4
Sicherheitsforscher an AV-Hersteller: Finger weg von HTTPS
Wie schon letztens hier diskutiert, sollte man sich das Schlangenöl, das man verwendet ganz genau ansehen.
Das man https-Verbindungen aufbricht, um in die Kommunikation reinzuschauen, mag ja bei Firmen legitim sein. Wenn das aber dazu führt, daß die Firewall/AV-Software nur mit gammligen alten Protokollen, die leicht von Angreifern zu knacken sind mit dem Server kommuniziert, bringt das mehr Nachteile als es an sicherheitsgewinn bringt.
lks
https://www.heise.de/security/meldung/Sicherheitsforscher-an-AV-Herstell ...
Das man https-Verbindungen aufbricht, um in die Kommunikation reinzuschauen, mag ja bei Firmen legitim sein. Wenn das aber dazu führt, daß die Firewall/AV-Software nur mit gammligen alten Protokollen, die leicht von Angreifern zu knacken sind mit dem Server kommuniziert, bringt das mehr Nachteile als es an sicherheitsgewinn bringt.
lks
https://www.heise.de/security/meldung/Sicherheitsforscher-an-AV-Herstell ...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328888
Url: https://administrator.de/forum/sicherheitsforscher-an-av-hersteller-finger-weg-von-https-328888.html
Ausgedruckt am: 17.04.2025 um 06:04 Uhr
4 Kommentare
Neuester Kommentar
Gut zu erwähn und leider Gottes auch ein alter Schuh.
Gab es von Heise nicht auch schon Beiträge wo die Thematik bsp. im Verbund mit Norten usw. erläutert wurde?
Ich finde es leider nicht.
Gab es von Heise nicht auch schon Beiträge wo die Thematik bsp. im Verbund mit Norten usw. erläutert wurde?
Ich finde es leider nicht.
Wahrlich ein alter Schuh, aber mit Löchern. 
Da ist der Admin im Dilemma der staatlichen Institutionen angelangt und muss den Teufel mit dem Beelzebub austreiben.
Es hat mir noch niemand erklären können, warum der stinknormale Traffic einer 08/15 Webseite verschlüsselt werden muss.
In den Anfängen von https wurden sensible Daten verschlüsselt. Zahungsvorgänge etc. Das war gut und nötig.
Warum aber ein öffentlicher Beitrag, den ich an dieses Forum sende verschlüsselt übertragen werden muss?
Warum alle (öffentlichen) News, die ich hier lese und anderswo von niemandem auf ihrem Übertragungsweg mitgelesen werden dürfen?
Schützenswerte Daten gehören verschlüsselt. Fraglos. Aber nicht ALLE.
Wenn ALLES geheim ist, ist NICHTS mehr geheim. Das ist eine alte Erkenntnis.
Ich renne doch auch nicht permanent mit Sturmhaube durch die Welt, damit mich keiner erkennt. Warum nicht? Es ist unnötig. Noch.
Freie Kommunikation bedeutet auch die Möglichkeit ungeschützter Kommunikation. Diese zu verteidigen wäre wichtig. Ich möchte mich frei und offen über alles in der Kneipe um die Ecke unterhalten können und nicht über einen verschlüsselnden Kommunikator!
Statt dessen wird auf beiden Seiten mit guten Argumenten aufgerüstet.
Auf der Strecke bleibt die Freiheit. Und letztlich auch die "Informations-Sicherheit" die wir vor 30 Jahren noch hatten.
Hier werden von Sicherheitsspezialisten Sicherheitsmechanismen ausgehebelt. Da löst man das Problem nicht, indem man den Ball eben mal zurückspielt. Das ist grundlegender Natur.
Warum fahre ich plötzlich Man-in-the-middlle-Attacken auf meine eigenen User? Absurd. Aber begründet.
Wenn aller Traffic Ende-zu-Ende verschlüsselt ist, welche Möglichkeit bleibt, die Attacken auszufiltern, ohne die Verschlüsselung aufzubrechen?
Denn der Virus kommt entschlüsselt auf meinem Client an. Da ist die "Sicherheit" des https-Protokolls am Ende.
Das ist reine Pseudosicherheit. Ein sicherer Raum, der dem Attentäter dieselbe Sicherheit ermöglicht, wie dem Opfer bringt zumindest keinen Schutz vor Anschlägen. Das ist auch in der wirklichen Welt so. Und nein: Ich kann das Dilemma auch nicht lösen, es scheint ein Abwägen nötig zu sein.
Und warum werden (gefühlt, man müsste die Zahlen recherchieren) 90% des Tralala Internet-Traffics verschlüsselt, aber nur 10% der sicher viel schützenswerteren Mail-Kommunikation?
(Das einfache sehr strenge Briefgeheimnis wurde einfach so en passant abgeschafft, nanu?) "Neuland Internet"
Mal wieder auf Sealand.
