Kenny83
Anmeldungsdatum: 12. November 2009
Beiträge: Zähle...
|
"Sollte ein Einbrecher Zugang zum Rechner bekommen, so sollte man sich eher Sorgen um die Wertsachen im Haus machen... " was soll dieser Satz (unter "Für wen ist lokale Sicherheit interessant?")? Klar ist es vermutlich für den Privathaushalt schlimmer, dass dann das Sparbuch weg ist...//
Aber das heisst ja noch lange nicht, dass ich es dann nicht beängstigend finden muss, dass der Einbrecher nun meine ganzen privaten Fotos anschauen kann. Geschweige denn, man ist selbstständig und auf dem Rechner liegen fleissig Rechnungen,... rum.
Natürlich wird ein Einbrecher es nicht primär auf meine Daten abgesehen haben, wie dies beim Einbruch in eine Firma wäre, allerdings heisst das nicht, dass es nicht trotzdem schlimm ist, dass der Einbrecher, wenn er nicht völlig doof ist, sich erstmal meine Daten kopiert, bevor er meinen Rechner verschachert. Was denkt ihr zu dem Thema? Wird das in diesem Absatz nicht etwas verharmlost?
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
ich finde nicht das es verharmlost. Zum einen ist wohl davon auszugehen, dass ein Einbrecher die Zeit sinnvoller nutzen würde als Bilder anzuschauen, zum anderen gibt es ein ganz einfaches Sicherheitsprinzip: ist die Festplatte nicht verschlüsselt, so ist derjenige root, der physikalisch davor sitzt. Die meisten Rechner lassen sich von CD/USB Stick starten und haben somit vollen Zugang zum System. BIOS Passwörter lassen sich durch umsetzen eines Jumpers auf dem Mainboard zurücksetzen. Bei einer Firma ist es auch meistens viel einfacher das unverschlüsselte Backup mitzunehmen oder die Putzfrau zu bestechen 😉 Im Endeffekt muss es jeder für sich selbst entscheiden: ist mir der Mehraufwand der Verschlüsselung es wert, den Rechner vor einem Einbrecher zu schützen. Da können wir keine Empfehlungen geben, das muss jeder selbst für sich abwägen. Ach ich denke auch mal, die meisten Einbrecher wären von einem Linux System komplett überfordert.
|
Kenny83
(Themenstarter)
Anmeldungsdatum: 12. November 2009
Beiträge: Zähle...
|
Genau das meine ich.
Klar hockt sich der Einbrecher nicht vor den Rechner. Aber was hindert ihn daran, den Rechner mitzunehmen. Und wenn es nur ist, um ihn zu verkaufen, und wenn er dann daheim ist, ist er doch interessiert, und guggt mal drauf. Klar muss das jeder selbst entscheiden. Für mich klingt der Absatz nur irgendwie nach "also wirklich, wenn einer Einbricht, was machst du dir da Sorgen um deine Daten". Man könnte wenigstens erwähnen, dass es natürlich möglich ist den Rechner mitzunehmen, und die Daten auszulesen. Das Wiki ist an so vielen Stellen wirklich Idiotensicher. Da sollte man hier nicht davon ausgehen, dass sich der Leser "schon denkt" das dies natürlich eine Gefahr ist. Klar muss man dann immernoch abwägen, ob es einem den Mehraufwand für eine Verschlüsslung wert ist. Allerdings, wenn man sich schon bei nem Laptop die Mühe macht, es zu verschlüsseln, kann man auch gleich den Rechner daheim noch verschlüsseln. Ich bin immernoch der Meinung, es wiegt den unbedarften Anwender in Sicherheit (eben weil es für mich irgendwie nach "na, da mach dir lieber Sorgen um was andres" klingt) die einfach nicht da ist. Man sollte zumindest die Risiken erwähnen. Einfach so bearbeiten wollte ich den Artikel jetzt allerdings auch nicht. Vielleicht finden sich ja noch ein paar Mehr, die mitdiskutieren.
|
Chrissss
Anmeldungsdatum: 31. August 2005
Beiträge: 37971
|
Eine Verschlüsselung der Daten birgt auch einige Gefahren. Ein Notebook von mir mit verschlüsseltem LVM lies sich nach einem Suspend-to-ram nicht mehr korrekt wecken. An die Daten bin ich selbst mit ausgebauter Festplatte an einem anderen Rechner nicht mehr gekommen. Daher ja: Man muss die lokale Sicherheit abwägen. Habe ich mehr Angst vor einem Einbrecher der mit hoher Wahrscheinlichkeit nicht an meinen Daten interessiert ist oder vor dem Verlust meiner Daten durch technische Fehler. Eine Verschlüsselung als Selbstzweck ist eher problematisch als sinnvoll.
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
Chrissss schrieb: Eine Verschlüsselung als Selbstzweck ist eher problematisch als sinnvoll.
