen ab

Viele Grüße
Stefan

PS: Da gab es eine nette Radiodurchsage zum Muttertag: "The NSA would like to remind everyone to call their mothers this Sunday. They need to calibrate their system."


EDIT: Ach ja, natürlich bietet auch teure Hardware keine Garantie.

 

[//*Brainfuck*\\]

Hallo!

Und auch in diesem Thread ein paar "News" für interessierte: http://futurezone.orf.at/hardcore/stories/112618/

P.S.: Derzeit mach ich mir Gedanken über unsichere Hardware. Hat jemand Interesse darüber zu plauschen?

Hallo Athaba,

das ist mal wieder ein Paradebeispiel dafür wie unsere Welt gestrickt ist !. Der Kleine wird als Hacker (oder was für ne Bezeichnung auch immer) krimminalisiert.
Tja und grosse Vereinigungen oder Regierungen greifen sich einfach die Daten ab, egal was für Verträge sie vorher unterschrieben haben, nach dem Motto Legal - Illegal- Scheissegal.

Gruss der Brain ..........

 

[Athaba]

nach dem Motto Legal - Illegal- Scheissegal.

Hihi.. toller Spruch!


@Hardware: Wer macht den Thread auf?
Oki, ich mach schon

 

[minix]

Ist doch nichts Neues mit der Überwachung. Das tut die NSA schon seit etlichen Jahren und noch diverse andere Dinge. Und wer glaubt, dass sonstige Nachrichtendienste, egal welchen Staates, dies nicht tun, ist ziemlich naiv.

Ich bin immer wieder erstaunt, wie solch alte und lange bekannte Kamellen immer wieder als neue Sensationsnachrichten gehandhabt werden. Das war vor zehn Jahren auch schon alles ein alter Hut ...

Gruß

 

[indy]

> Das tut die NSA schon seit etlichen Jahren und noch diverse andere Dinge.

Hm, das wird immer wieder behauptet, ich frag mich allerdings, wie die diese gigantischen Datenmengen bewältigen.
Jedenfalls nicht mit regulärer Hardware (auch nicht mit simplen Tera-Flop-Clustern...)

Nennt mich deswegen naiv ;-)

Der Indy

 

[Athaba]

Ist doch nichts Neues mit der Überwachung. Das tut die NSA schon seit etlichen Jahren und noch diverse andere Dinge. Und wer glaubt, dass sonstige Nachrichtendienste, egal welchen Staates, dies nicht tun, ist ziemlich naiv.

Echt?! Ich dachte Geheimdienste würden so etwas normalerweise nicht tun...

 

[menace]

Allein die Cia hat ein Gebäude, daß 1 Meile Lang ist, und 2 der Stockwerke sind bloß mit Rechnern vollgestellt. Da wundere ich mich nicht mehr drüber, wie sie den Traffic bewältigen...

 

[lars]

Was minix sagt ist richtig, die Abhörung sämtlicher Kanäle ist ein alter Hut.
Stichtwort 'Echelon', wurde auch schon 2001 im Europa Parlament untersucht und
ein Bericht darüber geschrieben.

Und hier was zum Equipment, das von ATT und der NSA eingesetzt wurde:
http://blog.wired.com/27BStroke6/att_klein_wired.pdf

 

[marzl]

Verschlüsselt so viel es geht, womit ist egal und is auch egal ob sicher oder nicht, denn;
Je mehr verschlüsselt wird, desto höher der Aufwand für die neugierigen Regierungen dieser Welt.

Sollen sie doch alle an der Daten ersticken!

Und Probleme beim Schlucken haben se jetzt schon...

 

[Athaba]

Verschlüsselt so viel es geht, womit ist egal und is auch egal ob sicher oder nicht, denn;
Je mehr verschlüsselt wird, desto höher der Aufwand für die neugierigen Regierungen dieser Welt.

Sollen sie doch alle an der Daten ersticken!

Und Probleme beim Schlucken haben se jetzt schon...

Full Ack!
Aber irgendwie bekomme ich kein Web of Trust füf PGP zusammen. Letztes Jahr gab's mal ne Keysign-Party auf den Linuxwochen, nur hab ich da dann drauf vergessen
Sonst kenn ich im RL irgendwie niemanden, der sich auch nur im geringsten dafür interessiert und ich treffden könnte.

Achja, da fällt mir auf, dass mein letzter Key schon abgelaufen ist.

 

[soul_rebel]

wo wir gerade beim thema sind: http://www.spiegel.de/spiegel/0,1518,419460,00.html

kurz zusammengefasst: eine frau die sonst nie aufgefallen ist ->

Frauen wie Sonja B. schlüpfen leicht durch das Raster deutscher Staatsschützer, weil sie keinem gängigen Muster entsprechen.

besucht ab und an ein beaknntes forum, schreibt eine email und zweiwochen später wird sie festgenommen.
(dass sie wahrscheinlich eine durchgeknallte islamistin ist habe ich bewusst weggelassen, darum geht es mir hier nicht).

bleibt trotzdem die situation, ein internetforum wird als verdächtig eingestuft und im handumdrehen, lässt die polizei mal rausfinden wer die personen sind, die da posten und filtert deren kompletten email verkehr. ob sie dazu eine richterliche befugnis hatten würde mich jetzt mal interessieren....

p.s: mal so nebenbei, vielleicht lesen "sie" ja gerade mit, mein avatar könnte man ja schon fast als radikal bezeichnen, dazu kommt dann noch die mitgliedschaft in einer "verfasungsfeindlichen partei".... bald werdet ihr auch alle überwacht....wegen mir...harhar

 

[Athaba]

bald...(erst)?

EDIT: Oje, ich fühle mich nicht als Teil der Gesellschaft. Wahrscheinlich konveriere ich morgen und übermorgen sprenge ich das Pentagon in die Luft.

Achja, du hast deine Sig vergessen

 

[lars]

Hier noch ein paar Echelon-Keywords:
http://www.abovetopsecret.com/forum/thread17967/pg1

 

[fader]

Full Ack!
Aber irgendwie bekomme ich kein Web of Trust füf PGP zusammen. Letztes Jahr gab's mal ne Keysign-Party auf den Linuxwochen, nur hab ich da dann drauf vergessen
Sonst kenn ich im RL irgendwie niemanden, der sich auch nur im geringsten dafür interessiert und ich treffden könnte.

Verschluesselung wird sich erst durchsetzen wenn sie a) standardmaessig mitgeliefert wird und b) einfach zu bedienen ist. Vorbild: openssh. Ist einfach ueberall dabei. Schluessel laesst sich mit einem Kommando direkt erzeugen. Fertig.

Abschreckende Beispiele: Thunderbird (Verschluesselung nur als Upgrade), fetchmail (gehirntote Art und Weise, wie Zertifikate zu hinterlegen sind), gnupg und openssl (grauenhaftes Benutzerinterface - von keinem Laien bedienbar), IPSec, WPA (ohne Worte).

 

[fader]

kurz zusammengefasst: eine frau die sonst nie aufgefallen ist -> besucht ab und an ein beaknntes forum, schreibt eine email und zweiwochen später wird sie festgenommen.
(dass sie wahrscheinlich eine durchgeknallte islamistin ist habe ich bewusst weggelassen, darum geht es mir hier nicht).

Mmm, grad wollte ich was zu dem Spiegelartikel schreiben - aber das hast Du ja bereits getan. So wie das da beschrieben wird, muss man wirklich wieder aufpassen, was man irgendwo (vielleicht unbedacht) aeussert.

 

[Athaba]

Verschluesselung wird sich erst durchsetzen wenn sie a)
standardmaessig mitgeliefert wird

Hmm.. ist es nicht sogar besser, sich OpenSSH selber zu laden/installieren. Immerhin ist es einem so leicht(er) möglich nachzusehen, ob die Signatur stimmt. Was fange ich mit einer böswillig modifizierten Version von OpenSSH an. Ausserdem setzt man sich dann mehr mit dem Thema auseinander. Solange man den Code dabei hat, wie es ja bei Free-/Net-/Open-/DargonFly BSD der Fall ist fühle ich mich relativ sicher, aber wenn ich OpenSSH mit Windows oder MacOS X vorinstalliert mitbekomme würde ich stuutzig werden.

und b) einfach zu bedienen ist. Vorbild: openssh. Ist einfach ueberall dabei. Schluessel laesst sich mit einem Kommando direkt erzeugen. Fertig.

Da gibt es die Frage "Einfach für wen?" Klar ist das meiste, was man mit OpenSSH anstellen kann einfach für uns, aber was ist mit den Leuten, die mit einem, von jemand anderen eingerichteten, System gerade mal den Browser, Mail und vielleicht noch ICQ verwenden könen?

Abschreckende Beispiele: Thunderbird (Verschluesselung nur als Upgrade)

Auch wenn ich kein Thunderbirdnutzer bin (auf X verwende ich gerne Sylpheed) fand ich das ganz relativ einfach. Bei Thunderbird finde ich manche Standardeinstellungen (alles mögliche an HTML aktiviert) grauenhaft, aber das ist wohl weil Thunderbird eher ein OE-Klon sein soll. So viel zum Thema "Was ist einfach".

gnupg

Wie kann man das (in einem Terminal) einfacher machen?

und openssl (grauenhaftes Benutzerinterface - von keinem Laien bedienbar), IPSec, WPA (ohne Worte).

Kennst du gute Alternativen?

Das klingt vielleicht etwas komisch, aber ich finde es gut, wenn Dinge zur Sicherung des Systems nicht _zu_ einfach werden. Es sollte sich niemand in falscher Sicherheit wiegen. Wie oft habe ich von Leuten ghört, dass sie ein Antivirenprogramm haben und deshalb ein unzerstörbaren, 100% sicheren Computer haben? Sehr oft..

