Abo
  1. Foren
  2. Kommentare
  3. Security
  4. eFail: Was tun ohne E-Mail-Sicherheit?

Was soll die Panikmache?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was soll die Panikmache?

    Autor: Fregin 15.05.18 - 13:04

    Grob geschätzt 99,999 % aller Mails werden so oder so unverschlüsselt übertragen. Ich habs ne zeitlang mal versucht, aber bis auf ein paar Nerds in meiner Kontaktliste nutzt keine Sau eine Verschlüsselung bei Mails.

    Davon ab frage ich mich, wie praktikabel ein Angriff ist. Dazu muss doch die Mail verändert werden, sie muss also irgendwo abgegriffen werden, wo sie "unverschlüsselt" liegt - bis auf den PGP bzw. S/MIME-Teil eben. Da Mailserver heutzutage normalerweise eine Transportverschlüsselung verwenden, kann also nicht mal eben irgendwo z.B. im Internetcafe mitgehorcht werden. Das dürfte die Möglichkeiten für einen Angreifer schon arg einschränken. Oder seh ich das falsch?

    Nicht falsch verstehen, dass das gefixt wird sehe ich durchaus als wichtig an, aber auf den einschlägigen Seiten klingts momentan nach Weltuntergang...

  2. Re: Was soll die Panikmache?

    Autor: freebyte 15.05.18 - 13:38

    Fregin schrieb:
    --------------------------------------------------------------------------------
    > Grob geschätzt 99,999 % aller Mails werden so oder so unverschlüsselt
    > übertragen.

    Problem sind die 0,001%, die auf eine vollwertige End-To-End verschlüsselung angewiesen sind weil sie sonst bald keine Kopfschmerzen mehr haben. Ok - wer in dieser Risikogruppe seinem MUA erlaubt, in einer E-Mail externe Inhalte nachzuladen der hat schon vorher keinen Kopf gehabt.

    > Davon ab frage ich mich, wie praktikabel ein Angriff ist. Dazu muss doch
    > die Mail verändert werden, sie muss also irgendwo abgegriffen werden, wo
    > sie "unverschlüsselt" liegt - bis auf den PGP bzw. S/MIME-Teil eben.

    3 Angriffspunkte: Auf dem Rechner des Absenders, auf dem Mailserver, auf dem Rechner des Empfängers.

    "Aber da kann man gleich einen Trojaner ..." gilt nicht; Programme die ausserhalb der Reihe "nachhause telefonieren" werden von jeder billigen "personal firewall" erkannt - ein MUA, der Zeug von Port 80 nachlädt ist unauffälliger.

    > Da Mailserver heutzutage normalerweise eine Transportverschlüsselung
    > verwenden, kann also nicht mal eben irgendwo z.B. im Internetcafe
    > mitgehorcht werden.

    Durch die flächendeckende Einführung von TLS bei Web und Mail werden die Anwender täglich mit kaputten und abgelaufenen Zertifikaten konfrontiert so dass sie auch offensichtliche Fälschungen abnicken, "Man in the middle Attacks" erfahren gerade eine Renaissance.

    > Nicht falsch verstehen, dass das gefixt wird sehe ich durchaus als wichtig
    > an, aber auf den einschlägigen Seiten klingts momentan nach Weltuntergang...

    Ist ja sonst nichts los auf der Welt ^^

    fb

  3. Re: Was soll die Panikmache?

    Autor: Fregin 15.05.18 - 14:46

    freebyte schrieb:
    --------------------------------------------------------------------------------

    > Problem sind die 0,001%, die auf eine vollwertige End-To-End
    > verschlüsselung angewiesen sind weil sie sonst bald keine Kopfschmerzen
    > mehr haben. Ok - wer in dieser Risikogruppe seinem MUA erlaubt, in einer
    > E-Mail externe Inhalte nachzuladen der hat schon vorher keinen Kopf
    > gehabt.

    Naja, die werden kaum ein Problem haben auf andere Wege auszuweichen. Dem letzten Satz kann ich ansonsten nur zustimmen, selbst wenn man in keiner "Risikogruppe" ist, sollte das Nachladen externer Inhalte per Default aus sein.

    > 3 Angriffspunkte: Auf dem Rechner des Absenders, auf dem Mailserver, auf
    > dem Rechner des Empfängers.

    Ich sag ja... Die Angriffsfläche ist jetzt nicht sooooo riesig, wie in den diversen Artikeln getan wird.

    > "Aber da kann man gleich einen Trojaner ..." gilt nicht; Programme die
    > ausserhalb der Reihe "nachhause telefonieren" werden von jeder billigen
    > "personal firewall" erkannt - ein MUA, der Zeug von Port 80 nachlädt ist
    > unauffälliger.

    Prinzipiell ja.

    > Durch die flächendeckende Einführung von TLS bei Web und Mail werden die
    > Anwender täglich mit kaputten und abgelaufenen Zertifikaten konfrontiert so
    > dass sie auch offensichtliche Fälschungen abnicken, "Man in the middle
    > Attacks" erfahren gerade eine Renaissance.

    Von der Transportverschlüsselung bekommt der Anwender erstmal nix mit. Die läuft zwischen den Mailservern. Allenfalls bei der Kommunikation des MUA mit dem eigenen Mailserver könnten Zertifikatsfehler aufpoppen. Aber wer seine Mails verschlüsselt und in so einem Fall nicht hellhörig wird... Der hat ganz andere Probleme.

  4. Re: Was soll die Panikmache?

    Autor: freebyte 15.05.18 - 19:31

    Fregin schrieb:
    --------------------------------------------------------------------------------
    > > Problem sind die 0,001%, die auf eine vollwertige End-To-End
    > > verschlüsselung angewiesen sind weil sie sonst bald keine Kopfschmerzen
    > > mehr haben.
    >
    > Naja, die werden kaum ein Problem haben auf andere Wege auszuweichen.

    Aus eigener, jahrelanger Anschauung: der übliche "kritische" und/oder "investigative" Journalist hat den technischen Sachverstand einer ordinären Ringelblume - es wird nicht das genommen, was hochgradig sicher ist sondern was auf einem Apple-Gerät läuft und von dem er gehört hat, dass es sicher ist.

    > > 3 Angriffspunkte: Auf dem Rechner des Absenders, auf dem Mailserver, auf
    > > dem Rechner des Empfängers.
    >
    > Ich sag ja... Die Angriffsfläche ist jetzt nicht sooooo riesig, wie in den
    > diversen Artikeln getan wird.

    Stimmt - es kann ja nur auf 100% des gesamten Transportweg dazwischengefunkt werden.

    > > Durch die flächendeckende Einführung von TLS bei Web und Mail werden die
    > > Anwender täglich mit kaputten und abgelaufenen Zertifikaten konfrontiert
    >
    > Von der Transportverschlüsselung bekommt der Anwender erstmal nix mit. Die
    > läuft zwischen den Mailservern.

    Die fängt schon beim MUA an (sofern der Mailserver das anbietet).

    > Aber wer seine Mails verschlüsselt und in so einem Fall nicht hellhörig wird...
    > Der hat ganz andere Probleme.

    Wie gesagt: die User drücken mittlerweile Zertifikatsfehler einfach weil sie so häufig vorkommen.

    fb

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hines Immobilien GmbH, Berlin
  2. UX Gruppe, Gilching
  3. Securiton GmbH IPS Intelligent Video Analytics, München
  4. Grünbeck Wasseraufbereitung GmbH, Höchstädt an der Donau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. über ARD Mediathek kostenlos streamen
  2. (2 Monate Sky Ticket für nur 4,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


EU-Urheberrechtsreform: Wie die Affen auf der Schreibmaschine
EU-Urheberrechtsreform
Wie die Affen auf der Schreibmaschine

Nahezu wöchentlich liegen inzwischen neue Vorschläge zum europäischen Leistungsschutzrecht und zu Uploadfiltern auf dem Tisch. Sie sind dilettantische Versuche, schlechte Konzepte irgendwie in Gesetzesform zu gießen.
Ein IMHO von Friedhelm Greis

  1. Leistungsschutzrecht VG Media darf Google weiterhin bevorzugen
  2. EU-Verhandlungen Regierung fordert deutsche Version des Leistungsschutzrechts
  3. Fake News EU-Kommission fordert Verhaltenskodex für Online-Plattformen

Xbox Adaptive Controller ausprobiert: 19 x Klinke, 1 x Controller, 0 x Probleme
Xbox Adaptive Controller ausprobiert
19 x Klinke, 1 x Controller, 0 x Probleme

Microsoft steigt in den Markt der zugänglichen Geräte ein. Der Xbox Adaptive Controller ermöglicht es Menschen mit temporärer oder dauerhafter Bewegungseinschränkung zu spielen, ohne enorm viel Geld auszugeben. Wir haben es auf dem Microsoft Campus in Redmond ausprobiert.
Von Andreas Sebayang

  1. Firmware Xbox One erhält Option für 120-Hz-Bildfrequenz
  2. AMD Freesync Xbox One erhält variable Bildraten
  3. Xbox One Streamer können Gamepad mit Spieler teilen

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


    1. Unitymedia-Vodafone: Bundesnetzagentur will TV-Kabelnetz regulieren
      Unitymedia-Vodafone
      Bundesnetzagentur will TV-Kabelnetz regulieren

      Wenn das geplante Zusammengehen von Unitymedia und Vodafone zustande kommt, will die Bundesnetzagentur eine Regulierung und Öffnung intensiv prüfen. Doch der Wettbewerbsdruck sei gut für den Glasfaserausbau.

    2. Raven Ridge: AMDs Athlon kehrt zurück
      Raven Ridge
      AMDs Athlon kehrt zurück

      Mit dem Athlon 200GE hat AMD einen neuen günstigen Prozessor mit integrierter Grafikeinheit im Portfolio. Der Zen-Chip wird gegen Intels Pentium-Modelle positioniert und ist mit 35 Watt ziemlich sparsam.

    3. Cambricon MLU100: Entwickler von Huaweis NPU bringt AI-Beschleuniger
      Cambricon MLU100
      Entwickler von Huaweis NPU bringt AI-Beschleuniger

      Nach der Integration im Kirin 970 für Huawei-Smartphones hat Cambricon mit dem MLU100 einen selbst entwickelten Beschleuniger für künstliche Intelligenz vorgestellt. Kunden wie Lenovo nutzen den Chip.


    1. 13:11

    2. 11:35

    3. 11:11

    4. 13:08

    5. 12:21

    6. 11:23

    7. 09:03

    8. 18:36