Ergebnis 1 bis 2 von 2
  1. #1
    Gunnery Sergeant Avatar von Speedy
    Registriert seit
    28.12.2007
    Alter
    41
    Beiträge
    384
    Punkte
    65.237
    Level
    26
    Punkte: 65.237, Level: 26
    Level beendet: 57%, Punkte für Levelaufstieg benötigt: 2.213
    Aktivität: 0%
    Errungenschaften:
    Erstellte Albumbilder 15 Freunde 2 Jahre registriert Veteran 50000 Erfahrungspunkte
    Trophäen
    My Mood
    Yeehaw


    Fandest du den Post nützlich? Yes | No

    Standard Microsofts Hintertür Zweifelhafte Updates gefährden SSL-Verschlüsselung

    Was macht Windows, wenn es auf ein Verschlüsselungszertifikat trifft, dessen Echtheit es nicht überprüfen kann? Es schlägt nicht etwa Alarm, sondern fragt bei Microsoft nach, ob man dort zufällig jemanden kennt, der das Zertifikat für echt erklären möchte.


    Auf die Verschlüsselung von Windows kann man sich nicht wirklich verlassen. Denn über eine weitgehend unbekannte Funktion kann Microsoft – etwa im Auftrag der NSA – dem System jederzeit und unsichtbar für den Anwender neue Zertifikate unterschieben. Zertifikate kommen beispielsweise zum Einsatz, um bei https-Verbindungen die Übertragung wichtiger Daten zu verschlüsseln und so vor Lauschern zu schützen. Damit Ihr Browser auch sicher sein kann, dass er am anderen Ende einer solchen SSL-Verbindung tatsächlich mit Ihrer Bank spricht, muss das von der Bank beim Aufruf der Webseite präsentierte Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt worden sein. Um das zu checken, hat jeder Browser eine Liste von vertrauenswürdigen Stammzertifikaten; Internet Explorer verwendet die von Windows.


    Doch kaum jemand weiß, dass das CryptoAPI von Windows einen Mechanismus enthält, der die Liste der Stammzertifikate dynamisch aktualisiert, wenn das gerade benötigte nicht auf dem System vorgefunden wird. Microsoft hat dieses „Automatic Root Certificates Update“ ohne großes Aufsehen bereits vor Jahren eingeführt und bei allen Windows-Versionen standardmäßig aktiviert [1].


    Behauptet das Zertifikat eines Servers wie https://www.correo.com.uy, dass es von einer Zertifizierungsstelle beglaubigt wurde, die der Browser nicht kennt, lädt Windows über den Windows-Update-Server die Datei „authrootstl.cab“ herunter. Sie enthält digital signierte Informationen zu weiteren Stammzertifizierungsstellen; findet sich die gesuchte – also für obigen Server die „Correo Urugayo – Root CA“ – in der Liste, wird deren Zertifikat heruntergeladen und im Zertifikatsspeicher des Systems als vertrauenswürdiger Herausgeber installiert


    Windows informiert den Benutzer über diesen Vorgang nicht. Der Import geschieht unsichtbar im Hintergrund durch einen Systemprozess für das ganze System. Selbst auf einem Windows Server 2008 kann also ein Nutzer ohne besondere Privilegien durch den Aufruf einer URL eine neue Root-CA im System verankern; er kann diese dann auch nicht mehr aus dem System entfernen.


    Wer jetzt denkt, das beträfe nur den Internet Explorer und er sei mit Chrome oder Safari auf der sicheren Seite, der irrt. Beide Browser nutzen die Krypto-Infrastruktur des Betriebssystems – unter Windows also ebenfalls das KryptoAPI – und zeigen somit genau das gleiche Verhalten wie der Internet Explorer. Einzig Mozilla pflegt seine eigenen Krypto-Bibliotheken. Diese Network Security Services (NSS) enthalten weder die CA aus Uruguay noch einen vergleichbaren, dynamischen Update-Mechanismus. Folglich zeigt Firefox beim Aufruf der oben aufgeführten URL wie erwartet eine Sicherheitswarnung an.

