Die ganze öffentliche Debatte um Möglichkeiten, einzelte Computer gezielt auszuspionieren habe ich nicht groß verfolgt, da ich solche Vorhaben ähnlich wie ältere Pläne für ein Kryptografie-Verbot für puren Unsinn halte, der höchstens dilettantisch agierende Kriminelle auffliegen lässt.

So einfach, wie der auf der Hauptseite verlinkte Telepolis-Artikel (http://www.heise.de/tp/r4/artikel/24/24766/1.html) Glauben machen will, halte ich die Installation eines Trojaners zwar für nicht. Andererseits: Es sind Systeme denkbar, die Download-Dateien vor Veränderungen schützen, indem eine Prüfsumme gebildet, verschlüsselt, und mitgesendet wird. Außerdem könnte zusätzlich auch gleich der ganze Download verschlüsselt werden.

Nur müsste man dann dafür sorgen, dass das Betriebssystem nicht in seiner Sicherheit kompromitiert wird. Da böte eine Lösung à la TCPA doch einen Ansatz – wenn auch zum Preis, dass man dafür in andere Abhängigkeiten gerät.

aths,

die Trusted Computing Plattform Alliance nennt sich jetzt Trusted Computing Group.
Und Palladium nennt sich NGSCB (Next Generation Secure Computing Base).

Ich verstehe dein Posting inhaltlich nicht. Was möchtest du uns sagen?
Könntest du mir evtl. etwas auf die Sprüng helfen?

Grüße,
QFT

Ich habe mein Posting noch mal gelesen und bin der Meinung, dass klar wird, was ich damit sagen bzw. fragen möchte. Das Topic habe ich mal an die neuen Abkürzungen angepasst.

Also ich versteh das so, daß du TCPA/TCG/NGSCB/whatever zum Schutz vor Trojanern einsetzen möchtest indem du den "Schutz" über den eigenen Rechner hinaus auf Downloads aus dem Internet ausweitest, richtig?

Falls ja, dann gute Nacht. Ich sag dazu nur "wer die Freiheit zugunsten der Sicherheit opfert, wird am Ende keins von beiden haben (oder so ähnlich)".

Ich habe mein Posting noch mal gelesen und bin der Meinung, dass klar wird, was ich damit sagen bzw. fragen möchte. Das Topic habe ich mal an die neuen Abkürzungen angepasst.

aths,

es ist schön, dass du der Meinung bist, dass du dich klar ausdrückst.
Ich verstehe dich trotzdem nicht.
Nun gibt es die Möglichkeit, mir zu erklären was du meinst, oder weiterhin darauf zu beharren, dass es für dich klar ist.
Ich wäre sicherlich ein dankbarer Diskussionspartner. =)

Viele Grüße,
QFT

Technischer Schutz vor dem Staat durch M$?!? Das glaubst du doch selber nicht . M$ arbeitet fröhlich mit den Geheimdiensten zusammen. Das ist spätestens seit NT bekannt und kommt beiden Seiten nicht ungelegen. Ich behaupte sogar das es einer der Gründe ist warum M$ überhaupt noch als ein Unternehmen existiert. Die Spionageergebnisse und die Kontrolle über die Backdoors sind einfach von unglaublichem Wert für die USA.

Alles was irgendwie unter der Obhut eines Staates entwickelt wird enthält Funktionen zur Kontrolle. Kontrolle ist der Entscheidende Schlüssel zur Macht(erhaltung).

vorsicht jungs. behindert man den bundestrojaner bei seiner arbeit wandert man gleich wegen widerstand gegen die staatsgewalt in den knast. ;)

die sache mit den prüfsummen ist sicher eine gute idee.
aber auf tcpa (oder wie man den mist auch immer nennen möchte) zu setzen, um vor dem bundestrojaner und ähnlichem sicher zu sein ist wie den teufel mit dem beelzebub austreiben zu wollen.

Die dritte Generation von P2P-Software zeigt doch, wohin die Reise geht. Es ist wie die Rüstungsspirale. Die Entwicklung führt in der Tat zu immer mehr Verschlüsselung und Verschleierung.

Ich halte ein System für vorstellbar, bei dem über transparente Software und Hardware jeder Netzteilnehmer einen Proxy darstellt und der gesamte Datenstrom mehrmals über benachbarte Teilnehmer umgeleitet wird. So ist eigentlich nichts zurückzuverfolgen. Die bei Verbindungen gewonnene IP ist nicht aussagekräftig, da sie nicht der tatsächlichen Person entspricht, die die Dateien bezogen hat. Dann noch ein dezentrales Hash-System und wir sollten es geschafft haben. :smile:

Technischer Schutz vor dem Staat durch M$?!?

Ja, Schutz durch MS, kann es geben auch wenn du es evtl. nicht so möchtest.
EFS verschlüsselte Dateien, Hausdurchsuchung, Platten beschlagnahmt, Verfahren eingestellt. Passiert vor 2 Jahren dem Sohn eines guten Freundes.
Botcrusher, auch wenn ich deine Postings wirklich sehr schätze, sind sie manchmal unhaltbares MS-Bashing.
Belege deine Thesen doch mit Quellen, dann werden sie evtl. lesbarer.

"Alles was irgendwie unter der Obhut eines Staates entwickelt wird enthält Funktionen zur Kontrolle. Kontrolle ist der Entscheidende Schlüssel zur Macht(erhaltung)."

Du willst jetzt erzählen, dass Dinge, also auch Kryptoalgorithmen, die mit staatlicher Hilfe geschaffen wurden, allesammt Backdoors haben, resp. andere Kontrollmechanismen aufweisen? Ich denke, diese These sollte belegt werden.

Und wieder mal der übliche Text zu dem TPM.
Ein TPM ist quasi eine festverdrahtete Smartcard auf dem LPC-Bus. Warum um alles in der Welt sollte ich KEINE Smartcard benutzen, wenn ich schonmal eine mitgeliefert bekomme?
Ich vermute mal, eure Meinung kommt daher, dass ihr bisher wenig bis gar keinen Umgang mit Smartcards gehabt habt und deren Einsatzmöglichkeiten nicht kennt, was durch die Negativpropaganda über das TPM noch verstärkt wird.
Das TPM wird mitunter mutwillig geschliffen, wo es nur geht. Und was man von einigen Schreiern zu halten hat, kann man sehr eindrucksvoll am Ende dieses Videos sehen: http://dewy.fem.tu-ilmenau.de/CCC/23C3/video/23C3-1721-en-hacking_tpm.m4v
Interessant sind imho die letzten 10 Minuten und die "Fragen" von Rüdiger Weiss am Ende des Talks.
Sorry, der Mann hat definitv einen Schaden und sollte in eine Therapie. Und ja, er weiß viel über den Kram, der er in dem Bereich geforscht hat.
Aber er sollte irgendwann mal lernen, dass man technische Fakten nicht mit halbgaren paranoiden Zukunftsvisionen vermischen sollte. Dies ist keine gute Basis um mit Leuten zu diskutieren.


Mastermind,
die Technik der Mixe resp. des Onion-Routing ist bekannt und wird schon seit langem verwendet. Und es gab auf der Blackhat und dem 23C3 Talks, in denen gezeigt wurde, wie und wann man doch etwas über die Nutzer eines Mix-Netzes herausfinden kann.
Hier wieder der Satz, der mir zu solchen Dingen einfällt.
Technik kann kein menschliches/gesellschaftliches Problem lösen.
Das Problem ist der Überwachungswahn der Obrigkeit, bedingt durch unsere "Das ist ja nicht so schlimm. Ich habe nichts zu verbergen"-Enistellung. Diese Punkte lassen sich wie alle anderen sozialen Phänomene nicht über technische Verfahren "verbessern".
Was helfen würde, zivilier Ungehorsam, Massendemonstration, Brände und mal wieder ein paar gestürzte Politiker. Das hat die Vergangenheit sehr eindrucksvoll bewiesen. Aber der Leidensdruck der Jammerbolzen in unserem Land ist noch nicht hoch genug.

Gruß,
QFT

Man kann den Trojaner doch ganz einfach dem Windows-Surfer unterschieben, in dem beim ISP der Webtraffic gefiltert wird. Und wenn irgendwann eine binäre ausführbare Datei heruntergeladen wird, wird der Datenstrom einfach über Man-in-the-Middle Verfahren ausgetauscht gegen den Bundestrojaner. Wer kann schon behaupten, für jede ausführbare Binärdatei eine Prüfsumme zu haben und diese auch gegen zu prüfen? Früher oder später erliegt man dem Reiz, wenn $kleinesAberInteressantesTool wieder nur ohne Prüfsumme herunterladbar ist, aber man dessen Funktion gern haben möchte.

Beikommen könnte man dem nur über https, VPN oder starke Web-Anonymisierer wie TOR. Alternativ könnte man einfach an der Stelle des Aufwandes für die Bundestrojaner-Erstellung ansetzen, in dem man die Hardware-Architektur wechselt -- also kein i386/amd64, sondern z. B. PowerPC -- oder zumindest ein exotisches Betriebssystem verwendet, wie OpenSolaris, BeOS etc.

Hardware-Virtualisierung wäre auch ein Ansatz, um beim Befall reagieren zu können. Dann müsste man den Bundestrojaner aber zumindest erstmal bemerken können. Rootkits können ja mittlerweile Windows im laufenden Betrieb in eine VM stecken, so dass es außerhalb der Sichtweise des OS liegt, den Bundestrojaner zu erkennen.

Man muß den Bundestrojaner nicht erkennen. Ganz einfach nur strikt innerhalb einer VM surfen, welche aus einem Backup täglich neu aufgesetzt wird. Datenaustausch zwischen Host und VM wird nur von Seiten des Host vorgenommen und beschränkt sich auf TXT-Dateien.

Wenn man es komfortabel machen will, legt man sich Bookmarks und Mails in ein spezielles Verzeichnis der echten Festplatte, welche virtuell in der VM eingebunden ist. Dann hat man alle seine Dateien auch offline zur Verfügung. Allerdings darf man sich dann nix per Mail unterjubeln lassen.

Und wer sagt dir, dass der Bundestrojaner nicht im Code des Hypervisors steckt?

Gruß,
QFT

Man muß den Bundestrojaner nicht erkennen. Ganz einfach nur strikt innerhalb einer VM surfen, welche aus einem Backup täglich neu aufgesetzt wird. Datenaustausch zwischen Host und VM wird nur von Seiten des Host vorgenommen und beschränkt sich auf TXT-Dateien.

Wenn man es komfortabel machen will, legt man sich Bookmarks und Mails in ein spezielles Verzeichnis der echten Festplatte, welche virtuell in der VM eingebunden ist. Dann hat man alle seine Dateien auch offline zur Verfügung. Allerdings darf man sich dann nix per Mail unterjubeln lassen.
Genau das ist der Weg. Das ist heute schon ohne Probleme innerhalb kurzer Zeit eingerichtet. Ich selbst nutze z.B. eine Linux-VM unter Windows zum Surfen. Das hält alle Viren und auch Bundestrojaner ab.

Gruß

Rezept für Sicherheitsbraten.

Man nehme gut abgehangenen 6 Jahre alten Betriebssystemschinken des Redmonder Familienbetriebes Microsoft. Dass der Schinken schon ein wenig schimmelt und ansonsten immer einen unschönen Beigeschmack hatte, soll uns nicht stören.
Für die Füllung nehmen wir ein Stück closed-source Hackepeter aus dem VMWare Laden. Sollten Sie dies nicht bekommen, hilft hier auch obiger Familienbetrieb weiter. Es wird nun die virtuelle Füllung 2007 verschenkt. Schmeckt auch gammelig und man weiß nicht, was drinnen ist, aber egal.

Also Soße nimmt man dann den Saft von freifliegenden Pinguinen und massiert damit die stinkende Masse ein.
Nach einer Stunde im Ofen verzehrt man das ganze und wundert sich nicht, wenn man dem Keramikgott viele Opfer bringt.

Und die Moral von der Geschicht: Man baut vertrauenswürdige Systeme nicht dadurch auf, dass man eine Closed-Source OS eines Monopolisten benutzt, der sich einen Dreck um die Freiheit seiner Kunden schert. Dann nimmt man unter arantie auch keinen closed-Source Virtualisierungsfirlefanz, nur um darin dann ein Linux einzusperren.

*kopfschüttel*

Rezept für Sicherheitsbraten.

Man nehme gut abgehangenen 6 Jahre alten Betriebssystemschinken des Redmonder Familienbetriebes Microsoft. Dass der Schinken schon ein wenig schimmelt und ansonsten immer einen unschönen Beigeschmack hatte, soll uns nicht stören.
Für die Füllung nehmen wir ein Stück closed-source Hackepeter aus dem VMWare Laden. Sollten Sie dies nicht bekommen, hilft hier auch obiger Familienbetrieb weiter. Es wird nun die virtuelle Füllung 2007 verschenkt. Schmeckt auch gammelig und man weiß nicht, was drinnen ist, aber egal.

Also Soße nimmt man dann den Saft von freifliegenden Pinguinen und massiert damit die stinkende Masse ein.
Nach einer Stunde im Ofen verzehrt man das ganze und wundert sich nicht, wenn man dem Keramikgott viele Opfer bringt.

Und die Moral von der Geschicht: Man baut vertrauenswürdige Systeme nicht dadurch auf, dass man eine Closed-Source OS eines Monopolisten benutzt, der sich einen Dreck um die Freiheit seiner Kunden schert. Dann nimmt man unter arantie auch keinen closed-Source Virtualisierungsfirlefanz, nur um darin dann ein Linux einzusperren.

*kopfschüttel*
Ich glaube es ging eher ums Prinzip!

Virtualisierungssoftware wird auch schon als OpenSource entwickelt.

Gab es nicht auch mal Bestrebungen Hardware-Kryptochips offen zu gestalten? Dann könnte man auch seiner HW vertrauen. :smile:

Und QFT, natürlich hast Du recht mit dem, was Du oben geschrieben hast. Da das aber nicht in Aussicht steht wird es eben absehbar so laufen, dass beide Seiten "aufrüsten". :wink:

Huhu Mastermind!

Ich glaube es ging eher ums Prinzip!

Das glaube ich nicht. Die beiden Leute setzen dieses Konzept ein, im Glauben daran, dass man damit das Problem lösen könnte, welches uns die Regierung einbrocken will.
Prinzipill löst Virtualisierung einige Probleme, bringt aber neue mit sich.
Hypervisor sind Software, Paravirtualisierte Treiber können auch Fehler haben und open source Virtualisierungslösungen gibt es jetzt einsatzfähig nicht wirklich viele.
Genau genommen fallen mir da zwei ein.

Freie gut funktionierende Cryptochips sind mir keine bekannt. Es gab bestrebungen, aber einige Projekte wurden wegen Geldmangel wieder abgebrochen.
Der Aufrüstvorgang, den du ansprichst, der wird sicherlich kommen. Aber dann ist es zu spät.
Wenn der "normale" Bundesbürger merkt, es ist höchste Eisenbahn, etwas zu tun, hat er den Moment, in dem es wirklich um etwas ging, um Jahre verschlafen.
Sobald die breite Masse auf Kryptographie setzt, wird der Gesetzgeber sich neue, unlustige Dinge einfallen lassen und in Gesetzeformen gießen. Und wenn mal angefangen wird, Dinge wirklich zu bestrafen, evtl. wird dann Volk aufschreien.
Moment, sitzen nicht noch ein paar RAF Leute im Knast?
Wie heißt es so schön in unserer Faschingshochburg "Wolle mer se rauslasse?"

Und wer sagt dir, dass der Bundestrojaner nicht im Code des Hypervisors steckt?
Gruß,
QFT


Niemand. Man kann allerhöchsten recht sicher gehen, wenn man jahrealte VMs benutzt, weil dort der (vorausschauende) Einbau eines durch die BRD einsehbaren Trojaners eher unwahrscheinlich ist.

Oder OpenSource VM-Software. Wenn es die gibt.



Generell ist es aber so, daß man mit VMware oder VirtualPC ein überschaubares Risiko eingeht. Es ist zudem *ein einziger* Risikopunkt. Beim Versuch, ein echtes System gegen den Bundestrojaner abzusichern, hat man sofort dutzende bis hunderte Risikopunkte - und ständig kommen neue (Sicherheitslücken) hinzu.

Zudem ist der Einbau eines Trojaners in ein kommerzielles Produkt mit enormen wirtschaftlichen Risiko verbunden. Microsoft wird das selbst bei aller Überredungskunst seitens der NSA nie tun, weil es bei Bekanntwerden der Untergang des Unternehms wäre (Vertrauensverlust + Schadensersatzklagen). Machbar sind sicherlich Schlüssel, für die Zweitschlüssel existieren, denn das läßt sich schwer beweisen. Aber die bringen nur etwas, wenn man schon einmal auf dem System ist.



PS: Technisch ist ein Trojaner in der VM-Software sehr einfach zu realisieren - die Software muß einfach nur mittels Autoupdate den Trojaner nachladen. Es bleibt aber weiterhin das enorme wirtschaftliche Risiko für diese Unternehmen, wenn man bei so etwas mitmacht.

Niemand. Man kann allerhöchsten recht sicher gehen, wenn man jahrealte VMs benutzt, weil dort der (vorausschauende) Einbau eines durch die BRD einsehbaren Trojaners eher unwahrscheinlich ist.

Aus dem Text von Volker Birk geht hervor, dass ein potentieller Verbreitungsweg das verändern von Software und Injektion des Schadcodes on the fly beim Download ist.
Dein Szenario ist nur dann im Sinne von Vertrauenswürdigkeit brauchbar, wenn der Hypervisor auf CD-ROM liegt und nicht mehr per download auf den Rechner fleigt.

Oder OpenSource VM-Software. Wenn es die gibt.

Die gibt es, nur dürfte man sich schwer tun, Windows auf den Kisten zum Laufen zu bewegen. Ja, es geht, es gibt für Xen eine speziell angepasste Windowsversion, die zusammen vom Xen Team und MS erarbeitet wurde. Aber diese ist nirgendwo frei erhältlich.

Generell ist es aber so, daß man mit VMware oder VirtualPC ein überschaubares Risiko eingeht. Es ist zudem *ein einziger* Risikopunkt. Beim Versuch, ein echtes System gegen den Bundestrojaner abzusichern, hat man sofort dutzende bis hunderte Risikopunkte - und ständig kommen neue (Sicherheitslücken) hinzu.

Leo,
ich kann die Risiken bei der Verwendung eines closed source Hypervisors ebenso wenig abschätzen, wie du es kannst. Closed Source und vertrauenswürdigkeit schließen sich so lange aus, wie nicht der Code von unabhängigen vertrauenswürdigen Teams begutachtet wurde.
Und das ist weder bei VMWare noch Virtual PC passiert.

Zu der Sache mit den Schlüsseln bleibt zu sagen:
Im Buch von Yung&Yung "Malicious Cryptography: Exposing Cryptovirology" gibt es sehr interessante Ergebnisse aus dem Bereich "Wie bekomme ich aus einem beweisbar sicheren System beweisbar sicher Informationen heraus".
Ok, das Buch ist etwas technisch, aber trotzdem sehr lesenswert und hochaktuell.
Kurzum: Sobald man keine Kontrolle mehr über Schlüssel hat, das ist bei MS Windows der Fall, hat man ein grundsätzliches Problem mit der Vertrauenswürdigkeit.
Dein Ansatz ist gut, nur ist das Host-OS mit Windows leider die falsche Wahl.

Sicherlich, dein Argument mit der Wirtschaftlichkeit der Unternehmen zieht. Aber eben nicht an allen Stellen.
Und das MS Statement dazu ist (ich glaube, es war Peter Biddle): "Microsoft will never voluntarily place a back door in any of its products and would fiercly resist any government attempt to require back doors in products."

Sorry, so sieht Vertrauenswürdigkeit nicht aus. Zumindest nicht für mich.

Viele Grüße,
QFT

Problematisch ist nicht allein der technische Aspekt dieses Unternehmens, sondern auch der Rechtliche.
Bei allem Verständnis für euren technischen Ansatz einer Lösung seht ihr anscheinend nicht, dass der Staat hier am vielfach längeren Hebel sitzt. Er kann von ISP bis zum Antivirenhersteller und jedem Hardwarehersteller vorgaben einrichten, die technisch nicht mehr abwendbar sind.
Die Lösung kann nur rechtlicher Natur sein, da man gegen diese Art der Organisation keine Handhabe im technischen Sinn wirklich durchsetzen könnte.

Ihr müsstet jedes Datenpaket nochmal von "Hand filtern".

Und das MS Statement dazu ist (ich glaube, es war Peter Biddle): "Microsoft will never voluntarily place a back door in any of its products and would fiercly resist any government attempt to require back doors in products."

Sorry, so sieht Vertrauenswürdigkeit nicht aus. Zumindest nicht für michFür mich sieht das eher so aus wie eine Andeutung, daß sie ja gegen etwaige Gesetze nichts ausrichten können. Oder wie soll man sonst freiwillig/unfreiwillig oder erzwungen deuten? Sie wissen ja auch nicht so 100% wohin die Reise geht. Vor allem in den USA kann man ja nichts ausschliessen. Kann man Gesetze insgeheim beschliessen? Und kann man in den Gesetzen verankern, daß der Hersteller solche "features" nicht erwähnen darf?

Daß niemand außer irgendwelchen Hax0rs NEVER schreiben kann sollte irgendwie klar sein. Auch wenn das alles in der Tat einen leichten Beigeschmack erzeugt. Recht hast du schon.

Checksummen neben den Downloadlinks scheinen mittlerweile aber ein Trend zu sein. Es nimmt jedenfalls zu.

Daß niemand außer irgendwelchen Hax0rs NEVER schreiben kann sollte irgendwie klar sein. Auch wenn das alles in der Tat einen leichten Beigeschmack erzeugt. Recht hast du schon.

Checksummen neben den Downloadlinks scheinen mittlerweile aber ein Trend zu sein. Es nimmt jedenfalls zu.

Zu der Sache mit den Checksummen: Um zu garantieren, dass diese nicht auch verändert werden, muss man die Checksummen digital signieren.
Und genau diese Publik Key Infrastruktur gibt es aktuell nicht, damit die Geschichte praktikabel wird.
Vor Trusted Computing läuft jeder weg, eine komplett vertrauenswürdige Instanz gibt es nicht, zumindest zählich ich MS und unsere Regierung schonmal nicht dazu, und was bleibt, ist nach wie vor das Unwissen darüber, ob der Downloadcode verändert wurde.

Gruß,
QFT

dass der Staat hier am vielfach längeren Hebel sitzt. Er kann von ISP bis zum Antivirenhersteller und jedem Hardwarehersteller vorgaben einrichten, die technisch nicht mehr abwendbar sind.



Jein. Je mehr Personen & Firmen man einbezieht, um so mehr Wissen dringt nach draussen. Und was draussen ist, kann zur Abwehr benutzt werden.

Technischer Schutz vor dem Staat durch M$?!? Wer redet nur von MS? Ich rede von der gesamten TCPA-Kette (wobei es inzwischen nicht mehr TCPA heißt.)

Wenn du M$ statt MS schreibst, glaube ich nicht, dass du eine ausgewogene, um Objektivität bemühte Position vertrittst.



Zu der Sache mit den Checksummen: Um zu garantieren, dass diese nicht auch verändert werden, muss man die Checksummen digital signieren.
Und genau diese Publik Key Infrastruktur gibt es aktuell nicht, damit die Geschichte praktikabel wird.
Vor Trusted Computing läuft jeder weg, eine komplett vertrauenswürdige Instanz gibt es nicht, zumindest zählich ich MS und unsere Regierung schonmal nicht dazu, und was bleibt, ist nach wie vor das Unwissen darüber, ob der Downloadcode verändert wurde.Dank asymmetrischer Verschlüsselung wäre bei Verwendung quellcodeoffener Prüf-Software das Problem der Prüfsummen-Prüfung prinzipiell in den Griff zu bekommen. Dabei könnten sowohl Server wie Client jeweils ihren öffentlichen Schlüssel austauschen. Ist eines der beiden Systeme kompromittiert, wäre ein Eingriff in den Download trotzdem noch zu erkennen.

die sache mit den prüfsummen ist sicher eine gute idee.
aber auf tcpa (oder wie man den mist auch immer nennen möchte) zu setzen, um vor dem bundestrojaner und ähnlichem sicher zu sein ist wie den teufel mit dem beelzebub austreiben zu wollen.Ja. Nur sehe ich zwei Entwicklungen:

- TCPA-artige Systeme werden kommen, da können noch so viele Einzelne auf Linux umsteigen. Natürlich wird es nicht die volle, lückenlose Kontrolle geben, aber über kurz oder lang halte ich es für vorstellbar, dass normale Computer praktisch „dicht“ sind. Während die ersten HD-Filme noch irgendwie kopierbar sind, wird die Lücke später geschlossen oder wenigstens beim HD-Nachfolger praktisch verunmöglicht. Durch die Verlagerung der Spiele in den Online-Bereich, wo man weniger für das Spiel zahlt als mehr für den Nutzungs-Account, wird auch das klassische Raubkopieren von Spielen eingedämmt.

- Sowohl Kriminelle als auch der Staat wollen Zugriff auf den PC. Zwar sind dem Staat zunächst gute Absichten zu unterstellen, trotzdem herrscht hier ja Einigkeit, dass es gilt, jeden unerwünschten Zugriff von außen zu verhindern. Die Existenz von Viren und Trojanern ist nicht direkt Microsoft zuzuschreiben, sondern den kriminellen und destruktiven Energien von einigen Leuten. Wenn auch langsamer als man sich wünscht, so zeigt selbst MS Lernfähigkeit und verbessert die Sicherheit. So wie ich das sehe ist die aktuell größere Gefahr das Hacken mit Passwörtern, die man durch soziale Kontakte erhält, als die Sicherheitslücken in Windows. Trotzdem dürfte es in der komplexer werdenden Software-Welt immer aufwändiger werden, System vor Angriffen zu schützen. Gute Sicherheit, die von unabhängigen Testern bestätigt wird, wäre für MS ein gutes Verkaufsargument.

Jein. Je mehr Personen & Firmen man einbezieht, um so mehr Wissen dringt nach draussen. Und was draussen ist, kann zur Abwehr benutzt werden.
Sehr romantische Vorstellung einer "Abwehrorganisation". Ich kann mir nicht vorstellen, dass es so gut läuft.

MfG

Dank asymmetrischer Verschlüsselung wäre bei Verwendung quellcodeoffener Prüf-Software das Problem der Prüfsummen-Prüfung prinzipiell in den Griff zu bekommen. Dabei könnten sowohl Server wie Client jeweils ihren öffentlichen Schlüssel austauschen. Ist eines der beiden Systeme kompromittiert, wäre ein Eingriff in den Download trotzdem noch zu erkennen.

Um das zu erreichen, muss der komplette Datenverkehr verschlüsselt werden. Und zwar in jeder Situation.
Und das ist bei manchen Anwendungenszenarien einfach nicht zu machen.
Bei HTTP scheitert es mitunter schon an der Rechenleistung der Servern, wenn die Last hoch genug ist.

Und der Wechsel auf Linux bringt mir erstmal gar nichts ... moment, doch, er bringt mir was: Ich kann mit quelltextoffener Software mein TPM benutzen. ;)
Die TPM Unterstützung ist sehr viel länger stabil und brauchbar, als im Windowsbereich.
Nur wird Linux wohl bei den ganzen DRM Geschichten rausfallen.

Gruß,
QFT

Um das zu erreichen, muss der komplette Datenverkehr verschlüsselt werden. Und zwar in jeder Situation.Wieso das? Um Man-in-the-middle-Angriffe zu unterbinden, reichte eine Signierung / verschlüsselte CRC-Summe aus.
Und das ist bei manchen Anwendungenszenarien einfach nicht zu machen.
Bei HTTP scheitert es mitunter schon an der Rechenleistung der Servern, wenn die Last hoch genug ist.Die Komplexität von Chips verdoppelt sich etwa alle 18 Monate. Dass Signierung etwas Rechenzeit kostet ist klar, aber würde man ausschließlich den vorläufigen Kostengesichtspunkt sehen, dürfte man in gar nichts mehr investieren – weil es ja zunächst Geld kostet.

Sehr romantische Vorstellung einer "Abwehrorganisation". Ich kann mir nicht vorstellen, dass es so gut läuft.

MfG


Ich habe das ganze nie als "Abwehrorganisation" ausgegeben. Was ich sagen will: Niemand, der ein Spionagesystem etablieren will, geht dabei über Wege, wo man sehr viele Leute (ISPs, Hardware- und Softwarehersteller) einweihen muß, weil dann automatisch zu viele Informationen nach draussen dringen. Insofern sind Hard- und Software mit Bundestrojaner ab Werk eher nicht zu erwarten.

Wieso das? Um Man-in-the-middle-Angriffe zu unterbinden, reichte eine Signierung / verschlüsselte CRC-Summe aus.

CRC reicht nicht aus, weil zB CRC32 mathematisch sehr unschöne Linearitätseigenschaften hat.
Was du brauchst sind Ausgaben von Hashfunktionen.
Und nun die Frage: Ist einem Hashwert, der über einen unverschlüsselten Kanal übertragen wird, in einem Szenario der kompleten ISP-Paranoia zu trauen?
Nein, er kann auch verfälscht werden. Und das Problem mit den Signaturen ist leider bekannt: Im Endanwenderbereich leider nicht zu verwenden.

Deswegen ja komplette Abwicklung über zB https.

Gruß,
QFT

Ja aber was macht man denn, wenn er sich schon in das System gefressen hat? Virenscanner sollen ihn ja sehr schlecht erkennen können oder wollen es nicht, weil die Regierung dann die Hersteller zwingt ihn nicht erkennen zu lassen.

Der Trojaner muss also im zweiten Schritt kommunizieren! Man sollte dann doch eher diesen Vorgang verhindern, wenn man das Eindringen nicht blockieren kann.
Eine gute Firewall, die den Datenverkehr für nach außengehende Verbindungen regelt, könnte doch vielleicht helfen. Oder es das auch nicht möglich? Ich bin jetzt nicht über die Sina-Technik informiert, aber der Trojaner könnte doch Datenpakete manipulieren und z.B zurück an die Sina-Boxen der Provider schicken. Klasse dann würde ja die Firewall kaum noch was bringen.

Man würde diesen Virus doch nur ins System lassen, wenn man die zu Unrecht manipulierte Datei ausführt oder? Es muss doch die Möglichkeit geben, den Virus in seinem Binärformat in manipulierten Dateien zu finden.

Oder gute Hacker/Cracker drehen den Spieß um hacken den Trojaner! ;D
Der Trojaner ist ja der Client. Man bräuchte doch nur noch den Server dafür..

Aber ich glaube nicht, dass so etwas durchkommt. Das greift zu stark in die Privatsphäre ein!

Ich denke, dass Windows in dem Bereich der Verlierer sein wird. Aber ob Linux dagegen sicher sein wird, man wird es sehen. Man müsste doch eigentlich direkt in den Quellcodes von Betriebssystemen ansetzen, eine Sicherheitslösung, ein guter Sicherheitsalgorithmus, etc., damit sowas überhaupt garnicht möglich ist.

wie wäre es mit einem 2. comp ohne inet?
linux? (treiber als gefahr?)
müssen wir bei ATI und NV suchen und nicht bei MS?


runtergeladene raubkopien nach Xstd wieder löschen und sich sonst auch im rahmen der legalität bewegen

irgendwo ist es heutzutage schon so "wer nichts zu verbergen hat, dem passiert auch nichts"
über kurz oder lang wird die industrie über raubkopien siegen (steam)

und wer heikle sachen wie kinderpornographie verbreitet und runterlädt gehört eh weggesperrt

wie wäre es mit einem 2. comp ohne inet?
linux? (treiber als gefahr?)
müssen wir bei ATI und NV suchen und nicht bei MS?


runtergeladene raubkopien nach Xstd wieder löschen und sich sonst auch im rahmen der legalität bewegen

irgendwo ist es heutzutage schon so "wer nichts zu verbergen hat, dem passiert auch nichts"
über kurz oder lang wird die industrie über raubkopien siegen (steam)

und wer heikle sachen wie kinderpornographie verbreitet und runterlädt gehört eh weggesperrt
Zu verbergen habe ich auch nichts, aber es geht mir einfach um das Prinzip!
Datenschutz ist dann vorbei! Es kann doch nicht sein, dass jemand anders über meinen Kopf zu entscheiden hat außer mir selbst.
Ich finde es nicht gut, dass der Staat einfach alles machen kann, nur wenn er Gesetze in die Welt setzt. Daher muss man das verhindern können. Man kann doch nicht alles mit sich machen lassen. Vielleicht werden dabei Unschuldige mit reingezogen! Kritisch gegenüber dem, was unsere Vormünder, ich meine unsere netten Repräsentanten, von sich geben, denn unfehlbar ist niemand!

