News Verschlüsselung im Internet teilweise bereits unterminiert

[1668mib]

Natürlich weiß ich, was eine nicht-deterministische Turing-Maschine ist. Die von mir geschrieben Programme sind meistens auch nicht deterministisch (just kiddin')...

Also ja, "wenn" (="sobald"). Wenn es dumm läuft, findet morgen jemand auch die ultimative Formel um riesige Zahlen zu faktorisieren...

@HighTech-Freak: Sehe ich ähnlich. Gerade in einer Sicherheitsdiskussion sollte man nicht larifari reden.. habe auch bei Reuters gelesen, SSL würde Webseiten schützen... *autsch* (was auch deinem dritten Punkt in der Aufzählung entspricht)

Wie ich auch sagte: Die Leute hätten schon viel länger mehr für ihren Datenschutz machen können.

Und ja, Verschlüsselung stellt nur einen zeitlich begrenzter Schutz dar. Aber gilt das nicht quasi für jeden Schutz? Wer macht sich denn die Mühe, alte Mails großflächig noch zu entschlüsseln versuchen? Kaum jemand...

 

[guillome]

Man sieht an dieser News und in diesem Thread exakt das Problem.
Das Thema ist zu komplex und für Ottonormalbürger abstrakt, dass sogar viele "Fachleute" auf IT-Webseiten extrem viel Halbwissen verbreiten und so ziemlich alles verwechseln und über einen Kamm scheren. Kein Wunder, dass 99,9% der Bevölkerung hier abgehängt ist und nicht mehr mit kommt. Somit gerät das Thema beim kommerziellen nicht IT-affinen Publikum auf Durchzug und Langeweile.

Es steht aber mit der ganzen IT-Überwachung so viel auf dem Spiel, dass es aktuell fahrlässig ist hier nicht aufzuklären.
Aktuell erleben wir m. E. Geschichte. Geschichte, weil kein Gesetz mit den Möglichkeiten von grenzunabhängigen Datenflüssen kompatibel ist. Alle Gesetze und Logiken basieren aus einer "offline" Zeit. Leider sind die heutigen Möglichkeiten für Abhörer so unbegrenzt wie noch nie in einer existierenden Gesellschaft. Unbegrenzt, weil ALLES und JEDES Teil einer Volkswirtschaft über Netze und Computer geleitet/gesteuert wird (Geldtransfers, Logistik, Kommunikation wie auch immer geartet, Warentransfers, Aufträge, Strom und Energie, etc). Man wird sogar erfasst, wenn man gar keinen Computer besitzt (Telefon, Sozialenetzwerke die Kontaklisten, Bilder absaugen, speichern und indexieren, und so weiter und so fort). Es ist traurig mit ansehen zu müssen, wie Volksvertreter und Menschen so gleichgültig mit ihrer Freiheit spielen.

 

[Rhoxx]

Eben im Radio gehört, dass kooperierende Firmen demnächst (!) bis zu 2% ihres Umsatzes als Strafe zahlen würden, wenn's auffliegt.... Bitte?? 2%? Wenn ich mich mal eben irgendwo zum Spaß einhacke (ohne irgendwas zu stehlen oder zu beschädigen) und dann einen Prozess kriege ... da sollen die mir auch 2% meines Brutto-Jahreslohns als Strafe verlangen... wieviel wär es dann? so, 400€? tss Da müssten Unternehmen gleich 200% kriegen. Wen interessiert es schon, dass Google dann millionen zahlen würde? Die Strafen skalieren doch bei Millionären auch. Es ist eben eine STRAFE und keine "Wiedergutmachtung" in Form von Geld.

 

[Aladin911]

hmm... salopp formuliert, es geht im Grunde nicht um das Verschlüsselungsverfahren an sich egal ob AES 128 oder 256 oder Ekliptische Kurven etc. Es geht um die Kette.

Die implementierung ist heutzutage die Achillesferse schlecht hin.

Es ist nicht nötig die Verschlüsselungsverfahren zu brechen, es reichen die bereits installierten Traps und Hintertüren auszunutzen.

Man darf nicht naiv sein und aus der Vergangenheit lernen.

Einige Beispiele:

Dies fängt z.B. bei den verwendeten chips AES in HDDs es gibt sehr sehr wenig offizielles Material wie implementiert worden ist.

TP - Signierung Software, Zertifikate, Updates etc.

Router sowohl in Hardware als auch in Software.

Auch die Warnungen zum Microcode updates verstummen nicht, nicht dokumentierte Befehle hat es schon zu C64 zeiten gegeben (Motorola CPU) also mehr als 25 Jahre bereits und gibt es sie bis heute.

Es gibt keine sicherheit und das schon lange.

Alles wurde schon lange kompromittiert und das auf der untersten Ebene.

 

[kontraede]

Es ist traurig mit ansehen zu müssen, wie Volksvertreter und Menschen so gleichgültig mit ihrer Freiheit spielen.

Den aktuell regierenden Politikern sind eben Handelsabkommen, immer mehr Geld schöffeln und der Euro wichtiger als "diese Freiheit". Denke, dass das Problem immer noch darin liegt, dass es 99.9% der Bevölkerung nicht aktiv mitbekommt, dass sie und wo sie überall ausgespäht werden. Bei niemanden steht die ganze Zeit auf dem Desktop "NSA is watching" und ein roter Record-Button.

Bedingt dadurch, finden es zwar die meisten "nicht gut" mit der Abhörerei, werden / und wollen aber nichts aktiv dagegen unternehmen, was katastrofal ist. Wie es schon oft hier im Forum geschrieben wurde: Haltet die Bevölkerung dick, ein bisschen krank und doof und keiner wird sich beschweren. Danke Deutschland! Uns geht's zu gut um aufzustehen und was zu tun.

 

[etking]

Daran ist jetzt wirklichts nichts neu, jeder weiß dass die USA sämtliche von dort stammenden Programme und Netzwerkausrüster kontrollieren und an den Root-CAs sitzen und damit so gut wie jede zertifikatbasiertte Verschlüsselung umgehen können, weil fast immer Zertifikate von US-Unternehmen wie Verisign an der Vertrauenskette beteiligt sind.

Viel interessanter wären aber die Fragen:
Sind auch die CPUs von Intel und AMD direkt betroffen, enthalten sie Backdoors oder Schadcode?
Wie sieht es mit der in Kalifornien beheimateten Mozilla Foundation aus, ist auch Firefox unterwandert und hat die NSA Zugriff auf Browserverlauf, Bookmarks und gespeicherte Passwörter?
Wie sicher vor NSA-Unterwanderung sind sämtliche Netzwerkkomponenten des Linux-Kernel?

 

[kontraede]

Wie sicher vor NSA-Unterwanderung sind sämtliche Netzwerkkomponenten des Linux-Kernel?

Ich habe vor circa einer Woche eine anonyme Email im Rahmen meines Projektes bekommen, in der "jemand" mir mitteilte, dass der Linux-Kernel unterwandert sei. Er wollte mir keine Quellen usw. nennen, ich glaube dieser Email dennoch, da sich niemand die Mühe machen würde eine mittellange Email zu schreiben, in der er nur BS erzählt.

Ich denke trotzdem, dass man mit Linux noch besser unterwegs ist als mit Microsoft und Apple, die bekanntlich große Bestandteile von Prism sind.

 

[Aladin911]

Viel interessanter wären aber die Fragen:

Sind auch die CPUs von Intel und AMD direkt betroffen, enthalten sie Backdoors oder Schadcode?

Ja mit sehr hoher Wahrscheinlichkeit, wurde bereits demonstriert das dies machbar ist, vor ein paar Jahren, z.B. mit eingebranten individuem Code, zu Pentium Zeiten, nach grossem Aufschrei wurde NUR deaktiviert ist bis dato heute im jeden Chip drin.
Opt befehle, nicth dokumentierte befehle.

Timer, und Zufahlzahlen minimierung der AngriffsVektoren. Eingreinzung.

Wie sieht es mit der in Kalifornien beheimateten Mozilla Foundation aus, ist auch Firefox unterwandert und hat die NSA Zugriff auf Browserverlauf, Bookmarks und gespeicherte Passwörter?

Brauchen die nicht, reicht das abgreifen im Netz.

Wie sicher vor NSA-Unterwanderung sind sämtliche Netzwerkkomponenten des Linux-Kernel?

Jap. anders wuerde z.B. die China Firewall nicht gehen. Egal auf was fuer einen System.

Generell es machen ja alle mir, mehr oer weniger freiwillig.

Schau Dir z. B. den hack von PS3 wurde auch NUR ausgelesen, es ist alles moeglich

 

[Pizzataxi]

Langsam wirds Zeit für einen Extra-PC, auf dem ich meine Dokumente und Bilder speichere, der nie an den Router angeschlossen wird und auch niemals einen USB Stick zu Gesicht bekommt.
Oder mal wieder die gute alte Schreibmaschine rauskramen und diese Fotodingsda nehmen, wo man ne Rolle reintut

Wir sind einfach zu abhängig geworden, insbesondere von US Unternehmen, die das Internet dominieren, und Verschlüsselung ist nur noch Resourcenverschwendung.
Bei der XBox One gab es ein kurzes Husten, als bekannt wurde, dass diese permanent lauscht. Wahrscheinlich werden unsere iPhones, Android Phones und Windows Phones schon längst permanent abgehört und permanent per GPS überwacht.
Das kann niemand wissen. Und da dies problemlos technisch möglich ist, müssen wir davon ausgehen, dass dies auch tatsächlich passiert.

Schöne neue Welt.

 

[Wader22]

Exakt das glaube ich auf. Größter ziviler Ungehorsam ist heutzutage ein Computer, der nicht ans Netz angeschlossen ist...

Doch was bringt das denn? Dann gibts keine News, keine Foren mehr, keine Email, kein Chat. Da kann ich Briefe schreiben (ha ha) und alte Games zocken... Irgendwie eine moderne Schreibmaschine Ganz auf einen online PC wird niemand verzichten wollen, dann muss eben ein ZweitPC her.So als Absicherung, falls die NSA irgendwann entscheidet, dass alles bitte offline sollen und das m$ Update ein Killsignal rumschickt...

 

[Weedlord]

Was hast du erwartet? Unsere Regierung ist ein Witz. Nicht mal der Bundespresident sagt etwas dazu.

der hat davon doch garnix mitbekommen, der ist doch in Frankreich und trauert um die NS Verbrechen, welche auch schlimm waren, aber ich finde man sollte nicht nur in der Vergangenheit leben, unser Bundespräsident zeigt viel zuwenig Bewustsein für die Gegenwart, scheint fast so, als würde diese Ihn nicht interessieren....

 

[Pizzataxi]

Exakt das glaube ich auf. Größter ziviler Ungehorsam ist heutzutage ein Computer, der nicht ans Netz angeschlossen ist...

Doch was bringt das denn? Dann gibts keine News, keine Foren mehr, keine Email, kein Chat. Da kann ich Briefe schreiben (ha ha) und alte Games zocken... Irgendwie eine moderne Schreibmaschine Ganz auf einen online PC wird niemand verzichten wollen, dann muss eben ein ZweitPC her.So als Absicherung, falls die NSA irgendwann entscheidet, dass alles bitte offline sollen und das m$ Update ein Killsignal rumschickt...

Aufn PC verzichten möchte ich auch nicht. Aber dann kommen auf den Internet PC eben nur noch der Browser und die Games. Alles was an Officework läuft, auf den Offline PC. Kein Stress mehr mit Viren, Trojanern, Unmengen Updates etc etc.
Das würde eine aufwendige und umständliche Eingewöhnung bedürfen, aber früher ging das ja auch irgendwie.

Man müsste sich mal ne Liste machen, was für Software/Dienste man nutzt und aus welchem Land die kommt. Da wirds glaub ich echt gruselig. 99,9% nur noch USA=NSA=CIA (und weil alle modernen OS aus US kommen = 100%). Die totale Überwachung läuft schon längst.
Zum Glück werden wir von Politikern vertreten, die sich um unsere Grundrechte sorgen und dafür einstehen

Mittlerweile könnte man ja auch problemlos das Ubuntu der chinesischen Regierung nutzen. Ein Unterschied zu unseren OS würde es jedenfalls nicht geben xD

 

[Wader22]

Stimmt schon, der Debian "Bug" mit der Verschlüsselung wurde ja heute auch wieder heiß diskutiert. Die werden schon ihre Finger bei allen OS irgendwie im Spiel haben. Hilft echt nur Stecker rausziehen. Richtig zum kotzen finde ichs, wenn ich lese, welche Gelder da verbraten werden. Würde man diese Milliarden lieber in Forschung oder Sozialprogramme stecken, könnte die Welt echt verändert werden. Aber nein, immer die gleiche Scheiße. Der Mensch ist wirklich unverbesserlich. Tröstlich: wenn die so weitermachen, wird eh Skynet in ein paar Jahren übernehmen

 

[1668mib]

Wenn der Debian-OpenSSL-Bug gemeint ist, dann ist klar zu sehen, dass er nichts mit Geheimdiensten zu tun hat, sondern mit Programmierpfusch... aber klingt leider nicht so schön nach Verschwörung, ich weiß.

 

[Wader22]

Nunja, wenn die NSA gute Leute hat (und bei dem Budget haben sie das), dann können die das aussehen lassen wie einen Pfusch. Ich meine, so könnte es gewesen sein, einen Beweis habe ich natürlich nicht. Nur das Wort "Verschwörungstheorien" würde ich weglassen, den Status Theorie hat die ganze Geschichte weit hinter sich gelassen.

 

[tonttu]

Wahrscheinlich werden unsere iPhones, Android Phones und Windows Phones schon längst permanent abgehört und permanent per GPS überwacht.
Das kann niemand wissen. Und da dies problemlos technisch möglich ist, müssen wir davon ausgehen, dass dies auch tatsächlich passiert.

mimimimimiiiiii
Dazu reicht ein ganz einfacher nokia knochen.
Option 1)
Der Geheimdienst, z.t. auch die Polizei stellen eine fake Funkzelle auf.
Da diese am stärksten funkt, bucht sich das handy braf ein. Schon hat man eine feine kontrolle mit wem man telefoniert.
option 2) schon lange gang und gebe.

der geheimdienst JA AUCH DER BND, nicht nur der hundsgemeine ami, schickt dem handy eine stumme sms zur ortung des trägers.

ich brauche ja nicht mal gps sondern es reichen 2 funkmasten aus.
in der stadt war mein iphone 2g sehr genau.
das iphone 2g hat KEIN GPS, aber in der stad konnte das mich auf ca 10-20 meter genau orten.
das reicht aus.
selbst innerhalb eines dorfes war die positionierung überraschend genau.

diese daten kann der geheimdienst ganz einfach abgreifen.

nur lief ich dann aus dem dorf raus über feld und flur so kann man mich nur im umkreis des großen hauptmast orten.
da war meine position ein umkreis von ein paar km um den masten. aber sobald man einen 2. mast hat. bingo...

mein neues handy ist auf 2 meter genau. das nutzt neben gps auch glosnass.

aber das ist alles gar nichts neues.
das war schon mit den frühen handys möglich und wurde auch gemacht.
huiiii
und trotzdem hat wirklich JEDER seinen livestream per handy ins facebook.

option 3.
das handy als wanze. ohne dass ich es merke, telefoniert es fein nach hause.
unmöglich? ne schon lange nicht mehr.

und option 4.
das handy muss nicht mal angeschaltet sein und kann trotzem heimlich senden.

im übrigen verkaufe ich 1a aluhüte.
bei interessen pn....

