BKA kann Skype-Telefongespräche nicht entschlüsseln

Moderator GM&P · . Anmeldungsdatum: 21.01.2006 Beiträge: 5916

"Das stellt uns vor gravierende Probleme", sagte der Präsident des Bundeskriminalamtes (BKA), Jörg Ziercke, in Wiesbaden.

Es mache keinen Sinn, die Hinterlegung des Schlüssels zu verlangen, betonte Ziercke zum Ende der BKA-Herbsttagung zum Thema Internetkriminalität. Die Software Skype ermöglicht es, gratis Telefongespräche über das Internet zu führen. Der Dienst gehört zum Online-Handelshaus eBay.

Wegen der Verschlüsselung der Kommunikation im Internet sprechen sich Ermittlungsbehörden wie das BKA seit längerem für die heimliche Online-Durchsuchung aus. Das Thema sorgt auch seit Monaten für Streit in der großen Koalition. Derzeit befasst sich das Bundesverfassungsgericht mit einer entsprechenden Regelung in Nordrhein-Westfalen. Die Richter entscheiden wahrscheinlich im Frühjahr.

Ziercke betonte erneut, dass Online-Durchsuchungen aufwendig seien und bei einem entsprechenden Gesetz nur in Einzelfällen angewendet würden.

Von den 230 Ermittlungsverfahren mit islamistisch-terroristischem Hintergrund könne er sich zwei bis drei Fälle vorstellen, bei denen die Maßnahme Sinn machen könnte.

Beim Fall der im Sauerland festgenommenen Terrorverdächtigen hätte die Online-Durchsuchung demnach helfen können, früher an Informationen heranzukommen. Zum Ziel habe letztlich aber die Wohnraumüberwachung geführt.
Quelle: RPO

rolfleonhard · Specialist Anmeldungsdatum: 05.11.2005 Beiträge: 104 Wohnort: im "Ländle"

genau so wenig können das BKA und andere "Interessierte" Datenverkehr per Internet (emails etc.) entschlüsseln, welcher mit 128- oder 256Bit oder höher verschlüsselt ist und laufend den Schlüssel wechselt.

Und ich halte es für pure Selbstüberschätzung unserer Politiker, zu behaupten, man könnte von aussen in Computersysteme eindringen, welche nach den neuesten Stand der Computertechnik mit Firewalls etc. abgeschottet sind.

Mit solchen Behauptungen will man doch lediglich "Otto Normalverbraucher" weissmachen, man hätte "alles im Griff".

Gruss
rolfleonhard

kupconsulting · . Anmeldungsdatum: 24.02.2006 Beiträge: 92 Wohnort: Krefeld

rolfleonhard · Specialist Anmeldungsdatum: 05.11.2005 Beiträge: 104 Wohnort: im "Ländle"

@ kupconsulting

dann schildern Sie doch bitte, mit welchem Aufwand und welcher Software das in Realzeit gehen soll. Rein rechnerisch brauchen 1000 handelsübliche PC's ca. 1000 Jahre, um mit spezieller Software einen 128Bit-Schlüssel zu knacken. Neuere Verschlüsselungsprogramme verwenden sogar 256Bit oder höher als Schlüssellänge. Wenn man dann noch alle paar Sekunden den Schlüsselinhalt ändert, hat z.B. ein Hacker oder das BKA doch überhaupt keine Chance auch nur 1 Byte in brauchbarer Zeit zu entziffern.

Allerdings kann man nicht ausschliessen, dass das BKA einen der 30Mio teuren Grossrechner an das Internet angekoppelt hat, um hier im riesigen Datenwust nach Lesbarem zu fischen. Zutrauen würde ich es ihnen...

Gruss
rolfleonhard

seidl · Newbie Anmeldungsdatum: 03.04.2006 Beiträge: 35 Wohnort: Bayern

Ich merke ihr alle versteht was von der Materie. Wie ist es im Bereich E-Mail. Kann man die rel. sicher versenden ohne abgefangen zu werden. Gibts da noch zusätzliche Verschlüsselungen?
Oder Dateien über Skype senden anstatt Mail??
Und. das Thema Skype ist ja schon im letzten Jahr von euch behandelt worden. Hat sich da was geändert. Können die Skype - Telefonate auch schon rel. einfach mithören?

