Nachrichten in aller Kürze
Alles zur Community
Nachrichten, die zu Ihnen kommen: Newsletter, Feeds und SMS
Alles zu unseren mobilen Angeboten: Apps, Mobilversion und SMS
Unsere Radio- und TV-Angebote
Die Zeitung im Internet: Abo, E-Paper, Anzeigen und mehr
Alles über die Redaktion von derStandard.at
Alles über Onlinewerbung, Stellenanzeigen und Immobilieninserate
Diverse große Webseiten verwende(te)n zu schwache DKIM-Schlüssel.
Mathematiker Zachary Harris, so berichtet Wired, war etwas erstaunt, als ihn vergangenen Dezember ein Jobangebot von Google per E-Mail erreichte. "Sie haben offenbar eine Passion für Linux und für das Programmieren", so das Schreiben eines angeblichen Recruiters. "Ich würde gerne wissen, ob Sie an einer Chance interessiert wären, für Google zu arbeiten."
Weil er sich selbst nicht unbedingt für den wahrscheinlichsten Kandidaten für eine Stelle beim Netzriesen hielt, vermutete Harris einen Scamversuch und inspizierte die Headerinformation der E-Mail genauer. Gemäß dieser schien es sich um eine authentische Nachricht zu handeln.
Was ihm allerdings auffiel war, dass Google eine schwache Verschlüsselung verwendet, um seine E-Mails zu authentifizieren. Wer den Schlüssel knackt, kann sich problemlos als eine andere Person ausgeben und E-Mails versenden, die so aussehen, als kämen sie von Google selbst, ohne dass das Gegenteil belegbar wäre.
Der DKIM-Schlüssel (DomainKeys Identified Mail) für google.com war zu diesem Zeitpunkt lediglich 512 Zeichen lang. Und damit niedriger als der eigentlich vorgesehene Standard von 1.024. DKIM-Keys dienen zur Verifizierung der Domains der Absenderadresse, um sicherzustellen, dass eine versandte Nachricht auch wirklich vom angeblichen Verfasser stammt.
Harris dachte, es könnte sich um einen versteckten Test im Zusammenhang mit dem Jobangebot handeln, da er sich nicht vorstellen konnte, dass Google tatsächlich so unvorsichtig vorgehen würde. Also knackte er den Schlüssel und schickte unter dem Namen des Konzern-Mitgründers Sergej Brin eine E-Mail an CEO Larry Page, wobei als Antwortpfad auch seine eigene E-Mailadresse eingestellt war.
In dem Schreiben verlinkte er seine Website, das EverythingWiki. Eine Antwort erhielt er zwar nie, allerdings stellte er nur zwei Tage später fest, dass Google die Länge seines DKIM-Schlüssels erweitert hatte. Harris hatte offenbar einen wunden Punkt entdeckt, wie mittlerweile auch eine Sprecherin bestätigte.
Er prüfte weitere Domains auf die Sicherheit ihrer DKIM-Keys und fand einige, die lediglich mit einer Sicherheit von 768, 512 oder gar nur 384 Bit verschlüsseln. Ein beachtenswertes Problem, wie Harris erklärt. "Einen 384-Bit-Schlüssel kann ich auf meinem Laptop in 24 Stunden knacken. Einen 512-Bit-Schlüssel habe ich in 72 Stunden über Amazons Webservices für 75 Dollar."
768 Bit sind für eine Einzelperson nicht mehr zu bewerkstelligen, Harris merkt aber an, dass größere Gruppierungen mit entsprechenden Rechenkapazitäten oder potenzielle Bösewichte, wie die iranische Regierung, dieser Herausforderung durchaus gewachsen wären.
Betroffen sind durchaus prominente Seiten. Yahoo, Twitter, eBay und Amazon verschlüsseln mit 512 Bit. PayPal, LinkedIn, HSBC und die US Bank mit 768. Da Scammer insbesondere gerne im Namen von PayPal hausieren gehen, hält Harris die Verschlüsselung für zu schwach
Er übermittelte seine Funde im vergangenen August an das amerikanische Computer Emergency Response Team. Dort hat man nun eine Aussendung dazu veröffentlicht. Lösen lässt sich das Problem einfach. Betroffene müssen lediglich den alten Schlüssel zurückziehen, einen neuen, längeren generieren und in ihren DNS-Eintrag einpflegen.
Wie heise berichtet, gehört auch Microsoft zu den Betroffenen. PayPal, eBay und Google haben mittlerweile reagiert und verwenden Schlüssel in der Länge von 1.024 Bit. (red, derStandard.at, 25.10.2012)
Mit derStandard.at/Mobil sind Sie unterwegs immer top-informiert - mit Liveberichten und Postings!
Errechnet Privacy-Score für jedes einzelne Programm und bewertet Rechte
Innenministerin Mikl-Leitner will digitale Straftaten auch bei StGB-Novelle diskutieren
US-Politiker machen Iran verantwortlich
Möglicherweise bis zu 22 Millionen Benutzerkennungen ausgespäht
Untersuchungen sollen Ursprung des Spionage-Tools abklären
Microsoft lanciert Warnung - Schädling tarnt sich als Browser-Erweiterung
Kaspersky: Spammer weichen allerings immer öfter auf soziale Netzwerke aus
Sicherheitsforscher konnten über ungepatchte Lücke auf Gebäudeverwaltung zugreifen
Vertrag gilt für ein Jahr und zehn Rechner
"Man braucht nur wenige Klicks, bis man am virtuellen Schaltpult eines Heizkraftwerks steht"
Twitter rechnet künftig mit weiteren Attacken auf Medien
Polizei warnt vor Schädling - Virus versucht, Geld vom User zu erpressen
Unbekannten kopierten komplette Kreditkartensätze von Servern der Plattform Traveltainment
Nicht signierten Applets wird nun stets eine Warnung vorgeschalten
Angesichts der großangelegten Brute-Force-Attacke sollte einiges beachtet werden
Framework "SIMON" schleust sich in Flugmanagementsysteme ein - Übertragungsprotokoll anfällig
Malware installiert Bitcoin-Mining-System im Hintergrund und sorgt für spürbaren Performance-Einbruch des Computers
Mit Hilfe von Trojanern kann der ganze Rechner in die Kontrolle Dritter gelangen - Webcam inklusive
Sicherheitsexperten machen auf Sicherheitslücken bei vernetzten Kameras aufmerksam
Angriff zeigt Handlungsbedarf für Sicherheit von Internet-Verbindungen
Angeblich intensive Attacken auf staatliche Server
Seit Sonntag wurde Schadsoftware 70.000 Mal erkannt
Stundenlang kein Zugriff für Kunden der US-Bank
Größere Gefahr für die Sicherheit der USA als der Terrorismus
Googles hochdotierter Hacker-Wettbewerb Pwnium 3 sah keinen Sieger
http://www.gpg4win.de/
und für Thunderbird als plugin noch
http://www.enigmail.net/home/index.php
Schlüssel generieren (4096bit), öffentlichen hochladen. Emails verschlüsseln,signieren.
Wenn man will das privates privat bleibt und Nachrichten identifizierbar sind ist so etwas unerlässlich. Denke ich. ;-)
CB
mit gpg s/mime signaturen machen, fertig.
signierungsparties gibts hier: https://metalab.at/wiki/CryptoParty
.....potenzielle Bösewichte, wie die iranische Regierung, dieser Herausforderung durchaus gewachsen wären.
von wem wurde schadsoftware wie stuxnet, flame und ähnliches programmiert? vom iran?
....allerdings wäre ein explizite Erwähnung inklusive Beispiel von "tatsächlichen Bösewichten" der Objektivität nicht abträglich gewesen ;-) Möglicherweise dachte er sich, dass die Erwähnung "tatsächlicher Bösewichte" eine Pleonsmoidität darstellt *rofl*
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.