PRISM / Tempora Was ist denkbar möglich?
http://www.sueddeutsche.de/politik/...ten-schoepfen-deutsches-internet-ab-1.1704670
Langsam aber sicher wird die ganze Chose unangenehm. Die Frage ist, wer wusste was in welchem Umfang. Mal sehen, was da noch so unappetitliches hochblubbert.
Zum Thema SSL - yepp, man kann sicher davon ausgehen, dass die Dienste Zugriff auf die wesentlichen Zertis haben.
@Joe: Wenn ein Ziel ausgemacht wurde und die Dienste sich darauf konzentrieren, ist es mit deren Know-How und Ressourcen sicherlich möglich sich Zugriff zu verschaffen, wobei ich immer noch der Meinung bin, das lokal mit Truecrypt optimal gesicherte Daten weitestgehend sicher sind (wie gesagt verschlüsselt mit Serpent und Twofish sowie PW und Token/Keyfile).
Was aber viel schwieriger ist, ist verdächtige Kommunikation als solche überhaupt im großen Rauschen zu identifizieren. Wenn ich z.B. einen 0815-Account bei Flickr aufmache und dort hübsche Bilder hochlade in denen die Botschaften mittels Steganographie verstecke sowie die Verbindung über verschiedene Proxies leite, kann ich ganz unerkannt und wunderbar in aller Öffentlichkeit kommunizieren sowie die Übernahme der Weltherrschaft planen. Viel schwieriger wird vermutlich hingegen die Umsetzung der Aktivitäten im echten Leben. Und das ist ja auch der Kritikpunkt bei all dem Online-Überwachungswahn.
Langsam aber sicher wird die ganze Chose unangenehm. Die Frage ist, wer wusste was in welchem Umfang. Mal sehen, was da noch so unappetitliches hochblubbert.
Zum Thema SSL - yepp, man kann sicher davon ausgehen, dass die Dienste Zugriff auf die wesentlichen Zertis haben.
@Joe: Wenn ein Ziel ausgemacht wurde und die Dienste sich darauf konzentrieren, ist es mit deren Know-How und Ressourcen sicherlich möglich sich Zugriff zu verschaffen, wobei ich immer noch der Meinung bin, das lokal mit Truecrypt optimal gesicherte Daten weitestgehend sicher sind (wie gesagt verschlüsselt mit Serpent und Twofish sowie PW und Token/Keyfile).
Was aber viel schwieriger ist, ist verdächtige Kommunikation als solche überhaupt im großen Rauschen zu identifizieren. Wenn ich z.B. einen 0815-Account bei Flickr aufmache und dort hübsche Bilder hochlade in denen die Botschaften mittels Steganographie verstecke sowie die Verbindung über verschiedene Proxies leite, kann ich ganz unerkannt und wunderbar in aller Öffentlichkeit kommunizieren sowie die Übernahme der Weltherrschaft planen. Viel schwieriger wird vermutlich hingegen die Umsetzung der Aktivitäten im echten Leben. Und das ist ja auch der Kritikpunkt bei all dem Online-Überwachungswahn.
Last edited by a moderator:
tomasini
New Member
Ich bitte dich, das ist doch alles kalter Kaffee. Und das aktuell alle - angefangen von unserer Bundesregierung, über BKA und BND bis zur Telekom - nichts davon gewusst haben wollen, ist völlig unglaubwürdig.
Witzig finde ich auch die aktuellen Gegenmaßnahmen der NSA:
http://abcnews.go.com/blogs/politic...hould-have-to-prevent-snowden-document-leaks/
Bonmot:
"We are now putting in place actions that would give us the ability to track our system administrators, what they are doing, what they’re taking, a two-man rule. We’ve changed the passwords."
Wie machte das noch gleich dieser Bradley Manning? Der brannte alles seelenruhig auf CDs und schrieb dann Lady Gaga drauf.
Ohne Zweifel haben alle die Finger in der Keksdose, nur dass man dabei jetzt in aller Öffentlichkeit erwischt wurde, ist halt mega-peinlich den sogenannten "Freunden" gegenüber.
Zu den Maßnahmen der NSA: Schon erstaunlich, dass scheinbar jedes Banken-RZ über bessere Maßnahmen verfügt, um seine Administratoren zu kontrollieren und deren Möglichkeiten/Zugriffe zu beschränken. Vor allem erschreckend, dass Snowden die Daten in erheblichen Umfang nach außen schmuggeln konnte.
Last edited by a moderator:
tomasini
New Member
Da könnte ich dir jetzt Stories aus meiner Zeit bei Accenture erzählen. Mit Implementierungsprojekten im OSPlus-Umfeld hast du hoffentlich nichts am Hut, oder?
Joe User
Zentrum der Macht
@TerraX
Je mehr Du versuchst irgendetwas und sei es noch so harmlos zu verschleiern, umso interessanter machst Du Dich.
Open/Anon-Proxys? Jepp, werden zu rund 90% von Diensten betrieben oder angezapft.
Tor? Wird ebenfalls nicht unerheblich von Diensten überwacht.
Steganografie? Auf Grund des Overheads zu auffällig.
Einfaches Quiz für Zwischendurch:
Was war der Input? Welche Hashverfahren?
o65n3qo619r5209650o2n44or27r8sr0
b10a8db164e0754105b7a99be72e3fe5
Je mehr Du versuchst irgendetwas und sei es noch so harmlos zu verschleiern, umso interessanter machst Du Dich.
Open/Anon-Proxys? Jepp, werden zu rund 90% von Diensten betrieben oder angezapft.
Tor? Wird ebenfalls nicht unerheblich von Diensten überwacht.
Steganografie? Auf Grund des Overheads zu auffällig.
Einfaches Quiz für Zwischendurch:
Was war der Input? Welche Hashverfahren?
o65n3qo619r5209650o2n44or27r8sr0
b10a8db164e0754105b7a99be72e3fe5
Nur aus der FerneMit Implementierungsprojekten im OSPlus-Umfeld hast du hoffentlich nichts am Hut, oder?
Die internen/externen Prüfberichte sind mir bekannt, mehr kann ich dazu hier nicht ausführen 
Ich würde eigene Server/Proxies nehmen, ich vertraue meinen Traffic doch keinem Fremden an, auch TOR nicht.
Last edited by a moderator:
D
Deleted member 11740
Guest
Code:
b10a8db164e0754105b7a99be72e3fe5 md5 Hello WorldUnd weiter? Willst du uns damit beweisen, dass es Datenbanken mit Hashes gibt? Ohne Salt speichert heutzutage kein Schwein nen Passwort ab. Jedes vernünftige CMS nutzt nicht mehr md5. Schon gar nicht ohne Salt. Theoretisch könnte ich deinen ersten Hash, den ich nicht gefunden hab, auch entschlüsseln.
1. Hatte ich keine Lust mehr als eine DB abzugrasen
2. Will ich kein Strom dazu verwenden, um Hashes mit der Grafikkarte zu berechnen
Code:
8cacde126252b867c555526325270498Ist md5. Wenn du es entschlüsselt hast, dann sag mir bitte Bescheid. Dann muss ich leider alle Passwörter für meine Accounts ändern, auch diesen hier aus dem Forum. BTW: Kein Salt....
Viel Erfolg beim Berechnen. Du wirst definitiv einen Treffer landen. Es ist nur eine Frage der Zeit und deiner Ressourcen und ggf. deiner Lust überhaupt irgendwas zu gucken.
Was es dir bringt? Deine Genugtuung mich bloß zu stellen und mich dazu zu zwingen von etlichen Accounts die Passwörter zu ändern.
Last edited by a moderator:
tomasini
New Member
Ich kenne zwei große Hoster, die z.B. die Passwörter für die Backupspaces sogar im Klartext speichern. Warum? Weil nach eigener Aussage viele Kunden gerne ihre Passwörter vergessen und im Worst Case somit nicht mehr an ihre Backups kommen würden. Auch im öffentlichen Bereich ist das oft der Standard.
Joe User
Zentrum der Macht
Ist der gleiche Hash nur nochmal ROT13. Primitiv aber wirkungsvoll.
Kann nach Deinen Begleitinfos nicht länger als 16 Zeichen sein und würde somit bei meiner altersschwachen Hardware im Worst-Case rund einen Monat dauern.
Wenn das wirklich Dein Allround-Passwort ist, solltest Du es möglichst zeitnah überall austauschen, den mit ein paar EC2-Instanzen ist es in wenigen Stunden geknackt.
D
Deleted member 11740
Guest
Hehe, darüber hab ich eh nachgedacht. Mich würde es nicht wundern, wenn es schon irgendwo entschlüsselt rumliegt.
Angeblich können die Amis sogar ein paar Sachen in Echtzeit, sagt zumindest diese News von Heise.
nexus
Well-Known Member
Wobei ich mich trotzdem frage, ob diese Form der Überwachung wirklich einen praktischen Nutzen (im Sinne von Terrorismusbekämpfung o.ä.) hat.
Ich könnte mir zumindest gut vorstellen, daß Leute mit entsprechender krimineller Energie auch adäquate Möglichkeiten zur Verschleierung/Verschlüsselung ihrer 'brisanten' Informationen kennen und nutzen...
Praktischer Nutzen.... quite easy... Informationsgewinnung jeglicher Art. Nur darum gehts schliesslich. Welches Deckmäntelchen man zur Erklärung missbraucht ist doch völlig egal.
Genau... dienstlich noch fix was verschlüsselt versendet und dem Kollegen per privater Mail geschrieben ... blablabla ich mach grad Blabla..oder haste schon gehört Blabla.... wunderbar und Tagesordnung.
Lässt sich Seitenweise erweitern. Unterm Strich ... wie schon gesagt Informationsgewinnung. Thats it.
Gruß Sven
Hallo!
Quelle: http://www.heise.de/newsticker/meld...atenspionage-Empoerung-in-Berlin-1908888.html
mfG
Thorsten
Direkte Port Mirror? Das wäre natürlich praktisch.heise online said:
Quelle: http://www.heise.de/newsticker/meld...atenspionage-Empoerung-in-Berlin-1908888.html
mfG
Thorsten
elias5000
Site Reliability Engineer
Nennt sich Rainbow-Tables und gibt es online. Die Info, dass es nicht gesalzen ist, hilft natürlich auch.
Und natürlich habe ich es eben in einer Rainbowtable gefunden. Und könnte es auch hier posten.
Ich nehme aber an, dass du die Notwendigkeit deine Passwörter zu ändern auch einsiehst ohne dass ich es hier poste...
elias5000
Site Reliability Engineer
Ich bin bei diesen Dingen dann immer auf dem Standpunkt, dass der Kunde dann eben damit leben muss und eine entsprechend sichere Passwortrücksetzungsprozedur über sich ergehen lassen muss.
Das hat dann gleich noch den psychologischen Effekt, dass das neue Passwort dann vielleicht besser gemerkt wird.
Um mal beim Thema zu bleiben: Was wird wohl als nächstes kommen?
Bürger ausspähen - check!
EU-Vertretung ausspähen - check!
Späteren US-Präsidenten ausspähen - check!
G20 Teilnehmer ausspähen - check!
UN headquarter ausspähen - to come
Aktuellen US-Präsidenten ausspähen - to come
Unsere Regierung hat zumindest den Teil komplett gekannt, der sich nur gegen Fußvolk richtet - to come
Last edited by a moderator:
tomasini
New Member
Das ist sicherlich schon lange ein Built-In-Feature in allen Cisco- und Brocade-Switches in der sog. "Export-Version" für befreundete Partnerländer dritter Klasse.
D
Deleted member 11740
Guest
Ja, ist mir bekannt. Selbst der Salt bringt nichts bei nur einem Hash. Es soll nur verhindern, dass es jemanden, der Hashes entwendet, nicht alle Passwörter auf einmal entschlüsselt. Bei einem Salt sollte es eigentlich kein Problem darstellen. Wenn den Salt kennt, ist es natürlich noch einfacher. Mein Passwort ist sicherlich nicht geöhnlich gewesen und ist nur aufgrund dessen in einer DB, da vor langer Zeit ein Hacker Zugriff auf ein Forum eines großen bekannten Spieleentwicklers hatte. Sie haben ihre Kunden darüber in Kenntnis gesetzt. Da ich noch andere Passwörter nutze, habe ich das aber nicht als allzu schlimm empfunden. Für wichtige Sachen hab ich noch ein anderes PW. Wenn ich der Meinung bin, dass z.B. ein Forum unsicher ist, z.B. Sponsorboard, dann nutze ich eher ein Passwort, dass ein ganz bekanntes Lebensmittel ist :-D
@tomasini: Seit mindestens September 2004. Die hatten auf einer LAN-Party den kompletten Traffic über so einen Port mitgeschnitten. Sie hatten Probleme das Netzwerk aufrecht zu halten. Das einzige was man machen konnte ist Pornos saugen oder das Rahmenprogramm, welches übrigens sehr gut war, in Anspruch nehmen. Soweit ich weiß, waren es Router/Switches von HP. Erst hatten sie einen Router, der beide Teile der Halle verband, dann zwei. Sie haben es aber nicht in den Griff bekommen. Böse Zungen haben behauptet, dass das Netz von innen heraus kompromittiert worden ist. Letztendlich kann ich mir beim besten willen das nicht vorstellen. Auch die Behauptung, dass Broadcaststürme durch viele Virenverseuchte Windows-Rechner entstanden sein sollten. Zu der Zeit war es sehr gefährlich mit einen nicht gepachteten Windwos-Rechner überhaupt ins Netz zu gehen. Durch ein Einfallstor hat sich der Virus automatisch verteilt, ohne zutun des Anwenders.
Ich denke mal, dass noch so einiges an Informationen kommen wird, was wir nie gedacht hätten. So wie Snowden das macht, ist es genau richtig. Er Liefert die erste Informationen und die Unternehmen behaupten, dass sie davon nichts gewusst hätten (sie hätten alle die Möglichkeit gehabt die Wahrheit zu sagen). Danach wurden weitere Informationen veröffentlicht, die darauf schließen lassen, dass die Unternehmen doch Bescheid wussten. Was für eine Blöße :-D
Es ist auch erschreckend wie unsere Politiker reagieren:
Das Volk wird ausgespäht > naja, ist nicht so ok
Die Politiker/Diplomaten werden ausgespäht -> unhaltbar
Verdammte verlogene hinterhältige Politikerkaste. Es wird sicherlich noch viel dicker kommen.
Achja, als nächstes wird kommen, dass einige Länder darüber Bescheid wussten und Daten von der NSA bekommen haben. Ist doch ziemlich billig. Wozu brauchen wir eine Vorratsdatenspeicherung, wenn die Daten von den Ausländern auf einem Silbertablett geliefert werden?
Last edited by a moderator:
Natürlich hat man Daten und Erkenntnisse ausgetauscht - frei nach dem Motto: "Geschenkten Gaul ...."