Datendiebstahl in großem Umfang

[caine2011]

also ich denke, dass man in dtl. währrend die VDS, noch akut war mehr als einfach an diese daten "legal" kam...(obwohl da in Dtl. sich auch schon wieder eifrig an werk gemacht wird, trotz gegensätzlichem EuGH urteil...)

was soll denn der staat genau mit deiner mail adresse? dir spam schicken? deine mails lesen kann er nicht (sofern der staat die selbstgemachten gesetze einhält)

[joe.i.m]

also ich denke, dass man in dtl. währrend die VDS, noch akut war mehr als einfach an diese daten "legal" kam...(obwohl da in Dtl. sich auch schon wieder eifrig an werk gemacht wird, trotz gegensätzlichem EuGH urteil...)...

Ja wenn es nach dem feuchten Träumen der jeweiligen Innenminister gehen würde, hätten wir sie schon längst. Und Deutschland hat ja eine Gewisse Tradition zu verteidigen in Sachen Polizei und Spitzelstaat. Und damit ist nicht nur der ehemalige Oststaat gemeint. Aber schauen wir, wo die Reise da zukünftig hingeht.

...was soll denn der staat genau mit deiner mail adresse? dir spam schicken? deine mails lesen kann er nicht (sofern der staat die selbstgemachten gesetze einhält)

Nun ja, das mit den Halten an die eigenen Gesetze ist so eine Sache. Jedenfalls wenn ich so sehe, wie oft da in den letzten Jahren erst die Bundesgerichte eingreifen mußten, um die obersten Gesetzesverbieger zumindest vom gröbsten Unfug abzuhalten.

Gruß joe

[palefin]

was ist, um die 2. große "Panne" dieser Woche anzusprechen, von diesem OpenSSL Loch zu halten...?

Gestern immer wieder die "Meldungen" gehört, dass da die NSA schon seit Jahren.... ihre Finger drin hatte?

[joe.i.m]

Ob da was drann ist, werden wir wohl nie erfahren. Offen gelegte Software ist eben auch nicht per Definition sicherer, sondern kann nur im Zweifelsfall einfacher eingesehen und überprüft werden.
Letztendlich beteuert der genannte Entwickler das Gegenteil. Zum anderen werden solche Releases ja auch von weiteren geprüft, ehe sie freigegeben werden. Auch da scheint ja nichts aufgefallen zu sein. Die Sachen, welche da jetzt so geschrieben wurden, werden durch viele Wiederholungen auch nicht wahrer, solange es niemand beweisen kann. Ich würde dieses geschreibsel teilweise im Kontext der allgemeinen NSA Vorgehensweise und der daraus teilweise entstandenen Dünnhäutigkeit betrachten.
Jetzt alles in Frage zu stellen und hinter jedem Problem die NSA zu sehen, halte ich jedenfalls aus meiner Sicht nicht für sinnvoll, dann kann man niemanden mehr trauen und sollte das Internet und alles was sonst irgendwo Vernetzt läuft ganz schnell abschalten.

Gruß joe

[palefin]

danke für deine Einschätzung.

[horch!]

was ist, um die 2. große "Panne" dieser Woche anzusprechen, von diesem OpenSSL Loch zu halten...?

Extrem übel!

1. Das Loch ermöglichte das Auslesen von "private keys" - damit hat man freien Zugang zu verschlüsselten Daten. Wenn meine Haus- und Wohnungstüre unverschlossen ist, dann ist das schon ein Problem. Aber wenn ich das weiß, dann kann ich mich darauf einstellen. Viel übler ist, wenn ich denke, alles ist gut verschlossen und abgesichert - und in Wirklichkeit steht vorm Haus eine Kiste mit Nachschlüsseln für jedermann zum Mitnehmen.

2. Durch die weite Verbreitung von OpenSSL ist der mögliche Schaden immens. Um im Bilde zu bleiben: Vor jedem Haus steht so eine Box mit Nachschlüsseln.

