Barak Obama hat es getan, David Cameron hat es getan und jetzt hat es auch der deutsche Innenminister Thomas de Maizière getan: Alle fordern Schnittstellen in Verschlüsselungsinfrastrukturen für Behörden, die teilweise einem Verbot von Ende zu Ende Verschlüsselung in Messenger Diensten wie Threema gleichkämen. Begründet wird dies mal wieder mit dem Schutz vor Terrorismus. Irgendwo kann ich das sogar nachvollziehen, aber man muss es ganz klar sagen, Entschuldigung für die umgangssprachlichen Wörter: “Liebe Geheimdienste und andere öffentliche Einrichtungen, ihr habt es verkackt.” Wer unter einem Vorwand anfängt, in Massen Daten abzugreifen statt sich auf den Einzelfall zu konzentrieren, hat das Vertrauen und die Legitimation verspielt, solche Forderungen stellen zu können.
Kategorie: "Sicherheit"
Padding Oracle On Downgraded Legacy Encryption - aka POODLE (CVE-2014-3566) describes an attack against the SSL 3.0 protocol, which is a predecessor to the current protocols TLS 1.x. SSL 3.0 is outdated, TLS 1.0, 1.1, and 1.2 are specified, have been implemented for a while, and also includes better encryption algorithms. There is no reason to use SSL 3.0 anymore, as long as all components of an application support at least TLS 1.0.
This is true for soft-phones that run on Windows Vista/Server 2008 or later, therefore no problem for Lync 2010/2013 (server and client). But what about the Lync phone edition? The devices run on Windows Embedded CE 6.0 on an ARM platform. So, what about disabling SSL 3.0 in regards to desktop IP phones with Lync phone edition? This is the question that I was confronted with.
You can simply test it, but here is some background information that I was not able to find when I was searching for it, so I had a reason for this article.
Padding Oracle On Downgraded Legacy Encryption - kurz POODLE (CVE-2014-3566) beschreibt einen Angriff auf das Protokoll SSL 3.0, welches ein Vorgängerprotokoll der aktuellen Protokolle TLS 1.x ist. SSL 3.0 ist veraltet, TLS 1.0, 1.1 und 1.2 spezifiziert und schon lange implementiert, bessere Verschlüsselungsalgorithmen inklusive. Es gibt also keinen Grund mehr, SSL 3.0 einzusetzen, wenn sichergestellt ist, dass alle Komponenten einer Applikation mindestens TLS 1.0 unterstützen.
Dies ist für Soft-Clients, die unter Windows Vista/Server 2008 oder neuer laufen, kein Problem, somit auch nicht für Lync 2010/2013 (Server und Client). Aber wie sieht es mit der Lync Phone Edition aus? Die auf einer ARM-Plattform aufsetzenden Geräte laufen unter Windows Embedded CE 6.0. Wie sieht es also aus mit der Deaktivierung von SSL 3.0 in Bezug auf Desktop-IP-Telefone mit Lync Phone Edition? Das ist die Frage, vor der ich stand.
Man kann es einfach ausprobieren, hier sind ein paar Hintergrundinformationen, die ich bisher nicht gefunden habe. Daher nun der Artikel.
Auch wenn nur zwei Prozent der 5 Millionen veröffentlichten Zugangsdaten zu Google-Konten tatsächlich gültig waren, es sind zu viele. Dabei ist noch nicht einmal klar, woher die Daten kommen. Von Google selber wohl nicht. Man mutmaßt eine Sammlung von durch Trojanern und Keyloggern infizierten Rechnern.
- Google: Liste mit 5 Millionen Passwörtern ist kein großes Problem: http://heise.de/-2389531
Wieder ein Grund mehr, sein eigenes Konto weiter abzusichern.
Hier kannst du die “Bestätigung in zwei Schritten” für dein Google-Konto einrichten.
Worum es dabei geht habe ich gerade kürzlich in einem Artikel über den Schutz von Online-Konten: Was sind Multi-Faktor- und Zwei-Schritt-Authentifizierung und wofür benötige ich sie? geschrieben.
Update 13.09.2014
Nachdem nun auch Google-Kontodaten veröffentlicht wurden, Ergänzung der entsprechenden Landing-Page bei Google in der Linkliste.
Und um das noch an den Anfang zu stellen: Das Thema betrifft nicht nur Apple-User, sondern jeden Nutzer von Online-Services seien sie von Apple, Google, Microsoft, Facebook oder anderen mit Namen wie Dropbox, iCloud, OneDrive, Office 365, etc.
—
Wie der gerade wieder kolportierte “Hack” von Apples iCloud zeigt ist der Zugriffsschutz auf online gespeicherte Daten wichtig. Auch wenn zum aktuellen Vorgang noch keine weiteren Details bekannt sind, so bleibt die sehr große Vermutung, dass es sich nicht um einen echten Hack in Apples Systeme handelt, sondern eher einen Zugang zu den Nutzerdaten mit Hilfe der Kontoinformationen. Dabei scheinen auch Daten abhanden gekommen zu sein, die als gelöscht geglaubt waren, wohl aber in einem wie auch immer gearteten Backup verblieben. Sie dazu auch das Statement von Schauspielerin Mary Elizabeth Winstead, die ebenfalls Opfer des mutmaßlichen Hackerangriffs wurde:
“Ich habe die Fotos vor langer Zeit gelöscht. Das muss ein unheimlicher Aufwand gewesen sein.”
Siehe auch folgende Quellen:
- Nacktbilder von Promis im Netz angeblich durch Angriffe auf iCloud: http://heise.de/-2305313
- Jennifer Lawrence and Other Celebs Hacked as Nude Photos Circulate on the Web: http://mashable.com/2014/08/31/celebrity-nude-photo-hack/
Sicher?
So groß war der Aufwand vermutlich nicht. Nur weil man Daten auf einem Gerät löscht sind sie im Backup noch lange nicht verschwunden. Wenn man dann noch den Zugang zu seinem Online-Konto verliert, sei es durch ein zu leichtes Passwort, welches evtl. auch noch auf mehreren Seiten verwendet wurde, durch zu einfach erratbare Passwortfragen, über die man an das Passwort kommen kann oder einfach nur über eine App, der man zu viele Berechtigungen gegeben hat, ist es leicht um die Daten geschehen. Da helfen einem auch die Sicherheitszusagen der Anbieter wie Verschlüsselung der Daten auf den Servern nichts. Hat man die Zugangsdaten liegen einem die Daten offen, selbst wenn sie auf dem Server und auf dem Weg dahin noch verschlüsselt waren. Der Anwender möchte ja seine Nutzdaten abrufen, nicht irgendwelchen Kauderwelsch. Apple wies in dem Fall auch darauf hin, dass sie von keiner Sicherheitslücke wissen, über die die Angreifer Zugriff erlangt hätten.
- Apple zum Promi-Nacktfoto-Klau: Angriffe auf iCloud-Konten, aber keine Sicherheitslücke: http://heise.de/-2311747
Den Schlüssel besitzen
Wie kann man sein Benutzerkonto also besser schützen? Die großen Onlinedienste bieten hierzu schon seit längerer Zeit Lösungen, die im Grundsatz gleich sind. In vielen Firmen und Organisationen ist dieser Zusatzschutz beim Zugriff auf kritische Daten oder von unsicheren Quellen schon seit vielen Jahren Standard. Er basiert darauf, dass man für eine Authentifizierung nicht nur etwas wissen, sondern auch etwas besitzen muss. Kommt das Passwort also abhanden fehlt immer noch der Besitz dieser Eintrittskarte, die wir ab jetzt Token nennen wollen. Das Zusammenspiel auf Passwort nennt man Mehr-Faktor-Authentifizierung.
Windows XP: Veröffentlicht von Microsoft am 25. Oktober 2001, letztes Service Pack mit der Nummer 3 vom 6. Mai 2008, 2 Nachfolgeprodukte sind bereits auf dem Markt, Ende des vollen Supportzeitraums am 14. April 2009, seitdem nur noch Sicherheitsupdates bis zum April 2014, Zeit es nach knapp 9 Jahren endgültig zu Grabe zu tragen.
Um es gleich vorwegzunehmen: Gäbe es einen TÜV für Betriebssysteme, Windows XP würde ihn bei mir nicht mehr bekommen. Dies natürlich aus Gründen der Sicherheit, denn dafür ist der TÜV da. Wie sicher ist Windows XP heute noch und wie sinnvoll daher sein weiterer Einsatz? Darum soll es gehen.
Ich habe vor über 2,5 Jahren im Blog einen Artikel zum Thema “Unsicher trotz Virenscanner” geschrieben, den ich mir heute noch einmal angesehen habe. Erstaunt musste ich feststellen, dass sich in dieser Zeit nichts Grundlegendes geändert hat und er nach wie vor aktuell ist. An dieser Stelle also nur ein kleines Update mit Tipps, wie man sich selbst besser schützen kann.
Die Firma Agnitum, Hersteller der Personal Firewall Outpost, hat ein Online-Quiz ins Netz gestellt, das einem hilft, sein eigenes Wissen über Sicherheit im Internet einzuschätzen.
Eigentlich eine feine Sache. Ich habe Ihn dann auch prompt einmal gemacht und mußte erstaunt feststellen, dass ich nur 28 von 30 möglichen Punkten hatte. Was war passiert?
Diesen kleinen “Aufsatz” habe ich schon Anfang dieses Jahres geschrieben und wollte ihn schon immer mal auch auf die Website packen. Also habe ich ihn jetzt noch einmal ein klein wenig überarbeitet und für die Allgemeinheit zugänglich gemacht. Woher habe ich meine Informationen? Ich verdiene mit dem Wissen darüber mein Geld als Sicherheitsadministrator bei einem 3700 Personen großen Unternehmen und dazu gehört natürlich auch das Wissen um solche Dinge. Wo es damals auf die Schnelle ging habe ich damals entsprechende Verweise auf Quellen eingebaut, die nun auch hier zu finden sind.
Ausgang war die Frage eines Freundes, warum man keine Anhänge von unbekannten Absendern öffnen sollte auch wenn man einen funktionierenden Virenschutz hat. Er hatte das selber so weitergegeben und benötigte jetzt noch etwas Argumentationsgrundlage. Diese Ausgangsfrage führt mich zu Sicherheitslücken in Computerprogrammen, der Frage nach dem “Warum?” und dem Phänomen Spam. Eine Definition vorab: Heuristik ist das Erkennen von neuer unbekannter Schadsoftware durch Virenscanner ohne entsprechende Signaturen, also quasi das bloße Einschätzen, ob eine Software schädlich sein könnte oder nicht.
“Ich habe doch einen Virenscanner und eine Firewall. Mir kann doch nichts passieren.”
“Gegen Spam habe ich einen Spamfilter, der die unerwünschten Mails ausfiltert.”
Solche Sätze höre ich immer wieder im Bekanntenkreis. Außerdem hat man ja sogar dafür bezahlt und das muss ja dann auch gut sein. Oder man möchte generell nichts bezahlen, erwartet aber dennoch 100-prozentige Sicherheit. Die bekommt man doch auch, oder?