November 25, 2007
@ 06:58 PM

Jeder sollte etwas machen, um das Klima zu schützen. Ich bin beim Surfen auf eine Seite gestoßen, die mich interessiert hat und ich finde, dass hier jeder dabei sein kann und sollte! Licht aus für das Klima, so der Slogan der Aktion. Einfach durchlesen, weitersagen und dabei sein! Es ist nicht schwer!

http://www.lichtaus.info./

 


 
November 19, 2007
@ 08:51 PM

Verschlüsselt ist verschlüsselt. Zumindest könnte man das Denken, aber ist das auch wirklich so? Naja, nicht ganz! So würde ich die Sache sagen. Abgesehen von dem Ergebnis möchte ich gleich vorab sagen, dass beide Verfahren der Sicherheit zugänglich sind. Betrachten wir die beiden Verschlüsselungen:

EFS:

  • Zertifikatbasiert (Softwarebasiert)
  • User bezogen
  • Kann von mehreren Usern transparent genutzt werden
  • Algorithmus nicht frei wählbar
  • Verschlüsselungszertifikat muss manuell gesichert werden
  • Verschlüsselung wird Dateibasiert angewendet

Bitlocker:

  • Hardwarebasiert durch den TPM Chip
  • Computerbezogen
  • Kann von mehreren Usern transparent genutzt werden
  • Algorithmus nicht frei wählbar
  • Verschlüsselungszertifikat ist fest (Read only) im TPM Chip verankert
  • Verschlüsselung wird Sektorbasiert angewendet

Wie gesagt, Sicher sind Beide, aber dennoch gibt es einige kleine Unterschiede, die bei einer genauen Betrachtung größer sind, als sie zuerst erscheinen. Wenn ich nun versuche eine verschlüsselte Datei zu entschlüsseln, muss ich entweder den Algorithmus kennen oder meine kriminelle Energie einsetzen, um mir unberechtigten Zugang zu verschaffen. Ich werde hier keine Tipp's zum widerrechtlichen Decodieren von Dateien geben. Wer das jetzt dennoch erwartet, der kann sich das weiterlesen sparen.

Ich möchte nur eins anzeigen, dass wenn ich eine verschlüsselte Datei entschlüsseln will, muss ich einige Parameter kennen. Zumindest kenne ich den Anfang und das Ende der Datei, weil Dateien beim Verschlüsseln nicht größer werden. Wenn ich allerdings versuche eine Datei von einer Bitlocker verschlüsselten Festplatte zu entschlüsseln, dann kann ich diese Datei nicht finden, weil auch die leeren Bereiche einer Partition komplett verschlüsselt worden sind. Somit ist es unmöglich überhaupt zu erkennen, wo sich die Datei befindet. Zumindest über eine Annäherungsanalyse wird es bei Bitlocker unmöglich einen Ansatz zu finden. Auch ist die Geschwindigkeit bei Bitlocker (wenn auch nur gering) höher als bei EFS. Wenn man es besonders sicher machen will, dann beide Verfahren nutzen:

Bitlocker mit EFS und die Welt ist ein kleines Stück sicherer.

(Anmerkung der Redaktion: Perfekte Sicherheit wird es nicht geben, wir bekommen nur etwas mehr Zeit zum reagieren.)


 
Categories: ATE | Security

November 17, 2007
@ 06:24 PM

Wenn man einen Server 2008 mit einer Bitlocker verschlüsselten Partition einsetzt kann man einen nahezu sicher sein, dass die Daten auch gut geschützt sind. Soweit zur Theorie.

Wenn man über die Implementierung eines DFS Stamms nachdenkt gibt es 2 elementare Gedanken dazu:

  • Ist der DFS Stamm Active Directory integriert?
  • Was passiert, wenn der 2. Server keine Bitlocker Verschlüsselung aktiviert hat?

Zu Punkt1:

Ist der 2. Server ein Stand Alone Server, dann kann es passieren, dass man hier eine Menge Konfigurationsarbeit leisten muss, z.B. die automatische Replikation.

Zu Punkt2:

Hier lauert die eigentliche Gefahr! Sollte man vergessen haben, das neue Mitglied des DFS Stamms mit Bitlocker zu verschlüsseln, dann würden bei einer Replikation ALLE DATEN unverschlüsselt sein! Zumindest auf dem 2. Server ist das Sicherheitsmodell nutzlos und ein Diebstahl oder das "Fremdbooten" hätten fatale Folgen!

Abhilfe:

DFS Stämme nur AD integriert einsetzten, dadurch ist die Kontrolle per GPO gewährleistet. Automatische Replikation wird über FRS (File Replication Service) gemacht und ist auch verschlüsselt.

Ist der Server Member einer Domäne, dann kann man die Bitlocker Verschlüsselung per GPO erzwingen. Um sicher zu gehen, dass alle Partitionen dem Unternehmensweiten Standard entsprechen, kann man die gewünschten Server per WMI Filter abfragen. Hierzu eignet sich die GPMC (Bestandteil vom Server 2008, beim Server 2003 muss diese nachinstalliert werden). Nur wenn das Ergebnis positiv ist, sollte man mit der Einführung des DFS Stamms fortfahren.