Oder gute Hacker/Cracker drehen den Spieß um hacken den Trojaner! ;D
Der Trojaner ist ja der Client. Man bräuchte doch nur noch den Server dafür...Auf kurz oder kurz ;) kommt es eh so. Die Hackergruppen werden sich nicht mehr überbieten wer welche Soft am ehesten hackt, sondern den Bundestrojaner aus dem System kickt. Eine Art RemoveWGA nur im größeren Stil.

Ich denke nicht, daß man Tools verbieten kann, falls diese Durchsuchungen heimlich gemacht werden sollten.

Auf kurz oder kurz ;) kommt es eh so. Die Hackergruppen werden sich nicht mehr überbieten wer welche Soft am ehesten hackt, sondern den Bundestrojaner aus dem System kickt. Eine Art RemoveWGA nur im größeren Stil.

Ich denke nicht, daß man Tools verbieten kann, falls diese Durchsuchungen heimlich gemacht werden sollten.

Und ich vermute auch, dass die Entwickler des Bundestrojaners nicht das nötige spezielle Know-How besitzen. Und an guten Personal wird es da sicher auf fehlen. Der Untergrund im Netz ist viel stärker und größer! Ich glaube kaum, dass die dann noch eine Chance haben um dagegen vorzugehen. Man sieht es ja schon bei den Sicherheitsmaßnahmen, die Microsoft entwickelt. Es ist immer nur eine Frage der Zeit.

Und ich vermute auch, dass die Entwickler des Bundestrojaners nicht das nötige spezielle Know-How besitzen. Und an guten Personal wird es da sicher auf fehlenIch denke da wird schon fleißig beworben.

Der Untergrund im Netz ist viel stärker und größer!Riiichtiiiig. Da wird unsere alte gute CCC bestimmt so manchen Contest veranstalten ;)

Man sieht es ja schon bei den Sicherheitsmaßnahmen, die Microsoft entwickelt. Es ist immer nur eine Frage der Zeit.Trotzdem will keiner zu den ersten Opfer sein :( Ich denke aber wenn das kommt, dann wird es wirklich ausarten im Netz. Keiner wünscht sich sowas, aber dann können die Admins in den Behörden wie auch bei den Hostern Überstunden kloppen bis der Arzt kommt. Wenns hilft...

edit: Oh... Meine Verbindung wurde plötzlich langsamer... :lol:

Zudem ist der Einbau eines Trojaners in ein kommerzielles Produkt mit enormen wirtschaftlichen Risiko verbunden. Microsoft wird das selbst bei aller Überredungskunst seitens der NSA nie tun, weil es bei Bekanntwerden der Untergang des Unternehms wäre (Vertrauensverlust + Schadensersatzklagen). Machbar sind sicherlich Schlüssel, für die Zweitschlüssel existieren, denn das läßt sich schwer beweisen. Aber die bringen nur etwas, wenn man schon einmal auf dem System ist.*Flöt*
http://www.heise.de/tp/r4/html/such.html?T=nsa%20windows&hs=11
Was nicht sein darf kann nicht sein? Was nicht sein darf ist meistens gerade das, was ist...
PS: Technisch ist ein Trojaner in der VM-Software sehr einfach zu realisieren - die Software muß einfach nur mittels Autoupdate den Trojaner nachladen. Es bleibt aber weiterhin das enorme wirtschaftliche Risiko für diese Unternehmen, wenn man bei so etwas mitmacht.Den ganzen Virtualisierungshype auf dem Desktop des Privatanwenders kann zumindest ich nur so verstehen, dass die Unterwanderungsmöglichkeiten viel zu verlockend erscheinen nicht ein im Produktiveinsatz sinnvolles Feature auch in die Hände jener zu lobhudeln, die damit nicht umgehen können. Nur die komplette Abkapselung des Hauptsystems von allen Kommunikationswegen nach außen kann wirklich zuverlässig verhindern, dass es Daten preisgibt, welche man lieber für sich behalten hätte. Downloads nur über ein System, welches von einem CD/DVD/whatever-ROM startet und auf WORM-Medien speichert, im extraparanoiden Fall nur über CD/DVD/whatever-ROM-Laufwerk (nicht Brenner!) ins Hauptsystem eingelesen.
Klingt ein wenig zu :upara:? Wirklich zu :upara: wirds erst, sobald man ein wenig über Netzwerke übers Stromnetz nachdenkt :naughty:

Wie siehts eigentlich mit einigen Linuxdistris aus?
Manche (z.B. Debian) bieten für jedes heruntergeladene Paket MD5 Summen an, die auch digital signiert sind. Die Public Keys dafür sollten auch auf den CDs enthalten sein (debian-archive-keyring).

Notice that this is distinct from checking signatures on a per package basis. It is designed to prevent two possible attacks:

· Network "man in the middle" attacks. Without signature checking, a malicious agent can introduce himself in the package download process and provide malicious
software either by controlling a network element (router, switch, etc.) or by redirecting traffic to a rogue server (through arp or DNS spoofing attacks).

· Mirror network compromise. Without signature checking, a malicious agent can compromise a mirror host and modify the files in it to propagate malicious software to
all users downloading packages from that host.

However, it does not defend against a compromise of the Debian master server itself (which signs the packages) or against a compromise of the key used to sign the
Release files. In any case, this mechanism can complement a per-package signature.

Wie siehts eigentlich mit einigen Linuxdistris aus?
Manche (z.B. Debian) bieten für jedes heruntergeladene Paket MD5 Summen an, die auch digital signiert sindhttp://www.schneier.com/crypto-gram-0011.html#1

ein spiel cracken und den bundestrojaner verändern nützen sind 2 verschiedene sachen, da werden dann auch die strafen enstsprechend höher sein...

ein spiel cracken und den bundestrojaner verändern nützen sind 2 verschiedene sachen, da werden dann auch die strafen enstsprechend höher sein...Warum? Wenn bei dir keine Hausdurchsuchung, sondern eine s.g. Razzia ;) stattfindet, du selbst nicht zuhause bist und die Tür daher abgeschlossen hast, gibt es schon alleine für die verschlossene Tür einen Bußgeld?

Wenn es heim,ich passieren soll, kann man gut Katz&Maus spielen. Wenn dir dagegen auch riesen Requester aufpoppt der dich zum Anlassen des Rechners und dem Drücken eies einzigen "OK" Knopfs auffordert, dann sehen wir erstmal weiter.

Sonst kann ich den Trojaner kicken und verändern wie ich lustig bin. Ist ja schliesslich ein waschechter Virus und keine Kontrollsoftware. Egal wer ihn schreibt.

Und Leute. Atmet einmal durch und führt euch in Ruhe vor den Augen worüber wir hier gerade schreiben. Dann ist es mit dem ruhigen Atem auch schon wieder vorbei. Diese Welt ist nicht meine Welt. Was passiert hier? Was ist hier los?! :mad:

Gott, am Ende (falls der Trojaner überhaupt kommen wird) wird es ohnehin so sein, dass entweder ein Freeware Scanner oder zur Not ein komerzieller Scanner auf Antigua oder sonstwo gehosted wird, der diesen achsotollen Trojaner erkennt und entfernt. Bleibt mal locker.
Ich hab einfach mal zuwenig Vertrauen in die Fähigkeit deutscher Stellen sowas anspruchsvolles so gut umzusetzen, dass man sich als "geek" nicht davor schützen kann. Wenn jetzt mehrere Millionen als Budget dafür verwendet werden würden vielleicht, aber es war ja was von ein paar hundert tausend Euro zu lesen und ich denke mal dass das zuwenig sein wird um den Trojaner wirklich so gut zu verbergen.

Gott, am Ende (falls der Trojaner überhaupt kommen wird) wird es ohnehin so sein, dass entweder ein Freeware Scanner oder zur Not ein komerzieller Scanner auf Antigua oder sonstwo gehosted wird, der diesen achsotollen Trojaner erkennt und entfernt. Bleibt mal lockerAlleine die Erwägung, geschweige von der stattfindenden Anwerbung, ist ein Schlag ins Gesicht. Natürlich werden sie aus dem Kampf nicht als die Sieger hervorgehen. Alleine aber die Tatsache so einen Kampf austragen zu müßen läßt doch an sämtlichen demokratischen Wertvorstellungen zweifeln.

Wenn ich mich gegen die Neugier meiner "eigenen" Regierung mit Software aus Antigua wehren muß, dann lebe ich nicht in einer Demokratie. Was ist denn das?

Was nützen mir Urteile des BGH, die sämtliche Pro-Begründungen für Schwachsinn erklären, wenn Schäuble schon davor mit Rechtsgrundlagenanpassung gedroht hat?

War die Affäre mit den Wanzen im Bundestag nur ein alter blöder Scherz oder steht dieser Puff mittlerweile unter der Beobachtung des Verfasungsschutzes? Eher unwahrscheinlich. Wirklich erstaunt wäre ich darüber aber nicht.

http://blog.kairaven.de/archives/1020-Feuer-fuer-Bundes-und-Landestrojaner.html

Gott, am Ende (falls der Trojaner überhaupt kommen wird) wird es ohnehin so sein, dass entweder ein Freeware Scanner oder zur Not ein komerzieller Scanner auf Antigua oder sonstwo gehosted wird, der diesen achsotollen Trojaner erkennt und entfernt. Bleibt mal locker.
Ich hab einfach mal zuwenig Vertrauen in die Fähigkeit deutscher Stellen sowas anspruchsvolles so gut umzusetzen, dass man sich als "geek" nicht davor schützen kann. Wenn jetzt mehrere Millionen als Budget dafür verwendet werden würden vielleicht, aber es war ja was von ein paar hundert tausend Euro zu lesen und ich denke mal dass das zuwenig sein wird um den Trojaner wirklich so gut zu verbergen.Natürlich würden solche Trojaner ständig angepasst werden müssen. Ich sehe als großes Problem, dass der Staat hier mit Methoden arbeiten will, der sich auch Kriminielle bedienen: Einbruch. Das Interesse der Sicherheitsorgane, die Computer von Terroristen unbemerkt zu durchsuchen, ist zwar einsichtig, aber aus meiner Sicht nicht machbar ohne wesentliche Prinzipien aufzugeben.

Klar ist, dass kein Anwender damit einverstanden sein dürfte, dass ohne sein Zutun irgendwelche Software installiert wird um ihn auszuspionieren. Insofern könnte es verkaufsfördernd sein, mit entsprechenden Sicherheitsfeatures zu werben – sofern sie von unabhängiger Stelle bestätigt werden.

Natürlich würden solche Trojaner ständig angepasst werden müssen. Ich sehe als großes Problem, dass der Staat hier mit Methoden arbeiten will, der sich auch Kriminielle bedienen: Einbruch. Das Interesse der Sicherheitsorgane, die Computer von Terroristen unbemerkt zu durchsuchen, ist zwar einsichtig, aber aus meiner Sicht nicht machbar ohne wesentliche Prinzipien aufzugebenHinter welchen "wesentlichen Prinzipien" steht ein Schäuble noch?
Und inwiefern sind diese einbrüche einsichtig? Von der Chefetage des BKA wird der Bundestrojaner größtenteil mit der letzten Kofferbomben-Story vermarktet, da auf den Rechnern der Verdächtigen (sind sie überhaupt schon wenigstens in U-Haft?) entsprechende Daten gefunden wurden. Nur diese Burschen waren bis dahin absolut unbekannt. Um sowas zu verhindern nützt es also nicht Komputer von Terroristen zu überwachen. Höhstens von potenziellen Terroristen. Aber wer ist das in diesem Fall? Das funktioniert nur, wenn sie sich für den Begriff "potenzieller Terrorist" einigen.

Das müßte in dem Fall mit der Kofferbomben-Story jeder sein der nur arabisch angehauht ist. ERSTMAL. Also: Rasterfahndung. Ergo: Nix nur auf den Rechnern der Terroristen -> Auf allen die in Frage kommen.

Entsprechen wir auch dem Raster, da wir nicht wirklich positiv solchen Sachen gegenüber stehen, so wie alle Dorfbewohner eines Dorfes wo ein Kind mißbraucht und ermordet wurde (Gentests)? Eigentlich schon.
Sei also in Zukunft vorsichtiger, wenn du den neuen Forceware lädst.

Andere Fragen die ich bis jetzt nicht gesehen habe: Sind solche Gruppierungen nicht in der Lage sich genug knowhow für eine 'scharfe' Linux- oder OpenBSD- oder OpenSolaris-Installationen anzueignen? Spielten in bisherigen Fällen nur HartzIV Empfänger ohne Hauptschulabschluß eine Rolle? Braucht man w32 um Anschläge zu planen?
Mit welchem Aufwand will das BKA solche auf trusted konfigurierte Systeme mit einem Bundestrojaner knacken?

Von der Chefetage des BKA wird der Bundestrojaner größtenteil mit der letzten Kofferbomben-Story vermarktet, da auf den Rechnern der Verdächtigen (sind sie überhaupt schon wenigstens in U-Haft?) entsprechende Daten gefunden wurden. Nur diese Burschen waren bis dahin absolut unbekannt. Um sowas zu verhindern nützt es also nicht Komputer von Terroristen zu überwachen. Höhstens von potenziellen Terroristen. Aber wer ist das in diesem Fall? Das funktioniert nur, wenn sie sich für den Begriff "potenzieller Terrorist" einigen. ... und der Betreffende für diesen Zweck nicht (wie wahrscheinlich heute schon) wichtige Daten gar nicht "online" verschickt, sondern nur auf einem "offline-PC" verwaltet, der absolut nicht von einem Trojaner zu kompromittieren ist, weil er nicht kommunizieren kann, acuh wenn er es auf den offline-PC schafft.



Entsprechen wir auch dem Raster, da wir nicht wirklich positiv solchen Sachen gegenüber stehen, so wie alle Dorfbewohner eines Dorfes wo ein Kind mißbraucht und ermordet wurde (Gentests)? Eigentlich schon.
Sei also in Zukunft vorsichtiger, wenn du den neuen Forceware lädst.Warum erst prüfen? Wenn man wirklich ALLE Rechner verwanzt, dann findent man auch mit Sicherheit alle, und muß nicht extra aufwendig vorher selektieren. Das "Raster" muß eben nur "grob" genug sein: "Mensch, in Deutschland befindlich, atmend" z.B..

Mit welchem Aufwand will das BKA solche auf trusted konfigurierte Systeme mit einem Bundestrojaner knacken?Siehe die NSA/CIA. Was das BKA nicht macht, macht dann der BND. Und die sind wohl kaum so dumm, auch noch drüber zu reden.

Hinter welchen "wesentlichen Prinzipien" steht ein Schäuble noch?Hinter sehr vielen rechtsstaatlichen Prinzipien. Ich halte nichts davon, nur weil er (wie praktisch jeder Innenminister) bei der Abwägung Freiheit vs. Sicherheit mehr zu letzterem tendiert als vielen lieb ist, ihm gleich alles mögliche unterstellen zu wollen.

Und inwiefern sind diese einbrüche einsichtig? Von der Chefetage des BKA wird der Bundestrojaner größtenteil mit der letzten Kofferbomben-Story vermarktet, da auf den Rechnern der Verdächtigen (sind sie überhaupt schon wenigstens in U-Haft?) entsprechende Daten gefunden wurden. Nur diese Burschen waren bis dahin absolut unbekannt. Um sowas zu verhindern nützt es also nicht Komputer von Terroristen zu überwachen. Höhstens von potenziellen Terroristen. Aber wer ist das in diesem Fall? Das funktioniert nur, wenn sie sich für den Begriff "potenzieller Terrorist" einigen. [...]Nur weil das eine Bespiel etwas unglücklich war, heißt das nicht, dass das generelle Interesse uneinsichtig ist.

Andere Fragen die ich bis jetzt nicht gesehen habe: Sind solche Gruppierungen nicht in der Lage sich genug knowhow für eine 'scharfe' Linux- oder OpenBSD- oder OpenSolaris-Installationen anzueignen? Spielten in bisherigen Fällen nur HartzIV Empfänger ohne Hauptschulabschluß eine Rolle? Braucht man w32 um Anschläge zu planen?
Mit welchem Aufwand will das BKA solche auf trusted konfigurierte Systeme mit einem Bundestrojaner knacken?Da bleibt ja immer noch die normale Hausdurchsuchung mit Beschlagnahmung von Computern. Die Passwörter könnten mit Hilfe rechtsstaatlicher Methoden ermittelt werden (Beugehaft etc.) Dem Innenminister und einigen Sicherheitsbehörden gehts weniger darum, gerichtsverwertbare Beweise mittels Computerdurchsuchungen zu finden. Sie wollen Anhaltspunkte erlangen, wo sich Ermittlungen bzw. ein Zuschlagen lohnt. Die Beweise die später möglicherweise vor Gericht angeführt würden wären Sachen, die man infolge der eingeleiteten Ermittlungen gefunden hat.

