Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
Google böse: Hintertür in Googles Mail-Dienst
Google böse: Hintertür in Googles Mail-Dienst
MacMark
26.01.10
10:21
Google hat eine Hintertür in Google Mail eingebaut, damit der US-Staat Mails ausspionieren kann. Als dann China-Cracker eben diese Hintertür ebenfalls nutzten "empörte" sich Google ja öffentlich. Tja Jungs, da habt Ihr Euch selbst ins Knie geschossen.
Original:
cnn.com/2010/OPINION/01/23/schneier.google.hacking/index.html
Weiterverwertet:
golem.de/1001/72628.html
Wie war noch Googles Firmen-Motto?
Don't be evil!
Ob in anderen Evil-Google-Produkten wie Android auch Hintertüren sind? Viel Glück!
„@macmark_de“
Hilfreich?
0
Kommentare
1
2
>|
MacMark
26.01.10
10:29
Und der gute Obama war auch "beunruhigt". Schon doof, wenn auch China die Backdoors der US-Regierung nutzt, gelle?
„@macmark_de“
Hilfreich?
0
Simoon
26.01.10
10:50
Ist da etwa jemand schadenfroh?
Hilfreich?
0
MacMark
26.01.10
11:37
Scheinheilig sind sie.
„@macmark_de“
Hilfreich?
0
eribula
26.01.10
11:46
Solche Hintertürchen gibt es aber nicht nur bei Google, sondern auch bei allen anderen US-Firmen. Dazu zählt ganz sicher auch Apple.
Hilfreich?
0
trinix
26.01.10
11:47
Alles was man eben ins Netz packt ist mehr oder weniger öffentlich. Entsprechende Stelle/Institutionen haben hier wahrscheinlich Zugriff auf jegliche Information - man sollte sich da keine Illusion als Nutzer machen und dieser Fall ist wieder ein Paradebeispiel.
Hilfreich?
0
Nagel
26.01.10
11:53
Es gibt keine Firma die ohne Makel ist.
ich warte nur darauf, dass Google endlich Skynet veröffentlicht.
Hilfreich?
0
DonQ
26.01.10
11:54
hmm ? sehr schwieriges thema…
btw.
somit wäre wieder eigentlich fed schadensersatzpflichtig ?
dann wird die rechnung so aussehen: 2 konten leicht abgegriffen, pauschale von 20$ pro konto
„an apple a day, keeps the rats away…“
Hilfreich?
0
Esäk
26.01.10
12:05
Aha, da werden wieder Verschwörungstheorien zu Brei zerkocht.
Gibt es belastbare Belege oder halt mal wieder die Gerüchte, die bekannt sind?
(War ne rhetorische Frage)
„Die Todesstrafe gehört auch in Hessen abgeschafft!“
Hilfreich?
0
MacMark
26.01.10
12:30
eribula
Solche Hintertürchen gibt es aber nicht nur bei Google, sondern auch bei allen anderen US-Firmen. Dazu zählt ganz sicher auch Apple.
Nachweise dafür?
„@macmark_de“
Hilfreich?
0
DonQ
26.01.10
12:47
gab es mit sicherheit, einzig bekannt, genutzt und natürlich auch wieder (meist) abgestellt, wird sowas(def: zugänge) durch die eben aktuelle administration, wobei us regierung teilweise dazu übergegangen war, soetwas auszulagern an fremdfirmen.
wenn soetwas bekannt wird und genutzt, muss man auch prüfen, ob es sich nicht um ein easter egg handelt, imho.
einzig das jemand postet der wirklich einblick in die aktuelle lage hat…hmm, sowieso ist das diplomatisches geränkel.
„an apple a day, keeps the rats away…“
Hilfreich?
0
sierkb
26.01.10
12:57
MacMark:
Keine Nachweise, aber andere Quellen, die belegen, dass die amerikanische NSA sowieso überall ihre Finger mit im Spiel hat (auch bei MacOSX und beim Linux-Kernel), wo sie sie drinhaben will (und das FBI genauso) und dieses Engagement im Namen der nationalen Sicherheit, unter dem Mantel des "Terrorist Surveillance Program" und des "US Patriot Act" erst recht durchgeführt und gerechtfertigt wird (warum also sollte das Unternehmen Google prinzipiell davon ausgenommen sein, wenn viele viele andere Unternehmen der IT- und privatwirtschaftlichen Industrie mindestens ebenso davon betroffen sind incl. der Provider (Telcos), die die ganze Infrastruktur (ISP, email-Provider, Mobilfunk-Betreiber, etc.) zur Verfügung stellen):
heise: NSA hilft Apple, Sun und Red Hat beim Härten ihrer Systeme
NSA: Current Security Configuration Guides
SELinux
, Wikipedia-Eintrag dazu
CNET: Google: We didn't help the NSA (or did we?)
(März 2008)
CNET: Wiretapping focus shifts to e-mail communications
Und hierzulande, Deutschland betreffend erinnere ich nur mal an unser Telekommunikationsgesetz, § 110
Umsetzung von Überwachungsmaßnahmen, Erteilung von Auskünften
, denen z.B. unsere Provider unterliegen.
Und auch diese Meldung
EU nimmt neuen Anlauf zur Fluggastdaten-Auswertung
(24.01.2010) geht ganz sicher nicht in eine andere, den Bürger informationell in Ruhe lassende Richtung.
The Wall Street Journal recently revealed the true extent of the NSA's surveillance system:
"According to current and former intelligence officials, the spy agency now monitors huge volumes of records of domestic e-mails and Internet searches."
This builds on what we learned the previous week, when The Washington Post revealed that the primary motivation for the White House's wiretapping immunity demands is to protect those firms that assisted with illegal, mass-scale surveillance of e-mail traffic.
Google has now taken the interesting step to become the first major Internet company to deny helping the NSA. In an on-the-record e-mail with a company spokesperson on Friday, I was told that:
"Google was not part of the NSA's Terrorist Surveillance Program."
Is that enough to reassure you?
If Google was obligated to give up search/e-mail records, it is likely that this request would be made via a Patriot Act authorized National Security Letter. A recent Journalarticle confirmed as much, stating that the information gained from National Security letters ended up in the gigantic NSA databases.
But recipients of those letters may not be allowed to tell anyone about it, and may in fact be forced to lie.
The owner of an ISP who received one of these secret orders explained the significant restrictions placed upon him in a letter to The Washington Post back in 2007.
Under the threat of criminal prosecution, I must hide all aspects of my involvement in the case--including the mere fact that I received an NSL--from my colleagues, my family and my friends. When I meet with my attorneys I cannot tell my girlfriend where I am going or where I have been. I hide any papers related to the case in a place where she will not look. When clients and friends ask me whether I am the one challenging the constitutionality of the NSL statute,
I have no choice but to look them in the eye and lie.
If this poor gentleman had to lie to his girlfriend and family, it's possible that Google, if it did receive a FBI National Security Letter, might be placed in a similar position.
Und passend dazu:
heise: "Ungeheuerliches" Kontrolldefizit beim FBI beanstandet
(22.01.2009) (bitte ganzen Artikel lesen, hier nur ein kleiner Auszug):
Ein neuer Bericht des US-Justizministeriums beleuchtet das Ausmaß des Missbrauchs von Anti-Terror-Befugnissen beim FBI weiter. Wie der knapp 300 Seiten starke Untersuchungsreport des Generalinspekteurs des Ministeriums, Glenn Fine, ausführt, gelangte die US-Polizeibehörde zwischen 2002 und 2007 selbst mit inoffiziellen Post-it-Notizen an sensible Verbindungsdaten. Auch auf E-Mail-Anfragen hin seien Informationen über Telefonkontakte und das Wann und Wo der Telekommunikation Verdächtiger von Telcos mehr oder weniger bedenkenlos herausgegeben worden.
Ein für die Analyse befragter FBI-Agent verglich das enge Verhältnis zwischen den Ermittlern und den Strafverfolgungsexperten in Telekommunikationsfirmen mit einem Szenario, in dem man "einen Geldautomaten im Wohnzimmer hat"
.
Hilfreich?
0
sierkb
26.01.10
13:07
Google hat also, ob sie wollen oder nicht, bei diesem Spiel mitzuspielen, (genauso, wie jedes andere Unternehmen auch!) ansonsten wird deren Mitspiel mit geeigneten Mitteln von NSA, FBI und den dazu berechtigenden Gesetzen eben erzwungen. Natürlich gibt das keiner der Betroffenen gerne und offen zu, dass er diesbzgl. unter Druck steht bzw. zum Mitspiel gezwungen ist (dass es sowas geben kann/könnte wie einen Maulkorb, eine NDA, nicht darüber sprechen zu dürfen, sollte man betroffen sein, dürfte man ja angesichts der aus anderen Motiven stattfindenen Praxis bei z.B. Apple sich schon einigermaßen vorstellen können). Und alleine steht da auch niemand, denn es betrifft im Grunde alle Mitspieler.
Im Grunde nichts anderes als in Frankreich oder hierzulande auch (z.B. unser TKG bzw. die TKÜV betreffend): der Staat bzw. gewisse Staats- und Sicherheitsorgane sitzen immer am längeren Hebel, ob's den betroffenen Unternhemen passt oder nicht.
Hilfreich?
0
Waldi
26.01.10
13:25
sierkb
Danke für die ausführliche Klarstellung.
Haben NSA und FBI und andere US-Geheimdienste nicht eh ihre Arme über die ganze Welt ausgebreitet. Alles unter dem Deckmantel "Nationale Sicherheit". Als ob andere Länder nicht auch um ihre nationale Sicherherit besorgt sein dürften.
„vanna laus amoris, pax drux bisgoris“
Hilfreich?
0
sierkb
26.01.10
13:29
Abgesehen davon ist bei der jüngsten Spionage-Attacke (deren Vektoren ihren Ursprung alle in Cina zu scheinen haben) nicht nur allein Google betroffen gewesen, sondern insgesamt über 30 weitere US-Firmen, darunter auch Adobe:
The Register: IE zero-day used in Chinese cyber assault on 34 firms
, darunter neben Google und Adobe auch solche Firmen wie Yahoo, Symantec, Northrop Grumman und Dow Chemical. Google ist jedoch das erste Unternehmen, das das Ganze öffentlich zugegeben bzw. überhaupt öffentlich gemacht hat, alle anderen haben's stillschweigend entgegengenommen und intern gelassen, um keinen Imageschaden befürchten zu müssen.
Adobes kurz danach veröffentlicher Patch für deren Produkte ist eigenen Angaben zufolge eine unmittelbare Folge davon.
Und heute, am 26.01.2010 lese ich über eine diesbzgl. Welle gegenüber der US-Ölindustrie:
heise: Cyber-Kriminelle sollen US-Ölfirmen ausspioniert haben
heise: Gezielte Angriffe auf Unternehmen gehen weiter
Und gesstern den ganzen Tag war auch eine DDOS-Angriffswelle zu verzeichnen (deren Hintergrund und Ursprung noch nicht öffentlich gemacht worden ist), wo mehrere deutsche und europäische ISPs, email-Provider und sogar der deutsche Hauptknoten DE-CIX in Frankfurt davon betroffen waren. GMX war da nicht das einzige Unternehmen, das drunter zu leiden hatte und für mehrere Stunden nicht oder nur schlecht erreichbar war.
Hilfreich?
0
MacMark
26.01.10
13:32
sierkb
MacMark:
Keine Nachweise, aber andere Quellen, die belegen, dass die amerikanische NSA sowieso überall ihre Finger mit im Spiel hat (auch bei MacOSX und beim Linux-Kernel)…
Aber ganz anders: US-Behörden haben ein "Security Enhanced Linux"-Version gemacht, ebenfalls Open Source. Und eine Liste mit Sicherheitstipps zu OS X geschrieben. Würde bei den offenen Quellen beider Systeme außerdem auffallen, wenn da Hintertüren wären, gelle?
„@macmark_de“
Hilfreich?
0
sierkb
26.01.10
13:38
Waldi
Haben NSA und FBI und andere US-Geheimdienste nicht eh ihre Arme über die ganze Welt ausgebreitet. Alles unter dem Deckmantel "Nationale Sicherheit". Als ob andere Länder nicht auch um ihre nationale Sicherherit besorgt sein dürften.
Man arbeitet da sicher auch zusammen und spielt das US-Spiel mit bzw. muss es mitspielen, um nicht abgeschnitten zu sein von der Welt und in gewissen politischen Gremien. Zum Beispiel bei der Fluggastdatenerhebung- und Speicherung an unseren deutschen und europäischen Flughäfen. Zumindest was die transatlantischen Flüge mit Ziel USA angeht. Die dort erhobenen Daten gehen unverzüglich gleich gen USA und in die Hände der US-Behörden. Das ist auf europäischer Ebene alles per Abkommen geregelt.
Und hier kommt glücklicherweise eine sonst eher weniger lobenswerte FDP mit einer umso engagierteren Frau Leutheuser-Schnarrenberger ins Spiel, die sich dem grundsätzlich und engagiert und auch nicht ohne Teilerfolg (denn Politik ist immer ein gegenseitiges Abringen von Kompromissen) in den Weg stellt und das Ganze im Zaum zu halten bemüht ist (gleiches bzgl. Vorratsdatenspeicherung und Lauschangriff, weshalb diese Frau ja einst mal Rückgrat bewiesen hat und von ihrem Amt als Justizministerin zurückgetreten ist, als das alles beschlossen wurde). Wir dürfen also insofern hoffen, dass es auch Menschen an nicht unwichtigen Stellen gibt, die hier wenigstens bremsend entgegenwirken können und so völlig macht- und entscheidungslos dann auch nicht ganz sind. Allerdings sind auch sie eben nur einzelne Figuren auf einem viel größer angelegten Spielbrett.
Hilfreich?
0
sierkb
26.01.10
13:48
MacMark
Aber ganz anders: US-Behörden haben ein "Security Enhanced Linux"-Version gemacht, ebenfalls Open Source.
Ja. Und? Ich sagte ja auch "Finger im Spiel", egal wie.
Und eine Liste mit Sicherheitstipps zu OS X geschrieben.
Mindestens das. Was sie darüberhinaus noch evtl. zusammen mit Apple in MacOSX eingepflanzt haben (könnten), wissen wir nicht. Weil MacOSX als Ganzes Closed Source ist und nur ein Teil davon Open Source (nämlich der Darwin-Anteil).
Im Grunde genau dasselbe wie bzgl. ähnlichlautender Vermutungen gegenüber Windows. Da weiß man auch nix Genaueres, auf welche Weise und in welchem Umfang die NSA da mitgewirkt bzw. sich evtl. eingeklinkt hat. Nur Microsoft selber weiß es. Und muss darüber ganz sicher schweigen. Bzgl. Apple und MacOSX wird's sicher nicht anders sein. Wenn was vorhanden sein sollte, dann hat Apple Stillschweigen zu wahren.
Würde bei den offenen Quellen beider Systeme außerdem auffallen, wenn da Hintertüren wären, gelle?
Siehe zuvor Gesagtes. MacOSX ist nicht 100% offen. Der Linux-Kernel bzw. die in Umlauf befindlichen Linux-Distributionen haben da schon weniger bzw. teilweise überhaupt kein Closed-Source-Material an Bord bzw. die Änderungen/Erweiterungen der NSA rund um SELinux sind komplett offengelegt und dokumentiert. Und bislang ist da von kritischen Experten nichts gefunden worden, was da auf eine wie auch immer geartete Backdoor schließen lässt. Und deshalb wird SELinux dann auch überwiegend bedenkenlos von verschiedenen Distributoren und der Community akzeptiert, eben weil man da trotz entsprechender Reviews und Audits nichts dergleichen Beanstandungswürdiges gefunden hat.
Bzgl. Windows und MacOSX ist von Außenstehenden eine solche Prüfung bzw. ein solcher Nachweis nicht so leicht zu führen, weil eben die betreffenden Sourcen entweder gar nicht (Windows) oder eben nur teilweise offenliegen (MacOSX). Man muss in dem Punkt dann eben Microsoft und Apple einfach trauen und glauben oder eben nicht.
Hilfreich?
