Sicherheits GAU: Der Spion der mit der Kälte kam.

[devilstorm]

Wir Mac User wachsen ja zum Glück immer weiter an, sodass das wirtschaftliche Interesse bei den HW-Lieferanten natürlich auch steigt.
Interessant find ich z.B. auch eins was mir letztes Jahr SAP TechEd in München aufgefallen ist. Dort liefen sehr viele SAP Mitarbeiter mit MBPs rum (um z.B. ihre Umfragen zu machen). Wenn eine Firma wie SAP immer mehr auf Apple setzt, wird das Thema Datensicherheit wohl auch bei Apple mehr ins Rampenlicht wandern.

Gut aber dann habe ich das mit dem EFI schon richtig verstanden. Da Apple die HW nicht selbst produziert, lieg die "Schuld" oder der Task bei den HW Herstellern. Wobei Apple ihre direkten Partner (sprich die Hersteller der Platten die ab Werk verbaut sind) schon dahin bringen sollte ihr EFI auch richtig zu unterstützen.

[OT]
Es war mir fast klar, dass du das Urteil so interpretierst. Jedoch ist ganz klar geregelt, dass es nicht wegen einem Pipifaz (siehe weiter unten) eine Durchsuchung geben darf und die Durchsuchungen auch nur mit richterlichen Beschluss erfolgen darf.


...(Quelle GMX)
So darf ein Eingriff in das IT-Grundrecht nur vorgesehen werden, wenn es "tatsächliche Anhaltspunkte" dafür gibt, dass eine "konkrete Gefahr für ein überragend wichtiges Rechtsgut" besteht wie:

• "Leib, Leben und Freiheit der Person" oder
• "Güter der Allgemeinheit", deren Bedrohung die Grundlagen des Staates oder der Existenz der Menschen berühren - wie die Funktionsfähigkeit "existenzsichernder öffentlicher Versorgungseinrichtungen".

...

[/OT]

 

[AyaKoshigaya]

Eine letzte sache noch von mir, du kannst ja rein theoretisch jetzt alles firewall mäßige sein lassen, die encryption etc auch... denn wie du selbst sagst, die sicherheit ist ja aktuell = NULL...

 

[SilentCry]

Eine letzte sache noch von mir, du kannst ja rein theoretisch jetzt alles firewall mäßige sein lassen, die encryption etc auch... denn wie du selbst sagst, die sicherheit ist ja aktuell = NULL...

Ist das Absicht? Der Satz ist einfach hahnebüchen. Ich spreche hier nicht von Firewalls, ich spreche hier davon, dass man einen Rechner mit sensiblen Daten nur noch in schwer geschützter Umgebung betreiben kann, keinesfalls unausgeschaltet alleine lassen darf und eigentlich immer einen Not-AUS braucht. Was, wie Du zustimmen wirst, "mobiles" (wobei ich die Grenzen eng stecke, ja) Computing in Zusammenspiel mit sensiblen Daten zu der Aussage "Sicherhheit = NULL" zusammenzuführen ist.
Mehr habe ich nie gesagt, weniger auch nicht.

 

[SilentCry]

Wir Mac User wachsen ja zum Glück immer weiter an, sodass das wirtschaftliche Interesse bei den HW-Lieferanten natürlich auch steigt.

Ich hoffe morgen. Bisdahin ist meine Computer_freude_ verschwunden. Was traurig ist. Für mich.

Gut aber dann habe ich das mit dem EFI schon richtig verstanden. Da Apple die HW nicht selbst produziert, lieg die "Schuld" oder der Task bei den HW Herstellern. Wobei Apple ihre direkten Partner (sprich die Hersteller der Platten die ab Werk verbaut sind) schon dahin bringen sollte ihr EFI auch richtig zu unterstützen.

Also, ich glaube nicht, dass der Zulieferer Apple GEZWUNGEN hat, EFI zu verwenden, das werden sich die Visionäre, die Sicherheit als Zugabe sehen, wohl in Cupertino so ausgesucht haben.

