(Bundes)Trojaner und eine theoretische Sicherheit

[Anonymous]

Hallo zusammen,

also nachdem das mit dem Bundestrojaner anscheinend ja schon beschlossene Sache ist, ist irgendwie mal wieder bei mir die gesunde Paranoia aufgetaucht ...
Jetzt wollte ich wenigstens mal schon theoretische Überlegungen und eine kleine Sammlung dazu erstellen wie man sich gegen gezielte Einbrüche und Spionage am besten wehren / schützen kann.

Nachdem ich also zuerst mal meine ganzen Firewalls optimiert hab, habe ich zuerst einmal an ein NIDS wie Snort ( http://www.snort.org/ ) gedacht.
Naja das ist zwar nicht so schlecht aber da es mir ja eher darum geht meine Daten sicher zu haben und nicht unbedingt darum, dass meine Webservices stabil laufen, habe ich also an ein HIDS gedacht.
Da ist ja ziemlich bekannt AIDE (~Tripwire) ( http://www.cs.tut.fi/~rammer/aide.html ) und Afick ( http://afick.sourceforge.net/ ) - ich w(u)erde wahrscheinlich wegen der Einfachkeit auf Afick setzen ...

Was ich aber noch viel interessanter fande war veriexec ( http://ifph-rdws2.gse.uni-magdeburg.de/~stefan/nt/unix/veriexec.html )
Leider scheint es nur für NetBSD verfügbar zu sein. Weiß jemand ob es so etwas auch für Linux gibt oder wie man es unter Linux einsetzt (müsste ja eigentlich nicht so schwierig sein zu portieren ...)?

Vielleicht weiß jemand schon etwas zu der Frage - ansonsten würde ich mich freuen, wenn wir hier ein paar nützliche Links und Erfahrungen / Überlegungen sammeln könnten (zum Beispiel würde micht interessieren, ob eine Dateisystemverschlüsselung so nützlich ist, wenn man so ein böses Rootkit auf dem Rechner hat).

MfG. Mercedesdriver

 

[panamajo]

Deine Beschäftigung mit Sicherheitsmaßnahmen in allen Ehren, aber für einen Papiertiger wie dem (angeblich einsatzbereitem) "Bundestrojaner" nicht nötig (für die ganz normalen Bedrohungen aus dem Internet weiterhin sinnvoll).

Das BMI verfügt über eine SW die auf jedem mit dem Internet verbundenen Computer unbemerkt eindringen und dort Dokumente beliebigen Formates (und Verschlüsselung) durchsuchen kann? Na dann: Glückwunsch zur Weltherrschaft. :mrgreen:

IMHO geht es ausschließlich um den juristischen Part: Online Durchsuchung soll legal werden (und nicht wie z.Zt. rechtlich mit einer Hausdurchsuchung und dem entsprechenden juristischen Restriktionen unterliegen). Ob der BT überhaupt existiert oder einsatzbereit ist und was er kann oder nicht ist irrelevant.

 

[nightcrawler]

wenn der verfassungsschutz und co in deinen rechner wollen, dann warten sie bei deinem isp so lange bis du ein update machst oder was installieren willst und schieben dir ein manipuliertes paket unter. das ist die bis jetzt bekannte mögliche methode linuxrechner zu cracken und kein spaziergang. das gilt aber nur für linuxrechner die keine serverdienste anbieten. für (fast) absolute sicherheit nimmst du eine live-cd zum surfen.

 

[panamajo]

wenn der verfassungsschutz und co in deinen rechner wollen, dann warten sie bei deinem isp so lange bis du ein update machst oder was installieren willst und schieben dir ein manipuliertes paket unter.

Nette Idee, aber (abgesehen davon dass auch zur Terrorfandung nicht x-beliebige Dienstleiter wie ISPs zur Kooperation in diesem Maß zwangsverpflichtet werden können/sollen) nicht effizient und/oder wirksam:
- Checksummen stimmen bei manupulierten Paketen nicht
- Ein einzelnes manipuliertes Paket kann nicht die Funktionalität anderer installierter Programme beeinflussen (IDS etc.)
- So ganz unverblümt einen neuen Kernel unterzumogeln (der die oberen 2 Punkte umgehen würde) hilft auch nichts: sehr auffällig und durch Verwendung eins Vanilla-Kernels zu umgehen.

