Digitale Selbstverteidigung

[cougar]

... und man wird nichts tun können um sich dem zu entziehen. Egal ob Windows oder Linux, meinetwegen noch ein altes OS/2 nutzen oder nur DOS... das einzige was man tun kann um dem zu entgehen ist sämtlichen Geräte wie Handy, Smartphone, Computer etc. den Stecker ziehen, Konten auflösen und alles nur noch in Bar abwickeln (aber da ist man ja bereits bemüht diese Möglichkeit ebenfalls abzuschaffen), das schöne Auto, nichts weiter als rollende Computer, gegen einen alten /8 zu tauschen, Kreditkarten und/oder EC Karten zerschnibseln, einen Arzt für den Fall der Fälle suchen der einen gegen bares behandelt und in dessen Kartei man nicht auftaucht, keinerlei Zeitungs-Abo's, andere Medien-Abo's wie z.B. Sky weg, selbst modernste Holzvergaser zum Heizen sind Computer gesteuert, wer weiss was da raufgespielt werden kann, abfragen kann man die jedenfalls auch von weiter weg, das gleiche mit Photovoltaikanlagen usw usw... man kann dem nicht entgehen außer man zieht in eine Höhle und bekommt das was man zum Leben braucht durch das klöppeln von Seegrasarmbändern die man in einsamer Gegend verkauft, in Gegenden in denen ordentlich was los ist, nennen wir es mal so, wird bzw. werden Kameras mit Gesichtserkennungssoftware einen ansonsten schon rausfiltern.... ach ja, das mit den einsamen Gegenden funktioniert auch nicht, die Satellitenkameras sind tatsächlich richtig gut, auch deren Nachtsichtfunktion...
Wenn man das realistisch betrachtet gibt es nichts womit man verhindern kann das man ausgespäht wird, Bewegungsprofile erstellt werden anhand derer "einem ans Bein gepinkelt" werden kann, ob gefälscht oder falsch ausgelegt oder echt. Wir werden es nicht mehr erleben dass es auch mal wieder anders wird, außer irgendjemand zieht den ganz großen Stecker, sprich EMP für die ganze Welt und dann (Filmzitat) :"Willkommen in der Steinzeit". Daran ändert auch kein Spruch oder eine tatsächliche Meinung wie "Internet verrecke" etwas.
Zweite Möglichkeit wäre noch nach einer Europa- wenn nicht Weltweiten Revolution findet ein Umdenken statt was aber mit der aktuell "herrschenden Elite" nicht passieren wird, auch hier unabhängig von Bedingunslosem Grundeinkommen, bei welchem sich schon was dabei gedacht wird, oder anderen Spielereien wie die komplette Umverteilung von Geld, Menschen und Ressourcen, auch das würde nur mit Vorsatz passieren bzw. passiert grad bei dem erneut der einzelne den kürzeren ziehen wird.
Und es gibt ja bereits den implantierbaren Chip und die verblödete Menschheit ist in Teilen davon begeistert, ermöglicht es doch z.B. bargeldloses Zahlen, automatisches Aufschliessen der Haustür usw., das Auto erkennt den Fahrer, weiss was um die Ecke passiert bevor der Fahrer es sieht dank Vernetzung und auch hier rufen wieder alle Hurra.
Ich glaube man braucht sich keinen großen Kopf um den Staatstrojaner zu machen, der vereinfacht nur das ein oder andere etwas, einen Schutz davor gibt es nicht... Orwell war tatsächlich ein hoffnungsloser und völlig weltfremder Optimist

[kruhling]

Leider hast du vollkommen recht. Das wird so sein und die Mehrheit der Menschen versteht nicht, was das bedeutet. Ich will jetzt nicht arrogant daher kommen, aber ich habe schon sehr viele Gespräche dazu geführt, die alle ziemlich fruchtlos waren.
Dazu gibt es einige sehr spannende Thriller, falls jemand Interesse hat...

Orwell war dagegen nicht gerade harmlos aber die Technik eröffnet wöllig neue Möglichkeiten.

Schöne neue Welt.

[MSfree]

Gegen den Staatstrojaner hilft dann wohl nur noch eine Live-DVD

Nein, die hilft auch nicht. So ein Staatstrojaner wird als Rootkit im UEFI versenkt und ist dort auch nur durch wegwerfen des Mainboards wieder loszuwerden.

