Die NSA bekommt, wenn sie will alles! Verschlüsselung nutzlos.

[cyberceline]

Hallo,

Anlässlich des Interviews von Edward Snowden im 1, stellen sich mir ein paar Fragen, die durchaus schön öfter diskutiert worden sind.

Hier mal das Interview für die, die es verpasst haben: Snowden exklusiv - Das Interview | NDR - YouTube


Als erstes ist mir übrigens im Interview aufgefallen, dass Snowden nicht alles preisgibt und obwohl er so wenig preisgibt es trotzdem relativ schockt.
Ich bin der Meinung da wird noch viel mehr kommen.




Außerdem deutet er an vielen Stellen an, dass wenn die NSA will, dann kann sie.

Hier stellt sich mir die Frage, inwiefern stimmt das ?


Mal als Beispiel: Angela Merkels Handy wurde abgehört.
Aber hier wurde wahrscheinlich "nur" die Leitung angezapft, macht der BND wahrscheinlich auch täglich und das lernt jeder Informatiker schon in der Ausbildung. Mit dem richtigen Budget möglich und da die NSA, sowieso Überwachungsstationen in Deutschland hat, wundert es mich auch nicht.

Will damit sagen, keine Meisterleistung.


Was mir unklar ist, ist wie Edward Snowden pauschalisiert, dass die NSA jeden PC, Laptop, Mac und weitere Endgeräte "hacken" kann.

Klar, die haben bestimmt ihre Backdoors eingebaut, aber es trotzdem so zu pauschalisieren ist ganz schön weit hergeholt.


Gehen wir mal davon aus:
1 Festplatte die mit Truecrypt und einem 50 stelligen Passwort verschlüsselt wurde liegt bei einem erfahrenen PC Nutzer.
Passwort weiß der jenige auswendig.


Weiter... bei Spiegel TV vor kurzem ein Video: Quantumtheory: Wie die NSA weltweit Rechner hackt - SPIEGEL ONLINE


Zitat: "es reicht ein Klick, auf eine scheinbar sichere Webseite und die Agenten haben Zugriff"

Wenn das wirklich so einfach geht, dann können wir unsere Festplatten noch so oft verschlüsseln und 1000 Viren Programme installieren, aufpassen auf welche Seiten wir gehen und Ahnung von PCs haben.

Meine zentrale Frage, was haltet ihr von dieser Aussage?

"Die NSA kann, wenn sie will."



Sind wir wirklich so naiv und die NSA ist schon so weit, dass es sich für uns eigentlich gar nicht mehr lohnt sich zu "schützen".


Mit schützen meine ich unsere Privatsphäre, wo jeder ein Recht drauf hat.
Und nicht zu verschleiern was ich mir über Torrents schon einmal alles gezogen habe.


Ich hoffe hier sind welche, die mir darüber was erzählen können...

 

[bitmuncher]

Es ist nichts neues, dass die Leute der Geheimdienste (nicht nur des NSA) in der Lage sind in ziemlich jede Form von Kommunikation einzudringen. Das predigen die "Weltverschwörungstheoretiker" schon seit Jahren. Wollte halt nie jemand zuhören und glauben schon gar nicht.

Die Frage ist halt… wovor willst du dich schützen? Wenn du Privatsphäre willst, dann pack dein Handy beiseite, lass den Laptop zu Hause und geh mal vor die Tür mit echten Menschen reden, so richtig Auge in Auge. Das ist dann das, was man als Privatsphäre bezeichnen kann. Wenn man eine Wanze mit sich rumschleppt muss man sich nicht wundern, wenn davon Gebrauch gemacht wird. Schutz vor der eigenen Naivität bekommt man nur, wenn man sich in der entsprechenden Richtung bildet und sich bewusst macht, was man da an Technik verwendet, wofür man sie einsetzt, ob man das braucht und was man damit ggf. irgendwelchen App-Anbietern oder Website-Betreibern über sich selbst verrät.

Willst du aber tatsächlich einfach deine Privatsphäre im Umgang mit elektronischen Medien schützen, dann reicht der übliche Aufwand der Kommunikationsverschlüsselung. Du kannst davon ausgehen, dass der NSA keinen Aufwand betreiben wird um Leute abzuhören, die das Geld einfach nicht Wert sind. Nutzt du nur verschlüsselte elektronische Kommunikation, kann zumindest nicht jeder x-beliebige Sysadmin (wie Snowden) einfach mitlesen und deine Privatsphäre ist gewahrt. Dass man dich im Web tracken kann, wirst du in heutiger Zeit jedenfalls nicht mehr verhindern können. Du kannst ja auch nicht verhindern, dass dir in einer Großstadt jemand folgt.

Im Endeffekt ist das Internet nichts anderes als ein Abbild unserer Gesellschaft und zwar in einer Großstadt. Es gibt Kneipen und Bars (Communities), jede Menge Geschäfte (Shops) und zusätzlich hat jeder die Möglichkeit seine Meinungen, Ansichten, Hobbies und was sonst noch so zum Leben dazu gehört im Netz zu präsentieren (Websites, Blogs etc.). Also muss man sich im Internet auch so bewegen, wie man es im Real Life auch tun würde. In Kneipen und Bars plaudert man halt nur über Dinge, die jeder wissen darf. Will man sich privat unterhalten, stellt man sich ja auch nicht auf die Strasse sondern sucht seinen privaten Raum auf. Und will man nicht, dass jeder Postbote lesen kann, was man jemandem mitteilen will, dann benutzt man keine Postkarte (klassische Email) sondern einen Brief mit Umschlag (verschlüsselte Email). Da ist keine Zauberei dran.

Dennoch sind die Tendenzen, die die Regierungen der Welt und gerade in der EU und den USA zeigen, mehr als bedenklich. Man versucht gerade einen Überwachungs- und Polizeistaat hochzuziehen, den sich nicht mal Orwell in seinen kühnsten Träumen hätte ausdenken können. Dagegen tun können wir relativ wenig, zumindest nicht digital, da bereits die Infrastrukturen des Internets so aufgebaut sind, dass Überwachung ermöglicht wird. Und da ja nun mittlerweile (dank Snowden) die Leute auch endlich glauben, dass selbst bei den grossen Hardware-Herstellern Deals mit Geheimdiensten existieren, sollte man sich einfach bewusst machen, dass NICHTS und zwar GAR NICHTS, was man mit einem internetfähigen Gerät macht, vor den Geheimdiensten sicher ist. Es bleiben nur die klassischen Mittel: Papier, Bleistift und Feuerzeug. Damit wird man sich abfinden müssen ob man will oder nicht. Und zwar so lange bis die gesamte Menschheit verstanden hat, dass das Leben zusammen mehr Spass macht als ständig nur an den eigenen Profit zu denken. Doch das ist ein anderes Thema.

 

[benediktibk]

Gehen wir mal davon aus:
1 Festplatte die mit Truecrypt und einem 50 stelligen Passwort verschlüsselt wurde liegt bei einem erfahrenen PC Nutzer.
Passwort weiß der jenige auswendig.

Die NSA interessiert sich in den seltensten Fällen für die Verschlüsselung deiner Festplatte, die greifen liebend gerne die Kommunikation ab. Und wenn die unverschlüsselt ist bringt dir die Verschlüsselung der Festplatte auch nichts. Falls du allerdings so ein interessantes Ziel sein solltest, dass jemand wirklich physisch sich an deiner Maschine zu schaffen macht wird die Verschlüsselung wahrscheinlich auch nicht viel helfen:
Defcon 21 - A Password is Not Enough Why Disk Encryption is Broken and How We Might Fix It - YouTube
mfg benediktibk

 

[Chromatin]

"Die NSA kann, wenn sie will."[/QUOTE

Nach dem, was wir belegt bekommen haben, stimmt das bisher zu mindestens 90%. Die restlichen 10% kommen schon noch.

Als erstes ist mir übrigens im Interview aufgefallen, dass Snowden nicht alles preisgibt und obwohl er so wenig preisgibt es trotzdem relativ schockt.
Ich bin der Meinung da wird noch viel mehr kommen.

Das ist auch nicht verwunderlich, denn das wurde bereits mehrfach gesagt. Die Verfügung über das Material liegt nicht mehr bei Snowden. Laut dem Guardian dürfen wir uns noch auf _einige_ Knaller "freuen".

 

[SchwarzeBeere]

1 Festplatte die mit Truecrypt und einem 50 stelligen Passwort verschlüsselt wurde liegt bei einem erfahrenen PC Nutzer.
Passwort weiß der jenige auswendig.

Der Comic zeigt sehr schön: Die Mathematik dahinter ist sicher. Auch die NSA kann heute (kosten-/zeit-) effizient noch keine 4096bit Zahlen faktorisieren, Wurzeln großer Zahlen ziehen oder diskrete Logarithmen lösen, weswegen sie deutlich konventionellere Lösungen wählen werden.

Ein weiterer Nebenaspekt des Comics beschreibt die Kosten. Es ist günstiger, jemandem das Knie zu zertrümmern, als eine 4096 Bit Zahl zu faktorisieren. Deswegen hat die IETF letztes Jahr auf ihrem 88. Meeting beschlossen, dass Protokolle in Zukunft von "Opportunistic Encryption" Gebrauch machen sollen. Hierbei geht es aber nicht primär um Sicherheit, sondern schlichtweg um eine Steigerung der Überwachungskosten auf ein Niveau, welches selbst der NSA zu hoch ist. D.h. letzten Endes wird die NSA mit Datenmüll überflutet, den es sich nicht lohnt zu entschlüsseln, da er schlichtweg keine brauchbaren Informationen enthält, die diesen Preis wiederum rechtfertigen würden.

Daraus resultiert eine einfache Einschränkung deiner Aussage: Ja, sie kann wenn sie will. Sie besitzt jedoch wie jede wirtschaftlich-agierende Entität eine Beschränkung des zur Verfügung stehenden Budgets - und die USA wird dank zwei Kriegen und steigenden Sozialausgaben in Zukunft sparen müssen, was diese Einschränkung sogar noch verschärft.

Was bleibt ist der Kampf an der eigenen Front: Wir sind jetzt an der Reihe das zu verhindern, was in den USA nicht verhindert werden konnte: Eine übermäßige Machsteigerung der Geheimdienste. Hier hilft jedoch keine Technik mehr, hier hilft nur politische Beteiligung, Überzeugungsarbeit und Standhaftigkeit.

 

[bitmuncher]

Was bleibt ist der Kampf an der eigenen Front: Wir sind jetzt an der Reihe das zu verhindern, was in den USA nicht verhindert werden konnte: Eine übermäßige Machsteigerung der Geheimdienste. Hier hilft jedoch keine Technik mehr, hier hilft nur politische Beteiligung, Überzeugungsarbeit und Standhaftigkeit.

Verhindern... ist ja auch nicht so, dass die westlichen Geheimdienste alle miteinander vernetzt sind. Nur der NSA ist schon so weit. Bei uns können wir das noch verhindern.

Träum mal schön weiter. Du glaubst doch wohl nicht ernsthaft, dass der BND nicht so'n Staat im Staat ist wie der NSA? Was du verhindern willst ist bei uns genauso Realität wie in den USA, GB, Frankreich und der restlichen westlichen Welt. Zum Verhindern ist es etwas spät.

 

[CDW]

Ab 130 km/h bringen Sicherheitsgurte und Airbags auch nichts - soll man komplett darauf verzichten?
Oder vielleicht doch Schadensbegrenzung für Unfälle zwischen 0 und 130 km/h betreiben?

Eine <Geheimbehörde_X> oder großer Firma<Y> ist kein abstraktes Überwesen. Da gibt es (hundert)tausende Mitarbeiter, die Langeweile haben:
Missbrauch von Kundendaten für private Zwecke | heise online
Bericht: Telekom beurlaubt Mitarbeiter wegen Datenskandalen | heise online
ihr Einkommen aufbessern wollen:
SSNDOB: Umfassender Identitätsklau - 100 Dinge, die ich von dir weiß | heise Security
oder schlichtweg "Mist" bauen:
Sprunghafter Anstieg der Zahl von Datenklau-Opfern in den USA | heise Security
Ermittlungen wegen Daten-Diebstahl bei T-Mobile vor Wiederaufnahme | heise online

Um es mal zusammenzufassen - es gibt auch "praktische" Gefahren wie:
1)Diebstahl oder Verlust des PCs/Laptops.
2)Diebstahl und Missbrauch der Daten durch Kriminelle/Mitarbeiter beim Provider, Emailanbieter, Onlineshop usw.
3)Diebstahl und Missbrauch der Daten durch Malware.
4)"Hacker"/Stalker aus dem Freundeskreis, eifersüchtige (Ex)Partner.
(wo man Wirtschaftsspionage ansiedeln soll - k.A. Je nach dem (Geschäftsreise nach China) kann die Anzahl an verfügbaren Ressourcen recht hoch sein).

Diese Angreifer haben nicht die Ressourcen der NSA, sind aber nicht minder "gefährlich".
Gegen 1) hilft z.B die Festplattenverschlusselung (wobei man lieber doch 10-12 Zeichen nehmen sollte, die man sich ohne Zettel merken kann - vor allem weil das Passwort, das man bei Truecrypt eingibt, nicht für die Ent/Verschlüsselung der eigentlichen Daten benutzt wird )
Gegen 3) hilft es ziemlich, wenn man das System auf dem aktuellen Stand hält und übliche Sicherheitsvorkehrungen benutzt. VMs zum Surfen und getrennte Nutzerakkounts sind zwar unbequem, sorgen im Ernstfall aber dafür, dass nicht alle Daten abgegriffen werden können:

(man ersetze "Diebstahl" durch "Infektion")
Gegen 4) helfen z.B Truecrypt + Boot/BIOS Passwörter (besonders bei Laptops) neben ein bisschen Siegellack oder einer Check-CD (google: https://www.google.com/search?q="anti bootkit") ungemein - zumindest gegen unbemerkte Installation bei physikalischem Zugriff. Und ja, deswegen sollte man seine Passwörter nicht auf einem Zettel aufbewahren und auch nicht für mehrere Dienste nutzen.

