DEUTSCHE VERSION |
|
Links | | | Forums | | | Comments | | | Report news |
Chat | | | Polls | | | Newsticker | | | Archive |
amiga-news.de Forum > Andere Systeme > Wie am besten sensible Daten verschicken? | [ - Search - New posts - Register - Login - ] |
-1- | [ - Post reply - ] |
2010-01-14, 00:54 h Commodor Posts: 44 User |
Hallo, ich habe folgende Herausforderung in der Kommunikation mit einem Kunden: er wird aus Gründen der Wirtschaftsspionage von mindestens 2 Geheimdiensten beschattet, die unsere Technologie ausspähen wollen. Nun komme ich nicht an wichtige Daten ran und wir verlieren Zeit ohne Ende, weil er immer persönlich kommen muss. Reines Verschlüsseln lehnt er ab, nach dem Motto: Was gesichert ist, ist auch interessant für diejenigen, die danach schauen und jeder Code sei zu knacken. Nun dachte ich, wir nehmen Camouflage zum steganografischen Einbinden in andere Dateien mit integrierter Verschlüsselung und belanglosen Begleittexten. Fand er toll, nur seine Firma nicht, die IT-Sibes dort sind leider extrem bürokratisch (Software wird nicht weiterentwickelt, könnte ja ein Trojaner sein usw.). 1. Nun käme mir noch UAE in den Sinn: Bspw. habe ich eine Excel-Datei, die Endung würde ich entfernen und in UAE auf ein Hardfile bringen. Dieses dann in UAE noch mit einem Icon verbinden. Am Ende dann das .HDF z.B. in .mpg oder .jpg umbenennen, damit der Amiga-Bezug erstmal nicht auffällt. Wäre das eine Möglichkeit oder kann man Office-Daten auch in einem UAE-Hardfile leicht scannen? 2. Gibt es Amiga-68k-Verschlüsselungs- oder Tarnsoftware, die ich dann zusätzlich unter UAE einbinden könnte? 3. Was würdet ihr empfehlen? Grüße commodor [ - Answer - Quote - Direct link - ] |
2010-01-14, 11:10 h MaikG Posts: 5172 User |
Zitat: 1) Man kann das auch Scannen, FFS ist nicht mehr so unbekannt und zumindest feststellen das eine Exel Datei vorhanden ist, ist einfach. 2) Ja, ASEC. Leider ist nicht bekannt welche Art der Verschlüssellung benutzt wird und wie sicher diese ist. Großer vorteil gegenüber RAR und ZIP ist: Es gibt keine fertigen Passwort cracker dafür. Aber das Passwort lässt keine Sonderzeichen zu. Gut wäre vielleicht das die Entschlüsselung nur mit vorhandener .info datei möglich ist(erlaubt getrennte versendung) 3) Eigentlich RAR mit sehr langen Passwort, Dateiendungen entfehrnt und darauf achten das jenes Archiv richtig groß ist. PW cracken ist mir RAR viel langsamer als mit ZIP und umso größer die Datei umso länger dauert das Knacken. PW mit groß&kleinbuchstaben, sonderzeichen und ziffern. Es geht ebenfalls eine mehrfachverschlüsselung, z.B. erst ZIP dann RAR und dann mit unterschiedlichen PW. [ - Answer - Quote - Direct link - ] |
2010-01-14, 14:58 h CarstenS Posts: 5566 User |
Einfach als Einschreiben/versichertes Paket per Post. -- http://www.tippderwoche.eu [ - Answer - Quote - Direct link - ] |
2010-01-14, 15:03 h Bjoern Posts: 1730 User |
Zitat: Wenn mehrere kleine Dateien in einer .rar-Datei sind, werden die mit dem falschen Passwort versucht zu entschlüsseln und ein Fehler tritt auf. Dann bringt das große Archiv nix; Man müsste die Daten zuerst zu einer großen Datei zippen und dann mit rar verschlüsseln. Aber so wie ich das verstanden hab, lehnt sein Kollege verschlüsselungen sowieso ab... [ - Answer - Quote - Direct link - ] |
2010-01-14, 15:07 h Bjoern Posts: 1730 User |
Achso, noch ne Frage: Wenn die Dateien denn dann schön verpackt sind, müsste die Platte (oder was auch immer) trotzdem per Post verschickt werden oder hab ich da was falsch verstanden? [ - Answer - Quote - Direct link - ] |
2010-01-14, 17:47 h Holger Posts: 8116 User |
Zitat:Eine sehr beschränkte Einstellung, insbesondere, wenn man die dann angedachten Alternativen ansieht. Eine echte Verschlüsselung ist übrigens nicht knackbar, wenn die Schlüssellänge mindestens genauso groß wie die eigentlichen Daten ist. Das heißt, man würde nur einen einzigen weiteren persönlichen Besuch benötigen, um eine Festplatte mit dem Schlüssel zu hinterlegen und hätte keine Probleme mehr. Zitat:Schmarrn. Wenn er wirklich so unter Beobachtung steht, wie Du behauptest, wärt Ihr überhaupt nicht in der Lage, so viel belanglosen Text, der auf einen Außenstehenden nicht belanglos wirkt, zu produzieren, wie für Steganographie nötig ist. Zitat:Sehr leicht sogar. Dazu muss man überhaupt nichts über den Amiga wissen, um zu bemerken, dass die Datei nicht dem Format ihrer Endung entspricht. Wenn man dann die Datei linear durchsucht, stößt man ziemlich schnell auf die Signatur einer Office-Datei und kann diese, wenn sie nicht fragmentiert ist, sofort öffnen. Selbst wenn sie fragmentiert wäre, müsste man nichts über das FastFileSystem wissen, um die 512 byte großen Blöcke so lange umzuordnen, bis sie eine gültige Office-Datei ergeben. -- Good coders do not comment. What was hard to write should be hard to read too. [ - Answer - Quote - Direct link - ] |
2010-01-14, 18:20 h Holger Posts: 8116 User |
Zitat:Das Entfernen von Dateiendungen bringt gar nichts bei Dateiformaten, die bewusst eine Signatur besitzen, um das Format zu erkennen. Da musst Du nur die ersten vier bytes lesen, um zu wissen, worum es sich handelt. Wenn man es wirklich ernst meint, benutzt man kein Archiv-Format, das durch diverse Eigenheiten die Stärke der Verschlüsselung selbst aushebelt, sondern z.B. TrueCrypt-Container. Bei dem weiß der Angreifer nicht mal mit Sicherheit, ob es sich wirklich um einen solchen handelt, solange er das Passwort nicht hat. Das weiß nicht mal TrueCrypt selber. Und dann verwendet man auch kein Passwort, dessen Zeichenvorrat beschränkt und in der Auswahl durch die Psychologie beeinflusst wird, sondern ein generiertes, zufallsbasiertes Keyfile, in dem wirklich jedes Bit vom Angreifer erraten werden muss. Wer es dann noch verschleiert mag, kann dieses Keyfile mit einem weiteren verknüpfen lassen, das dann ein echtes Dokument, mp3 oder ähnliches sein kann. Dieses darf man natürlich niemals bearbeiten. -- Good coders do not comment. What was hard to write should be hard to read too. [ - Answer - Quote - Direct link - ] |
2010-01-14, 21:10 h Maja Posts: 15429 User |
Zitat:Hm, haben die denn kein aktuelles Antivirenprogramm zur Hand?? Und ihrerseits für sicheren E-Mail-Verkehr zu sorgen haben diese IT-Spakos scheinbar versäumt, dabei gehört das zu deren Aufgaben. Scheint aber keine Seltenheit zu sein: http://www.securitymanager.de/magazin/artikel_1479_keine_chance_fuer_wirtschaftsspione.html (siehe unter "7. Wie steht’s um den E-Mail-Verkehr?" -- ** Tippfehler sind kostenlos und dürfen unbegrenzt an Dritte weitergegeben werden. ** [ - Answer - Quote - Direct link - ] |
2010-01-14, 21:49 h Commodor Posts: 44 User |
Hallo, erstmal vielen Dank für Eure Antworten. Es sind viele Anregungen da und ich brauche sowohl eine kreative, wie auch eine sichere Lösung. Original von MaikG: Zitat: Hm, also 1) scheidet dann wohl auch aus wenn ich SFS nehmen würde, da die Office-Signierung beim Scannen auffällt. Wo finde ich ASEC? Das scheint schon älter zu sein. Im Aminet hab ichs bei der Volltextsuche nicht gefunden. Die .info-Datei könnte ich ja auch übergeben, wenn er vor Ort ist. Original von Bjoern: Zitat:Verschickt wird es per E-Mail, deshalb ja der Aufwand. Post scheidet aus, da er um die ganze Welt trottet. Original von Holger: Zitat:Welches Programm kann einen festplattengroßen Schlüssel einbinden? Und dann noch die verschlüsselte Datei in eine andere Datei reinpacken? Original von Holger: Zitat:Verständigungsfehler: Der Belanglose Text wäre die Text-Mail, sowas wie "Hallo alter Freund, hier das neueste Video von unserem Hasso. Freue mich auf unser nächstes Treffen..." Daran anhängend dann ein Video von meinem Hund in dem eben auch noch eine verschlüsselte Datei drin ist. Also der Hinweis kam vom BND. Original von Holger: Zitat:Gibts für diese Variante irgendeine gute Software? Am besten gleich mit Verschleierungsoption? Erstmal allen vielen Dank! [ - Answer - Quote - Direct link - ] |
2010-01-14, 22:40 h MaikG Posts: 5172 User |
Zitat: Nein? Dann hast du noch nie ein Zipfile geknackt. Wenn du weisst was für eine Datei drin(geht ohne PW) ist kannst du in vielen fällen den Dateianfang(4 Bytes) dem crack Programm übergeben. Das beschleunigt die Sache gigantisch! >Hm, also 1) scheidet dann wohl auch aus wenn ich SFS nehmen würde, da >die Office-Signierung beim Scannen auffällt. >Wo finde ich ASEC? Das scheint schon älter zu sein. Im Aminet hab ichs >bei der Volltextsuche nicht gefunden. Die .info-Datei könnte ich ja >auch übergeben, wenn er vor Ort ist. War mal auf einer Amiga Plus oder Amiga Special Heft CD, vermutlich keine Freeware. Älter, läuft aber auf aktueller Hardware. Ist langsam was für eine gute Verschlüsselung hinweisen könnte. Die .info-Datei ist jedesmal anders da könntest du die kompletten Daten gleich persönlich übergeben. [ Dieser Beitrag wurde von MaikG am 14.01.2010 um 22:45 Uhr geändert. ] [ - Answer - Quote - Direct link - ] |
2010-01-14, 23:01 h slin Posts: 30 User |
PGP (http://de.wikipedia.org/wiki/Pretty_Good_Privacy) und gut ist. [ - Answer - Quote - Direct link - ] |
2010-01-15, 15:15 h Holger Posts: 8116 User |
Zitat:Der Name steht doch schon da: TrueCrypt. Zitat:Jetzt lies mal, was Du vorher geschrieben hast. Wenn Du meintest, dass man von der enthaltenen Datei die Endung entfernen soll und nicht vom Archiv, muss Du das auch so schreiben. Spielt aber trotzdem keine Rolle, weil Office-Dateien ihren typischen Aufbau nicht verlieren nur weil Du die Endung entfernt hast. Kein Angreifer geht von einem exotischen Format aus, nur weil die Datei keine Endung hat. Wer es mit der Verschlüsselung ernst meint, nimmt aber sowieso kein Format, bei dem die Metainformationen unverschlüsselt sind und somit einen Angriffspunkt liefern. -- Good coders do not comment. What was hard to write should be hard to read too. [ - Answer - Quote - Direct link - ] |
2010-01-15, 16:56 h MaikG Posts: 5172 User |
Zitat: Genau das meinte ich Zitat: Du musst erstmal wissen was im Archiv drin ist also die erste Datei im Archiv. Fängst du jetzt an zu raten, gehst du Billionen Passwörter umsonst durch. Weiss man es nicht, probiert man ohne die ersten 4 Bytes zu Hacken das ist dann doch schneller als 100 verschiedene anfänge anzugeben und evtl. trotzdem zu scheitern. Und man braucht genau die ersten 4 Bytes, an denen ist nicht jedes Format erkennbar. Bzw. das Format kann am Anfang dies oder auch jenes zu stehen haben und hat trotzdem diese Bezeichnung. [ - Answer - Quote - Direct link - ] |
2010-01-16, 09:58 h StefanHaegele Posts: 281 User |
Zuviel James Bond geschaut? Nur mal so als Hinweis bzw. Frage: Dein Kunde wird also von min. 2 Geheimdiensten beschatten und um die Geheimhaltung aufrecht zu halten hat er dich angeheuert? Und du frägst dann in einem öffentlichen Forum nach einer Lösung? Du kennst die Möglichkeiten von Geheimdiensten? [ Dieser Beitrag wurde von StefanHaegele am 16.01.2010 um 09:58 Uhr geändert. ] [ - Answer - Quote - Direct link - ] |
2010-01-16, 13:53 h Bjoern Posts: 1730 User |
Kommt mir auch ein bisschen seltsam vor Für alles andere: TrueCrypt [ - Answer - Quote - Direct link - ] |
2010-01-16, 16:51 h MaikG Posts: 5172 User |
Irgendwo muss er ja fragen. Stasi Deutschland spioniert euch sowieso allesamt aus. [ - Answer - Quote - Direct link - ] |
2010-01-16, 17:47 h Commodor Posts: 44 User |
Zitat:Nein, leider kein James Bond, reine Wirtschaftsspionage. Hätte auch nie gedacht, dass ich damit mal was zu tun habe. Klar klingt das merkwürdig, aber wer sonst konnte mir antworten, obs per UAE-Hardfile funktionieren würde. Antwort habe ich ja jetzt. Und ob der Gegner das nun weiß oder nicht ist nun extrem egal. Außerdem bin nicht ich die Zielperson. 1. Absatz: NEIN, er hat mich nicht angeheuert; Tochterunternehmen=interner Kunde, mit dem ich zusammenarbeite. 2. Absatz: Also ich wollte das zwar nicht thematisieren, da es ja eher um die Lösung geht; diese Anfrage ist von meinem Privatbereich bei einem Verwandten aus. Ob die nun eine Verknüpfung bis hierher bekommen? Glaube ich ehrlich gesagt nicht. Habe zwar keine zwei Identitäten, aber IPs. Die IP von der Arbeit wird wohl abgefangen, soweit hat sich der BND in seinem Hinweis geäußert. Mehr Möglichkeiten, das festzustellen habe ich leider nicht. Derzeit ja auch kein social engineering. [ - Answer - Quote - Direct link - ] |
2010-01-16, 18:28 h MaikG Posts: 5172 User |
Zitat: Wenn du einmal von deiner Arbeit aus dein privates Email Konto benutzt hast reicht es aus. Die Mailanbieter müssen den Kopf von Emails incl. IP 6 Monate Speichern. An diese Massendatenspeicherung kommt nicht nur die Polizei sondern selbstverständlich auch Geheimdienste oder Hacker. [ - Answer - Quote - Direct link - ] |
2010-01-16, 21:57 h StefanHaegele Posts: 281 User |
@MaikG: @Commodor: Ist nicht bös gemeint - aber ihr seid paranoid - geht weiter im Sandkastenspielen.. Geheimdienst, Wirtschaftspionge, Kumpel.... Ach übrigen ich hätte da noch einen Job für euch: Findet den heiligen Gral für mich und ich mache euch reich! Stefan PS: Aber psst! Nicht dass ihn uns noch einer wegschnappt - und am Montag fragen wir bei RTL nach dem Weg zum heiligen Gral! [ - Answer - Quote - Direct link - ] |
2010-01-17, 03:29 h Maja Posts: 15429 User |
Na ja, in einem öffentlichen Forum zu verlautbaren, dass man an etwas arbeitet, das für Wirtschaftsspione von Interesse sein könnte, ist in der Tat nicht alltäglich. Und dann dazu noch bis ins Detail diskutieren, wie man Daten vor unbefugtem Zugriff zu schützen gedenkt.... -- ** Tippfehler sind kostenlos und dürfen unbegrenzt an Dritte weitergegeben werden. ** [ - Answer - Quote - Direct link - ] |
2010-01-17, 12:34 h MaikG Posts: 5172 User |
>Ist nicht bös gemeint - aber ihr seid paranoid - geht weiter im >Sandkastenspielen.. Ich schreibe nur über Tatsachen und nicht darüber das ich von Geheimdiensten beobachtet werde. Also liess richtig/Informier dich bevor sowas an mich richtest. [ - Answer - Quote - Direct link - ] |
2010-01-17, 16:12 h StefanHaegele Posts: 281 User |
Geil - ich weiß weshalb ich ab und zu hier reinschaue - besser als Fernsehen... [ - Answer - Quote - Direct link - ] |
2010-01-18, 20:09 h Holger Posts: 8116 User |
Zitat:Also ich kenn die Möglichkeiten von Geheimdiensten nicht und weiß jetzt auch nicht, welche der Angesprochene annehmen soll. Soll er nun den Geheimdiensten Möglichkeiten unterstellen, die es ermöglichen, ihn als paranoid abzustempeln, oder doch eher realistische? Im letzteren Fall hat er hier den Hinweis auf TrueCrypt bekommen, und wenn er dessen Anleitung aufmerksam liest und das Programm dann richtig nutzt, sollte selbst die Möglichkeit, dass wer-auch-immer die Verbindung zwischen dem geschilderten Fall und diesem Forenthread herstellt, kein Problem darstellen. -- Good coders do not comment. What was hard to write should be hard to read too. [ - Answer - Quote - Direct link - ] |
2010-01-22, 16:25 h hannibal Posts: 201 User |
ich brauch mehr popcorn! bitte weiter! meeehhhrrrr. okok ohne weiter rumzutrollen schaut dir mal alles zu: TLS,SSH,PGP,IP-Sec an. wenn du da nix findest, kauft euch für ein paar lausige euros sonene Quantenzufallsgenerator brennt euch soviele cds wie ihr nur könnt mit den lustigen zahlenreihen und macht OTP. aber da dir das alles nicht helfen wird, bzw zu unsicher ist, frag mal beim Kryptochef (perönlich!!!) an damit alle mitlachen können: (es lohnt sich) http://kryptochef.net/ [ Dieser Beitrag wurde von hannibal am 22.01.2010 um 16:33 Uhr geändert. ] [ - Answer - Quote - Direct link - ] |
2010-01-22, 20:08 h Andreas_Wolf Posts: 2980 User |
> ich brauch mehr popcorn! Hö? Weil der Thread seit 4 Tagen ruht, brauchst du mehr Popcorn? Verstehe ich nicht. [ - Answer - Quote - Direct link - ] |
2010-01-22, 20:30 h Maja Posts: 15429 User |
Popcorn gewünscht? Kein Problem. Soll ja keiner unnötig Hunger leiden. (Bild) http://www.busywomensfitness.com/200801.html -- ** Tippfehler sind kostenlos und dürfen unbegrenzt an Dritte weitergegeben werden. ** [ - Answer - Quote - Direct link - ] |
2010-01-22, 21:17 h hjoerg Posts: 3854 User |
@Maja: Ich Idiot dachte immer Du bist ne' Frau -- by WinUAE hjörg Nethands [ - Answer - Quote - Direct link - ] |
2010-01-23, 06:41 h Maja Posts: 15429 User |
@hjoerg: Hm, jetzt hast Du mich doch glatt verunsichert. Aber eine kurze Verifzierung ergab eindeutig: Ja, ich bin eine Frau und der Typ da oben mit dem großen Sack, das bin nicht ich. Fazit. Du bis kein ein Idiot! -- ** Tippfehler sind kostenlos und dürfen unbegrenzt an Dritte weitergegeben werden. ** [ - Answer - Quote - Direct link - ] |
-1- | [ - Post reply - ] |
amiga-news.de Forum > Andere Systeme > Wie am besten sensible Daten verschicken? | [ - Search - New posts - Register - Login - ] |
Masthead |
Privacy policy |
Netiquette |
Advertising |
Contact
Copyright © 1998-2024 by amiga-news.de - all rights reserved. |