Staatstrojaner: Welche Schutzmaßnahme für Linux

Dieses Thema im Forum "Linux" wurde erstellt von khz, 9. Juni 2018.

  1. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Da ich nun nicht nur von Kriminellen gecrackt werden kann sondern auch, ohne zwingenden Grund, vom Staat wollte ich fragen wie man sich da schützen kann.
    Auch wenn ich denke das der Staat keine persönlichen Dateien klaut und/oder löscht/verfälscht oder in meinen Namen Fehlinformationen verbreitet oder meinen Computer für Cyberangriffe missbraucht oder den Source Code verändert will (und muss ich das nicht auch?) etwas tun um es zu erschweren und erkennen falls ich gecrackt worden bin.

    Staatstrojaner: Polizei soll in Wohnungen einbrechen dürfen
    https://www.heise.de/newsticker/mel...-in-Wohnungen-einbrechen-duerfen-4075115.html

    Mit welcher Technik arbeiten die staatlichen Cracker und was sind wirksame Mittel dagegen, Plattformübergreifend wenn auch mich eher Linux interessiert.
     
    Zuletzt bearbeitet: 9. Juni 2018
  2. micromoog

    micromoog Poggio delle Faine ist fein

    Rechner dauerhaft vom Netzwerk trennen ist eine plattformübergreifend sichere Lösung
     
    treponema und Sammy3000 gefällt das.
  3. Green Dino

    Green Dino Dinosaurs Dance

    Am besten nie die Wohnung verlassen und vorsichtig im Inet.

    Wie ist denn das Teil programmiert? Schlägt da nicht die AV Software Alarm?
    Arbeiten die alle mit der Bundesregierung zusammen und es gibt keine Meldung vom AV oder wie?
    Kann mir nicht vorstellen, dass der so anders programmiert ist und da AV Software ja auf bestimmte Verhaltensweisen von Trojanern achtet, quasi Signaturen find ich das merkwürdig.

    Wir haben übrigens mittlerweile einen Internetrechner im Wohnzimmer, nur zum Surfen, mein Arbeitsrechner kommt nur alle paar Wochen wenn nötig ins Netz. So wird man auch nicht dauernd abgelenkt.
     
    Zuletzt bearbeitet: 9. Juni 2018
  4. haebbmaster

    haebbmaster Lötknecht

    Würde wenig Sinn machen, wenn der von der AV erkannt würde, oder?
     
  5. Green Dino

    Green Dino Dinosaurs Dance

    Ja ohne Scheiß ge^^
    Wär auch nicht ungewöhnlich wenn die AV Hersteller da kooperieren würden.

    Naja, kann ja auch selbst nachlesen.
     
    Zuletzt bearbeitet: 9. Juni 2018
  6. haebbmaster

    haebbmaster Lötknecht

    Du kannst die AV weglassen und von der eigenen Regierung abgehört werden, oder du kannst Kaspersky draufmachen und von den Russen abgehört werden. Also lass ich lieber die AV weg.
     
  7. Green Dino

    Green Dino Dinosaurs Dance

    Da stecken aber jeweils noch ne Menge andere zwischendrin, die auch was mithören wollen.

    Und nach diesem Zitat vom Herrn Kaspersky können wir ja wieder zurück zu Linux.

    "Wir kooperieren nicht nur mit dem FSB, sondern auch mit den Amerikanern und den Brasilianern und mit einer Reihe von Europäischen Agenturen in Sicherheitsfragen und Cyberkriminalität. Bei uns gibt es eine Expertengruppe, die Codes besser knacken kann als irgendwer sonst auf der Welt, vielleicht nach dem FBI. […] Wir haben nicht die Möglichkeit, uns um alle Arten von Detektivarbeit zu kümmern, das ist nicht unser Job. Aber wir geben ihnen die Informationen, mit denen sie weiter Verbrecher fangen können."
     
    Zuletzt bearbeitet: 9. Juni 2018
  8. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Ist da https://www.clamav.net/ vertrauenerweckender/~ehrlicher als Kaspersky?
    Was gibt es sonst noch und gibt es Informationen wie der Trojaner momentan gebaut ist?
    Festplatte verschlüsseln (Betriebssystem als auch die Daten Festpate), nie die Wohnung verlassen um keinen physischen zugriff zu gestatten, ... .
    Wie machen das Firmen?

    Ach, evt. weniger denken und Spaß haben?
    Oder:
    Wer nichts zu verbergen hat, hat nichts zu befürchten? == Wer Fragt hat was zu verbergen/befürchten?
    Ist die Frage legal?
    Stasi Training Video ;-)

    Ansehen: https://www.youtube.com/watch?v=Bba3tryTJbs
     
    Zuletzt bearbeitet: 9. Juni 2018
  9. noir

    noir ( ͡° ͜ʖ ͡°)

    Disclaimer: Mein Job ist es Systeme bzw Unternehmen als Teil eines Red-Teams anzugreifen.

    AV bringt Dir gegen staatliche oder grad mal semi-professionelle Aktoren absolut null. Nichts. Nada. Alles was Du tun kannst ist den Aufwand des Angriffs erhöhen und dafür sorgen das er Dir auffällt. Und Dir muss bewusst sein wie ein professioneller Angriff funktioniert. Stichwort Kill-Chain:

    [​IMG]

    Vor allem muss Dir immer klar sein, dass es ausführliches Recon geben wird. Alles was man über Dich finden kann wird ausgewertet um dann einen Angriffsweg zu konstruieren. Hat die Zielperson IT-Hintergrund? Gar in Security? Welche Geräte mit welchen Betriebssystemen? Interessen? Hobbys? Freunde/Familie? Beruf? Gewohnheiten?

    Kriegt man Dich via Spear Phishing? Muss man vielleicht das Vertrauen in jemanden den Du kennst nutzen? Oder muss man sich doch physikalisch Zutritt und Zugriff verschaffen?

    Da dieser Post extrem lang werden würde hier nur eine unvollständige Liste von Maßnahmen. Bei näherem Interesse suchen oder fragen Die Umsetzung kann beliebig viele Umstände bereiten die ggf. auch zu viel sind:

    - Minimierung der Angriffsoberfläche (Möglichst wenig digitale Systeme benutzen)
    - Datensparsamkeit (Immer nur Daten preisgeben welche wirklich benötigt werden)
    - Air-Gaps (Geräte komplett und dauerhaft vom Internet trennen)
    - Meidung von "smarten" Geräten (Phone, Home etc.) und Handys (Selbst ein Dumb-Phone erzeugt Bewegungsprofile und Metadaten der Kommunikation.)
    - Verschlüsselung aller Speichermedien und Backups
    - Ende-zu-Ende-Verschlüsselung von möglichst aller Kommunikation
    - Starke Passwörter
    - Nutzung von TOR und öffentlichen/fremden Internetzugängen (Hotspots, Internet-Cafe)
    - Verwendung von Live-Systemen
    - Härtung der verwendeten Betribssysteme (Restriktive Rechtevergabe, Mandatory Access Control aka SElinux, Aktivierung von Schutzmaßnahmen in Kernel und Compiler etc.)
    - Tamper-Detection an allen physischen Systemen sowie Intrusion-Detection der Perimeter
    - Nutzung von Carnaries bzw. Honeypots (Für den Angreifer attraktiv aussehende Fake-Daten und Systeme durch die Alarm beim Zugriff ausgelöst wird)
    - Logging von allen Events sowie Monitoring/Auswertung eben dieser
    - Allerlei kreative Maßnahmen mit denen Angreifer nicht rechnen und die Deckung und/oder Wirkung der Angriffe negativ beeinflussen

    Willkommen im Land der paranoiden Spinner :P
     
  10. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Ich denke ich operiere erst mal mein(?) Hirn aus und zertrümmer es mit einem Vorschlaghammer, dann wissen die nicht was ich vorhabe. Sinnvoll? ;-)
    !80Mio. Gefährder!
    Och man besser Feiern als Denken! Kein Bock auf 4. Reich!
     
