Awet Tesfaiesus, MdBErwäge folgenden Anschlag auf die #BundestagsIT: VPN-Zugang und Zertifikate auf meinem #TailsOS-Stick einrichten.
Wie stehen wohl die Chancen, dass mein Foto danach auf der Dartscheibe der IT landet? #Linux
😅
Auf Reisen sind die Rechner schon oft und lang allein unterwegs. Letztens kam ich in Hotel zurück und fand mein Ladekabel auf einen speziellen Wickler aufgerollt. Das machte mich nachdenklich
Sven Geggus@AwetTesfaiesus Was ist denn das? Windows mit Bitlocker?
@giggls momentan MacOS. Überlege mit Linux-Notebook zu reisen und daneben Tails dabei zu haben.
Den Stick kann ich mit mir rum tragen. Das Notebook nicht.
@AwetTesfaiesus Bei Enterprise-Anbindung und MacOS kenne ich mich schlecht aus. Kommst Du unterwegs an interne Daten ran und wenn ja wie?
@giggls ja, aber detaillierter werde ich hier nicht
@AwetTesfaiesus Na ja das wird mit Tails sicher nicht gehen denn Enterprise VPN sind unter Linux ein fürchterliches Gebastel.
Gulli@giggls @AwetTesfaiesus weil? Wenns auf nem Mac läuft, läuft's vermutlich auch auf einem Linux. Davon ab sind die meisten VPNs eh nur IPsec, SSLVPN und in ganz seltenen Fällen auch mal n Wireguard. Btw. 99,9% der VPN Gateways da draußen sind Linux Systeme.
Allgeier@AwetTesfaiesus
Das ginge mir auch zu weit. An Ende saugen Sie noch due Lüftungsschlitze aus... Geht gar nicht.
Das ginge mir auch zu weit. An Ende saugen Sie noch due Lüftungsschlitze aus... Geht gar nicht.
@allgeier die Frage ist doch: ist das eigentlich mein Ladekabel?
Kai Bojens 🇪🇺🖖@AwetTesfaiesus Auf einer Veranstaltung mit jemandem vom Verfassungsschutz erzählte man uns, dass größere Unternehmen die Laptops der Mitarbeiter nach Rückkehr auch mal röntgen lassen. Keine Ahnung wie plausibel das ist, aber sinnvoll erscheint es schon.
Die evil maid Attacke ist ein bekanntes Szenario.
@kaibojens da werden ja auch unsere Koffer von einem Hotel zum nächsten gebracht.
Ob vom örtlichen Geheimdienst? You’ll never know!
BitHive 
Hat der Bundestag kein spezielles Windows?
In Unternehmen ist es üblich, dass man die Mitarbeiter anweist die Laptops immer dabei zu haben.
Die Hotelsafes sind meistens zu klein und die Zimmer sind zugänglich für alle Hotelangestellten.
Natürlich sollten auch technische Maßnahmen wie eine Festplatten Verschlüsselung greifen. Diese ist nicht in jedem Land erlaubt. Je nach Land wird der Laptop auch erst im Land gekauft und nur die notwendigsten Daten ausgetauscht.
Ich vermute ein MdB hat auch speziellen Zugriff auf das BSI, dort ist auf jeden Fall genug Kompetenz und auch genug nette Menschen, die weiter helfen können.
@bithive mich weist gefälligst niemand an. Ich habe ein sowas-von-freies Mandat!
@AwetTesfaiesus ah! Formulierungsfehler! Entschuldigung. MdB sind bekanntlich nur ihrem Gewissen und ihren Überzeugung verpflichtet
@bithive fast korrekt: das GG gibt mir mit auf den Weg, dass ich „Vertreterin des ganzen Volkes“ bin.
@bithive das geht nicht mal mit Tablets. Du hast doch Abendveranstaltungen mit Abendkleid und Co. Da werde ich keinen Rucksack mit rein nehmen
@AwetTesfaiesus sobald jemand physikalischen Zugang zum Gerät habe. könnte, würde ich es beim Risikolevel: "Wir hacken den Bundestag", annehme , dass das Gerät kompromittiert ist. Es gibt so viele Wege das Gerät zu manipulieren, wenn ich es in der Hand habe. Aufschrauben und Keylogger rein ist da noch relativ einfach.
Dann würde ich vielleicht auf Burner Services umsteigen und nach der Reise vernichten. Auf keinen Fall Zugangsdaten drauf, die es ermöglichen sich in das Parlamentsnetz zu verbinden.
Anstelle von TailOS wäre QubesOS die bessere Alternative, aber das alles schützt nicht vor Hardware Manipulation
@bithive externe Tastatur? Paranoid.
@AwetTesfaiesus kannst du die immer mitnehmen?
Im Prinzip ist es so, dass die jeden Sicherheitsmechanismus auf der tieferen Ebene umgehen kannst. Der nächste Schritt wäre den USB Controller auszutauschen oder gleich ein manipuliertes Mainboard einzubauen.
Paranoia ist wahrscheinlich berechtigt, die Bundestagsinfrastruktur ist sicher ein Ziel für aktueure auf Staatslevel. Wenn ich das Risk assesment machen würde, würde ich schon von einer hohen Motivationslage und nahezu unbegrenzten Mitteln ausgehen. "Wer hätte ein Interesse daran die Opposition und ehemalige Regierungspartei in Deutschland auszuspionieren" - würde ich jetzt nicht mit niemand beantworten.
Ich weiß ja nicht wie die sonstigen Sicherheitsmaßnahmen aussehen, ob man quasi nur in der eigenen Botschaft übernachtet oder sowas.
Leela Torres@bithive @AwetTesfaiesus
Festplatten Verschlüsselung hilft nicht wirklich. https://hackaday.com/2024/02/06/beating-bitlocker-in-43-seconds/
Festplatten Verschlüsselung hilft nicht wirklich. https://hackaday.com/2024/02/06/beating-bitlocker-in-43-seconds/
@LeelaTorres @bithive nutze seit 20 Jahren kein Windows mehr
malte@AwetTesfaiesus #QubesOS hat eine steile lernkurve, aber denkt unter anderem genau solche szenarien mit.
und einige firmen bieten sogar zertifizierte hardware an: https://doc.qubes-os.org/en/latest/user/hardware/certified-hardware/certified-hardware.html
@AwetTesfaiesus fair. beim qubes-meetup am letzten freitag jeden monats in berlin gibt es in der regel einen laptop zum rumspielen und ausprobieren 
Willi@malte @AwetTesfaiesus nutze es seit 2018 um Partei, privat, Arbeit etc zu zu trennen. Kanns empfehlen bringt aber jetzt nicht viel gegen die erwähnten angriffsvektoren. Qubes bietet zwar AEM tools die aber nur nur mit TPM 1.x funktionieren.
Das Team von qubes arbeitet aber daran xen und Linux in eine grosse binary zu packen und zu signieren.. - soon....
Finn@AwetTesfaiesus Wunderbare Idee!
Reiner Jung 🇬🇱 🇺🇦 🇪🇺@AwetTesfaiesus das hängt extrem von der Nerdigkeit des Departments ab. Unabhängig davon ITler mit guter Hand-Auge-Koordination sind eher selten. Dein Printout ist also sicher.
Nicolai von Neudeck@AwetTesfaiesus doooooo it
FlippoFlip 🏴☠️@AwetTesfaiesus Oder du erntest bewundernde Blicke danach?
@FlippoFlip die hatte ich mit MacOS schon mal nicht
@AwetTesfaiesus Mal anekdotisch gesprochen: Ich war von Macusern immer genervt ("nein, das funktioniert so leider nicht. Ja, ich verstehe, dass das mit Mac anders geht.") und bei Linux fand ich es immer spannend (hektisch nebenbei bei google nach der Terminalsyntax suchen)😉
@AwetTesfaiesus Wenn das halbwegs zeitgemäße Enterprise IT ist, dann landest Du mit dem Tails USB-Stick immer in einem default VLAN das Internet-Zugang haben kann oder auch nicht, bist aber in jedem Fall außerhalb des BT-Netzes.
DNKrupinski 🧡🏴☠️@AwetTesfaiesus Deine Chancen stehen bei 99,9998 Prozent.
Rainer "friendica" Sokoll@AwetTesfaiesus VPN geht vermutlich (offiziell) nur mit einem Cisco-Client?
@rainer mal gucken
@AwetTesfaiesus ich könnte mir vorstellen, dass das nicht ganz einfach ist, weil sich das mit den design-zielen von tails beißt. also, ich würde zumindest klar meine ziele und wünsche kommunizieren, und die it fragen, ob sie ansonsten gegenvorschläge hätten ¯\_(ツ)_/¯
@malte meinst du Persistent geht nicht? Kann doch sogar mein WLAN hinterlegen
@AwetTesfaiesus schon, aber wenn du damit ins bundestagsnetz willst, müsste denke ich zumindest ein teil der zwangs-tor-isierung ausgehebelt werden.
k.a. ich hab tails schon für verschiedenste sachen benutzt für die es nicht gedacht war, aber das ist halt ein unterschied, ob *ich* den katalysator bei meinem auto (temporär) abbaue, oder ne werkstatt damit beauftrage 😅
( keine ahnung, ob das ganz vergleichbar ist, aber vielleicht ein bisschen? )
@AwetTesfaiesus oder muss sich eins per vpn authentifizieren, um aus dem bundestaggebäude nach außen kommunizieren zu können?
Momo@AwetTesfaiesus
Sowas machen wir ITler nicht. Also das mit der Dartscheibe. Der Letzte von dem ich weiss, dass er auf ner Dartscheibe gelandet ist, war von Gravenreuth. Sorry, das Kaliber bist du nicht! 😉 (Gut so!)
Ich wette du kriegst mit der Anforderung irgendeinen aus dem Team generdsniped, weil's endlich mal was Cooles ist.
@momo I doubt it somehow
MARFELALA@AwetTesfaiesus als langjähriger Sysadmin wärst du auf meiner Liste der "mir liebsten Poweruser" und würde dich mit allen Mitteln unterstützen. Auch wenn es Mehraufwand bedeutet. Menschen die sich freiwillig mit der Materie beschäftigen und sogar aus sinnvollen, nachvollziehbaren Gründen Technik einsetzen, sind mir die liebsten.
liberloebi 📖@AwetTesfaiesus Bitte berichten! Krchkrchkrch …
Kerstin@AwetTesfaiesus Mich würde interessieren, ob du diese Idee mit anderen MdBs diskutieren könntest. Wieviel Prozent wüssten wovon du redest (ich will keine Namen)? Ist wirklich nur reines Interesse, gar nicht böse gemeint.