Netzwerksicherheit auf der re:publica

Ich möchte mich noch mal nachträglich zu der Thematik der Netzwerksicherheit und der Geschichte der „mitgeschnittenen Passwörter“ auf der re:publica äußern, die bislang ein wenig out of context reflektiert wurde. Das Thema wurde ja im Nachgang – zu recht – heiß diskutiert.

Auf der re:publica wurde von den Veranstaltern ein freies WLAN mit Internetzugang angeboten. Dieses war offen zugänglich und wurde auch von vielen genutzt. Nun ist es so, dass in einem WLAN alle Teilnehmer gleichzeitig auf dem Netzwerk senden und empfangen können. Und das bedeutet wiederum auch, dass alle Teilnehmer auf dem Netzwerk empfangen können, was andere senden. Ist das Gesendete unverschlüsselt ist auch das Empfangene unverschlüsselt. Mit einfachen Worten: jeder kann den Datenverkehr von jedem anderen vollständig mitlesen ohne einen besonderen technischen Aufwand zu treiben. Und das ist auch nichts neues. weiß bloss nicht jeder.

Auf der re:publica habe ich dann einfach mal zum Testen das Programm dsniff angeworfen, was einem die Datenpakete schön zusammensetzt, nach Protokollen mit unverschlüsselter Authentisierung fahndet und diese Login-Informationen dann herausschneidet und isoliert auf dem Bildschirm anzeigt. Dieses Programm ist keine Rocket Science. Und es ist auch kein böses Hacker-Tool, sondern ein Werkzeug für Sicherheitsexperten, um Schwachstellen zu entdecken. Und das Tool ist auch nicht neu, sondern exisitiert bereits seit über 7 Jahren.

Auf meinem Bildschirm war schön was los. Reihenweise scrollten HTTP-Cookies (von „gemerkten“ Anmeldungen via HTTP), POP3– und FTP-Passwörter und noch so einige andere Dinge durch. Ich habe diese Daten nicht mitgeloggt oder sonstwie gespeichert. Aber ganz artig war ich nicht: in zwei Fällen habe ich mir den Spass erlaubt, den Teilnehmern unter ihrer eigenen Mailadresse eine Sicherheitswarnung zu schicken, in einem anderen Fall habe ich kurz mal geschaut, welche Möglichkeiten mir der FTP-Zugang gegeben hätte (Zugang zu mindestens drei Installationen bekannterer TOP-XXX Blogs in Deutschland). Auch hier habe ich die Kennwörter nur für kurze Zeit via Copy und Paste verwendet und auch mein Browser hat sich nix gemerkt. Das hat mir dann auch gereicht und meine Experimentierphase war damit abgeschlossen.

Solche Dinge will man auch nicht wissen. Und schließlich war das auch nichts Aufregendes: auf nahezu jeder Konferenz sieht es heutzutage ähnlich aus. Einen Unterschied mögen vielleicht CCC-Veranstaltungen machen, wo die Vorsicht der Teilnehmer durch jahrelange öffentliche Besniffung etwas besser trainiert ist: beim Chaos Communication Congress liefen schon vor Jahren die Sniffer auf Beamern (allerdings mit leicht gekürzten Kennwörtern). Aber auch auf einem Congress wird man unter Garantie noch was aus dem Netz ziehen können, machen wir uns nichts vor. Ich wurde auch schon selbst Opfer solcher „Untersuchungen“ und habe meine Lektion gelernt. Hoffe ich zumindest. Wie mein verpeiltes Backup jüngst gezeigt hat schützt auch Erfahrung manchmal wenig. Shit happens. And then you die.

Wobei wir bei einem Kritikpunkt sind, der noch vor Ort diskutiert wurde: beim Datenschutz-Workshop wurde ein dsniff-Output live auf den Beamer geworfen. Die Kennwörter scrollten also schön sichtbar für alle über die Wand (allerdings gab es in den Raum keine Videoaufzeichnung und soweit ich das beurteilen konnte filmte auch sonst niemand mit). Dies sorgte für Aufregung, weil das ja „unverantwortlich“ sei. Nun, darüber kann man natürlich geteilter Meinung sein, aber es ist auch klar: jeder Laptop-Besitzer hätte sich diese Liste jederzeit selbst genererieren können und es ist durchaus vorstellbar, dass irgendein Schwarzhut auch einfach die ganze Zeit alle Kennwörter mitgeloggt hat, um sie danach zum Einsatz zu bringen. Ich habe davon keine Kenntnis, aber man kann es eben auch nicht ausschliessen. Jetzt sich über die Leute aufzuregen, die die schlechte Botschaft überbracht haben, ist Augenwischerei. Letztlich wurde durch die Aktion mit dem Beamer (und wohl auch durch meinen kurzen Kommentar zu Beginn einer Veranstaltung, der dann später im Spreeblick-Heft abgedruckt wurde), das Nachdenken bei den Webworkern erst eingeleitet.

Ich habe extrem viele Leute gesprochen, für die das alles immer noch Neuland war und nicht auch nur geahnt haben, dass das so einfach ist und sie tagelang der Öffentlichkeit die Kennwörter für ihre wichtige und private Infrastruktur mitgeteilt haben. Die waren eigentlich sehr froh, dass das Thema auf den Tisch gebracht wurde und gelobten in der Regel, mindestens ihre Kennwörter zu ändern wenn nicht sogar ihre gesamte Sicherheitsstruktur zu überdenken.

Hier schlummert dann im übrigen das eigentliche Problem: viele ISPs und Hoster bieten sichere Infrastruktur überhaupt nicht an. Dateizugriff via SFTP? Pustekuchen. POP3S für verschlüsselten E-Mail-Abruf? Na wo kommen wir denn dahin? Zusätzliche IP-Adressen für SSL/TLS-Zugang zu Blog-Adminbereichen und Benutzerzugängen? Das wird teuer! Mit Sicherheit scheint derzeit noch kein Markt gemacht werden zu können. Es wird Zeit, dass die Kunden dies hinterfragen!

Wenig Verständnis habe ich allerdings für diverse Startups und Webzwonull-Dienste, die irgendwie immer noch nicht eingesehen haben, dass Verschlüsselung der Kundenzugänge auch in ihrem Interesse ist. Weder z.B. Technorati, Twitter und auch Wikipedia (und diese Liste ist sehr, sehr lang) sehen offensichtlich wenig Sinn darin, die digitalen Identitäten ihrer Benutzer zu schützen und scheuen die notwendigen Mehrausgaben und den technischen Zusatzaufwand. Dabei gibt es auch Gegenbeispiele wie z.B. XING, die den kompletten Zugriff mit HTTPS absichern. Es geht also. Warum nicht alle?

Ich denke, ich werde auf dem nächsten Webworker-Meeting (meine Empfehlung: 9to5 von der ZIA im August) mal einen kleinen Vortrag zu diesem Thema vorbereiten. Es gibt wohl Bedarf :)

18 Gedanken zu „Netzwerksicherheit auf der re:publica

  1. Pingback: rabenhorst

  2. der bote wird gelyncht. war schon immer so. // ich glaube, ich währe nicht so „stark“ wie du gewesen. wenn man schon zugang zu einigen blogs hat, dann mh,, ich weiss nicht, so n netter freundlicher post, der kann doch nie schaden. *

  3. Pingback: flows weblog » Blog Archiv » Sicherheit in Funknetzen

  4. Pingback: Pottblog

  5. Zuerst sehe ich den Veranstalter in der Verantwortung. Es wäre ein leichtes gewesen jedem Teilnehmer einen Preshared WPA Key auszuhändigen und den Account auf einem Radiusserver zu authentifizieren. Im Wiki der Veranstalter war mit keinem Sterbenswörtchen zu lesen, daß die Übertragungen generell unischer sind; leider fehlte auch jede Anleitung wie es besser zu machen sei. Man läd niemand als Gast zum Essen ein, um nachher mitzuteilen, daß der Fisch sowieso abgelaufen war. Ein Wunder, wenn die Leute aus allen Wolken fallen?

    Weiter: die Weiterleitung von Passwörtern mittels Beamer ist hart an der rechtlichen Grenze. Es ist immer easy ein potentiell unsicheres Netz aufzusetzen und anschließend die eigenen Sicherheitslücken auszunutzen. Sollte der Veranstalter bei der Beameraktion seine Finger drin gehabt haben, hat das ebenfalls sein „Geschmäckle“. Bezeichnend weiter, daß der Urheber dieser Sniffaktion sich nur für die nichterfolgte Kürzung entschuldigt hat (im Organisationswiki), für das mulmige Gefühl der Anwesenden hat er keine Antennen.

    Finally you: der Blogeintrag belegt, daß Sie die Passwörter nicht nur nicht gespeichert sondern auch genutzt haben, um Mailfächer anderer Teilnehmer zu verwenden? Als Kenner der rechtlichen Bestimmungen zum Datenschutz ist Ihnen klar, daß mit der aktiven Nutzung der Passwörter die Sache etwas für die Staatsanwaltschaft ist?

    Aber mein Hauptinteresse gilt dem Verständnis der Leute, welche „Stasi 2.0“ Schablonen im Blog bewerben sich selbst aber aktiv Daten verschaffen und diese auch nutzen.

  6. Aber ganz artig war ich nicht: in zwei Fällen habe ich mir den Spass erlaubt, den Teilnehmern unter ihrer eigenen Mailadresse eine Sicherheitswarnung zu schicken, in einem anderen Fall habe ich kurz mal geschaut, welche Möglichkeiten mir der FTP-Zugang gegeben hätte (Zugang zu mindestens drei Installationen bekannterer TOP-XXX Blogs in Deutschland).

    Ich staune welche Unterschiede bei der Eigenwahrnehmung Ihrer Aktionen bestehen. „Unartigkeit“ für die digitale Enzsprechung von Hausfriedensbruch. Das Tool ist seit Jahren bekannt, technische Neuerungen waren bei dem Lauschangriff nicht zu erwarten, die Passwörter waren erwartungsgemäß einfach zu beschaffen, warum also sniffen, wenn es dabei nicht um Macht geht?

  7. @el_loco:
    Du weißt aber schon, dass man genau gar kein Passwort braucht, um einen falschen Namen in eine Mail zu schreiben? Und der Sinn eines offenen WLAN ist eben genau, dass man sich nirgends anmelden muss. Und wer heute noch meint, WLAN ohne Crypto wäre sicher, der hat es einfach nicht besser verdient. Das erinnert mich an die hirnverbrannten Warnhinweise auf US-Verpackungen („Katze nicht in der Mikrowelle trocknen“).

  8. Hallo Tobias,

    möglich daß ein offener Mailrelay verwendet wurde – es liest sich im Kontext mit den FTP Zugängen aber nicht so.
    Abgesehen davon, daß ich bei solchen Leuten nicht so viel Essen könnte, wie ich kotzen müsste.

  9. @el_loco: Alle Teilnehmer im Vorfeld zu registrieren ist im übrigen weder wünschenswert noch irgendwie realistisch. Das Netz wurde ohne Garantien „as is“ bereitgestellt und wenn jemand glaubt, daraus irgendwelche Ansprüche oder Sicherheiten abzuleiten ist er auf dem Holzweg.

    Selbst mit Extra-Krypto wäre immer noch kein Problem gelöst, denn die Daten werden ja auch über das WLAN hinaus übertragen. Auf jedem Host, an dem die Daten entlanggehen – und das sind viele – sind sie von jedem Betreiber auslesbar.

    Dein Kommentar ist ein schönes Beispiel dafür, wie Verschlüsselung missverstanden wird. Entweder man sichert seine Daten selbst, oder sie liegen offen. Ganz einfach.

    Im übrigen ist mir die „Macht“ über anderer Leute Infrastruktur egal. Hätte ich hier Interessen, hätte ich es sicherlich nicht auf der Konferenz thematisiert oder später darüber gebloggt. Ich bin für solche Machtspielchen auch einfach schon etwas zu alt.

    Den Überbringer der schlechten Nachrichten anzugehen mag ja verlockend sein. Zielführend ist es nicht. Da kannst Du noch so viel kotzen.

  10. Das zeigt doch nur eines: Computer und Menschen passen nicht zueinander.

    Noch nicht. Wir ITler sind daran schuld, weil wir für den DAU keine passende Software herstellen können.

    Egal ob Apple, M$ oder *nix. Frust erzeugen sie alle und sicher (im Bezug auf Identitätsschutz der User) ist keines per Default. Eigentlich ein Desaster.

    Was bleibt? Man müsste Defaults auf die sichereren Varianten ändern. Also POPS, stat POP. Wer muss das ändern? Wir, die ITler. Der User hat doch eh keinen Plan.

    @el_loco: Du hast Internet wohl noch nicht verstanden. Es ist immer eine Punkt-zu-Punkt-Kommunikation. Von daher brauchst du nur https vor die URLs setzen und auf der anderen Seite einen Server der damit was anfangen kann.

    Damit kannst du weitgehend sicher gehen, deinen Teil für DatenSicherheit getan zu haben, egal wie unsicher das Netz ist. Der Nutzer ist in der Verantwortung. Wenn er zu blöd ist, ist er selbst schuld.

    Und wen der DAU sich einen PC kauft und dort keine Datensicherheitshinweis beiliegt, wer hat da Schuld? User, Verkäufer oder gar der Staat mit unterlassener Bildung?

    Wohl ersteres: Jeder ist seines eigenen Glückes Schmied!

  11. Man kann doch nicht die armen Blogger so schocken.
    Also wirklich. Ich glaube da braucht man auch keine Killerspiele mehr, wenn man so gemein mit seinem Umfeld umgehen kann.
    hehe

  12. Pingback: nur Bahnhof » links for 2007-05-01

  13. Pingback: Nahrungsplus » Blog Archive » Re: Wie ist das mit Essen und so? NACHTRAG - (T)Raumschiff unter Piratenflagge

  14. Pingback: Technight » 10 × Mac OS X «Leopard»-Sicherheit für Anfänger

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.