Süddeutsche Zeitung & das TLSv1 Gate

Und wieder einmal schlägt das TLSv1 Problem zu, diesmal bei der Süddeutschen Zeitung. Dankt Fefe für den Tipp 😉

Das Testergebnis

CheckTLS Confidence Factor for „szdm.digitalesdesign@sz.de“: 100

MX ServerPrefAnswerConnectHELOTLSCertSecureFromTo
mshgw-mx01.msh.de
[212.4.227.210]
50OK
(86ms)
OK
(114ms)
OK
(89ms)
OK
(90ms)
OK
(1,094ms)
OK
(93ms)
OK
(94ms)
OK
(120ms)
mshgw-mx01.msh.de
[212.4.227.209]
50OK
(86ms)
OK
(88ms)
OK
(86ms)
OK
(90ms)
OK
(860ms)
OK
(96ms)
OK
(92ms)
OK
(95ms)
mshgw-mx01.msh.de
[212.4.227.208]
50OK
(96ms)
OK
(84ms)
OK
(86ms)
OK
(87ms)
OK
(1,023ms)
OK
(92ms)
OK
(90ms)
OK
(90ms)
mshgw-mx02.msh.de
[212.4.227.212]
50OK
(90ms)
OK
(93ms)
OK
(90ms)
OK
(89ms)
OK
(1,024ms)
OK
(91ms)
OK
(91ms)
OK
(95ms)
mshgw-mx02.msh.de
[212.4.227.211]
50OK
(90ms)
OK
(93ms)
OK
(87ms)
OK
(92ms)
OK
(1,002ms)
OK
(87ms)
OK
(94ms)
OK
(94ms)
mshgw-mx02.msh.de
[212.4.227.213]
50OK
(88ms)
OK
(87ms)
OK
(91ms)
OK
(87ms)
OK
(1,069ms)
OK
(98ms)
OK
(91ms)
OK
(90ms)
Average100%100%100%100%100%100%100%100%

Das Testergebnis via checktls.com ist an sich ganz ok, bis auf den kleinen, aber entscheidenen Hinweis, das die Verbindung nur mit TLS 1.0 abgesichert ist 🙂

Die Verbindung selbst wurde am 14. 3. 2018 um 11:45 Uhr getestet und liefert für alle Server das gleiche Ergebnis:

Trying TLS on mshgw-mx01.msh.de[212.4.227.210] (50):

secondstest stage and result
[000.086]Connected to server
[000.198]<–220 mshgw-mx07.msh.de ESMTP
[000.199]We are allowed to connect
[000.200] –>EHLO checktls.com
[000.287]<–250-mshgw-mx07.msh.de
250-PIPELINING
250-SIZE 62914560
250-ETRN
250-STARTTLS
250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN
250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.289]We can use this server
[000.289]TLS is an option on this server
[000.289] –>STARTTLS
[000.378]<–220 2.0.0 Ready to start TLS
[000.379]STARTTLS command works on this server
[000.659]Connection converted to SSL
SSLVersion in use: TLSv1
Cipher in use: DHE-RSA-AES256-SHA
Certificate 1 of 3 in chain: Cert VALIDATED: ok
Cert Hostname VERIFIED (mshgw-mx01.msh.de = *.msh.de | DNS:*.msh.de | DNS:msh.de)

Also ich werde der Süddeutschen Zeitung keine geheimen Daten schicken , ohne die nochmal mit PGP/GPG zu verschlüsseln und am besten gar nicht per Email, sondern gleich per POST mit einem DoubleLayerEncryption USBStick 😀

BSI zu TLSv1.0

Laut der technischen Richtlinie gelten TLS 1.0 und TLS 1.1 als unsicher und 
werden nicht mehr empfohlen.
...
Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und
fordert für die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

ums mal ganz klar zu sagen :

Liebe Süddeutsche,

damit Eure Whistleblower auch in Zukunft noch Mail schicken, was sie zwar nicht sollten, aber das ist ein anderes Thema, wechselt doch mal die Mailserverinfrastutur aus, z.B. indem der Anbieter das Update von 2008 auf TLS 1.2 einspielt. Verschlüsselung auf dem Technikstand von 1999 einzusetzen , ist keine Lösung!

Real ,- & Das Geheimnis hinter der Säule

Was man in Braunschweig nicht so alles sieht, wenn man Einkaufen geht :

Ein preischild hinter einer Säule, das man normalerweise nicht sehen kann- Das Real ,- Kauf an der Hamburgerstraße platziert Ware direkt hinter einer Säule und erwartet tatsächlich, daß man es sieht und kauft 😉

Klar, man kann nur mit den Gegebenheiten in einem Gebäude zurechtkommen, die vorhanden sind. Aber deswegen macht es keinen Sinn die Waren so hinter einer Säule zu verstecken, daß man nicht mal ohne Mühe das Preisschild lesen kann, geschweige denn für welchen Artikel es gilt 😉 Preisschild des Artikels hervorgehoben.Wer clever wäre, würde ja die Säule außen bestücken, oder zumindest dort die Produkt- und Preisinformation platzieren, so daß man auf der Suche nach dem Artikel, eine Chance hat ihn auch zu erblicken. Ich z.B. habe so gar keine Idee, was im untersten Fach angeboten wird 😉 Das die Milchzahnpasta für Kinder 99 ¢ kostet, erschließt sich aus dem sichtbaren Bild, aber was verkaufen die darunter ??? Trotz Bildbearbeitung habe ich das nicht lesbar machen können:

erfolgloser Versuch den Artikelnamen zu bekommen.

Die Säule ist übrigens recht breit, was bedeutet min. ein Artikel verschwindet tatsächlich dahinter 😉 Stören tut das offensichtlich keinen, weil das scheint seit zwei Jahren so ist 😀

 

Bundeshack – Lernplattform Ilias mit Sicherheitslücke

Wie wir ja alle erfahren haben, wurde das Außenministerium über einen Hack bei der Bundeswehr erfolgreich angegriffen.

E-Learning als Einfallstor

Wie sich jetzt rausgestellt hat, war es wohl eine Schwachstelle der E-Learning Plattform Ilias . Das DNF-Cert hat heute eine entsprechende Mitteilung zu Ilias veröffentlicht, in der vor dieser RXSS Lücke und noch unentdeckten anderen gewarnt wird, da nicht klar ist, ob es diese Lücke war, die genutzt wurde.

Betroffen davon sind folgende Versionen:

ILIAS < 5.1.24
ILIAS < 5.2.13
ILIAS < 5.3.1

Das CERT spricht zu Recht an, daß wegen der medialen Aufmerksamkeit, alle Scriptkidis nach verwundbaren Illias Installationen suchen werden. Das bedeutet für alle Illias Betreiber, daß Sie Ihre alten Installationen updaten sollten, um die zu erwartenden Angriffe abwehren können.

Quellen:

https://www.golem.de/news/government-hack-hack-on-german-government-via-e-learning-software-ilias-1803-133231.html

„DFN-CERT-2018-0466 ILIAS: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Apple][Windows]“