ANZEIGE
Alle gängigen Browser machen das seit einer ganzen Weile automatisch. Klick mal auf den Link, den ich in meinem Beitrag eins drüber eingefügt habe und guck anschließend in die Adresszeile.
Mythen rund im Internetsicherheit auf Reisen
- Starter*in Travelling_Geek
- Datum Start
ANZEIGE
Alle gängigen Browser machen das seit einer ganzen Weile automatisch. Klick mal auf den Link, den ich in meinem Beitrag eins drüber eingefügt habe und guck anschließend in die Adresszeile.
Nichts, absolut gar nichts, woran Cloudflare beteiligt ist, schmeckt. Deren komplettes Geschäftsgebaren ist unterirdisch.
Wenn ich dies nun in meinem Browser ausgestellt habe, kann ich ja die falsche URL erkennen.
Wenn ich nun auch die richtige URL der Website kenne und auch überprüfe, bin ich ja erstmal sicher, oder?
Abgesehen von den anderen Schwachstellen von SSL, gegen die ich mich aber nicht schützen kann, falls ich das richtig verstanden habe?
Ich bin mir nicht sicher, ob ich "in meinem Browser ausgestellt" richtig verstehe. Daher ein Rateversuch: Du musst im Browser gar nix mehr einstellen, die Dinger sollten inzwischen alle von sich aus Unicode unterbinden und stattdessen die zugrundeliegenden Zeichen anzeigen (in meinem Beispiel oben xn--velflieger... und so weiter).
Das Checken der URL ist in jedem Fall unabdingbar. Außerdem schadet ein Klick aufs Schloss-Icon nicht, gefolgt von einem Klick auf "Zertifikat" sowie "Details". Bei einem EV-Zertifikat steht schon nach dem Klick aufs Schloss unter "Zertifikat" neben "Ausgestellt für:" der Name des Seitenbetreibers.
Die meisten der genannten Schwachpunkte kannst Du tatsächlich nicht selbst beheben. Einzig die Installation von neuen Root-Zertifikaten müsstest Du als Anwender bestätigen. Was im Zweifel so gut wie immer eine schlechte Idee ist.
In meinem Browser (Firefox auf Debian) war es nicht ausgeschaltet. Ich musste es manuell tun, damit ich die URL als "xn-..." sehe.
Bei einem Standard-Zertifikat steht der Name nicht dabei?
Sehe gerade, dass bei vielen Webseiten steht: "This website does not supply ownership information.".
Das wären dann alles Standard Zertifikate?
Ein EV-Zertifikat bzw. den Inhaber kann man nicht faken, nehme ich mal an?
Anscheinend haben das nicht viele Websites.
Gibt es dazu ein Beispiel wie das aussieht?
Also würde in einem öffentlichem WLAN reichen, wenn man SSL/TLS nutzt und die URL prüft?
Zuletzt bearbeitet:
Äh... Wie soll ich sagen... Mit Windows wäre das nicht passiert.
Nein, da steht unter "CN" (Common Name) stets nur die URL der Website/der Server-Name, zu der das Zertifikat passen muss.
Nachdem sich da so wenige Infos unterbringen ließen, hat man sich ja EV ausgedacht.
So ist es.
Es sollte zumindest erheblich erschwert sein. Wenn die CA, die das Zertifikat ausstellt, ihren Job richtig macht, fragt sie z.B. nach Handelsregisterauszügen und anderen Dokumenten.
Nachdem ich Debian nicht nutze, kann ich Dir den entsprechenden Dialog leider nicht zeigen.
Jein.
1. TLS ohne Fehlermeldung beim Aufruf
2. Das Zertifikat passt zum erwarteten Server (das reine Vorhandensein eines Zertifikats sagt erstmal gar nix aus)
3. Trotz TLS sind manche Dinge im Klartext mitlesbar, z.B. URLs (= jede Google-Suche wird sichtbar und jeder per Google/DeepL übersetzte Text)
Einigermaßen Ruhe hast Du an sich nur mit VPN. Und dann auch nur, wenn es kein DNS-Leak gibt, die DNS-Auflösung also nicht über den DNS des Hotspots passiert, sondern irgendwo anders im Internet (durch einen von Dir bestimmten Server).
Ja. Nein. Vielleicht.
Versuchen wir es mal andersrum: was müsste ich machen, um dich reinzulegen.
1. Ich brauche Zugang zum gleichen Netz, in dem du bist. Bei einem öffentlichen WLAN nicht schwierig.
2. Ich müsste versuchen, deine DNS Abfragen zu manipulieren. Das ist keine raketenwissenschaft, aber trotzdem schon etwas anspruchsvoller. Gibt's verschiedene Ansätze, abhängig vom Hotel WLAN.
Einfacher:
Ich baue einfach selber einen öffentlichen WLAN-Hotspot mit einem vertraut klingenden Namen. Und hinten raus nutze ich dann das Hotel WLAN als Uplink, das heißt du als Opfer nutzt mein WLAN und ich leite dich ins Hotel WLAN weiter. Klassische Man in the middle Attacke. Solange ich näher an dir dran bin, als ist die Antenne des Hotel WLANs ist, wirst du alleine schon des besseren Empfang wegen mich nehmen.
3. Jetzt muss ich verhindern, dass du deine Bank erreichst. Das kann ich durch eine einfache manipulierte DNS-Abfrage machen, wenn ich sowieso men in the middle bin gibt's auch noch andere ähnlich effektive Wege (vor denen dich auch DNS over https nicht schützt).
Stattdessen sorge ich dafür, dass du bei Eingabe von www.dkb.de bei mir raus kommst.
4. Würdest du https machen, würde deinem Browser jetzt anhand des falschen Zertifikates auffallen, dass ich nicht dkb.de bin.
Also biete ich dir kein https an, sondern nur HTTP. da gibt es kein Zertifikat, also auch keine identitätsprüfung.
Hast du explizit https : // www.dkb.de aufgerufen, bekommst du jetzt eine Fehlermeldung, weil dein Browser diese Seite nicht erreichen konnte.
Hast du aber nur www.dkb.de aufgerufen, wird Dein Browser entweder direkt oder im zweiten Versuch (wenn du einen Browser hast, der https first versucht) http machen und mit mir reden.
5. Per HTTP schicke ich Dir jetzt eine Weiterleitung auf meine Phishing-Seite. Die läuft unter einem Domainnamen, der unauffällig realistisch klingt. Das kann irgendwas mit unsichtbaren IDN Sonderzeichen sein (okay, davor bist du jetzt geschützt, das würdest Du sehen).
Das kann aber auch einfach irgend eine Domain sein, die plausibel klingt.
koelnbonn.onlinebanking-der-sparkassen.de beispielsweise (um mal klarzustellen, dass die DKB hier auch nur Opfer Beispiel ist). Es gibt beliebig viele Möglichkeiten, die niemand irgendwie verhindern könnte.
Und weil diese Domain ganz legitim mir gehört, kann ich darauf auch ein absolut korrektes SSL Zertifikat ausstellen lassen. Also leite ich dich nicht nur auf meine Domain, sondern direkt auf https :// meine Domain, damit du auch siehst, dass das alles verschlüsselt ist.
Immerhin möchte ich ja nicht, das noch irgendjemand fremd ist außer mir deine Zugangsdaten bekommt
Diese weiterleitung dauert wenige Millisekunden, das heißt du tippst deine URL in den Browser ein und bekommst die Phishing Seite genauso schnell und genauso unauffällig, wie du es bei der richtigen Seite auch bekommen hättest.
Fertig.
Verhindern kannst du das nur, indem du
A) am besten sämtlichen Traffic durch ein VPN jagst, dessen Gegenstelle du vertraust. Und auch deine DNS-Anfragen musst du dann übers VPN einen vertrauenswürdigen DNS-Server stellen.
Oder
B) indem du explizit https beim Aufruf eingibst (damit erzwingst) oder aus einem Favoriten heraus anklickst, ...
Dann würdest du wie oben beschrieben einfach nur eine Fehlermeldung bekommen, anstatt auf http zurückzufallen.
