Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Uniscon: "Für die Sealed Cloud…

Bauernfängerei!

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Bauernfängerei!

    Autor: Anonymer Nutzer 18.12.12 - 16:31

    Laut Beschreibung liegen die Daten während des Zugriffs _unverschlüsselt_ auf dem Server vor! Es ist den Mitarbeitern des Rechenzentrums also doch möglich auf die Daten zuzugreifen - sie müssen halt nur warten bis der Nutzer auf sie zugreift!

    Eine sichere Lösung würde die Daten auf dem _Endgerät_ ver- und ent-schlüsseln! Es würden nur verschlüsselte Daten über die Leitung gehen und auch nur verschlüsselte Daten auf dem Server liegen... die Passwörter würden _niemals_ im Rechenzentrum liegen. DANN hätten die Mitarbeiter des Rechenzentrums keinen Zugriff (bzw. nur auf die verschlüsselten Daten).

    Wen wollen die damit eigentlich hinters Licht führen?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Bauernfängerei!

    Autor: F.A.M.C. 18.12.12 - 16:34

    Kann man Daten im RAM auch verschlüsseln?! Damit da kein Zugriff möglich ist, haben die doch den physischen Zugang "gesperrt". Oder versteht ich was falsch? o_O

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Bauernfängerei!

    Autor: developer 18.12.12 - 16:44

    Versuchsperson schrieb:
    --------------------------------------------------------------------------------
    > Laut Beschreibung liegen die Daten während des Zugriffs _unverschlüsselt_
    > auf dem Server vor! Es ist den Mitarbeitern des Rechenzentrums also doch
    > möglich auf die Daten zuzugreifen - sie müssen halt nur warten bis der
    > Nutzer auf sie zugreift!

    Lies doch einfach den Text nochmal warum das eben nicht so einfach geht.
    Du scheinst die hälfte nicht gelesen oder nicht verstanden zu haben.

    >
    > Eine sichere Lösung würde die Daten auf dem _Endgerät_ ver- und
    > ent-schlüsseln! Es würden nur verschlüsselte Daten über die Leitung gehen
    > und auch nur verschlüsselte Daten auf dem Server liegen... die Passwörter
    > würden _niemals_ im Rechenzentrum liegen. DANN hätten die Mitarbeiter des
    > Rechenzentrums keinen Zugriff (bzw. nur auf die verschlüsselten Daten).

    Schreib sie doch an und erklär ihnen warum ihr konzept unsicher ist.
    Ich bin mir sicher, dass sie bei dem Aufwand für "kompetente" Hinweise dankbar sind wie sie das noch sicherer machen können.

    >
    > Wen wollen die damit eigentlich hinters Licht führen?

    Vermutlich Leute die vor dem Licht sind.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Bauernfängerei!

    Autor: dura 18.12.12 - 17:05

    developer schrieb:
    --------------------------------------------------------------------------------
    > Versuchsperson schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Laut Beschreibung liegen die Daten während des Zugriffs
    > _unverschlüsselt_
    > > auf dem Server vor! Es ist den Mitarbeitern des Rechenzentrums also doch
    > > möglich auf die Daten zuzugreifen - sie müssen halt nur warten bis der
    > > Nutzer auf sie zugreift!
    >
    > Lies doch einfach den Text nochmal warum das eben nicht so einfach geht.
    > Du scheinst die hälfte nicht gelesen oder nicht verstanden zu haben.
    >

    Der Text lässt aber noch einige Fragen ungeklärt.
    Was ist, wenn ich es schaffe einen Server vom Netz zu trennen, bekomme ich das Rack schneller auf? Was ist, wenn ich die Stromversorgung unterbreche? Evt. kann ich den RAM dann bei gleichzeitiger starker Kühlung doch auslesen...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Bauernfängerei!

    Autor: developer 18.12.12 - 18:10

    dura schrieb:
    --------------------------------------------------------------------------------
    > developer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Versuchsperson schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Laut Beschreibung liegen die Daten während des Zugriffs
    > > _unverschlüsselt_
    > > > auf dem Server vor! Es ist den Mitarbeitern des Rechenzentrums also
    > doch
    > > > möglich auf die Daten zuzugreifen - sie müssen halt nur warten bis der
    > > > Nutzer auf sie zugreift!
    > >
    > > Lies doch einfach den Text nochmal warum das eben nicht so einfach geht.
    > > Du scheinst die hälfte nicht gelesen oder nicht verstanden zu haben.
    > >
    >
    > Der Text lässt aber noch einige Fragen ungeklärt.

    Ja leider haben sie vergessen das Masterpasswort anzugeben, dass wir uns selbst einen Eindruck machen können wie sicher es ist.

    > Was ist, wenn ich es schaffe einen Server vom Netz zu trennen, bekomme ich
    > das Rack schneller auf? Was ist, wenn ich die Stromversorgung unterbreche?
    > Evt. kann ich den RAM dann bei gleichzeitiger starker Kühlung doch
    > auslesen...

    Jo klar mal eben unauffällig ein paar Lieter flüssigen Stickstoff in den/die Server kippen, schnell die Ramriegel rausreisen, und zwar genau dann wenn man weiß dass der user auch online ist.
    Natürlich bei allen parallel da man ja nicht genau weiß auf welchem Rechner die daten gerade liegen.

    Die Kabel hacken wir am besten durch, und wir sprengen das Notstrom Agregat.
    Bei derart läppischen Sicherheitsvorkehrungen haben die sicher auch kein USV mit eingebaut.

    Das fällt auch bestimmt kaum auf und man kann dann bequem mit den Daten nach drausen marschieren.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Bauernfängerei!

    Autor: dura 18.12.12 - 18:59

    developer schrieb:
    --------------------------------------------------------------------------------
    > dura schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > developer schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Versuchsperson schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > Laut Beschreibung liegen die Daten während des Zugriffs
    > > > _unverschlüsselt_
    > > > > auf dem Server vor! Es ist den Mitarbeitern des Rechenzentrums also
    > > doch
    > > > > möglich auf die Daten zuzugreifen - sie müssen halt nur warten bis
    > der
    > > > > Nutzer auf sie zugreift!
    > > >
    > > > Lies doch einfach den Text nochmal warum das eben nicht so einfach
    > geht.
    > > > Du scheinst die hälfte nicht gelesen oder nicht verstanden zu haben.
    > > >
    > >
    > > Der Text lässt aber noch einige Fragen ungeklärt.
    >
    > Ja leider haben sie vergessen das Masterpasswort anzugeben, dass wir uns
    > selbst einen Eindruck machen können wie sicher es ist.
    >
    > > Was ist, wenn ich es schaffe einen Server vom Netz zu trennen, bekomme
    > ich
    > > das Rack schneller auf? Was ist, wenn ich die Stromversorgung
    > unterbreche?
    > > Evt. kann ich den RAM dann bei gleichzeitiger starker Kühlung doch
    > > auslesen...
    >
    > Jo klar mal eben unauffällig ein paar Lieter flüssigen Stickstoff in
    > den/die Server kippen, schnell die Ramriegel rausreisen, und zwar genau
    > dann wenn man weiß dass der user auch online ist.
    > Natürlich bei allen parallel da man ja nicht genau weiß auf welchem Rechner
    > die daten gerade liegen.
    >
    > Die Kabel hacken wir am besten durch, und wir sprengen das Notstrom
    > Agregat.
    > Bei derart läppischen Sicherheitsvorkehrungen haben die sicher auch kein
    > USV mit eingebaut.
    >
    > Das fällt auch bestimmt kaum auf und man kann dann bequem mit den Daten
    > nach drausen marschieren.


    Naja, wenn das alles so speziell wäre, dann würden Sie das mit erst runterfahren, dann Türe öffnen nicht machen. Ich halte das zwar für eine gute Idee, aber wenn Sachen im RAM sind, dann liegen die unverschlüsselt vor und man kommt ran.
    Vielleicht nur mit riesigen Aufwand, aber wenn es zum Beispiel um hoch geheime Daten geht, dann kann sich das schon lohnen. Ebenso kommt die Polizei dann an die Daten. Das mit der USV kann man vorbereiten wenn der Schrank offen ist und sie dann im entscheidenen Moment (wie auch immer) lahmlegen.
    Es wird hier einfach der Eindruck erweckt es wäre schlicht nicht möglich an die Daten zu kommen, was nicht stimmt.

    Herauszubekommen wo der User sich anmeldet dürfte nicht so schwer sein. Entweder lässt sich das direkt in einer GUI herausfinden oder über so einfach mittel wie die IP-Adresse.

    Außerdem wären die Daten vermutlich auch nicht vor MITM geschützt.

    (Alle diese Punkte wären bei lokaler Ver/Entschlüsselung kein großes Problem)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Bauernfängerei!

    Autor: Casandro 19.12.12 - 07:51

    Naja, eines der großen Probleme ist, dass die Endgeräte alles andere als sicher sind. Da hat man Zwangssoftware drauf, die unnötig komplex für die Anwendung ist, und die noch nicht mal im Quellcode verfügbar ist.

    Vermutlich kann man das System durch einen Bug im iOS-Browser komplett umgehen und kommt an die unverschlüsselten Daten dran.

    Wenn man das schon machen wollte, so würde man eine Art Terminal mit Verschlüsselung machen. Dieses Terminal würde dann nur verschlüsselt und nur mit den Servern kommunizieren. Idealerweise würde die Terminalsoftware mit Betriebssystem aus weniger als 1000 Zeilen Code bestehen, so dass es unwahrscheinlich ist, dass ein Fehler drin ist. Das gleiche gilt für das Softwareteil das die Verschlüsselung macht.
    Für das GSM-Modul kann man dann kommerziell verfügbare Module verwenden. Da diese niemals unverschlüsselte Daten zu Gesicht bekommen ist da die Sicherheit nicht so relevant.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Bauernfängerei!

    Autor: flow77 19.12.12 - 10:35

    Stromversorgung unterbrechen und gleichzeit Stickstoff reinkippen?

    Wer wirklich seine Daten in die Cloud speichern möchte, der muss damit leben dass irgendwo Server stehen, wo Leute ggf. Eimer mit Stickstoff in der Besenkammer stehen haben.
    Wer wirklich ein Problem damit hat sollte seine Daten zu Hause, verschlüsselt auf seinem eigenen NAS haben.

    Die technische Hürde is bei dieser Cloud Lösung wohl sehr hoch. Warum muss man dann trotzdem noch aus Zwang über Dinge Diskutieren und schlecht reden, wo einfach noch Details vom Anbieter fehlen?

    Ich sage zu dem Ganzen erstmal, hört sich gut an. Aber ich warte auf die finale Spezifikation des Ganzen.

    dura schrieb:
    --------------------------------------------------------------------------------
    > developer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Versuchsperson schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Laut Beschreibung liegen die Daten während des Zugriffs
    > > _unverschlüsselt_
    > > > auf dem Server vor! Es ist den Mitarbeitern des Rechenzentrums also
    > doch
    > > > möglich auf die Daten zuzugreifen - sie müssen halt nur warten bis der
    > > > Nutzer auf sie zugreift!
    > >
    > > Lies doch einfach den Text nochmal warum das eben nicht so einfach geht.
    > > Du scheinst die hälfte nicht gelesen oder nicht verstanden zu haben.
    > >
    >
    > Der Text lässt aber noch einige Fragen ungeklärt.
    > Was ist, wenn ich es schaffe einen Server vom Netz zu trennen, bekomme ich
    > das Rack schneller auf? Was ist, wenn ich die Stromversorgung unterbreche?
    > Evt. kann ich den RAM dann bei gleichzeitiger starker Kühlung doch
    > auslesen...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Bauernfängerei!

    Autor: Ekelpack 19.12.12 - 10:50

    *seufz*

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Bauernfängerei!

    Autor: developer 19.12.12 - 12:27

    flow77 schrieb:
    --------------------------------------------------------------------------------
    > Stromversorgung unterbrechen und gleichzeit Stickstoff reinkippen?

    Selbst wenn du das Kabel abkaust: http://de.wikipedia.org/wiki/Unterbrechungsfreie_Stromversorgung die Dinger fahren dann kontrolliert runter.

    >
    > Wer wirklich seine Daten in die Cloud speichern möchte, der muss damit
    > leben dass irgendwo Server stehen, wo Leute ggf. Eimer mit Stickstoff in
    > der Besenkammer stehen haben.

    Selbst wenn sie das haben was mehr als grotesk wäre könnte ein abruptes runterkühlen auf die nötige Temparatur vermutlich feinen strukturen in der Hardware durch die auftretenden Physikalischen Spannungen zerlegen.

    Zumal du das runterkühlen schon vor dem Abschalten des Stroms machen müsstest.
    Usw. Das ist vermutlich mehr ein lustiges Nerd Gedankenspiel als ein praktilabler Angriff.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige
  1. Senior SAP Solution Inhouse Consultant (m/w)
    Leica Camera AG, Wetzlar
  2. Anwendungs- und Softwareberater/in SAP-Stammdatenprojekte
    Robert Bosch GmbH, Stuttgart-Feuerbach
  3. IT-Berater (m/w) - Netzwerke und Systeme / Cisco
    Lufthansa Industry Solutions AS GmbH, Hamburg
  4. E-Commerce Manager - eCare & Portale (m/w)
    M-net Telekommunikations GmbH, München

Detailsuche



Top-Angebote
  1. NEU: 10 Blu-rays für 50 EUR (nur 5€ pro Film!)
    (u. a. Watchmen, Hulk, Ohne Limit, Iron Man 3, RED 2, Mission Impossible Phantom Protokoll, Hänsel...
  2. FILM-TIEFPREISWOCHE: ÜBER 9.000 TITEL REDUZIERT
  3. Blu-ray-Box-Sets reduziert
    (u. a. Ocean's Trilogy 14,97€, The Wire 69,97€, Lethal Weapon 1-4 16,97€, Band of Brothers 17...

Weitere Angebote



Haben wir etwas übersehen?

E-Mail an news@golem.de


Open Source: Sticken! Echt jetzt?
Open Source
Sticken! Echt jetzt?
  1. München CSU-Stadträte wettern über Limux
  2. Guadec15 "Beiträge zu freier Software sind zu schwer"
  3. Guadec15 "Open-Source-Software braucht Markenrechte"

Game Writer: Warum Quereinsteiger selten gute Storys für Spiele schreiben
Game Writer
Warum Quereinsteiger selten gute Storys für Spiele schreiben
  1. Swapster Deutsche Börse plant Handelsplattform für Spieler
  2. Ninja Theory Hellblade und eine Heldin mit Trauma
  3. Unterwasser Aquanox sucht Community

Uberchord ausprobiert: Besser spielen statt Highscore jagen
Uberchord ausprobiert
Besser spielen statt Highscore jagen
  1. Play Music Googles Musikdienst bekommt kuratierte Playlisten
  2. GTA 5 Rockstar-Editor bald für PS4 und Xbox One
  3. DAB+ WDR schaltet seine Mittelwellensender ab

  1. Frankfurt: Betreiber modernisieren Mobilfunknetz der U-Bahn
    Frankfurt
    Betreiber modernisieren Mobilfunknetz der U-Bahn

    In der U-Bahn in Frankfurt arbeiten die Konkurrenten Vodafone, Deutsche Telekom und Telefónica beim Netzausbau zusammen. Auch Verstärker und Antennen in den Stationen und Tunneln nutzt man gemeinsam.

  2. 3D-Varius: Pauline, die Geige aus dem 3D-Drucker
    3D-Varius
    Pauline, die Geige aus dem 3D-Drucker

    Diese Geige sieht nicht nur unkonventionell aus, sie wurde auch auf unkonventionelle Weise hergestellt: Laurent Bernadac hat sie von einem 3D-Drucker aufbauen lassen. Vorbild war ein klassisches Instrument.

  3. Vectoring: Telekom zählt eigenes 50 MBit/s nicht als 50 MBit/s
    Vectoring
    Telekom zählt eigenes 50 MBit/s nicht als 50 MBit/s

    Die Telekom will um die Hauptverteiler Vectoring einsetzen, was technisch bedingt die Konkurrenz ausschließt. Bei der Zählung der Haushalte, die dann besser dastehen, weil sie noch keine Datenrate von 50 MBit/s erhalten, wurden die Telekom-50-MBit/s-Haushalte mitgezählt.


  1. 19:06

  2. 18:17

  3. 17:16

  4. 16:36

  5. 15:27

  6. 15:24

  7. 14:38

  8. 14:09