sekira · Newbie Anmeldungsdatum: 13.11.2007 Beiträge: 1 Wohnort: Hamburg

Also, also spezilisierter anbieter im Bereich IT kann ich Ihnen sagen, das es möglich ist auf sicherem Wege Mails auszutauschen. Die Frage die man sich stellen sollte ist: Das Geheimnis welches von A nach B soll ist wie Wertvoll um eine durch die Strafverfolgungsbehörden ausgelöste Recherche auszulösen. Wir beraten unsere Kunden zu genau diesem Thema und zeigen Lösungen auf. Hier ist aber der Fokus mehr auf die Vernichtbarkeit von Daten das Thema

Auch die Internettelefonie kann sicher gestalltet werden. Wie, das können wir Ihnen gerne zeigen

Gruß
Sekira

bitkacker · Specialist Anmeldungsdatum: 04.03.2006 Beiträge: 51

Hallo Gemeinde,

endlich tummeln wir uns mal in einem meiner Spezialgebiete.

Die Zugriffsmöglichkeiten, die die Behörden auf eure Daten haben sind vielfältig. Es ist auch nicht so, dass von einem Bundestrojaner gesprochen werden kann. Vielmehr ist es ein Paket an Maßnahmen, das auch trojanerähnliche Methoden kennt. Es geht aber viel weiter, bis hin zu Hardware-Keylogger, die einfach euere Kennworteingaben protokollieren.

Sofern man nur von deutschen Behörden beäugt, wird, ist ziemlich jede Verschlüsselung sicher. Sofern es um Interessen der Amerikaner geht, sieht das schon ganz anders aus. Diese haben doch einige Möglichkeiten mehr. Und seien es nur die Kenntnisse über mathematische Schwachstellen der AES 256-Verschlüsselung. Es gibt fast keine Verschlüsselung die nicht eine solche mathematische Schwachstelle aufweist, abgesehen von PGP, bei welchem aber über Kooperation mit dem CIA/NSA gemunkelt wird.

Da es eine Sammlung an Werkzeugen ist, sind auch einige dabei, die dann wirken, wenn die Daten entschlüsselt sind. Ferner muss man sich nur Fragen, welche Daten braucht man um geschützte Daten zu entschlüsseln? Ein Passwort und ein Zertifikat? Kein Problem. Wenn ein Geheimdienst diese Daten will, bekommt er sie auch und wenn es durch plumpe Video-Wanzen oder den Einbau eines Keyloggers in eure Tastatur. Das heimtückische daran ist: Die dürfen das! Und sie haben gar kein schlechtes Gewissen dabei!

Erfahrungsgemäß ist es so, dass selbst wenn man ein Netzwerk oder Rechner in Richtung Internet wirklich dicht macht, was für einen Einzelplatz kaum unter 500,- € für einen Einzelplatzrechner und nicht unter 10.000,- € für ein kleines Netzwerk zu schaffen ist, brechen die Bedarfsträger einfach und klassisch in das jeweilige Büro ein und nehmen sich das Papier vor. Damit es nicht so auffällt, wird das ein oder andere Stück geklaut, damit war es ein Einbruch irgendwelcher Junkies.

Ich könnte hier noch stundenlang weiterschreiben, aber es führt alles zum Ergebnis: Man ist kaum in Lage eine umfassende Sicherheit zu erzeugen! Man kann die Sicherheit der EDV jedoch so erhöhen, bis das Objekt und/oder der Faktor Mensch die Schwachstelle wird, die als Ziel definiert werden wird. Spätestens dann, gibt es keine digitalen oder elektronischen Mittel mehr, sich vor dem Ausplaudern zu schützen. An dieser Stelle geht es mit Personalausbildungen weiter. Zudem müssen die Rechte eines Netzwerkes im Detail bearbeitet werden, bis ein vernünftiger Konsens gefunden ist, der den Mitarbeitern alles ermöglichen was sie sollen, aber nichts darüber hinaus ermöglichen.

Zu sekiras Beitrag ist anzumerken, dass Mails, wie sie die meisten verschicken, völlig offen übertragen werden. Die Benutzernamen und Kennwörter eurer Mailserver meistens auch. Mit Zertifikaten oder anderen asynchronen Verfahren, kann man die Sicherheit, dass nicht jeder mitlesen kann, schon erreichen. Vor behördlichen Maßnahmen, kann man kaum schützen, weil es die Gesetzeslage kaum zulässt oder besser gesagt, den Behörden ermöglicht bis an die Hardware zu kommen – ohne, dass man es merken würde. Siehe TKÜWG etc. Die Behörden können per Beschluss direkten Zugriff auf den Mailserver nehmen. Was willst Du dann noch machen? Klar gäbe es auch hier Gegenmittel, aber die Maschine muss für einen normalen User bedienbar bleiben! Und spätestens, wenn ihr keine Mails mehr lesen könnt, weil die implementierte Verschlüsselung nicht mehr funktioniert, wird die Gleiche abgeschaltet. Es gibt sooooooo viele Möglichkeiten einen Menschen zu Nachlässigkeit zu bewegen….

