Wie vor Staatstrojaner schützen?

[AGB-Leser]

Okay, ich weiß, was du meinst. Aber du verlässt dich zu sehr auf Zertifikate. Man in the middle ist hier das Stichwort. Der Anbieter schaltet sich hier einfach als proxie dazwischen. Und die wenigsten Seiten schreiben ihre eigenen Schlüssel auf die Seiten. Also weißt du nicht, ob das Zertifikat passt.
Ich denke, dass das ganze viel einfacher und subtiler geschieht. Alleine, weil die meisten Leute einen Router vom Anbieter haben. Also ist der Anbieter ja schon mal in deinem Netzwerk. Du musst verstehen, dass der Anbieter direkt an deiner Dose/Funkmast sitzt. Und damit sämtlichen Verkehr kontrolliert. Also hat er auch die einfachste Möglichkeit, deinen Verkehr zu manipulieren

 

[TriggerThumb87]

Mir ist das alles bewusst.
Um Zertifikate zu umgehen, hast du nur drei Möglichkeiten, du kompromittierst:
-Eine der beiden Gegenseiten direkt
-Den Zertifikathändler bevor das Zertifikat ausgestellt worden ist

Sobald bekannt ist, auch in nur einem Fall, ist sofort die Gegenseite oder der Händler aus dem Geschäft.
Stell dir mal vor CB arbeitet mit der Polizei mit und das käme raus. Steffen und co. wären auf der Straße, die Nutzerzahlen würden dramatisch einbrechen.

Einem Mittelmann ist es nicht in der Lage sich in eine solche Kommunikation einzuschleusen. Das ist vom Design der ausgeschlossen.

Die Vodafone Station, über die Vodafone die komplette Kontrolle hat, steht da doof da, weil sie nichts mitlesen kann, und bei mir gegen ein NAT stößt.
Wer sich ein Providergerät direkt reinsetzt, ist vom Prinzip her selbst Schuld, unabhängig von der Gesetzeslage.

 

[AGB-Leser]

Sobald bekannt ist, auch in nur einem Fall, ist sofort die Gegenseite oder der Händler aus dem Geschäft.
Stell dir mal vor CB arbeitet mit der Polizei mit und das käme raus. Steffen und co. wären auf der Straße, die Nutzerzahlen würden dramatisch einbrechen.

Es muss noch nicht mal die Seite mitmachen. Kennst du den originalen Schlüssel von CB? Nein. Du schaust nach. Und wer sagt, dass das der richtige Schlüssel ist? Wird bei mir auf Arbeit doch genauso gemacht. Du surfst die Seite an, das läuft über einen Proxy. Der leitet deine Anfrage an CB weiter. CB antwortet, der Proxy öffnet die Verbindung, schaut rein, packt es wieder rein und leitet es an dich weiter. Ganz einfach. Du siehst ein Zertifikat und ein Schlüssel. Aber das ist ja nur zwischen dir und dem Proxy. Kannst ja selber alles signieren, was du willst. Die Zertifikate lassen sich zb über die Systemaktualisierung von deinem Betriebssystem unterjubeln

 

[TriggerThumb87]

Und wer sagt, dass das der richtige Schlüssel ist?

Beliebige Verifikationsstellen, deren Caches auch offline verfügbar sind bei dir.

Kannst ja selber alles signieren, was du willst

Nein, du kannst eben nicht deinen eigenen Schlüssel "signieren". Jeder Browser verweigert sofort den Aufruf. Deswegen sind lokale Webinterfaces auch standardmäßig auf http, weil der Durchschnittsanwender mit der Akzeptanz bzw. Eintragung und der zuerst erscheinenden, gerade genannten Meldung, überfordert ist.

Die Zertifikate lassen sich zb über die Systemaktualisierung von deinem Betriebssystem unterjubeln

Genau, und dann ist, wie ich schon sagte, meine Gegenstelle kompromittiert bzw. dann ich.
Ich persönlich wünsche MS viel Spaß falsche Zertis auf mein Linux-System unterzujubeln.

 

[brianmolko]

Könntet ihr eure "Privatunterhaltung" bitte per PN weiterführen? Danke

 

[Helge01]

Einem Mittelmann ist es nicht in der Lage sich in eine solche Kommunikation einzuschleusen. Das ist vom Design der ausgeschlossen.

Das wird einfach umgangen in dem der Trojaner dir ein Root Zertifikat vom Proxy installiert. Dieser stellt on-the-fly die Zertifikate für die jeweilige Domain aus. So ungefähr funktioniert das auch in Firmen, wo der HTTPS Verkehr überwacht wird. Diese Vorgehensweise wird mit TLS 1.3 zwar unterbunden, aber häufig ist noch TLS 1.2 im Einsatz und eventuell kann man ein downgrade des TLS Protokoll erzwingen.

Damit kann dann die komplette Kommunikation überwachen werden. Es gibt noch so viele Möglichkeiten der Überwachung, dass man so was letzten Endes nicht verhindern kann. Entweder man verhindert so ein Gesetz, oder man kann hoffen, dass es in dieser Form nicht umgesetzt werden darf.

Eine Überwachung ohne konkreten Tatverdacht wird sowieso nur unschuldige oder politisch unbequeme Menschen treffen. Da kein Richter das absegnen muss, weckt sowas natürlich große Begehrlichkeiten. Kriminelle lassen sich davon nicht beeindrucken, die passen sich der Situation an und ändern ihre Vorgehensweise.

Auf Dauer wird nur erreicht das sich Menschen wieder eine Selbstzensur auferlegen, um nicht auffällig zu werden. Damit wäre das Ziel für diese Aktion erreicht.

 

[TriggerThumb87]

Das wird einfach umgangen in dem der Trojaner dir ein Root Zertifikat vom Proxy installiert. Dieser stellt on-the-fly die Zertifikate für die jeweilige Domain aus. So ungefähr funktioniert das auch in Firmen, wo der HTTPS Verkehr überwacht wird. Diese Vorgehensweise wird mit TLS 1.3 zwar unterbunden, aber häufig ist noch TLS 1.2 im Einsatz und eventuell kann man ein downgrade des TLS Protokoll erzwingen.

Irrelevant für mich, ich nutze einfach kein TLS 1.2 mehr.
https://www.cdn77.com/tls-test/result?domain=computerbase.de
Natürlich gibt und wird es immer andere Lücken geben. Das habe ich schon selber am Anfang der Diskussion behauptet. Allerdings ist das das übliche Katz- und Mausspiel.
Wenn dir Sicherheit wichtig ist, ist dir das Gesetz nur eine Formalia, weil du ja allgemeines Misstrauen an den Tag legst.
Das ändert natürlich nichts daran, dass der Staat hier "gesetzeswidrig" handelt und es eine Schweinerei ist.

 

[Helge01]

Irrelevant für mich, ich nutze einfach kein TLS 1.2 mehr.

Das muss dann in jedem Programm, Anwendung, Betriebssystem und Browser usw. gemacht werden und danach wird kaum noch was vernünftig funktionieren. Weiter müsstest du jeden Server im Internet konfigurieren das diese nur noch TLS 1.3 ausliefern. Die meisten sind noch mit < TLS 1.2 unterwegs. Auch bei dem Trojaner müssest du TLS 1.2 unterbinden.

So irrelevant ist das auch für dich nicht.

 

[TriggerThumb87]

Das ist für mich recht irrelevant, weil ich sehr eingeschränkt Technik nutze.
Mit steigender Überwachung sollte aber auch der allgemeine Bedarf zu mehr Sicherheit steigen, wodurch Software neuere Standards adoptiert oder aber auf dem Markt unattraktiv wird.
Der Durchschnittsnutzer interessiert mich nicht, weil ihn das Thema auch nicht interessiert. Er teilt ja fleißig auf Instagram seinen Avocadotoast mit pochiertem Ei.
Sicherheit sollte Standard und Grundrecht sein, allerdings gibt der Normalverbraucher das ab für Bequemlichkeit, weshalb Sicherheit auch nicht bequemlich ist.

Auch bei dem Trojaner müssest du TLS 1.2 unterbinden.

Wie war da eigentlich der aktuelle Stand? Trojaner ein nicht funktionierendes Desaster, nie einmal mit Erfolg eingesetzt, Millionen von Geld verschwendet?
Auf absehbare Zeit wird der Nutzer gesichert durch die Inkompetenz des Angreifers.

 

[AGB-Leser]

Das Problem ist ja, dass, weils die Masse eh nicht interessiert, dir das Leben damit schwer gemacht wird. Auf Einzelschicksale kann man keine Rücksicht nehmen, du kennst das ja. Es ist übrigens auch kein Problem, entsprechende Verschlüsselung einfach zu verbieten. Machst du es trotzdem, wird dein Verkehr einfach blockiert und fertig. Denn der Anbieter kann das ja nicht (so leicht) öffnen. Und in ein paar Jahren machste dich damit dann auch strafbar

 

[Banned]

Wenn die ISP kooperieren müssen, dürfe es doch recht leicht sein, den Trojaner über den Router auf den PC zu bekommen, oder nicht?

 

[TriggerThumb87]

Wie?
Bei mir ist hinter der Vodafone Station mein OpenWRT Router mit NAT.
Da ist Ende.
Wer sich ein Gerät mit Firmware vom Provider ins Netz stellt, hat verschissen. Ist aber auch selber Schuld. Der Provider hat so Netzwerkzugriff auf alle Komponenten. Bspw. IP-Cams, die ja (eigentlich zum Glück) alle neben dem unsicheren App-Scheiß noch RTSP-Streams haben.
Selbst mit Gerät im eigenen Netzwerk muss immernoch entweder eine unsicherer Download gekapert und manipuliert werden, der dann vom Nutzer selber ausgeführt wird, oder eine RE-Lücke ausgenutzt werden (gut, bei Windows im LAN ist das "wahrscheinlich").

Es ist übrigens auch kein Problem, entsprechende Verschlüsselung einfach zu verbieten. Machst du es trotzdem, wird dein Verkehr einfach blockiert und fertig. Denn der Anbieter kann das ja nicht (so leicht) öffnen. Und in ein paar Jahren machste dich damit dann auch strafbar

Das ist ein guter Einwand. Ich weiß aber nicht wie das ablaufen soll.
Generell müsste Verschlüsselung erstmal von unverschlüsselten Daten unterschieden werden können. Automatisiert. Dann muss da Know-How und Struktur aufgebaut werden. Beides hat Deutschland nicht.
Ich bezweifle, dass das komplett geht. Verschlüsselung würde dann Hand in Hand mit Steganographie eingehen.
Ich kann mir eine Verbietung vorstellen, aber eine Umsetzung und Kontrolle nicht.

 

[AGB-Leser]

Du erkennst ja Datenströme anhand deren Bitfolge. Dein Zielsystem muss den Datenstrom ja auch zuordnen und erkennen, als kann das dann auch der entsprechende Angreifer

Aber mal abwarten, wer nach einem Schutz googelt, der steht dann eh schon auf der Liste

 

[TriggerThumb87]

Du erkennst ja Datenströme anhand deren Bitfolge. Dein Zielsystem muss den Datenstrom ja auch zuordnen und erkennen, als kann das dann auch der entsprechende Angreifer

Was?
Entsprechende Zuordnung des Traffics geht nicht anhand "deren Bitfolge", sondern weil entsprechende Anbindung an einen Socket stattgefunden hat. Was letztendlich die Payload ist (die verschlüsselt ist), ist als eben solche nur für die Anwendung/Gegenseiten zweifelsfrei erkennbar, es sei denn die Anwendung befolgt bestimmte Konventionen und dadurch einhergehende Muster. Ansonsten musst du entsprechend RE betreiben. Das geht nicht automatisiert. Und wenn da Gegenmaßnahmen ergriffen werden (Steganographie), ist es zweifelsohne nicht erkennbar was letztenendes gemacht wird.

Wenn ich dir jetzt X Byte an Daten in den Post reinkopiere, weißt du nicht ob es:

-Unverschlüsselte Daten für eine dir unbekannte Anwendung sind
-Verschlüsselte Daten
-Einfach zufälliger Müll, der geschickt wird, um Schnüfflern auf die Nerven zu gehen

Das wird übrigens nachrichtendienstlich gerne gemacht, oder auch, wenn du verhört wirst, ist es eine super Taktik:
Du sagst einfach irgendetwas sinnloses.

 

[Banned]

Wer sich ein Gerät mit Firmware vom Provider ins Netz stellt, hat verschissen. Ist aber auch selber Schuld.

Das ist ein aber schon ein bisschen Täter/Opfer-Umkehr.


Mit der zunehmenden Digitalisierung von Behörden und amtlichen Dokumenten wird es auch immer mehr Einfallstore für den Trojaner geben.

Letztendlich muss sich an der Gesetzeslage was ändern. Nicht jeder Bürger kann sich zum IT-Sicherheitsexperten weiterbilden.

 

[Nobody007]

Meint ihr tatsächlich, dass Microsoft, Google, Apple oder gar Facebook tatsächlich kostenlos anbieten? Ihr bezahlt dort mit euren Daten.

Der Unterschied ist aber entscheidend.
Der Konzern will alles wissen, um an dein Geld zu kommen. Der Staat will alles wissen, um dich einzustufen, dass du keine eventuell Gefahr für ihn darstellst. Falls doch und dies berechtigt ist, dann ist es gut, wenn der Staat dich hochnimmt. Falls es unberechtigt ist, ist dein Leben wahrscheinlich zerstört.

 

[TriggerThumb87]

Das ist ein aber schon ein bisschen Täter/Opfer-Umkehr.

Ich gebe dir halb Recht, werde aber altersdiskriminierend.
Jeder <40 müsste es besser wissen.
Jeder >40 hat tendenziell vom Nicht-Damit-Aufgewachsen-Sein keine Ahnung. Andererseits ist das auch die Generation gewesen, die hart gegen Telefonbücher etc. vorging.

Ich lege das einfach mal aus auf: Zum Erwachsenensein gehört auch, oder vielleicht gerade, sich nicht jeden Scheiß gefallen lassen zu müssen. Und Grundmisstrauen.

Letztendlich muss sich an der Gesetzeslage was ändern. Nicht jeder Bürger kann sich zum IT-Sicherheitsexperten weiterbilden.

Ist keine große Kunst, weil eigentlich nicht notwendig. Es reicht einfach "Nein" zu sagen, wenn jemand mit was ankommt.

 

[Banned]

Es reicht einfach "Nein" zu sagen, wenn jemand mit was ankommt.

Da wir hier aber leider in der vollends repräsentativen Demokratie leben, weißt du nicht, was die Pfeifen, die du gestern gewählt hast, in einem Jahr machen und kannst direkt auch nichts daran ändern.

Außerdem ist das hier fast schon ein Randproblem. Ich habe z.B. in den großen Medien bisher nichts von diesem Thema hier mitbekommen. Somit besteht bei ganz vielen leider kein Bewusstsein für das Problem und die damit verbundenen Konsequenzen.
Bei vielen zieht auch leider das Totschlagargument: Wenn du nichts zu verbergen hast, gibt es doch auch kein Problem.

Andererseits ist das auch die Generation gewesen, die hart gegen Telefonbücher etc. vorging.

😄

 

[TriggerThumb87]

Mir fiel auf, dass dasselbe Problem in zwei ideologische Stufen unterteilt wird:

1) Ich habe nichts zu verbergen, also ist das für mich kein Problem.
2) Du hast nichts zu verbergen, also ist es für dich kein Problem. Oder?

 

[AGB-Leser]

Wenn ich dir jetzt X Byte an Daten in den Post reinkopiere, weißt du nicht ob es:

• Irgendwann kennt man alle Programme und deren "Header"
• wenn es "Datenmüll" als abm sein soll, wird das ganze eine ganz einfache Lösung zur Folge haben:

Alles, was unbekannt ist, wird automatisch geblockt.
Die Anbieter sind zur Mithilfe der Aufklärung gesetzlich verpflichtet. Was heißt das? Damit die sich nicht zur Beihilfe strafbar machen, wird einfach alles geblockt, was nicht zuordbar ist.

Ergänzung (13. Juni 2021)

Ach ja:
Du kannst es schaffen, dass die die Verschlüsselung nicht knacken. Macht aber nichts. Es wird gespeichert, bis man's knacken kann. Paar Jahre später wirste von deiner Geburtstagsfeier "evakuiert", weil du vor ein paar Jahren mal was gemacht hast, was du wieder vergessen hast.

Und "Terroristen"? Denen ist das egal, die müssen sich nur verstecken, bis sie ihren Auftrag erledigt haben. Da spielt das keine Rolle, wenn das erst später ans Licht kommt.