[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Debian haerten ?

Hallo Gerhard,

> Es geht zb. um folgende Problemstellung:
> 
> einige Journalsten (und moeglicherweise auch Anwaelte) moechten einen 
> abhoersicheren Kommunikationskanal zu Informanten / Mandanten. Dies 
*snip*

Sorry, gibt es nicht. Am allerwenigsten bei der IT. Wenn Du was zwecks
verschlüsselter Telefonverbindung suchst, dann schau Dir mal die
LineCrypt-Palette der T-TeleSec an. Die bieten von GSM-Handyverschlüsselung;
S2M-, ISDN- und Analog-Verschlüsselung und LAN-Verschlüsselung untereinander
kompatible Produkte an. Rhode & Schwarz (ehemals Siemens) ebenfalls. Diese
Lösungen sind zertifiziert und kommen auch bei Behörden zum Einsatz.
Nachteil: Umständlich und nicht ohne Kosten.
> 
> Eine der groessten Sicherheitsluecken besteht beim Server: wenn der 
> Admin nicht als absolut zuverlaessig gelten kann und eine regelmaessige 
> / permanente Ueberwachung des Servers besteht.

Dann schau Dir mal http://www.nsa.gov/selinux/ an. Was man davon halten
kann, überlasse ich jedem selber. Ich würde jedenfalls die Finger davon
lassen. Ansonsten schau Dir einfach mal das Paket bastille an:
http://www.bastille-linux.org/ Das gibts sogar für Debian im stable-,
testing- und unstable-Zweig. Oder http://www.trusteddebian.org/
(deutschsprachige Informationen unter
http://www.kefk.net/Linux/Distributionen/Firewall-Router/Trusted-Debian/index.asp)

> Administrator (als Angestellten eines Providers, der sich im Zweifel 
> ueber einen unversteuerten Nebenverdienst freut) oder hackt sich in das 
> System.

Dieses Problem wirst Du immer haben. Untersuchungen von
PriceWaterHouseCoopers und anderen Wirtschaftsprüfungsunternehmen gehen von
80% Innentäter im Bereich Wirtschaftskriminalität aus. Ich glaube kaum, das
der Prozentsatz im IT-Bereich niedriger anzusetzen ist.

> Vor eniger Zeit hatten wir auch einen Spiegel-Bericht zur 
> Industriespionage: betroffene Unternehmen, deren Patente vor der 
> Anmeldung auf "unerklaerlichen Wegen" die Konkurrenz erreichten, haben 
> z.T. jeglichen elektronischen Verkehr deshalb abgestellt.

Ohne email arbeitet es sich manchesmal auch wesentlich effizienter... ;-)

> Die Variante "zuverlaessiger, unbestechlicher, unermuedlicher 
> Administrator" ist so ziemlich die teuerste, die man sich vorstellen 
> kann (sieht uebers Jahr gerechnet nach einem 6-stelligen Etat aus).

Wenn der Admin sich mit der Firma identifiziert und glücklich fühlt, kommst
Du meist auch mit weniger aus.

> Wenn eine solche Blackbox zb. im Rythmus von 1 - 2 Monaten upgedatet 
> wird, wobei der Vorgang des Updates ebenfalls vollstaendig der 
> Ueberwachung unterliegt (dem Operator keine weiteren Moeglichkeiten zum 
> Eingriff bietet), dann waere dies eine vergleichsweise pflegeleichte 
> Variante.

Wer überwacht da eigentlich wen??? *Kopfkratz* Wer sichert Dir zu, das nicht
einer von der Mafia bezahlter Entwickler ein kleines "Feature" in sein
Programmpaket eingebaut hat was noch keiner entdeckt hat? Nur so ein Gedanke
weil wir gerade beim paranoidschen denken waren...
> 
> Oder ein System, das wie Knoppix von CD laeuft, und damit Veraenderungen 
> weitestgehend ausschliesst.

Schau Dir mal Sina von Secunet an:
http://www.secunet.de/content.php?ln=1&text=k_sina und
http://www.rwtuev.de/d/1179/archiv_eid_is_/
Die einzigen "Black-Boxen" die ich eigentlich kenne und eine Zulassung
haben. Aber hier haben wir den Nachteil: Teuer 
> 
> Mir scheint, dass es hier durchaus noch unblutige Moeglichkeiten gibt 
> (also ohne Administratorerschiessung) , mit einem solchen Auftrag ans 
> Ziel zu kommen.

Ja, trenn die Ethernetverbindung des Servers mit einer Axt, bau die
Grafikkarte (wenn vorhanden) aus, etc. :-)
> 
Gruß
Olli
Reply to: