Okt 23

Vor Kurzem las ich über SSL-Probleme, die Ende 2011 bzw. im September 2012 aufkamen unter den Namen BEAST (Browser Exploit Against SSL/TLS) und CRIME (Compression Ratio Info-leak Made Easy). Beide Angriffe sind dazu in der Lage, aus dem eigentlich verschlüsselten Datenstrom zum Beispiel die Session-Cookies auszulesen, womit der Angreifer dann automatisch im Account des Benutzers eingeloggt ist und seine Daten stehlen oder das Passwort ändern kann.

Um eine kurze Übersicht zu erstellen wie es bei den bekannten Mailprovidern aussieht habe ich die unten stehende Tabelle erstellt. Mit Hilfe der Webseite ssllabs.com konnte ich sehr einfach überprüfen ob ein Provider anfällig ist. Stand der Tabelle ist der 23.10.2012 (sortiert nach Punkten):

AnbieterURL der TestseiteBEASTCRIMESSLLabs PunkteAnmerkung
GoogleMailWebseitesichersicher87
mail.deWebseitesichersicher87
web.deWebseiteanfälliganfällig85
GMXWebseiteanfälliganfällig85
ArcorWebseiteanfälligsicher66Schwache Verschlüsselungen, anfälliges SSL 2.0, und:

Long handshake intolerance
TLS extension intolerance
FreenetWebseiteanfälliganfällig61Nicht nur anfällig gegen BEAST und CRIME, sondern zusätzlich:

This server is vulnerable to MITM attacks because it supports insecure renegotiation.
This server is easier to attack via DoS because it supports client-initiated renegotiation.
T-OnlineWebseiteanfälligsicher52Nur 52 Punkte, schlechtestes Ergebnis

Schwache Verschlüsselungen, anfälliges SSL 2.0
Secure Renegotiation Not supported

Nur Googlemail und mail.de können sich tadellos präsentieren, alle anderen haben Sicherheitsprobleme, die teilweise gravierend sind. Da sollte dringend nachgebessert werden, gerade Provider die von mehreren Millionen Personen genutzt werden sollten auf ihre Sicherheit und die ihrer Kunden achten.

Hier die Screenshots mit dem aktuellen Stand:

Tagged with:
Jun 18

Laut eleven, führender deutscher E-Mail Sicherheitsspezialist, machte das Spam-Aufkommen im Mai 2010 96,2 % des gesamten E-Mail Verkehrs aus. Zu 87 % wurden in diesen Spam E-Mails Pharma-Themen behandelt. Dies geht aus dem E-Mail Security Report 2010 hervor, welcher aktuelle Zahlen und Trends zum Thema Spam und Malware beinhaltet und mehrmals im Jahr veröffentlicht wird.

7,8 % des weltweiten Spam-Aufkommens wird aus Deutschland heraus verursacht. Damit rangiert Deutschland, was den Spam-Versand angeht, nur knapp hinter den USA auf Platz 2.

Ein weiterer negativer Trend, der verzeichnet wurde, ist der steigende Anteil an Malware E-Mails. Dieser hat sich gegenüber Jahresbeginn vervierfacht. 70 % dieser Malware E-Mails entfallen auf Trojaner.

Ein guter Spam- und Virenschutz ist bei derartigen Zahlen unerlässlich.

Verwandte Artikel:

Tagged with:
Feb 10

Nach Angaben des Facebug Blog ist man nach dem Login bei GMX Mail nicht geschützt bzw. die Session wird nach dem Login nicht mehr mit SSL verschlüsselt.

Außerdem fand Facebug heraus, dass dies ebenfalls Auswirkungen auf die Kommunikation zwischen ADserver und GMX Plattform hat. Denn diese tauschen möglicherweise unverschlüsselt persönliche Daten aus.

Die Vorwürfe wurden von einem Unternehmenssprecher bestätigt, so golem.de.

Gründe für dieses Vorgehen sind, laut GMX-Sprecher, drastische Performance-Rückgänge, wenn nach dem Login verschlüsselt kommuniziert werden würde. Im gleichen Atemzug sagt der Unternehmenssprecher allerdings, dass diese Performance-Rückgänge beim kostenpflichtigen GMX-Account, bei dem nach dem Login verschlüsselte Kommunikation stattfindet, nicht vorzufinden sind. Komisch!?!

Auch die unverschlüsselte Kommunikation zwischen ADserver und Webmailer wurde seitens GMX bestätigt (siehe golem.de). Allerdings beteuert der Sprecher, dass diese Daten nicht an Werbetreibende weitergegeben werden und bisher noch kein Fall von Datendiebstahl vorliegt.

Solche Sicherheitslücken sind sicherlich auch bei anderen E-Mail Anbietern zu finden. Allerdings sind GMX und web.de wohlmöglich die meist genutzten E-Mail Anbieter in Deutschland. Daher sehe ich diese Vorgehensweise schon als sehr fahrlässig an.

Tagged with:
Feb 09

Das hat 1&1 Vostand Jan Oetjen bekannt gegeben nachdem die Deutsche Post verkündet hatte für das Konkurrenzprodukt 20 Cent pro E-Mail einzunehmen.

Wie bereits mehrmals hier berichtet steht De-Mail für sichere, rechtsverbindliche E-Mail Kommunikation inklusive Identifizierungsdienst und einem gesicherten Dokumenten-Safe und soll insbesondere in der Behördenkommunikation Verwendung finden.

Im Sommer will die Deutsche Post mit dem Dienst an den Markt gehen und verlangt im Vergleich zur ausländischen Konkurrenz relativ hohe Preise. In Dänemark kostet eine E-Mail mit ähnlichen Sicherheitsstandards nur 8 Cent.
Die Post begründet diesen Preis mit enormen Sparpotenzialen für den Kunden gegenüber dem klassischen Einschreiben, welches derzeit 2 € kostet, und der Rechtsverbindlichkeit einer derartigen E-Mail. Zudem spart man sich den Weg zur Post.

Kaum war jedoch die Preismeldung der Deutschen Post ausgesprochen, konterte Mitbewerber United Internet prompt. Diese werden nämlich den Dienst für 15 Cent pro E-Mail anbieten. Denkbar wären auch einstellige Cent-Beträge.

Der Konkurrenzkampf scheint jetzt bereits gestartet zu sein, obwohl die Dienste überhaupt noch nicht auf dem Markt sind.
Bei der Entwicklung zu dem De-Mail Projekt arbeiteten die Telekom, United Internet, das Bundesinnenministerium und die Deutsche Post einst zusammen. Im März 2009 zerstritten sich die privaten Unternehmen und so stieg die Deutsche Post aus dem Konsortium aus, um an einer eigenen Version zu arbeiten.
Derzeit hat es den Anschein, dass die Deutsche Post früher an den Markt gehen wird und diesen somit in der ersten Zeit bestimmen wird.

Kritik wird jedoch jetzt schon geübt. Um den Dienst nutzen zu können, müssen sich Interessenten bei einem Bürgerportal registrieren. Das heißt, es werden abermals Daten gesammelt, wobei unklar ist für welche Zwecke diese Daten noch verwendet werden. Außerdem fragt man sich wie sicher das System letztendlich wirklich ist.

Ähnliche Beiträge:

Tagged with:
Jan 29

Forscher an der Universität Berkeley haben eine Technik entwickelt, mit der sie, laut eigenen Angaben, sämtliche Spam-Mails, die von so genannten Botnetzen versendet wurden, herausfiltern können. Unter einem Botnetz versteht man ein Netz gekarperter Rechner, die ferngesteuert ohne Wissen des Inhabers dazu herangezogen werden, massenhaft Spam-Mails zu versenden. Botnetz-Spam wird von Filtern oft nicht erkannt und ist daher ein beliebtes Mittel unter Spammern.

Bei der neuartigen Technik werden die Spammer mit ihren eigenen Waffen geschlagen. Denn die Forscher nutzen ähnliche Tricks, die Spammer auch beim Umgehen von Spam-Filtern nutzen. Die Forscher fanden heraus, dass Spammer bestimmte Vorlagen für Botnetzte heranziehen. Diese Vorlagen sorgen dafür, dass die versendeten Nachrichten stets geringfügig verändert sind und so durch die Spam-Filter gelangen. Die Forscher analysierten die Änderungen in den Nachrichten und konnten somit auf die Vorlagen schließen. E-Mails, die dann Merkmale dieser Vorlagen beinhalteten, kamen auf diese Weise nicht mehr durch den Spam-Filter. Die Technik soll außerdem dafür sorgen, dass irrtümlich als Spam deklarierte E-Mails der Vergangenheit angehören.

Derzeit ist die Technik noch sehr langsam und kann daher noch nicht als wirksamer Anti-Spamschutz eingesetzt werden. Um die oben genannten Botnetz-Vorlagen zu analysieren, benötigt die Technik derzeit noch 10 Minuten. Eine weitere Hürde sei die Masse an Botnetzen, die erkannt werden müssten, so die Forscher. Dies ist noch viel zu langsam, um heutige ausgeklügelte Spam-Attacken in den Griff zu bekommen.
Gleichwohl, die Hoffnung besteht, sich in naher Zukunft nicht mehr mit lästigen Spam-Mails plagen zu müssen.

Tagged with:
preload preload preload