Re: Paranoia

Am Mittwoch, den 18.07.2012, 15:40 +0200 schrieb Oliver Fromme:
> Marc Santhoff wrote:
> > Am Dienstag, den 17.07.2012, 13:51 +0200 schrieb Oliver Fromme:

> Davon abgesehen nahm ich an, dass es nur im interne Clients
> innerhalb eines LANs geht. Oder wolltest Du das global
> exportieren und dann von Internet-Cafes, öffentlichen WLAN-
> Hotspots o.ä. darauf zugreifen? In dem Fall sollte man
> sich das besser nochmal durch den Kopf gehen lassen.

Eigentlich geht es nur um ein LAN. Es wird aber darüber nachgedacht, ob
Zugriff für ausgewählte Personen, eben die Besitzer der Daten, von außen
möglich wäre - mit vertretbarem Risiko.

Mir gefällt das auch nicht, da kann man lieber die betreffenden
Informationen separat auf einen Webserver kopieren. Dann kann man auch
selektieren, was im schlimmsten Fall in flasche Hände gerät.

> > Spannend wird es dann am Monitor, ich erinnere mich an recht simple
> > Elektronik, mit der man aus nicht zu geringem Abstand das Bild von
> > Röhrenmonitoren reproduzieren konnte, IIRC war das der CCC. Weiß
> > zufällig jemand, wie das mit TFTs aussieht?
>
> Mit Sicherheit, allerdings ist das wohl etwas aufwendiger.
> Auch TFTs (und andere Peripheriegeräte) produzieren
> elektromagnetische Strahlung, die sich aus mehr oder
> weniger großer Entfernung auffangen und auswerten lässt,
> es ist nur eine Frage des Aufwands.

Klar, der Aufwand. Ich rechne da eher nicht mit Geheimdiensten sondern
z.B. mit der Konkurrenz, also Industriespionage wenn man es so nennen
möchte. Oder mit mit Spaßvögeln, Skript-Kiddies, neugierigen
Kollegen, ...

> Siehe auch die URLs, die Harold aufgelistet hat. Sehr
> interessanter Lesestoff.

Allerdings.

> In der Praxis gibt es für Angreifer meistens einfachere
> Möglichkeiten, um ans Ziel zu kommen. Es wurden z.B. Fälle
> dokumentiert, wo Angestellte einer Firma irgendwelche USB-
> Geräte geschickt bekamen (z.B. eine schicke Maus, einen
> Flash-Stick o.ä.), als Werbegeschenk getarnt. Über das
> Geschenk haben sie sich natürlich gefreut und es arglos
> in Betrieb genommen. Was sie nicht wussten: In dem USB-
> Gerät war neben der eigentlichen Funktion zusätzlich ein
> kleines Flash-Laufwerk integriert, aus dem beim Einstecken
> heimlich ein Treiber oder sonstige Software installiert
> wurde, der dann begann, fleißig Daten zu sammeln. Die
> Daten wurden dann entweder direkt an eine bestimmte Adresse
> geschickt, oder lokal gespeichert, so dass sie geborgen
> werden konnte, wenn das Gerät nach ein paar Wochen oder
> Monaten entsorgt wurde, weil es "plötzlich" nicht mehr
> funktionierte.
>
> Für jemanden, der sich ein wenig mit USB-Hardware auskennt,
> ist sowas ganz einfach zu basteln. Wer weiß, wieviele
> solcher gehackten USB-Geräte heute noch unerkannt in
> Betrieb sind ...

Sehr interessant, wo das auf wahren Begebenheiten beruht. Ich kenne da
eher Geschichten aus dem Bereich "social engineering", habe tatsächlich
einen Fall von U-Boot-Angestelltem miterlebt, der kam für ein halbes
Jahr in eine Firma und hatte den Vertrag mit einem unmittelbaren
Wettbewerber schon in der Tasche.

Tatsächlich kann man heutzutage garnicht mehr alles prüfen, das fängt
bei "code auditing" an - komplettes FreeBSD udn alle benutzte Software
sichten und verstehen - und hört bei der Hardware auf. Dann noch Handys
mit Kamera hinten und vorne und die ganzen Gimmicks, die man so fertig
kaufen kann - Kugelschreiberkamera für Kleingeld, usw.

Gestern grade wieder prominent in den Medien, US-Militär läßt
sicherheitskritische CHips (FPGA, wenn ich es richtig deute) in China
fertigen (sic!) und hat dann eine Backdoor da drin. Wie blöd ...

> > Auffällig fand ich auch, daß alle neuerdings mit "for business"
> > beworbenen Tastaturen ein Kabel dran haben. ;)
>
> Naja, ob ein (abgeschirmtes) Kabel nun besser ist als eine
> verschlüsselte Funkübertragung, darüber kann man streiten.
> Viele Funktastaturen (aber nicht alle) verwenden heutzutage
> Bluetooth, und das unterstützt durchaus auch Verschlüsselung.
> Ob das in der Praxis von Funktastaturen genutzt wird, ist
> natürlich wieder die Frage.
>
> Aber vielleicht ist eine angekabelte Tastatur auch einfach
> nur billiger und robuster (keine Akkus notwendig, keine
> Ladeelektronik, der Nutzer muss nicht ans Aufladen denken),
> und in einer Büroumgebung benötigt man nicht unbedingt eine
> Funktastatur -- Es kommt eher selten vor, dass in einem Büro
> eine Couch steht, auf der man mit der Tastatur auf dem Schoß
> herumlümmeln kann ...

Mir war das nur aufgefallen, weil es diese Werbe-Bezeichnung vor nicht
allzu langer Zeit nicht gab und neuerdings lese ich das überall. Selbst
Microsoft benutzt die (und gibt zu einer seiner Tastaturen keinerlei
Antworten über die Übertragung, auch nicht ob überhaupt verschlüsselt
wird).

-- 
Marc Santhoff <M.Santhoff(at)web.de>
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message