News Bundesministerium warnt vor Surf-Turbos

Michael

Re-aktions-Pinguin
Dabei seit
Okt. 2002
Beiträge
3.211
Das Computer-Notfallteam des Bundes (CERT-Bund) informiert und warnt bei akuten Gefährdungen der IT-Sicherheit die Institutionen des öffentlichen Dienstes. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) warnt deshalb in einer aktuellen Sondermeldung vor sogenannten Surf-Turbos.

Zur News: Bundesministerium warnt vor Surf-Turbos
 

Kim

Lt. Commander
Dabei seit
Okt. 2003
Beiträge
1.320
ich find auch, dass das mit dem onlinebanking eine viel zu leichtgenommene sache ist, da kann jedes script kind mithorchen und die daten klauen
 

-eraz-

Commodore
Dabei seit
Juni 2004
Beiträge
4.270
Zitat von Kim:
ich find auch, dass das mit dem onlinebanking eine viel zu leichtgenommene sache ist, da kann jedes script kind mithorchen und die daten klauen
Das möchte ich bezweifeln. Höchstens der Administrator des Proxyservers könnte da mithorchen. Also um sein Geld braucht man sich deswegen auch keine Sorgen machen gültige TAN's bekommt der Anbieter deswegen auch nicht. Und wer im Internet seine Daten für irgend so eine wischi waschi Software hergibt ist selbst schuld wenn dann ein haufen Werbung in seinem Virtuellen und Physischen Postfach landet!
 

BananenBrot

Lt. Junior Grade
Dabei seit
Jan. 2005
Beiträge
386
das seh ich auch so.

wenn man nicht auf irgendwelchge phishing mails reinfällt oder sich unnseriöse software runterlädt, passiert da so schnell nichts.

nur die gutgläubigen leute fallen dann auf sowas rein ... :freak:
 

The_Jackal

Captain
Dabei seit
Okt. 2003
Beiträge
3.902
Im Internet sollte man einfach skeptisch sein. Es gibt so viele Betrüger, weil zu viel Grauzone herrscht und keiner richtig die Gesetz hier kennt.

Was sehr schlimm ist, dass wenige nur informiert werden. Es kennen sich kaum Leute aus mit Internte und Computern und die "Unwissenden" fallen auf alles mögliche rein. Dadurch werden sie aber eine akute Gefahr für uns alle. Ich erinnere mich nur an die kürzlich vorgestellte Studie, nach der ca. 1 Mio "Zobmie" PCs existieren (die erfassten). Das zeigt doch schon, dass viele sehr leichtsinnig mit ihren PCs umgehen. Es wird wirklich Zeit, dass ein DSL- und Breitband-Anschluss nur in Verbindung mit einem gültigen PC-Kenntnis-Nachweis zu bekommen ist. Das mag zwar 75 EUR oder so kosten, aber die Leute würden aufgeklärt werden. Lächerlich findet ihr das? Ganz und gar nicht. Man gefährdet schließlich seinen und den Geldbeutel/Bankkonto anderer. Es wird wirklich Zeit für einen PC-Schein, denn es gibt immer mehr User, die keine Ahnung haben. Das darf einfach nicht sein. Virenscanner und NAT-Router sollten wirklich bei jedem her. M$ hat schon viel getan mit dem Sicherheitscenter, dass dauernd genervt wird, dass kein Virenscanner installiert wird. Leider wird es mit XP-Antispy von vielen wieder abgeschaltet :(
 

AndrewPoison

Admiral
Dabei seit
Jan. 2005
Beiträge
8.273
Wie man sowas (das mitlesen) anstellen kann? Der Admin des Proxy-Servers (meistens sind das nichtmal stand-alone-server, sondern Computer wie du und ich ihn zuhause stehen haben; lediglich mit entsprechender Bandbreite und vielleicht LoadBalancing-Funktionalität übers Netzwerk) kann auf seinem Rechner Software installieren (z.B. Ethereal), mit welcher der gesamte Netzwerktraffic ausgeleuchtet werden kann. Für jemanden der auch nur ein bischen Ahnung hat von TCP/IP, UDP und dem ganzen anderen kram, sind Spionage-Angriffe erstens mehr oder weniger anonym, und zweitens einfacher als fast alles andere. Jeder Mensch der lesen kann, weis dann auch was im Netzwerk vonstatten geht. Wie im Artikel bereits geschrieben nützen SSL-Verbindungen nichts.

Merke: "manche Systeme kann man brechen, andere umgehen" (Zitat aus Matrix, weis ja wohl jeder, aber ich finde es wunderbar auf den Punkt gebracht)
 

Kim

Lt. Commander
Dabei seit
Okt. 2003
Beiträge
1.320
Es gibt Programme mit denen man den kompletten Verkehr von und zu Servern mitschneiden kann, werden eigentlich benutzt um die Sicherheit zu überprüfen, werden aber auch oft gegenteilig eingesetzt! geht mal davon aus, dass man alles was von A nach B geht wenn man genügend energie reinsteckt abfangen kann! Deshalb ist immer äußerste Vorsicht geboten, wenn es um vertrauliche Daten geht!
 

TK8a

Ensign
Dabei seit
Mai 2004
Beiträge
134
Hi,
gehört cFosSpeed auch zu solchen Programmen? Ich habe im Moment die Demo installiert. Ich kann mir es eigentlich nicht vorstellen, da das Programm keine Freeware ist.
 

MountWalker

Fleet Admiral
Dabei seit
Juni 2004
Beiträge
12.661
Zitat von Kim:
Es gibt Programme mit denen man den kompletten Verkehr von und zu Servern mitschneiden kann, werden eigentlich benutzt um die Sicherheit zu überprüfen, werden aber auch oft gegenteilig eingesetzt! geht mal davon aus, dass man alles was von A nach B geht wenn man genügend energie reinsteckt abfangen kann! Deshalb ist immer äußerste Vorsicht geboten, wenn es um vertrauliche Daten geht!
Hier gehts ja nicht von A nach B wo man dazwischen schon einiges an Aufwand leisten müsste um etwas abzufangen, sondern von A nach C über B und es wird eben darauf hingewiesen, dass B keinesfalls blind sein muss.

ch finds gut, dass endlich mal auch von offizielöler Stelle mit diesem Gerücht, man wäre über einen Proxy-Server bperfekt anonymisiert, aufgeräumt wird.


@The_Jackal

Die Idee des "Internet-Führerschein" ist absolut unpraktikabel und diskriminiert, es gibt Menschen die nicht alles lernen können und nicht nur Home-DAUs, sondern auch EDV-Büro-Hengste fallen auf gut gemachte Phishing-Mails (mit gefälschter Absenderaddresse, z.B. "service@postbank.de") herein.

Viel wichtiger ist eben eine vernünftige Vorinstallation beim Betriebssystem, wo nicht gleich Serverdienste aktiviert sind, über welche sich viele Viren verbreiten, ein Web-Browser, bei dem nicht voreingestellt ist, dass er Software von "vertrauenswürdigen" Websites installieren kann ohne den Anwender davor zu fragen, ein Web-Browser der sich auf Aktualität überprüft und automatisch aktualisiert bevor er einen surfen lässt, sowas ist eigentlich alles kein Problem, aber der Anwender soll ja für die Industrie immer gleich alles können....

Anhang
Wenn der User mit Medungen konfrontiert wird die auch gleich auf Sicherheitsprobleme hinweisen, wenn man etwas aktiviert, das eine potentielle Gefahr darstellen könnte, dann bringt man ihn dazu sich etwas zu informieren ohne verwaltungstechnischen, kaufkraftraubenden Aufwand zu betreiben. Bei Mandrakelinux wird man noch während dem Installationsdialog, wenn man Serverprogramme und/oder Serverdienste installiert darauf hingewiesen, dass diese eben ein potentiell höheres Gefahrenrisiko darstellen, bei Microsoft aktiviert man Serverdienste und weist den User darauf hin, dass er keinen Virenwächter laufen hat, das freut in erster Linie die Industrie die AV-Software verkaufen will, weil nun jeder OEM gezwungen ist sowas vorzuinstallieren und ein OEM die OPersonal Editions von Avast oder Antivir nicht verwenden darf (auch das ist kommerzielle Nutzung).
 
Zuletzt bearbeitet:

dePOLL

Newbie
Dabei seit
Aug. 2004
Beiträge
7
Wenn ich hier mal kurz etwas Aufklärungsarbeit leisten darf:

TLS(SSL)-Verschlüsselung dient ja gerade dazu, die beschriebenen man-in-the-middle Angriffe zu verhindern. Wenn ich über eine unverschlüsselte Verbindung meine POP3-Daten übermittel, kann die *jeder* Rechner, der dazwischensteckt (und das sind in der Regel 5-15 Stück) mitlesen. Kommt natürlich im Normalfall, in dem der Traffic nur über Router eures ISP und irgendwelche Verteiler im RZ des eMail-Anbieters läuft nicht vor. Bei LAN-Parties ist die Gefahr da schon wesentlich höher, wenn man jeden Traffic grundsätzlich über den Proxy eines (unseriösen) Drittanbieters laufen lässt, kann man seine Kennwörter eigentlich gleich auf Flugblättern verteilen.

Hier greift nun TLS. Client und Server tauschen Schlüssel aus, so dass die vom Client verschickten Daten nur vom (End-) Server gelesen werden können und umgekehrt die vom Server kommenden Daten nur vom ursprünglichen Client:

Server < Schlüsselaustausch > Client

Das ganze ist insofern trotzdem angreifbar, als dass sich ein "man in the middle" dazwischenschalten und sich zur einen Seite hin als Server und zur anderen hin als Client ausgeben kann:
Server < Schlüsselaustausch > man in the middle < Schlüsselaustausch > Client

Da der "man in the middle" die Kontrolle über die Schlüssel besitzt, kann er den Verkehr ver- und entschlüsseln. Die vom Client kommenden Daten entschlüsselt er also erst mit dem Schlüssel, den er dem Client vorher zugewiesen hat und verschlüsselt sie dann erneut, um sie dann dem Server zukommen zu lassen.

Die Idee ist natürlich nicht neu und so hat man sich was kluges ausgedacht um solche Angriffe zu verhindern: Zertifikate. Die Idee dahinter ist, dass sich ein Server durch ein Zertifikat "ausweisen" soll. Ein man in the middle könnte dann zwar versuchen sich in den Schlüsselaustauschprozess einzuklinken, der Client würde aber bemerken, dass es sich nicht um den Server handelt. Die wichtigste Angabe in einem solchen Zertifikat ist die Adresse des Servers.

Nun ist das ganze noch immer reichlich unsicher, kann doch jeder ein Zertifikat nach seinem gusto erstellen und da eintragen, was immer er will. Auch auf die Idee sind die "Guten" vor den "Bösen" gekommen und entwarfen das Prinzip der signierten Zertifikate. Hierbei sollen sog. CAs (Certificate Authorities) die Zertifikate prüfen und sie einzeln signieren, falls sie korrekt und die Aussteller vertrauenswürdig sind. Damit der Client diese signierten Zertifikate als gültig anerkennt, muss er ein sog. Root-Zertifikat besitzen. Alle damit signierten Zertifikate sieht er dann als gültig an. Wenn ihr mal in den Einstellungen eures Browsers kramt (Firefox: Edit - Preferences - Advanced - Certificates - Manage Certificates - Authorities), werdet ihr eine Liste der Root-Zertifikate finden, die bei eurem Browser mitgeliefert sind. Thawte usw. Jedes von diesen CAs signierte Zertifikat seht ihr nun als gültig an. Ein man in the middle kann zwar ein Zertifikat ausstellen, was so aussieht, als käme es vom Zielserver, er hat es jedoch nicht signieren lassen. Das merkt der Browser und gibt eine Warnmeldung aus bzw. verweigert den Datenverkehr ganz.

Wie so ziemlich alles ist das aber dann unsicher, wenn ein Bösewicht direkten Zugriff auf den Clientrechner hat. Jede Verschlüsselung wird z.B. durch die Installation eines Keyloggers unwirksam, in diesem Fall wird das ganze aber etwas eleganter und weitaus unauffälliger gelöst. Das besagte Programm leitet nicht nur den Datenverkehr über einen eigenen Proxy um (was die Verschlüsselung, wie oben beschrieben, nicht kompromittieren würde), sondern es installiert auch noch ein eigenes Root-Zertifikat. Dadurch sieht der Client das "zwischengeschaltete" Zertifikat des man in the middle als genauso gültig an, wie bspw. ein von Thawte signiertes.

Vereinfachtes Schema:
Zielserver (Identität durch Thawte bestätigt) < Schlüsselaustausch > man in the middle (gibt sich als Zielserver aus, falsche Identität durch Bösewicht bestätigt) < Schlüsselaustausch > Client (vertraut Thawte und Bösewicht, weil deren Root-Zertifikate installiert sind)

Fazit: Ist der Clientrechner dicht und die Verschlüsselung ausreichend, so können auch hunderte men in the middle euren Daten nichts anhaben, sobald der Client fällt, fällt die gesamte Sicherheit.

Der Vollständigkeit halber sei noch angemerkt, dass das bisherige System nicht gerade optimal ist. Die großen CAs signieren für gewöhnlich nur für ne Menge Geld (mind. 150$/Jahr). Alternative CAs (bspw. cacert.org) bieten zwar ähnliche Sicherheit, ihre Rootzertifikate bleiben den meisten Surfern aber vorenthalten, denn die großen Browserherstellern nehmen sie nur dann in die Standardinstallation auf, wenn sie eine kleine "Aufwandsentschädigung" erhalten. Jede CA, die diese blechen muss, übersteht das nur, wenn sie für das signieren ne Menge Geld verlangt, eine Art Teufelskreis also. Das ganze führt nicht etwa zu mehr Sicherheit (wie immer behauptet wird: "Wir brauchen xy $ um zu prüfen, ob XY wirklich vertrauenswürdig ist!"), sondern eher zu weniger Sicherheit. Kleinere Sitebetreiber können sich ein signiertes Zertifikat nämlich nicht leisten, eine man of the middle Attacke lässt sich somit nicht erkennen. Eine Besserung der Lage ist in Sicht: Mozilla steht offenbar kurz davor das cacert.org Root-Zertifikat standardmäßig einzubinden. Bis dahin muss es jeder Surfer manuell installieren. Aber das nur nebenbei erwähnt :)

Hoffe etwas Licht ins Dunkel gebracht zu haben.
 

-eraz-

Commodore
Dabei seit
Juni 2004
Beiträge
4.270
@dePoll
Trotzdem kann sich keiner dazwischen hängen, ausser der Client bzw. Server hängt in einem Netzwerk das mit Hubs zusammengeschlossen ist.
 

konnyk

Ensign
Dabei seit
Mai 2004
Beiträge
220
FireTune ist damit aber nicht gemeint, oder? Das Programm hab ich mir vorhin gezogen, das ist verdammt geil, muss ich schon sagen, die Seiten werden einen tick schneller geladen als sonst, aber es ist spürbar!

mfg dee
 

dePOLL

Newbie
Dabei seit
Aug. 2004
Beiträge
7
Das ganze Internet ist ein Netzwerk, welches mit Hubs, Switches und dergleichen zusammengeschlossen ist. Da kann sich überall jemand zwischenhängen. Sei es der Nachbar, der in meinem WLAN-Accesspoint hängt, der Arcor-Techniker oder aber auch ein Mitkunde in einem RZ mit suboptimal abgesichertem Netzwerk..
 

-eraz-

Commodore
Dabei seit
Juni 2004
Beiträge
4.270
Zitat von dePOLL:
Das ganze Internet ist ein Netzwerk, welches mit Hubs, Switches und dergleichen zusammengeschlossen ist.
Das möchte ich bezweifeln :p wenn dann Sorgen eine Menge Router zwischen dir und mir dafür das du das hier Lesen kannst ;) und es ist nunmal so das du gerouteten Verkehr nicht abhören kannst, ausser du Gräbst eine Leitung aus und klemmst dich da dazwischen.
 

dePOLL

Newbie
Dabei seit
Aug. 2004
Beiträge
7
Dann erklär mir mal bitte den - in diesem Zusammenhang - prinzipiellen Unterschied zwischen einem Router und einem Switch. Was macht den Router so besonders unangreifbar? Schwebt er in einer titanbeschichteten Seifenblase 20km über der Erdoberfläche?

Es geht hier darum, wie leicht sich jemand in die Kommunikation zwischen einem 08/15 Client und Server einhaken kann und das ist leichter möglich, als es die meisten Internetnutzer wahrscheinlich denken. Ich selbst hing wegen einem blöden DNS-Fehler schon in einem Arcor-Router mit vollem Administratorzugriff und im ungesicherten WLAN diverser Nachbarn. Größere Kabel ausbuddeln ist ohne teures Spezialequipment hingegen recht unnötig, versuch mal die Daten aus nem Glasfaserkabel abzuzweigen und auszuwerten.. Weiterer Sicherungsbedarf besteht aber in vielen RZ. Ich spreche hier nicht von dem der Sparkassen oder der Deutschen Bank, sondern von Hetzner, Myloc, Strato und der gleichen. Wenn ich mich recht entsinne ist es der ct schonmal gelungen den gesamten Datenverkehr der Nachbarserver eines Testrechners im Strato-RZ abzufangen. Und zwar ohne viel Aufwand. Nehme an mit einfachem ARP-Spoofing. Wenn jemand den Artikel findet, möge er sich melden, war ein Test diverser Root-Server anbieter afaik.

Sicherheit fängt ja nicht erst beim Homebanking an. Denk nur mal an die ganzen furzkleinen Bouncer-Anbieter die das Stichwort "Sicherheit" höchstens aus dem letzten Kindergigaspecial kennen. Deren Server sind wahrscheinlich offener als die innereuropäischen Grenzen. Mh, da gucken wir mal vorbei.. Passwort von Hanswurst lautet "meinuniversalessuperpasswort". Hoppala. Seine eMail-Adresse ist hanswurst@web.de, loggen wir uns da doch mal mit seinem BNC-Passwort ein. Mh, mal sehen, was haben wir denn da... "Vielen Dank für Ihre Registrierung bei xy. Ihr Passwort lautet: iosdaji".

Das Internet ist ungefähr so sicher wie die Frischeversiegelung einer Sprudelflasche. Siehe auch den Datenklau bei dieser seltsamen amerikanischen Datensammelfirma. Ist mir glatt mal der Name entfallen. Oder aber auch das hier..

Eine solche man in the middle Attacke ist doch nur die Spitze des Eisberges und so gut wie immer erfolgreich. "Wasn das? 'Zertifikat ungültig'? Hää? Ich will jetzt meinen Kontostand checken! 'Trotzdem akzeptieren?' Jaaa, mach voran hier!"

...
 
Zuletzt bearbeitet:

-eraz-

Commodore
Dabei seit
Juni 2004
Beiträge
4.270
Zitat von dePOLL:
Sicherheit fängt ja nicht erst beim Homebanking an. Denk nur mal an die ganzen furzkleinen Bouncer-Anbieter die das Stichwort "Sicherheit" höchstens aus dem letzten Kindergigaspecial kennen. Deren Server sind wahrscheinlich offener als die innereuropäischen Grenzen. Mh, da gucken wir mal vorbei.. Passwort von Hanswurst lautet "meinuniversalessuperpasswort". Hoppala. Seine eMail-Adresse ist hanswurst@web.de, loggen wir uns da doch mal mit seinem BNC-Passwort ein. Mh, mal sehen, was haben wir denn da... "Vielen Dank für Ihre Registrierung bei xy. Ihr Passwort lautet: iosdaji".

Das Internet ist ungefähr so sicher wie die Frischeversiegelung einer Sprudelflasche. Siehe auch den Datenklau bei dieser seltsamen amerikanischen Datensammelfirma. Ist mir glatt mal der Name entfallen. Oder aber auch das hier..

Eine solche man in the middle Attacke ist doch nur die Spitze des Eisberges und so gut wie immer erfolgreich. "Wasn das? 'Zertifikat ungültig'? Hää? Ich will jetzt meinen Kontostand checken! 'Trotzdem akzeptieren?' Jaaa, mach voran hier!"

...
Ja da hast du schon Recht und ich kann dir nur voll und ganz Zustimmen :). Was mich allerdings immer etwas stört ist die Panikmache die hier oft gemacht wird. Ich denke ein halbwegs Erfahrener User hat im Internet nichts zu befürchten, natürlich besteht immer die Gefahr eines Angriffs und wenn es ein oder mehrere Hacker wirklich drauf auslegen würden deine Persönlichen Daten zu bekommen dann schaffen sie das auch. Es stelllt sich hier nur immer die Frage der wahrscheinlichkeiten, welchen Hacker Interessiert schon der PC vom Hanswurst oder von seinem Freund Suppenkasper?

Ein Risiko besteht immer, aber Hey, wenn ich Morgen über die Strasse gehe steht die Wahrscheinlichkeit genauso hoch das ich von einem Auto überfahren werde, aber das Postet niemand hier. Meine Meinung zu dem ganzen ist also wer so Dumm ist und z.b. verdächtige Zertifikate annimmt, seine Persönlichen Daten übers ganze www verstreut, nie darauf achtet was für komische Anhänge das eigentlich immer im Outlook sind, hat es nicht anders Verdient als dafür die Rechnung präsentiert zu bekommen. Wer die Technik nur benutzen aber nicht Verstehen will kommt halt nicht weit im Inet.
 

ildottore

Lt. Junior Grade
Dabei seit
Jan. 2005
Beiträge
285
Man beachte die automatische Verlinkung bei "diese Software" auf microsoft.com. So hat sichs der Werbekunde gedacht, endlich velrinkt in einer Newsmeldung über Malware :)
 

Leon

Admiral
Dabei seit
Okt. 2002
Beiträge
8.915
Zitat von dePOLL:
Es geht hier darum, wie leicht sich jemand in die Kommunikation zwischen einem 08/15 Client und Server einhaken kann und das ist leichter möglich, als es die meisten Internetnutzer wahrscheinlich denken.
...

Und genau das, sind die Onlinebanking Rechner eben nicht! Und wer Angst hat, dass seine Pin geklaut wird, soll auf HBCI umstellen.

Ausserdem sollten sich hier mal einige Leute Gedanken machen, was es bedeutet die EC Karte zu verlieren, ich sage nur LAstschriftverfahren ohne PIN!! Da sollte man sich aufregen.

Wenn einer meinen Kontostand sehen kann, bitte, zu holen ist da eh nix :D :lol:
 
Top