Dez 07

Nach einem umfangreichen Formware-Update für die Easyboxen der Reihen 300, 400, 600 und 800 mit Produktionsdatum bis August 2011 glaubte man bei Vodafone, die Lücken im WLAN endgültig geschlossen zu haben. Entstanden waren diese, da der Hersteller die Standfardpasswörter und WPS-Pin mit einem patentierten Algorithmus aus der MAC-Adresse gewann. Da Patente öffentlich einsehbar sind, war zum Knacken nicht einmal Reverse-Engeneering erforderlich. Sogar das BSI warnte vor diesem Sicherheitsrisiko. Das „Knacken“ des WLAN Hunderttausender Vodafone-Kunden war mit den passenden Tools kinderleicht und in Sekundenbruchteilen möglich. weiterlesen »

geschrieben von Holger \\ tags: , , , , , , , ,

Aug 10

In dieser Woche überschlugen sich die Ereignisse. Nach einem Bericht in der New York Times entdeckte die Sicherheitsfirma Hold Security den Diebstahl von ca 1,2 MIlliarden Zugangsdaten, also Kombinationen aus Mailadresse bzw. Benutzername und einem Passwort bzw. einem Passwort-Hash. Diese sollen von etwa 400.000 Webseiten kommen. Allein diese riesige Zahl macht deutlich, dass ein Großteil der Diebstähle wohl nicht in mühevoller Handarbeit erfolgten, sondern weitgehend automatisiert. Die Hacker dürften Sicherheitslücken in verbreiteter Software genutzt haben, entweder Lücken in der Server-Software oder bei den installierten Anwendungen.

Auch ein Live-Hack, der auf der Sicherheitskonferenz Black Hat vorgeführt wurde, gibt dem Verbraucher ein ungutes Gefühl. In ein mobiles Terminal, wie es millionenfach zum Auslesen von EC- und Kreditkarten benutzt wird, wurde eine vereinfachte Version des Spiels „Flappy Bird“ eingespielt. So harmlos der Hack anmutet, er beweist, dass es möglich ist, beliebigen Code auf diese Geräte zu bekommen und Kontrolle über die Tastatur zu erhalten. Damit wäre es möglich, PIN-Abfragen abzugreifen. Brisant wird der Hack durch die Tatsache, dass die Hacker davon ausgehen, dass dieser Hack bei ca 75% der weltweit eingesetzten Terminals funktiert.

Diese Meldungen und viele andere aus der Vergangenheit zeigen, dass es mit der Sicherheit eher schlecht bestellt ist. Betroffen waren in der Vergangenheit nicht nur kleine Firmen, sondern auch Branchengrößen wie ebay oder Sony, denen man genug Geld und Knowhow  für Datensicherheit unterstellen darf. Daher stellt sich die Frage, ob das Thema Sicherheit richtig angefaßt wird und ob die aktuellen Sicherheitskonzepte zeitgemäß sind. Bei Kartenterminals z.B. ist es ein altbekanntes, aber noch immer ungelöstes Problem: Der Nutzer muss der Maschine blind vertrauen und seine Daten (Karte und PIN) preisgeben. Er hat keine Möglichkeit zu kontrollieren, ob das Terminal wirklich das ist und macht, was es vorgibt. Die gleiche Problematik gilt inzwischen auch für viele Webseiten. Selbst wer die Adresse seiner Bank von Hand eintippt, kann nicht mehr sicher sein, auch auf der Webseite seiner Bank zu landen. Die Manipulationsmöglichkeiten sind hier vielfältig und reichen vom Trojaner auf dem eigenen Rechner über manipulierte Heimrouter bis hin zu manipulierten DNS-Servern bei Providern.