[OT]
Die Politik hat einfach die falschen PR Berater:
Ich würde dem Volk einfach ein Anti-SPAM Offensive versprechen und im Zuge dessen die entsprechenden Gesetze durchpauken lassen. Hätte kein Schwein was dagegen... :mrgreen:
[/OT]

 

[panamajo]

wenn der verfassungsschutz und co in deinen rechner wollen, dann warten sie bei deinem isp so lange bis du ein update machst oder was installieren willst und schieben dir ein manipuliertes paket unter.

Nette Idee, aber (abgesehen davon dass auch zur Terrorfandung nicht x-beliebige Dienstleiter wie ISPs zur Kooperation in diesem Maß zwangsverpflichtet werden können/sollen) nicht effizient und/oder wirksam:
- Checksummen stimmen bei manipulierten Paketen nicht
- Ein einzelnes manipuliertes Paket kann nicht die Funktionalität anderer installierter Programme beeinflussen (IDS etc.)
- So ganz unverblümt einen neuen Kernel unterzumogeln (der die oberen 2 Punkte umgehen würde) hilft auch nichts: sehr auffällig und durch Verwendung eins Vanilla-Kernels zu umgehen.

[OT]
Die Politik hat einfach die falschen PR Berater:
Ich würde dem Volk einfach ein Anti-SPAM Offensive versprechen und im Zuge dessen die entsprechenden Gesetze durchpauken lassen. Hätte kein Schwein was dagegen... :mrgreen:
[/OT]

 

[Anonymous]

Hallo, schonmal vielen Dank für eure Beiträge.

Also der Bundestrojaner war natürlich nur der Aufhänger, aber noch einmal auf das eigentliche Threma zurück ...
Kennt vielleicht einer von euch die Umsetzung von veriexec unter Linux?
Was kennt ihr noch so für Sicherheitssoftware die unter anderem "Datenklau" erschwert? Ich meine nicht Anonymisierung im Netz mit zum Beipspiel TOR - das ist eine andere Sache ...

MfG. Mercedesdriver

Edit: Ach ja, bevor ich es vergesse: Was bringen den Honeypots? Bestände doch wenigstens eine nicht zu geringe Wahrscheinlichkeit, dass solche "Ermittler" (oder andere Leute aus dem dunklen Milieu) drauf hineinfallen ...

 

[b3ll3roph0n]

Edit: Ach ja, bevor ich es vergesse: Was bringen den Honeypots? Bestände doch wenigstens eine nicht zu geringe Wahrscheinlichkeit, dass solche "Ermittler" (oder andere Leute aus dem dunklen Milieu) drauf hineinfallen ...

Ja ... besteht!

Aber was willst du damit erreichen?
Einen Honeypot zur Ablenkung ...? Sry, aber das ist grober Unfung!

Ein Honeypot ist eher ein zusätzliches Sicherheitsrisiko und bedeutet erstmal eines ... viel Arbeit!
(Außerdem sollte man unbedingt wissen was man da tut)

Lesen:
http://honeynet.org/
http://www.linuxforen.de/forums/showthread.php?t=231705&highlight=honeypot
http://www.network-secure.de/index.php?option=com_content&task=view&id=4526&Itemid=99999999
http://www.spenneberg.com/talks/honeynet/honeynet.html

http://nepenthes.mwcollect.org/
http://www.pki-page.info/roo/

 

[na-cx]

Was kennt ihr noch so für Sicherheitssoftware die unter anderem "Datenklau" erschwert?

Falscher Ansatz.
Was soll wovor geschützt werden?

Man muss sich darüber im klaren sein, was wodurch bedroht sein könnte. Danach richten sich eventuelle Gegenmaßnahmen.

Bsp. Firewall, theoretisch:
Das OS wird permanent von einer Live-CD gebootet.
Die Log-Dateien werden direkt auf einer Multisession-CD/DVD gebrannt.

Ein Einbruch kann nicht zu 100% verhindert werden. Die Spuren können aber, dank Multisession-CD/DVD, nicht gelöscht/überschrieben werden.

