Sicherheits GAU: Der Spion der mit der Kälte kam.

[WDZaphod]

Ich halte die Sorgen/Ängste des Threaderstellers für berechtigt, sie basieren auf Tatsachen. Der Staat greift unliebsame Personen aktiv an. Schon "verdächtige" Suchworte in Suchmaschinen können U-Haft zur Folge haben.
Lest mal ein bischen auf www.knochentrocken.de , dort ist einiges sehr schön beschrieben, natürlich incl. Links zu den Quellen.

Unberechtigt halte ich allerdings die "Vertreufelung" des Apple-Konzepts. Wie Rastafari so schön schreibt: Hardwarezugriff=GAU. IMMER. Pack Dein Notebook ein, wenn Du weggest, wenn da wirklich sensitives drauf ist. Mit anderer HArdware hast Du mindestens die gleichen Probs. Prinzipiell wird man ein EFI-System sicherer machen können, da es erweiterbar ist. Das ist das veraltete BIOS kaum.
Bios-PW=sicher? Jajaj...
Ein IBM-Laptop mit aktiviertem Boot-Passwort läßt sich so leicht starten: Einfach via Wake-On-LAN. Um Software-Updates von Firmen-Admins möglich zu machen, starten die Dinger dann nämlich OHNE Passwort...

 

[SilentCry]

Bios-PW=sicher? Jajaj...

Sicherer als das OF schon, wenn es WAHR sein sollte was rastafari sagt, dass das enkoppeln der HDD ohne PWD zwingend einen USB-Boot oder Netboot verursacht. Ich habe es noch nicht probiert.

Ein IBM-Laptop mit aktiviertem Boot-Passwort läßt sich so leicht starten: Einfach via Wake-On-LAN. Um Software-Updates von Firmen-Admins möglich zu machen, starten die Dinger dann nämlich OHNE Passwort...

Das kann man abdrehen. Ist übrigens auch bei unseren Maschinen abgedreht.

Ich "verteufle" das Applekonzept nicht. Ich beziehe mich nur darauf, dass es "über dem Zaun" zumindest ein paar mehr Sicherheitsperimeter einzustellen und etwas mehr Auswahl an Hardware zu dem Thema gibt.

 

[Rastafari]

Sicherer als das OF schon

Nicht im geringsten. Es lässt sich noch primitiver und schneller löschen. (Der RAM-Riegel darf hier drin bleiben.)

wenn es WAHR sein sollte was rastafari sagt

Höre ich da Zweifel? Ts, ts, ts...

dass das enkoppeln der HDD ohne PWD zwingend einen USB-Boot oder Netboot verursacht. Ich habe es noch nicht probiert.

Natürlich tut es das. Diese Startup-Prozedur ist im wesentlichen gleich gestaltet, seit es Macintosh-Rechner gibt. Daran haben OpenFirmware oder EFI nicht viel geändert, nur sind halt jetzt statt Floppys und SCSI-Geräten andere Typen mit anderer Anschlusstechnik im Einsatz. Such doch einfach nach Threads zum Thema "blinkendes Fragezeichen" bzw "drehende Weltkugel", dann kennst du das Procedere doch schon lange.

Wird das eine voreingestellte Startvolume nicht dort gefunden wo es angegeben ist, werden der Reihe nach sämtliche Peripheriegeräte an allen bootfähigen Bussen abgeklappert. Wer diese Reihenfolge kennt (die ist immer gleich), kann genau vorausbestimmen wo der erste "Hit" auf ein startfähiges OS eintreffen wird. Simples Ding, etwa so schwer wie vorauszusagen was wohl passieren wird, wenn ich direkt über meinem Fuss einen Hammer fallen lasse, und eine vorhandene Tischplatte dazwischen ziehe ich vorher einfach zur Seite....

Das kann man abdrehen. Ist übrigens auch bei unseren Maschinen abgedreht.

Und die Pufferbatterie auf dem Mainboard kann man auch abdrehen. Einem simplen Kurzschluss ist diese traurige Lithiumzelle kaum gewachsen.
So ist das mit den flüchtigen RAMs halt: Strom weg, Erinnerung weg, das wars --> Werkszustand, die Tür ist offen.

