News Black Hat 2015: Angriff auf Google Drive, Dropbox, Box und OneDrive

[M@C]

Wie erwähnt in den 70igern verfügte das US-Militär schon über DSL wann war dies Flächendeckend für uns verfügbar? Wenn du das hoch rechnest würde ich da nicht so 100% sicher sein wie weit sie davon weg sind.

Ich denke gerade das Militär und Nachrichten Dienste haben Technologien in der Hinterhand wo wir denken das kommt erst in Jahrzehnten, nicht ohne Grund haben führende Wissenschaftler einen offenen Brief gegen den Einsatz von selbstdenkenden Robtern für militärische Zwecke verfasst.

Und nein ich trage daheim keine ALU-Mütze

Aber die Technologie war damals zumindest an den Universitaeten bekannt. Weltweit sind einige Universitaeten an Quantencomputern dran, man ist aber immernoch meilenweit entfernt. Selbst wenn die NSA die weltbesten Mathematiker/Physiker/Informtiker anheuert, glaube ich nicht, dass sie schon so weit voraus sind. An den Unis hocken auch noch viele schlaue Koepfe.

Der thread bei stackexchange bezieht sich nur auf einschränkungen der aktuellen AES spec. Die "experten" dort machen es sich unnötig schwer. Die formale lösung ist dabei trivialer als man es glaubt und heisst double AES256 verschlüsselung. Man verschlüsselt datenstrom mit zwei verschiedenen AES256 schlüsseln direkt nacheinander und erhält effektiv eine AES512 starke verschlüsselung. Siehe https://adamcaudill.com/2013/09/08/worried-about-the-nsa-try-aes-512/
Der trick wurde schon bei 3DES (trippleDES) angewandt und lässt sich praktisch auf jede und sogar verschiedene verschlüsselungen anwenden.

Ich frage mich, wieso Meet-in-the-Middle bei AES kein Problem darstellt. Deswegen gibts ja auch kein Double-DES.

 

[Seiyaru2208]

Aber die Technologie war damals zumindest an den Universitaeten bekannt. Weltweit sind einige Universitaeten an Quantencomputern dran, man ist aber immernoch meilenweit entfernt. Selbst wenn die NSA die weltbesten Mathematiker/Physiker/Informtiker anheuert, glaube ich nicht, dass sie schon so weit voraus sind. An den Unis hocken auch noch viele schlaue Koepfe.

Dem widerspreche ich nicht allerdings haben solche Organisationen wie Militär und Nachrichtendienste einen gewaltigen Vorteil, nahezu unerschöpfliche Geldmittel zu Verfügung, was Universität nicht immer haben. Und da sehe ich die Gefahr gerade die NSA ist eine der best finanzierten Nachrichtendienste auf unserem Planeten daher ist das ein qualitativer unterschied.

 

[M@C]

Dem widerspreche ich nicht allerdings haben solche Organisationen wie Militär und Nachrichtendienste einen gewaltigen Vorteil, nahezu unerschöpfliche Geldmittel zu Verfügung, was Universität nicht immer haben. Und da sehe ich die Gefahr gerade die NSA ist eine der best finanzierten Nachrichtendienste auf unserem Planeten daher ist das ein qualitativer unterschied.

Du hast schon Recht. Würde da auch meine Hand nicht ins Feuer legen.
Doch meine persönliche Einschätzung, gerade in Bezug auf die Schwierigkeit der Materie und die Probleme, die man dort noch hat, bleibt.

Ganz passend ist zb die Geschichte bei AES, wo die NSA absichtlich auf den Cipher nicht offen legte, um nicht zu verraten, dass sie in der Cryptanalysis den anderen Mächten schon weit voraus sind (Stichwort: differential cryptanalysis).
Nachzulesen zb hier: http://ieeexplore.ieee.org/xpl/articleDetails.jsp?arnumber=5389567&filter=AND(p_IS_Number:5389564)

 

[karamba]

Bequemlichkeit und Sicherheit waren, sind und bleiben Gegensätze.

 

[Kingfisher OK]

Bei einer MITC-Attacke wird – entweder per Phishing oder Drive-by-Angriff – das Password-Token des Anwenders von einem seiner Geräte gestohlen.

Ja gut, wenn ich jemanden die Haustürschlüssel klaue und mich im Haus platziere oder ins Haus dann weitere Menschen reinlasse... Ist das noch eine Sicherheits "lücke" ?

 

[Jesterfox]

Nur das man den geklauten Haustür-Schlüssel leichter bemerkt und das Schloss austauschen dagegen hilft.

 

[Hito]

Die Cloud hat ebenso Nachteile wie Vorteile. Privat sind diese Dienste, zumindest für mich, nicht notwendig, da nutze ich lieber einen eigenene kleinen web/ftp server mit verschlüsselter Übertragung. Bin aber aich nicht so sehr "connected" wie so manch anderer, der sich sein Leben ohne cloud nicht vorstellen kann. Ich persönlich halte das Speichern auf mehreren Festplatten gleichzeitig allgemein als vielfachen Risikofaktor.

Wichtige dokumente gehören imho ausgedruckt in einen echten Tresor wo weder junges Talent noch erfahrener Hacker rankommen.

 

[der Unzensierte]

In die Wolke kommt bei mir privat nichts. Trotzdem hat sie auch ihre Vorteile und im Unternehmensbereich ist sie nicht mehr wegzudenken. Wäre trotzdem mal interessant zu wissen, ob solche Anbieter, z.B. salesforce, die Daten und accounts ihrer Kunden sichern.

 

[onkel_axel]

okay alles schön und gut, aber müssen die nicht erst mal durch einen anweder fehler oder sonstiges in die mitte zwischen cloud und Anwender kommen.

also entweder über den could anbieter direkt (sehr unwahrscheinlich), oder ein infziertes System des Anwenders. oder wo kommen sie die Daten noch abgreifen bei der Übertragung?

kann mir diese fragen mal jemand beantworten? im zweifel wenigstens der Autor, wenn er schon solche News bringt
ich würde gerne wissen, was das hier genau mit der colud zu tun hat, abgesehen davon, dass diese dank anmeldetoken und einer man in the middle attack ausspioniert werden kann.

aber das ist doch jetzt kein cloudspeziefisches Problem, sondern müsste sich doch 1:1 auf alle anderen dienste, die solche verfahren anwenden, übertragen lassen.


ein paar mehr Infos wäre hier echt nett.

 

[M.B.H.]

Dazu müssten wir eigentlich einen schwarzlochcomputer bauen.
Am liebsten würde ich eine composite quadro-verschlüsselung nutzen.
Dann habe ich einen praktisch 512 bit starken schlüssel und weiss dass z.b. von NSA eingebaute exploits nicht gleich die ganze composite verschlüsselung mit in den abgrund reißen.

Wann wird es denn soweit sein dass ein Schwanzlochcomputer meinen PC entschlüsselt? das wird bestimt noch dauern, und bis dahin habe ich auch gar nicht mehr die daten auf meinem pc die ich jetzt drauf habe. da hat keiner was von oder so.

und 512 bit oder vier mal 128 bit ist ja auch kein grosser unterschied. jeder der rechnen kann: 512 ist das vierfache als wie 128, dass heißt dass man genau vier mal so lange braucht für 512 bit als wie für 128 bit. tja wer rechnen kann ist klar im vorteil!

Aber der vorteil ist wenn ich eine ungerade bit zahl nehme, dann ist das alles sicherer wegen der gegenwirkung. also am besten sind 713 bit zb wegen dem ungeraden bit. das hat mal einer geschrieben der hat es drauf.

aber eigentlich alles egal mit den clouds da wird shcon nichts passieren, ich habe viele private dateien in die cloud geladen und auch hier von festplatte gelöscht, dann hab ich mehr platz auf festplatten, weil die cloud ist sicher die daten werden auf mehreren servern gebackupt, da geht nie irgendwas verloren da schwör ich drauf.

 

[onkel_axel]

Ja gut, wenn ich jemanden die Haustürschlüssel klaue und mich im Haus platziere oder ins Haus dann weitere Menschen reinlasse... Ist das noch eine Sicherheits "lücke" ?

ja deswegen meine fragen.
wenn die Person da eh nur rankommt indem mein Computer infiziert wurde, haben die doch eh schon zugriff auf meine persönlichen Daten direkt auf dem rechner. ob sie die cloud dann noch angreifen macht keinen unterschied.

oder sie müssen anders auf die Kommunikation zwischen benuzter und cloud zugreifen können, damit es eine "cloud sicherheitslücke" ist
aber das wurde im Artikel ja nicht erklärt oder näher darauf eingegangen.
und das interessiert mich jetzt wirklich.

ist die cloud unsicher, oder ist sie nur genauso unsicher wie alle meine Daten, wenn ich mir scheiß Spyware einfange!?

 

[M@C]

und 512 bit oder vier mal 128 bit ist ja auch kein grosser unterschied. jeder der rechnen kann: 512 ist das vierfache als wie 128, dass heißt dass man genau vier mal so lange braucht für 512 bit als wie für 128 bit. tja wer rechnen kann ist klar im vorteil!

Nein, schlichtweg falsch.
128 Bit bedeutet einen Keyspace von 2^128. Bei einem Key mit 512 Bit sind das 2^512 moegliche Keys. Und das ist nicht 'nur' das vier-fache.

Aber der vorteil ist wenn ich eine ungerade bit zahl nehme, dann ist das alles sicherer wegen der gegenwirkung. also am besten sind 713 bit zb wegen dem ungeraden bit. das hat mal einer geschrieben der hat es drauf.

Gegenwirkung? Was auch immer dir da jemand erzaehlt hat...
Es gibt durchaus Menschen, die solche ungewoehnlichen Keylaengen bevorzugen. Der Grund ist aber meist, dass sie sich mehr Sicherheit erhoffen, da spezielle hardware codebreaker diese nicht unterstuetzen oder darauf optimiert sind.
Ich persoenlich wuerde das allerdings nicht empfehlen. Die Standards wie AES werden meist nur fuer die Standard Keylaengen ueberprueft. Bei anderen weiss man nicht genau, ob diese nicht doch irgendwo gewisse Bits leaken. Zudem verlangen die meisten Cipher per Design schonmal eine gewisse Keylaenge.

 

[Jesterfox]

128 Bit bedeutet einen Keyspace von 2^128. Bei einem Key mit 512 Bit sind das 2^512 moegliche Keys. Und das ist nicht 'nur' das vier-fache.

Für einen Quantencomputer schon ;-) denn das ist genau der Vorteil den sie bei solchen Algorithmen haben.


Das mit der "Gegenwirkung" hört sich für mich so ähnlich an wie diese Vollbitverschlüsselung, die geht so: man trinkt so viel Bit bis man voll ist, dann glaubt man alles wäre sicher ;-)

 

[iN00B]

Haha. Der sinnvollste Kommentar wurde wieder gelöscht wegen Beleidigung, dabei war es nur eine sehr genaue Beschreibung der Realität.

 

[Luxuspur]

Ich nutze es Produktiv da ich Standort unabhängig arbeiten kann, ob nun mit MacBook beim Kunden oder am stationären Rechner auf Arbeit, wenn man mehr als 5 Dokumente hat die man täglich braucht ist so etwas sehr angenehm

mache ich auch: produktiv, Standort unabhängig ... aber auf ner kleinen externen 2,5" immer dabei ohne ein Sicherheitsloch durch ne Cloud zu reißen!

Aber die Technologie war damals zumindest an den Universitaeten bekannt. Weltweit sind einige Universitaeten an Quantencomputern dran, man ist aber immernoch meilenweit entfernt. Selbst wenn die NSA die weltbesten Mathematiker/Physiker/Informtiker anheuert, glaube ich nicht, dass sie schon so weit voraus sind. An den Unis hocken auch noch viele schlaue Koepfe.

Ach je glaubt ihr tatsächlich diese Dienste machen sich die Mühe eure Schlüssel zu knacken ? Wozu die Arbeit, wenn die eure Daten wollen greifen sie direkt an eurem PC ab wenn du die Daten nutzt und sie somit unverschlüsselt vorliegen! Verschlüsselung knacken war von vorgestern ;p

nen personalisierter Trojaner schlüpft durch jeden Virenschutz! Und dann gibts da noch die Zero Day und Backdoors. Das kriegst du nichtmal mit ...

Bei 50% der Leute reicht ja sogar noch das Titten.jpg.exe kannst ja mal spaßeshalber testen ,p
im übrigen das Geschlecht ist dabei unbedeutend!

 

[Seiyaru2208]

mache ich auch: produktiv, Standort unabhängig ... aber auf ner kleinen externen 2,5" immer dabei ohne ein Sicherheitsloch durch ne Cloud zu

Gute Idee wenn du allerdings einmal diese HdD vergisst dann kann das echt fies werden gerade wenn man einen Kunden etwas präsentieren muss.

Die Gefahr ist auch vorhanden das du die HDD verlierst, außer du bist einer der wenigen Mensch die nie Fehler machen oder etwas vergessen dann passt das natürlich 😉

 

[M@C]

Ach je glaubt ihr tatsächlich diese Dienste machen sich die Mühe eure Schlüssel zu knacken ? Wozu die Arbeit, wenn die eure Daten wollen greifen sie direkt an eurem PC ab wenn du die Daten nutzt und sie somit unverschlüsselt vorliegen! Verschlüsselung knacken war von vorgestern ;p

Nein, aber das behaupte ich auch nirgends.
Es ging schließlich um den Fortschritt bei Quantencomputern.

 

[Luxuspur]

Gute Idee wenn du allerdings einmal diese HdD vergisst dann kann das echt fies werden gerade wenn man einen Kunden etwas präsentieren muss.

Die Gefahr ist auch vorhanden das du die HDD verlierst, außer du bist einer der wenigen Mensch die nie Fehler machen oder etwas vergessen dann passt das natürlich

HDD verlieren ... selbstverständlich sind die Daten verschlüsselt ;p
vergessen? sicher nicht sry aber bei wichtigen Terminen vergisst man nix, das hat auch nix mit unfehlbar zu tun das ist einfach Vorbereitung / Disziplin. So wie man morgens eine frische Unterhose anzieht ,p

 

[Seiyaru2208]

HDD verlieren ... selbstverständlich sind die Daten verschlüsselt ;p
vergessen? sicher nicht sry aber bei wichtigen Terminen vergisst man nix, das hat auch nix mit unfehlbar zu tun das ist einfach Vorbereitung / Disziplin. So wie man morgens eine frische Unterhose anzieht ,p

Hm dann lebst du ein wirklich stressfreies Welt ,ohne andere Menschen um dich herum, damit du nie etwas vergisst Respekt kann ich da nur sagen
Vorbereitung und Disziplin, sind schön und gut... was ich schon alles geplant und vorbereitet habe und dann völlig anders gekommen ist Sobald andere Menschen in die Gleichung aufgenommen werden müssen kommt es unweigerlich zu Friktionen. Klar aber diese kannst du ja mit deiner "Chuck Norris - Disziplin" ausgleichen

Um aber wieder auf das Thema zu kommen, genau da hilft die Cloudlösung man kann immer und schnell auf seine Daten zurückgreifen, ob man diese in der cloud schützt oder nicht, ist nochmal eine andere Diskussion.

Am ende finde ich das es eine Vertrauenssache ist, entweder vertraue ich MC und Apple, Google usw. oder eben nicht, da aber das Vertrauen der Kunden das wichtigste Gute für diese Unternehmen ist schätze ich mal das sie aufpassen werden das dieses nicht erschüttert wird.

 

[M@C]

@Seiyaru2208 Naja, ich verstehe Luxuspur schon. Wieso sollte er, nur fuer den Fall, dass er sein wichtigstes Werkzeug vergisst alle Dateien in die Cloud stecken?
Ein bisschen Disziplin muss man schon aufbringen koennen.

Es gibt schlichtweg Dinge, die darf man nicht vergessen. Wenn er seinen Laptop vergisst, ist er schliesslich genauso aufgeschmissen...

Er sagt ja auch nicht, dass er unfehlbar ist und nie etwas vergisst...sondern nur bei wichtigen Terminen nicht seine 'Werkzeuge'.