Noch ein Schritt weiter:
Noch besser wäre natürlich, wenn ich dir unter irgendeinem Vorwand ein eigenes Zertifikat unterschieden kann (dann gelte ich auf deinem PC als vertrauenswürdige Stelle, um selber SSL-Zertifikate auszustellen). Dann könnte ich auch für die original Domain Deiner Bank zB www.dkb.de ein Zertifikat ausstellen, und dann würdest du auch durch Variante b dich nicht mehr schützen können.
Die Zertifikats-Installation erfordert allerdings ein bisschen mehr Aufwand, z.b. könnte ich es dir als irgendein Plugin unterschieben auf einer Fake "wenn Sie unseren kostenfreien Hotspot nutzen möchten, bestätigen Sie bitte die Nutzungsbedingungen" -Seite. Oder ich bringe dich dazu, ein USB-Gerät einzustecken ("könnte ich freundlicherweise mein Handy bei Ihnen kurz an den Strom hängen"), das sich auf deinem PC als Tastatur anmeldet und Tastenfolgen abspielt.
Und: die oben genannte Technik für einen man in the middle Hotspot läuft problemlos auf einem Smartphone. Falls ich dich dazu bringe, dieses Smartphone zum Laden an deinen PC an zu hängen, wirst du selbst dann angreifbar, wenn du Internet per Kabel benutzt. Das Smartphone kann sich dann nämlich per USB als Internetzugang (Tethering via USB) anbieten, so dass dein PC für dich unbemerkt gar nicht mehr das Kabel benutzt, sondern jetzt eben die Falle.
Das ist dann aber alles schon eine ganze Stufe weiter, weil es eben mitwirken deinerseits erfordert.
einen hab ich noch, wem das zu abstrakt ist ("man müsste ja mit dem Fake-WLAN-Sender dann in meiner Nähe sein und auf Opfer warten").
Es gibt mobile kleine Router, die problemlos ein WLAN empfangen können (als WAN-Verbindung, also Uplink) und ein eigenes aufspannen. Die gibt's in China wahrscheinlich von für einstellige Eurobeträge (normaler VK-Preis in Deutschland ist teilweise ja schon <20 Euro), die sind kleiner als eine Zigarettenschachtel und beziehen ihren Strom per USB (kann man hinter dem Hotel-Fernseher verschwinden lassen) oder meiner z.B. ist im Gehäuse eines Weltweit-Stromadapters eingebaut (d.h. verbraucht noch nicht mal eine Steckdose, kann man zwischen Steckdose und Schreibtischlampe dazwischen hängen). Konfigurationsaufwand <1 Minute, Du reist wieder aus dem Hotel ab, lässt das Ding "für immer" da hängen und hat man im Prinzip wie ein WLAN-Repeater, nur dass die daran angemeldeten Clients einen anderen DNS-Server genannt bekommen - der steht irgendwo in der Welt und kann bei Bedarf einzelne Domains entsprechend "entführen".
Weil sich der WLAN-Empfang für die Kunden sogar VERBESSERT, wird das wahrscheinlich auch keine Hotel-IT-Mitarbeiter mitbekommen ;-)
Es gibt mobile kleine Router, die problemlos ein WLAN empfangen können (als WAN-Verbindung, also Uplink) und ein eigenes aufspannen. Die gibt's in China wahrscheinlich von für einstellige Eurobeträge (normaler VK-Preis in Deutschland ist teilweise ja schon <20 Euro), die sind kleiner als eine Zigarettenschachtel und beziehen ihren Strom per USB (kann man hinter dem Hotel-Fernseher verschwinden lassen) oder meiner z.B. ist im Gehäuse eines Weltweit-Stromadapters eingebaut (d.h. verbraucht noch nicht mal eine Steckdose, kann man zwischen Steckdose und Schreibtischlampe dazwischen hängen). Konfigurationsaufwand <1 Minute, Du reist wieder aus dem Hotel ab, lässt das Ding "für immer" da hängen und hat man im Prinzip wie ein WLAN-Repeater, nur dass die daran angemeldeten Clients einen anderen DNS-Server genannt bekommen - der steht irgendwo in der Welt und kann bei Bedarf einzelne Domains entsprechend "entführen".
Weil sich der WLAN-Empfang für die Kunden sogar VERBESSERT, wird das wahrscheinlich auch keine Hotel-IT-Mitarbeiter mitbekommen ;-)
Danke euch!
Wie sieht das ganze bei (Android) Apps aus? Kann ich dort überprüfen, ob die Daten per https übertragen werden? Kann ich auch das Zerifikat prüfen?
https://wiki.wmtransfer.com/files/2018/05/180516145536_kornevoy_mozilla_eng_new_1.png
Allerdings müsste unter Firefox die Einstellung dazu geändert werden, damit gespeicherte CAs nicht berücksichtigt werden.
Unter "How to use pinning":
https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning#How_to_use_pinning
Wie sieht das ganze bei (Android) Apps aus? Kann ich dort überprüfen, ob die Daten per https übertragen werden? Kann ich auch das Zerifikat prüfen?
So könnte es aussehen, denke ich mal:
https://wiki.wmtransfer.com/files/2018/05/180516145536_kornevoy_mozilla_eng_new_1.png
Würde dagegen (oder allgemein gegen das Problem mit den CAs) nicht key pinning helfen?
Allerdings müsste unter Firefox die Einstellung dazu geändert werden, damit gespeicherte CAs nicht berücksichtigt werden.
Unter "How to use pinning":
https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning#How_to_use_pinning
in der Theorie ja. Allerdings (ist nur ein Bauchgefühl) hat die Technik glaube ich nie gelebt, bevor sie starb.
Und: Wenn es jemand schafft, bei Dir ein root-Zertifikat zu installieren, hast Du darüber hinaus auch noch andere Probleme
HTTPS ist doch Ende-zu-Ende-Verschlüsselung, sprich die komplette URL (inkl. Suchanfrage) wird verschlüsselt übertragen - lediglich der Domainname könnte beim Aushandeln der Verschlüsselung mitgelesen werden?
Auf gerooteten Geräten kannst Du mit Apps wie Packet Capture oder Debug Proxy den Datenverkehr mitschneiden (Packet Capture kann IMHO per Man in the Middle sogar TLS aufbrechen auf dem Gerät).
Auch Zertifikats- oder Key-Pinning setzt voraus, dass der Mensch vor dem Rechner/Smartphone weiß, was sie/er tut. Die Betreiber legitimer Seiten können pinnen solange sie wollen. Akzeptiert der User die Phishing-Domain, ist Pinning raus. Einzig gegen Man in the Middle schützt Pinning, wenn man die korrekte Seite ansurft und jemand die Verbindung belauschen will. Der Browser akzeptiert nur das Zertifikat des Seitenbetreibers, aber nicht das des zwischengeschalteten Lauschers.
- Die blocken weitflächig Traffic aus dem Tor-Netzwerk. Weil Tor ja nur von Kriminellen genutzt wird. Eine ebenso dumme wie gefährliche Verallgemeinerung.
- Gleichzeitig schützen sie so ziemlich jeden Booter-Service (DDoS as a Service, per definitionem illegal), Schätzchen wie 8Chan (nicht nur ein Hort für Nazi-Arschlöcher, sondern auch Treffpunkt für Päderasten), ISIS, al-Qaida und den Daily Stormer sowie eine endlose Liste an Carder Foren (daher auch der liebevolle Spitzname "Crimeflare"). Nach Ansicht von Cloudflare könne man solchen Seiten den Schutz nicht verwehren, da das ja Zensur sei (dass sich angesichts des Tor-Blockings die Logik hier selbst in den Kopf schießt, nimmt man bei Clownflare hin). Den Daily Stormer haben sie erst dann frei ins Netz gestellt, als selbst Washington aufmerksam wurde. Und dann angeblich auch nur, weil der CEO "mit schlechter Laune aufgewacht" sei, nachdem der Daily Stormer die Cloudflare-Führungsmannschaft als "Unterstützer" bezeichnet hatte. So stelle ich mir transparentes Vorgehen vor - nicht.
- Cloudbleed
- Die wollten/wollen (keine Ahnung, ob das noch aktuell ist) der zentrale DNS over HTTPS-Anbieter für alle Mozilla-Nutzer werden. Sehr wahrscheinlich, um die so gesammelten Erkenntnisse irgendwie zu Geld zu machen (der Betrieb einer solchen Infrastruktur wäre ziemlich aufwändig, das schenken die der Mozilla-Gemeinde sicherlich nicht). Einer Organisation, die sonst angeblich so auf Grundwerte wie freie Meinungsäußerung bedacht ist, steht ein solches Ansinnen nicht gut zu Gesicht. Außerdem garantiert uns keiner, dass sich Cloudflare wirklich neutral verhält und Traffic an Mitbewerber wie Google, Akamai, Level 3 etc auch tatsächlich unverfälscht weiterleitet (wo der eigentliche Content liegt, zu dem die DNS-Anfrage führt). Ach ja, und dann wäre da noch das Problemchen, dass Cloudflare der US-Jurisdiktion unterliegt. Was einerseits massenhaftes Absaugen sämtlicher Internet-Bewegungen aller Mozilla-Nutzer weltweit ermöglicht. Und andererseits das Blockieren von unliebsamen Domains zum Kinderspiel macht. Es gibt ja nur noch einen Hals, den man als Regierung würgen muss.
Du hast teilweise Recht, ich war teilweise auf dem Holzweg: Die Domain ist nicht verschlüsselt. Es sei denn, es käme DNS over HTTPS zum Einsatz (was derzeit quasi nicht der Fall ist). Einzig der Pfad (also alles nach der Domain) ist derzeit per TLS verschlüsselt. Durch statistische Analysen kommt man mit ein bisschen Aufwand aber eventuell doch an die exakte URL (zumindest bei statischen URLs; nicht bei dynamischen wie den Übersetzungen)
Wenn Du einen Betreiber willst, der so gar nix mitloggt, dann bleibt IMHO nur DNSWatch
Quad9 schreibt angeblich keine Quell-IPs mit, aber
Quad9 meinte:
Danke, teste jetzt mal DNSWatch. DigitalCourage e.V. wäre evtl. auch noch eine Alternative, oder der DNS vom CCC.
Zum Thema IT Sicherheit finde ich diese Seite / Blog sehr gut. Habe diesen vor ein paar Jahren gefunden. Mike betreibt auch ein Forum zu dem Thema.
In der Empfehlungsecke gibt auch einen Abschnitt zu DNS
https://www.kuketz-blog.de/empfehlungsecke/
In der Empfehlungsecke gibt auch einen Abschnitt zu DNS
https://www.kuketz-blog.de/empfehlungsecke/
nur eines ist sicher, daß es nicht die totale Sicherheit gibt
ansonsten gilt, nicht über öffentliche Netzwerke seinen e-mail account abrufen. Besser übers mobilphone Netz auch wenn das etwa Geld kostet.
Surfen kannst natürlich über das Öffentliche
ansonsten ist TOR als Browser nicht verkehrt
www.torproject.org
oder auch
protonvpn.com
ansonsten gilt, nicht über öffentliche Netzwerke seinen e-mail account abrufen. Besser übers mobilphone Netz auch wenn das etwa Geld kostet.
Surfen kannst natürlich über das Öffentliche
ansonsten ist TOR als Browser nicht verkehrt
Das Tor Project | Privatsphäre & Freiheit Online
Verteidige dich gegen Verfolgung und Überwachung. Umgehe die Zensur.
www.torproject.org
oder auch
Server Locations
Proton VPN secure VPN servers are available around the globe, even for free. Check out the list of available VPN and advanced Secure Core VPN servers.
protonvpn.com
Zuletzt bearbeitet:
... und wieder einen uralten Thread aus der Versenkung geholt, nur, um etwas zu schreiben.
Und wieder ein Post mehr auf der Uhr.
Und wieder ein Post mehr auf der Uhr.