Als kleiner Nachtrag: In der CT 3/2012 S. 146 (16.01.2012) gibt es einen Softlink zu einem Script, dass tatsächlich einen Check der Boot-Partition vornimmt, beim ersten Mal eine Signatur anlegt anhand derer sich im Nachhinein Veränderungen des unverschlüsselten Bereichs nachweisen lassen. Als Sicherheitshinweis noch ein Zitat aus dem Artikel:

"Leider ist das alles immer noch nicht wasserdicht. Ein ungesicherter Angriffspunkt ist das BIOS des Notebooks. Alternativ könnte ein beim Start geladenes Kernel-Rootkik die Daten zur Laufzeit so manipulieren, dass alles ganz normal aussieht. Es dürfte aber nicht ganz einfach sein, sich an allen Tests vorbeizumogeln; zumindest erfordert es die Arbeit eines Spezialisten, der ganz genau weiß, was er tut und worauf er es abgesehen hat."

Link: http://www.heise.de/ct/12/03/links/146.shtml

DrScott schrieb:

Happy Penguin schrieb:

Würde man da nicht - genügend Kenntnis vorausgesetzt - am Inhalt des RAM eine Manipulation erkennen können ? Denn da wäre ja der veränderte Inhalt drin, oder ?

Da sind sowieso immer veränderte Werte drin. Sobald z.B. ein Programm die aktuelle Uhrzeit im Speicher hält, Programme, die nicht immer starten: fsck. Hier hängt der Speicher dann auch vom aktuellen Zustand der Platte ab... Da gibt es aber noch unzählige weitere Gründe... Ausserdem: Jedes "normale" Programm ändert den Speicher. Das "gemeine" Programm ist da nicht anders. Von daher also kein Unterschied. Natürlich könnte der gemeine Code eine bestimmte Signatur haben, nach der gesucht werden könnte. Dazu müßte es aber ein weit verbreiteter Angriffscode sein, damit dieser überhaupt erstmal entdeckt werden würde und die Signatur ermittelt werden könnte.

Habe auch Luks bei mir installiert. Habe außerdem den Zugang von USB auf meine registrierten Geräte beschränkt. Bloß was mache ich, wenn sich jemand die Daten der Geräte verschafft und diese durch manipulierte austauscht oder sich damit Zugang verschafft. Besteht eine Möglichkeit, dass ich Drucker, Scanner und USB-Maus auf manuelles einbinden beschränken kann, z. B. durch einen Eintrag in der /etc/fstab?

Und wie kann ich eigentlich bei mir am PC die ExpressCard deaktivieren bzw. was muss ich alles deaktivieren. Hat dazu vielleicht jemand einen hilfreichen Hinweis für mich?