vielleicht ist meine wortwahl falsch... nennen wir es nicht "entschlüsseln per mausklick über den ver/entschlüsselungs algoritmus" sondern einfach "es gibt eine art backdoor", womit die ganze problematik einfach beiseite geräumt wird....

ein backdoor gibts sogut wie überall. ich bin der meinung mit genügend zeit kann man sogut wie alles knacken. ob das jetzt ein verschlüsselter algorithmus, ein passwort oder weiß der teufel was ist.. zumindest theoretisch ist alles knackbar. es ist nur eine frage der zeit (passwort -> siehe rainbow tables f.e.).

aber es wird kaum so einfach sein wie du es eben beschrieben hast chris.

es ist auch nicht schwierig einen windows server zu hacken.

du findest den patch stand heraus (und nein das erläutere ich jetzt nicht genauer ;D),
suchst dir eine behebung einer sicherheitslücke raus und nutzt genau diese aus. voila da hast du deinen server.

was ich damit sagen will. möglich ist (so ziemlich) alles, nur eine frage des aufwandes und ob es sich lohnt.

@ wissensstand: htl wiener neustadt, edv und organisation

Ja, wenn du diese eingesetzten Algorithmen dahingehend manipulierst, dass du nachher ein Hintertürchen hast.
Aber bei den Algorithmen wie es sein soll, gibt es sowas nicht.
Wieso hätten sonst diese Mathematiker soviel Ansehen in diesen Kreisen? Ober arbeiten alle Mathematiker und Personen, die sich mit den Algorithmen beschäftigen, für die Regierungen und sagen uns allen nicht, dass da eine Backdoor drin ist?

Wie gesagt, schau dir mal den RSA an und versuch ihn zu verstehen. Am ersten Blick schaut er einfach aus, dann wieder doch nicht und im Endeffekt gehts dann locker mit ein bissl Mathematik Schulwissen :)
Ist der Schlüssel groß genug, braucht man sehr viel Zeit und sehr viel Rechenleistung um vielleicht einmal irgendwann draufzukommen. Es geht nämlich darum, dass man eine Zahl hat, die aus einem Produkt von zwei Primzahlen besteht.
z.B.: 21
Wenn ich das weiß, hab ich schon jeweils einen Teil das öffentlichen und privaten Schlüssels.
Wenn ich weiß, dass der öffentliche Schlüssel (7,21) ist dann is ja klar, dass nur (3,21) der private Schlüssel sein kann und ich damit Entschlüsseln kann.
Bei so kleinen Zahlen gehts ohne Probleme.
Lustig wirds dann bei Zahlen über 200 Stellen, da hast du mit der heutigen Rechenleistung keine Chance(außer die Amis ham Quantencomputer, was ich aber bezweifle)
Wenn die Leistung steigt, da kann ich mir auch größere Schlüssel ausdenken und bis die dann geknackt werden können, gibts schon 200mal größere Schlüssel...Somit frag ich mich, wie das gehn soll...

Wenn der Server immer up2date ist, musst du die Lücken schon selbst suchen, um die dann anzugreifen. Sobald eine Sicherheitslücke aktuell ist und es einen Exploit dafür gibt, ist sehr sehr schnell der Patch herausen(meistens noch vor dem Exploit).
Und wenn der Serveradmin immer updatet, dann hat man auch mit seinem Exploit, den man sich von irgendwo gholt hat, nicht viel Chancen.

Klar, es gibt genug unsichere Server und dann wird immer alles auf MS geschoben. Aber wenn man nicht updatet, dann tja ;) Das kommt davon, wenn man jeden, der sich Informatiker schimpft, an die Serveradministration ranlässt. Da werden so triviale Dinge gerne vergessen.

Und M$ is da wirklich schnell. Kann mich noch erinnern, dass Red Hat vor ein paar Jahren mal 9 Monate gebraucht hat, eine Lücke zu schließen, obwohl sie ihnen bekannt war und als sehr kritisch eingestuft wurde.
Weiß nicht, wie die jetzt vorgehn, wills gar nimmer wissen :)

Aja, Steve, habts ihr Penetration Testing schon gemacht?

jedenfalls nicht via brute force... ich weiss es ja auch nicht, und wenn ichs wissen würde, wäre ich wohl über den jordan. ich hab nur gehört, dass jede software der nsa (ich wette, wenn man das wort hier im forum erwähnt, liest gleich mal jemand was ich hier schreibe *g*) vorgelegt werden muss - wie das mit internationaler software aussieht weiss ich nicht. was dort dann passiert, weiss wohl keiner so genau bzw. wird kaum jemand sagen... aber was ich gehört hab, bekommt die nsa dann "irgendwas" (ich habs nicht hinterfragt, kenn mich auf dem gebiet nicht so aus) damit sie einsicht auf verschlüsseltes material nehmen können. wenn man googled findet man in den 90ern ansätze, dass sie ein backdoor in jeder software haben wollten, was nun wirklich passiert oder passiert ist... kA, aber der von dem ich das weiss, ist eigentlich der klügste mensch den ich kenne.

hat auch in die richtung studiert und ist ein mathegenie obendrein- kennt sich mit dbanken, sicherheit etc. sehr sehr gut aus, hat so ziemlich oracle schulungen hinter sich, wird hier und da zum UN (oder wars EU?) gipfel eingladen, und kam auch schon öfter ins kreuzfeuer von so geheimdienst kack, und tauscht sich mit alten bekannten die auch auf seinem "wissensniveau" in einer kleinen gruppe jährich aus, wo sich alle gegenseitig bestimmte fachvorträge halten... wie auch immer... ich hab mir bei weitem nicht alles gemerkt, weil sehr viel fachchinesisch dabei ist etc.. wusste ja nicht, dass ich eines tages in einem forum damit angeben muss, wie toll doch bestimmte menschen sind, jedenfalls hats mich ziemlich erschrocken was er alles erzählt hat :D

Mit dem würd ich gern mal reden ;)
Vielleicht hast du was falsch aufgefasst oder so.

Das stimmt schon teilweise, Stichwort Clipper-Chip Initiative der Amerikaner(bzw hauptsächlich FBI und NSA ;) )
Damals wollte man eben mehr oder weniger solche Backdoors einbaun. 1993 war das und das hatte keinen Erfolg, wie man es auch mathematisch beweisen kann.

Also wenn man die Daten sicher verschlüsselt, dann passiert da nix.

Viel interessanter ist da das entschlüsseln von Telefongesprächen und SMS. DAS is wirklich einfach!

vielleicht frag ich mal bei gelegenheit... aber nicht sofort, irgendwann mal wenns grad passt...

Ok, in ca. 2 Stunden bin ich wieder daheim, dann will ich deine detaillierte Antwort :P

@ reini:

haben uns schon eine zeit lang damit beschäftigt, aber in diesem jahrgang kommts nochmal ganz genau. da gehts dann um serverkonfiguration, serverhacking (muss man auch können) und schutzmaßnahmen. gegen hackangriffe ist das einzig wirkungsvolle ja eh eine hardware firewall.

ich behaupte mal ganz wage: alles andere IST (in absehbarer zeit etcpp) zu knacken...

aber penetration testing find ich schon sehr interessant, aber ich vermute ich werd mich da eher langweilen anfangs (bzw. hab mich bei dem kurzen "ausflug" dorthin gelangweilt).

der vorteil: unser lehrer ist der ÄRGSTE geek dens gibt. der betreut seit 35 jahren sap system hat fast alle mbc's und ist jährlich auf diesen hacking treffen, bei denen neue systeme auf ihre sicherheit überprüft werden. (mir fällt grad der name nicht ein... black convention, kann das sein?)

was studierst du?

lg

Könnt' Ihr bitte woanders spamen !!!

Danke.


:D

man beachte den untersten satz in der aufzählung :D

Der Sicherheitspezialist Aviv Raff hat eine Demo zur Verfügung gestellt, die das Problem vorführt. Beim Besuch der Seite wird ohne Nachfrage beim Anwender ein Java-Archiv (.jar) heruntergeladen und im Download-Ordner abgelegt – der Nutzer merkt davon nichts. Ein Klick auf den geschickt benannten Download-Button in Chrome startet dann die Java-Datei. In der Demo öffnet sich nur ein in Java geschriebenes Notepad, ein Krimineller hätte aber damit ein System kompromittieren können. Zwar ist für einen erfolgreichen Angriff eine Nutzerinteraktion notwendig, zumindest anfangs dürften aber einige unbesorgt auf die Download-Buttons klicken.

http://raffon.net/research/google/chrome/carpet.html



Darüber stellt eine weitere Demo die angepriesene Stabilität und Integrität der Anwendung in Frage. Sie bringt den kompletten Browser zum Absturz. Google hatte behauptet, dass einzelne Webseiten oder Anwendungen in Tabs getrennt voneinander wie einzelne Prozesse in einer Art Sandbox betrieben werden. Störungen in einem Tab sollen so in anderen Tabs angezeigte Webseiten oder aktive Webapplikationen nicht beeinflussen oder stören können.

http://lists.grok.org.uk/pipermail/f...er/064203.html


http://www.heise.de/newsticker/Mehre...meldung/115363

Ich studier IT-Security :)

Da gibts viele Konferenzen. Black Hat, IT-Underground, Kongress des CCCs,... ;)
Mit IT-Sicherheit kann man in einer Firma sicher keine Milliarden verdienen, aber ohne dem würde man schnell ein paar Milliarden verlieren(wenn die Firma nicht so groß is ein paar Millionen oder ein paar Hundertausend Euro, viel auf alle Fälle :) )
Trotzdem haben die Firmen es teilweise versäumt, darin zu investieren. Die Kriminellen stellen sich auch um. Die spionieren jetzt nicht mehr mit Hilfe eines übergelaufenen Mitarbeiters oder brechen in der Nacht ein und schaun sich die Angebote bei einer Ausschreibung der Konkurrenz an.

Bei vielen Managern hat das Umdenken aber erst spät eingesetzt und jetzt schreins alle nach Datensicherung und -integrität und was weiß ich.

Ich behaupte Mal, dass die Security Abteilung in einer großen Firma mindestens genauso wichtig ist, wie das Controlling, die QS, der Vorstand, das Management, die Produktion, das Marketing und was weiß ich alles.

Aber gut, da könn ma ja vl beim nächsten Mal nachn Fußballspiel reden.
Chris, du kannst gerne auch kommen, du bist ja auch in der IT bei der OMV, oder?

Back2Topic
(also fast ;) )
Ich weiß auch nicht, was genau Google mit den Daten macht. Wenn sie wissen, wo ich gestern um 18:28 gesurft bin, solln sie das wissen.
Wenn sie die Daten dazu verwenden, mir auf GMail für mich interessante Werbung einzublenden, dann solln sie das tun(Ich find das nicht Mal so schlecht. Vielleicht will ich mir ja grad sowas kaufen und entdecke dann ein Schnäppchen?!)
Wenn sie die Daten ewig speichern wollen, dann solln sie es tun.

ABER

Sie sollen die Daten nicht an Dritte weitergeben. In erster Linie nicht an Firmen und in zweiter Linie nicht an die Behörden.

ALLERDINGS

Wenn Google feststellt, dass jetzt irgendein User von ihnen auf ein kinderpornografisches Portal zugreift, wo sogar dortsteht, wie man kleine Mädchen anlockt ( http://www.orf.at/ticker/301121.html ), dann bin ich schon dafür, dass man sowas weiterleitet. Das darf aber nicht automatisch passieren und sollte nur im Verdachtsfall genau angeschaut werden.
Leider is das wieder dehnbar. Dann kanns auch sein, dass Musikproduzent XY zu befreundeten Staatsanwalt YZ hingeht und der unter einem Vorwand sich die Daten beschafft, nur um einen Jugendfeind von Musikproduzent XY eins auszuwischen.
Is halt schwierig, da eine klare Linie zu definieren.

Back2Chrome

http://www.mattcutts.com/blog/google...communication/

Schon mal ein Beweis, dass Google nicht soviel telefoniert, wie viele glauben...

Das is wie damals beim Service Pack 3.
Da wird eine BETA veröffentlicht und dann schreins alle, wenn was nicht funktioniert.

Unwissenheit schützt vor Strafe nicht :)

Man muss halt bedenken, Google ist jetzt nicht mal bei Version . Die haben sicher genug Programmieren und genug Tester und vor allem Systemanalytiker. Trotzdem können aufgrund der neuen Technik auch immer wieder neue Schwachstellen auftreten.
War ja bei Firefox und Opera nicht anders.
Aber nochmal, ES IST NUR EINE BETA :)

warum betonst das jetz?! is im artikel eh unterstrichen...

Ja, aber weil schon wieder soviel Berichte sind, dass es Fehler gibt usw...
War jetzt nicht auf dich bezogen, sondern auf diese Berichte.

Einerseits steht da, dass es eine Beta is, andererseits kritisieren sie im Bericht die Schwachstellen. Bissl widersprüchlich

Das jeder Tastendruck automatisch an Google geschickt wird, ist ein völliger Blödsinn.

Kann jeder hier selber mit einem Netzwerkanalyse Tool herausfinden.

naja steht auch nicht, dass er sofort gesendet wird...

wenn dann in regelmässigen abständen gleich mehrere einträge die getätigt wurden... die abtastung wird sicher nicht on-the-fly sein, sondern sicher nach eingabe oder fokusverlust... (wenn)