Bsp. Desktoprechner, theoretisch:
Festplatte verschlüsseln, /boot-Partition auf entsprechenden USB-Stick (BSP_1, BSP_2).

 

[nightcrawler]

mit dem honeypod wirst du beim richter richtig schlechte karten haben da ist eine komplettverschlüsselung angebrachter. bei möglicher beschlagnamung IMMER ETWAS DA GEGEN HABEN!!! dann hat der staatsanwalt nur DREI TAGE zeit um belastendes material zu finden. da könnte er sich bei einem truecryptcontainer schon die zähne ausbeissen. vieleicht aber auch nicht

 

[Anonymous]

Einen Honeypot zur Ablenkung ...? Sry, aber das ist grober Unfung!

Ein Honeypot ist eher ein zusätzliches Sicherheitsrisiko und bedeutet erstmal eines ... viel Arbeit!
(Außerdem sollte man unbedingt wissen was man da tut)

Also ich finde einen Honeypot zu Ablenkung eigentlich gar keine so schlechte Idee. Ich meine wenn sich die grauen Gestalten aus Vesehen auf meinem Honeypot statt auf meinem PC einnisten hat sich der ganze Aufwand doch schon gelohnt ...
Aber mit dem Aufwand stimmt natürlich (bei deiner Linkliste sind wirklich gute Links dabei...).

Falscher Ansatz.
Was soll wovor geschützt werden?

Jaja etwas verworren von mir ausgedrückt.
Also ich meinte vor allem in der Hinsicht auf Rootkits / Trojaner. Es geht mir weniger darum zu erkennen, ob jemand bei mir eingebrochen ist (die ständige Überprüfung sollte / dürfte ja sowieso (wenn auch in kleinem Maße) selbstverständlich sein). Auch nicht meine komplette Festplatte zu verschlüsseln, was man ja wenigstens zum Teil sowieso als Paranoider macht (bringt allerdings nicht so viel, wenn man die verschlüsselte Festplatte nicht ordentlich "versteckt" und dann für die Passwortherausgabe in Beugehaft kommt ... - muss man halt einfach hart bleiben und es sprichwörtlich aussitzen ).

Also mir geht es eher darum, dass mir im laufenden Betrieb (ob jetzt über das Internet oder lokal) ein nettes Progrämmchen untergeschoben wird.
Aide und Afick scheinen ja (allerdings habe ich sie noch nicht ausprobiert) ganz gut zu sein, aber den Gedanken mit VerifiedExec von NetBSD finde ich irgendwie ganz gut.
Als Alternativen scheint es Stephanie ( http://www.innu.org/~brian/Stephanie/ ) unter OpenBSD zu geben und etwas ähnliches auch als Kernel-Patch unter Linux - grsecurity ( http://www.grsecurity.net/).

Es scheint etwas zu umfangreich zu sein aber hat jemand schon Erfahrungen damit?

MfG. Mercedesdriver

 

[nightcrawler]

das könnte noch intressant sein:

http://www.pro-linux.de/work/snort/index.html

 

[Anonymous]

Ah vielen Dank!
Die Seite kannte ich zwar schon (ist wirklich gut) aber hatte ich vergessen zu posten ...

Ruhig mehr von solchen Links!

MfG. Mercedesdriver .)

 

[b3ll3roph0n]

Also ich finde einen Honeypot zu Ablenkung eigentlich gar keine so schlechte Idee. Ich meine wenn sich die grauen Gestalten aus Vesehen auf meinem Honeypot statt auf meinem PC einnisten hat sich der ganze Aufwand doch schon gelohnt ...

Klar. :roll:
Security through obscurity!
Am besten stellst du ein Schild auf: "Bundestrojaner bitte nach links zum Honeypot!"

Ein Honeypot ändert an der Sicherheit deines eigentlichen Rechners/Netzwerks genau gar nichts - im Gegenteil er bedeutet einen erhöhten Aufwand und ein wesentlich höheres Risiko, da du neben deinem Rechner/Netz noch den Honeypot absichern musst.
Das ganze kann zu einer gefährlichen Gratwanderung werden ...

