Schutzlos gegen “network injection"-Angriffe
Es ist mal wieder an der Zeit für einen Realitätsabgleich, was so alles möglich ist, in der Welt der Überwacher. Zeit für ein Paranoia-Upgrade.
Kürzlich hat der Journalist und Forscher Morgan Marquis-Boire beim Citizen Lab an der University of Toronto's Munk School of Global Affairs Forschungsergebnisse über gezielte Manipulation unverschlüsselter Datenströme im Internet publiziert und bei The Intercept einen Artikel dazu veröffentlicht. Während selbst erfahrene Internetnutzer bisher davon ausgegangen sind, dass, wer sich einen Virus einfing, dazu seinen Teil beigetragen habe - sei es durch das öffnen von Mailanhängen unbekannter Absender oder Besuchen ominöser Websites -, zeigen die neuen Veröffentlichungen nun: Um einem Ziel einen Virus unterzujubeln reicht es aus, dass dieses eine harmlose Seite wie YouTube aufruft.
Immerhin hat sich seit den Snowden-Enthüllungen das Wissen darüber, dass unverschlüsselt durchs Netzt geschickte Daten postkartenähnlich unterwegs sind und von jedem mitgelesen werden können, weit verbreitet, jedoch wissen die wenigsten, dass unverschlüsselte Datenströme auch dazu einladen, manipuliert zu werden.
Der jetzt dokumentierte Angriff funktioniert wie folgt:
Eine Firma oder eine staatliche Einrichtung kauft sich für einen Haufen Geld von einer Hackerfirma wie der 'Gamma Group' oder dem 'Hacking Team' ein “network injection appliance”. Es handelt sich dabei um ein Stück Hardware, das bei einem ISP (Internet Service Provider: Telekom, Kabel Deutschland etc.) im Rechenzentrum - dort, wo all unsere Daten entlangfließen - eingebaut wird.
Diese Geräte, durch die der komplette Internettraffic dann fließt, spezialisieren sich auf die Daten der Zielperson. Im Falle der Italienischen Firma 'Hacking Team' wurde das Gerät darauf programiert, abzuwarten bis der Benutzer ein beliebiges YouTube-Video aufruft. In diesem Moment werden die Daten auf dem weg vom YouTube-Server zum Ziel manipuliert, und an kommt der Hinweis, zur wiedergabe des Videos würde ein Update des Flashpalyers benötigt. Gamma bietet ähnliches für iTunes an. Der Nutzer wähnt sich in Sicherheit, denn in der Adressleiste steht ohne Zweifel die richtige Domain.
Hier spielte bisher auch eine Rolle: Selbst wer per https auf YouTube surfte, war bisher nicht immun gegen diesen Angriff, da der Videoplayer trotzdem unverschlüsselt übertragen wurde.
Dass Google schnell reagiert hat und YouTube zumindest in der https-Version nun komplett verschlüsselt übertragen wird, ist gut, minimiert die Gefahr aber nur minimal.
Der Nutzer bekommt von diesem Vorgang nichts mit und ist sich keiner Gefahr bewusst, hat er doch nur auf YouTube ein Video aufgerufen und keinen Spamlink aus den Kommentaren geöffnet.
Die Möglichkeiten einer Zielperson über diesen Weg unbemerkt manipulierte Websites unterzujubeln, sind schier unbegrenzt. So hat Gamma auch Browserexploits im Angebotdie ganz ohne zutun des Users aktiv werden, also nicht erst ein Update vorgaukeln bei dem sich er Nutzer den Virus selber installiert, sondern z.B. wie im geleakten Werbevideo zu sehen direkt aus dem Browser heraus Programme starten können. Meist dürfte allerdings der oben beschriebene Weg des angeblichen Softwareupdates genutzt werden, um Trojaner auf Rechner zu schleusen.
Die Möglichkeiten der “network injection” sind sehr vielseitig, und bei weitem nicht auf Trojaner-Angriffe begrenzt. Es ließen sich kinderleicht beliebige Inhalte von Websites manipulieren, auch dieser Artikel hier auf dem Weg vom Blogsport-Server zu euch. Angriffe dieser Art sind für einen Großteil des Internets denkbar, denn welche Websites bieten schon umfängliche https-Versionen bei der alles verschlüsselt übertragen werden? Indymedia Linksunten ist solch ein Vorreiter, und auch einige große Anbieter wie Facebook und Gmail , Suchmaschienen wie DuckDuckGo, Nachrichtenseiten wie der bereits oben verlinkte Intercept sowie die meisten Mailanbieter und Onlinebankingseiten bieten die auf dem TLS-Protokoll basierende Verschlüsslung zwischen Nutzer und Server inzwischen standardmäßig an.
Auch wenn die beiden Webgiganten Facebook und Google mit ihrer Einführung von https für die Massen viel verändert haben wird ein großer Teil von dem, was wir im Netzt aufrufen, weiterhin im Klartext übertragen.
Bei der Nutzung von Verschlüsslung gilt: Um so mehr verschlüsselte Daten zirkulieren, desto weniger verdächtig sind Einzelne, die verschlüsselt kommunizieren! Und: Umso mehr verschlüsselt übertragen wird, desto weniger landet z.B. bei einer polizeilichen Telekommunikationsüberwachung (TKÜ) oder ähnlichem auf dem Tisch der Staatsanwaltschaft. Denn auch hier wird der ein- und ausgehende Traffic beim Internetanbieter (ISP) mitgeschnitten. Bei verschlüsselten Daten ist dann höchstens ersichtlich, von wo sie kamen, nicht aber der Inhalt.
Viel mehr als das Browseraddon HTTPS-Everywhere zu installieren, um zumindest bei einigen großen Seiten automatisch auf die verschlüsselte Version umgeleitet zu werden, sofern sie denn eine anbieten, kann man auch nicht unternehmen. Es gilt abzuwarten, ob ein Umdenken bei den Websitenbetreibern stattfindet. Google hat erst vor ein paar Tagen angekündigt, Seiten die Verschlüsselung bieten, im Ranking der Suchergebnisplatzierung zu bevorzugen.
Es ist mal wieder an der Zeit für einen Realitätsabgleich, was so alles möglich ist, in der Welt der Überwacher. Zeit für ein Paranoia-Upgrade.
Kürzlich hat der Journalist und Forscher Morgan Marquis-Boire beim Citizen Lab an der University of Toronto's Munk School of Global Affairs Forschungsergebnisse über gezielte Manipulation unverschlüsselter Datenströme im Internet publiziert und bei The Intercept einen Artikel dazu veröffentlicht. Während selbst erfahrene Internetnutzer bisher davon ausgegangen sind, dass, wer sich einen Virus einfing, dazu seinen Teil beigetragen habe - sei es durch das öffnen von Mailanhängen unbekannter Absender oder Besuchen ominöser Websites -, zeigen die neuen Veröffentlichungen nun: Um einem Ziel einen Virus unterzujubeln reicht es aus, dass dieses eine harmlose Seite wie YouTube aufruft.
Immerhin hat sich seit den Snowden-Enthüllungen das Wissen darüber, dass unverschlüsselt durchs Netzt geschickte Daten postkartenähnlich unterwegs sind und von jedem mitgelesen werden können, weit verbreitet, jedoch wissen die wenigsten, dass unverschlüsselte Datenströme auch dazu einladen, manipuliert zu werden.
Der jetzt dokumentierte Angriff funktioniert wie folgt:
exploitingyoutubeusersEine Firma oder eine staatliche Einrichtung kauft sich für einen Haufen Geld von einer Hackerfirma wie der 'Gamma Group' oder dem 'Hacking Team' ein “network injection appliance”. Es handelt sich dabei um ein Stück Hardware, das bei einem ISP (Internet Service Provider: Telekom, Kabel Deutschland etc.) im Rechenzentrum - dort, wo all unsere Daten entlangfließen - eingebaut wird.