0
MacMark
26.01.10
13:56
Die offenen Quellen von OS X reichen aus, um das Nichtvorhandensein einer Hintertür sicherzustellen, denn jede Kommunikation ist vom quelloffenen Kernel und den quelloffenen BSD-Tools bemerkbar.
„@macmark_de“
Hilfreich?
0
MacMark
26.01.10
14:05
Entwarnung für Android: Ist auch quelloffen.
„@macmark_de“
Hilfreich?
0
ex_apple_user_neu
26.01.10
14:10
Schwer zu glauben, weshalb OS X nicht den Marktaneil von Windows besitzt. Es ist doch so sicher und von so einer tollen Firma.
Hm, vlt. liegt es an der beschissenen Koplung zur Hardware.
Was ist eigentlich das attraktive an einem Google-Account?
Hilfreich?
0
eribula
26.01.10
14:26
Vergessen wir mal nicht das Thema Verschlüsselung. Auch hier haben die US-Geheimdienste immer ihre Finger im Spiel. Täusche ich mich, oder gibt es nicht sogar ein entsprechendes US-Gesetz in diese Richtung?
Abgesehen davon: auch Apple sammelt selbstverständlich massenweise Informationen über jeden einzelnen User. Diese Firma hat inzwischen allein mehr iTunes-Kundenaccounts mit Kreditkartendaten als Amazon. Inkl. der dazugehörigen Infos über Vorlieben bzgl. Musikgeschmack etc.
Wer vor Google Angst hat, sollte also auch keine Apple-ID nutzen.
Aber das ist ohnehin alles nur Humbug. Diese Firmen sind kleine Nummern im Vergleich zum deutschen Staat. Es gäbe vermutlich einen Aufstand, wenn allen klar wäre, worauf der inzwischen zugreifen kann. Allein die Daten, die jeden Monat mit Eurer Lohnabrechnung übertragen werden ... aber hola.
Hier ist die wahre Datenkrake! Das sind nicht irgendwelche Firmen, die von den Medien zu Weltherrschern auserkoren werden.
Hilfreich?
0
bernddasbrot
26.01.10
14:41
Ich gehe mal davon aus, dass mehrere der nach und nach bekannt gewordenen "Sicherheitslücken" in Browsers (IE & Co) und Betriebssystemen keine echten "Lücken" sind oder waren, sondern schlicht Türen, die Hersteller für die Geheimdienste o.ä. bewusst (oder auf Druck der Regierungen) offen lassen. Wenn jemand anderes diese findet, muss sie geschlossen werden (und vielleicht eine andere Tür mit einem "Sicherheitsupdate" geöffnet werden).
Ist nur meine Vorstellung, würde mich aber wundern, wenn es nicht so wäre ...
Hilfreich?
0
MacMark
26.01.10
14:42
Bei einigen Verschlüsselungsverfahren hatte die NSA auf geringerer Schlüssellänge bestanden und bei Lotus Notes, wenn ich mich recht erinnere, sogar einen eigenen Schlüssel. Ansonsten sind die Verschlüsselungs-Verfahren jedoch in der Regel offen. Das gilt auch für das Verfahren (AES), was OS X für FileVault nutzt.
Der US-Geheimdienst beschäftigt sich natürlich mit Ver- und Entschlüsselung. Er ist meines Wissens der größte Arbeitgeber für Mathematiker weltweit.
Buchtip zum Thema: "Kryptografie - Verfahren, Protokolle, Infrastrukturen" von Klaus Schmeh.
Die Browserlücken sind teilweise zu schwierig auszunutzen und bringen meist nicht genug. Ich halte sie nicht für Absicht.
„@macmark_de“
Hilfreich?
0
ex_apple_user_neu
26.01.10
14:45
MacMark
Der US-Geheimdienst beschäftigt sich natürlich mit Ver- und Entschlüsselung. Er ist meines Wissens der größte Arbeitgeber für Mathematiker weltweit.
Sorry, welcher US-Geheimdienst oder meinst Du alle zusammengefasst?
Hilfreich?
0
Garp2000
26.01.10
14:47
MacMark "Google böse"? Hmm, ist das nicht ein bisschen flach?
Geh mal davon aus, dass nicht nur Google US-Gesetze befolgt. Wenn Du also bellen willst, bell den richtigen Baum an.
Und geh davon aus, dass auch GMX, web.de, 1&1 und wie sie alle heissen Mails an Ermittler "ausleiten" können auf Anforderung.
„Star of CCTV“
Hilfreich?
0
sierkb
26.01.10
14:51
MacMark
Die offenen Quellen von OS X reichen aus, um das Nichtvorhandensein einer Hintertür sicherzustellen
Wirklich? Wer von Rang und Namen bzw. welcher diesbzgl. anerkannte Experte auf dem Gebiet bestätigt Dich darin?
denn jede Kommunikation ist vom quelloffenen Kernel und den quelloffenen BSD-Tools bemerkbar.
Erstens: sofern eine Kommunikation stattfindet. Findet sie nicht statt bzw. "schläft" sie, kann auch sehr schlecht was von irgendwelchen Audit- und Netzwerktools bemerkt werden.
Außerdem: MacOSX besteht aus mehr als nur dem Kernel und den BSD-Tools. Das habe ich oben unter dem Namen Darwin bzw. Darwin-Anteil zusammengefasst. Es existieren in MacOSX zum Beispiel nicht-offene Closed-Source-Kernelmodule. Und diverse weitere nicht-offene, Closed-Source Programme/Progrämmchen/Bibliotheken etc. die es von Darwin unterscheiden (wegen der Existenz dieser und weiterer Closed-Source-Software in MacOSX im Gegensatz zu Darwin ist ja letztendlich auch der Konflikt Apple versus Psystar gewesen: weil Psystar diese Unterscheidung und die damit verbundenen (Lizenz-)Rechte weder sehen noch anerkennen wollte).
Was jedes Einzelne dieser Closed-Source-Kernel-Module und anderen Closed-Source-Programme im Einzelnen machen bzw. wie genau deren Quellcode aussieht, das wissen wir nicht. Das weiß nur Apple (oder auch evtl. die NSA, sollte man da was hinterlassen haben, das nur den beiden bekannt sein darf). Und wenn vorhanden, dann sind die mit Sicherheit nicht so geschrieben, dass jeder beliebige und bekannte Netzwerksniffer das sofort rausbekommt.
Deine Sicherheit und Zuversicht in der Grundaussage MacOSX betreffend teile ich deshalb nicht, eine gewisse Skepsis bis zum Beweis des Gegenteils bleibt.
Hilfreich?
0
Garp2000
26.01.10
14:51
Die GSM-Verschlüsselung ist übrigens auch so broken by design, dass man davon ausgehen kann, dass hier diverse Regierungen und Behörden ein Interesse dran hatten, dass das ganze grade so verschlüsselt ist das nicht jeder mithört, aber die Behörden alle locker GSM entschlüsseln können. Jetzt haben wir den Salat, GSM geknackt, UMTS Voice auch auf töneren Füßen. Was bringt das unterm Strich? Der Wirtschaftsspionage wird Tür und Tor geöffnet im wahrsten Sinne des Wortes. Kotz.
„Star of CCTV“
Hilfreich?
0
sierkb
26.01.10
14:57
MacMark
Das gilt auch für das Verfahren (AES), was OS X für FileVault nutzt.
FileVault verschlüsselt relativ schwach bzw. sollte stärker verschlüsseln, damit sicher ist. Und deshalb ist es auch schon geknackt worden (Hinweis in der Richtung u.a. auch hier:
bzw.
,
).
Hilfreich?
0
greifenwald
26.01.10
15:08
Hallo Zusammen,
aber Euch ist schon klar, dass jeder Email-Dienst in Deutschland ebensolche "Hintertüren" für den Deutschen Staat hat, oder? Sobald einem Email-Provider die rechtliche Verfügung für einen Kunden vorliegt, werden alle Emails für diesen (in und out) dupliziert und gespeichert. Das ist also "vollkommen" normal. Hat jetzt wirklich irgend jemand angenommen, dass der Amerikanische Staat so etwas von seinen Providern nicht verlangt?
Das hat doch nichts mit Goolge oder dem "don't be evil" zu tun. Das werden die genau so machen müssen, wie wir in Deutschland auch. Also soweit von der Seite mal keine Panik.
Hilfreich?
0
Esäk
26.01.10
15:19
greifenwald
Das hat doch nichts mit Goolge oder dem "don't be evil" zu tun. Das werden die genau so machen müssen, wie wir in Deutschland auch. Also soweit von der Seite mal keine Panik.
Aber dann könnte man nicht so reißerische und beleglose Verschwörungstheorien in die Welt setzen...
„Die Todesstrafe gehört auch in Hessen abgeschafft!“
Hilfreich?
0
sierkb
26.01.10
15:25
Esäk
Aber dann könnte man nicht so reißerische und beleglose Verschwörungstheorien in die Welt setzen...
+1 (ich wundere mich grad' selber, dass ich Dir mal zustimmen kann/muss
)
Passend dazu diese Meldung vom heutigen Tage, welche an einem anderen Beispiel zeigt, auf welche Weise bestehende Gesetze zum Handeln zwingen können, obwohl man innerlich anders denkt und gerne anders handeln möchte/würde, wenn man es denn könnte/dürfte:
heise: Sourceforge sperrt "Schurken" aus
Sourceforge: Clarifying SourceForge.net’s denial of site access for certain persons in accordance with US law
Hilfreich?
0
EliteHunting
26.01.10
15:34
"schöne" diskussion, aber alleine über die bekannten "social-networks" kann man genügend über eine person rausfinden, auch als privat-person. die entsprechenden behörden haben die möglichkeiten das ganze "noch gebündelter" durchzuführen.
sei es drum, die "kleinigkeiten" die wir hier erfahren, weil mal wieder ein leak irgendwo auftaucht, sind eben nur das: kleinigkeiten. alle die mehr über die möglichkeiten wissen, sind durch entsprechende klauseln zum stillschweigen verpflichtet und somit ist es nicht "öffentlich".
selbst wenn man es weiß, kann man es nicht verhindern, es gibt für die behörden immer die möglichkeit das ganze mit irgendeiner gesetzesgrundlage zu begründen, da kann es datenschutz-abkommen/-gesetze geben wie es will.
oder: "wenn zwei (oder mehr) personen von einem "geheimnis" (synonym für i-net-kommunikation) wissen ist es keines mehr."
Hilfreich?
0
MacMark
26.01.10
16:59
sierkb
MacMark
Das gilt auch für das Verfahren (AES), was OS X für FileVault nutzt.
FileVault verschlüsselt relativ schwach bzw. sollte stärker verschlüsseln, damit sicher ist. Und deshalb ist es auch schon geknackt worden (Hinweis in der Richtung u.a. auch hier:
bzw.
,
).
FileVault und AES sind nie geknackt worden. Was sollen die Lügen? Außerdem ist die Verschlüsselung eine der allerbesten und alles andere als "relativ schwach". Vielleicht liest Du erstmal ein Buch drüber.
Die Artikel beziehen sich auf mögliche Angriffe auf den Schlüsselbund. Die ersten beiden (gleicher Inhalt bezüglich OS X) stellen nur eine unbegründete pauschale Behauptung auf, die auch unhaltbar ist, da RSA-1024 weit davon entfernt ist, geknackt zu werden, und der andere bezieht sich auf die sogenannte "frozen RAM-Attacke", die nicht praktikabel ist.
„@macmark_de“
Hilfreich?
0
sierkb
26.01.10
17:09
MacMark
FileVault und AES sind nie geknackt worden.
Google-Suche "FileFault hacked"
BitLocker, FileVault, dm-crypt, and TrueCrypt all hacked Securityextra.com:
University Princeton, Center for Information Technology: Lest We Remember: Cold Boot Attacks on Encryption Keys
Reicht das für den Anfang, oder wollen/müssen wir hier wieder ellenlang ins Detail gehen?
Abgesehen davon habe ich auch keine Lust, hier ein neues Fass aufzumachen, Thema sind hier Google und Backdoors bzw. Dein obiges Trollposting (als solches muss/darf man es wohl bezeichnen, denn was wolltest Du sonst anderes hervorrufen als einen langen Thread und irgendwelche hämischen Pfeile in Richtung Google verschießen, die bei näherer und objektiver und fairer Betrachtung in alle möglichen Richtungen zeigen müssten und nicht alleine in Richtung Google (wenn überhaupt dorthin, denne echte, belastbare Belege im Sinne Deiner herangezogenen Anschuldigung fehlen bisher immer noch irgendwie)).
Hilfreich?
0
sierkb
26.01.10
17:45
Nachtrag zur MacMarks Aussage
"FileVault und AES sind nie geknackt worden. Was sollen die Lügen? Außerdem ist die Verschlüsselung eine der allerbesten und alles andere als 'relativ schwach'"
:
ars technica Security: Source code released for canned-air FileVault/BitLocker hack
ZDNet: How to bypass FileVault, BitLocker security
(in Wort und Bild dokumentiert)
Hilfreich?
0
MacMark
26.01.10
17:47
Jaja, wenn Google das Hirn ersetzen soll …
Bei Deinen Links geht es wieder um die sogenannte "Frozen-RAM-Attacke". Die ist praktisch ziemlicher Unfug. Kürzlich genutzte RAM-Riegel werden auf -50 Grad schockgefrostet und man liest ihn dann aus und sucht das Paßwort.
Der zusätzliche Denkfehler ist, daß sie nicht beachtenm, wofür FileVault ist: Es schützt die Daten, wenn man nicht eingeloggt ist. Die Schockfrost-Attacke klappt nur bei (im Moment oder vor wenigen Sekunden noch) eingeloggtem User. Der Denkfehler ist, daß bei eingeloggtem User sein FileVault-Diskimage eh unverschlüsselt gemountet ist. Das Szenario vor dem FileVault schützt ist: Der Rechner wird unterwegs gestohlen und ist ausgeschaltet. Dann kommen sie mit der Schockfrost-Attacke auch nicht ran. Für eingeloggte User bietet FileVault per Definition keinen Schutz.
„@macmark_de“
Hilfreich?
0
Gerry
26.01.10
17:50
Ja die Amis.
Da geht doch der Gehiemdienst der Amis gerne her und verkauft an Statten wie den Iran falsche Baupläne von Atompläne an Statten wie den Iran. Um sie in die irre zu führen.
So auch geschah es auch in Wien. Als Mittelmann ein Russe. Der sich als armer Russischer Atomwissenschaftler aus geben sollte und die Pläne an den Iran geben Bars übergeben sollt. So würde es dann auch gemacht. Da Pläne da Geld.
Dumm daran war halt nur das der Russe wirklich Atomwissenschaftler war und die Fehler auf den Pläne sofort gesehen hat. Da er ja nicht wüste das die drin sein sollten und die Russen nun mal gründlich und ehrlich sind, hat der die Ausgebessert, bevor er sie übergeben hat.
Tja dumm gelaufen, oder besser, manche lernen es halt nie
Hilfreich?
0
dom_beta
26.01.10
17:55
MacMark
Scheinheilig sind sie.
wie unser Bundesgeschäftsführung äääh Bundesregierung.
„...“
Hilfreich?
0
sierkb
26.01.10
17:56
MacMark
Bei Deinen Links geht es wieder um die sogenannte "Frozen-RAM-Attacke".
Nein. Lies den ZDNet-Artikel und klicke Dich dort durch die Bilder und die HowTo-Beschreibung. Spätestens da wird's deutlich, dass man da nicht unbedingt einen Schockfrost benötigt, um zum Ziel zu gelangen.
Bzgl. Denkfehler: bitte höre mir damit auf! Alle anderen machen (mal wieder) Denkfehler, und nur Du alleine willst (mal wieder) den untrüglichen Durchblick haben?! Du bist vermessen und/weil verblendet (weil Deiner Meinung nach (mal wieder) nicht sein kann, das nicht sein darf?) Die restlichen Einordnungen überlasse ich jetzt mal jedem selber.
Hilfreich?
0
MacMark
26.01.10
18:05
Du schnackelst es nicht: Der RAM-Inhalt ist nach wenigen Sekunden Ausschalten weg, es sei denn er wird schockgefrostet. Die Demonstration arbeitet mit einem angeschaltetem
MacBook. FileVault schützt eh nur bei ausgeschaltetem
Gerät. Er macht einen Restart, um den RAM auszulesen. Es ist zudem kein Soft- sondern ein Hardware-Problem, wenn überhaupt. Mit ausgeschaltetem Rechner hat man da keine
Chance.
Was also funktioniert, ist, wenn Du Dich einloggst in Deinen Rechner und ihn dem Dieb eingeschaltet überläßt. Das ist jedoch kein FileVault-Szenario. In so einer Situation schützt FileVault eh nicht, weil es in dem Moment alles entschlüsselt
vorliegen hat.
Nebenbei: Ich habe mich mit dem Krempel nicht erst (wie Du) seit heute beschäftigt. Du fährst auf jede Schlagzeile ab ohne geistig zu durchdringen, was wirklich abgeht.
Es steht da sogar drin: "There are still ways of protecting your privacy. One is to turn off the computer for at least one minute. That gives the memory enough time to decay"
„@macmark_de“
Hilfreich?
0
sierkb
26.01.10
18:12
MacMark
Du schnackelst es nicht
Nein, Du nicht.
Der RAM-Inhalt ist nach wenigen Sekunden Ausschalten weg, es sei denn er wird schockgefrostet.
Nein, das ist nicht richtig. Er bleibt in jedem Fall wenige Sekunden bzw. sekundenlang noch erhalten. Auch wenn's nur wenige Sekunden (die mit Schockfrosten der RAM-Bausteine verlängert werden können) -- es ist offenbar Zeit genug, um den RAM-Inhalt nebst im RAM abgelegtem AES-Schlüssel abzugreifen. Mit Herunterkühlen der RAM-Bausteine bzw. Schockfrosten (z.B. mittels Kältespray) kann man diese Zeitspanne höchstens noch verlängern, damit man's fürs Auslesen und Kopieren auf einen anderen Rechner bequemer hat.
Mit ausgeschaltetem Rechner hat man da keine
Chance.
Kommt drauf an, wie lange der Rechner ausgeschaltet ist (siehe zuvor Gesagtes). Abgesehen davon: was ist mit Stand-by bzw. Bildschirmschoner (in den Fällen ist der Rechner nicht ausgeschaltet)?
Was also funktioniert, ist, wenn Du Dich einloggst in Deinen Rechner und ihn dem Dieb eingeschaltet überläßt. Das ist jedoch kein FileVault-Szenario. In so einer Situation schützt FileVault eh nicht, weil es in dem Moment alles entschlüsselt
vorliegen hat.
Um eine solche Situation geht es bei dem Ganzen aber gar nicht, diese Situation ist unstrittig.
Hilfreich?
0
MacMark
26.01.10
18:18
Es steht da sogar drin:
There are still ways of protecting your privacy. One is to turn off the computer for at least one minute. That gives the memory enough time to decay.
Standby und Screensaver lassen Dein Diskimage unverschlüsselt bestehen. Da hilft Dir FileVault nicht. Das ist kein FileVault-Szenario!
Wenn Du FileVault knacken willst, dann schalte den Rechner aus und dann mach mal. FileVault ist dafür da, wenn Dein Rechner aus ist und dann geklaut wird.
FileVault ist _nie_ geknackt worden. Eingeloggter User (wahlweise plus Reboot/Warmstart) sind kein FileVault-Szenario!
„@macmark_de“
Hilfreich?
0
Garp2000
26.01.10
18:24
MacMark Es ist aber kein Rechner aus. Jeder Rechner ist heutzutage im Standby. Andere Lösungen und Betriebssysteme schütezn auch da. Nur FileVault ist halt nix, auch in der Usability und den Einschränkungen beim Time Machine ist es der Zeit hinterher.
Aber was red ich, Du weisst es ja eh besser und alles hier geäußerte prallt an Deiner Personal Firewall ab die wohl Pakete nach innen alle komplett verwirft.
„Star of CCTV“
Hilfreich?
0
chill
26.01.10
18:27
garp
und jemand wie du behauptet immer wieder das jailbreaks iphones zerstören. jedem seinen fetisch, ne?
„MBP M1 256/16 Monterey 12.1 . iPhone 11 128 GB, iOs 15.2“
Hilfreich?
0
sierkb
26.01.10
18:35
MacMark
One is to turn off the computer for at least one minute. That gives the memory enough time to decay.
Du zitierst es selber: es existiert also eine Zeitspanne von mindestens 60 Sekunden (verlängerbar z.B. durch Kältespray), in der RAM-Inhalt erhalten bleibt und abgegriffen werden kann (z.B. indem die betreffenden RAM-Bausteine nach Herunterkühlung ausgebaut und woanders wieder eingebaut werden, um sie dort auszulesen).
Wenn Du FileVault knacken willst, dann schalte den Rechner aus und dann mach mal.
War es nicht genau das, was die Forscher an der Princeton Universität gezeigt haben? Dass es trotzdem (innerhalb einer gewissen Zeitspanne) wiederholbar und mit relativ einfach zu erhaltenden Mitteln prinzipiell und unkomplizierter als angenommen doch zu umgehen geht (und damit den versprochenen Schutz obsolet macht)?
FileVault ist dafür da, wenn Dein Rechner aus ist und dann geklaut wird.
Von "wenn Dein Rechner aus ist", davon sagt Apple nix. Von "geklaut" sagt es was, ja. Diesbzgl. schränkt sich Apple weder in seinen Werbeaussagen noch in seinen Support-Dokumenten (
) ein bzw. begrenzt das alleine auf den ausgeschalteten Zustand, sondern man sichert diese vermeintliche Sicherheit ganz allgemein zu, FileVault betreffend. Und der Nutzer/Kunde vertraut auf diese, nicht eingeschränkte Zusicherung. Und wenn der Rechner geklaut wird, während er z.B. im Ruhezustand ist oder lediglich der Bildschirmschoner an ist? Dann kann FileVault prima umgangen werden. Und er Nutzer/Kunde denkt auch da, seine Daten wären auch in so einem Fall mit aktiviertem FileVault immer noch sicher.
Hilfreich?
0
MacMark
26.01.10
18:45
Garp2000
MacMark Es ist aber kein Rechner aus. Jeder Rechner ist heutzutage im Standby. Andere Lösungen und Betriebssysteme schütezn auch da. …
Nein, die Attacke funktioniert bei jedem Rechner, der gerade noch angeschaltet war. Auch bei der "Konkurrenz". Steht ebenfalls drin.
sierkb
Ihre Daten zuverlässig geschützt sind, selbst wenn Ihr Computer verloren gehen oder gestohlen werden sollte.
Man sollte seinen Rechner schon ausschalten, bevor man ihn sich am Flughafen im Koffer klauen läßt oder im Auto. Viel zu viel Erschütterungsgefahren für die Platte für meinen Geschmack.
Wenn Du eingeloggt bist, ist da kein FileVault, was Du umgehen müßtest: Das verschlüsselte Diskimage ist unverschlüsselt gemountet. Das ist doch ziemlich offensichtlich!
„@macmark_de“
Hilfreich?
0
sierkb
26.01.10
18:52
MacMark
Ihre Daten zuverlässig geschützt sind, selbst wenn Ihr Computer verloren gehen oder gestohlen werden sollte.
Wo liest Du da was von irgendeiner Einschränkung in der Hinsicht, dass diese Aussage nur dann zutreffend ist, wenn dieser gestohlene Rechner länger als 60 Sekunden bzw. überhaupt ausgeschaltet ist?
Rechner im Stand-by-Betrieb (Ruhezustand) werden also nicht entwendet/gestohlen? Oder Rechner, deren Beitzer sich von diesem entfernt hat und das Bildschirmschoner-Passwort aktiviert hat? Es werden also grundsätzlich nur Rechner/Laptops gestohlen, die länger ausgeschaltet sind als 60 Sekunden?
Man sollte seinen Rechner schon ausschalten, bevor man ihn sich am Flughafen im Koffer klauen läßt oder im Auto.
Weiß das auch der normale Benutzer, wenn er sich beklauen lässt bzw. Opfer eines solchen Diebstahls wird (z.B. meinetwegen an einem Ort abseitig des Flughafens, wo er grad' z.B. eine Präsentation gemacht hat und in der Pause ist oder in der Uni/Schule/am Arbeitsplatz etc...)?
Hilfreich?
0
MacMark
26.01.10
18:54
Die 60 Sekunden sind eine garantierte Situation. Das RAM ist eigentlich schon nach wenigen Sekunden platt. Die Demo nutzt daher 0 zero nada nix null Sekunden (Restart)!
Einloggen mountet das Diskimage unverschlüsselt. Ein bißchen Hirn ist schon nötig.
garp2000:
Nachtrag zu meinem Posting eins höher:
including BitLocker, TrueCrypt, and FileVault,
Und:
The security vulnerability he's attempting to demonstrate really is more of a hardware problem than a software one.
„@macmark_de“
Hilfreich?
0
sver
26.01.10
19:20
MacMark & sierkb
You made my Day
Kennt ihr euch privat und macht hier einen auf des Teufels Advocat, oder seid ihr generell anderer Auffassung
„Der Mensch hat zwei Beine und zwei Überzeugungen: eine, wenn's ihm gut geht und eine, wenn's ihm schlecht geht. Die letzte heißt Religion. (Kurt Tucholsky)“
Hilfreich?
0
rene204
26.01.10
19:32
Nur um noch etwas in Eure Diskussion einzustreuen:
Wieviele, von den gestohlenen Books, die in den Ruhezustand versetzt sind oder noch am laufen sind, hängen während des Diebstahls am Stromnetz?
"Mensch, das Book pack ich jetzt ein..." Dumm gelaufen, wenn der Knilch zu Hause angekommen ist, und der Akku leer ist... das Book ist aus, ein Netzteil, nun ja, welcher Dieb hat gerade ein passendes (Magsafe??, watn dat?) zur Hand?
Ok, selbst wenn er noch die Zeit hat, sich das Teil anzusehen, er müsste in der verbelibenden Zeit die Daten sichern, (eine externe HDD zur Hand.. anstecken, TM macht ein Initialbackup.. 60 GB.. oh man das dauert.. Akku leer.. Mist..
Daten abschreiben, was wichtiges finden, aufschreiben...
leute, dieses Szenario.. ich stelle mir das gerade mal vor...
„Gelassenheit und Gesundheit.. ist das wichtigste...“
Hilfreich?
0
1
2
>|
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.
Kurz: Mexico verklagt Google wegen "Gulf of Ame...
WWDC 2025: Hinweise auf neues Design von macOS ...
Kurz: WhatsApp erhält Nutzernamen +++ Apple akt...
Apple-Legende Bill Atkinson gestorben
iPhone 17 Pro & Pro Max: Bild von Schutzhülle z...
Apple Foldable: Marktexperten liefern neue Deta...
Federighi über Siri-Verzögerungen
Mail-Kategorien in iOS 18.4 und macOS 15.4: Was...