Buc
P.S.: Die "internationalen Gewässer" werden auch immer kleiner...
Da ist der Admin im Dilemma der staatlichen Institutionen angelangt und muss den Teufel mit dem Beelzebub austreiben.
Es hat mir noch niemand erklären können, warum der stinknormale Traffic einer 08/15 Webseite verschlüsselt werden muss.
In den Anfängen von https wurden sensible Daten verschlüsselt. Zahungsvorgänge etc. Das war gut und nötig.
Warum aber ein öffentlicher Beitrag, den ich an dieses Forum sende verschlüsselt übertragen werden muss?
Warum alle (öffentlichen) News, die ich hier lese und anderswo von niemandem auf ihrem Übertragungsweg mitgelesen werden dürfen?
Schützenswerte Daten gehören verschlüsselt. Fraglos. Aber nicht ALLE.
Wenn ALLES geheim ist, ist NICHTS mehr geheim. Das ist eine alte Erkenntnis.
Ich renne doch auch nicht permanent mit Sturmhaube durch die Welt, damit mich keiner erkennt. Warum nicht? Es ist unnötig. Noch.
Freie Kommunikation bedeutet auch die Möglichkeit ungeschützter Kommunikation. Diese zu verteidigen wäre wichtig. Ich möchte mich frei und offen über alles in der Kneipe um die Ecke unterhalten können und nicht über einen verschlüsselnden Kommunikator!
Statt dessen wird auf beiden Seiten mit guten Argumenten aufgerüstet.
Auf der Strecke bleibt die Freiheit. Und letztlich auch die "Informations-Sicherheit" die wir vor 30 Jahren noch hatten.
Hier werden von Sicherheitsspezialisten Sicherheitsmechanismen ausgehebelt. Da löst man das Problem nicht, indem man den Ball eben mal zurückspielt. Das ist grundlegender Natur.
Warum fahre ich plötzlich Man-in-the-middlle-Attacken auf meine eigenen User? Absurd. Aber begründet.
Wenn aller Traffic Ende-zu-Ende verschlüsselt ist, welche Möglichkeit bleibt, die Attacken auszufiltern, ohne die Verschlüsselung aufzubrechen?
Denn der Virus kommt entschlüsselt auf meinem Client an. Da ist die "Sicherheit" des https-Protokolls am Ende.
Das ist reine Pseudosicherheit. Ein sicherer Raum, der dem Attentäter dieselbe Sicherheit ermöglicht, wie dem Opfer bringt zumindest keinen Schutz vor Anschlägen. Das ist auch in der wirklichen Welt so. Und nein: Ich kann das Dilemma auch nicht lösen, es scheint ein Abwägen nötig zu sein.
Und warum werden (gefühlt, man müsste die Zahlen recherchieren) 90% des Tralala Internet-Traffics verschlüsselt, aber nur 10% der sicher viel schützenswerteren Mail-Kommunikation?
(Das einfache sehr strenge Briefgeheimnis wurde einfach so en passant abgeschafft, nanu?) "Neuland Internet"
Mal wieder auf Sealand.
Buc
P.S.: Die "internationalen Gewässer" werden auch immer kleiner...
Zitat von @the-buccaneer:
Es hat mir noch niemand erklären können, warum der stinknormale Traffic einer 08/15 Webseite verschlüsselt werden muss.
Es hat mir noch niemand erklären können, warum der stinknormale Traffic einer 08/15 Webseite verschlüsselt werden muss.
Das ist ganz einfach: Wenn jeder nur Postkarten verschickt udn nur dann einen verschlossenen Brief nimmt, wenn etwas wichtiges zu schreiben ist, kann der Angreifer sich sehr viel Arbeit sparen und sich nur auf die Briefe konzentieren.
Das dient also auch dazu, die Latte für den Angreifer höher zu hängen.
Wenn Du unverschlüsselte verbindungen nutzt, kannst Du Dir auch nie sicher sein, daß Du wirklich unverfälschte Inhalte der Webseite bekommst, die Du befragst, geschweige denn, ob du überhaupt die richtigen Inhalte bekommst. Deswegen gehört eine Webseite immer verschlüsselt übertragen.
In den Anfängen von https wurden sensible Daten verschlüsselt. Zahungsvorgänge etc. Das war gut und nötig.
Warum aber ein öffentlicher Beitrag, den ich an dieses Forum sende verschlüsselt übertragen werden muss?
Warum alle (öffentlichen) News, die ich hier lese und anderswo von niemandem auf ihrem Übertragungsweg mitgelesen werden dürfen?
Warum aber ein öffentlicher Beitrag, den ich an dieses Forum sende verschlüsselt übertragen werden muss?
Warum alle (öffentlichen) News, die ich hier lese und anderswo von niemandem auf ihrem Übertragungsweg mitgelesen werden dürfen?
Weil sie dann auf dem Weg zu Dir durch fake-News, um mal ein Modewort zu gebrauchen, ersetzt werden könnten.
Schützenswerte Daten gehören verschlüsselt. Fraglos. Aber nicht ALLE.
Wenn ALLES geheim ist, ist NICHTS mehr geheim. Das ist eine alte Erkenntnis.
Wenn ALLES geheim ist, ist NICHTS mehr geheim. Das ist eine alte Erkenntnis.
Nein, das ist keine Erkenntnis sondern nur eine Behauptung, die nicht bewiesen wurde.
Ich renne doch auch nicht permanent mit Sturmhaube durch die Welt, damit mich keiner erkennt. Warum nicht? Es ist unnötig. Noch.
Das ist Äpfel mit Birnen verglichen.Es geht b ei der Vschlüsselung nicht nur darum, daß die leute nicht sehen, was Du siehst, sondern auch das was Du siehst "echt" ist.
Freie Kommunikation bedeutet auch die Möglichkeit ungeschützter Kommunikation. Diese zu verteidigen wäre wichtig. Ich möchte mich frei und offen über alles in der Kneipe um die Ecke unterhalten können und nicht über einen verschlüsselnden Kommunikator!
Wenn Du in der Kneipe offen mit jemandem redest hast Du die Gewähr, daß das was Du hörst, auch das ist, was derjenige der Dir gegenübersitzt sagt, zumindest solange der Alkohol- und Geräuschpegel nicht zu hoch sind. Bei einer unverschlüsselten Kommunikation über das Internet kannst Du Dir nie sicher sein, daß as was Du empfängst das ist, was der Absender Dir schicken wolte.
Wir haben an der Uni schon vor 30 Jahren Angriffsszenarien auf das kabelfernsehen überlegt, wie man z.b. ganz subtil zwei nachbarorte aufeinender Hetzen könnte durch verändern der eingespeisten Nachrichten, ohne daß der rest der republik das überhaupt mitbekommt.
Auf der Strecke bleibt die Freiheit. Und letztlich auch die "Informations-Sicherheit" die wir vor 30 Jahren noch hatten.
Wir hatten nie ordentliche Informationssicherheit, weil diese immer durch Behörden gezielt torpediert wurde.
Warum fahre ich plötzlich Man-in-the-middlle-Attacken auf meine eigenen User? Absurd. Aber begründet.
Weil die Anforderungen im Firmenumfeld andere sind als bei Privatpersonen. Was da fehlt sind entsprechenden protokoll-Spezifikationen für Firmen-gateways.
Wenn aller Traffic Ende-zu-Ende verschlüsselt ist, welche Möglichkeit bleibt, die Attacken auszufiltern, ohne die Verschlüsselung aufzubrechen?
Will man die aufbrechen, muß man die aufbrechen? Man muß Frmengateways entsprechend konfigurieren udn passen de Protokolle spezifizieren, daß eben die verschlüsselung ab dem gateway greift und nciht bist zum Client durchgereicht wird.
Denn der Virus kommt entschlüsselt auf meinem Client an. Da ist die "Sicherheit" des https-Protokolls am Ende.
Dann muß man auch entsprechenden maßnahmen am Client treffen oder wieder zu terminals zurückkehren.
Und warum werden (gefühlt, man müsste die Zahlen recherchieren) 90% des Tralala Internet-Traffics verschlüsselt, aber nur 10% der sicher viel schützenswerteren Mail-Kommunikation?
Weil bei http die enstsprechenden tools ohne Zutun des Nutzers funktionieren. bei Mail muß der user selbst aktiv werden.
Also:
(Fern-)Kommunikation gehört immer verschlüsselt oder zumindest signiert, weil nur so die Authentizität gewährleistet ist. Vertraulichkeit ist nur mit Verschlüsselung gewährleistet.
lks
Nach langer Zeit, aber ich hatte den guten Reply nicht vergessen...
Zuerst ne relativ naive Frage: Gibt es nicht einen Unterschied zwischen "signieren" (worauf du dich großteils beziehst) und "verschlüsseln"?
Würde es also nicht reichen, sicher zu authentifizieren? Das ist ja, was ich in der Kneipe mache. Auch nach einigen Bier bin ich mir sicher, dass mein Gegenüber der ist, dem ich das sagen will. Das müsste man im WWW abbilden.
Wie ich eine sichere Signatur über eine unsichere Verbindung übertrage? Na, "in echt" gehts ja auch.
Da müssen Protokolle irgendwie gemixt werden, was weiss ich. Kreativität ist unser Motor. Ich bin kein Entwickler.
Mir geht ja nur dieser ganze "Pseudo-Security-Wahn" auf die Nerven.
Alle legitimen Webseiten stellen auf "Secure" und ich muss gucken, dass nicht die Malware "Secure" wird und auf meinen Clients landet, obwohl sie vorher gefiltert werden könnte. Das ist nix. Das ist Mist.
Und wenn ich sie auf meinem Gateway aufbreche (oder sie dort endet) ist es eben keine "Ende zu Ende" Verschlüsselung mehr. Sie liefert nicht, was sie soll. Der Browser akzeptiert, dass die Daten vorher gelesen werden. Tot. Sie soll dem letzten Glied in der Kette Sicherheit liefern.
Warum habt ihr nicht die Dörfer aufeinandergehetzt? Weil das zwar theoretisch möglich war, den Inhalt zu verändern, ihr aber am User gescheitert wärt, denke ich. Das war noch analog und hätte nur die Verschwörungstheoretiker angesprochen.
Langsam verstehe ich die tiefe Weisheit unserer Kanzlerin, wenn sie sagt (das ist ja nun etwas her) "Das Internet ist für uns alle Neuland"
Es ist Neuland, wenn ich es vergleiche mit den Zeitspannen, in denen sich Evolution oder auch nur Kultur abspielt.
Wir spielen rum und machen etwas "Trial and error"
Idee für den Informatik Studiengang:
3 Gruppen. Eine nimmt Windows 10 mit dem aktuell unterstützten Browser. Eine nimmt Windows XP mit der letzten Firefox-Version, da der IE8 zuwenig Inhalte darstellen kann.
Eine nimmt Windows 2000 und eine hoffentlich noch halbwegs aktuelle Firefoxversion mit der man surfen kann.
Alle verwenden Mail (Outlook 2003 oder Thunderbird) und surfen normal. (Für 2000 geht da noch halbwegs was)
Alle verwenden ein Basis AV. (Gibts da noch was für 2000?)
Alle sitzen hinter einer PfSense mit Snort und PfBlocker.
Nach 1 Monat schauen wir mal, wer wie infiziert ist.
Wäre spannend.
Cu
Buc
Zuerst ne relativ naive Frage: Gibt es nicht einen Unterschied zwischen "signieren" (worauf du dich großteils beziehst) und "verschlüsseln"?
Würde es also nicht reichen, sicher zu authentifizieren? Das ist ja, was ich in der Kneipe mache. Auch nach einigen Bier bin ich mir sicher, dass mein Gegenüber der ist, dem ich das sagen will. Das müsste man im WWW abbilden.
Wie ich eine sichere Signatur über eine unsichere Verbindung übertrage? Na, "in echt" gehts ja auch.
Da müssen Protokolle irgendwie gemixt werden, was weiss ich. Kreativität ist unser Motor. Ich bin kein Entwickler.
Mir geht ja nur dieser ganze "Pseudo-Security-Wahn" auf die Nerven.
Alle legitimen Webseiten stellen auf "Secure" und ich muss gucken, dass nicht die Malware "Secure" wird und auf meinen Clients landet, obwohl sie vorher gefiltert werden könnte. Das ist nix. Das ist Mist.
Und wenn ich sie auf meinem Gateway aufbreche (oder sie dort endet) ist es eben keine "Ende zu Ende" Verschlüsselung mehr. Sie liefert nicht, was sie soll. Der Browser akzeptiert, dass die Daten vorher gelesen werden. Tot. Sie soll dem letzten Glied in der Kette Sicherheit liefern.
Warum habt ihr nicht die Dörfer aufeinandergehetzt? Weil das zwar theoretisch möglich war, den Inhalt zu verändern, ihr aber am User gescheitert wärt, denke ich. Das war noch analog und hätte nur die Verschwörungstheoretiker angesprochen.
Langsam verstehe ich die tiefe Weisheit unserer Kanzlerin, wenn sie sagt (das ist ja nun etwas her) "Das Internet ist für uns alle Neuland"
Es ist Neuland, wenn ich es vergleiche mit den Zeitspannen, in denen sich Evolution oder auch nur Kultur abspielt.
Wir spielen rum und machen etwas "Trial and error"
Idee für den Informatik Studiengang:
3 Gruppen. Eine nimmt Windows 10 mit dem aktuell unterstützten Browser. Eine nimmt Windows XP mit der letzten Firefox-Version, da der IE8 zuwenig Inhalte darstellen kann.
Eine nimmt Windows 2000 und eine hoffentlich noch halbwegs aktuelle Firefoxversion mit der man surfen kann.
Alle verwenden Mail (Outlook 2003 oder Thunderbird) und surfen normal. (Für 2000 geht da noch halbwegs was)
Alle verwenden ein Basis AV. (Gibts da noch was für 2000?)
Alle sitzen hinter einer PfSense mit Snort und PfBlocker.
Nach 1 Monat schauen wir mal, wer wie infiziert ist.
Wäre spannend.
Cu
Buc