[ViNic]

Schwarzmalen sollte man auch nicht, außer wenn es mal soweit ist. Was die Zukunft bringt weiß kein Mensch. Vor 20 Jahren haben wir uns die heutige Welt wunderlicher und schwärzer vorgestellt, und es kam ja doch anders.

[urkle]

Gegen den Staatstrojaner hilft dann wohl nur noch eine Live-DVD

Nein, die hilft auch nicht. So ein Staatstrojaner wird als Rootkit im UEFI versenkt und ist dort auch nur durch wegwerfen des Mainboards wieder loszuwerden.

Ist das auch für alte BIOSe gültig?

[MSfree]

Ist das auch für alte BIOSe gültig?

Nein, aber das alte BIOS stirbt langsam aus. Im Handel gibt es jedenfalls keine Hardware mit BIOS mehr zu kaufen.

Der neueste Rechner mit BIOS, den ich habe, ist inzwischen 8 Jahre alt.

[urkle]

Nein, aber das alte BIOS stirbt langsam aus. Im Handel gibt es jedenfalls keine Hardware mit BIOS mehr zu kaufen.

Der neueste Rechner mit BIOS, den ich habe, ist inzwischen 8 Jahre alt.

Gibt es für PC mit einem BIOS dann eine andere Form von Angriff oder kann man diese als "etwas weniger gefährdet" betrachten? Welche Hardwaregeneration war denn die letzte mit einem BIOS?

[cougar]

Schwarzmalen sollte man auch nicht, außer wenn es mal soweit ist. Was die Zukunft bringt weiß kein Mensch. Vor 20 Jahren haben wir uns die heutige Welt wunderlicher und schwärzer vorgestellt, und es kam ja doch anders.

Auch wenn es so langsam am Thema vorbei geht möchte ich doch in Teilen widersprechen. Ich hab mir vor 20 Jahren, und auch vor 30 oder 40, nicht vorstellen können das meine Familie, und insbesondere deren weibl. Mitglieder, nicht mehr gefahrlos und unbeschwert durch die Stadt gehen kann ohne beleidigt, beschimpft, bestohlen oder überfallen (3 von den 4 hatten wir schon mehrfach) zu werden von Menschen die von (auch!) meinen Steuergeldern finanziert werden. Auch konnte ich mir nicht denken dass die Öffentlichkeit über vieles im Unwissenden gelassen wird was sie mehr als direkt betrifft. Beispiel, hier stand vor rd. 4 Wochen in der Zeitung dass es in einer Strasse 3 Einbrüche am Wochenende gab, die Leute machten sich Sorgen. Ob es gut ist oder nicht aber dank engster Familiärer Bande weiss ich aus 1. Hand dass es 13 Einbrüche waren, haben wohl die 1 vergessen abzudrucken. Auch haben sich Betroffene bei der Zeitung gemeldet die sich allerdings weigerte entsprechendes abzudrucken, weder als Artikel noch als Leserbrief. Gleiches gilt für Überfälle, Vergewaltigungen, Raube, Antisemitischer Übergriffe, Rassistischer Übergriffe etc., nein, beim besten Willen konnte ich mir das nicht vorstellen! Ebenso wenig das man mit Bewährung aus dem Gericht schlendert wenn man in/mit einer Gruppe eine 14jährige vergewaltigt und sie abschliessend wie Müll in den Hof wirft [1], oder eine klare Vergewaltigung vor Gericht kommt, die Richterin! aber befindet dass der Täter wohl nicht wusste was er dem Opfer antat [2], ein Mensch der sich hier im Land seit Monaten/Jahren gar nicht mehr aufhalten durfte kachelt mit einem LKW in eine Menschenmenge, einfach so, obwohl als höchst radikal und gefährlich bekannt usw usw., und das alles vom Volk finanziert... nein, in meinen schlimmsten Alpträumen habe ich mir das nicht vorgestellt!
Und dann kommt jetzt der Staat und labert substanzlos was von Prävention um seinen Trojaner unters Volk zu bringen um dieses in aller Ruhe auszuhorchen anstatt mal wieder Rechtsprechung statt Rechtsbeugung voran zu bringen.... kannste dir nicht ausdenken sowas.

[1] http://www.faz.net/aktuell/gesellschaft ... 90146.html
[2] http://www.maz-online.de/Lokales/Brande ... ewaltigung

[MSfree]

Gibt es für PC mit einem BIOS dann eine andere Form von Angriff oder kann man diese als "etwas weniger gefährdet" betrachten?

