SSL-Verschluesselung, Zugriff auf EXCLUSIV-Server durch Tech

[Anonymous]

Hallo,
folgende Frage ist mir eben gerade durch den Kopf geschossen:
Was nuetzt denn eigentlich die ganze SSL-Verschluesselung, wenn die Mitarbeiter von 1und1 doch theoretisch an die Platte mit den php-scripts und die mysql-Datenbanken herankoennen?!

Wenn irgendwo steht, dass die Daten auf einem gesicherten Webserver abgelegt werden, dann ist das doch eigentlich ein "in Sicherheit gaukeln", oder sehe ich da was falsch?

Viele Gruessen
Hoirkman

[rootmaster]

folgende Frage ist mir eben gerade durch den Kopf geschossen:
Was nuetzt denn eigentlich die ganze SSL-Verschluesselung, wenn die Mitarbeiter von 1und1 doch theoretisch an die Platte mit den php-scripts und die mysql-Datenbanken herankoennen?!

gar nichts 8)
ssl ist auch dafür gedacht, tcp-sockets zu sichern ;)
mitarbeiter haben im übrigen auch consolen-zugriff und ich vermute mal, nicht wirklich interesse auf deinem system herumzuspazieren ;)

Wenn irgendwo steht, dass die Daten auf einem gesicherten Webserver abgelegt werden, dann ist das doch eigentlich ein "in Sicherheit gaukeln", oder sehe ich da was falsch?

die admins dort sind bestimmt nicht deine feinde !
ein vergleich:
chirugen läßt du auch in dein fleisch schneiden, weil du ihnen vertraust, dass sie dein bestes wollen ;)

ps: "sicherheit" in deinem sinne hast du nur bei einem veschlüsselten filesystem

"back to the roots"

[captaincrunch]

ps: "sicherheit" in deinem sinne hast du nur bei einem veschlüsselten filesystem

Wie heißt es doch so schön : "Ein sicherer Rechner steht ohne jegliche Netzwerkverbindung in einem mit Faradyschen Käfig gesicherten unterirdischen Bunker" ... ;)

[Outlaw]

ps: "sicherheit" in deinem sinne hast du nur bei einem veschlüsselten filesystem

Wie heißt es doch so schön : "Ein sicherer Rechner steht ohne jegliche Netzwerkverbindung in einem mit Faradyschen Käfig gesicherten unterirdischen Bunker" ... ;)

Unterirdisch ?? Und wenn Wasser eindringt ??

Ich denke, ein wirklich sicherer Server ist "gar kein Server" .... ;):D

Gruß Outi

PS: Solange jemand den Rechner füßikalisch vor sich hat, kann man gegen nen Plattenausbau und anschl. kopieren gar nix machen. Mit diesem "Restrisiko" musst Du leben, auch wenn 1&1 immer wieder behauptet, daß die Techniker nicht an die Daten kommen, wenn man die PWs geändert hat.

[Anonymous]

@rootmaster
hi, gibt es irgendwelche tools, mit denen man auf den servern von puretec verschluesseln kann?
vg hoirkman

[rootmaster]

hi, gibt es irgendwelche tools, mit denen man auf den servern von puretec verschluesseln kann?

auf system-ebene nur, wenn du root-zugriff hast ! hast du nicht ;)
für dich bleiben nur applikationen, die daten-verschlüsselung unterstützen: wie zb mail+gpg

die meisten standard-applikationen auf deinem exklusivserver speichern aber im klartext ;)

"back to the roots"

[outofbound]

Hi

@Outlaw:

Bitte Unterscheide "an Daten rankommen"...

Wenn einer sein Passwort ändert, kommt ein "Supporter" nicht mehr dran,
während das System läuft. (Ist ja logisch)... ein Techniker könnte theoretisch an eine Console... aaaaber ohne Passwort? --> Nix gibts... auch bei denen nicht, solange du es ihnen nicht erlaubst.

Natürlich könnten die die Platte einfach ausbauen, aber das bemerkt ein guter Admin natürlich, denn schliesslich fährt der Rechner runter. ;)

Wenn mans wirklich sicher haben will:

-- CFS einsetzen, komplettes Linux encrypten.
[edit]
http://www.thc.org/papers/anonymous-unix.html ist ganz nett, btw. ;)
[/edit]
-- Niemals an den Support wenden, dass die ja nicht auf die Idee
kommen, überhaupt an den Rechner zu gehen. ;)


Und die Sicherste Aller Methoden (SAM:)

Keine Sensitiven Daten auf Rechner, auf die man nicht phsiykalischen Zugriff hat.

Gruss,

Out

[Outlaw]

@OutOfBound

Glaube mir, es gibt Wege an die Daten dranzukommen, ohne den Server runterzufahren, auch wenn die keine PWs haben.

Dazu lasse ich mich aber jetzt nicht näher ein, wir wollen ja keine schlafende Hunde wecken .... ;):D

Nur sovie: Ein Rechner, der füßikalisch vor einem ist, ist vor gar nix sicher !!

Mit einer Festplattenverschlüsselung der Daten kann man zwar die Sache einigermassen absichern, aber wenn einer da dran will, gibt es auch hier wieder Mittel und Wege, dies zu umgehen, wobei ich aber vermute, daß auf unseren Servern nicht so die tollen Daten befinden, daß sich der Aufwand lohnen würde ....

Gruß Outi

PS: Ich will keine Panik machen, ich möchte nur aus eigener Erfahrung mitteilen, daß es keine "absolut" sicheren Server gibt ....

[captaincrunch]

Nur sovie: Ein Rechner, der füßikalisch vor einem ist, ist vor gar nix sicher !!

Selbst wenn du direkt vor der Konsole sitzt, kommst du nicht ohne weiteres an die Kiste ran, oder jedenfalls nicht ohne dass derjenige, der den Server (vernünftig) administriert etwas davon mitbekommt. Alleine aufgrund dieses Risikos werden Techies sich hüten, deinen Server "knacken" zu wollen (außer natürlich, wenn der begründete Verdacht besteht, dass strafrechtlich relevantes Material dort gelagert ist, aber das ist wieder ein anderes Thema).

[Outlaw]

Jetzt lasst doch mal die Konsole beiseite. Wenn ich Techniker bin und das Rack vor mir habe, halte ich mich nicht mit so Kleinigkeiten, wie der Kosole auf, aber lassen wir das, das führt jetzt zu weit ....

Mit der ausreichenden Kriminalität im Blut, komme ich an Deine Daten, ohne daß Du was mitbekommst, wenn man den richtigen Zeitpunkt abwartet aber jetzt is hier Schluß, sonst muss ich umziehen .... ;):D

Gruß Outi

[captaincrunch]

Jetzt lasst doch mal die Konsole beiseite. Wenn ich Techniker bin und das Rack vor mir habe, halte ich mich nicht mit so Kleinigkeiten, wie der Kosole auf, aber lassen wir das, das führt jetzt zu weit ....

Ich gebe dir zwar vollkommen Recht, was die Leichtigkeit angeht, einen Rechner zu knacken, der physikalisch vor einem steht, das aber auf einer vernünftig konfigurierten Maschine zu tun, ohne dass der Admin (wohlgemerkt wenn er vernünftig konfiguriert hat) etwas davon mitbekommt ist relativ unwahrscheinlich. Ich lasse mich da aber gerne von dir eines besseren belehren ...

[Outlaw]

Nunja, die Möglichkeiten, daß es der Admin nicht merkt, lasse ich jetzt mal aus vorgenannten Gründen weg (mit Linux Profikenntnissen und guten Hardwerekenntnissen ist da vieles möglich und Du hast keinen Plan, daß überhaupt was war). Aber es gibt ja auch noch die Möglichkeiten, bei denen Du als Admin was bemerkst aber nicht das, was wirklich war (z.B. plötzliche Festplattencrashs, Resets, RZ Probleme), das lässt sich alles tarnen aber wie gesagt, ist diese Schwarzseherei eigentlich unbegründet, da die wirklich wichtigen Daten, die viel Kohle bringen, verm. kaum auf 1&1 Servern lagern ....

Gruß Outi

PS: Ich will nur damit sagen, daß es nicht unmöglich ist und es keine absolut sicheren Server gibt !! Selbst wenn der Admin es bemerkt, sind der oder die Täter schon längst über alle Berge. Ich habe selbst mal jemanden erlebt (aus leidvoller Erfahrung), der so dreist war, daß man den Kopf schüttelt, wie leicht es manchmal ist, ....

Soviel zu diesem Fall: Der Typ wird seit längerem durch merhere Delikte per Haftbefehl gesucht und scheint immer noch seine Kreise zu ziehen. Ich sach nur: Wer sich auskennt und ne kriminelle Ader hat, kann vielen, sehr vielen Leuten Schaden zufügen, selbst wenn er irgendwann gefasst werden sollte ....

Ich hatte jedenfalls Glück und bin seit dem nicht mehr so vertrauensseelig ....

[outofbound]

Hey Outi, Folks,

naja, wenn ich einen Rechner VOR mir habe, also er steht unter meinem Schreibtisch, dann mach ich mir sehr viel weniger Sorgen, dass jemand meine Daten klaut. Beim heutigen Trend zum Zweitrechner auch gar kein
Problem, wenn der nicht am Netz hängt.> ;)

Natürlich ist viel möglich, ich überlege nmir aber immer folgendes:

Wenn im RZ von S+P bzw. 1 & 1 wirklich einer was "abkassieren" wollte,
würde er einen Root/ Exklusivserver nehmen, oder nicht doch eher die
"grossen" abstauben. Viele Leute überschätzen den Wert Ihrer Daten
einfach... ich schieb auf meine Kiste nur das drauf, was eh "unwichtig"
ist... und Gott, soll halt einer meine Emails lesen... wenn ich mehr
da drauf hosten will, such ich mir nen Anbieter, bei dem ich eine
eigene Kiste reinstellen kann, die dann auch gegen "Phyiskalischen Zugriff" gesichert ist... ein bisserl Teuer, aber sicher Wert, was Sache ist...
dann noch Gecryptete Partitionen und ein gut gesichertes System (Das den ein oder anderen Audit auch gut bestanden hat), und ich kann
davon ausgehen, dass meine Daten "sicher" sind... so gut es eben geht.

Leider sind sich viele nicht im klaren, dass ein Rootserver wirklich sowas
wie nen Autobahnklo an der A1 ist... jeder kann da an der Tür was lesen ;)

Und schliesslich hab ich auch schon einiges auf dem Gebiet erlebt, um mir
über die Gefahren im klaren zu sein, und auch woher Sie kommen. Aber
der Faktor Mensch ist nunmal immer da, und solange Systeme von Menschen entworfen werden, können Menschen auch Wege finden, diese
zu kompromitieren. ;)

Wer seine Daten übrigens wirklich sicher haben will, sollte Sie Auswendig
lernen, und niemals preisgeben... ach Mist, da gibts ja wieder Foltern... (Das ist dann wohl Brute Force?)


Gruss,

Out