fmann 
Referee
Dabei seit: 11.10.2001
Beiträge: 1.230
Herkunft: Germany
 |
|
| Einfach nur lustig |
|
Gerade als E-Mail von RUS-CERT bekommen:
"[Generic] Datentausch über öffentliche Dienste
(2002-11-19 12:47:03.357397+01)
Es häufen sich Berichte über Fälle, in denen sensitive Daten über
öffentliche Kanäle getauscht werden.
Hintergrund ist offenbar, daß der Austausch der Daten über E-Mail zu
beschwerlich ist, und geschützte Bereiche auf Webservern o.ä. als zu
umständlich empfunden werden.
Zwei unterschiedliche Phänomene sind zu beobachten:
* Austausch von Dateien über öffentliche Peer-to-Peer-Netze (P2P;
mit den üblichen Klienten)
* Verwendung von organisationseigenen offenen FTP-Servern (oder auch
WWW-Servern)
Beim ersten Punkt installieren sich beide Kommunikationspartner
Software für dasselbe P2P-Netzwerk. Der Dateiname wird dann z.B. per
E-Mail übermittelt und der Empfänger sucht nach diesem Namen. Wenn er
Glück hat, findet er die Datei und kann sie sich vom System des
Absenders übertragen lassen. Irgendeine Form von Zugriffsschutz
existiert natürlich nicht. Die Suche mit entsprechenden Begriffen in
P2P-Netzen führt einiges Interessantes zu Tage, wobei ein Teil
sicherlich auch versehentlich mit dem P2P-Klienten freigegeben wurde.
Manche Leute stellen aber auch mit voller Absicht sensitive Dokumente
in öffentliche P2P-Netze.
Im zweiten Fall wird z.B. ein komplett offener FTP-Server zur
Verfügung gestellt, der den Dateitransfer unterstützen soll. Nicht nur
kann jedermann die angebotenen Dateien von diesem Server beziehen --
da ein Rückkanal zur Verfügung gestellt werden soll, hat auch
jedermann Schreibzugriff. Es ist daher nur eine Frage der Zeit, bis
ein solcher Server zum Umschlagplatz für rechtlich bedenkliches
Material wird. Selbst wenn ein solcher Server in der Erwartung
eingerichtet wird, daß keine kritischen Daten ausgetauscht werden,
wird in der Praxis dieser Grundsatz immer wieder verletzt werden, da
ein solcher Server gegenüber den anderen Kanälen deutlich leichter zu
verwenden ist.
Selbst wenn Dateien in ZIP-Archive verpackt werden und mit einem
Paßwort versehen werden, stellt das selten einen adäquaten Schutz dar:
Einerseits werden häufig Trivialpaßwörter verwendet, andererseits sind
sehr effektive Known-Plaintext-Angriffe gegen den
ZIP-Verschlüsselungsalgorithmus bekannt. Zumindest die Problematik der
schwachen Paßwörter greift auch dann, wenn eine in der Bürosoftware
integrierte Verschlüsselung verwendet wird.
Gegenwärtig mangelt es an einer wirklich massentauglichen Lösung für
das Dateitauschproblem. Wenn P2P-Netze und anonymes FTP im
wesentlichen ausscheiden, belieben noch folgende Ansätze:
* anonymes FTP mit unlesbaren Verzeichnissen bzw. speziellem
Incoming-Verzeichnis
Dieser Ansatz kann für den Upload durch einen unbekannten Benutzer
von außen vergleichsweise sicher sein, insbesondere wenn ein
spezielles Incoming-Verzeichnis verwendet wird, welches die Daten
an einen gesonderten Ort verschiebt.
Die andere Richtung (aus der Firma nach außen) läßt sich damit
nicht so zuverlässig regeln, da häufig leicht zu ratende
Dateienamen gewählt werden.
* nicht-anonymes FTP
Dies erfordert, daß für jeden Sender bzw. Empfänger ein eigener
Account angelegt wird, was nicht praktikabel ist.
* HTTP mit versteckten Verzeichnissen
Für die Verzeichnisse bzw. die Dateien darin werden regelmäßig
leicht zu ratende Namen verwendet, so daß es immer wieder zu Lecks
kommt. Auch werden häufig mehr oder weniger versteckte Links auf
den vermeintlich sicheren Bereich gesetzt, so daß das Versteck
auffliegt.
* Netz-Dateisystem (AFS, NFS, SMB/Windows Shares)
Hier existieren entweder dieselben Probleme wie bei FTP, oder es
ist keine zuverlässige benutzerorientierte Authentifizierung
möglich.
* SSH bzw. SCP
Hier gibt es ähnliche Voraussetzungen wie bei FTP. Zusätzlich ist
es bei den meisten SSH-Implementierungen schwierig, dem
Kommunikationspartner nicht gleichzeitig vollen Shell-Zugang
einzuräumen.
* SAFT bzw. sendfile
[1]SAFT wurde entworfen, um das angesprochene Problem zu lösen. Es
benötigt jedoch spezielle Client- und Server-Software, die für die
Massen im Moment leider nicht zugänglich sind.
* IRC (mit DCC) oder Instant Messenger (AIM, ICQ)
Dateiaustausch per DCC etc. wird von erfahrenen Benutzern dieser
Medien gerne verwendet. Hier stellt sich aber auch die
Authentifizierungsproblematik, und beide Protokolle sind alles
andere als Firewall-freundlich.
* WebDAV
Bei [2]WebDAV fehlt für Endnutzer die Möglichkeit, neue Principals
anzulegen. Es existiert hier also dieselbe Problematik wie bei
nicht-anonymem FTP, nur daß das Protokoll leichter durch
Paketfilter zu handhaben ist und das Schreiben von interoperablen
Implementierungen im Prinzip etwas einfacher ist.
Alles in allem ist die Lage relativ düster, weswegen ja auch mit
solcher Verzweiflung zu derart unsicheren Übertragungskanälen
gegriffen wird. In der heutigen EDV-Landschaft kommt eigentlich nur
ein zentraler Ansatz in Frage (da sonst eine der beiden beteiligten
Workstations als Server fungieren müßte). Der Ansatz, das ganze über
einen FTP-Server zu machen (oder einen WWW-Server mit WebDAV, was
Firewall-freundlicher wäre), erscheint prinzipiell richtig, auch wegen
der weiten Verfügbarkeit von Clients. Was allerdings im Augenblick
fehlt, ist ein Methode, mit der der Zugriff auf eine Datei nicht
automatisch gleich alle anderen Dateien sichtbar macht. Außerdem ist
ein Rückkanal erforderlich, der aber nicht von jedermann zur
Veröffentlichung von Dateien genutzt werden kann.
Zur Diskussion möglicher Lösungsansätze bietet das RUS-CERT eine
[3]Mailingliste an. Gegenwärtig gehen die Überlegungen in die folgende
Richtung:
* Jeder im eigenen Netz kann auf einen Webserver Dateien hochladen
und bekommt dann eine URL mit dem Hash (oder einer anderen
Kennung) angezeigt.
* Diesen URL kann er dann per Mail weiterleiten oder auch per
Telefon.
* Nach einer gewissen Zeit expiriert die Datei auf dem Server;
möglicherweise schneller, wenn sie abgeholt wurde.
Dieser Ansatz scheint die meisten Probleme zu lösen. Bei Bedarf läßt
sich auch Server-basierte Verschlüsselung nachrüsten. Bei den heutigen
Plattenpreisen sollte eine zentralisierte Lösung kein Problem
darstellen (da die Dateien sich nur im Transit befinden, sind
Datenverluste durch die lausige Plattenqualität auch nicht so
schlimm).
Aktuelle Version dieses Artikels
[4]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1019
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2002 RUS-CERT, Universität Stuttgart,
[5]http://CERT.Uni-Stuttgart.DE/"
Vertrauliche Daten per P2P tauschen !?! Nicht wahr, oder ?
cu
fmann
__________________
Viele Menschen wissen, dass sie unglücklich sind. Aber noch mehr Menschen wissen nicht, dass sie glücklich sind.
Albert Schweitzer (14.01.1875 - 04.08.1965)
|
|