Selbstverständlich kann man ein Rootkit auch im BIOS unterbringen mit dem selben Gefahrenpotential.
Der wesentliche Unterschied ist aber, daß man zum Flashen des BIOS ein hoffentlich sauberes Programm von einer Floppy/CD/USB-Stick starten, das das BIOS einspielt. Das Bereinigen eines infizierten Rechners ist also einigermassen sicher möglich.

Beim UEFI ist es das UEFI selbst, das die neue Firmware einliest und einspielt. Ein infiziertes UEFI wird dann natürlich den Bereich, in dem das Rootkit sitzt, nicht überschreiben. Man braucht also einen Flashprogrammer, der die Chips extern beschreiben kann. Blöd ist, daß die Flashchips inzwischen gelötet sind, das Mainboard ist also, wenn es infiziert ist, hochgradig kontaminierter Sondermüll.

Welche Hardwaregeneration war denn die letzte mit einem BIOS?

Zumindest bei Intel sind Boards für Core-i CPUs mit UEFI ausgestattet, also praktisch alles seit Nehalem, dessen erster Vertreter am 18. Nov. 2008 auf den Markt kam.

[urkle]

Zumindest bei Intel sind Boards für Core-i CPUs mit UEFI ausgestattet, also praktisch alles seit Nehalem, dessen erster Vertreter am 18. Nov. 2008 auf den Markt kam.

Gilt bei Intel dann bis zum Core 2 Duo?

[schorsch_76]

Ich hab hier einen Core i7 aus der Sandy Bridge Generation der BIOS hat. Baujahr 2012.
model name : Intel(R) Core(TM) i7-2670QM CPU @ 2.20GHz

[urkle]

Lenovo hat mit der x20 Reihe UEFI eingeführt, aber die haben doch auch Intel Mainboards.

[MSfree]

Gilt bei Intel dann bis zum Core 2 Duo?

Zumindest hat mein Core2-Q9300 noch ein BIOS.

Ich hab hier einen Core i7 aus der Sandy Bridge Generation der BIOS hat. Baujahr 2012.
model name : Intel(R) Core(TM) i7-2670QM CPU @ 2.20GHz

Entweder Glück gehabt oder ein gut getarntes UEFI, das wie ein BIOS aussieht.
Mein Core-i7-2600 von Mitte 2011 hat jedefalls UEFI.

[schorsch_76]

Hier ist nochwas zur "Selbstverteidigung"

http://kroah.com/log/blog/2013/09/02/bo ... ux-kernel/

Das, + ein gesichertes UEFI + Festplattenverschlüsselung + dm-verity (Schutz vor FS Manipulation, der root Hash liegt im Initrd des Secure booted Kernels). Durch dm-verity muss auch das rootfs ro sein, bzw ein Overlay über dem rootfs sein.

Damit hast du eine komplett kryptografisch gesicherte Kette rauf zu deinem PK Key. Das rootfs lower fs ist ro und ebenso per hashes gesichert + verschlüsselt.

Das wäre also fast dasselbe, was Qualcomm mit Qualcomm SecureBoot auf Android Geräten macht, nur dass hier das rootfs nicht verschlüsselt ist.

Vertraust du deiner Hardware nicht, hast du schon verloren... dann hilft auch kein Krypto auf FS-Ebene.

[vkl]

Vertraust du deiner Hardware nicht, hast du schon verloren

Ihr hattet noch die BIOS-FLASH Write-Protect Jumper vergessen
Zu diesem Thema habe ich etwas gesammelt - Mehr Sicherheit mit Hardwareschreibschutz s. http://www.vkldata.com/No-BadBIOS-Retro-Hack
Das hilft zumindest gegen die Angriffe aus dem Internet.

[Ozelot]

@ TE: Alles verlorene Liebesmüh - Du hast keine Chance. Du wirst es nie schaffen, daß sie dir den Staatstrojaner installieren..

[MSfree]

Ihr hattet noch die BIOS-FLASH Write-Protect Jumper vergessen

Den gibt es bei UEFI Brettern nicht mehr.

[DeletedUserReAsG]

Dann nehmt halt ’nen ARM, dessen hartcodierte „Firmware“ von sich aus gerade mal in der Lage ist, einen bestimmten Block von der SD-Karte oder dem NAND zu lesen ….

[Meillo]

Ihr hattet noch die BIOS-FLASH Write-Protect Jumper vergessen

Den gibt es bei UEFI Brettern nicht mehr.

Frueher war alles besser!

[breakthewall]

Konkrete Vorschläge um in der modernen Welt bestehen zu können ohne die Freiheit und Privatsphäre aufzugeben?

OpenPGP, Festplattenverschlüsselung, TOR-Netzwerk, VPN?

Wie wäre es damit nicht bei jeder politischen Träumerei panisch zu reagieren, die nebenbei ohnehin wieder einkassiert werden wird, um die Situation einfach mal auf die technische Ebene herunterzubrechen? In erster Linie ist ein Trojaner nur Software wie jede andere auch, nur das sie lediglich wenig willkommene Absichten verfolgt. Und was benötigt Software im allgemeinen? Einen Nährboden um arbeiten zu können. Und alle Mittel um genau das zu nehmen, stehen seit langer Zeit zur Verfügung. Warum also diese Panik? Das ist keine Magie die einfach mal alle technischen Gesetze hinter sich lässt, und dann plötzlich im System sitzt. Sicher ist eine Standardinstallation eher suboptimal, doch mit etwas Arbeit kann man sein System erheblich verbessern, damit so etwas wie ein Trojaner kein Land mehr sieht. Und Dinge wie gpg, TOR/VPN oder dm-crypt/LUKS, gehören eigentlich zum Standard, worüber man nicht erst jetzt nachdenken sollte. Also ich bin völlig entspannt.

[breakthewall]

Der wesentliche Unterschied ist aber, daß man zum Flashen des BIOS ein hoffentlich sauberes Programm von einer Floppy/CD/USB-Stick starten, das das BIOS einspielt. Das Bereinigen eines infizierten Rechners ist also einigermassen sicher möglich.

Bei sehr vielen Mainboard-Herstellern ist das der Fall, dass direkt ins UEFI-BIOS booten musst. Dann hast dort ein integriertes Flash-Programm und spielst damit die neue Firmware auf, wahlweise von einem beliebigen Datenträger. Und diverse Programme zum Flashen innerhalb des Betriebssystems, gibt es natürlich wie immer nur für Windows.

Beim UEFI ist es das UEFI selbst, das die neue Firmware einliest und einspielt. Ein infiziertes UEFI wird dann natürlich den Bereich, in dem das Rootkit sitzt, nicht überschreiben. Man braucht also einen Flashprogrammer, der die Chips extern beschreiben kann. Blöd ist, daß die Flashchips inzwischen gelötet sind, das Mainboard ist also, wenn es infiziert ist, hochgradig kontaminierter Sondermüll.

Die Frage ist stets wie so eine Infektion vonstatten gehen soll. Auch sollte man vielfache Dual-UEFI-BIOS Implementierungen nicht vergessen, die einige Mainboard-Hersteller einsetzen. Somit gibt es ein reguläres UEFI-BIOS, was zum Starten des Systems genutzt wird, aber zeitgleich auch ein Backup-UEFI-BIOS auf einem nicht beschreibbaren Speicherbaustein. Dieses springt immer dann ein wenn das reguläre UEFI-BIOS ein Problem haben sollte bzw. nicht verifiziert werden kann, z.B. bei einer Infektion, womit das reguläre UEFI-BIOS entsprechend überschrieben und beim nächsten Systemstart wieder genutzt wird. Bislang sind aber nur MSI und Gigabyte Vorreiter in dieser Hinsicht, worauf man unbedingt achten sollte.

[BenutzerGa4gooPh]

Woher wisst ihr, dass der Bundestrojaner sich im UEFI-BIOS einnistet? Ist vllt. ein Wunschtraum der Dienste, weil unabhängig vom Betriebssystem.

Wie soll das funktionieren? Ich habe ein modifiziertes BIOS, um die Whitelist für WLAN-Karten loszuwerden. Grober Ablauf:
Auslesen des Hersteller-BIOS
Modding (Modifikation)
Ausnutzen einer Sicherheitslücke von Windows10 (nach Aufwecken aus irgendeinem Stromsparzustand)
gleich danach neues BIOS flashen

Das BIOS ist wohl sehr speziell, der (vielfältigen) Hardware angepasst. Ein Fehler bei Änderung und etwas oder alles funktioniert nicht mehr. Also vorher notwendig: Altes BIOS auslesen. Wie soll das hinter FW/NAT funktionieren???

