Facebook: 170 Millionen Profile gecrawlt #2

Juli 30th, 2010 § 0

Vorgestern habe ich kurz über die gecrawlten Daten aus Facebook geschrieben.

Heute lese ich, dass sich jemand mal angeschaut hat wer alles interesse an den Daten hat… sie also herunterläd.  Ist ja kein Problem bei Torrent. Dazu muss man einfach in die Peers gucken:

z.B:

A.C. Nielsen
Agilent Technologies
Apple
AT&T – möglicherweise Macrovision
Baker & McKenzie
BBC
Bertelsmann
Boeing
Cisco Systems
Cox Enterprises
Davis Polk & Wardwell
Deutsche Telekom
Disney
Duracell
Ernst & Young
Fujitsu
Goldman Sachs
Halliburton
HBO & Company
Hilton Hospitality
Hitachi
HP
IBM
Intel
Intuit
Levi Strauss & Co.
Lockheed-Martin Corp
Lucasfilm
Lucent
Lucent Technologies
Matsushita Electric Industrial Co
Mcafee
MetLife
Mitsubishi
Motorola
Northrop Grumman
Novell
Nvidia
O’Melveny & Myers
Oracle Corp
Pepsi Cola
Procter and Gamble
Random House
Raytheon
Road Runner RRWE
Scientology
Seagate
Sega
Siemens AG
SONY CORPORATION
Sprint
Sun Microsystems
Symantec
The Hague
Time Warner Telecom
Turner Broadcasting system
Ubisoft Entertainment
Unisys
Univision
USPS
Vereinte Nationen
Viacom
Vodafone
Wells Fargo
Xerox PARC

Bleibt die Frage was die Unternehmen mit den Daten anstellen wollen. Entweder die haben da Mitarbeiter-PCs stehen, die im BitTorrent hängen oder die PR-/Sonstige-Abteilung hat die Daten bewusst heruntergeladen.

Gelesen bei Gulli

Facebook: 170 Millionen Profile gecrawlt

Juli 28th, 2010 § 0

Der Author des Security-Blog Skullsecurity hat aus Facebook 170 Millionen Datensätze (100 Millionen davon eindeutig) gecrawlt und über BitTorrent bereitgestellt. Einige Auszüge aus den Daten:

10 GB (entpackt) facebook-urls.txt

http://en-us.facebook.com/people/A********/6***5***24

http://en-us.facebook.com/people/Al***-**a*/1**7*0***9*

http://en-us.facebook.com/people/A*******r**n/*68****93*7

Top Vornamen (73 MB Liste an Vornamen):

977014 michael
963693 john
924816 david
819879 chris
640957 mike
602088 james
584438 mark
515686 jason
503658 robert…

Top Nachnamen (91 MB Liste)

913465 smith
571819 johnson
512312 jones
503266 williams
471390 brown
386764 lee
360010 khan
355639 singh…

Zusätzlich werden Listen der Form VNachname (300 MB) VornameN (175 MB) angeboten – sortiert nach Häufigkeit:

129369 jsmith
79365 ssmith
77713 skhan
75561 msmith
74575 skumar
72467 csmith
71791 asmith
67786 jjohnson…

100225 johns
97676 johnm
97310 michaelm
93386 michaels
88978 davids
85481 michaelb
84824 davidm
82677 davidb
81500 johnb
77800 michaelc….

Entstanden sind die Listen, weil der Author diverse Listen für ein neues Bruteforce-Tool (NCrack) erstellen wollte.

Erstellt wurden die Listen einem einfachen Ruby-Script welches dem Packet beiliegt. Mit diesem Script wurde die Facebook-Directory (http://www.facebook.com/directory/) durchsucht. Die erlaubt es Suchmaschinen Profile zu erfassen, die die unten aufgeführten Einstellungen nicht getroffen haben.  Schlicht eine Frage der Bandbreite ist es, auch Freundschaftsbeziehungen, öffentliche Bilder,… in einer Datenbank zu erfassen.

Bisher wurden wohl hauptsächlich amerikanische Profile gecrawlt. Wer sich dem crawlen, zumindest in dieser Form, entziehen will sollte folgende Einstellungen treffen:

Unter Privatsphäre-Einstellungen => Anwendungen und Webseiten => öffentliche Suche, kann die Sichtbarkeit für Suchmaschinen eingestellt werden. Dann erscheint man nicht mehr im Facebook-Directory.

Ein grundsätzlicher Schutz gegen Crawler ist diese Einstellung natürlich nicht – die gibt es aber, will man Facebook nutzen, auch nicht.

Alternative zum Google Reader: Tiny Tiny RSS

Juni 23rd, 2010 § 0

Irgendwie muss man die tägliche Informationsflut im Internet organisieren. Dazu gibt es unterschiedliche Möglichkeiten: Twitter, Soziale Netzwerke, RSS,…

Ich persönlich habe mich für letzteres entschieden. Besonders geschickt ist dabei eben der Online-Reader von Google. Wenn täglich an 2-3 verschiedenen Rechnern sitzt, macht eine lokale Installation eines RSS-Reader keinen Sinn.

Perfekte Situation für Online-Reader, z.B. Google Reader.  Naja, muss aber nicht unbedingt der Google Reader sein. Es gibt durchaus Alternativen die sich sehen lassen können, eine davon will ich hier vorstellen:

Tiny Tiny RSS

Tiny Tiny RSS ist ein in PHP geschriebener RSS-Reader, den man auf seinen Webspace oder Server installiert und damit seine RSS-Feeds organisiert.

Die Datenübernahme aus dem Google Reader ist möglich. Dazu muss man im Google Reader einfach die Subscriptions als OMPL exportieren und im Tiny Tiny RSS importieren. Ob das so problemlos funktioniert, kann jeder selbst probieren.

Ich persönlich habe die die Gelegenheit genutzt und einige Blogs aussortiert.

Installation

Die Installation erfolgt (noch?) nicht in einer Installationsoberfläche, wie man von anderen großen Projekten vielleicht gewohnt ist. Um Tiny Tiny RSS zu installieren muss zuerst manuell eine Datenbank angelegt und dann das Schema der Datenbank hochgeladen werden. Dazu bietet Tiny Tiny RSS unter schema/ttrss_schema_mysql.sql oder ttrss_schema_pgsql.sql jeweils die fertigen Schemata jeweils für MySQL oder PostgreSQL.

Anschließend müssen die Datenbank-Verbindungsdaten in die config.php eingetragen werden:

define(‘DB_TYPE’, “pgsql”); // or mysql
define(‘DB_HOST’, “localhost”);
define(‘DB_USER’, “fox”);
define(‘DB_NAME’, “fox”);
define(‘DB_PASS’, “XXXXXX”);

Damit ist die Installation erledigt.

Debugging

Wer keine Kategorien im Tiny Tiny RSS nutzen will, oder bei wem das Erstellen von Kategorien schon funktioniert, kann diesen Schritt überspringen. Alle anderen müssen noch eine Zeile im Quellcode von Tiny Tiny RSS verändern.

Da TTRSS anfangs bei mir keine Kategorien erstellen wollte, habe ich mich auf die Suche nach dem Bug gemacht und bin auf folgendes gestossen:

In der Datei “modules/pref-feeds.php” in Zeile 1040 erfolgt eine Überprüfung ob sich die TTRSS-Installation im Demo-Mode befindet. Laut der Config-Datei ist diese Funktion aber schon hinfällig.

define(‘WEB_DEMO_MODE’, false);
// Demo mode with reduced functionality.
// Warning: this option is obsolete. Don’t rely on it being
// checked in all necessary places.

Eigentlich sollte diese Überprüfung keine Probleme verursachen.  Allerdings behebt das entfernen der Zeile (und der entsprechenden schließenden Klammer) den Bug.

Damit lassen sich dann im Administrationsmenü wie gewohnt Kategorien erstellen.

Die Kategorien sind standardmäßig nicht aktiviert und müssen in den Einstellungen unter “Feedkategorien aktivieren” aktiviert werden.

Konfiguration

Der wichtigste Konfigurationspunkt ist die automatische Abholung der Feeds. Dau habe ich einen Cronjob eingerichtet, der alle 10 Minuten läuft und die Feeds abholt.

Dazu einfach den Befehl

/usr/bin/wget –quiet –output-document=/dev/null “http://www.url-zum-reader.de/ttrss/backend.php?op=globalUpdateFeeds&daemon=1″

im Cronjob hinterlegen.

Andere Möglichkeiten die Feeds regelmäßig abzuholen bietet TTRSS unter http://tt-rss.org/redmine/wiki/tt-rss/UpdatingFeeds.

Abschließend noch einige Hinweise zu den Einstellungsmöglichkeiten. TTRSS bietet viele Features, die der Google Reader auch bietet.

1) Als gelesen markieren beim scrollen. Kann unter “Einstellungen = > Artikel automatisch als gelesen markieren” aktiviert werden.

2) Artikel veröffentlichen. TTRSS bietet die Möglichkeit Artikel mit und ohne Notiz für andere Leute zu veröffentlichen. TTRSS bietet dazu pro User  einen eigenen RSS-Feed für “Veröffentlichte Artikel” an. Unter jedem Artikel ist dazu ein RSS-Symbol bzw. ein Notizzettel-Symbol vorhanden.

3) Artikel starren. Wie im Google Reader ist es möglich Artikel vorzumerken um sie später zu lesen oder um sie später wieder leichter finden zu können. Dazu gibt es unter jedem Artikel einen entsprechenden Button. (Stern)

4) Multiusersupport abschalten

define(‘SINGLE_USER_MODE’, true);

fügt man in der config.php obige Zeile ein, schaltet man den Multiusersupport aus. Damit verschwindet auch die Passwortabfrage beim Aufruf des Readers.

(c)-Zeitung-Bild: Pixelio / Jetti Kuhlemann

Zensus 2011

Mai 27th, 2010 § 6

Von der Opposition vernachlässigt, von den Medien totgeschwiegen und den Betroffenen unbekannt – Zensus 2011.

Kaum jemand weiß von der europaweiten Volkszählung im nächsten Jahr. Grund dafür ist vor allem, dass kaum ein Nachrichtenmagazin in der letzten Zeit davon berichtet hat. Beim Spiegel sind die aktuellsten Meldungen aus dem Jahr 11/2008. Ähnlich sieht es bei zeit.de aus. Bei der sueddeutschen ist der letzte von zwei Artikeln immerhin auf 04/2009 datiert.

Das wird daran liegen, dass keine politische Partei, auch nicht die Bündnis 90 – “1987: nur Schafe lassen sich zählen”- Grünen, den Zensus auf die politische Tagesordnung oder ins Mediengeschehen eingebracht hat.

Doch wann erfährt die deutsche Bevölkerung von der Volkszählung? Am 09.05.2011 um 20.00 Uhr in der tagesschau – da heisst es dann: “Stichtag! Heute war Volkszählung in Deutschland”. Ob dann der Aufschrei kommt?  Erstaunt werden sicher einige sein, denn einen Fragebogen wie 1987 müssen nur ganz wenige ausfüllen.

Das ganze nennt sich registerbasierte Volkszählung. Dabei geht es eigentlich nur um die Zusammenführung von einigen großen Bundes- und Landesdatenbanken in denen die gefragten Informationen zu finden sind.

Aus folgenden Datenbanken kommen folgende Datensätze in die Zensusdatenbank:

Aus den Meldebehörden-Datenbanken kommt:

  1. Ordnungsnummer im Melderegister,
  2. Familienname, frühere Namen und Vornamen,
  3. Straße, Straßenschlüssel, Hausnummer und Anschriftenzusätze,
  4. Wohnort, Postleitzahl und amtlicher Gemeindeschlüssel,
  5. Tag der Geburt,
  6. Standesamt und Nummer des Geburtseintrags,
  7. Geburtsort einschließlich erläuternder Zugehörigkeitsbezeichnungen,
  8. bei im Ausland Geborenen: Geburtsstaat,
  9. Geschlecht,
  10. Staatsangehörigkeiten,
  11. Familienstand,
  12. Wohnungsstatus (alleinige Wohnung, Haupt- oder Nebenwohnung),
  13. Anschrift und Wohnungsstatus in der Gemeinde, aus der die Person zugezogen ist,
  14. Anschrift der zuletzt bewohnten Wohnung in der Gemeinde,
  15. Tag des Beziehens der Wohnung,
  16. Tag des Zuzugs in die Gemeinde,
  17. Herkunftsstaat bei Zuzug aus dem Ausland,
  18. Tag der Anmeldung bei der Meldebehörde,
  19. Tag des Wohnungsstatuswechsels,
  20. Familienname, frühere Namen, Vornamen, Tag der Geburt und Ordnungsnummer des Ehegatten oder des eingetragenen Lebenspartners oder der eingetragenen Lebenspartnerin,
  21. Familienname, frühere Namen, Vornamen, Tag der Geburt und Ordnungsnummer der minderjährigen Kinder sowie Familienname, Vornamen, Tag der Geburt, Schlüssel und Ordnungsnummer der gesetzlichen Vertreter,
  22. Tag der letzten Eheschließung oder Begründung der letzten eingetragenen Lebenspartnerschaft,
  23. Tag der Auflösung der letzten Ehe oder letzten eingetragenen Lebenspartnerschaft,
  24. Anschrift des Wohnungsgebers,
  25. Information über freiwillige Anmeldung im Melderegister,
  26. Übermittlungssperre nebst Grund der Übermittlungssperre,
  27. rechtliche Zugehörigkeit zu einer öffentlich-rechtlichen Religionsgesellschaft.

Aus der Datenbank Bundesagentur für Arbeit kommt:

  • von allen sozialversicherungspflicht Beschäftigten und geringfügig Entlohnten:
  1. Arbeitsort (amtlicher Gemeindeschlüssel),
  2. Wirtschaftszweig,
  3. Betriebsnummer der Arbeitsstätte,
  4. Ausbildung,
  5. ausgeübter Beruf,
  6. Status der Beschäftigten (beschäftigt oder geringfügig beschäftigt),
  • von allen arbeitslos gemeldeten:
  1. Status (arbeitslos, nicht arbeitslos aber Arbeit suchend, nicht zu aktivieren),
  2. höchster erreichter Schulabschluss,
  3. letzte abgeschlossene Berufsausbildung,
  • von allen Teilnehmern von Maßnahmen der Arbeitsförderung:
  1. Art der Maßnahme (soweit von Bedeutung für die Erfassung der Erwerbstätigkeit),
  2. höchster erreichter Schulabschluss,
  3. letzte abgeschlossene Berufsausbildung,

Und damit man die Leute auch den Daten aus der Meldebehörden-Datenbank zuordnen kann, für jeden aus den oben genannten 3 Gruppen (s.g. Hilfsmerkmale):

  1. Wohnort, Postleitzahl und amtlicher Gemeindeschlüssel,
  2. Straße, Hausnummer und Anschriftenzusätze,
  3. Familienname und Vornamen,
  4. Geschlecht,
  5. Tag der Geburt.

Achtung: Bisher hat keiner von uns auch nur eine Zeile auf dem Fragebogen ausgefüllt!

Bei den Wohnungs- und Hauseigentümern werden dann folgende Daten erfragt:

  • für Gebäude:
  1. Gemeinde, Postleitzahl und amtlicher Gemeindeschlüssel,
  2. Art des Gebäudes,
  3. Eigentumsverhältnisse,
  4. Gebäudetyp,
  5. Baujahr,
  6. Heizungsart,
  7. Zahl der Wohnungen,
  • für Wohnungen:
  1. Art der Nutzung,
  2. Eigentumsverhältnisse,
  3. Wohnung nicht meldepflichtiger Personen, soweit bekannt,
  4. Fläche der Wohnung,
  5. WC,
  6. Badewanne oder Dusche,
  7. Zahl der Räume.

Hilfsmerkmale sind wieder:

  1. Familienname, frühere Namen, Vornamen und Anschrift der Auskunftspflichtigen,
  2. Telekommunikationsnummern der Auskunftspflichtigen oder einer anderen Person, die für Rückfragen zur Verfügung steht,
  3. Namen und Vornamen von bis zu zwei Wohnungsnutzern je Wohnung,
  4. soweit bekannt: Zahl der Bewohner je Wohnung,
  5. Straße, Hausnummer und Anschriftenzusätze der Wohnung.

Außerdem gibt es dann noch einige Stichproben, die per Fragebogen oder per Befragung durchgeführt werden.

Die oben genannten Punkte stammen aus Quelle [1].

Kritisch wird es jetzt:

1) Bei der Erhebung erfolgt keine Anonymisierung. Die Daten werden zunächst vollständig in der großen Zensus-Datenbank gespeichert, inklusive aller Hilfsmerkmale. (siehe oben). So schnell wie möglich,  spätestens aber nach 4 Jahren erfolgt eine Anonymisierung der Daten (Also die Löschung der Hilfsmerkmale) – §19 Absatz (1), ZensG 2011.

2) Übermittlungssperre (aus der Datenbank der Meldebehörden) inklusive Grund wird in der Zensusdatenbank gespeichert.

Besonders hervorzuheben ist hierbei, aus welchem Grund diese sensiblen Daten übertragen werden:

Das Merkmal „Übermittlungssperre nebst Grund der Übermittlungssperre“ ist erforderlich, um Personen mit Auskunftssperre nach § 21 Absatz 5 MRRG (wie bei Personen, denen Gefahren für Leben, Gesundheit, Freiheit oder ähnlich hochrangige Rechtsgüter drohen) einerseits zu zählen, andererseits aber auch dem Schutzbedürfnis der Betroffenen bei den Erhebungen des Zensus Rechnung tragen zu können.

Quelle [1]

Bleibt zu hoffen, dass die Bevölkerung frühzeitig informiert und nicht am Mai 2011 vor vollendete Tatsachen gestellt wird.

Immerhin kann eine Totalerhebung durchaus auch Vorteile bieten – ohne Diskussion darüber können aber Vor- und Nachteile nicht gegeneinander abgewogen werden.

Weitere Informationen

[1] Text des Zensusgesetz 2011 einschließlich Begründung

SIGINT 2010 – Unter dem Radar: Das Zensusgesetz 2010

Zensus 2011 – Zusammenfassung von Tobias Kalder

Google Analytics Opt-Out – O RLY?

Mai 25th, 2010 § 0

Über das Datenschutzcenter von Google lässt sich seit heute ein Plugin für die gängigen Browser herunterladen, das scheinbar ein Opt-Out für Google Analytics macht.

Damit soll es Nutzern ermöglicht werden, keine Informationen über den Besuch einer mit Google Analytics getrackten Seite an Google zu senden.

Nach einem kurzen Test kann ich allerdings keine Unterschiede in den getrackten Daten (mit und ohne Opt-Out-Plugin) erkennen:

Google trackt mittels einer 1×1 Pixel großen gif-Datei, die sich __utm.gif nennt. Die Parameter die mit dieser gif-Datei übertragen werden sind alle Daten, die am Ende auch im Report landen:

The data contained in the GIF request corresponds exactly to the data sent to the Google Analytics servers, which then gets processed and ends up in your reports.

Quelle google.com

Wenn man diese __utm-Requests untersucht, erkennt man mit und ohne Opt-Out-Plugin keinen Unterschied:

Die Zeilen in denen sich die Requests unterscheiden sind grün markiert. Dabei sind die Parameter utmn und utmhid meist Zufallszahlen. Näheres hier und hier.

Im Parameter utmcc stehen die Cookie-Daten.  Die sind natürlich auch unterschiedlich, da hier Uhrzeiten gespeichert werden. Mehr Informationen gibts hier.

Jetzt frage ich mich natürlich: Wie wirkt sich dieser Opt-Out denn aus? Warum wurden die Daten trotzdem übertragen und warum findet trotz Opt-Out ein Request an die __utm.gif  statt?

Falls jemand hier nähere Informationen hat, bitte melden!

P.S.:  NoScript & AdBlock Plus sind nach wie vor die bessere Alternative.

Root-Zertifikat gefunden! Wem gehört's?

April 8th, 2010 § 0

Nach einem aktuellen Blogartikel  – Staatliche SSL MITM Angriffe – erscheint die heutige Meldung bei Heise “Verwaistes Root-Zertifikat sorgt für Verwirrung” gleich in einem ganz anderen Licht. CIA? FBI oder Homeland? Für wen wurde dieses Zertifikat wohl ausgestellt? ;)

Kurz zum Löschvorgang:

Extras => Einstellungen => Erweitert => Zertifikate anzeigen => “RSA Security Inc” expandieren und “RSA Security 1024 v3″  löschen.

ARD-Mediawahnthek

April 5th, 2010 § 0

Ich will das nur mal festhalten… Damit die folgenden Generationen von Internetnutzern wissen, an welchen Fronten die Internetnutzer im Jahr 2010 kämpfen mussen.

Wenn es nicht illegal wäre (ist es das?), würde ich mir den Film kurz runterladen. Aber so warte ich halt noch 43 Minuten…. hoffentlich vergisst der Prakitant im ARD-Mediawahnthek-Rechenzentrum nicht, den Film freizuschalten… :->

IPhone-App QuipTXT Datenschutz-Panne

März 29th, 2010 § 0

Inzwischen gehören Berichte über Datenschutzskandale zur täglichen Berichterstattung der Blogosphäre und der anderen Medien … und die besonders krassen und dummen kommentiere ich dann auch gerne mal.

Heute wurde ich auf einen solchen Datenschutzskandal hingewiesen. Es geht um eine iPhone-App (Quip) die es erlaubt Photos einfach zu verschicken. Im Grunde wie eine MMS nur, dass keinerklei Kosten (außer die für eine Internetverbindung) anfallen.

Um ein Photo zu verschicken hat die App das ausgewählte Photo einfach auf die Server der Betreiber hochgeladen und dann an den angegebenen Empfänger einen Link zugestellt.

Kommen wir zu den Sicherheitsmaßnahmen die dafür sorgen sollten, dass keine Unberechtigten Leute die Photos sehen. Immerhin wirbt der Betreiber damit, dass man mit dem App kostengünstig MMS ersetzen kann … und die können schließlich auch nur Sender & Empfänger lesen.

Die Sicherheitsmaßnahme bestand aus einer 5-stelligen alphanumerischen (0-9, a-z) Kombination, die an die URL

http://pic.quiptxt.com/*****

angehängt wurde. 36^5 = 60.466.179 Möglichkeiten. Damit hätten wir die Sicherheitsmaßnahmen schon besprochen.

Was passiert wohl bei solchen miserablen Sicherungsmaßnahmen? Es entstehen Skripte, die die Bilder automatisch abfragen und so die Daten der Nutzer systematisch verbreiten.(siehe Quelle unten)

Kommentar des Gründers von Addy Mobile (Programmierer vom Quip App) (Übrigens ein 3-Mann-Betrieb)

Hello, this is Ish, the founder of Addy Mobile, makers of the Quip app.

As soon as this post came to our attention, we immediately shut down our servers. We have also now disabled all S3 access and have started to systematically secure all files in the system. We will not bring the system back up until we have adequate security around all files shared over Quip.

I apologize to our users for this security breach and promise we will do everything in our power to make sure none of their information is exposed once we bring the service back up.

The vision for Quip has always been to provide users a quick, simple, and affordable way for iPhone users to send picture messages without paying exorbitant carrier fees. We are a small company (3 people) but we will work as quickly as possible to bring back the service up in a safe and secure manner.

-Ish

Liebr Ish, um eine Sicherheitspanne zu haben, sollte man erst einen gewissen Grad an Sicherheit in seiner Webanwendung haben. Das war alles aber keine Panne.

Die Server von Quip und das Backend (gehostet von Amazon S3) sind beide zum Glück nicht erreichbar. Offensichtlich haben die “Programmierer” wenigens das richtig gemacht.

Übrigens gehen die ersten Meldungen über die Lücke auf den 05. November 2009 zurück:

http://digg.com/security/Quip_TXT_for_iPhone_FAIL_WIN_NSFW

Bekannter wurde die Lücke jetzt durch Reddit

http://www.reddit.com/r/pics/comments/bjezp/massive_privacy_fail_quiptxtcom_is_a_site_that/

Staatliche SSL-MITM-Angriffe (EFF)

März 28th, 2010 § 0

Dieser Artikel basiert auf einer Veröffentlichung von Sid Stamm und Christopher Soghoian. S. Quelle (unten).

Nur kurz ein Überblick über den grundlegenden Aufbau von SSL:

SSL chain of trust

In der SSL pki gibt es drei Arten von Zertifikaten:

root CA:  Diese sind meist in Browsern hinterlegt. Das ist die s.g. Wurzelinstanz. Davon gibt es viele verschiedene.

intermediate CA: Die vorher genannte Wurzelinstanz vertraut diesen Zwischeninstanzen. Mit diesen Zwischeninstanzen können SSL-Zertifikate für alle Websites erstellt werden.  Kann der Browser die Vertrauenskette (chain of trust) bis zur in seiner Datenbank hinterlegten Wurzelinstanz (root CA) zurückverfolgen, wird dem SSL-Zertifikat vertraut und die bekannten blauen, grünen Balken und Vorhängeschlösser werden angezeigt um dem Nutzer eine verschlüsselte Verbindung anzuzeigen.

untrusted CA: CAs denen werder eine intermediate CA noch eine root CA vertraut, nennt sich untrusted CA. Hat eine Webseite ein solches Zertifikat hinterlegt, kommt die bekannte Meldung, dass “dieser Verbindung nicht getraut” wird.

Für den Endnutzer gibt es keinerlei Unterschied zwischen root CA und intermediate CA. Beide veranlassen den Browser eine “sichere” Verbindung anzuzeigen.

Dadurch könnte TÜRKTRUST ein Zertifikat für banking.postbank.de, obwohl das echte Zertifikat eigentlich von Verisign kommt. Bei beiden Zertifikaten würde der Browser eine sichere Verbindung zu banking.postbank.de anzeigen.

Staatliche SSL MITM-Angriffe

Sid Stamm und Christopher Soghoian haben in einem Paper einen neuen “Angriff” auf SSL vorgestellt den sie “compelled certificate creation attack” nennen.  Dieser kann vor allem von Geheimdiensten eingesetzt werden um mit SSL verschlüsselte Verbindungen zu überwachen.

Es gibt diverse interessante Punkte in dem Paper:

Chrome, Safari und der Internet Explorer setzen alle auf die im Windows  Trusted Root Store hinterlegten Zertifikate. Besonders pikant an dieser Tatsache ist, dass folgende staatliche root CAs standardmäßig hinterlegt sind:

Österreich, Brasilien, Finnland, Frankreich, Hong Kong, Indien, Japan, Korea, Lettland, Macao, Mexico, Portugal, Serbien, Slowenien, Spanien, Schweiz, Taiwan, Niederlande, Tunesien, Türkei, USA, Uruguay

Firefox hat eine eigene Datenbank für root CAs.

Im Paper wird auch ein Beispiel angegeben, was durch die Integration von staatlichen root CAs  möglich wäre:

As an example of what is currently possible,should it do so, the Korean Information SecurityAgency can create a valid SSL certificate for the Industrial and Commercial Bank of China (whose actual certificate is issued by VeriSign, USA), that can be used to perform an effective man-in-the-middle attack against users of Internet Explorer.

s. Quelle

Dieses Szenario halten die Forscher aber für eher unwahrscheinlich, da durch die Nutzung des eigenen staatlichen Zertifikats zu viele Spuren auf den abgehörten Rechnern bleiben würden.

Für viel wahrscheinlicher halten es die Forscher, dass Zertifizierungsstellen durch gesetzliche Regelungen und Geheimdienste dazu aufgefordert werden ihnen bei der Überwachung behilflich zu sein. Die Forscher nennen Beispiele aus den USA, bei denen diese Hilfestellung durch Telekommunikationsanbieter schoneinmal geschehen ist:

Examples of compelled assistance using these statutes include a secure email provider that was required to place a covert back door in its product in order to steal users’ encryption keys, and a consumer electronics company that was forced to remotely enable the microphones in a suspect’s auto-mobile dashboard GPS navigation unit in order to covertly record their conversations.

s. Quelle

Dass diese Szenarien durchaus real sein können,  wollen die Forscher auch beweisen. Im Oktober 2009 war einer der Autoren auf einer Konferenz in Washington, D.C., die die gesetzmäßige TK-Überwachung zum Thema hatte.

Eine der Firmen, die auch auf dieser Konferenz waren (Packet Forensics), hat dort die s.g. LI-5 Serie vorgestellt. Ein kleines Gerät, welches das “Internet Cafe Problem” ideal lösen soll:

The 5-Series is an ideal solution to the “Internet Cafe Problem”. Quick deplyment and remote control minimize personnel risk and maximize collection capabilities.

(Zitat aus dem Werbeprospekt,s. Quelle)

Interessant an dem Gerät sind die Features:

  • Es kann ein- und ausgebaut werden, ohne dass der Netzwerkverkehr merklich gestört wird. (Auch bei Ausfall der Hardware)
  • “Supports stealth upstream reporting (practically undetectable)”
  • Es kann, um TLS / SSL-Verbindungen zu entschlüsseln und zu protokollieren,  ein valides Zertifikat hinterlegt werden. Da wurde quasi SSLStrip auf dem Gerät implementiert:

“Packet Forensics’ devices are designed to be inserted-into and removed-from busy networks without causing any noticeable interruption [...] This allows you to conditionally intercept web, e-mail, VoIP and other traffic at-will, even while it remains protected inside an encrypted tunnel on the wire. Using ‘man-in-the-middle’ to intercept TLS or SSL is essentially an attack against the underlying Diffie-Hellman cryptographic key agreement protocol [. . . ]To use our product in this scenario, [government] users have the ability to import a copy of any legitimate key they obtain (potentially by court order) or they can generate ‘look-alike’ keys designed to give the subject a false sense of confidence in its authenticity.

(Zitat aus dem Werbeprospekt, s. Quelle)

Auf der Webseite von Packet Forensics ist die LI-5 Serie nur mit Username und Passwort zu erreichen:

http://www.packetforensics.com/products.safe

In dem Paper (Quelle) sind allerdings Scans von Werbeprospekten dabei, von denen auch die oben zitierten Texte stammen.

Weiter geht es in dem Paper auch um VeriSign und Etisalat und deren eventuelle Kooperation mit staatlichen Behören. Da bringen die Autoren allerdings keine echten Beweise sondern eher Vermutungen ins Spiel.

Wie die Situation in Deutschland ist, bleibt leider noch offen. Eine Bundes – CA ist scheinbar nicht in den Browsern integriert. Ob root CA-Anbieter in Deutschland dazu gezwungen werden können für bestimmte Domains  Zertifikate (oder gar komplette intermediate CAs) auszustellen, wird hoffentlich bald untersucht und veröffentlicht.

Quelle

http://files.cloudprivacy.net/ssl-mitm.pdf

NOD32 – Passwort zum schützen der Einstellungen vergessen?

März 18th, 2010 § 0

Kein Problem. Entweder man nutzt die Möglichkeit, die ESET anbietet:

http://www.eset.eu/support/faq?inc=953#953

oder man löscht im abgesicherten Modus einfach folgenden RegKey:

HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Info\PackageID

« Older Entries