Ein Umdenken muss her und zwar auf allen Ebenen. Viele Webseitenbetreiber müssen sich mal ernsthaft fragen, ob es nötig ist, dass man sich auf Ihren Webseiten überhaupt anmelden muss. Benutzerdaten, die nicht erhoben werden, können auch nicht falsche Hände kommen. Updates der eingesetzten Software sollten selbstverständlich sein. Was bei Do-It-Yourself-Webmastern meist klappt, ist im gewerblichen Bereich schon ein Problem. Viele Firmen und Freiberufler lassen sich Ihre Webseite von einer Agentur erstellen, pflegen selber evtl. mal einige Inhalte ein, können aber keine Updates einspielen. Oft scheitert es daran, dass die Agenturen CMS-Systeme wie z.B. Typo3 einsetzen, die für den Zweck schon zu gross sind. Niemand wird seine Brötchen mit einem LKW vom Bäcker holen, aber ein (oft veraltetes) Typo3 für eine kleine ziemliche statische Webseite einer Arztpraxis oder eines Handwerkers werden Sie sehr oft finden. Die meisten Betroffenen haben nicht die geringste Ahnung, welche Zeitbombe sie da ticken haben. Aber auch die Webhoster selber müssen ihre Hausaufgaben machen. Server laufen meist nach dem Prinzip „Never change a running system“ und die Software wird selten Updates unterzogen. Angreifbare Serversoftware und veraltete Betriebssysteme mit bekannten Fehlern sind nicht die Ausnahme, sondern die Regel.

Ein lobenswerter Anfang war die Aktion des Webhosters Goneo. Nach zahlreichen gehackten Ur-Alt Joomla Installationen von Kunden begann man, die Kunden zu informieren, dass man im Interesse aller Kunden Web-Accounts mit gefährlichen Alt-Versionen einige Tage später abschalten werde, wenn kein Update erfolgt. Der Antrieb dieser Aktion war aber weniger die Datensicherheit, sondern die Tatsache, dass die gehackten Joomlas die betroffenen Server so stark auslasteten, dass die Webseiten anderer Kunden auch nicht mehr funktionierten. Dennoch ist die Idee, die Webserver der Kunden nach bekannt gefährlichen Installationen abzuscannen, ein Ansatz für etwas mehr Sicherheit.

Ein anderer Ansatz wäre Datensparsamkeit und das konsequente Meiden von Webseiten mit obskuren Cookies (Cookies von Drittanbietern, meist Werbenetzwerken) und nervigen Sicherheitswarnmeldungen des Browsers. Was nützt ein Shop mit SSL Verschlüsselung, wenn ein Teil der Inhalte der Webseite doch wieder unverschlüsselt sind? Die meisten Browser warnen davor und das nervt. Grund genug, sein Geld woanders auszugeben – das ist meist die einzige Sprache, die sehr schnell in den Chefetagen verstanden wird. Wir Verbraucher haben es ein Stück weit in der Hand…

geschrieben von Holger \\ tags: , , , , , ,

Aug 02

1969 wurde mit dem Arpanet der Urahn des heutigen Internet in Betrieb genommen. Bereits 1971 war die E-Mail der wichtigste Dienst in diesem Netz. Aber wichtige Grundlagen des heutigen Internets wie z.B. das Protokoll TCP/IP existierten damals noch nicht. Erst Anfang der 83 wurden IPv4, ICMP und TCP eingeführt und die Voraussetzungen zur Zusammenschaltung von Netzen geschaffen.

Am 3. August 1984 war es dann auch in Deutschland soweit: Der deutsche Informatiker Michael Rotert empfing die erste E-Mail in Deutschland von Laura Breeden vom CSNET mit dem Betreff „Willkommen in CSNET!“. Wer mag, kann die ganze Willkommensmail von damals beim eco nachlesen. Das CSNET war eines der ersten Netze von Universitäten, das unabhängig vom US-Militär betrieben wurde.

Spam und Phishing-Mails gab es in den Anfangsjahren der Mail noch nicht. Der Preis pro übertragenem Megabyte war noch so hoch, dass eine Mail mit einer Größe von ca 5KB (eine locker beschriebene DIN A4 Seite) etwa 20 Pfennig kostete.  Neben dem universitärem Umfeld waren es in Deutschland einige Mailboxnetze wie z.B. MAUS, Z-Netz und später auch AmNet und einige Fido-Hubs, die ihren Usern über Gateways Zugang zu E-Mail ermöglichten. Erst später stellten Dienste wie AOL oder T-Online Ihren Nutzern Internet und E-Mail zur Verfügung.

21014 werden geschätzt allein in Deutschland 500 Milliarden E-Mails verschickt. Das werden etwa 7% mehr als im Vorjahr sein. Damit ist die E-Mail einer der am intensivsten genutzten Dienste im Internet. Der NSA-Überwachungsskandal hat der Beliebtheit nicht geschadet, allerdings würden deutschen Kunden nach Angaben von United Internet (GMX und web.de) verstärkt auf den Serverstandort achten und deutsche Angebote bevorzugen. Im Rahmen der Inititive E-mail-made in Germany hatten einige deutsche Anbieter ja zum 31. März diesen Jahres auch den Zwang zur Verschlüsselung beim Transport der E-Mails eingeführt, um potentiellen Abhörern die Arbeit zu erschweren.

geschrieben von Holger \\ tags: , , , , ,

Mrz 06

Seit einigen Tagen werden e-Mail Nutzer großer deutsche Mail-Provider durch Warnhinweise verunsichert. Aber es ist kein Aprilscherz oder ein Hoax: Die Anbieter freenet, gmx, T-Online und web.de erlauben ab 31. März 2014 nur noch den verschlüsselten Abruf von Mail. Dies betrifft den Zugriff auf die Postfächer mit Hilfe von Programmen wie Thunderbird oder Outlook über IMAP, POP3 und SMTP. Für Nutzer der Web-Frontends ändert sich nichts – hier sind die Sitzungen über den Browser verschlüsselt.

Hintergrund dieser Änderungen sind die Bemühungen der Initiative E-mail-made in Germany, den Mailverkehr sicher zu machen. Die Verschlüsselung des Mailtransports vom eigenen Computer zum Server des Anbieters soll das Belauschen verhindern. Kritiker bemängeln allerdings zu Recht, dass hier zu oft noch unsichere (= knackbare) Verfahren zum Einsatz kommen. Dennoch ist die Verschlüsselung ein Schritt in die richtige Richtung.

Alle Provider haben Schritt-für-Schritt Anleitungen für die gängigsten Mailprogramme erstellt. Im Regelfall sind dies Outlook, Thunderbird und Windows Live Mail. Wer bei einem Anbieter für sein Programm keine Anleitung findet, sollte man bei einem anderen Provider schauen. Hier die Links zu den Anleitungen von Freenet, GMX, Telekom, Web.de

geschrieben von Holger \\ tags: , , , , , , ,

Jan 11

Wer heute die Nachrichten hörte oder sah, staunte nicht schlecht: Ein Virus in den Nachrichten! Dazu noch ein „alter“ Schädling. Was steckt dahinter?

Der Virus, um den es geht, ist ein Trojaner. Er verbiegt im PC die Abfrage der Domainnamen. Der Rechner fragt nun nicht mehr bei den DNS-Servern des eigenen Providers, sondern auf Servern der Kriminellen nach den IP-Adressen. Einen DNS-Server braucht man, damit eine URL wie z.B. www.telkotalk.de in die richtige IP-Adresse (in diesem Beispiel 85.114.130.79) übersetzt wird. Ein solcher Server in der Hand von Kriminellen führt dazu, dass gezielt Seiten verbogen werden. Statt der gewünschten Webseite wird dem Surfer eine Fälschung untergeschoben, um seine Nutzerdaten für Webseiten wie facebook, ebay usw. abzugreifen. Oder Kreditkartendaten. Da nur wenige Seitenaufrufe umgebogen werden, der Rest normal funktioniert, bleibt es lange unentdeckt.

Im Falle des Trojaners „DNS-Changer“ wurden dieTäter  im vergangen Herbst gefaßt, die manipulierten Server vorrübergehend vom FBI durch normale DNS-Server ersetzt. Aber der Trojaner war erfolgreich und aktuell sind es laut FBI mehr als 35.000 deutsche Nutzer täglich, deren Rechner nicht die DNS-Server ihres Providers nutzen, sondern die vom Trojaner verbogenen. Auf mindestens 35.000 deutschen PCs ist der Trojaner also noch aktiv!