Zum OT:
Ich teile da eher diese Meinung: http://www.heise.de/newsticker/fore...rteil-gelesen/forum-132833/msg-14491951/read/

Erstens gefällt mir, dass der Richtervorbehalt als das gesehen wird, wie ich es auch sehe: Ein zahnloser Tiger. Sämtliche der von mir auch schon geschilderten Polizeistaatsübergriffe gegen den Bürger in Form von Hausdurchsuchungen wurden von diesem Vorbehalt nicht verhindert. Man wird doch nicht ernsthaft glauben, die Schergen hätten nicht "ihre" Richter, die sie anrufen, wenn sie einen Persilschein brauchen? Also bitte!

Und auch gut ist diese Passage, das nur zu Deinen "überragenden Rechtsgütern":

"Die Maßnahme kann schon dann gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für das überragend wichtige Rechtsgut hinweisen."​

Na, wenn DAS nicht _DER_ Gummisatz an sich ist? "Bestimmte Tatsachen" sind schon Google-Suchbegriffe, wenn man will. Oder auch das Wohnen in einem G8-Gipfelgebiet. Oder einfach "Moslem sein", oder ... Nachdem ja nichtmal hinreichend Wahrscheinlich sein muss, dass jemand eine Bombe baut, reicht es schon, dass er eine Anleitung dazu im Netz sucht.

Sorry, aber m.M. nach ist dieses Karlsruhe-Urteil kein Sieg der Bürger und kein Sieg der freiheitlichen Grundordnung. Ein Sieg wäre gewesen hätte Karlsruhe in etwa (ich schreibe das jetzt einfach so hin) gesagt "Der Einsatz von Mechanismen zur Ausspähung informationstechnischer Systeme ist ausschließlich auf die Übertragung ausserhalb von Wohn- und Betriebsräumen sowie eingefriedeten Liegenschaften, also ausserhalb von Computer und Raum, zulässig. Lokale Daten sind immer und ausschließlich dem Kernbereich privaten Lebens zuzuordnen und etwaige gewonnen Information daraus wird in jedem Verfahren per se für unzulässig erklärt. Private informationstechnische Systeme sind als ebenso unverletzlich zu behandeln wie die Köpfe und Gedanken der Bürger."

Übrigens sehen die Ü-Staat-Fetischisten auch nicht, dass man sie in Karlsruhe damit gebremst hätte (*). Der Richtervorbehalt, dass wissen alle NeuGeStaSiPo-Verfechter, ist mehr oder weniger wertlos. Ein Hausdurchsuchungsbefehl darf in .at zumindest 24 Stunden NACHgereicht werden. D.h. der Richter muss nichtmal VORHER gefunden werden, das bremst nichtmal.

(*)

Bundesinnenminister Wolfgang Schäuble freut sich, dass die höchsten deutschen Richter "die grundsätzliche verfassungsrechtliche Zulässigkeit" heimlicher Online-Durchsuchungen als Ermittlungsmaßnahme anerkannt haben.

 

[SilentCry]

On Topic: Ich habe jetzt an Herrn Bögenholz von der C't (Artikel) geschrieben, ob er nicht einen aktuellen Artikel dazu schreiben will und ob er nicht dabei auch die Situation von Mac-Usern berücksichtigen möchte, auch im Hinblick eben auf die ColdRAM-Attacke.
Mal sehen, vielleicht wacht einer der Hersteller auf, wenn sich die C't bei ihnen meldet und die Frage anschneidet, warum sie so ignorant auf Apple reagieren.
Sonst bleibt mir wirklich bald nur noch Dell XPS mit Ubuntu und einer Cryptodisk... :.(

 

[WDZaphod]

Die Hersteller reagieren nicht ignorant, sondern dem Markt angepasst.
EFI ist eine große Verbesserung dem BIOS gegenüber, da - wie das E im Namen schon sagt - erweiterbar. EFI gibts seit Jahren, Itanium-Server booten darüber. Es ist einfach zu wenig Markt dafür da, wenn sich das ändert, werden die Hersteller auch Produkte anbieten.

 

[SilentCry]

Die Hersteller reagieren nicht ignorant, sondern dem Markt angepasst.

Ein Hersteller könnte jetzt aber mächtig punkten. Immerhin stehen Appleuser ohne Lösung dar, jetzt wäre die Zeit, sich einen Markt zu erschließen.

EFI ist eine große Verbesserung dem BIOS gegenüber, da - wie das E im Namen schon sagt - erweiterbar. EFI gibts seit Jahren, Itanium-Server booten darüber. Es ist einfach zu wenig Markt dafür da, wenn sich das ändert, werden die Hersteller auch Produkte anbieten.

Trotzdem war es von Apple einfach zu früh, was interessieren mich als Endkunden Server? Wie war das nochmal mit "dem Markt angepasst"? Wo war Apples "angepasstes" Verhalten da, warum dieser einsame Alleingang mit EFI auf Endkonsumenten-Laptops und die damit verbundenen Probleme. Das OS X wäre nämlich für den Betrieb dieser HDDs geeignet, die Hardware ist das Problem und da eben das EFI, von dem ich als Käufer rein gar nichts bemerke. (Ausser, dass zB. kein ATA-Security-Feature implementiert ist, etwas wie ein "richtiges" BIOS-Passwort gibt es auch nicht (jaja, OF-Passwort, besser als nix, eher ein Manipulationsindikator als ein Schutz)- normale PCs zB. löschen kein BIOS-Passwort wie das OF-Pwd nur weil man RAM-Riegel tauscht, etc.)

Sorry, aber die Apple-Hardware hinkt sicherheitsrelevanten Aspekten jedem Standard-Notebook meilenweit hinterher. Nicht, dass Dinge wie ATA-Security und BIOS-Passwort unüberwindliche Hindernisse wären, ich will das nur als Beispiel aufführen wie selbst einfache Security-Perimeter mit dem EFI auf Apple nicht implementiert sind.

Und in welcher Katastrophe das münden kann sieht man jetzt. Diese ColdRAM-Attacke wäre wesentlich weniger katastrophal wenn man hardwareverschlüsselnde Platten im Macbook einsetzen könnte. Schlimm immer noch, aber nicht so tödlich dass man u.U. Apple sogar als valide Plattform hinterfragen muss.

 

[Paganethos]

@SilentCry: Was tust du eigentlich, wenn dich 2 nette Herren in unauffällligen Anzügen mit "Nachdruck" zur herausgabe deines Passwortes auffordern? Hoffen dass sie es nicht ernst meinen (du scheinst ja furchtbar wichtige Daten auf deinem Book zu horten)?

Ich denke, den absolut sicheren Schutz für Daten jeglicher Art wird es nie geben. Knacken und hintergehen lässt sich alles. Das beste ist immernoch sein Book NIE aus den Augen zu lassen so dass keine unbefugte Personen ran kommen.

 

[SilentCry]

@SilentCry: Was tust du eigentlich, wenn dich 2 nette Herren in unauffällligen Anzügen mit "Nachdruck" zur herausgabe deines Passwortes auffordern? Hoffen dass sie es nicht ernst meinen (du scheinst ja furchtbar wichtige Daten auf deinem Book zu horten)?

Und wieder einer... Dann sage ich Dir das gleiche wie hier schonmal:
Hör auf, Dich anzugurten, denn gegen einen Satelliten der Dir auf's Autodach fällt, nutzt das nichts. Und sperr Deine Tür nicht zu, denn was machst Du, wenn zwei Skinheads mit Baseballschlägern Dich auffordern, die Tür zu öffnen? Und ... weisst eh, es ist eh alles sinnlos, weil in Wahrheit hat die einzige Nation von Gott Bush sowieso ausserirdische Technologie und knackt jeden Code mit den Quantencomputern der Asgard.
Sorry, aber langsam geht mir die Kraft aus, immer und immer wieder die gleichen Ablenkungsstrategien weg vom eigentlichen Problem zu kommentieren.

 

[Paganethos]

Sorry, aber langsam geht mir die Kraft aus, immer und immer wieder die gleichen Ablenkungsstrategien weg vom eigentlichen Problem zu kommentieren.

