SSL bei Stern TV

ApplePope

Cripps Pink
Registriert
21.01.07
Beiträge
148
Guten Morgen,

gestern wurde bei Stern TV ein recht interessantes Thema angesprochen. Ein IT Fachmann saß mit einem Notebook und einer Verstärkerantenne in einem Café und konnte die Daten, die von den umsitzenden Rechnern (vorwiegend Apple) losgeschickt wurden, ablesen. Keine SSL Verschlüsslung! Entourage, Passwörter auf Webseiten USW.

Nun meine Fragen:
Wie sicher ist Safari?
Wird beim einloggen auf Apfeltalk SSL verwendet, oder postet mein "Nachbar" im Café 5 min später unter meinem Namen?
Wo kann man LEGAL diese aushorch Softwares bekommen und warum sind die legal?

Vielen Dank
Gruß
 

Geigaman

Macoun
Registriert
17.03.06
Beiträge
116
Ein bisschen Theorie vorweg. Und nochmal Theorie.
Https, also die sichere Erweiterung des normalen Http Protokolls verwendet meistens/immer ssl zur Verschlüsselung. Https wird meistens nur bei Shops o.ä. eingesetzt, der Safari zeig dann auch irgendwo ein Vorhängeschloss (entweder in der Adresszeile oder in der Statuszeile unten, ich benutze kein Safari).
Allerdings bringst du glaube ich zwei Dinge durcheinander und irgendwie ist es ja auch klar, dass RTL seinen Zuschauern gerne ein X für ein U vormacht. Mit einer WPA verschlüsselten Verbindung kann der "Fachmann" - vorausgesetzt er kennt das WPA Passwort nicht - nur schwer deine Verbindung abhören.
Wo man allerdings aufpassen sollte sind öffentlich HotSpots oder offene Funknetzwerke. Um da relativ sicher zu sein müsste man eine ssh Verschlüsselte VPN Verbindung zu einem vertrauenswürdigen Rechner aufbauen, der am Besten per Kabel angebunden ist und dann wiederum über diesen vertrauenswürdigen Rechner die "richtige" Internetverbindung aufbauen, aber das wäre mir zu kompliziert.
Https/SSL greifen einfach auf einer ganz anderen Ebene, als das vorgeführte WLAN Problem.
 

groove-i.d

Rote Sternrenette
Registriert
10.01.05
Beiträge
6.077
das fatale und dumme an diesem stern-tv-beitrag war, daß mit keinem wort gesagt wurde, daß https und ssl beide sichere zugänge (auch bei einem offenen/lesbaren netzwerk) sind.

bei web.de hat sich der "experte" bedeckt gehalten. dort allerdings surft man über https.

eine verständnisfrage: meint ssl und https eigentlich das gleiche?
auch das blieb gestern offen im bericht.

wegen "2 häkchen" so einen gedehnten beitrag.o_O
 

MasterofDistres

Kleiner Weinapfel
Registriert
07.12.06
Beiträge
1.139
Ach, ich hab ihn nur angeguckt, weil mal wieder ein paar schöne Macbooks (Pro) zusehen waren :)
 

quarx

Brauner Matapfel
Registriert
17.04.05
Beiträge
8.444
eine verständnisfrage: meint ssl und https eigentlich das gleiche?
auch das blieb gestern offen im bericht.
SSL und HTTPS sind beides Protokolle zur sicheren Datenübertragung via Internet. Im OSI-Schichtenmodell liegt SSL eine Ebene tiefer als HTTPS (welches SSL einfach benutzt). Das SSL-Protokoll wird auch von anderen "höheren" Protokollen verwendet wie z.B. bei POP3/SMTP/IMAP für Emails oder auch bei NNTP zur Uhrzeit-Synchronisierung.
 

plaetzchen

Kaiserapfel
Registriert
21.10.05
Beiträge
1.729
Die Software heißt Wireshark und sie ist legal, da sie nichts knackt oder so.
 

