LNP143 Kopfläuse in der Kita

Vorratsdatenspeicherung — Bundestags braucht neues Netz — Merkel-Handy — Uhrlau im NSA-UA

Die Testabstimmungen in den Regierungsfraktionen zur Vorratsdatenspeicherung liefen ohne größere Überraschungen ab und es ist weiterhin mit einer breiten Zustimmung zu der umstrittenen neuen Regelegung im Bundestag zu rechnen. Allerdings hat sich das Abstimmungsziel in den September verlagert. Die Zeit wird wohl auch benötigt, denn die PC-Infrastruktur des Bundestags ist durch den Angriff von außen offenbar in unklarem Zustand und muss in der Sommerpause überarbeitet werden. Linus berichtet aus dem Notizbuch eines "Cyberkriegers" wie solche Angriffe üblicherweise ablaufen.

Dauer: 1:37:54

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Amazon Wishlist Icon Bitcoin Icon

Vorratsdatenspeicherung vorabgestimmt

IT-Sicherheitsgesetz beschlossen

Braucht der Bundestag ein komplett neues Computernetz?

CHPKGTaWcAA-BFw

Generalprüfanwalt stellt Ermittlungen in Sachen Merkel-Handy ein

Uhrlau im BND-Untersuchungssausschuss


In Zusammenhang mit dieser Ausgabe stehende Folgen

44 Gedanken zu “LNP143 Kopfläuse in der Kita

  1. Hardware wegwerfen macht schon Sinn, wenn man bedenkt das die Mikrokontroller darin auch infiziert sein könnten. Es muss ja nur ein USB-Stick der intern verwendet wird infiziert sein, und dann wo anders eingesteckt worden sein. Ausserdem die Firmware der Festplatten: http://www.heise.de/security/meldung/Equation-Group-Hoechstentwickelte-Hacker-der-Welt-infizieren-u-a-Festplatten-Firmware-2550779.html

    Könnte man vieleicht schon alles beseitigen, wird vermutlich nur mehr kosten als das Zeug zu beseitigen. Zumal Büro-PCs ja auch keine teuren Gaming-PCs sind.

    • Na die Sendung hat das ja IMHO gut betrachtet. Wenn eh demnächst ne neue Charge PCs gekauft werden müsste, dann wäre es wahrscheinlich sinnvoll das vorzuzuziehen und auf die Desinfektion zu verzichten.

      Damals 2013 war das auch in Schwerin mit der Verschrottung durchgezogen worden, mir erschien das (damals ™) allerdings etwas übertrieben….vielleicht auch weil ich zu wenig über lowlevel-Malware nachgedacht hatte http://winfuture.de/news,75814.html

  2. Meinen anderen Beitrag braucht Ihr gar nicht freischalten. Habe meine Lektion gelernt: Erst zuende hören, bevor man kommentiert.

  3. Zu dem XOR:
    Das ist sogar eine extrem gute und einfache Methode. Man hat ja auf dem Zielsystem Dateien (von Windows z. B.) die man kennt und also auf beiden kommunizierenden Systemen hat/haben kann.
    Wenn man jetzt kommuniziert kann man diese auf beiden Seiten verfügbaren Dateien zur Verschlüsselung verwenden und zwar weil das große Dateien sind, können diese gleich groß wie die übertragene Botschaft sein.
    Das ist dann das One-Time-Pad und das ist verdammt sicher solange niemand den Schlüsseltext kennt.

    • Ah, ich sehe, du hast Alternativlos gehört.

      Das Problem bei deinem Vorschlag ist: Du musst dir sicher sein, dass die Dateien auf deinem Zielsystem nicht verändert werden, und du brauchst genau so viele potenzielle GB an Daten, wie du potenziell abfischen möchtest.

      Das nächste Windows-Update bereitet dir dann massive Schwierigkeiten (und du hast tausende Clients).
      Deshalb nutzt man Cipherstreams und xor’t die rein.

      • Das One-Time-Pad ist ein alter Hut das hat schon Ross Anderson in “Security Engineering” erklärt.

        Klar man kann einen Cipherstream verwenden aber also ich vermute zumindest dass man gerade bei so weit verbreiteten Systemen wie Windows viele Daten hat die auf allen Systemen gleich sind, auch das Windowsupdate kann man auf Sender und Empfänger haben das ist ja nicht geheim. Aber klar je nachdem wieviele Daten man senden möchte ist das auch dort unter Umständen zu wenig.

        Egal, weiter so und ja ein neues Alternativlos wäre auch mal was, Du hast doch Verbindungen dorthin … oder mach einen eigenen Podcast mit den ständigen Dauergästen Frank und Fefe.

      • Liebe Crypto-Freunde,

        in dem beschriebenen Fall geht es doch nicht wirklich darum, hochbrisante Geheimnisse vor dem Opfer zu verstecken, von dem man sie klaut. Alles, was man dem Opfer klaut, kennt es doch ohnehin schon.

        Daher braucht man auch keine großartige Crypto, weil es vollständig ausreicht, die Kommunikation ein bisschen zu obfuscaten. Ob ich nun einen String rein-xor-e, oder eine riesige Crypto-Library mit in meinen Trojaner kompiliere, macht keinen Unterschied, wenn die Forensik am Ende den Schlüssel aus meiner Binary heraus popelt.

        Daher die Entschidung für einen popeligen Ansatz, den ihr zwei durch Cryptanalyse genau so wenig knacken würdet, wie AES. Stattdessen würdet ihr in der gefundenen Binary nach dem Schlüssel suchen und ihn finden.

  4. Man müsste mal beim Verfassungsschutz anfragen, ob die schon Ermittlungen wegen der Unterstützung verbotener Spionage gegen den BND aufgenommen haben. Das offizielle Dementi dazu würde ich gerne mal lesen.

    • Aber müsste die Frage nicht eher sein, was ist gerade in Großbritannien los, dass diese Story lanciert wird?

      Ansonsten … … wenn man nicht will, dass die eigenen Spionageaktivitäten bekannt werden, sollte man vielleicht gar nicht erst spionieren.

      :)

        • Gut, vermutlich ist es eine Reaktion auf die Forderungen Snowdens gesellschaftliche Leistung als Whistleblower anzuerkennen, die nach der Verabschiedung des USA Freedom Act wieder lauter wurden, schließlich lässt der sich eindeutig auf seine Enthüllungen zurückführen. Und hier in Deutschland ist der Bedarf an einer Diskreditierung der Quelle nicht geringer.

          Die Argumentationslinie der Bild-Zeitung fällt in sich zusammen sobald man sich klar macht, dass die USA dafür verantwortlich sind, dass Snowden in Moskau hängengeblieben ist. Zeigte sich ja auch direkt danach, was das für eine Kurzschlussreaktion war: Das Beispiel von Morales macht klar, man hätte Snowdens Maschine nach dem Abflug aus Moskau zur Zwischenlandung in einem EU-Land zwingen können, dann wäre er sehr wahrscheinlich ausgeliefert worden. Im drastischsten Fall hätte ihnen jede Route nach Südamerika die Möglichkeit gegeben, die zivile Maschine mit Kampfjägern zur Landung zu zwingen und Snowden dann zu verhaften. So ist er in einem der wenigen Länder gestrandet, das sowohl die Mittel als auch die Motivation hat, ihn langfristig dem Zugriff der USA zu entziehen. Offensichtlich ein taktischer Fehler.

          Snowden hat sicherlich etwas mit dem FSB zu tun, weil die ihn überwachen und abschirmen. Auch möglich, dass er mit ihnen zusammenarbeitet, wobei so wie ihn einschätze wäre das nicht freiwillig, würde ich also nicht gegen halten, aber würde natürlich sein Image beschädigen. Genau deshalb glaube ich allerdings nicht, dass die Russen das tun, Snowden ist als Insider sicherlich wertvoll als Propagandamittel ist er viel wertvoller. Das Ansehen der USA hat schon sehr Schaden genommen. Außerdem hat der FSB ja alle Möglichkeiten, die Linien, die bei Snowden zusammenlaufen, zu den Dokumenten zurückzuverfolgen. Wenn sie die überhaupt wollen. Natürlich würden sie die Dokumente nicht wegwerfen, wenn sie ihnen in den Schoß fallen, aber ob sich die Russen auch die Chinesen usw. um eine Beschaffung bemühen ist nicht unbedingt klar. Aufgrund dieser dünnen Einflüsterungen an die Sunday Times glaube ich das jedenfalls nicht.

  5. Zitat “… und das XOR heißt, wenn beide gleich sind, dann ist mein verschlüsselter Datenstrom 1 und wenn die beiden nicht gleich sind 0. […] Du lachst, hab ich es jetzt falsch rum erklärt?” (Linus) “Nein, aber das war nicht die einfache Erklärung.”. JoJoJoJoJo… köstlich ^^

    • und das schlimme ist:
      Wenn sie NICHT gleich sind, ist der Wert 1 (wahr), daher heißt es ja auch “exklusives oder” (exclusive or) und nicht “inklusives gleich”

      Aber das merkt natürlich wieder niemand.

      • Das sollte eigentlich mein Punkt sein. Ich bin wohl mit dem Versuch gescheitert, es “nicht besserwisserisch” deutlich zu machen.

