ANZEIGE
Danke, interessant.
Wir haben bei einem Kunden die Sonics schon vor 3 Jahren komplett ersetzt, muss mal schauen ob die noch im Lager liegen und dann mal testen.
Lufthansa entdeckt E-Mail für ihre Mitarbeiter - zunächst für die Passage-Mitarbeiter
- Starter*in rcs
- Datum Start
ANZEIGE
Danke, interessant.
Wir haben bei einem Kunden die Sonics schon vor 3 Jahren komplett ersetzt, muss mal schauen ob die noch im Lager liegen und dann mal testen.
Im Intel-Umfeld mit Sicherheit (HP hatte ja das Glück, Compaq kaufen zu dürfen - die waren eigentlich diejenigen mit der besten Hardware). Was willst Du denn sonst kaufen? FSC? Dell? IBM? Gibt es sonst noch Anbieter, die einen weltweiten Support bieten? Im Unix-Umfeld teilen sich den Kuchen mehr oder weniger IBM und Solaris.
Open Source ist meistens ganz nett - aber meistens funktioniert diese nur ganz toll in kleinen Umgebungen und nicht für Userzahlen > 100k.
Und nicht für jeden Schnickschnack taugt OpenSource. Ich stelle mir gerade ERP als OpenSource vor....lach....einfach undenkbar.
Aber egal....ist hier ein Fliegerforum. Somit EOD für mich.
Ah ja, Du redest also von Stalkern oder Mördern. Terroristen haben es doch nicht auf einzelne abgesehen. So elitär dürfen die Opfer dann auch nicht sein. Das Gefährdungspotential, wenn "fremde Augen" LH-Mails (des Bodenpersonals) lesen, tendiert mE gegen Null. Unternehmenskritische Daten werden wohl kaum über OWA verschickt. Eher noch über Blackberry. Oder verschlüsselt.
Oder als Powerpoint (was laut Larry E. auch ausreichend verschlüsselt ist)
Ich antworte mal ....
Dann kannst Du das mit deep paket inspection immer noch rausfinden und blocken.
Nur ist DPI (bis jetzt) nocht nicht so verbreitet. Beliebtes Beispiel sind alle mobilen Internetzugänge. In fast jedem Vertrag sind Messenger und VOIP verboten, nutzen kannst Du es trotdem.
Der Aufwand steht in keinem Verhältniss zu dem was man erreichen könnte.
Solange kein DPI eingesetzt wird klappt Skype - und damit auch ein SSL basierendes VPN auf einem SSL Port.
Im Intel-Umfeld mit Sicherheit (HP hatte ja das Glück, Compaq kaufen zu dürfen - die waren eigentlich diejenigen mit der besten Hardware). Was willst Du denn sonst kaufen? FSC? Dell? IBM? Gibt es sonst noch Anbieter, die einen weltweiten Support bieten? Im Unix-Umfeld teilen sich den Kuchen mehr oder weniger IBM und Solaris.
Open Source ist meistens ganz nett - aber meistens funktioniert diese nur ganz toll in kleinen Umgebungen und nicht für Userzahlen > 100k.
Und nicht für jeden Schnickschnack taugt OpenSource. Ich stelle mir gerade ERP als OpenSource vor....lach....einfach undenkbar.
Aber egal....ist hier ein Fliegerforum. Somit EOD für mich.
Ah ja, Du redest also von Stalkern oder Mördern. Terroristen haben es doch nicht auf einzelne abgesehen. So elitär dürfen die Opfer dann auch nicht sein. Das Gefährdungspotential, wenn "fremde Augen" LH-Mails (des Bodenpersonals) lesen, tendiert mE gegen Null. Unternehmenskritische Daten werden wohl kaum über OWA verschickt. Eher noch über Blackberry. Oder verschlüsselt.
Oder als Powerpoint (was laut Larry E. auch ausreichend verschlüsselt ist)
Die Probleme bei Open Source sehe ich auch - allerdings auch bei Microsoft - oder bauen die mittlerweile zuverlässige Software? Gibt auch Standardsoftware, die funktioniert...
Du kannst Skype nicht mit SSL vergleichen. Das eine nutzt einen Standard und ist daher für DPI-FWs (nennen wir sie besser Next Generation Firewalls) kein großes Ding. Selbst Snort kann SSL transparent entschlüsseln, wenn mich nicht alles täuscht.
Skype hingegen nutzt eine eigene, nicht offengelegte Verschlüsselung. Da kann auch DPI nix ausrichten.
Sieh mir den Kommentar nach, aber das ist kompletter Blödsinn.
Auf den Plätzen 1 bis 10 dürften derzeit Adobe-Produkte liegen, wenn man die verschiedenen Reader- und Flash-Versionen einzeln zählt. Dann kommt vielleicht der IE, dann FF, dann Windows. Und dann irgendeine Office-Anwendung.
Erklär mir mal, wie man eine Lücke in Outlook per Exploit missbraucht, wenn man (remote) gar nicht bis zu Outlook vordringt?
Ich muss ja eine vom Internet aus zugängliche Schwachstelle "sehen". Also Flash oder der IE oder der Reader per modifziertem PDF.
Ist die Büchse per Flash-Exploit "pwned", ist das Spiel eh vorbei. Egal wie viele Lücken in Outlook oder Excel auch sein mögen.
Auch lokal wird OL nicht sehr häufig angegriffen. Warum? Weil es genügend fertige Exploits für andere Produkte gibt (siehe oben). Warum die Mühe machen und in OL nach Lücken suchen, wenn ich doch Flash-Exploits im Dutzend bekomme?
OWA ist nicht gleich Outlook. Das ist Dir hoffentlich klar?
Bei OWA greifst Du einen IIS an und nicht irgendeinen Windows-Client. Von da ins Intranet zu kommen, ist dann schon eher was für große Jungs. Solange das Extranet ordentlich konfiguriert ist.
Wie kommst Du auf die Idee das SSL entschlüsselt werden kann?
snort ist ein IDS ( Intrusion Detection System – Wikipedia ) und kann im besten Fall feststellen das es sich um SSL verschlüsseltem Traffic handelt.
Ich traue SSL in so fern nicht, das man nicht weiss welche Backdoors dort eingebaut sind. In den OSS Umsetzungen ist das Dank Quellcode transparent, bringt Dich aber nicht weiter wenn die CA Cert (da wo alle SSL Certs den Master Key herbekommen) unsicher ist.
DSL Traffic an sich, egal ob Web, VPN oder Mail (pop3, imaps, smtps) ist sicher solange die CA Certs sicher sind.
90% davon sind in den USA. Schlussfolgerungen überlasse ich jedem Einzelnen. Trotzdem ist der Code verfügbar (zumindestens bei OSS) und damit prüfbar.
Was Skype angeht:
Security through obscurity – Wikipedia
Dazu Schutz der eigenen Codecs (und da ist Skype sehr gut - meint: effiziente Kodierung Voice & Video).
Das Skype Schnittstellen für Regierungen bereit stellt (Zwecks mitlesen der Nachrichten) ist seit ein paar Jahren nichts Neues, hat aber nichts mit der Unsicherheit des eingesetzten Transport Layers zu tun.
Aber darum geht es hier auch nicht ...
Ich bleibe bei der Aussage: Ein VPN auf SSL Basis ist ohne DPI nicht zu erkennen, damit klappt es auch
Du vermischt da etwas ....
Auf Windows Systemen (Linux & Mac auch, aber das Angriffspotential ist dort geringer und damit für die bad guys atm uninteressant) sind die von Dir genannten Programme ein Problem.
Flash, Acrobat Reader, Java, IE, Outlook dürfte die Reihenfolge bei nicht gepatchten System sein.
Zusätzlich zur nicht verständlichen Verzahnung zwischen IE, Exchange & Outlook mit dem OS.
Wo wir beim Thema sind: Wie und wann wird bei einem Grosskonzern gepatched?
Ich kenne es nur von einem deutschen Grosshändler - der pflegte offizielle M$ Patches mit ca. 6 Monaten Verspätung ein.
Eigene "Tests" und Probleme mit Tivoli machen davon 5 Monate aus.
Solange Outlook oder der dahinter stehende Exchange diese Sicherheitslücken enthält hast Du ein Problem.
Was ist das denn für ein Märchen. SSL kannst du nur dann entschlüsseln, wenn du in Besitz der entsprechenden Zertifikate bist. Ansonsten beisst du dir die Zähne aus. Als Privatmann, Unternehmen oder Geheimdienst.
Vorweg: Ich habe selten so viel Unfug auf so wenig Raum gelesen.
Aber der Reihe nach:
SSL kann natürlich entschlüsselt werden. Bitte mach Dich schlau, was ein transparenter SSL Proxy macht. Wahlweise google nach "Man in the middle" im Zusammenhang mit SSL.
Und nein, in einem solchen Fall zeigt der Client keine Zertifikatswarnung an...
Das Konzept im Groben: Der Proxy terminiert die SSL-Session vom Client und schickt diesem sein eigenes Zertifikat. Zwischen Proxy und (Web)Server werden dann die vom (Web)Server verteilten Zertifikate genutzt.
Eines (von diversen) kommerziellen Produkten, dass SSL-MitM beherrscht, ist die PA-4050 von Palo Alto Networks.
Wäre ein IDS angesichts der zahlreichen SSL-Verbindungen nicht reichlich überflüssig? In der Tat.
Daher gibt es selbst für Snort Plug-Ins, die SSL entschlüsseln können.
Sourcefire (Anbieter von Snort) hat sogar eine SSL Appliance im Programm, die mit dem IDS gekoppelt werden kann.
Überraschung: Sourcefire wird noch in diesem Jahr eine Next Generation Firewall anbieten, die die SSL-Entschlüsselungsfunktion mit an Board haben wird (zumindest ist das der Plan)
Backdoor? SSL? Du meinst, die NSA hat einen Masterkey für alle SSL-Verbindungen? Bill Gates ist doch der Teufel und die Amis waren nie auf dem Mond?
Erkläre mir doch bitte, was genau im Zusammenhang mit SSl dank Open Source transparent ist.
Ich fürchte, Du weißt wirklich nicht, wovon Du schreibst...
Ich unterstelle, Du meinst mit "CA Certs" Wurzelzertifikate.
Auch auf solche gab es schon Angriffe. Die auch erfolgreich gewesen wären, wenn die Entdecker der Schwachstellen die Lücken nicht verantwortungsbewusst an VeriSign gemeldet hätten.
Insofern: SSL ist nicht sicher. Selbst wenn die Trust Chain intakt ist, gilt immer noch: siehe oben, SSL Proxy/MitM
Welcher "Code" ist verfügbar und damit prüfbar?
Du wirfst wirklich alles durcheinander, was es zu dem Thema an Technikfakten gibt.
Auch wenn es mancher nicht wahrhaben mag, Bayern hat eine Regierung. Demnach müsste diese ja auch von Skype Zugriff auf die von Dir behauptete Backdoor bekommen.
Und trotzdem geben diese Flachzangen in der Staatskanzlei viele, viele tausend Euro aus, um einzelne Skype-User abhören zu können. Und zwar mit einem Stück Software, das die Sprach-/Chat-Daten *vor* bzw. *nach* dem Entschlüsseln durch Skype mitschneidet. Die knacken also die Codierung nicht.
Dabei hätten die Bayern doch einfach nur bei Skype. bzw. Dir anfragen müssen, um von der Backdoor zu erfahren. Ich melde es dem Bundesrechnungshof, das ist eine Verschwendung von Steuergeldern
Bisher die einzig haltbare Aussage.
Aber der Reihe nach:
Ich fürchte, Dein Wissen um IT-Sicherheit braucht ein wenig Auffrischung.
SSL kann natürlich entschlüsselt werden. Bitte mach Dich schlau, was ein transparenter SSL Proxy macht. Wahlweise google nach "Man in the middle" im Zusammenhang mit SSL.
Und nein, in einem solchen Fall zeigt der Client keine Zertifikatswarnung an...
Das Konzept im Groben: Der Proxy terminiert die SSL-Session vom Client und schickt diesem sein eigenes Zertifikat. Zwischen Proxy und (Web)Server werden dann die vom (Web)Server verteilten Zertifikate genutzt.
Eines (von diversen) kommerziellen Produkten, dass SSL-MitM beherrscht, ist die PA-4050 von Palo Alto Networks.
Richtig, Snort ist ein IDS. Und was macht ein solches System? Richtig, es prüft Traffic auf eventuell gefährliche Inhalte.
Wäre ein IDS angesichts der zahlreichen SSL-Verbindungen nicht reichlich überflüssig? In der Tat.
Daher gibt es selbst für Snort Plug-Ins, die SSL entschlüsseln können.
Sourcefire (Anbieter von Snort) hat sogar eine SSL Appliance im Programm, die mit dem IDS gekoppelt werden kann.
Überraschung: Sourcefire wird noch in diesem Jahr eine Next Generation Firewall anbieten, die die SSL-Entschlüsselungsfunktion mit an Board haben wird (zumindest ist das der Plan)
Jetzt sind wir endgültig im Reich der Mythen und Märchen angelangt?
Backdoor? SSL? Du meinst, die NSA hat einen Masterkey für alle SSL-Verbindungen? Bill Gates ist doch der Teufel und die Amis waren nie auf dem Mond
?Ich spüre den Wind des Heise-Forums durchs VFT wehen...
Erkläre mir doch bitte, was genau im Zusammenhang mit SSl dank Open Source transparent ist.
CA Cert? Master Key?
Ich fürchte, Du weißt wirklich nicht, wovon Du schreibst...
Falsch.
Ich unterstelle, Du meinst mit "CA Certs" Wurzelzertifikate.
Auch auf solche gab es schon Angriffe. Die auch erfolgreich gewesen wären, wenn die Entdecker der Schwachstellen die Lücken nicht verantwortungsbewusst an VeriSign gemeldet hätten.
Insofern: SSL ist nicht sicher. Selbst wenn die Trust Chain intakt ist, gilt immer noch: siehe oben, SSL Proxy/MitM
Und? Was soll das bedeuten, dass die Root Certificates aus den USA kommen? Dass Bill Gates doch der Teufel ist? Die NSA all unsere E-Mails mitliest?
Welcher "Code" ist verfügbar und damit prüfbar?
Was um alles in der Welt hat der Wiki-Link mit einem Audio-/Video-Codec zu tun?
Du wirfst wirklich alles durcheinander, was es zu dem Thema an Technikfakten gibt.
Herrlich, gleich die nächste Verschwörungstheorie.
Auch wenn es mancher nicht wahrhaben mag, Bayern hat eine Regierung. Demnach müsste diese ja auch von Skype Zugriff auf die von Dir behauptete Backdoor bekommen.
Und trotzdem geben diese Flachzangen in der Staatskanzlei viele, viele tausend Euro aus, um einzelne Skype-User abhören zu können. Und zwar mit einem Stück Software, das die Sprach-/Chat-Daten *vor* bzw. *nach* dem Entschlüsseln durch Skype mitschneidet. Die knacken also die Codierung nicht.
Dabei hätten die Bayern doch einfach nur bei Skype. bzw. Dir anfragen müssen, um von der Backdoor zu erfahren. Ich melde es dem Bundesrechnungshof, das ist eine Verschwendung von Steuergeldern
[/QUOTE]Ich bleibe bei der Aussage: Ein VPN auf SSL Basis ist ohne DPI nicht zu erkennen, damit klappt es auch
Bisher die einzig haltbare Aussage.
Lustig, denn so ging es mir gerade beim Lesen deines Beitrags...
Gern.
Doch, in einem solchen Fall zeigt der Client eine Zertifikatswarnung an.
Wenn du eine PA-4050 einsetzt, und HTTPS proxyen willst, dann müssen alle Clients im Netzwerk das selbstgebaute Root-Zertifikat geladen und als vertrauenswürdig markiert haben, mit dem die Firewall die Verbindungen wiederum verschlüsselt. Das geht natürlich. Ich hab schon von Firmen gehört, wo das "aus Sicherheitsgründen" gemacht werden muss (sprich: der Arbeitgeber möchte verschlüsselten Datenverkehr mitlesen).
SSL ist eine sichere Ende-zu-Ende Verschlüsselung, bei dem Server (und optional Client) sich ausweisen. Das ist ja der ganze Witz an der Sache. Einer dazwischenliegenden Station, die den Traffic nicht einfach nur durchreicht, sondern ihn entschlüsseln will, *muss* explizit vertraut werden.
Insofern sind deine Behauptungen kompletter Schwachsinn.
Hast also heute morgen einen x-beliebigen Newsletter gelesen. Super.
Backdoor? SSL? Du meinst, die NSA hat einen Masterkey für alle SSL-Verbindungen? Bill Gates ist doch der Teufel und die Amis waren nie auf dem Mond
Was er meint, ist die Gefahr, dass z.B. Regierungen Zugriff auf Root-Zertifikate haben könnten. Das ist durchaus nicht ganz unwahrscheinlich.
Blöööööööööööödsinn...
Ich vermische etwas?
Du schriebst, dass Outlook das Einfallstor Nummer 1 ist.
Und auf welchem Betriebssystem läuft Outlook zig millionenfach? Richtig, Windows.
Demnach gilt: Die von mir genannten Anwendungen sind ein Problem, Outlook nicht.
Womit Du meine Aussage bestätigst.
Ich kann Dir nicht folgen. Was meinst Du mit der Verzahnung?
Und dafür kann Microsoft genau was? Denen kann man höchstens ans Bein pinkeln, wenn sie 0days nicht schnell genug aus der Welt schaffen.
Aber sicher nicht dafür, dass manche IT-Buden Monate brauchen, um Updates auszurollen. Zumindest auf Clients sollte das schneller gehen.
Wie schnell patchen Deine Freunde denn Flash und den Reader oder die JRE? Und all die Anwendungen, die von den Usern ohne Wissen der IT-Abteilung installiert wurden? iTunes, Skype, Winamp, Firefox und so weiter?
Wahrscheinlich ist Microsoft auch Schuld daran, dass diese Anwendungen nicht flott genug gepatcht wurden, oder?
Nimms mir nicht übel, aber mit derart undifferenziertem Microsoft-Bashing kannst Du wahrscheinlich noch nicht mal mehr im heise-Forum punkten... Klar, MS baut jeden Tag großen Mist, die Produkte sind alles andere als fehlerfrei. Aber im Gegensatz zu vielen anderen (allen voran die Geheimniskrämer von Apple) hat der Laden wenigstens einen halbwegs transparenten Kommunikationsprozess rund um Bugs und Updates.
Nein, nein und nochmals nein!
Diese beiden Produkte werden nicht angegriffen.
Für Exchange 2010 gab es bisher einen Patch. Was nicht heißt, dass das Ding keine Bugs hat. Es heißt aber mit ziemlicher Sicherheit, dass noch niemand einen Bug gefunden hat (außer den Geheimdiensten natürlich)
Für Exchange 2007 gab es insgesamt fünf Patches (und irgendwas über zehn Schwachstellen). Das ist lächerlich wenig.
Für Exchange 2003 gab es elf Patches - in einer acht Jahre alten Software!
Outlook 2003: 14 Patches.
Outlook 2005: 5 Patches.
Thunderbird 3.1x: 39 Schwachstellen.
Thunderbird 3.0: 61 Schwachstellen.
Thunderbird 2.x: 94 Schwachstellen
(Zahlen alle von Secunia)
Fairerweise kann man die MS-Zahlen nicht ganz mit denen von Mozilla vergleichen, da MS nicht alle gepatchten Lücken veröffentlicht.
Dennoch kann man ohne Übertreibung festhalten, dass ein Angriff auf Outlook oder Exchange aus Sicht der Angreifer totaler nonsense ist.
Denn:
Lücken in Flash Player 9.x: 82.
Lücken in Flash Player 10.x: 77
Noch Fragen?
Ich hoffe inständig, dass Du Deinen Kunden keine Sicherheitsberatung verkaufst...
OK, fein. Du bestätigst meine Aussagen also.
Warum genau bezeichnest Du meinen Beitrag dann als Schwachsinn?
Es geht im übrigen nicht immer darum, dass der Arbeitgeber irgendwas mitlesen will.
Es geht darum, dass herkömmliche Stateful Inspection Firewalls mit Facebook, Twitter, LinkedIn, Sharepoint, Salesforce und dergleichen nix anfangen können. Das ist alles http-Traffic. Wenn die FW bzw. das IPS die Anwendung nicht (er)kennt, kann sie nicht auf Angriffe untersuchen.
Das gleiche gilt für SSL. Das wird entschlüsselt, um auch in diesem Datenstrom nach Exploits/Malware zu suchen. Daher ja das Konzept der Next Generation Firewalls.
Ob die Sucherei in der Praxis wirklich funktioniert, wage ich auch zu bezweifeln.
Aber darum ging es nicht, sondern nur darum, ob SSL transparent entschlüsselt werden kann.
Nochmal: Du bestätigst, dass SSL transparent decodiert werden kann. Warum schreibe ich also Schwachsinn?
Ich habe sogar ein Produkt genannt, dass es kann (eigentlich zwei) und Du hast nicht widersprochen.
Nein, letzten Donnerstag mit Jason Brvenik gesprochen, "Security Fellow" bei Sourcefire.
Aber bei Open-Source-Software macht das laut Aussage von anwe natürlich nichts, die gibts ja im Sourcecode.
Im Übrigen ging es ursprünglich mal um OWA, Exchange und Outlook im Einsatz bei der LH. Deren geringstes Problem dürfte wohl die US-Regierung sein in diesem Fall.
Also bitte die Kirche im Dorf lassen.
Das hättest Du auch schon unter den OP von rcs schreiben können
Zuletzt bearbeitet:
Weil du es *immer noch* so darstellst, als könnte das jeder MITM-Angreifer einfach machen, und als sei SSL nicht sicher. Man muss als Client *absichtlich* die Trust Chain brechen, sonst geht da gar nix. NGN Firewalls hin oder her.
Das schriebst Du in Bezug auf meine Aussage, dass SSL nicht sicher ist.
Findest Du die Angriffe, die in den letzten Jahren in der Praxis demonstriert wurden, etwa alle blödsinnig?
Hier nur das Best-of:
EFF zweifelt an Abhörsicherheit von SSL | heise Security
Passwortklau durch Schwachstelle im SSL/TLS-Protokoll | heise Security
Trickzertifikat für SSL veröffentlicht [Update] | heise Security
Hacker nehmen Extended-Validation-Zertifikate aufs Korn | heise Security
Ja, die Lücken wurden gepatcht (wenn man von der Regierungsnummer absieht). Aber bis zum jeweiligen Patch war SSL unsicher.
Kein Mensch weiß, ob die White Hats die Löcher jeweils zu erst gefunden haben...
Das habe ich schon in meinem ersten Posting nicht so dargestellt.
Vielmehr habe ich zwei Produkte genannt, die SSL ohne wenn und aber entschlüsseln können. Wie sie das tun, ist doch per se nebensächlich aus Sicht des Anwenders. Der sieht ein Schlüsselsymbol in der Adressleiste des Browsers oder einen erfolgreich aufgebauten VPN-Tunnel (SSL, nicht ipsec oder ähnliches) und ist froh.
Ich hab absichtlich sslsniff, sslstrip oder ettercap nicht erwähnt, weil diese in der Tat nicht im großen Stil fehlerfrei decodieren können bzw. Zertifikatsfehler erzeugen.
Das Wort "MitM" habe ich nur erwähnt, damit anwe überhaupt versteht, worum es geht.
Während sich die Geeks sich Fachbegriffe um die Ohren schlagen und recht haben wollen, bleibe ich mal Ontopic...
Nicht alle Mitarbeiter jedes Unternehmens haben eigene email Konten. Auch wenn sie Kundenkontakt haben. Oder brauchen die Damen am Schalter im Kaufhaus alle email?
Nicht alle Mitarbeiter jedes Unternehmens haben eigene email Konten. Auch wenn sie Kundenkontakt haben. Oder brauchen die Damen am Schalter im Kaufhaus alle email?
Nein, das schrieb ich in Bezug auf deine Aussage, dass selbst bei intakter Trust Chain Angriffe durch Proxies möglich sind. Das ist einfach falsch. Wenn du dem Zertifikat, das der Proxy dir unterscheibt, vertraust, ist die Trust Chain per Definition intakt. Wenn nicht, dann kriegst du eine Warnung. Ganz einfach.
Die Renegotiation-Lücke ist ja längst in allen Implementierungen verhindert oder behoben. Das war tatsächlich ein Designfehler in TLS. Der Rest sind Schwächen in den Implementierungen von Browsern oder CAs (die Nullbyte-Geschichte), aber deshalb ist das unterliegende Prinzip noch lange nicht unsicher.
