1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Staatstrojaner: Das bedeutet der…

Trügerische Sicherheit

  1. Thema

Neues Thema Ansicht wechseln


  1. Trügerische Sicherheit

    Autor: kampfwombat 15.07.20 - 17:02

    Dass MITM-Attacken heutzutage zu schwierig & zu teuer seien, halte ich für eine gewagte (sogar gefährliche) These. Klar ist heute das meiste kryptographisch gesichert, aber gerade für einen staatlichen Angreifer dürfte es nicht so schwierig sein, an der richtigen Stelle z.B. irgendwo das falsche Zertifikat unterzujubeln.

    Wer kann schon sicher sein, dass bei sämtlicher verwendeter Software die Auto-Updater korrekt implementiert sind? Es reicht ja nur *eine* Schwachstelle, um das ganze System zu kompromittieren. Dass das nur mit 0Day geht, halte ich für naiv. Oft beginnt das ganze ja schon mit der 1. Installation des Systems oder einer Software, wenn diese mit einem Browser besorgt wird. Denn dann muss jeder selbst kontrollieren, ob er korrekte Prüfsummen hat. Nur, wo bekommt man die korrekten Prüfsummen her? Sich auf HTTPS allein zu verlassen, ist hier sicher fahrlässig.

    Zur Not gibt's dann noch ein entsprechendes Gesetz mit ein bisschen Zeitversatz (Salami-Taktik), das dem Staat den Zugang zu gültigen Zertifikaten verschafft, damit der User am Ende gar nichts mehr merkt.

    Die Technik ist nicht mehr 2011, aber die Leute an den Schaltstellen sind es auch nicht mehr. Da würde ich mir keine Illusionen machen, dass die zu blöd wären, so einen Steilpass entsprechend auszunutzen. Solche Gesetzesentwürfe mit derlei Kommentaren zu verharmlosen, halte ich für SEHR verantwortungslos :-(



    1 mal bearbeitet, zuletzt am 15.07.20 17:03 durch kampfwombat.

  2. Re: Trügerische Sicherheit

    Autor: kampfwombat 15.07.20 - 17:26

    Noch vergessen:

    Wir reden hier von einem MITM, der den *gesamten* Traffic nach Belieben abgreifen kann, und sogar gewisse Zugriffsrechte auf gespeicherte Daten auf der Dienstanbieter-Seite hat.

  3. Re: Trügerische Sicherheit

    Autor: ikhaya 15.07.20 - 18:08

    Damit dein System ein Zertifikat akzeptiert muss es von einer bekannten CA stammen.
    Du kannst in den CAA Records festlegen "ich nehme nur folgende Firmen als Aussteller".
    Ebenso kannst du in deinem DNS Record sagen: Der Fingerprint meines Zertifikats ist wie folgt"

    Das setzt die Hürde für den Staat als Beispiel Angreifer relativ hoch. Er müsste sehr viel Infrastruktur kompromittieren.
    Wenn er das tut, wird es auffallen. Erst recht jetzt wo die Leute vorgewarnt sind.
    Google deckt regelmäßig Zertifikatsfälschungen für ihre Dienste auf.
    Sobald rauskommt dass Zertifikatsausstellfirma X an einem solchen Angriff beteiligt war, ist sie nicht mehr vertrauenswürdig und kann nicht mehr verwendet werden.
    Das funktioniert so nicht auf die Dauer. Gesetz hin oder her.

  4. Re: Trügerische Sicherheit

    Autor: CraWler 15.07.20 - 18:40

    DNS Packete liesen sich aber ebenfalls manipulieren. Es sei denn es kommt bereits DNS over TLS zum Einsatz was aber noch immer nicht die Regel sein dürfte.

    ----------------------------
    Ich wähle DIE PARTEI - Denn Sie hat immer Recht und Sie ist Sehr Sehr gut !

  5. Re: Trügerische Sicherheit

    Autor: kampfwombat 15.07.20 - 19:44

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Damit dein System ein Zertifikat akzeptiert muss es von einer bekannten CA
    > stammen.
    > Du kannst in den CAA Records festlegen "ich nehme nur folgende Firmen als
    > Aussteller".
    > Ebenso kannst du in deinem DNS Record sagen: Der Fingerprint meines
    > Zertifikats ist wie folgt"

    Dieser "Schutz" geht davon aus, dass jemand nur MITM auf den HTTPS-Traffic macht. Wenn ich aber die gesamte Leitung angezapft habe, ist es ein Leichtes, auch den DNS reply zu manipulieren. Es reicht also, wenn es von einer "bekannten CA" abgenickt wurde.

    > Das setzt die Hürde für den Staat als Beispiel Angreifer relativ hoch. Er
    > müsste sehr viel Infrastruktur kompromittieren.
    > Wenn er das tut, wird es auffallen. Erst recht jetzt wo die Leute
    > vorgewarnt sind.

    Er braucht eben überhaupt nicht viel Infrastruktur zu kompromittieren. Er hat ja dann schon vollständige Kontrolle über alles, was durch die in Frage kommende Leitung läuft. Alle anderen bekommen davon gar nichts mit.

    > Google deckt regelmäßig Zertifikatsfälschungen für ihre Dienste auf.
    > Sobald rauskommt dass Zertifikatsausstellfirma X an einem solchen Angriff
    > beteiligt war, ist sie nicht mehr vertrauenswürdig und kann nicht mehr
    > verwendet werden.
    > Das funktioniert so nicht auf die Dauer. Gesetz hin oder her.

    Quelle?

    Funktioniert das denn auch, bei einem gezielten Kompromittierung? Wenn Du eine Übersicht über CA-fuckups haben willst, such mal bei fefe nach "CA".

  6. Re: Trügerische Sicherheit

    Autor: ikhaya 15.07.20 - 21:36

    DNS kann signiert werden und auch über andere DNS Server abgerufen werden, getunnelt über TLS oder HTTPS oder auch Tor oder Quic, das heisst die Menge an Infrastruktur die kompromittiert werden muss is enorm um sicherzustellen dass ich auch die falschen Antworten bekomme.

    Wenn du nur Kontrolle auf der Leitung hast, ohne die Server die ebenfalls beteiligt sind zu kontrollieren, verwirft mein Router&Rechner die Falschen Daten da sie nicht korrekt signiert sind bzw nicht zusammen passen.

    https://www.golem.de/news/tls-zertifikate-auch-apple-wendet-sich-gegen-wosign-und-startcom-1610-123635.html
    https://www.golem.de/news/https-browser-blockieren-kasachstanisches-ueberwachungszertifikat-1908-143345.html , auch hier kein Vorschub für CAs die erwiesenermaßen für zweifelhafte Dinge verwendet werden.

    Die Browser Hersteller sind allergisch gegen CAs die nicht ordentlich arbeiten

  7. Re: Trügerische Sicherheit

    Autor: kazhar 16.07.20 - 07:31

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Die Browser Hersteller sind allergisch gegen CAs die nicht ordentlich
    > arbeiten

    Hier geht es aber nicht um irgendwelche Browserhersteller, sondern um z.B. das Windows Update.

    Ich unterstelle staatlichen Stellen jetzt nicht wirklich Skrupel, einer Firma ein dafür passendes Zertifikat abzunehmen.

  8. Re: Trügerische Sicherheit

    Autor: chefin 16.07.20 - 10:23

    Ihr müsst das immer auch von der anderen Seite betrachten.

    Ihr seit der Staat, ihr wollt potentielle Täter finden. Irgend wen zu ermitteln reicht nicht, das fliegt euch vor Gericht um die Ohren und ihr seit schneller in die Schreibstube zwangsversetzt als euch lieb ist.

    Aber ihr habt ja schonmal Anfangsverdacht und 1000 potentielle Täter. 975 Hurra Schreier, deren Gefährdungspotential ungefähr das Niveau eines 6 Jährigen im Sandkasten in einer Gruppe 4 Jähriger hat. Also müssen die pro möglichen Täter 40 Personen überwachen. Jeder bei einem anderen Provider, auf anderen sonstigen Bereichen aktiv, jeder muss individuell infiziert werden.

