Archiv der Kategorie: Grundlagen

Diese Seite zeigt alle Beiträge an, die grundlegende Themen aus dem Bereich der IT-Security behandeln.

© momius - Fotolia.com

TLS (SSL) Verschlüsselung und Schwachstellen im Detail

Seit wenigen Tagen überschlägt sich die Presse mit Meldungen, dass Verschlüsselungen "im Internet" geknackt worden sein. Leider wurde hierbei so oft voneinander zitiert, dass sich auch viele Übertreibungen und Vereinfachungen in den Nachrichten finden, die mit der Wahrheit wahrscheinlich nicht mehr all zu viel zu tun haben. Nachdem ich die ersten Schlagzeilen gelesen habe, dachte ich mir anfangs, dass ich es mir nicht vorstellen konnte, dass die unterschiedlichen mathematischen Probleme, auf den Verschlüsselungen beruhen, geknackt worden sind. Nach dem Lesen der Artikels bemerkte ich, dass ich recht hatte: Nicht die Verschlüsselungen wurden geknackt, sondern, im Gegenteil, es wurde getrickst und beeinflusst, um Verschlüsselungen, durch absichtlich inkorrekte Implementierung, unsicherer zu gestalten.

Wie ich bereits im Beitrag Grundlagen der Verschlüsselung auf mögliche Schwachstellen hingewiesen habe, möchte ich nun einmal kurz & leicht verständlich auswerten, was eigentlich in den Presse in den letzten Tagen bekannt geworden ist. Ich stütze mich hierbei auf die Berichte der New York Times, des Guardian und des Online-Portal ProPublica. Weiterhin habe ich mir Texte von Bruce Schneier als Quelle genommen, ein anerkannter, renommierter Kryptographieexperte, der ebenfalls Zugriff auf die geleakten Dokumente hatte.

Ist die SSL Verschlüsselung unwirksam und somit sinnlos?

Nein, nach den bisher vorliegenden Informationen nicht. Den Berichten zur Folge wurden Wege gefunden, dennoch verschlüsselte Informationen mitlesen zu können. Die Wege sind bei weitem nicht neu, nur die Größenordnung und die hohe Systematik dahinter ist neu. Um die "Schwachstellen" von SSL nachvollziehen zu können, müssen wir im im Bereich der SSL bzw. TLS Verschlüsselungen ins Detail gehen, hierbei werde ich auch auf das Thema Perfect Forward Secrecy (PFS) eingehen.

Der TLS-Handshake: Der Verbindungsaufbau

Wird eine https-verschlüsselte Webseite aufgerufen, müssen zahlreiche Nachrichten zwischen den Server und dem Browser ausgetauscht werden, bevor im Browser der Inhalt der Webseite angezeigt werden kann.

Der TLS Handshake im Detail

Der TLS Handshake im Detail (Angelehnt an https://commons.wikimedia.org/wiki/File:SSL_handshake_with_two_way_authentication_with_certificates.svg)

Weiterlesen

© peshkova - Fotolia.com

Linux Kernel kompilieren

Dieser Beitrag wurde am 14.Dezember 2014 auf die Linux-Kernel-Version 3.14.26 aktualisiert.

Einen eigenen Linux Kernel aus den Quellen zu kompilieren, ist Thema dieses IT Security Blog Beitrags. In einigen Tagen (Update: Beitrag erschienen) werde ich einen weiteren Beitrag veröffentlichen, bei denen ich Möglichkeiten nennen werde, einen "gehärteten" bzw. "gepatchten" Linux Kernel zu kompilieren. Bevor wir uns jedoch mit Themen wie PAX, grSecurtity & Co. auseinander setzen, müssen einige Grundlagen vorhanden sein. Die Quellcodebeispiele werde ich auf Basis eines Debian GNU/Linux Systems (Ubuntu 14.04 LTS) demonstrieren.

Vor- und Nachteile eines eigenen Kernels

Um es vorwegzunehmen - notwendig ist ein eigener Kernel in den meisten Fällen nicht. Mit Hilfe eines eigenen Kernels ist es beispielsweise möglich, diesen exakt an das System anzupassen, daher nur die Module bzw. Treiber zu kompilieren, die auch wirklich für das System benötigt werden. Ein Debian Paket des aktuellen Kernels lässt sich somit auf eine Größe von etwa 6-7 MB reduzieren. Notwendig ist ein selbst kompilierter Kernel beispielsweise auch dann, wenn dieser für mehr Sicherheit, zur Systemhärtung, gepatcht und angepasst werden soll.

Die Konfiguration erfordert etwas Erfahrung, der größte "Nachteil" ist die etwas schwerere Wartbarkeit. Ein Update des selbst kompilierten Kernels aus den Paketquellen der Distribution ist dann nicht mehr ohne weiteres möglich.

Eine Wiederherstellung bzw. Rückkehr zum originalen Kernel der Distribution ist zu jedem Zeitpunkt ohne Probleme möglich.

Weiterlesen

© adam36 - Fotolia.com

Sicheres Online-Banking

Diese Woche möchte ich mich in meinem IT Security Blog, inspiriert durch eine Freundin, dem Thema sicherem Online-Banking zuwenden. Konkret wurde ich gefragt, ob der sogenannte "Inkognito-Modus", den manche Browser implementiert haben, zusätzliche Sicherheit beim Online-Banking bietet.

Ähnlich wie im Beitrag "Grundlagen der E-Mail Verschlüsselung" möchte ich anfangs die Angriffsmöglichkeiten und Risiken näher erläutern und anschließend einige Möglichkeiten nennen, Online-Banking sicherer und somit sorgloser genießen zu können.

Angriffsmöglichkeiten und Risiken beim Online-Banking

Die meisten werden Online-Banking in der Form kennen, dass sie sich über eine Webseite Ihrer Bank auf ihrem Konto einloggen und dort Transaktionen vornehmen können. Weitere Formen sind beispielsweise Online-Banking über eine App oder direkt aus einem Finanzprogramm heraus. All diesen Verfahren liegt zu Grunde, dass der Bankkunde über einen Client (also dem Browser, der App oder dem Finanzprogramm) mit einem Server (ein Computer, der einer Bank gehört) über das Internet kommuniziert.

bank verbindung

Wie aus der Graphik ersichtlich, sind Angriffe an drei verschiedenen "Orten" möglich:

  • Auf dem Server der Bank,
  • im Internet, auf dem Weg vom Client zum Server und
  • auf dem Client, also dem PC des Kunden.

Die Details hinter der Wolke "Internet" habe ich im Artikel E-Mail Verschlüsselung: Die Grundlagen näher beschrieben. In der Realität liegen die Probleme in erster Linie beim Computer des Kunden oder, deutlich seltener, auf dem Weg vom Client zum Server. Auf die Sicherheit des Bankservers muss man sich als Kunde verlassen können, darauf haben Nutzer keinen Einfluss.

Weiterlesen

© momius - Fotolia.com

E-Mail Verschlüsselung: Die Grundlagen

Da das Thema der E-Mail Verschlüsselung in den letzten Tagen häufiger in der Presse war, möchte ich dies in meinem IT Security Blog aufgreifen. Für Anfänger ist das Thema der E-Mail Verschlüsselung (leider) nicht ganz so einfach zu durchschauen, was auch an den verschiedenen, zueinander inkompatiblen Standards liegt. Beginnen möchte ich mit einer allgemeinen Frage: Was bringt eigentlich E-Mail Verschlüsselung? Reicht es nicht, wenn ich zu meinem Mailserver eine verschlüsselte Verbindung herstelle?

Der Weg einer E-Mail im Internet

Exemplarisch möchte ich den Weg einer E-Mail anhand einer Graphik erläutern:

Weg einer E-Mail

Ähnlich der oberen Graphik würde wahrscheinlich eine schulbuchmäßige Darstellung aussehen: Der Sender verbindet sich mit seinem Mailserver, entweder

  • mit Hilfe eines E-Mailclients wie Thunderbird, Outlook oder dem Mailclient seines Handys oder
  • direkt mit dem Webmailer, also über die Webseite des Anbieters.

Der Mailanbieter nimmt die E-Mail des Senders entgegen, und sendet diese an den Mailserver des Empfängers. Dort wird sie in den Posteingang des Empfänger gelegt und wartet darauf, durch den Empfänger geöffnet zu werden. Genauer möchte ich nun die Wolke "Internet" betrachten, die in zahlreichen Graphiken auftaucht, aber selten beschrieben wird.

Weiterlesen

© momius - Fotolia.com

Verschlüsselung: Grundlagen

Ein Thema, welches in den letzten Tagen in der Presse, in den Medien und Foren gerne als "Allheilmittel" gegen staatliche Überwachung oder Wirtschaftsspionage genannt wurde, ist Verschlüsselung.

Um es vorwegzunehmen: Zweckmäßig und korrekt eingesetzt, ist Verschlüsselung sinnvoll - aber sie ist kein Allheilmittel. Die Verschlüsselung einer E-Mail verschlüsselt beispielsweise nicht den Betreff, den Empfänger oder Absender (="Metadaten"), sondern nur den Inhalt und ggf. die Dateianhänge. Der Header, oder korrekt ausgedrückt die "Header Section", bleibt etwa unverschlüsselt. Der Header enthält neben den Absende- und Empfangsadressen auch Informationen über die Route, die die E-Mail vom Absender zum Empfänger genommen hat. Da im Rahmen der Vorratsdatenspeicherung (= was übrigens gleichbedeutend mit dem aus wahltaktischen Gründen eingeführten Wort "Mindestdatenspeicherung" ist) oder den bekannten Überwachungsprojekten hauptsächlich Metadaten gesammelt werden, bringt eine Verschlüsselung an dieser Stelle erst mal wenig gegen die Erstellung von Profilen, wer mit wem wann zu welchem Thema Nachrichten ausgetauscht hat.

Weiterlesen