Da das FBI will nun diese Server Anfang März abschalten und daher ruft das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Bundeskriminalamt und der Telekom zum Test des eigenen Rechners auf Befall durch diesen Trojaner auf. Auf der Webseite www.dns-ok.de kann der Rechner einfach getestet werden. Dort findet man auch Tipps, um den Schädling bei Bedarf zu entfernen.

Noch einmal der dringende Rat: Schützen Sie Ihren Rechner durch einen wirksamen Virenschutz. Dazu kann man auch auf kostenlose Software zurückgreifen. Waren es vor Jahren Schüler, die aus Jux Viren schrieben und verbreiteten, so sind es heute fast ausschließlich gut organisierte kriminelle Banden, die mit Trojanern Daten ausspähen oder SPAM versenden wollen. Die Schädlinge schaffen es leider immer wieder, durch Lücken in veralteter Software auf die Rechner zu gelangen und Schutzsoftware zu umgehen.

Daher der dringende Rat:

1. Halten Sie das Betriebssystem und die verwendeten Programm immer auf dem aktuellen Stand.

2. Software, für die es keine Updates mehr gibt, sollte durch aktuelle Software eines anderen Herstellers ersetzt werden

3. Nutzen Sie Antivirensoftware. Diese muss nicht teuer sein – rudimentären Schutz gibt es sogar kostenlos. Kommerzielle Softwarelizenzen sind ab 20 Euro pro Jahr erhältlich.

 

geschrieben von Holger \\ tags: , , , , , , , , , , , ,

Jan 01

Wieder ist ein Jahr vorbei. Grund genug, kurz innezuhalten. Was war, was wir kommen?

Natürlich kann man nicht alle Ereignisse und Trends erahnen. Das ist auch besser so. Wer konnte sich auch nur im Traum eine Katastrophe wie in Japan vorstellen? Ein schweres Erdbeben, ein gigantischer Tsunami und die Kernschmelze in drei Reaktoren des Atomkraftwerks in Fukushima. Seit dem ist der Atom-Ausstieg Konsens und die Strompreise steigen wegen der Mehrkosten für regenerativ erzeugten Strom auch in den nächsten Jahren weiter an. Man braucht daher keine Kristallkugel, um zu erkennen, dass „Green IT“ oder wenigstens besonders sparsame IT auch 2012 ein Hauptthema sein wird. Selbst wenn man den Umweltaspekt außen vor läßt, bei den zu erwartenden Strompreisen lohnt der Invest in sparsamere Technik allemal.

Bei den Mobilfunkherstellern wird es spannend. Schafft der einstige Branchenprimus Nokia mit dem Fokus auf Windows Phone die Wende?  Viele Experten halten die Festlegung auf Windows Phone und die enge Bindung an Microsoft für einen schweren Fehler, der Nokia die Existenz kosten könnte. Außerdem bleiben die zahlreichen Patent- und Geschmacksmusterklagen, die man als Apple gegen den Rest der Mobile-Welt zusammenfassen könnte. Die Kunden haben längst entschieden und greifen immer mehr zu Android statt Apples IOS. Aber Apple wird mit einem guten zweiter Platz sicherlich auch leben können. Für RIMs Blackberry wird sicherlich auch in Zukunft die Business-Nische bleiben. Und für Windows Phone? Da ist es fraglich, ob für Microsoft noch Platz am Markt ist. Aktuell ist der Markanteil von Windows Phone geringer als der von Samsungs eigenem System BADA. Beide liegen abgeschlagen unter 2%.

Kommen wir zum Datenschutz. Im Jahr 2011 hatten wir diverse Skandale, die es bin in die Abendnachrichten der großen TV-Sender geschafft haben.  Da wurden Sony Millionen Datensätze aus mehreren Netzwerken gestohlen. Rewe wurden die Kundendaten einer Bildertauschbörse entwendet. Und erst vor wenigen Tagen wurden der US-Sicherheitsfirma Strafor Kreditkarten gestohlen. Dagegen ist die Erkenntnis, das facebook gelöschte Daten doch nicht löscht, fast schon harmlos. Ein Student aus Österreich hatte eine Datenauskunft angefordert und nach längerem Tauziehen bekommen. Ausgedruckt wären es mehr als 1500 Seiten Papier gewesen, was facebook nur über diese eine Person alles gespeichert hat.