  6. Ich habe mich abermals dabei erwischt, dass ich lächelnd das “Guten Morgen, Linus. Guten Morgen, Tim.” mitspreche. Danke für dieses ganz wunderbare Format, dass ich stets bewusst und niemals nebenher höre.

  7. Leider hat eine “Kirchentagsresolution” praktisch keine Bedeutung. Streng genommen handelt es sich hierbei auch nicht um eine Resolution des DEKT, sondern um eine im Rahmen des DEKT verabschiedete Resoltion. Das wiederum bekommt so ziemlich jeder hin, der die Energie aufbringt, mit einer Unterschriftenliste so lange auf den Veranstaltungen herumzurennen, bis die erforderliche Stimmenzahl beisammen ist. Abgesehen davon, dass über irgendeinen Presseverteiler pro Tag ein Stapel mehr oder weniger sinnvoll formulierter “Resolutionen” rausgeschickt wird, hat die Aktion keine weiteren Konsequenzen. Die evangelische Kirche ist also nicht in irgendeiner Weise verpflichtet, sich mit dem Thema weiter zu beschäftigen oder sich an den Inhalt zu halten.

  8. Die Chaosradio-Folge 212 musste ich mir auch anhören und mich schmerzlich erinnern, warum ich das Chaosradio aus den Podcatcher geworfen hatte. Das Geduld halte ich einfach nicht aus. Musik, Nachrichten, Jingles und Teaser. Ich war so frei die Dudelfunk-Komponenten zu entfernen. Vielleicht kann ich hier auch anderen mit dem Edit eine Freude bereiten:

    https://www.mediafire.com/?xav6k9jk1wvbcn2

  9. Und demnächst in Ihren Medien: Thomas de Maizière fordert sämtliche Kommunikation mit dem Bundestag nur noch über DE-Mail! Weil das so sicher ist…

  10. Ich wuerde mal als interessierter Halblaile vermuten, dass man auch deshalb mal ueber Port 80 oder 443 versucht irgendwas aufzurufen, um zu testen ob das denn geht und wie die Infrastruktur diesbezueglich circa aussieht (Proxies, Filter, usw usf), und ob der Versuch bemerkt wird (ziemlich sicher nicht). Denn falls man von den tief uebernommenen (rotfl) Systemen dann massenweise Daten rausschicken will, wird man auch einen entsprechenden Kanal brauchen, der im besten Falle unverdaechtig sein sollte. Und was liegt da naher als Webtraffic Ports – das gibts wohl ueberall und zwar massenhaft, da fallen ein paar GiB wohl nicht so schnell auf, auch wenn man hier natuerlich in die ”falsche” Richtung sendet und aufpassen sollte, die uebliche Relation zwischen Down- und Upstream des Webtraffics zu wahren.

    Seh ich das richtig? Ich meine, es waere ja wohl relativ verdaechtig, wenn ploetzlich auf irgendwelche obskuren Zielports GiB weise Daten gesendet werden UND das jemand bemerkt und dem nachgeht. Oder? Ich glaube, das wurde nicht angesprochen, oder ich habs ueberhoert, jedenfalls dachte ich mir das beim Zuhoeren!

    Aja, und thumbs up!

    • @arno nym: Linus sagt das im Podcast implizit: “Es gibt nichts unschuldigeres/unauffälliges als nationalen Webtraffic” aber nicht noch mal so ausführlich, wie du.

  11. Kleiner Korrekturvorschlag zu den Shownotes: Chaosradio: CRE212 Was von Snowden übrig blieb – das CRE sollte wohl CR heißen. Ich war einen Moment lang verwirrt und musste den Link checken.

  12. Danke für die wieder sehr informative Sendung – ich lerne wirklich jedesmal interessantes dazu :-)

    Eine Frage zum Neuaufsetzen oder Reinigen von Rechnern im Netzwerk: Wie sieht es eigenlich mit Daten auf den Servern aus? Da schreibt irgendein Mitarbeiter auf Basis einer zentral abgelegten Wordvorlage ein Sitzungsprotokoll und legt es als doc oder pdf wieder auf dem Server ab…. inkl. der Infektion, die sich auf seinem Rechner schon eingenistet hatte.

    Das Neuaufsetzen der Rechner im Bundestag ist sicher machbar und schneller als eine Reinigung der Rechner – wie aber stellt man sicher, dass die neu aufgesetzten Rechner beim ersten Zugriff auf zentrale Dateien nicht gleich wieder infiziert sind? Kann man die Daten (lokal oder auf dem Server gespeichert) überhaupt alle säubern? So einfach mal eben löschen kann man die Arbeitsdaten und Archive ja auch nicht – bei System und Software ist das unkritisch, lässt sich neu installieren.

