riotradio.de

  • Bluesky
  • flickr

Wer nichts zu verbergen hat (- Teil 1)

Riot Radio News

Flickr badge

Eric BhellKevin Cole
Jeroen MeeusClowns
Jarrod Goon / ShaunaStevie Williams
Fleur van ZuilenWattie Buchan

Montag, 30. Juli 2007

Wer nichts zu verbergen hat (- Teil 1)

Geschrieben von Boppy in News(de) um 23:41
...soll halt auf der Straße poppen! Jeder hat ein Recht auf seine Privatsphäre, ob es um seine Arbeit oder sein Privatleben geht, seien es die Mandantengespräche eines Anwalts oder die Patientenakten eines Arztes. Vielleicht hat man bei bevorstehenden Online-Durchsuchungen, Vorratsdatenspeicherung oder Echelon Angst seine geheimen Terrorpläne einen brennenden Scheißhaufen vor die Tür eines Herren Schäuble zu legen nieder zu schreiben, oder dass der Privatporno auf dem Videoabend des BKA vorgespielt wird.

Kurz es gibt viele Gründe seine Daten nicht jedem zugänglich zu machen. Da dies jeden betrifft und speziell so subversive staatsfeindliche Punkrockgestalten wie Unsereins, gibt es hier ein paar Tipps und Anregungen wie ihr eure Daten vor fremden Augen schützen könnt. Also wie ihr das macht was jeder drittklassige Kriminelle und erst recht jeder Terrorist sowie schon längst macht...


Hier geht’s weiter:

Zuerst einmal sollte man sich überlegen, was man mit seinem PC und seinen Daten vor hat. So dumm und einfach es sich anhört, vertrauliche Daten sind am sichersten auf einem PC aufgehoben, auf den niemand Zugriff hat!
Verschlüsselung alleine bringt nichts, denn irgendwann greift man auf seine Daten zu und wenn dann ein Keylogger oder der „Bundestrojaner“ im Hintergrund lauert ist die schönste Verschlüsselung ausgehebelt.

Am einfachsten ist es natürlich einen 2. PC ohne Internetzugang für die wichtigsten Daten zu benutzen. Auf diesem sollte man seine Dateien noch zusätzlich verschlüsseln, falls jemand physikalischen Zugang zum Gerät bekommt. Wer dafür kein Geld oder keinen Platz hat kann sich hier mit einer virtuellen Maschine behelfen, dass ist zwar nicht ganz so sicher, legt aber einem potenziellen Angreifer zusätzlich Steine in den Weg.

Egal ob man Vmware, Virtuell-PC, Qemu oder Virtual-Box verwendet, eine VM ist schnell aufgesetzt und für den o.g. Einsatzzweck kann man das Netzwerkinterface der VM deaktivieren.

Eine VM ist generell auch für andere Zwecke eine gute Idee, z.B. eine nur zum Surfen um den eigentlichen PC zu schützen, oder eine nur fürs Homebanking ....
Egal wo sie nun gespeichert werden, vertrauliche Daten gehören verschlüsselt. Gleich welche Software man dafür benutzt, das Wichtigste ist das Passwort, wer z.B. sein Geburtsdatum als Passwort benutzt, der kann auch gleich ganz auf Verschlüsselung verzichten. Tipps für gute Passwörter gibt es z.B. hier.

Mit welcher Software man seine Daten verschlüsselt ist Geschmackssache, wenn es nur darum geht einige Daten auf einem Desktop-PC zu sichern, ist wohl eine Datei-Verschlüsselung oder ein verschlüsselter Container die richtige Wahl, geht es darum ein Notebook z.B. auch bei Diebstahl zu sichern sollte man eher zu einer Festplatten/Partitions-Verschlüsselung greifen.

Bei der Wahl des Verschlüsselungsprogramms würde ich Open-Source Anwendungen den Vorrang geben, denn auch wenn die Hersteller es abstreiten kann man nicht sicher sein, ob in einer Software ohne verfügbaren Quellcode nicht doch eine Hintertür für die Ermittlungsbehörden geschaffen wurde.

--- Ist noch irgendjemand bei mir oder war das zu viel auf einmal?

Ich mache hier erst mal einen Break und verspreche euch für nächste Woche einen 2. Teil, dann gibt es etwas Praxis: ich stelle ein paar Tools zur Verschlüsselung vor, zeige wie man Daten versteckt und dann gibt es ja noch die Kommunikation die es auch zu verschlüsseln gilt!

hier gehts zu Teil 2
| Kommentare (3) | Trackbacks (0)
 

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Von Dateiverschlüsslungen ist generell abzuraten! Insbesondere von der in Windows bereits integrierten Dateiverschlüsselung EFS (Encrypting File System).

Ersten ist es nicht möglich temporäre Internetfiles zu verschlüsseln, zweitens ist das Zertifikat welches zur Verschlüsselung genutzt wird im Zertifikatspeicher des Benutzerprofils hinterlegt. Da man die Passwörter jedes standalone Windows PCs überschreiben kann (z.B. Mit ERD Commander) bietet EFS defacto Null Sicherheit.

Ein weiteres generelles Problem von Dateiverschlüsselungen liegt darin, dass zwar der Inhalt der Datei verschlüsselt ist, der Dateinamen weiterhin gelesen werden kann. Ein Dokument Scheißhaufen_Schaueble.doc könnte also bereits erste Indizien liefern.

Der letzte und alles entscheidende Nachteil von Dateiverschlüsselungen ist die Tatsache, dass nur die Dateien selbst verschlüsselt sind, aber fast jedes Programm temporäre Dateien anlegt, die wiederum nicht verschlüsselt werden. Öffne ich z.B. ein standardmäßig konfiguriertes Word auf meinem PC und tippe hier die die Worte Schäuble und Scheißhaufen und schließe das Dokument danach wieder, ohne es je aktiv gespeichert zu habe, sind diese beiden Worte schon auf der Festplatte verewigt und mit einem Hexadezimaleditor wieder ausfindig zu machen. Der Grund hierfür ist der Tempfile der zwar gelöscht, aber nicht überschrieben wird.
#1 Ser0blade am 04.08.2007 23:13 (Antwort)
Tag der Herr!

das kommt doch alles erst in Teil2 ;-) Bei der Dateiverschlüsselung habe ich auch an verschlüsselte Dateien mit GPG gedacht und nicht an EFS, das Problem mit den Dateinamen bleibt dann natürlich immer noch, zu den den temporären Dateien werde ich Lösungen vorschlagen.

Die Sache ist halt die, dass eine komplett verschlüsselte Partition um einiges langsamer im Zugriff ist...

Aber ich bin ja schon am Teil2 am Tippen, bei der Menge gibt es wohl auch noch einen Teil3...

Wo wir schon dabei sind, vielleicht geben wir auch ein paar Tipps für die Bundespolizei in Chemnitz (SCNR):
http://www.de.internet.com/index.php?id=2050955&section=Security
#1.1 Boppy (Link) am 05.08.2007 00:51 (Antwort)
Komplett verschlüsselte Partitionen mit PBA (pre boot authentication) sind aber das einzige was hier ein ausreichendes Maß an Sicherheit bietet. Wobei wenn es um das Thema „Onlinedurchsuchung“ geht, hilft natürlich nur eine Kombination aus Festplattenverschlüsselung (auf Sektor Ebene) und einer Container- oder Dateiverschlüsselung. Das Problem, bei einer Festplattenverschlüsselung stehen die Daten nach dem Systemstart für Angreifer scheinbar unverschlüsselt zur Verfügung. Die Festplattenverschlüsselung setzt unter dem Application Layer an (in Höhe der device driver), das bedeutet ein Angreifer, der z.B. einen Windows Exploit nutzt, um eine remote shell auf einem Rechner auszuführen, ist bereits über dieser Ebene und kann die Daten problemlos lesen.

_Für den Laien:_
Die Festplattenverschlüsselung hilft gegen die grünen Männchen, die so gerne in die Privatsphäre andere eindringen, um deren Rechner einzusammeln. Die haben dann keine Chancen mehr an gespeicherte Daten zu gelangen.

Festplattenverschlüsselung bietet keinen Schutz mehr nach dem Systemstart. Das bedeutet im Netzwerk oder im Internet stehen die Daten wieder ungeschützt zur Verfügung.

Noch ein rechtlicher Hinweis: Der Staat hat keine Möglichkeit die Herausgaben von Passwörtern zu erzwingen. Er muss dann einfach damit leben, dass er auf die Daten nicht zugreifen kann. Folter finden in diesem Zusammenhang in den meisten Bundesländern (außer Bayern) noch keine Anwendung!


Im Übrigen sind die Geschwindigkeitseinbusen bei Festplattenverschlüsselungen auf Sektorenebene kaum der Rede wert. Bei den Marktführern (Safeguard Easy von Utimaco und SafeBoot von CBI) liegen die Einbußen unter Verwendung eines 256 AES im einstelligen Prozentbereich. (nach eigenen sehr ausführlichen Benchmarks)

Es gibt übrigens keine Backdoor bei den genannten Programmen. Vor zwei Jahren hatte ich im Rahmen eines non disclosure agreements tiefen Einblick in SafeGuard easy und war damals in der Lage selbiges auszuschließen. CBI war hier übrigens bei weitem nicht so kooperativ. (vielleicht gibt hier ja was zu verbergen?)

Im Gesamten mal ein interessantes Thema auf deiner Webseite ;-) Hier gibt es noch viel Aufklärungsbedarf. Gerne trage ich die nächsten Wochen noch etwas dazu bei. In der Zwischenzeit solltet ihr euren Telekom-Router entsorgen, der dient nämlich als Einstiegspunkt in euer Netzwerk! (sollte das Passwort hier das gleiche wie auf eurem System sein, könnt ihr euch jeden weiteren Aufwand sparen.) ;-)

Ich geh jetzt mal Koffer packen…

Kupfer!
#2 Ser0bIade am 05.08.2007 12:59 (Antwort)

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA
 
 

aktuelle Termine


Suche

Kategorien

Archive

Blog abonnieren

Joe Strummer
 
Diese Seite ist Joe Strummer gewidmet
RIP 22.12.2002

Verwaltung des Blogs

Login

Powered by