Server sichern ohne physischen Zugang

Als so unrealistisch oder paranoid würde ich dieses Szenario jetzt auch wieder nicht abtun. Nicht erst seit der NSA-Geschichte stellen u.a. viele deutsche Mittelständler genau diese Fragen und das zurecht. Eines der zentralen Probleme der IT-Branche ist doch, dass wir es fast überall mit inherent unsicheren Systemen zu tun haben. Diesen Grundkonflikt sollten wir ernst nehmen, was aber nur die wenigsten tun. Und nein, fail2ban (und vergleichbares Snake Oil) ist keine Lösung, sondern Teil des Problems, wie z.B. auch diese aktuelle News hier:

https://serversupportforum.de/threads/parallels-plesk-12-steigert-den-wert-von-webservern.53807/

Oder schauen wir uns DE-Mail oder "Email Made in Germany" an. Details siehe:

https://www.heinlein-support.de/sit..._broken_by_design_ueberfluessig_dank_dane.pdf

Nicht Sicherheit hat hier die oberste Priorität, sondern die Marketingversprechen und Gewinnmaximierungsabsichten der Anbieter solcher Lösungen. Auch die Politik vertraut auf diesen Unsinn, weil die Anbieter versprechen, dass sie damit weiter Wachstum generieren können.
 
Firewire2002 said:
Ein sehr großer französischer Hoster hat langezeit heimlich SSH Keys für root Zugriff bei der Installation mit ausgerollt. Erst als die ersten Kunden sich darüber im Hoster-eigenem Forum darüber beschwert haben, wurde das Ganze öffentlich.
Click to expand...

Quatsch. Jedem halbwegs fähigen Admin ist bei OVH sofort aufgefallen, dass da nach der Installation Keys in /root liegen und hat die gelöscht. Natürlich hätte man das auch eleganter lösen können. Es ist ja auch immer noch bei vielen Hostern Standard, dass sie Zugangsdaten unverschlüssselt per Email an die Kunden verschicken. Das ist halt auch praktisch.
 
Natürlich fällt das fähigen Admins auf. Dieser Hoster hat aber die gleiche Kundschaft wie alle anderen auch und dazu zählen eben auch verdammt viele unfähige Admins. ;)
Und nur weil ein Admin sowas selbst fixt, wird sowas noch lange nicht öffentlich. Ich sehe also irgendwie die Kritik an meiner Aussage nicht. :p
 
tomasini said:
Es ist ja auch immer noch bei vielen Hostern Standard, dass sie Zugangsdaten unverschlüssselt per Email an die Kunden verschicken. Das ist halt auch praktisch.
Click to expand...
Grauenhaft!
Wenigstens PGP/MIME oder S/MIME verschlüsselt udn sgniert könnten die das ja versenden.

Das Sicherheitsbewusstsein ist nicht wirklich gestiegen bei Hostern.
 
Firewire2002 said:
Ich sehe also irgendwie die Kritik an meiner Aussage nicht. :p
Click to expand...

Meine Kritik bezieht sich primär darauf, dass du hier den Eindruck erwecken möchtest, OVH hätte das heimlich gemacht. /root ist für jeden Admin frei zugänglich. Dazu war das meines Wissens auch lange Zeit im franz. Forum dokumentiert - ebenfalls für jeden frei einsehbar. Früher gab es sogar einen Hinweis dazu in der Bereitstellungs-Email, zumindest bei der Enterprise-Serie.

Und ja, unfähige Admins sind auch Teil des Problems. Dieses Problem möchte aber auch (fast) niemand angehen, weil das auch wieder Umsatz kosten könnte.
 
Einen Server ohne physischen Zugriff sichern geht eigentlich recht simpel.
Code: 
shutdown -h now
und fertig ist es :D.
 
tomasini said:
Meine Kritik bezieht sich primär darauf, dass du hier den Eindruck erwecken möchtest, OVH hätte das heimlich gemacht.
Click to expand...

Es gab bis zum Veröffentlichen durch die Kunden keine Dokumentation dazu oder Hinweis darauf. OVH hat es in der eigenen Kommunikation verschwiegen.
Mit deiner Argumentation, überträgt auch kein Trojaner irgendwas heimlich. Der Traffic ist ja schließlich für jeden einsehbar und kann mitgeschnitten werden. Wer sein Traffic nicht permanent per DPI analysiert, handelt dann also grobfährläsig? ;)

Du verwendest eine merkwürdige Definition von "heimlich". ;)
 
mailman said:
(1) Gibt es technisch eine Möglichkeit zu verifizieren, dass meine Installation wirklich zu 100% korrekt (ohne Backdoor o.ä.) ist?
Click to expand...

Zum Beispiel Debian aus dem Recovery mittels debootstrap installieren.

mailman said:
(2) Gibt es eine Möglichkeit zuverlässig Manipulation (auch im späteren laufenden Betrieb) auszuschließen (auch bspw. gegenüber dem Hoster)? Ich kenne Tools, wie AIDE oder Tripwire, aber selbst hierbei kann ich ja nicht verifizieren, ob an den Tools selbst manipuliert wurde.
Click to expand...

Nein, da der Provider physischen Zugriff auf die Kiste hat. Wenn du es sehr sicher haben willst, dann musst du in ein RZ gehen, in denen Server für Banken gehostet werden. Kommt halt drauf an, was du machen willst und ob es dann überhaupt noch wirtschaftlich ist.

mailman said:
Ist also ein vServer gar nicht soviel sicherer als ein Root Server? Wäre eine Colocation besser oder sollte man gleich alles zu Hause/Inhouse lassen (Bandbreite vorausgesetzt)? In den letzten bzw. vorletzten Szenario zumindest begrenzt könnte ich den jeweiligen Server physisch "fassen" und hätte ihn nicht als derart abstraktes Gebilde hunderte Kilometer entfernt.
Click to expand...

Die vServer sind noch unsicherer als dedizierte Server. Zuhause kommt nicht in Frage, da du die Bandbreite nicht haben wirst und es auch mal Stromausfälle geben könnte bzw. Spannungsschwankungen auftreten können, die deine Hardware zerstören. Ich glaube niemand hat im Keller eine große USV und ein Notstromaggregat. Bei einem Spannungsausfall ist die Wahrscheinlichkeit auch hoch, dass die Anbindung an das Internet nicht mehr funktioniert. Bei einem Hoster kann man noch Glück haben, wenn nicht die gesamte Infrastruktur ausfällt. Lieber ein "abstraktes Gebilde", dass weit weg ist, als sich auch noch um die Hardware und Infrastruktur selbst kümmern zu müssen.


mailman said:
Die Frage reduziert sich also auf: Kann ich einen Server, auf den ich keinen physischen Zugriff habe (typisches Root Server Szenario) trotzdem so absichern ohne Backdoors jeglicher Art zu riskieren?
Click to expand...

Technisch gesehen nein, da du keinen physischen Zugriff hast. Ich behaupte mal einfach, dass die Hoster gar kein Interesse. Das dürfen sie auch gar nicht. Man könnte zwar viele Sicherheiten einbauen, aber letztendlich ist technisch gesehen sehr viel Möglich.

Szenario: Alles Verschlüsselt, selbst das OS. Im laufenden Betrieb friert man mit Stickstoff den Arbeitsspeicher ein, entfernt ihn und kopiert den Inhalt. Dann sucht man nach dem Schlüssel. Das es technisch möglich ist, haben schon welche bewiesen.

Letztendlich ist das aber sehr weit her geholt.

mailman said:
(Mir ist klar, dass das alles ein fiktives seeehr paranoides und absolut unrealistisches Szenario ist und von absolut keiner Relevanz für die Praxis. Trotz allem würde mich interessieren, ob sich schon anderen mit der Thematik beschäftigt haben und mit welchem Ergebnis. Vor allem in letzter Zeit dürfte die Frage ja nicht mehr allzu abwegig sein.)
Click to expand...

Die Spuren, die du im Netz hinterlässt, sind viel interessanter.
 
Was ist jetzt eigentlich aus dem TE geworden. Seit dem Anfangspost kein Lebenszeichen mehr.:eek:
Hat der sich jetzt vor lauter Paranoia selber im Keller eingeschlossen.:cool::o
 
rolapp said:
Ok deshalb ist er vom Radar verschwunden
Click to expand...

Hab hier im Moment ein Radar rechts neben mir stehen.
Er bräuchte schon eine Form, die die Strahlen in alle möglichen Richtungen reflektiert, nur nicht zum Transceiver zurück. Also ein Stealth-Aluhut
 
Ich finde es ja witzig, wie die Problematik hier belächelt wird. Also kann ich davon ausgehen, dass sich bis auf die 1-2 sinnigen Antworten hier keiner zumindest Gedanken zu diesem Thema gemacht hat?

Vor 1 Jahr war es absolut abwegig, dass Daten direkt von Google, MS und Konsorten in großem Stil abgeschnorchelt werden. Ich sehe keinen Grund, warum das bei Hetzner & Co nicht möglich wäre ...

Mein Ziel hier wäre es eigentlich gewesen, technische (konzeptionelle) Lösungen für ein eigentlich politisches (bzw. zwischenmenschliches) Problem zu finden, bzw. Möglichkeiten Risiken zu minimieren, da eine Lösung wohl unmöglich ist. Mit Techniken wie IDS, Fail2Ban usw. bin ich natürlich vertraut, nur gehen die doch an der Problematik vorbei ...

Wie aber angesprochen mit dem Stickstoffbeispiel ist es wohl absolut unmöglich einem remote stehendem Server absolut zu vertrauen. D.h. letztendlich bleibt nur übrig dem Hoster blind zu vertrauen ohne eine Möglichkeit zu haben das zu verifizieren.
Wenn ich mir diesen Thread hier durchschaue finde ich es allerdings irgendwie bedenklich, dass scheinbar nur mir dabei mulmig wird.

(P.S.: Ich könnte hier daheim sicher einen kleinen Server für private Zwecke betreiben, 75Mbit Down - 7.5 Mbit Up für 20€/M - Ja, es gibt kein SLA, garantierte IP oder was auch immer. Alternativ könnte ich mir auch ein Datacenter in irgendeinem Bunker bauen... Ich wollte hier in keinerweise auf wirtschaftliche Aspekte eingehen, sondern nur diskutieren, was (software-)technisch im konkreten wahrscheinlich recht häufigen Szenario möglich ist ...)

Edit: Bevor ich hier wieder als paranoid dargestellt werde. Ich sage nicht, dass ich davon gehe und damit rechne, dass alles gebackdoored und unsicher ist. Dafür habe ich zuviel Kisten bei ebensolchen Root-Hostern stehen. Aber wer kann dieses Szenario sicher ausschließen? ... und mir das beweisen?
 
Last edited by a moderator:
Softwaretechnisch ist es aber egal, ob du jetzt bei einem Hoster bist oder nicht. Du musst darauf Vertrauen, das Deine Software sauber ist. Kannst du dir da sicher sein bei Ms, Mac oder auch Linux. Alles sind ja fertige System. Wenn du das ausschließen willst musst du dir dein Betriebs System und andere Software selber schreiben. Von der Hardware weißt du auch nicht was in den Chips verbaut ist. Schon mal viel Spaß beim Hardware bauen und beim programmieren. Es gibt Leute die haben da die Paranoia und schreiben dann Ihren Lebenslauf ins Facebook.
Ich bin der Meinung. 100% Sicher kann man nirgendwo sein.
 
mailman said:
[...]Edit: Bevor ich hier wieder als paranoid dargestellt werde. Ich sage nicht, dass ich davon gehe und damit rechne, dass alles gebackdoored und unsicher ist. Dafür habe ich zuviel Kisten bei ebensolchen Root-Hostern stehen. Aber wer kann dieses Szenario sicher ausschließen? ... und mir das beweisen?
Click to expand...
Nachdem, was wir nunmehr gesichert über die NSA und Co. wissen, darf man annehmen, dass alles "gebackdoored" und unsicher ist, zumindest bei Bedarf und entsprechender Interessenlage der Geheimdienste und Co. Es gibt keine 100%ige Sicherheit, nur unterschiedlich hohe Zugangshürden.
 
Ich finde die Paranoia dahinter durchaus angebracht und halte diese Diskussion für wichtig. Aber was kann man daran (realistisch gesehen) schon ändern? Es gibt immer Mittel und Wege, um bestimmte Szenarien zu umgehen. Selbst wenn alles direkt vor Ort steht, siehe:

rolapp said:
Du musst darauf Vertrauen, das Deine Software sauber ist. Kannst du dir da sicher sein bei Ms, Mac oder auch Linux. Alles sind ja fertige System. Wenn du das ausschließen willst musst du dir dein Betriebs System und andere Software selber schreiben.
Click to expand...
Und wo erledigst du diesen zeitintensiven Task dann?
Auf einem *wasauchimmer* OS Rechner? Autsch! :D


MfG Christian
 
Mein Vorschlag: Eine KI entwickeln, die ihren Code selbst verbessert. Wenn sie uns mag, schreibt sie ein sicheres OS und Software, dass kein Mensch knacken kann.

Sie könnte aber auch erkennen, dass wir Menschen auf diesem Planeten entfernt werden müssen und setzt das effizient in die Tat um.


Was ich damit eigentlich sagen will: Code, der von Menschen stammt, wird immer unsicher sein. Man kann nur versuchen es dem Angreifer so schwer wie möglich machen. Trotz dessen kann es passieren, dass ein ganz simpler Bug ausgenutzt wird, um in das System einzubrechen.
 
You must log in or register to reply here.
Back
Top