News Black Hat 2015: Angriff auf Google Drive, Dropbox, Box und OneDrive

okay alles schön und gut, aber müssen die nicht erst mal durch einen anweder fehler oder sonstiges in die mitte zwischen cloud und Anwender kommen.

also entweder über den could anbieter direkt (sehr unwahrscheinlich), oder ein infziertes System des Anwenders. oder wo kommen sie die Daten noch abgreifen bei der Übertragung?
 
Seiyaru2208 schrieb:
Wie erwähnt in den 70igern verfügte das US-Militär schon über DSL wann war dies Flächendeckend für uns verfügbar?
Ich dachte, DSL wäre in den 80ern entwickelt worden?

Seiyaru2208 schrieb:
Es gab mal vor Jahren ein ganz spannenden Bericht das die NSA an einen Quantencomputer arbeitet, jede Verschlüsselung die derzeit existiert kann dadurch innerhalb von Minuten geknackt werden.
Selbst wenn die so ein Quantendingsda haben, heißt das nicht, dass jede Verschlüsselung damit effizient geknackt werden kann (und ich meine nicht nur One-Pad).
Also kein Grund unterwegs eine ALU-Mütze zu tragen. ;)
 
Der Vorläufer des heutigen Internets hatte das Ziel, Universitäten zu vernetzten und Rechenkapazitäten zu teilen weil damals selten und teuer. Zu 99% war der Vorläufer des Internets ein ziviles Werk so wie 99% aller militärischen Anwendungen in der Privatwirtschaft erschaffen werden. Es gibt heute schon Quantenkryptographie für nicht militärische Anwedungen, das steckt noch in den Kinderschuhen aber bis Quantenrechner kommen, gibts auch neue Verschlüsselungsverfahren.

@yurij

sebst wenn du meinen Rechner oder meine Rechner killen oder die Cloud löschen könntest (was du niemals könntest) wozu gibt es Backups?
 
Dann stelle ich mal eine Schulaufgabe:
Angenommen NSA knackt AES256 in genau 1 Minute. Edit: mit Quantencomputer
(das freundlicherweise eingebaute AES256 exploit, der ein brechen der verschlüsselung in 2 hoch 119 der zeit ermöglicht, also schneller als AES128, ignorieren wir mal.)
Frage: Wieviel Zeit wird Quantencomputer der NSA für AES512 benötigen?
Frage an Fortgeschrittene: und was lernen wir daraus?
 
Zuletzt bearbeitet:
Pr0gramm schrieb:
Der Vorläufer des heutigen Internets hatte das Ziel, Universitäten zu vernetzten und Rechenkapazitäten zu teilen weil damals selten und teuer. Zu 99% war der Vorläufer des Internets ein ziviles Werk so wie 99% aller militärischen Anwendungen in der Privatwirtschaft erschaffen werden.

Also ist GPS das eine Prozent?
 
Ausser Sky Drive nutzte ich nichts anderes und hier sind nur meine Windows sammlungen als iso gespeichert. :p

Tja wiedermal sieht man egal was kommt wie sicher es noch hingestellt wird ein kleiner fehler reicht aus...
 
Ochse schrieb:
0 Sekunden.
http://crypto.stackexchange.com/questions/20253/why-we-cant-implement-aes-512-key-size

Aber selbst wenn es eine Implementierung mit einem 512-bit geben würde, könnte man nicht mit sicherheit sagen, dass diese schwerer zu knacken wäre als AES256.

Der thread bei stackexchange bezieht sich nur auf einschränkungen der aktuellen AES spec. Die "experten" dort machen es sich unnötig schwer. Die formale lösung ist dabei trivialer als man es glaubt und heisst double AES256 verschlüsselung. Man verschlüsselt datenstrom mit zwei verschiedenen AES256 schlüsseln direkt nacheinander und erhält effektiv eine AES512 starke verschlüsselung. Siehe https://adamcaudill.com/2013/09/08/worried-about-the-nsa-try-aes-512/
Der trick wurde schon bei 3DES (trippleDES) angewandt und lässt sich praktisch auf jede und sogar verschiedene verschlüsselungen anwenden.
 
Zuletzt bearbeitet:
Ja, wollte nur darauf hinaus, dass man die Verschlüsselung streng genommen dann nicht mehr AES nennen dürfte.^^
 
Ja, das stimmt, ich meine AES so eher als Platzhhalter.

Was ich sagen will: kryptografie sitzt eindeutig auf einem längeren hebel als es jede auch so fortgeschrittene technologie wie quantencomputer jemals tun kann. Selbst wenn jemand einen 100.000.000 mal schnelleren computer baut, brauche ich nur paar dutzend bits meinem schlüssel hinzuzufügen um seinen supercomputer am verkaufstag in die rente zu schicken.

Es gibt nur eine technologie um jeden beliebigen schlüssel in absehbarer zeit zu knacken: eine reize in die zukunft, zum zeitpunkt an dem der schlüssel endlich gecknackt wurde und wieder zurück. Also eine zeitreise. Dazu müssten wir eigentlich einen schwarzlochcomputer bauen 😊

Am liebsten würde ich eine composite quadro-verschlüsselung nutzen.
Ein algorithmus aus USA, ein aus Russland, ein aus Europa und ein aus China - jeweils mit eigenem 128 schlüssel hintereinander. Dann habe ich einen praktisch 512 bit starken schlüssel und weiss dass z.b. von NSA eingebaute exploits nicht gleich die ganze composite verschlüsselung mit in den abgrund reißen.
 
Zuletzt bearbeitet:
Pr0gramm schrieb:
Selbst wenn die NSA das könnte, warum sollen sie meine Dokumente sehen wollen? Wenn sie viel Geld ausgeben und ihre Supercompter wegen mir füttern, von mir aus. Aber so dumme Argumente kann man sich sparen, vorher bläst ein Meteroit mir das Licht aus.

Dir ist offenbar nicht klar, dass es schon reicht wenn du über 10 Ecken mit einem mutmaßlichen Terroristen in irgend einer Form Kontakt hast um relevant genug zu sein, um deine gesamte Vergangenheit zu durchleuchten. In den USA reicht diese Tatsache sogar schon für eine gezielte Tötung, nur mal so nebenbei. Und dass der ganze Krams nicht nur auf Terrorismus beschränkt ist sollte ja wohl mittlerweile eigentlich auch bekannt sein.

Es ist ruck zuck passiert, dass du jemanden kennst, der wiederum jemanden mit Verbindungen zu irgendwelchem zwielichtigen Organisationen kennt. Oder noch viel banaler eine Verwechslung, z.B. durch den Gleichen oder einen sehr ähnlich klingenden Namen, Buchstabendreher oder sonst was. Wäre nicht das erst mal, dass so Unschuldige hinter Gittern landen.

Wobei das in den USA ja noch gnädig ist. Knapp 1/4 aller offiziell bekannten Guantanamo-Häftlinge sind Unschuldig. Die wo Glück haben sind psychisch total am Ende weil sie Jahrelang brutalste Folter erlitten haben. Wer Pech hatte, wurde gleich dort umgebracht und anschließend an einem Strick aufgehangen.

Dumme Argumente sind das keinesfalls. Auch wenn es manchmal durchaus nachvollziehbar ist halte ich es für keine angemessene Artikulation mit Beleidigungen um sich zu werfen. Vorsichtig ausgedrückt würde ich diese Einstellung daher als naiv bezeichnen.

Aber immerhin nicht so naiv und ungebildet wie der Großteil der Bevölkerung der meint, man könnte seine Nacktbilder plain in die tolle Cloud legen. Daher freue ich mich ja schon, dass du Verschlüsselung wenigstens als notwendig erachtest - in unserer heutigen Gesellschaft ist das schon ein massiver Fortschritt...

yurij schrieb:
Es gibt nur eine technologie um jeden beliebigen schlüssel in absehbarer zeit zu knacken: eine reize in die zukunft, zum zeitpunkt an dem der schlüssel endlich gecknackt wurde und wieder zurück. Also eine zeitreise..

Leider nicht richtig, es gibt noch eine weitere: Vorsätzliche Manipulation. Das versucht die NSA schon seit über 10 Jahren, und zwar nicht erfolglos. Es ist noch gar nicht so lange her da war starke Kryptografie die von der NSA nicht geknackt werden kann sogar verboten...

Dass dies zum Missbrauch durch die NSA und eine ganze Reihe weiterer Kriminelle einlädt brauche ich ja wohl nicht dazu sagen. An sicherheitskritische Bereiche wie Ärzte, Anwälte oder gar (Atom)Kraftwerke will ich gar nicht denken!
 
Zuletzt bearbeitet:
Wieso nennt man das eigentlich Man in the Cloud attacke? Weil da jemand in der Ferne durch einen Pishing versuch an das Token kommt und dann auf meine Cloud zugreift?
Sind das nicht ALLE Pishing versuche ? Und wenn jemand mein Password von ner Seite klaut ist das dann auch ein MitC attacke? Sind alle Attacken die keinen Physischen zugriff, oder MitM sind MitC attacken ?



Pr0gramm schrieb:

[URL="http://i.imgur.com/aXxVrzX.jpg"]

Direkt offen von aussen verfügbar das NAS? Da ist wer aber echt mutig. Wie viele Anmeldungen aus China und Indien werden bei dir automatisch geblockt?
Btw, bist du bei Unity Media?


Ochse schrieb:
Selbst wenn die so ein Quantendingsda haben, heißt das nicht, dass jede Verschlüsselung damit effizient geknackt werden kann (und ich meine nicht nur One-Pad).
Naja, Effizient alleine reicht nich, die müssen schon supereffizient geknackt werden! 1 Minute? sind 59 Sekunden zu lange.
Der Sinn dahinter ist ja nicht an bestimmte Dateien heran zu kommen, da wäre es egal wenn es selbst in 15minuten oder 15 stunden geknackt wäre, interessant ist es wenn sämtliche inhalte in Metadaten umgewandelt werden und überwacht/durchsucht werden.
 
Sind nur Fotos vom Grill und vom Essen - also damit werden sie kaum was anfangen können;

Somit können sie meine Ordner ruhig klauen. Fürchte nur dass sie eben auch zugriff auf den Rechner haben. Da wirds dann schon heikel, obwohl ich eigentlich alle wichtigen Dokumente und Daten immer auf Extern sichere. Diese Externen sind eigentlich immer in der Schublade.



War aber auch irgendwo klar dass solche Cloud-Geschichten leicht hackbar bzw. angreifbar sind. Denke mal das ist eins der einfacheren Dinge die ein Hacker machen kann.
Top Leute infilitrieren ja ganz andere Unternehmen - CIA usw.
 
Zuletzt bearbeitet:
Haldi schrieb:
Wieso nennt man das eigentlich Man in the Cloud attacke?

Weil es im Moment einfach das Schlagwort schlechthin ist? Früher nannte man das Angucken von Email im Browser Web-Access... heute spricht der Anbieter von Software in der Cloud :D

Nochmals zurück zum Thema: Wo deaktiviert man in OneDrive dieses Feature mit dem dauerhaften Login?
 
Ochse schrieb:
Selbst wenn die so ein Quantendingsda haben, heißt das nicht, dass jede Verschlüsselung damit effizient geknackt werden kann (und ich meine nicht nur One-Pad).
Also kein Grund unterwegs eine ALU-Mütze zu tragen. ;)

Jup. Dafür gibts dann Quantenkryptografie. Die ist tatsächlich schon einsatzbereit: http://www.idquantique.com/quantum-safe-crypto/ als Beispiel.
 
Seiyaru2208 schrieb:
Naja dann würde Microsoft derzeit in eine ziemliche Sackgasse laufen, seit 2013 kannst du ja in Word oder excel direkt auf deine Dokuemente in der Cloud zugreifen, wären diese verschlüsselt macht der ganze käse kein wirklichen sinn mehr.
Warum?
Läuft dann wie mit einer verschlüsselten e-mail. Derjenige der damit arbeiten kann / muss / soll bekommt das PW.
... wie man dieses wiederum sicher transportiert ist eine andere Frage :)
 
Wenn SIE erfahren, dass du hier bist werden die dich finden.
Mal sehen was Cha0s mit dir macht...
 
Zurück
Oben