Eine frohe Adventszeit wünscht Apfeltalk
  • Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Unser Dezember-Wettbewerb steht unter dem Thema Zeitreise - Macht mit und beteiligt Euch mit Euren kreativen Fotos! Zum Wettbewerb --> Klick

Sicherheits GAU: Der Spion der mit der Kälte kam.

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
Update - Preboot-Authentication

Liebe Freunde meines Anliegens und auch verehrte Kritiker meiner Person :.)

Ein Lichtstreifen am Horizont:
Checkpoint-Meldung bei Heise.
heise schrieb:
Neben Windows und Linux sowie einigen PDA-Systemen läuft Checkpoints Festplattenverschlüsselung "Full Disk Encryption" jetzt auch auf Mac OS X ab Version 10.4.5. Die Software verschlüsselt die gesamte Festplatte, während das von Apple mitgelieferte "Filevault" nur ein ausgewähltes Verzeichnis des Benutzers kryptografisch sichert. Außerdem modifiziert Checkpoint den Bootsektor der Festplatte so, dass der Rechner das Betriebssystem nur nach einer Passwort-Abfrage startet (Pre-Boot Authentifizierung).

Ich habe eine Bezugsquelle ausgemacht. Berichte werden folgen. Besonders interessant wird die FullHDD-Encryption mit DeepSleep (aka Hibernation), wenn das Aufwachen eine Abfrage der Passphrase beinhaltet. Dann würde man "einfach" den Mac dazu bringen, beim Zuklappen immer in DeepSleep zu verfallen

Dazu noch eine TrueCrypt- oder PGP-Desktop-verschlüsselte Partiton, die mit sleepwatcher sofort dismounted werden und man ist schon gut gerüstet. OK, man kann das Book immer noch nicht unbeaufsichtigt laufen lassen, aber das wird wohl niemals lösbar sein, solange die aktuelle IT nur auf Gimmicks fokussiert und nicht auf Sicherheit.
 

Axel!

Osnabrücker Reinette
Registriert
21.12.07
Beiträge
993
Aber ob Leute solch einen Aufwand betreiben um ein paar Bilder von meiner Festplatte zu holen?
 

Bajuware

Apfel der Erkenntnis
Registriert
23.04.08
Beiträge
724
Ich hab jetzt nicht alles durchgelesen, aber meine Festplatten sind mit TrueCrypt vollverschlüsselt. Ich hab sämtliche Schlüssel auf externen Datenträgern gesichert, welche nicht zugänglich sind. Eine automatische Eingabe von Keys ist ebenfalls deaktiviert. Soviel ich weiß speichert das MacBook und alle weiteren Produkte im Ruhezustand im swap, der ist durch TrueCrypt ja geschützt, weil auf der Festplatte. Er müsste den Arbeitsspeicher also within von einer Minute nach dem DeepSleep kühlen, eher unwahrscheinlich.

Zumal ich davon ausgehe, das TrueCrypt da relativ zügig nachziehen wird und eine Lösung findet, den Schlüssel vor dem Runterfahren oder vor dem in den Schlaf schicken, mehrfach zu überschreiben.

Generell empfehle ich nach wie vor, sensible Daten gehören auf extern verschlüsselte Laufwerke und der Schlüssel auf wiederrum andere Medien oder Papier.
 

fabischm

Zabergäurenette
Registriert
06.03.08
Beiträge
613
sind den schon solche vorfälle von datenklau bekannt, oder nur möglich?
 

DesignerGay

Danziger Kant
Registriert
27.07.07
Beiträge
3.900
Das einzige wo mir bekannt ist, wo dies durchaus möglich ist, ist bei der Einreise in die USA, da werden öfters Laptops beschlagnahmt und durchsucht, teilweise werden die noch nicht mal mehr zurück gegeben.

<alles andere sind momentan nur Einzelfälle.
 

Paganethos

deaktivierter Benutzer
Registriert
18.11.07
Beiträge
3.702
Gerade bei Laptops kann man eigentlich nicht vorsichtig genug sein. Man kann ihn ja zB einfach mal irgendwo liegen lassen. Dann ist man evtl doch froh, wenn man weis das der Finder nicht ohne weiteres die Emails lesen oder private Fotos einsehen kann. ;)
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
Ich hab jetzt nicht alles durchgelesen, aber meine Festplatten sind mit TrueCrypt vollverschlüsselt.
Die Bootplatte nicht. TC kann am Mac keine Bootplattenverschlüsselung.

Ich hab sämtliche Schlüssel auf externen Datenträgern gesichert, welche nicht zugänglich sind.
Wem nicht zugänglich? Den Schergen des Überwachungsstaates vermutlich schon. Und _das_ ist ja mit eine der größten Bedrohungen. Um klassische Verbrecher mache ich mir weniger Sorgen, die kommen an mir und meiner .45er nämlich nicht vorbei, die können keinen Hausdurchsuchungsbefehl vorzeigen und vor allem ist mein Profil zu uninteressant für die Mafia. Beim Staat sieht das anders aus. Jeder ist verdächtig, jeder ist interessant und der Aufwand muss nicht in irgendeiner Relation zum Nutzen stehen. Man sieht ja, wie viel in die Totalüberwachung investiert wird OBWOHL jeder weiss wie wenig es gegen Terroristen und dgl. nutzt.

[...] das MacBook und alle weiteren Produkte im Ruhezustand im swap, der ist durch TrueCrypt ja geschützt, weil auf der Festplatte.
Nein. Bei Deepsleep wird eine Imagedatei des Memories auf die Bootplatte gelegt. Da TC die Bootplatte nicht verschlüsseln kann liegt der Memorydump direkt vor. Wie man den Sleepmode disabled bzw. eine Diskussion dazu überhaupt steht hier.
 

Bajuware

Apfel der Erkenntnis
Registriert
23.04.08
Beiträge
724
Die Bootplatte nicht. TC kann am Mac keine Bootplattenverschlüsselung.

Wem nicht zugänglich? Den Schergen des Überwachungsstaates vermutlich schon. Und _das_ ist ja mit eine der größten Bedrohungen. Um klassische Verbrecher mache ich mir weniger Sorgen, die kommen an mir und meiner .45er nämlich nicht vorbei, die können keinen Hausdurchsuchungsbefehl vorzeigen und vor allem ist mein Profil zu uninteressant für die Mafia. Beim Staat sieht das anders aus. Jeder ist verdächtig, jeder ist interessant und der Aufwand muss nicht in irgendeiner Relation zum Nutzen stehen. Man sieht ja, wie viel in die Totalüberwachung investiert wird OBWOHL jeder weiss wie wenig es gegen Terroristen und dgl. nutzt.

Nein. Bei Deepsleep wird eine Imagedatei des Memories auf die Bootplatte gelegt. Da TC die Bootplatte nicht verschlüsseln kann liegt der Memorydump direkt vor. Wie man den Sleepmode disabled bzw. eine Diskussion dazu überhaupt steht hier.

Gut, also halten wir fest : herkömmliche Verbrecher stellen eine mindere Bedrohung dar und es bleibt immer ein Rest Risiko, schließlich könnte dir die beste Sicherung nichts helfen, wenn du ein eingebundenes verschlüsseltes Image und einen angeschalteten Mac verlierst, oder er dir geklaut wird.

Danke für die Info mit dem Deepsleep

Also ich gehe davon aus, das den Schergen des Staates auch bei einer Hausdurchsuchung nicht auf meinen Sicherungsschlüssel stoßen, zumal man hier ja einfach mal die Relation sehen muss. Hat jemand von euch schon einmal eine Hausdurchsuchung mit Beschlagnahmung des PC's erlebt ? Nein ? Ich Ja! ( Ich war nicht direkt betroffen - aber anwesend )

Es bleibt Zeit den Rechner runter zu fahren und es wurde nicht einmal annähernd nach einem klassischen Datenträger gesucht welcher die Schlüssel beherbergte. Übrigens wurden auch keine Speicherkarten und meine USB Sticks beschlagnahmt. Ich könnte den also auch auf eine Karte kopieren und in nem Bilderrahmen verstecken oder bei seiner Mutter deponieren.

Sowohl die externen, als auch die Internen Platten wurden "nicht" geknackt, auch nicht von der Forensik. 256 Bit mit TrueCrypt. Wegen mangelnder Beweislage wurde das ganze fallen gelassen.

Fazit, der Kollege hat seine Hardware nach 8 Monaten noch immer nicht, aber das wars dann auch schon. Es ist numal schlichtweg unmöglich. Das offizielle jemals einen Speicher einfrieren, wird wohl nicht der Fall sein, zumal man ja auch sicher sein müsste das im Memory die passenden Schlüssel sind. Was nicht der Fall ist, wenn die Images nicht eingebunden sind.

Also kann man quasi schon sagen, wer mit Bedacht handelt, der sollte in der Lage sein, seine Daten zu 100% sicher zu schützen. Wer über so hoch sensible Daten verfügt und die dann noch mit ins Cafe auf dem Laptop nimmt, ja sorry - dem kann man aber im Ernstfall auch nicht helfen.

Und das Industriespione dich "kalt" stellen um deinen Memory "kalt zu stellen" bezweifle ich auch.
In gewissen Branchen bleibt vielleicht immer ein gewisses Restrisiko, aber das gibts irgendwo überall.
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
Gut, also halten wir fest : herkömmliche Verbrecher stellen eine mindere Bedrohung dar und es bleibt immer ein Rest Risiko,
Nunja. Ich würde eher sagen, das Bedrohungsszenario hat sich erweitert. Aber dass die Mafia mit einem Rollkommando in meine Wohnung eindringt um meine Daten abzugreifen ist erheblich unwahrscheinlicher als dass sie wegen _irgendeinen_ Verdachts (oho, ich kenne einen Islamisten, mit dem habe ich sogar schon telephoniert - man kommt in einer Panikgesellschaft schnell ins Fadenkreuz einer Ermittlung, glaubt mir).

schließlich könnte dir die beste Sicherung nichts helfen, wenn du ein eingebundenes verschlüsseltes Image und einen angeschalteten Mac verlierst, oder er dir geklaut wird.
Richtig. Mehrere Sicherheitsperimeter sind unerlässlich.

Hat jemand von euch schon einmal eine Hausdurchsuchung mit Beschlagnahmung des PC's erlebt ? Nein ? Ich Ja! ( Ich war nicht direkt betroffen - aber anwesend )
Es ist harmlos abgelaufen, hätte es aber nicht müssen. Die Offensichtlichkeit des Nichtzutreffens und die Seniorität des leitenden Beamten haben die Sache schnell beendet. Und es war in den 90ern, als man noch wirklich nach Verbrechern gefahndet hat, nicht nach 16-Jährigen, die ein paar MP3s tauschen.

Das offizielle jemals einen Speicher einfrieren, wird wohl nicht der Fall sein,
Das würde ich so defintiv nicht sagen. Der Datenhunger der Überwachungsgesellschaft ist grenzenlos. Und es ist so unendlich einfach, dass es wirklich zum Standard jeder Untersuchung werden könnte. Von einem Notebook, der im S3-Mode abhanden kommt, mal ganz zu schweigen.

zumal man ja auch sicher sein müsste das im Memory die passenden Schlüssel sind. Was nicht der Fall ist, wenn die Images nicht eingebunden sind.
Ja. Ein nicht verbundenes Image ist sicher. Es reicht aber nicht. Ich werde, wenn diese Boot-HDD-Verschlüsselung gut funktioniert, ein neues Sicherheitsthema aufmachen mit einer Aufstellung von Bedrohungsszenarien und Gegenmaßnahmen. Dann wird klarer, was hilft wogegen und was hilft nicht.
 

Bajuware

Apfel der Erkenntnis
Registriert
23.04.08
Beiträge
724
Also halten wir fest: Gegen den Deppenalarm kann man nix machen, aber jeder der wirklich sensible Daten hat und diese auch schützen möchte, hat mehr als genügend alternativen um diese zu 99,9% sicher zu speichern.

Das mit den Beamten, die jetzt anfangen deine Riegel einzufrieren, da glaub ich dich beruhigen zu können. Soweit ich weiß fehlt gerade den Behörden vorn und hinten das Geld.
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
Das mit den Beamten, die jetzt anfangen deine Riegel einzufrieren, da glaub ich dich beruhigen zu können. Soweit ich weiß fehlt gerade den Behörden vorn und hinten das Geld.
Zuwenig Geld für einen Schraubenzieher und eine Druckluftdose? Ich glaube kaum. Ich denke ernsthaft, dieses Problem wird hier und in der gesamten IT massiv unterschätzt. OK, heute laufen die Schäuble-Schergen noch nicht mit kleinen Stickstofftanks am Gürtel herum aber das ist entgegen vieler Stimmen hier kein echter Aufwand. _Wenn_ man schon eine Hausdurchsuchung macht, kann man diese Schäuble-Schergen auch damit ausrüsten, dafür ist so gut wie kein Budget nötig.
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
Für Interessenten: Ich habe zur Checkpoint-SW hier einen ersten Bericht verfasst.

Für meine geschätzten Kritiker und Analysten meiner Paranoia: Bitte weiterhin diesen Thread benutzen, um mich fertig zu machen :.)
 

O-bake

Welscher Taubenapfel
Registriert
21.01.07
Beiträge
761
Sind denn solche bösen Stickstoff-Diebe inzwischen schon in freier Wildbahn gesichtet worden?

Und was ist eigentlich, wenn dich Leute kidnappen und dir mit Folter dein Passwort abverlangen?
Denn sowas soll ja nun in dunklen Geheimdienstkreisen schon tatsächlich passiert sein. Davon dass ein Gefrierdieb einem zwischen Frappocino und Muffin den Speicher tiefkühlt und klaut, hingegen wohl nicht.

Hast du denn dann nicht realistischerweise mehr Angst, gefoltert zu werden? Oder hast du eher Angst vor Sachen, die noch nie passiert sind?
 

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Natürlich nicht. Bis erst mal das Genehmigungsverfahren für die Beschaffung von flüssigen Stickstoff durch ist, vergehen noch Jahre...

Übrigens finde ich das Verfahren mit Stickstoff mehr als umständlich. Wieso nicht gleich einfach eine Mini-Kamera mit Blick auf die Tastatur installieren?

Hmm... irgendwie bekomme ich gerade wieder Lust, "Burn Notice" zu schauen.
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
Ist es Euch nach 36 Seiten nicht langsam zu dumm, immer wieder die Folterthematik aufzuwrfen frei nach dem Motto, da man sich nicht vor herabfallenden Meteoriten schützen kann braucht man beim Überqueren der Straße auch nicht nach links oder rechts schauen? Immer die Abwehr eines Bedrohungsszenarios mit einem schlimmeren Szenario toppen?

Das gleiche mit der proaktiven Überwachung. Ja, natürlich kann man eine Kamera auf eine Tastatur richten. Aber das muss man anders machen und daher auch anders abwehren. Bei einer "stinknormalen" Hausdurchsuchung die Schergen mit einer Kühlspraydose ausstatten ist möglich. Oder falls sich der beschlagnahmte Rechner in S3 befindet im Kriminallabor abgekühlt zu werden ist auch drin. Ganz ohne Geheimdienstphantasien von Bourne-Guckern.

Achja, auch wenn der Schmäh mit dem ach so teuren Aufwand andauernd versucht wird: Es ist KEIN flüssiger Stickstoff nötig. Eine 7.99,- Euro-Druckluftdose reicht für die Verzögerung von 1 Stunde. Jeder Affe kann in einer Stunde RAM ausbauen und in einen kontrollierten Ermittlungsrechner zum Dumpen einbauen.
 

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Mir wäre es eher nach 36 Seiten zu Dumm die Frozen-RAM-Attacke weiterhin als eine größere Bedrohung darzustellen, als sie ist.
Du unterschlägst immer noch den größten Kostenfaktor bei der Frozen-RAM-Atacke: Nämlich die Kosten für den ganzen Verwaltungsapparat. Ob die nun flüssigen Stickstoff für 200 Euro oder ne simple Druckluftdose für 7,99 benutzen macht den Braten auch nicht mehr heiß. Fakt ist, dass die Justizbehörden gar nicht die Kohle haben, sowas flächendeckend ohne wirkliche Verdachtsmomente durchzusetzen.

Ich würde mir mehr Sorgen über Daten machen, die anderswo gespeichert sind. Was ist z.B. mit der GEZ? Die hat so ziemlich die Adressen fast aller Haushalte in Deutschland und damit eine bessere Datenbasis als Einwohnermeldeämter.

PS: Ich klinke mich hier mal aus, weil eigentlich alles zu dem Thema gesagt wurde, was zu sagen ist.
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
Wie hoch ist der zusätzliche Verwaltungsaufwand im Rahmen einer mittlerweile in .de alltäglichen Hausdurchsuchung durch die Mitnahme einer Druckluftdose und Durchführung einer Frozen RAM-Attacke?
Seit wann scheut der Überwachungsstaat Kosten für jede noch so sinnlose Maßnahme (siehe zB. teure Erfassung und Speicherung von Biometriedaten in Pässen wegen der Fälschungssicherheit obwohl nur 5 gefälschte Pässe im Jahr abzuwehren sind, siehe kostenintensive Entwicklung des NeuGeStaSiPo-Trojaners in den Kellern des BKA, siehe aufwändige Speicherung der Verbindungs- und Standortdaten, verdachtsunabhängig, etc.) wenn sie seinem Anspruch auf Allsehenheit dient?

Richtig ist, dass bisher kein Fall bekannt ist, in dem diese Technik angewendet wurde. Wem das als Gegenargument genügt, der soll damit glücklich werden - ich sehe es anders, aus meiner Sicht ist es nur eine Frage der Zeit, auch die Stasi 2.0 ist ein bürokratischer Apparat, da dauert die Umsetzung von Methoden eben seine Zeit.

btw haben wir zwei Fronten. Es gibt auch noch die klassischen Kriminellen, die Laptops stehlen. Ist dieser in S3...

Und ja, es gibt ganz andere Bedrohungsszenarien auch noch. Der NeuGeStaSiPo-Trojaner macht mich auch nicht froh, die andauernde Flut von schweren Lücken in klassischer Anwendungssoftware ebensowenig. Überhaupt eignen sich natürlich remote Angriffsvektoren für beide Sorten Verbrecher viel besser, da gebe ich Euch schon Recht. Nur darf man IMHO aufgrund des ganzen Trojaner-Getues auch die physischen Bereiche nicht ignorieren. Die allerbeste Onlineverteidigung nutzt nichts, wenn die Stasi 2.0 den Zielrechner physisch in S3 vorfindet und die Passphrases einfach ausliest.
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
RAM-Module fest einkleben, so daß sie nicht ohne Beschädigung in der nötigen Zeit entnommen werden können.
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
RAM-Module fest einkleben, so daß sie nicht ohne Beschädigung in der nötigen Zeit entnommen werden können.
Sagst Du mir wie? Ich habe das tatsächlich in Erwägung gezogen, habe aber keine Erfahrung mit Klebstoffen, die zwar bombensicher sind aber nicht durch ätzende oder leitende Wirkung den Rechner beschädigen. Pro Versuch ein MacBook zu verlieren ist mir zu teuer - und würde mir auch sonst um das arme Äpfelchen leid tun. :.)

Ernsthaft: Jemand hier, der das gemacht hat und daher Erfahrung damit hat?