Webcam & Mikrofon sicher deaktivieren

[Rawbit]

Hallo,

um das Problem "Ausspähen mittels Webcam"

http://www.facto24.de/?p=3956

zu verhindern, gibt es unter Debian die Möglichkeit,
Webcam & Mikrofon temporär sicher zu deaktivieren ?

Gruß

Aajnmueller

[Saxman]

Als extrem sicher wird das ziehen des USB Kabels erachtet.

Ansonsten ist zuerst einmal die Frage zu beantworten: Wie kommt der Böse Bube überhaupt auf deinen PC?

[George Mason]

ja, und Klebeband vor die Kamera. Und, installiere keine Fernsteuerungs-Software.

[Rawbit]

Hallo,


wir haben halt nur Webcams im Lappy ohne Kabel.
Ist ein Zugriff über z.Bsp. Browser-Erweiterungen, Add-on`s etc. durch "Böse Buben" denkbar oder ehr unwahrscheinlich ?
Könnte man solche Aktivitäten dann mit z.Bsp. Wireshark bemerken ?

Mir würde halt reichen, sicher zu deaktivieren ohne die Treiber bzw. Module zu entfernen
und den Status der Geräte zu prüfen, am Lappy ist ja auch keine Signal-Leuchte ...



@ George Mason:
Zukleben der Cam ist o.k. aber das Mikro ?

Gruß

Aajnmueller

[schorsch_76]

Meiner Meinung nach ist die sicherste Methode unter Linux das entladen des Kernelmodules, bzw. das blacklisten der entsprechenden Module.
Unter Windows ist die sicherste Methode das deaktivieren des Treibers.

Für beide OS könnte man noch die Webcam/Soundkarte im BIOS deaktivieren.

Das Mikrofon allein zu deaktivieren ist mir nicht bekannt. Nur eben in den Soundeinstellungen das Mikro ganz leise stellen.

Gruß

schorsch

[Teddybear]

Ist ein Zugriff über z.Bsp. Browser-Erweiterungen, Add-on`s etc. durch "Böse Buben" denkbar oder ehr unwahrscheinlich ?

Klar ist das möglich... der Prominenteste Vertreter wäre da wohl Flash.

[Saxman]

Eine Möglichkeit den Browser von der Webcam fern zu halten wäre wohl einen eigenen Benutzer für das Surfen anzulegen und diesem keinerlei Gruppenrechte auf video,audio,voice & co zu geben.

Diesen User kann man noch beliebigen weiteren Restriktionen unterwerfen.
Wenn man das auf die Spitze treibt hat man einen recht gut abgeschotteten Benutzer nur zum Surfen. Ich handhabe das schon seit ziemlich langer Zeit so. In unserem wiki ist auch irgendwo ein ähnlicher Ansatz beschrieben.

[Rawbit]

Hallo !

Ich habe flash jetzt mal entfernt ....

Wäre es auch eine Möglichkeit, Iceweasel in
einem chroot laufen zu lassen ?

http://forums.debian.net/viewtopic.php?f=16&t=18001


Gruß

Aajnmueller

[Saxman]

Wäre es auch eine Möglichkeit, Iceweasel in
einem chroot laufen zu lassen ?

Möglich ist das schon. Du mountest allerdings /dev ins chroot, insofern kann iceweasel auf die Geräte zugreifen solange der Benutzer unter dem du iceweasel ausführst die notwendigen Gruppenrechte besitzt.

[wanne]

Ich würde sagen, kein Java(script); kein Flash und keine Softwer von außerhalb der Quellen und du bist ziemlich sicher.

[Rawbit]

Hallo und Danke für Eure Tipps,


was haltet Ihr von Virtual Box mit einem guest debian und den
user-einschränkungen ?
Für mich ist ein chroot kompliziert.


Gruß

aajnmueller

[Saxman]

was haltet Ihr von Virtual Box mit einem guest debian und den
user-einschränkungen ?
Für mich ist ein chroot kompliziert.

Mit persönlich wäre das zuviel Overhead, aber das Ziel erreichst du damit, solange du die Geräte nicht in den client durchschleifst.
Hier ist im übrigen die Anleitung im wiki die Ich weiter oben erwähnt hatte. Mit gksu geht das allerdings unter gnome etwas komfortabler als da beschrieben.

[mcdaniels]

Hey!
Wenn man die Cam im Bios abschalten kann, dürfte auch das eine recht sichere Variante sein. Allerdings glaub ich persönlich dass der größte Unsicherheitsfaktor noch immer der Anwender ist (der nicht berrechenbar ist).

Desweiteren stellt sich zumindest für mich die Frage, ob sich für den einzelnen ein solcher Aufwand überhaupt lohnt...

LG

[Saxman]

Desweiteren stellt sich zumindest für mich die Frage, ob sich für den einzelnen ein solcher Aufwand überhaupt lohnt...

Natürlich lohnt es sich das System abzusichern. Und der Aufwand wird in der Regel überschätzt. Nach der eigentlichen Implementierung ist der Aufwand nicht höher als ohne Absicherung wenn man denn einige Abläufe automatisiert. (Ich klick hier auch nur ein Knöpfchen um meinen Browser im "Paranoia Modus" zu starten .)

[Rawbit]

Hallo,

ich halte eine bestmögliche Absicherung für absolut wichtig und notwendig,
leider ist als user schwierig, Gefahren zu erkennen & zu bannen.

@Saxmann

Ich habe nun einen User angelegt und starte diesen mit su auf der Konsole
oder gksu mit Passwort-Eingabe (brauche ich hier ein Passwort ?)
Vorher gebe ich xhost + als user ein.
Dann gebe ich als Startbefehl Iceweasel an.
Wie hast Du das mit dem "einen Knopf drücken" erreicht ?

Ich habe hier noch Probleme:

<<<<<<<<<<<<<<<<<
Der Konfigurationsserver konnte nicht kontaktiert werden; mögliche Fehlerquellen sind, dass TCP/IP für ORBit nicht aktiviert ist oder auf Grund eines Systemabsturzes alte NFS-Sperren gesetzt sind. Unter http://projects.gnome.org/gconf/ erhalten Sie weitere Informationen (Details – 1: Verbindung zur Sitzung konnte nicht abgerufen werden:
<<<<<<<<<<<<<<<<<<<

und (wahrscheinlich die Ursache)

** (firefox-bin:6130): WARNING **: Owner of /tmp/orbit-duck is not the current user

(firefox-bin:6130): GnomeUI-WARNING **: While connecting to session manager:
None of the authentication protocols specified are supported.

Gruß

aajnmueller

[mcdaniels]

@saxman: Systemabsicherung ja, aber betreffend Webcam hätt ich da nicht so die Paranoia...

[Saxman]

Ich starte das so

Code: Alles auswählen

/usr/bin/gksu -u inix "opera -nolirc"

Das Passwort wird vom gnome Schlüsselbund verwaltet.
Der user ist in keiner nennenswerten Gruppe, sein home ist noexec,nodev,nosuid. Der browsercache liegt auch mit noexec,nodev,nosuid im tmpfs. Er hat restriktive Vorgaben in der limits.conf, darf sich nicht remote einloggen und hat keinerlei Zugriffsrechte auf meine Privatdateien. Außerdem sind einige seiner Dateien +i oder +a (man chattr) und bestimmt hab Ich dem noch irgendwelche Ketten angelegt an die Ich gerade nicht denke.

@ mcdaniels
Der Paranoide überlebt

[uname]

Am wichtigsten wäre etwas mehr Medienkompetenz.

Den Trojaner habe der Mann aus dem Rheinland den Schülerinnen durch E-Mails mit gefälschtem Absender als Bildschirmschoner untergeschoben.

Naja und mit Linux wäre das in der Form sowieso nicht passiert.

[cosmac]

hi,

Naja und mit Linux wäre das in der Form sowieso nicht passiert.

da wäre ich nicht so sicher...

You don't need to be root to 0wn someone

How to write a Linux virus in 5 easy steps

[uname]

da wäre ich nicht so sicher...

Mag sein. Aber wie so oft entspricht Debian nicht der IT-Monokultur des Weltmarktführers, so dass der Angriff fehlschlägt. Mir hat noch nie jemand ein Shell-Script oder ein Linux-Binary zugemailt. Würde mich wirklich mal darüber freuen, um es in einer VM zu analysieren. Wie gesagt: Medienkompetenz . Vielleicht nicht so viel Office in der Schule unterrichten, sondern IT-Sicherheit.

[Rawbit]

Hallo,

ich habe jetzt Saxman's Tipp befolgt und nach der obigen Anleitung eingerichtet.
Die Fehlermeldungen sind weg und ich kann Iceweasel mit einem Button ohne
login starten.
Das mit dem chroot versuche ich später, da ich hier noch nicht so recht durchblicke.
Die Lösung VM habe ich nicht umgesetzt, da die Installation von Squeeze im
VM nicht sofort klappt (Netzwerk nicht erkannt & Probleme bei der Partionierung).
Hier wollte ich 32-Bit Squeeze installieren (mein Rechner ist ein AMD-64), um flash
als 32-Bit zu installieren.

Ich habe nun flash nach
http://wiki.debian.org/FlashPlayer
installiert und hoffe nun, hier möglichst sicher zu sein.

Danke nochmals für alle Tipps !!!


Gruß

aajnmueller

[Rawbit]

Hallo,
@Saxmann:

Ich bin ja nach der Anleitung Anlegen webuser
vorgegangen. Ich habe eine eigene Parition für
den user angelegt und als /home/webuser verschlüsselt
gemountet.
Aus /etc/fstab

#home webuser sicher surfen
UUID=9ba3a1fd-9166-4302-a88e-cc4b0e7e5ff2 /home/webuser ext3 defaults,auto

Wenn ich aber in fstab noexec eintrage, kann das script /home/webuser/start_appl
ja nicht gestartet werden.

Wie hast Du das denn gelöst ?

Gruß

aajnmueller

[Saxman]

Wie hast Du das denn gelöst ?

Gar nicht, weil sich mir dieses Problem nicht stellt, da Ich das wie gesagt ein wenig anders gelöst habe.
Aber da mein /home generell noexec & Co trägt packe Ich solche Scripte immer nach /usr/local/bin
/usr ist bei mir im übrigen auch ro gemountet

[Rawbit]

Hallo,

hier nun als Ergebnis "my way"

Erstellung einer verschlüsselten
Partition mit cryptsetup,
diese wird unter /home/internetuser gemountet
mit nosuid, noexec, nodev.
Anlegen des Users "internetuser" ohne Gruppen-
zugehörigkeit mit der angelegten Partition als home.

Ich habe mich für ssh -X entschieden, um iceweasel
ohne Eingabe eines Passworts als internetuser zu starten:

ssh -X internetuser@localhost iceweasel

Wenn ich flash mit Ton nutzen möchte, muss
der Internetuser nur in die Gruppe "audio"
aufgenommen werden.

Nochmals Danke für Eure Tipps!

Gruß

Aajnmueller