    Microsofts Hintertür Zweifelhafte Updates gefährden SSL-Verschlüsselung-firefox-93e897dad81feddc.png Firefox hat seine eigene Krypto-Infrastruktur. Kennt er eine CA nicht, kommt eine Fehlermeldung.


    Das Problem mit den dynamisch nachgeladenen CA-Zertifikaten ist, dass sich damit die TLS/SSL-Verschlüsselung einfach aushebeln lässt. Prinzipiell ist es damit möglich, bestimmten Personen oder Gruppen jederzeit zusätzliche Zertifikate unterzuschieben, die ein Aufbrechen der Verschlüsselung als Man-In-The-Middle erlauben. Mit einem heimlich nachinstallierten CA-Zertifikat könnte etwa die NSA den kompletten SSL-verschlüsselten Netzwerkverkehr einer Zielperson mitlesen. Selbstverständlich kann eine solche CA dann auch S/MIME-verschlüsselte Mails kompromittieren oder Trojaner so signieren, dass sie als legitime Treiber-Software durchgehen.


    Es geht hier wohlgemerkt um CAs, die selektiv und quasi unsichtbar auf einzelnen PCs nachinstalliert werden, die bestimmte Zertifikate überprüfen. Das ist etwas ganz anderes als dokumentierte, öffentlich einsehbare Updates der Vertrauensbasis der Krypto-Infrastruktur etwa über den globalen Windows-Update-Mechanismus. Auf unsere Fragen, warum man zusätzlich einen dynamischen Nachlade-Mechanismus implementiert hat, antwortete Microsoft nicht.


    Welche CAs auf diesem Weg nachinstallliert werden, weiß man nicht so genau. Es gibt zwar ein Wiki mit einer Liste der für Windows 8 zertifizierten CAs [2] ; ob diese wirklich vollständig ist, kann man jedoch bestenfalls hoffen. Derzeit enthält die in Deutschland ausgelieferte dynamische Liste authsrootstl.cab etwa 350 Zertifizierungsstellen. Doch selbst wenn diese mit der Liste im Microsoft-Wiki übereinstimmen sollte, weiß man nicht, ob sich diese Liste bei Bedarf ändert.


    Schon jetzt werden die Zertifikatslisten über das Content Distribution Network von Akamai ausgeliefert, sodass es auch kein Problem wäre, etwa Anwendern in China oder Deutschland eine andere Liste zu präsentieren als US-Bürgern. Angesichts der im Rahmen von PRISM bereits dokumentierten Zusammenarbeit zwischen Microsoft und der NSA muss man annehmen, dass auch solche Hintertüren in Verschlüsselungsfunktionen für das Sammeln von Informationen genutzt werden.


    Selbsthilfe

    Das automatische Aktualisieren der Stammzertifizierungsstellen lässt sich zwar über eine Gruppenrichtlinie anpassen, die man mit dem Editor gpedit.msc erstellen kann (siehe Bild). Auf einem Windows 8 ohne Gruppenrichtlinieneditor stellte das Erzeugen eines DWord-Werts DisableRootAutoUpdate=1 in der Registry unter HKLM\Software\Policies\Microsoft\SystemCertificate s\AuthRoot die unerwünschten automatischen CA-Updates ab. Doch ganz problemlos ist das nicht. Denn Microsoft liefert etwa bei Windows 8 nur noch einen sehr reduzierten Satz an CA-Zertifikaten mit. Schon der Aufruf der Webseite der Telekom-CA https://www.telesec.de, der Firefox von Haus aus vertraut, führt damit zu einem Fehler in IE, Safari und Chrome.

    Gegen nachhaltige Zweifel, ob die SSL-Verschlüsselung in Windows wirklich noch den erwarteten Schutz vor unerwünschten Lauschern bieten kann, hilft damit letztlich nur der Wechsel des Betriebssystems. Wer den scheut, kann zumindest auf Firefox umsteigen, der seine eigenen Krypto-Dienste mitbringt.