Ich wollte nur fragen, ich verfolge keine Strategie dich von etwas abzulenken. Ich gehöre nicht "zu denen"

Ich habe meine wirklich wichtigen Sachen wie Bankdaten etc. verschlüsselt auf einem USB Stick in meinem Schreibtisch zu Hause. Es gibt keinen Grund sie mit zu nehmen. Der Home Ordner mit meiner privaten Korrespondenz, meinen Bildern etc. ist mit FileVault verschlüsselt. Damit ist MEIN Sicherheitsbedürfnis gestillt. Wenn mich jemand vom Rechner weglocken will, mein Book zerlegt und mein Ram tiefkühlt soll er es meinetwegen tun. Die Nummer meiner Bank um meine Konten + Kreditkarte zu sperren kenn ich auswendig.

Hätte ICH kriminelle Energie wäre ich 100% nicht so blöd irgendwo irgendetwas darüber digital zu speichern. Müsste ich für die Firma ins Ausland mit furchbar wichtigen Daten im Book würde ich den Laptop sowieso niemals aus den Augen lassen.

 

[SilentCry]

Es wird wohl auf drei (bzw. zwei) Varianten hinauslaufen

1. - So wie jetzt. Benutzung des Geräts wie im Krieg.
2. - Umstieg auf eine Plattform, die hardwareverschlüsselte HDDs verträgt
3. - Mühselige Aufdrüselung der Daten in grüne, gelbe und rote Bereiche und ein zigtausendmaliges Mount/Unmount von Cryptopartitions/Container inkl. einem disziplinierten Arbeitsverbot an kritischen Daten ausserhalb einer geschützten Umgebung.

Wobei bei (3) eben das Problem der inherenten Verzahnung besteht. zB. Mail laufen lassen geht nicht, wenn GPG-Keychains im Cryptocontainer liegen sollen.
Daten werden plötzlich verstreut, Dokumente sind nun nicht mehr nur Dokumente, es gibt faktisch alle Ordner zweimal, einmal mit den gelben (filevault) und einmal mit den roten (truecrypt) Daten.

Wahrscheinlich wird es aber auf (3) hinauslaufen. Linux möchte ich mir eigentlich nie wieder antun, aber so wie jetzt kann ich nicht weiter machen. Natürlich ist auch das vom Arbeitskomfort mehr als schrecklich, aber ein Höchstschaden im K-Fall kann zumindest abgewendet werden.

Danke, Apple, für EFI. Danke, dass die einzige Erleichterung dieser Katastrophe einfach nicht funktioniert, weil man sich einbildet, dieses in der Breite völlig ununterstützte Zeug vorschnell einführen zu müssen. Und das als Nischenplayer. Hätte DELL das getan, um der Welt EFI aufzudrängen, die hätten vielleicht die nötige Marktdominanz, dass die HW-Hersteller EFI sofort mit unterstützt hätten bzw. hätten müssen, aber mit einem Nischenmarkt so einen Tanz zu veranstalten drängt mich als Applekunde in die Verliererposition.

 

[Paganethos]

Nur interessenhalber: was hast du denn für "rote" Daten?

Arbeitest du an sensitiver Militärtechnik? Geheimdienst?

 

[SilentCry]

Und täglich grüßt das Murmeltier...
Genaugenommen aber offenbahrt das auch das inherente Problem: Menschen gehen von der falschen Seite an die Sache heran. Sie fragen "oh, was hast Du denn für Daten, die schützenswert sind?" Dabei ist die Wahrheit umgekehrt.
JEDES Datum ist ROT. Nur wenn man lange und ausgiebig darüber nachgedacht hat, kann man es in der Wertigkeit reduzieren.
GRÜN ist bestenfalls noch die Uhrzeit.

 

[thrillseeker]

Lustig, dass die Leute nach genau jenen Daten fragen, die Du gerne schützen möchtest. Und dabei an Geheimdienst denken :-D

Dabei ist praktisch jedes unpatentierte, geistige Eigentum in einer globalisierten Welt so gefährdet wie ein Filetsteak im Löwenkäfig.

