debianforum.de

Nachtigall, ick hör dir trapsen

Ein alt gewordener Foren-Bär hat wohl gesprochen? Ein Rentner im Seidenanzug, der die ganze Gartenanlage beherrschen möchte. "Neutiere" haben sich unterzuordenen! Oder wie soll man/frau die Nachtigallen des Vorredners vestehen? Nachtigallen trapsen für jeden Schreiber hier ...
Mir egal, es gibt viele interessante Foren. Die Ballonseide der Heckenpolizei muss nicht mehr akzeptiert werden ... es gibt Alternativen!
Schade, dass derzeit versucht wird, dass Rentner, die die momentan existierende Gesellschaft für ihre Kinder und Enkel bereits versaut haben, nochmals regieren wollen.

@TomL: Ich höre Dich und deine gezeugten Generation trapsen ... am Schlimmsten finde ich, wenn eine resignierte Rentner-Heckenpolizei Applaus bei Kindern und Enkeln findet ... ich höre dich und deine "Nachtigallen" auch trapsen ...

… interessant, was und wieviel man aus einem einzelnen geposteten Bilderlink so interpretieren kann. Wär’ ich im Leben nicht drauf gekommen (und, ehrlich gesagt, sehe ich auch jetzt noch keinerlei Zusammenhänge).

Sorry, ich weiß gar nichts, lese nur seit vielen Jahren im Forum mit - und bin immer gespannt, was ein Thread für Dritte bedeuten könnte ... Alles gut!
Recht versehentlich angemeldet hier. Nu ja, ab und und an mal helfen ... ab und an mit Ballonseide rumstreiten. Ich meine, das paast so - nicht jedem - aber mir und dir? Wenn nicht, ist mir das gleichgültig, ich lebe trotz dem gut weiter - und du auch.

Mir ist (vor allem in einem Fachforum) sehr egal, was Nachtigallen passen oder was auch nicht! Geht nicht an Herrn Niemand, igendein anderer hatte mich eben gereizt. Bitte lasst das künftig, ich kann auch ...

uname hat geschrieben:

16.07.2019 08:42:55

Es gab ja vor kurzen eine Diskussion zum Thema, die auch sehr interessant war.
Sehr interessant war auch der Hinweis auf ein Youtube-Video. Interessant vor allen ab 5:50 Minuten.

Wobei wenn man von Anfang an die SSD verschlüsselt hat, kann man sich eigentlch das Video sparen
Nicht ganz. Der Ansatz das Verschlüsselungspasswort auf TPM und LUKS aufzuteilen war sehr intererrsant. Kam irgendwann am Ende.

Hab das Video auch gesehen. Wie müsste man vorgehen um den Header auf den TPM und Bootloader aufzuteilen?
Weiss das jemand?

MSfree hat geschrieben:

16.07.2019 10:45:03

Trollkirsche hat geschrieben:

15.07.2019 17:38:41

Das ist doch direkt schon auf der Hardware implementiert.

Nein, in der Hardware, also in den Flashchips steckt nur der BIOS/UEFI-Code. Ausgeführt werden kann er nur von der CPU und wenn er vorher ins RAM geladen wurde. Beim Laden des Kernels wird aber der BIOS-Code aus dem RAM entfernt und ist danach nicht mehr aktiv.

Den könntest du jedoch kaum erkennen, weil von deinem LAN immer irgendwelcher Traffic rausgeht. Wie soll das auf praktische Weise machbar sein?

Meine Linuxrechner schicken nicht ständig irgendwas ins Internet. Außer beim Booten per DHCP eine IP-Adresse anzufordern, sind die stumm. Netzwerkzugriffe sind alle von mir angestossen, also würde ich selbst ein einzelnes Byte bemerken, solange ich es nicht von mir angefordert wurde. Außerdem kann ich den Netzwerkverkehr, der von meinen Rechnern ins Internet angestossen wurde, in den Logs meines Routers nachvollziehen.

Interessant. Kannst du deine Aussage 100% garantieren oder hast du Quellen für die Aussage, dass sich in den Flashchips nur der Bios/EFI Code befindet?
Falls der Code direkt im EFI implementiert wäre, könnte ja die CPU auch direkt Zugriff auf diesen nehmen.

Ja, aber sobald du irgendwelche Pakete empfängst und beispielsweise ein P2P Netzwerk am Laufen hast, kannst du das leider nicht mehr. Aber mal abgesehen davon :

Welchen Router setzt du ein? OpenWRT oder was proprietäres?

MSfree hat geschrieben:

16.07.2019 11:41:14

jessie hat geschrieben:

16.07.2019 11:17:40

Loggst du inbound und outbound?

