Phishing

März 29, 2008

Suchworte (2)

  • "fatsort gentoo": Vielleicht will ja ein Gentoo-Maintainer mal einen eBuild für fatsort-gui bauen? Für Debian hab ich schon etwas in die Wege geleitet.
  • "katze kopfhörer": Meinten Sie: "Napster"?
  • "vorratsdatenspeicherung irc": #ak-vorrat auf irc.freenode.net
  • "tor in firefox einbinden": TorButton
  • "tor phishing": Kommt vor. Tor anonymisiert, verschlüsselt aber nicht, was aus dem Netz rausgeht.
  • "vorratsdatenspeicherung email betreff":
  • "kindersuchmaschine": Erfinde soetwas, und du wirst manche Eltern stark entlasten, wenn die Kinder in Stresssituationen schon wieder nicht auffindbar sind ;)
  • "vorratsdatenspeicherung opfer": 82 Mio. Deutsche. Opfer im Sinne von "gibt wegen Vorratsdatenspeicherung auf" findet man im Artikel "Opfer der Vorratsdatenspeicherung. Ergänzungen können per Kommentar eingereicht werde, und werden dann in den Artikel eingearbeitet.
  • "tor illegal": Nein.

Kategorien Suchworte
Tagged Firefox Tor Phishing Google Suchworte Opfer Vorratsdatenspeicherung fatsort Katze Napster Suchworte
Mobil qrcode zeigen

0 Kommentare

Dez. 13, 2007

Staatlich gefördertes trojanisches Pferd für Kinder?

Dass die meisten "Kindersuchmaschinen" meistens nur einen Zoo von Seiten guter Bekannter des Betreibers anbieten ist ja bekannt. Was will man auch tun, Blacklists sind nie vollständig, eine Whitelist ist kein richtiges Internet, eine Wordlist ist sowohl nie vollständig, als auch meist zu scharf eingestellt.

Die "Kindersuchmaschine" FragFinn wartet bei der IE-Toolbar gleich mit einem Trojaner auf. Man mag sagen, wer IE nutzt lebt sowieso gefährlich, aber mit der Toolbar kommt es tatsächlich noch härter:

1. Die Toolbar umgeht lokale Proxysettings, ohne dass der User das bemerkt. 2. Sie erfasst Daten und sendet diese an einen entfernten Server, wo sie aufgezeichnet werden können. Auch das wird dem User nicht mitgeteilt. 3. Sie erlaubt den Websites Dritter, Cookies zu setzen, die jahrelang gültig sein können. Dabei agiert die Toolbar als Proxy, die Cookies für die Quellseite setzt. Interessant dabei: wenn die Quellseite bisher (beispielsweise per Adblocker) gesperrt war, wird das ignoriert und umgangen. 4. Alle Sicherheitsfeatures können mit einem einfachen Script umgangen werden, die Config-Files sind ungeschützt. Eine einfache Malware könnte alle Features (der Toolbar, Anm. K.) heimlich nutzen und der User würde davon nichts bemerken. [gulli]
Das ganze bezieht sich auf den Artikel "2007-12-10: Masking a trojan horse as a child protection?" von smash-the-stack. Inhalt etwa der gleiche wie im Gulli-Artikel.
In our opinion it is a clear violation of the german fundamental law and therefore it was our responsibility to bring this to public the Full-Disclosure way.
Aber man sollte bedenken:
Schiebe nie etwas auf Boshaftigkeit, was mit Unwissen erklärt werden kann.
Das heißt, wer etwas für den IE programmiert, der scheint sich ja diverser Sicherheitsprobleme einfach nicht bewusst zu sein.

Was sind die Alterantiven? Squidguard wäre zum Beispiel ein Filtering-Proxy. Wenn der Computer nur via Proxy online kann (vorsicht, nicht dass man den Nachwuchs-Geeks da die Möglichkeiten andere Protokolle zu nutzen zerstört?!), dann ist es auch durch alternative Browser nicht umgebar. Statt Cookies von Drittseiten zuzulassen empfiehlt sich Cookies auf Sessioncookies zu beschränken (dann vergisst man auch seine Passwörter nicht), und NoScript zu installieren.

Einmal mehr zeigte sich: Gut gemeint ist das Gegenteil von gut gemacht. Medienkompetenz ist schwierig, und die Leute die bei den sozialen Problemen kompetent sind (z.B. Jugendschutz betreiben können ohne dass die Kinder nur auf einer eng umgrenzten Spielwiese sein können), haben nicht die technische Kompetenz zu erkennen dass IE und vor allem lustige Toolbars ein großes Problem sind.

Kategorien Medien Überwachung Sicherheit Datenschutz
Tagged Spionage Jugendschutz Phishing Kindersuchmaschine Cookies Sicherheitsloch FragFinn trojanisches Pferd Squidguard NoScript
Mobil qrcode zeigen

0 Kommentare

Nov. 18, 2007

Tor-Phishing hat Nachspiel

derangedsecurity.com hatte demonstriert, dass Tor zwar anonymisiert, aber Exit-Verbindungen meistens nicht verschlüsselt sind. Logisch, bietet die Webseite kein HTTPS an oder wird dieses nicht genutzt, ist die letzte Verbindung - von der Exitnode zum Server - unverschlüsselt.

Das hatte Dan Egerstad ausgenutzt, um Passwörter mitzusniffen, pikanterweise einige von Regierungsmailaccounts. Anstatt mit diesen Daten Schindluder zu treiben veröffentlichte er sie auszugsweise auf seiner Webseite, um zu demonstrieren, dass soetwas passieren kann, wenn man ohne nachzudenken Tor nutzt.

Statt das Sicherheitsloch zu stopfen, und alle Passwörter ungültig zu machen und die entsprechenden Tor-Nutzer über die Gefahren aufzuklären wurde er jetzt verhaftet, und seine Hardware beschlagnahmt. Der übliche Denkfehler: Der ehrliche wird bestraft. Hätte er nur mitgelauscht, und die Passwörter über Tor genutzt, wären seine Verbindungen nicht von denen der eigentlichen Nutzer zu unterscheiden gewesen.

Generell ist davon abzuraten, sich über Tor irgendwo einzuloggen. Wenn die Logindaten nicht abgefangen werden, ist trotzdem zumindest die Anonymisierung durch den Login auf einer Seite nur noch Pseudonymisierung, da alle Aktivitäten die eingelogged getätigt werden zu einem Login zusammenführbar sind.

Kategorien Überwachung Verschlüsslung Anonymität Sicherheit Datenschutz Recht
Tagged Klage Tor Phishing Sniffing
Mobil qrcode zeigen

0 Kommentare

Okt. 21, 2007

Tor und Vorratsdatenspeicherung

Achtung: Da der Artikel jetzt wieder häufig gefragt wird noch einmal als Hinweis: Der Artikel ist von 2007, das letzte Update von 2008. Danach wurde er nicht mehr auf den aktuellen Stand aktualisiert. Die enthaltenen Informationen sind als ggf. nicht mehr aktuell.

Zur Vorratsdatenspeicherung gibt es einige Gerüchte, wie hier:

Ein Proxy wie Tor nützt Dir gar nichts, denn die "Vorratsdatenspeicherung" geschieht beim Provider über den Du ins Netz gelangst...Über einen Proxy kannst Du nur scheinbar Deine Spuren verwischen, Telekom und Co. kennen trotzdem Dein Verhalten im Netz.

Achtung: der Artikel wurde seit seiner Urfassung deutlich überarbeitet um der Faktenlage zu entsprechen, die inzwischen in Gesetzesform vorliegt!

Was gilt denn nun wirklich?

Die Vorratsdatenspeicherung erfasst:

  • Bei Telefonie die Rufnummer mit der man sich verbunden hat
  • Zeit von Beginn und Ende der Verbindung
  • Bei Handy-Telefonaten die Funkzelle in der sich die Teilnehmer zu Beginn befunden haben
  • Bei Prepaid auch die erste Aktivierung mit Funkzelle und Datum/Uhrzeit
  • Bei Internet die IP, welche man bei der Einwahl bekommen hat.
  • Die Eindeutige Nutzerkennung
  • Bei Internettelfonie auch die IPs mit denen man sich verbunden hat
  • Auch wenn der Anruf nicht angenommen wurde
  • Bei E-Mail E-Mail Addressen, Zeit, Abruf
Inhalte selber soll die Vorratsdatenspeicherung nicht erfassen:
 (8) Der Inhalt der Kommunikation und Daten über aufgerufene Internetseiten dürfen auf Grund dieser Vorschrift nicht gespeichert werden.
Eine Überwachung wird also in dem Moment möglich, wo der Nutzer auf eine verdächtige Seite ansurft, und dort mit seiner IP im Log steht. Kommt der Überwacher an diese IP, kann er beim Provider anfragen welchem Kunden sie gehört.

Wird Tor genutzt, steht im Webserver-Log allerdings die IP des Tor-Exitnodes. Betreibt man selber einen Exitnode steht man in vielen Webserver-Logs, obwohl man die Seite persönlich nie besucht hat. Theoretisch sollte glaubwürdig sein, dass man nicht selber die Seite besucht hat, praktisch kam es jedoch schon öfter zu Hausdurchsuchungen wegen Besuch von verbotenen Seiten durch den Tor-Exit-Node.

Ein anderer Punkt ist die Abhörsicherheit. Die ist wie man sieht nur in den Tor-Verbindungen gegeben. Der nicht-Tor-Request zum Server ist ohne Tor abhörbar, was jedoch verboten ist, und damit eine höhere Hürde darstellt. Aber auch die Tor-Verbindung ist abhörbar, nachdem er die Exit-Node verlassen hat. Und genau dort wurden die Passwörter der Diplomaten gephisht.

Verhindern lässt sich das, indem man über Tor zusätzlich noch SSL nutzt, wodurch die letzte Verbindung auch verschlüsselt ist. Der Surfer ohne Tor wäre auch besser dran, hätte er SSL genutzt. Bei HTTPS(HTTP mit SSL)  werden allerdings die Filter-Aktionen von Privoxy, mit dem Tor normalerweise zusammen genutzt wird nicht genutzt. Daher sollte man im Browser Plugins und Javascript ausschalten statt sich darauf zu verlassen dass privoxy filtert.

Anders sieht die Situation überigens bei den sogenannten "Hidden-Services" aus. Dabei liegt auch der Server im Tor-Netz, und ist nur via Tor-Verbindungen erreichbar. Damit ist sowohl Verschlüsslung bis zum Server als auch die Anonymität der Nutzer gewährleistet.

Ein Problem könnte jedoch sein, dass Anonymisierungsdienste eventuell zum Loggen gezwungen werden sollen. In diesem Fall würde jemand den Tor-Exit-Node im Serverlog sehen, und eine Log-Herausgabe des Exit-Node fordern, in welcher der vorhergehende Node dann drinsteht. Dann wird dessen Log gefordert und das geht so lange weiter bis man bei einem Entry-Node angekommen ist, der offensichtlich für den Request verantwortlich ist. Wenn das nicht direkt gefordert wird, wird die Forderung nach Logs mit Sicherheit im ersten Fall wo Tor zur Verschleierung einer Straftat genutzt wurde gefordert werden.

Was bedeutet das jetzt für Tor? Sollte das Loggen gesetzlich gefordert werden, werden die Entwickler mit einer solchen Funktion reagieren müssen, wenn sie nicht die deutschen User verlieren wollen. Eventuell sehen sie dann aber auch den Nutzen von Tor schwinden, und reagieren daher nicht, und Tor wird hierzulande illegal.

Wie sie auch reagieren, sie werden bestimmt für nicht-EU-Nodes eine logfreie Variante weiterhin anbieten. Dadurch wird die Route solange eine nicht-EU-Node darin vorkommt nicht so einfach zurückverfolgbar sein, da die Verfolgung am ersten Node ohne Log endet. Eventuell lässt sich jedoch aus den Kontaktdaten zu dieser Node(wenn z.B. nur zwei EU-Nodes kontakt mit dem nicht-EU-Node hatten) der Pfad dennoch rekonsturieren.

Eine Möglichkeit die Überwachung zu vergeringern bietet die Initiative "Wir speichern nicht", indem sie fordern dass die Webseiten auf Logs verzichten sollen. Ohne ein IP-Log beim Server gibt es keine IPs, die bei den Providern angefragt werden können.

Fazit: Um die Frage von oben zu beantworten: Solange man mindestens eine sichere Tor-Node im Pfad hat, ist man anonym, umgeht also die Vorratsdatenspeicherung. Das heißt nicht, dass das Ende der Verbindung nicht abgehört werden kann, aber es kann nicht zurückverfolgt werden von wem der Request ist, was ja das Ziel der VDS ist.

[UPDATE] Konsequenzen für Administratoren öffentlich betriebener Anonymisierungs-Server (ravenhorst)

[UPDATE] Momentan heißt es auf der Ak-VDS Mailinglist, dass Tor kein Telekommunikationsprovider ist, und daher nicht zum speichern verpflichtet.

[UPDATE] Artikel auf den Stand der Gesetzeslage gebracht. IPs von Verbindungen werden nur bei Internettelefonie erfasst. E-Mail-Betreff gar nicht.

[UPDATE] Vorratsdatespeicherung - was nun (PDF) [UPDATE][25.03.08] Die Klage der 30.000 Bürger hat inzwischen dazu geführt, dass der Zugriff auf die Vorratsdaten eingeschränkt wurde. Das eigentliche Urteil ist aber noch nicht gefällt.

Kategorien Politik Sicherheit Anonymität Verschlüsslung
Tagged Tor Phishing Vorratsdatenspeicherung
Mobil qrcode zeigen

7 Kommentare