13. Mai 2010
Die Umbrella Corporation Fraunhofer Gesellschaft (genauer Fraunhofer SIT) hat bekanntlich vor einiger Zeit eine bezahlte Studie im Auftrag von Microsoft durchgeführt und gezählt, wie viel Spam bei diversen Freemail-Anbietern aufschlägt (Link zum PDF).
Gewonnen hat Yahoo vor Hotmail und Googlemail. Die beiden 1&1-Firmen Web.de und GMX schnitten deutlich schlechter ab. Über die zu erwartenden Mängel bei einer bezahlten Studie im allgemeinen und einer Fraunhofer Studie im besonderen hat Basic Thinking einen ganz netten Bericht geschrieben. Probleme sind insbesondere, was ist alles Spam (z.B. die Hauspost von GMX die ja zur Finanzierung des Dienstes dient), was ist mit Spam der zugestellt aber als Spam markiert ist (z.B. wenn die Zustellung gesetzlich vorgeschrieben ist) und wie man mit False Positive umgeht (was mit persönlich wichtig ist, lieber ein Spam zu viel als eine wichtige Nachricht verloren). Egal, ist ja eine Fraunhofer Studie (also Werbung) und außer Spiegel Online fällt da keiner mehr drauf rein.
Da ich bei all denen kein echter Nutzer bin interessiert mich eigentlich nicht, wie viel Spam man bei GMX oder Hotmail bekommt. Statt dessen interessiert mich als Nutzer einer anderen Mailadresse, wie viel Spam ich von diesen kostenlosen Diensten bekomme, d.h. was mich dieser Dienst kostet, obwohl ich gar nicht Nutzer bin.
Ich habe letzten Monat deshalb mal andersrum gezählt, nämlich von welchen Adressen ich den meisten Spam auf meine privaten und Firmenadressen bekomme (ist der gleiche Mailserver, darum einfach zu zählen). Genauso stichprobenartig und systematisch wie Fraunhofer. Einfach gezählt, was für mich Spam ist. Die meisten Mails werden mittels Real-Time Blacklist geblockt, insbesondere auch, wenn die Absenderdomain mit dem Absenderserver nicht zusammengeht. Die gezählten Mails sind deshalb nur die Spam-Mails die direkt über die Server der jeweiligen Anbieter verschickt wurden.
Und hier das Ergebnis:
- Gmail: 14 Spam-Mails
- Hotmail: 9 Spam-Mails
- Web.de: 1 Spam-Mail
- GMX: 1 Spam Mail
Mein Fazit: Den größten Schaden durch Spam-Versand an andere richten Google (Gmail) und Microsoft (Hotmail) an. Schade, dass man die nicht verbieten kann.
18. April 2010
zu geil, heute gesehen beim Durchblättern alter URLs und löschen der toten Webseiten:
7343 Facebook-Deppen sind schon drauf reingefallen 🙂
16. April 2010
Dank Google Safebrowsing wissen wir endlich, in welchen Netzen und auf welchen Domains die Bösen der Bösen sitzen … im Google Internet Backbone:
und bei Doubleclick:
Gut zu wissen 😉
(via Fefe)
Wenn man mit einem frisch installierten Firefox beispielsweise die Webseite des CCC aufruft, bekommt man diesen lustigen Zertifikatsfehler:
Der Grund ist bekanntlich, dass die Zertifizierungsstelle CACert im Browser nicht als vertrauenswürdige CA enthalten ist.
Einige Browserhersteller liefern deshalb auch CA-Aktualisierungen aus. Microsoft beispielsweise stellt immer wieder mal über Microsoft Update eine Aktualisierung der Zertifizierungsstellen („Update der Stammzertifizierungsstellen“) bereit. Ich kucke meistens dann auch, wer da alles neu drin steht.
Meines Wissens (ich lasse mich aber gerne eines besseren belehren) verlangt Microsoft, um in die Liste der vertrauenswürdigen Zertifizierungsstellen aufgenommen zu werden, die Erfüllung mehrerer Voraussetzungen:
- Eine Vereinbarung mit Microsoft (Microsoft CA Agreement)
- Mind. 2048 Bit Schlüssellänge, mind. SHA-1 Hashalgorithmus, min. 8 Jahre gültig, höchstens bis 2030
- CRL Distribution Point Extension, d.h. eine CRL muss bereitgestellt werden
- Eine dokumentierte Policy (Certificate Practice Statement, CPS)
- Ein erfolgreich bestandenes Audit, typischerweise nach
- Außerdem habe ich mal gehört, dass Microsoft dann noch so ca. 50.000 USD haben möchte, für den ganzen Aufwand
In den Auditregeln stehen insgesamt ganz schön viele Anforderungen drin. CACert beispielsweise wird von Microsoft nicht aufgenommen, alleine weil die vermutlich die geforderten Kosten für Audit und RootCA-Zertifikatsverteilung nicht bezahlen können. Bei einigen Antragstellern scheint es Microsoft mit den Regeln auch nicht ganz so genau zu nehmen. Beispielsweise muss man das CPS der Cisco Root CA im Internet suchen. Im Zertifikat ist der Link dahin leider nicht enthalten.
Was mir aber langsam Sorgen macht, sind die vielen Regierungs-CAs die als vertrauenswürdige Zertifizierungsstellen im Internet Explorer (und anderen Browsern mit Verzögerung) auftauchen. Hier beispielsweise die Liste cer CAs die mir beim Durchsehen des aktuellen IEs aufgefallen sind:
- CN = AC RAIZ DNIE, OU = DNIE, O = DIRECCION GENERAL DE LA POLICIA, C = ES
- OU = Application CA G2, O = LGPKI, C = JP (Japanese Local Government)
- OU = ApplicationCA, O = Japanese Government, C = JP
- CN = Common Policy, OU = FBCA, O = U.S. Government, C = us
- CN = ComSign, O = ComSign CA, C = IL
- O = Government Root Certification Authority, C = TW
- CN = GPKIRootCA, OU = GPKI, O = Government of Korea, C = KR
- CN = IGC/A, OU = DCSSI, O = PM/SGDN, L = Paris, S = France, C = FR (Secrétariat Général de la Défense Nationale)
- OU = MPHPT Certification Authority, OU = MPHPT, O = Japanese Government, C = JP
- CN = Root CA, OU = GPKI, O = Government of Korea, C = KR
- CN = Root CA Generalitat Valenciana, OU = PKIGVA, O = Generalitat Valenciana, C = ES
- OU = sigov-ca, O = state-institutions, C = si
- CN = Staat der Nederlanden Root CA, O = Staat der Nederlanden, C = NL
- CN = VRK Gov. Root CA, OU = Varmennepalvelut, OU = Certification Authority Services, O = Vaestorekisterikeskus CA, S = Finland, C = FI
Bei Firefox ist das nicht anders. Mozilla (Kathleen Wilson) selbst sagt dazu:
„Mozilla has included many root certificates that are operated either by actual government agencies or by organizations that are government sponsored. We do not have a policy against accepting government sponsored CAs into our program.“
Bei der Aufnahme bzw. dem späteren Rauswurf von CNNIC, einer (möglicherweise staatlich kontrollierten) chinesischen Zertifizierungsstelle gab es bei Mozilla riesige Diskussionen. Die spanische Polizei kann aber inzwischen genauso Man-in-the-Middle Angriffe mit gültigen Zertifikaten auf beliebige SSL-Verbindungen durchführen. Und ich bin sicher, die eine oder andere scheinbar harmlose Organisation im Browser die nicht auf meiner Liste steht, wird von irgendeinem Geheimdienst kontrolliert.
Im Ergebnis habe ich folglich im Browser inzwischen fast 300 RootCA-Zertifikate von rund 100 Zertifizierungsstellen. Welche davon staatlich kontrolliert sind, welche davon tatsächlich vertrauenswürdig sind und welche böse, ist für mich nicht mehr überschaubar. Die Regeln Microsoft, Mozilla und Co. helfen wie oben gesehen leider nicht weiter. Ich denke, ich werde demnächst meine eigene Liste „Mitternachtshacking traut diesen CAs“ veröffentlichen und alle anderen aus meinem Browser rauswerfen. Tatsächlich stammen alle SSL-Zertifikate der von mir genutzten verschlüsselten Verbindungen aus den letzten drei Monaten von lediglich 8 Zertifizierungsstellen, sagt Certificate Patrol. Die anderen 92 können folglich raus.
15. April 2010
Im (ehemaligen?) Nachrichtenmagazin Spiegel ist ein Artikel über die Zahl der Server der verschiedenen Firmen erschienen. Natürlich nicht selbst recherchiert sondern von einem Blog (nennt sich selbst Webhosting Magazin) namens Intac übernommen.
Wenn der Spiegel-Abschreiber nur 30 Sekunden selbst recherchiert hätte, wäre ihm aufgefallen, dass in der Grafik keine einzige asiatische Firma auftaucht. Niemand. Nichts. Obwohl die indische Firma Infosys (145.000 Mitarbeiter) gerade erst den Vertrag gewonnen hat, die IT von Microsoft zu betreuen und mit NTT in Japan (220.000 Mitarbeiter) einer der größten Telefonkonzerne sitzt. Vor allem aber fehlen chinesische Unternehmen.
Beispielsweise Tencent. Wer? Tencent. Denen gehört QQ. In China ist das der größte und wichtigste Instant Messenger-Anbieter, nebenbei mit Suchmaschine, Webmail, Hosting, etc. Im Februar 2009 hat QQ ein wenig die Türen geöffnet und die Statistik von Netcraft durcheinander gewirbelt. Auf einen Schlag kamen 20 Millionen Domains und über 60.000 von außen erreichbare Webserver dazu. Oder Baidu. Die erfolgreichste chinesische Suchmaschine, die seit Jahren Google in China mit 70% Marktanteil auf Abstand hält. Die müssen ein paar Server haben und wenn ihre Software (was ich stark vermute) deutlich weniger effizient ist als die von Google, brauchen sie für die gleiche Leistung deutlich mehr Server.
Jedenfalls ein typisch US-zentrierter Artikel der es nicht schafft, auch nur 30 cm über die Tischkante hinauszublicken.
So langsam wird das ja mein Lieblingsthema hier im Blog: IT-Sicherheit und Vertrauen. Wem vertrauen wir und warum? Lässt sich das überhaupt rational begründen? Manches kommt mir schon seltsam vor. Trust Center beispielsweise führen im Namen schon die Bezeichnung „Trust“. Gerade so, als wäre es zwingend notwendig darauf hinzuweisen, dass man diesen Centern doch bitte auch vertrauen soll. Ein normaler, vernünftiger Mensch würde das nämlich nicht tun.
Der aktuelle Anlass um mal wieder über Trust Center zu polemisieren ist die Art und Weise, wie manche Zertifizierungsstellen die Identität eines Antragsstellers überprüfen. Dazu muss man wissen, dass sich in der Praxis vier (genauer 4,5) Klassen der Identitätsprüfung herausgebildet haben:
- Class 0: keine Überprüfung des Antragsstellers. Hier wird ein Zertifikat ausgestellt, ohne den Antragsteller überhaupt zu prüfen. In der Praxis wird das nur für Testzertifikate gemacht, die sich nicht gegen eine bekannte CA verifizieren lassen.
- Class 1: Überprüfung der E-Mail Adresse. Das ist praktisch für E-Mail-Zertifikate. Man schickt einen Antrag an die Zertifizierungsstelle und die schickt das Zertifikat an die angegebene E-Mail Adresse zurück. Wenn man das empfangen kann ist es offensichtlich korrekt. Eine weitere Überprüfung ist nicht notwendig. Das ist sehr günstig und effizient aber halt nur eingeschränkt sicher.
- Class 2: Überprüfung der Organisation anhand von irgendwelchen Unterlagen. Hier wird geprüft, ob es z.B. die Organisation des Antragstellers tatsächlich gibt, ob die Domain eines Webservers tatsächlich dem Antragsteller gehört, usw. Allerdings nur auf Basis öffentlich zugänglicher Dokumente. Beispielsweise kann ich für mitternachtshacking.de ein Zertifikat beantragen mit dem Namen der in DeNIC als Eigentümer der Domain registriert ist aber nicht auf einen anderen Namen.
- Class 3: Überprüfung der Organisation mit Kontaktaufnahme. Hier wird in der Regel die Organisation geprüft und zum Antragsteller direkt Kontakt aufgenommen. Die meisten deutschen Zertifizierungsstellen machen das beispielsweise durch PostIdent. Bei den amerikanischen Beutelschneidern weiß ich das gar nicht. Meistens gibt es da ein Fallback auf Class 2.
- Die letzte halbe Klasse ist dann das „Extended Verification“ von Verisign. Ich denke das kommt auch dadurch, dass es in den USA kein PostIdent oder vergleichbar gibt und für Class 3 dann eigentlich nur eine etwas erweiterte Class 2 Prüfung stattfindet. Mit dem „Extended Verification“ wird dann halt ein wenig mehr geprüft. Wenn überhaupt.
Soweit ist das ja ok. Allerdings setzt bereits eine Class 2 Verification einen gewissen Aufwand voraus. Unter Umständen kann man das nicht komplett automatisieren sondern muss manuell prüfen, ob die ganzen Daten übereinstimmen. TC Trustcenter hat sich bei mir da mal verdient gemacht (das ist jetzt ausnahmsweise nicht ironisch), weil sie es abgelehnt haben ein Zertifikat auszustellen in dem die Daten nicht 100% mit den Unterlagen übereingestimmt haben. (Ursache war, dass wir am umziehen waren und ich das Zertifikat schon mal auf die neue Anschrift ausgestellt haben wollte).
Der eine oder andere Zertifizierungsstellenbetreiber ist deshalb auf folgenden Trick gekommen, den Aufwand zu minimieren:
Man definiert ein paar sogenannter „System-E-Mail-Adressen“, die per Definition (par ordre de mufti) in jedem Mailsystem vorhanden sein müssen und die dann vertrauenswürdig sind, weil die nur vom Betreiber des Mailsystems und damit vom Eigentümer der Domain genutzt werden können.
Das ist eine mutige Annahme. Darunter befinden sich nämlich auch so Adressen wie:
- administrator@domain.org
- admin@domain.org
- info@domain.org
- hostmaster@domain.org
- root@domain.org
- ssladmin@domain.org
- sysadmin@domain.org
- webmaster@domain.org
- info@domain.org
- postmaster@domain.org
und teilweise noch abwegigere wie
- ssladministrator@domain.org
- it@domain.org
- dnsadmin@domain.org
In irgendwelchen nie gelesenen RFCs sind tatsächlich alle diese E-Mail Adressen für besondere Zwecke mal reserviert worden. Die meisten Mailsysteme und praktisch alle Administratoren wissen aber nichts davon. Und wenn dann ein normaler Anwender eine dieser Mailadressen hat, kann er damit beispielsweise SSL-Zertifikate für die Domain beantragen obwohl er dafür gar nicht berechtigt sein sollte.
Aufgeflogen ist das ganze jetzt mal wieder, weil Kurt Seifried beim Freemail-Anbieter Portugalmail die nicht gesperrte E-Mail Adresse ssladministrator@portugalmail.pt registriert hat und damit erfolgreich ein SSL-Zertifikat für die Domain portugalmail.pt bei RapidSSL bekommen hat. Übrigens mal wieder eine 100%ige Tochter von Verisign. Dokumentiert ist das in einem Bugreport bei Mozilla der fordert, RapidSSL aus den vertrauenswürdigen Zertifizierungsstellen zu entfernen sowie in einem Artikel im Linux Magazine.
Passieren wird aber mal wieder nichts, weil sich die Mozilla Foundation nicht mit dem mächtigen Konzern Verisign anlegen will. Und RapidSSL hat ja auch verkünden lassen, Zertifikate nur noch bei einigen wenigen Mailadressen einfach so rauszuschicken. Klingt ganz toll, löst nämlich das darunterliegende Problem nicht: Erschreckend vielen Zertifizierungsstellen ist es offensichtlich einfach viel zu teuer die eigentlich geforderte korrekte Überprüfung des Antragstellers auch durchzuführen. Statt dessen wird da gemauschelt und geschummelt was das Zeug hält. Eigentlich gehört das ganze Sicherheitskonzept von SSL entsorgt und neu entworfen.
Und darum heißen diese Firmen ja auch Trust Center, sonst würde denen schließlich niemand vertrauen.
31. März 2010
Die Webseite des Umweltbundesamts war mit dem Trojaner Zeus verseucht. Die Deutsche Emissionshandelsstelle (das sind die, die keine starke Authentisierung hinbekommen) warnte ihre Benutzer deshalb per E-Mail, wenn die zwischen 19. und 22. März auf die Seiten zugegriffen haben und behauptet laut Heise:
„Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Trojaner zwar als ungefährlich ein, […]“
Das BSI dementiert jetzt:
„Das BSI stuft Zeus natürlich nicht als ungefährlich ein. Zeus gehört vielmehr zu den aktuell gefährlichsten und durchdachtesten Bankingtrojanern …“
Auf meinem Rechner hat Microsoft heute übrigens aus der Reihe einen dringenden Patch für den Internet Explorer 8 installiert. Hat das BSI jetzt eigentlich vor der aktuellen IE-Lücke gewarnt? Oder sollte man den IE doch noch verwenden, weil das BSI noch vor Firefox warnt, obwohl der längst gepatcht ist? Bei den Warnungen blicke ich längst nicht mehr durch. Aber Hauptsache, das BSI hat was zum warnen. Beispielsweise vor Sozialen Netzwerken. Irgendwas ist schließlich immer.
30. März 2010
Genau genommen nicht am SSL-Protokoll sondern an der durch die Zertifikate garantierte Abhörsicherheit. Die EFF vermutet, dass staatliche (insbesondere amerikanische) Stellen die Anbieter von SSL-Zertifikaten zwingen können, falsche Zertifikate auszustellen.
Soghoian und Stamm beschreiben als möglichen Schutz ein Firefox-Add-on, das Zertifikatsinformationen aller besuchten SSL-Websites speichert.
Das wäre doch mal eine gute Sache. Und Firefox warnt mich immer dann, wenn sich das Zertifikat ändert. Genau genommen der SHA-1 Fingerprint. Am liebsten auch, wenn das Zertifikat nur verlängert wird. Dann kann ich selbst entscheiden ob und wem ich vertrauen will.
Mal nachdenken. Fefe hat vor einiger Zeit einen Bugreport dafür bei Mozilla eingereicht. Carlo von Loesch verweist dort auf das Browser-Addon Certificate Patrol, das diese Funktion angeblich implementiert. Ich habe das jetzt mal installiert und wenn es was taugt, kommt es zur Liste meiner dauerhaften Addons dazu.
Nachtrag:
Freedom to Tinker hat auch drei interessante Beiträge dazu:
Und erwähnte ich eigentlich schon, dass ich das zertifikatsbasierte Sicherheitsmodell von SSL als gescheitert ansehe? Und Karthago muss zerstört werden! 🙂
Die Firma AsiaPac Capital Services in der renommierten Luxusmeile Eglinton Avenue in Toronto/Kanada schaut etwas blöd aus der Wäsche. Die Anleger haben nämlich dank Google Street View herausgefunden, dass der erwartete tolle Glastower von AsiaPac in Wirklichkeit ein heruntergekommenes Häuschen mit Imbiss im Erdgeschoss ist. Woraufhin der Aktienkurs prompt von knapp 3 Euro auf souveräne 12 Cent gefallen ist. Und die seriöse Firma mit dem vergilbten Firmenschild und der speckigen Fahne guckt doof aus der Wäsche.
Kann die AsiaPac Google jetzt verklagen?
(von der ARD)
29. März 2010
Weil wir gerade bei Google sind … die taz hat einen Artikel, wie das Remarketing von Google funktioniert. Dabei bekommt ein Nutzer (sofern über den Google-Cookie identifiziert) immer wieder Werbung vom gleichen Anbieter angezeigt, wenn er mal auf eine Webseite eines Anbieters gegangen ist.
„Die Idee: Der Werbetreibende baut in seiner Website einen Google-Code ein, der den Nutzer erkennt. Surft dieser dann irgendwo anders im Web, werden ihm ab sofort regelmäßig Botschaften von der einmal besuchten Seite gezeigt. „Über eine Million Partnerseiten“ lässt sich der User so gegebenenfalls verfolgen, nur weil er einmal die Website des Werbetreibenden angeklickt hat.“
Spannend. Das funktioniert natürlich nur, weil das riesige Werbenetzwerk von Google so viele Webseiten umfasst, auf denen Google-Werbung eingeblendet wird. Ein Mitbewerber der nur auf wenigen Seiten angezeigt wird, hat dazu gar keine Möglichkeit.
Genau das ist auch der Grund, warum ich so gut es geht versuche, Google Analytics (urchin.js, ga.js, etc.) zu blockieren. Nicht etwa, weil der einzelne Seitenanbieter dann nachvollziehen könnte, woher ich komme und welche Seiten ich in welcher Reihenfolge angeschaut habe. Das darf der gerne wissen und kann das anhand seiner Logfiles eh nachvollziehen. Das Problem ist, dass Google über viele Millionen Webseiten hinweg nachvollziehen kann, was ich angeschaut habe. Und ich finde, das geht Google wirklich nichts an.