Ich logge zunächst einmal alles, was iptables blockiert. Regeln gibt es für inbound und outbound. HTTP(S) geht bei mir nur über squid, wobei ich HTTPS nicht aufbreche. Squid selbst verfügt über eine ganze Reihe von ACLs, die sich bei HTTPS natürgemäß auf Domainnames und IPs beschränken. Squid logt aber jeden Zugriff mit.

Von aussen kommt man bei mir erstmal gar nicht in mein Netz, da ist nichts offen. Allerdings habe ich einen auf Pingpaketen basierten Knockingmechanismus im Router, mit dem ich z.B. einen SSH-Port öffnen kann, so daß ich nach dem Anklopfen mit SSH in mein Netz reinkommen.

Ein ganz nettes Tool, um Netzwerkverkehr im Betrieb zu überwachen, ist iptraf-ng, das ich auch immer wieder einsetze.

Cool, danke!

jessie hat geschrieben:

16.07.2019 11:49:27

MSfree hat geschrieben:

16.07.2019 11:41:14

Ein ganz nettes Tool, um Netzwerkverkehr im Betrieb zu überwachen, ist Debianiptraf-ng, das ich auch immer wieder einsetze.

Danke für die Antwort! Letzte Frage (also vorerst ): Betreibst du einen (Mini-) Server für Dauerüberwachung mit iptraf-ng?
(Ich überlege das auch - ohne bisher zu einer sinnvollen Entscheidung wegen Nutzen vs. Energieverbrauch zu kommen. Netflow und ntopng hatte ich im Forum ergebnislos angefragt, dann flüchtig selbst ein Ergebnis erzielt.

Äh - OT dürfte diese Unterhaltung nicht sein?

Falls du eine Routerhardware benötigst, würde ich dir definitiv zu den APU Boards mit Coreboot raten. Sehr effiziente Dinger und kompetenter Hersteller den ich persönlich kenne.

Bis dann,

MSfree hat geschrieben:

16.07.2019 12:13:51

jessie hat geschrieben:

16.07.2019 11:49:27

Betreibst du einen (Mini-) Server für Dauerüberwachung mit iptraf-ng?

Nein, ich setze iptraf gezielt ein, vor allem in Verdachtsfällen.

Davon abgesehe ist mein Router mit einem Celeron N3450 ausgestattet. Das Ding ist sowas von übermotorisiert, daß man damit noch jede Menge nebenher machen kann, und das bei 4.7W Stromverbrauch.

Äh - OT dürfte diese Unterhaltung nicht sein?

Naja, es driftet ein wenig ab. Aber der OP hatte ohnehin nur Verschwörungstheorien im Kopf als er den Thread gestartet hat.

Naja in erster Linie habe ich Sicherheitsbedenken. Was in Zeiten der Massenüberwachung und Unternehmen auch berechtigt ist, wie ich finde. Snowden ist ja auch kein Aluhutträger.

Ich bin aber froh das es hier Leute mit gutem technischen Wissen gibt, die einen aufklären können. Dennoch bin ich mir sicher, die Typen an der Macht möchten die Totalkontrolle. Warum sonst überhaupt einen IP Stack ins EFI integrieren? Warum Tr-069 Protokoll? Alles nur lieb gemeint? *Aluhut aufsetz und weg*

Trollkirsche hat geschrieben:

16.07.2019 15:19:18

Falls der Code direkt im EFI implementiert wäre, könnte ja die CPU auch direkt Zugriff auf diesen nehmen.

Der Code ist direkt im EFI implementiert, es ist aber nur Code. Solange der nicht ausgeführt wird, passiert damit rein gar nichts. Auch eine Datei mit Emotet auf der SSD bewirkt absolut gar nichts, solange sie nicht ausgeführt wird. Die CPU muß also erstmal den Code aktiv aus den Flashchips ins RAM laden. So funktionieren PCs nunmal.

Etwas anders sähe die Sache aus, wenn eine "versteckte" zweite CPU auch dem Board stecken würde, die sich um das Ausführen von Schadcode kümmert. Sowas macht bisher aber nur Apple, die einen ARM zusätzlich zur Intel-CPU auf dem Mainboard haben, mit dem sie den Touchbar ansteuern. Aber selbst Apple würde ich keine Verschwörung unterstellen, denn auch die haben eine Ruf zu verlieren.

Ja, aber sobald du irgendwelche Pakete empfängst und beispielsweise ein P2P Netzwerk am Laufen hast

P2P setze ich nicht ein, ich habe keinen Bedarf an Post von dubiosen Abmahnanwälten.

Welchen Router setzt du ein? OpenWRT oder was proprietäres?

Debian Stretch ohne GUI.

MSfree hat geschrieben:

16.07.2019 16:06:22

Der Code ist direkt im EFI implementiert, es ist aber nur Code. Solange der nicht ausgeführt wird, passiert damit rein gar nichts. Auch eine Datei mit Emotet auf der SSD bewirkt absolut gar nichts, solange sie nicht ausgeführt wird. Die CPU muß also erstmal den Code aktiv aus den Flashchips ins RAM laden. So funktionieren PCs nunmal.

