ComputerBase Menü
Aktuelles

News Markt für IT-Sicherheit profitiert von Prism-Debakel

Cool Master schrieb:
Korrekt so kenne ich es auch vom Daimler 2048 Bit fürs VPN. Is zwar sau lahm aber man kommt überall an :)
Zum Vergrößern anklicken....

rofl wollte grad sagen das das auch nicht viel bringt da bei Daimler dann sicher 20 spione von nsa arbeiten, aber es ist ja noch viel simpler wurde ja erwähnt das windows-server verwendet werden, und wohl auch clients. gut die frage ist natürlich ob ende-zu-ende komprimiert wird oder ob der server die daten entschlüsselt, aber selbst wenns ende zu ende wäre, und selbst wenn die verwendete vpn software opensource wäre, wenn dann auf jedem der clients ein windows läuft und damit eine nsa-backdoor drauf ist, bringt dir die verschlüsselung zwischen den clients auch nichts.

Das ist dann witzig die mitarbeiter haben extram lahme verbindungen zwischeneinander und der nsa kann superschnell über deren backdoor unverschlüsselt sich die daten schnell von den clients ziehen. oder sie ziehen sich nur die schlüssel und können auch die datenströme direkt entschlüsseln.

ZUR NEWS:

das mehr sicherheit gefragt ist mag ja sein, die genannten tipps sind aber praktisch durchgehend fachlich völlig schlecht:

- Demnach soll auf allen stationären und mobilen Endgeräten regelmäßig Sicherheitsupdates der Betriebssysteme eingespielt werden.

da ist doch viel wichtiger welches betriebssystem drauf ist, sobald eines von einem kommerziellen anbeiter drauf ist oder teilweise proprietäre software ist die sicherheit doch nur noch eine glaubensnummer.

- virenscanner und firewalls

virenscanner installiert man ja nur für windows und ios nicht für linux, windows und ios sind aber per se schon unsicher gegenüber der nsa und auch die virenscanner die meistens closedsource sind oft sogar von amerikanern hergestellt werden können sicherheitslöcher beinhalten und niemand wird sie finden. und selbst ein deutscher anbieter der in usa auch verkauft wird wohl solche sicherheitslöcher einbauen (müssen).

- der zudem den Einsatz von Verschlüsselungsdiensten empfiehlt.

"dienste" hört sich auch nach drittanbietern an, denen man wieder vertrauen muss und oft kein zugriff auf den sourcecode hat. daher halte ich das auch weitgehend für einen schlechten oder zumindest unpräziesen rat.


gut vpn wäre dann wohl ende zu ende... aber wie gesagt das alleine macht ein it netz nicht sicher... wenn zugriff auf einen teilnehmer besteht bringt das nimmer viel.
 
blackiwid schrieb:
virenscanner installiert man ja nur für windows und ios nicht für linux, windows und ios sind aber per se schon unsicher gegenüber der nsa und auch die virenscanner die meistens closedsource sind oft sogar von amerikanern hergestellt werden können sicherheitslöcher beinhalten und niemand wird sie finden. und selbst ein deutscher anbieter der in usa auch verkauft wird wohl solche sicherheitslöcher einbauen (müssen).
Zum Vergrößern anklicken....

Das ist nicht korrekt und das wird kein deutscher Hersteller machen. Da jeder Software aber ihre Fehler im Code hat und es immer auch Viren geben, die sich an allem vorbeimogeln können, braucht das auch gar nicht .
 
Nightwind schrieb:
wurde STUXNET im Iran nicht auch über Windows eingeschleußt? (die Anlagen selbst dürften mit anderen BS laufen)
Zum Vergrößern anklicken....

Die Anlagen werden alle von Windows Systemen gesteuert und überwacht, genauergenommen mit WinCC. Und das wird in der Industrie sehr häufig verwendet.

Aber hier gilt mal wieder, das schwächste Glied bestimmt die Kette. Die besten Ambitionen der IT-Sicherheit nützen nichts, wenn das Ursprungssystem bereits die Hintertürchen liefert.

Scheitel schrieb:
Da jeder Software aber ihre Fehler im Code hat und es immer auch Viren geben, die sich an allem vorbeimogeln können, braucht das auch gar nicht .
Zum Vergrößern anklicken....

Sicherheitslücken kann man auch vermeiden. Nur dem wird in vielen Anwendungsbereichen viel zu wenig Beachtung geschenkt.
 
Zuletzt bearbeitet:
Klar kann man die Vermeiden, aber niemals ausschließen, du weißt ja selber, dass sich mit jeder Zeile Code die Wahrscheinlichkeit für Fehler erhöht. Und irgendwann endet auch der Kosten<->Nutzenfaktorfaktor für das Auffinden von Fehlern, weil es einfach zu unwirtschaflicht wird.

Das es in vielen Bereichen zu wenig Beachtung findet, sehe ich genauso, wie du.
 
naja in einem der Berichte bezüglich den NSA Aktionen brüstete sich die NSA durchaus damit das sie derzeitige Verschlüsselungen knacken könnten! ...
Aber wieso nen 2048 er Schlüssel knacken? Wenn man per Hintertür die Daten direkt unverschlüsselt abgreifen kann ...die Windowsbackdoor ist ja durch das NSA Debakel bestätigt und nicht nur windows ... Apple Google Skype Yahoo Facebook usw. usw.
 
Zuletzt bearbeitet:
das sicherste ist einfach sensible Infrastruktur nicht an das Internet hängen, das ist auch billig,
ist aber nicht so toll wenn Mitarbeiter noch abends Zuhause oder im Urlaub arbeiten sollen
 
Scheitel schrieb:
Das ist nicht korrekt und das wird kein deutscher Hersteller machen. Da jeder Software aber ihre Fehler im Code hat und es immer auch Viren geben, die sich an allem vorbeimogeln können, braucht das auch gar nicht .
Zum Vergrößern anklicken....

Das ist jetzt ne Behauptung, wieso sollte man einem gewinnorientierten Unternehmen total vertrauen und sie zu 0% kontrollieren könne, vielleicht bauen sies nicht direkt für die nsa ein, aber dann für unsere dienste die dann die daten weitergeben an die nsa oder selbst wenn nicht wärs schon schlimm genug.

sobald man ein zwei programme laufen lässt die closedsource sind also proprietär muss man jemanden vertrauen... wieso sollte man jemand trauen? Klar irgendjemand muss man vertrauen... bis zu einem gewissen grad, aber bei opensource wäre theoretisch immerhin so ne art Stiftung Wahrentest NSA-Backdoor ja/nein denkbar... bei closedsource ist man in einer totalen abhägnigkeit und völlig den entwicklern der firma aus geliefert.

Vielleicht würde ich als rießen firma die zugriff auf den source bekommen und ein paar spezialisten bezahlen können um das anzuschauen denen vertrauen ansonsten geh ich natürlich erstmal vom schlimmsten aus.

Und das ich hier eher noch zu gutgläubig war, sieht man jetzt am nsa-skandal ums mal so zu nennen, hätte nie gedacht das die das komplette internet mit schneiden und für 10 jahre speichern können. Ich bin also eher noch zu unvorsichtig und zu wenig paranoid.

Ich trau nicht mal ärtzten mehr, weil sie gewinnorientiert sind, und da sich jetzt staatliche totalüberwachung mit kommerziellen interessen vermischen und sie total kooporieren ohne einschränkungen offenbar ist das ganze noch schlimmer
 
Zuletzt bearbeitet:
Luxuspur schrieb:
naja in einem der Berichte bezüglich den NSA Aktionen brüstete sich die NSA durchaus damit das sie derzeitige Verschlüsselungen knacken könnten! ...
Zum Vergrößern anklicken....
oh ja, es besteht ja auch kein Grund zu denken, dass die lügen. Weil die NSA die weltweit klügsten Kryptographie-Experten hat...

Man kann in so einer Aussage ja auch _gar nicht die Intention erkennen_ (beim lesen: absoluter O-Ton): erzähle den Leuten, dass du die langsame extrem starke Verschlüsselung knacken kannst damit sie einfach gar keine nehmen.
 
blackiwid schrieb:
Das ist jetzt ne Behauptung, wieso sollte man einem gewinnorientierten Unternehmen total vertrauen und sie zu 0% kontrollieren könne, vielleicht bauen sies nicht direkt für die nsa ein, aber dann für unsere dienste die dann die daten weitergeben an die nsa oder selbst wenn nicht wärs schon schlimm genug.
Zum Vergrößern anklicken....

Das man vorsichtig ist und misstrauisch ist, ist auch gut, keine Frage. Das man denen in DE soweit vertrauen kann, das z.B. bei einem AV Hersteller, wenn es so eine Lücke geben würde, deren Vertrauensgrundlage sofort bei 0 wäre und die Firma pleite gehen würde, wenn sowas publik werden würde. Das kann und wird sich niemand in diesem Land leisten.
Denn selbst, wenn es eine unserer Behörden verlangen würde, würde dies gegen das Grundgesetz verstoßen.
Und da dann jemand von außerhalb der Behörde davon weiß, eben weil das verlangt wird, würde das in unserem Rechtsstatt nicht klappen. Man kann ja davon halten, was man will, aber auch unsere Behörden können nur am Gesetz vorbeiarbeiten, wenn es keiner mitbekommt bzw. es intern bleibt. Die einzige Möglichkeit, dass es heraus kommt, ist genau der Fall, den Snowden ins Rollen gebracht hat. Wir haben hier zwar auch viele bescheuerte Gesetze, aber keinen solchen riesen Abhörunsinn unter dem Schirm des Terrorschutzes wie die Amis mit dem Patroid Act und allem was da noch zugehört.

Wie man ja sehr gut an Snowden und den zig Dokumenten sieht, ist alles irgendwo festgehalten. Nebenbei finde ich sein Aktion das für alle zugägnlich zu machen sehr gut.
 
Sehr gute Nachrichten. Ich hoffe die Paranoia hält noch für wenigstens 1 Jahr an, dass ich nächstes Jahr noch einen guten Job bekomme.
 
Ich verstehe zwar das sich keiner gerne ausspionieren lassen will, aber was hat der IT Sicherheitsmarkt damit zu tun? Wir reden hier nicht von Hackern die man durch Updates oder Firewalls aussperren kann. Wir reden hier von der Amerikanischen Regierung die überall reinkommt wo sie rein will. Und die Daten die übers internet wandern werden ohnehin abgegriffen. Da kann niemand was gegen tun. Gewissensberuhigung?
Was helfen würde sind reine offline Systeme, aber das möchte in der heutigen Zeit ja keiner mehr.
 
Das beste ist immer wenn USB-Sticks verboten werden und viele Abteilungen mit externen Mitarbeiter gar nicht mehr und Abteilungen ohne externe Mitarbeiter nur noch extrem eingeschränkt und unproduktiv arbeiten können. Auch gut sind Fälle wo Mitarbeiter von Konzernen über 30 Passwörter verwalten müssen, die sich auch noch in unregelmäßigen Abständen ändern müssen. Oder wenn man "sichere", verschlüsselte Websysteme in Regionen ausrollt, wo nur bestenfalls gelegentlich Modeminternet mit 28kbit/s möglich ist.

Ein Sicherheitskonzept funktioniert nur wenn es ganzheitlich durchdacht und mit den Mitarbeitern und Arbeitsprozessen und nicht gegen sie erstellt wurde. Aber das verstehen viele IT-ler mal wieder nicht weil sie nicht soweit mitdenken können.
 
@blackiwid

Eben meine Rede... Aber open Source Software darf nicht auf den Rechnern laufen, wie in vielen Konzernen...
 
oh ja, es besteht ja auch kein Grund zu denken, dass die lügen. Weil die NSA die weltweit klügsten Kryptographie-Experten hat...
Zum Vergrößern anklicken....

Naja vor noch nem halben Jahr wurde man als Spinner abgetan ... und nun?
 
@Luxuspur

Ist man es immer noch....

Die NSA kann Verschlüsselungen knacken - keine Frage, aber nicht in einem Zeitraum in dem es interresant ist...

Machen wir einfach mal ein kleines Exemple:

Da wir es uns leicht machen wollen sagen wir mal a-z, A-Z in 0-9 zusammen also 62 verschiedene Zeichen. So ein gutes Passwort hat rund 64 Zeichen - ok geht bei uns nicht also sagen wir einfach mal 62 ;).

So das wäre nun eine Kombination von 62^62 Ergebnis:

1,34364564515225E111

man beachte die E-Zahl. So das sind die möglichen Kombinationen des Passworts nur mit Zahlen und Buchstaben das ganze geht noch weiter hoch wenn man noch Sonderzeicheneinbringt.

Kurz Fazit:

Alles ist knackbar - keine Frage. Die Frage ist aber Wie lange dauert es. Bei dem PW aus meinem Beispiel, ohne jetzt konkret die Mathe dazu zu machen, würde ich mal sagen das es im 3 stelligin Millionen Jahre bereich ist wenn nicht sogar schon die Milliarde Grenze durchbrochen ist. Also wie ich schon auf Seite eins schrieb 256 Bit AES gilt weiterhin als Sicher. Kaskadiert man auf bis zu 768 Bit mit AES-Serpent-Blowfish hat man - ein gutes PW vorrausgesetzt - eine super verschlüsselung die praktisch nicht knackbar ist.
 
@Cool Master

Das ist die Theorie, praktisch muss dem aber nicht so sein. Theoretisch ist es bei einen gut gewählten und langen Passwort nicht möglich eine 256 Bit AES Verschlüsselung zu knacken.
Praktisch gibt es eben mehrere Unsicherheiten, z.B. die Zufallszahlen die für die Verschlüsselung benötigt werden. Bei Truecrypt muss man beim erstellen eines Containers die Maus bewegen um Zufallszahlen zu generieren. Wenn diese aber keine sind, dann ist auch eine 256 Bit AES Verschlüsselung in Sekunden geknackt, da hilft dann eben kein gut gewähltes Passwort mehr.
 
Klar man sollte die Programme, die einem alles verschlüsseln natürlich verstehen und richtig anwenden können.

Es ist halt wie mit allem in der IT:

Nutzer = Keine Ahnung = Keine Sicherheit

Nutzer = Ahnung = Sicherheit

Wie gesagt da Truecrypt Open Source ist, ist da auch keine Backdoor drin da man es zur not eben selber kompiliert. Gleiche gilt für die Algorithmen der Verschlüsselung da diese auch bekannt sind und es eben auf Zufall und andere Zahlen der Mathemathik beruht kann man es eben nur in einem Weg Knacken:

Brute Force, sei es gegen die Verschlüsselung oder den Besitzer.
 
Ich kann ja das Bsp. mit Truecrypt noch etwas konkretisieren. Würde beim erstellen des Containers der Zufallszahlengenerator (Dual_EC_DRBG) ab Windows Vista genutzt, dann ist die Verschlüsselung für den NSA unwirksam.
Truecrypt ist aber nur ein Beispiel, alle Verschlüsselungsverfahren haben das Problem.
 
Zuletzt bearbeitet:
Ich habe mir nun Truecrypt noch nicht genau angeschaut aber in der Doku steht drin, dass unter Windows auf 3 APIs oder Handles berufen wird:


  • MS Windows: Windows CryptoAPI (collected regularly at 500-ms interval)
  • MS Windows: Network interface statistics (NETAPI32)
  • MS Windows: Various Win32 handles, time variables, and counters (collected regularly at 500-ms interval)

Siehe: http://www.truecrypt.org/docs/random-number-generator

Ich denke mal je nach OS Version wird gewählt von wo die Zahlen kommen um den ganzen zu entgehen.

Ich selber nutze OS X was wiederum den RNG von /dev aufruft (der gleiche wie unter Linux) daher kann ich wie gesagt nicht wirklich sagen wie das unter Windows ist.

Wenn da jemand bedenken haben sollt eunter Windows --> Linux Live CD :)
 
Wie gesagt da Truecrypt Open Source ist, ist da auch keine Backdoor drin da man es zur not eben selber kompiliert.
Zum Vergrößern anklicken....

naja dazu müsstest auch erstmal den Quellcode Zeile für Zeile analysieren und vorallem verstehen können nur dann bringt dir das selber kompilieren auch etwas ;p Und das müsstest du dann für jedes einzelne Bit Code auf deinem System machen inkl. dem BS Bios Treibern und soweiter ^^ Open Source bringt dir einen vermeintlichen Teil an Sicherheit ... mehr aber auch nicht ...
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PhoenixEX
Zertifizierungen für IT Sicherheit (als Absolvent)
Antworten
5
Aufrufe
1.591
maxtar
maxtar
R4sh
Buchempfehlung für IT- Sicherheit, Netzwerke .... etc.
Antworten
1
Aufrufe
1.069
e-Funktion
E
Andy
News Tipps für IT-Sicherheit von NSA-Partnerfirma
2
Antworten
37
Aufrufe
5.797
syntax868
S
fethomm
News Intel kauft weiteres Unternehmen für IT-Sicherheit
Antworten
6
Aufrufe
2.692
TrueAzrael
T

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz