Forum: Netzwelt
Angriff auf SSL: Auch verschlüsselte Verbindungen geben Privates preis
AP

Auch wenn die Verschlüsselung nicht geknackt ist, können Überwacher aus Website-Abrufen Brisantes über Nutzer erfahren. US-Forscher haben recht genau bestimmt, über welche Krankheiten Nutzer sich auf Gesundheitsportalen informierten - über eigentlich sichere Verbindungen.

Seite 1 von 2
DerKlabautermann 07.03.2014, 17:48
1. durch die Brust ins Auge

Klar, die Firma könnte Wissenschaftler engagieren, um Wahrscheinlichkeiten aus dem Datenstrom zu errechnen. Oder auch einfach billigste Überwachungssoftware installieren... oder einfach den Kollegen fragen, was der Mitarbeiter den ganzen Tag im Netz macht. Warum einfach, wenn es kompliziert geht? Warum gibt es eigentlich noch scharfe Messer? Was damit alles passieren könnte...

Beitrag melden Antworten / Zitieren
DrGrey 07.03.2014, 17:49
2.

Zitat von sysop
Auch wenn die Verschlüsselung nicht geknackt ist, können Überwacher aus Website-Abrufen Brisantes über Nutzer erfahren. US-Forscher haben recht genau bestimmt, über welche Krankheiten Nutzer sich auf Gesundheitsportalen informierten - über eigentlich sichere Verbindungen.
Abhilfe schafft Folgendes.Per VPN zu einem Anonimizer-Verbindung
aufnehmen, und dessen DNS nutzen, so schaut der lokale
Provider in die Röhre und weiss nicht wohin die Reise geht.

Beitrag melden Antworten / Zitieren
redbayer 07.03.2014, 20:00
3. Man muss es leider immer wiederholen

weder in Deutschland noch in USA kann man einfach so eine Verschlüsselung "erfinden" und dann breit als Service einsetzen. In Deutschland muss der "Schlüssel" gemeldet werden (BSI) und von dort wird er an befreundete Dienste weiter gegeben.

Die schauen sich dann vor allem diese verschlüsselten Nachrichten an, denn da könnte ja etwas interessantes dabei sein.

Alles andere ist pipifax ...

Beitrag melden Antworten / Zitieren
erational99 07.03.2014, 21:57
4. NoSSL

Zur Zeit wird NoSSL entwickelt, eine Moeglichkeit fuer low-security websites etwas mehr Verschluesselung zu bieten. Unter www.nossl.net

Beitrag melden Antworten / Zitieren
s.p.zeidler 08.03.2014, 00:15
5.

Zitat von redbayer
weder in Deutschland noch in USA kann man einfach so eine Verschlüsselung "erfinden" und dann breit als Service einsetzen. In Deutschland muss der "Schlüssel" gemeldet werden (BSI) und von dort wird er an befreundete Dienste weiter gegeben.
Eine Grundbedingung für eine gute Verschlüsselung ist eine Quelle guten Zufalls, die gibt es zu kaufen, und ja, man baut sich seine Schlüssel(paare) selber und das BSi hat mit denen nicht die Bohne zu tun.

Und Sie können auch ganz sicher ein Verschlüsselungsverfahren erfinden, habe ich zumindest als Schulkind gemacht. Sofern Sie nicht Kryptographie studiert haben, ist das Ergebnis allerdings wahrscheinlich eher halbgar. Gegen meine Mitschüler hat's gelangt.

Eine der besten klassischen Verschlüsselungen ist übrigens recht einfach, besteht aus "man einige sich auf ein Buch, und kodiere die Nachricht in Seite-Zeile-Wort" (und immer mal wieder eine andere Seite).
Sogenannte Einmal-Pads sind nicht zu knacken wenn die Anwender keine dummen Fehler machen (wie zB den Pad wiederzuverwenden).

Das Problem, das SSL (und andere Internet-Verschlüsselungeverfahren) versucht zu lösen ist vertrauliche und sichere Kommunikation zwischen Parteien die sich nicht kennen.

Und die Kommunikationssicherheitslücke, die hier aufgedeckt wird, hat mit dem Entschlüsseln der Nachrichten durch Unbefugt nichts zu tun, sondern damit, daß "moderne" Webseiten aus dutzend bis hunderten Dateien bestehen, die einzeln geladen werden, und sie aus dem Lade-Rythmus eines Browsertyps schließen können welche Seite(n) geladen wurden.
Frei nach dem Motto: lang kurz kurz mittel kurz kurz kurz .. ah die Hauptseite mit dem Eingangsvideo; kurz mittel mittel kurz kurz kurz kurz .. ah die Seite über Diabetes.

Beitrag melden Antworten / Zitieren
khaja 08.03.2014, 01:00
6.

Zitat von DerKlabautermann
Klar, die Firma könnte Wissenschaftler engagieren, um Wahrscheinlichkeiten aus dem Datenstrom zu errechnen. Oder auch einfach billigste Überwachungssoftware installieren... oder einfach den Kollegen fragen, was der Mitarbeiter den ganzen Tag im Netz macht. Warum einfach, wenn es kompliziert geht? Warum gibt es eigentlich noch scharfe Messer? Was damit alles passieren könnte...
Wenn die Firma den Mitarbeitern den Internetzugang zur Verfügung stellt, geht es sogar noch einfacher: Einfach eine Man-In-The-Middle-Attacke ausführen.

Man fängt einfach die verschlüsselten Verbindungen ab und fertig. Sobald man den Mitarbeitern dann sagt, dass private Verwendung der Internetverbindung untersagt ist und dass mitgehorcht werden kann, dürfte da rechtlich auch recht wenig zu machen sein.

VPN bringt dann auch rein gar nichts, da einfach alle Verbindungsversuche, die nicht auf einer Whitelist stehen, stumpf geblockt werden können. Zumal sowas auch Arbeitsrechtliche Konsequenzen hätte - das Umgehen von Sicherheitsmaßnahmen des Firmennetzwerks kann die sofortige Kündigung zur Folge haben. Insofern ist das Anraten einer VPN-Software für _Privatzwecke_ im _Firmennetzwerk_ ein reichlich dämlicher Rat.

Denn selbst wenn das verschlüsselt ist: Da braucht dann nur ein DPI-Service (wie z.B. snort) mit entsprechenden Regeln auf dem Router zu laufen und man fängt die Übeltäter dann ziemlich fix...

Beitrag melden Antworten / Zitieren
nmw 08.03.2014, 14:21
7. Wir werden wieder lernen müsse, Rechte zu erkämpfen.

Je komplexer die Kommunikation oder das Kommunikationsmittel, um so grösser die Wahrscheinlichkeit, dass etwas Privatspäre "auf der Strecke bleibt". Daran kann auch das Internet, mit oder ohne irgendeiner Verschlüsselung, nichts ändern, erst recht nicht, wenn es sich um ein kommerzialisiertes Internet handelt.
Nur wenn es uns gelingt, den Kommerz im Internet herunterzufahren, haben wir eine Chance, die Privatspäre im Internet wieder etwas hochzufahren.
Das wird aber nicht gelingen, solange wir ein Wirtschaftssystem tolerieren, das Informationen ausbeutet und Menschen zwingt, diese Ausbeutungssysteme (immer mehr) zu benutzen.

Beitrag melden Antworten / Zitieren
phouchg 08.03.2014, 17:37
8. @nmw

"Das wird aber nicht gelingen, solange wir ein Wirtschaftssystem tolerieren, das Informationen ausbeutet und Menschen zwingt, diese Ausbeutungssysteme (immer mehr) zu benutzen."
Es zwingt Sie keiner die Ausbeutungssysteme zu benutzen. Es gibt Alternativen, die allerdings entweder Geld kosten oder aufwändig sind in der Installation und Einarbeitung.
Da gehen dann lieber viele den Weg über Werbung und mit den eigenen Daten zu bezahlen.

Beitrag melden Antworten / Zitieren
hansgustor 09.03.2014, 09:32
9. Ssl

SSL verschlüsselt auch nur die übertragenen Daten und nicht Absender und Empfänger. Ein Blick auf Wikipedia hätte genügt. Die Studie hätte man sich sparen können.

Beitrag melden Antworten / Zitieren
Seite 1 von 2