Das *muss* auch so sein, denn mit Permanentspeichern könnte es schnell passieren, dass du vor einem unbenutzbaren und damit "defekten" Mainboard stehst, nur weil sich eine x-beliebige BIOS-Einstellung als fehlerhaft erweist. Diese CMOS-Zwangsamnesie ist häufig der letzte Weg, einen ansonsten völlig intakten, aber nur falsch eingestellten Rechner vor dem sinnlosen Gang zum Schrottplatz zu bewahren. DAS Geschrei der Kundschaft möchte ich mal hören, wenn das mal nicht mehr ginge...oh wei, oh weia.

...dass es "über dem Zaun" zumindest ein paar mehr Sicherheitsperimeter einzustellen...

LOL. Wen interessiert denn das, was du "einstellen" kannst. Die einzige Frage die sich stellt ist, ob das auch was brauchbares BEWIRKT.
Ansonsten kannst du dir auch ein schönes Schild an die Haustür hängen:
"Bitte hier nicht einbrechen, das ist ein ehrenwertes, sicheres Haus. Dankeschön."

 

[Bier]

Naja... man kann natürlich mit cat /dev/mem mit /dev/urandom überschreiben vor dem Shutdown und rm -r /var/vm/* hat unter gewissen Gesichtspunkten auch Sinngehalt. Damit hat sich das zum Ausschalten erledigt, bleibt der Reboot.
Das erzeugt allerdings keinesfalls lokale Sicherheit, nur eben macht es Cold-Boot Attacks im Auszustand unmöglicher.

Das Letzte, was ich bei Sicherheitsproblemen bei osX fürchte ist das. Das ist echt das am wenigsten gefährliche Mittel um einen Mac aufzubekommen. Schätzungsweise ist das per remote Exploit 10x einfacher.

Mal ernsthaft: es ist ein Mac, kein Hochsicherheitssystem, das super gehardended wird.

 

[Rastafari]

man kann natürlich mit cat /dev/mem mit /dev/urandom überschreiben vor dem Shutdown

Ömmm...
Erinnert mich irgendwie an Münchhausen, der sich selber am Schopf aus dem Sumpf zieht...
...aber wenn du meinst dass das geht, bitte. Mach das.
"Crash different" - man soll da ruhig flexibel sein.

 

[Dinofelis]

Nach einer schlaflosen Nacht habe ich mich entschlossen, einen neuen Thread zu eröffnen.

Ich habe den gesamten Thread gelesen und konnte einige Lösungen zum Problem des schockfrost-ramklaus lesen. Wenn denn dann alles so gesichert werden kann, wie du es dir vorstellst, hätte der Thread dir vielleicht geholfen. Das Thema ist trotzdem ziemlich nebensächlich, und ich denke, es fühlt sich so gut wie niemand davon betroffen.

Aber für dich bleiben vielleicht doch ein paar Fragen, die du klären solltest, wenn sie auf dich zutreffen.

Bist du sicher, dass der Briefträger deine Post nicht öffnet?
Wer könnte Kopien deines Briefkastenschlüssels haben?
Bist du sicher, dass es keine verschleppten Beobachtungen gibt? (*)
Hast du schallisolierende Kulissen an den Fenstern?
Hast du deinen EDV-Bereich gegen Abstrahlung geschützt?
Gibt es induktive Wanzen an deinen Komunikationsleitungen?
Bist du sicher, dass niemand mithört, wenn du mit anderen sprichst?
Bist du sicher, dass es keinerlei Notizen außerhalb deines PC gibt?
Hast du alle verräterischen Hinweise auf deine Person aus deiner Wohnung entfernt?
Hast du dafür gesorgt, dass du ohne Spuren ganz schnell verschwinden kannst?
Bist du sicher, dass niemand deine eigenen Vorkehrungen zu deinen Ungunsten nutzen könnte?
Wenn du plötzlich verschwinden würdest, würde es jemand merken?
Weiß jemand, wer deine Freunde sind, und wie man sie erreicht?
Hast du dafür gesorgt, dass dein PC in die richtigen Hände gerät, wenn du verschwindest?

(*) Jemand dringt regelmäßig in deine Wohnung ein, um sich zu informieren, oder beobachtet dich, tut aber nichts.


hahaha, das war alles nicht ernst gemeint. Aber wenn du es ernst genommen hast, solltest du vielleicht einen Threapeuten konsultieren.

 

[DesignerGay]

Nehmen wir mal an ich habe meine eigenen Computer total sicher gemacht.

