Donnerstag, 19. Januar 2017

TLS (3)


Dies ist der dritte Text in meiner Serie von Texten zum Thema Sicherheit eines Servers, der von der Stadt Wiesbaden betrieben wird. Es handelt sich um den PIWi-Server, den Stand der Absicherung dieses Servers habe ich hier dargestellt: TLS. Im darauf folgenden Text habe ich einige mögliche Formen des Missbrauchs eines kompromittierten Servers beschrieben: TLS (2).

Auch in diesem Text werde ich weiterhin nicht zeigen, wie man sich in diesen Server reinhacken kann, sondern eine weitere Möglichkeit des Missbrauchs eines solchen gehackten Servers aufzeigen. Und ich möchte mit einem historischen Beispiel beginnen.


0.75 US-$

Üblicherweise hört man, daß es die Russen waren. Nein, das stimmte nicht, das waren Hacker aus Deutschland, von denen allerdings einer Kontakte zum russischen KGB hatte. So hörte sich das dann im Jahre 1989 in der Tagesschau an:


Hier kann man die damalige Geschichte nachlesen:

Wikipedia hat auch einen Artikel über diesen Vorfall: KGB-Hack. Die Geschichte in Hannover wurde auch verfilmt, hier finden Sie den Trailer zu diesem Film: 23 - NICHTS IST SO WIE ES SCHEINT Trailer, zum Film gibt es auch einen Text in der Wikipedia: 23 – Nichts ist so wie es scheint.

Aufgefallen sind diese Hacker, weil in einem Buchhaltungssystem in Berkeley (Kalifornien/USA) ein Fehlbetrag von 0.75 US-$ (damals etwa 2,25 DM) auftrat. Diesen Fehlbetrag sollte ein Administrator abzeichnen, bei der Höhe des Betrags sollte dies kein Problem sein. Aber dieser Administrator, ein gewisser Clifford Stoll, weigerte sich und stellte eigene Nachforschungen an. Monate später und mit der Hilfe mehrerer Kollegen, diverser Fremdfirmen, dem FBI, der Polizei in Deutschland und der Deutschen Bundespost landete man bei einer Gruppe von 3 Hackern in Hannover; der Rest ist Geschichte.

Diese Geschichte, beginnend mit dem Fehlbetrag und endend in Hannover, wurde verfilmt. Diesen Film finden Sie hier:




Computer-Hack

Die Hacker haben sich von Hannover aus in einen Computer der Uni eingewählt, das war legal. Und da kein Computer eine Insel ist, haben sie auf diesem Computer nach Verbindungen zu anderen Computern gesucht. Solche Verbindungen haben sie gefunden und unter Ausnutzung eines Fehler in einer installierten Software haben sie sich in diesen entfernten Computer eingewählt. Und dort begann das Spiel erneut, immer auf der Suche nach interessanten Daten und Datenbanken. Irgednwann landeten sie dann auf einem Rechner in der Ostküste der USA und von dort aus, über Zwischenschritte auf dem Computer der Universität von Kalifornien in Berkeley. Da dieser Computer seine Rechenleistung an andere Instituionen vermietete, hatte er Software, die die Rechenzeit mitschrieb und einem Konto in der Buchhaltung zuordnete. Und für einen Betrag von 0.75 US-$ fehlte diese Zuordnung.

Aber das alles ist Geschichte, zurück zum PIWi-Computer hier in Wiesbaden.


Kein Computer ist eine Insel

Ende der 80er Jahre gab es bereits Vernetzung der Computer, wie das obige Beispiel zeigt. Heutzutage gibt es kaum einen Computer, der nicht über Internet oder ein internes Netz mit anderen Computern verbunden ist. Das macht die Sache interessant für Hacker; in einen Computer eindringen und sich von dort weiterhangeln zu anderen Computern, immer auf der Suche nach interessanten Daten. Wie sieht das bei PIWi aus?

Der Computer, auf dem die Software PIWi läuft, hat innerhalb des Internets die Adresse 141.90.9.69 (= IP-Adresse). Diese Adresse gehört zur Hessische Zentrale für Datenverarbeitung - HZD1):

Die HZD ist der zentrale IT-Dienstleister für die Hessische Landesverwaltung und führt somit viele Dienstleistungen im IT-Bereich für die hessische Landesregierung, aber auch für mehrere Kommunen (z.B. die Stadt Wiesbaden), aus. Und deshalb könnte es für einen Hacker interessant sein, in die dortigen Computer einzudringen und Daten abzugreifen. Der PIWi-Server könnte als Einstieg dienen und von dort aus kommt man möglicherweise weiter in andere Computer, über die Aufgaben für Kommunen oder die hessische Landesregierung ausgeführt werden.


BSI

Das Bundesamt für Sicherheit in der Informationstechnik - BSI1) ist eine Behörde der Bundesregierung, der die Zuständigkeit für die Sicherheit der IT-Systeme übertragen wurde. Ihre Aufgabe beschreibt das Amt so:
Wer sind unsere Kunden?

Mit unserem Angebot wenden wir uns an die Nutzer und Hersteller von Informationstechnik. Das sind heute in erster Linie öffentliche Verwaltungen in Bund, Ländern und Kommunen, aber auch Unternehmen und Privatanwender.

Quelle: Unser Leitbild

Im Rahmen seiner Tätigkeit hat das BSI die Sicherheit diverser Web-Server untersucht und die Ergebnisse am 9. Januar 2017 in einer Pressemitteilung veröffentlicht. Darin heißt es u.a.:
"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.

Quelle: Online-Skimming: 1.000 deutsche Online-Shops betroffen

Diese Aussage gilt auch für den PIWi-Server der Stadt Wiesbaden.


Gesetz

In Deutschland werden sehr viele Dinge per Gesetz geregelt. Zum Thema Server möchte ich auf folgende Auszug aus dem entsprechenden Gesetz verweisen:
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Quelle: Telemediengesetz: § 13 Pflichten des Diensteanbieters

Die Stadt Wiesbaden ist somit per Gesetz verpflichtet, ihre Server auf einem aktuellen Stand der Software zu halten.


Edward Snowden

Edward Snowden war der Mitarbeiter der NSA, der 2013 die Überwachung des Internets durch diesen amerikanischen Geheimdienst und insbesondere den Umfang dieser Überwachung aufzeigte, belegt durch interne Dokumente der NSA. Im Zuge der Aufarbeitung dieser Dokumente kam u.a. heraus, daß sich ein britischer Geheimdienst in die Computer eines belgischen Telekommunikationsunternehmens eingehackt hatte, der zufälligerweise auch die Fernsprech- und Internetanbindung der EU in Brüssel realisierte: Britischer Geheimdienst hackte belgische Telekom.

Sie sehen, das ging nicht nur Ende der 80er Jahre, das geht auch heute. Und die Gefahr ist real, wie wir dank Edward Snowden wissen.


Fazit

Für Unbefugte gibt es viele Möglichkeiten, in einen Computer einzudringen. Einen Ansatzpunk, einen Schwachpunkt muß man finden, und von dort aus geht es weiter. Irgendwann landet man in einem Computer, wo man wichtige Informationen abgreifen kann. Deshalb müssen Computer, sofern sie öffentlich zugänglich sind, vernünftig abgesichert werden. Und das heißt u.a., daß man die Software auf einem aktuellen Stand hält und somit bekannte Schwachstellen in dieser Software entfernt werden. Das ist beim PIWi-Server nicht geschehen.

Vermutlich muß ein Hacker erst einen nennenswerten Geldbetrag von der Kasse der Stadt Wiesbaden abbuchen, bis dieses Einfallstor geschlossen wird.




Anmerkungen:
1) Natürlich ist diese Seite gesichert mit TLS in der Version 1.2.

Sonntag, 8. Januar 2017

TLS (2)


In meinem letzten Text hatte ich beschrieben, daß ein Server, betrieben im Auftrag der Stadt Wiesbaden, nur in bescheidenen Umfang gesichert ist. Und in diesem Text möchte ich darstellen, wofür man einen solchen Server mißbrauchen kann, nachdem man ihn gehackt hat.

Vorweg möchte ich aber klarstellen, daß ich kein Hacker bin (Danke für das Kompliment, aber dafür ich bin doch schon zu alt). Und diese Tätigkeit reizt mich nicht. Ausserdem, das wissen Sie doch, sind es immer die Russen, die fremde Computer hacken. Und ich besitze die deutsche Staatsbürgerschaft.

Es gibt diverse Möglichkeiten, als Aussenstehender einen Computer zu mißbrauchen, nachdem man in diesen eingedrungen ist. Ich möchte einmal zwei Möglichkeiten des Mißbrauchs herausgreifen und in diesem Text darstellen. Ich bescchreibe nicht, wie man in einen Computer eindringen kann1).


Plötzlicher Datenreichtum

Datensparsamkeit ist ein Grundprinzip unseres Umgangs mit Computersystemen und hat auch Eingang gefunden in unsere Gesetze. Auch Wikipedia hat einen Artikel dazu: Datenvermeidung und Datensparsamkeit.

Datensparsamkeit bedeutet, daß ein Unternehmen Daten über Sie speichern darf, aber nur die notwendige Mindestmenge. Bei einer Bestellung in einem Onlineshop darf das Unternehmen alle zur Abwicklung der Bestellung notwendigen Informationen auf seinen Computern speichern, also. z.B. welche Artikel sie bestellt haben, wohin die Bestellung geliefert werden soll, von welchem Konto der Betrag abgebucht werden darf usw. Und natürlich darf das Unternehmen auch speichern, wann die Bestellung versandt wurde, wann der Betrag abgebucht wurde, ob Sie reklamiert haben usw. Es darf aber keine Informationen speichern, die über diese Informationen hinausgehen, also darf z.B. nicht gespeichert werden, welche Haarfarbe Sie haben (es sei denn, Sie haben einen entsprechenden Artikel bestellt). Auch Ihre politische Meinung darf nicht abgefragt und nicht gespeichert werden, auch nicht ihre Religionszugehörigkeit usw.

Was aber ist, wenn ein Hacker, also ein Fremder, Nicht-Befugter, sich Zugang zu solch einem Computer verschafft? Er könnte dann die auf diesem Computer gespeicherten Daten abgreifen und auf einen Computer seiner Wahl transferieren, anschliessend auszuwerten und für weitere Aktionen zu verwenden. Möglicherweise erhält er Zugang zu Ihren Bankdaten und kann sie für eigene Zwecke ausnutzen. Oder er findet eine Liste der Anmeldenamen mit zugehörigen Passwörtern für diesen Computer. Und da Sie sicherlich keine 1.000 verschiedene Passwörter haben, könnte man damit versuchen, sich bei Onlineshops anzumelden - vielleicht klappt das ja mit einem Namen+Passwort aus der Liste. Und dann schnell noch die Lieferadresse ändern und sofort bestellen.......

Haben Sie schon einmal eine SPAM-Mail in Ihrem Postfach vorgefunden? Woher kennen die Absender Ihre Mail-Adresse und Ihrem Namen? Und mittlerweile sind diese SPAM-Mails soweit personalisiert, daß sie verdammt echt aussehen.

Auf dem PiWi-Server liegen vermutlich Daten, die nicht für jedermanns Augen bestimmt sind, denn der Server verlangt eine Anmeldung. Sofern Sie dort keinen Zugang haben oder sich nicht angemeldet haben, können Sie nur auf wenige Informationen zugreifen, u.a. auf die Daten zu den Ausschüssen des Parlaments, die Tagesordnungen, die Anträge usw. Daneben gibt es vermutlich noch weitere Informationen, auf die Sie ohne Anmeldung keinen Zugriff haben. Und mit einem Einbruch verschafft sich ein Hacker Zugriff auf diese Daten, unbefugterweise.

Einbrüche in ein Computer-System kommen häufiger vor. Hier einmal ein paar Beispiele:

Diese Beispiele genügen Ihnen nicht? Bitte, ich kann auch mit dieser Geschichte aufwarten: Unbekannte sind in die Computer des ThyssenKrupp-Konzerns eingedrungen. Der Angriff wurde eher zufällig entdeckt, die Abwehr dauerte Monate..

Zusammenfassung: mit einem solchen Einbruch in ein Computersystem verschafft sich ein Unbekannter einen Zugriff auf Anmeldenamen und möglicherweise die zugehörigen Passwörte, sowie auch auf weitere, auf diesem Computer vorhandenen Dateien und Datenbanken. Dies nenne ich einen plötzlichen Datenreichtum.

Bisher war Datensparsamkeit eine Tugend, aber die Dinge ändern sich:
"Der bisher gültige Grundsatz, dass Datensparsamkeit das Übermaß der Dinge ist, der hat sich überholt, der muss weg"

"Datenreichtum muss der Maßstab sein, nach dem wir unsere Politik ausrichten."

Quelle: Alexander Dobrindt: Grundsatz der Datensparsamkeit "muss weg"

Und damit steht Herr Dobrindt nicht allein:
In deutlichen Worten verabschiedet sich Merkel von den Prinzipien der Datensparsamkeit und der Zweckbindung, die seit dem Urteil des Bundesverfassungsgerichts aus dem Jahr 1983 und dem damit etablierten Grundrecht auf informationelle Selbstbestimmung eine wichtige Grundlage aller rechtlichen Regeln im Umgang mit Daten über Menschen geworden sind.

Quelle: CDU-Parteitag: Merkel preist Datenreichtum und Überwachung
Je mehr Daten gespeichert werden, desto mehr Daten kann man nach einem Einbruch abgreifen. Aber jetzt schweife ich ab, zurück zu meinem Thema.


DDOS

"Sie erinnern sich doch sicherlich noch an die Angriffe auf Telekom-Router Ende November 2016." so begann mein letzter Text. Damals wurden Router der Telekom attackiert, diese Router sind kleine und relativ leistungsschwache Computer, die bei Ihnen zu Hause stehen und den eigentlichen Zugang zum Internet realisieren. Vermutlich war das Ziel der damaligen Attacke, auf diesen kleinen Computern unbemerkt eine Software zu platzieren, die man von außen ansteuern und ihr eine Aufgabe zuteilen kann. Diese Aufgabe kann sein, unsinnige Anfragen an einen bestimmten Server zu senden. Und wenn solche unsinnigen Anfragen von sehr vielen Computern kommen, dann geht der angefragte Server in die Knie auf Grund der Menge der Anfragen, und möglicherweise gibt er ganz auf.

Der Fachbegriff für solche Angriffe lautet DDOS, ein distributed denial of service. ditributed, denn es sind viele Computer, die einen Ziel-Computer attackieren; denial of service, das Ziel der Attacke ist eine absichtlich herbeigeführte Serverüberlastungen. Einige Beispiele dazu:

Aktuell ist es ja kalt in Deutschland; in der Nacht vom 5. auf den 6. Januar zeigte das Themometer bei mir eine Aussentemperatur von -8° Celsius an. Wie wäre es, wenn die Heizung im Haus aufgrund einer Computerattacke auf die entsprechende Steuerung ausfällt? Sie halten solch eine Aktion für unwahrscheinlich? Alles schon passiert: DDos-Attacke: Hacker schalten Heizungen in Finnland ab.

Genug der Beispiele.

Zusammenfassung: ein Computer kann von Fremden für ihre eigenen Zwecke mißbraucht werden, z.B. um unsinnige Datenpakete auf einen Ziel-Server zu schicken, damit dieser Server keine vernünftige Arbeit mehr leisten kann.


Fazit

Server, oder allgemeiner: Computersysteme, muß man auf einem aktuellen Stand halten. Dies bedeutet, daß bekannt gewordene Lücken gestopft werden, damit die bösen Buben (oder die bösen Mädels) diese Lücken nicht mehr ausnutzen können.

Konkret heisst dies, daß die zur Verfügung gestellten Patches (=Flicken) eingespielt werden. Allgemein muß die Software auf einem aktuellen Stand gehalten werden, denn alte Versionen enthalten Fehler, die durch neuere Versionen dieser Software beseitigt werden. Sehen Sie dies wie bei einem Auto, das nach einer gewissen Kilometerleistung in die Inspektion muß und dort neben frischem Öl ausserdem neue Bremsklötze und ein Paar neue Reifen erhält.

Und genau dies wurde beim PiWi-Server der Stadt Wiesbaden nicht gemacht. Dieser Server kann mißbraucht werden für die hier beschriebenen Aktivitäten.

Sollte dieser Server einmal gehackt werden, dann hören wir sicher, daß diese Aktion von Russen durchgeführt wurde.


Nachtrag

19. Januar 2017: Teil 3 des Textes





Anmerkungen:
1) Davon habe ich nämlich keine Ahnung.
2) Man vermutet, daß mind. 150.000 Geräte an dieser Attacke beteiligt waren

Montag, 2. Januar 2017

TLS


Die Sicherheit eines Computer-Systems ist eine wichtige Angelegenheit, denn Sie erinnern sich doch sicherlich noch an die Angriffe auf Telekom-Router Ende November 2016. Man will aber nicht nur die Computer schützen, sondern auch die Anwender, die diesen Computer benutzen und auf diesen Computern Daten ablegen. Mit diesem Text will ich Ihnen einen Weg zeigen, wie die Übertragung von Daten zwischen Ihnen (genauer: Ihrem PC) und einem Server abgesichert wird. Und ich will zeigen, daß auf einem Computer dieser Stadt Sicherheit kleingeschrieben wird.


TLS

Das Thema nennt sich TLS, und diese Buchstaben stehen für Transport Layer Security. Gemeint ist damit die Verschlüsselung des Transports von Daten zwischen den beiden Endpunkten einer Kommunikation. Ein Beispiel: sie wollen auf Ihr Konto schauen. Auf Ihrem Computer rufen Sie dazu die entsprechende Seite Ihre Bank auf. Der Transport der Daten zwischen Ihrem Computer und dem Server der Bank findet dann in verschlüsselter Form statt, denn niemand soll diese Daten mitlesen können, auch nicht auf dem Weg zwischen Ihrem Computer und dem Server der Bank. Also werden die Daten auf Ihrem Computer verschlüsselt und danach auf den Weg geschickt. Der Server der Bank nimmt die verschlüsselte Nachricht entgegen, entschlüsselt sie und hat jetzt wieder Klartext. Anhand dieses Textes erkennt er Ihre Anfrage, sucht die Daten zu Ihrem Konto zusammen, packt sie in eine entsprechende Seite und verschlüsselt das alles. Danach gehen die Daten auf die Reise vom Bank-Server zurück zu Ihrem Computer, der diese (verschlüsselten) Daten entgegennimmt, wieder entschlüsselt und den erhaltenen Text auf dem Bildschirm anzeigt. Somit kann niemand Ihre Daten lesen, wenn sie auf dem Weg zu Ihrem Computer (bzw. auf dem Weg zum Bank-Server) sind. Und wenn er die Daten doch mitliest, dann erhält er die verschlüsselten Daten, also Buchstabensalat. Diesen Salat in eine lesbare Form zu bringen sollte so schwierig sein, daß der Lauscher es lieber unterlässt.

Und TLS ist das Schlagwort, unter dem die Methoden zur sicheren Kommunikation zwischen 2 Computern zusammengefasst werden. Ich möchte Ihnen hier nicht erklären, wie dieses TLS die Sicherheit der Übertragung erreicht Dazu müsste ich tief in ein Teilgebiet der Mathematik eintauchen, da würden Sie mir vermutlich nicht folgen können. Und ob ich das alles so verstehe, das will ich auch mal offen lassen. Aber ich möchte Ihnen trotzdem einige beachtenswerte Punkte zeigen.

Woran erkennen Sie jetzt, daß Ihre Daten verschlüsselt werden? An einem Beispiel möchte ich Ihnen dies zeigen. Für meine Beschreibung verwende ich den Firefox1), ein Beispiel mit dem Internet Explorer folgt dann später in diesem Text.


Nassauische Sparkasse

Am Beispiel einer Bank möchte ich den Sachverhalt verdeutlichen. Sie erreichen die Seite der Nassauischen Sparkasse über diese Adresse: Naspa Nassauische Sparkasse. Hier sehen Sie einen kleinen Ausschnitt aus dem Bild, mit dem sich die Naspa auf meinem Computer präsentierte:


Bitte beachten Sie die beiden roten Kringel, die ich angebracht habe. Im ersten Kringel sehen Sie ein Vorhängeschloß, das soll die verschlüsselte Kommunikation symbolisieren. Im zweiten Kringel sehen Sie die Buchstaben: https. Bei ungesicherten Seiten finden Sie dort nur die Buchstaben http (also ohne das s), bei sicheren Seiten (=Seiten mit verschlüsselter Kommunikation) finden Sie dort https, also die gleichen Buchstaben, aber mit angehängtem Buchstaben s. Das s steht dabei für secure (=sicher).

Bitte achten Sie zukünftig auf diese Symbole.

Aber wie sicher ist dies jetzt?

Jetzt kommt das TLS ins Spiel. Im Rahmen von TLS sind verschiedene Stufen der Qualität und Komplexität der Verschlüsselung definiert worden, die Sie der Wikipedia-Seite zu TLS entnehmen können. Die Arbeit an einer Vorläufer-Version von TLS begann 1994; zwischenzeitlich ist die Rechenleistung der Computer massiv gestiegen, es sind ja auch über 20 Jahre bis zum heutigen Tag. Und vieles, was 1994 noch sicher war, kann man heute ohne grösseren Aufwand knacken und damit lesen. Ausserdem fand man in den alten Verfahren etliche Schwachstellen, die man ausmerzte und somit neue Versionen der entsprechenden Software herausbrachte.

Sicherheit gibt es nicht in absoluter Form; eine Kommunikation kann nur sicher nach dem heutigen Stand der Technik sein. Und deshalb ist es empfehlenswert, ein Computer-System auf dem aktuellen Stand zu halten. Um beim Beispiel Naspa zu bleiben: welche Version setzt die Naspa bei Ihrem Internetauftritt ein? Ist diese Version auch sicher? Und das möchte ich Ihnen jetzt zeigen.


TLS Version x.y?

Schauen Sie sich bitte diese Bilder an2):

Seiteninformation Seiteninformation
Seite 2
Seiteninformation
Seite 3

Das erste Bild erhalten Sie, wenn Sie auf das kleine Icon i (=Seiteninformation) klicken. Sie finden dieses Icon im Firefox direkt neben dem Icon des Vorhängeschlosses. Nach dem Klicken wird Ihnen das abgebildete Fenster angezeigt. Dort können Sie lesen: Sichere Verbindung. Alles in Ordnung, sieht gut aus? Klickt man jetzt auf das Grösser-Zeichen am rechten Bildrand3), so erhält man das im Bild 2 dargestellte Fenster. Sieht doch weiterhin gut aus? Klickt man jetzt auf den Text Weitere Informationen, so erhält man das Fenster des dritten Bildes. Bitte werfen Sie insbesondere einen Blkcik auf die Zeile, die ich mit einem roten Kringel markiert habe, insbesondere auf das Ende der Zeile: TLS-1.2.

Die Seite der Napsa ist sicher, denn das ist die letzte und somit aktuelle Version von TLS, die das Unternehmen Naspa hier einsetzt.

Ich habe dies einmal weitere Seiten geprüft und möchte Ihnen hier die Ergebnisse präsentieren:

www.welt.de www.heise.de www.google.de

Sie sehen, diese Form der sicheren Kommunikation ist nichts aussergewöhnliches. Diese 3 Seiten Welt, Heise und Google verwenden diese Technik, und zwar verwenden alle Seiten diese in der aktuellen Version, also TLS 1.2.

Nun will ich in diesem Blog IT-Themen innerhalb dieser Stadt Wiesbaden beschreiben, wenn auch nicht nur auf diese Stadt bezogen. Also schaue ich mir einmal die offizielle Seite der Stadt Wiesbaden an:


Sie erkennen, daß diese Seite keine Verschlüsselung verwendet. ist dies problematisch? Ich denke nicht, denn über diese Seite werden keine brisanten Informationen ausgetauscht. Aber innerhalb dieser Seite gibt es noch den Zugriff auf ein weiteres System: Politisches Informationssystem Wiesbaden (PIWi). Sie kommen auf diese Seite von der Wiesbaden-Seite aus über:
Rathaus -> Statpolitik -> Politisches Informationssystem

Und so präsentiert sich diese Seite:


Machen wir doch hier auch einmal die Probe aufs Exempel und prüfen den Status dieser Seite ab:

Seiteninformation Seiteninformation
Seite 2
Seiteninformation
Seite 3

Scheint alles sicher zu sein. Bitte schauen Sie sich das letzte Bild an. An der markierten Stelle erkennen Sie die verwendete Version: TLS 1.0. Ist das sicher? Bei den übrigen Beispielen stand dort TLS 1.2.

Was ist der Unterschied zwischen der Version 1.0 und 1.2 von TLS? Schauen wir doch einfach in der Wikipedia nach:


Sie erkennen an diesem Bild, daß die Version 1.0 aus dem Jahr 1999 stammt (genauer: in diesem Jahr wurde die Spezifikation beschlossen). Danach folgte im Jahr 2006 die Version 1.1 und im Jahr 2008 die Version 1.2. An einer Version 1.3 wird aktuell gearbeitet.

Sie sehen, die Stadt Wiesbaden verwendet eine ältere Version von TLS. Ist dies problematisch? Lassen wir doch einfach mal die Seite von einem Profi untersuche und uns einen Bericht dazu geben:


Dieser Server erhielt im Test die Note F. Zusätzlich wurde auf die Gefahr durch Attacken mit den Namen FREAK und POODLE hingewiesen.

Note F: die Seite vergibt Noten von A bis F, wobei F die schlechtest Note ist, die überhaupt vergeben wird4). Dies klingt nicht gut.

FREAK ist der Name für einen Angriff auf solche Server, der im Jahre 2015 bekannt wurde. Wikipedia hat eine Erläuterung dazu: FREAK (Sicherheitslücke). Die Lücke ist längst geschlossen; dazu muß man nur die neuere Version der Software auf den Server einspielen.

POODLE: auch dies ist der Name eines Angriffs auf solche Server; und auch hier hat Wikipedia einen Artikel dazu: Poodle. Auch dieser Fehler ist aus der Software längst entfernt worden; auch hier muß man nur die neuere Software auf den Server einspielen. Entsprechende Hinweise dazu gab es schon im Oktober 2014.


Wie sehen die anderen Seiten aus:
Sicherheits-Niveau einiger Seiten
Sicherheits-Niveau der Seite
www.welt.de
Sicherheits-Niveau der Seite
www.heise.de
Sicherheits-Niveau der Seite
www.google.de

Diese Seiten werden alle positiv bewertet.


Sicherheit erzwingen

Wie sieht das aus, wenn ich eine sichere Verbindung erzwinge? Das kann man machen, dazu muß ich aber eine Einstellung in meinem Firefox verändern.

Warnung: ich werde Ihnen gleich zeigen, welche Einstellung ich wie verändere. Aber bitte nehmen Sie diese Veränderungen auf Ihrem Computer nicht vor, es sei denn Sie fühlen sich sicher bei solchen Anpassungen. Bei einem Auto schrauben Sie ja auch nicht den Motor auseinander. Also: sofern Sie dies nachmachen, dann auf Ihr Risiko.

Im Firefox kann ich einstellen, welche Version von TLS unterstützt wird. Dies sieht dann so aus:


In der blau markierten Zeile sehen Sie eine 1. Mögliche Einträge hier sind eine 3 (=für TLS Version 1.2), eine 2 (für TLS 1.1) oder eine 1 (für TLS 1.0). Schreibe ich dort eine 3 hinein, dann unterstützt mein Browse nur nur die Version 1.2, eine Verbindung mit einer anderen Version wird abgelehnt. Schreibe ich dort eine 2 hinein, dann wird erst versucht, mit der Version 1.2 eine Verbindung aufzubauen, aber beim Scheitern wird die Verbindung mit der Version 1.1 versucht. Bei einer 1 in dieser Zeile wird erst versucht, mit der Version 1.2 eine Verbindung aufzubauen. Im Falle des Scheiterns danach mit der Version 1.1 und bei erneutem Scheitern des Aufbaus wird es mit der Version 1.0 versucht. Genauso läuft es bei der Piwi-Seite.

