Heyho i guesss i have a pretty strange question ^^.
I live in Germany and since last month a new law came in to force that the police can force the ISP to reroute your request / download to a server from finspy which will manipulate your download and insert an spyware on it.
So for example i download chrome the download will be rerouted to the finspy server they will add the spyware in to the download and when i open the downloaded file to install it or whatever it automaticly will install the spyware with it.
The Police can force the ISP without any judge or anything and you dont have to be a criminal they can do it just on suspicion and without any proof.
My question is now is it with this method still safe to install through the package manager? Will the md5 check be enough to cancel?
And when we are at the topic this is also intresting,
eu law, about chat scanning.
Messenger provider can are allowed scan the chats (automaticly) to find pedophiles/terrorism and stuff and are than forced to report the police.
The article writes that in autumn a new law is coming that will force the messenger provider to scan the chat.
the intresting part:
"
Die präventive Telekommunikationsüberwachung soll hier eine Erkenntnislücke der Bundespolizei schließen und
sich gegen Personen richten, gegen die noch kein Tatverdacht begründet ist und daher noch keine strafprozessuale
Maßnahme nach § 100a StPO angeordnet werden kann. Überdies ermöglicht eine Telekommunikationsüberwachung neben der Erlangung inhaltlicher Erkenntnisse zu dem geplanten Vorhaben, dass neben der bereits anvisierten Zielperson weitere Beteiligte bekannt werden"
deepl translation:
Preventive telecommunications surveillance is intended to close a information gap in the Federal Police’s intelligence and targets
persons against whom no suspicion of a crime has yet been established and therefore no criminal procedural
measure pursuant to Section 100a of the German Code of Criminal Procedure (StPO). Moreover, in addition to obtaining information about the content of the planned operation, telecommunications surveillance makes it possible to find out about other parties involved in addition to the person already targeted.
looked over the deepL translation and it looks for me correct
Eine wichtige und grunsätzliche Frage ist ja, wie eine solche Software auf Deinen Computer kommen könnte.
Du vermutest offenbar, daß der ISP das durch Umleitung der DNS Anfragen bewerkstelligen könnte.
@Yochanan hat ja schon erklärt warum das nicht fliegt.
Immerhin bist Du derjenige, der Zeug installiert - das geht nicht von selbst.
Man könnte Dich zwar umleiten - aber Du würdest es recht einfach bemerken und die Signatur der zu installierenden Software ist auf diesem Wege nicht zu umgehen. Eine einfache Methode die Umleitung Durch Deinen ISP ins Leere laufen zu lassen
(obwohl das allein ja ohnehin nicht ausreichen würde)
ist die Verwendung eines anderen DNS Servers.
DNS Server ändern würde nicht helfen weil deine Anfrage dennoch zu aller erst durch den ISP läuft von irgendwoher “kommt” dein Internet ja
bei 3:10 (hab die Stelle im Link) wird erklärt wie es läuft.
Es ist auch keine Vermutung sondern der ISP wird zusammenarbeiten müssen .
Eine Weitere erlaubte Methode sind auch 0day’s also das stinknormale “hacking”.
… was der da beschreibt ist genau das Umleiten via DNS des Providers
was sich einfach verhindern läßt … siehe oben
Und https Verbindungen, die heutzutage Standard sind, machen es nicht gerade einfacher sowas unbemerkt zu tun …
… glaube es oder nicht - besser wäre aber, Du informierst Dich, wie das Internet funktioniert, dann mußt Du nicht glauben, dann weißt Du
Die Prüfsummen lassen sich damit nicht umgehen - da stehst Du bzw. das Betriebssystem im Wege.
Es sei denn Du insistierst auf der Installation obwohl Du echte Schwierigkeiten bekommst wenn Du versuchst ein solches Paket zu installieren.
Tust Du es dennoch … dann ist es Deine Schuld
0-days sind, besonders in rolling distributions, eher kurzlebig
aber: das Leben ist eben lebensgefählich
Wenn Du so wichtig bist, daß man sich die Mühe macht, ohne Dein Wissen direkt an Deiner Hadware zu manipulieren … dann kann Dich kein Betriebssystem, so gut es auch sei, schützen.
Tut mir ja ein bischen leid, daß ich dem oberflächlichen, von Halbwahrheiten durchsetzten Alarmismus dieses Youtubers nicht zustimmen kann.
Nein der Weg verläuft so mit einer Third party DNS.
Ich geb google.de ein
die Ip wird vom third party dns angefragt (216.58.190.0)
dein Gerät fragt bei deiner ISP nach 216.58.190.0
Dein ISP holt die Daten von 216.58.190.0
und genau dieser letzte Step ist nicht mit einer DNS änderung verhinderbar welche Daten der ISP holt ist für dich als Nutzer nicht mehr einsehbar.
Ist natürlich stark vereinfacht aber letzten endes ist dein ISP immer die letzte Instanz.
… und wenn er sie nicht von dort holt … bricht die Kette
https bricht
Deine initiale Frage war zu den Prüfsummen - die lassen sich durch sowas auch nicht umgehen.
Genau und die Frage wurde auch beantwortet :).
Wollte nur nochmal Klarstellen das simples DNS ändern da nicht hilft da die Datenmanipulation nach der DNS anfrage passiert und nicht während der Anfrage.
Aber du hast auch recht das 0Days bei einer Rolling-Distro nicht langlebig sind (und wahrscheinlich auch nicht das Hauptziel da Nutzerschaft zu klein) es ist dennoch erschreckend das der Staat quasi Sicherheitslücken sucht nur um sie selbst zu verwenden(und dazu vom Gesetz legitimiert sind) anstatt beim fixen des Problems sich zu beteiligen.
Linus Neumann vom CCC hat dazu auch gesagt das man sich 2x Überlegt ob man etwaige Sicherheitslücken dem BSI meldet oder nicht .
I’d rather trust my ISP than a random-too-cheap-to-be-true VPN to handle all my traffic.
Keep your system updated with the checksums and signatures and think what you download and run as root.
Most likely, your custom Manjarobox will not be targeted anyway but your horribly outdated Android phone.
Da hast Du natürlich recht.
Ein anderer DNS war ja nur eine Möglichkeit, die Effektivität von sowas einzuschränken.
Wegen https fällt das aber trotzdem sofort auf.
Now that is scary - I am so glad I am not using Windows - and in contrast using an Open source distribution - with signed packages and that alone requires a lot more effort to interrupt than a Windows.exe.
Even so - we should not rest confident that this cannot be circumvented - if the motivation is big enough.
It reminds me of another news alert a couple of days ago - concerning Apple implementing a scanning algorithm on the device scanning for - in this case - child pornography (allegedly only US) - but as Snowden commented - quoted from memory
child pornography today - what about tomorrow
Agreed - the possible abuse is infinite - but so are the criminals - they use what ever means to satisfy themselves - what we need is a universal trustworthy government - but as it - within this system of things - is a human affair - this will never happen.
And if it does - it will break sooner or later.
“Power tends to corrupt, and absolute power corrupts absolutely. Great men are almost always bad men.” - Lord Acton 1887
Last year, don’t remember where exactly but you can check here. It’s not really a backdoor at all but the German law forced them to have access on mail (not the encrypted part of Tutanota for the moment). I use Tutanota for 3 years and I will continue but yes, German government wants to control some things.
Yes, there is an element of trust with the too-cheap-to-be-true VPNs, but there are plenty of options, including getting server space and installing you own.
yea germany really tries to get control over the data of the people.
There is even a new law in draft (i hope it gets rejected^^) that want to force operating system developer to implement an age filter and that people have to verificate to be over 18 or they wont be able to open porn sites.
I mean its basicly technicly not possible every os would have to implement this and websites have to say for which age they are made (if they dont they get blocked) and if they say a wrong age they get a penalty.
^^.