Dem kann ich nur zustimmen. Ich selbst verschlüssel übrigens nicht mehr (hatte vorher Vollverschlüsselung). Der Grund ist zum Einen, dass mir die Gefahr des Datenverlusts zu groß ist, zum Anderen setze ich meinen Rechner sehr gerne in den Suspend-to-RAM was natürlich die verschlüsselung komplett zerstört.
|
Zombie_im_Bademantel
Anmeldungsdatum: 13. April 2005
Beiträge: 655
|
martingr schrieb: Der Grund ist zum Einen, dass mir die Gefahr des Datenverlusts zu groß ist, zum Anderen setze ich meinen Rechner sehr gerne in den Suspend-to-RAM was natürlich die verschlüsselung komplett zerstört.
Wer saubere Backups fährt, muss sich bzgl. Datenverlust ja mal wirklich keine Sorgen machen. Zum anderen Punkt kann ich nichts sagen, da dass bei mir problemlos funktioniert und ich hier auch zum ersten Mal von Problemen höre. Werd ich mal nachforschen, nicht dass mich dass in bstimmten Hard-/Software-Konstellationen doch betreffen könnte.
|
C-Y-R-U-S
Anmeldungsdatum: 14. Mai 2005
Beiträge: 888
|
Und deine Backups sind dann unverschlüsselt oder verschlüsselt? Merkst du was?
|
Zombie_im_Bademantel
Anmeldungsdatum: 13. April 2005
Beiträge: 655
|
C|Y|R|U|S schrieb: Und deine Backups sind dann unverschlüsselt oder verschlüsselt? Merkst du was?
Verschlüsselt - was ja auch keine Problem darstellt. Denn selbst wenn wirklich mal irgendein obskurer Fehler/eine Fehlbedienung die Systemverschlüsselung brechen sollte, sind die externen Backupmedien davon noch lange nicht betroffen.
|
Chrissss
Anmeldungsdatum: 31. August 2005
Beiträge: 37971
|
daniel.L schrieb: C|Y|R|U|S schrieb: Und deine Backups sind dann unverschlüsselt oder verschlüsselt? Merkst du was?
Verschlüsselt - was ja auch keine Problem darstellt.
Und was ist, wenn du den Schlüssel verlierst? Sicherheit ist ein fließender Prozess. Ich persönlich halte es für fahrlässig Backups zu verschlüsseln. Lieber würde ich die Medien in einen Safe sperren. Dann wären sie - je nach Brandschutz-Klasse des Tresors - sogar vor einem Feuer geschützt.
|
C-Y-R-U-S
Anmeldungsdatum: 14. Mai 2005
Beiträge: 888
|
Aber was ist mit der Paranoia einiger Mitmenschen? "Lieber kriegt keiner meine Daten, bevor sie ein "böser" bekommt." Irgendwie drehen sich solche Diskussionen immer im Kreis.
|
Zombie_im_Bademantel
Anmeldungsdatum: 13. April 2005
Beiträge: 655
|
Chrissss schrieb: daniel.L schrieb: C|Y|R|U|S schrieb: Und deine Backups sind dann unverschlüsselt oder verschlüsselt? Merkst du was?
Verschlüsselt - was ja auch keine Problem darstellt.
Und was ist, wenn du den Schlüssel verlierst? Sicherheit ist ein fließender Prozess. Ich persönlich halte es für fahrlässig Backups zu verschlüsseln. Lieber würde ich die Medien in einen Safe sperren. Dann wären sie - je nach Brandschutz-Klasse des Tresors - sogar vor einem Feuer geschützt.
Wäre es dann nicht angebracht, den Schlüssel im Safe zu deponieren und somit auch von den Vorteilen verschlüsselter Daten/Backups zu profitieren? Und den Schlüssel verlieren? Wer sein Passwort vergisst, hat natürlich Pech gehabt. Ich wage allerdings zu behaupten, dass jmd., der sich nichtmal die Mühe macht, sich ein Passwort zu merken, auch nicht wirklich viel Wert auf die verschlüsselten Daten legt. Da ist eine Verschlüsselung dann in der tat überflüssig. Wer verschlüsselt muss sich natürlich darüber im Klaren sein, dass der Verlust des Passworts oder des Keyfiles einem Totalverlust der Daten entspricht. Wer sich nicht die Mühe macht oder machen will, dem entgegen zu wirken (Kopien der Keyfiles, ausgiebiges trainieren des Passworts, bis es sitzt), der sollte in der Tat nicht verschlüsseln. Das ist aber kein Problem der Verschlüsselung, sondern eines des Nutzers und der Art der Nutzung. Wer es richtig macht, bekommt keine Problem.
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
daniel.L schrieb: martingr schrieb: Der Grund ist zum Einen, dass mir die Gefahr des Datenverlusts zu groß ist, zum Anderen setze ich meinen Rechner sehr gerne in den Suspend-to-RAM was natürlich die verschlüsselung komplett zerstört.
Wer saubere Backups fährt, muss sich bzgl. Datenverlust ja mal wirklich keine Sorgen machen.