Sie erinnern sich doch sicherlich an Fax-Geräte. Diese machten am Anfang der Übertrag so merkwürdige Geräsuche. Mit diesen Geräuschen haben sich die beiden Seiten über mehrere Punkte 'unterhalten', u.a. über die Geschwindigkeit der Übertragung. Und so ist auch auch hier, allerdings nicht sichtbar und nicht hörbar.

Was passiert, wenn ich in meinem Browser eine sichere Verbindung erzwinge? Dazu trage ich in der oben angegebenen Zeile eine 2 ein, akzeptiere also nur noch Verbindungen über TLS 1.2, zur Not auch 1.1, aber nicht mehr über die Version 1.0. So präsentiert mir das nun der Firefox:


Sie sehen, eine Verbindung zur Piwi-Seite kann nicht aufgebaut werden, da mein Browser keine Technik anbieten kann, die der Server, also die Piwi-Seite, versteht.


BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Institution der Bundesregierung und untersteht dem Innenministerium. Zitat: Das BSI ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft.

Zu aktuellen Entwicklungen in der IT-Branche gibt es auch für Bürger Hinweise und Erläuterungen vom BSI: BSI für Bürger. Dort finden Sie unter Empfehlungen Hinweise zu vielen Themen rund um Ihren Computer. Schauen Sie einfach mal dort rein.

Zum Thema sichere Kommunikation im Internet hat das BSI für die Server des Bundes folgende Hinweise gegeben:


Diese Aussagen finden Sie in diesem Dokument des BSI: Technische Richtlinie TR-02102-2 auf der Seite 5. Und natürlich verwendet das BSI auf seiner Seite TLS in der Version 1.2.


Fazit

Der Piwi-Server gehört zur Stadt Wiesbaden und die Kommunikation mit diesem Server ist nicht so richtig sicher. Da die eingesetzte Version von TLS veraltet ist, könnte man sogar von einer unsicheren Kommunikation sprechen.

Nun könnte man natürlich sagen, daß es einen selbst ja nicht betrifft. Sollte dort mal ein böser Bube (oder Mädel) einbrechen und Daten stehlen, betrifft es höchstens die Politiker im Rathaus. Aber ich denke, daß auch dort ein Gefühl für Sicherheit von Daten vorhanden sein sollte. Und wenn sie ihre eigenen Daten nicht schützen, wie schützen sie dann erst die Daten der Bürger?



Internet Explorer

Meine hier abgebildete Bilder bezogen sich bisher auf den Firefox als Browser, aber es gibt ja noch andere Browser, z.B. den Internet Explorer5). Hier sehen Sie, wie man die entsprechenden Informationen im Internet Explorer erhält (am Beispiel der Welt):

so kommen Sie im Internet Explorer an diese Informationen
bitte klicken Sie auf: Datei
und danach auf: Eigenschaften
und Sie sehen die Informationen



Andere Browser

Sie benutzen werde n Firefox noch den Internet Explorer? Dann schauen Sie bitte am Ende dieser Seite nach: Ihre Software sicher einrichten: Verschlüsselung/Zertifikate. Dort beschreibt das BSI bei weiteren Browsern, wie Sie an die hier dargestellten Informationen kommen.

Auf der angegeben Seite des BSI finden Sie auch ein Video, das Ihnen weitere Informationen zum hier beschriebenen Thema liefert.


Nachtrag

11. Januar 2017: Teil 2 des Textes




Anmerkungen:
1) Ich verwende den Firefox in der Version 50.1.0, dies ist die zum Zeitpunkt des Schreibens diese Textes aktuelle Version. Bei älteren Versionen kan der Weg zu den hier dargestellten Informationen ein anderer sein. Dies gilt möglicherweise auch für Versionen des Firefox, die nach Veröffentlichung dieses Textes herauskommen.
2) Klicken Sie bitte auf ein Bild, dann sehen Sie dieses Bild in vergrösserter Form.
3) Sie können diesen Test auch selbst vornehmen: Qualitiy SSL Labs, auf dieser Seite klicken Sie dann bitte auf Test your server.
4) Die Aufstellung zu den Ratings finden Sie hier: SSL Server Rating Guide
5) Für diese Darstellung habe ich den Internet Explorer in der Version 11.0.960.17126 verwendet. Bei anderen Versionen kann der Weg zu den dargestellten Information vom hier beschriebenen Weg abweichen.