Diese Geräte, durch die der komplette Internettraffic dann fließt, spezialisieren sich auf die Daten der Zielperson. Im Falle der Italienischen Firma 'Hacking Team' wurde das Gerät darauf programiert, abzuwarten bis der Benutzer ein beliebiges YouTube-Video aufruft. In diesem Moment werden die Daten auf dem weg vom YouTube-Server zum Ziel manipuliert, und an kommt der Hinweis, zur wiedergabe des Videos würde ein Update des Flashpalyers benötigt. Gamma bietet ähnliches für iTunes an. Der Nutzer wähnt sich in Sicherheit, denn in der Adressleiste steht ohne Zweifel die richtige Domain.
Hier spielte bisher auch eine Rolle: Selbst wer per https auf YouTube surfte, war bisher nicht immun gegen diesen Angriff, da der Videoplayer trotzdem unverschlüsselt übertragen wurde.
Dass Google schnell reagiert hat und YouTube zumindest in der https-Version nun komplett verschlüsselt übertragen wird, ist gut, minimiert die Gefahr aber nur minimal.
Der Nutzer bekommt von diesem Vorgang nichts mit und ist sich keiner Gefahr bewusst, hat er doch nur auf YouTube ein Video aufgerufen und keinen Spamlink aus den Kommentaren geöffnet.
Die Möglichkeiten einer Zielperson über diesen Weg unbemerkt manipulierte Websites unterzujubeln, sind schier unbegrenzt. So hat Gamma auch Browserexploits im Angebotdie ganz ohne zutun des Users aktiv werden, also nicht erst ein Update vorgaukeln bei dem sich er Nutzer den Virus selber installiert, sondern z.B. wie im geleakten Werbevideo zu sehen direkt aus dem Browser heraus Programme starten können. Meist dürfte allerdings der oben beschriebene Weg des angeblichen Softwareupdates genutzt werden, um Trojaner auf Rechner zu schleusen.
Die Möglichkeiten der “network injection” sind sehr vielseitig, und bei weitem nicht auf Trojaner-Angriffe begrenzt. Es ließen sich kinderleicht beliebige Inhalte von Websites manipulieren, auch dieser Artikel hier auf dem Weg vom Blogsport-Server zu euch. Angriffe dieser Art sind für einen Großteil des Internets denkbar, denn welche Websites bieten schon umfängliche https-Versionen bei der alles verschlüsselt übertragen werden? Indymedia Linksunten ist solch ein Vorreiter, und auch einige große Anbieter wie Facebook undGmail , Suchmaschienen wie DuckDuckGo, Nachrichtenseiten wie der bereits oben verlinkte Intercept sowie die meisten Mailanbieter und Onlinebankingseiten bieten die auf dem TLS-Protokoll basierende Verschlüsslung zwischen Nutzer und Server inzwischen standardmäßig an.
Auch wenn die beiden Webgiganten Facebook und https-everywhere-9Google mit ihrer Einführung von https für die Massen viel verändert haben wird ein großer Teil von dem, was wir im Netzt aufrufen, weiterhin im Klartext übertragen.
Bei der Nutzung von Verschlüsslung gilt: Um so mehr verschlüsselte Daten zirkulieren, desto weniger verdächtig sind Einzelne, die verschlüsselt kommunizieren! Und: Umso mehr verschlüsselt übertragen wird, desto weniger landet z.B. bei einer polizeilichen Telekommunikationsüberwachung (TKÜ) oder ähnlichem auf dem Tisch der Staatsanwaltschaft. Denn auch hier wird der ein- und ausgehende Traffic beim Internetanbieter (ISP) mitgeschnitten. Bei verschlüsselten Daten ist dann höchstens ersichtlich, von wo sie kamen, nicht aber der Inhalt.
Viel mehr als das Browseraddon HTTPS-Everywhere zu installieren, um zumindest bei einigen großen Seiten automatisch auf die verschlüsselte Version umgeleitet zu werden, sofern sie denn eine anbieten, kann man auch nicht unternehmen. Es gilt abzuwarten, ob ein Umdenken bei den Websitenbetreibern stattfindet. Google hat erst vor ein paar Tagenangekündigt, Seiten die Verschlüsselung bieten, im Ranking der Suchergebnisplatzierung zu bevorzugen.
Text: Daniel Remsch, Bilder: Citizen Lab