« Spionage | Blog

Datenschutzfreundliche Dropbox und Zertifizierung

Donnerstag 25 Juni 2015   Kategorien: IT-Sicherheit, Tipps   von Rainer W. Gerling

Das Unternehmen Dropbox bemüht sich intensiv Business Accounts an die Unternehmen zu bringen. Von kostenlosen Accounts kann man auf Dauer nicht leben. Diese Accounts können von der Unternehmens IT gemanagt werden. Verlässt ein Mitarbeiter das Unternehmen, kann der Speicherplatz gewiped werden oder an den Nachfolger übertragen werden. Details findet man im “Dropbox for Business Security Overview“.

Aber leider gibt es auch für Unternehmens-Kunden keine Dateiverschlüsselung. Dropbox schreibt zwar im Security Guide (und das ist auch korrekt), dass die Dateien beim Storage-Provider verschlüsselt (AES 256 Bit) gespeichert werden. Aber den Schlüssel hat Dropbox und nicht das Unternehmen. Dropbox kann (manchmal vielleicht auch; muss) auf die Daten zugreifen. Dropbox ist seit dem 16.2.2012 Safe Harbor „zertifiziert“ und erfüllt damit formal die EU-Vorgaben.

Dropbox for Business nach ISO 27018 zertifiziert“ schrieb die Computer Woche am 18.5.2015. Dropbox ist nach eigenen Angaben einer der ersten Cloud-Anbieter, der das neue ISO-Gütesiegel erhält. Die ISO 27018 wurde erst im August 2014 verabschiedet und regelt datenschutzrechtliche Anforderungen an Cloud-Dienste nach EU-Recht und nach deutschem Recht.

Ist das nicht ein Widerspruch? Die Anforderungen nach deutschen Datenschutzrecht sind nach ISO 27018 zertifiziert und die Unternehmensdaten liegen unverschlüsselt in der Cloud? Da muss man doch mal genau nachschauen, was eigentlich zertifiziert ist. Und das steht in dem Zertifizierungsdokument.

Services in scope, when used with a registered Dropbox for Business account:

  • The Dropbox software client (desktop/laptop access)
  • The Dropbox web application (desktop and mobile browser access)
  • The Dropbox mobile application (mobile device access)
  • The Dropbox application programming interface (API) (invoked by a Dropbox for Business customer to perform operations on data within that customer's account)"

steht auf Seite 2 der Zertifikatsurkunde.

Zertifiziert sind also: der Desktop Klient, die Webanwendung, die App und das API. Im Grunde ist alles zertifiziert, was die Firma für den Klienten zur Verfügung stellt. Die Serverseite ist NICHT zertifiziert. Über die Speicherung der Daten in der Cloud wird in der Zertifizierung nichts gesagt!

Was lernen wir? Es empfiehlt sich Zertifizierungen nur zu akzeptieren, wenn man sich davon überzeugt hat, was genau zertifiziert ist. Manchmal klaffen Zertifizierung und Wahrnehmung (oder sollte ich Werbung schreiben) etwas auseinander.

Solche „Missverständnisse“ gab es schon öfter. Im April 1996 wurde Windows NT mit dem Report No. CSC-FER-95/003 nach dem Orange Book als C2-sicher zertifiziert. Aber zertifiziert war „nur“ Windows NT 3.5 Service Pack 3 mit spezieller Konfiguration und - auch bei der NT Server Version - ohne Netzwerkkarte im Rechner. (Wenn man es genau nimmt, galt das Zertifikat auch nur für die Compaq Rechner Proliant 2000 und Proliant 4000 5/90-1 und 5/100-1 sowie einen DECpc AXP/150.) Ein Windows NT 4 mit Netzwerkkarte war nie zertifiziert. Obwohl fast alle das geglaubt haben.

NSA-Spezial vom 1. April 2014 - Nachtrag

Donnerstag 02 April 2015   Kategorien: Spionage, Tipps   von Rainer W. Gerling

"Se non è vero, è molto ben trovato. - Wenn es nicht wahr ist, ist es doch gut erfunden!" hat Giordano Bruno (1548-1600) gesagt. Der erste Halbsatz ist bezogen auf den Beitrag "NSA-Spezial: Überwachung von IPv6-Adressen mit Privacy Extension" definitiv korrekt: er war - aus gebenem Anlass - frei erfunden. Ob er gut erfunden war, muss jeder für sich selbst entscheiden.

Trotz allem ist nicht klar wie adressbasierte Überwachung bei IPv6 Adressen in Kombination mit den Privacy Extensions tatsächlich funktioneren kann oder soll. Stabil steht ja nur der Netzwerkteil der Adresse zur Verfügung also maximal die ersten 64 Bit. Zu allem Überfluss kommt noch hinzu, dass z.B. MS Windows auf alle IPv6-Adressen der letzten Tage "hört".

NSA-Spezial: Überwachung von IPv6-Adressen mit Privacy Extension

Mittwoch 01 April 2015   Kategorien: Spionage, Tipps   von Rainer W. Gerling

!!! Wichtiger Nachtrag !!!

Spätestens seit den Enthüllungen von Edward Snowden ist jedem klar, dass die „Five Eyes“ (Nachrichtendienste der USA, Kanadas, Großbritanniens, Australiens und Neuseelands) umfangreich eigene und fremde Bürger bei der Kommunikation überwachen und belauschen.

Im Rahmen von PRISM werden Überwachungsmarker gesetzt (E-Mail-Adressen oder IP-Adressen) und der Datenverkehr belauscht. Alles dies kann in den einschlägigen Publikationen und Veröffentlichungen nachgelesen (siehe unten) werden.

Unabhängig von den Aktionen der „Five Eyes“ werden die IPv4 Adressen knapp und die Umstellung auf die längeren IPv6 Adressen hat begonnen. Schon früh wurde erkannt, dass die IPv6-Adressen ein Datenschutzproblem haben können und deshalb wurden die Privacy Extensions geschaffen. Sind diese aktiviert, wird die zweite Hälfte der IPv6-Adressen bei jedem Systemstart neu ausgewürfelt. Der Rechner ist deshalb nach jedem Systemstart mit einer anderen IP-Adresse im Netz unterwegs. Diese Adresse ist – trotz eventuell manipulierter Zufallszahlengeneratoren – somit nicht ohne weiteres vorherbestimmbar. Trotzdem möchten die „Five Eyes“ den Datenverkehr eines bestimmten Rechners abhören können.

Die NSA sich da eine recht clevere Lösung für Windows einfallen lassen, die jetzt einem Hacker bei der Fehlersuche in einer Software aufgefallen ist. Ob es in den Apple-Betriebssystemen und den diversen Linux-Varianten inkl. Android etwas Vergleichbares gibt wird derzeit noch untersucht.

Mit einer im Detail noch nicht ganz verstandenen Funktion, die wohl auf dem SHA-Algorithmus basiert und ähnlich einer Hash-Funktion funktioniert, wird ein spezieller Wert aus den letzten 32 Bit der IPv6-Adresse berechnet. Ist dieser berechnete Wert „412015“ wird die IP-Adresse überwacht, ansonsten nicht. Die Generierung des „zufälligen“ Teils der IP-Adresse geschieht so, dass gegebenenfalls genau der „richtige“ Wert herauskommt. A

Gesteuert wird dieser Mechanismus über einen bisher unbekannten Registry-Eintrag. Wird HKLM/SYSTEM/select/MRZ=“1“ (siehe Abbildung) gesetzt, wird der Rechner anschließend überwacht. Die Zeichenfolge MRZ ergibt sich, wenn die Buchstaben NSA mit einer CAESAR-Verschlüsselung mit dem Schlüssel -1 verschlüsselt werden. So wurde angeblich auch schon mal aus dem Firmennamen IBM die Name eines Computers: HAL.

Wenn Sie sicher gehen wollen, dass Ihr Rechner nicht überwacht wird, setzten Sie diesen Registry Wert auf „2“. Damit ist das letzte Bit des Wertes „0“ (es wird wohl nur das letzte Bit ausgewertet) und es findet keine Überwachung statt. Aber der normale Federal-Trojaner der NSA kann scheinbar diesen Wert nicht wieder auf „1“ ändern. Würde man den Wert auf „0“ setzten, kann die NSA-Software den Wert auf „1“ ändern. Hier wird wohl der Wert nicht sauber geprüft. Ein Programmierfehler bei den Cracks der NSA?

Selbstverständlich geschehen alle Veränderungen am innersten des Betriebssystems auf eigene Gefahr. Hier experimentiert man ohne doppelten Boden. Es kann keine Garantie dafür übernommen werden, dass hier nicht doch etwas schief geht.


Bücher zum Thema Edward Snowden:

  • Glenn Greenwald: Die globale Überwachung: Der Fall Snowden, die amerikanischen Geheimdienste und die Folgen, Droemer, München 2014
  • Luke Harding: Edward Snowden: Geschichte einer Weltaffäre, Weltkiosk 2. Auflage 2014. (auch Sonderausgabe der Bundeszentrale für politische Bildung )

Passwort-Sicherheit und Marketing-Experten

Sonntag 15 März 2015   Kategorien: Awareness, Tipps   von Rainer W. Gerling

Das amerikanische Unternehmen Splashdata - spezialisiert auf Passwort Management - hat eine Liste mit den schlechtesten 25 Passworte des Jahres 2014 veröffentlicht. Dabei wurden die mehr als 3,3 Millionen Passworte, die in veröffentlichten Listen gestohlener Passworte aus dem letzten Jahr zu finden waren, ausgewertet. Die Abbildung zeigt die TOP 16 der Liste inklusive der Veränderungen im Ranking.

Im Grunde gruselt es einen, wenn man diese Passworte sieht. Wie fast immer ist "123456" auf Platz 1. Die einzge Erklärung zu Gunsten der Nutzer wäre es, anzunehmen, dass es ich fast nur um Test-Accounts handelt, bei denen ein billiges Passwort verwendet wurde.

Bereist 2008 veröffentlichte Mark Burnett die 500 schlechtesten Passworte aller Zeiten. Die Liste steht z.B. hier. Sie wird klar von englischen Worten definiert. Es sind aber auch Passworte dabei, die auf den ersten Blick gut aussehen. Erst der zweiten Blick offenbart ihre Schwächen: "qawsedrf" oder "qaywsx" (Wissen Sie warum?).

Auf Platz 16 der Liste steht das Wort "mustang" (2008 war es übrigens auf Platz 10). Die Marketing Experten von Ford haben etwas überhaupt nicht verstanden oder meinten ein coolen Gag zu machen. Sie gaben eine Pressemeldung heraus: "'Mustang' More Popular Than 'Superman,' 'Batman' According to Research by SplashData".

Zwei Zitate aus der Pressemeldung: "Mustang is the 16th most common password on the Internet according to a recent study by SplashData, besting both “superman” in 21st place and “batman” in 24th" und "Mustang is the only car to appear in the top 25 most common Internet passwords". Sind die jetzt stolz darauf, dass ihre Kunden (oder Fans) schlechte Passworte verwenden?

Aber wie macht man ein gutes Passwort? Mindestens zehn Zeichen lang solte es sein. Es enthält die Großbuchstaben A..Z, die Kleinbuchstaben a..z, die Ziffern 0..9 und Sonderzeichen. Aus jeder der vier Gruppen sollte mindestens ein Zeichen vertreten sein. Wenn das Passwort dann auch noch zufällig generiert wird (z.B. mit dem Passwortmanager KeePass), dann ist es brauchbar. Man muss es aber auswendig lernen. Das ist der harte Teil.

Schreiben Sie das Passwort auf einen Zettel und hüten sie diesen Zettel wie Ihren Augapfel. Dann machen Sie das Passwort zu dem Login-Passwort Ihres Betriebssystems. Der Bildschirmschoner wird auf eine Minute gestellt und das Passwort muss zum Entsperren jedemal eingeben werden. Nach zwei Arbeitstagen haben Sie das Passwort so oft eingegeben, dass Sie es auswendig können. Nachdem Sie es in Ihrem Passwortmanager (für alle Fälle) gespeichert haben, müssen Sie jetzt nur noch den Zettel sicher vernichten. Dann haben Sie ein gutes Passwort.

Webserver-Sicherheit für Freaks

Samstag 07 März 2015   Kategorien: IT-Sicherheit, Tipps   von Rainer W. Gerling

Die sog. Freak Sicherheitslücke hat die Aufmerksamkeit auf die Verwendung der sog. Cipher Suiten bei verschlüsselten Verbindungen gelegt.

Bei dem Aufbau einer verschlüsselten Verbindung müssen zwichen Klient und Server die verwendeten Verschlüsselungsverfahren ausgehandelt werden. Dabei haben der Server und der Klient jewiels eine Liste der von ihnen unterstützen Verschlüsselungsverfahren. Der Klient macht eine Vorschlag und der Server akzeptiert diesen Vorschlag oder sagt "beherrsche ich nicht, wir müssen was anderes nehmen". Können die beiden sich nicht auf eine Cipher Suite einigen, kommt keine Verbindung zu Stande.

Es müssen das Protokoll (SSL, TLS) und vier Algorithmen vereinbart werden:

  • das Schlüsselaustauschverfahren (RSA, DH)
  • das Authentifizierungsverfahren (RSA, DSA, ECDSA)
  • das Verschlüsselungsalgorthmus inkl. Schlüssellänge (keine, RC4, DES, 3DES, IDEA, AES
  • die verwendete Hashfunktion (MD5, SHA1, SHA2)

Aus den fünf Angaben setzt sich dann der Name der Cipher Suite zusammen, z.B. DHE-DSS-AES256-SHA256 (OpenSSL-Name) oder TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (IANA Name). Dies sind die für den Menschen lesbare Form. Intern werden die Cipher Suiten durch Codezahlen (0x00,0x6A) dargestellt.

Die Grundidee der Attacke ist es, in diesen Verbindungsaufbau so einzugreifen, dass sich beide Partner auf eine schwache Cipher Suite einigen, so dass die Entschlüsselung dann "einfacher" geknackt werden kann. Nicht alle Server und Klienten sind angreifbar. Unter Windowssystemen sind alle Anwendungen, die auf die schannel.dll Verschlüsselungsbibliothek zurückgreifen angreifbar. Darüber hinaus sind Chrome, Safari und andere Browser angreifbar.

Eine Liste der angreifbaren Server der Top Million Server des Alexa Rankings ist hier verfügbar. Ingesamt sind 9,5% (am 7.3.) der Top Million Server verwundbar (am 3.3. waren es noch 12,2%).

Aber was muss ein Administrator tun, um seinen Server so zu konfigurieren, damit nur sichere Cipher Suiten verwendet werden? Die derzeit beste verfügabre Anleitung ist ein umfangreiches PDF-Doukment "Applied Crypto Hardening" von bettercrypto.org. Erfahrene Praktiker aus eropäischen Certs und Hochschulen haben für die gängisten Webserver (Apache, lighttpd, nginx und MS IIS) die sichere Konfiguration der Cipher Suiten beschrieben. Alle Besipiele können direkt per Copy & Paste übernommen werden. Darüber hinaus wird die Krypto-Konfiguration von SSH, Mail Serverv, VPNs, PGP, Instant Messaging Systemen Datenbanken und anderen Systemen beschrieben.

Obwohl das Dokument ncoh den Status "draft" hat, gibt es derzeit wohl keine bessere Anleitung.

Wer jetzt seine eigenen SSL/TLS fähigen Server überprüfen möchte, dem sei der Kommandozeilen SSL-Scanner SSLyze ans Herz gelegt. Das in Python geschriebene Programm ist für Windows, OS X und Linux verfügbar.

Nachtrag vom 21.3.2015: Dieser Beitrag wird in der Datenschutz Newsbox 3/2015 verwendet

Wo ist der Download?

Montag 22 Dezember 2014   Kategorien: IT-Sicherheit, Tipps   von Rainer W. Gerling

Sie möchten ein kostenloses Programm z.B. den kostenlosen Passwordmanager KeePass oder das Löschprogramm CCleaner herunterladen. Sie klicken den Link an und werden von einem großen, nicht übersehbaren Download-Button „angestrahlt“. Die Versuchung ist groß auf den größten Button mit dem Text "Download Start" in der Mitte des Bildschirms zu klicken. Dabei können Sie sich aber leicht einen Virus einfangen. Warum?

Viele Anbieter von Software-Downloads fianzieren ihr Angebot über Werbung. Das ist auch völlig legitim. Die Werbung wird über spezielle Dienstleister (z.B. Google, Rubicon, Valueclick) geschaltet. Da die Werbe-Diensteister die Möglichkeit nutzen, den Inhalt der Werbung an den Inhalt der Web-Seite thematisch anzugleichen, ist es für einen Werbekunden recht einfach auf einer legitimen Download Seite eine Werbeanzeige mit einem übergroßen Download-Button zu schalten.

Diese Möglichkeit wird von zwielichtigen Zeitgenossen (die Firmen Well Known Media/Filehippo und Piriform/CCleaner sind hier "Opfer" der Download-Button) auch genutzt, um Besucher der ansonsten seriösen Download-Seite zu verleiten, auf den falschen Button zu klicken. Und schon ist die Schadsoftware installiert.

Deshalb sollte ein Nutzer vor dem Klick auf einer Download-Seite sorgfältig schauen, ob er auch an der richtigen Stelle klickt. Und wenn der Download ein bischen zeitverzögert beginnt, ist Warten eine Tugend, denn der automatische Download sorgt dafür, dass die richtige Software auf dem eigenen Rechner landet.

USB-Sticks

Dienstag 30 September 2014   Kategorien: Awareness, IT-Sicherheit, Tipps   von Rainer W. Gerling

Jeder hat mindestens einen USB-Stick und nutzt ihn auch häufig. „Kannst Du mir mal schnell die Datei auf den Stick kopieren?“ und schon steckt der eigene Stick in einem fremden Rechner. Es werden auch schnell fremde USB-Sticks in den eigenen Rechner gesteckt, um mal schnell etwas darauf zu kopieren. Dieser Umgang ist unter IT-Nutzern allgemein akzeptiertes „Sozialverhalten“.

Gerade wurde bekannt, dass Berliner Sicherheitsforscher einen Weg gefunden haben, handelsübliche USB-Sticks in Angriffswerkzeuge umzuprogrammieren. Aus dem Speicherstick wird so z.B. eine virtuelle Tastatur, die automatische alles das tun kann, was ein Nutzer an der Tastatur auch tun kann. Und dieser Angriff funktioniert unter allen Betriebssystemen! Und aus der Digitalkamera wird eine Netzwerkkarte, die den gesamten Datenverkehr des Rechner umleiten kann.

Derzeit gibt es keinen allgemeinen sinnvollen Schutz gegen den Angriff, außer die USB-Ports zu deaktivieren. Die Komforteinbußen sind leider ziemlich hoch. Die Firma G DATA stellt zumindest den Windows Anwendern eine Schutz-Software kostenfrei zur Verfügung. Diese Software meldet, wenn eine unbekannte USB-Tastatur an den Rechner gesteckt wird. Der Anwender muss dann selber entscheiden, ob er die Tastatur nutzen will oder nicht.

Von Zeit zu Zeit blendet die Software Werbung für G DATA Produkte ein.

Für die Nutzung von USB-Sticks sollte man sich die Verwendung von zwei USB-Sticks angewöhnen. Den einen – mit den wertvollen und schützenswerten Daten – steckt man nur an den oder die eigenen Rechner. Die Daten sind zusätzlich verschlüsselt; unter Windows z.B. mit Bitlocker To Go (Windows ab Version 7).

Bild Trekstor CS Der andere USB-Stick – idealerweise mit einem Schreibschutzschalter – wird genutzt, wenn man seinen Stick z.B. für Präsentationen an fremde Rechner stecken muss. Und auf diesem Stick sind keine wertvollen und/oder vertraulichen Daten. Einer der wenigen noch verfügbaren USB-Sticks mit einem mechanischen Schreibschutzschalter ist der Trekstor CS. Der Schreibschutz stellt sicher, dass keine Schadsoftware heimlich auf den Stick kopiert werden kann.

Auch mit einem Smartphone kann man derartige Angriffe durchführen. Mal schnell das fremde Smartphone am USB-Port des Notebokks laden, kann unangenehme Folgen haben. Ein USB-Kondom kann da helfen, da es nur Strom und keine Daten durchlässt.