-->Gegenmittel:
- Der Honeypot von @ManfredF
- Schluß mit dem Internet von @Cujo
- Eigene Kommunikationsstrukturen, naturgemäß ebenfalls mafiöse Tendenzen (s. Rotwelsch)


Wieder einmal der Heise-Verlag:


<ul> ~ Artikel aus Telopolis</ul>

-->>- Der Honeypot von @ManfredF

Honeypot ist was, wenn ein Angriff von 'draußen' kommt, um dem Angreifer einen PC vorzugaukeln.
Ist der Angreifer schon drin, gibt es einige Tools, die melden, wenn eine Anwendung mit verändertem Code versucht zu starten. Da gab es zB mal die Sygate Firewall, die hat diese Funktion drin. Eigenartigerweise ist sie als ehemaliger Testsieger recht schnell verschwunden... komisch was?

-->Gibts da nicht die einfache Lösung eines Arbeits- und eines Netzrechners, die streng voneinander getrennt sind? Die angesprochene Lösung keinen externen Code auszuführen ist heutzutage doch wohl verharmlost gesagt unpraktikabel, oder?

Kasi

>Gegenmittel:
>- Der Honeypot von @ManfredF
>- Schluß mit dem Internet von @Cujo
>- Eigene Kommunikationsstrukturen, naturgemäß ebenfalls mafiöse Tendenzen (s. Rotwelsch)
>
>Wieder einmal der Heise-Verlag:

-->>>- Der Honeypot von @ManfredF
>Honeypot ist was, wenn ein Angriff von 'draußen' kommt, um dem Angreifer einen PC vorzugaukeln.
>Ist der Angreifer schon drin, gibt es einige Tools, die melden, wenn eine Anwendung mit verändertem Code versucht zu starten. Da gab es zB mal die Sygate Firewall, die hat diese Funktion drin. Eigenartigerweise ist sie als ehemaliger Testsieger recht schnell verschwunden... komisch was?

-->ZITAT

4. März 2007 21:26
Und wie koennen wir uns nun wehren?
genunix (1 Beiträge seit 03.03.07)

Herr Birk beschreibt in seinem Artikel das Szenario, dass
Ueberwachungsorgane der Staates"auf unseren Leitungen sitzen", und
in der Lage sind, saemtlichen Datenverkehr zu manipulieren.
Ob dies in Form von bei den Providern installierter Hardware (SINA
Boxen) oder beim Endkunden aufgestellter Hardware (manipulierte
Router) realisiert wird, ist dabei nicht von belang - auch wenn ein
solches Angriffszenario vielleicht nicht ohne weiteres umzusetzen
ist, ist es zumindest denkbar.

Es geht nun um diese Dinge:
- der Angreifer (im folgenden"Staat" genannt, um die Betrachtung
nicht zu abstrakt geraten zu lassen) muss Code auf meine Maschine
bringen, und zur Ausfuehrung bringen; hierzu kann, wie von Herrn Birk
beschrieben, einfach downgeloadeter Programmcode mit virulentem Code
infiziert werden. Genausogut koennten aber ausgefeiltere Methoden zum
Tragen kommen: Manipulierte Nutzdaten die Programmierfehler in den
verarbeitenden Programmen ausnutzen, um Code in das System zu
schleusen. Die aufgetretenen Bugs in.pdf,.jpg und natuerlich alle
Formate mit eingebetteten Macrosprachen waeren derartige
Angriffspunkte.
- Der eingeschleuste Code muss das System nach irgendwelchen
Kriterien durchsuchen. Dabei wird er sich sicherlich nicht von
verstellten Dateiendungen abhalten lassen, wohl aber von
Kryptographie. Um die Kryptographie zu brechen, muss der
eingeschleuste Code die I/O Kanaele der infizierten Maschine
angreifen und ueberwachen, um die Passworte fuer die Schluessel
abzufangen.
- Der eingeschleuste Code muss versuchen, sich permanent im
infizierten System einzunisten, um seine Aufgaben auch nach einem
Neustart des infizierten Systems durchfuehren zu koennen. Dies sollte
auch dann funktionieren, wenn das System nicht mit dem Internet
verbunden ist, sodass eine einfache Neuinfektion micht ausreicht.
Dazu braucht der Staatsvirus hohe administrative Rechte: Er muss in
der Lage sein, Systemdateien dauerhaft zu veraendern.
So koennte sich der Staat zum beispiel im Bootcode, oder
systemspezifischen Startmechanismen, oder besser gleich weithin
benutzten Systembibliotheken (libc) einnisten.
- Der eingeschleuste Code muss seine Erkenntnisse an den Staat
zurueckliefern. Dazu koennte er entweder eigene Netzwerkverbindungen
aufbauen, oder - viel einfacher - auf jeder Protokollebene
groessergleich IP"huckepack" fahren, und die angehaengten Nutzdaten
werden auf der Uebertragungsstrecke (das SINA Teil in dem Artikel)
wieder aus dem Datenstrom herausgeschnitten, sodass dieser Vorgang
fuer die eigentliche Datenuebertragung (des Benutzers) transparent
bleibt.

Um nun ersteres, eine Infektion des Systems, zu erreichen, ist nicht
besonders viel Aufwand notwendig. Herr Birk beleuchtet dies recht
ausfuehrlich in seinem Artikel.
Die zweite Aufgabe ist fuer den eingeschleusten Code schon
schwieriger zu loesen: denn der Code laeuft erstmal mit den
Berechtigungen und in der Umgebung des Benutzers, der den
Programmcode ausgefuehrt hat. Dadurch hat der virulente Programmcode
auch nur Zugriff auf die Ressourcen (Festplatten, Speicher,
Netzwerkverbindungen, I/O Kanaele), auf die der aufrufende Benutzer
Zugriff hat. Von der Erweiterung der Berechtigungshorizontes
(Permission-Raising) durch Ausnutzen weiterer Systemfehler sei hier
einmal abgesehen.
Der letzte Satz nochmal fuer den Laien: Der eingeschmuggelte
Staatsvirus kann und darf erstmal nur das, was der Benutzer, der den
Staatsvirus eingeschleppt hat. kann und darf.
Um eine Datei zu durchsuchen, braucht der Staatsvirus vermutlich die
Rechte der dazugehoerigen Benutzeridentitaet; zum Ueberwachen der I/O
Kanaele (Passwort abfangen) braucht der Staat auch garnicht mal so
viel Aufwand: schon das Ueberladen der Routine, die das Passwort
liest, auf Ebene des Loaders, waere mit den Berechtigungen des
Benutzers machbar.
Die dritte Aufgabe ist auch noch nicht so schwer: alle
gebraeuchlichen Systeme beinhalten Mechanismen, mit denen sich ein
Programm zumindest fuer den User"permanent" einrichten kann; gelingt
es dem Virus, diese Information dauerhaft zu speichern (z.B. der
Staatsvirus fuegt einen Programmaufruf in mein.profile ein), dann
wuerde der virulente Code bei jeder Session wieder mit meinen
Berechtigungen wirksam. Genausogut koennte sich der virulente Code in
Modulen eines Programmes verbergen, z.B. sich als Mozille-Extension
tarnen oder eine installierte Extension"erweitern". Dan wird der
Staatsvirus in dem Augenblick aktiv, in dem ich das betreffende
Programm starte.
Die letzte Aufgabe, der Ruecktransport der Daten zum Ueberwacher, ist
komplex-aber-moeglich auf den hoeheren Netzwerkebenen: kennt man das
Protokoll, so kann man die herauszuschmuggelnden Schnueffelergebnisse
auf eine Weise in die Uebertragung einbetten, das sie auch von einem
eventuell verwendeten Proxy oder Forwarding-Server nach aussen
transportiert werden. Dies funktioniert im Client, also mit den
Berechtigungen des Benutzers. Ein Beispiel waere"einfach Anhaengen
an die Mail" - theoretisch denkbar, und voellig unabhaengig davon ob
der Benutzer pgp oder s/mime benutzt; es geht ja nur darum, Daten bis
zur SINA-Box (oder ihrem Nachfolger) zu transportieren, und sie dort
transparent aus dem Datenstrom zu schnibbeln.
Auf Packetebene ist das natuerlich genauso denkbar; richtig gut auf
Paketebene ("ich haenge jetzt 10 MB Schnueffeldaten in 100 Byte
Broeckchen an die naechsten ausgehenden Nutzerpakete") beinhaltet
aber, das der Staatscode die Kontrolle ueber den TCP-Stack der
infizierten Maschine hat.
Dazu spaetestens braucht das Virus erhoehte Privilegien und muss sich
in den Systemcode einnisten; unter Unix waere das zum Beispiel ein
Kernelmodul, dass in den TCP-Stack eingreift.
Bisher noch nicht betrachtet habe ich die Moeglichkeit des
"Phone-Home", also des Aufbaus eigener Netzwerkverbindungen zu einem
(oder mehreren) Servern, um die Schnueffelergebnisse zu uebertragen:
Hier sind wahre Meisterleistungen moeglich (wenn man mal das Programm
"Skype" als Beispiel nimmt), die auch Firewalls penetrieren und mit
beidseitigem NAT klarkommen. Fuer viele der dabei verwendeten
Techniken sind erhoehte Systemprivilegien noetig.

Fassen wir nochmal zusammen: Derartige Angriffe - durch Staatsdiener
oder finstere Gesellen - sind nicht nur denkbar und realistisch,
sondern durchaus auch Realitaet. Jeder Benutzer der Microsoft Systeme
wird mir hier seufzend zustimmen.
Der Angreifer braucht:
- einen Infektionsweg
- Berechtigungen fuer die ueberwachten/durchsuchten Ressourcen
- Kontrolle ueber die Eingabegeraete
- Permanenz im System
- Kontrolle ueber den Netzwerkverkehr
Alle diese Dinge kann er, dem Artikel von Herrn Birk und meinen
obigen Ausfuehrungen folgend, durchaus erlangen.

Insofern kann ich Herrn Birk verstehen, wenn er schlussfolgert, dass
man keinerlei Programmcode von aussen annehmen darf. Darauf laeuft es
hinaus. Weitergedacht bis zur Moeglichkeit, Nutzdaten zu manipulieren
um Viewer-Bugs auszunutzen, dass jeglicher Datentransfer ueber das
Internet fuer ein sicheres System tabu sein muss.

Daraus folgt, dass das System, mit dem wir auf das Internet
zugreifen, nicht sicher, also nicht vertrauenswuerdig ist.

Ganz so schwarz wie Herr Birk sehe ich die
Verteidigungsmoeglichkeiten auf technischer Ebene allerdings nicht:
die Zauberworte heissen in meinen Augen
- Virtualisierung
- Least Privileges
- Keine Schreibbarkeit ausfuehrbarer Daten (und umgekehrt)
- Protokollumbrueche
- Formatumbrueche

All das ist zwar technisch nicht unkomplex und teilweise recht
unbequem; aber wenn wir unsere"schoengeschminkte" Steuererklaerung
(oder auch unsere Plaene zum Bau thermonuklearer Sylvesterraketen)
vor der Analyse durch die Schnueffler schuetzen wollen, mussen wir
wohl ein paar Unbequemlichkeiten in Kauf nehmen, die ueber die
Installation von Nortons bunter Firewall hinausgehen.

In der Praxis bedeutet das:
Wir benutzen zum Zugriff auf das Internet virtuelle Maschinen. Diese
lassen wir in einer kontrollierten Umgebung laufen, und stellen ihnen
nur die Ressourcen zur Verfuegung die sie unbedingt brauchen. Dadurch
schuetzen wir unsere IP-Stacks, und koennen leichter eine Permanenz
des virulenten Staatscodes verhindern.
Ein Beispiel waere ein FreeBSD-Jail, oder eine Solaris-Zone,
innerhalb derer eine Windows oder Linux Installation unter VMWare
laeuft. Die Zone bzw. der Jail schuetzt meine Ressourcen, auch dann
wenn die Virtualisierungssoftware (vmware in dem Fall) selbst
kompromittiert ist.
Die ausfuehrbaren Programme der Zone/Jail werden readonly gemounted,
oder kommen von einem nicht schreibbaren Datentraeger (DVD), die
schreibbaren Bereiche (Datenbereiche) des virtuellen Surfsystems
kommen ueber ein Netzwerkprotokoll, z.B. nfs, cifs oder
loopback-mount. Hier ist auch die Einfuehrung von Kryptographie
sinnvoll: Ist das Filesystem an dieser Stelle verschluesselt, so ist
dies ein fuer die gehostete virtuelle Surfstation voellig
transparenter Layer zwischen (deren) Filesystem und der
Storage-Hardware (des Hosts). Der zum ver/entschluesseln der Daten
notwendige Schluessel ist innerhalb der virtuellen Maschine weder
noetig noch vorhanden. Das Programm/Projekt"cfs" kann derartiges
leisten.
Innerhalb dieser - geschuetzten und eingeschraenkten - Umgebung kann
ich dann eine virtuelle Maschine wie vmware mit meinem Lieblings-OS
starten lassen, um Daten ueber das Internet zu uebertragen.

Wir benutzen unsere Systeme immer mit den wenigst-moeglichen
Benutzerrechten. Unter Unix seit immer schon gaengige Praxis, sind
die Moeglichkeiten dafuer auch auf moderneren Systemen aus dem Hause
Microsoft vorhanden (den Ur- Unix Mechanismen sogar ueberlegen!).
Warum eine konsequente Benutzung derartiger Mechanismen in der
Microsoft-Welt seit Jahren nicht vorangetrieben, sondern fast
verhindert wird, ist mir ein Raetsel.
Damit schraenken wir den Berechtigungshorizont des Virus weiter ein.
Allerdings beruht die Sicherheit eines derartigen Systems nicht auf
der strikten Einhaltung von Least-Privileges auf der virtuellen
Maschine; verdaechtige Dokumente wie die Steuererklaerung oder die
thermonuklearen Knallkoerper schaffe ich sowieso so schnell wie
moeglich aus dem Bereich den die virtuellen Surfstation"sieht" in
einen anderen Bereich des Host-Dateisystems - und zwar von ausserhalb
der virtuellen Maschine, um dann - entweder auf dem Hostsystem
selbst, oder einer weiteren virtuellen Maschine (ohne
Netzwerkressourcen) die Information zu extrahieren / zu betrachten.

