Bringt Verschlüsselung eigentlich noch was?

[Trollkirsche]

Nein, das ist eben nicht möglich.

Das ganze BIOS/UEFI Gebamsel wird beim Laden des Kernel aus dem Speicher entladen. Der einzige IP-Stack, der danach noch existiert ist der des Betriebssystems.

Das ist doch direkt schon auf der Hardware implementiert. Du kannst doch da nix entladen... Das bleibt doch aktiv, nicht?

Doch, man würde es sehen, z.B. an reserviertem Speicher.

Mit welchen Kommandos kann man dies eruieren?

Auch das würde man merken, am unbekannten Traffic, der plötzlich durch den Router geht.

Den könntest du jedoch kaum erkennen, weil von deinem LAN immer irgendwelcher Traffic rausgeht. Wie soll das auf praktische Weise machbar sein?

[DeletedUserReAsG]

Zumindest ist das Passwort dort nochmal verschlüsselt. Wie geht die Verschlüsselung vonstatten und wo befindet sich dann das Passwort für die Verschlüsselung des Klartext Passwortes?

Du solltest „Passwort” nicht mit „Passwort“ gleichsetzen

LUKS verwendet einen Schlüssel zum Verschlüsseln des Devices. Dieser Schlüssel (für’n Passwort wäre der etwas lang und hätte zuviele unterschiedliche, teils gar nicht darstellbare, Zeichen) ist seinerseits mit der Passphrase (die auch ziemlich lang und mit nicht darstellbaren Zeichen drin sein kann, dann aber meistens in einem Keyfile gespeichert ist – weil nicht darstellbare Zeichen sich nunmal doof eintippen lassen) verschlüsselt. Der Schlüssel befindet sich im LUKS-Header der betreffenden Partition. Jemand, der die Daten entschlüsseln will, benötigt also beides (die Passphrase und den Schlüssel), eins ist allerdings nur gespeichert.

Was verstehst du unter "schwarze Dinger"?

Kleine, viereckige Teile, meist auf grüne Bretter aufgelötet. Flash-Speicherchips. Jemand, der sich damit auskennt (und das passende Werkzeug hat), könnte die einfach vom Board löten, und mit eigener Hardware auslesen. Das ist gar nicht mal so schwer, die Interpretation der Daten mag hingegen nicht trivial sein – insbesondere, wenn es sich nur um einzelne ausgelagerte Zellen handelt. Wenn zum Zeitpunkt der Markierung der Zellen eine Swap-Partition drauf war, enthält’s halt Inhalte der Swap-Partition zum betreffenden Zeitpunkt.

Würde ich einen Verschleiss herbeiführen wenn ich also eine Blocksize unter 512B wähle oder wie genau ist das zu verstehen?

Verschleiß gibt’s sowieso bei jedem Schreibzugriff. Wenn nur ein Teil der Zelle neu geschrieben wird, wird erst der gesamte Inhalt gelesen, dieser Teil geändert und das Ganze dann zurückgeschrieben. Wenn man also 1B-Blöcke wählte, würde eine Zelle 512x neu geschrieben … dann wird’s allerdings ziemlich langsam.

[uname]

Es gab ja vor kurzen eine Diskussion zum Thema, die auch sehr interessant war.
Sehr interessant war auch der Hinweis auf ein Youtube-Video. Interessant vor allen ab 5:50 Minuten.

Wobei wenn man von Anfang an die SSD verschlüsselt hat, kann man sich eigentlch das Video sparen
Nicht ganz. Der Ansatz das Verschlüsselungspasswort auf TPM und LUKS aufzuteilen war sehr intererrsant. Kam irgendwann am Ende.

[debianuser4782]

Auch das würde man merken, am unbekannten Traffic, der plötzlich durch den Router geht.

Den könntest du jedoch kaum erkennen, weil von deinem LAN immer irgendwelcher Traffic rausgeht. Wie soll das auf praktische Weise machbar sein?

Diese Frage stelle ich mir auch.

Reiner Text (gemeint sind Eingaben über die Tastatur) ist doch datenmengenmäßig verschwindend gering vor dem Hintergrund der zunehmenden Breitbandigkeit.

Als Vergleich sei zB ein Staubpartikel genannt, der in einen Eisenbahntunnel schwebt.

Aber gerade über Textinformationen kann man besonders viel über die Persönlichkeit des Autors erfahren.

Macht es also speichertechnisch gesehen Sinn, reinen Text eines Menschen auf verborgenen (geheimdienstlichen) Servern zu speichern, um diesen "bei Bedarf" abzurufen?

Wie habe ich vor diesem Hintergrund Messages wie "(better) Don't be evil!" zu verstehen?

Ab wann ist man "evil"? Gibt es da Orientierungsleitlinien?

Je kleiner die Datenmenge, desto unbemerkter kann diese übertragen werden und desto kreativer kann man bezüglich des Übertragungsweges sein.

[MSfree]

Das ist doch direkt schon auf der Hardware implementiert.

Nein, in der Hardware, also in den Flashchips steckt nur der BIOS/UEFI-Code. Ausgeführt werden kann er nur von der CPU und wenn er vorher ins RAM geladen wurde. Beim Laden des Kernels wird aber der BIOS-Code aus dem RAM entfernt und ist danach nicht mehr aktiv.

Den könntest du jedoch kaum erkennen, weil von deinem LAN immer irgendwelcher Traffic rausgeht. Wie soll das auf praktische Weise machbar sein?

Meine Linuxrechner schicken nicht ständig irgendwas ins Internet. Außer beim Booten per DHCP eine IP-Adresse anzufordern, sind die stumm. Netzwerkzugriffe sind alle von mir angestossen, also würde ich selbst ein einzelnes Byte bemerken, solange ich es nicht von mir angefordert wurde. Außerdem kann ich den Netzwerkverkehr, der von meinen Rechnern ins Internet angestossen wurde, in den Logs meines Routers nachvollziehen.

[jessie]

Außerdem kann ich den Netzwerkverkehr, der von meinen Rechnern ins Internet angestossen wurde, in den Logs meines Routers nachvollziehen.

Loggst du outbound? Ohne jedwede Kritik interessiert mich das einfach. Wie und womit wertest du outbound (z. B. https verschlüsselt) nachträglich aus? Die Vielzahl an Verbindungen. Nur Anfragen an Hosts? Oder MitM mit squid?
Im eigenen Netzwerk bringt MitM m. E. keine ethisch-moralischen Probleme, man/frau überwacht ausschließlich sich selber, vor allem selbst bezahlte Hardware. Also rein technisch gefragt ...

[MSfree]

Loggst du inbound und outbound?

Ich logge zunächst einmal alles, was iptables blockiert. Regeln gibt es für inbound und outbound. HTTP(S) geht bei mir nur über squid, wobei ich HTTPS nicht aufbreche. Squid selbst verfügt über eine ganze Reihe von ACLs, die sich bei HTTPS natürgemäß auf Domainnames und IPs beschränken. Squid logt aber jeden Zugriff mit.

Von aussen kommt man bei mir erstmal gar nicht in mein Netz, da ist nichts offen. Allerdings habe ich einen auf Pingpaketen basierten Knockingmechanismus im Router, mit dem ich z.B. einen SSH-Port öffnen kann, so daß ich nach dem Anklopfen mit SSH in mein Netz reinkommen.

Ein ganz nettes Tool, um Netzwerkverkehr im Betrieb zu überwachen, ist iptraf-ng, das ich auch immer wieder einsetze.

[jessie]

Ein ganz nettes Tool, um Netzwerkverkehr im Betrieb zu überwachen, ist Debianiptraf-ng, das ich auch immer wieder einsetze.

Danke für die Antwort! Letzte Frage (also vorerst ): Betreibst du einen (Mini-) Server für Dauerüberwachung mit iptraf-ng?
(Ich überlege das auch - ohne bisher zu einer sinnvollen Entscheidung wegen Nutzen vs. Energieverbrauch zu kommen. Netflow und ntopng hatte ich im Forum ergebnislos angefragt, dann flüchtig selbst ein Ergebnis erzielt.

Äh - OT dürfte diese Unterhaltung nicht sein?

[MSfree]

Betreibst du einen (Mini-) Server für Dauerüberwachung mit iptraf-ng?

Nein, ich setze iptraf gezielt ein, vor allem in Verdachtsfällen.

Davon abgesehe ist mein Router mit einem Celeron N3450 ausgestattet. Das Ding ist sowas von übermotorisiert, daß man damit noch jede Menge nebenher machen kann, und das bei 4.7W Stromverbrauch.

Äh - OT dürfte diese Unterhaltung nicht sein?

Naja, es driftet ein wenig ab. Aber der OP hatte ohnehin nur Verschwörungstheorien im Kopf als er den Thread gestartet hat.

[jessie]

Nein, ich setze iptraf gezielt ein, vor allem in Verdachtsfällen.

Ah ja. Des Testens wert. Und wenn nicht leicht deinstaallierbar.

Aber der OP hatte ohnehin nur Verschwörungstheorien im Kopf als er den Thread gestartet hat.

Ich lese im Forum sehr lange mit - alles möchte ich gar nicht wissen.
Man/Frau liest sich immer wieder mal ... auch mit gegensätzlichen und trotzdem halbwegs intelligenten Beiträgen. Am Ende macht jeder einen Fehler, sogar in Foren. "Verschwörungstherorien" kann ich nicht begegnen, ab und an Geiz-ist-geil versus Energieverbrauch. Jeder hat so seine Hobbies und verbreitet die auch in Foren ... Ob gut oder schlecht mag ich nicht zu beurteilen. Überlassen wir das den TOs ...

[TomL]

Nachtigall, ick hör dir trapsen

[jessie]

Ein alt gewordener Foren-Bär hat wohl gesprochen? Ein Rentner im Seidenanzug, der die ganze Gartenanlage beherrschen möchte. "Neutiere" haben sich unterzuordenen! Oder wie soll man/frau die Nachtigallen des Vorredners vestehen? Nachtigallen trapsen für jeden Schreiber hier ...
Mir egal, es gibt viele interessante Foren. Die Ballonseide der Heckenpolizei muss nicht mehr akzeptiert werden ... es gibt Alternativen!
Schade, dass derzeit versucht wird, dass Rentner, die die momentan existierende Gesellschaft für ihre Kinder und Enkel bereits versaut haben, nochmals regieren wollen.

@TomL: Ich höre Dich und deine gezeugten Generation trapsen ... am Schlimmsten finde ich, wenn eine resignierte Rentner-Heckenpolizei Applaus bei Kindern und Enkeln findet ... ich höre dich und deine "Nachtigallen" auch trapsen ...

[DeletedUserReAsG]

… interessant, was und wieviel man aus einem einzelnen geposteten Bilderlink so interpretieren kann. Wär’ ich im Leben nicht drauf gekommen (und, ehrlich gesagt, sehe ich auch jetzt noch keinerlei Zusammenhänge).

[jessie]

Sorry, ich weiß gar nichts, lese nur seit vielen Jahren im Forum mit - und bin immer gespannt, was ein Thread für Dritte bedeuten könnte ... Alles gut!
Recht versehentlich angemeldet hier. Nu ja, ab und und an mal helfen ... ab und an mit Ballonseide rumstreiten. Ich meine, das paast so - nicht jedem - aber mir und dir? Wenn nicht, ist mir das gleichgültig, ich lebe trotz dem gut weiter - und du auch.

[jessie]

Mir ist (vor allem in einem Fachforum) sehr egal, was Nachtigallen passen oder was auch nicht! Geht nicht an Herrn Niemand, igendein anderer hatte mich eben gereizt. Bitte lasst das künftig, ich kann auch ...

[Trollkirsche]

Es gab ja vor kurzen eine Diskussion zum Thema, die auch sehr interessant war.
Sehr interessant war auch der Hinweis auf ein Youtube-Video. Interessant vor allen ab 5:50 Minuten.

Wobei wenn man von Anfang an die SSD verschlüsselt hat, kann man sich eigentlch das Video sparen
Nicht ganz. Der Ansatz das Verschlüsselungspasswort auf TPM und LUKS aufzuteilen war sehr intererrsant. Kam irgendwann am Ende.

Hab das Video auch gesehen. Wie müsste man vorgehen um den Header auf den TPM und Bootloader aufzuteilen?
Weiss das jemand?

[Trollkirsche]

Das ist doch direkt schon auf der Hardware implementiert.

Nein, in der Hardware, also in den Flashchips steckt nur der BIOS/UEFI-Code. Ausgeführt werden kann er nur von der CPU und wenn er vorher ins RAM geladen wurde. Beim Laden des Kernels wird aber der BIOS-Code aus dem RAM entfernt und ist danach nicht mehr aktiv.

Den könntest du jedoch kaum erkennen, weil von deinem LAN immer irgendwelcher Traffic rausgeht. Wie soll das auf praktische Weise machbar sein?

Meine Linuxrechner schicken nicht ständig irgendwas ins Internet. Außer beim Booten per DHCP eine IP-Adresse anzufordern, sind die stumm. Netzwerkzugriffe sind alle von mir angestossen, also würde ich selbst ein einzelnes Byte bemerken, solange ich es nicht von mir angefordert wurde. Außerdem kann ich den Netzwerkverkehr, der von meinen Rechnern ins Internet angestossen wurde, in den Logs meines Routers nachvollziehen.

Interessant. Kannst du deine Aussage 100% garantieren oder hast du Quellen für die Aussage, dass sich in den Flashchips nur der Bios/EFI Code befindet?
Falls der Code direkt im EFI implementiert wäre, könnte ja die CPU auch direkt Zugriff auf diesen nehmen.

Ja, aber sobald du irgendwelche Pakete empfängst und beispielsweise ein P2P Netzwerk am Laufen hast, kannst du das leider nicht mehr. Aber mal abgesehen davon :

Welchen Router setzt du ein? OpenWRT oder was proprietäres?

[Trollkirsche]

Loggst du inbound und outbound?

Ich logge zunächst einmal alles, was iptables blockiert. Regeln gibt es für inbound und outbound. HTTP(S) geht bei mir nur über squid, wobei ich HTTPS nicht aufbreche. Squid selbst verfügt über eine ganze Reihe von ACLs, die sich bei HTTPS natürgemäß auf Domainnames und IPs beschränken. Squid logt aber jeden Zugriff mit.

Von aussen kommt man bei mir erstmal gar nicht in mein Netz, da ist nichts offen. Allerdings habe ich einen auf Pingpaketen basierten Knockingmechanismus im Router, mit dem ich z.B. einen SSH-Port öffnen kann, so daß ich nach dem Anklopfen mit SSH in mein Netz reinkommen.

Ein ganz nettes Tool, um Netzwerkverkehr im Betrieb zu überwachen, ist iptraf-ng, das ich auch immer wieder einsetze.

Cool, danke!

[Trollkirsche]

Ein ganz nettes Tool, um Netzwerkverkehr im Betrieb zu überwachen, ist Debianiptraf-ng, das ich auch immer wieder einsetze.

Danke für die Antwort! Letzte Frage (also vorerst ): Betreibst du einen (Mini-) Server für Dauerüberwachung mit iptraf-ng?
(Ich überlege das auch - ohne bisher zu einer sinnvollen Entscheidung wegen Nutzen vs. Energieverbrauch zu kommen. Netflow und ntopng hatte ich im Forum ergebnislos angefragt, dann flüchtig selbst ein Ergebnis erzielt.

Äh - OT dürfte diese Unterhaltung nicht sein?

Falls du eine Routerhardware benötigst, würde ich dir definitiv zu den APU Boards mit Coreboot raten. Sehr effiziente Dinger und kompetenter Hersteller den ich persönlich kenne.

Bis dann,

[Trollkirsche]

Betreibst du einen (Mini-) Server für Dauerüberwachung mit iptraf-ng?

Nein, ich setze iptraf gezielt ein, vor allem in Verdachtsfällen.

Davon abgesehe ist mein Router mit einem Celeron N3450 ausgestattet. Das Ding ist sowas von übermotorisiert, daß man damit noch jede Menge nebenher machen kann, und das bei 4.7W Stromverbrauch.

Äh - OT dürfte diese Unterhaltung nicht sein?

Naja, es driftet ein wenig ab. Aber der OP hatte ohnehin nur Verschwörungstheorien im Kopf als er den Thread gestartet hat.

Naja in erster Linie habe ich Sicherheitsbedenken. Was in Zeiten der Massenüberwachung und Unternehmen auch berechtigt ist, wie ich finde. Snowden ist ja auch kein Aluhutträger.

Ich bin aber froh das es hier Leute mit gutem technischen Wissen gibt, die einen aufklären können. Dennoch bin ich mir sicher, die Typen an der Macht möchten die Totalkontrolle. Warum sonst überhaupt einen IP Stack ins EFI integrieren? Warum Tr-069 Protokoll? Alles nur lieb gemeint? *Aluhut aufsetz und weg*

[MSfree]

Falls der Code direkt im EFI implementiert wäre, könnte ja die CPU auch direkt Zugriff auf diesen nehmen.

Der Code ist direkt im EFI implementiert, es ist aber nur Code. Solange der nicht ausgeführt wird, passiert damit rein gar nichts. Auch eine Datei mit Emotet auf der SSD bewirkt absolut gar nichts, solange sie nicht ausgeführt wird. Die CPU muß also erstmal den Code aktiv aus den Flashchips ins RAM laden. So funktionieren PCs nunmal.

Etwas anders sähe die Sache aus, wenn eine "versteckte" zweite CPU auch dem Board stecken würde, die sich um das Ausführen von Schadcode kümmert. Sowas macht bisher aber nur Apple, die einen ARM zusätzlich zur Intel-CPU auf dem Mainboard haben, mit dem sie den Touchbar ansteuern. Aber selbst Apple würde ich keine Verschwörung unterstellen, denn auch die haben eine Ruf zu verlieren.

Ja, aber sobald du irgendwelche Pakete empfängst und beispielsweise ein P2P Netzwerk am Laufen hast

P2P setze ich nicht ein, ich habe keinen Bedarf an Post von dubiosen Abmahnanwälten.

Welchen Router setzt du ein? OpenWRT oder was proprietäres?

Debian Stretch ohne GUI.

[Trollkirsche]

Der Code ist direkt im EFI implementiert, es ist aber nur Code. Solange der nicht ausgeführt wird, passiert damit rein gar nichts. Auch eine Datei mit Emotet auf der SSD bewirkt absolut gar nichts, solange sie nicht ausgeführt wird. Die CPU muß also erstmal den Code aktiv aus den Flashchips ins RAM laden. So funktionieren PCs nunmal.

Ja das leuchtet ein. Wäre es aber in diesem Szenario nicht möglich, dass über die CPU selbst der Aufruf an den Flashchip mit dem Code weitergegeben wird oder sind die CPU soweit offen als das man weiss, was sich alles darin befindet?

Etwas anders sähe die Sache aus, wenn eine "versteckte" zweite CPU auch dem Board stecken würde, die sich um das Ausführen von Schadcode kümmert. Sowas macht bisher aber nur Apple, die einen ARM zusätzlich zur Intel-CPU auf dem Mainboard haben, mit dem sie den Touchbar ansteuern. Aber selbst Apple würde ich keine Verschwörung unterstellen, denn auch die haben eine Ruf zu verlieren.

Je nach Bedrohungsmodell. Wenn es notwendig wäre, zb. für die "nationale Sicherheit", kann ich mir schon vorstellen das der Ruf dann nicht mehr eine so grosse Rolle spielt. Bei einem Snowden könnte ich mir das schon vorstellen. Aber gut ist Snowden kein Apple Benutzer.

P2P setze ich nicht ein, ich habe keinen Bedarf an Post von dubiosen Abmahnanwälten.

Kommt drauf an ob das Peer2Peer Netzwerk verschlüsselt.

Debian Stretch ohne GUI.

Warum nicht das darauf ausgelegte OpenWrt?

[rockyracoon]

@Trollkirsche: Ein paar Worte von mir zum Thema...

Ich bin aber froh das es hier Leute mit gutem technischen Wissen gibt, die einen aufklären können. Dennoch bin ich mir sicher, die Typen an der Macht möchten die Totalkontrolle.

Erstens: Solche Diskussionen wie hier im Thread werden unsachlich, sobald jemand den saublöden Begriff "Alu-Hut-Träger" verwendet. In der Post-Snowden-Zeit müßte jedem klar sein, dass unsere kühnsten Befürchtungen wahr sind.

Zweitens: Ich bin davon überzeugt, dass unsere Hardware längst unterminiert ist. Das ist ein Gebot der Intelligenz.

Drittens: Diese Unterwanderung ist nicht nur negativ. Terrorismus und perverse Darknet-Geschäfte können damit aufgedeckt werden.

Viertens: Aber natürlich sind die "Guten" leider manchmal auch die "Bösen"...

Fünftens: Wenn jemand wirklich unbespitzelt kommunizieren möchte, dann tut er das nicht über Kindereien wie Tor u.ä. Er tut es wie die alten Chinesen unter der Mandschu-Diktatur. Er benutzt einen normalen Browser und redet über Kochrezepte, Hundezucht, Orchideensorten etc. Dig It?

[MSfree]

Naja in erster Linie habe ich Sicherheitsbedenken. Was in Zeiten der Massenüberwachung und Unternehmen auch berechtigt ist, wie ich finde.

Ich habe keine Angst vor Überwachung. Die Logs meines Routers zeigen mir ziemlich deutlich, wo die potentiellen Angreifer herkommen und das ist hauptsächlich Fernost und die bekommen von meinem Router ein freundliches "permission denied" als Antwort.

Dennoch bin ich mir sicher, die Typen an der Macht möchten die Totalkontrolle.

Klar wollen die das. Sie werden aber glücklicherweise durch die Verfassungsgerichte immer wieder auf den Boden der Tatsachen geholt.

Warum sonst überhaupt einen IP Stack ins EFI integrieren?

Bestimmt nicht zur Überwachung. Du kannst damit ein UEFI/BIOS-Update durchführen, ohne ein OS installiert zu haben. Für die überwältigende Mehrheit an Hardware gab es nämlich früher BIOS-Upgrades nur über DOS oder Windows, was bei Rechnern, auf denen nur Linux installiert war, ziemlich lästig war. Inzwischen kann man Update auch direkt über das Netzwerk oder auch über USB-Sticks direkt vom UEFI aus einspielen.

Warum Tr-069 Protokoll?

Auch das war nicht zur Überwachung gedacht. Eigentlich war es dazu gedacht, damit die Internetprovider Updates für die von ihnen zur Verfügung gestellten Router einspielen konnten. Daß diese Implementierung Sicherhetslücken hatte, die auch aktiv ausgenutzt werden, ist eine andere Sache.

Klar, AVM mach es bei ihren Fritzboxen ein wenig anders. Da schaut die Fritzbox aktiv nach Updates, lädt sie runter und spielt sie ein. Meinst du wirklich, daß das Verfahren besser als TR-69 ist? Wenn ein Schlapphut so einen Anschluß mit Fritzbox übernehmen wollte, könnte er die IP-Adrese des AVM-Servers, auf dem die Fritte ihre Updates sucht, fälschen, die Anfragen also auf einen Server beim BSI umbiegen und eine manipulierte Version der Fritzboxsoftware einspielen lassen.

[rockyracoon]

Klar wollen die das. Sie werden aber glücklicherweise durch die Verfassungsgerichte immer wieder auf den Boden der Tatsachen geholt.

sancta simplicitas.