CMDCake schrieb:
Wird ein Staatstrojaner, sofern denn flächendeckend ausgerollt, denn nicht schon durch verpflichtende Kooperation der Hersteller in Deutschland schon tief in Firmware integriert?
Solange nicht vollumfänglich bekannt ist wie der Staatstrojaner funktioniert und wie und wo er implementiert ist, ist das wohl eine schwer zu beantwortende Frage nehme ich an.
Das ist richtig - in der Vergangenheit war das zB ein Produkt der Firma FinFisher, wenn ich mich nicht irre. In der Regel sind das keine Eigenentwicklungen, sondern eingekaufte Produkte, da der Staat vermutlich nicht genug Ethisches Schmiergeld an die Entwickler zahlen kann (An Tarifverträge des ÖD gebunden), die Externen Zulieferer können da aber tiefer in die Tasche greifen, um auch etwas moralischere Entwickler zu ködern.
Axxid schrieb:
Wenn ich mich recht erinnere ist die sicherste Methode ein Linux-System von dem ein Produktivsystem und ein Internetsystem jeweils in getrennten VMs laufen.
Am sichersten - kann man nur schwer sagen. Aber ja, das Konzept ist aktuell wohl das praktikabelste was wir haben. Beispiel für die Umsetzung wäre da QubesOS. Fedora/Xen als Basis-System, und darauf laufen alle Anwendungen in VMs.
master_0815 schrieb:
Ich weiß nicht ob VMs in Zeiten von Sicherheitslücken in CPUs etc. ein probates Mittel sind
Diese Schwachstellen waren bisher alle via Software-Mitigation behebbar. Es gab dann zwar Performanceeinbußen, die Lücken waren soweit aber alle gefixt. Insofern - solange das System aktuell/geptacht ist, sind diese Schwachstellen soweit kein Problem - es sei denn, es gibt neue, die nicht bekannt sind -> 0-Day.
Bartmensch schrieb:
Ich bezweifle, dass Linux allein reichen würde.
So ziemlich jede Linux-Distribution baut die Software selbst, die sie in ihren freien Repos hat. Du müsstest also die Maintaner aller (großen) Distributionen dazu bringen, den Schadcode in diese Software einzubringen. Wenn die Entwickler das tun würden, wäre das Zeug gleichzeitig oft auf Github und würe auffallen.
Wenn der Maintaner das einbaut bevor er das Paket für die Repo der jeweiligen Linux-Distro kompiliert, würde das ggf. in der Dateigröße auffallen, und in Zukunft durch reproduzierbare Software-Builds sowieso sofort auffallen.
Bartmensch schrieb:
Denn selbst Tor Browser und VPN werden nicht verhindern können, dass euer ISP weiß, wann und wie ihr ins Netz gegangen seid.
Wann und wie - aber nicht, was oder wen ich kontaktiert habe. Das ist kein Schwarz/Weiß, dazwischen ist auch noch ein großer Interpretationsspielraum. Wenn der Traffic das Tor-Netz gar nicht verlässt, weil ich auch nur Tor-Websites aufrufe, wird es sehr sehr schwer das zu tracken. Das macht die NSA aktuell in einzelfällen bei Terroristen, aber das bei größeren Mengen von deutschen, die der deutschen Regierung auf die Nerven gehen? Erstmal nicht. Und die USA sind selbst daran interessiert, dass Tor nicht zu sehr aufweicht, weil sie selbst drauf angewiesen sind. Ist immernoch ein ehemaliges DARPA Projekt, und wird weiterhin von dort gefördert (mit Geld).
feidl74 schrieb:
wie soll ich damit umgehen? belustigt, das du und andere medien vergesst, das dies nur bei Gefahr in Verzug geschieht. somit berührt es mich genau gar nicht, da ich weder große drogengeschäfte plane, noch irgendwelche dubiosen steuertricks, noch plane ich Attentate, seis in menschengruppen fahren oder mit Drohnen auf AKWs stürzen...
and now god bless you^^
Nö. Nach dem aktuellen Gesetz reicht es, wenn ein Polizist der Meinung ist, dass das angebracht ist. Daher sollte man die Texte entsprechend lesen. Das heißt auch, dass der Vater deiner Ex sich deinen PC anschaut, ob du ggf. noch Bilder von dir und deiner Ex hast. Ich unterstelle jetzt mal niemandem was, aber das wäre theoretisch möglich, und ähnliche Fälle gab es bereits, und das trotz der Tatsache, dass das verboten ist/war.
Und dass auch in DE Menschen mundtot gemacht werden, wenn sie den Staat nerven, ist spätestens seit zB Gustl Mollath bekannt. Daher bitte auch keine Kommentare, dass wir sowas in DE gar nicht haben, weil wir demokratisch sind. Das ist passiert, bei uns, in Deutschland, während wir alle "zugeschaut" haben - und es juckt niemanden.
Syndlogic schrieb:
Wenn der Staat oder seine Behörden dich überwachen wollen (und auch einen Grund dafür haben),
dann werden die schon Möglichkeiten haben, das zu tun ohne das du davon was mitbekommst.
Ich glaube nicht, das sich NSA, CIA, BKA oder LKA von 0815 User austricksen lassen.
Das ist auch nicht das Problem (Also nicht das Problem dieses Threads hier). Im neuen Gesetz geht es darum, dass ein Polizist das machen darf, ohne überhaupt einen Beweis zu haben. Ohne Gerichtsbeschluss. "Einfach so". Und wenn die Infrastruktur dafür steht, und die Polizei es darf - glaubst du wirklich, das wird nicht gemacht?
Es geht nicht um Einzelfälle, die ich bzw. auch nachvollziehen kann. Es geht darum, das flächendeckend für die gesamte Bevölkerung auszurollen, ohne jegliche Beschränkungen oder Voraussetzungen.
Wie oben erwähnt - Vater vom Ex ist Polizist und durchsucht deinen PC nach Bildern von dir und deiner Ex. Ist dann problemlos legal machbar, der Vater/Polizist sagt einfach, du hättest mal was angedeutet im Gespräch -> Anfangsverdacht -> legal -> Du machst 0 dagegen. Nichts.
|SoulReaver| schrieb:
Wenn du nichts zu verbergen hast musst du dir auch keine Gedanken machen. Ladest du illegal XY herunter, machst du krumme Geschäfte oder bis bei einer kriminellen Vereinigung solltest du dir in der Tat Gedanken machen.
Biocid schrieb:
Ich bin bereit meine Daten zu 100% mit dem Staat zu teilen.
Finde es eher mehr als bedenklich das sich Kriminelle hinter "Datenschutz" oder "Persönlichkeitsrechte" verstecken können.
Da fehlen mir echt die Worte zu.
zazie schrieb:
Frage in die Runde: Wäre es sinnvoll, in Zukunft für den unentbehrlichen Kontakt mit dem Internet einen Raspberry zu konfigurieren, dessen BS und SW bei jedem Start des Geräts ab schreibgeschütztem Image neu installiert wird?
Natürlich wäre das eine Minimalkonfiguration, mit Kernelementen Damn Small Linux (oder ähnlich) ab Stick, TOR und VPN.
Oder bin ich naiv?
Praktikabler wäre es wohl, wenn du dir kompatible Hardware kaufst und QubesOS im Zusammenspiel mit Whonix benutzt (Oder dir sowas selbst auf Basis von Debian/Fedora zusammenbaust).
|SoulReaver| schrieb:
Ganz ehrlich? Erklärt mir doch mal bitte wie ihr Kriminelle Vereinigungen dich ihr Machtwerk ins Internet gelegt haben. Hacker die es sich zur Aufgabe gemacht haben Konzerne, Banken und auch versuchen die Stromversorgung im Land zu hacken lahm zu legen erwischen wollt. Drogenkartelle, Frauenhandel und und und alles verlagert sich mehr und mehr ins Darknet. So und jetzt bitte erklärt doch mal wie ihr das alles von unserem Land und den guten Bürgerinnen und Bürger fern halten wollt? Ihr wollt immer alle Freiheit und ein gutes Leben haben nur der Preis dafür ist manchmal etwas höher.
Ich will lieber meine Freiheit behalten, als diese für Sicherheit aufzugeben. Was wir vor 2-3 Jahren hatten, fand ich soweit eigentlich ein gut vertretbares Mittelmaß. Das kann jeder so sehen, wie er will. Fakt ist aktuell aber, dass die Polizei jetzt schon massiv überfordert und unterbesetzt ist, und mit den Zusätzlichen Berechtigungen nur wenig anfangen kann. Gleichzeitig bieten diese Berechtigungen aber weitrechendes Missbrauchspotenzial. Das Problem, weshalb all diese Gesetze für den eigentlich bestimmten Zweck nichts bringen, ist ganz einfach: Personalmangel bei den Ermittelnden Beamten und Personalmangel in der Justiz.
Statt Milliarden für den BER, S21, die Autobahn-GMBH, die Maut, ... auszugeben, sollte man das Geld einfach mal in Stellen für besagte Positionen werfen. Das würde bedeutend mehr bringen, als freidrehende Politiker mit ihren Weltfremden, Menschenverachtenden Gesetzen. Und viele Informatiker würden sich nicht (zurecht) so aufregen, weil ihre Grundrechte abgeschafft werden.
BeBur schrieb:
Normale Downloads haben keine entsprechende Prüfsumme/Signatur und sind ja ein zentraler Angriffsvektor hier. Auch Smartphone-Kram hat sicherlich oft genug keine Signatur.
Ist ja schlicht eingekaufte Software die weltweit verkauft wird, soweit ich weiß.
Letzter Satz ist korrekt - aber wenn du (egal welches) Linux benutzt, werden alle Software-Downloads, die du über die Repo machst, sehr wohl via Signatur verifiziert. Man müsste also die gesamte Distribution sabotieren, was nochmal eine ganz andere Hausnummer ist, als einzelne Personen zu überwachen.
TriggerThumb87 schrieb:
Dann müsste man auch mal in den Browsern die Zertifikatsketten aufräumen. Da sind einige Root-Zertifikate drin, die ich als definitiv nicht vertrauenswürdig einstufe.
Banned schrieb:
Wenn die ISP kooperieren müssen, dürfe es doch recht leicht sein, den Trojaner über den Router auf den PC zu bekommen, oder nicht?
Kommt drauf an. Mittlerweile läuft alles via SSL/HTTPS, du musst also irgendwie das Zertifikat getauscht bekommen. Das geht in der Theorie, in der Praxis wird es aber immer schwerer, weil hauptsächlich Google da sehr strikt in Richtung Certificate Authorities schaut und Regeln vorgibt, und diese zusammen mit Mozilla auch relativ hart durchzieht. Da mittlerweile praktisch nur noch Chromium und Firefox nennenswerte Nutzerzahlen haben, und der überwiegende Teil Chromium benutzt, hat Google hier ziemlich freie Hand, was das angeht. Hat positive Seiten und negative. Positive ist, dass Google durch viele Entwicklungen solche Sachen viel schwieriger gemacht hat als früher.
Und spätestens wenn man vorsichtig ist, und seine Software zB nur selbst compiled aus einem Git-Repo, oder einfacher: Einfach eine Distro nimmt die entsprechend selbst sehr vorsichtig/groß ist (Debian, Fedora zB), wird das sehr sehr schwer. Quasi jede Linux-Distro checkt nach dem Download und vor der Installation via GPG-Signatur, ob das Paket auch korrekt geladen wurde / nicht verändert wurde. Unter Windows muss man "nur" https umgehen, unter Linux musst du die Maintainer dazu bringen, kaputte Software zu compilen, zu signieren und auszuliefern. Das geht bestimmt auch, ist aber nochmal eine ganz andere Hausnummer.
TriggerThumb87 schrieb:
Auch unrealistisch.
Wer bezahlt die Infrastruktur? Wo soll die herkommen? Woher soll der Staat die fachliche Expertise zur Aufstellung und Verwaltung herbekommen?
Bei uns ist das richtig, aber bei den Amis sieht man schon was man machen kann, wenn man etwas Geld ausgibt: Das
NSA Datacenter in Utah ist genau dafür gebaut worden.
"Der prognostizierte Speicherplatz der Anlage variiert je nach Angaben zwischen einem Yottabyte (siehe Spiegel[12] – das entspräche beim genannten Anlagenpreis ca. 0,17 cent pro Terabyte), 5 Zettabyte[13] oder nur ca. 3–12 Exabyte (siehe Forbes etc.[14] mit einem Preis von ca. 170 Dollar pro Terabyte). Umgerechnet auf die Weltbevölkerung entspräche dies einem Datenvolumen von etwa 0,38 und 1,53 Gigabyte pro Person. "
Die Daten sind schon was "älter" in IT-Zeit, da wird mittlerweile noch mehr reinpassen nehme ich an.
Zum Threadersteller:
akosti schrieb:
Meine Frage hierzu wäre wie ihr damit umgeht?
Ich habe eigentlich nichts zu verbergen.
Wie kann man sich vor solchen Staatstrojanern schützen?
akosti
Schwer zu beantworten. Da die Bundesregierung die Software zukauft, kann man sich nicht darauf verlassen, dass das nur Stümpersoftware ist. Da sitzen also keine demotivierten Beamten, sondern allerhand Menschen die entweder nie Moral hatten, oder diese für ein gutes Gehalt über Bord geworfen haben.
Prinzipiell wäre wohl ein Weg, auf eine aktuelle Linux-Distro umzusteigen. Wie schon öfter in meinem Post erwähnt, wären das zB Debian, Fedora, Ubuntu, ...
Keine Software von unbekannten Quellen laden, Software immer up2date halten. Im Zweifel kann man direkt auf Qubes umsteigen, oder sich selbst etwas ähnliches aufbauen, wenn man den Maintainern von Qubes nicht traut. Sind schließlich nicht besonders viele, aktuell insgesamt 12. Bei Debian sind es 2019 laut Wikipedia 1003 "Stimmberechtigte" Entwickler bei Debian gewesen. Auf der einen Seite: Viele Köche verderben den Brei. Bei 1003 ist es leichter jemand erpressbaren zu finden als bei 12. Auf der anderen Seite fallen dort aber dann auch schneller Probleme auf.
Generelle Infos dazu zB:
https://www.qubes-os.org/intro/
https://privacy-handbuch.de/index.htm
https://prism-break.org/de/
