ComputerBase Menü
Aktuelles

News Staatstrojaner: Neue Spähsoftware nicht für Smartphones geeignet

Tja unsere Sicherheitsbehörden. Bösartig, aber glücklicherweise auch sehr dumm ...
 
Cool Master schrieb:
Nope wie den? Es ist egal ob BND, NSA oder CIA die kochen alle nur mit Wasser. Ist etwas ausreichend verschlüsselt kann da nichts geknackt werden weil es einfach nicht die Rechenleistung dafür gibt.
Zum Vergrößern anklicken....

Da reicht ein kleiner Fehler bei der Implementierung und ...
Um mal ein aktuelles Beispiel von heute zu machen:
In der aktuellen Diskussion um Ende-zu-Ende-Verschlüsselung, scheinen "simple Schwachstellen auf Programmebene in Vergessenheit zu geraten", schreiben die Sicherheitsforscher. Um diese Schwachstelle auszunutzen, reiche etwas Basiswissen zu JavaScript, einen Hochschulabschluss in Mathematik benötige man nicht.

Eine Sicherheitslücke in der Nachrichten-App erlaubt einem Angreifer, die Datenbank mit sämtlicher Kommunikation des Opfers auszulesen, sobald dieses einen zugesendeten Link anklickt....

iMessage setzt seit Einführung des Kommunikationsdienstes auf Ende-zu-Ende-Verschlüsselung, Apple ist nach eigener Angabe nicht in der Lage, die Kommunikation auszulesen. Im Rahmen des automatisch aktivierten iCloud-Backups landet die iMessage-Kommunikation aber erneut auf Apples Servern – und dazu besitzt der Konzern den Schlüssel.

http://www.heise.de/newsticker/meld...auf-alle-Nachrichten-im-Klartext-3167921.html
Zum Vergrößern anklicken....
Menschen werden immer Fehler machen, das war in der Vergangenheit so und wird in Zukunft wohl auch so bleiben und dabei spielt es keine Rolle ob das Apple, Microsoft, "Linux", .... ist. Oder um es kurz zu machen 100% Sicherheit ...
 
Was das alles wieder kostet :'-(... es ist so traurig...
Aber für die Streife fehlen die Polizeikräfte.
 
@THOR

Es fehlt an so vielen Stellen und Lösungsvorschläge gibt es mehr als genug... blöd das die zumeist von der Linken kommen und sowas kann man ja überhaupt nicht umsetzen. Wo kämen wir da hin? Womöglich zu Gerechtigkeit und Wohlstand für alle, nicht nur für eine Elite.
Ok Elite klingt jetzt als wären sie was Besseres..., nennen wir die lieber Klicke.
 
Daher ist noch der Einsatz von einem weiteren Trojaner geplant, der von dem umstrittenen Unternehmen FinFisher entwickelt wird.

Das Kernproblem der Sicherheitsbehörden ist demnach: Der Trojaner läuft ausschließlich auf Windows-Systemen und ist dort auch nur in der Lage, die VoIP-Gespräche über Skype abzufangen.
Zum Vergrößern anklicken....

Doch eine Analyse vom Chaos Computer Club (CCC) aus dem Jahr 2011 hatte gezeigt, dass die Software so viele Mängel hatte, dass der Einsatz schlicht nicht mit den Vorgaben des Bundesverfassungsgerichtes zu vereinbaren war.
Zum Vergrößern anklicken....

Sind mir so beim drüber lesen aufgefallen.

@Topic: Wo hier der tolle Geheimdienst ins Spiel kommen soll, den hier einige nennen, keine Ahnung. BKA, nicht BND. Hab das schon mehrmalig bei ähnlichen Themen gesagt, Strafverfolgungsbehörden brauchen im Gegensatz zu Geheimdiensten eine schlüssige Beweiskette. Dem BKA bringt es daher wenig, wenn sie von BND, NSA und Co. Informationen bekommen die gerichtlich nicht verwertbar sind. Darum ja auch begründeter Verdacht und richterliche Anordnung vor dem Einsatz des Trojaners.
Und auch wenn ich der Meinung bin, dass es Möglichkeiten braucht um Ermittlungsbehörden in diesen begründeten Fällen auch auf die virtuellen Güter des Verdächtigen Zugriff zu gewähren, so ist eine versteckte Schadsoftware der beste Weg zum Missbrauch. Für gewöhnlich bekommt man eine Hausdurchsuchung ja auch mit, wo ist das Problem es mit der virtuellen Hausdurchsuchung ähnlich zu halten.

