Virtuelle Maschine vs Bundestrojaner

[Prototipping]

Guten Abend,

meine Frage, hilft eine Virtuelle Maschine gegen den Bundestrojaner (theoretisch bzw. bei aktuellem Wissenstand über BJ)? Ja ich weiß das es den noch nicht offiziell gibt jedoch kann man heut zu tage nicht paranoid genug sein.
Mein Vater hat jetzt DSL und jetzt macht er sich halt schon sorgen um seine wichtigen Daten, die billigste und einfachste Lösung wäre natürlich eine Virtuelle Maschine. Jedoch hilft das was, bzw. was müsste man machen um den Burschen größt mögliche Schwierigkeiten zu machen?
Oder ist die sauberste/beste Lösung ein Internet-PC?

vielen dank

 

[CLX]

Was willst du gegen einen 'Gegner' ausrichten, den du nicht kennst, bis auf die Abwehrmaßnahmen, die auf die Rubrik (Trojaner) des 'Gegners' zutrifft?

Richtig nichts (ausser vielleicht Paranoia updaten auf eine höhere Version ).

Dies bedeutet, dass das die 2 besten/wichtigsten Dinge die man tun kann sind:
--> Sicheren PC einrichten (dazu gehört auch ein ausreichend gesichertes Netzwek.. zu beiden Dingen kannst du dich in diesem Board erkundigen..)
--> Wichtige Daten auf einen Offline-PC und/oder verschlüsselt auf der Festplatte speichern

Zu der Virtuellen Maschine kann ich nicht wirklich viel sagen. Schaden tut sie wahrscheinlich nicht, sofern sie aus einer Sicheren Quelle stammt und man sie zum Surfen nutzt. X(

Das Sicherste, ist immer noch ein Offline-PC

 

[zero-9]

wie auch schon im forum erwähnt, wäre auch eine Live-CD möglich, um gegen denb Bundestrojaner vorzugehen. das kann zwar durchaus n bisschen umständlich werden, wegen dem einrichten des internetzugangs, aber da hast du denn auch 100%ige sicherheit.
denn letztendlich ist die Live-CD das betriebsystem, dessen festplatte eine cd ist. und wie soll man auf die bitteschön schreiben?

 

[valenterry]

Eine Live-CD ist auch nicht die sicherste Lösung. Die veraltet nämlich nach kurzer Zeit und ohne Updates entstehen z.B. im Browser Sicherheitslücken mit denen sich in dieser Sitzung eingegebene Passwörter und Mails überprüfen lassen usw.

 

[Prototipping]

Live-CD ist natürlich nich schlecht, aber das kann ich meinem Vater nicht zumuten.
Also werd ich mich ran machen und paar Teile suchen, vielen dank für euren Rat/Meinung.

 

[blueflash]

1. Installier einen Rechner mit einer Linux Version deines Vertrauens (sprich am Besten eine gepresste DVD, die du aus einem anonymen Stapel gegriffen hast)
2. Besorg dir auf _anderem Weg_ die public keys der Repositories deiner Distri und spiel sie auf das System
3. Update _nur_ und ich meine _nur_ über diese Repositories, d.h. keine Fremdrepositories, keine ./configure, make, make install software
4. Diesen Rechner kannst du dann als Router benutzen und mit allen anderen Rechnern im LAN musst du ähnlich verfahren .

 

[bitmuncher]

Original von blueflash
1. Installier einen Rechner mit einer Linux Version deines Vertrauens (sprich am Besten eine gepresste DVD, die du aus einem anonymen Stapel gegriffen hast)
2. Besorg dir auf _anderem Weg_ die public keys der Repositories deiner Distri und spiel sie auf das System
3. Update _nur_ und ich meine _nur_ über diese Repositories, d.h. keine Fremdrepositories, keine ./configure, make, make install software
4. Diesen Rechner kannst du dann als Router benutzen und mit allen anderen Rechnern im LAN musst du ähnlich verfahren .

Und da er vermutlich wenig Ahnung von Linux hat und zusätzlich auch noch SuSE benutzt, knackt jeder einigermaßen fähige Cracker seinen Router und von dort aus das LAN mit relativ geringem Aufwand. Auch Linux ist nur so sicher, wie der Verwalter des Systems Ahnung davon hat.

 

[Prototipping]

bitmuncher hat schon recht viel Ahnung hab ich von Linux nich. hatte zwar mit fli4l experimentiert, aber zu Hause hab ich nur ISDN deswegen hatte ich den Rechner wieder was für was anderes genutzt.
Jedoch ist es ja zur Zeit so das mein Vater nur plant einen Internet PC zu machen/haben, nicht das die AN dann im Internetsurfen, da würd ich doch sicher besser kommen gleich einen Internet PC ohne sensible Daten zu machen als ein Router oder? Bitmuncher was würdest du mir empfehlen?

 

[coyote]

Die virtuelle Maschine ist bildlich gesprochen ein separater Computer, der nur leider nicht ohne den Wirt-PC leben kann. Technisch gesehen aber völlig Autark agiert, nur dass sich eben Luunge und Herz geteilt werden.

Die müsste wiederrum heißen, das ein V-PC zum surfen der dann kompromitiert wird den Host PC nur über das Netzwerk befallen kann (so wie als wenn beide Rechner auch psysisch nebeneinander stehen)

Das heist für mich, das wenn der der Host PC alle Internet/Netzwerk verbindungen abweist ihm auch nichts pasieren kann.

Inwieweit das nun sicherer ist, als ein vernünftig eingerichteter einzel PC kann ich dir nicht sagen, das wird aber keiner können, da es den Bundestrojaner ja in der Form noch nicht offiziell gibt.

Eins musst du aber bedenken. Deine Verbindung zur Aussenwelt geht immer über die gleiche Leitung und übern den gleichen ISP und ich denke, wenn die Daten brauchen, über deine Online-Nutzung / Mails werden die entsprechenden stellen diese eher beim ISP o. vergleichbaren Stellen abgreifen. Und da nützt der beste Schutz nichts.

 

[bitmuncher]

Ich würde auf einen virtuellen PC verzichten. Will man verhindern, daß Trojaner u.ä. eingeschleust werden, erreicht man das am einfachsten mit einem System, das von einem ReadOnly-Medium gebootet wird. Ein System, das man von CD/DVD booten kann, bietet sich da an. Spätestens beim nächsten Reboot sind eingeschleuste Trojaner wieder verschwunden, da diese ja nur in einer RAM-Disk installiert werden. Wichtig ist allerdings, daß man peinlich genau darauf achtet, daß auf einer evtl. vorhandenen Festplatte abgelegten Daten nur aus vertrauenswürdigen Quellen stammen.

 

[Prometheus]

Ein Bundestrojaner in diesem Sinne ist noch garnicht realisierbar.
Vielleicht gibt es schon soetwas in der Art, aber dann ist er genauso wie ein herkömmlicher Trojaner und mit nötigen Sicherheitstools blockbar. Also immer regelmäßig deine ausländische Schädlingsbekämpfungssoftware aktuell halten und dir kann nichts passieren.

Eine virtuelle Maschine nützt bei einer Sicherheitslösung kaum etwas, wenn der Trojaner darauf programmiert ist dieses Format zu lesen und deine Daten daraus entnehmen kann.

Sollte der Bundestrojaner je legalisiert werden, so müssten die nötigen Firmen für Schädlingsbekämpfungssoftware und Betriebssystemen (wie Microsoft) eine Hintertür für ihn anlegen. Aber die Unternehmen haben davor viel zu große Angst, das die Hintertür entdeckt wird.
Andere Möglichkeit wäre dafür ein Gesetz herauszubringen, das besagt das der Bundestrojaner auf jeden Rechner installiert sein muss. Z.B.: damit Provider überhaupt eine Verbindung mit dem Internet zustimmen können.
Aber soetwas wäre für die Leute ein neuer, guter Grund energischer gegen den Überwachungsstaat vorzugehen.

Also wenn der Bundestrojaner kommt, dann kommt er mit großen Getöße. Oder er kann sich eine kurze Zeit lang verstecken und wird dann durch jeden Menge "illegalen" Fixes unschädlich gemacht.

Wie schon erwähnt, solltest du eher vor den normalen Trojanern Angst haben. Aber wenn du dich gut absicherst und auf den neuesten Stand bleibst, ist alles halb so wild.

 

[end4win]

Diese Aussage möcht ich so nicht stehen lassen.
Dein Bundestrojaner ist wirklich nicht realisierbar.
So ginge es schon.
http://www.heise.de/security/artikel/86415/1

Wurde hier besprochen Bundestrojaner geht in die nächste Runde

Gruss

 

[Gulliver]

Eine virtuelle Maschine nützt bei einer Sicherheitslösung kaum etwas, wenn der Trojaner darauf programmiert ist dieses Format zu lesen und deine Daten daraus entnehmen kann.

Was meinst du mit "Format"?

Andere Möglichkeit wäre dafür ein Gesetz herauszubringen, das besagt das der Bundestrojaner auf jeden Rechner installiert sein muss. Z.B.: damit Provider überhaupt eine Verbindung mit dem Internet zustimmen können.

Klar, waer auch ne Moeglichkeit- Dein Scha(a|r)fsinn ist ueberwaeltigend.

 

[Prometheus]

Original von Gulliver
Was meinst du mit "Format"?

Das Format von der Datei natürlich, in der das virtuelle Betriebssystem gespeichert ist.

Original von Gulliver
Klar, waer auch ne Moeglichkeit- Dein Scha(a|r)fsinn ist ueberwaeltigend.

Na, da kann ich dir was davon abgeben damit du mir nicht mehr so komische Fragen stellst.
Aber am besten nicht soviel, sonst kann dich nicht mehr auf deine Rechtschreibefehler hinweißen, wie jetzt.

 

[Gulliver]

Das Format von der Datei natürlich, in der das virtuelle Betriebssystem gespeichert ist.

Also der "Trojaner", den ich mir beim Surfen in der VM einfange muss so programmiert sein dass er weiss in welchem Format das binary der VM ist- um dann aktiv zu werden und dort ggf Dateien auszulesen?

Aber am besten nicht soviel, sonst kann dich nicht mehr auf deine Rechtschreibefehler hinweißen, wie jetzt.

Ja, tu das ....

 

[Indi]

Betrifft zwar nun nicht gerade das Thema Bundestrojaner, aber ich möchte da trotzdem noch auf ein Post von bitmuncher eingehen, dass mir seither nicht mehr aus dem Kopf geht, da mir das Grundproblem der Sicherheit bei der Erstellung eines Netzwerkes selbst gerade zu schaffen macht:

Will man verhindern, daß Trojaner u.ä. eingeschleust werden, erreicht man das am einfachsten mit einem System, das von einem ReadOnly-Medium gebootet wird. Ein System, das man von CD/DVD booten kann, bietet sich da an.

Ich hatte bei meinem Anwendungsbereich auch schon an die Erstellung einer Boot-Disk gedacht. Allerdings ist das insofern relativ unpraktisch, da man sich dabei ja selbst zwingt das System regelmäßig zu rebooten. Vor allem in welchen Abständen? Desweiteren wird es dadurch vor allem bei mehreren Computern immer aufwendiger Sicherheitsupdates oder Änderungen einzuspielen, vor allem dann, wenn sich die einzelnen Computer von der Konfiguration unterscheiden. Man könnte das natürlich über PXE lösen, nur garantiert man dabei auch dafür, dass alle Clients infiziert werden, wenn es gelungen ist, den Server anzugreifen.

 

[coyote]

Original von Gulliver

Das Format von der Datei natürlich, in der das virtuelle Betriebssystem gespeichert ist.

Also der "Trojaner", den ich mir beim Surfen in der VM einfange muss so programmiert sein dass er weiss in welchem Format das binary der VM ist- um dann aktiv zu werden und dort ggf Dateien auszulesen?

Das versteh ich nicht so ganz.

Szenario:
Host: komplett ohne Netzwerk (Firewall die alles Blockt)
VirtualPC auf Host zum Surfen.

Ich dachte der VPC wird in einer Sandbox ausgeführt und somit besteht aus dem VPC heraus keine Möglichkeit durch einen Trojaner auf die (vertraulichen) Dateien des Host PC zuzugreifen.

Ein VPC kann man übrigens auch so konfigurieren wie eine Live CD -> Nach Neustart wird wieder ausgangszustand hergestellt.