Staatstrojaner: Welche Schutzmaßnahme für Linux

[Moogulator]

Aber das Erkennen eines Angriffs halte ich für sehr machbar.

Ok, wie ?

 

[khz]

@Erkennen eines Angriffs: Ich denke dass dürfte schwer sein oder die Forensiker der Bundesregierung sind schlecht ausgebildet - was ich bezweifle - sonst hätten sie 2015(?) den Einbruch in das Netz der Bundesregierungsrechner schneller bemerkt bzw. erst gar nicht zugelassen.
Ich verwende keine Zeit für tägliche Spurensuche.

Alle Systeme sind gleich einfach zu übernehmen, egal ob Windows, Mac, Linux, Mobile, Router, Fernseher, Auto, ... . Die nutzen alle verfügbaren Systeme und kennen sich damit - mehr oder weniger - aus. Es braucht nur etwas Zeit um den User (Verhalten/Schwerpunkte/...) kennen zu lernen und eine geeignete Lücke/Angriff zu finden.

Ich will mich nicht einsperren um frei zu sein!

Mir ist es fast lieber wenn sie mich - wenn evt. nötig - über das Internet Cracken als dass sie in meine Wohnung einbrechen IMHO.

 

[noir]

Ich denke dass dürfte schwer sein oder die Forensiker der Bundesregierung sind schlecht ausgebildet - was ich bezweifle - sonst hätten sie 2015(?) den Einbruch in das Netz der Bundesregierungsrechner schneller bemerkt bzw. erst gar nicht zugelassen.

Forensiker ist hier der falsche Begriff. Die kommen dann wenns schon zu spät ist. Um so größer die IT wird um so schwieriger wird es diese abzusichern. Der Bund unterscheidet sich dabei nicht von einem Großunternehmen wobei es bei Behörden meistens noch einen Tick fürchterlicher ist da diese einfach zu schlecht bezahlen im Vergleich zur "freien" Wirtschaft. Behörden haben deswegen schon oft die IT zu großen Teilen an Dienstleister outgesourced. Aber auch da sitzen oft nicht grad die Menschen die es bräuchte um die Infrastruktur angemessen zu schützen. Davon abgesehen war der Angriff auf den Bundestag wirklich vergleichsweise trivial. Damit Mimikatz und Pass-The-Hash funktioniert muss man schon einiges falsch machen in der Administration und wenn das auch noch zur Kompromittierung der Domäne führt ohne das jemand was merkt dann ist das schon recht armseelig.

Zurück zum Erkennen von Angriffen. Eine Methode wäre wie schon erwähnt das Auslegen von Ködern (Carnaries genannt). Wenn man weiß wonach Angreifer suchen dann platziert man eben solche Daten. Dinge die mit Passwörtern/Zugangsdaten zu tun haben funktionieren aber immer. Konkretes Szenario:

Du hast ein NAS zur Datenablage. Dort liegt eine Datei: "Archiv/2016/Dokumente/pws.txt". Auf diesem NAS System läuft nun ein Prozess welches den Zugriff auf diese "pws.txt" überwacht. Wenn ein Zugriff erfolgt dann wird ein Alarm ausgelöst, digital oder vielleicht auch ganz Analog mit Licht/Ton. Du musst natürlich dafür sorgen, dass auf diese Datei im Normalfall nicht zugegriffen wird durch Schlangenöl(AV Software), Crawler, Indexer, Backupprozesse etc.

Dies ist nur ein Beispiel und hat einige Schwächen aber ich hoffe dass das Prinzip klar wird.

Weiterspinnen kann man das natürlich auch. In dieser "pws.txt" könnten Zugangsdaten zu anderen Systemen liegen. Auf dem betreffenden System gibt es dann wieder einen Mechanismus der eben auf den Login mit den Zugangsdaten wartet um Alarm zu geben etc.

Ich verwende keine Zeit für tägliche Spurensuche.

Das halte ich auch nicht für zielführend. Wenn dann kann man ab und zu mal stichprobenartig in Logs wühlen oder so.