Dies war nur eine kleine völlig oberflächliche Einschätzung. Effektiv muss diese individuell für den jeweiligen Sicherheitsbedarf und die jeweilige Netzwerktopologie separat begutachtet werden.

Ich will euch keine Angst machen, aber so ist die Realität.

Grüße

MCD · Pathfinder Anmeldungsdatum: 06.12.2004 Beiträge: 274

kann bitkackers beitrag voll umfänglich bestätigen. solange wir uns auf, bzw. mit bundesdeutschen behörden beschränken, ist das thema eher von sekundärer priorität. so ist die letzte pgp version, die keine backdoor hat, 7.58. ab da hat die nsa die soft übernommen. es wird skype, als auch alle anderen übertragungswege mitgeschnitten. bei trigger-words stoppt der rechner und es wird mauell recherchiert. wie die raster aussehen, kann man auf der seite der philadelphia uni sehen.

viele grüsse
mcd

bitkacker · Specialist Anmeldungsdatum: 04.03.2006 Beiträge: 51

Deswegen gab es auch die letzten Jahre, zumindest in fachlich versiertem Kreis, die Maßnahme, jedes unwichtige Telefonat und Email mit Worten wie: "Leopard II" oder "Al Quaida" zu versehen.

Wir sind davon ausgegangen, dass dies einige Server in Pullach und Allach, sowie in der Nähe von Holzkirchen, nervös werden lässt.

Bei Auslandsgesprächen, kann ich MCD beipflichten. Im Inland scheint das Interesse geringer zu sein. Hier aber zeigen andere Behörden und Ämter mehr Eifer.

Eine Sache die inzwischen ganz vergessen wurde, sind die Toll-Collect Brücken, welche jedes vorbeifahrende Kennzeichen filmt. Ich kann mich noch an die Worte eines Innenministers erinnern der bei der Einführung von Toll-Collect zusicherte, dass die Millarden-Lösung nicht zur strafrechtlichen Aufklärung verwendet wird. Kurz danach gab es den Fall, der alle Bedenken dieser Art ausräumt, in welchem ein Parkplatzwächter von zwei (russischen?) LKW getötet wurde. Seitdem ist das mit der Verwendung erledigt. Andererseits kann man natürlich so argumentieren, dass die Behörden den Aufenthalt auch ohne Toll-Collect, mit dem Bewegungsprofil des Handys ausmachen könnten. So erfasst man aber auch andere, deren Handykennungen nicht bekannt sind, oder die einfach keines haben. Auf jeden Fall eine tolle Ergänzung. Die Software, die die Kennzeichen, dann wieder in digitale Schriftzeichen umsetzt, gibt es seit über zehn Jahren und ist inzwischen höchst zuverlässig.

In der Vorratshaltung und Bespitzelung der Bürger ist noch nicht das letzte Wort gesprochen, da noch nicht klar ist, ob es mit unserer Verfassung vereinbar ist. Zum Glück wurde die Ratifizierung der EU-Verfassung noch mal gekippt, denn ich bezweifle, dass es mit dieser ein Problem gewesen wäre. Allerding stört das nur Staaten die sich an Rechte halten. Bayern gehört da nicht dazu: Wir haben seit gut zwei Wochen einen Beschluß des Landtags, nach welchem eigentlich alles OK ist, was für mehr Informationen bei den Ermittlungsbehörden sorgt. Auch wenn diese Vorgehensweise alles andere als solide ist, zeigt es doch klar die Richtung, wo die Politik hin will.

Auf der anderen Seite sieht jeder User, wieviel Betrug und Unrecht unterwegs ist. Die Klinge ist daher -wie immer- zweischneidig. Was geht vor? Schutzbedarf und Verfolgung oder Freiheit und Risiken? Wie immer wird ein Problem stehen bleiben: Wo beginnt der Mißbrauch?

Das Thema ist schwer, aber es ist einfach unglaublich, wenn man sich überlegt, was die Zusammenführung aller öffentlich verfügbaren Daten über eine Person aussagen kann: Fast alles! Schlimmer wird die Vorstellung das einfache Polizeibeamte, das schon können. Auch Polizeibeamte sind nur Menschen und wo es menschelt entstehen Lücken.

Peter Wilhelm · . Anmeldungsdatum: 16.10.2007 Beiträge: 303 Wohnort: 58730 Fröndenberg

Hallo bitkacker,

zu Ihrem äußerst interessanten Beitrag

Peter Wilhelm · . Anmeldungsdatum: 16.10.2007 Beiträge: 303 Wohnort: 58730 Fröndenberg

Zu meiner vorhergehenden Nachricht möchte ich folgenden Nachsatz einstellen, der mir soeben per Mail zuging:

Moderator GM&P · . Anmeldungsdatum: 21.01.2006 Beiträge: 5916

Ganz schön mickrig.

Die Herrschaften hat sicher die Meldung unseres Newsletter aufgeschreckt. Sogar die Arbeit der Analyse, was passiert ist, haben wir abgenommen.

Mit freundlichen Grüßen
Mod.

bitkacker · Specialist Anmeldungsdatum: 04.03.2006 Beiträge: 51

Sehr geehrter Herr Wilhelm,

mein Bereich ist weniger de PHP-Programmierung und die Sicherung von Webservern. Da die Grundlagen aber die gleichen sind, werde ich versuchen eine fachlich korrekte Aussage zu treffen ohne das Produkt, den Server und den Event genauer zu kennen. Daher sind die Aussagen eher allgemein zu verstehen.

Prinzipiell ist vieles vom Design einer Software, so auch dem Code für den PHP-Prozessor, abhängig. Es gibt für OpenSource Projekte wie PhPbb gewisse Programmierregeln, die es ermöglichen, dass mehrere Programmierer miteinander, jedoch voneinander unabhängig, programmieren können. Das Verfahren der Weiterverarbeitung des Logins, wie sie es beschrieben haben, scheint ein solches Handling zu sein, da dieses Verfahren dafür sorgt, dass die Authentifizierung mit Benutzernamen und Kennwort nur einmal geschieht und danach mit dem Hashwert, der meist zur Verkleinerung - hier eher zur Verschleierung - der Daten verwendet wird, weitergeht. Es gibt allerdings auch unzählige Anwendungen der Hash-Funktion in der Informatik. Hash bezeichnet lediglich die mathematische Funktion.

Sofern kein SSL-Protokoll angewandt wird, sind auch die Daten des Logins nicht geschützt. Dadurch eröffnet sich eine Vielzahl von Möglichkeiten an einen Login zu kommen. Vom einfachen Sniffen bis zum Proxy der für diesen Zweck (offiziell natürlich nur zu Zwecken der Anonymisierung) aufgestellt wurde. Sollte der Server SSL nicht unterstützen, wird jedes Paket das an diese IP geht interessant. Irgendwann kommt schon etwas vorbei, was auf Benutzername und Kennwort schließen lässt. Die Pakete vom Server sind wiederum egal. Den Inhalt kann ich auch so lesen.

Wenn Sicherheit bei der Entwicklung der Software vernachlässigt wurden, ist tatsächlich auch die primitive Vorgehensweise, eines Brute- oder Smart-Force Angriffes denkbar. Die Benutzernamen kann man problemlos aus dem Forum fischen. Wenn die Authentifizierung unendlich viele Versuche einer Node zulässt - warum nicht? Die paar Millionen Versuche sind "schnell" abgearbeitet. Mein Zutun ist einfaches Abwarten und was anderes machen bis der Rechner meint, fertig zu sein.

PhPbb ist OpenSource. Wenn es Schwachstellen gibt sind diese ebenfalls offen im Internet publiziert. Ein guter PHP-Programmierer kann diese aufspüren und dann für sich nutzen. Da, wenn ich recht erinnere, PHPbb einen SQL-Server im Hintergrund verwendet, würde ich als erstes dort suchen. Es gibt einige Verfahren, mit denen man einen SQL-Server dazu bekommt, Abfragen zu beantworten (Sequel Injection). Wäre einer der Punkte an denen ich zuerst suchen würde, nachdem jeglicher anderer Zugriff ausgeschlossen werden konnte.

Ansonsten spielt das Design des Netzwerkes und des Servers eine entscheidende Rolle. Wie "nah" kommt man an die Kiste ran?

Wie sahen die Schäden aus? Anhand des Schadens, kann man ebenfalls weiter einschränken aus welcher Richtung der Zugriff geschah. Gibt das Log Aufschluss über komische Zugriffe?

Außerdem bliebe, designabhängig, bei der beschriebenen Vorgehensweise eine Stelle offen: Der Hash-Code sorgt dafür eine Eingabe in einen Zahlenströme, meist gleicher Größe, zu verwandeln. Dies über mathematische Funktionen, die dafür sorgen, dass nur der Hash-Code der durch die eben geschehene Eingabe generiert wurde, mit dem der Datenbank gespeicherten, verglichen wird. Die Frage die sich stellt ist die: Wer hat die Parameter der Funktion festgelegt? Kann es sein, dass eine andere Installation von PHPbb den gleichen Hash-Code bei der gleichen Eingabe generiert?

Sofern der „Böse“ die Hash-Codes hat, warum generiert er nicht eine Seite, die an der Authentifizierung vorbei, den geklauten Hash mit dem Hash, der SQL-Datenbank vergleicht? Damit muss man an den Schlüssel nichts mehr berechnen und kann sie unmittelbar weiterverwenden.

Um diese Frage abschließend zu klären müsste man das Produkt endgültig zerlegen und Teile der Source genau unter die Lupe nehmen. Sofern es konkret nötig ist, biete ich mich gerne an, mich in die Thematik einzuarbeiten.

Ihre Ausführungen, Herr Wilhelm, erklären dieses Prinzip schon ganz richtig. Alles Denkbare ist auch machbar, ist einer unserer Leitsprüche. Da die IT so flexibel, dynamisch und fehlerbehaftet (Menschenwerk) ist, ist die Vielfalt wirklich groß, wie man an die Kennwörter eines Users geraten kann. Neben dem Server sind die User selbst eine Gefährdungsquelle, sofern es sich bei dem konkreten Fall nur um einen einzelnen Login handelte (Trojaner, Keylogger, Virus, Internetcafe,...).

Ich hoffe ich konnte Ihnen sehr fachlich näher bringen, dass ich keine Ahnung habe wie der Hacker es schaffen konnte, den Forumsserver zu knacken.

Für genauere Aussagen müsste ich mich mehr einlesen.

Grüße

bitkacker · Specialist Anmeldungsdatum: 04.03.2006 Beiträge: 51

Hallo GoMoPa Moderator,

wo ist eine Analyse zu finden? Im Email war nicht enthalten außer der Info, dass man gehackt wurde. Oder habe ich was übersehen?

Peter Wilhelm · . Anmeldungsdatum: 16.10.2007 Beiträge: 303 Wohnort: 58730 Fröndenberg

Vielen Dank, bitkacker!

Ich habe es befürchtet...
_________________
Freundliche Grüße

Peter Wilhelm

Weitere Angaben über meine Tätigkeiten finden Sie hier:

bitkacker · Specialist Anmeldungsdatum: 04.03.2006 Beiträge: 51

Ich habe das oben stehende Email erst jetzt gesehen:

Ich habe mich auf der PHPbb.com umgesehen und stelle fest, dass man davon spricht nicht kausal zu sein, aber kann gleichzeitlg keine Erklärung für den Zugriff liefern.

Wie auch immer, wurde der Table ausgelesen. Dann offline scheinbar per Brute Force eine passende Kombinaton gefunden, die den gleichen Hash-Code liefert. Damit ist dann ein Zugriff auf das Forum möglich. Sofern es sich um einen echten Treffer handelt, also nicht nur der Hash gleich ist, sondern tatsächlich das Passwort getroffen hat, kann man versuchen dieses Kennwort z.B. beim Mailprovider abzuwenden.

Wer das gleiche Kennwort bei seinen Mails verwendet, wie in einem PhPbb Forum, sollte auch dringend sein Mail-Kennwort, oder besser: Alle Logins mit dem gleichen Kennwort, ändern.

Ansonsten hat man sich scheinbar bei PHPbb einige Gedanken zur Sicherheit gemacht. Allerdings kann diese von einigen anderen Parametern aussgehebelt werden.

Ich denke die Entwickler werden die Lücke am schnellsten auftun, aber bis jetzt stochern diese im Nebel.

Grüße

bitkacker · Specialist Anmeldungsdatum: 04.03.2006 Beiträge: 51

Siehe HIER.