ApplePope

Cripps Pink
Registriert
21.01.07
Beiträge
148
Mit einer WPA verschlüsselten Verbindung kann der "Fachmann" - vorausgesetzt er kennt das WPA Passwort nicht - nur schwer deine Verbindung abhören.
Wo man allerdings aufpassen sollte sind öffentlich HotSpots oder offene Funknetzwerke.

Das hat er aber gesagt, dass es sich nur um offene Funknetzwerke/Hotspots handelt!!!

Ich fasse zusammen:
Wenn ich hier im Café um die Ecke, die einfachheitshalber keine Absicherung haben, kostenlos ins Internet gehe und auf apfeltalk surfe kann jeder mein PW sehen, da apfeltalk werde ssl noch https verwendet! Das ist doch ziemlich beunruhigend. Was kann ich denn da machen (schützen).
Hat der ITler gestern Cain & Abel verwendet? Das ist jetzt nämlich illegal?!

Die Software heißt Wireshark und sie ist legal, da sie nichts knackt oder so.

WOHHHH! So ist das in diesem kranken Land!!!!
 

MasterofDistres

Kleiner Weinapfel
Registriert
07.12.06
Beiträge
1.139
Die Software heißt Wireshark und sie ist legal, da sie nichts knackt oder so.

http://www.lexexakt.de/glossar/stgb202b.php schrieb:
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

Das klingt aber etwas anders. Nach dem neuen Entwurf wirds wohl illegal sein. (Auch z.B. für Systemadministratoren, die die Sicherheit des Netzwerks prüfen wollen)
 

Mark.3k

Angelner Borsdorfer
Registriert
03.01.07
Beiträge
618
ja aber der sieht doch das passwort nur wenn ich es eingebe oder?
 

ApplePope

Cripps Pink
Registriert
21.01.07
Beiträge
148
ja aber der sieht doch das passwort nur wenn ich es eingebe oder?
Ja, aber um bei apfeltalk etwas schreiben zu können, musst du dein Passwort eingeben.

...aus einer nichtöffentlichen Datenübermittlung...
Aber die Datenübermittlung ist doch öffentlich, wenn das Wlan / Hotspot nicht gesichert ist und man kein SSL oder https verwendet.

//
Du kannst Apfeltalk über "https://www.apfeltalk.de" aufrufen, dann ist die Verbindung vom Browser zu den AT Servern verschlüsselt.

Viele Grüße

Timo
Ok, das funktioniert mit der Startseite. Wenn ich dann aber auf Forum klicke, dann steht nur noch http da und das Schloss rechts oben ist weg :(
 

tjp

Altgelds Küchenapfel
Registriert
07.07.04
Beiträge
4.057
Wenn ich hier im Café um die Ecke, die einfachheitshalber keine Absicherung haben, kostenlos ins Internet gehe und auf apfeltalk surfe kann jeder mein PW sehen, da apfeltalk werde ssl noch https verwendet!
Wenn Du SSL Verbindungen hast, kann man nicht mehr so einfach per Software und normaler PC-Hardware abhören. Aber dann bist Du immer noch nicht sicher. Jeder normale PC sendet kompromittierende Abstrahlungen aus, die jeder mit passender Empfangsanlage mithören kann. Alle notwendigen Bauteile kann man vollkommen legal kaufen. So kann man zum Beispiel sehr leicht das Bild Deines Laptops sehen, ohne Dir über die Schulter schauen zu müssen. Prinzipiell sind auch die Tastendrücke abzufangen. Es gibt spezielle Computer die abgeschirmt sind, damit man das nicht mehr machen kann. Aber die sind extrem teuer und fallen die Rubrik Rüstungstechnik.

Richtig geil sind IMSI Catcher, mit den Dingern macht man eine Man-in-the-Middle-Angriff auf GSM Handys, und kann so problemlos die Gespräche abhören.

Wenn Du irgend wo unterwegs bist, gilt immer: Bluetooth komplett aus, WLAN aus. WLAN nur bei Bedarf aktivieren, Bluetooth gar nicht. Das gilt für Laptop wie auch Handy. Beim Handy auch die IrDA-Schnittstelle abstellen. Die Bluetooth Headsets für Handys lassen sich ganz einfach abhören, da die meisten Dinger nicht verschlüsselt sind.

Rohde&Schwarz stellen passende Geräte zum Verschlüsseln von Handy-Verbindungen her. Der Treppenwitz sie liefern auch die IMSI-Catcher.
 

Hilarious

Gelbe Schleswiger Reinette
Registriert
10.08.05
Beiträge
1.759
Mal ein wenig zur Aufklärung, an was man denken sollte, wenn man den Milchkaffee mit WLAN genießt:

Surfen im Internet
... ist solange unverschlüsselt, bis in Safari oben rechts ein kleines Schloss-Symbol zu sehen ist. Gibt man Benutzername/Passwörter irgendwo ein, wo dieses Symbol nicht zu sehen ist (also die Übertragung nicht verschlüsselt läuft), wird alles im Klartext übertragen. »Abhören« ist sehr einfach.

Abrufen von E-Mails
... ist in den allermeisten Fällen ebenfalls eine Klartext-Übermittlung. Das wohl weit verbreiteste Protokoll POP3 übermittelt alles unverschlüsselt. Ebenso unverschlüsselt wird zu Beginn des E-Mail-Abrufes Dein Benutzername und Dein E-Mail-Konto-Passwort im Klartext übermittelt. Ob Dein E-Mail-Provider auch verschlüsselte Zugänge erlaubt, ist nicht selbstverständlich, aber Du solltest ihn einfach fragen. Für die wichtigsten E-Mail-Protokolle (POP3 und IMAP4 für den Abruf, sowie SMTP für den Versand) existieren auch hoch-verschlüsseltet Varianten. In diesen Fällen ist die Kommunikation zwischen Dir und Deinem Mail-Server komplett verschlüsselt und »abhören« ist für den Angreifer fruchtlos, aber was zwischen Deinem Mail-Server und dem des Empfängers passiert, oder ob dieser die Mails wiederum im Klartext empfängt, ist dadurch nicht geschützt. Zumindest schwirren Deine Zugangsdaten nicht im Klartext über den Äther, was ja auch schon mal sehr wertvoll ist.

Up- und Download via FTP zu eigenen WebSite
Was viele nicht wissen (wollen): Auch bei FTP werden die Zugangsdaten im Klartext übermittelt. Dadurch hat sicher schon so manche Community ihr blaues Wunder erlebt. Interessanterweise gaukeln einige FTP-Programme vor, die Passwörter wären sicher untergebracht, indem sie das Eingabefeld für das Passwort mit Sternchen maskieren. Wird dann jedoch eine Verbindung zum Server hergestellt, wird alles wieder im Klartext übertragen. Klar, wenn man sein Passwort vergessen hat, und das FTP-Programm selbiges nicht mehr herausrücken will, dann schaut man sich mit einem Protokoll-Rekorder einfach selbst über die Schulter. Ebenso einfach hat es der Angreifer.

Bonjour und das lokale Netzwerk
Weniger gefährlich aber schon zum Schmunzeln ist es, wenn man sich ein größeres Café setzt, welches mit WLAN ausgestattet ist, und mit einem Bonjour Browser, oder einfach mit iTunes mal »in die Runde schaut«, wer im selben Funknetz ebenfalls einen Bonjour-fähigen Rechner betreibt (meist wohl ein Mac). Hat dort jemand iTunes eingeschaltet und die entsprechenden Freigaben erteilt, erscheint neben der eigenen Playlist auch die des anderen Rechners (»Musik von ...«). Wenn mich also im Starbucks jemand mit meinem Namen auf meinen kruden Musikgeschmackt anspricht, weis ich, ich sollte einige Dienste abschalten, wenn ich meine Ruhe haben will.

Personal Web-Sharing
Vielleicht bastele ich ja gerne an datenbankgetriebenen WebSites herum. Und vielleicht habe ich ja darauf verzichtet meine Web-Datenbank-Schnittstelle »phpMyAdmin« mit einem Passwort zu versehen. Hat jemand im selben WLAN mich gefunden (einfacher Adressen-Scan), kann er's ja mal via Port 80 versuchen. Da ich mit iTunes gerade meinem kruden Musikgeschmack fröhne, kennt er ja meinen Namen und kann damit auf meinen Benutzernamen schließen. Eventuell wird ihm dieser ja auch im Netzwerkbrowser angezeigt (»otto-normalverbrauchers-macbook.local«). Also schaut er doch mal schnell über seinen Webbrowser, ob unter meiner Adresse der eingebaute WebServer läuft. Selbst wenn, keine Schande, da ich aber versäumt habe, meine Datenbanken per Passwort zu schützen, macht er mal eben einen kleinen Tabellen-Dump. Bestimmt spannend, was dabei herauskommt.

iChat/AIM, MSN, Jabber, ICQ, etc.
... läuft »per se« auch erst einmal unverschlüsselt. Wobei es für viele dieser Dienste auch verschlüsselte Varianten gibt. Apple bietet eine starke Verschlüsselung an, allerdings muss dann (und das gilt für Tiger) ein OS X-Server im Spiel sein. Jabber als Open-Source-Protokoll wird ebenfalls gern verschlüsselt betrieben, aber man braucht dazu einen entsprechenden Jabber-Dienst. Und wenn ich im Café sitze, kann ich ja auch gleich mal schauen, ob dieses knusprige Girl am Ende des Saales nicht auch iChat und Bonjour offen hat. Wenn ich Glück habe, ist dieses knusprige Girl meine Frau und macht gerade Mittagspause. Wenn nicht, kommt sie bestimmt gleich um die Ecke, und dann ...

Fazit
Hör auf, mit Deinem MacBook im Café die große Nummer zu spielen, es sei denn, Du kennst Dich wirklich mit Funknetzen und Deinen Firewall- und Netzwerkeinstellungen gut aus. Und solltest Du so hirnreduziert sein, und glauben, Du müsstest mit Deinem MacBook im Café die Laptops der Girls hacken, vergiss nicht, dass alles deutliche Spuren hinterlässt.
 
  • Like
Reaktionen: ApplePope

tjp

Altgelds Küchenapfel
Registriert
07.07.04
Beiträge
4.057
Personal Web-Sharing
Vielleicht bastele ich ja gerne an datenbankgetriebenen WebSites herum.
In so einem Fall ist es dringend angeraten den Webserver und das DBMS so zu konfigurieren, daß sie nur lokale Sockets nutzen, so daß niemand aus dem Internet überhaupt auf sie zugreifen kann. Ob man sie dann noch per Passwort absichern will, muß man selbst entscheiden. Wenn das notwendig ist, hat man eh einen Angreifer auf dem eigenen Rechner drauf.
 

Hilarious

Gelbe Schleswiger Reinette
Registriert
10.08.05
Beiträge
1.759
In so einem Fall ist es dringend angeraten den Webserver und das DBMS so zu konfigurieren, daß sie nur lokale Sockets nutzen, so daß niemand aus dem Internet überhaupt auf sie zugreifen kann. Ob man sie dann noch per Passwort absichern will, muß man selbst entscheiden. Wenn das notwendig ist, hat man eh einen Angreifer auf dem eigenen Rechner drauf.

Wie ich ja schrieb, kann der Angreifer meine DB-Web-Schnittstelle »phpMyAdmin« nutzen, was ja auch recht verbreitet ist und nicht schwer zu finden sein dürfte. Wenn dann die Datenbank nach der Installation nicht mit einem root-Passwort versehen wurde, wird es einfach.
 

ApplePope

Cripps Pink
Registriert
21.01.07
Beiträge
148
Danke an Hilarious. So eine ausführliche Erklärung habe ich gesucht. Jetzt weiß ich wenigstens was Sache ist.

Ich hab gerade meinen WinXP Laptop neben mein MacBook gestellt und bin nach dem Tutorial vorgegangen. Wireshark findet aber nur etwas, wenn ich Email mit Outlook vom WinXP Rechner hole. Nichts aber beim MacBook, obwohl mein Provider kein SSL unterstützt. Mach ich was falsch oder ist tatsächlich nichts per Wireshark zu finden?