  11. haebbmaster

    haebbmaster Lötknecht

    Du übertreibst maßlos. Der Staatstrojaner wird nur in Fällen begrüdneten Verdachts zu Strafverfolgung eingesetzt. So wie bisher das Telefonabhören.

    Die Daten von euch allen anderen kriegen wir sowieso, indem ihr sie freiwillig bei Facebook, Amazon oder sonstwo eingebt. Das ist viel einfacher.
     
  12. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Zuletzt bearbeitet: 10. Juni 2018
  13. haebbmaster

    haebbmaster Lötknecht

  14. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

  15. noir

    noir ( ͡° ͜ʖ ͡°)

    HA der war gut! Versuch mal jemanden nachzuweisen, dass Du etwas nicht getan hast oder tun wirst. Wenn es um ein auf Ort und Zeit stark begrenztes Ereignis geht dann stehen Deine Chancen unter Umständen noch ganz gut. Ich bin aber der Auffassung, dass Du in naher Zukunft einem Bekannten bei der Wäsche eines größeren Geldbetrags unterstützen wirst. Das habe ich aus dem Bericht eines befreundeten Geheimdienstes.
     
  16. haebbmaster

    haebbmaster Lötknecht

    Siehste, da hat die DE-CIX Überwachung schon was gebracht. Da wären die sonst im Leben nicht draufgekommen.

    In der Tat hat letzte Woche die Witwe von Papa Doc mit mir Kontakt aufgenommen, die einen größeren Geldbetrag Richtung Europa überweisen will. Ich soll ihr dabei helfen. Aber das bleibt unter uns.
     
  17. Green Dino

    Green Dino Dinosaurs Dance

    Die Dinge um dich herum ändern sich sowieso - da arbeiten nämlich ne ganze Menge Leute dran - Veränderung ist gut bzw. kann man gut verkaufen/sich gut bezahlen lassen.
    Im Grunde genommen gibt es schon genug mit dem man sich rumschlagen kann, welches einen persönlich beeinflusst. Darauf konzentrieren reicht doch?!
    Wir leben hier quasi auf der Sonnenseite der Welt.
    Das was bei uns im Müll landet, das hätten andere gerne.
    Rüberschicken geht trotzdem nicht einfach so und weder du noch ich haben es uns bewusst ausgesucht hier geboren zu werden.

    Wenn du jetzt mal überlegst wie lange du schon vernetzt durch die Gegend läufst, warum sollte das nicht so weiter gehen?
    Du bist doch nur einer von Millionen.

    Mach immer schön Backups, dann kannste deine Daten auf ein neues System aufspielen.

    Festplatten im Keller und zwei oder drei 32GB Sticks (Daten sinnvoll aufteilen, so das bei Verlust eines Sticks man noch was mit den anderen anfangen kann) dabei reicht doch.
    Gibt auch *shock proof* USB Sticks, da ist so ne dicker Gummi drum. Die Sticks am besten wasserdicht verpacken. ;-)

    Kannste Sonntag zum Backup Tag machen oder automatisiert laufen lassen.
    Der Rest klappt dann schon.

    Jeden morgen mit dem Fahrrad an Auspüffen schnüffeln ist auch gefährlich...wenn du verstehst?
     
    Zuletzt bearbeitet: 10. Juni 2018
    haebbmaster gefällt das.
  18. ei bub du brauscht ka indernet und wenn du da feschtplatt verschüschelst kanst in ruh dein bembelsche trinke
     
  19. Moogulator

    Moogulator Admin

    Nein, vom Netz trennen ist nicht die Lösung, der "Trojaner" wird ja nicht wirklich durch "dich" installiert sondern man muss da schon an das Ding dran kommen, also immer bewachen oder mitnehmen - denn die Hanseln müssen ja zu dir kommen oder aber Lücken aufbrechen - sowas kann man heute kaufen. dh - da hilft nur keinen Rechner haben oder ihn immer dabei haben und das Netz abschalten.
     
  20. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

  21. ein unter Linux ordentlich verschlüsselte Festplatte und der damit verhinderte Zugriff auf die Dateisysteme verursacht das sich der Stasi-2.0-Man
    monatelang unbemerkt bei dir einnistet.
    Ergo die einzig wirkliche Sicherheit ist es mit OneNightStands glücklich zu werden.
     
  22. noir

    noir ( ͡° ͜ʖ ͡°)

    Ähm siehe dazu auch mein Post oben :roll:
     
  23. noir

    noir ( ͡° ͜ʖ ͡°)

    @Green Dino Altah, Du musst echt mal <ironie> Tags benutzen. Echt gefährlich sonst...
     
  24. khz

    khz D@AU ~/Orwell # ./.cris/pr.run

    Kann man nicht schon in manchen Bundesländer auch ohne Verdacht verdächtig sein?
    Dann noch "hat die Justizministerkonferenz am Donnerstag in Eisenach einen Beschluss gefasst, laut dem die Polizei künftig in Wohnungen einbrechen können soll" ... .
    Dann die ganzen Bugs in unserer Hardware als auch Betriebssysteme und Anwendersoftware, Mobile, ... . CIX FFM
    Das technische Verständnis der User (meins = 0).
    Der Mensch dem das gefällt und im FB/Amazon/... sich präsentiert ... .
    Etc. pp. .
    Norden Antiwirr hab ich noch eins von 2000 die installiere ich mal, kann nicht schaden. 8-D

    Du meinst deine Frau ... hmmm.
    Naja ich mach lieber Musik und nicht alles (DAU verschlüsselt Betriebssystem/Datengrab ROFL) verschlüsseln und *5 Sekunden später* dann *5 Sekunden später* auf *5 Sekunden später* Jack *5 Sekunden später* kein RT *5 Sekunden später*
     
    Zuletzt bearbeitet: 10. Juni 2018
  25. Moogulator

    Moogulator Admin

    Glaub nicht, ich hab kein Linux und sehe das auch sonst nicht so eng - ich vermute ich bin nicht spannend genug für einen solchen Trojaner - aber das Wort ansicht ist ja auch lustig, wirkt so als würde der Bund so ein Bildchen oder irgendwas per Mail schicken und man klickt naiv drauf. Vielleicht ist das Thema insgesamt ja auch nur da, weil es eben theoretisch interessant ist - sorry für das dazwischenlabern und damit unterstützen, dass die meisten das hier nicht zu ernst meinen.

    Das nur so, ansonsten ist dieses Ding ja eher ein Tool was irgendein schmutziger Mann dem Rechner hinzufügt, wenn du mal nicht da bist - oder so.

    Ich schreib so viel, das ist eh klar dass die wissen was ich mache - arbeiten *G*
    ich hab gar keine Zeit für Bomben ..
     
    Zuletzt bearbeitet: 10. Juni 2018
  26. noir

    noir ( ͡° ͜ʖ ͡°)

    Du könntest ja auch schutzbedürftige Systeme identifizieren und diese dementsprechend behandeln bzw. voneinander trennen ;-)
    Musik PC könnte man auch ungeschützt lassen wenn darauf nichts vertrauliches verarbeitet wird. Dann darf dieses System aber eben nicht mit vertrauenswürdigen Systemen in Verbindung kommen.
     
  27. bluebell

    bluebell ....

    Wer Linux nutzt und nicht alles anklickt und installiert, was nicht bei 3 auf den Bäumen ist, hat schon viel getan.

    Die Gefahren gehen dann in erster Linie von Routern mit zugenagelter Software aus, selbst wenn ein Linux zugrundeliegt. Die meisten Sicherheitslücken an Routern liegen daran, dass der Hersteller mehr oder weniger heimlich eine Fernwartung zulässt. Die braucht kein Mensch. Installiert LEDE oder OpenWRT, macht den Paketfilter zu für Verbindungen von außen und gut.

