|
Stealthwatch Frühwarnsystem
|
|
19 May 2009, 17:33
|
Flunkyballmeister 2010
Punkte: 1415
seit: 26.11.2003
|
Zitat(pruefi @ 19 May 2009, 17:31) Ja man sollte das vllt nur auf subnetze beschränken.., bzw subnetze davon ausnehmen. jo .. aber wer entscheidet welches subnet muss und welches nicht und auf welchen grundlagen sollte dann so ein entscheidung getroffen werden? ..
--------------------
There is a theory which states that if ever anybody discovers exactly what the Universe is for and why it is here, it will instantly disappear and be replaced by something even more bizarre and inexplicable. There is another theory which states that this has already happened. Douglas Adams
|
|
|
|
|
19 May 2009, 18:42
|
1. Schein
Punkte: 12
seit: 17.05.2009
|
Delegation von Verantwortung. Das heißt zB jeder Admin ist für "sein" Subnetz verantwortlich und muß dann auch im Notfall, wenn er nicht innerhalb einer Frist von 30min das Problemterminal isolieren kann, für das ganze sub den Stecker ziehen. (Ist nur so eine Idee..)
--------------------
|
|
|
|
|
19 May 2009, 19:02
|
1. Schein
Punkte: 12
seit: 17.05.2009
|
Dh. Du kleisterst den Port mit nem kurzfristigen Tarpit zu und gibst so dem Admin die Möglichkeit (zeitnah) zu handeln? Sag mal, es muß doch an der UNI richtig zertifizierte Admins geben? Das kann doch keiner so mal nebenbei machen...mir wird da übel.. was für eine Atmosphäre atmen die auf ihrem Planeten? Wenn ich bedenke, wie es auf manchen Institutsrechnern aussieht, und welche Sicherheitsklassifikation die Arbeiten haben. Dann sind hier unbedingt VollzeitAdmins notwendig. Denn es gibt bestimmt genügend Interessenten für die Daten. ...
|
|
|
|
|
19 May 2009, 22:18
|
dLikP
Punkte: 1497
seit: 06.10.2006
|
Zitat(seb @ 19 May 2009, 17:33) jo .. aber wer entscheidet welches subnet muss und welches nicht und auf welchen grundlagen sollte dann so ein entscheidung getroffen werden? .. Überwiegend private Rechner ausnehmen wäre schon mal ein Anfang. Das wären dann alle Wohnheimnetze. Ansonsten ist die Maßnahme natürlich als Ganzes abzulehnen. Allerdings denke ich nicht, dass es hier noch ein zurück gibt, dafür müssten jetzt schon zuviele Leute zugeben, sich geirrt zu haben und das geht erfahrungsgemäß garnicht.
--------------------
flickrUnd wenn sie kommt, fährt sie an uns vorbei -RaT-
|
|
|
|
|
29 May 2009, 19:02
|
versucht
Punkte: 5424
seit: 21.10.2007
|
Auf der Homepage des FSR Informatik Zitat(FSR Informatik @ TUD) Die geplante Einführung eines Frühwarnsystems vom ZIH wurde in letzter Zeit rege diskutiert. Der iFSR hat sich bereits in einer früheren Stellungnahme (PDF) zu diesem System geäußert. Weiterführende Diskussionen und Gespräche mit ZIH-Vertretern führten nun zu einer zweiten Stellungnahme (PDF). Ausserdem waren am letzten Monatg Prof. Pfitzmann, Herr Herber und Herr Syckor zu Gast auf der Sitzung des FSR Informatik. Protokoll (PDF)Dieser Beitrag wurde von aeon: 29 May 2009, 19:06 bearbeitet
--------------------
Weep not for roads untraveled Weep not for sights unseen May your love never end and if you need a friend, there's a seat here along side me.
|
|
|
|
|
29 May 2009, 19:29
|
versucht
Punkte: 5424
seit: 21.10.2007
|
Zitat Im Uebrigen handele es sich nicht um eine Ueberwachung, sondern um ein sogenanntes Netz-Monitoring, betont der Professor
monitor, noundie Abhoereinrichtung, das Aboergeraet, die Abhoerung, die Mithoereinrichtung, die Ueberwachungseinrichtung, das Warn-Geraetto monitor, verbabhoeren, beaufsichtigen, beobachten, kontrollieren, mithoeren, ueberwachen , ich liebe Bullshit-Bingo Dieser Beitrag wurde von aeon: 29 May 2009, 19:38 bearbeitet
|
|
|
|
|
04 Jun 2009, 01:58
|
alleingelassen.
Punkte: 9584
seit: 22.10.2004
|
Danke erstmal an die Sächsische Zeitung für den Artikel, gar nicht mal schlecht. Zitat(pruefi @ 19 May 2009, 19:02) Wenn ich bedenke, wie es auf manchen Institutsrechnern aussieht, und welche Sicherheitsklassifikation die Arbeiten haben. Dann sind hier unbedingt VollzeitAdmins notwendig. Denn es gibt bestimmt genügend Interessenten für die Daten. ... Ja nun, das ist sicher einer der Punkte, die bei Prof. Nagel und Hr. Syckor (Sicherheitsbeauftragter der TUD) die Motivation darstellen: Man will sich absichern. Da man das nicht vernünftig kann, wird eben ein Frühwarnsystem eingeführt, sodass man sagen kann "Wir haben ja was gemacht!". Der Umstand, dass es allein dieses Jahr bereits 400 Vorfälle gab (davon 350 Conficker) und das FWS daran auch künfitig nichts ändern wird, ist da nur das Salz in der Suppe. Wie geht es weiter?Das ZIH hat nun schon seit 4 Jahren an diesem System geplant, wie ich aus gut informierten Mitarbeiter-Kreisen erfuhr. Das ist natürlich alles nur Höhrensagen. Die Realisierung soll wohl nun wie folgt aussehen (und wird im übrigen nicht von allen Mitgliedern der zuständigen DV-Kommission getragen): An Wochenenden sowie an zwei Arbeitstagen werden sämtliche Verbindungsdaten geloggt und mehrstufig ausgewertet und gespeichert. Der Zugriff darauf kann nur unter dem 4-Augen-Prinzip stattfinden, wobei ein Beteiligter der Datenschutzbeauftragte ist. Ein Zugriff erfolgt bei Verdacht und eine Weitergabe nur, wenn man juristisch dazu gezwungen ist. So zumindest die Zusicherungen, die mir zugetragen wurden. Ob man sich daran hält bleibt abzuwarten, denn eine Verabschiedung der Betriebsordnung ist nicht mehr notwendig. Dies wurde durch ein geschicktes Verwaltungsmanöver ermöglicht, ein Schelm, der denkt... Technische Realisierung: Die Cisco-Switches liefern verbindungsbezogene Daten, die dann pro Session in die Auswertung des StealthWatch-Systems geschickt werden. Dort findet dann auch nochmal eine monatliche Aufbereitung statt - übrigens immernoch mit m.E. zu vielen Verbindungsdaten (Granularität 1 Tag), nicht statistisch anonymisiert. Ich bin gespannt, wie sich das ZIH in dieser diffizilen Angelegenheit schlägt. Die Leute, die ein bisschen Ahnung von der Sache haben und studentische Interessen vertreten sind jedenfalls hellhörig geworden - endlich. #abd
--------------------
..:: Wir sind gekommen Dunkelheit zu vertreiben, in unseren Händen Licht und Feuer ::..
|
|
|
|
|
04 Jun 2009, 09:21
|
1. Schein
Punkte: 12
seit: 17.05.2009
|
"Wer Freiheiten der Sicherheit wegen aufgibt, hat beides nicht verdient." Benjamin Franklin
Also was ich so aus diversen mail-Archiven (z.B. sourceforge) entnommen habe, besteht die Wahrscheinlichkeit, dass das ZIH schon seit Oktober (zu Testzwecken) die NetFlow-Daten zumindestens auswertet und analysiert, denn sonst würde man sich nicht für bestimmte Software interessieren, bzw damit Probleme haben. Daraus schlußfolgere ich, dass das Projekt nicht erst noch umgesetzt werden muß, sondern dass die Betriebsordnung nur zur Legalisierung eines bestehenden Systems dient. Solch ein Verhalten ist, zumindest moralisch, zu hinterfragen.
Von der Juristischen Bewertung, ob denn dieser Grundrechteingriff "Verfassungsgemäß" ist, gibt es spätestens bei der Abprüfung der "Verhältnismäßigkeit" im Punkt "Existenz eines milderen Mittels" Schwierigkeiten. Weil meines Erachtens wesentlich mildere Mittel (tarpits, honeypots.., Netz-Topologie) exististieren, die natürlich mehr Aufwand (Administratoren) erfordern. In der Abwägung ob es dem Staat (als Träger der Universität) zuzumuten ist, mehr Geld für die Sicherheit der Bürger aufzuwenden, muss meiner Auffassung nach das Grundrecht höher als mögliche Mehrausgaben bewertet werden. So dass im Endeffekt dieser Grundrechtseingriff mit der Verfassung NICHT konform geht und abzuweisen ist. Mit dem Verweis auf eine bestehende Betriebsordnung "Ihr habt das selbst beschlossen" kann sich der Staat weiterhin nicht der Grundrechtsbindung entziehen.
Ich hätte von den im ZIH arbeitenden Informatikern, im Speziellen solchen, die zumindestens den Grad eines Doktors der Informatik erreicht haben, mehr Sensibilität hinsichtlich des Themas "Datenschutz" und wesentlich mehr "Rückgrat" in der Verteidigung unser allen Rechts auf informationelle Selbstbestimmung erwartet.
Ein wesentlicher Kritikpunkt an der Ausarbeitung ist das Fehlen einer "Negativ-Analyse", die Darstellung darüber, was ist mit dem zu installierenden System in letzter Konsequenz (madOP) an Kontrolle über den Nutzer möglich ist. Hier muß nocheinmal eindringlich darauf hingewiesen werden, dass mit der IP-Adresse und Zeitstempel (als relationales Element) eine Verknüpfung von Logfiles über das Netz hinweg möglich ist. Aus der Zusammenführung der NetFlow-Meldungen und Server-Logs kann selbst der technische unbedarfte Laie über jeden beliebigen Nutzer zumindestens ein Surf-Profil erstellen, wenn nicht sogar seine publizierende Tätigkeit (Foren, Blog) verfolgen.
Dieser Beitrag wurde von pruefi: 04 Jun 2009, 09:23 bearbeitet
|
|
|
1 Nutzer liest/lesen dieses Thema (1 Gäste)
0 Mitglieder:
|