Hallo,
wir wollen bei uns Nitropads für die Administratoren unseres Mailservices einsetzen, da wir mobil arbeiten und mit teilweise sensiblen Serverkonfigs, Kundendaten umgehen.
Bei einer Testbestellung wurde aus Unwissenheit der gemeinsame Versand von Nitropad und zugehörigem Key gewählt. Das ist auch so Standard im Shop und wurde nicht umgestellt.
Zuerst sah auch alles gut aus, die Paketlaufzeiten zwischen den Verteilzentren in der Sendungsverfolgung waren unauffällig, ein Zustellfenster wurde angegeben. Ohne Zustellversuch und ohne Grund befand sich das Paket dann auf einmal wieder im “Transit” und wurde 24h zurückgehalten.
Wohlgemerkt kein erfolgloser Zustellversuch oder so. Das sieht im UPS Tracking anders aus.
Sollte man den Laptop als potentiell kompromittiert ansehen? Sowohl Laptop als auch Key waren 24h gemeinsam an einem unbekannten Ort. Wie würdet Ihr vorgehen?
Zurückschicken und neu ordern? Ja/Nein, warum?
Grundsätzlich haben wir im Laufe mehrerer Jahre schon so allerhand Unregelmäßigkeiten bei Versandprozessen erlebt, die nicht notwendigerweise auf einen Angriff hindeuten. Wie das in Eurem konkreten Fall einzuschätzen ist, ist von außen schwer zu sagen. Der beste Ausgangspunkt ist vielleicht die Überlegung, wie lohnenswert Ihr als Ziel seid, wer Euch angreifen könnte, wie stark die Motivation für einen Angriff wäre, was es bei Euch zu holen gäbe und ob ein solcher Angreifer in der Lage wäre in die Logistik von UPS eingreifen zu können. Das ist nicht als Fragen an Euch gemeint, die es hier im Forum zu beantworten gilt, sondern das könnt Ihr intern bewerten. Dies können wir Euch leider nicht abnehmen. Je nach dem wie Ihr Euch entscheidet, können wir das NitroPad gerne “frisch aufsetzen”.
Falls Ihr das NitroPad in versiegeltem Zustand bestellt habt, solltet Ihr auf jeden Fall die Versiegelungen prüfen. Falls Ihr auch den Nitrokey separat habt liefern lassen, ist dies eine weitere Hürde, zumal dann der Nitrokey mit einem anderen Versandunternehmen (Post) ausgeliefert wird. Beides zusammen stellt eine recht hohe Sicherheit dar, um physikalisches Öffnen bzw. Kompromittieren des NitroPad auszuschließen. Aber auch ohne diese Maßnahmen, schützt das Measured Boot gut vor Kompromittierung der Software.
Danke @Jan für Deine Einschätzung.
Die Überlegung wie lohnenswert ein Angriff ist, habe ich oben schon angedeutet. Wir betreiben einen kleinen, feinen Mailservice (Du siehst ja meine Mailadresse) mit teils anspruchsvollen Nutzern. Natürlich nichts illegales, aber z.B. Steuerberater. Wenn ich daran denke das unser Staat gesetzeswidrig Steuer CD’s ankauft, dann kann ich mir auch Weiteres vorstellen. Deshalb versuche ich ja in vernünftigem Maße paranoid zu sein
Bestellt wurde (nicht von mir) ohne Versiegelung und ohne getrennten Keyversand. Das dies ein blöder Fehler unsererseits war habe ich oben auch schon erwähnt. Ausrede war: “Das war schon so voreingestellt” Vielleicht solltet Ihr diese Optionen im Shop standardmäßig aktivieren?
LG Jana
Meine Meinung dazu: In Eurem Umfeld würde ich kein Risiko eingehen.
Wenn ich @jan richtig verstanden habe, hat er euch ja angeboten das Teil neu aufzusetzen.
Würde ich machen und einen versiegelten Versand nachholen.