Klar sollte natuerlich auch sein, dass sowohl die Dateisysteme der
virtuellen Maschine, aber auch schon die Dateisysteme des
uebergeordneten Jail/Zone Read-Only ins System eingebunden sind,
sofern es sich um ausfuehrbare Dateien handelt. Unter unix kann man
die entsprechenden noexec bzw. ro Flags von mount benutzen, fuer die
VM hat man zumindest ueber die Schreibbarkeit der Systembereiche des
gehosteten Systems volle Kontrolle.

Nun haben wir noch Protokoll- und Formatumbrueche im Aermel:
Das bedeutet zum Beispiel, dass ich ein ueber die virtuelle
Surfstation erhaltene Anleitung zum Bau von Wasserstoff-Handgranaten
(warning, strong! Throw for a minimum distance of 72 miles after
pulling the ring!) im.doc Format noch auf der virtuellen Maschine
als HTML, XML, OpenOffice oder sonstwas speichere.
Die neuformatierte Kopie transferiere ich in einen anderen Bereich
meines Systems, ausserhalb des Horizontes der virtuellen Maschine,
bevor ich sie dort (z.B. mit Staroffice) bearbeite.
Auch eine Umkodierung von Bildformaten waere hier denkbar.
Ausserdem kann man natuerlich die Vorstellung von"Internet", die die
virtuelle Maschine hat, bequem vom hostenden System aus steuern.
So ist es leicht zu erreichen, dass eine derartige virtuelle
Surfstation ausschliesslich ueber Proxies Internetservices benutzen
kann.

Ebenfalls auf Ebene des Hostsystems kann man ein VPN zu einem
(vertrauenswuerdigen / auslaendischen) Host, oder verschluesselte
Verbindungen zu einem System wie TOR aufbauen. Hier ist noch einige
Entwicklungsarbeit zu leisten, aber wenn ein Hostsystem
verschluesselte Verbindungen zu einem derartigen verteilten System
aufbaut, und diese der virtuellen Surfmaschine transparent zur
Verfuegung stellt, hat kein StaSi/BND/Staatsvirus eine Chance
dagegen, und das gesamte Angriffszenario von Herrn Birk verpufft in
einer Wolke aus verschwendeten Steuergeldern.

Wie man sieht, ist der Paranoia hier keine Grenze gesetzt, dem
Staatsvirus hingegen schon. Und ich gebe zu, dass die Sicherheit von
Computersystemen umgekehrt proportional zu ihrer
Benutzerfreundlichkeit ist. Wie gross der Rechenfehler in der
Steuererklaerung ist, und welche technischen Massnahmen deshalb
notwendig sind, muss jeder fuer sich selber ausmachen.

Was meine Einlassungen noch ueberhaupt nicht betrachten, ist der
Schutz der beteiligten Host- und Serversysteme. Was nuetzt eine
kryptografisch verpackte VM in einem Jail, wenn der Staat schon im
Kernel des Hostsystems sitzt? Nix mehr.
Und hier bin ich wieder mit Herrn Birk d'accord: Keine downgeloadeten
Binaries auf das System lassen. Im Falle von BSD sehr einfach - ich
kompiliere meine BSD Systeme seit Jahren komplett aus dem Source - im
Falle anderer Systeme komplizierter und nicht so vollautomatisch,
aber nicht unmoeglich.
Ein Problem ist hier die Vertrauenswuerdigkeit der
Quellcodedistribution: Wenn"Vater" (!) Staat schon auf den Routern /
Leitungen hockt, kann ich weder meinen DNS Anfragen, noch sonstgem IP
Verkehr mehr trauen. Allein kryptographisch abgesicherte Verbindungen
sind dann noch vertrauenswuerdig. Die Schnueffler koennten durchaus
ftp.freebsd.org oder www.debian.org komplett faelschen (inclusive
aller denkbaren Checksums) - und den IP-Verkehr dorthin auf mehreren
Ebenen verbiegen: sei es durch das Faelschen von DNS Information, sei
es auf Ebene der Routingprotokolle.
Auch in diesem Falle ist ein kryptografisch abgesicherter Tunnel in
einen vertrauenswuerdigen und bekannten Netzwerkbereich die Antwort;
Wenn mein System nicht mehr den DNS meines Providers fraegt, sondern
einen SSL Tunnel zu meinem in Brasilien gemieteten Rootserver
benutzt, wo ich selber einen Nameserver betreibe, dann ist es -
zumindest auf der Ebene - fuer die Schnueffler vorbei.
Gleiches gilt sinngemaess fuer alle anderen Protokolle, die ich
benoetige um mein Hostendes System zu bootstrappen.
Selbstverstaendlich kann ich mir die Quellen oder Binaerpakete meiner
Distributionen auch per Post schicken lassen - wieder eine frage der
Paranoia.

Wie man sieht: technisch haben wir ein paar Moeglichkeiten.

Eigentlich haben wir das auch politisch, das ist aber ein Gebiet auf
dem ich mich wesentlich weniger kompetent fuehle.
Dennoch: Wir muessen diesen Ueberwachungswahnsinn stoppen! Demokratie
kommt von"daemos" (das Volk) und"kratein" (herrschen), und
bezeichnet eine Staatsform, in der die Gewalt vom Volke ausgeht.
Das"der Staat" und"die Regierung" nicht unbedingt die selben sind,
sehen wir deutlich an dem derzeit herrschenden Unrechtsregime in den
USA, und dass verbrecherische Regierungsformen auch in Deutschland
nicht undenkbar sind, hat die Vergangenheit bereits mehrfach gezeigt.
Die allgemeine Bildungslage der Bevoelkerung stuetzt auch nicht
gerade meinen Optimismus, und ich meine dass jetzt schon an viel zu
vielen Stellen nicht im Sinne des Volkes regiert wird, mit schlimmer
werdender Tendenz.

Deshalb fordere ich jeden auf, mitzuhelfen, dass derartige
Schnueffelmassnahmen gegen die Gesamtbevoelkerung politisch,
juristisch, ethisch und gesellschaftlich Tabu bleiben.
Jeder ist gefragt: Juristen, Techies, Politiker, Lehrer, Professoren,
und jeder Waehler an der Urne.

Noch haben wir die Wahl.

ZITATENDE



Gruss

-->>Gibts da nicht die einfache Lösung eines Arbeits- und eines Netzrechners, die streng voneinander getrennt sind? Die angesprochene Lösung keinen externen Code auszuführen ist heutzutage doch wohl verharmlost gesagt unpraktikabel, oder?
>Kasi

Ja, die Lösung gibt es, sie ist aber nicht einfach durchzuhalten:
Die Daten mußt zwischen beiden Rechnern auf Stick (steinzeitlich: Floppy) hin und her tragen.
Verschlüsseln/entschlüsseln mußt Du schon auf dem Arbeitsrechner, was immer Du kommunizieren willst.
Auf dem Arbeitsrechner hast Du gar keinen Online-Zugriff (Banking, Mail,...)
Also wieder Briefe schreiben und diese lieber nicht zukleben. Wer das Briefgeheimnis (aus)nützt ist eh schon ein Problemfall.
Und die Ãœberweisungen bei der Bank abgeben. Bar zahlen ist ja auch nicht koscher.

All dies sind übrigens Methoden, die auch die OK verwendet, und damit wollten wir doch eigentlich nichts zu tun haben, oder?

Die Macht färbt halt doch immer langsam ein bisserl auf die Gemachten ab.

Dazu gab es letztes Jahr Beispiele von Dottore (u.a. die Wiener Soziologieprofessorin Kreisky, Sofsky u.a.)

-->>> Demokratie
>kommt von"daemos" (das Volk) und"kratein" (herrschen), und
>bezeichnet eine Staatsform, in der die Gewalt vom Volke ausgeht.

Hallo,

mitnichten, Demokrattie kommt von Ratten, die an die Spitze gespült werden und das Sagen kriegen, und entweder von dämo(nisch) bzw. Demo(version), also entweder vom Schlechten/Bösen, oder vom Vorgaukeln. Vielleicht auch aus allen dreien.

Aber von nichts anderem.

Professor Hermann von Oberth, Vater der Weltraumfahrt und Mentor Wernher von Brauns, schrieb einmal eine kleine Broschüre von der herrschenden Staatsform, der Kakokratie. Dabei ist ihm auch ein Fehler unterlaufen, denn es kommt halt nicht von kakos, sondern von Kacke. Sorry.

Beste Grüße vom Baldur

-->Der Autor dieses Textes sagt doch selber:

"Eigentlich haben wir das auch politisch, das ist aber ein Gebiet auf
dem ich mich wesentlich weniger kompetent fuehle."

Auch da hat er recht...

Gruss

>mitnichten, Demokrattie kommt von Ratten, die an die Spitze gespült werden und das Sagen kriegen, und entweder von dämo(nisch) bzw. Demo(version), also entweder vom Schlechten/Bösen, oder vom Vorgaukeln. Vielleicht auch aus allen dreien.
>Aber von nichts anderem.
>Professor Hermann von Oberth, Vater der Weltraumfahrt und Mentor Wernher von Brauns, schrieb einmal eine kleine Broschüre von der herrschenden Staatsform, der Kakokratie. Dabei ist ihm auch ein Fehler unterlaufen, denn es kommt halt nicht von kakos, sondern von Kacke. Sorry.
>Beste Grüße vom Baldur

-->>Ganz so schwarz wie Herr Birk sehe ich die
>Verteidigungsmoeglichkeiten auf technischer Ebene allerdings nicht:
>die Zauberworte heissen in meinen Augen
>- Virtualisierung
>- Least Privileges
>- Keine Schreibbarkeit ausfuehrbarer Daten (und umgekehrt)
>- Protokollumbrueche
>- Formatumbrueche

Na also, da sind doch zwar nicht alle aber viele der Zutaten fuer das Konstrukt der adaequaten Schaeuble-Absicherung.

>All das ist zwar technisch nicht unkomplex und teilweise recht
>unbequem; aber wenn wir unsere"schoengeschminkte" Steuererklaerung
>(oder auch unsere Plaene zum Bau thermonuklearer Sylvesterraketen)
>vor der Analyse durch die Schnueffler schuetzen wollen, mussen wir
>wohl ein paar Unbequemlichkeiten in Kauf nehmen, die ueber die
>Installation von Nortons bunter Firewall hinausgehen.

Ach was, das ganze laesst sich so hinbuegeln, das selbst ein blutiger PC-Amateur kaum etwas von den sog."Unbequemlichkeiten" merkt.

>In der Praxis bedeutet das:
>Wir benutzen zum Zugriff auf das Internet virtuelle Maschinen. Diese
>lassen wir in einer kontrollierten Umgebung laufen, und stellen ihnen
>nur die Ressourcen zur Verfuegung die sie unbedingt brauchen. Dadurch
>schuetzen wir unsere IP-Stacks, und koennen leichter eine Permanenz
>des virulenten Staatscodes verhindern.
>Ein Beispiel waere ein FreeBSD-Jail, oder eine Solaris-Zone,
>innerhalb derer eine Windows oder Linux Installation unter VMWare
>laeuft. Die Zone bzw. der Jail schuetzt meine Ressourcen, auch dann
>wenn die Virtualisierungssoftware (vmware in dem Fall) selbst
>kompromittiert ist.
>Die ausfuehrbaren Programme der Zone/Jail werden readonly gemounted,
>oder kommen von einem nicht schreibbaren Datentraeger (DVD), die
>schreibbaren Bereiche (Datenbereiche) des virtuellen Surfsystems
>kommen ueber ein Netzwerkprotokoll, z.B. nfs, cifs oder
>loopback-mount. Hier ist auch die Einfuehrung von Kryptographie
>sinnvoll: Ist das Filesystem an dieser Stelle verschluesselt, so ist
>dies ein fuer die gehostete virtuelle Surfstation voellig
>transparenter Layer zwischen (deren) Filesystem und der
>Storage-Hardware (des Hosts). Der zum ver/entschluesseln der Daten
>notwendige Schluessel ist innerhalb der virtuellen Maschine weder
>noetig noch vorhanden. Das Programm/Projekt"cfs" kann derartiges
>leisten.
>Innerhalb dieser - geschuetzten und eingeschraenkten - Umgebung kann
>ich dann eine virtuelle Maschine wie vmware mit meinem Lieblings-OS
>starten lassen, um Daten ueber das Internet zu uebertragen.
>Wir benutzen unsere Systeme immer mit den wenigst-moeglichen
>Benutzerrechten. Unter Unix seit immer schon gaengige Praxis, sind
>die Moeglichkeiten dafuer auch auf moderneren Systemen aus dem Hause
>Microsoft vorhanden (den Ur- Unix Mechanismen sogar ueberlegen!).

Ja, so wird das was, auch wenn hier zuvor laengst nicht alle Moeglichkeiten und Aspekte aufgefuehrt wurden.

>Warum eine konsequente Benutzung derartiger Mechanismen in der
>Microsoft-Welt seit Jahren nicht vorangetrieben, sondern fast
>verhindert wird, ist mir ein Raetsel.

Wenn jemand die Antwort auf dieses Microsoft-Raetsel weiss und begruenden kann, dann bin ich das, weil ich aus vielen gleichen oder aehnlichen Gruenden fast die gesamten 80-er Jahre gegen gewisse Abteilungen der IBM Deutschland GmbH einen regelrechten Krieg ausgefochten habe, der letztendlich komplett zu Gunsten meiner Architekturen und Initiativen entschieden wurde.

Der Grund der Verhinderung solcher Architekturen und deren konsequente Benutzung ist allein darin zu suchen, dass sie die Benutzer in jeder Hinsicht, gerade auch in strategischem Hinblick, einerseits flexibilisiert und andererseits modularisiert, was ihnen letztendlich eine grosse Menge Zeit und Geld erspart, daran war jedoch zu frueheren Zeiten weder die IBM interessiert, noch ist Microsoft heute daran interessiert.

>Damit schraenken wir den Berechtigungshorizont des Virus weiter ein.
>Allerdings beruht die Sicherheit eines derartigen Systems nicht auf
>der strikten Einhaltung von Least-Privileges auf der virtuellen
>Maschine; verdaechtige Dokumente wie die Steuererklaerung oder die
>thermonuklearen Knallkoerper schaffe ich sowieso so schnell wie
>moeglich aus dem Bereich den die virtuellen Surfstation"sieht" in
>einen anderen Bereich des Host-Dateisystems - und zwar von ausserhalb
>der virtuellen Maschine, um dann - entweder auf dem Hostsystem
>selbst, oder einer weiteren virtuellen Maschine (ohne
>Netzwerkressourcen) die Information zu extrahieren / zu betrachten.
>Klar sollte natuerlich auch sein, dass sowohl die Dateisysteme der
>virtuellen Maschine, aber auch schon die Dateisysteme des
>uebergeordneten Jail/Zone Read-Only ins System eingebunden sind,
>sofern es sich um ausfuehrbare Dateien handelt. Unter unix kann man
>die entsprechenden noexec bzw. ro Flags von mount benutzen, fuer die
>VM hat man zumindest ueber die Schreibbarkeit der Systembereiche des
>gehosteten Systems volle Kontrolle.
>Nun haben wir noch Protokoll- und Formatumbrueche im Aermel:
>Das bedeutet zum Beispiel, dass ich ein ueber die virtuelle
>Surfstation erhaltene Anleitung zum Bau von Wasserstoff-Handgranaten
>(warning, strong! Throw for a minimum distance of 72 miles after
>pulling the ring!) im.doc Format noch auf der virtuellen Maschine
>als HTML, XML, OpenOffice oder sonstwas speichere.
>Die neuformatierte Kopie transferiere ich in einen anderen Bereich
>meines Systems, ausserhalb des Horizontes der virtuellen Maschine,
>bevor ich sie dort (z.B. mit Staroffice) bearbeite.
>Auch eine Umkodierung von Bildformaten waere hier denkbar.
>Ausserdem kann man natuerlich die Vorstellung von"Internet", die die
>virtuelle Maschine hat, bequem vom hostenden System aus steuern.
>So ist es leicht zu erreichen, dass eine derartige virtuelle
>Surfstation ausschliesslich ueber Proxies Internetservices benutzen
>kann.
>Ebenfalls auf Ebene des Hostsystems kann man ein VPN zu einem
>(vertrauenswuerdigen / auslaendischen) Host, oder verschluesselte
>Verbindungen zu einem System wie TOR aufbauen. Hier ist noch einige
>Entwicklungsarbeit zu leisten, aber wenn ein Hostsystem
>verschluesselte Verbindungen zu einem derartigen verteilten System
>aufbaut, und diese der virtuellen Surfmaschine transparent zur
>Verfuegung stellt, hat kein StaSi/BND/Staatsvirus eine Chance
>dagegen, und das gesamte Angriffszenario von Herrn Birk verpufft in
>einer Wolke aus verschwendeten Steuergeldern.

Das hat der Schreiber aber jetzt sehr schoen dargestellt!

So isses exakt, wenn die Architektur stimmt.

>Wie man sieht, ist der Paranoia hier keine Grenze gesetzt, dem
>Staatsvirus hingegen schon. Und ich gebe zu, dass die Sicherheit von
>Computersystemen umgekehrt proportional zu ihrer
>Benutzerfreundlichkeit ist.

Das ist aber entschieden zu schwarz gesehen, so schlimm isses nun nicht.

>Wie gross der Rechenfehler in der
>Steuererklaerung ist, und welche technischen Massnahmen deshalb
>notwendig sind, muss jeder fuer sich selber ausmachen.
>Was meine Einlassungen noch ueberhaupt nicht betrachten, ist der
>Schutz der beteiligten Host- und Serversysteme. Was nuetzt eine
>kryptografisch verpackte VM in einem Jail, wenn der Staat schon im
>Kernel des Hostsystems sitzt? Nix mehr.

Das ist richtig.

>Und hier bin ich wieder mit Herrn Birk d'accord: Keine downgeloadeten
>Binaries auf das System lassen. Im Falle von BSD sehr einfach - ich
>kompiliere meine BSD Systeme seit Jahren komplett aus dem Source - im
>Falle anderer Systeme komplizierter und nicht so vollautomatisch,
>aber nicht unmoeglich.

Das adressiert letztendlich nicht das Problem Staat im Kernel des Hostsystems, das"man" sich so etwas nicht einfach durch einen download einfaengt, das versteht sich wohl von selbst.

Nein, das Problem bei diesem Thema ist, wenn der Staat von Anfang an wie ein Wurm in den wie auch immer distributierten OSsen drinhaengt.

>Ein Problem ist hier die Vertrauenswuerdigkeit der
>Quellcodedistribution: Wenn"Vater" (!) Staat schon auf den Routern /
>Leitungen hockt, kann ich weder meinen DNS Anfragen, noch sonstgem IP
>Verkehr mehr trauen. Allein kryptographisch abgesicherte Verbindungen
>sind dann noch vertrauenswuerdig. Die Schnueffler koennten durchaus
>ftp.freebsd.org oder www.debian.org komplett faelschen (inclusive
>aller denkbaren Checksums) - und den IP-Verkehr dorthin auf mehreren
>Ebenen verbiegen: sei es durch das Faelschen von DNS Information, sei
>es auf Ebene der Routingprotokolle.
>Auch in diesem Falle ist ein kryptografisch abgesicherter Tunnel in
>einen vertrauenswuerdigen und bekannten Netzwerkbereich die Antwort;
>Wenn mein System nicht mehr den DNS meines Providers fraegt, sondern
>einen SSL Tunnel zu meinem in Brasilien gemieteten Rootserver
>benutzt, wo ich selber einen Nameserver betreibe, dann ist es -
>zumindest auf der Ebene - fuer die Schnueffler vorbei.
>Gleiches gilt sinngemaess fuer alle anderen Protokolle, die ich
>benoetige um mein Hostendes System zu bootstrappen.
>Selbstverstaendlich kann ich mir die Quellen oder Binaerpakete meiner
>Distributionen auch per Post schicken lassen - wieder eine frage der
>Paranoia.

Darum geht es bei dem Problem, wenn naemlich selbst im postversandlichen Quellcode einer Distribution der Staat ggf. per Gesetz eingebaut ist.

>Wie man sieht: technisch haben wir ein paar Moeglichkeiten.
>Eigentlich haben wir das auch politisch, das ist aber ein Gebiet auf
>dem ich mich wesentlich weniger kompetent fuehle.
>Dennoch: Wir muessen diesen Ueberwachungswahnsinn stoppen! Demokratie
>kommt von"daemos" (das Volk) und"kratein" (herrschen), und
>bezeichnet eine Staatsform, in der die Gewalt vom Volke ausgeht.
>Das"der Staat" und"die Regierung" nicht unbedingt die selben sind,
>sehen wir deutlich an dem derzeit herrschenden Unrechtsregime in den
>USA, und dass verbrecherische Regierungsformen auch in Deutschland
>nicht undenkbar sind, hat die Vergangenheit bereits mehrfach gezeigt.
>Die allgemeine Bildungslage der Bevoelkerung stuetzt auch nicht
>gerade meinen Optimismus, und ich meine dass jetzt schon an viel zu
>vielen Stellen nicht im Sinne des Volkes regiert wird, mit schlimmer
>werdender Tendenz.
>Deshalb fordere ich jeden auf, mitzuhelfen, dass derartige
>Schnueffelmassnahmen gegen die Gesamtbevoelkerung politisch,
>juristisch, ethisch und gesellschaftlich Tabu bleiben.
>Jeder ist gefragt: Juristen, Techies, Politiker, Lehrer, Professoren,
>und jeder Waehler an der Urne.
>Noch haben wir die Wahl.

Die Stasi tobt und Tassie kichert,
denn er ist Schaeuble abgesichert!

Um das an dieser Stelle nochmals klar zu stellen, Schutzmassnahmen, wie sie oben beschrieben sind, kosten maschinelle Resourcenleistung, mit einem Eurotz 500.-- PC von Aldi sind da heute keine Lorbeeren zu holen, jedoch Maschinen so etwa ab 900.-- bis 1 Mille bei den heutigen Preisskalen sind dazu geeignet.

>
>Gruss

Gruss!
TD