Ã?bersicht Sicherheitslücken E-Mail

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
suntzu
RSAC
Posts: 698
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Ã?bersicht Sicherheitslücken E-Mail

Post by suntzu » 2005-04-19 19:06

Hi,

ich bin auf der Suche nach einer möglichst umfassenden Ã?bersicht in der dargestellt wird, welche Gefahren bzw. Angriffspunkte es für Mails gibt. Konkret geht es darum dass wir einer Firma vermitteln wollen, warum Mail-Verschlüsselung sinnvoll ist. Dazu ist eine Darstellung der zur Zeit konkreten Gefahren notwendig.

Ich suche nicht Quellen in denen einfach nur steht, dass "eine Gefährdung durch dritte" besteht sondern möglichst konkrete Informationen, wo (Rechner, Router, Server, ...) und wie (technischer Aufwand, kriminelle Energie, Softwarefehler, ...) die Gefahr besteht. Einige Seiten habe ich zwar schon gefunden, eine wirklich umfassende Ã?bersicht ist mir jedoch noch nicht unter die Finger gekommen.

Ã?ber jede Antwort bin ich dankbar.

Gruß,
Dominik

duergner
RSAC
Posts: 976
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by duergner » 2005-04-19 20:11

Mail-Verschlüsselung == ?!?

PGP/SMIME oder sowas in der Art IMAPS/POP3S?

suntzu
RSAC
Posts: 698
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by suntzu » 2005-04-19 20:16

Vor allem clientseitige Verschlüsselung, also PGP/GPG/S/MIME...

Aber auch verschlüsselte Verbindungen sind ein Aspekt und sollten berücksichtigt werden.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by dodolin » 2005-04-20 00:03

Nun, es geht einmal darum, dass man in E-Mails den Absender beliebig fälschen kann. Daher ist eine Signatur notwendig, sofern man den Absender authentifizieren möchte.

TLS ist zwar nett, um aber sicherzustellen, dass außer dem beabsichtigten Empfänger keiner die E-Mails lesen kann reicht das nicht aus. Hier benötigt man die von dir erwähnten Tools auf Mailbody Ebene wie PGP, GPG, S/MIME.

Webseiten habe ich dazu jetzt nicht.

Welche Gefahren meinst du jetzt speziell? Wo überall jemand und mit welchem Aufwand fremde Mails mitlesen könnte? Geht es auch um Gefahren wie Spam/Würmer/Phishing?
Konkret geht es darum dass wir einer Firma vermitteln wollen, warum Mail-Verschlüsselung sinnvoll ist.
Sorry, aber das würde ich so allgemein nicht unterschreiben wollen. Das kommt sehr auf das Geschäftsfeld der Firma und die Struktur der E-Mail Korrespondenten (Kunden?) an. Wenn z.B. kaum einer der Kunden Verschlüsselung/Signatur einsetzt, bringt das herzlich wenig. Wenn man nicht gerade als Rechtsanwalt etc. arbeitet, sollte es auch nicht so kritisch sein, etc. Kommt halt auch darauf an, welche Daten/Informationen man plant, über das Internet zu schicken.

Bei mir in der Firma wird z.B. auch so gute wie keine Verschlüsselung eingesetzt. Allerdings ist es hier so, dass der allergrößte Teil von Mails nur firmenintern verschickt wird und hier die einzelnen Standorte per VPN vernetzt sind und ins Intranet (hoffentlich *g*) keiner von Außen reinkommt.

suntzu
RSAC
Posts: 698
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by suntzu » 2005-04-20 00:35

dodolin wrote:Nun, es geht einmal darum, dass man in E-Mails den Absender beliebig fälschen kann. Daher ist eine Signatur notwendig, sofern man den Absender authentifizieren möchte.
Das ist das erste Problem. Das zweite ist dass der Inhaltsfälschung (wird mit Signaturen behoben) und das Dritte das des Abfangens bzw. Mitlesens von Mails.
Ich suche eine Quelle, wo Möglichkeiten, WIE solche Angriffe durchgeführt werden können aufgelistet werden und dabeisteht, wer welche Gegenmaßnahmen dagegen durchführen kann.
Welche Gefahren meinst du jetzt speziell? Wo überall jemand und mit welchem Aufwand fremde Mails mitlesen könnte? Geht es auch um Gefahren wie Spam/Würmer/Phishing?
Der erste Teil. Die Spamproblematik sowie Phishing/Würmer/Viren ist nicht Gegenstand meiner derzeitigen "Untersuchung".
Konkret geht es darum dass wir einer Firma vermitteln wollen, warum Mail-Verschlüsselung sinnvoll ist.
Sorry, aber das würde ich so allgemein nicht unterschreiben wollen. Das kommt sehr auf das Geschäftsfeld der Firma und die Struktur der E-Mail Korrespondenten (Kunden?) an. Wenn z.B. kaum einer der Kunden Verschlüsselung/Signatur einsetzt, bringt das herzlich wenig. Wenn man nicht gerade als Rechtsanwalt etc. arbeitet, sollte es auch nicht so kritisch sein, etc. Kommt halt auch darauf an, welche Daten/Informationen man plant, über das Internet zu schicken.
OK, etwas konkreter:
Es geht darum, dass wir hier an der Uni bzw. einem Institut der Uni Forschungsprojekte in Zusammenarbeit mit Firmen durchführen. Dabei geht es vor allem für die Firmen - und damit auch für ihre Konkurrenz - um Beträge in, sagen wir mal höherstelligen Dimensionen. Bisher wird und wurde (für mich absolut unverständlich... aber ich bin ja nur HiWi...) die gesamte Mail-Korrespondenz traditionell, also ohne jegliche Sicherheitsmechanismen durchgeführt. Dazu zählten und zählen auch und vor allem Versuchsergebnisse und Messwerte.
Vor kurzem und mit leichtem Druck meinerseits ist meinem Chef dann bewusst geworden, dass das ja eigentlich gar nicht so toll ist... Nachdem ich ihm dann erzählt habe, wie Verschlüsselung funktioniert und was für Voraussetzungen dafür von den Kommunikationspartnern erfüllt sein müssen hat er mich damit beauftragt, eine Zusammenfassung von Angriffsmöglichkeiten zusammenzustellen damit er diese Zusammenstellung der Firma geben kann. Rauslaufen soll das ganze auf eine sichere E-Mail-Kommunikation. Und damit ich mir die Arbeit des selber schreibens eines solchen Dokuments sparen kann, suche ich eben Websites/Paper/whatever, in denen genau sowas schon gemacht wurde *gg*

Leider bietet die Firma, mit der zusammen die Forschung betrieben wird bisher keinerlei Möglichkeit der Verschlüsselung, obwohl es eine mittelständische Unternehmung ist, die auf ihrem Gebiet Weltmarktführer ist...

Na ja, jetzt hoffe ich, dass mit einem kleinen schockierenden Bericht bzw. "Proof-of-Concept"-Brief an den Geschäftsführer sich da etwas ändert.

So, ich glaube, jetzt habe ich meine Absicht hinter der Frage etwas näher erläutert ;-)

Danke schonmal für alle bisherigen und noch kommenden Antworten,
Dominik

PS: Ich suche und suche und suche und stelle dann fest, dass das Thema verschoben wurde... So eine Unverschämtheit *g*

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by dodolin » 2005-04-21 14:15

SunTzu wrote:
dodolin wrote: Nun, es geht einmal darum, dass man in E-Mails den Absender beliebig fälschen kann.
Das ist das erste Problem. Das zweite ist dass der Inhaltsfälschung (wird mit Signaturen behoben)
Ã?hm, auch das erste Problem (Absenderfälschung) wird mit Signaturen behoben.
und das Dritte das des Abfangens bzw. Mitlesens von Mails.
Das wird dann durch Verschlüsselung gelöst. Und zwar nicht SMTP/TLS, sondern PGP/GPG/S/MIME.
Ich suche eine Quelle, wo Möglichkeiten, WIE solche Angriffe durchgeführt werden können aufgelistet werden und dabeisteht, wer welche Gegenmaßnahmen dagegen durchführen kann.
Mir ist jedenfalls keine solche Quelle bekannt. Nun, die Gegenmaßnahmen sind ja nun alle genannt.

Wie man die Angriffe durchführt?
Nun, Problem 1 (Absenderfälschung) ist trivial zu zeigen. Einfach einen manuellen SMTP Dialog nehmen, der zeigt, dass man MAIL FROM beliebig angeben kann. Wahlweise auch noch zeigen, dass man den From: im Body ebenso frei wählen (und fälschen) kann.

Die anderen zwei Probleme (Inhaltsfälschung, Mitsniffen) sind nicht so einfach.

Prinzipiell könnte auf jedem Router, über den die Mail geht gesnifft werden. Der Aufwand dürfte aber viel zu groß sein, als dass das jemand gezielt nutzen würde. (Die Datenmengen auf Routern im Backbone dürften enorm sein.) Fälschen dürfte auf Router-Ebene kaum möglich sein, da die Mail ja in einzelne Pakete zerlegt wird.

Wesentlich einfacher hat es ein Angreifer auf einem Mailhost, über den die Mail läuft. Er könnte Filter einbauen, die ihm Mails von bestimmten Absendern etc. per Kopie zusenden oder auch verändern und weiterleiten. Auch diese Möglichkeit ist aber recht unwahrscheinlich, da die Kommunikation in eurem Fall ja anscheinend von Uni zur Firma und zurück funktioniert. Wenn keine Drittaccounts (z.B. von Freemailanbietern) genutzt werden, wird die Kommunikation ja direkt ablaufen, sodass keine weiteren Mailserver beteiligt sind.

Alles in allem halte ich die Gefahren immer noch für relativ gering. :)

Mir ist auch noch nicht ganz klar, was deine Motivation ist, an dem Zustand etwas zu ändern? Dass der Geschäftsführer deinen Namen besser kennt? ;)
PS: Ich suche und suche und suche und stelle dann fest, dass das Thema verschoben wurde... So eine Unverschämtheit *g*
Wenn man sich Benachrichtigungen bei neuen Nachrichten im Thread schicken lässt ist dort AFAIK ein Link enthalten, der immer auf den Thread zeigt, auch wenn dieser verschoben wurde. Viel mehr kann man da aber wohl nicht machen - außer, gleich das richtige Forum zu wählen. ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by captaincrunch » 2005-04-21 14:19

Fälschen dürfte auf Router-Ebene kaum möglich sein, da die Mail ja in einzelne Pakete zerlegt wird
Wozu auch? Es gibt schließlich man in the middle. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by dodolin » 2005-04-21 14:22

Wozu auch? Es gibt schließlich man in the middle.
Für gewöhnlich verstehe ich unter MitM nur sniffen, nicht verändern von Daten. Mir ist aber durchaus bewusst, dass es z.B. für SSH MitM Tools gibt, die auch das verändern ermöglichen bzw. zumindest die Ã?bernahme der Session.

Was willst du mir mit dieser Aussage also sagen? Meinst du, es gäbe auf Router-Ebene die Möglichkeit, E-Mail Inhalte zu verändern, ohne dass Absender oder Empfänger dies feststellen können? Wenn ja, wäre ich für ein paar Details ganz dankbar. :)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by captaincrunch » 2005-04-21 14:38

Meinst du, es gäbe auf Router-Ebene die Möglichkeit, E-Mail Inhalte zu verändern, ohne dass Absender oder Empfänger dies feststellen können?
Natürlich. Sobald du es schaffst, den Verkehr des "Opfers" über die von dir kontrollierte Kiste zu lenken, hast du (natürlich nur im Falle einer nicht per PGP / GPG / S/MIME signierten Nachricht) die Möglichkeit, diesen Traffic auch on the fly zu verändern. Letztendlich musst du die dazu genutzte Kiste "nur" dazu bringen, als Proxy für das von dir zu verändernde Protokoll zu nutzen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

suntzu
RSAC
Posts: 698
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by suntzu » 2005-04-21 14:48

dodolin wrote:
SunTzu wrote:
dodolin wrote: Nun, es geht einmal darum, dass man in E-Mails den Absender beliebig fälschen kann.
Das ist das erste Problem. Das zweite ist dass der Inhaltsfälschung (wird mit Signaturen behoben)
Ã?hm, auch das erste Problem (Absenderfälschung) wird mit Signaturen behoben.
Das sollte auch auf beides bezogen sein, ich sollte nochmal Grammatikunterricht nehmen ;-)
Mir ist jedenfalls keine solche Quelle bekannt. Nun, die Gegenmaßnahmen sind ja nun alle genannt.

Wie man die Angriffe durchführt?
Nun, Problem 1 (Absenderfälschung) ist trivial zu zeigen. Einfach einen manuellen SMTP Dialog nehmen, der zeigt, dass man MAIL FROM beliebig angeben kann. Wahlweise auch noch zeigen, dass man den From: im Body ebenso frei wählen (und fälschen) kann.

Die anderen zwei Probleme (Inhaltsfälschung, Mitsniffen) sind nicht so einfach.

Prinzipiell könnte auf jedem Router, über den die Mail geht gesnifft werden. Der Aufwand dürfte aber viel zu groß sein, als dass das jemand gezielt nutzen würde. (Die Datenmengen auf Routern im Backbone dürften enorm sein.) Fälschen dürfte auf Router-Ebene kaum möglich sein, da die Mail ja in einzelne Pakete zerlegt wird.

Wesentlich einfacher hat es ein Angreifer auf einem Mailhost, über den die Mail läuft. Er könnte Filter einbauen, die ihm Mails von bestimmten Absendern etc. per Kopie zusenden oder auch verändern und weiterleiten. Auch diese Möglichkeit ist aber recht unwahrscheinlich, da die Kommunikation in eurem Fall ja anscheinend von Uni zur Firma und zurück funktioniert. Wenn keine Drittaccounts (z.B. von Freemailanbietern) genutzt werden, wird die Kommunikation ja direkt ablaufen, sodass keine weiteren Mailserver beteiligt sind.

Alles in allem halte ich die Gefahren immer noch für relativ gering. :)
Gering ist immer noch was anderes als nicht vorhanden und weil mein Chef (mehr oder weniger) achsoviel Sicherheit haben möchte... Na ja, die üblichen Zusammenstöße zwischen Informatikern und unbedarfteren *g*
Mir ist auch noch nicht ganz klar, was deine Motivation ist, an dem Zustand etwas zu ändern? Dass der Geschäftsführer deinen Namen besser kennt? ;)
Mein Name wird noch nicht einmal erwähnt werden, das läuft über meinen Chef :-) Er hat mich auch mit dem Auftrag beauftragt. Deswegen das ganze, mir sind die Sicherheitslücken und Gegenmaßnahmen durchaus bewusst.

Aber danke für die "zweite Meinung" von euch, ich möchte halt irgendwas zum Vorzeigen haben.
Wenn man sich Benachrichtigungen bei neuen Nachrichten im Thread schicken lässt ist dort AFAIK ein Link enthalten, der immer auf den Thread zeigt, auch wenn dieser verschoben wurde. Viel mehr kann man da aber wohl nicht machen - außer, gleich das richtige Forum zu wählen. ;)
Ich hab's extra nicht in Mailserver geschrieben weil es ja weniger um die Serverkomponente geht. Ich hatte den Link in der Mail geklickt, danach bin ich nochmal raus und dann hab ich gesucht ;-)

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by outofbound » 2005-04-21 15:47

Noch zum Nachdenken: Wie wird sichergestellt, dass man Zugriff auf die Mails eines Mitarbeiters hat, wenn diese Ausscheidet, Tot umfällt, etc.

Verschlüsselung hat nicht nur Vor, sondern auch gravierende Nachteile. ;)

Gruss,

Out

suntzu
RSAC
Posts: 698
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by suntzu » 2005-04-21 20:35

OutOfBound wrote:Noch zum Nachdenken: Wie wird sichergestellt, dass man Zugriff auf die Mails eines Mitarbeiters hat, wenn diese Ausscheidet, Tot umfällt, etc.
Indem man "einfach" auf Ebene des firmeneigenen Mailservers ver-/entschlüsselt und signiert.

geo
Posts: 42
Joined: 2005-02-24 11:44
Location: Hannover

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by geo » 2005-04-21 23:25

Noch zum Nachdenken: Wie wird sichergestellt, dass man Zugriff auf die Mails eines Mitarbeiters hat, wenn diese Ausscheidet, Tot umfällt, etc.
Gar nicht, wenn du dich nicht strafbar machen willst!
(Fernmeldegeheimnis)

Bitte dann den Absender, die Mail erneut an einen anderen Mitarbeiter zu schicken.

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Ã?bersicht Sicherheitslücken E-Mail

Post by Roger Wilco » 2005-04-21 23:50

geo wrote:Gar nicht, wenn du dich nicht strafbar machen willst!
(Fernmeldegeheimnis)
Wenn die Firmen-Policy die private Nutzung der E-Mail-Adresse verbietet, gehören die Mails der Firma und es gibt kein rechtliches Problem beim Zugriff darauf.