    Und dann hat man EINEN möglichen Täter aus dem engeren Kreis. Und trotz hunderter Mitwissen, darf nichts nach aussen dringen. Wenn du ein Geheimniss EINEM sagst, weist du wer geplappert hat. Wenn du ein Geheimniss mit 100 teilst kannst zum einen nicht mehr festsellen, wer geplappert hat und zum anderen kannst du dir sicher sein, das du einen drunter hast, der plappern wird.

    Sobald also einer plappert, war die komplette Aktion fürn Arsch. Monate an Arbeit und Manpower für die Katz. Und einen potentiellen Anschlag nicht verhindert. Der wird dann stattfinden, irgendwer wird sich fragen, wieso man soviel Geld ausgibt und es dann in den Sand setzt, wegen einem Plappermaul.

    Überwachung muss also in einer Form funktionieren, das keine Aussenstehenden es mitbekommen, auch nicht die Provider irgendwelcher Dienste. zB LetsEncrypt hat keinen Sitz in Deutschland, die werden wohl eher nicht mit uns zusammen arbeiten. Hier sind also die technischen und organisatorischen Hürden schon so hoch, das die Freigabe praktisch nichts ändert an den Möglichkeiten. Ich stell mir das ungefähr so vor, als würde es aktuell verboten sein auf den MtEverest zu klettern. Ab morgen ist es dann zwar erlaubt, aber geändert hat das nix. Ich und die meisten anderen Menschen kommen weiterhin nicht rauf.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. Dürr Systems AG, Bietigheim-Bissingen
  3. Universität Konstanz, Konstanz
  4. NOVENTI Health SE, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 60,99€ (Vergleichspreis 77,81€)
  2. (u. a. MX500 1 TB für 93,10€ mit Gutschein: NBBCRUCIALDAYS)
  3. (u. a. ASUS TUF Gaming VG32VQ1B WQHD/165 Hz für 330,45€ statt 389€ im Vergleich und Tastaturen...
  4. (u. a. The Crew 2 für 8,49€, Doom Eternal für 21,99€, Two Point Hospital für 8,29€, The...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen Pro 4750G/4650G im Test: Die mit Abstand besten Desktop-APUs
Ryzen Pro 4750G/4650G im Test
Die mit Abstand besten Desktop-APUs

Acht CPU-Kerne und flotte integrierte Grafik: AMDs Renoir verbindet Zen und Vega überzeugend in einem Chip.
Ein Test von Marc Sauter

  1. AMD Ryzen Threadripper Pro unterstützen 2 TByte RAM
  2. Ryzen 3000XT im Test Schneller dank Xtra Transistoren
  3. Ryzen 4000 (Vermeer) "Zen 3 erscheint wie geplant 2020"

Mars 2020: Was ist neu am Marsrover Perseverance?
Mars 2020
Was ist neu am Marsrover Perseverance?

Er hat 2,5 Milliarden US-Dollar gekostet und sieht genauso aus wie Curiosity. Einiges ist dennoch neu, manches auch nur Spielzeug.
Von Frank Wunderlich-Pfeiffer


    Programmiersprache Go: Schlanke Syntax, schneller Compiler
    Programmiersprache Go
    Schlanke Syntax, schneller Compiler

    Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
    Von Tim Schürmann


      1. Corona: Gewerkschaft sieht Schulen schlecht digital ausgestattet
        Corona
        Gewerkschaft sieht Schulen schlecht digital ausgestattet

        In vielen Bundesländern beginnt die Schule wieder, die zuständige Gewerkschaft erwartet ein Jahr mit "viel Improvisation". Grund sei die schlechte digitale Ausstattung.

      2. Nach Microsoft: Auch Twitter soll an Tiktok interessiert sein
        Nach Microsoft
        Auch Twitter soll an Tiktok interessiert sein

        Neben Microsoft soll auch Twitter überlegen, die chinesische Social-Media-App zu übernehmen - mehr finanzielle Ressourcen dürfte aber Microsoft haben.

      3. Smartphone: Huawei gehen die SoCs aus
        Smartphone
        Huawei gehen die SoCs aus

        Huawei hat bestätigt, dass das Unternehmen keine High-End-Chipsätze mehr für seine Smartphone-Produktion hat. Grund ist das US-Embargo.


      1. 13:37

      2. 12:56

      3. 12:01

      4. 14:06

      5. 13:41

      6. 12:48

      7. 11:51

      8. 19:04