Hätte DELL das getan, um der Welt EFI aufzudrängen, die hätten vielleicht die nötige Marktdominanz, dass die HW-Hersteller EFI sofort mit unterstützt hätten bzw. hätten müssen, aber mit einem Nischenmarkt so einen Tanz zu veranstalten drängt mich als Applekunde in die Verliererposition.

In diesem Punkt muss ich doch mal an Deinen gesunden Menschenverstand appellieren

Apple fährt, besonders in den letzten Jahren, einen klaren Kurs in Richtung Massenmarkt. Außerdem sind die Macs Consumer-Produkte, und der "normale" Consumer hat Angriffe wie den geschilderten kaum zu befürchten. Im Consumer-Markt werden ja schon der sichere virtuelle Speicher, FileVault oder Mailverschlüsselung eher selten genutzt. Und das Einfrier-Problem ist (wenn ich das jetzt richtig sehe) schließlich auch eine relativ neue Bedrohung.

Wer's speziell mag, muss sich leider meist selbst was basteln. Oder Apple vorrechnen, dass sich die Einbindung weiterer Schutzmechanismen tatsächlich in steigenden Umsatzzahlen niederschlagen wird.

 

[Paganethos]

Und täglich grüßt das Murmeltier...
Genaugenommen aber offenbahrt das auch das inherente Problem: Menschen gehen von der falschen Seite an die Sache heran. Sie fragen "oh, was hast Du denn für Daten, die schützenswert sind?" Dabei ist die Wahrheit umgekehrt.
JEDES Datum ist ROT. Nur wenn man lange und ausgiebig darüber nachgedacht hat, kann man es in der Wertigkeit reduzieren.
GRÜN ist bestenfalls noch die Uhrzeit.

All zu sehr scheinst du ja noch nicht darüber nachgedacht zu haben. Du schreibst ja selbst von Rot, Gelb und Grünen Files und dass du deine Ordnerstruktur desswegen doppelt und dreifach anlegen musst.

Ich verstehe leider noch immer nicht um was es hier GENAU geht. Hat man das Perpetomobile oder etwas ähnlich bahnbrechendes erfunden lagert man die Pläne dazu sicher nicht auf einem Rechner den man ständig mit sich herum schleppt. Meine Welteroberungspläne kommen auf eine externe HDD, werden verschlüsselt und lagern, wenn ich nicht daran arbeite, an einem sicheren Ort.

Gegen die SSchäubles und chinesische Wirtschaftsspione hilft ein Rechner der nicht am Internet hängt. Mein Studiorechner hat auch kein Internet. Sonst würde im Radio nurnoch meine Musik laufen

 

[SilentCry]

Lustig, dass die Leute nach genau jenen Daten fragen, die Du gerne schützen möchtest. Und dabei an Geheimdienst denken

Gell. Ich denke mir da auch immer "erwarten die jetzt einen Link oder eine echte Antwort von einem Geheimnisträger?" :.)

In diesem Punkt muss ich doch mal an Deinen gesunden Menschenverstand appellieren

OK, probier's mal *fg*

Apple fährt, besonders in den letzten Jahren, einen klaren Kurs in Richtung Massenmarkt.

Ähem, aber gerade DANN ist doch so eine übereilte Abkehr von breit unterstützten Standards widersinnig.

Außerdem sind die Macs Consumer-Produkte, und der "normale" Consumer hat Angriffe wie den geschilderten kaum zu befürchten.

Dem widerspreche ich eben dezitiert. Ich halte die Bedrohung für real. Nicht nur von überwachungsstaatlicher Seite sondern eben auch in den klassischen S3-Szenarien gegen nichtstaatliche Verbrecher.

Wer's speziell mag, muss sich leider meist selbst was basteln. Oder Apple vorrechnen, dass sich die Einbindung weiterer Schutzmechanismen tatsächlich in steigenden Umsatzzahlen niederschlagen wird.

Apple hätte viel weniger ein Problem damit, wenn sie nicht den Einsatz von HW-encrypted Drives durch dieses unsägliche EFI verhindert hätten. Aber da drehen wir uns natürlich im Kreis. Ich sage, Apple hat eine massive Teilschuld, weil es dieses EFI im Consumerbereich einfach nicht gebraucht hätte, jetzt. Alle können mit BIOS, nur Apple wieder mal mus sich rausstellen. Endlich eine "standard" Hardware auf Intel-basis aber dennoch inkompatibel dank EFI. Klasse, wirklich. Sorry, aber das ist echt ... als es noch PowerPC-Rechner waren mit OF, ok. War halt so. Aber das jetzt - und besonders weil es mich im Regen stehen lässt mit meinem Problem - ist eine richtig ärgerliche weil künstlich herbeigeführte Inkompatibilität.

 

[SilentCry]

Ich verstehe leider noch immer nicht um was es hier GENAU geht.

Ich will es kurz zusammenfassen: Das Kompromittieren des Datenbestandes eines Menschen kann für diesen Menschen existentielle Auswirkungen haben. Und es könnte Kollateralschäden geben wenn Daten über andere Menschen mit kompromittiert werden.

Es muss nicht immer ein Perpetuum Mobile sein, für das kleine Leben eines einzelnen Menschen können viel banalere Dinge einen ebenso großen Wert besitzen.

Ich habe es auch immer wieder betont: Für polizeistaatliche Überwachungskräfte mit paranoidem Präventivbedürfnis sind ALLE Daten so wichtig als wäre es die Formel wie man aus Salzwasser Benzin macht. Der Schäublestaat hat kein Profitinteresse, er will die totale Kontrolle und auch nur um zu wissen OB da was ist wird Aufwand getrieben.

Wir stehen erst am Anfang. Die VDS hat den Überwachungsstaat geboren, er liegt nun in der Kinderkrippe und wird schon mal gesäugt von einem Verfassungsgerichtsurteil, das die heimliche Onlinebespitzelung als in ihrem Kern zulässig erklärt hat. Wächst schön heran, der Bursche, man kann das Blitzen seiner braunen Augen schon sehen. Bald wird er das Laufen lernen und anfangs unbeholfen in die Wohnzimmer der Bürger stapfen...

 

[Paganethos]

Die Chance das dir ein kleiner SSchäuble im Starbucks das Ram aus deinem Book klaut sind aber trozdem sehr, sehr klein. Dem solltest auch du problemlos zustimmen können. Gegen fast alle anderen Attacken gibt es hervorragende Mittel. In diesem Thread wird doch über eine Möglichkeit diskutiert die nur theoretisch besteht.

Ich will es kurz zusammenfassen: Das Kompromittieren des Datenbestandes eines Menschen kann für diesen Menschen existentielle Auswirkungen haben. Und es könnte Kollateralschäden geben wenn Daten über andere Menschen mit kompromittiert werden.

Es muss nicht immer ein Perpetuum Mobile sein, für das kleine Leben eines einzelnen Menschen können viel banalere Dinge einen ebenso großen Wert besitzen.

Wegen deiner EFI rumajammerei: MSI will weg vom BIOS, siehe diese Meldung hier:

http://winfuture.de/news,36958.html


Du dürftest also bald eine HW verschlüsselte HDD für deinen MAC kaufen könnnen.

 

[SilentCry]

Wegen deiner EFI rumajammerei: MSI will weg vom BIOS, siehe diese Meldung hier:http://winfuture.de/news,36958.html
Du dürftest also bald eine HW verschlüsselte HDD für deinen MAC kaufen könnnen.

Das ist ja eine gute Nachricht an sich. Mal sehen, ob "bald" auch "bald" ist.

 

[reab]

Dabei ist praktisch jedes unpatentierte, geistige Eigentum in einer globalisierten Welt so gefährdet wie ein Filetsteak im Löwenkäfig.

Wie kommst du auf die Idee, dass sich in einem Löwenkäfig auch ein Löwe befindet?
Ein Filetsteak ist in einem Löwenkäfig überhaupt nicht gefährdet:
A- Der Käfig ist leer.
B- Der Löwe im Käfig ist tot.
usw.