Diskussion Leben mit PRISM, TEMPORA und anderen Schnüfflern...

Wie sicher ist Windows? - WireShark, Port-checks und Aktivitäten...

G'day,

Einfache Antwort: Das muß jeder Windows-User für seine Windows-Kisten alleine herausfinden!

Vorweg, meine Windows-Kiste ist kein Maßstab weil das Teil nicht benutzt wird im Sinne von 'gebrauchen'.
Es dient lediglich dem Zweck bestimmte Sachen auf Windows in einem LAN (Local Area Network) zu testen.

Technische Einzelheiten:
Bei der Testkiste handelt es sich um irgend ein AMD ?? Ghz Quad-Core-alles-auf-einer-Platine-8GB RAM-Computer.
Installiert ist ein Windows 7 Ultimate 64bit (Eng) als Betrübssystem, das sicherstellen soll das ein Windows-Server-2003 R2 Enterprise (?), der manuell in VMware gestartet werden muß, eine dicke MS-SQL-Datenbank am Laufen hält.

Wird die Kiste gestartet passiert vom Standpunkt des gemeinen Betrachters/Users eigentlich nix.

Eigentlich ...


Versuchsaufbau/-ablauf:

Auf einem MacBookPro (i7 quad, 16GB, OSX 10.6.8) wird WireShark in XWindows (Unix-GUI) gestartet und der Filter auf die Totalüberwachung von 192.168.0.99 (die Win-Kiste) gesetzt.
Jetzt wird mit einem geschickten Fußtritt (mit der Hand komm ich da hinten nicht ran ) auf den Schalter die Testkiste gestartet und WireShark beginnt jedes Netzwerkpacket was von und zu der Kiste geht aufzuzeichnen:



Ungefähr bei No. 100 (nicht mehr im Bild) habe ich mich als User eingeloggt und nichts mehr getan.

Davon abgesehen das ich den Router ins Internet Aus/Ein-reseten mußte weil Windows dem einen Bandbreite auffressenden Herzinfarkt verschaffte, setzte sich die Netzwerkaktivität der Testkiste ungehindert fort.

Mich würde brennend interessieren was so alles auf dem Draht/durch die Netzwerkluft passiert wenn ein Windows-PC wirklich benutzt wird...

Zweifellos ist WireShark ein (freies !) Profiwerkzeug für den Netzwerk-Guru der seit Geburt seine Gespräche in Hex-nummern halten konnte ( an meinen Fingern kann ich bis 2 1/2 zählen ) - ABER auch derjenige der einfach nur mal gucken will was so über den Draht geblasen wird sollte in der Lage sein verdächtige Telefonanrufe/Inhalte zu erkennen um alarmiert zu sein.

Wenn man sich nicht sicher ist kann man ja fragen!

Die nächste Frage die von außen zu klären ist: Wie offen ist der Windows-PC?

Nach dem Starten eines PowerBook G4 (PPC, OSX 10.4.11) habe ich Zenmap (XWindows GUI für nmap auf die Testkiste angesetzt:

Ja gucke...


Jetzt wird doch noch mal ein Blick auf die Aktivitäten der Testkiste geworfen an der eigentlich nix gemacht wird (TaskManager etc.) :

Schon erstaunlich...

Also:
Wer sich vor Schnüffeleien im Internet schützen will muß bevor er jede andere vorgeschlagene Maßnahme ergreift untersuchen wie sich sein Windows-PC über einen längeren Zeitraum bei Benutzung so in jedweder Richtung verhält.

Wie schon mal erwähnt, das alles ist eine Empfehlung - ich würde sie allerdings beherzigen.

Good night and good luck!


ZUSATZ:
Die WireShark-Überwachung unbedingt vom Einschalten bis zum Ausschalten durchziehen - meine Testkiste zuckte gerade beim Schlafenlegen und WS war leider nicht mehr an...

Elloh schrieb:

@MacSeal
Sry mein Fehler, habe vergessen abzuklären, dass ich GnuPT für die ganze Verschlüsselungsaktionen und Enigmal im Thunderbird nutze.

Zum Vergrößern anklicken....

Es sei Dir verziehen.

Moin Moin an alle

.. aktuelle News zum Thema : Side Channel Attack: Angriff auf GnuPG über L3-Cache von Intel-CPUs - Golem.de

auch zu finden hier , ... Danke ! @diogenes

mfg McC.

Hi McC.,

Guter Hinweis der unbedingt beachtet werden muß!!!

Aber es steht schon im ersten Satz:

Australische Sicherheitsforscher zeigen einen neuen Angriffsvektor auf Verschlüsselung, die auf virtuellen Maschinen stattfindet.

Zum Vergrößern anklicken....

Auf einer virtuellen Maschine verschlüsseln ist ähnlich als würde man so etwas auf einer Remote-Maschine machen.

Und so etwas tut man einfach nicht und das steht auch in vielen Hinweisen in Bezug auf Verschlüsselung und Fernwartung von Computern.

Zusatz:

Etwas weiter unten wird der Hinweis darauf gegeben das dies bereits in GnuPG gefixed wurde:
http://lists.gnupg.org/pipermail/gnupg-announce/2013q3/000330.html.

Dort steht auch:

First of all, decide whether you really need GnuPG version 1.4.x - most
users are better off with the modern GnuPG 2.0.x version.

Zum Vergrößern anklicken....

GnuPG-Cloud-Test Aufruf!

G'day All,

Oh let the sun beat down upon my face, stars to fill my dream
I am a traveler of both time and space, to be where I have been​

Kashmir, Led Zeppelin​

Vorschlag:
Wir probieren mal ob es mit dem Austausch von verschlüsselten Dokumenten klappt und jeder benutzt dazu, so vorhanden, seinen Cloud-space oder dieses Forum hier (Größenbeschränkungen beachten!).

Ich hoffe die nachfolgende Beschreibung ist einfach genug um nachvollziehbar zu sein.


Ablaufplan:

1. Jeder der sich GnuPG (GPG4win) installiert hat kreiert sich einen eigenen Max Mustermann mit einer Phantasie-Email-Adresse und generiert ein GPG-Schlüsselpaar für ihn wie von mir in diesem Thread schon einmal erläutert.
Die Idee dahinter ist das niemand seinen wahren Namen und/oder Emailadresse preisgeben muß!

Mustermannvorschläge:
Ali Baba (ababa@$$$)
Knut Knutson (k.knutson@$$$)
Bin Laden (bladen@$$$) SCNR
Bin Baden (bbaden@$$$)
Susi Sorglos (s_sorglos@$$$)
Gabi Blond (gblond@$$$)
... bilde selbständig weitere Beispiele...

Domainnamevorschläge ( um $$$ zu ersetzen):
irishpub.arq
coldbeer.dos
ichmagkeinschnaps.moon
und für die Mutigen:
alkaida.insh.vatikan
ak47.qqa
zarbomb.slurp... SCNR - again

2. Jeder sendet den öffentlichen Schlüssel (public key) seines Mustermanns per GPG (GPG4Win) auf den Schlüsselserver <hkp://keys.gnupg.net> und/oder hier als Anhang im Forum als ZIP-Anhang (.asc und .gpg werden nicht akzeptiert!!) mit den nötigen Einzelheiten hinterlegt.

Hier ist mein Max Mustermann (Schlüssel im Anhang zum importieren in/an das eigenen GPG-Schlüsselbund):
Email: 'mmustermann@foo.bar' Long ID: E3430506AD9DE9CA Short ID: AD9DE9CA (für die Suche auf dem key-Server)

Wichtig!: Die Verfügbarkeit des öffentlichen (und nur dieser!!!) Schlüssels muß hier den potentiellen Teilnehmern bekanntgegeben werden!

3. Jeder Teilnehmer präpariert ein oder mehrere Dokumente (Text, Tabelle, Music, Video...) das/die er sobald er die/den öffentlichen Schüssel der/des anderen an seinem Schlüsselbund hat für den/die Empfänger verschlüsseln kann.

- zur Erinnerung GPG basiert auf asynchroner Verschlüsselung: Verschlüsselt wird mit dem öffentlichen Schlüssel des Empfängers; Entschlüsseln kann nur der/die Empfänger mit dem entsprechenden privaten Schlüssel

Für den Fall jemand möchte das Ganze mit mehreren Dokumenten (bevorzugte Herangehensweise!) ausprobieren sollte so wie ich einen speziellen Folder vorbereiten in den er all das hineinpackt:


Sobald der Folder gefüllt ist diesen 'Zippen'

und darauf warten das Interessenten den öffentlichen Schlüssel ihres 'Mustermann' bekannt geben.

4. Nach Erhalt/Bekanntwerden der öffentlichen Schlüssel der Interessenten 'CloudGPGTest.zip' an die Empfänger zu 'CloudGPGTest.zip.gpg' verschlüsseln.

und danach in die eigene Cloud speichern.

5. Den Link zu 'CloudGPGTest.zip.gpg' in der Cloud hier veröffentlichen und die Empfänger dazu auffordern bestimmte Schlüsselworte als Bestätigung der erfolgreichen Entschlüsselung preiszugeben.


Hinweis: In meinem Packet ist nach dem Entschlüsseln für den Empfänger noch ein Osterei zu finden... :grinser
(ein tool für Windows mit dem Hashwerte (MD5) erzeugt werden können ist allerdings dringend angesagt)

AW: Wie sicher ist Windows? - WireShark, Port-checks und Aktivitäten...

MacSeal schrieb:

Einfache Antwort: Das muß jeder Windows-User für seine Windows-Kisten alleine herausfinden!

Zum Vergrößern anklicken....

Und das ist dann auch der gültige Hinweis!

Ich habe heute mal WireShark bis nach dem Abschalten meiner Windows-7U64-Möhre lauschen lassen und der Screenshot zeigt die letzten Eintragungen von dem was passierte als der Win-Bildschirm schon (lange) dunkel war:


Was passiert da? - ICH HABE KEINE AHNUNG.

Ich habe mal willkürlich Packet No 2641 komplett als Textfile gesichert und mit Hilfe von BBEdit den Textteil versucht in etwas lesbares zu verwandeln:


Eigentlich sollte dies hier als Text/Code erscheinen, aber die 'hervorragenden' automatischen Funktionen lassen dann leider u.U. Smilies hopsen....

Hi Elloh,
dass mit dem Pfad hatte ich schon probiert. Allerdings weiß ich nicht mehr ob das mit Kleopatra oder Enigma war. Als ich die Meldungen eben sah, fiel es mir wieder ein. Das einzige Programm, dass ich installiert habe (von dem ich es weiß), welches direkt mit Scripten zu tun hat ist NoScript. Wobei ich denke, dass das nichts damit zu tun hat. Auf mich wirken meine Addons eigentlich ganz unschuldig und normal. Aber nun ja, das Normale, kann so abgründig sein.
Gruß an alle und noch nen schönen Sonntag bzw. Montag für MacSeal

Hi pink96,

...und noch nen schönen Sonntag bzw. Montag für MacSeal

Zum Vergrößern anklicken....

Danke, aber noch habe ich 1 1/2 Stunden Sonntag.

:schwitz Und schon geht der Stress wieder los - mit dem für mich neuen Proggi gpg4win :grr

@pink96
Kann deine Fehlerbeschreibung leider nur zur Hälfte nachvollziehen, das auf Win 64Bit anscheinend einige Funktionen noch nicht ausgereift funktionieren oder gar nicht erst vorhanden sind. Bie mir zB kein Kontextmenüeintrag und generell keine Funktion von Kleopatra :motz Und hängen tut das Prog auch noch unendlich oft bei mir.
Egal...du nutzt dieses Prog jetzt ja, trotz deines ebenfalls 64Bit Systems - also, lass uns mal schauen, ob wir das hinbekommen...ansonsten würde ich dich überreden GnuPT einzusetzen, da es einfach ausgereifter und problemlos läuft.

Dein jetziger 1. Screen aus #107 zeigt eine Inkompatibilität des notwendigen Scriptes für die Passwortphrase. Enigmail kann diese nicht übernehmen. Deshalb schau bitte bei die in den Einstellungen des Schlüsselmanagers von gpg4win in diesem Fenster nach, welche Einstellungen bei dir vorhanden und von meinigen abweichen - dementsprechend anpassen.
Also, zuerst bitte Thunderbird schließen.
Schlüsselmanager (GPA) starten
Wie du richtig vermutest, hat das Browser AddOn "No Script" nichts mit dem Thunderbird zu tun, resp dieses AddOn hat nichts mit dieser Fehlermeldung zu tun.

LG
---------------------------------------------------------------
@MacSeal
Na - du gehst ja ganz schön ab . Langeweile????
Spaß beiseite. Deinem Testlauf schließe ich mich einfach mal an und hoffe dass vllt noch jemand hier mitzieht??? Nun gut. Zu aller erst, ist es natürlich recht blöde mit der Cloud, da diese an eine EMail Addy gebunden ist, somit Rückschlüsse möglich sind/wären.
Folgend der Link zum Download meines gezippten und mit deinem öffentlichen Schlüssel verschlüsselten TestFolder auf meinem "Test SkyDrive".

(Verschlüsselter) Folder - Hashwerte

CRC32: 13C2449E
MD5: 516D74EDA4DCB26E6FCD2BBCF0454EA2
SHA-1: 6A6A473B9BA0597EFD42C80381D8F5D9001D8C74

Darin enthalten ist auch mein öffentlicher TestSchlüssel Diesen hier öffentlich zu posten halte ich für unklug, ebenso das generelle senden an einem Keyserver. Für den Test spielt dies sicherlich keine, ansonsten rate ich davon generell ab. Hier also meine diesbezüglichen Daten, falls sich noch jemand an dem Test beteiligen will

Für die Suche auf dem Keyserver:

hansguckindieluft (Testfahrt) <hgidl@hitze.org>
Key ID: FB9B8A4B

Algorithmus: RSA/RSA
Größe: 4096/4096 Bits
Erstellt: 27.07.2013

------------------------------------------------------------

Ein schönes Rest WE wünsche ich dir und euch, wer immer dies auch liest.
LG

G'day Elloh,

Na - du gehst ja ganz schön ab . Langeweile????

Zum Vergrößern anklicken....

Also Langeweile habe ich ganz bestimmt nicht eher das Gegenteil.

Eigentlich wollte ich mit dem Thread auch ein wenig die Ausdauer von typischen Windows Usern testen wenn es um IT-Sicherheit geht, besonders wenn ihnen bekannt ist das sie massive belauscht werden und ob Angebote/Vorschläge/Hinweise angenommen werden.

Aber es ist schon erfreulich das bei bestimten Leuten trotz HITZ_WE..E das Interesse nicht eingeschlafen ist und trotz Komplikationen hallo6 pink96) mutig weitergemacht wird.

Darüber was Hitze wirklich ist müssen wir aber noch mal diskutieren.

Sofern man sich nicht eine gef..te Cloud (s.h. mit einer derzeit inexistenten EMail) anlegt

Zum Vergrößern anklicken....

Das braucht man doch gar nicht. Diese Fake-Identität nebst extra Schlüsselpaar soll einfach dem verschlüsselten Austausch von Daten über die normale/offizielle Cloud dienen - das ist die Idee (sichere Cloud Nutzung).
Na klar sollte der/die öffentlichen Schlüssel der Mustermänner zwischen den Kommunikationspartnern mit dem offiziellen Schlüssel encrypted übermittelt werden - einfach eine weitere Hürde für die Schnüffler.

Womit wir bei der Verschlüsselung in Kaskaden wären, aber das lassen wir wohl erst mal ruhen...

Ach ja, hier ist Post für Hans-Guck-In-Die_Luft!

So wie das Packet dort liegt hat es diese Merkmale:

MD5: b8d54712ea85687c75499fcde14534d4
SHA-1: f6cf5666ea10f680df55a9a3dd0c3aa833b0ee60
SHA-256: 8b1a0772e296a26b1c0e8ae8694a72457cf6dc123cdc60ff0820f1fd4f78a1d2

So, jetzt gehts aber ab ins Bett.

Good night and good luck!

PS: Das Packet trägt auch eine Unterschrift

Aber es ist schon erfreulich das bei bestimten Leuten trotz HITZ_WE..E das Interesse nicht eingeschlafen ist und trotz Komplikationen hallo6 pink96) mutig weitergemacht wird.

Darüber was Hitze wirklich ist müssen wir aber noch mal diskutieren. :grins

Zum Vergrößern anklicken....

Absolut zustimm und natürlich wirst du ein anderes Verständnis von Hitze haben. Doch abgesehen mal von heute bisher, hätte ich mich gefühlt nicht gewundert, wenn mich beim aus dem Fenster schauen eine Giraffe grinsend begrüßen würde, die sich hier pudelwohl fühlt...so heiß empfand ich es :schwitz

Das braucht man doch gar nicht. Diese Fake-Identität nebst extra Schlüsselpaar soll einfach dem verschlüsselten Austausch von Daten über die normale/offizielle Cloud dienen - das ist die Idee (sichere Cloud Nutzung).

Zum Vergrößern anklicken....

Richtig, in dem Kontext ist es dann auch ok...ginge auch mit einem True Crypt Conatiner, welcher auf der Cloud abgelegt ist, wobei sich dann das Problem mit dem Passwort zum Container neu stellen würde. Aber da gäbe es bestimmt auch Möglichkeiten zum sicheren Austausch dessen.
LG

Elloh,

Richtig, in dem Kontext ist es dann auch ok...ginge auch mit einem True Crypt Conatiner, welcher auf der Cloud abgelegt ist, wobei sich dann das Problem mit dem Passwort zum Container neu stellen würde. Aber da gäbe es bestimmt auch Möglichkeiten zum sicheren Austausch dessen.

Zum Vergrößern anklicken....

Womit wir beim verschlüsseln in Kaskaden wären...

sollte man gesehen haben!

Hi Elloh,
die, so hoffe, ich gute Nachricht zuerst: Habe noch mal an Adele geschrieben und tatsächlich hat das Programm meine Mail entschlüsseln können und es sah alles so aus wie auf den Beispielbildern. Es wurde auch gleich ohne mein zu tun entschlüsselt, also ohne das ich irgendeinen öffentlichen Schlüssel von Adele irgendwo einfügen musste. Warum es plötzlich funktioniert, I don`t no. Die wohl eher schlecht Nachricht ist, bei mir gibt es GPA (weder als Addon noch als Programm oder exe-Datei) nicht. Habe alles abgesucht wo soll das sein? Alles was ich gefunden habe, sieh screenshot. Ich weiß jetzt nicht ob es damit zusammenhängt, aber ich bekomme von diesem Thread keine Nachricht mehr wenn es einen neuen post gibt.
L.G. pink96
P.S.
ich wollte dir gerade eine Nachricht schicken bzw. auf deiner Pinnwand hinterlassen was allerdings nicht geht.Ich wollte dich bitten, mir eine verschlüsselte Mail zu schicken damit ich mal ausprobieren kann ob ich den Schlüssel importieren kann um sie zu entschlüsseln. Ausser Adele kenne ich niemanden den ich mal fragen könnte. Irgendwie bin ich noch nicht überzeugt, dass es tatsächlich mit realen Mails funktioniert. Wenn du das nicht möchtest ist das Ok sag einfach Bescheid.

pink96
erstmal gut, dass es jetzt klappt
Doch, dass ich dir maile, geht so leider nicht, da ich deinen öffentlichen Schlüssel nicht habe/weiß, kann ich dir auch nichts verschlüsselt zusenden. Zudem würde über den DR WINDOWS E-Mail Versand OpenPGP nicht eingebunden sein, sprich ich müsste über die Zwischenablage verschlüsseln, wobei die Entschlüsselung dann etwas komplizierter für dich zu managen wäre. Doch für wen? Ohne öffentlichen Schlüssel desjenigen Empfängers? Du erkennst das eigentliche Problem dabei?

Da ich mir aber testweise einen temporären Account angelegt habe und im Thread auch bereits meinen Testschlüssel nannte, ist es ein leichtes für dich, diesen Schlüssel auf dem Schlüsselserver zu finden und im Thunderbird, reps über Open PGP hinein zu importieren. Nicht verwechseln. Du brauchst den öffentlichen Schlüssel deines Gegenübers um denjenigen, mit dem zugehörigen Schlüssel dann, verschlüsselt zu mailen....oder auch Dokumente/Files nixweiss zu was du dies eben nutzen möchtest) zuzusenden So wird erst ein Schuh daraus.

Wenn du deinen öffentlichen Schlüssel mit an die Mail anhängst, kann/könnte ich dir auch verschlüsselt zurückschreiben. Vllt solltest du auch für diese Testfahrten einen eigenen Testschlüssel generieren, den du danach einfach wieder löschen kannst, wenn deine Tests abgeschlossen sind. Man kann auch mehrere eigene generierte Schlüssel verwalten...diese beißen sich intern also nicht gegenseitig


Zu guter Letzt, der Pfad zu deinem GPA (Schlüsselverwaltung) ist jener/sollte es zumindest sein, denn du nutzt ja GPG4Win...also dieser:
C:\Program Files (x86)\GNU\GnuPG\gpa.exe
wobei, wenn es jetzt in Thunderbird Enigmail funktioniert, ich die Nutzung erst mal außen vor lies, bzw jene Einstellungsmöglichkeiten darin/damit.
LG

--------------------------------------------------------------

@MacSeal
thats important...doch lass uns erst mal bitte die Nutzung von pink96 nachvollziehen, resp helfend unterstützen. Dann können wir gerne dieses wichtige Thema in Angriff nehmen. Hoffe, dies ist auch in deinem Sinne und im Sinne der Mitleser und Mittester
So long
LG

Hi Elloh,
den Schlüssel habe ich erfolgreich herunter geladen. Beim absenden bekomme ich folgende Meldung:

Hi pink96,

"mmusterman@foo.bar" ist mein Dummy (sowas wie ein Crash-Test-Dummy) dessen Emailadresse es vielleicht in der Andromeda-Galaxie gibt aber nicht auf unserem Planeten.

OK, damit Du ein GPG-Erfolgserlebnis zu verzeichnen hasst nimmst Du jetzt einfach den nachfolgenden Kollegen und sendest ihm eine verschlüsselte Mail (Schlüssel ist auf dem Server <hkp://keys.gnupg.net>) und wenn ich ausgeschlafen habe werde ich darauf antworten.

Deine Identität bleibt ein Geheimnis - versprochen!



Good night and good luck.

@MacSeal #105

Okay, ich bin einer dieser blöden Standard-User und möchte den Test gern mitmachen. Wie aber zum Teufel erschaffe ich mir einen Max Mustermann???
Sonst stehen doch oft hier im Forum super genaue Anleitungen selbst für die begriffsstutzigsten Sonderschüler wie meiner einer...

Also ich habe GPG4Win installiert und kann schon mal meine Mails signieren - Hurra!!!!
Dann habe ich etwas gefunden, das Kleopatra heißt. Dort kann ich sogar schon ein Zertifikat einrichten für ein E-Mail-Account, das ich unter Thunderbird eingerichtet habe.
Dann wollte ich mir einen Max Mustermann einrichten, aber... äh, wie soll das sein? War Kleopatra nicht schon mit Julius Caesar zusammen oder war das Pompeius? Fragen über Fragen - Hilfe!! bitte

Hi MacSeal,
habe dir jetzt ne Mail geschickt und zumindest mal keine Fehlermeldung erhalten.:huepfen
Good night!

Hi Frankie08/15,
schön, dass sich ausser mir noch jemand als gemeiner Standard-User outet! Dachte schon bin ganz allein im 08/15 Land.
Gruß pink96