Und vor Panik steht Diagnose: Warum nicht für einen Logging-Server der Firewall sorgen ("putzige" Verbindungen?) oder/und fail2ban für ungewöhnliche Logs? Reicht vermutl. sogar ein Logserver auf dem PC/Laptop, also nicht dauerhaft laufende Hardware. Intrusion Detection/Prevention snort ist wohl für die meisten Nichtkriminellen unter uns etwas oversized.

Wenn PC wirklich infiziert, kann man sich Gedanken machen, inwiefern. Also entspanntes WE allen - bis zur nächsten Wahl/Stimmenauszaehlung - bei der sich eh nichts aendert!

[DeletedUserReAsG]

Die Frage ist stets wie so eine Infektion vonstatten gehen soll.

Die heutigen Firmwares haben einen eigenen Netzwerkstack. Manche Systeme haben ein Managementinterface, das vom OS aus nicht kontrolliert werden kann und seinerseits Netzwerkfunktionalität besitzt. Das E in UEFI steht für Extensible, der Kram ist also erweiterbar, ohne die hardwarespezifische Grundfunktionalität anfassen zu müssen; das U steht für Unified, ein daraufhin ausgerichtetes Modul wird auf einer Vielzahl von Geräten lauffähig sein können. Kurz: ich trau‘ dem Kram auch nicht recht und kann mir gut vorstellen, dass das ein bevorzugter Ansatzpunkt sein wird. Neben den gekauften Zerodays für allerhand Systeme und so weiter – man kann davon ausgehen, dass die staatlichen Verbrecher sich einen wohlgefüllten Werkzeugkasten zulegen, um Grundrechte effizient und unbeobachtet brechen zu können.

Sicher kann man einen Router zwischenschalten und den Netzwerkverkehr beobachten. Dann ist dieser halt der erste Angriffspunkt ….

[MSfree]

Woher wisst ihr, dass der Bundestrojaner sich im UEFI-BIOS einnistet? Ist vllt. ein Wunschtraum der Dienste, weil unabhängig vom Betriebssystem.

Kleine Kostprobe gefällig:
https://www.heise.de/security/meldung/B ... 82782.html

[ralli]

Welche Privatsphäre? Gibt es die überhaupt noch? Aber mal im ernst, ich nehme keine zusätzlichen Sicherheitsmaßnahmen vor nach der Grundinstallation. Ich habe aber auch nichts wirklich Interessantes auf meinem Rechner, was ich explizit verschlüsseln oder verbergen müßte. Bei und mit Linux oder Unix bin ich eh schon auf der sicheren Seite und viel weniger gefährdet. In 20 Jahren Linux hatte ich noch nie einen Virus oder ähnliche Schadsoftware auf meinem Rechner. Die Verbindungsdaten eines Festnetzanschlusses wurden auch schon vor 30 Jahren gespeichert. Nur hat sich niemand darüber aufgeregt. Du brauchtest nur bei der Telekom einen Einzelverbindungsnachweis anzufordern, das kostete damals monatlich 1 DM. Meine digitale Selbstverteidigung beschränkt sich im wesentlichen auf Verzicht. Ich (Wir) haben kein Smartphone, sondern seit Jahren nur zwei einfachste Handys als Notfalltelefone. Soziale Medien, insbesondere Facebook und Twitter sind für mich ( uns) kein Thema. WhatsApp benutze ich nicht. Auch chatte ich nie. Als Browser benutze ich erfolgreich meinen selbsterstellten Browser (WebView). Da gibt es keine Cookies, die gelöscht werden müßten. Dennoch benutze ich auch Bleachbit, damit auch wirklich alles unnütze sicher gelöscht wird. Im übrigen hat das vermeiden sozialer Medien oder Twitter mein Leben nicht eingeschränkt und nicht meinen sozialen Tod verursacht, denn ich habe außer der virtuellen Identität auch noch ein richtiges Leben mit richtigen Freunden. Und da ich auch keinen Hang zu einem wie immer gearteten Verfolgungswahn habe, werde ich auch die nächsten Jahre in vollster Zufriedenheit mit meiner Strategie der digitalen Selbstverteidigung leben und überleben.