OpenPGP für Outlook 2013: Outlook Privacy Plugin

Lange habe ich nach einem Plugin gesucht, welches es mir ermöglicht, E-Mails in Outlook 2010 bzw. Outlook 2013 mit OpenPGP zu verschlüsseln. Die meisten Plugins die ich gefunden habe, waren nur bis zur Version Outlook 2007 geeignet, Outlook selber unterstützt nur S/MIME.

Das Outlook Privacy Plugin zur OpenPGP Verschlüsselung in Outlook

Fündig wurde ich beim Open Source Projekt Outlook Privacy Plugin. Das Plugin bietet zahlreiche Features, ein Auszug von der Webseite (Quelle: https://code.google.com/p/outlook-privacy-plugin/, abgerufen am 27.Juli 2013):

Features
Microsoft Outlook 2010 and 2013
Support for both 32bit & 64bit versions of Office
Encrypt and decrypt email using OpenPGP standard
Supports encrypted attachments
Supports multiple recipients
Decrypts PGP-MIME
Decrypts OpenPGP blocks in HTML email
Multiple email accounts (based on sender/receiver email)

Zusammen mit der Software Gpg4win funktioniert das Outlook Privacy Plugin tadellos. Als Schlüsselmanager habe ich Kleopatra installiert, welcher im Rahmen der gpg4win Installation ausgewählt werden kann. Nach der Installation des Tools finden sich in Outlook einige neue Symbole:

Outlook Privacy Plugin in Outlook

OpenPGP für Outlook 2013: Outlook Privacy Plugin weiterlesen

Spoofing und Man-in-the-Middle Angriffe

Viele kennen den Hinweis: Vorsichtig sein in öffentlichen W-LAN-Netzwerken und keine unverschlüsselten Daten durch die Gegend senden. Was es mit diesem Hinweis auf sich hat und einige Beispiele über die Möglichkeiten (z.B. Spoofing oder Man-in-the-Middle Angriffe), die ein Angreifer in Netzwerken hat, möchte ich heute in meinem IT Security Blog aufzeigen.

Viele sind erstaunt, wie einfach Angriffe möglich sind und wie schnell sich auch die Sicherheitsvorkehrungen vorsichtiger, fortschrittlicher Nutzer mit wenigen Handgriffen aus dem Weg räumen lassen. Ziel dieses Beitrags ist eine Sensibilisierung der Nutzer und eine Erläuterung, warum es sich lohnt, nicht alle Warnmeldungen im Browser einfach zu bestätigen.

Spoofing in einem Testnetzwerk

Ich möchte das Ganze an einem Beispielnetzwerk erläutern:

Testaufbau Spoofing Demonstration

Im Bild zu sehen ist ein typisches Netzwerk, ob jetzt ein LAN oder Wireless-LAN. In diesem Netzwerk ist ein Router an das Internet angeschlossen. Der Router hat nach außen die IP 85.191.xxx.yyy (die Buchstaben stehen stellvertretend für Zahlen, um nicht ausversehen jemanden echtes hier zu nennen). Nach Innen, also im W-Lan selber, hat er die IP 172.22.10.1.

Ein "normaler" Internetrouter hat mindestens zwei Adressen: Eine öffentliche, aus dem Internet erreichbar, und eine private. Router reichen Pakete vom internen Netzwerk, also etwa von John, an das Internet weiter und ordnen die Antworten der Server aus dem Internet wieder den Nutzern zu. Hierbei werden die Quell- und Ziel-IP-Adressen durch den Router dynamisch ausgetauscht ("NAT", Network Address Translation).

In unserem Szenario würde Mallory gerne die Zugangspasswörter für den Zugang zum sozialen Netzwerk Facebook von Alice erfahren. Oder er könnte wissen wollen, was sie bei Google alles sucht. Oder Ihre Zugangspasswörter für ihr Online-Banking herausbekommen. Er hat sogar die Möglichkeit, Daten auf dem Weg von Alice zum Server zu ändern, zu "manipulieren".

Spoofing und Man-in-the-Middle Angriffe weiterlesen

E-Mail Verschlüsselung: Die Grundlagen

Da das Thema der E-Mail Verschlüsselung in den letzten Tagen häufiger in der Presse war, möchte ich dies in meinem IT Security Blog aufgreifen. Für Anfänger ist das Thema der E-Mail Verschlüsselung (leider) nicht ganz so einfach zu durchschauen, was auch an den verschiedenen, zueinander inkompatiblen Standards liegt. Beginnen möchte ich mit einer allgemeinen Frage: Was bringt eigentlich E-Mail Verschlüsselung? Reicht es nicht, wenn ich zu meinem Mailserver eine verschlüsselte Verbindung herstelle?

Der Weg einer E-Mail im Internet

Exemplarisch möchte ich den Weg einer E-Mail anhand einer Graphik erläutern:

Weg einer E-Mail

Ähnlich der oberen Graphik würde wahrscheinlich eine schulbuchmäßige Darstellung aussehen: Der Sender verbindet sich mit seinem Mailserver, entweder

  • mit Hilfe eines E-Mailclients wie Thunderbird, Outlook oder dem Mailclient seines Handys oder
  • direkt mit dem Webmailer, also über die Webseite des Anbieters.