LH ist kein Kaufhaus, sondern ein Dienstleistungekonzern. In modernen Unternehmen dienen Dinge wie E-Mail oder Intranet dazu, Mitarbeiterkommunikation zu betreiben. Deshalb hat in modernen Unternehmen jeder Mitarbeiter E-Mail oder Intranetzugang. Und das oft schon seit mehr als zehn Jahren. Da nicht jeder Mitarbeiter einen Firmen-PC oder einen privaten Rechner hat, stellen moderne Unternehmen folglich kostenlose Zugänge zur Verfügung, zum Beispiel über "Kioske". So kommt auch der "Bandarbeiter" oder die "Kassiererin" in den Genuss dieser Möglichkeiten. Es ist erfreulich, dass LH bestrebt ist, in diesem Punkt auf den Stand zu kommen, den andere Großunternehmen schon seit zehn oder auch 15 Jahren haben. Ich gratuliere!
Habe ich irgendwo geschrieben das SSL nicht per Proxy oder mitm ausgehebelt werden kann?
Nur geht das nur auf dem von Wombert beschriebenem Weg, muss ich nicht wiederholen, er hat gut erklärt warum dein Szenario nur klappt wenn dein Netzwerkadmin eingreifft.
Aber schön das Du zu theoretischen Möglichkeiten etwas gesagt hast. Wenn ich vor deinem Rechner sitze kann ich deine Daten löschen.
Jetzt sind wir endgültig im Reich der Mythen und Märchen angelangt?
Backdoor? SSL? Du meinst, die NSA hat einen Masterkey für alle SSL-Verbindungen? Bill Gates ist doch der Teufel und die Amis waren nie auf dem Mond
Ich spüre den Wind des Heise-Forums durchs VFT wehen...
Erkläre mir doch bitte, was genau im Zusammenhang mit SSl dank Open Source transparent ist.
CA Cert? Master Key?
Ich fürchte, Du weißt wirklich nicht, wovon Du schreibst...
Viel Geblubber mit wenig Substanz.
Wenn die certificate authority (nur für Dich: CA) unsicher ist sind auch die Client Zertifikate unsicher.
Die Wahrscheinlichkeit das die beiden grossen CAs wissentlich eine Lücke eingebaut haben ist nicht gerade gering.
Aber prinzipiell ist erstmal nur dort eine Schwachstelle zu erwarten, da in den OSS Paketen diese längst entdeckt wäre (um deine Frage was das mit OSS zu tun hat zu beantworten).
Selbsterstellte CA und das Problem ist auch vom Tisch (wie man es bei einem VPN machen sollte).
Was um alles in der Welt hat der Wiki-Link mit einem Audio-/Video-Codec zu tun?
Du wirfst wirklich alles durcheinander, was es zu dem Thema an Technikfakten gibt.
Herrlich, gleich die nächste Verschwörungstheorie.
Auch wenn es mancher nicht wahrhaben mag, Bayern hat eine Regierung. Demnach müsste diese ja auch von Skype Zugriff auf die von Dir behauptete Backdoor bekommen.
Und trotzdem geben diese Flachzangen in der Staatskanzlei viele, viele tausend Euro aus, um einzelne Skype-User abhören zu können. Und zwar mit einem Stück Software, das die Sprach-/Chat-Daten *vor* bzw. *nach* dem Entschlüsseln durch Skype mitschneidet. Die knacken also die Codierung nicht.
Dabei hätten die Bayern doch einfach nur bei Skype. bzw. Dir anfragen müssen, um von der Backdoor zu erfahren. Ich melde es dem Bundesrechnungshof, das ist eine Verschwendung von Steuergeldern
Mit dem Codec hat es wenig zu tun sonder mit der Transportverschlüsselung.
Sollte es Dir entgangen sein: Spekulationen um Backdoor in Skype | heise Security
Genau das meinte ich mit Security by obscurity. Skype legt nichts offen, geschweige denn den Quellcode. Somit sind keineverlässlichen Aussagen zu treffen über die Sicherheit des Produktes.
Dein Beispiel des Bundes/Bayern oder sonstigem Trojaners ist nett, geht aber an der Fragestellung vorbei.
Wahrscheinlich existiert Echolon in deinem Weltbild auch nicht, weil deutsche Politiker da nichts mit zu tun haben, oder wie?
Aber immerhin schön das Du mir zustimmst das ein SSL VPN ohne DPI nicht zu blocken ist.
Darum ging es und um nichts anderes.
Deine theoretischen Betrachtungen kannst Du also für Dich behalten, sie sind im normalem Einsatzfall ohne Wert.