Cryptoparty
HTTPS

21. August 2016

Mit Notizen

Willkommen zur Cryptoparty. Heute geht es um das Thema HTTPS.

Die Folien findet ihr auch auf GitHub. Ihr kommt über Freifunk in's Internet.

Weil es mein 1. Vortrag auf einer Cryptoparty ist, bin ich für Feedback dankbar.

Themen des Vortrags

Ich habe mich auf ein paar Themen vorbereitet. Wenn etwas zu technisch erscheint oder ihr kein Interesse habt, können wir es also überspringen.

Falls während des Vortrags Fragen aufkommen, einfach schreien.

Wir haben genug Zeit, denke ich.

Ich beschränke mich auf den Web-Browser Firefox.

Für Chrome gibt es aber vergleichbare Extensions.

Online-Banking und -Shopping
Die URL-Leiste ist dein Freund
… oder auch nicht
Internet-Verbindungen verfolgen
Formular-Eingaben abgreifen
Was tun?

Online-Banking und -Shopping

Quelle: Sparkassen Homepage

Wer von euch nutzt das Internet für Einnkäufe oder Überweisungen?

Habt ihr schon einmal E-Mails bekommen, in denen ihr nach euren Zugangsdaten gefragt wurdet? Man nennt sie Phishing-Mails.

Quelle: PayPal auf YouTube

Quelle: Botfrei.de

Woran erkennt ihr, dass ein Online-Shop vertrauenswürdig ist? Oder dass ihr tatsächlich auf der Website eurer Bank seid?

Die URL-Leiste ist dein Freund

Quellen: Mozilla Wiki zum Control Center

Es gibt verschiedene Abstufungen der Symbole in der URL-Leiste. Sie sagen etwas über die Vertrauenswürdigkeit der Website aus.

On March 18th an attack was performed against Greenkeeper and its users in which pull requests were sent by an attacker from a fake account. It was called “greenkeeperlo-bot”, rather than “greenkeeperio-bot”, and so the whole experience closely resembled the Greenkeeper look and feel.

Quelle: Greenkeeper Blog

Einige Betrüger registrieren jetzt Domains, die fast so aussehen wie die echte Seite.

Nur dass sie einen Buchstaben-Fehler haben. Ein großes i anstelle eines kleinen L z. B.. Oder eine Null anstelle des großen O. Oder einen Buchstabendreher.

Der Fehler springt also nicht sofort in's Auge. Aber ihr solltet hellhörig werden, wenn die URL-Leiste "komisch" aussieht. Beispielsweise, wenn sie nicht grün ist.

… oder auch nicht

Mozilla was recently notified that an intermediate certificate, which chains up to a root included in Mozilla’s root store, was loaded into a firewall device that performed SSL man-in-the-middle (MITM) traffic management. It was then used, during the process of inspecting traffic, to generate certificates for domains the device owner does not legitimately own or control.

Quelle: Mozilla Security Blog

Der Angriffscode, um die beiden Projekte zu torpedieren, kam Anthr@X zufolge scheinbar von Baidu, soll aber nicht in Verbindung mit der gleichnamigen und größten Suchmaschine Chinas stehen. Vielmehr haben Unbekannte HTTP-Verbindungen gekapert und so Javascripts von Baidu mit Schadcode ersetzt. Im Zuge dessen wurden reguläre Internet-Nutzer ohne es mitzubekommen Teil der DDoS-Attacken.

Quelle: Heise Security

Ungewolltes Verhalten

Technik ist nicht unfehlbar.

Im Gegenteil. Sie ist von Menschen geschrieben. Und Menschen machen nun einmal Fehler.

Manche davon sind echt … kreativ.

Quelle: Omnibar Spoof

Vor Kurzem wurde beispielsweise ein Bug bekannt.

Unbeabsichtigtes Verhalten bzw. Fehler im Code werden von Entwicklern als "Bugs" bezeichnet.

Manche Software-Hersteller loben Preise aus für das Melden solcher Bugs. Diese Wettbewerbe werden dann "Bug-Bounties" genannt. Für das vertrauensvolle Melden (d. h. nicht das Verkaufen auf dem Schwarzmarkt) bekommen die Meldenden dann eine Summe überwiesen.

Jetzt hat Rafay Baloch einen hübschen Fehler in der URL-Leiste entdeckt, die sich eine fehlerhafte Implementierung von Sprachen zu nutze macht, in der von rechts nach links geschrieben wird (wie etwa Hebräisch).

Wie er in seinem Blog-Post beschreibt, wird das "http://" vom Browser versteckt. Danach wird dann die URL "gespiegelt". Auf die Weise ist es möglich, eine URL zu erzeugen, die aussieht, als wäre der Nutzer auf einer anderen Website.