linux sicherheit

[Mareta Dagostino]

@Bartholomew: Hast du zu Solarwinds was konkretes? Nach dem, was Google so rauswirft, kann das irgendwie alles gewesen sein. Ein Mitarbeiter könnte mit dem geheimen Schlüssel fahrlässig umgegangen sein. Das Buildsystem der Firma könnte gehackt gewesen sein (der Supergau für eine Softwarefirma). Selbst Sicherheitslücken in der vertriebenen Software wurden diskutiert, wo ein Angreifer den Schlüsseltest hätte kompromittieren können.

Edit: Hier (englisch) ist eine Analyse, wonach wohl das Buildsystem des Herstellers kompromittiert wurde. Wenn der Originalcode schon verseucht ist, kann der Hersteller das danach signieren bis der Arzt kommt - dadurch wird es auch nicht mehr besser. Supergau.

[ska skaduwee]

... musst du erst eine Geschäftsbeziehung mit Microsoft aufnehmen und Bedingungen erfüllen ...

du meinst so was in der liga Crypto AG? (euronews , stern ) wir sollten hier mal definitionen für alle die nicht ganz tief in diesem sumpf geschaut haben geben, lvl5 cyberkriminelle -> die stasis dieser welt, terrorist -> jeder nicht arschkriechende untertan der nicht ganz tief im arsch der regime steckt

[Mareta Dagostino]

Beiden Firmen hatten selber schon kompromittierten Code veröffentlicht. Da war kein technischer Mangel, der irgendwas mit Linux-Sicherheit oder Signaturen zu tun hat. Deshalb tue ich mich jetzt leider etwas schwer, da adäquat zu antworten.

Größere Firmen haben speziell gesicherte Buildsysteme, wo aus dem Quellcode die Referenz des Binärprogramms gebaut wird. Nur dieser Referenzcode wird signiert und nicht, was einzelne Entwickler vielleicht auf ihren Rechnern zum Ausprobieren bauen. Bei Solarwinds wurde dieses Buildsystem gehackt, so dass schon der Originalcode kompromittiert war.

Die Crypto AG hatte Sicherheitssoftware mit Hintertüren verkauft. Auch dort war bereits der Originalcode kompromittiert, hier sogar mit voller Absicht.

-------------

Ein anderes Problem im Zusammenhang mit Signaturen sind die Firmen, die Root-Zertifikate herausgeben. In einer globalisierten Wirtschaft können wir meistens keinen sicheren zweiten Weg herstellen, um die Echtheit eines Zertifikats festzustellen.
Heile Welt: Ich mache ein Programm, signiere es und gebe es meinem Freund. Wir treffen und in einer Kneipe und da überreiche ich einen Zettel mit dem Fingerprint von meiner Signatur.
Realität: Ich kaufe eine Signatur bei einer Firma. Die stützt sich auf bestimmte Sicherheitsfirmen ab, die Root-Zertifikate verwalten und von der Industrie als vertrauenswürdig angenommen werden. Die Computer meiner vielen unbekannten Kunden fragen nun eine dieser bekannten Signaturstellen, ob die Siganatur echt ist oder nicht.
Wenn man sich nun die Liste der Vergabestellen von Root-Signaturen anschaut, wird einem schlecht. Entsprechend können Staaten oder auch manche Konzerne eigentlich alles als echte Signatur bestätigen. Wer also eine Signatur braucht, die auch vor staatlich motivierter Kompromittierung schützt, muss selber eine eigene Signatur und einen sicheren Weg zur Prüfung etablieren, siehe "heile Welt".

[Pius Noel]

Nettes Thema in Anbetracht, dass wir in der Schweiz am 7. März über das "Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz)" abstimmen dürfen.

Dabei geht es insbesondere darum, wie Personen im Internet mit der E-ID eindeutig identifiziert werden, damit sie Waren oder Dienstleistungen einfach und sicher bestellen können.

Das kritische daran ist, dass der Bund zwar die Identität der Antrag stellenden Person überprüft und grünes Licht gib, die Zertifikate aber nebst Gemeinden und Kantonen auch durch Private ausgestellt werden können.

Ich finde diese Situation in verschiedener Hinsicht ziemlich kritisch und werde das Gesetz auf jeden Fall ablehnen. Zum einen sehe ich eine Gefahr darin, dass Private mitmischen. Meine persönlichen Daten auf höchster Ebene haben bei einem privaten Anbieter nichts verloren. Zum andern sehe ich die Gefahr kommen, dass man sich in Zukunft identifizieren muss um überhaupt noch beliefert zu werden. Da spielt es dann bald keine Rolle mehr, ob die Beantragung einer E-ID freiwillig ist oder nicht. Ich könnte die Liste der Fragwürdigkeiten noch weiter fortsetzen.

[Mareta Dagostino]

Ja, das ist ärgerlich. Besonders skurril ist es auch in Deutschland, wo seit ca. 10 Jahren Personalausweise mit eID Option herausgegeben werden, seit einigen Jahren auch standardmäßig aktiviert. Statt sich also mit dem Perso zu identifizieren, werden diverse lustige Smartphone-Apps verschiedenster Emittenten verwendet, weil Smartphone ist ja so cool. Und da selbst nach Jahren außer ein paar Behörden fast niemand die eID Option zur Identifizierung anbietet, wird sie in der Öffentlichkeit auch nicht wahrgenommen.

https://www.wiwo.de/politik/deutschland/...21934.html

EDIT: Dieses Jahr wird ein neuer Anlauf versucht. Auch publikumswirksamere Behörden sollen ihre Verwaltungsprozesse so umstellen, dass Online mit eID ohne nachträgliches Einreichen eines unterschriebenen Zettels funktioniert. Und EU- oder EWR-Bürger ab 16 können amtliche Identitätskarten kaufen, wenn sie nicht Deutsche sind und keinen Personalausweis bekommen.

[Xenos Yifu]

Die App gibt es doch schon ewig.
https://de.wikipedia.org/wiki/AusweisApp2

[ska skaduwee]

du sollst in zukunft deine persowanze und den führerschein auf die smartwanze spielen können heise . bis jetzt konntest du die pesowanze per app für win und macos + kartenleser benutzen oder mit wenigen smartwanzen per nfc. kaum jemand hat, solange es freiwillig war, die ausweisfunktion freigeschaltet. jetzt haben sie es ja verpflichtent gemacht (wie maschinenlesbares ausweisbild und von ihren grossen vorbildern bereits gehabt, fingerabdrücke, damit können die überwachungsbehörden automatisiert jeden ausschnüffeln). die amtshengste oder war es der schimmel wollen auch unbedungt ihern stempel auf totholz hämmern um ihre wichtigkeit klarzustellen, daher gab es auch keine behördenanwendungen dafür. das wichtigste lesegerät dür diese wanze ist auf alle fälle eine induktionsleseplatte, die erzeugt keine brandlöscher wie es der mikrowellenleser macht.

[Gubbly]

du sollst in zukunft deine persowanze und den führerschein auf die smartwanze spielen können heise . bis jetzt konntest du die pesowanze per app für win und macos + kartenleser benutzen oder mit wenigen smartwanzen per nfc. kaum jemand hat, solange es freiwillig war, die ausweisfunktion freigeschaltet. jetzt haben sie es ja verpflichtent gemacht (wie maschinenlesbares ausweisbild und von ihren grossen vorbildern bereits gehabt, fingerabdrücke, damit können die überwachungsbehörden automatisiert jeden ausschnüffeln). die amtshengste oder war es der schimmel wollen auch unbedungt ihern stempel auf totholz hämmern um ihre wichtigkeit klarzustellen, daher gab es auch keine behördenanwendungen dafür. das wichtigste lesegerät dür diese wanze ist auf alle fälle eine induktionsleseplatte, die erzeugt keine brandlöscher wie es der mikrowellenleser macht.

Meine güte, du musst mir mal deine Adresse geben. Dann wichtel ich dir zum nächsten Weihnachten einen Aluhut.

[Mareta Dagostino]

Wer dem eigenen Staat misstraut, was ja in vielen Ecken der Welt durchaus berechtigt ist, muss (!) sich innerhalb der eigenen vertrauenswürdigen Gruppe selbst organisieren und auch sehr spezielle Maßnahmen treffen. Irgendeinen normalen Alltags-PC oder das Alltags-Smartphone mit drölfzig Apps jedenfalls kann man als Schutz vor Geheimdiensten knicken. Ist leider so.

Wer dem deutschen Staat traut, bekommt zumindest theoretisch mit der eID im Personalausweis (die man übrigens deaktivieren lassen kann) eine derart sichere ID-Kennung geschenkt, dass das meiste auf dem freien Markt gebräuchliche dagegen alt aussieht. Wer ein Lesegerät in der 150€ Klasse kauft, kann mit dem Perso bis zum Sicherheitslevel 4 elektronisch unterschreiben. Das reicht theoretisch für alle Geschäftsprozesse, die eine Normalbürgerin ohne Notar tätigen darf. Natürlich hat in der Praxis kaum jemand so ein Hochsicherheitslesegerät zu Hause rum stehen, die meisten machen ja sogar Online-Banking in Sicherheitsstufe 1 auf dem Smartphone. (Alles, wo man die Geheimzahl in Computer oder Smartphone eintippt anstelle in ein Extragerät, ist nur Level 1.)

[Xenos Yifu]

Also ich mache Online-Banking auf dem PC und nutze die Perso App.
Beides seit langer Zeit. Bezahlen mit dem Smartphone mache ich nicht weils mir zu unbequem ist.
Auch da nutze ich kontaktlos meine Karte.
Vielleicht bin ich einfach zu normal um in permanenter Panik zu leben das alle auf der Welt hinter mir her sind.
Man sollte nicht dem Verfolgungswahn verfallen. Mir langt es alle Aktivitäten selber zu kontrollieren damit fahre ich gut und werde das auch nicht ändern.