Über die Manipulation unverschlüsselter Datenströme Schutzlos gegen “network injection”-Angriffe

Digital

Es ist mal wieder an der Zeit für einen Realitätsabgleich, was so alles möglich ist, in der Welt der Überwacher. Zeit für ein Paranoia-Upgrade.

Laptop Tastatur mit Hintergrundbeleuchtung.
Mehr Artikel
Mehr Artikel

Laptop Tastatur mit Hintergrundbeleuchtung. Foto: ©User:ColinWikimedia Commons(CC BY-SA-4.0 cropped)

18. August 2014
0
0
4 min.
Drucken
Korrektur
Kürzlich hat der Journalist und Forscher Morgan Marquis-Boire beim Citizen Lab an der University of Toronto's Munk School of Global Affairs Forschungsergebnisse über gezielteManipulation unverschlüsselter Datenströme im Internet publiziert und bei The Intercepteinen Artikel dazu veröffentlicht. Während selbst erfahrene Internetnutzer bisher davon ausgegangen sind, dass, wer sich einen Virus einfing, dazu seinen Teil beigetragen habe – sei es durch das öffnen von Mailanhängen unbekannter Absender oder Besuchen ominöser Websites -, zeigen die neuen Veröffentlichungen nun: Um einem Ziel einen Virus unterzujubeln reicht es aus, dass dieser eine harmlose Seite wie YouTube aufruft.

Immerhin hat sich seit denSnowden-Enthüllungen das Wissen darüber, dass unverschlüsselt durchs Netzt geschickte Daten postkartenähnlich unterwegs sind und von jedem mitgelesen werden können, weit verbreitet, jedoch wissen die wenigsten, dass unverschlüsselte Datenströme auch dazu einladen, manipuliert zu werden.

Der jetzt dokumentierte Angriff funktioniert wie folgt:

Eine Firma oder eine staatliche Einrichtung kauft sich für einen Haufen Geld von einer Hackerfirma wie der 'Gamma Group' oder dem 'Hacking Team' ein “network injection appliance”. Es handelt sich dabei um ein Stück Hardware, das bei einem ISP (Internet Service Provider: Telekom, Kabel Deutschland etc.) im Rechenzentrum – dort, wo all unsere Daten entlangfliessen – eingebaut wird.

Diese Geräte, durch die der komplette Internettraffic dann fliesst, spezialisieren sich auf die Daten der Zielperson. Im Falle der italienischen Firma 'Hacking Team' wurde das Gerät darauf programmiert, abzuwarten bis der Benutzer ein beliebiges YouTube-Video aufruft. Schickt YouTube nun einen FlashPlayer zur Wiedergabe eines Videos an die Zielperson, wird dieser abgefangen und vom Gerät kurzerhand durch einen eigenen manipulierten Player ersetzt.

Hier spielte bisher auch eine Rolle: Selbst wer per https auf YouTube surfte, war bisher nicht immun gegen diesen Angriff, da der Videoplayer trotzdem unverschlüsselt übertragen wurde.

Der Nutzer bekommt von diesem Vorgang nichts mit und ist sich keiner Gefahr bewusst, hat er doch nur auf YouTube ein Video aufgerufen und keinen Spamlink aus den Kommentaren geöffnet. Die Möglichkeiten einer Zielperson über diesen Weg unbemerkt manipulierte Websites unterzujubeln, sind schier unbegrenzt. Meist dürfte dieser Weg dazu genutzt werden, einen Trojaner auf den Rechner des Opfers zu schleusen. Dass Google schnell reagiert hat und YouTube zumindest in der https-Version nun komplett verschlüsselt übertragen wird, ist gut, minimiert die Gefahr aber nur gering.

Denn auch in anderen Bereichen sind Angriffe per “network injection” denkbar. So liessen sich kinderleicht beliebige Inhalte von Websites manipulieren, auch dieser Artikel hier auf dem Weg vom Server zu euch. Angriffe dieser Art sind für einen Grossteil des Internets denkbar, denn welche Seiten bieten schon umfängliche https-Versionen bei der alle Seiten verschlüsselt übertragen werden? Indymedia Linksunten ist solch ein Vorreiter, und auch einige grosse Anbieter wie Facebook und Gmail, Suchmaschinen wieDuckDuckGo, Nachrichtenseiten wie der bereits oben verlinkten Intercept sowie die meisten Mailanbieter und Onlinebankingseiten bieten die auf dem TLS-Protokoll basierende Verschlüsslung zwischen Nutzer und Server inzwischen standardmässig an.

Auch wenn die beiden Webgiganten Facebook und Google mit ihrer Einführung von https für die Massen viel verändert haben, wird ein grosser Teil von dem, was wir im Netz aufrufen, weiterhin im Klartext übertragen.

Bei der Nutzung von Verschlüsslung gilt: Um so mehr verschlüsselte Daten zirkulieren, desto weniger verdächtig sind Einzelne, die verschlüsselt kommunizieren! Und: Umso mehr verschlüsselt übertragen wird, desto weniger Informationen landen z.B. bei einer polizeilichen Telekommunikationsüberwachung (TKÜ) oder ähnlichem auf dem Tisch der Staatsanwaltschaft. Denn auch hier wird der ein- und ausgehende Traffic beim Internetanbieter (ISP) mitgeschnitten. Bei verschlüsselten Daten ist dann höchstens ersichtlich, von wo sie kamen, nicht aber der Inhalt.

Viel mehr als das Browseraddon HTTPS-Everywhere zu installieren um zumindest bei einigen grossen Seiten automatisch auf die verschlüsselte Version umgeleitet zu werden, sofern sie denn eine anbieten, kann man auch nicht unternehmen. Es gilt abzuwarten, ob ein Umdenken bei den Websitenbetreibern stattfindet. Google hat erst vor ein paar Tagenangekündigt, Seiten die Verschlüsselung bieten, im Ranking der Suchergebnisplatzierung zu bevorzugen.

Daniel Remsch / lcm