2012 muss das Jahr des Datenschutzes werden. Datenschutz hinsichtlich der Selbstbestimmung der Bürger, was mit ihren Daten passiert und wer eigentlich wieviel speichern darf. Der Blogger hat im vergangenen Jahr bei einigen SPAM-Mails mal eine Datenauskunft eingefordert und war sehr irritiert, zu welchen Nachtzeiten er an Gewinnspielen teilgenommen haben soll und diese sogar per Opt-IN betätigt habe. Besonders irritierte ihn die Tatsache, mit welchen Providern er das gemacht haben soll. Und dass am Ende immer wieder die gleichen Firmen diese Gewinnspiele technisch abgewickelt haben, macht die Sache nicht glaubwürdiger, sondern zu einem Fall für die Staatsanwaltschaft.

2012 muss das Jahr der Datensicherheit werden. Wenn ein Kunde einem renomierten Unternehmen wie z.B. Sony seine Kreditkartendaten anvertraut, um Spiele und andere Dienste zu bezahlen, dann muss er sicher sein dürfen, dass seine Daten gut geschützt sind. Bei Sony wird man dies sicherlich mit allen Kräften sicherstellen, aber wie sieht bei anderen Firmen aus? Auf zahlreichen Webseiten klaffen Sicherheitslücken. Es gibt Hunderte von Untergrundforen, in denen Exploits zu Software, die auf vielen Servern läuft, gehandelt oder offen gepostet werden. Bekannte Sicherheitslücken bei Standardpaketen wie joomla, typo3 oder WordPress werden oft nur wenige Stunden nach Bekanntwerden in großem Umfang genutzt. Nicht mit Dummenjungenstreichen, wie es z.B.  einmal dem FC Schalke 04 vor dem Revierderby passierte, sondern meist von Kriminellen, die diese Server hacken, um damit SPAM zu versenden, Phishing Attacken zu starten oder Besuchern Trojaner unterzuschieben. Da sind längst keine Einzelkämpfer mehr am Werk, die man leicht an der bleichen Haut erkennt, weil sie nie das Tageslicht sehen. Es sind gut organisierte Banden am Werk, die mit modernen Methoden und arbeitsteilig arbeiten und daher kaum zu fassen sind. Wenn diese Entwicklung nicht gestoppt werden kann, dann werden Cyberkriminelle bald mehr Geld machen als Drogenkartelle oder Waffenschieber.

Wie man sich schützen kann? 100% sicherlich nie, aber halten Sie ihre Software und natürlich ihren Virenscanner immer aktuell. Seien Sie sparsam mit dem „Verteilen“ von persönlichen Daten und ganz besonders bei Konto- oder Kreditkartennummern. Verwenden Sie Antivirensoftware, die auch die Mails und den Webdatenverkehr mit überwacht. Das kostet zwar Performance, bietet aber mehr Schutz, z.B. vor dreisten Erpressungstrojanern wie dem UKash/BKA-Trojaner.

Was sonst noch 2012 passieren wird? Der HSV wird wieder nicht Deutscher Meister, sondern die Bayern machen es wieder mal. Und im Sommer wird ein neuer Europameister ausgespielt und Deutschland hat gute Chancen auf das Endspiel. Und die Bundesnetzagentur will neue Verordnungen auf den Weg bringen und dafür sorgen, dass Kunden bei Rufnummernportierung wirklich nur wenige Stunden ohne Anschluss sind.

In diesem Sinne: Frohes neues Jahr!

geschrieben von Holger \\ tags: , , , , , , , ,

Nov 24

Darf man einer vor zwei Tagen veröffentlichten Studie der Firma Websense glauben, dann gehört der Diebstahl von Daten in  Unternehmen zur Tagesordnung. Rund 1000 IT-Manager seien befragt worden und offenbarten erschreckende Erkenntnisse. So seien 33% der Befragten bereits wichtige Firmendaten gestohlen worden. Gleichzeitig würden neue Gefahren aus dem Web nur von 30% als ernstzunehmende Gefahr eingestuft. Und nur 2% setzen auf professionelle Lösungen zur „Data Lost Prevention“. Natürlich darf man einem Anbieter von Sicherheitslösungen gewisse Interessen unterstellen und muss solche Meldungen etwas relativieren. Schon bei einem einfachem Rundmailing z.B. an gute Kunden kann man ungewollt wichtige Firmendaten verlieren – wenn man z.B. die Empfängeradressen nicht ins BCC setzt, sondern für sichtbar einsetzt.

Dennoch lassen die zahlreichen Meldungen in den Medien über Datenpannen, Datenlecks und Datendiebstähle ahnen, dass die von Websense ermittelten Zahlen stimmen könnten. Möglicherweise ist die Dunkelziffer noch größer, denn nur gravierende Fälle finden ihren Weg in die Medien und evtl. hat auch nicht jeder IT-Manager einen gravierenden Verlust von Daten in der Befragung eingestanden.

Der Schutz von Daten vor Missbrauch wird offenbar noch immer als lästiges Übel betrachtet. Niemand käme auf die Idee, ein Lager, in dem teure Ware gelagert wird, ohne verschlossene Tore und Alarmanlage zu betreiben. Geldautomaten sind in sich kleine Festungen aus bestem Stahl und dazu noch fest im Fundament der Gebäude verankert, damit möglichst niemand den Automat als Ganzes klaut. Die gleichen Automaten waren dagegen jahrelang nur unzureichend gegen Datenklau per Skimming geschützt.

Firmennetzwerke werden im Regelfall zwar gegen Angriffe von Aussen geschützt, aber schon so vergleichsweise einfache Trojaner wie der UKASH (BKA-Trojaner) schaffen es immer wieder, Virenschutzsoftware zu überwinden. Ein gezielt zum Datenklau eingesezter Trojaner wird mit sehr großer Wahrscheinlichkeit alle handelsüblichen Schutzprogramme überwinden können. Der Schutz der Daten gegen Angriffe von Innen, also durch Mitarbeiter, ist ein noch viel heikleres Thema. Hier gibt es kaum belastbare Zahlen. Aber man darf vermuten, dass es diesen Schutz in kleineren und mittleren Unternehmen defakto nicht gibt. Möglicherweise ist den Verantwortlichen in solchen Firmen gar nicht klar, welche Daten anfallen und welche davon wichtig sind.

Fakt scheint zu sein, dass Datenschutz nur als lästiges Übel wahrgenommen wird. Und dass Verstöße dagegen damit enden, dass ein paar Tausend Leute illegal Werbung zugemail bekommen. Genau das ist falsch! Datenschutz ist das Verhindern von Datendiebstählen. Datendiebstähle können schon im kleinen Stil riesige Schäden anrichten, wie diese Meldung der NOZ über Betrug mit geklauten EC-Karten Daten zeigt. Dort wird wieder über EC-Karten-Datenklau in EDEKA Supermärkten berichtet. Die diesmal betroffenen Märkte im Raum Göttingen machten die gleichen Fehler wie die einen Monat zuvor betroffenen Märkte im Raum Osnabrück. Die EC-Geräte wurden weder regelmäßig auf Manipulationen überprüft noch nachts im Tresor aufbewahrt. Ein Lerneffekt innerhalb der EDEKA-Kaufleute ist nicht feststellbar  – sonst hätte man den neuen Schaden gut vermeiden können.

Während die Lebensmittelhänder mit „Wir lieben Lebensmttel“ werben, sollten wir Kunden lieber unsere Daten lieben und dort einkaufen, wo es sicher ist. Fragen Sie doch mal an der Kasse nach Datenschutz und Datensicherheit!

geschrieben von Holger \\ tags: , , , , , , , ,

Okt 28

Wir haben uns alle daran gewöhnt, an SSL. Es ist herrlich bequem und sicher. Bequem ja, weil man sich selbst nicht um Schlüssel bemühen muss. So bietet jeder Telefonanbieter seinen Kunden den EVN lieber als Download von einer SSL geschützten Seite an, anstatt eine PGP-verschlüsselte Mail an die Kunden zu senden. Weil jeder zweite mit der PGP-Mail nicht anzufangen wüßte, wäre der Support dafür unendlich teuer.