Auch nicht meine komplette Festplatte zu verschlüsseln, was man ja wenigstens zum Teil sowieso als Paranoider macht

Und was bringt das?
Im laufenden Betrieb ist die Partition doch sowieso eingebunden.
Verschlüsselung von Partitionen nützt dir nur etwas falls jemand z.B. mit einer Live-CD auf die Festplatte zugreifen will.

Also mir geht es eher darum, dass mir im laufenden Betrieb (ob jetzt über das Internet oder lokal) ein nettes Progrämmchen untergeschoben wird.

Was laufen denn für dienste auf deinem Rechner, dass du diese Befürchtungen hegst?
Kernelpatches wie RSBAC oder Grsecurity machen IMHO nur auf einem Server (der entsprechende Dienste anbietet) sinn.

Sry, aber für mich klingt das alles ziemlich Planlos!
Wogegen willst du dich konkret schützen?
Angriffsszenario?

Nur weil das Ding Bundestrojaner heißt, bedeutet das nicht, dass der automatisch alle Hindernisse überwindet und wie durch Zauberhand überall reinkommt ... oder Dienste benutzt die garnicht aktiv sind ... etc.


PS: Bei soviel Paranoia: http://home.pages.at/heaven/absolut.htm

 

[Anonymous]

Sry, aber für mich klingt das alles ziemlich Planlos!
Wogegen willst du dich konkret schützen?
Angriffsszenario?

Also wie ich das ja eigentlich oben schon erwähnt habe, geht es mir zuerst einmal darum mit eurer Hilfe eine Art Brainstorming zu machen, also zuerst einmal Überlegungen zu machen - eigentlich klar, dass das zuerst planlos ist, aber schließlich lassen sich da oft die besten Sachen und auch neue Infos finden (ich wusste z.B. nichts von RSBAC).

Hätte da auch gleich eine Frage zu: Ich kenne mich jetzt nicht mit RSBAC oder Grsecurity aus, aber verexec scheint ja die Binaries zu überprüfen - bringt das im Bezug auf Trojaner/Rootkits nicht auch für den normalen PC mehr Sicherheit, auch wenn er keine Dienste anbieten?

Es geht mir insgesamt auch nicht nur um den Bundestrojaner (wie ich schon oben erwähnt habe, ist das nur ein "Aufhänger"), das gleiche kann man auch auf Industriespionage etc. anwenden (und die haben vielleicht sogar mehr Ahnung als unsere lieben Beamten).

So mal ein Szenario ausgedacht:
Ich habe wahninnig wichtige Sachen auf meinem Rechner, die eine liebe kleine Firma aus China unbedingt haben möchte.
Da ich mein Netz mit den Standardsachen wie eine Firewall, mit einem NIDS (z.B. Snort) usw. abgesichert habe, und auch keine (wenigstens für diesen Teil) relevante Dienste nach außen anbiete, dürfte es ein Angreifer über die Serverdienste relativ schwierig haben.

So und genau an diesem Punkt müssten wir jetzt weiterdenken:
Was gäbe es denn für mögliche Angriffszenarien? Wie könnte man sich dagegen wehren? Wie könnte man ein Trojaner/Rootkit probieren einzuschleusen?
Den Fall, dass sie irgendwelche Personen mit Sonnenbrille schicken, lassen wir mal raus .

MfG. Mercedesdriver

@ b3ll3roph0n: Schöner Link mit der "absolut sicheren Firewall"

 

[jengelh]

- So ganz unverblümt einen neuen Kernel unterzumogeln (der die oberen 2 Punkte umgehen würde) hilft auch nichts: sehr auffällig und durch Verwendung eins Vanilla-Kernels zu umgehen.

Hah, there the loophole!
Vanilla-Kernels tragen ihre Signatur in einer separaten Datei (anders als bei .rpm), und die meisten User sind zu faul, das extra noch zu prüfen!

Security through obscurity!

Besser is through paranoia ( http://en.wikipedia.org/wiki/Clerks ): "people see money on the counter - noone around - they think they're being watched"

 

[panamajo]

die meisten User sind zu faul, das extra noch zu prüfen!

Die meisten User sind auch kein Ziel für eine Onlinedurchsuchung.
Fragt sich nur ob man bei der Terrorausbildung neben dem Umgang mit C4 nicht auch solche Kniffe beigebracht bekommt ... :mrgreen: