4. "Online-Durchsuchung" technisch möglich?

"Online-Durchsuchung" technisch möglich?

  • ?

    Tippe auf einen Scan von Schlüsselwörtern vom I/O, so wie AntiViren-Guards.

    0
  • R

    Headhunter schrieb:

    Da würde ? dann einfach deinen Download von Download.com durch was anderers ersetzen.

    Und wenn du die Checksumme prüfst oder die Signatur der Datei, dann kannst du den Trojaner ja leicht entdecken.

    Oder update.windows.com macht auf einmal kein Windowsupdate mehr, sondern installiert ein als "kritisches Systemupdate" markiertes Update aka. Bundestrojaner.

    Signiert Microsoft die Updates nicht?

    Die Sache mit dem Bundestrojaner ist sehr merkwürdig. Gezielt einen Trojaner zu installieren ist nicht leicht, vor allem wenn die Person kein Vertrauen zu einem hat. Die kriminellen Trojaner und Botnetze funktionieren ja entweder, weil die Leute zu blöd sind und jeden scheiß aus jeder Quelle installieren oder weil man Massenhaft Windows-Sicherheitslücken ausnutzt. Beide Möglichkeiten sind bei einer gezielten Anwendung nicht möglich.

    Außerdem muss man sehen, das es sich um eine _aktive_ Abhörmethode handelt und nicht um eine passive, wie es bisher üblich war. Findet ein Verdächtiger raus, dass ihm der Bundestrojaner untergeschoben werden soll oder wurde, kann er damit die Behörden sicher leicht täuschen. Ich glaube das Risiko ist ziemlich groß.

    0
  • H

    rüdiger schrieb:

    Headhunter schrieb:

    Da würde ? dann einfach deinen Download von Download.com durch was anderers ersetzen.

    Und wenn du die Checksumme prüfst oder die Signatur der Datei, dann kannst du den Trojaner ja leicht entdecken.
    [..]

    Sobald die Sicherheit des Übertragungsmedium komprimittiert ist, kannst du keiner Checksumme mehr trauen. Wer sagt dir, dass dir Überprüfung nicht schon vorher ersetzt wurde?
    Um wirklich (einigermaßen) sicher zu werden, müsstest du deinen kompletten Traffic verschlüsselt über mehrere vertrauenswürdige Stationen leiten. Ein eigenes Internet sogesehen aufbauen.

    Damit wäre dann auch der Signaturtest von Windows Update ausgehebelt 😞

    0
  • C

    Lies dir das mal durch:http://www.bsdforen.de/showthread.php?t=18119

    0
  • B

    Headhunter schrieb:

    Sobald die Sicherheit des Übertragungsmedium komprimittiert ist, kannst du keiner Checksumme mehr trauen. Wer sagt dir, dass dir Überprüfung nicht schon vorher ersetzt wurde?
    Um wirklich (einigermaßen) sicher zu werden, müsstest du deinen kompletten Traffic verschlüsselt über mehrere vertrauenswürdige Stationen leiten. Ein eigenes Internet sogesehen aufbauen.

    Damit wäre dann auch der Signaturtest von Windows Update ausgehebelt 😞

    wie soll das gehen? ich weiß ja nicht wie windows das macht aber ich möchte behaupten es ist nicht möglich mir ein ubuntu paket unterzujubeln welches nicht wirklich von ubuntu erstellt wurden, dazu bräuchte die bundesregierung den private key von den ubuntu leuten.

    0
  • D

    borg schrieb:

    Headhunter schrieb:

    Sobald die Sicherheit des Übertragungsmedium komprimittiert ist, kannst du keiner Checksumme mehr trauen. Wer sagt dir, dass dir Überprüfung nicht schon vorher ersetzt wurde?
    Um wirklich (einigermaßen) sicher zu werden, müsstest du deinen kompletten Traffic verschlüsselt über mehrere vertrauenswürdige Stationen leiten. Ein eigenes Internet sogesehen aufbauen.

    Damit wäre dann auch der Signaturtest von Windows Update ausgehebelt 😞

    wie soll das gehen? ich weiß ja nicht wie windows das macht aber ich möchte behaupten es ist nicht möglich mir ein ubuntu paket unterzujubeln welches nicht wirklich von ubuntu erstellt wurden, dazu bräuchte die bundesregierung den private key von den ubuntu leuten.

    AFAIK müssten sie nur den Public Key der bei Ubuntu enthalten ist durch einen eigenen ersetzen, dann sind plötzlich die Bundesupdates valid und die Ubuntu-Updates "Fehlerhaft signiert"

    0
  • B

    darthdespotism schrieb:

    AFAIK müssten sie nur den Public Key der bei Ubuntu enthalten ist durch einen eigenen ersetzen, dann sind plötzlich die Bundesupdates valid und die Ubuntu-Updates "Fehlerhaft signiert"

    naja, das könnten sie nur genau dann tun wenn ich ubuntu installiere, und wenn ich ubuntu von einer offiziellen cd installiere wird das schwierig. der public key wird ja nicht jedesmal mitgeschickt.

    edit: wenn sie mir bei der betriebssystem installation etwas unterjubeln können, können sie auch direkt da den trojaner mit installieren. aber das ist doch kein realistisches angriffsszenario.

    0
  • D

    ok stimmt von der Seite hab ichs nicht bedacht.

    0
  • R

    rüdiger schrieb:

    Findet ein Verdächtiger raus, dass ihm der Bundestrojaner untergeschoben werden soll oder wurde, kann er damit die Behörden sicher leicht täuschen. Ich glaube das Risiko ist ziemlich groß.

    Oder er (bzw. talentierte dritte) können ein Programm schreiben, was nach dem Trojaner sucht. Dann würden wohl mindestens 90% der Abhörmaßnahmen auffliegen.

    0
  • S

    Artchi schrieb:

    Also, mir geht es nicht so sehr um die rechtliche Grundlage. Sondern um die praktische Umsetzung.

    Für die öffentliche Diskussion könnte das fatale Auswirkungen haben. Sobald man nämlich mit Argumenten kommt wie "geht ja eh nicht", werden die meisten denken "na, dann ists ja auch egal, obs erlaubt ist". Aber in 10 Jahren ist es dann vielleicht eben doch möglich- und dann haben wir dieses Gesetz am Bein. Wir sehen ja jetzt schon, daß die parlamentarische Kontrolle keinen Pfifferling wert ist.

    0
  • V

    ich finde es verwunderlich, dass ihr alle glaubt, der bundestrojaner müsse einem heimlich untergeschoben werden...

    0
  • H

    vista schrieb:

    ich finde es verwunderlich, dass ihr alle glaubt, der bundestrojaner müsse einem heimlich untergeschoben werden...

    Wie sonst? Meinst du ich "./configure && make && make install" freiwillig irgendeine X-beliebige tar.gz - Datei vom Bund??

    0
  • V

    Headhunter schrieb:

    vista schrieb:

    ich finde es verwunderlich, dass ihr alle glaubt, der bundestrojaner müsse einem heimlich untergeschoben werden...

    Wie sonst? Meinst du ich "./configure && make && make install" freiwillig irgendeine X-beliebige tar.gz - Datei vom Bund??

    klar, deinen maschinenlesbaren personalausweis hast du doch auch freiwillig vom ordnungsamt abgeholt, oder haben sie dir dabei 'ne pistole an den kopf gehalten?

    0
  • E

    das kann natuerlich auch sein - eine gesetztgebung die allen internet pc's vorschreibt XX installieren zu muessen, kontrolle durch digitalen feedback zum provider

    0
  • V

    Mr Evil schrieb:

    das kann natuerlich auch sein - eine gesetztgebung die allen internet pc's vorschreibt XX installieren zu muessen, kontrolle durch digitalen feedback zum provider

    genau so. alles andere wäre viel zu aufwändig und unsicher.

    0
  • E

    das ist mir gerade eingefallen,
    das finanzamt macht das bereits, nur in einem anderen bereich

    lohnbuchhaltungen - muessen mitlerweile alle diese digital an das FA uebertragen -
    noch wird papierform unterstuetzt, das wird aber weiter und weiter abgebaut

    so kann es laufen im bereich
    anmeldung bei einem provider, man bekommt passende software vom provider dazu,
    welche man installieren muss,

    und erst sobald der provider eine digitale signatur bekommt wird der datenverkehr endgueltig freigeschaltet - ueberpruefbar durch regelmaessige "automatische updates" das das programm bzw der dienst noch laeuft,

    das laesst sich auch bei linux oder mac entsprechend bewerkstelligen

    folglich ist es technisch kein problem soetwas, nur gesetzlich

    0
  • V

    Mr Evil schrieb:

    das laesst sich auch bei linux oder mac entsprechend bewerkstelligen
    folglich ist es technisch kein problem soetwas, nur gesetzlich

    aber wenn's mit desktop-pc's nicht mehr geht, dann werden die terroristen eben über internetfähige handys kommunizieren...

    0
  • P

    Handys lassen sich längst überwachen. Man kann sogar die Firmware im Betrieb manipulieren/austauschen.

    Aber auf dem PC für Terrorplanungen und Kinderpornosammlung surft man halt nicht.
    Was nicht am Netz hängt, können sie nicht finden.

    0
  • T

    Dann hat er halt einen PC am Netz für seine Steuererklärung, den Bundestrojaner und Windowsupdates und auf dem anderen läuft sein Linux-from-the-scratch oder seine eigene Linux-al-Quaida-Distributionund gut ist.

    Oder er lässt das mit der Lohnbuchhaltung bleiben und meldet sich arbeitslos. Irgendeinen weg wirds immer drumrum geben, und genau diesen werden die Terroristen finden, aber der Normalbürger nicht, der dann für eine Mp3 in den Knast kommt. (jaja, dramatisiert und so)

    0
  • R

    Und die ganzen Terror-Studenten, die noch keine Steuererklärung abgeben müssen, bekommt man dann auch nicht.

    0
Anmelden zum Antworten