 

[Basecamp]

Ich wollte eigendlich von Dropbox auf Owncloud umstellen. Aber ich fragr mich grad ob das einen Unterschied macht .
Gut man wird eohl so nicht mehr allgemein überwacht, ich denke um solche Fälle wie hier beschrieben wurde sind wohl nur Daten die für die Nsa wirklich intressant sind( Wirtschaftspionage, China, naher Osten usw...)

 

[tonttu]

Gut man wird eohl so nicht mehr allgemein überwacht, ich denke um solche Fälle wie hier beschrieben wurde sind wohl nur Daten die für die Nsa wirklich intressant sind( Wirtschaftspionage, China, naher Osten usw...)

Und umgekehrt greifen auch die chinesen massig daten ab.
nur weil es chinesen und keine elendigen bösen AMIS sind juckt das keinen.
da hatte ein informatiker ein paar honey pots aufgestellt. - virtuelle akws und unternehmen. und schon waren chinesische angriffe zu verzeichnen und zugriffe auf die sensible regel elektronik.

auch geschäftsgeheimnisse saugen die chinesen sehr gerne ab.
und dann sind da noch die russen.

du kannst dir also sicher sein, dass da irgenjemand mitließt.
verdammt mein aluhut sitzt schon wieder schief

 

[1668mib]

@Wader22: Weißt du wie er rein kam oder weißt du es nicht?

Ich kann es kurz zusammenfassen:
Ein OpenSSL-Entwickler brauchte ein Feld mit Zufallszahlen für die Generierung der Zertifikate/Schlüssel. Anstatt sich eine Menge von Zufallszahlen zu generieren (echte Zufallszahlen zu generieren ist gar nicht so leicht) wurde eine spezielle Compiler-Option verwendet: Das Feld wurde nicht initialisiert, sondern enthielt schlicht die Daten, die bei Programmstart an dieser Speicheradresse standen. Das kann man so machen...

Der Compiler erkennt aber, dass der Zugriff auf das Feld erfolgt, ohne dass es vorher initialisiert wurde, und spuckt deshalb eine Warnung aus.
Ein Debian-Entwickler wollte diese nervende Warnung entfernen. Schwupps hat der dafür gesorgt, dass das Feld nicht mehr uninitialisiert bleibt. Die Warnung war weg, der Zufallszahlengenerator ebenso.

Was lief schief?
Leider wurde nicht im Quellcode dokumentiert (kommentiert), warum das Feld nicht initialisiert wird. Der Debian-Entwickler war sich nicht bewusst, welch weitreichende Folge das haben könnte. Wenn er das gewusst hätte, hätte er einen anderen Zufallszahlengenerator verwendet.

Und wenn die NSA dahinterstecken würde, dann hätten sie kaum dafür gesorgt, dass quasi alle Zertifikate für die Tonne sind - schließlich fliegt das schnell auf... Da wäre ein Pseudo-Zufallszahlengenerator vermutlich die bessere Variante gewesen... Die NSA hat nichts davon, wenn alle Zertifikate wertlos sind oder "berechenbar" für jedermann...

 

[Carlton Banks]

Langsam wirds Zeit für einen Extra-PC, auf dem ich meine Dokumente und Bilder speichere, der nie an den Router angeschlossen wird und auch niemals einen USB Stick zu Gesicht bekommt.
Oder mal wieder die gute alte Schreibmaschine rauskramen und diese Fotodingsda nehmen, wo man ne Rolle reintut

So handhabe ich das schon seid zig Jahren, Knochen wird immer nur vorgeworfen, aber an die wichtigen Dinge kommt keiner...

Hab das schon mal gesagt, Datenschutz gibt es nicht, der dient nur dem Nebenmann, mehr nicht...