Re: Zertifikat für Mailserver
Hallo Walter,
Am Donnerstag, 20. Oktober 2016 schrieb Walter H.:
On Thu, October 20, 2016 07:57, Gregor Hermens wrote:
In beiden Fällen muß ich nur zusätzlich Einfluß auf den DNS-Resolver des Opfers nehmen können,
was ohne entsprechende Kollateralschäden schon mal nicht möglich ist;
was bei genügend krimineller Energie kein Hexenwerk ist...
doch, weils in der Menge derer, die diesen Resolver verwenden, garantiert mind. einen gibt, dem es verhext vorkommt und mit dem Besen andere warnt ;-)
oder anders: ein MITM Angriff auf die Art nur auf EINE ganz bestimmte Person ist ausgeschlossen;
wenn ich es schaffe, mich in die Internet-Verbindung meines Opfers einzuklinken, kann ich mich diesem gegenüber sowohl als dessen Resolver als auch Mailserver ausgeben.
Beispiel: Ich könnte einen WLAN-Access-Point aufsetzen, diesem die SSID eines offenen WLAN geben, daß das Opfer auch benutzt, mich in die Nähe des Opfers begeben und so dafür sorgen, daß sich dessen Smartphone statt über das Mobilfunknetz über das ihm bekannte WLAN mit dem Internet verbindet. Der echte Resolver und dessen andere Nutzer bekommen davon nichts mit, ich habe aber Zugriff auf den gesamten unverschlüsselten Traffic des Opfers und kann verschlüsselten Traffic terminieren für alle Gegenstellen, deren Zertifikat ich fälschen konnte. Der Angriff auf eine einzelne Person ist imho also sogar leichter als der auf eine ganze Gruppe.
hat jemand seine eigene Domain, und betreibt zusätzlich seinen eigenen Resolver sowie auch die Athoritativen DNS Server der Domain, ist ein derartiger MITM-Angriff das kleinere Problem ...
Das ist aber nicht der Normalfall. Aber auch hier reicht es, wenn ich mich zwischen das Opfer und seinen Resolver setzen oder den Resolver z.B. per Cache Poisoning beeinflussen kann. Das Opfer müsste z.B. Certificate Pinning betreiben, um sich zu schützen.
Gruß, Gregor
Zitat von Gregor Hermens gregor.hermens@a-mazing.de:
Hallo Walter,
Am Donnerstag, 20. Oktober 2016 schrieb Walter H.:
On Thu, October 20, 2016 07:57, Gregor Hermens wrote:
In beiden Fällen muß ich nur zusätzlich Einfluß auf den DNS-Resolver des Opfers nehmen können,
was ohne entsprechende Kollateralschäden schon mal nicht möglich ist;
was bei genügend krimineller Energie kein Hexenwerk ist...
doch, weils in der Menge derer, die diesen Resolver verwenden, garantiert mind. einen gibt, dem es verhext vorkommt und mit dem Besen andere warnt ;-)
oder anders: ein MITM Angriff auf die Art nur auf EINE ganz bestimmte Person ist ausgeschlossen;
wenn ich es schaffe, mich in die Internet-Verbindung meines Opfers einzuklinken, kann ich mich diesem gegenüber sowohl als dessen Resolver als auch Mailserver ausgeben.
Beispiel: Ich könnte einen WLAN-Access-Point aufsetzen, diesem die SSID eines offenen WLAN geben, daß das Opfer auch benutzt, mich in die Nähe des Opfers begeben und so dafür sorgen, daß sich dessen Smartphone statt über das Mobilfunknetz über das ihm bekannte WLAN mit dem Internet verbindet. Der echte Resolver und dessen andere Nutzer bekommen davon nichts mit, ich habe aber Zugriff auf den gesamten unverschlüsselten Traffic des Opfers und kann verschlüsselten Traffic terminieren für alle Gegenstellen, deren Zertifikat ich fälschen konnte. Der Angriff auf eine einzelne Person ist imho also sogar leichter als der auf eine ganze Gruppe.
hat jemand seine eigene Domain, und betreibt zusätzlich seinen eigenen Resolver sowie auch die Athoritativen DNS Server der Domain, ist ein derartiger MITM-Angriff das kleinere Problem ...
Das ist aber nicht der Normalfall. Aber auch hier reicht es, wenn ich mich zwischen das Opfer und seinen Resolver setzen oder den Resolver z.B. per Cache Poisoning beeinflussen kann. Das Opfer müsste z.B. Certificate Pinning betreiben, um sich zu schützen.
Gruß, Gregor
Dafür gibt es DNSSEC und DANE. Zertifikat Pinning skaliert nicht und verschiebt die Sicherheits Entscheidung zum Endanwender, der i.d.R. mit Zertifikate verifizieren überfordert ist.
Gruß
Andreas
Hallo Gregor
On Thu, October 20, 2016 10:29, Gregor Hermens wrote:
oder anders: ein MITM Angriff auf die Art nur auf EINE ganz bestimmte Person ist ausgeschlossen;
wenn ich es schaffe, mich in die Internet-Verbindung meines Opfers einzuklinken, kann ich mich diesem gegenüber sowohl als dessen Resolver als auch Mailserver ausgeben.
auf die Art? ;-) http://web.archive.org/web/20151202203337/http://telecom.kz/en/news/view/187...
Beispiel: Ich könnte einen WLAN-Access-Point aufsetzen, ...
seit wann gilt eine WLAN-Verbindung als sicher?
(man benutzt öffentliche WLANs doch grundsätzlich nur mit VPNs)
Grüße, Walter
Am 20.10.2016 um 14:28 schrieb Walter H.:
seit wann gilt eine WLAN-Verbindung als sicher? (man benutzt öffentliche WLANs doch grundsätzlich nur mit VPNs)
Eine SSL/TLS-Verbindung ist End-zu-End verschlüsselt, da spielt es keine Rolle ob jemand den WLAN-Verkehr abhört.
Und nein, man nutzt öffentliches WLAN nicht grundsätzlich mit VPN. Man darf lediglich keine personenbezogenen Daten ohne https übertragen, aber das sollte man ohnehin auch nicht beim heimischen DSL-Anschluss tun. Die Gefahr, dass dort jemand mitlauscht ist zwar geringer, aber nicht Null (siehe NSA Datenausleitungen an Internetknoten).
participants (4)
-
Gregor Hermens -
Joachim Fahrner -
lst_hoe02@kwsoft.de -
Walter H.