Fragen zur LiveCD

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
casayon
Posts: 26
Joined: Thu Jan 02, 2014 15:57

Fragen zur LiveCD

Post by casayon » Tue Jan 07, 2014 17:51

Hallo,

Welchen Unterschied bzw. Vorteil in Bezug Sicherheit, hat es wenn ich anstatt z.b. UbuntuLiveCD, oder Knoppix, Ihre LiveCD nutze. Normalerweise laufen bei Ubuntu keine unnötigen Dienste.
ist die Firewall aktiv? sind alle unnötigen Dienste deaktiviert. Die Frage bezieht sich auch darauf, ob Ihre CD vielleicht besser geeignet ist um Onlinebanking zu betreiben?

Danke

cane

Re: Fragen zur LiveCD

Post by cane » Tue Jan 07, 2014 20:21

Jede Live-CD ist für bestimmte Anwendungen optimiert. Unsere Live-CD ist durch vorinstallierte Anonymisierungsdienste und weiterer Tools vor allem für anonyme Internet-Aktivitäten optimiert (anonym Surfen, Bloggen, Chatten, E-Mail, Whistleblowing...)

Sicherheit: auf unserer Live-CD läuft der Drucker-Daemon CUPS im Hintergrund, eine Firewall ist aktiv (alles von außen wird gesperrt), die MAC-Adresse wird beim Booten geändert und die Systemzeit beim Herstellen einer Internetverbindung auf UTC gesetzt. Ob letzteres ein Nachteil beim Online Banking ist, weiss ich nicht.


Eine optimierte Live-CD für das Online-Banking ist "Bankix" vom Heise-Verlag: http://www.heise.de/ct/projekte/Sichere ... 84099.html

casayon
Posts: 26
Joined: Thu Jan 02, 2014 15:57

Re: Fragen zur LiveCD

Post by casayon » Thu Jan 09, 2014 10:46

hallo,

hätte da noch paar Fragen zur CD.

Was für ein Vorteil/Sinn hat es dass die Partition als Hidden erstellt wurde?

In der Datei md5checksum.txt sind die Hashes gespeichert. Beim booten kann ich per verify-checksum die Integrität prüfen, das ist o.k. Aber wenn ein Agreifer ZUgriff auf die Datei aht, dann kann er doch die Checksum ändern, so dass nach dem booten alles in Ordnung erscheint.
Ich weiss jetzt nicht ob ich im laufenden Betrieb an die Datei(md5checksum.txt) rankomme, jedenfalls von außen schon.

wo wurde die macänderung gespeichert? in rc.local

danke

cane

Re: Fragen zur LiveCD

Post by cane » Thu Jan 09, 2014 14:22

wo wurde die macänderung gespeichert? in rc.local
Das Script zum Ändern der MAC-Adresse beim Booten ist "/etc/init.d/macchanger". Die alte MAC wird nicht gespeichert.
Was für ein Vorteil/Sinn hat es dass die Partition als Hidden erstellt wurde?
Man kann das ISO-Image ohne weitere Vorbereitungen sofort auf einen USB-Stick kopieren. Das ist bei Debian-Live so der Standard, hat nichts mit "Verstecken" zu tun.

casayon
Posts: 26
Joined: Thu Jan 02, 2014 15:57

Re: Fragen zur LiveCD

Post by casayon » Thu Jan 09, 2014 16:11

Achso das es so üblich bei Debian ist wusste ich nicht.
Die alte MAC wird nicht gespeichert. Welches Skript muss wie verändert werden, dass die alte MAC nicht mehr gespeichert wird. Ich kenne das Problem, das nach einer neuen Verbindung die alte MAC wieder erscheint.

Das mit der Integrität finde ich sehr wichtig, wobei Sie darauf noch nicht geantwortet haben.

mfg

cane

Re: Fragen zur LiveCD

Post by cane » Thu Jan 09, 2014 17:32

Die alte MAC wird nicht gespeichert. Welches Skript muss wie verändert werden, dass die alte MAC nicht mehr gespeichert wird. Ich kenne das Problem, das nach einer neuen Verbindung die alte MAC wieder erscheint.
Das verstehe ich jetzt nicht ganz. Die MAC-Adresse wird beim Booten der Live-CD geändert (zufällige MAC eines ähnliches Herstellers). Die orginale MAC ist im System nicht mehr bekannt.

Die neue zufällige MAC gilt solange, wie das System läuft, sie ist konstant für alle Verbindungen.

Wenn die originale MAC wieder auftaucht, dann ist irgendwo ein Bug im System.
Das mit der Integrität finde ich sehr wichtig, wobei Sie darauf noch nicht geantwortet haben.
Weil ich im Moment keine Antwort auf die Frage habe.

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: Fragen zur LiveCD

Post by xg27 » Thu Jan 09, 2014 20:17

casayon wrote:
In der Datei md5checksum.txt sind die Hashes gespeichert. Beim booten kann ich per verify-checksum die Integrität prüfen, das ist o.k. Aber wenn ein Agreifer ZUgriff auf die Datei aht, dann kann er doch die Checksum ändern, so dass nach dem booten alles in Ordnung erscheint.
Ich weiss jetzt nicht ob ich im laufenden Betrieb an die Datei(md5checksum.txt) rankomme, jedenfalls von außen schon.
Also wenn ich das richtig verstanden habe dann ist die beste Loesung dafuer, die live-cd auf CD/DVD gebrannt zu haben und davon wegzubooten. So muss man die Integritaet nur bis zum einmaligen Brennen bewahren; das ist ohnehin die beste Loesung imho.

Wenn man genug RAM hat kann man mit boot-parameter <toram> booten und hat nachher den drive frei.

Tja, eventuelle config-dateien muss man eben von einem anderen , wiederbeschreibbaren , Datentraeger importieren. Wenn man das macht - und den Datentraeger abkoppelt - bevor man online geht dann ist das imho doch recht sicher...

casayon
Posts: 26
Joined: Thu Jan 02, 2014 15:57

Re: Fragen zur LiveCD

Post by casayon » Fri Jan 10, 2014 11:17

Das verstehe ich jetzt nicht ganz. Die MAC-Adresse wird beim Booten der Live-CD geändert (zufällige MAC eines ähnliches Herstellers). Die orginale MAC ist im System nicht mehr bekannt.
Sorry, ich meinte das nicht in Bezug der LiveCD, da ist es O.K.
Ich meinte das im allgemeinen mit meiner Erfahrung bei Nutzung von Linux. Daher wollte ich wissen wie ich es bei Ubuntu hin bekomme, das die MAC nur einmal geändert werden muss.
Sie haben dazu extra ein Dienst laufen lassen? /etc/init.d/macch
Müsste das nicht auch mit rc.local gehen?

casayon
Posts: 26
Joined: Thu Jan 02, 2014 15:57

Re: Fragen zur LiveCD

Post by casayon » Fri Jan 10, 2014 11:28

Thema Strafverfolgung

Sie sind ja nach richterlicher Anordnung verpflichtet mit den Behörden zusammen zuarbeiten, stimmt doch so?

Inwieweit ist in der LiveCD eine Hintertür eingebaut, um im Notfall den Benutzer zu deanonymisieren. Nehmen Sie das bitte nicht persönlich, ich möchte Ihnen nichts unterstellen. Es geht nur um Aufklärung von Tatsachen.

cane

Re: Fragen zur LiveCD

Post by cane » Fri Jan 10, 2014 12:37

Müsste das nicht auch mit rc.local gehen?
Für Ubuntu siehe "Ändern der MAC Adresse" im Wiki: https://anonymous-proxy-servers.net/wik ... se_aendern

Man kann den Befehl "machchanger -a wlan0" auch in die rc.local schreiben, muss vor dem Start des Networkmanagers aufgerufen werden.
Sie sind ja nach richterlicher Anordnung verpflichtet mit den Behörden zusammen zuarbeiten, stimmt doch so?
Nein, dass stimmt so nicht.

Die Mix-Betreiber sind als Telekommunikationsanbieter nach den Gesetzen ihres Landes verpflichtet, mit den Strafverfolgungsbehörden ihres Landes zu kooperieren, wenn ein Richter es verlangt. Für amerikanische Mix-Betreiber gilt der CALEA von 1994, für deutsche Mix-Betreiber die TKÜV von 2002.... usw.

Der Dienst JonDonym ist nicht pauschal verpflichtet, mit irgendwelchen Behörden zu kooperieren. Im Rahmen der Software-Entwicklung sind wir ebenfalls nicht verpflichtet, mit den Behörden zu kooperieren und unsere Software mit Backdoors auszustatten.

Die Live-CD hat keine Backdoor, sie enthält ausschließlich Orginal-Software von Debian, TorProject, JonDonym, Jitsi.... Sie können sich die Sourcen der Live-CD aber herunter laden, prüfen und damit selbst eine eigene Live-CD bauen, siehe: https://anonymous-proxy-servers.net/wik ... -cd-source


Damit unsere Mix-Betreiber durch den Betrieb der Mix-Software nicht außerhalb des Gesetzes arbeiten und den Gesetzen ihres Landes folgen können (bei richterlicher Anordnung usw.) enthält die Mix-Software eine Law-Enforment Funktion (Mix == Server-Komponente des Dienstes JonDonym).

Ein einzelner Mix-Betreiber kann auf richterliche Anordnung diese Funktion aktivieren und damit dem Gesetz seines Landes genüge tun. Ausreichend Informationen zur Deanonymisierung eines Nutzers kann er damit NICHT liefern. Nur ALLE Betreiber einer Mix-Kaskade gemeinsam können einen Nutzer deanonymiseren. Es müssen also alle Mix-Betreiber von JonDonym in ihrem Land einen richterlichen Beschluss zugestellt bekommen, damit eine Deanonymisierung möglich ist.

Für Premium-Kaskaden hat es das bisher noch nie gegeben. Nachdem wir uns von einigen deutschen Betreibern verabschiedet haben und auch die kostenfeien Mix-Kaskaden internationalisiert haben, sind auch Nutzer kostenfreier Kaskaden von den richterlichen Anordnungen deutscher Behörden nicht mehr betroffen.

Das deutsche Behörden es als einzige immer wieder einmal auf diesem Weg mit einer richterlichen Anordnung versuchen, liegt wahrscheinlich daran, dass das BKA im Jahr 2003 einmal einen brauchbaren Datensatz von der Mix-Kaskade "Dresden" erlangt hat (allerdings war die Aktion des BKA gegen die TU Dresden damals nicht ganz legal).

Post Reply