    Weitere Gefahren gehen von allen Geräten aus, die nicht ohne "die Cloud" funktionieren. Diese Geräte tun genau das, was man dem PC austreiben will: nach Hause telefonieren. Insofern hat es wenig Sinn, den PC zu schützen und denn jeder Chinaplastekamera zu erlauben, nach Hause zu telefonieren. Die gehören in ein eigenes Netz ohne Zugriff auf das Internet und am besten auch ohne Zugriff auf DNS.

    Dass es sich verbietet, Software zu installieren, die zur Lizenzierung nach Hause telefoniert, versteht sich von selber. Aber das ist ja Closed Source und die installieren wir eh nicht, weil der Hersteller ganz offensichtlich etwas zu verbergen hat. Und das sind in der Regel keine hypergenialen, noch nie dagewesenen Algorithmen.
     
  28. bluebell

    bluebell ....

    Eine vollverschlüsselte Platte ist immer eine gute Sache. Auch wenn die Platte defekt ist und man sie wegschmeißt, braucht man sich keine Sorgen zu machen, dass jemand Unfug mit den Daten treibt, z.B. mit den gespeicherten WLAN-Zugangsdaten.

    Ab Core i5 sind eh AES-Befehle in der CPU, d.h. da bremst sich nichts spürbar aus.
     
  29. Moogulator

    Moogulator Admin

    Mal im Ernst -
    so generell - wenn man auf das achtet, was man im Netz klickt und seinen Rechner nicht mit Quatsch zuinstalliert, den keiner braucht oder der bewusst auf deiner Platte was sucht - dann machst du das ganz gut.

    Das gilt übrigens auch für Macs - bei PCs ist die große Verbreitung und die damit verbundene Angreifbarkeit etwas höher als bei den anderen. Verlassen kann man sich nicht - aber - der Bundestrojaner ist nunmal kein normaler Wurm oder "Virus" den man sich irgendwo klickt sondern nur ein hämischer Name für ein Spionageprogramm das "irgendwie" auf den Rechner gelangen muss. Das ist nicht Zauberhand sondern wird manuell eingebracht (USB Stick etc.) oder muss über Sicherheitslücken drauf gebracht werden - Wenn du deine Firewall im Griff hast, deinen Router und diverses, ist das schon gut, alle Ports zumachen, die man nicht braucht und hin und wieder einfach mal Portsniffer oder so anschauen - was da rein und raus geht.

    Für Paranoiker.

    100% Sicher - geht nicht.

    Private Linuxer sind schon wegen des sehr geringen Marktanteils aber auch nicht Hauptzielgruppe. Das sind eben Windows User - einfach weil das verbreitetes OS ist.

    Mir fällt ein, dass ich durchaus Bock auf n Surface hätte.
     
  30. noir

    noir ( ͡° ͜ʖ ͡°)

    Hat ja nichts mit dem Staatstrojaner zu tun. In der Tat ist eine gehörige Portion Datenmüll den Du nie anguckst ganz nützlich da der Zugriff darauf deutlich auffallen würde während es für außenstehende schwer zu sagen ist was davon für Dich von Wert ist.

    Es ist überall in dem Bereich schon seit mehr als 10 Jahren gängige Praxis als Rückkanal HTTP(S) zu benutzen. Da besteht dann auch oft keine dauerhafte Verbindung sondern nur alle X Minuten/Stunden/Tage mal. Die Firewall müsste erst einmal sowieso ein dediziertes Gerät sein, die Firewall auf dem infizierten Gerät ist dann zu nichts mehr zu gebrauchen. Man könnte dann darauf natürlich auch ausgehendes HTTP blockieren aber dann wars das erstmal mit Browser benutzen.

    Türlich nicht. Aber das Erkennen eines Angriffs halte ich für sehr machbar.

    Auch das ist nicht relevant für einen gezielten Angriff.

    Warum denn wegschmeißen? :P Schön alles behalten damit die Angreifer noch ganz viel extra Spaß haben!