Klar, OpenBSD ist standardmaessig sicher, aber willst du OpenBSD nur installieren oder auch verwenden?

 

[kruemelmonster]

Bleibt trotzdem die situation, ein internetforum wird als verdächtig eingestuft und im handumdrehen, lässt die polizei mal rausfinden wer die personen sind, die da posten und filtert deren kompletten email verkehr.

Zumindest in den USA wird das gemacht, was zu massiven Problemen führt. Denn die Computer können mittlerweile vielelicht recht gut mit dem Datenstrom umgehen, aber die "menschlichen" Fähigkeiten der Ermittlungsbehörden wachsen nicht annährend im gleichen Maße (v. a. wenn bei der Polizei fleißig gespart wird damit man die teuren Computer bezahlen kann).

Übrigens sollen die Maschinchen mittlerweile ganz gut zwischen sinnlos angehängten und im Kontext aftauchenden Keywords unterscheiden können.

ob sie dazu eine richterliche befugnis hatten würde mich jetzt mal interessieren....

Hinterher wahrscheinlich schon Das würden sie sich nicht trauen, sowas an die Medien zu geben.

Vorbild: openssh. Ist einfach ueberall dabei. Schluessel laesst sich mit einem Kommando direkt erzeugen. Fertig.

Bei gnupg aber auch

Aber im Kern Deiner Argumentation hast Du Recht. Verschlüsselung wird nur großflächig eingesetzt, wenn
a) den Leuten das Problem bewußt ist (Stichwort: Ich-hab-nix-zu-verbergen-Fraktion) und
b) die Funktionen einigermaßen einfach verfügbar sind.
Das Hauptproblem liegt meiner Meinung aber eher bei a) als bei kruder Software - da siehts mittlerweile ziemlich gut aus finde ich (Mit Thunderbird/Enigmail gibts jetzt endlich mal einen guten Win-Client mit guter GPG-Integration - wenn ich da an den "offiziell nicht unterstütztes OE-Plugin"-Zeiten denke). Natürlich ist für eingefleischte Windows-Klicker die Kommandozeilen-Version von gpg zu kryptisch (). Aber dafür gibt es ja mittlerweile "Frontends" wie Gpg4Win.

Klar, OpenBSD ist standardmaessig sicher

Korrektur: standardmäßig sicherer

Viele Grüße
Stefan

PS: Nur aus Interesse - Wie begegnet ihr eigentlich dem "Aber warum? Ich hab doch nix zu verbergen"-Argument?

 

[lars]

'Ich tue nichts unrechtes, also muss niemand meine Privatsphäre verletzen.'
'Weil die Regierung definiert, was Unrecht ist und dessen Definition je nach politischer Opportunität ändert.'
'Weil die Überwachenden mit dieser Information Unrechtes tun.'

Aber es geht nicht um das Verbergen von Unrechtem, es geht um die Privatsphäre.
Ohne Privatsphäre sind wir in unserer Würde und Handlungsfähigkeit auf das Niveau von Kindern reduziert.



Diese Argumentation habe ich auf Schneiers Blog gelesen und halte sie für gut.

 

[Athaba]

Korrektur: standardmäßig sicherer

Als was? Beweise? Vielleicht haben die OpenBSDler eine ganz fette Lücke übersehen *duck*

PS: Nur aus Interesse - Wie begegnet ihr eigentlich dem "Aber warum? Ich hab doch nix zu verbergen"-Argument?

Mit der Frage nach dem root/Administratorpasswort xD
Mit der Frage nach den e-Mails.
...

 

[kruemelmonster]

Als was?

Gute Frage! Sicherheit ist immer relativ, und OpenBSD ist halt "relativ" sicher - oder standardmäßig etwas sicherer als einige andere Betriebssysteme.
Aber wenn die Kiste im Netz hängt, "abc" als root-Passwort hat und root-Login per ssh/rsh/etc.. erlaubt ist, ist es mit der Sicherheit nicht weit her - trotz Code-Audits etc

 

[nickers]

PS: Nur aus Interesse - Wie begegnet ihr eigentlich dem "Aber warum? Ich hab doch nix zu verbergen"-Argument?

Vielleicht mit: "Das was Du heute nicht zu verbergen hast, kann schon morgen strafbar sein." ?
... und wenn schon nicht strafbar, dann wenigstens für irgendjemanden interessant. Die Krankenversicherung könnte es interessieren, ob Paul gestern seiner Schwester geschrieben hat: "Meinem Knöchel gehts schon wieder gut, ich werd heute abend doch mit [potentielle Zukünftige] tanzen gehen." und morgen schreibt: "Der Knöchel hat doch nicht gehalten, aber [potentielle Zukünftige] pflegt mich :grin: . Ich hätte doch auf den Arzt hören sollen, jetzt bin ich noch mal 4 Wochen krankgeschrieben. Naja was solls, wird ja bezahlt. :biggrin: "