    Microsofts Hintertür Zweifelhafte Updates gefährden SSL-Verschlüsselung-ct.1713.016_seite_1_bild_0001-a243aab09a6aa42e.jpeg In Windows-Versionen mit Gruppenrichtlinieneditor kann man das Auto-Update der CA-Liste einfach abstellen.


    [Quelle] Heise

  2. Folgende 4 Benutzer sagen Danke zu Speedy für den nützlichen Beitrag:

    BaZiMuC (04.08.13), ONeill (02.08.13), Pit_Fiend (01.08.13), WildKillBill (01.08.13)

  3. # ADS
    Circuit advertisement
    Registriert seit
    Always
    Alter
    2010
    Beiträge
    Many
     

  4. #2
    First Sergeant Avatar von WildKillBill
    Registriert seit
    27.03.2008
    Beiträge
    565
    Spendelevel 4 
    Punkte
    25.108
    Level
    16
    Punkte: 25.108, Level: 16
    Level beendet: 83%, Punkte für Levelaufstieg benötigt: 542
    Aktivität: 99,9%
    Errungenschaften:
    Erstellte Albumbilder 15 Freunde 2 Jahre registriert Empfehlung erster Klasse 10000 Erfahrungspunkte
    Auszeichnungen:
    Aktivitäts Award
    My Mood
    Fine


    Fandest du den Post nützlich? Yes | No

    Standard AW: Microsofts Hintertür Zweifelhafte Updates gefährden SSL-Verschlüsselung

    Ob das was nutzt wage ich zu bezweifeln.
    Ich habe auf Alles Schall und Rauch ein Bericht gelesen ... unglaublich ....

    Hier mal ein Auszug:

    Michele Catalano berichtet was einer Familie in den USA passiert ist, nach dem sie im Internet sich über Dampfkochtöpfe informierte und ihr Mann unabhängig davon nach einem Rucksack suchte. Hier in ihren Worten was danach passierte:

    Es war ein Zusammenfluss von gigantischen Proportionen die sechs Agenten der "Joint Terrorism Task Force" dazu brachte an meiner Tür am Mittwoch zu klopfen. Wir hatten keine Ahnung, dass unsere völlig harmloses "googeln" bestimmter Sachen einen perfekten Sturm für eine Terrorrazzia auslösen würde. Nur weil irgendwer irgendwo es beobachtet hat. Jemand dessen Job es ist 1 und 1 was Leute auf dem Internet tun zusammenzuzählen und in diesem Fall war es unsere "Suchverlauf" der den Alarm auslöste.

    Ich hatte nach Dampfkochtöpfe gesucht und mein Mann nach Rucksäcke. Vielleicht zu anderen Zeiten wären diese beiden Sachen völlig harmlos, aber wir sind in 'diesen Zeiten' jetzt. In Zeiten wo ein Anschlag in Boston passierte.

    Ich war gerade bei der Arbeit als folgendes stattfand: Ungefähr um 9:00 Uhr als mein Mann zufällig zu Hause war und im Wohnzimmer mit unseren beiden Hunden sass, hörte er wie einige Autos vor dem Haus anhielten. Er schaute aus dem Fenster und sah drei schwarze SUVs. Zwei auf der Strasse und einer der sich hinter unserm Auto in der Einfahrt gestellt hatte, wie um die Wegfahrt zu blockieren.

    Sechs Männer in Zivil stiegen aus den Fahrzeugen und verteilten sich um unser Haus. Zwei gingen links und zwei rechts herum zum Hinterhof und zwei kamen zur Tür. Mein Mann war völlig Perplex. Er ging raus und die Männer begrüssten ihn in dem sie ihre Marken vorzeigten. Er sah sie trugen Pistolen im Halfter am Gürtel.

    Sind sie Herr ... ? fragte einer während er auf Unterlagen schaute. Er bestätigte und sie fragten ob sie reinkommen dürfen. Er sagte ja. Sie fragten ob sie das Haus durchsuchen dürfen. Sie liefen herum, schauten sich das Bücherregal an, betrachteten alle Fotos und warfen einen Blick ins Schlafzimmer. Als sie ins Zimmer meines Sohnes eintreten wollten sagte mein Mann, er schliefe noch, also liessen sie es sein.

