Seltsame Sicherheits-Ausnahmeregel

  • Hallo zusammen,


    habe gestern plötzlich (ohne wisstenliches Zutun) den beigefügten Dialog bekommen. Er war nicht im Vordergund, d.h. ich hab ihn erst entdeckt, als ich ein paar Fenster minimiert habe.
    Die Serveradresse p-mail.outlook.comcom:993 wurde angezeigt. Das Zertifikat war aber (soweit ich mich erinnern kann) irgendwas mit hotmail.
    Tatsächlich habe ich ein outlook.com-Konto in Thunderbird, das erklärt aber nicht die seltsame Server-Adresse. Im Konto ist die Adresse imap-mail.outlook.com eingetragen.
    Ich hab die Ausnahme-Regel natürlich abgeleht.


    Virenscan mit AVG Antivirus, Esset Online Scan und Malwarebytes Anti-Malware haben eine Ergebnisse gebracht.


    Hat jemand eine Idee wie es zu dem Dialog kommen kann?
    Oder hat jemand eine Idee wie ich evtl. einen potentiellen Angriff identifizieren (log-/tmp-Dateien) kann?


    * Thunderbird-Version: 31.7.0
    * Betriebssystem + Version: Win 7
    * Kontenart (POP / IMAP): IMAP
    * Postfachanbieter (z.B. GMX): outlook.com
    * S/MIME oder PGP:
    * Eingesetzte Antivirensoftware: AVG Antivirus
    * Firewall (Betriebssystem-intern/Externe Software):

  • Hallo 20150520,


    willkommen im Thunderbird-Forum.


    Zur Lektüre: Sicherheitsausnahmeregel - ....
    Im dortigen Fall zwar T-Online, aber bei Dir ist es das gleiche Problem (Stichwort: Man in the middle).


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo Feuerdrache,


    danke für die Antwort. Ich habe nicht den Eindruck, dass es sich um das selbe Problem handelt.
    Dort war ja der Virenscanner der Mittelsmann.
    Das Fenster ist nur einmal aufgepoppt und ich hab die Ausnahmeregel auch nicht übernommen bzw. abgelehnt.
    Seither ist das Fenster nicht mehr aufgetaucht und die Mail-Konten werden trotzdem alle abgerufen.
    Es könnte sich also theoretisch schon um einen Angriff gehantelt haben, aber wäre bei so einem Angriff die "Umleitung" nicht permanent im Router Cache oder der Hosts-Datei?
    Ich prüf mal die Hosts-Datei und den Router.


    Gruß


    20150520

  • Also die Hosts-Datei hat keine auffälligen Einträge.
    Wo kann ich die Standard-Einträge für Serverzertifikate und Zertifizierungsstellen von Thunderbird finden?
    Oder kann ich die unter Server gelisteten Zertifikate einfach löschen?

  • Hallo 20150520,

    Hat jemand eine Idee wie es zu dem Dialog kommen kann?


    Jedes Anwendungsprogramm, welches verschlüsselte Verbindungen (hier: TLS oder alte Bezeichnung: SSL) nutzt, prüft ob ein beim Aushandeln einer Verbindung vorgezeigtes Zertifikat auch wirklich exakt dem dort eingetragenen Server entspricht. Und es wird auch mittels Gegenprüfung mit den implementierten oder auch manuell importierten Herausgeberzertifikaten geprüft, ob das vorgezeigte Serverzertifikat von dem entsprechenden vertrauenswürdigen Herausgeber signiert wurde.


    Sobald dabei festgestellt wird, dass das Zertifikat (der im Z. eingetragene "common name", cn) nicht dem Servernamen entspricht oder die Zertifikatsprüfung zwischen dem im Zertifikat eingetragenen Herausgeber und dem im Client vorliegenden Herausgeberzertifikat fehlschlägt, wird der Nutzer deutlich gewarnt. Und genau so soll und muss es sein! WOWEREIT!


    Jetzt gibt es natürlich viele Ursachen für derartige Nicht-Übereinstimmungen.
    - Ein unaufmerksamer Administrator oder sonstiger Verantwortlicher hat die rechtzeitige Beantragung eines neuen Zertifikates verschlampt. Kommt vor ...
    - Es wurde bei der Beantragung des Zertifikates ein falscher cn angegeben. (Und der Provider will es dann einfach aussitzen.)
    - Es wurde, warum auch immer, der Servername geändert (und die Verantwortlichen sind zu geizig, gleich wieder ein neues Z. zu kaufen).
    - Es werden virtuelle Domainnamen benutzt (Bspw. pop.meier.de => in Wirklichkeit ist es pop.<Provider>.de)
    - Und natürlich das Problem mit den AV-Scannern, Sicherheitsgateways in Firmen usw.


    Und genau beim der letzten Ursache haben wir unser aktuelles Problem!
    Kein AV-Scanner ist in der Lage, in eine verschlüsselte Verbindung hineinzusehen, um diese auf Malware zu scannen! (Genau so, wie es staatlichen und privaten Schnüfflern hoffentlich nicht so einfach möglich ist - denn deswegen werden die Verbindungen ja verschlüsselt.)


    Also wenden diese "Sicherheits-"Programme einen üblen Trick an, welchen wir "Man-in-the-Middle-Angriff" nennen.
    Das bedeutet, sie selber bauen die Verbindung mit dem gewählten Server auf (und nicht etwa der Mailclient) => geht problemlos. Jetzt kann dieses Programm die nun unverschlüsselte Verbindung prüfen.
    Dann baut dieses Programm wieder eine verschlüsselte Verbindung zu deinem eigenen Client auf. Da dein AV-Scanner selbstverständlich niemals den privaten Schlüssel des Servers haben kann und darf, benutzt es dazu einen eigenen. Dieser wurde entweder von dem AV-Programm selber erzeugt und signiert oder der Hersteller liefert einen entsprechenden Schlüssel mit. Aber niemals ist es ein Schlüssel/Zertifikat, welches von einem vertrauenswürdigen Herausgeber für exakt den betreffenden Server erzeugt und signiert wurde.


    Ergebnis: => jeder Client, Browser oder MUA stellt fest, dass da was nicht stimmt und warnt den Nutzer. Zum Glück ist das so!


    Du als Nutzer musst jetzt selber entscheiden, was dir wichtiger ist:
    1.) die Sicherheit, dass du wirklich mit dem authorisierten Server deines Providers, Bank (usw.) verbunden bist, und nicht etwa mit einem Fake, oder
    2.) die (IMHO recht geringe) Sicherheit der Vorprüfung des Traffics auf Vorhandensein von Malware.


    Nun kannst du entweder eine so genannte "Ausnahmeregel" hinzufügen (mit welcher du festlegst, dass es dich nicht interessierst, ob du mit dem richtigen Server verbunden bist), oder du deaktivierst die Überwachung des Ein- und ausgehenden Traffics zu den beiden Mailservern.
    Das Risiko ist meiner Überzeugung nach sehr gering, denn ein verantwortungsbewusster User speichert jeden Mailanhang zuerst einmal in einem Downloadordner ab, scannt ihn dort bewusst mit einem frisch aktualisierten AV-Scanner und öffnet ihn erst dann vor Ort.


    OK?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    Danke für die ausführliche Beschreibung. Also wäre dein Ansatz, den Virenscanner zu prüfen bzw. das Scannen von E-Mails zu unterbinden.


    Hierzu die Anmerkung, dass ich unter Thunderbird (portable) bisher 5 verschiedene Provider-Konten habe, die alle verschlüsselte Verbindungen verwenden.
    Beim einrichten dieser Accounts gab es zu keinem Zeitpunkt ein Problem mit dem Zertifikat, d.h. es gibt keine "Ausnahmeregeln" für diese Konten/Zertifikate.


    Der von mir genannte Dialog ist auch nur einmal aufgetreten und die Regelwurde nicht von mir übernommen.


    Ich verwende AVG Antivirus Free - wenn ich mir ein EICAR Testfile schicke wird dieses erst erkannt wenn es auf den Rechner geladen wird.


    Die eingetragenen Ausnahmeregeln (siehe Anhang) sind also vom Virenscanner?! - D.h. E-Mail-Scan deaktivieren und diese Regeln löschen, dann wäre alles i.O.?

  • Hallo 20150520,

    D.h. E-Mail-Scan deaktivieren und diese Regeln löschen, dann wäre alles i.O.?

    Das wäre zumindest das, was ich jetzt tun würde. Ob danach alles in Ordnung ist, weißt du erst hinterher. Und ich - aus der Entfernung - überhaupt nicht.
    Du musst aber:
    - den E-Mail-Scan vollständig deaktivieren (oder zum Test den AV-Scanner komplett deinstallieren => aber wirklich nur zum Test!)
    - deinen Rechner neu booten (=> wichtig, denn AV-Scanner sind aus gutem Grund sehr hartnäckig!)
    - noch einmal die Konteneinstellungen auf Plausibilität überprüfen
    - und jetzt die Funktionen des TB testen.


    Erst jetzt weißt du, ob der AV-Scanner der Verursacher deiner Probleme ist.
    Falls alles funktioniert, kannst du die eingetragenen "Ausnahmeregeln" entfernen.


    Ich definiere noch einmal mit eigenen Worten den Begriff "Ausnahmeregel":
    JA, ich weiß, dass das angezeigte Zertifikat nicht für den Server xyz herausgegeben wurde, oder längst abgelaufen ist, oder der Herausgeber kein vertrauenswürdiger Herausgeber ist, usw.
    JA, ich weiß, dass es sein kann, dass der erreichte Server nicht der ist, denn mein Client erreichen will, ich weiß sogar, dass dieser Server irgend ein Fake sein kann - sogar ein von einem Geheimdienst oder irgendwelchen Verbrechern betriebener. Es kann natürlich auch nur sein, dass die direkte Verbindung mit dem AV-Scanner erfolgt und dieser an den richtigen Mailserver weiterleitet - was wohl meistens der Fall sein wird.
    Ich kenne also die Risiken, ich bin aber bereit diese einzugehen. Und ich wurde gewarnt!



    Mit freundlichen Grüßen!
    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    guter Hinweis, Mike. Ein Video sagt oft mehr als viele geschrieben Worte und bleibt dem einen oder anderen vielleicht auch länger in Erinnerung.


    Ich möchte in diesem Zusammenhang auf ein weiteres Video hinweisen, das sich mit dem Thema Virenscanner beschäftigt. Darin wird aufgezeigt, dass grundsätzlich alle AV-Scanner Lücken haben und angreifbar sind: Das beste Antivirus-Programm


    Die Empfehlung - und darauf will ich hinaus - lautet aber nicht, auf AV-Schutzprogramme zu verzichten! Ganz im Gegenteil. Ich möchte das hier erwähnen, weil ich in anderen Foren immer wieder mal solche unverantwortlichen Tipps lese, Stichwort "Schlangenöl".


    Das Fazit von Semper lautet, dass man sich bewusst sein muss, dass diese AV-Programme auch ihre Grenzen haben und man sich deshalb nicht allein auf sie verlassen darf. Was ja nicht bedeutet, dass sie gar nicht schützen würden. Die gängigen Programme erkennen in Tests stets > 90% aller Schädlinge. Auch das BSI empfiehlt ganz klar den Einsatz solcher Programme. Ich kenne auch keine professionelle IT, die auf deren Einsatz verzichten würde.


    Manche "Experten" nutzen solche Nachrichten dennoch immer wieder gern und empfehlen, überhaupt kein AV-Programm zu verwenden und sich stattdessen auf ein "Sicherheitskonzept" zu verlassen. Deren Sicherheitskonzept umfasst dann aber häufig nur die üblichen Selbstverständlichkeiten und ist des Namens nicht wert. Ich weiß nicht, was solche Leute antreibt.


    Letztendlich braucht es eine Kombination aus AV-Schutzmaßnahmen und dem richtigen Verhalten. Das sind sich ergänzende Maßnahmen, keine sich ausschließenden.


    Dazu, wie ein richtiges Konzept aussehen könnte, hat Semper ebenfalls ein feines Video veröffentlicht. Es beruht auf einem Linux-Rechner mit 2 Windows-VMs.
    Das umzusetzen, dürften den meisten Nutzer zu mühsam sein. Hier schließe ich mich ausdrücklich ein. So konsequent ziehe ich das auch nicht durch. Aber es bringt schon etwas, wenn man es nur in Teilen umsetzt.


    Der sichere Computer


    Gruß


    Susanne