„Security“ by Deutsche Bahn

Die Deutsche Bahn hat ja derzeit schon einen Gesprächstermin mit der Berliner Datenschutzbeauftragten, weil sie Greta’s Reisedaten preisgegeben haben, aber vor 16 Minuten brach auch die Sicherheitsfassade der DB IT zusammen. Auf Full-Disclosure wurde vom Vulnerability Laboratory eine DB Bahn Sicherheitslücke veröffentlicht.

„Security“ by Deutsche Bahn

Man kennt das als Bahnfahrer, man trifft an an einem Bahnhof ein und möchte woanders hin. Dazu braucht man einen Fahrschein, neudeutsch auch Ticket genannt. Um ein Ticket zu bekommen, stehen überall so kleine armlose Roboter rum, die Geld in Tickets wechseln. Dazu gibt man ein, wo man hin will und dann …. crasht gelegentlich die Anwendung intern, und da wird es spannend 🙂

Ein Prozess auf dem… und jetzt gut festhalten… Windows XP System, namens PasswordAgent.exe hat diverse Fehler, mal kann er was nicht abfragen, mal gibt es Laufzeitfehler, wie man das so noch von WinXP kennt ;). Jedesmal wenn das passiert, kommt eine Fehlermeldungsbox. Auf normalen PC wäre die im Vordergrund zusehen, hier allerdings versteckt sie sich hinter dem Anwendungsfenster des Verkaufsautomaten, damit der Kunde genau das nicht sehen kann.

Leider gibt es da noch einen Bug: Wenn man im Zahlenfeld auf Abbrechen klickt, während diese Meldung im Hintergrund angezeigt wird, kommt die nach vorne, vor die Verkaufsanwendung.

Jetzt haben wir ein Standardwindowsfehlerfenster und da ist ein Link drin zu den Details der Fehlermeldung. Darin wiederum ist ein Link zur M$-Hilfe. Drückt man drauf kommt, Ihr ahnt es, ein Browser ins Spiel, weil das ein Weblink ist. Ist der Browser erstmal gestartet, hat man über das Einstellungsmenü die Option ins Filesystem zu wechseln und der Rest dürfte auf der Hand liegen: Trojaner drauf, Ransomware oder einfach die DB Kunden verarschen, in dem der Automat keinen Fahrschein druckt oder oder oder…

Hier nochmal die Kurzfassung des Exploitweges:

PasswordAgent.exe := Unexpected Error (Background) – Runtime/Session/Timeout
=> Transaction Application => Cancel := Unexpected Error (Background) – Runtime/Session/Timeout (Front)
=> Click Error Report => Click Search Collection => Web Browser => Local File System => PWND!

Den Wert des Exploits schätzen die Finder auf 5.000€ – 10.000€ ein.

Angeblich kam die Bahn bereits selbst auf diese Lücke und hätte auch schon mit dem Patchen begonnen, insofern müßten potentielle Spaßvögel sehr schnell reagieren 😉

Quelle: https://www.vulnerability-lab.com/get_content.php?id=2191

Sicherheitsabend bei der LUG BS

„Guten Abend meine sehr verehrten Damen und Herren,
ich darf Sie heute zum IT-Sicherheitsabend der LUG Braunschweig im Haus der Talente begrüßen.“

So wird es nächsten Mittwoch, ab 18 Uhr im Haus der Talente garantiert nicht klingen, wenn wir die Besucher zu unserem IT-Sicherheitsabend 2018 begrüßen werden.

Im Programm haben wir u.a. Vorträge zu folgenden Themen:

  • „TLS – Was kann da schon schiefgehen?“
  • „Firefox absichern“
  • „Du und Dein Passwort – Wieso Passwörter lang sein müssen“
  • „Unterschiede von Windows und LINUX am Beispiel der Datenausleitung“

Ich würd mich natürlich freuen, wenn Ihr auch kommen würdet.

Datum: 26.9. 2018 ab 18 Uhr

Ort der Veranstaltung : Nachbarschaftszentrum / Haus der Talente, Elbestr. 45.  (Tram 3, Haltestelle: Saalestr.)

 

gebrochene Verschlüsselung: internet-sicherheit.de

Aus der Kategorie „Sachen zum Lachen“:

HEUTE

Das if(is) – Institut für Internet-Sicherheit,Westfälische Hochschule, Gelsenkirchen“

in

„Das if(is) gibt zusammen mit dem Bundesministerium für
Wirtschaft und Energie (BMWi) einen IT-Verschlüsselungs Kompass heraus“

Das ist passiert:

Das If(is) ( ob das mit den Klammern so gewollt war ??? ) hat zusammen mit dem BMWi und einer Consulting Firma einen Ratgeber für den „Mittelstand“ zum Thema „Einsatz von Verschlüsselung“ herausgegeben. Klang erstmal gut, weil das Thema recht komplex sein kann. Bei genaueren Hinsehen, und wenn ich das mit Hinweis hierauf : Mailserver – Gebrochenes TLS im Einsatz noch mal betonen darf, „genau hinsehen ist eine so dumme Idee“, aber leider kann ich diese schlechte Angewohnheit nicht ablegen, entblößt sich dieser Kompass weniger als Kompass, denn mehr als Nadel ohne magnetischen Inhalt 😀

Glücklicherweise gibt der Kompass selbst dieses Motto über sich aus :

Dieses Dokument soll Unternehmen als Orientierung dienen, an welchen Stellen eine Verschlüsselung
sinnvoll ist und welche Möglichkeiten der Umsetzung zur Verfügung stehen.“ ( Seite 6 )

Dieser Eigenbeschreibung wird das Dokument gerecht, aber so ganz ergeben einige Tabellen keinen Sinn. Aber damit wollen wir uns nicht weiter belasten 🙂

Auf Seite 7 heißt es dort „Eine versendete E-Mail erfüllt somit keine IT-Sicherheitseigenschaften zum Schutz vor Einbli-
cken durch Dritte.“ und „81 Prozent der Unternehmen sind lt. BVDW in Deutschland bereits jetzt der Meinung, dass die Sicherheit der E-Mail-Kommunikation stark verbesserungswürdig ist.“ (BVDW könnte wohl Bundesverband der deutschen Wirtschaft lauten)

Ja, an sich könnte man dem zustimmen. Solange es Leute wie das if(is) gibt, die 10 Jahre alte Verschlüsselungstechniken einsetzen, ist das Medium auch wirklich unsicher. Wie jetzt, Ihr glaubt nicht, daß ein Zitat(http://www.internet-sicherheit.de) :

„Institut für Internet-Sicherheit

für mehr Vertrauenswürdigkeit und IT-Sicherheit“

unsichere Verschlüsselung einsetzt ??? .. ok, das können wir ändern… Büdde schön … der Beweis*:

Checking a@internet-sicherheit.de:looking up MX hosts on domain „internet-sicherheit.de“

  1. smtp.internet-sicherheit.de (preference:10)

Trying TLS on smtp.internet-sicherheit.de[194.94.127.56] (10):

secondstest stage and result
[000.093]Connected to server
[000.325]<–220 smtp.internet-sicherheit.de ESMTP
[000.325]We are allowed to connect
[000.325] –>EHLO checktls.com
[000.419]<–250-smtp.internet-sicherheit.de
250-PIPELINING
250-SIZE 104857600
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.419]We can use this server
[000.420]TLS is an option on this server
[000.420] –>STARTTLS
[000.512]<–220 2.0.0 Ready to start TLS
[000.512]STARTTLS command works on this server
[000.809]Connection converted to SSL
SSLVersion in use: TLSv1
Cipher in use: DHE-RSA-AES256-SHA
Certificate 1 of 3 in chain: Cert VALIDATED: ok
Cert Hostname VERIFIED (smtp.internet-sicherheit.de = smtp.internet-sicherheit.de | DNS:smtp.internet-sicherheit.de | DNS:smtp2.internet-sicherheit.de)
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=03:af:98:64:78:06:6f:ae:36:a9:04:e1:d8:9f:65:8f:d8:14
subject= /CN=smtp.internet-sicherheit.de
issuer= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
Certificate 2 of 3 in chain: Cert VALIDATED: ok
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=0a:01:41:42:00:00:01:53:85:73:6a:0b:85:ec:a7:08
subject= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
Certificate 3 of 3 in chain: Cert VALIDATED: ok
serialNumber=44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b
subject= /O=Digital Signature Trust Co./CN=DST Root CA X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
[001.254] ~~>EHLO checktls.com
[001.350]<~~250-smtp.internet-sicherheit.de
250-PIPELINING
250-SIZE 104857600
250-ETRN
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[001.351]TLS successfully started on this server
[001.351] ~~>MAIL FROM:
[001.460]<~~250 2.1.0 Ok
[001.461]Sender is OK
[004.645] ~~>QUIT
[004.738]<~~221 2.0.0 Bye

*) Getestet am 27.2.2018 um 11:30 Uhr

Der Bericht ist leicht gekürzt. Wer den in Gänze sehen will, kann es bei checktls.com selbst prüfen.

Das ist fast schon peinlicher als beim BSI. Naja, eigentlich nicht, ist der gleiche Level.

Interessanterweise, kann der Mailserver der Westfälischen Hochschule, die das Angebot vom if(is) technisch laut Whois betreut, TLS 1.2 . Da fragt man sich, wie das wohl passiert ist 🙂

Trying TLS on mail1.w-hs.de[194.95.250.90] (10):

secondstest stage and result
[000.110]Connected to server
[000.679]<–220 mail1.w-hs.de ESMTP
[000.680]We are allowed to connect
[000.680] –>EHLO checktls.com
[000.790]<–250-mail1.w-hs.de
250-8BITMIME
250-SIZE 41943040
250 STARTTLS
[000.791]We can use this server
[000.791]TLS is an option on this server
[000.791] –>STARTTLS
[000.900]<–220 Go ahead with TLS
[000.900]STARTTLS command works on this server
[001.260]Connection converted to SSL
SSLVersion in use: TLSv1_2
Cipher in use: DHE-RSA-AES128-GCM-SHA256

Natürlich haben wir versucht, die Westfälische Hochschule, genauer die ZIM-IT zu erreichen, aber „Aufgrund von technischen Störungen“ war eine Kontaktaufnahme nicht möglich. Bei mehreren Leuten aus der Abteilung wurde es auch telefonisch versucht, aber alle ausgeflogen.

Da bleibt leider nur der Weg, es mal über die gebrochene TLS Strecke zu versuchen. Welch Ironie 😀

Der Gegentest

Der Gegentest war eigentlich nicht nötig, aber falls noch Zweifel bestanden :

2018-02-27 12:13:59 => information@internet-sicherheit.de R=dnslookup T=remote_smtp H=smtp.internet-sicherheit.de [194.94.127.56] X=TLSv1:AES256-SHA:256

Der Cipher ist jetzt auch nicht wirklich brauchbar, um genau zu sein, daß ist wohl so ziemlich der simpelste Cipher der möglich ist. Nur AES-128-SHA:256 wäre noch schlechter 😀 Gibt es eigentlich einen AES-128-MD5 ??? 😀

Trotz des groben Schnitzers mit dem TLS, kann man den Kompass zur „leichten Orientierung“ an bislang unbelastete Unternehmer weitergeben. Der Inhalt ist nicht an sich schlecht. In Teilen ist er aber noch verbesserungswürdig. bspw. die Tabelle auf Seite 14 macht erst nach dem dritten oder vierten mal Sinn. Der Inhalt paßt aber nicht zur Beschreibung.

Auch die Empfehlung, daß kleine Unternehmen mehr oder minder aufwendige Prozeduren manueller Art machen sollen, statt sich einfach für 7,99 € im Monat einen Emailanbieter wie „uns“ zu mieten, der Auto GPG und Keymanagement inkl. anbietet(und TSL 1.2 kann 😉 ), erschließt sich mir jetzt nicht direkt. Da sind wohl Annahmen im Spiel, die einfach falsch sind.

Vielleicht schreibe ich ja dazu nochmal was.