    Während der Inspizierung stellten sie meine Mann laufend Fragen. Wo er herkommt? Wo seine Eltern stammen? Sie fragten ihn über mich aus, wo ich wäre, wo ich arbeite, wo meine Eltern wohnen? Haben sie Bomben im Haus, fragten sie. Besitzen sie einen Dampfkochtopf? Mein Mann sagte Nein, aber wir hätten einen Reiskocher. Kann man daraus eine Bombe bauen? Mein Mann sagte Nein.

    Sie durchsuchten den Hinterhof und unsere Garage. Sie gingen zurück ins Haus und stellten weiter Fragen. Haben sie jemals danach gesucht wie man eine Bombe aus einem Dampfkochtopf baut, fragten sie ihn. Er stellte die Gegenfrage, ob sie nicht selber nach Boston wissen wollten wie so eine Bombe funktioniert und es im Internet nachgeschaut hätten? Zwei bestätigten sie hätten es getan.

    Zu diesem Zeitpunkt merkten sie, wir waren keine Terroristen. Sie stellten weiter Fragen über seine Arbeit, seine Reisen nach Südkorea und China. Der Ton war normale Konversation. Sie verlangten keinen Zugriff auf unseren Computer mit dem die Suche im Internet stattgefunden hatte. Ich nehme an, wir passten nicht ins Profil und es lief für sie Routine ab. Sie erwähnten, sie machen so etwas 100 Mal die Woche und bei 99 Fällen ergäbe sich nichts.

    Sie verabschiedeten sich und verliessen unser Haus. Mein Mann rief mich an und erzählte was passiert war. Ich war völlig erschrocken und dachte darüber nach, was hab ich noch alles im Internet gesucht? Was hab ich an Suchbegriffen eingegeben, die einzeln für sich völlig harmlos sind, aber zusammengenommen einen unter Verdacht bringen könnte? So weit sind wir schon. Es gibt keine Privatsphäre mehr. Wo der Versuch etwas herauszufinden einen auf der Beobachtungsliste landen lässt. Wo man genau beobachten muss was man tut weil jemand anders beobachtet was man tut.

    Ich weiss jetzt, sollte ich einen Dampfkochtopf kaufen wollen, dann mach ich das sicher nicht online. Ich habe Angst, denn später fanden wir bei einer Nachfrage bei der lokalen Polizei heraus, es ist auch darum gegangen, was mein Mann bei seiner alten Arbeitsstelle im Internet gesucht hatte. Wir dachten, es ginge nur um was wir zu Hause gesucht hätten.

    Ja, so weit ist es schon in Amerika gekommen. Durch die Speicherung und Überwachung des gesamten Internetverkehrs können die Sicherheitsbehörden das Suchverhalten eines jeden analysieren und wenn gewisse Schlüsselwörter vorkommen dann ist man des Terror verdächtig. Dann bekommt man Besuch von den "Men in Black" und wird verhört.

    Hier weiterlesen: Alles Schall und Rauch: Microsoft sperrt ASR-Mailkonto Alles Schall und Rauch: Microsoft sperrt ASR-Mailkonto


    Wir sind Anonymous. Wir sind eine Legion. Wir sind VIELE. Wir vergessen Nicht. Wir Vergeben Nicht. Erwartet UNS.

  5. Folgende 2 Benutzer sagen Danke zu WildKillBill für den nützlichen Beitrag:

    ONeill (02.08.13), Speedy (03.08.13)

Ähnliche Themen

  1. Windows 7: Erste Test-Updates erscheinen heute
    Von ONeill im Forum Allgemein/Weltweit
    Antworten: 7
    Letzter Beitrag: 12.03.09, 14:06
  2. "Spiele gefährden die Gesundheit"
    Von 3er im Forum Allgemein Spiele News
    Antworten: 5
    Letzter Beitrag: 14.01.09, 16:33
  3. Verschlüsselung
    Von SilentHunter im Forum Allgemein Spiele News
    Antworten: 0
    Letzter Beitrag: 09.09.08, 10:27

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •