Informations/Telekommunikations- Dienstleistungen Christian Freter

Partner von AVM und Seagate

1&1 Premiumpartner 

 

Zum kostenlosen Virenscan von

F- Secure bitte 1x klicken!

 

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundinformationen und Links zu wichtigen Webseiten für das Internet. Ich kann keine direkte Aktualität in diesem Blog gewährleisten. Deshalb schaut auch mal öfters bei Webseiten von PC Zeitschriften oder Anbietern von Virenschutz oder bei den Herstellern selber (oft Englisch und benötigt Fachkenntnisse). 

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 

 

 

   

 

NGINX ist ein Open Source Hochleistungs- Webserver und ist ursprünglich eine russische Entwicklung. Durch die Open Source Lizenz wird der Server allen kostenlos zur Verfügung gestellt. Er ist unter anderem eine wichtige Komponente in der Synology Netzwerktechnik, welche auch von mir verwendet wird.

Bereits am Anfang des Krieges gab es eine Untersuchung der US Sicherheitsbehörden zur kritischen IT- Infrastruktur. Natürlich kam der NGINX dabei mit in den Fokus der Gutachter (etwa 10% der IT in den größeren Ländern verwendet diesen Server). Da der NGINX bzw. sein kommerzieller Teil, durch den die Sache auch finanziert wird, von einem US Unternehmen übernommen wurde und der russische Erfinder aus dem gewerblichen Teil des Projektes ausstieg, gab es keine akute Bedrohungssituation. Und es war auch tatsächlich so, dass russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht wurden.  

Mit dem fortschreitenden Krieg muss man sich natürlich weitere Gedanken machen. Aktuell sind wohl russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht natürlich viel russisches IT Know- How  verloren, aber das Projekt wird wahrscheinlich überleben. Wegen all dieser Aspekte werde ich zu diesem Zeitpunkt auch nicht auf die Synology Technik verzichten.       

   

Ein allgemeiner Überblick zu diesem Thema. Wo fange ich an? Am besten beim vor euch stehenden Computer. 

 

Die Datenträgerverschlüsselung soll euch bei Diebstahl davor schützen, dass Fremde den Zugriff auf eure Daten erhalten. Aber eng damit verbunden ist auch der Schutz vor dem physikalischen Zugriff (Ausbau des Datenträgers oder dem Einbau von manipulierter Technik). Deswegen fange ich damit an.

 

Alles beginnt mit Zugangsbeschränkungen für sämtliche Räume ( sehr oft durch Türschlösser realisiert und manchmal durch Wachpersonal). Ist man auf Reisen, dann ist der simpelste Diebstahlschutz das “Kensington Lock”. Das ist ein Kabel, welches mit dem Computer verbunden wird und am anderen Ende möglichst mit einem schwer zu bewegenden Gegenstand (Tisch, Autotür usw.). Also ähnlich einem Fahrradschloss. Liegt das Interesse des Angreifers/ der Angreiferin eher darin, dass eine innenliegende Komponente manipuliert oder entwendet wird, dann kann eine “Intrusion Detection” aktiv werden. Das ist ein kleiner Schalter (Sensor), der mit dem Mainboard des Computers (Hauptplatine mit fast allen Chips im Computer)  und dem Gehäuse des Computers verbunden ist. Wird das Gehäuse geöffnet, dann registriert der Sensor dieses und zeigt dieses bei einem Start des Computers an. Zusätzlich kann man das Gehäuse auch ganz simpel mit einer Plombe oder einem Vorhängeschloss schützen. ;-)

 

Jetzt habt ihr kein “Kensington Lock” verwendet und das Notebook wurde geklaut oder man hat Zugang zu den Räumlichkeiten bekommen und konnte das Notebook starten. Sieg für die Angreifer? Nee! Unsere nächste “Firewall” wären Passwörter. Hier haben sich 2 Varianten durchgesetzt:

 

1. Man schützt den allgemeinen Startvorgang des Gerätes mit Passwort      

2. Man schützt den Zugriff auf Einstellungen nach dem Einschalten des Gerätes und den Start mit Passwort und man vergibt gleichzeitig einen Passwortschutz für die Verwendung eines Datenträgers. Beim Letzteren bekommt man sogar manchmal angezeigt, ob der Datenträger irgendwann mal genutzt wurde.