Der Mailanbieter nimmt die E-Mail des Senders entgegen, und sendet diese an den Mailserver des Empfängers. Dort wird sie in den Posteingang des Empfänger gelegt und wartet darauf, durch den Empfänger geöffnet zu werden. Genauer möchte ich nun die Wolke "Internet" betrachten, die in zahlreichen Graphiken auftaucht, aber selten beschrieben wird.

E-Mail Verschlüsselung: Die Grundlagen weiterlesen

DNS Amplification Attack

Vor einiger Zeit wurde ich gefragt, ob die Pressemeldungen rund um die DNS Amplification Attack auf Spamhaus übertrieben waren und ob wirklich das Internet am Rande der Leistungfäigkeit stand. Das Besondere an der damals verwendeten, relativ einfachen DNS Reflection/ Amplification Attacke ist der Effekt, dass sich mit wenig Traffic seitens des Angreifers relativ große Mengen Traffic auf Seite des Opfers generieren lassen. Ziel dieser Attacke ist die Überlastung eines bestimmten Services oder der Netzwerkanbindung des Servers.

Größere Bekanntheit hat die DNS Amplification Attack beim Angriff auf den Dienstleister Spamhaus Anfang 2013 erlangt. Die großen Nachrichtenportale haben sich damals mit Übertreibungen gegenseitig übertrumpft, manche Portale sprachen gar von einem Stau im gesamten Internet.

DNS Amplification Attack als Uebersicht

Die DNS Amplification Attack im Detail

Bei einem Angriff dieser Art wird ausgenutzt, dass DNS Server bei relativ kleinen Anfragen teilweise große Datenmengen zurücksenden.

DNS Amplification Attack weiterlesen

Portscans: Risiken und Hintergründe

Eigentlich ist die Überschrift "Risiko" nicht ganz korrekt, denn eine konkrete Gefahr geht von einem Portscan alleine nicht aus. Ich lese häufiger die Threads besorgter User in Foren, in dem sie erzählen, das ihr PC / Server gerade "Opfer" eines Portscans geworden ist. Nachdem ich heute von einem Freund ähnliches gefragt worden bin, möchte ich im Folgenden die Frage beantworten, was ein Portscan ist und ob ein Portscan etwas gefährliches ist.

Eine kurze Erinnerung an meinen Post Grundlagen: Netzwerke: Hinter einem Port steckt ein Service der von dem IT-Gerät angeboten wird.

Was ist ein Portscan?

Ein Portscan ist eine (meist automatisierte) Prüfung, ob ein Service hinter einem Port angeboten wird. Theoretisch wären einige Funktionen eines Portscanners auch manuell möglich: Um zu prüfen, ob an der Adresse 192.168.0.16 beispielsweise ein MySQL Server auf Befehle wartet, könnte man einfach einen SQL Client starten und eine Verbindung zum Server aufbauen. Bei einem MySQL Server würde auch die Browserabfrage http://192.168.0.16:3306/ ausreichen, um folgende Antwort zu erhalten:

5.5.31-0ubuntu0.12.04.2 (...) mysql_native_password (...) 

Der Port 3306 ist der Standardport eines MySQL Servers, in den Konfigurationsdateien des Servers lässt sich dieser jedoch auch verändern.

Die Arbeit all dieser manuellen Schritte lässt sich mit Hilfe eines Portscanners automatisieren, so wäre es etwa möglich, sich alle Services anzeigen zu lassen, die auf den Ports 5-1000 lauschen.

Einige rechtliche Anmerkungen zu Portscans

Bevor wir zu den technischen Details kommen, ein Hinweis: Ein Portscan lässt sich in den Protokollen eines Servers sehr leicht identifizieren. Ein Portscan gegen ein fremdes System stellt aus Sicht einiger Juristen die erste Instanz eines Einbruchsversuchs dar und ist daher rechtlich umstritten. Portscans sollten also ausschließlich auf eigenen Systemen oder auf Systemen durchgeführt werden, von denen ihr vom Besitzer zuvor eine Erlaubnis eingeholt habt.

In der Praxis sind Portscans etwas alltägliches, wer einen Rootserver im Internet betreibt, wird dies wissen. Würde ich wegen jedem Portscan eine Abuse-Meldung an den Provider des Urhebers senden, würde ich wahrscheinlich nichts anderes mehr tun. Aus meiner Erfahrung werden Abuse-Meldungen die mit Portscans zu tun haben, von den meisten Providern bzw. Hostern nicht weiter verfolgt. Technisch gesehen ist ein Portscan nichts weiter als ein Mechanismus, der an eine Tür klopft und auf eine Reaktion wartet. Er tritt nicht hinein, überwindet keine Schutzmaßnahmen und verändert keine Daten.

Portscans: Risiken und Hintergründe weiterlesen