Aber ist SSL auch sicher? Anfang diesen Jahres hätte auch das noch fast jeder mit einem klarem JA beantwortet. Jetzt haben wir Oktober und immer mehr drängt sich der Verdacht auf, dass es mit der Sicherheit nicht zum Besten steht.

Zum einen der Hackereinbruch bei Diginotar, einem niederländischem Zertifikatsaussteller. Dieser fand mutmaßlich bereits am 17 Juni statt und wurde zwei Tage später bemerkt, aber nicht konsequent genug gehandelt. So konnten sich die Täter im Juli insgesamt 531 falsche Zertifikate ausstellen, darunter auch für die Domain google.com. Diginotar selbst versuchte offenbar, diesen Vorfall zu vertuschen – vielleicht auch, weil man erst viel zu spät merkte, was der oder die Täter gemacht haben. Die Konsequenz war dann brutal und folgerichtig – alle Browserhersteller haben sofort das Root-Zertifikat und damit alle jemals erzeugten Zertifikate von Diginotar gesperrt.

Sofort nach diesem Vorfall gab es Stimmen, die der Meinung waren, der Einbruch bei Diginotar sei nicht der Einzige gewesen. Schnell kam die Zahl vier ins Gespräch – bei vier weiteren Anbietern von Zertifikaten soll es zu Hackereinbrüchen gekommen sein. Zuvor war auch schon bei dem Anbieter Comodo eingebrochen worden – vermutlich von den gleichen Tätern, denn es gibt viele Parallelen wie die Liste der Domains, für die falsche Zertifikate ausgestellt wurden. Die Spuren führen in beiden Fällen in den Iran. Die Auswahl der Domains legt den Verdacht des Staatsterrorismus nahe.

Neben der Frage, wie lange die private Internetwirtschaft den Angriffen von Staatsterroristen mit praller Kasse und vielen Ressourcen auf breiter Front standhalten, droht eine weitere Gefahr für das SSL-System. Ein neues Denial-of-Service Tool legt verschlüsselnde Server lahm.

Gut, DOS-Attacken sind ein alter Hut und funktionieren sowieso nur, wenn viele mitmachen und man gemeinsam einen Server lahmlegt. Stimmt, aber nicht in diesem Fall. Hier reicht ein Rechner an einer dünnen DSL-Leitung, um mit seinen Anfragen einen Server zu beschäftigen. Wie das geht? Leider viel zu einfach. Das eigentliche Verschlüsseln geht recht schnell, aber der Aufbau einer verschlüsselten Verbindung ist rechenintensiv, denn hier kommen rechenintensive Verfahren wie RSA zu Einsatz, um die Schlüssel auszuhandeln und zu versenden. Hier baut dieses Tool einfach ca 1000 Verbindungen auf und fordert permanent neue Schlüssel an – damit sind auch Hochleistungsserver schnell am Limit. Ein solcher Angriff betrifft nicht nur Webserver, sondern jegliche Art von Servern, die SSL-gesicherte Verbindungen anbieten, wie z.B. viele Mailserver.

Bedingte Abhilfe schafft das Deaktivieren der Schlüsselneuaushandlung. Dann reicht ein Angreifer nicht mehr aus, um genug Last zu erzeugen. Aber von dem Tool soll eine Version existieren, die distribuierte Angriffe ermöglicht, ganz ähnlich den „normalen“ DDoS Attacken. Mit einem solchen Angriff lassen sich vermutlich auch SSL-Load-Balancer in Knie zwingen.

Und zu allem Überfluss sind auch erste Schwachstellen in der Verschlüsselung selbst aufgetaucht. Noch nichts besorgniserregendes, aber die Summe der Schwachstellen offenbart höchsten Handlungsbedarf für ein SSL der nächsten Generation. Es wird höchste Zeit, einen Nachfolger oder eine Weiterentwicklung auf die Beine zu stellen. Sonst ist eines Tages das kleine Schloss im Browser nichts mehr wert…

geschrieben von Holger \\ tags: , , , , , , , , , , ,