Was ist mit meinen Daten die ich sonst so überall hinterlasse:
Durch Handy, Telefon, Internet, Bank (BankCard/Kreditkarte), Arzt, Gemeinde/Stadt, Kirchengemeinde, durchfahrt durch eine Mautbrücke und was es da sonst noch so alles gibt.

 

[Utz Gordon]

Hallo!


Ich denke, ich kann mich zumindest in Teilen dem Threadstarter und auf dieser Seite auch WDZaphod anschließen. Informationen aller Art sind inzwischen viel Geld wert, egal wie irrelevant sie vielleicht sie vielleicht auf den ersten Blick erscheinen mögen. In Zukunft wird sich diese Tendenz meiner Meinung nach deutlich verschärfen... als einen Vorgeschmack können wir Google heranziehen, dass wohl spekuliert, die Googlemail-Konten für statistische (Werbe-?)Zwecke heranzuiehen. Das alles mag irgendwann ein deutliches Plus an Lebensqualität darstellen (Payback-Systeme, personalisierte Startseiten, evtl. Gesundheitskarte), es mag lästig werden (Payback-Werbung, personalisierter Spam, Nervigkeiten durch die Krankenkassen) und es mag bedrohlich werden.

Letzteres ist natürlich hoch spekulativ... aber ich möchte, wie schon mal von anderen Leuten im Thread getan, die rechtsstaatlichen Probleme unterstreichen, die wir datenschutztechnisch momentan haben oder bald haben werden:

- Bankgeheimnis so gut wie aufgehoben
- Telefongeheimnis gilt nicht mehr für Journalisten, Anwälte, Ärzte; Seelsorger sollen folgen
- Es dürfen präventive Gewaltmaßnahmen ohne Verfahren durchgeführt werden
- zum Glück abgewehrt: die Exekutive hätte beinahe ohne Anordnung in jedermanns Sachen schnüffel dürfen
- Die Nummernschilder von PKW werden in Teilen Europas bereits registriert für vereinfachte Fahndungen

In der BRD im Jahre 2008 mag das alles absolut kein Problem sein. Ein autoritärer Staat allerdings kann innerhalb weniger Legislaturperioden entstehen und mit diesen MItteln drastisch an der Rechtsstaatordnung sägen, z.B. in diesem Szenario:

Ein Journalist schreibt über lange Zeit sehr unerwünscht Artikel über irgendwelche politisch relevanten Themen. Der Journalist wird kurzerhand zum Verdächtigen erklärt und ausspioniert, seine Bewegungen verfolgt. Ein paar Tage oder Wochen später findet er in seinem Briefkasten dann ein paar private Dokumente, Fotos oder sonst irgendetwas, dass ihm signalisiert, dass er beobachtet wird. Wenn die richterliche Anordnung für solche Dinge nicht mehr in jedem Fall notwendig ist, lässt sich auf diese Art und Weise völlig legal de Exekutive für die INteressen der Legislative missbrauchen - der Journalist kann so bedroht und stummgeschaltet werden. Durch die Überschneidung von demokratischen Kräften wird die Meinungsfreiheit beschnitten. Herzlich willkommen in Russland.



So. Tut mir leid wenn ich jetzt etwas sehr dramatisiert habe, aber ich möchte verdeutlichen, was für ein Potential die Datenschutdebatte eigentlich in sich hat. Wem die Russland-Nummer zu theatralisch ist, der stelle sich einfach mal vor, sein Computer würde über eine Malware auf bestimmte Sachen ausgewertet, die Ergebnisse kämen dann über verschlungene Wege in Marketingbetriebe und er wird seit dem gnadenlos zugemüllt. Das dürfte ein ausreichend nerviges Beispiel sein.



Jetzt kann ich wieder zum Ausganspunkt zurückkommen: der Handel und die Verwaltung von Informationen kann Segen, Belästigung oder Fluch sein. Aber ich denke, wir als Verbraucher haben durch unser Verhalten ganz gut im Griff, ob wir einen Markt für MIssbrauch entstehen lassen oder nicht - erst recht, wenn wir nicht nur mit Privatsachen auf dem Laptop herumrennen, sondern z.B. auch mit vertraulichen Patienten-/Klienten-/Mandanten-/Kundendaten.



