TLS Verschlüsselung vermutlich nicht mehr aktuell

[pro]

Ich kenne mich da jetzt nicht in allen Details aus, aber ich glaube die TLS / SSL Verschlüsselung sollte mal überprüft werden. Insbesondere wäre dann wohl RC4 zu deaktivieren, da es soweit ich weiß als geknackt gilt und nicht mehr verwendet werden sollte. Vermutlich ist AES zur Zeit die bessere Alternative.

Jedenfalls bei mir wird im Browser ein "TLS_RSA_WITH_RC4_128_SHA, 128 bit keys"-Zertifikat angezeigt (Firefox 34, Ubuntu Linux). Vielleicht sollte dann auch gleich ein stärkerer Hash gewählt werden.

Aus dem RFC für DTLS: "Cipher suites with known
weaknesses, such as those based on (single) DES and RC4, MUST NOT be
used."

Ich bin nicht sicher, ob dieses RFC wirklich hier zutrifft.
http://www.heise.de/netze/rfc/rfcs/rfc7350.shtml

http://www.heise.de/security/meldung/We ... 44161.html

Akutelle Zusammenfassung der Lage der Kryptographie: https://www.youtube.com/watch?v=PoNHNLzSI0o

[Uwe7]

Moin pro,

na kiek mal an, noch ein Linuxer. Ich verwende Linux Mint 17 - Firefox 35.0 und die Sicherheitsinfos sieht man unter diesem Beitrag. Dann kann man in der Agentur ja mal gucken, ob es Handlungsbedarf gibt.

LG Uwe

[pro]

Wobei ich klarstellen möchte, dass es sich wohl eher nicht um eine Linux-spezifische Angelegentheit handelt. Der Algorithmus ist ja für alle gebrochen. Könnte höchstens sein, dass andere User mit anderen System ein anderes Zertifikat, bzw. einen anderen Algorithmus angeboten bekommen bzw. der Browser dieses aushandelt. Allerdings halte ich das für unwarscheinlich. Habe kein Windows-System um das ausprobieren zu können.

[Franz]

Hallo pro,
du kannst einfach RC4 im Firefox abschalten.

In die Adressleiste about:config eingeben, dann in die Suchmaske RC4 und dann von true auf false setzen:


Anschließend wird es so aussehen:


Es kann aber Webserver geben, die ausschließelich RC4 anbieten.

[Uwe7]

Wobei ich klarstellen möchte, dass es sich wohl eher nicht um eine Linux-spezifische Angelegentheit handelt.

Das ist mir vollkommen klar.

<off-topic-Modus on>

Mir ging es (als Randthema) ja auch nur mal darum, jemanden zu entdecken, der - wie ich - nicht dem Windows-Mainstream folgt, sondern ein alternatives Betriebssystem einsetzt. Damit tut man - auch nur am Rande - automatisch einiges für seine ganz persönliche Sicherheit. Denn Windows ist für die meisten Viren viel anfälliger, als Linux.

a) die meisten Viren werden für Windows geschrieben - und ein Synonym für den Microsoft Internet-Explorer ist "Schwachstelle".
b) Linux hat eine ganz andere Sicherheitsarchitektur als Windows - man ist z.B. nicht ständig mit Admin-Rechten im Internet.

<off-topic-Modus off>

Ich hätte mehr Probleme, wenn die Webseite meines Kreditinstitutes an der Kante ein Thema hätte - hat sie aber nicht. Wie schon gesagt, ich hoffe, dass die Agentur hier ab und zu mal reinguckt - und sei es dadurch, dass der Webmaster einen dezenten Hinweis in diese Richtung spielt - und, wenn es Handlungsbedarf gibt, entsprechend tätig wird.

Denn:

Die DCCV kann kein Interesse daran haben, dass ihr Web-Auftritt zum zweiten mal gehackt wird.

LG Uwe

[Spinnwebe]

Guten Morgen,

ich verstehe nur Bahnhof.
Gibt es nun ein Sicherheitsproblem oder nicht?
Viel Vertrauen in die Agentur, die hier zu Gange ist, habe ich sowieso nicht und das würde als Krönchen gut obendrauf passen.

[Franz]

Guten Morgen,

ich verstehe nur Bahnhof.
Gibt es nun ein Sicherheitsproblem oder nicht?
Viel Vertrauen in die Agentur, die hier zu Gange ist, habe ich sowieso nicht und das würde als Krönchen gut obendrauf passen.

Ja, es gibt ein Sicherheitsproblem. Jemand der ausreichend Rechenpower zur Verfügung hat, kann die verschlüsselte Verbindung zwischen Dir und dem DCCV-Server knacken.
Durch die Snowden-Dokumente wurde bekannt, dass die NSA das mittlerweile kann und macht. Eben weil sie richtig viel Computer-Leistung zur Verfügung haben.
Tatsächlich ist es aber so, dass die meisten verschlüsselten Verbindungen die wir nutzen z.B. bei Online-Shops für die NSA ein großes Ärgernis sind, weil das in Ihren Augen totaler Spam ist, auch das geht aus den Dokumenten hervor.

Abgesehen davon, ist ein Angriff auf die verschlüsselte Verbindung zwischen einem PC und einem Webserver, so ziemlich das umständlichste was man als Angreifer machen kann.
Viel einfacher ist es, die im Betriebssystem vorhandenen Lücken auszunutzen. Falls man es tatsächlich geschafft hat ein Betriebssystem unangreifbar zu machen, was aktuell meiner Einschätzung nach nur sehr schwierig möglich ist, ist das nächste Einfallstor der Router der einen zum Internet verbindet. Aber selbst wenn man es trotz aller Widrigkeiten geschafft hat sein Datenpaket bis zum Webserver unbehelligt durchzubringen, bleibt ja immernoch der Webserver an sich.
Auch der hat ein Betriebssystem welches verwundbar sein kann und entsprechende Dienste die darauf laufen, auch diese sind immer wieder angreifbar.
Eine Ebene weiter oben folgt dann die Forensoftware, welche auch kein unüberwindbares Hindernis darstellt. Und dann sind da noch die Leute, die manuell Zugriff auf die Daten auf dem Webserver haben, das ist das Rechenzentrum in dem er steht, die Mitarbeiter der Agentur, die Admins hier usw.

Nach meiner Einschätzung ist es aktuell nicht möglich in einer wie hier vorliegenden Konstellation eine umfassende Datensicherheit zu gewährleisten.

Ist das schlimm?
Meiner Ansicht nach überhaupt nicht. Welche sensiblen Daten gibt es denn hier?
Beiträge und Benutzername, Login-Zeiten usw. Online-Status usw. sind ohnehin öffentlich einsehbar.

Was bleibt sind genau 3 Dinge, die vielleicht halbwegs sensibel sind:
1. Private Nachrichten
2. Das gespeicherte Passwort
3. Die gespeicherte E-Mail Adresse

Und bevor man sich Gedanken über verschlüsselte Verbindungen usw. macht, ist es viel einfacher, die sensiblen Daten so zu gestalten dass sie nutzlos für Dritte sind. Das ist in 5 Minuten für alle Zeit erledigt:

1. Lösche deine privaten Nachrichten mit sensiblen Inhalt.
2. Und das wichtigste: Nimm ein Passwort nur für einen Zweck!!! Dein DCCV-Passwort nimmst du nur für die DCCV, für nix anderes!
3. Lege dir eine Alternative E-Mail Adresse an die du für Registrierungen bei Onlinediensten, Gewinnspiele usw verwendest. Deine eigentliche E-Mail Adresse nimmst du zur Kommunikation mit Freunden, Kollegen usw.

Wenn man diese 3 einfachen Maßnahmen ergreift, hat man zigfach mehr für seine eigene Datensicherheit getan, als krampfhaft zu versuchen eine Datensicherheit herzustellen, die es nicht gibt.

[Spinnwebe]

Danke für Deine Antwort, Franz.

[Uwe7]

Und bevor man sich Gedanken über verschlüsselte Verbindungen usw. macht, ist es viel einfacher, die sensiblen Daten so zu gestalten dass sie nutzlos für Dritte sind. Das ist in 5 Minuten für alle Zeit erledigt:

1. Lösche deine privaten Nachrichten mit sensiblen Inhalt.
2. Und das wichtigste: Nimm ein Passwort nur für einen Zweck!!! Dein DCCV-Passwort nimmst du nur für die DCCV, für nix anderes!
3. Lege dir eine Alternative E-Mail Adresse an die du für Registrierungen bei Onlinediensten, Gewinnspiele usw verwendest. Deine eigentliche E-Mail Adresse nimmst du zur Kommunikation mit Freunden, Kollegen usw.

Wenn man diese 3 einfachen Maßnahmen ergreift, hat man zigfach mehr für seine eigene Datensicherheit getan, als krampfhaft zu versuchen eine Datensicherheit herzustellen, die es nicht gibt.

Klasse, gut zusammengefasst. Das sehe und handhabe ich seit Jahren genau so. Insbesondere meine Mailadresse hier ist für die sonstige Kommunikation nie im Einsatz - sagt nichts über mich persönlich aus - und auch mein Passwort wird nur für die DCCV verwendet.

Kurz und gut: Man muss die eigenen Baustellen bespielen, so gut man kann. Die eigene Maschine absichern ist besser, als darauf zu warten, dass die Webseite hastenichgesehn.de endlich sicher wird, weil man sie so gern besucht.

Betriebssystem, Browser und - zumindest als Windows-User - Virenschutz und Firewall aktuell halten - das sollte eine Selbstverständlichkeit sein. Wer z.B. heute noch mit WinXP ins Internet geht, ist selber schuld, wenn ihm die Maschine irgendwann um die Ohren fliegt, um es mal salopp zu sagen.

[bettina]

Wir haben die Thematik an die Agentur weitergegeben und informieren euch, sobald es dazu etwas Neues gibt.

VG
Bettina