Skip to content

TLS-Bingo -- Wer bietet mehr?

Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:

Edas
Fehlermeldung zum Zertifikat von edas.landtag.sachsen.de

Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.

Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige. :-)

Gedanken zur Sicherheit bei Wikipedia

Kürzlich fragte mich Sebastian Wallroth, ob ich nicht eine Folge seines Podcasts Wikistammtisch mit gestalten könne. Natürlich sagte ich zu und so entstand die Folge 14 der Sendung.

Das Thema sollte Sicherheit und Wikipedia sein. In der Sendung konzentrierten wir uns auf die Wikipedianer, die Texte lesen und editieren wollen. Dies sollte allen Menschen auf der Welt möglich sein. Daher war Tor und offene Proxys einer unserer Diskussionspunkte. Weiterhin sprachen wir HTTPS bzw. TLS kurz an. Passwortsicherheit und Mailverschlüsselung waren weitere Punkte, die wir ansprachen. Ich hätte natürlich noch viel länger zu dem Thema erzählen können. :-) Einige Punkte will ich untenstehend kurz erläutern.

Sicherheit in der Wikipedia für Anwender

Die meisten Menschen nutzen die Wikipedia, um Artikel bzw. Lemmata zu lesen. Einige bearbeiten Artikel. Aber es gibt unter den Leuten, die ich als Anwender sehe noch weitere Rollen:

  • Sichter: Diese Leute haben durch ihre Mitarbeit einen Vertrauensstatus gewonnen und deren Änderungen werden automatisch sichtbar. Weiterhin können sie Änderungen anderen anschauen und diese Änderungen als frei von Vandalismus markieren. Dadurch wird die Version auch unangemeldeten Besuchern angezeigt (siehe Gesichtete Artikel).
  • Administrator: aus der Hilfeseite:
    Sie haben die Möglichkeit, Benutzer zu (aktiven) Sichtern zu machen, ihnen diesen Status zu entziehen, Benutzer zu sperren und solche Sperren wieder aufzuheben. Außerdem können sie einzelne Versionen einer Seite löschen, so dass diese nur noch für Administratoren einsehbar sind.

    Das heißt, diese Benutzergruppe hat besondere Rechte. und darf insbesondere auf personenbezogene Daten zugreifen.

  • Bürokrat: Diese dürfen andere Benutzerrollen vergeben. Insbesondere dürfen sie auch Personen zu Administratoren ernennen.
  • Checkuser: Dieser Personenkreis kann sehr tiefgreifende Änderungen vornehmen und diese sollten ihren Zugang entsprechend stark schützen.
  • Daneben gibt es noch weitere Rollen. Diese unterscheiden sich aus meiner Sicht nicht großartig von einem normalen angemeldeten Benutzer.

Nicht angemeldete Anwender

Personen, die die Wikipedia besuchen, ohne sich ein Benutzerkonto angelegt zu haben, haben einige Anforderungen bezüglich der IT-Sicherheit. So wollen sie bei der Eingabe der URL http://de.wikipedia.org/ auch auf der Wikipedia-Seite landen.

Nach der Eingabe der URL macht das System zunächst eine DNS-Abfrage und erhält die IP-Adresse zurück. Diese Antwort kann natürlich gefälscht werden. Hier wäre es sinnvoll, wenn die Anfrage schon in einer gesicherten Form zurückkommt, so dass zumindest Fälschungen erkannt werden. Ich verweise mal auf die 33. Sendung des Datenkanals zu DNSSEC.

Nun versucht der Browser die Wikipedia-Seite zu besuchen. Wie ich beim Wikistammtisch erwähnte, erfolgt der die Eingabe zumeist per HTTP. Die diversen Wikipedia.org-Seiten sind einigen Browsern vorab bekannt und werden sofort per HTTPS geladen. Dies geschieht ohne das jemand eingreifen muss. Sollte ein Browser dieses Vorwissen nicht haben, so sagt der Webserver der Wikipedia, dass der Browser zur HTTPS-Version der Webseite wechseln soll. Die HTTPS-Version ist von einer externen Stelle (Certificate Authority) bestätigt und so wird versucht sicherzustellen, dass sich niemand zwischen die Verbindung mogeln kann. Damit ist nun eine Verbindung zu einer Seite aufgebaut, wo Anwender sicher sein können, dass es sich um die Wikipedia handelt. Ausnahmen hatte ich im Podcast beschrieben.

Wenn sich Personen auf den Seiten der Wikipedia bewegen, wollen sie die Inhalte sehen und weder Werbung noch Schadsoftware erhalten. Hier hat der Serverbetreiber eine Verantwortung sich um die Sicherheit der Server wie auch der Anwendung zu kümmern. Hin und wieder kommt es vor, dass in Server eingebrochen wird, um Schadsoftware zu verteilen. Ähnliches passiert bei Werbenetzwerken. Auch da wird gern versucht, über Werbung Schadsoftware zu verteilen.

Weiter gibt es in den USA die »Expectation of Privacy«, die sich aus dem Vierten Verfassungszusatz ergibt. Auch in Deutschland haben wir ein starkes Datenschutzrecht. Hier wäre es interessant zu wissen, welche personenbezogenen Daten die Wikipedia speichert und natürlich wie lange. Derzeit wird von der Seite ein Cookie gesetzt, der zwei Monate Gültigkeit hat und nur über einen sicheren Kanal (HTTPS) übertragen wird. Weitere Cookies werden nach Beendigung der Browsersitzung gelöscht. Die Foundation hat eine längere Erklärung zu den Cookies. Wenn ein Artikel bearbeitet wird, so verbleibt die IP-Adresse im Logbuch der letzten Änderungen.

Angemeldete Benutzer

Wenn sich jemand entscheidet, ein Benutzerkonto anzulegen, kommen weitere Betrachtungen hinzu. Insondere stellt sich die Frage nach der Sicherheit des Passworts. Für mich ist hier wesentlich, dass das Wikipedia-Passwort verschieden zu anderen sein sollte. Was die Länge und die Gestalt des Passworts betrifft, sollte man sich überlegen, wie wichtig das Konto ist. Denn wenn jemand das Passwort errät, kann diese Person im Namen des andere Bearbeitungen durchführen und am Ende wird das Konto vielleicht gesperrt. Das heißt, der Schaden für normale Benutzer hält sich in Grenzen. Daher würde ich die Anforderungen an das Passwort nicht so hoch ansetzen.

Die Lage ändert sich, wenn jemand CheckuserAdministrator bzw. Bürokrat ist. Diese Rollen habenhat wesentlich mehr Rechte und der potenzielle Schaden ist größer. Daher würde ich erwarten, dass es bei diesen Rollen stärkere Anforderungen an das Passwort bzw. andere Authentifizierungsverfahren gibt.

Im Podcast sprachen wir das Thema Mail an. So bekommt ein angemeldeter Nutzer verschiedentlich Mails. Facebook hat eine Möglichkeit geschaffen, einen OpenPGP-Schlüssel in seinem Profil zu hinterlegen. Alle Mails von Facebook kommen dann automatisch verschlüsselt und signiert an. Dadurch ist es unter anderem recht einfach Spam von echten Facebook-Mails zu unterscheiden. Es wäre wundervoll, wenn Wikipedia auch diese Möglichkeit bieten würde.

Sicherheit in der Wikipedia für andere

Wie ihr seht, sind die obigen Betrachtungen schon recht lang geworden. Aber innerhalb des Wikipedia-Universums gibt es noch andere Personengruppen. So betreiben Administratoren die Server. Das heißt, sie pflegen die Hard- wie auch die Software. Welche Anforderungen müssen diese Personen erfüllen? Auch gibt es einen Personenkreis, der die Software programmiert. Hier kann man sich ebenfalls Gedanken zu den Anforderungen bezüglich der Sicherheit machen. Doch beides wird sehr lang und viel. Daher lagere ich das mal auf einen eventuellen zukünftigen Artikel aus.

Wunsch für die Zukunft

Im Rahmen meiner Überlegungen zur Sicherheit in und um die Wikipedia fiel mir noch ein großer Wunsch ein:

Es wäre phantastisch, wenn die Wikipedia als Tor Onion Service zur Verfügung stehen würde. Dies macht es gerade Leuten in zensierten Ländern viel einfacher, die Seiten zu erreichen. Die Webseite ist von einem Ende zum nächsten verschlüsselt und es macht es Angreifern viel schwerer, die Verbindung aufzubrechen. Unter anderem macht es Facebook mit der Seite https://facebookcorewwwi.onion/ vor. Aber auch DuckDuckGo (http://3g2upl4pq6kufc4m.onion/) sowie Debian und Tor selbst betreiben viele Seiten im Tor-Netz. Daher wäre Wikipedia ein wundervolles Beispiel für einen weiteren Tor Onion Service, der vermutlich vielen Menschen großen Nutzen bringt.

Update: In der Diskussion wies mich Raymond darauf hin, dass Administratoren doch nicht die großen Rechte haben, die ich vermutete. Diese sind erst bei Checkusern gegeben. Daraufhin habe ich den Artikel angepasst.

Karte aller Videoüberwachungsstationen

Netzpolitik schreibt über ein Projekt, dass eine Weltkarte der Videoüberwachung erstellen will. Das Projekt mit dem Namen »Surveillance under Surveillance« nutzt die Karte von OpenStreetMap.

Ich habe vor vielen Jahren für die Kartierung der Kameras in Jena noch GMaps verwendet. Damals habe ich versucht, mit Farbcodes zu arbeiten. Bei dem jetzigen Projekt kann man die Art der Kameras und den Öffnungswinkel einstellen. Damit gibt es einen guten Überblick über den Zustand der Überwachungskameras. Wenn viele mitmachen, ergibt sich wirklich eine Weltkarte.

Für mich ist das eine gute Gelegenheit im Rahmen unserer Junghackingtage mit den Kindern eine Kamerasafari zu machen und die Daten zu Jena zu aktualisieren.

Firefox verbessert den Schutz der Privatsphäre

Als das Tor-Projekt den Tor-Browser entwarf, machten sie sich viele Gedanken zum Schutz der Privatsphäre. Sie versuchten jegliche Gefahren zu identifizieren und diese zu umschiffen. Daraus entstand das Design zum Tor-Browser. Seitdem versuchen die Entwickler, die Schwachstellen in Bezug auf die Privatsphäre im Mozilla Firefox im Griff zu behalten. Neben dem Tor-Button kommen viele individuelle Patches zum Einsatz. Die meisten davon wurden bisher von Mozilla nicht in den Firefox eingepflegt. Doch dies ändert sich jetzt.

Seit Anfang Mai gibt es im Wiki von Mozilla eine Seite, die sich Tor Uplift nennt. Mozilla fängt nämlich nun doch an, Patches vom Tor-Projekt in den Firefox wieder einzubauen. Auf der Wikiseite wird der Fortschritt festgehalten. Bisher kamen 26 Änderungen weiter und an sechs wird gerade aktiv gearbeitet. Sören Hentzschel beschreibt in seinem Blogbeitrag, welche neuen Optionen es im Firefox gibt und wie diese aktiviert werden können.

Insgesamt ist das ein guter Schritt der Entwickler, den Schutz der Privatsphäre im Firefox weiter zu erhöhen. Wie Sören in seinem Beitrag schreibt, engagiert sich Mozilla auch weiterhin stark im Tor-Projekt. Weiter so! :-)

Vorstellung des Tätigkeitsberichts des Datenschutzbeauftragten

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, stellte heute seinen Tätigkeitsbericht für 2014 und 2015 vor. Ich war zu der Veranstaltung mit eingeladen und will die Veranstaltung aus meiner Sicht zusammenfassen.

Derzeit arbeiten im TLfDI 20 Personen und zwei, die von anderen Ämtern abgeordnet wurden. Bei den beiden handelt es sich um einen Lehrer und eine Polizistin. Herr Dr. Hasse ist Vorsitzender des Arbeitskreises Datenschutz und Bildung der Datenschutzbeauftragten. In diesem Rahmen hilft der abgeordnete Lehrer. Insbesondere das Thema Medienkompetenz liegt dem TLfDi am Herzen. Auch die Hauptkommisarin ist in die tägliche Arbeit der Behörde eingebunden. Somit gewinnt sie einen Einblick und kann das später in der Polizei den dortigen Kollegen weitergeben.

Der Tätigkeitsbericht ist über die Jahre immer weiter gewachsen. Als Herr Hasse in das Amt gewählt wurde, gab es lediglich einen fingerdicken Bericht. Die heutige Ausgabe kam in zwei Bänden mit über 1300 Seiten Umfang. Die Bücher sind in den Bericht zum nicht-öffentlichen Bereich (private Firmen, Vereine etc.) und zum öffentlichen Bereich (Behörden, Gemeinden etc.) getrennt.

Im nicht-öffentlichen Bereich hat das TLfDI die Möglichkeit, Beanstandungen und Bußgelder auszusprechen. Davon machte die Behörde reichlich Gebrauch. Die Zahl der Beanstandungen verdreifachte sich im Vergleich zum vorigen Zeitraum und aus ursprünglich weniger als 500 € Bußgeldern wurden im neuen Zeitraum 5.300 € Bußgeld. Aufgrund der hohen Arbeitsbelastung fanden weniger Kontrollen bei Firmen statt.

Insgesamt versucht das TLfDI einen Blick auf zukünftige Gefährdungen zu haben. So spielten in der Veranstaltung SmartTV, Spielzeugpuppen mit eingebautem Mikrofon und WLAN wie auch Datenschutz in (selbstfahrenden) Autos eine Rolle. Die Datenschützer sind an diesen Themen dran und versuchen sich dazu eine Meinung zu verschaffen.

Wie schon im letzten Bericht spielt die Videoüberwachung in verschiedener Form eine große Rolle. Der aktuelle Bericht enthält mindestens 84 Fälle zur Videoüberwachung. Auch in Zukunft wird der Bereich eine große Rolle spielen. Nach einem Urteil des europäischen Gerichtshofs fallen wohl nahezu alle Kameras (auch privat betriebene) unter das Bundesdatenschutzgesetz. Damit sind diese beim TLfDI zu melden. Die Behörde versucht, ein Register einzurichten und dann sollen Kamerabetreiber deren Kameras dorthin melden. Weiterhin sind Dashcams (Kameras in Autos), Helmkameras und Kameradrohnen im Blick. Auch hier könnte es zu einer Registrierungspflicht kommen.

Weiterhin kam das Aktenlager in Immelborn zur Sprache. Dort wurde ein Berg von zum Teil sensiblen Akten in einer Fabrikhalle gefunden. Der ursprüngliche Betreiber des Lagers war nicht mehr aufzufinden und eigentlich hätten die Akten an die Besitzer zurückgehen müssen. Herr Hasse bat damals die Polizei um Amtshilfe, die aber nicht gewährt wurde. Das TLfDI klagte daraufhin. Später fand sich dann doch eine Firma, die die Räumung des Lagers übernahm. Der ganze Vorfall wird mittlerweile von einem Untersuchungsausschuss im Landtag betrachtet. Herr Hasse erzählte heute, dass im Rahmen des Ausschusses festgestellt wurde, dass der Polizeipräsident in der Tat Unterstützung leisten wollte. Das Amt hatte 10 Leute für ca. zehn Tage beantragt. Das Innenministerium fragte jedoch bei der Polizei 100 Leute für einen Monat an. Ein Schelm, wer Böses denkt. Dennoch war die Polizei zur Unterstützung bereit. Aber das Innenministerium pfiff die Polizei dann wohl zurück.

Im Bereich Gesundheit wurde auf ein Forum verwiesen, an das sich Krankenhäuser wenden können. Die Idee ist, dass ein Krankenhaus eine Datenschutzfrage stellen kann. Diese ist anonymisiert und das TLfDI beantwortet diese, ohne auf das Haus schließen zu können. Das Angebot wird gut angenommen und hat viele Abrufe.

Daneben erzählte Herr Dr. Hasse noch die Geschichte von Krankenakten, die an seine Heimadresse geschickt wurden. Als er den Brief öffnete, waren Krankenakten enthalten. Einen Tag später gab es eine weitere »Lieferung«. Daraufhin wandten sie sich an das betreffende Krankenhaus. Dort gab es eine Mitarbeiterin, die nach dem Namen eines Arztes im Internet suchte und auf die Adresse des Datenschützers stieß. Sie schickte die Akten dann ohne weitere Prüfung an den Datenschützer. :-)

Im öffentlichen Bereich scheinen öffentliche Sitzungen von Stadt- und Gemeinderäten ein Dauerbrenner zu sein. Dort werden immer wieder personenbezogene Daten genannt, obwohl diese in nicht-öffentlicher Sitzung diskutiert werden sollen.

Insgesamt war dies eine sehr interessante und aufschlussreiche Veranstaltung. Ich habe jetzt Lesestoff für die nächste Zeit in der Hand. ;-)

Wer steckt fremde USB-Sticks in den eigenen Rechner?

Wer einen Vortrag über IT-Sicherheit oder Social Engineering besucht, wird zwangsläufig die Geschichte von den USB-Sticks zu hören bekommen. Demnach hat der Vortragende oder eine andere Person in einem Unternehmen USB-Sticks platziert und kurze Zeit später wurden diese an die Arbeitsplatzrechner gesteckt, obwohl dies strengstens verboten ist. Doch ist an der Geschichte wirklich etwas dran? Forscher verschiedener Universitäten veröffentlichten eine Studie, die dem Phänomen auf den Grund geht.

Dazu präparierten sie USB-Sticks und verteilten sie auf dem Campus der University of Illinois at Urbana-Champaign. Die Sticks waren unterschiedlich gestaltet. Das rangierte von neutral bis zu beschrifteten Sticks oder solchen, die an einem Schlüsselbund hingen. In der Studie finden sich Beispielbilder. Auf den Sticks befanden sich HTML-Dateien, die einen img-Tag zur Anzeige von Bilder beinhalteten. Dieses Bild wurde von einem Server geladen, den die Forscher kontrollierten. So sahen sie, wenn jemand den Stick einsteckte.

Insgesamt verschwanden fast alle der abgelegten USB-Sticks (290 von 297 Stück). Knapp die Hälfte wurde von den Findern geöffnet. Dabei zeigte sich, dass nur die Geräte, bei denen eine Adresse vermerkt war, weniger geöffnet wurde. Bei allen anderen Markierungen wurden jeweils so um die Hälfte in den eigenen Rechner gesteckt und geöffnet. Welche Dateien interessierten die Finder besonders? Je nach Stick trugen die Dateien unterschiedliche Namen. Besonders häufig wurde der Bilderordner mit Bildern des »Winter Break« geöffnet. Aber auch Prüfungen und Lebensläufe fanden die Finder interessant.

Ein weiterer interessanter Nebeneffekt der Studie fand im Web statt. Die Forscher überwachten verschiedene Seiten und wollten sehen, ob die USB-Sticks dort erwähnt wurden. Ein Student postete ein Bild seines Fundes auf Facebook, andere posteten dies bei der Sub-Reddit-Seite der Uni. Dort entspann sich eine Diskussion und die Diskutanten warnten sich, die Sticks in den Rechner zu stecken.

Insgesamt ist die Studie sehr interessant. Sie bestätigt genau die oben angeführte Geschichte, dass Sticks gern mitgenommen und in den Rechner gesteckt werden. Die Angreifer haben hier ein nahezu leichtes Spiel.

Doch wie könnt ihr euch schützen, dass euer Stick verloren geht und in einen fremden Rechner gesteckt wird? Die Erkenntnisse der Studie legen nahe, dass der Stick an einem Schlüsselbund sein sollte und mit einem Namen sowie Adresse beschriftet sein sollte. In diesen Fällen wurden die Sticks äußerst selten an den Rechner gesteckt und auch häufig zurück gegeben. Viel besser ist natürlich die Sticks zu verschlüsseln und ein Backup der Daten zu haben.

cronjob