Linux-Hort: Integrität der Installation
In den ersten Artikeln wurden generellen Aspekte von Linux beleuchtet. Dabei ist dem aufmerksamen Leser sicher nicht entgangen, dass die gesamte Software immer aus dem Internet geladen werden muss. Es stellt sich aber die Frage, wie kann man dieser Software vertrauen?
Beitrag von Stephan M.
Bevor dieses Vertrauen hergestellt werden kann, müssen einige Grundlagen geklärt werden, ohne die die gesamte Diskussion unverständlich bleibt. Mittels Kryptographie können folgende Aspekte abgedeckt werden:
* Privatsphäre: Als Privatsphäre definiert man einen Zustand, in dem Daten nur von wohl definierten Beteiligten lesbar sind. Alle anderen Beteiligten, welche den Datenfluss sehen oder sogar verändern können, haben nicht diese Möglichkeit.
Natürlich kann ein unberechtigter Beteiligter falsche Daten einspielen oder den Datenfluss teilweise unterbrechen. Diese Aktionen sind aber immer für die erlaubten Benutzer sichtbar, da die veränderten Daten nicht mehr richtig entschlüsselt werden können. In jedem Falle kann ein Unberechtigter die geschützten Daten nicht lesen. Privatsphäre wird mit Verschlüsselung der Daten
hergestellt, sofern der Schlüssel über einen sicheren Kanal (d.h. ein unberechtigter Benutzer kann diesen Schlüssel nicht abgreifen) ausgetauscht wird. Typische Verschlüsselungsalgorithmen sind AES oder Triple-DES (symmetrische Algorithmen), oder RSA (asymmetrische Algorithmus).
* Integrität: Integrität stellt sicher, dass Daten von nicht autorisiertennBenutzern verändert werden, und dass diese Änderung von den autorisierten Beteiligten bemerkt wird. Zur Wahrung von Integrität werden kryptographische Prüfsummen, sogenannte Hashes oder HMACs, als auch kryptographische Signaturen verwendet. Typische Vertreter von kryptographischen Prüfsummen sind SHA-1, SHA-256 oder SHA-512. Standard-Signaturalgorithmen sind RSA, DSA, ECDSA.
* Authentizität: Unter Authentizität versteht man die sichere Verifikation, dass Daten wirklich von dem Sender stammen, den man wirklich annimmt. Wenn Daten über das Internet übertragen werden, kann man mittels verschiedener Techniken diese Daten vollständig verändern. Desweiteren kann im Internet ein Benutzer einen anderen Benutzer imitieren — simples Beispiel, woher weiß man, dass mein Name
„Stephan M“ ist oder dass ich nicht ein Imitator von „Stephan M“ bin?
Authentizität kann man mittels kryptographischen Signaturen, oder HMACs sicherstellen, vorausgesetzt, die verwendeten Schlüssel wurden vorher auf gesichertem Wege übertragen und alle Beteiligten vertrauen diesen Schlüsseln.
Die oben genannten Standard-Signaturalgorithmen gelten auch hier.
Bekannte Protokolle, wie zum Beispiel SSL/TLS oder PGP nutzen die genannten kryptographischen Mechanismen, um das Dreigestirn von Privatsphäre, Integrität und Authentizität für die Netzwerkverbindung sicherzustellen.
Um jetzt auf die Fragestellung zurückzukommen, wie man sicherstellen kann, dass die Software, die aus dem Internet geladen wurde, vertraut werden kann, überlegen wir erst einmal, was Vertrauen bedeutet: Implizit vertrauen wir dem „Hersteller“ der Software (d.h. den Personen, die die Distribution erstellen).
Wenn dies nicht der Fall ist, brauchen wir gar nicht weitergehen. Im zweiten Schritt müssen wir nun diese Software über ein nicht vertrauenswürdiges Internet transportieren, und dennoch dieses Vertrauen erhalten oder wiederherstellen.
Dieses Vertrauen kann mittels Prüfung der Integrität und Authentizität erreicht werden. Privatsphäre ist nicht notwendig, da ja die Daten auf einer ISO Datei (oder andere Dateien der Distribution) öffentlich sind.
Wie stellt man nun die Integrität und Authentizität sicher? Egal welche Distribution man verwendet, auf der Downloadseite der Distribution finden sich immer folgende Informationen:
* Kryptographische Prüfsumme (Hash) der ISO Datei(en)
* Kryptographische Signatur der ISO Datei oder des Hashes. Falls die Signatur fehlt, kann dies durch die Verwendung des HTTPS Protokoll ersetzt werden
Wie geht man nun vor, um die Integrität und Authentizität sicherzustellen? Als erstes muss man die Signatur prüfen. Bei der Verwendung von HTTPS zur Darstellung der Website, führt der Browser die Prüfung der Signatur bereits durch. Wenn der Browser keinen Fehler bei der Darstellung der Seite angibt, ist damit die Authentizität der kryptographischen Prüfsumme sichergestellt. Falls HTTPS nicht zur Verfügung steht, muss die auf der Webseite bereitgestellte Signatur geprüft werden — eine Anleitung dazu ist immer auf den Webseiten der Distributoren zu finden.
Nun muss noch die Integrität der ISO Datei sichergestellt werden. Dies erfolgt nachdem die ISO Datei auf dein heimischen Rechner geladen wurde. Im Anschluss braucht man ein Programm, welches eine Prüfsumme berechnen kann. Typischerweise wird als Hash entweder SHA-1 oder SHA-256 verwendet. Diese Hashes werden mittels den Programmen sha1sum oder sha256sum geprüft. Entweder man hat bereits Linux, wo diese Programme vorhanden sind, oder man muss als Windows-Nutzer sich diese Programme laden — beide Programme kann man für Windows unter http://blog.nfllab.com/archives/152-Win32-native-md5sum,-sha1sum,-sha256sum-etc.html bekommen.
Achtung: es wird vielfach noch MD5 als kryptographische Prüfsumme angeboten. Dieser Algorithmus ist aber als nicht mehr sicher einzustufen, da er gebrochen wurde. Demzufolge darf MD5 *nicht* verwendet werden!
Wenn man nun alle drei Daten, das Prüfprogramm, die ISO Datei und die kryptographische Prüfsumme hat, muss man nur noch die Prüfsumme der ISO Datei berechnen. Dazu muss man auf einer Kommandozeile einfach sha1sum
die berechnete Prüfsumme mit der von der Webseite erhaltenen Prüfsumme vergleichen — sind beide vollständig identisch, ist nun auch die Integrität der ISO-Datei gewährleistet.
Wenn nun beides, die Signatur und die Prüfsumme korrekt verifiziert wurde, kann man der ISO Datei vertrauen.
Hier nochmal eine Kurzanleitung:
1. Anzeige der Seite mit den kryptographischen Prüfsummen mittels HTTPS, ohne dass der Browser einen Fehler meldet — falls dies nicht funktioniert, muss eine angebotene Signatur manuell geprüft werden.
2. Laden der ISO Datei
3. Ausführen von sha1sum
4. Vergleichen der kryptographischen Prüfsumme von der Webseite mit der mittels der Programme erzeugten Prüfsumme
5. Nur wenn bei allen Schritten kein Fehler aufgetreten ist, kann man die ISO Datei verwenden.
Nun kann ein geneigter Leser bemerken, dass während der Lebenszeit von Linux immer wieder mal neue Programme oder Aktualisierungen aus dem Internet geladen werden. Warum muss man da nicht ähnliche Vorsicht walten lassen? Im Grunde muss man dies, aber die Distributionen haben dies alles automatisiert, so dass ein Anwender sich darum nicht mehr kümmern muss. Alle Dateien die aus dem Internet „nachgeladen“ werden, sind wiederum mit einer Signatur versehen, die das Betriebssystem vor der Installation prüft. Der dazu nötige Schlüssel wurde mit der ISO Datei bereits auf den Rechner gespielt — deswegen ist es auch wichtig, diese ISO Datei zu prüfen. Wenn die Signatur nicht korrekt ist, wir die Datei nicht installiert.
Jetzt stellt sich aber die Frage, was macht man, wenn man Software aus einer anderen Quelle als die Distribution verwenden will? Diese Frage ist für all diejenigen relevant, welche gerne Musik hören oder Videos anschauen möchten. Die Codecs (MP3, MP4, etc.) sind üblicherweise nicht als freie Software angesehen, da sie Patente betreffen, und sind damit auch bei den meisten Distributionen
nicht dabei. Für Fedora bietet das Archiv http://rpmfusion.org/ diese Codecs an. Ähnlich wird für Ubuntu das Archiv http://wiki.ubuntuusers.de/Codecs angeboten. Da diese Archive aber nicht von den Distributionen verwaltet werden, sind die Dateien auch nicht mit den Distributions-Schlüsseln signiert. Hierzu muss nun der Schlüssel, welcher von den Archiven verwendet wird, in das lokale
System integriert werden. Auf den genannten Webseiten der Archive gibt es eine Kurzanleitung, wie diese Schlüssel integriert werden. Nach dieser Integration können die Dateien mit den Audio oder Video Codecs problemlos über die Standard-Softwareverwaltung installiert werden.
Aber Vorsicht: bevor man neue Schlüssel in das lokale System integriert, muss man sich immer irgendwie vergewissern, dass die Quelle bzw. das Archiv der Software vertrauenswürdig ist. Natürlich kann jeder diesem Blog-Eintrag mit den Links vertrauen — ist dies aber ausreichend? Dies muss jeder für sich beantworten. Im Zweifel sollte man *nicht* auf solche zusätzlichen Quellen
zurückgreifen!
Gehen wir nun davon aus, dass die Linux Installation vertrauenswürdig ist. Im nächsten Artikel wird es eine kleine Einführung in das Linux Rechtekonzept geben, damit das Verständnis geweckt wird, wie die Administration von Linux, welche sich hinter der schönen graphischen Oberfläche befindet, tatsächlich abläuft. Dies ist immer hilfreich, wenn man die graphische Oberfläche bestimmte
Konfigurationsoptionen nicht bereitstellt.
18 Responses to Linux-Hort: Integrität der Installation
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.
Linux Mint Maya hat auf der Distro nur eine MD5 Prüfsumme drauf.
Wie Vertrauenswürdig ist das nun, die ist ja „gebrochen“?
Sind die Prüfsummen der einzelnen Prüfsummenprüfer denn identisch?
Die Distribution „Linux Mint“ hat alle Codecs (MP3, MP4, etc.) bereits dabei und konzentriert sich auf Anwenderfreundlichkeit, z.B. für bisherige Windowsnutzer.
„Linux Mint Debian“ hat den Vorteil, dass es nicht die Datenschutzprobleme von Ubuntu hat.
Und dann noch eine Frage.
Obwohl ich jetzt auf meinem Laptop Linux drauf habe, werkelt im Untergrund imme rnoch ein Intel und anderes Gedöns mit Propriäterer Firware. Und auch das Bios ist wohl nicht 100% vertrauenswürdig, was kann man da machen, um sich von der Krake zu lösen?
MD5: Gebrochen heißt, dass man eine ISO Datei mit sinnvollem Inhalt (d.h. Mint Linux mit anderem, ggf. verseuchtem Inhalt) erstellen kann.
Prüfsumme: die Prüfsumme basiert auf einer mathematischen Formel, die über die gesamte ISO Datei berechnet wird. Damit kannst du viele verschiedene Implementierungen der Prüfprogramme haben, welche aber alle das gleiche berechnen müssen (ansonsten ist mindestens eine Implementierung fehlerhaft).
Super Frage! Genau um diese Frage dreht es sich in der letzten Zeit immer bei Installationen, die ein gewisses Vertrauensmaß brauchen! Falls einer mal Interesse hat, mag er mal in Wikipedia nach SMM suchen und verstehen, wie problematisch unsere gesammten Plattformen sind!
Für das BIOS gibt es alternativen: OpenBIOS, zum Beispiel. Für die CPU: nimm etwas anderes 🙂 AMD oder ARM sind ja noch für Normalanwender verfügbar.
Problematiken
Sicherheit
Da die Ausführung im SMM für das Betriebssystem und die laufenden Anwendungen (wie beispielsweise Virenscanner) nicht sichtbar ist, stellt der SMM einen erstrebenswerten Betriebsmodus für Schadsoftware dar.
Echtzeit
Durch die Ausführung im SMM können bei x86-Echtzeitsystemen Latenzen im Millisekundenbereich auftreten. Zweierlei Aspekte machen eine Verletzung der Echtzeitschranken möglich:
Während der Ausführung im SMM kann nicht auf Interrupts reagiert werden.
Die Ausführungszeit wird dem Echtzeitsystem entzogen.
Unter Linux existiert ein Kernelmodul, um die Ausführung im SMM aufgrund der vom Betriebssystem „gestohlenen“ Zeit zu detektieren.
http://de.wikipedia.org/wiki/System_Management_Mode
Allen Ernstes…
Das Nummernschild eines Fahrzeuges kann per Satellit genau erkannt werden.
Die NASA steuert ein robocar 249 Millionen km entfernt…in den 90igern musste ich mit meinem ferngesteuerten Fahrzeug hinterher gehen.
Asteroiden sollen Stationen bekommen auf denen gelandet wird.
Eine Rakete heutzutage trifft deinen Anus im Freien auf 0,5 cm genau. In die Rille.
Autos fahren von alleine.
Deine Bewegung im Internet ist genau registriert .
Ihr diskutiert hier völligen Nonsens, Linux ist den Diensten seit Beginn ein guter forschungskunde…und völliger leerdamer.
Aussichtslose Wege die ihr hier sucht…
News
Und die Steilvorlagen die ihr hier öffentlich liefert…bedürfen den Rest.
hier mal eine Darstellung von Intel zu vPro AMT Technik:
http://www.youtube.com/watch?v=nx-_-wJgPSc
Insbesondere die „AMT Capabilities“ ab 2:40 anschauen und da besonders den Teil „Remote Power on / off“, „Remote Boot Redirection“, hier will ich insbesondere auf das PXE Boot über Netz hinweisen, sowie „KVM full graphical remote Control“ was nichts anderes bedeutet als dass ich als Admin auf den Bildschirm Deines PCs gemütlich alles mitlesen kann auch dann wenn Du das schwierigste Passwort zum Login auf Deinem OS ausgewählt hast.
AMD als die 2. Grösse hat das unter einem anderen Namen auch drin, aber da war vor kurzem noch keine grafische Darstellung möglich.
Hier mal noch einen Film als praktisches Beispiel zum Intel AMT:
http://www.youtube.com/watch?v=gTKmzihGBnQ
Es gibt mehrere Probleme:
a) Historisch stammen diese Management „Computer im Computer Funktionen“ eigentlich aus dem Serverbereich. Da gibt es sogenannte IPMI Schnittstellen mit dem ein Techniker die entfernte Kontrolle über einen Server selbst dann noch hat wenn der sich aufgehängt hat etc. Das ist aber normal ein 2. Netzwerkport (IPMI Port) mit dem man mit separaten Kabel ansteuert.
Irgendwann, ich glaube etwa 2009 kam Intel dann mit seiner integrierten AMT Technik bei der diese einst serverseitigen separat zu erwerbenden und nicht ganz billigen Management Karten einfach komplett integriert wurden und des weiteren das Management auch über den normalen produktiven Netzwerkport (NIC) eingeschleift waren. Damit wurden „managebare Arbeitsstationen“ (für Fimenadmins die viele 1000de PCs betreuen mussten eine tolle Sache) normal. Früher hatten sie nur WOL (Wake On LAN) und entsprechende Remote Control Software auf dem OS und wehe das hing, dann galt „I’m walking …“ Ganz zu schweigen von der heute ausgereiften Hardware Sensorik die früher ja auch fehlte. Man denke an Lüfter und Temperaturen. Im Industriebereich erinnere ich mich dass insbesondere IEI World neben dem BIOS integrierten Ghost Imaging auch mit dieser neuen AMT Funktionalität zur Remote Aufschaltung auf SBCs warb.
Dem Anwender blieb völlig unbekannt, dass es überhaupt so einen PC im PC gibt der jegliche Sicherheit unterminieren KANN und das ohne dass Jemand an dem PC massiv rummanipulieren muss.
b) ich kann im BIOS vom Rechner diese Funktionalität deaktivieren. Was „das Blackbox Bios“ mir aber erzählt dass es tut, muss noch lange nicht für alle gelten dass es auch unter der Haube dann so ist. Bestes Beispiel ist hier ja der Bericht der Techniker aus England was ein British Telecom Router dank seiner manipulierten Firmware wirklich unter der Haube treibt, nämlich sich als erstes einmal mit dem DOD Netz 30.X.X.X connecten. Oben bei Intel AMT Video stand z.B. „Remote Boot Redirection“. Wisst Ihr was das im Falle der BT Offenlegung bedeutet? Das DOD kann mit hoher Wahrscheinlichkeit alle BT-Router remote mit einem ganz anderen System booten lassen als was auf dem lokalen Speicher drauf ist. Cool oder: Starten wir mal das englische Internet neu!
Wenn also ein Bios nicht sauber ist und die Hardware (Intel) hier die Mittel zur totalen Überwachung von der unteren Hardware Ebene kommend zur Verfügung stellt, hast Du verloren. Der Hinweis von Stephan ist also wichtig: Auch das Bios muss OpenSource sein wie OpenBIOS / coreboot.
Ich habe diesen Zusammenhang ja kürzlich mit den PICMG Industrie SBC Board hier beschrieben welche so seltsam günstig von Israel damals angeboten wurden und wo ich einen Zusammenhang mit einem manipulierten BIOS zwecks Industriespionage sehe. Entsprechend gibt es dann wieder Firewall Lösungen die Du entweder dem NIC vorschaltest (irgend eine Firma am Hockenheimring ist da sehr berühmt geworden) und es gab sogar damals eine Chipsatz integrierte Firewall bei NVidia. Letztere war bezahlbar, gibt es aber glaube ich nicht mehr und erster (Firewall Zwischenstecker) ist für die Industrie gedacht (eben für das PICMG Beispiel oben) und übel teuer.
c) Können wir jetzt den Hardware Chips selber trauen? Kommt drauf an! Irgendwelchen Customer Chips würde ich jedenfalls nicht trauen. Bei den Standard Chips eher unwahrscheinlich auch wenn es da Ambitionen von den Geheimdiensten gesichert gegeben hat. Ich würde eher mal die Schnittstellenchips im Auge behalten, also so welche wie beim Handy GSM oder die NICs selber. Das ist viel effektiver und überschaubarer. Dazu müsst Ihr wissen dass es sog. AKTIVE und PASSIVE Schnittstellen gibt. Viele kennen sicher noch die AVM ISDN Fritz Card und da hiess es immer das sei eine PASSIVE Karte. Und die Firmen kennen noch die B1 Karte für ihre Server und Remote Access Lösungen, eine sog. AKTIVE Karte. Hintergrund ist, dass ein PC System ein Multi-CPU-System darstellt, also viele spezialisierte Computer in einem grossen den der Anwender sieht. Je nach Preisklasse mehr oder weniger. Auch Eure Grafikkarte und der Prozessor darauf nennt sich GPU (Graphics Processing Unit) und die hat wie die CPU auch eigenen Speicher usw. Manche wissen sogar, dass man diese GPU für komplexe wissenschaftliche Berechnungen alternativ verwenden kann. Warum wohl?
Es gibt also paar AKTIVE Systeme in Eurem PC = konglomeriertes System die ihr nicht erkennt, die aber ihrerseits wiederum über eigene Firmware verfügen. Manche erinnern sich bestimmt daran, dass sie schon mal mehr als nur für ihr Mainboard ein sog. „Firmware Update“ einspielen mussten. Ja, das sind diese „aktiven Subsysteme“. Auch die laufen mit Blackbox Firmware.
Wenn man diese Ausmasse der Komplexität und des potentiellen Missbrauchs an so vielen Ecken und Enden erkennt, dann graust es einen. Eigentlich fällt mir da spontan ein:
+ einfache Architektur insbesondere an den Schnittstellen
+ den NIC bzw. die Schnittstellen als Ein- / Ausgang in die Welt streng überwachen, genauer gesagt eine gescheite Firewall davor geschaltet haben
+ früher halfen auch noch die alten mechanischen Festplatten. Die machten so einen Lärm wenn sie aktiv wurden, dass man schon merkte wenn da grössere Aktivitäten passierten die nicht sein sollten. Mit den neuen SSD Platten ist auch das bestenfalls auf ein Lämpchen reduziert, von ständigen „legalen Hintergrundprozessen zum Aufräumen des Systems“ ganz zu schweigen.
+ auch hilfreich ist im Falle ein Minimalismus, also z.B. so eine schlechte und lahme Leitung dass es jedem Spion quasi graust und er die Lust verliert. Gilt aber auch für den Anwender im Umkehrschluss wenn er z.B. ein Youtube-Video anschauen will und das geht dann auch nicht mehr. Vielleicht sollte man ja den Upload Kanal mal richtig nach unten schrauben 😉
+ auch hilfreich sind bestimmte Notebooks. Sobald die etwas strapaziert werden, schmeissen die den Lüfter an. Wenn also der Lüfter wie wild dreht obwohl man gar nichts tut, dann wird es verdächtig.
Noch Ideen? Computer selbst bauen ist nicht mehr so leicht wie früher. Nun ja, gibt es doch diese kleinen Rasbery Pi etc. Nur glaube ich nicht, dass diese Bastel Konstruktionen den Luxusbedürfnissen unserer Zeit genügen.
Also letztendlich: Einfache Hardware, coreboot drauf und darauf dann Linux. Etwa so sieht es wohl unter dem Strich aus. Und wenn der Anwender dann weil es so schön und günstig ist die neuste Cloud-Rechtschreibkontrolle installiert hat, dann liest wieder jemand auch die best verschlüsselte E-Mail VOR der Verschlüsselung gemütlich mit, nämlich über die geniale Cloud-Rechtscheibhilfe.
Wirklich sicher, das ist ein echt harter Brocken!
praxistauglich oder nur unter Laborbedingungen mit klar definierter offener Hardware?
Ich sehe eben mal ohne gross jetzt ins Detail zu gehen das Problem, dass weitere „blackbox Subsysteme“ schwer kalkulierbare Interrupts auslösen und bei der Vielfalt von Systemen und Kombinationen dann die „Fehlalarme“ bzgl. „vermeintlichen Angriffen“ erheblich sein werden.
Deine Aussagen sind interessant:
auf der einen Seite sagst Du „diese Dienste könnten ja eh alles“, also „sei alles was man gegen ihre illegalen Ermächtigungen versuchen würde eh AUSSICHTSLOS“.
Dann aber sagst Du wieder wir würden hier „öffentlich eine STEILVORLAGE liefern“. Für was?
Merkst Du dass Du Dich gerade in 2 hintereinanderfolgendenden Kommentaren widersprichst: Einerseits „aussichtslos und jeder Widerstand zwecklos“, andererseits liefern wir zu dieser Aussichtslosigkeit „öffentliche Steilvorlagen“.
Also entweder funktionieren unsere „Steilvorlagen“ oder das mit der „Aussichtslosigkeit“ stimmt eben nicht.
Und es ist des weiteren für mich interessant dass genau diese Thesen von der Aussichtslosigkeit und von der Steilvorlage bzgl. denen die genauer hinschauen, die klassische Propagandasprüche darstellen die ich ständig zu hören bekomme und auch die gesteuerten konventionellen Medien ständig so im Volk verkünden. Es ist interessant wie hier probiert wird über „Kapitulation vor der scheinbaren Allmacht dieses Schattensystems“ die Bürger dazu zu bewegen „sich ihrem Schicksal zu ergeben“ damit danach alles weiter gehen kann wie bisher, wenn nicht sogar noch toller.
Die Wahrheit ist, dass wir es hier immer noch mit physikalischer Technik und nicht mit Mystizismus zu tun haben. Damit ist alles letztendlich genau analysierbar und definierbar. Die Verschwörungs-Thesen / Theorien lassen sich durch entsprechende Untersuchungen ganz klar als Verschwörungs-Realitäten erklären oder im Umkehrschluss als Verschwörungs-Ideen ohne Grund widerlegen. Es ist interessant dass bestimmte Kreise, nämlich die welche am lautesten Menschen wegen Verschwörungstheorien versuchen zu mobben, am wenigsten selbst zur Aufklärung der Zusammenhänge beitragen obwohl sie es z.B. aufgrund ihrer Stellung in Beruf oder Gesellschaft viel leichter könnten als ein Otto-Normalbürger. Warum werden also solche Verschwörungs-Unklarheiten nicht einfach durch stichhaltige Beweise und nicht leere neue emotional untermalene Propaganda widerlegt? Das könnt Ihr Euch mal selbst hir denken warum es so viel AUFKLÄRUNGS-WIDERSTÄNDLER gibt!
Ach und noch was an alle die gerade migrieren.
Für die Enigma Box gibt es ein Weihnachtsangebot:
http://enigmabox.net/weihnachtsangebot/
Sie ist DIE ANTWORT auf die Offenlegung der britischen Techniker bzgl. den verwansten Modems / Router der Internetprovider. Mit der haltet Ihr Euch erst einmal die Typen vom Leib die Euch von aussen über die per Firmware verwanzten Modems in Eure 4 Wände eindringen.
Schaltet sie einfach zwischen Eure bestehenden Kabelmodems / Fritz- und Speedboxen und Euren Computeranschluss. Wenn WLAN, dann einfach einen Access Point hinter die Box hängen. Sicheres Telefon könnt ihr separat bei der Bestellung anfragen, aber das geht bisher nur INNERHALB der Hyperboria. Das könnt Ihr auch danach noch bestellen.
Wer verstehen will was drauf ist, die Box ist white, also jeder kann reinschauen und die Firmware / BIOS ist „Made in Switzerland“. Aus meiner Sicht „sehr empfehlenswert“ zumal es bald auch weitere Webangebote in der Hyperboria geben wird.
Alle die hier jetzt 1000 Gründe suchen warum nicht. Macht Euch mal Gedanken ob es nicht wert wäre etwas zu probieren was nach allen bisherigen Erkenntnissen solide erscheint. Von nichts tun kommt auch nichts. Damit sorgt man dafür dass die welche den Status Quo derzeit beherrschen gemütlich weiter machen können!
An dem Beispiel des Einbruchs über vPro AMT (bei einem intelbasierten System, wobei AMD eine vergleichbare Technik auch hat), ist in Kombination mit einem verwanzten Router Tor und Tür offen auch wenn ihr auf ein vermeintlich sicheres Linux umgestellt habt. Die können dann über den Wartungskanal des verwanzten Routers ganz gemütlich bis zu Eurem Linux PC durchdringen und alles von der Hardware- / Bios Ebene kommend mitlesen selbst wenn ihr die sicherste Verschlüsselung verwendet. Tja, so kann man sich bzgl. vermeintlicher Sicherheit dann irren.
Und wie ich oben schon sagte: Installiert Euch noch aus lauter Bequemlichkeit eine entsprechende verwanzte Rechtschreibkontrolle und es wird für NSA & Co. noch schöner denn dann schreibt Ihr ihnen quasi die E-Mails direkt in ihre Cloud rein BEVOR Ihr sie verschlüsstelt abschickt. Gut gell!
Newsticker2012 muss ja nichts ändern und kann diesen Status Quo belassen wenn er meint gegen NSA & Co. sei kein Kraut gewachsen. „Kapitulations Propaganda“ ist doch was schönes, wenn sie wirkt und damit den Status Quo des Angreifers schon so billig sichert.
Hier habe ich SHA-256 gefunden (liegt im selben Verzeichnis wie die ISO-Dateien).
http://mirror.bauhuette.fh-aachen.de/linuxmint-cd/stable/16/sha256sum.txt
Falls dir aber Linux Mint am Herzen liegt, dann schreibe den Entwicklern mal und sage denen, dass die auf ihrer Webseite MD5 durch SHA-256 ersetzen sollen.
Desweiteren habe ich für Linux Mint nicht herausbekommen, ob die einzelnen Pakete signiert sind.
Guten Morgen Chris und eine besinnliche Weihnacht
Du liegst falsch wenn du denkst ich wiederspreche mich.
Mit der Steilvorlage meinte ich nur das ihr eventuelle Lücken des Systems hier breit diskutiert, diese Leute sind nicht allmächtig aber verfolgen jede Spur.
Dein Elan in ehren, es ist aussichtslos..niemand rudert mehr zurück…sämtliche Aufregungen wie diese hier werden klar analysiert…no Way Chris, egal was du da von dir gibst..
Game over
News
Einerseits finde ich das hier jetzt mittlerweile richtig gut, denn es wird erklärt und nach Nachfragen bekommt man auch spezifische Antworten, nur andererseits, jeder 2. hier der jetzt umstellt, der wird dann weiterhin ein Smartphone haben und mit Karte bezahlen.
Was glaubt Ihr weshalb wir diese komische Nummer bekommen haben? Angeblich für die Sozialversicherungen…
Weshalb gibt es ab nächstes Jahr Sepa?
Und deshalb wenn wir hier schon auf Sicherheit hinweisen. Nur Bares ist wahres.
Smartphones wenn sie nicht gebraucht werden, ab in die Kammer…
Keine Smartmeter einbauen.
Finanzamt nicht mehr mit der Elster erledigen… etc.
Einfach wieder digital intransparent werden, so gut es geht.
Und jetzt geht es wieder weiter mit Linux 🙂
Irschendwer hatte nach einer Upgrademöglichkeit, also wie man das am schnellsten erledigt, gerufen?
Am besten so:
Man öffne eine Konsole/Shell (sieht aus wie ein MS DOS Fenster)
Man gebe su mit Entertaste bestätgen (superuser=root=Oberchef) und danach das Passwort (wird nicht angezeigt, also nicht vertippen) ein.
Die angezeigte Schrift färbt um von grün oder weiss nach rot.
Jetzt gibst Du nacheinander folgende Befehle ein, dabei warten bis der Befehl abgearbeitet wurde. Es kann auch mal etwas dauern:
apt-get update (Entertaste nicht vergessen)
Dein Mint wird nun zunächst aktualisiert und neuste Pakete der Version angepasst.
Fertig? Dann weiter mit Befehl
apt-get dist-upgrade (Entertaste nicht vergessen)
Jetzt dauert es eine ganze Weile. Wenn Du ab und zu gefragt wirst ob Du etwas behalten willst oder nicht, dann wähle bei Unsicherheit behalten aus.
Installationsreoutine fertig? Schön.
Dann kommt der letzte Schritt. Dateiensperrmüll (Dateien die nicht mehr gebraucht werden. Keine Angst es passiert Nichts) entsorgen. Der Befehl lautet
apt-get autoremove (Entertaste nicht vergessen)
Nach kurzer Zeit ist das Aufräumen auch erledigt. Manchmal gibt es keinen Abfall.
Jetzt kommt noch die Kür!
Wir tippen den Befehl „init 6“ (ohne Gänsefüsse und mit Leerzeichen zwischen Wort und Zahl) ein.
Wer eine Befehlsfolge falsch eintippt erntet einen Error und es passiert nichts.
Das System macht nun einen autoreboot. Und danach sind alle neuen Dateien scharf.
Kleine Hinweise auch hier mittels Suchfunktion http://www.linuxmintusers.de
Natürlich gibt es auch weitere Wege dahin.
Achtung, Achtung: Es kann sein, dass man apt-get dist-upgrade zweimal hintereinander machen muss. Jedenfalls war das bei mir so.
Abgesehen davon, dass ich diese Artikelserie richtig gut finde (Danke Stephan), hab ich hier ’nen semi-topic:
Stranger than Fiction :
„Before Snowden the issue of government spying dwelled in the realm of conspiracy theories. After Snowden the question is not whether there are backdoors but how many. For instance, in 1999 researchers discovered suspicious software labelled “_NSAKEY” in some versions of Microsoft Windows. Anyone who uses such compromised programs will have an anti-virus shield that looks like Swiss cheese.
The most direct evidence of this was offered at the LinuxCon conference held in New Orleans in September 2013 by Linus Torvalds, the creator of the open-source Linux operating system. EWeek.com reports that when Torvalds was asked if he had ever been approached by the United States to insert a backdoor into Linux, he said “no” while [nodding] his head “yes”, as the audience broke into spontaneous laughter.“
http://indrus.in/blogs/2013/10/30/why_the_world_needs_a_new_internet_and_how_it_could_kill_free_speech_30455.html