@Neuland: Warum man das Argument immer wieder raus kramt, weiß ich auch nicht. Aus Sicht der Gesetzgebung ist das Internet weltweit Neuland, mehr sollte die Aussage auch nicht bedeuten. Es gibt Gesetze die sind in der aktuellsten Form älter als das Internet an sich und deren Ursprünge finden sich vor hunderten, wenn nicht tausenden von Jahren. Kein Wunder also, wenn der ein oder andere Gesetzestext nicht gänzlich allen Möglichkeiten des Internets gerecht wird.
Nicht das ich Politiker für besonders kompetent oder nicht kompetent halten würde, aber mMn wird viel zu oft aus falschen Gründen auf sie eingehackt und die richtigen Probleme werden erst gar nicht erkannt.
 
user4base schrieb:
Da reicht ein kleiner Fehler bei der Implementierung und ...
Zum Vergrößern anklicken....

Dann wurde die Verschlüsselung immer noch nicht geknackt. Es wurde nur ein Fehler ausgenutzt. Die Verschlüsselung ist nach wie vor sicher. Schau dir Truecrypt an. Nicht knackbar...
 
Ach was, die Geheimdienste haben bestimmten einen lustigen Autisten, der alle Verschlüsselungen im Kopf berechnet. =D

*scnr*
 
Ist doch cleveres "Marketing":

Zu behaupten, es läuft angeblich nur bei Skype und Windows, ansonsten unbrauchbar....
In Wirklichkeit kann das "Ding" mit allem umgehen, was es an IT-Ausstattung gibt !

Oder glaubt ihr wirklich, dass Behörden ihre Inkompetenz freiwillig zugeben ??? :freak:
 
Zuletzt bearbeitet:
Mal angenommen dein Auto lässt sich mit einem Keyless Schlüssel/System (Keyless Entry) öffnen und starten. Dabei wird ein verschlüsseltes Codesignal/Verschlüsselungsverfahren eingesetzt, das ausreichend verschlüsselt ist. Diebe verlängern dieses verschlüsselte Signal und knacken so dein Auto. Dein Auto wurde gestohlen, es ist weg, es wurde geknackt, obwohl ausreichend verschlüsselt wurde

Cool Master schrieb:
... Ist etwas ausreichend verschlüsselt kann da nichts geknackt werden weil es einfach nicht die Rechenleistung dafür gibt.
Zum Vergrößern anklicken....
Und jetzt nochmal zum Vergleich das bereits gemachte Beispiel:
user4base schrieb:
In der aktuellen Diskussion um Ende-zu-Ende-Verschlüsselung, scheinen "simple Schwachstellen auf Programmebene in Vergessenheit zu geraten", schreiben die Sicherheitsforscher. Um diese Schwachstelle auszunutzen, reiche etwas Basiswissen zu JavaScript, einen Hochschulabschluss in Mathematik benötige man nicht.
http://www.heise.de/newsticker/meld...auf-alle-Nachrichten-im-Klartext-3167921.html
Zum Vergrößern anklicken....
Auch hier wurde ausreichend verschlüsselt und dennoch
user4base schrieb:
Eine Sicherheitslücke in der Nachrichten-App erlaubt einem Angreifer, die Datenbank mit sämtlicher Kommunikation des Opfers auszulesen...
Zum Vergrößern anklicken....


Cool Master schrieb:
Dann wurde die Verschlüsselung immer noch nicht geknackt. Es wurde nur ein Fehler ausgenutzt. Die Verschlüsselung ist nach wie vor sicher. Schau dir Truecrypt an. Nicht knackbar...
Zum Vergrößern anklicken....
Dein Auto wurde "geknackt", deine Daten wurden "gestohlen" aber die Verschlüsselung ist nach wie vor sicher, es wurde nur ein Fehler ausgenutzt.

Allgemein zu Software die Verschlüsselungsalgorithmen einsetzen.
Dann hätte man sich eigentlich das Sicherheits- Audit bei der Software TrueCrypt sparen können, denn die eingesetzten Verschlüschelungsverfahren gelten nach wie vor als nicht gebrochen. Somit ist dann jedes Programm, jede Software welche nicht gebrochene Verschlüsselungsalgorithmen verwendet sicher, nicht knackbar? Nebenbei fand man 4 Fehler, zwei davon gelten als schwer. (Im Bootloader und im Windows-Kernel-Treiber wurden 11 Fehler gefunden). Zudem: http://www.heise.de/security/meldung/VeraCrypt-entledigt-sich-alter-Sicherheitsluecken-2832494.html
Ich verwende unter anderem auch Truecrypt, aber pauschal zu sagen es sei (unter keinen Umständen) nicht knackbar, weil die verwendeten Verschlüsselungsalgorithmen im Allgemeinen zur Zeit als nicht als gebrochen gelten und das noch ohne dabei auf die dafür unerlässliche Bedingungen einzugehen .....


„Knackbar“ trotz nicht gebrochener Verschlüsselungsalgorithmen
Zur Erinnerung:
Der Heartbleed-Bug ist ein schwerwiegender Programmfehler in älteren Versionen der Open-Source-Bibliothek OpenSSL, durch den über verschlüsselte TLS-Verbindungen private Daten von Clients und Servern ausgelesen werden können….

Abgesehen von möglicherweise abgegriffenen Zugangsdaten (Benutzernamen, Passwörter) kann mit dem privaten Schlüssel des Serverzertifikats ein, auch lange vor dem Bekanntwerden des Fehlers, aufgezeichneter Datenverkehr nachträglich entschlüsselt werden, sofern die Verschlüsselung nicht mit Perfect Forward Secrecy geschützt war. Außerdem können mit dem privaten Schlüssel des Serverzertifikats Man-in-the-middle-Angriffe durchgeführt werden, sofern das Serverzertifikat noch nicht abgelaufen oder widerrufen ist. Es können alle Dienste betroffen sein, wie beispielsweise E-Mail-Verkehr oder verschlüsselte Chats, sofern eine betroffene OpenSSL-Version verwendet wurde.
Zum Vergrößern anklicken....

oder
"goto fail"... Der Fehler betreffe die SSL-Implementation von Mac OS X 10.9.1 (Mavericks), das vor mehr als zwei Monaten am 17. Dezember 2013 veröffentlicht wurde. Er erlaube sogenannte Man-in-the-middle-Angriffe, bei denen Mails, Kreditkarten-Nummern und andere Daten abgefangen werden können, die vermeintlich sicher über eine SSL-Verbindung (dazu zählen auch HTTPS-Verbindungen) ausgetauscht werden. Dazu klinkt sich der Angreifer in die Verbindung ein, entschlüsselt den Inhalt der Verbindung und kann diese nach Belieben kopieren, austauschen und neu verschlüsseln. Die Zertifikatüberprüfung in Apples SSL-Implementierung wird durch den Bug einfach übergangen, ein Signatur-Check findet nicht statt.
Zum Vergrößern anklicken....

Es habe ihn keinen ganzen Tag gekostet, mit seinem Tool mitmproxy Apples fehlerhafte SSL-Implementierung auszunutzen, berichtet der Sicherheitsforscher Aldo Cortesi in einem Blogeintrag am Dienstag. Auf diese Weise konnte er HTTPS-Verbindungen von iOS-Geräten (außer mit iOS 7.0.6) und Macs mit OS X 10.9 Mavericks abhören – und "fast allen" verschlüsselten Traffic vollständig mitschneiden, inklusive der Benutzernamen und Passwörter, betont Cortesi.
Zum Vergrößern anklicken....


Mögliche Schwachstellen bei der SSL-Implementierung können: in den Protokollen, den SSL-Bibliotheken, den Middleware-Komponenten, in den Anwendungsprogrammen, in den Apps… sein

Beispiele gäbe es noch zur genüge, die deine Aussage widerlegen:
Cool Master schrieb:
... Ist etwas ausreichend verschlüsselt kann da nichts geknackt werden weil es einfach nicht die Rechenleistung dafür gibt.
Zum Vergrößern anklicken....

https://de.wikipedia.org/wiki/FREAK_(Sicherheitslücke)
...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SVΞN
News Lenovo Tech World 2022: OLED für Smartphones und Notebooks lässt sich ausrollen
Antworten
19
Aufrufe
2.902
lorpel
L
nlr
News EMUI 11: Huawei plant Update für 14 Smartphones in Deutschland
2
Antworten
33
Aufrufe
17.059
Floppy5885
Floppy5885
Andy
News Überwachung: Staatstrojaner bislang noch nicht im Einsatz
2
Antworten
21
Aufrufe
4.199
blue.chilli
blue.chilli
DevPandi
Leserartikel Kühler- gegen Steckergate: DevPandis Hin und Her
2 3 4
Antworten
72
Aufrufe
16.361
Robman86
Robman86
XMG Support
[Sammelthread] XMG APEX and XMG CORE (2023) mit AMD Ryzen 7000 und RTX 4050/4060/4070
Antworten
14
Aufrufe
3.442
JBJHJM
J

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz