JondoFox User Agent Fake blödsinnig

Ideen zu allem, was nützlich wäre. Vorschläge und Tipps zur JonDonym-Programmierung.
cane

Re: JondoFox User Agent Fake blödsinnig

Post by cane » Sun Nov 17, 2013 10:26

Die Windows-Nutzer sind doch selbst schuld, wenn sie so dumm sind und Windows benutzen...
Diese Meinung ist einfach nur überheblich.

Wer sich wirklich Gedanken über Sicherheit macht, der landet am Ende seine Gedanken unweigerlich bei NetBSD/OpenBSD. Linux-User sind also selbst Schuld, wenn...

Ich bin der Meinung, dass man NetBSD durchaus als sicherheitsoptimiertes Desktop-OS nutzen kann (wenn man ein bisschen leidensfähig ist). Sie sind nicht bereit, diesen Schritt zu gehen, das kann ich auch verstehen.

Das gleiche Argument gilt aber auch für den Großteil der Windows-Nutzer für den Umstieg nach Linux. Diese Tatsache zu respektieren ist eher ein Zeichen von Toleranz als von Unfähigkeit.

Es gibt keinen Grund zur Überheblichkeit für Linuxer - ok?

Können Sie uns erklären, warum Sie kein NetBSD nutzen? http://www.netbsd.org

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: JondoFox User Agent Fake blödsinnig

Post by xg27 » Sun Nov 17, 2013 13:35

cane wrote: Wer sich wirklich Gedanken über Sicherheit macht, der landet am Ende seine Gedanken unweigerlich bei NetBSD/OpenBSD.
...
Ich bin der Meinung, dass man NetBSD durchaus als sicherheitsoptimiertes Desktop-OS nutzen kann (wenn man ein bisschen leidensfähig ist).
Wenn Sie das in einigen ganz wenigen Worten begruenden koennten, waere ich Ihnen sehr dankbar.
Wenn nicht, dann ist es aber auch ok.

Ich bin derzeit wieder einmal auf der Suche nach einem neuen OS, aber die BSD's sind mir komplett entgangen.
Tja, wer selbst immun gegen Engstirnigkeit ist, der werfe jetzt den ersten Stein...

cane

Re: JondoFox User Agent Fake blödsinnig

Post by cane » Sun Nov 17, 2013 19:41

Jetzt bekomme ich aber das kotzen. Suchmaschine, BSD, Verschlüsselung, Zufallszahlen, NSA, CIA irgendsowas in der Richtung. Bekommen Sie das hin? Jahrelang hat niemand die Hintertür bemerkt.
Ja, kenne ich. Der Bug in NetBSD 6.0 im Zufallszahlengenerator bestand übrigens nicht "jahrelang", wie Sie schreiben, sonder betraf nur die die Versionen 6.0 und 6.0.1 siehe: http://ftp.netbsd.org/pub/NetBSD/securi ... 03.txt.asc

Das ist einer von 3 (in Worten "drei") Security-relevanten Bugs des NetBSD-Kernel in den letzten 20 Jahren. ;-)

Zu Linux fällt mir da spontan der OpenSSL-GAU von Debian als Antwort ein: http://www.golem.de/0805/59657.html (der Bug bestand vom September 2006 bis Mai 2008).

Aber die Aufzählung von Einzelbeispielen bringt hier nichts.

Außerdem wird z.B. die Hälfte der mit Ubuntu LTS gelieferten Software überhaupt nicht gepatcht, selbst wenn Fehler gefunden werden. Bei Debain versuchen irgendwelche Maintainer die Security Fixes aus aktuellen Versionen der Software auf die alten Versionen zurück zu portieren, dabei kommt es eben auch mal zu soetwas wie dem OpenSSL-GAU. Wie es bei anderen Distris aussieht, weiss ich nicht genau.
Code Review? Sicherheitsaudit? Nichts davon gibt es bei BSD.
Das OpenBSD Securty Audit Team besteht aus 6-12 ständigen Mitgliedern, es gibt einen fortlaufenden Audit-Prozess der zurück bis 1996 dokumentiert ist.

Kornblumenblau
Posts: 67
Joined: Sun Oct 27, 2013 19:53

Re: JondoFox User Agent Fake blödsinnig

Post by Kornblumenblau » Sun Nov 17, 2013 21:18

Wer sich wirklich Gedanken über Sicherheit macht, der landet am Ende seine Gedanken unweigerlich bei NetBSD/OpenBSD.
Zustimmung.
Linux-User sind also selbst Schuld[...]
Das gleiche Argument gilt [..] für den Großteil der Windows-Nutzer
Das gleiche Argument gilt [...] für den Umstieg nach Linux.
Ist halt schwer, echt hartes Brot.
(wenn man ein bisschen leidensfähig ist)
Insofern unrealistisch, exotisch
für die Promille-Welt der specs only.

Zwei ergänzende Hinweise.
Wer sich wirklich Gedanken über Sicherheit macht, der landet am Ende seine Gedanken unweigerlich bei [...]
1.) ... den Angeboten diverser Live-CD/DVD Versionen, die sich (mehr (auf USB) oder weniger (auf CD/DVD)) individualisiert einrichten lassen.

Ist leicht, gut verdaulich
Und Normal-Welt tauglich.

DIE Alternative, wo es um (ein Höchstmass an) "Sicherheit" geht...

2.) "Alternativ"
weil doch wieder auf Linux aufgesetzt:
--------
http://www.ipredia.org/
https://www.whonix.org
--------
Mehr Information:
--------
https://en.wikipedia.org/wiki/Security- ... ing_system
--------

Zwei schlanke "sichere" Systeme.



*)
Aktuell weil in unterschiedlichen Intervallen fortlaufend gepflegt:
--------
https://www.privacy-cd.org/
---
http://dee.su/liberte
https://tails.boum.org/
https://anonymous-proxy-servers.net/en/ ... ve-cd.html
--------
More information:
--------
https://en.wikipedia.org/wiki/List_of_live_CDs
--------

cane

Re: JondoFox User Agent Fake blödsinnig

Post by cane » Mon Nov 18, 2013 8:41

Insofern unrealistisch, exotisch
für die Promille-Welt der specs only.
Es gibt viele Möglichkeiten. Welche Möglichkeit man wählt, hängt von individuellen Fähigkeiten, individuellen Anforderungen und sehr unterschiedlichen Schwerpunkten ab. Wer einfach nur einen Browser braucht, ist mit einer Live-CD gut bedient. Wer als Creativer außerdem viel Arbeit und Lernaufwand in die Adobe Creative Suite inverstiert hat und das nicht einfach wegwerfen kann, wird einen anderen Kompromiss bevorzugen. Es gibt keine allgemeine, absolute "Wahrheit".

Die Windows Nutzer einfach nur als "dumm und zu blöd" abzutun, ist aus meiner Sicht nur ein Zeichen für die eigene Dummheit und Überheblichkeit.

Um zum Thema des Threads zurück zu kommen:

Wir müssen akzeptieren, das die überwiegende Mehrheit unserer Nutzer Windows verwendet (grob geschätzt etwa 80%). Das können wir als JonDonym nicht ignorieren.

Die direkten Angriffe auf Browser haben in den letzten Jahren immer mehr zugenommen, besonders Windows ist dabei Ziel. Dabei geht es nicht mehr nur um Kriminelle, die einfach nur einen neuen Spam-Bot brauchen, auch staatliche Angreifer forcieren den Einsatz von Trojanern-Federal und setzen diese Technik deutlich mehr ein, als bisher vermutet wurde. Um die "Breitseite der Angriffe" auf unsere Haupt-Nutzergruppe etwas abzuschwächen, haben wir uns entschlossen, die Definition der Nutzergruppe zu ändern und ein Linux-Firefox als Fake zu nehmen. ("abschwächen" meine ich und nicht "verhindern")

Das es einzelne Linux-Nutzer geben wird, die das "voll Scheiße finden" (wie entsetzlich) oder zähneknirschend akzeptieren (wie Systemshocker) war uns vorher klar. Die Diskussion überrascht uns nicht.

Es gibt diesbezüglich keine einfache optimale Lösung, die jeden zufrieden stellen kann. Die optimale Lösung würde einen nicht angreifbarer Browser voraussetzen - bei der heute üblichen Komplexität dieser Software ein unmöglicher Wunschtraum. Wir haben diesen Kompromiss gewählt, andere (z.B. TorProject) werden zu anderen Ergebnissen kommen, wenn sie in den nächsten über den Wechsel des UA-Fake nachdenken müssen.

Kornblumenblau
Posts: 67
Joined: Sun Oct 27, 2013 19:53

Re: JondoFox User Agent Fake blödsinnig

Post by Kornblumenblau » Wed Nov 20, 2013 13:41

Es gibt viele Möglichkeiten. Welche Möglichkeit man wählt, hängt von individuellen Fähigkeiten, individuellen Anforderungen und sehr unterschiedlichen Schwerpunkten ab. [...] Es gibt keine allgemeine, absolute "Wahrheit".
"Wirkliche Sicherheit" ist aber der "Schwerpunkt" Ihres Beitrags:
Wer sich wirklich Gedanken über Sicherheit macht, der landet am Ende seine Gedanken unweigerlich [!] bei NetBSD/OpenBSD.
Deshalb ja auch diese obige Ergänzung Ihrer Wahrheit zum "Höchstmaß" an Sicherheit durch:

"die [vier] Angebote diverser Live-CD/DVD Versionen, die sich (mehr (auf USB) oder weniger (auf CD/DVD)) individualisiert einrichten lassen."

User avatar
Systemshocker
Posts: 108
Joined: Sun Nov 07, 2010 13:59

Re: JondoFox User Agent Fake blödsinnig

Post by Systemshocker » Tue Dec 10, 2013 21:33

cane wrote:Das es einzelne Linux-Nutzer geben wird, die das "voll Scheiße finden" (wie entsetzlich) oder zähneknirschend akzeptieren (wie Systemshocker) war uns vorher klar. Die Diskussion überrascht uns nicht.
Ich bin gerührt Cane, dass Sie meine kritische Haltung hervorheben. ;)
Und das meine ich eben nicht sarkastisch oder gar abfällig. Ich finde es deshalb toll, weil es zeigt, dass sie Bedenken schon zur Kenntnis nehmen und darauf eingehen.

Eigentlich ist zu diesem Thread schon alles gesagt, aber ein Aspekt sollte dennoch mal angesprochen werden:
entsetzt wrote:Ja toll! Jetzt sind die Windows-Nutzer besser geschützt und was ist mit uns Linux-Nutzern? Jetzt weiss jeder was wir benutzen und kann uns besser angreifen. Danke Jondonym. Hat mal wieder keiner mitgedacht.
Ich habe zuerst genauso gedacht als Linux Nutzer....daraus resultierte eben auch meine kritische Nachfrage an Cane im JonDoBrowser Thread. Ich wollte schlicht wissen woraus diese Entscheidung resultiert.
Inzwischen ist mir klar, dass die Bedenken zum neuen Linux-Fake unnötig sind.

Cane hat es nämlich schon schön auf den Punkt gebracht.
cane wrote:Wir müssen akzeptieren, das die überwiegende Mehrheit unserer Nutzer Windows verwendet (grob geschätzt etwa 80%). Das können wir als JonDonym nicht ignorieren.
Fakt ist und bleibt also: Die größter Nutzergruppe von JonDonym (und auch Tor) sind und bleiben Windows Nutzer.

Dass diese sich nun in einer Linux-Gruppe verstecken (die dadurch wohlbemerkt größer wird,lol..also nix mit ganz klein) ändert nichts an der Tatsache, dass potentielle Angreifer auch wissen, dass die meisten Nutzer in wirklichkeit Windows nutzen.
Entsprechend wird sich an den Angriffen nicht viel ändern: Die meisten Angriffe werden also weiter in Richtung Windows Nutzer gehen.
So gesehen ändert sich für uns Linux Nutzer kaum etwas. Davon mal abgesehen stimmt es, dass wir Linux Nutzer viel weniger von Exploits betroffen sind.
Wer es aber wirklich auf einen abgesehen hat (und dazu zähle ich z.B. die Geheimdienste) der wird eh reinkommen....da hilft auch der beste Browser Fake nichts.

Und was das mit dem ganzen Sicherheitsgeplärre angeht: Ich habe in den ganzen letzten Jahren sowohl Debian als auch Ubuntu/Mint ausprobiert.
Debian ist schön stabil und sicher: Aber dieses ganze manuelle hinzufügen von den Backports geht mir auf den Keks.
Bei Ubuntu/Mint werden, wie Cane schon angemerkt hat, kaum Backports genutzt. Dafür ist der Multimedia Support dort besser und einfacher eingerichtet.
Von NetBSD/OpenBSD hatte ich vorher noch nie was gehört. Die werde ich mir aber mal ansehen. Danke schon mal für den Tip.

100%ige Sicherheit wird es eh nie geben. Und mal ganz abgesehen davon: Die eigentliche Gefahr liegt weniger am System, als an dem, der davor sitzt. Und DAUs gibts bei jedem Betriebssystem,leider.

In sofern.....lieber wieder nen Gang runterschalten. Überhitzte Gemüter haben noch nie ein Problem gelöst,lol.


cane

Re: JondoFox User Agent Fake blödsinnig

Post by cane » Wed Dec 11, 2013 14:52

FreeBSD ist bestimmt das letzte OS, das die Hardware-Zufallsgeneratoren ohne zusätzliche Zufallsquellen genutzt hat.

NetBSD/OpenBSD machen das schon lange anders:
The NetBSD kernel uses an entropy pool to gather entropy from system events, hardware random number generators, environmental sensors, and other sources. This pool is never directly accessed by user processes nor by most kernel subsystems. Instead, the pool is used to key individual instances of a random stream generator based on the NIST SP 800-90 CTR DRBG, per-consumer.

cane

Re: JondoFox User Agent Fake blödsinnig

Post by cane » Thu Dec 12, 2013 15:30

Ein Guru von Cypherpunks hat den Zufallsgenerator von Intel in CMOS nachgebaut und analysiert. Sein Fazit:
It's probably the best true random noise generator ever.
Das ist kein Beweis, es wird aber sehr schwer, dort eine NSA-Backdoor nachzuweisen.

Die guten Krypto-Anwendungen (wie z.B. OpenSSH) nutzen neben dem Zufall aus dem System noch weitere Entropie-Quellen aus dem User-Space, die dem Kernel nicht zur Verfügung (z.B. pid, Mausebewegungen...) oder kommen komplett mit eignem Zufallsgenerator und nutzen den Zufall aus dem System nur zum seeden (z.B. JonDo, Mixmaster).

Linuxer können das Flimmern der CPU-Register als zusätzliche hochwertige Entropie-Quelle für die Zufallszahlen aus "/dev/random" und "/dev/urandom" nutzen. Einfach "haveged" installieren und starten (in unserer Live-CD installiert). Damit aktiviert man eine weitere Quelle für Entropie und ist unabhängiger von den Hardware-RNGs von Intel und Via.
Download: http://www.issihosts.com/haveged/

Post Reply