Comments on: BGH: (weitere) Überwachung eines DSL-Anschlusses unverhältnismäßig – weil unnütz

By: GxS

GxS — Thu, 10 Mar 2011 21:03:47 +0000

Wo kann man hier Dreckfühler, äh Druckfehler korrigieren?

By: Ano Nym

Ano Nym — Thu, 10 Mar 2011 20:14:04 +0000

Bei SNI ( http://de.wikipedia.org/wiki/Server_Name_Indication ) wird da der virtuelle Hostname nicht auch im Klartext übertragen?

By: Michael M.

Michael M. — Thu, 10 Mar 2011 18:48:08 +0000

@Andreas Krey:
Für Firefox gibt es immerhin einige schöne Add-Ons, z.B.:
https://addons.mozilla.org/de/firefox/addon/certificate-patrol/

Interessant klingt auch:
https://www.networknotary.org/
Dabei gleicht man quasi das bekommene Zertifikat mit dem ab, was andere Rechner auf der Welt bekommen.

By: GxS

GxS — Thu, 10 Mar 2011 18:27:30 +0000

Bei der VDS gehts un die Bewegungsprofile und der Speicherung des sozialen Umfelds, dass den Geheimdiensten offengelegt werden soll.
So lassen sich alle Teilnehmer einer Demo (z.B. gegen S21) durch eine einzige Abfrage feststellen und speichern. Die Konsequenzen betreffen dann die Menschen, die z.B. noch vom Staat eingestellt werden wollen, oder eine Sicherheitsüberprüfung brauchen, weil sie in sicherheitsrelevanten Bereichen arbeiten…

By: Markus Hansen

Markus Hansen — Thu, 10 Mar 2011 11:10:28 +0000

Das bei SSL nur die IP-Adresse gesehen werden kann, stimmt zwar, aber im Fall einer DLS-Vollausleitung, um dies es anscheinend ging, hat man auch Zugriff auf den weiteren Traffic, insbesondere auch zeitlich korrellierende DNS-Abfragen. Bei Shared SSL Certs kann man sich auch das Zertifikat ansehen und schauen, welche Hostnamen drin stehen. Insbesondere DNS ist für die Vertrauklichkeit von Verbindungen oft ein Knackpunkt. Dies betrifft bei schlechter Konfiguration ggf. auch Anonymisierungsdienst und VPN.

Ein Lösungsansatz mit vorhandener Technik wird zum Beispiel in https://www.privacyfoundation.de/wiki/SSL-DNS diskutiert.

Etwas besorgniserregend im Urteil finde ich die Ausführung, dass die häufige Verwendung eines Verschlüsselungsprogramms bedeute, dass man sich damit in konspirativer Weise im Internet bewege. Da fand ich http://www.heise.de/newsticker/meldung/BGH-Verschluesselung-von-E-Mails-begruendet-keinen-dringenden-Tatverdacht-191088.html besser.

By: Andreas Krey

Andreas Krey — Thu, 10 Mar 2011 09:31:09 +0000

Apropos Webwasher: Der Man-in-the-middle funktioniert zwar nicht, wenn man ‘nur’ die Ressourcen von Siemens hat. Für einen Geheimdienst sollte es aber nicht allzuschwer sein, sich die Schlüssel für irgendeines der hunderten von Rootzertifikaten, die in den Browsern per Default installiert sind, zu beschaffen. Und dagegen hat auch der wiefe Admin keine Möglichkeit mehr. (Im übrigen wird das in Firmen gelegentlich umgekehrt gemacht: Der Browser bekommt ein Zertifikat der Firma, und der gesamte SSL-Verkehr wird aufgemacht und gegen die Blacklist und sonstiges Zeug getestet wie normales HTTP.

Das SSL-Sicherheitsmodell ist ein wenig schwach, ich wüßte nicht, daß Browser derzeit warnen, wenn sich Site-Zertifikate ändern und insbesondere dabei plötzlich eine andere Zertifizierungsstelle benutzen.

By: Torsten

Torsten — Thu, 10 Mar 2011 09:00:10 +0000

Andreas Krey: Danke.

By: Andreas Krey

Andreas Krey — Thu, 10 Mar 2011 06:53:01 +0000

@Torsten: Nur die IP-Adresse. Je nach Server ist unter der IP-Adresse aber entweder nur ein oder aber mehrere Hostnamen gehostet; in ersterem Fall gibt es eine 1:1-Zuordnung, die man aber auch erstmal erraten muß, wenn für die IP-Adresse nicht der entsprechende Reverse-Lookup eingerichtet ist. Im anderen Fall (‘shared ssl certs’) ist man der Dumme und müßte den Serverbetreiber um dessen Logs angehen.

By: Torsten

Torsten — Wed, 09 Mar 2011 21:08:40 +0000

Technische Frage: Kann bei SSL-verschlüsselten Verbindungen der Domainname der übertragenen Seite festgestellt werden oder nur die IP-Adresse?

BTW: Mit “Webwasher” hatte Siemens auch schon Mal die Technik im Angebot über untergeschobene SSL-Zertifikate man-in-the-middle-Attacken durchzuführen. Das klappt aber nicht, wenn der Nutzer und der Admin keine groben Fehler machen.

By: @vieuxrenard

@vieuxrenard — Wed, 09 Mar 2011 21:03:48 +0000

@bk

nanana … für Keylogger gibt’s bisher keine Rechtsgrundlage, jedenfalls nicht bei Vorwürfen nach §§ 129a, 129b StGB – also würde doch die GBA sowas niemals einsetzen, wo denken Sie hin!