Bei 2) wird es schwerer - so wenig wie möglich Daten von sich preisgeben, Kommunikation verschlusseln.
Die Daten mögen dann trotzdem irgendwo lagern und meinetwegen entschlüsselbar sein - aber zumindest nicht durch jeden Popeladmin.

Zum "NSA-Problem":
die Möglichkeit haben und diese auch nutzen sind zwei verschiedene Paar Schuhe.
Einen physikalischen Zugriff stelle ich mir nicht gerade billig vor (Spekulationen, wie das ablaufen könnte, spare ich mir lieber, da dies dann nur auf dem "Wissen" aus Filmen&Co basieren würde ). Hier könnte man die Leute immer noch mit Truecrypt, Siegellack und CheckCDs "ärgern".

Mag sein, dass NSA durch ihr Quantumzeug (oder in D. durch Sichere Inter-Netzwerk Architektur &Co ) die Downloads manipulieren kann - aber jede Nutzung eines 0-Day-Exploits birgt die Gefahr, dass dieser öffentlich bekannt und damit schnell wertlos wird. Also wiederum Geld.
Das Gleiche gilt auch für den Einsatz von irgendwelchen Masterkeys, um Downloads von signierter Software/Repositories zu manipulieren.
Zudem kann man z.B auch mehrere VMs zum Browsen nutzen, die wiederum zusätzlichen Aufwand (Kostenrisiko, da VM Exploits doch rar sind) zum Überwinden erfordern, um auf die reale Maschine zugreifen zu können.
Es mag auch sein, dass Verschlüsselungsalgorithmen/Software Backdoors beinhalten - diese können rein aus wirtschaftlichen Gründen nur mit viel Bedacht eingesetzt werden.
D.h zumindest eine ziemliche Einschränkung der Anzahl der Leute, die sich tatsächlich Zugang zu diesen (=>meinen) Daten verschaffen können.

Darauf freiwillig zu verzichten, weil es gegenüber 0.01% der "Interessenten" nichts bringt?

 

[ByteSurfer]

Im Endeffekt ist das Internet nichts anderes als ein Abbild unserer Gesellschaft und zwar in einer Großstadt. Es gibt Kneipen und Bars (Communities), jede Menge Geschäfte (Shops) und zusätzlich hat jeder die Möglichkeit seine Meinungen, Ansichten, Hobbies und was sonst noch so zum Leben dazu gehört im Netz zu präsentieren (Websites, Blogs etc.). Also muss man sich im Internet auch so bewegen, wie man es im Real Life auch tun würde. In Kneipen und Bars plaudert man halt nur über Dinge, die jeder wissen darf. Will man sich privat unterhalten, stellt man sich ja auch nicht auf die Strasse sondern sucht seinen privaten Raum auf. Und will man nicht, dass jeder Postbote lesen kann, was man jemandem mitteilen will, dann benutzt man keine Postkarte (klassische Email) sondern einen Brief mit Umschlag (verschlüsselte Email). Da ist keine Zauberei dran.

Danke, ich finde das hätte man nicht besser formulieren können :thumb_up:

Ich als bekennender Anti-Facebook sympathisant favorisiere auch lieber den persönlichen Kontakt "Auge um Auge, Zahn und Zahn".

Doch zu dem Thema NSA kann ich nur sagen und auch hoffen, dass die Aussagen unseres nun Ex-Geheimdienst-Mtarbeiters Snowden einigen die Augen geöffnet hat. Ich bin ich aber auch der Meinung das der Kreis die sich darüber Gedanken machen sehr sehr gering ist und auch bleibt denn von vielen höre ich immer ... "Lass Sie doch, was gibt es denn bei mir schon zu holen" ?

Wenn man das ganze Szenarion jedoch gedanklich hochspinnt und auf eventuelle Möglichkeiten hinterfragt ist die Aussage sehr fraglich.

Warum zum Beispiel bietet COMODO Antivir diverse kostenlose Tools
an wo ich denen Ihren Server (Antivir) als Proxy einsetzen kann, damit jene meine Daten vor Boshaftigkeit schützen!?

Kann, muss aber nichts verwerfliches sein ...

Man sollte vorsichtig sein, "behutsam/kritisch" die Medien mitverfolgen, seine eigene Meinung haben ggf. sich selber bilden und nicht mit einer Blume in der Hand über die Wiese hüpfen und ein freundliches Lied "Love is in the air" pfeifen ...