Ansicht umschalten
Avatar von HeWhosePathIsChosen
  • HeWhosePathIsChosen

mehr als 1000 Beiträge seit 11.01.2005

Rettet Deutschland! Rettet die EU! Rettet die Welt!

Jungs, ein BIOS-Hack kann nicht die Lösung sein - wenn der nicht zeitnah unmöglich gemacht wird, dann weil er keine hundertprozentige Sicherheit bietet. Man kann z.B. relativ einfach eine Signaturprüfung (nur korrekt signierte/verschlüsselte Software kann im BIOS funktionieren) hardwaremäßig realisieren, indem bei der Chipherstellung einmal ein öffentlicher Schlüssel unveränderlich in den Chip gebrannt wird (so sind relativ einfach unterschiedliche Schlüssel bei einheitlicher Chipfertigung möglich) und es beim Boot-up eine Hardware-Prüfung gibt, dass nur korrekt signierte/verschlüsselte Software ausgeführt werden kann und dergleichen kann man dann nur umgehen, wenn man den geheimen Schlüssel kennt oder wenn man einen neuen Free-Chip einbaut aber mit dem gibt's dann in Zukunft kein Internet-Zugang mehr, jedenfalls nicht so einfach, man müsste auch die Prüfabfragen korrekt beantworten können, wofür man das komplette geheime Wissen über die Original-Chips bräuchte.

Des Weiteren gibt es ja nicht nur das ME/UEFI-Problem, siehe z.B.

"Audio-Abhören über den Lautsprechereingang ... In ihrem Aufsatz SPEAKE(a)R - Turn Speakers to Microphones for Fun and Profit beschreiben die Wissenschaftler ein von ihnen entwickeltes Programm, das ein Feature oder (je nach Sichtweise) einen Bug der sehr verbreiteten Realtek-Audiohardware ausnutzt, mit dem sich die Funktion der Buchsen durch einen rein softwareseitigen Eingriff umschalten lässt. Installiert man ihre Demonstrations-Malware SPEAKE(a)R, kann man mit handelsübliche Kopfhörern Gespräche in bis zu sechs Metern Entfernung verständlich abhören. ..." http://www.heise.de/tp/features/Audio-Abhoeren-ueber-den-Lautsprechereingang-3507472.html

Kleines Beispiel dafür, das auch andere Chips nicht unbedingt vertrauenswürdig sind. Man denke vor allem auch an Chips für LAN und in Smartphones (es ist davon auszugehen, dass eine Menge Smartphones/Computer in Spionagewanzen verwandelt werden können, ggf. auch über für Normalos unkontrollierbare Updates, auch direkt vom Appstore per Regierungsbefehl oder per Man-in-the-Middle-Angriff, siehe auch (*) - das ist eine Möglichkeit, davon ist auszugehen). Was in einem z.B. 8 MB UEFI/BIOS-Chip alles so drin steckt, ist mitunter auch nicht gerade klar. Es gibt noch mehr als CPUs und womöglich sind auch Angriffe über derzeit nicht selten komplexe GPU denkbar. Nicht zu vergessen die nicht selten updatefähige Firmware (SSD, HDD, DVD-Brenner, usw.), die jeder verändern kann, der das "geheime" Verfahren/Schlüssel kennt. Selbst für DRAM gibt's Rowhammer (http://de.wikipedia.org/wiki/Rowhammer). Dann gibt's noch Windows 10, Google, Andorid, Usertracking und Zwangswerbung, usw. - keineswegs unwichtig, nämlich für gezielte Cyberangriffe auf bestimmte Personen. Linux ist auch nicht sicher, vermutlich wird Linux sabotiert. Vermutlich versuchen die US-Geheimdienste (**) nach Kräften möglichst nur für sie nutzbare Backdoors einzubauen und wenn mal eines entdeckt wird, dann gibt's halt einen Patch aber in kurzer Zeit auch wieder eine neue Version mit viel neuem Code und neuen Bugs, selbst bei Debian-Stable kommt einfach so mal eine neue verwanzte Firefox-Version, siehe auch
http://www.heise.de/forum/heise-Security/News-Kommentare/Zero-Day-Exploit-bedroht-Firefox-und-Tor-Nutzer/Thanks-und-eine-duestere-Vermutung/posting-29577884/show/
http://www.heise.de/forum/heise-Security/News-Kommentare/iOS-10-Schwachstelle-vereinfacht-Attacken-auf-verschluesselte-Backups/it-s-not-a-bug-it-s-a-feature/posting-29257580/show/

* = "Zum Arsenal der NSA gehört eine Methode, mit der sich nahezu jeder Rechner unbemerkt mit Spähsoftware bestücken lässt. Streng geheime Dokumente zeigen, wie das System genau funktioniert. ..." http://www.spiegel.de/netzwelt/netzpolitik/quantumtheory-wie-die-nsa-weltweit-rechner-hackt-a-941149.html

** = Wer will, darf sich auch vor z.B. Russland, China und Nordkorea fürchten aber wo kommen denn die meisten Chips und Betriebssysteme her, wo haben große IT-Konzerne ihre Basis, wer steckt hinter der NSA-Affäre? Nordkorea? Russland? Oder eben die USA? Siehe auch http://www.heise.de/forum/heise-online/News-Kommentare/BGH-Entscheidung-NSA-Ausschuss-darf-Edward-Snowden-vorladen/Der-NSA-Untersuchungsausschuss-ist-doch-voellig-ueberfluessig/posting-29531288/show/

Es gibt nur eine Lösung: es braucht eine gute, öffentliche, transparente, staatliche Lösung (Deutschland, EU, andere gute Staaten) mit Open Source/Hardware - Hacks sind bestenfalls nur eine kurzfristige Lösung. Für die gute staatliche Lösung muss man das Thema nur öffentlich machen und da kann jeder mithelfen. Offensichtlich braucht die EU ein eigenes supergutes OS für Staat, Behörden, Militär, Infrastruktur, Unternehmen, PC, Notebooks, Smartphones, usw. und muss von den USA/US-Unternehmen völlig unabhängig werden. Dafür kann jeder werben, auf dass es endlich mal bei Parteien und Regierungen ankommt. Na klar kostet das Milliarden aber das ist es es wert oder wollt ihr ewig Milliarden an die USA zahlen und in Gefahr & Unsicherheit leben? Supergute und supersichere EU-Chips/Software kann weltweit ein Exportschlager werden und wenigstens die Hardware dazu kann man mit Gewinn verkaufen.

Ein anderer Punkt ist, dass eine grundlegende und relativ einfach realisierbare Sicherheitsanforderung seit Jahrzehnten nicht existiert und aktuell nicht etwa großartig gefordert, sondern verzweifelt verschwiegen wird, siehe auch
http://www.heise.de/forum/heise-online/News-Kommentare/US-Geheimdienste-sorgen-sich-um-ihre-digitale-Vormachtstellung/Warum-wird-ein-superwichtiger-Aspekt-der-IT-Sicherheit-konsequent-verschwiegen/posting-29750173/show/
http://www.heise.de/forum/heise-online/News-Kommentare/US-Geheimdienste-sorgen-sich-um-ihre-digitale-Vormachtstellung/Nein-ist-es-nicht-bzw-nicht-in-ausreichendem-Umfang/posting-29753200/show/
http://www.heise.de/forum/Mac-i/News-Kommentare/BitTorrent-Client-Transmission-brachte-erneut-Malware-auf-Macs/Da-hilft-nur-eines-nutzerfreundliche-oeffentliche-Pruefsummen/posting-29129939/show/
http://www.heise.de/forum/heise-online/News-Kommentare/De-Maiziere-zur-Telekom-Stoerung-Urheber-von-Hacker-Angriff-noch-unklar/Es-braucht-unbedingt-eine-sichere-Moeglichkeit-zur-Softwareverifikation/posting-29568518/show/

Die Rede ist von so etwas Grundlegendem aber auch unglaublich Wichtigem wie eine nutzerfreundliche Möglichkeit, um jederzeit einfach mal prüfen zu können, ob die installierte Software (auch Chip-Mikrocode, Firmware, BIOS/UEFI, OS, Apps, ...) eigentlich noch korrekt ist oder shcon ein paar Trojaner eingespielt wurden. Na klar, das hilft nicht gegen bereits ausgelieferte Trojaner/Backdoors aber eine Prüfmöglichkeit ist trotzdem superwichtig, ein erster Schritt. Jungs, zieht euch das mal rein: die Gangster haben die Frechheit, (ggf. auch noch teure) Virenscanner zu empfehlen, die ihrerseits eine Sicherheitslücke sein können, Usertracking/-identifizierung betreiben und offiziell Geheimdiensttrojaner/-viren ignorieren müssen aber sie wollen einfach keine einfache, günstige, inhärent saubere und sichere Prüfmöglichkeit anhand öffentlicher Prüfsummen - ratet mal, warum.

Habt ihr dazu schon mal was von dem BSI, den Piraten oder dem CCC gehört? Ich nicht - außer vielleicht von einigen Mitgliedern, die verzweifelt gegen meine guten Beiträge/Hinweise angeschrieben haben. Unfassbar. Es soll ermittelt werden! Siehe auch
http://www.heise.de/forum/heise-online/News-Kommentare/CCC-Rieger-fordert-Ueberwachungs-Exporteure-dichtmachen/Es-gibt-gute-und-schlechte-Staaten-Regierungen-Wie-gut-ist-der-CCC/posting-29180317/show/
http://www.heise.de/forum/heise-online/News-Kommentare/33C3-Hacker-greifen-nach-der-grossen-politischen-Nummer/Uebersieht-der-CCC-wichtige-Themen/posting-29685803/show/
http://www.heise.de/forum/heise-Security/News-Kommentare/Hacker-Spass-mit-Hue-Leuchten/schoenes-Beispiel-fuer-eine-allgemein-sehr-weit-verbreitete-Sicherheitsluecke/posting-29015957/show/

Die meisten Computer sind unsicher, die IT-Sicherheitslage ist katastrophal, siehe auch
http://www.heise.de/forum/Telepolis/Kommentare/Trump-Ich-weiss-eine-Menge-ueber-Hacken/Die-meisten-Computer-sind-unsicher-die-IT-Sicherheitslage-ist-katastrophal/posting-29721686/show/
http://www.heise.de/forum/heise-online/News-Kommentare/SSDs-im-Stresstest-mit-ueberraschenden-Ergebnissen/Ein-paar-Gedanken-zu-SSDs-Datensicherung-und-Verbesserungsvorschlaege/posting-29701619/show/
und es gibt nur eine Lösung: Open Source, Open Hardware und öffentliche Prüfsummen mit einem nutzerfreundlichen Programm, um damit alle Software checken zu können. Das bedeutet, dass die EU ein eigenes supergutes Betriebssystem entwickeln und massiv Open Source fördern muss. Das bedeutet, dass die EU für alles besser eigene Hardware herstellen kann und von den USA völlig unabhängig sein muss. Dazu (für mehr IT-Sicherheit) dürft ihr gerne auch mit China, Russland, Nordkorea, Hackern, usw. argumentieren (wo doch die EU derzeit dermaßen fies vom Bösen unterwandert ist, dass die Nennung der Wahrheit und gute Absichten den Job kosten können).

Deutschland und die EU müssen ein supergutes Open Source Betriebssystem entwickeln, siehe auch
http://www.heise.de/forum/heise-Security/News-Kommentare/Cyber-Grand-Challenge-IT-Security-koennte-sich-radikal-aendern/Hinweise-und-Verbesserungsvorschlaege/posting-29010488/show/
http://www.heise.de/forum/heise-online/News-Kommentare/Abgegriffene-Browserdaten-Intime-Details-von-Spitzenpolitikern-nachvollziehbar/Die-Loesung-sind-gute-staatliche-Internetdienste-und-ein-supersicheres-OS/posting-29447425/show/
http://www.heise.de/forum/heise-online/News-Kommentare/Innenministerium-will-bei-Cyberangriffen-zurueckschlagen/Prinzipiell-okay-aber-es-braucht-auch-noch-viel-mehr-defensive-Schutzmassnahmen/posting-29593344/show/

Da kann man auch mit der Entwicklung von KI argumentieren, siehe auch
http://www.heise.de/forum/heise-online/News-Kommentare/UN-sollen-Empfehlungen-zu-autonomen-Waffensystemen-erarbeiten/Hinweise-und-Verbesserungsvorschlaege/posting-29658747/show/
http://www.heise.de/forum/Telepolis/Kommentare/Die-Risiken-netzbasierter-Atomwaffensysteme/Universalloesung-intelligente-eigenstaendige-gute-Handlungseinheiten/posting-29727652/show/
oder wollt ihr, das eines Tages eine CIA/Skynet-KI die Menschheit versklavt?

Wer da im Amt oder in wichtigeren Positionen mauert und eine gute/sichere deutsche/europäische ITK verhindern will, der soll entlassen werden! Wer da zugunsten der US-Kapitalisten, CIA. NSA, usw. Scheiße labert, wer die deutsche/europäische IT-Sicherheit (maßgeblich) gefährdet, der macht sich verdächtig. Es soll ermittelt werden!

Rettet Deutschland! Rettet die EU! Rettet die Welt! Macht den Behörden, Politikern, Parteien und Regierungen legal Druck, damit die endlich mal für ein besseres Deutschland, eine bessere EU und eine bessere Welt sorgen. Helft alle mit, damit Deutschland und die EU kein Unrechtsregime werden! Kämpft legal gegen die Diener des Bösen! Gute Beiträge im Internet können schon viel helfen - ein gezieltes Zuspammen der Institutionen ist selbstverständlich nicht erwünscht - aber irgendwie muss auch mal dafür gesorgt werden, dass dieses superwichtige Thema allgemein bekannt wird und solange die Mächte des Bösen eine Bekanntwerdung verhindern wollen, ist die EU offensichtlich in großer Gefahr.

Ein überaus wichtiger Aspekt ist auch die Entwicklung überlegener guter KI, siehe auch http://www.heise.de/forum/heise-online/News-Kommentare/Wissenschaftler-fordern-Aufholstrategie-fuer-deutsche-IT-Branche/gute-EU-Organisation-fuer-KI-Entwicklung-und-ITK-Sicherheit-Entwicklung-gruenden/posting-29464868/show/ - das ist ebenfalls etwas, das die Diener des Bösen verzweifelt verschweigen/vertuschen wollen, siehe auch http://www.heise.de/forum/heise-online/News-Kommentare/UN-sollen-Empfehlungen-zu-autonomen-Waffensystemen-erarbeiten/Weltbewegende-aber-noch-allgemein-unbekannte-Themen-potentielle-Top-Stories/posting-29664291/show/

Vermutlich gibt's zu dem Beitrag hier auch gleich wieder eine Meldung zum Löschen/Verschieben - ratet mal warum und von wem. Über die Rotbewertung meiner herausragend guten Beiträge könnt ihr ja auch mal meditieren - womöglich habe ich als vermutlich bester Beitragschreiber die meisten Negativbewertungen eingesackt und zwar weil gute Beiträge von einigen genau deswegen negativ bewertet werden: weil sie ihnen zu gut sind.

Nun, zum Glück wird ein so guter, themenbezogener und weltverbesserischer Beitrag auch mit Hinweisen auf allgemein äußerst wichtigen aber verschwiegenen Aspekten wohl sicher nicht gelöscht werden. Thanks. (alles imho)

Das Posting wurde vom Benutzer editiert (15.01.2017 08:37).

Bewerten
- +
Ansicht umschalten