Forum: Netzwelt
Internetzugang im Flugzeug: Google-Expertin entdeckt gefälschtes SSL-Zertifikat
Gogo

Sicherheitsrisiko über den Wolken: Der Provider Gogo liefert anscheinend mit Absicht gefälschte SSL-Zertifikate aus, wenn Flugpassagiere im Internet surfen. Das US-Unternehmen sieht darin kein Problem.

Seite 1 von 3
sumpremerulerxenu 06.01.2015, 15:05
1. Hpkp

Das noch nicht 100%ig ausgearbeitete, aber dennoch einsetzbare HTTP Public Key Pinning (HPKP - https://tools.ietf.org/html/draft-ietf-websec-key-pinning-21) dürfte hier Abhilfe schaffen, oder sehe ich das falsch? Vorausgesetzt man hat die Seite schonmal besucht, bevor einem ein gefälschtes Zertifikat untergejubelt wird (was bei youtube wohl angenommen werden kann).
Bei meinem eigenen kleinen VPS habe ich es interessehalber implementiert und es funktioniert wunderbar.

Beitrag melden Antworten / Zitieren
Leser161 06.01.2015, 15:14
2. Ahjo

Ach, solange es keiner merkt und man Profit macht und man sich hinterher rausreden kann, kann man es ja machen. Und das ist eh alles viel zu kompliziert für die kleinen Leute. Und ausserdem ist es ja zu deren Bestem. Irgendwie.

Spitzenhaltung. Und keiner tut was dagegen. Erst recht nicht die Politik. Da ist es nämlich genauso.

Und da wundern sich die Politiker, wenn die Bürger irgendwelchen Rattenfängern hinterherlaufen.

Beitrag melden Antworten / Zitieren
zauselfritz 06.01.2015, 15:48
3. Naja

Zumindest die gefälschten Google Zertifikate werden schnell verschwinden - sonst verschwindet gogo im Bauch von Google. Passt sowieso ins Beuteschema des Riesen.

Beitrag melden Antworten / Zitieren
h_harz 06.01.2015, 15:51
4. NSA Schnüffler und andere Schleimer

Wie nett, aber leider nicht unbedingt überraschend.
Seit Snwoden bekommt man zumindest eine Idee, was die da so alles treiben und können, wen wundert es da noch, wenn sie eine Amerikanische Firma augenscheinlich Wettbewerbsvorteile verschafft, indem sie Passagiere ausschnüffelt?
Macht sich doch sicher gut in der Ausschreibung bezüglich Ausstattung von Flugzeugen mit Internetzugang oder?
Wen interessieren noch Privatsphäre oder Begriffe wie Anstand und Moral?
Das unserer Regierung das vollkommen Wurst ist, wissen wir ja, seit Herr Pofalla(?) die Affäre für beendet erklärt hat.
Reiner Machterhalt und immer schön den Amerikanern in den Allerwertesten kriechen.
Daimler stellt alle Angestellten unter generellen Terrorismus Verdacht und keinen stört es.
Jeder surft und mailt einfach unverschlüsselt weiter wie es ihm beliebt.
Im Flugzeug und nicht nur da, auch in vielen Firmen, werden heimlich, still und leise gefälschte oder eigene Zertifikate untergeschoben um den Leuten in die Browser Sessions schauen zu können.
Die übliche Ausrede der sogenannten Security Leute, warum man so was braucht ist, dass man verschlüsselten Content nicht zuverlässig auf Schadprogramme etc. untersuchen kann.
...die es fast ausschließlich für ein bestimmtes Betriebssystem einer bestimmten Firma gibt.
Der normale User kann so etwas nicht nachprüfen, Admininstratoren haben Geheimhaltungsklauseln im Vertrag... alles nur zu unserem besten.
Mir fällt dazu nur noch ein Zitat von Max Liebermann ein:
"Ich kann gar nicht so viel fressen, wie ich kotzen möchte"

Beitrag melden Antworten / Zitieren
ratem 06.01.2015, 16:44
5. Ah Ja ...

Gogo waere die erste amerikanische Firma, die nicht (notgedrungen) luegt, um ihre Zusammenarbeit mitder NSA zu vertuschen. Wennein gefaelschtes SSL Zertifikatausgeliefert wird,
sitzin der Mitte ein Betrueger. Ende der Geschichte. Das sollte jedem, der SSL als Verschluesselung nutzt klar sein. Wer die
Verbindung trotzm nutzt, koenntedies genauso gutgleich in Klartext tun. Die Sicherheit ist jedenfalls dahin.

Beitrag melden Antworten / Zitieren
Bernd9999 06.01.2015, 16:47
6.

Herr Max Liebermann hatte aber auch starke
Verdauungsprobleme wie wir heute wissen:-)
Aber sie haben schon recht.Eigentlich muss man schon Kinder dafür sensibilisieren auf was sie zu achten haben,
damit sie solchen Anbietern nie trauen.

Beitrag melden Antworten / Zitieren
maros 06.01.2015, 16:51
7. Proxy

Die haben wahrscheinlich einfach nur einen Squid Proxy laufen und schieben da auch SSL durch, wodurch es dann zu den Zertifikatsfehlern kommt.

Man-in-the-Middle für SSL Proxys gibt es. SSL Interception geht auch transparent, wenn der Traffic komplett durch den Traffic läuft. Dafür gibt es ein spezielles Kernel Modul, welches 100% NAT macht. Es ist nur schwer zu implementieren, weil auch tief in den Kernel gegriffen wird. Das ist aus meiner Sicht die einzigste Merkwürdigkeit, dass so ein Laden ("...welt weit größter...blah") nicht einen Informatiker hat, der das mal umsetzt.

Dann hätte erst niemand gemerkt, dass SSL zwischendrin kurz entschlüsselt wird und nix wäre hochgekommen.

Beitrag melden Antworten / Zitieren
klausbaerbel 06.01.2015, 17:19
8. Richtiges Zielpublikum

in den Fliegern sitzt exakt das Zielpublikum fuer die NSA-Kunden.

Beitrag melden Antworten / Zitieren
TS_Alien 06.01.2015, 18:13
9.

Ein Zertifikat, das von keiner vertrauenswürdigen Stelle ausgegeben worden ist (so wie hier), sollte kein Mensch akzeptieren. Denn damit ist die Ende-zu-Ende-Sicherheit nicht mehr garantiert. Normalerweise wird man im Browser auf solche unseriösen Zertifikate aufmerksam gemacht.

Beitrag melden Antworten / Zitieren
Seite 1 von 3