In dem Sinne möchte ich die Hartnäckigkeit loben, mit der einige Teilnehmer dieser Diskussion ihre Standpunkte diskutieren. Der Schutz von Daten wird in der IT zunehmende Bedeutung gewinnen, und es ist nie verkehrt, mal etwas darüber zu lernen. Dabei ist es mir persönlich völlig gleich, ob man die ganze Sache technisch nüchtern betrachtet oder den auferstandenen Faschismus ins Gespräch bringt.

 

[SilentCry]

Und die Pufferbatterie auf dem Mainboard kann man auch abdrehen. Einem simplen Kurzschluss ist diese traurige Lithiumzelle kaum gewachsen.
So ist das mit den flüchtigen RAMs halt: Strom weg, Erinnerung weg, das wars --> Werkszustand, die Tür ist offen.

Ich bin ja Deiner Meinung! Ich sage nur, es ist im Prinzip _cleverer_ und tatsächlich _weniger aufwändig_ bzw. weniger riskant, wenn der Angreifer das RAM ausbaut und in seinem eigenen Equipment ausliest. Das war alles. Ich wollte eigentlich nur verhindern, was ich hier angeregt habe, nämlich dass aus der Frozen-RAM-Attacke eine Diskussion über die Wirksamkeit von Firmwarepasswörtern wird. Ich sehe das OF bestenfalls als Manipulationsmelder. War es da und ist nun weg: Gerät komprimittiert. Und das OF-PWD hilft gegen das Attack with Fire.

Das Letzte, was ich bei Sicherheitsproblemen bei osX fürchte ist das. Das ist echt das am wenigsten gefährliche Mittel um einen Mac aufzubekommen. Schätzungsweise ist das per remote Exploit 10x einfacher.

Aber das kann man besser verhindern. Ich will ja nicht wieder abschweifen, aber remote in mein System zu kommen wird der GeStaSiPo-Trojaner kaum schaffen. (Ich meine _richtig_ remote, nicht indem der MI5 bei mir einbricht ...). Unmöglich? Nein, sicher nicht. Realistisch machbar? Wohl kaum.

Mal ernsthaft: es ist ein Mac, kein Hochsicherheitssystem, das super gehardended wird.

Aber das muss so nicht bleiben. Vor 800 Jahren wurden Menschen im Schnitt kaum 35. Hätte man sagen sollen "Ach, der menschliche Körper ist halt anfällig, ist kein System, das alt werden kann" anstatt mit Medizin und Vorbeugung die Lebenserwartung mehr als zu verdoppeln?

"Crash different" - man soll da ruhig flexibel sein.

Ich habe den gesamten Thread gelesen und konnte einige Lösungen zum Problem des schockfrost-ramklaus lesen.

Du hast vielleicht Ansätze zur Lösung gelesen. Ein Ansatz ist zB. auch der, dass man wie ich zZt. den Rechner wie im Bunker betreibt. Ein anderer ist, mühsame Einzelverschlüsselung zu etablieren und die entsprechenden Container immer wie im Bunkermodus abzumelden. Leichte Entschärfung der Gefahr zu Lasten des Komforts, nicht Lösung, würde ich das nennen.

Wenn denn dann alles so gesichert werden kann, wie du es dir vorstellst, hätte der Thread dir vielleicht geholfen. Das Thema ist trotzdem ziemlich nebensächlich, und ich denke, es fühlt sich so gut wie niemand davon betroffen.

Viele nicht. So gut wie niemand... würde ich nicht sagen. Du offenbar fühlst Dich zwar nicht betroffen, aber berufen, Dich dazu zu äußern. Warum eigentlich? Warum eigentlich können solche Threads nicht denen bleiben, die das Thema ansprechen wollen?

Bist du sicher, dass der Briefträger deine Post nicht öffnet?

Nein.

Wer könnte Kopien deines Briefkastenschlüssels haben?

Unüberschaubar viele.

Bist du sicher, dass es keine verschleppten Beobachtungen gibt? (*)

Ja.

Hast du schallisolierende Kulissen an den Fenstern?

Zum Teil.

Hast du deinen EDV-Bereich gegen Abstrahlung geschützt?

Zum Teil.

Gibt es induktive Wanzen an deinen Komunikationsleitungen?

Unwahrscheinlich

Bist du sicher, dass niemand mithört, wenn du mit anderen sprichst?

Wenn ich es will, schon.

Bist du sicher, dass es keinerlei Notizen außerhalb deines PC gibt?

Keine sicherheitskritischen, ja.

Hast du alle verräterischen Hinweise auf deine Person aus deiner Wohnung entfernt?

Ja. Aber ich fürchte, wir verstehen unter "verräterisch" unterschiedliche Dinge.

Hast du dafür gesorgt, dass du ohne Spuren ganz schnell verschwinden kannst?

Warum?

Bist du sicher, dass niemand deine eigenen Vorkehrungen zu deinen Ungunsten nutzen könnte?

Ja.

Wenn du plötzlich verschwinden würdest, würde es jemand merken?

Ja.

Weiß jemand, wer deine Freunde sind, und wie man sie erreicht?

Innerhalb des Kreises, ja.

Hast du dafür gesorgt, dass dein PC in die richtigen Hände gerät, wenn du verschwindest?

Ja. Und nicht nur der PC.

hahaha, das war alles nicht ernst gemeint. Aber wenn du es ernst genommen hast, solltest du vielleicht einen Threapeuten konsultieren.

Vielleicht war mein Fehler, Dich ernst zu nehmen?

Was ist mit meinen Daten die ich sonst so überall hinterlasse:
Durch Handy, Telefon, Internet, Bank (BankCard/Kreditkarte), Arzt, Gemeinde/Stadt, Kirchengemeinde, durchfahrt durch eine Mautbrücke und was es da sonst noch so alles gibt.

Das hast Du in der Hand. Ich bezahle gelegentlich mit Kreditkarte. Auch mit Bankomat. Das Schergensystem braucht ja ein Profil, sonst ist man verdächtig. Manche Zeitschriften allerdings lese ich nur im Cafe bzw wenn ich sie kaufe, zahle ich bar. Bücher bestelle ich nie selbst. Usw.

In dem Sinne möchte ich die Hartnäckigkeit loben, mit der einige Teilnehmer dieser Diskussion ihre Standpunkte diskutieren. Der Schutz von Daten wird in der IT zunehmende Bedeutung gewinnen, und es ist nie verkehrt, mal etwas darüber zu lernen. Dabei ist es mir persönlich völlig gleich, ob man die ganze Sache technisch nüchtern betrachtet oder den auferstandenen Faschismus ins Gespräch bringt.

Danke.

 

[Paganethos]

Angenommen mein PC wird im Sleep Mode geklaut, das RAM ausgebaut und erfolgreich ausgelesen. Um dann an die interessanten Daten auf meiner HDD zu kommen muss diese ja ausgebaut werden. Was passiert dann eigentlich mit den eigentlich noch geöffneten Dateien?

 

[SilentCry]

Angenommen mein PC wird im Sleep Mode geklaut, das RAM ausgebaut und erfolgreich ausgelesen. Um dann an die interessanten Daten auf meiner HDD zu kommen muss diese ja ausgebaut werden. Was passiert dann eigentlich mit den eigentlich noch geöffneten Dateien?

Nun, die HDD auszubauen und auszulesen dürfte kein Problem sein. Dagegen würde nur eine hardwareverschlüsselte Platte helfen, am besten eine, die beim Aufwachen aus S3 (sleep) nochmal eine PWD-Eingabe erfordert (sonst könnte man versuchen, sie unterbrechungsfrei umzuhängen, was zwar sicher keine leichte Übung mehr ist aber möglich).
Offene Dateien werden vermutlich insofern verloren, als dass die Änderungen ggf. nicht zurückgeschrieben wurden. Aber diese noch nicht gespeicherten Änderungen müssten dann ja im RAM stehen und das RAM... ;.)

Es gäbe für den S3-Mode eine Lösung. Apple müsste beim Einfahren in den S3 die Passphrase aus dem RAM löschen. Beim Aufwachen müsste EFI übernehmen und die erneute Eingabe des Passwortes verlangen. Problem: Welches PWD, man könnte ja mehrere Nutzer haben.

Alternativ: Das OF-PWD wird herangezogen, um die Passphrase zu verschlüsseln. Dann müsste EFI das OF-PWD abfragen, bevor der S3 wieder beendet wird.

Das sind aber eben Dinge, die APPLE tun muss. Wir können das nicht.

 

[Dinofelis]

Du offenbar fühlst Dich zwar nicht betroffen, aber berufen, Dich dazu zu äußern. Warum eigentlich? Warum eigentlich können solche Threads nicht denen bleiben, die das Thema ansprechen wollen?

Das Thema ist: "Sicherheits GAU: Der Spion der mit der Kälte kam", und das spreche ich an.

Deswegen habe ich weitere "Spion"-Fragen gestellt. Und ich danke Dir, dass du sie beantwortet hast!

Im Verlauf der Diskussion bemerkte ich, dass es dir ja nicht vorrangig um Spione geht, aus welcher Ecke auch immer die kommen sollten, und gar nicht mal um die theoretische Möglichkeit, dass jemand mit viel High-Tech und absolut perfektem Timing per schockfrosten deinen RAM auslesen könnte.

Dir geht es offensichtlich viel mehr darum, deine Unzufriedenheit mit unserer Gesellschaft auszudrücken, und du nimmst diesen aktuellen schockfrost-Fakt stellvertretend, um klarzustellen, dass wir uns Gedanken machen sollen.

Vielleicht war mein Fehler, Dich ernst zu nehmen?

Das ist schon in Ordnung so.

Ich bezahle gelegentlich mit Kreditkarte. Auch mit Bankomat. Das Schergensystem braucht ja ein Profil, sonst ist man verdächtig. Manche Zeitschriften allerdings lese ich nur im Cafe bzw wenn ich sie kaufe, zahle ich bar.

Zu solchen Themen habe ich einen anderen Standpunkt. Leider erwische ich mich gerade dabei, wie ich mitleidig über deine Äußerungen lächele. Sorry! Ich bin ja auch ein Teilnehmer dieses Forums, und solche Aspekte möchte ich äußern.

 

[SilentCry]

Zu solchen Themen habe ich einen anderen Standpunkt. Leider erwische ich mich gerade dabei, wie ich mitleidig über deine Äußerungen lächele. Sorry! Ich bin ja auch ein Teilnehmer dieses Forums, und solche Aspekte möchte ich äußern.

Das ist schon in Ordnung so.
*g*

 

[Mr.West]

Das alles erinnert mich irgendwie daran...

 

[Bier]

"Kameraden singt!", sprach damas OFW *name zensiert* als ich beim Bund war, und die Herren sangen, darunter ich. Es war das Lied: "Einigkeit und Recht und Freiheit..." und die Melodie ist verklungen, wenn ich der Innenpolitik eines Präventivstaates lausche, der durch das Bundesverfassungsgericht an den Rechtsstaat erinnert wird, aber gleichzeitig betont: "einen staatsfreien Raum dürfe es nicht geben" (http://www.zeit.de/online/2008/11/IT-Grundrecht?page=all).

Naja... Unzufriedenheit und Worte daraus machen ist genauso wenig falsch wie zufrieden singen. Nur... manches Strammgestehe ist dann wieder doch undemokratisch, was mich zum technischen Standpunkt dieses Threads zurückbringt, da Demokratie im Netz bekanntlich aufhört.

Auf dem Linux Stand auf der CeBit gabs nen netten Vortrag eines Forensikers, der Data Recovery Techniken zeigte, und nebenbei in einem kleinen Gespräch etwas Nettes erwähnte: encfs, TC, FileVault decrypten auf unbelegten Speicher. Sicheres Löschen würde die Performance extrem bremsen, also werden die raw-decryptedten Dateien verworfen. Interessanterweise sind bei stark verschlüsselten Systemen in der FreeSpace Area auf der HD mehr interessante Infos als im verschlüsselten Bereich.
Und nun ratet mal wen der schult...

 

[SilentCry]

Ein weiterer Grund, hardwareverschlüsselte Harddisks zwingend zu fordern. Und bevor die Buhrufe kommen: Das ist natürlich nur EINE Maßnahme.
Gestrichen, siehe folgendes Posting. (Trotzdem würde ich gerne eine HW-verschlüsselte Platte einsetzen in mein MB).

 

[SilentCry]

Auf dem Linux Stand auf der CeBit gabs nen netten Vortrag eines Forensikers, der Data Recovery Techniken zeigte, und nebenbei in einem kleinen Gespräch etwas Nettes erwähnte: encfs, TC, FileVault decrypten auf unbelegten Speicher.

Ich habe darüber nachgedacht. Und mir kommen wieder Zweifel an der Seriosität dieses Forensikers. Wie macht das TrueCrypt bei vollverschlüsselten Laufwerken? Wie macht das FileVault auf meinen SicherungsHDDs, wo der Container praktisch so gross ist, wie die Harddisk selbst? Woher nehmen diese Lösungen den "free space"? Auf welche Geisterdrives schreibt encfs, wenn keine unverschlüsselten Dateisystem mehr im System stecken?
FileVault auf die Bootplatte? Wohin? Ins /temp? Glaube kaum. Was bei Bootdrive-encrypteten Systemen? Ins Internet? Sorry, nachdem ich einen Kaffee hatte, wurde mir praktisch klar dass dieser Vortrag entweder gründlich missverstanden worden oder unter dem Einfluss psychoaktiver Substanzen geschehen sein muss. ;.)

Die Sicherheit aktueller IT-Systeme liegt im Argen, keine Frage. Aber dieser "Forensiker" schürt m.E. FUD. Will er uns damit erklären, dass Verschlüsselung sowieso nicht hilft (insgeheim wünschend, dass die Leute davon Abstand nehmen, damit er seinen Job als Erfüllungsgehilfe des Ü-Staates besser nachkommen kann)?

Sicheres Löschen würde die Performance extrem bremsen, also werden die raw-decryptedten Dateien verworfen. Interessanterweise sind bei stark verschlüsselten Systemen in der FreeSpace Area auf der HD mehr interessante Infos als im verschlüsselten Bereich.

Selbstverständlich WÄREN in der Freespace-Area (wo auch immer die sein soll) mehr interessante Infos, weil der _verschlüsselte_ "Bereich" ja keine her gibt, dafür ist er ja da.

Wie gesagt, solange mir keiner schlüssig erklärt wo die Systeme die x Gigabyte "Freespace" hernehmen, halte ich das für einen Hoax.

 

[harden]

Vielleicht war damit auch gemeint, dass in den angesprochenen Fällen zwar Benutzer ihre Daten grundsätzlich in verschlüsselten Images speichern,jedoch während der eigentlichen Bearbeitung einer Datei diese "einfach so" auf Platte zwischenspeichern, weil eine Bearbeitung im verschlüsselten Image Performanceverluste birgt (großes Photoshop Projekt). Oder meinte er evtl das Programme ihre temporären Dateien (und automatisches Zwischenspeichern) nicht im Image ablegen sondern irgendwo...

 

[SilentCry]

@harden:
Kann schon sein, dass er das GEMEINT hat. Aber _wo_ soll das sein? Ganz pragmatisch: Du hast genau EINE Platte. Diese Platte wird nun von Bitlocker oder TC oder dm-crypt bzw. encfs vollverschlüsselt. Da IST kein "unverschlüsselter Bereich". Wohin soll TC die Daten "schreiben" (ausser ins RAM, klar, ein offenes Wordfile ist im RAM, oder in die Auslagerungsdatei, die ebenfalls verschlüsselt ist).

Lediglich FileVault _könnte_ die Daten woanders hin schreiben, da OS X ja keine bootdrive-Partition verschlüsseln kann. Das wäre aber schon aufgefallen, oder?

 

[harden]

Ich meinte eher den Fall, dass sich jemand ein 10gb großes verschlüsseltes Image anlegt und nicht gleich die ganze Festplatte verschlüsselt hat. Bitlocker ist außerdem nicht Bestandteil jeder Vista Version und bei XP schon gar nicht verfügbar. Ich bin mir auch nicht sicher, ob die durchschnittliche Heft CD die zur Verbreitung von Linux an die Allgemeinheit dient, auf dieses Thema eingeht.
So wird sich der normale Nutzer sicher fühlen, wenn er seine wichtigen Daten in ein solches Image ablegt. Darüber dass Programme an anderer Stelle automatisch zwischenspeichern oder Ergebnisse von Arbeitsschritten speichert um ein einfaches undo oder ähnliches zu ermöglichen, ist er sich jedoch nicht im klaren. In der Regel werden diese Dateien ja genauso automatisch gelöscht, wie sie erstellt wurden. Wenn man seiner Software aber nicht eingegeben hat, dass alle Temporären Daten auch irgendwo in diesem Image gespeichert werden sollten, dann liegen sie nach dem Löschen einfach wiederherstellbar auf der Festplatte.
Ist natürlich zweckfrei darüber zu diskutieren, da sich der Vortragende entweder schwammig ausgedrückt hat oder es bei der Übermittlung in dieses Forum zu Leitungsverlusten gekommen ist.