Die Gefahr sicherer Verbindungen

Was ist eine sichere Verbindung?

Eine sichere Verbindung soll Daten, die per Internet zwischen zwei Computern übermittelt werden, vor fremdem Zugriff schützen. Die Verwendung sicherer Verbindungen verfolgt verschiedene Ziele:

  • Vertrauliche Daten vor Außenstehenden verbergen;
  • Identität des Gegenübers feststellen;
  • Übermittelte Informationen vor Einsicht und Veränderung durch Dritte schützen.




Abbildung 1. Zugriff auf den Briefkasten des Microsoft Exchange-Servers während einer sicheren Verbindung

Die gesicherte Übertragung von Daten kann mit unterschiedlichen Mitteln umgesetzt werden. In jedem Fall werden die Daten verschlüsselt und es werden spezielle Schlüssel zu deren Dechiffrierung eingesetzt. Diese Schlüssel (oder auch Zertifikate) werden gewöhnlich in speziellen Datenbanken verwahrt (den so genannten Zertifikatsspeichern), auf die ausschließlich autorisierte Anwender Zugriff haben.

  1. Verschlüsselung von Informationen. Dieser Ansatz enthält das Verbergen von Daten (z.B. E-Mails) vor Dritten und die Überprüfung der Authentizität des Absenders. Die Überprüfung der Authentizität der beteiligten zwei Computer ist bei dieser Methode allerdings nicht vorgesehen. Zur Herstellung einer verschlüsselten Nachricht, die von beiden Seiten gelesen werden kann, muss ein entsprechendes Programm installiert werden (etwa PGP, GPG oder S/MIME). Die Verschlüsselung von Daten ist im E-Mail-Verkehr am weitesten verbreitet.



Abbildung 2. Datenverschlüsselung per PGP
  1. Verschlüsselung der Datenübertragung. Dieser Ansatz sieht das Verbergen des gesamten Inhalts der Netzverbindung sowie die Überprüfung der Authentizität der an der Netzverbindung beteiligten Computer vor. Allerdings werden die Daten selbst – im Gegensatz zur erstgenannten Methode – in den meisten Fällen nicht verifiziert. So ist es beispielsweise nicht möglich, die Authentizität des Absenders einer über einen verschlüsselten Kanal übertragenen E-Mail festzustellen. Verschlüsselungsprotokolle dieser Art sind SSL und TLS.




Abbildung 3. Konfiguration einer sicheren Verbindung in Outlook Express

Die überwiegende Mehrheit der Internet-Anwendungen unterstützt heute die Verschlüsselung der Datenübertragung, unter anderem bei E-Mail-Servern, Client-Programmen, Web-Servern und Browsern. Dies gilt auch für die meisten Netzanwendungen wie Online-Banking- und Bezahl-Systeme. Die Umsetzung ist hierbei sehr einfach: Innerhalb der hergestellten gesicherten Verbindung kann ein Standardprotokoll zur Datenübertragung eingesetzt werden, so dass die von Programmierern vorzunehmenden Veränderungen innerhalb der fertigen Netzanwendung nur sehr gering sind. Die allgemein bekannten Protokolle funktionieren folgendermaßen:

  • HTTPS (gewöhnliches HTTP – das wichtigste Internetprotokoll – wird mittels SSL/TLS verschlüsselt)
  • POPS (gewöhnliches POP3 – das wichtigste Protokoll für den E-Mail-Empfang – wird mittels SSL/TLS verschlüsselt)
  • SMTPS (gewöhnliches SMTP – das wichtigste Protokoll für den E-Mail-Versand – wird mittels SSL/TLS verschlüsselt)
  • IMAPS (gewöhnliches IMAP4 – ein verbreitetes Protokoll für den E-Mail-Empfang – wird mittels SSL/TLS verschlüsselt)
  • NNTPS (gewöhnliches NNTP – ein verbreitetes Protokoll zum Lesen von Nachrichten – wird mittels SSL/TLS verschlüsselt)

Einige Webdienste stellen ihren Service ausschließlich über sichere Verbindungen zur Verfügung, wie etwa der E-Mail-Dienst GoogleMail.

Schutz vor Internet-Bedrohungen

Per Internet werden nicht ausschließlich nützliche, sondern auch für den Computer gefährliche Informationen übertragen. Die meisten aktuellen Bedrohungen sind klassische Beispiele für schädliche Daten, wie etwa Hacker-Attacken, Trojaner, E-Mail-Würmer und Exploits.

Die folgenden Programm-Typen und Software-Hardware-Kombinationen sollen vor schädlichen Daten im Netz schützen:

  • Firewall
    • Überprüft jede Netzverbindung des lokalen Computers auf Übereinstimmung mit den bestehenden Regeln und lässt die Verbindung dementsprechend zu oder blockiert sie.
    • Erkennt Trojaner beim Versuch, gesammelte vertrauliche Daten weiterzuleiten, kann diese aber nicht löschen.
    • Erkennt Viren weder in einer gewöhnlichen noch in einer verschlüsselten Verbindung.




Abbildung 4. Firewall-Anwendungsregeln
  • Systeme zum Schutz vor Netzattacken (IDS – Intrusion Detection System):
    • Suchen (und blockieren) – unabhängig vom benutzten Protokoll – Hacker-Angriffe;
    • Können Viren erkennen, diese aber nicht aus den verbreiteten Protokollen löschen. Die einzig mögliche Aktion bei Entdeckung eines Virus in einer E-Mail ist daher der Abbruch der Verbindung zum Internet. Das allerdings ist kein garantierter Schutz vor Viren im Mailverkehr, und als Folge wird beim Versuch, andere E-Mails vom Server zu empfangen, die Verbindung durch die infizierte Mail immer wieder abgebrochen;
    • Können Viren in einer verschlüsselten Verbindung nicht erkennen.


Abbildung 5. Blockierung einer Netzattacke
  • Antivirus-Programme (E-Mail- und Web-Anti-Virus):
    • Entdecken jeden beliebigen, ihnen bekannten Virus während der Übertragung oder des Empfangs über ein bekanntes Protokoll und machen diesen unschädlich;
    • Können keine Viren in einer verschlüsselten Verbindung erkennen.


Abbildung 6. Entdeckung eines Virus in einer Swap-Datei

Die Gefahr sicherer Verbindungen

Wie bereits erläutert, können über Internetverbindungen sowohl nützliche als auch schädliche Daten übertragen werden. Standard-Software ist in der Lage, Computer vor Bedrohungen in gewöhnlichen Netzverbindungen zu schützen; gegen Bedrohungen in gesicherten Verbindungen können herkömmliche Schutzprogramme allerdings nichts ausrichten, da – gerade auf Grund des gesicherten Status – eine Überprüfung des Inhalts nicht möglich ist. Über gesicherte Kanäle übertragene Schadcodes können so unter Umständen größeren Schaden anrichten als über gewöhnliche Verbindungen übertragene Malware.

Da die Verschlüsselung von Netzkanälen in der Umsetzung sehr einfach ist und es (in den meisten Fällen) keine Authentifizierung des Dateiautors gibt, entsteht eine durchaus paradoxe Situation: eine „sichere Verbindung“ schafft die Illusion von Sicherheit, obwohl es keinerlei Garantie dafür gibt, dass über diese Verbindung keine Schadprogramme übertragen werden.

Die Gefahr, die sichere Verbindungen in sich bergen, gewinnt gerade heute – da diese immer größere Verbreitung erfahren – zunehmend an Aktualität. Nachdem die Unterstützung von SSL/TLS in allen populären Internet-Anwendungen realisiert wurde, bietet die Mehrheit der Server im Internet ihre Dienste über gesicherte Verbindungen an. Neben Sites von Banken bieten auch immer mehr E-Mail-Dienste und Online-Kontaktbörsen den Zugang zu ihren Sites ausschließlich über sichere Verbindungen an. Dabei sind die Administratoren dieser Server oftmals so unzureichend qualifiziert, dass selbst die Einrichtung des Servers zur Herstellung einer sicheren Verbindung nicht immer gelingt.

Die Situation verschärft sich zudem dadurch, dass Remote-Attacken auf die Computer von Endanwendern organisiert werden, beispielsweise durch das einfache Platzieren einer infizierten Datei auf einem Server, der nur über eine gesicherte Verbindung erreichbar ist.

Hierzu nun einige Beispiele:

GoogleMail und Viren

Der E-Mail-Dienst GoogleMail ermöglicht nur den Zugang über eine sichere Verbindung. Es ist bekannt, dass auf dem E-Mail-Server von GoogleMail ein Antivirus-Programm installiert ist. Stellen wir uns nun einmal – rein hypothetisch – die folgende Situation vor:

  1. Ein Virenautor schickt seinen Virus an den Briefkasten eines GoogleMail-Benutzers.
  2. Das Antivirus-Programm von GoogleMail erkennt den Virus nicht, da die Antivirus-Datenbank nicht rechtzeitig aktualisiert wurde.
  3. Nach einer gewissen Zeit lädt der Benutzer die infizierte E-Mail auf seinen Computer, da das Antivirus-Programm von GoogleMail zur Optimierung seiner Arbeit die E-Mail nur beim Empfang im Briefkasten, nicht aber bei der Weiterleitung an den Anwender überprüft.
  4. Auf dem lokalen Computer wird der Virus – selbst bei aktivem lokalen E-Mail-Antivirus und bereits bekannter Signatur – nicht entdeckt, da entsprechend der Vorgaben von GoogleMail die Verbindung verschlüsselt war und das lokale Antivirus-Programm die Mail nicht überprüfen konnte.
  5. Der Datei-Antivirus erkennt den Virus in der E-Mail-Datenbank und fordert den User auf, sie zu löschen, da in manchen Fällen die Desinfizierung von E-Mail-Datenbanken nicht möglich ist.
  6. Ergebnis: Der Benutzer verliert seine gesamten E-Mails.

Viren auf Webservern

Ein weiteres, nicht weniger aufschlussreiches Beispiel ist die Platzierung einer infizierten Datei auf einem Webserver. Wird der Virus auf einem gewöhnlichen HTTP-Server platziert, so droht einem durch einen Web-Antivirus geschützten Computer keine Gefahr. Die Situation wird allerdings ungleich undurchsichtiger, wenn der Virus auf einem Server abgelegt wird, der seine Dienste nur über das gesicherte HTTPS-Protokoll anbietet:

  1. Ein Virenschreiber, der eine Lücke im Zugang zu den auf dem Server gespeicherten Dateien nutzt (wie es bei dem Aufsehen erregenden Fall von infizierten Servern des russischen Providers Valuehost geschehen ist), ersetzt einen Teil dieser Dateien durch seinen Virus.
  2. Der User besucht mit Hilfe eines gewöhnlichen Browsers über das HTTPS-Protokoll die ihm bekannte Site. Der Web-Antivirus kann die Daten innerhalb der verschlüsselten Verbindung nicht einsehen und das Herunterladen der infizierten Dateien somit nicht verhindern.
  3. Anstelle einer normalen Web-Site wird ein Virus heruntergeladen, der eine Schwachstelle im Browser ausnutzt. Auch der Datei-Antivirus ist nicht in der Lage seine Ausführung zu verhindern, da die infizierte Datei von ihm erst nach dem Kopieren auf die Festplatte erkannt werden kann, was in diesem Fall bedeutet: erst nach Ausführung des Schadcodes.
  4. Ergebnis: Der Computer ist infiziert.

Lösungen

Um die Überprüfung von Daten zu gewährleisten, die über sichere Verbindungen übertragen werden, stellen die meisten Antivirus-Hersteller PlugIns für die Web-Anwendungen zur Verfügung. Dieser Ansatz hat sowohl Vor- als auch Nachteile:

  • Vorteile:
    • Der Datenstrom zwischen dem Kunden und dem Server wird nicht verändert
    • Der Datenstrom ist für Dritte unsichtbar
  • Nachteile:
    • Bei vielen Anwendungen ist der Einsatz von PlugIns nicht möglich, wie etwa bei dem am weitesten verbreiteten E-Mail-Programm Outlook Express.
    • Die Möglichkeiten, PlugIns zu nutzen sind eingeschränkt. Auch hier dient wieder Outlook Express als Beispiel.




Abbildung 7. Antivirus-PlugIn für Microsoft Office Outlook

Eine Alternative zu PlugIns ist eine Kontrolle im Traffic, die auf der Man-In-The-Middle-Methode basiert. Bei dieser Lösung entfallen die negativen Seiten der PlugIn-Architektur. Doch obwohl auch sie durchaus Nachteile mit sich bringt, sind die Antivirus-Hersteller gezwungen diesen Weg zu gehen, um die Anwender zu schützen.

Die beschriebene Methode ist ein Angriff auf das Wesen von SSL/TLS, denn sie fängt die sichere Verbindung ab, wechselt das Originalzertifikat und stellt zwei gesicherte Verbindungen her – und zwar zwischen der Anwendung und dem Proxy-Antivirus sowie zwischen dem Proxy-Antivirus und dem anderen Computer.



Abbildung 8. Gewöhnliche sichere Verbindung



Abbildung 9. Überprüfbare sichere Verbindung
  • Vorteile:
    • Die Überprüfung der Verbindung wird für jede Client-Anwendung durchgeführt.
    • Die Überprüfung der Verbindung auf Viren wird für jedes bekannte Protokoll durchgeführt.
    • Neben der Antivirus-Überprüfung des Proxy können die Daten unter anderem auch auf Phishing, Spam usw. überprüft werden.
    • Ohne einen Angriff auf den Man-In-The-Middle ist Dritten die Einsicht in den Datenstrom nicht möglich.
  • Nachteile:
    • Der Datenstrom zwischen dem Kunden und dem Server wird verändert, was verschiedene Konsequenzen haben kann:
      • Die Webanwendung kann die Authentizität des Servers nicht feststellen;
      • Der Server kann die Authentizität des Kunden nicht feststellen;
      • Führt der Proxy keine eigene Überprüfung der Authentizität durch, ist eine echte Man-In-The-Middle-Attacke möglich, in diesem Fall zwischen Proxy und Server. Eine derartige Attacke könnte von einem Virenschreiber genutzt werden, um Daten einzusehen und zu vertauschen.

In der Praxis birgt eine kompetent organisierte Überprüfung im Traffic keine reale Gefahr für den Anwender, da sie direkt auf dem lokalen Computer – auch im Dialog mit dem Anwender – durchgeführt wird. Alle vom entfernten Computer empfangenen Zertifikate können vom Antivirus-Programm im Zertifikatsspeicher genauso überprüft werden wie von einer Webanwendung.

Die Nachteile diese Technik werden durch den vollwertigen Schutz des Computers vor Bedrohungen in allen Arten von Netzverbindungen um ein Vielfaches wettgemacht.

Kaspersky Internet Security

Kaspersky Internet Security bietet unter anderem die Überprüfung sicherer Verbindungen auf beide dargestellten Arten:

  1. PlugIns für folgende Web-Anwendungen:
    • MS Outlook,
    • TheBat,
    • IE ScriptChecker
  2. Überprüfung gesicherter Verbindungen im Traffic nach der Man-In-The-Middle-Methode:
    • Kaspersky Internet Security erstattet Bericht über alle vollzogenen Aktionen:
      • Warnung des Anwenders vor der Ersetzung des Serverzertifikats durch das eigene Zertifikat;
      • Überprüfung des vom Server erhaltenen Zertifikats im Zertifikatsspeicher von Windows – wie auch von der Web-Anwendung durchgeführt;
      • Auslassung des letzten Schritts er Man-In-The-Middle-Methode, nämlich der Registrierung des ausgetauschten Zertifikats im Speicher für vertrauenswürdige Zertifikate. Dies obliegt dem Anwender.
    • Kaspersky Internet Security bietet die Möglichkeit, die Überprüfung der Verbindungen für die Anwendung, den Server und den Port gesondert zu deaktivieren. Damit werden alle denkbaren Fragen zur korrekten Funktion der Überprüfung der Authentizität des Kunden beantwortet.
    • Kaspersky Internet Security führt alle möglichen Überprüfungen in gesicherten Verbindungen durch:
      • Der Web-Antivirus erkennt Viren im Browsertraffic
      • Der E-Mail-Antivirus entdeckt Viren im Traffic des E-Mail-Programms
      • Das Anti-Phishing_Modul erkennt gefälschte Sites und Links, die auf solche verweisen
      • Das Anti-Banner-Modul schützt den Anwender vor aufdringlicher Werbung
      • Die Komponente Anti-Spam schützt den Anwender vor unerwünschten E-Mails




Abbildung 10. Erkennen des Test-Virus eicar.com in einer gesicherten Browser-Verbindung

Fazit

Sichere Verbindungen dienen dem Schutz der übertragenen Daten. Allerdings gibt es heutzutage Bedrohungen, die ebenso gefährlich sind wie Raub oder Veränderung von Informationen und vor denen sichere Verbindungen keinen Schutz bieten.

Außerdem führt der Begriff „sichere Verbindung“ den Anwender in die Irre und weckt bei ihm die falsche Vorstellung von garantierter Sicherheit. Die Situation wird zudem kompliziert, dass Standard-Sicherheitssoftware innerhalb sicherer Verbindungen ihre Funktionen nicht ausführen kann.

Für einen vollwertigen Schutz von Computern vor allen Web-Bedrohungen ist der Einsatz spezieller Methoden zur Überprüfung gesicherter Verbindungen unerlässlich. Die einfachste und offensichtlichste Lösung besteht in diesem Fall in der Verwendung von PlugIns für Web-Anwendungen, doch leider unterstützen viele Anwendungen deren Integration nicht oder schränken ihre Funktionalität wesentlich ein. Eine zusätzliche Lösung, die von Antivirus-Herstellern angeboten wird, ist die Überprüfung des Traffics.

Die Gefahr sicherer Verbindungen ist in keinem Fall zu unterschätzen. Bei der Auswahl von Schutz-Software für den eigenen Computer sollte man sich unbedingt davon überzeugen, dass das gewählte Antivirus-Programm vollwertigen Schutz vor allen Web-Bedrohungen bietet.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.