Mir scheint, dass die Leute die in der Öffentlichkeit hierzu interviewt werden, recht wenig Ahnung von der Technik haben und sich das alles einfacher vorstellen, als es ist. Den Fachausschüssen dürfte bewusst sein, dass ernstzunehmende Kriminelle wie Terroristen auf Sicherheit achten und heimliche Online-Computerdurchsuchungen so nicht machbar sind. Man kann auch nicht so einfach irgendwo eintippen "Verbinde mich mit dem Computer von Max Mustermann, wohnhaft in ..."

Beugehaft geht nicht Aths. Das darf nur angewendet werden wenn du kein Aussageverweigerungsrecht hast. Das hast du aber bei dir selber immer ;)

Das einzige was man fürchten muss wenn man verschlüsselte HDs hat und du den Rechner ausbekommst bevor sie ins Haus kommen (was man eh schafft, weil die erstmal freundlich klingeln) ist dass deine Hardware und Daten futsch sind.

Beugehaft geht nicht Aths. Das darf nur angewendet werden wenn du kein Aussageverweigerungsrecht hast. Das hast du aber bei dir selber immer ;)Auch nicht bei "Gefahr im Verzuge"? Ich bin da nicht so bewandert auf rechtlichem Gebiet.

"Gefahr im Verzug" ist eine Sache, um den normalen Weg abzukürzen, wenn es aus Gefahrenabwehrgründen schnell gehen muß. Da es aber keinen normalen Weg gibt, ein Passwort rauszupressen, gibt es hier auch keine "Gefahr im Verzug".

Hinter sehr vielen rechtsstaatlichen PrinzipienSchön vergessen? Du bist der Staat. Ich bin der Staat. Verstehst du?

Ich halte nichts davon, nur weil er (wie praktisch jeder Innenminister) bei der Abwägung Freiheit vs. Sicherheit mehr zu letzterem tendiert als vielen lieb ist, ihm gleich alles mögliche unterstellen zu wollenIch denke jemandem der mir für mehr Scheinsicherheit immer mehr meiner Freihiet beraubt kann man sogut wie alles unterstellen.

Da bleibt ja immer noch die normale Hausdurchsuchung mit Beschlagnahmung von Computern. Die Passwörter könnten mit Hilfe rechtsstaatlicher Methoden ermittelt werden (Beugehaft etc.)Das hat sich nun geklärt.

Dem Innenminister und einigen Sicherheitsbehörden gehts weniger darum, gerichtsverwertbare Beweise mittels Computerdurchsuchungen zu finden. Sie wollen Anhaltspunkte erlangen, wo sich Ermittlungen bzw. ein Zuschlagen lohnt. Die Beweise die später möglicherweise vor Gericht angeführt würden wären Sachen, die man infolge der eingeleiteten Ermittlungen gefunden hatSag mal bist du jetzt total irre geworden?? Kann ihm mal einer erklären was er da gerade von sich gegeben hat? Ich hab jetzt zwei mal versucht, aber ich krieg das nicht diskussionswürdig verpackt.

Man kann auch nicht so einfach irgendwo eintippen "Verbinde mich mit dem Computer von Max Mustermann, wohnhaft in ..."Und wenn. Das ist garantiert kein Grund um solche Gebaren zu ignorieren und zur Tagesordnung zurückzukehren. Andererseits schlägst du doch oben eh das Abgrasen der Rechner vor.

"Gefahr im Verzug" ist eine Sache, um den normalen Weg abzukürzen, wenn es aus Gefahrenabwehrgründen schnell gehen muß. Da es aber keinen normalen Weg gibt, ein Passwort rauszupressen, gibt es hier auch keine "Gefahr im Verzug".

OMG.

"Gefahr im Verzuge" ist eine glasklar aus der Strafverfolgung stammendes Rechtskonstrukt, welches mit dem Rechtsgebiet der Gefahrenabwehr ungefähr so viel zu tun hat, wie `ne Recovery cd mit nem Virenscanner.

Auch nicht bei "Gefahr im Verzuge"? Ich bin da nicht so bewandert auf rechtlichem Gebiet.Nein, auch dann nicht. Man hat als Beschuldigter immer ein Aussageverweigerungsrecht. Man muss sich nicht selbst belasten, also auch keine Passwörter rausgeben.

Gefahr im Verzug ist was anderes. Das gilt zum Beispiel, wenn man bei einer Wohnungsdurchsuchung nicht auf einen richterlichen Beschluss warten kann, weil anzunehmen ist, dass der Beschuldigte in dieser Zeit Beweismittel wegschaffen oder vernichten könnte.

Mir schwebte eine Sitation vor, wo ein Passwort gebraucht wird um einen bereits laufenden Terror-Akt (oder eine konkrete Planung dazu) noch durchkreuzen zu können.

Mir schwebte eine Sitation vor, wo ein Passwort gebraucht wird um einen bereits laufenden Terror-Akt (oder eine konkrete Planung dazu) noch durchkreuzen zu können.

Dann wird gefoltert.

Mir schwebte eine Sitation vor, wo ein Passwort gebraucht wird um einen bereits laufenden Terror-Akt (oder eine konkrete Planung dazu) noch durchkreuzen zu können.Dann wird demjenigen entweder so ein "elektro-muskel-trainer" an den Sack angeschlossen oder in der westlichen Welt kriegt er eine Spritze + Hypno und singt 5min später wie eine Nachtigal.

Kann man zwar nicht vor Gericht verwenden, aber man hat das schlimmste abgewendet. Hinterher kann man demjenigen noch eh genug anlasten. Oder das Passwort doch noch irgendwo aufgeschrieben finden. Selbst aufschreiben kann es ja noch während der "Sitzung"...

und wenn die betriebsysteme in dt. version schon direkt mit trojaner ausgeliefert werden?

FDP: Online-Durchsuchungen schon jetzt legal?
http://www.golem.de/0703/51258.html

und wenn die betriebsysteme in dt. version schon direkt mit trojaner ausgeliefert werden?

FDP: Online-Durchsuchungen schon jetzt legal?
http://www.golem.de/0703/51258.html

und da soll sich noch einer wundern, dass die bürger mehr und mehr auf den sauhaufen politiker scheißen. andersrum ist es ja offenbar schon läääängst gang und gebe.

Dann wird gefoltert.
Dann wird demjenigen entweder so ein "elektro-muskel-trainer" an den Sack angeschlossen oder in der westlichen Welt kriegt er eine Spritze + Hypno und singt 5min später wie eine Nachtigal.

Kann man zwar nicht vor Gericht verwenden, aber man hat das schlimmste abgewendet. Hinterher kann man demjenigen noch eh genug anlasten. Oder das Passwort doch noch irgendwo aufgeschrieben finden. Selbst aufschreiben kann es ja noch während der "Sitzung"...Im Rechtsstaat (nach westeuropäischem Verständnis) wird eben nicht gefoltert.

Im Rechtsstaat (nach westeuropäischem Verständnis) wird eben nicht gefoltert.Ob sie einem Spritze + Hypno als Folter anlasten können? sonst wird ja schnell in einen Flugzeug geladen und die Behandlung halt über den Pacific von Wärtern aus Guantanamo gemacht.

Auf welchem Dampfer bist du jetzt überhaupt? Wir sollen unsere Rechner abgrasen lassen, weil sie uns ja nicht foltern können? Irgendwelche Zusammenhänge? So richtig topic bist du imho nicht. Oder was willst du jetzt wirklich sagen?

Ob sie einem Spritze + Hypno als Folter anlasten können? sonst wird ja schnell in einen Flugzeug geladen und die Behandlung halt über den Pacific von Wärtern aus Guantanamo gemacht.In den USA vielleicht. Nicht hier. Wir reden aber über eine deutsche Diskussion.

Auf welchem Dampfer bist du jetzt überhaupt? Wir sollen unsere Rechner abgrasen lassen, weil sie uns ja nicht foltern können? Irgendwelche Zusammenhänge? So richtig topic bist du imho nicht. Oder was willst du jetzt wirklich sagen?Was ich sagen will, sollte ersichtlich sein. Einige deiner (rhetorischen?) Fragen sind durch meine Postings längst beantwortet.

Leider gibt es dazu aber keine passenden "deutschen Verhältnsse" mehr, da jetzt alles EU-Ebene ist. So wird auch der Datenschutz diesjahr fallen.
Was machst du dir also Gedanken über den Bundestrojaner. Alles kommt so wie es geplant ist. Statt eine Welt zu schaffen in der keiner auf die Idee kommt einen Bombenanschlag zu machen, versuchen sie eine schaffen, wo keiner es "gefahrlos" auf dem PC planen kann.

Und haue nicht so auf die Kacke. Aus deinen Texten wird man hier öftersmal nicht schlau. Auch wenn dich von sowas schüttelt. Du mußt es halt öfters versuchen auch den dummen zu erreichen...

Oder den, der so ein Deutsch hinklatscht (sic!) Ich bin aber auch schon totmüde :) Bis die Tage.

Aus den News:

"... Mittels dieser durchaus gerissenen Methode geht man auch üblichen Gegenmaßnahmen bei "verseuchten" Downloads aus dem Weg, da dem Spiegeln und Verändern von kompletten Webseiten weder mit verschlüsselten Verbindungen noch mittels des Abgleichs von Checksummen beizukommen ist."

Man (bzw. der Entwickler) kann doch eine Checksumme beilegen, bevor die Datei/Programm das erste mal überhaupt hochgeladen wird...

Man (bzw. der Entwickler) kann doch eine Checksumme beilegen, bevor die Datei/Programm das erste mal überhaupt hochgeladen wird...

Kann man, aber wer sagt dir, dass diese nicht ebenfalls verfällscht ist?
CRC32 ist unbrauchbar, weil verschiedene Linearitätseigenschaften die Sache BÄHHH machen, und Hashwerte muss man zwangsweise digital signieren. Nur, wie Meister Schneier vor einigen Jahren anmerkte, ist digitale Signatur fast schon eine philosophische Sache. Diese sagt lediglich aus, dass zur Zeit der Signatur ein privater Schlüssel vorhanden war, nicht, dass die Datei/der Text, der damit signiert wurde, auch der war, welcher signiert werden sollte.
Beispiel:

Ich lese auf dem Bildschirm: Ich schenke dir 10€
Ich signiere diese Datei, kann aber nicht dafür bürgen, dass der Inhalt stimmte. Ein Schädling könnte mir auch ebenso gut die Bildschirmausgabe verändert haben.

Gruß,
QFT

Man (bzw. der Entwickler) kann doch eine Checksumme beilegen, bevor die Datei/Programm das erste mal überhaupt hochgeladen wird...


Jein. Die Frage ist doch nicht, was der Entwickler beilegt, sondern was beim Endnutzer ankommt. Wenn der nur eine gespiegelte Seite mit einem verseuchtem Download sieht - warum kann man dann nicht auch die auf der Webseite publizierte Checksum ändern, wenn der Nutzer sowieso nur den Bundeseigenen Proxy und nicht die echte Webseite sieht?!

Natürlich könnte man Checksummen auch per Post versenden ;)

es gibt noch ein paar rechtliche probleme wenn zb mehrere leute den pc nutzen. sagen wir eine wg von 3 leuten. einer ist der "böse" die anderen beiden nutzen den pc privat und haben private briefe ihr persönlichen sachen auch auf dem pc.

rein rechtlich dürfen die bka leute nur die sachen des bösen durchsuchen aber woher wollen sie das wissen von wem der brieft ist bevor sie das lesen? als hätten die 2 anderen das recht den staat zu verklagen. bin gespannd wie das ausgeht.

bei der telefonüberwachung ist es genau das selbe, wenn dieser raum immer mehr ausgenutzt wird nach dem motto der einzelne ist nicht wichtig weil es könnte ja die allgemeinheit treffen... dann gute nacht rechtsstaat.

ein weiteres problem ist woher wollen sie dann beweisen das du die datein hast ? die können ja sagen wir haben online durchsucht haben hier die datein gefunden. er hat aber die durchsuch gemerkt und die datein dann wohl gelöscht sperrt ihn ein ...

ausserdem wird man die richtigbösen so net fassen weil die über öffentliche zugänge in irgendwelche verstecken forum in arabisch kommunizieren. dazu muss man wissen das man arabisch nicht einfach lernt und dann kann man alles verstehen es gibt eine vielzahln von dialekten die familienstämme sprechen die man nicht wirklich erlernen kann weil einem das einer erklären müsste ...

alles im allem sehr fragwürdig und der nutzen dürfte gleich null sein.

Oder OpenSource VM-Software. Wenn es die gibt.


Die grosse Frage die sich doch bei OpenSource stellt ist, ob irgend jemand, der sich den Source anschaut (das sind schon sehr wenig), die Backdoor finden kann.

Ich sehe OpenSource nicht als DIE Lösung gegen Backdoors. Und um Fehler finden zu können ist es allemal besser als ClosedSource. Die muss man ja nicht öffentlich Verkünden.

Z.B. SELinux, von der NSA höchst persönlich. Also wenn jemand Backdoors verschleiern kann, dann die NSA. (Z.B. Backdoor in drei Teilen, die dann zusammenarbeiten ...)

@SimonX
Es kommt wohl auf den Umfang der Sources an. Sowas wie GPG oder TrueCryxpt ist überschaubar. Und wird nicht von 2-3 Leuten verifiziert, sondern von Hunderten oder gar Tausenden Spazialisten. Alleine schon wegen dem Ruhm, sollte man etwas finden :up:

Man staune, aber auch Kryptologen die an AES-Kandidaten mitwirkten gucken sich sowas an. Fallen den Leuten "Unregelmäßigkeiten" auf, werden sie breit diskutiert und dringen auf unterschiedlichen Wegen auch zu solchen Größen durch.

Bruce Schneier zum Beipsiel kennt den TrueCrypt-Kode und empfehlt es auch. Auch wenn er selbst PGP Disk benutzt (jedenfalls war es ~2005 so).

Ich weiß nicht, ob das hier hin passt, aber ich poste trotzdem mal:
Habt ihr die "Terrorwarnung" am letzten WE mitbekommen (hinterher wurde alles dementiert)? Schon lustig - auf N24 sagten die sowas wie "es wurde eine verdächtige E-Mail abgefangen". Auch wenn N24 bestimmt nicht die Speerspitze der Nachrichten sind, an dieser Stelle klang das einleuchtend. Datenschutz ahoi... (warum wird hier eigentlich darüber so wenig geredet?!)

*ironie* Mein Tipp: spamt alle eure Freunde und Bekannte nach Absprache mit harmlosen Mails zu, in denen möglichst oft "Bombe", "hochgehen" und irgendein Ort mit großen Menschenmassen drin vorkommen. (Das Oktoberfest war ja mal bombe, die haben die Achterbahn so platziert, dass ich da gerne mal hochgegangen wär um das Spektakel von oben zu sehen). Ich bin mir ziemlich sicher, dass dann einige rote Lampen beim BND o.ä. angehen werden... Das schafft im übrigen auch Arbeitsplätze - irgendein Trottel wird nach dem Vorsortieren durch die Rechner den Kram lesen und als harmlos einstufen müssen.
PS: strafbar würde man sich dabei doch nicht machen, oder? Schliesslich ist es ja keine Vortäuschung einer Straftat und o.g. Worte darf man auch noch benutzen!

Ich denke nicht dass da was funktionierendes rauskommt.
Es gibt immer wieder Möglichkeiten,dass der Staat hier einen Fehler macht.Und schon sind x Milionen verpufft.
1x dem falschen geschickt-HDD Backup-nacher einsenden an einen Nicht-Deutschen AV-Dienst-und für 69€ im Jahr schützen sie sich jetzt vor dem Staat:BUNDESTROJANER WIRD ERKANNT-4 Wochen später habens die anderen auch...

Trotzdem dagegen...

mal ne andere frage ... wenn man seine browser in einer sandbox hat dürfte man doch hinreichend geschützt sein gegen die eventualitäten des angriffes darüber oder?