    Grüße!

    • und legt es als doc oder pdf wieder auf dem Server ab…. inkl. der Infektion, die sich auf seinem Rechner schon eingenistet hatte.

      Theoretisch möglich, wird aber praktisch nicht gemacht, weil: Wer weiß, wohin die infizierte Datei noch so wandert, und welche Alarme sie auslöst. Wenn man einmal drin ist, ist die Streu-Schuss-Taktik am Ende.

      wie aber stellt man sicher, dass die neu aufgesetzten Rechner beim ersten Zugriff auf zentrale Dateien nicht gleich wieder infiziert sind?

      Sicherstellen kann man das kaum. Aber üblicherweise werden wie gesagt nur recht wenige Dateien infiziert, und der Neuangriff käme eher über noch infizierte Maschinen, oder Schläfer.

      Auszuschließen ist es aber nicht, dass ein Rechner herum seucht. Passt nur nicht zur Taktik gezielter Angriffe.

      Das soll nicht heißen, dass alle Dateien, mit denen der infizierte Rechner in Konktakt war, clean sind, oder dass dein Szenario nicht möglich wäre. Man macht es nur üblicherweise anders, weil das unauffälliger ist.

  13. Da ich leider zu wenig von Security verstehe, wollte ich mal fragen, wie ihr euch einen wirksamen Schutz in so einem Umfeld eines Ministeriums vorstellen würdet, oder ist das einfach praktisch nicht umsetzbar?

    Meine Erfahrung bei größeren Organisationen ist, dass meist aufgrund von Kolloberation der verschiedenen Organisationseinheiten, Hierachien in diesen Einheiten und Zusammenarbeit mit externen Partnern meist kein wirklich gutes Sicherheitskonzept / Eingeschränkte Berechtigungen / Sicherheitszonen etabbliert werden. Also selbst wenn Linux, monitoring, Honeypods und alle Regeln der Kunst eingesetzt werden, stelle ich mir das doch sehr aussichtslos vor, sich gegen einen gezielten Angriff mittels Trojaner zu wehren. Oder liege ich da falsch und das wäre mit gewissen best-practise auch unter solchen Praxisbedingen eine große Organisation zu verteidigen? *grübel*

  14. Danke für den wieder mal sehr informativen Podcast. @Linus: Vor einigen Folgen hattest du über eine vermutete neue Dimension der Standortdatenerfassung gesprochen, u.a. ging es darum, dass durch Datenverbindungen im Gegensatz zu einem reinen Telefonen Smartphones ständig Verbindungen aufbauen und damit tatsächlich lückenlose Bewegungsprofile der gesamten Bevölkerung möglich sind. Du hattest sogar davon gesprochen, dass wenn sich das bewahrheitet, das der Punkt wäre, wo du dich vielleicht sogar ganz von einem Smartphone trennen würdest. Gibt es inzwischen neuere Erkenntnisse, ob diese höhere Dichte der Standorterfassung tatsächlich zutrifft.
    Eine andere Frage ist, was die gesetzlichen Speicherfristen tatsächlich wert sind. Mir ist nicht ganz klar geworden, ob Ermittlungsbehörden und Geheimdienste über ihnen zur Verfügung gestellte Schnittstellen auf die Daten zugreifen können oder nicht. Wenn ja, gibt es niemand der kontrollieren könnte, ob sie nicht einfach alles abschnorcheln und selbst unbegrenzt speichern. Dass Geheimdienste auf Gesetze scheißen ist ja hinlänglich bekannt.

    • Ergänzung zur ersten Frage: Konkret geht es ja wohl v.a. um §113b (4) im Entwurf:

      “Im Fall der Nutzung mobiler Telefondienste sind die Bezeichnungen der Funkzellen zu speichern, die durch den anrufenden und den angerufenen Anschluss bei Beginn der Verbindung genutzt wurden. Bei öffentlich zugänglichen Internetzugangsdiensten ist die Bezeichnung der bei Beginn der Internetverbindung genutzten Funkzelle zu speichern. Zusätzlich sind die Daten zu speichern, aus denen sich die geografische Lage und die Hauptstrahlrichtungen der die jeweilige Funkzelle versorgenden Funkantennen ergeben.”

  15. Tolle Sendung (bin noch nicht ganz durch), wie immer. Und spannende “Geschichten vom (Cyber-)Krieg”. Bitte mehr Naehkaestchengeschichten, oder – falls LNP nicht das richtige Format dafuer ist – mal einen CRE dazu.

    Danke fuer’s Weitermachen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *