mikrocontroller.net

Forum: PC Hard- und Software NSA-freier Switch gesucht


Autor: Klaus (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich brauche einen Switch für normale Homeanwendung, 8port 100Mbit würde 
reichen. Eigentlich kein großes Ding, da fallen sofot ein paar Geräte 
von tplink, dlink, netgear aus der Suchmaschine.

Andererseits sind einige der Hersteller dadurch aufgefallen, dass sie 
gewollt oder ungewollt Hintertüren in ihre Hardware verbaut haben. Von 
welchem Hersteller kann man denn noch Hardware kaufen?

Es geht ja nicht nur darum, eventuell ausgespäht zu werden. Viel größer 
sehe ich die Gefahr, dass eingebaute Hintertüren früher oder später auch 
ein Einfallstor für Schadsoftware sind.

Autor: Peter II (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Klaus schrieb:
> Von
> welchem Hersteller kann man denn noch Hardware kaufen?

kaufe einfach einen Switch ohne "smart" oder managanent, die sind so 
dumm das sie keine Hintertüren haben sollten.

Autor: Lukas T. (tapy)
Datum:

Bewertung
-5 lesenswert
nicht lesenswert
Bau selber oder lebe mit den Problemen.
Da du nur ein Switch brauchst, das im Normalfall ja nicht direkt am 
Internet hängt, solltest du dir darum keine Gedanken machen - macht nur 
paranoid.

Autor: Der Andere (Gast)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Klaus schrieb:
> Andererseits sind einige der Hersteller dadurch aufgefallen, dass sie
> gewollt oder ungewollt Hintertüren in ihre Hardware verbaut haben. Von
> welchem Hersteller kann man denn noch Hardware kaufen?

Vorzugsweise russische und chinesische. Die haben garantiert keine NSA 
Hintertüren.

Autor: Switchator (Gast)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Bei einem Switch ist ein recht komplizierter IC drin.

Man kann die kaufen, z.B. von Microchip.
Aber letztlich hast du keinen Einblick, was der wirklich tut. Ob die 
Chips von Microchip (früher Micrel) oder anderen Herstellern NSA-frei 
sind, kann dir keiner sagen.

Wenn du sicher sein willst, bau dir das selber.
Du brauchst:
- ein FPGA
- eine Handvoll PHY
- Ethernet-Trafos
Dann implementierst du den MAC in das FPGA und die Switchlogik schreibst 
du dir selber.

Einfacher ist ein Hub, das ist für einen Hobyisten durchaus zu schaffen.

Du siehst - einfach ist das nicht.

Ich persönlich glaube nicht, dass die NSA die Hintertürchen ausgerechnet 
in Switches für Privatanwender (!!!) *1) einbauen wird. Da gibts bessere 
Angriffspunkte. Das Betriebssystem, UEFI, Das Management-Interface von 
Intel, Firmware in diverser Peripherie und derartige Dinge.

*1) bei großen Switches ist das anders. Die haben da Potential. Siehe 
auch:
https://www.heise.de/security/meldung/Tausende-Cis...

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Der Andere schrieb:
> Vorzugsweise russische und chinesische. Die haben garantiert keine NSA
> Hintertüren.

Wenn amerikanische Produkte russische Hintertüren haben, wieso sollten 
russische dann nicht amerikanische haben? Und da sowieso allesamt in 
China hergestellt werden, egal was draufsteht...

Autor: Sebastian H. (sebh)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Jemand Erfahrungen mit der Firma Lancom? Als deutscher Hersteller 
bestünde da ja noch die Möglichkeit das sie keine Nass-Hintertütchen 
haben. Und den BND halte ich für nicht in der Lage ausgereifte 
Hintertürchen zu produzieren, die würden wohl schnell auffallen.

Autor: Der Andere (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Sebastian H. schrieb:
> Und den BND halte ich für nicht in der Lage ausgereifte
> Hintertürchen zu produzieren

Nö, die lassen das den NSA machen. Sind gute Kumpels.

Autor: F. Fo (foldi)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Windows, comsorrogate.exe. Suche die mal, wirst du aber nicht finden, 
weil sie nur zur Laufzeit im Taskmanager aufgetaucht ist. Vielleicht ist 
sie da nun auch wieder raus.
Da nützt dir keine Hardware etwas, wenn das Betriebssystem alles durch 
lässt.

Autor: Switchator (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
F. F. schrieb:
> Windows, comsorrogate.exe. Suche die mal, wirst du aber nicht finden,
> weil sie nur zur Laufzeit im Taskmanager aufgetaucht ist. Vielleicht ist
> sie da nun auch wieder raus.
> Da nützt dir keine Hardware etwas, wenn das Betriebssystem alles durch
> lässt.

Nein?
https://blogs.msdn.microsoft.com/oldnewthing/20090...

Du glaubst WIRKLICH, ein NSA-Spionage-Prozess würde im TASKMANAGER 
auftauchen? Muhahaha, zu geil.

Nein. Das "normale" Windows wird schon sauber sein. Sonst würde so eine 
Spionagesoftware schnell auffallen.
Wenn du die NSA im Rechner hast, dann über ein Hintertürchen, oder über 
ein manipuliertes Update.
Die Spyware hast dann nur du drauf, sonst keiner. Wenn man eine solche 
Spyware an Milliarden Installationen ausliefert, fällt sie irgenwann 
auf.

Ich würde mir mehr Sorgen um Microsoft und die Werbeindustrie und die 
ganz "legalen" und offenen Spionierereien machen. Das reicht durchaus 
auch schon aus...

Autor: Klaus (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Also nochmal, es geht mir nicht vorrangig um NSA und deren Spionage und 
wie wahrscheinlich diese für Privatanwender ist.

Es geht mir darum, dass Hintertüren auch immer von dritten Stellen 
ausgenutzt werden können und ich Hersteller, die durch solche 
Hintertüren bereits aufgefallen sind vermeiden möchte.

Autor: Peter II (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Klaus schrieb:
> Es geht mir darum, dass Hintertüren auch immer von dritten Stellen
> ausgenutzt werden können und ich Hersteller, die durch solche
> Hintertüren bereits aufgefallen sind vermeiden möchte.

dann kaufe eine möglichst dummen Switch - egal von welchen Hersteller.

Autor: F. Fo (foldi)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Switchator schrieb:
> Nein?
> https://blogs.msdn.microsoft.com/oldnewthing/20090...
>
> Du glaubst WIRKLICH, ein NSA-Spionage-Prozess würde im TASKMANAGER
> auftauchen?

Ich weiß was die Com Sorrogate Dienste machen.
Und ich glaube das nicht, ich habe es selbst gesehen.
Alle Beiträge, die ich zu dieser Zeit gepostet hatte, wurden überall 
(!) gelöscht.
Danach kamen alle Pakete aus China deutlich verspätet an und alle (!) 
mit dem gleichen durchsichtigen Paketband zugeklebt.
Einmal war es sogar so offensichtlich neu verpackt und ohne den Hinweis, 
dass es zollamtlich geöffnet wurde. Und das alles nur, weil ich auf der 
NSA Webseite nach Snowden geguckt hatte, als diese Affäre anfing.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
F. F. schrieb:
> Und das alles nur, weil ich auf der
> NSA Webseite nach Snowden geguckt hatte, als diese Affäre anfing.

Da müssen sie aber mächtig viel Arbeit mit Paketen haben. Denn nach dem 
hast du nicht alleine gesucht.

Aber jetzt wo du es sagst... In letzter Zeit kam öfter was 1-2 Tage 
später als früher. Da muss ich mir wohl Sorgen machen.

: Bearbeitet durch User
Autor: Sicher ist sicher (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Klaus schrieb:

> Es geht ja nicht nur darum, eventuell ausgespäht zu werden. Viel größer
> sehe ich die Gefahr, dass eingebaute Hintertüren früher oder später auch
> ein Einfallstor für Schadsoftware sind.

Trag nen USB-stick o.ä. in deiner Wohnung hin und her. Oder nimm einen 
Roboter der das herumtragen für Dich übernimmt.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Sicher ist sicher schrieb:
> Trag nen USB-stick o.ä. in deiner Wohnung hin und her.

Einer effektivsten Wege, ein geschlossenes Netz zu infiltrieren.

Autor: Georg (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter II schrieb:
> dann kaufe eine möglichst dummen Switch - egal von welchen Hersteller

Meine vielleicht naive Ansicht: ein Switch leitet Ethernet-Pakete 
weiter, aber er hat nichts damit zu tun, ob und wie sicher diese Daten 
geschützt bzw. verschlüsselt sind. Also ändert sich an der Sicherheit 
des Netzwerks nichts, egal ob im Switch irgendwelche Hintertürchen 
eingebaut sind. Man könnte die höchstens benutzen, um den Datenverkehr 
mitzuhören, aber dazu braucht man nicht die NSA, sondern nur ein 
RJ45-Kabel.

Vielleicht liege ich ja daneben, dann bitte eine Beschreibung der 
möglichen Bedrohung.

Georg

Autor: Jack (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Klaus schrieb:
> Es geht mir darum, dass Hintertüren auch immer von dritten Stellen
> ausgenutzt werden können und ich Hersteller, die durch solche
> Hintertüren bereits aufgefallen sind vermeiden möchte.

Noch nie aufgefallen? Ok, dann nimm einen 8-Port Switch von Kebidumei(R) 
https://de.aliexpress.com/item/8-Port-Network-Giga...

Kann fast nichts, kostet fast nichts.

Chinesischer Hersteller, Fantasie-Handelsname, wahrscheinlich 
taiwanischer Chipset (Ralink), Versand auf Wunsch über Singapur Post - 
was kann da schon schief gehen?

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Georg schrieb:
> Meine vielleicht naive Ansicht: ein Switch leitet Ethernet-Pakete
> weiter, aber er hat nichts damit zu tun, ob und wie sicher diese Daten
> geschützt bzw. verschlüsselt sind.

Das ist bei einem Layer 3 Switch schon mal etwas anders, denn das ist 
auf logischer Ebene eine Kombination aus einem L2 Switch und einem 
Router. Das betrifft beispielsweise die oben verlinkten Ciscos, aber L3 
Switches gibts auch bezahlbar.

Bei reinen L2 Switches lässt sich eine implementierte Trennung von VLANs 
per Konfiguration aufheben. Das wäre dann ein Teil eines Angriffs: Ein 
gehackter PC im eigentlich unsicheren Bereich, oder ein Gerät des 
Angreifers in einem ziemlich offenen WLAN für Gäste, und ein gehackter 
Switch, der die Trennung zum sicheren Bereich aufhebt.

Gemanagte Switches auch der einfachen Klasse bieten oft Port-Mirroring. 
Du wolltest schon immer mal sehen, was der gesicherte Login-Server für 
Traffic hat? Spiegele den Traffic auf den Port eines Gerätes unter 
deiner Kontrolle (evtl. reicht schon ein WLAN-AP) und auf gehts.

: Bearbeitet durch User
Autor: Klaus (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter II schrieb:
> dann kaufe eine möglichst dummen Switch - egal von welchen Hersteller.

Also Cisco, Linksys und Netgear sind raus, die haben zwar auch dumme 
Switches, aber Hersteller die nachgewiesenermaßen ihre Hardware mit 
Hintertüren versehen - auch wenn das hauptsächlich die Router betraf - 
muss man ja nicht unterstützen.

Wird dann wohl doch ein Chinese werden...

Autor: Peter II (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Klaus schrieb:
> Also Cisco, Linksys und Netgear sind raus, die haben zwar auch dumme
> Switches, aber Hersteller die nachgewiesenermaßen ihre Hardware mit
> Hintertüren versehen - auch wenn das hauptsächlich die Router betraf -
> muss man ja nicht unterstützen.

ob du die Hersteller unterstützt oder nicht, wird den auch ziemlich egal 
sein. Du begrenzt damit aber deine Produktauswahl.

Es ist also mehr die Frage wer den größere Schaden davon hat.

Autor: Sicher ist sicher (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Sicher ist sicher schrieb:
>> Trag nen USB-stick o.ä. in deiner Wohnung hin und her.
>
> Einer effektivsten Wege, ein geschlossenes Netz zu infiltrieren.

Nur wenn man einen präperierten USB-Stick verwendet, den man auf dem 
Parkplatz gefunden hat. Und sonderlich effektiv ist das auch nicht, man 
muss erst mal
a) einen dummen Mitarbeiter finden der fremde Sachen einfach so in 
seinen rechner steckt.
b) einen Rechner finden dessen USB-Anschlüße nicht gegen den Gebrauch 
von nichtzertifzierten USB-sticks gesichert ist.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter II schrieb:
> ob du die Hersteller unterstützt oder nicht, wird den auch ziemlich egal
> sein. Du begrenzt damit aber deine Produktauswahl.

Je moderner die Technik, desto kritischer ist sie hinsichtlich Exploits. 
Wenn man Geräte physisch trennt, dann muss der Angreifer schon Strippen 
ziehen um was zu erreichen - oder er verteilt fiese USB-Sticks an die 
Mitarbeiter.

Heute freilich, mit Server-Virtualisierung, VLANs oder gar Software 
Defined Networking, verkommen einst grosse Serverräume zu Besenkammern 
und Vernetzungaufwand sinkt. Die Gegenrechnung ist, dass man die 
früheren Luftstrecken durch Software überbrücken kann, wenn man passende 
Exploits findet.

Autor: Peter II (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Je moderner die Technik, desto kritischer ist sie hinsichtlich Exploits

ja, deswegen einen dummen Switch - egal von welchen Hersteller.

Autor: Peter II (Gast)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Nachtrag:

Schau lieber auf dem Stromverbrauch und Eventuell lauten Lüfter, das ist 
wichtiger als mögliche Hintertüren.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Sicher ist sicher schrieb:
> Nur wenn man einen präperierten USB-Stick verwendet, den man auf dem
> Parkplatz gefunden hat. Und sonderlich effektiv ist das auch nicht,

Schon von Stuxnet und der Zerstörung iranischer Urananreicherungsanlagen 
gehört? Das war zwar summarum sehr aufwendig, aber man kann es dennoch 
als überaus effektiv bezeichnen.

Autor: jz23 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
8Port 100Mbit für den Heimbereich. Und da fängst du von Lüfter an?

Aber die Geräuschkulisse kann wirklich ein Punkt sein: Mein Switch 
(Netgear) fiept furchtbar. Im Flur allerdings egal.

Autor: F. Fo (foldi)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Aber jetzt wo du es sagst... In letzter Zeit kam öfter was 1-2 Tage
> später als früher. Da muss ich mir wohl Sorgen machen.

Lach drüber, aber es war schon sehr seltsam.

Autor: Peter II (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
jz23 schrieb:
> 8Port 100Mbit für den Heimbereich. Und da fängst du von Lüfter an?

das ist das Minimum:

> 8port 100Mbit würde reichen.

bei Gigabit gab es schon Modelle mit Lüfter.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter II schrieb:
> bei Gigabit gab es schon Modelle mit Lüfter.

Logisch. Und je älter die Technik, desto lauter die Lüfter. Bei 10G 
Switches können dann 25-30W pro Port durch die Lüfter rauschen.

Autor: Klaus (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Peter II schrieb:
> ob du die Hersteller unterstützt oder nicht, wird den auch ziemlich egal
> sein. Du begrenzt damit aber deine Produktauswahl.

Ja kann sein. Ist sicher auch Nestle oder Müller-Milch egal, wenn ich 
deren Produkte nicht kaufe. Und weil jeder so argumentiert, können die 
Konzerne weitermachen als wäre nichts geschehen.

Obwohl, so ganz egal scheint es nicht zu sein: 
https://www.srf.ch/news/international/die-us-it-br...

Autor: Sicher ist sicher (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Sicher ist sicher schrieb:
>> Nur wenn man einen präperierten USB-Stick verwendet, den man auf dem
>> Parkplatz gefunden hat. Und sonderlich effektiv ist das auch nicht,
>
> Schon von Stuxnet und der Zerstörung iranischer Urananreicherungsanlagen
> gehört? Das war zwar summarum sehr aufwendig, aber man kann es dennoch
> als überaus effektiv bezeichnen.

Effektiv heisst mit wenig viel erreichen, die Urananreicherungsanlagen 
wurden auch nicht zerstört sondern nur verlangsamt und wenn man die 
Siemens-Software ersetzt ist der Angriff auch für die Katz.

Abgesehen davon das für Stuxnet kein USB-Stick verwendet wurde und damit 
die Argumentation das erst die Verwendung von USB-Sticks effiziente 
Angriffe ermöglichen schon im Ansatz widerlegt ist: 
https://www.computerwoche.de/a/computerwurm-stuxne...

Beitrag #5205233 wurde vom Autor gelöscht.
Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert

Autor: Sicher ist sicher (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Sicher ist sicher schrieb:
>>
> 
https://www.computerwoche.de/a/computerwurm-stuxne...
>
> Thx.

Da noch ein Link wie man sich vor Bad-USB schützt
https://www.computerwoche.de/a/so-nutzen-sie-usb-w...

Zitat:

•Strikte Mitarbeitervereinbarungen, was die Verwendung von 
USB-Endgeräten angeht, unterstützt von
•dem Einsatz von ebenso strengen wie technisch ausgereiften Produkten 
zur Gerätekontrolle mittels Whitelists und
•im Zweifelsfall der ausschließliche Einsatz von zertifizierten 
Crypto-Sticks mit ebenso zertifizierter Firmware.

Zitat - ende

Also nix, was man als Privatanwender auch nicht realisieren kann um 
USB-Sticks zum abhörsicheren Datentransfer einzusetzen.

Getreu dem Motto "wer sich übers Netzwerk nicht abhören lassen möchte, 
verwendet keine Netzwerke" Das ist IMHO zwar paranoid, aber wenigstens 
konsequent. Wenn also der TO pauschal Angst vor lauschenden Hubs hat, 
dann soll er nicht nach dem  Hub suchen der am wenigsten unsicher gilt, 
sondern das Übel an der Wurzel packen und keine geheimen Daten auf 
Netzwerken mit Fernzugriff speichern.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Sicher ist sicher schrieb:
> Also nix, was man als Privatanwender auch nicht realisieren kann um
> USB-Sticks zum abhörsicheren Datentransfer einzusetzen.

Keine Frage. Aber wenn ich lese, was die dafür berühmt gewordenen 
britischen Behörden alles an geheimen Datenträgern unter die Leute 
brachten... Soll heissen: Wenn alle sich minuziös an Regeln halten, ist 
alles gut. Wenn. Es gibt nicht nur Exploits in der Technik. Auch der 
Mensch selbst ist ein wandelnder Exploit. Ohne jede Aussicht auf einen 
Patch.

Autor: Entspannungswandler (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Klaus schrieb:
> Also Cisco, Linksys und Netgear sind raus, die haben zwar auch dumme
> Switches, aber Hersteller die nachgewiesenermaßen ihre Hardware mit
> Hintertüren versehen - auch wenn das hauptsächlich die Router betraf -
> muss man ja nicht unterstützen.
>
> Wird dann wohl doch ein Chinese werden...

Dann hört dich halt ein Chinese ab...

Autor: ● J-A VdH ● (Firma: FULL PALATINSK) (desinfector)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Der TO nutzt natürlich auch kein Handy, richtig?

Autor: Klaus (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
● J-A V. schrieb:
> Der TO nutzt natürlich auch kein Handy, richtig?

Ach ja, das liebe ich an diesem Forum: Sinnfreie Beiträge ohne die 
Fragestellung gelesen zu haben.

Autor: ● J-A VdH ● (Firma: FULL PALATINSK) (desinfector)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
tja wenn Du den Sinn meiner Antwort nicht erkennst - traurig traurig :)

Autor: Michi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich hoffe du nutzt keine halbwegs aktuelle Intel-Plattform: 
https://www.heise.de/newsticker/meldung/Hacker-dri...

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.