Ja das leuchtet ein. Wäre es aber in diesem Szenario nicht möglich, dass über die CPU selbst der Aufruf an den Flashchip mit dem Code weitergegeben wird oder sind die CPU soweit offen als das man weiss, was sich alles darin befindet?

MSfree hat geschrieben: Etwas anders sähe die Sache aus, wenn eine "versteckte" zweite CPU auch dem Board stecken würde, die sich um das Ausführen von Schadcode kümmert. Sowas macht bisher aber nur Apple, die einen ARM zusätzlich zur Intel-CPU auf dem Mainboard haben, mit dem sie den Touchbar ansteuern. Aber selbst Apple würde ich keine Verschwörung unterstellen, denn auch die haben eine Ruf zu verlieren.

Je nach Bedrohungsmodell. Wenn es notwendig wäre, zb. für die "nationale Sicherheit", kann ich mir schon vorstellen das der Ruf dann nicht mehr eine so grosse Rolle spielt. Bei einem Snowden könnte ich mir das schon vorstellen. Aber gut ist Snowden kein Apple Benutzer.

MSfree hat geschrieben:P2P setze ich nicht ein, ich habe keinen Bedarf an Post von dubiosen Abmahnanwälten.

Kommt drauf an ob das Peer2Peer Netzwerk verschlüsselt.

Msfree hat geschrieben:Debian Stretch ohne GUI.

Warum nicht das darauf ausgelegte OpenWrt?

@Trollkirsche: Ein paar Worte von mir zum Thema...

Ich bin aber froh das es hier Leute mit gutem technischen Wissen gibt, die einen aufklären können. Dennoch bin ich mir sicher, die Typen an der Macht möchten die Totalkontrolle.

Erstens: Solche Diskussionen wie hier im Thread werden unsachlich, sobald jemand den saublöden Begriff "Alu-Hut-Träger" verwendet. In der Post-Snowden-Zeit müßte jedem klar sein, dass unsere kühnsten Befürchtungen wahr sind.

Zweitens: Ich bin davon überzeugt, dass unsere Hardware längst unterminiert ist. Das ist ein Gebot der Intelligenz.

Drittens: Diese Unterwanderung ist nicht nur negativ. Terrorismus und perverse Darknet-Geschäfte können damit aufgedeckt werden.

Viertens: Aber natürlich sind die "Guten" leider manchmal auch die "Bösen"...

Fünftens: Wenn jemand wirklich unbespitzelt kommunizieren möchte, dann tut er das nicht über Kindereien wie Tor u.ä. Er tut es wie die alten Chinesen unter der Mandschu-Diktatur. Er benutzt einen normalen Browser und redet über Kochrezepte, Hundezucht, Orchideensorten etc. Dig It?

Trollkirsche hat geschrieben:

16.07.2019 15:42:50

Naja in erster Linie habe ich Sicherheitsbedenken. Was in Zeiten der Massenüberwachung und Unternehmen auch berechtigt ist, wie ich finde.

Ich habe keine Angst vor Überwachung. Die Logs meines Routers zeigen mir ziemlich deutlich, wo die potentiellen Angreifer herkommen und das ist hauptsächlich Fernost und die bekommen von meinem Router ein freundliches "permission denied" als Antwort.

Dennoch bin ich mir sicher, die Typen an der Macht möchten die Totalkontrolle.

Klar wollen die das. Sie werden aber glücklicherweise durch die Verfassungsgerichte immer wieder auf den Boden der Tatsachen geholt.

Warum sonst überhaupt einen IP Stack ins EFI integrieren?

Bestimmt nicht zur Überwachung. Du kannst damit ein UEFI/BIOS-Update durchführen, ohne ein OS installiert zu haben. Für die überwältigende Mehrheit an Hardware gab es nämlich früher BIOS-Upgrades nur über DOS oder Windows, was bei Rechnern, auf denen nur Linux installiert war, ziemlich lästig war. Inzwischen kann man Update auch direkt über das Netzwerk oder auch über USB-Sticks direkt vom UEFI aus einspielen.

Warum Tr-069 Protokoll?

Auch das war nicht zur Überwachung gedacht. Eigentlich war es dazu gedacht, damit die Internetprovider Updates für die von ihnen zur Verfügung gestellten Router einspielen konnten. Daß diese Implementierung Sicherhetslücken hatte, die auch aktiv ausgenutzt werden, ist eine andere Sache.

Klar, AVM mach es bei ihren Fritzboxen ein wenig anders. Da schaut die Fritzbox aktiv nach Updates, lädt sie runter und spielt sie ein. Meinst du wirklich, daß das Verfahren besser als TR-69 ist? Wenn ein Schlapphut so einen Anschluß mit Fritzbox übernehmen wollte, könnte er die IP-Adrese des AVM-Servers, auf dem die Fritte ihre Updates sucht, fälschen, die Anfragen also auf einen Server beim BSI umbiegen und eine manipulierte Version der Fritzboxsoftware einspielen lassen.

Klar wollen die das. Sie werden aber glücklicherweise durch die Verfassungsgerichte immer wieder auf den Boden der Tatsachen geholt.

sancta simplicitas.

rockyracoon hat geschrieben:

16.07.2019 16:26:26

@Trollkirsche: Ein paar Worte von mir zum Thema...

Ich bin aber froh das es hier Leute mit gutem technischen Wissen gibt, die einen aufklären können. Dennoch bin ich mir sicher, die Typen an der Macht möchten die Totalkontrolle.

Jain.

Erstens: Solche Diskussionen wie hier im Thread werden unsachlich, sobald jemand den saublöden Begriff "Alu-Hut-Träger" verwendet. In der Post-Snowden-Zeit müßte jedem klar sein, dass unsere kühnsten Befürchtungen wahr sind.

Zweitens: Ich bin davon überzeugt, dass unsere Hardware längst unterminiert ist.

Drittens: Diese Unterwanderung ist nicht nur negativ. Terrorismus und perverse Darknet-Geschäfte können damit aufgedeckt werden.

Viertens: Aber natürlich sind die "Guten" leider manchmal auch die "Bösen"...

Fünftens: Wenn jemand wirklich unbespitzelt kommunizieren möchte, dann tut er das nicht über Kindereien wie Tor u.ä. Er tut es wie die alten Chinesen unter der Mandschu-Diktatur. Er benutzt einen normalen Browser und redet über Kochrezepte, Hundezucht, Orchideensorten etc. Dig It?

Ja leider. Das Aluhut Argument kommt leider oft. Es ist vermutlich einfach cool den rationalen zu spielen und Sicherheitsbedenken in das Reich der Fantasie zu befördern.

Unterwanderung bleibt Unterwanderung. Es ist falsch den Menschen das Gefühl zu geben, permanent bespitzelt zu werden aufgrund ein paar Kriminellen. Wo endet es dann? Ist es legitim, bei dir zuhause ohne richterlichen Beschluss aufgrund irgendwelcher Verdachtsmomente (zb. der Nachbar, der dich nicht mag) das eigene Heim verwanzen zu dürfen und das von der Verfassung garantierte Recht auf Privatsphäre ad absurdum zu führen?

Wer nicht weiss ob er bespitzelt wird, der wird sich in jedem Falle anders verhalten und die Schere bereits im Kopf selbst ansetzen. So kann eine Gesellschaft keine neuen Ideen entwickeln und Kreativität wird schlicht abgewürgt. Was man damit erzeugt ist ein Herdenmensch der mit der Masse mitläuft und nicht zu neuen Gedanken fähig ist.

die Massenüberwachung hat viel grössere Reichweite als wir uns das überhaupt vorstellen können.

Wir brauchen Open Hardware, so oder so.

MSfree hat geschrieben:Klar wollen die das. Sie werden aber glücklicherweise durch die Verfassungsgerichte immer wieder auf den Boden der Tatsachen geholt.

Die 2500 Mitglieder des Finanzkartells kennen keine Gesetze und Restriktionen. Sie sind die Gesetze, die immer nur für dich gelten.

Das Video wurde zwar schonmal hier von jemandem gepostet, aber ich veröffentliche es nochmal :
https://vimeo.com/195446463

A Working Class Hero Is Something To Be... https://www.youtube.com/watch?v=iMewtlmkV6c

rockyracoon hat geschrieben:

16.07.2019 18:59:01

A Working Class Hero Is Something To Be... https://www.youtube.com/watch?v=iMewtlmkV6c

Wow, das ich das nicht kannte.

Danke dir, mein Freund.

Trollkirsche hat geschrieben:

16.07.2019 16:42:52

Wir brauchen Open Hardware, so oder so.

Wir als Menschen sind sowohl Natur- als auch Gesellschaftswesen. Wir brauchen eine Gesellschaft, die die Natur und uns Menschen als Naturwesen achtet, d.h. common goods. "Open hardware" würde nämlich "open resources" voraussetzen. Gemäß dem, was schon in "Global 2000" stand und was auf der Agenda der "Fridays For Future - Bewegung" steht, haben wir allerdings nicht mehr viel Zeit.
Ich fände es gut, wenn Du etwas mehr zu Deinen Visionen der "Open Hardware" schreiben würdest. Ggf. auf einen public pad, so dass sich weitere Visionäre und Interessierte daran beteiligen können?