Nun ich mache nicht oft genug backups um da sicher zu sein. Fullback jede Woche kann im Zweifelsfall gravierend sein. (Bei einem Hardwaredefekt bin ich bei einer unverschlüsselten Platte in der Lage die Daten wiederherzustellen bzw. an professioneller Stelle wiederherstellen lassen) Zum anderen Punkt kann ich nichts sagen, da dass bei mir problemlos funktioniert und ich hier auch zum ersten Mal von Problemen höre. Werd ich mal nachforschen, nicht dass mich dass in bstimmten Hard-/Software-Konstellationen doch betreffen könnte.
Nein das Problem ist, dass bei Suspend-To-RAM der Schlüssel unverschlüsselt im RAM liegt und somit die ganze Verschlüsselung witzlos ist. Es ist vergleichsweise einfach den Arbeitsspeicher nach einem Schlüssel zu durchsuchen. Er lässt sich einfach erkennen, da er eine gleichmäßige und höhere Entropie hat als der Rest des Speichers. Das Problem besteht nicht nur bei Suspend sondern auch generell nach dem Ausschalten des Rechners (Stichwort Cold-Boot-Attacken)
|
Zombie_im_Bademantel
Anmeldungsdatum: 13. April 2005
Beiträge: 655
|
martingr schrieb: Nein das Problem ist, dass bei Suspend-To-RAM der Schlüssel unverschlüsselt im RAM liegt und somit die ganze Verschlüsselung witzlos ist. Es ist vergleichsweise einfach den Arbeitsspeicher nach einem Schlüssel zu durchsuchen. Er lässt sich einfach erkennen, da er eine gleichmäßige und höhere Entropie hat als der Rest des Speichers. Das Problem besteht nicht nur bei Suspend sondern auch generell nach dem Ausschalten des Rechners (Stichwort Cold-Boot-Attacken)
Ach, die Geschichte war gemeint. Allerdings ist das ein Faktor, der doch eher beim Bedrohungsszenario eine Rolle spielt. Will man sich gegen den Otto-Normal-Gauner schützen, ist man vor Angriffen einfach durch das fehlende Know-How des Gegners geschützt. Will man sich vor staatlichen Stellen schützen, muss man natürlich auch seinen Schutz dementsprechend anpassen. Klar ist natürlich, dass man verloren hat, sobald man Malware auf seinen Rechner lässt, welche uU den RAM auslesen kann. Achja: Dattenrettungsunternehmen können natürlich auch verschlüsselte Daten retten - nur eben verschlüsselt. Technisch gibts da meines Wissens keinen Unterschied zur normalen Datenrettung - die Retter können nur eben nicht sagen, was genau sie da retten.
|
Chrissss
Anmeldungsdatum: 31. August 2005
Beiträge: 37971
|
daniel.L schrieb: Achja: Dattenrettungsunternehmen können natürlich auch verschlüsselte Daten retten - nur eben verschlüsselt. Technisch gibts da meines Wissens keinen Unterschied zur normalen Datenrettung - die Retter können nur eben nicht sagen, was genau sie da retten.
Nein. Ob es unmöglich ist, weiß ich nicht. Aber kippt dir bspw. bei einem verschlüsseltem Archiv ein Bit, dann kannst du es nicht mehr entpacken.
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
daniel.L schrieb: martingr schrieb: Nein das Problem ist, dass bei Suspend-To-RAM der Schlüssel unverschlüsselt im RAM liegt und somit die ganze Verschlüsselung witzlos ist. Es ist vergleichsweise einfach den Arbeitsspeicher nach einem Schlüssel zu durchsuchen. Er lässt sich einfach erkennen, da er eine gleichmäßige und höhere Entropie hat als der Rest des Speichers. Das Problem besteht nicht nur bei Suspend sondern auch generell nach dem Ausschalten des Rechners (Stichwort Cold-Boot-Attacken)
Ach, die Geschichte war gemeint. Allerdings ist das ein Faktor, der doch eher beim Bedrohungsszenario eine Rolle spielt. Will man sich gegen den Otto-Normal-Gauner schützen, ist man vor Angriffen einfach durch das fehlende Know-How des Gegners geschützt. Will man sich vor staatlichen Stellen schützen, muss man natürlich auch seinen Schutz dementsprechend anpassen.
nun ein cold-boot ist so trivial, dass ich nicht davon ausgehen würde, dass ein "normaler Gauner" wenn er an die Daten will, da nicht dran käme.
Klar ist natürlich, dass man verloren hat, sobald man Malware auf seinen Rechner lässt, welche uU den RAM auslesen kann.
sowieso
Achja: Dattenrettungsunternehmen können natürlich auch verschlüsselte Daten retten - nur eben verschlüsselt. Technisch gibts da meines Wissens keinen Unterschied zur normalen Datenrettung - die Retter können nur eben nicht sagen, was genau sie da retten.
Stimmt nicht ganz: ist der Datenblock physikalisch zerstört an dem die Layout Informationen stehen ist alles andere nur noch binärer Müll.
|