 
Categories: ATE | Security

Vorratsdatenspeicherung, was für ein komisches Wort. Dennoch ist es ein Wort, das uns in der nächsten Zeit öfter begegnen wird. Ab dem 01.01.2008 tritt ein neues Gesetzt in Kraft, indem die Speicherung von Internet Nutzungsdaten geregelt wurde. Ab diesem Datum werden alle Daten mindestens 60 Tage lang gespeichert und müssen der richterlichen Nachverfolgung konform gesichert werden. Bisher ist es, bei Flatrates, nur 6 Tage lang nötig eine Speicherung zu gewährleisten. Ich höre zurzeit immer wieder Rufe, die die totale Überwachung prophezeien.

Mal ehrlich, wer glaubt denn noch, dass dieser Schritt den Kohl noch fett macht? Der gläserne User ist schon lange Realität, ohne dass die Menschen gemerkt haben, dass sie überwachbar sind.

 

Ein paar Beispiele:

Ich will von der Abreit nach Hause und rufe schnell zu Hause an, um zu sagen, dass ich mal wieder später nach Hause komme. Nach ein paar Minuten merke ich, dass mein Auto nach einer Oktanbehandlung schreit. Schnell an die zapfe gefahren, Benzin rein und dann an die Kasse. Die Qual der Wahl ist EC-Karte oder Kreditkarte? Bargeld kann man vergessen, wenn man die aktuellen Preise der Benzinkonzerne betrachtet. Wieder im Auto fragt mich mein Navi ob die Zielführung fortgesetzt werden soll. Ja klar, ich will nach Hause. Auf der Autobahn fahre ich unter mehreren Mautbrücken durch. Auf der Fahrt treffen mehrere E-Mails per Blackberry auf meinem Handy ein… Grrr, wann hab ich endlich Feierabend? Zu Hause angekommen das übliche: private E-Mails lesen, mit ein paar Freunden telefonieren, etwas im Internet Forum schreiben, etwas bloggen und ein bissel mit der XBOX360 zocken.

 

Was ist nun passiert:

Der Handyanruf nach Hause zeigt in welcher Mobilnetzzelle ich mich grad befinde und welches Netz ich nutze, das ist auf ca. 100 Meter genau. Durch einen etwas länger dauernden Anruf ist eine Peilung auf ca. 2 Meter genau möglich. An der Tankstelle habe ich elektronisch bezahlt, somit ist die genaue Zeit und die Benzinart vermerkt. Bei Aral wird man nach einer Payback Karte gefragt, bei Shell bekommt man Punkte die entweder auf der ADAC Karte oder der Shell eigenen Clubsmart Karte gesammelt werden. Allein durch diesen Bonus, den man bekommt, ist eine Profilanalyse möglich. Wer immer noch glaubt, dass man etwas geschenkt bekommt der irrt sich gewaltig. Die gesammelten Daten, werden knallhart verkauft, damit Werbefirmen oder Analytiker Profile erstellen können. Ich spinne? Lest einfach die seitenlangen AGB´s der Bounspunktebetreiber und ihr merkt schnell, dass die Einwilligung zur Auswertung bereitwillig erteilt worden ist! Sicher kann man diesem Punkt widersprechen, aber ich kenne Niemanden der das wirklich gemacht hat. Durch das Navi werden Daten gesammelt, die eine punktgenaue Nachverfolgung über Strecke und Geschwindigkeit ermöglichen. Denn im Fall eines Diebstahls ist man über diese Daten glücklich. Das Bewegungsprofil wird dadurch aber auch detailierter! Das deutsche Mautsystem, ist in der Lage Gesichter zu erkennen und an eine zentrale Datenbank zu übermitteln. Zurzeit ist noch nicht im Einsatz, dennoch ist es eine weitere Möglichkeit. Dadurch wird es auch möglich zu erkennen, ob ich alleine im Auto sitze! Für den Einen oder Anderen kann das schnelle eine prägnante Situation erzeugen! Die Mails die auf meinem Blackberry eintreffen werden wie immer im Klartext übermittelt und die IP Adressen sind alle bei Ripe.net registriert. Somit kann man schnell die Herkunft und den Inhalt feststellen. Sind es SPAM Mails, dann ist ein besonderes Augenmerkt auf den Mails, denn vielleicht tappe ich ja in eine Werbefalle. Ab diesem Zeitpunkt bekomme ich bestimmt viel personalisiertere Mails! Auch diese Information dienen nur dem Zweck des Geld verdienen. Wenn ich über den Blackberry antworte, dann kann man ableiten, wie lange ich bereit bin zu arbeiten, oder ob ich die E-Mails ignoriere. Diese Daten vervollständigen das gläserne Profil immer weiter. Wenn man sich im Internet surft oder Mails liest hinterlässt man Tonnen von Spuren die ausgewertet werden können. Schreibe ich etwas in ein Forum oder in mein Blog, dann schnappen sich Bots von Google und Co sofort diese Daten. Nebenbei landet alles bei archive.org, ein Backup kann nie schaden! Online Stores wie Amazon und eBay erstellen eindeutige Profile der Nutzer, ohne dabei Skrupel zu haben. Durch Cookies wird man persönlich begrüßt, ohne dass man sich eingeloggt hat. Werbe E-Mail mit interessanten Angeboten von Amazon scheinen auch Niemanden zu stören, denn es sind ja immer gute Angebote ;-) Telefonieren ist auch nicht mehr das was es mal war. Sollte eine Verbindung über ein Netz gehen, dass den Vereinigten Staaten von Amerika gehört, so dürfen diese die Gespräche mithören und mitschneiden, ohne dass Persönlichkeitsrechte verletzt werden. Es ist bestimmt überflüssig zu erwähnen, das alle deutschen Telefonprovider Backupleitungen in den USA haben. Die XBOX360 mit der Anbindung an die Live Messenger Dienste zeigen, mit wem ich wann chatte oder zusammen spiele. Wieder ist Tür und Tor offen, um gezielte Demos anzubieten.

 

Fazit:

Man sieht ganz schnell, dass man schon lange eine gläserne Persönlichkeit ist, ohne dass es auch nur eine Person stört. Die Speicherung findet schon lange statt! Auch sind die Angaben nur Mindestdaten. Es müssen mindestens 6 Tage sein, können aber auch 600 Tage sein. Als nächstes bekommen wir in Deutschland Ausweise mit eindeutigen Biometrischen Daten, kurz danach kommt die Gesundheitskarte. Somit behaupte ich, dass man die Vorratsdatenspeicherung ruhig vernachlässigen kann. Die paar Infos über mich machen den Kohl auch nicht weiter fett. Das soll nicht heißen, dass ich das gut finde, ganz im Gegenteil, ich bin ein absoluter Gegner der Überwachung und Zensur. Nur gegen solch eine Staatsgewalt ist man alleine schnell machtlos.


 
Categories: ATE | Publikationen | Security | Security4Everyone

November 4, 2007
@ 08:29 PM

Wenn man Bitlocker per Gruppenrichtlinie ausrollen möchte, dann gibt es dort eine Einstellung mit dem man die Verschlüsselungsstärke definieren kann. Standardmäßig wird mit AES 128 Bit + Diffuser verschlüsselt. Stärker ist natürlich AES 256 Bit. Nun gibt es dort aber noch 2 Einträge mit dem Anhang + Diffuser.

Der Diffuser ist auch unter Vista (Enterprise + Ultimate) enthalten.

Was ist der Diffuser?

Richtig heisst es eigentlich Elephant Diffuser. Der Diffuser ist ein spezieller, noch nicht komplett getesteter Algorithmus, der weitere Sicherheit implementiert. Zuerst wird der zu verschlüsselnde Klartext durch das 2 stufige Diffuser Modell geschickt, um danach zusätzlich mit dem AES Algorithmus verschlüsselt zu werden. Die Schlüsselstärke wird nachher addiert, somit ergibt sich für AES 256 + Diffuser eine Schlüsselstärke von 512 Bit (256Bit Diffuser + 256 Bit AES).

Auch mit Bitlocker + Diffuser ist das System nicht spürbar langsamer.


 
Categories: ATE | Security | Vista

November 4, 2007
@ 06:34 PM

Wenn man die MAC Adresse der XBOX360 rausfinden möchte, kann man diese Adresse ganz einfach ablesen. Die MA CAdresse findet man unter:

System - Nertwerkeinstellungen - Einstellung bearbeiten - Zusätzliche Einstellungen - Erweiterte Einstellungen - Verkabelte MAC Adresse

Alternativ kann man auch mit einem Sniffer im Netz arbeiten (z.B. WireShark). Anpingen kann man die Box nicht, ICMP wird verworfen.


 
Categories: Networking

November 4, 2007
@ 12:10 AM

Neulich hatte ich einen kleines MSN Chat mit Stephan Oetzel. Ich bedanke mich für den netten Kommentar zum Post NRW08! Dann kam allerdings etwas, womit ich nie gerechnet hätte. Stephan offenbarte mir, dass ich den besten Vortrag gehalten hatte. Das hat mich dann völlig vom Schemel gehauen, denn immerhin hatte ich einen Home Server Vortrag bei einer Developer Konferenz. Spontan musste ich mich an einen Chat mit Lars Keller erinnern, dem ich als Tipp sagte: "´Wenn du bei der NRW redest, dann musst du versuchen die Hütte zu rocken." Ich für meinen Teil kann nur sagen, dass hat ordentlich gerockt.

Noch mal danke an das NRW Team und an das tolle Publikum, für mich immer wieder eine tolle Konferenz.


 
Categories: Community | Publikationen