3. Es ist kaum nachvollziehbar, wie groß der Schaden tatsächlich ist. Die Ausnutzung des Fehlers hinterlässt wohl - von ganz wenigen Ausnahmen abgesehen - keine Spuren in Logfiles. Im Bild: Wenn niemand von den Nachschlüsselboxen wusste, ist auch nichts passiert - aber wenn doch...?

4. Solange keine "Perfect Forward Secrecy" eingesetzt wird können solche Fehler auch ausgenutzt werden, um in der Vergangenheit gesammelte Daten zu lesen. Prinzip: Man sammelt Daten, auch wenn man sie wegen Verschlüsselung nicht lesen kann - in der Hoffnung, irgendwann an den Schlüssel zu kommen; genau diese Hoffnung könnte jetzt massenweise in Erfüllung gegangen sein.

Das Beispiel zeigt, wie empfindlich unsere technisierte Welt ist. Ein dummer (ein solcher war es wohl) Fehler an einer wichtigen Stelle und ein immenses Kartenhaus bricht zusammen. Es fehlen organisatorische Mechanismen, die sicherstellen, dass solche wichtigen Komponenten entsprechend genau und häufig überprüft werden. OpenSource hat den Vorteil, dass dies ohne weiteres möglich wäre - was aber noch lange nicht garantiert, dass es auch gemacht wird. Unsere Gesellschaft müsste die Infrastruktur schaffen und bereit sein, ausreichend Leute dafür zu bezahlen, solche kritischen Stellen des "Kartenhauses" zu identifizieren und abzusichern.

Übrigens war beim aktuellen Fall noch eine Menge Glück um Unglück im Spiel: der Fehler wurde mit einer relativ neuen Version eingeführt und viele System liefen mit älteren Versionen.

[horch!]

Jetzt alles in Frage zu stellen und hinter jedem Problem die NSA zu sehen, halte ich jedenfalls aus meiner Sicht nicht für sinnvoll, dann kann man niemanden mehr trauen und sollte das Internet und alles was sonst irgendwo Vernetzt läuft ganz schnell abschalten.

Egal, ob die NSA hier irgendwie beteiligt ist oder nicht, das mit dem nicht mehr trauen können und dass man alles ganz schnell abschalten müsste ist genau das potenzielle Problem, das dieser Vorfall aufzeigt. Wenn essenzielle Komponenten unserer vernetzten Welt plötzlich nicht mehr funktionieren, dann haben wir ein Problem. Das sollte man keineswegs auf die leichte Schulter nehmen. Es geht ja nicht nur um unseren Zugriff auf das Nubert-Forum oder um unsere Amazon-Einkäufe; und es geht auch nicht nur um Sicherheit im Sinne von Datenschutz und Verschlüsselung; das Beispiel zeigt die grundsätzliche Verwundbarkeit des Gesamtsystems.

[joe.i.m]

Das sehe ich genauso, sollte ja auch nicht heißen, ich würde es auf die leichte Schulter nehmen wollen. Vernetzte Strukturen sind nun mal anfällig für Angriffe. Deshalb sollten nach meinem dafürhalten auch bestimmte Strukturen autark und nicht vernetzt laufen, um Zugriffe von Außen über das Netz von vorn herein unmöglich zu machen. Selbst das würde dann in einer Internen Vernetzung aber noch genügend Eingriffsmöglichkeiten bieten, da ja zB. auch in Stromnetzen und deren Steuerung heutzutage Vernetzte Computersteurung normal ist. Man kan sich zwar abschotten, andererseits liegen ja zwangsläufig trotzdem irgendwo Datenleitungen, auch Standortübergreifend. Diese Anzuzapfen mag durchaus aufwändiger wie auch auffälliger sein, unmöglich ist es aber auch nicht.
Eine gesunde Skepsis halte ich deswegen für angebracht. Hysterisch sollte das dann aber nicht werden. Das wäre dann wohl eher kontraproduktiv.

Gruß joe