[DE] Frage zur Sicherheit bei ssl-Verbindungen

[ayla]

Hi,

anlässlich dieses Artikels

http://www.tagesschau.de/inland/trojanerhintergrund100.html

Für weitere 2.500 Euro monatlich bietet die Firma auch eine der Leistungen an, die in der Quellen-Telekommunikations-Überwachung nicht vorgesehen sind, aber nun vom Chaos Computer Club enttarnt wurden:  Die SSL-Dekodierung. SSL-Verschlüsselung wird nämlich nicht nur bei Email-Programmen oder Chatnetzwerken verwandt, sondern beispielsweise auch beim Online-Banking, in Internet-Shops oder im E-Commerce.

Ist für eine derartige Entschlüsselung der direkte Zugriff auf einen der beteiligten Rechner erforderlich?

Oder gibt es auch andere Möglichkeiten diese zu knacken? Falls ja,  welche und wie kann ich dies überprüfen/verhindern?

Windows ist dabei nicht in der Frage inbegriffen .

Gruß
ayla

[devil]

Dazu gibts derzeit recht viel zu lesen, da 2 Forscher einen Exploit gezeigt haben. Heise Online geht in diesem Artikel darauf ein. Und nein, das sind Browser-Exploits, da ist kein physischer Zugriff auf den Rechner nötig.

greetz
devil

[ralfi]

AKA Man-in-the-Middle-Attack.

Es geht dabei um die Entschlüsselung bspw. von Session-Cookies beim Aushandeln einer verschlüsselten Verbindung zwischen https-Browser Client und https-Server. Der Angreifer muss sich in die Verbindung zwischen Client und Server einhackern (z.B. durch ungesicherte Switche / Router) um diesen Angriff erfolgreich starten zu können.

Realistisch gesehen ist die Gefahr jedoch gering da man natürlich irrsinnige Datenmengen aufzeichnen und auswerten müsste um an genau den Datenverkehr dieses Handshakings zu kommen. Wenn es denn aber gelänge, kansste IMHO derzeit nix machen.

[dieres]

AKA Man-in-the-Middle-Attack.

.... Der Angreifer muss sich in die Verbindung zwischen Client und Server einhackern (z.B. durch ungesicherte Switche / Router) um diesen Angriff erfolgreich starten zu können.

Wenn ich meinen TP-Link 4300ND Router mit Firewall betreibe und nur einen Port z.B. 3333 an meinen Linux-Rechner weiterleite, wo ein sshd auf z.B. port 3333 lauscht, sollte ich mich recht sicher fühlen dürfen,oder ?

[gerd]

Im lokalen Heimnetz ist das eh kein Problem, aber eben global. Du kannst ja einfach mal ein Traceroute zu Heise oder Google durchführen. In jeder dieser Zwischenstationen könnte ein Man-In-The-Middle sitzen.

[ayla]

Hallo,

danke für die klaren Auskünfte und die interessanten Links.


Wenn ich es richtig verstanden habe wäre ein Angriff von außerhalb wohl nur mittels dieser Mitm-Attacke realisierbar, passives Lauschen und dann nachstellen der Verbindung reicht nicht.

Und wenn ich die Mitm-Attacke auch noch richtig verstanden habe müsste sich jemand direkt in meine Verbindung zwischen z.B. Rechenzentrum meiner Bank und meinem Rechner einschalten können. Wo dazwischen auch immer.

Dies sollte, solange ich mich nicht dazu verleiten lasse eine Seite des Angreifers für einen meiner regulären Kontakte zu halten oder mich über ein offenes WLAN verbinde und ihm so die Möglichkeit selbst gebe, ja wohl -wie ralfi schon in etwa sagt- nur theoretisch zu realisieren sein.

Naja, aber auch diese theoretische Möglichkeit wird hoffentlich bald beseitigt werden, was sie mit Einführung von TSL1.1 lt Heise Online ja wäre.


Gruß
ayla

[ralfi]

Hi ayla,

prinzipiell hast Du das richtig verstanden. Allerdings ist das "Einklinken" in eine Verbindung durchaus nicht unmöglich.

Jeder Router oder Switch welcher als aktive Komponente die Datenpakete zwischen dem RZ der Bank und Deinem PC weiterleitet wird administriert und konfiguriert und hat auch demzufolge auch integrierte ssh-Server, telnet-Dienste oder Webservices damit man das komfortabel erledigen kann. Damit sind diese Schnittstellen selbst natürlich wieder ein Risiko denn wenn bspw. der Telnet-Daemon eines Routers nicht korrekt abgesichert (besser: deaktiviert) ist könnte sich jemand einhackern und schon haben wir den berühmten Mann in der Mitte.

Allerdings kann man davon ausgehen, dass die wirklich allermeisten Admins auch wirkich nicht nur Ahnung haben sondern wissen, was sie tun. Nur unmöglich, auch auf Grund der allgemeinen Fehlerbehaftung des menschlichen Daseins, isses nicht.

[ayla]

Hallo,

ok, verstanden.

Danke nochmal.

Gruß
ayla