 

Diese Einstellungen findet man im UEFI BIOS des Gerätes (Taste Entf/Del oder F12 oder F10 oder F2 drücken beim Start des Gerätes). Welche Sicherheitsoptionen verfügbar sind, das ist vom Hersteller abhängig. Letzten Endes bekommen die Angreifer jetzt ein Problem: Was ist das Passwort? Vor langer, langer Zeit haben Hersteller “Backdoor” Passwörter verwendet, das war ein Universalpasswort für den Fall der Fälle. Diese waren aber irgendwann den Angreifern durchaus bekannt. Heutzutage müssten die Angreifer z.B. auf Keylogger zurückgreifen oder zumindest den Datenträger ausbauen können (hilft nicht immer, weil manchmal mit dem UEFI verknüpft; ein Schutz, der aber auch ausgehebelt werden kann) oder Zugriff auf das Mainboard erhalten. Also sehr umständliche Methoden. Keylogger wären in diesem Fall z.B. eine manipulierte Tastatur, die sämtliche Eingaben zum späteren Auslesen protokolliert. 

 

Knacken die Angreifer unsere Passwort Firewall; war’s das? Sieg für die Angreifer? Noch nicht! Okay, der Einsatz eines Keyloggers könnte durchaus den Sieg bedeuten. Aber eine Gegenmaßnahme gibt es noch: Die Datenträgerverschlüsselung! 

Bei der Datenträgerverschlüsselung gibt es Unterschiede. Ein Datenträger kann vollständig verschlüsselt sein, es können zusätzlich Informationen zur Verschlüsselung unverschlüsselt abgelegt sein oder es wird ein Startprogramm unverschlüsselt verwendet. Der “Standard” ist die letzte Variante. Die erste Variante mit der zweiten Variante ist schon speziell bzw. verwendet man dieses oft mit externen Datenträgern bzw. für Datenträger im PC ohne Systemdateien. Letztlich geht es bei allen Varianten darum, dass ein bestimmter Bereich des Datenträgers verschlüsselt wird. Verfügt man nicht über das nötige oder das/ die Passwörter oder Zertifikate zur Entschlüsselung, dann erhält man keinen Zugriff auf die Daten und sieht nur kryptischen Bullshit oder eben gar nichts.

 

Die Frage ist immer: Wird tatsächlich das gesamte System verschlüsselt oder nur die Daten? In meinem Youtube Video zum Debian kommt das LUKS zum Einsatz. Das ist ein universelles Verschlüsselungsverfahren (unter Linux der Standard). Beim Debian werden das System und die Daten verschlüsselt, aber die Sache hat einen Haken: Bei Debian wird der Linux Kernel, der Manager des Linux Systems, und das initrd.img vorgeladen. Bei anderen Distributionen ist das nicht unbedingt der Fall. Das ist abhängig vom verwendeten Bootloader (der Manager für die Auswahl des zu ladenden Betriebssystems). Ist das jetzt ein Problem? Naja, sollte ein Angreifer den Zugriff auf den Computer erlangen, dann könnte dieser theoretisch den Linux Kernel und das initrd.img manipulieren, um dann z.B. die Eingaben abzufangen. Im anderen Fall könnte der Bootloader manipuliert werden (siehe “Black Lotus”). Also eigentlich ist es fast egal! Die Manipulation der ersten Variante ist theoretisch deutlich einfacher. Um das verwendete Passwort des LUKS auf der “Standardweise” zu hacken, benötigt man durchaus mehrere Computer, die das Passwort dann mehr oder weniger erraten können.

 

Das war’s dann aber wirklich! Knacken die Angreifer die letzte Firewall, dann können nur noch die “Glücks” Tools helfen, d.h. Tools zum Löschen des Gerätes aus der Ferne, die allerdings eine Internetverbindung benötigen. 

 

Aber Halt! Eine Sache gibt es noch! :-) Die Cloud. Wenn man Daten primär in der Cloud hält, NAS oder Internet oder externe Datenträger oder RAID Konfigurationen, dann kann der Schaden begrenzt werden. 

 

Das war’s dann aus meiner Sicht aber gewesen. 

 

***www.router-it.de,März'23***