Archive for the 'Security' Category
November 17th, 2007 by Ruediger
Bundesinnenminister Wolfgang Schäuble hat den Entwicklungsstopp für den heftig umstrittenen Bundestrojaner beim Bundeskriminalamt (BKA) wieder aufgehoben. Dies berichtet der Spiegel in seiner kommenden Ausgabe. Der CDU-Politiker treibt demnach sein Prestigeprojekt der heimlichen Online-Durchsuchung gegen alle Widerstände weiter voran.
[Quelle: Heise]
Hmmm, sind "Prestigeprojekte" nicht diese Projekte, die immer um den Faktor 10 oder 100 teurer werden, als geplant? 
Der Bundestrojaner (offiziell "Remote Forensic Software"). Ok, wie kann/soll er funktionieren? Grundsätzlich sind ja 2 Möglichkeiten im Gespräch:
- Vor-Ort-Auftauchen eines BKA-teams und implementieren eines, auf dieses System, zugeschnittenen Trojaners.
- "Online-Zugriff" auf das System und "Einschleusen" einer Software.
Punkt 1 hat ein paar Haken: Extremer Aufwand, geringe Abdeckung (wenige Überwachungen), Unauffällige Installation ist schwierig und, wie ich finde, einer der wichtigsten Punkte: schon die Installation eines solchen tools verändert das zu überwachende System, daher sind die Ergebnisse zumindest anzuzweifeln (Andreas Pfitzmann, Informatikprofessor an der Technischen Universität Dresden).
Diese Methode fällt meiner Meinung nach fast schon weg, da der zeitliche, personelle und finanzielle Aufwand für eine Überwachung im Großen Stil definitiv zu groß wäre.
Ok, kommen wir zu Weg 2: Einschleusen einer Software, die, mindestens in eingeschränktem Maße, Daten mitloggt. Dass solch ein "Einschleusen" grundsätzlich funktioniert, sieht man an der Anzahl der aktuell im Umlauf befindlichen Trojaner. Allerdings, funktioniert es da, wo es funktionieren soll? Dass sich Hausfrau Lieschen Müller, die 30 Minuten die Woche am PC verbringt, diesen Trojaner einfangen kann, weil sie in der falschen Mail den Anhang öffnet, oder der 15-jährige Bob, der ständig unbedarft auf Pornoseiten surft, ist ja einleuchtend. Aber: trifft das auch auf die Personen zu, die wirklich etwas zu verbergen haben (und ich rede jetzt mal nicht von 2 geklauten .mp3s)? In Diskussion war auch das Einschleusen der Software über die vorhandenen Überwachungsschnittstellen bei den Providern (quasi eine klassische Man-in-the-middle-Attacke). Selbst wenn sich jemand solch einen Trojaner eingefangen hat, gibt es immer noch einige Variablen, die hier "Probleme" machen könnten, wie z. B. Betriebssystem (Windows, Linux, Mac, BSD, …) Personal Firewall, Hardwarefirewall (z. B. auf dem Router), Benutzerkontext (arbeitet derjenige als Administrator/root oder als extrem eingeschränkter Benutzer), Benutzung von Virtuellen Maschinen, usw. Des weiteren, um vor Gericht vernünftig verwertbar zu sein, müssten die gewonnenen Ergebnisse auf sehr sicherer Weise gespeichert/übertragen werden und alles müsste sehr nachvollziehbar sein.
Ich bezweifle, dass sich die Politiker im klaren darüber sind, was für Hürden hier im Wege liegen, wie lückenhaft diese Art der Überwachung ist und was alles dagegen unternommen werden kann. Ein Großteil der Antiviren-Hersteller hat angekündigt, einen eventuellen "Bundentrojaner" als Schadsoftware zu erkennen, und diesem keinen Freischein zu geben. Es ist halt nicht immer alles so einfach, wie man es gerne hätte. Und ein einfaches "Wir schreiben jetzt eine remote-Überwachungssoftware" genügt nicht, es muss erst noch durchgeführt werden.
Bei all dem Hype und der Panikmache um den "Bundestrojaner" (und all der Abneigung dagegen und der notwendigen Vorsicht), bin ich momentan der Meinung, dass so ein Tool nicht gegen ernsthaft gefährliche und ausreichend bewanderte Personen helfen wird- wenn man weiß wie, sind die Abwehrmöglichkeiten (z. B: die die Fähigkeiten einer modernen Hardwarefirewall oder eines Proxies) ziemlich umfangreich.
Ich lasse mich hier aber gerne auch auf Diskussionen ein.
Technorati Tags: Bundestrojaner, firewall, Security
November 15th, 2007 by Ruediger
"Es ist keine Frage des ‘Ob’, sondern eine Frage des ‘Wie’, denn es gibt keine Alternativen zur Online-Durchsuchung."
[Jörg Ziercke, Präsident des Bundeskriminalamtes (BKA) zur Online-Durchsuchung]
Den vollen Artikel kann man auf Heise nachlesen (man sollte mittelmäßig sadistisch veranlagt sein).
Technorati Tags: BKA, Online-Durchsuchung
November 12th, 2007 by Ruediger
Jetzt ist es amtlich: Ab 1.Januar 2008 tritt das Gesetz mit dem vollen Namen “Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG1″ in Kraft (Details in der Wikipedia). Wer das komplette Gesetz lesen möchte, findet es hier. Der komplette Entwurf hat knapp 200 Seiten, daher empfehle ich die gute Zusammenfassung unter http://www.xsized.de/der-9-november/ und den Wiki-Eintrag als kurze Übersicht.
Die Bedeutung des Gesetztes im Hinblick auf Internet- und Email-Nutzung ist weitreichender als man denkt:
Bei der reinen Internetnutzung werden Einwahlzeitpunkt, Benutzerkennung, vom Provider zugewiesene IP-Adresse, sowie Name und Anschrift des Benutzers und “der in Anspruch genommene Internetdienst” gespeichert. Es ist damit nachvollziehbar, wer, wann online war. Es ist, durch Zugriff auf die Provider, nachvollziehbar, wer welche Internetseite aufgerufen hat. Es ist nachvollziehbar, wer Kommentare in Foren (oder in blogs) hinterlassen hat. Ähnliches gilt auch für Email, Voice-over-IP und Mobilfunk (hier ist über die Speicherung der Cell-ID möglich, je nach Umgebung bis auf 100m genau festzustellen, wo sich die Gesprächspartner aufhielten).
Es drängt sich ein Generalverdacht gegen alle Nutzer dieser Medien auf. Sicherlich, “ich habe doch nichts zu verbergen” ist natürlich ein Argument. Trotzdem widerstrebt mir der Gedanke, “jemand” kann ein detailliertes Nutzerprofil über die letzten 6 Monate über mich erstellen.
Der Zweck des Gesetzes verdeutlicht folgender Ausschnitt aus dem Gesetzentwurf:
Auch zur Abwehr von erheblichen Gefahren für die öffentliche Sicherheit und zur Erfüllung der gesetzlichen Aufgaben der Nachrichtendienste – zumal im Bereich der Bekämpfung des internationalen Terrorismus – ist die Kenntnis des Kommunikationsverhaltens der Zielpersonen von unverzichtbarem ermittlungstaktischem Nutzen für die Aufklärung komplexer Organisationsstrukturen etwa von kriminellen oder terroristischen Vereinigungen.
Wer diese Umsetzung im Endeffekt zu bezahlen hat, steht wohl außer Frage. Entweder die Nutzer indirekt durch die Steuern oder direkt durch Gebührenerhöhungen der Provider, die die Daten erheben müssen. Aber steht das im Verhältnis? Es geht hier immerhin darum, die Daten von ~300-400 Millionen Internetnutzern (EU-weit) für ein halbes Jahr zu speichern. Nach einer Studie des BKA (hier der heise-Bericht) könnte die durchschnittliche Aufklärungsquote von derzeit 55% auf maximal 55,006% steigen. Hier ein Vergleich der absoluten Zahlen:
Nach einer Studie des Bundeskriminalamts vom November 2005 konnten in den letzten Jahren 381 Straftaten wegen fehlender Telekommunikationsdaten nicht aufgeklärt werden, vor allem in den Bereichen Internetbetrug, Austausch von Kinderpornografie und Diebstahl. Diese 381 Fälle machten allerdings nur 0,006 % der 6,4 Mio. jährlich begangenen Straftaten aus. Laut Kriminalstatistik blieben Jahr für Jahr 2,8 Mio. Delikte aller Art unaufgeklärt. Vor diesem Hintergrund sei nicht einzusehen, warum gerade die Nutzer von Telefon, Handy und Internet überwacht werden sollten, zumal die Aufklärungsquote in diesem Bereich schon ohne Vorratsdatenspeicherung überdurchschnittlich hoch sei.
[Quelle: http://de.wikipedia.org/wiki/Vorratsdatenspeicherung]
Was kann nun ich als Anwender tun, um meine zugesicherte Privatsphäre (im Rahmen der geltenden Gesetze) zu schützen?
Verschlüsselung:
Verschlüsselung wird immer relativ schnell genannt, wenn es um den Schutz der Privatsphäre geht. Grundsätzlich ist Verschlüsselung natürlich zu empfehlen, allerdings unabhängig von der Vorratsdatenspeicherung. Wie Kai Nehm in seinem Artikel unter http://trau.kainehm.de/2007/11/12/verbindungsdaten-und-verschlussselung/ gut beschrieben hat, habe ich bei der Verschlüsselung natürlich immer noch die Verbindungsdaten (IP, Uhrzeit, Datum, Telefonnummer, etc) im Klartext, sowie unter Umständen einige Nachteile mehr (siehe Artikel von Kai). Wenn ich allerdings den aktuellen Heise-Artikel lese, kann ich mir gut vorstellen, wie es weitergeht, und dann ist die Verschlüsselung der Kommunikation eine Option:
Ein Zugriff auf die laufende Kommunikation, etwa auf ein verschlüsseltes Gespräch mit Skype könne sich die SPD vorstellen[...]
[Quelle: http://www.heise.de/newsticker/meldung/98860]
Im Hinblick auf die nähere Zukunft halte ich Verschlüsselung für den Privatmann für überaus sinnvoll (Eine Firma kommuniziert sowieso nur über verschlüsselte Verbindungen). Allerdings muss es richtig gemacht werden. Des weiteren bringt die Verschlüsselung der Daten wenig, wenn ich die Emails beim Provider im Klartext abhole oder im Klartext sende. Hier muss einfach jeder etwas sensibilisiert werden (und vielleicht hilft dieser Medien-Hype zu diesem Thema trotzdem etwas).
Außen vor bleiben die Spekulationen über Mittel und Wege eventueller Behörden, selbst hoch verschlüsselte Daten in akzeptabler Zeit zu entschlüsseln.
Verwendung von Anonymizer:
Diese Proxy-Server im Internet nehmen für mich eine Verbindung (z. B. GET auf eine Webseite) entgegen und leiten diese Anfrage durch mehrere andere Server. Diese Proxies schreiben keine logs mit, und somit ist es nicht mehr möglich, nachzuvollziehen, welche Webseiten aufgerufen werden, da im Logfile des Webservers die IP-Adresse des letzten Proxies steht. Das ist ein effektiver Weg, allerdings ist für Laien nicht ganz einfach einzurichten.
Somit sind wir wohl schon am Ende der Maßnahmen, die ein einzelner für sich einrichten kann. Jeder sollte sich einfach ein paar grundsätzliche Dinge im Umgang mit der Kommunikation zu Herzen nehmen:
- Emails nur verschlüsselt abrufen und wenn möglich versenden
- Passwörter aus mindestens 8 Zeichen, darunter Sonderzeichen und Zahlen, Groß- und Kleinschreibung, nirgends notieren!!!
- Verzicht auf “Legacy-Dienste” wie Telnet, FTP, HTTP für die Administration, die R-Dienste, etc. Hier werden Benutzernamen und Passwort immer im Klartext übertragen.
Link zu diesem Thema:
Technorati Tags: Security, Überwachungsstaat
November 8th, 2007 by Ruediger
Seit 7.11.2007 ist eine neue Version des ScreenOS verfügbar. Die Release-Notes zur 6.0.0r3 gibt´s hier (login notwendig). Neue Features gibt´s laut Release Notes nicht, es wurde einige Bugs gefixt.
Recommended bleibt der 5.4er-Zweig.
November 7th, 2007 by Ruediger
Nach langem Überlegen habe ich sie mir endlich gekauft: Die SSL-VPN-Appliance für Zuhause. Was bringt es? Sicherer, verschlüsselter Zugriff von extern auf die Ressourcen (z. B. NAS) im privaten LAN- von überall, von jedem PC. Keine Fast keine Software-Installation (sprich: keinen IPSec-Client), etc. Braucht man es unbedingt? Nein, aber es vereinfacht sehr vieles… Grund genug, mir in meinem Urlaub das Thema SSL-VPN genauer anzusehen.
Grundsätzlich: Was ist ein VPN? Ein VPN (Virtual Private Network) ist ein Netzwerk, um private Daten SICHER über ein öffentliches Netz (z. B. Internet) zu übertragen. Mit “sicher” ist hier der Schutz vor Mitlesen und/oder Ändern der Daten durch Dritte gemeint, nicht sicher im Sinne von garantierter Zustellung (so wird “sicher” im Zusammenhang mit TCP interpretiert). VPNs kann man grundsätzlich in die drei Arten Site-to-Site, End-to-Site und End-to-End unterteilen. Ein Site-to-Site-Tunnel wird meist zwischen 2 Firmenfirewalls aufgebaut, ein End-to-Site, oder auch Mobile-Tunnel, wird von einem mobilen Endgerät zu einem festen Endgerät (Initiator ist zwingend der Mobile User) aufgebaut. Einfaches Beispiel für einen End-to-End-Tunnel ist SSH.
Die Grafik zeigt ein Site-to-Site-VPN zwischen 2 Firmen und deren Kommunikation:
Die folgende Grafik zeigt einen Mobile-User, der sich mit dem Firmennetz oder einem Heimnetzwerk mit einem Mobile-Client verbindet:
IPSec ist Stand der Dinge, wenn es um VPN geht. Ursprünglich (vor mittlerweile fast 8 Jahren) entwickelt mit den Hauptzielen Vertraulichkeit, Authentizität und Integrität, ist es seit Jahren der De facto-Standart für Site-to-Site-Tunnel. IPSec hat allerdings Schwächen im Hinblick auf Mobile-User (Benutzer, die mithilfe von VPN-Clients arbeiten), die ins Netz möchten. Um als Mobile-user eine Verbindung ins Firmen-/Home-LAN zu bekommen, sind mehrere Dinge erforderlich:
- Auf dem Mobilen Gerät muss ein VPN-Client installiert sein bzw. der Benutzer benötigt Admin-Rechte, um ihn selbst zu installieren.
- Die Personal Firewall auf dem Client muss IPSec-Pakete durchlassen (z. B. UDP 500, ESP, AH), bzw. der Benutzer hat wiederum das Recht, diese Regeln anzupassen.
- Jegliche sonstige Firewall (z. B. Firmefirewall oder Internet-Cafe) zwischen Mobile-User und Ziel-Firewall lässt die soeben genannten Protokolle und Ports ebenfalls durch.
Wenn diese Voraussetzungen alle erfüllt sind, kann der Mobile User einen transparenten Tunnel aufbauen und kann somit Vollzugriff auf das LAN (fast ohne Einschränkungen) bekommen. Aufgrund dieser notwendigen Voraussetzungen kommt seit einiger Zeit SSL-VPN immer mehr ins Gespräch. Auch SSL-VPN baut einen Tunnel zwischen 2 Kommunikationspartnern auf, der verschlüsselt wird. Ein großer Vorteil von SSL-VPN liegt in der Verwendung von TCP Port 443 (HTTPS) zur Kommunikation. Port 443 wird auch bei vielen Webseiten verwendet, ist ein gängiges Protokoll und ist daher auf den meisten Firewalls erlaubt (Personal Firewalls wie auch Firmenfirewalls). Alleine aus diesem Grund ist Punkt 2 und Punkt 3 der oben genannten Liste weitgehendst hinfällig.
Details zu SSL-VPN und der Sonicwall im nächsten Teil.
Technorati Tags: ipsec, sonicwall, ssl, ssl-vpn, vpn
