Ruhr-Uni Bochum: 3 Angriffe auf Verschlüsselung mit Thunderbird als "Worst Case"?!

    Sofern noch nicht bekannt: chaos.social/@infosechandbook/104719977780277136

    Weiß man, ob bereits gepatched wurde?

    Nun weiß ich also nicht wirklich, was an diesem Link so problematisch ist. Für mich ist es gängige Methode, dass man sich mit dem Austausch von Links gegenseitig auf dem Laufenden hält! So kann jeder selbst nachlesen, ohne dass man sich gegenseitig zutextet!

    Er führt zu einem kurzen Beitrag von "infosec-handbook.eu" auf "Mastodon", dass die Ruhr-Uni Bochum 3 gezielte Angriffe auf PGP- und S/MIME-Implementierungen verschiedener Mail-Programme gemacht hat und der Thunderbird, zumindest im Test unter Linux, hierbei denkbar schlecht abgeschnitten hat (sozusagen alles im roten Bereich).

    "Infosec-Handbook.eu" hat den Bericht (als PDF) der Uni ebenfalls verlinkt. Dieser ist recht umfangreich, außerdem auf Englisch und am besten macht man sich selbst ein Bild davon! Eine Grafik aus dem Bericht findet sich allerdings ebenfalls in dem kurzen Beitrag und diese Grafik liefert im Prinzip bereits das Ergebnis des Angriffsszenarios.

    Der Einfachheit halber kommt hier ein Link zu der Grafik, von mir in der Hoffnung hochgeladen, dass dieser Link erlaubt ist: https://wtf.roflcopter.fr/pics/YDirqbUv/NfeTUwHG.png

    Und hier noch der Link (ebenfalls mit Hoffnung eingefügt) direkt zum Bericht als PDF, dann erspart man sich den Umweg über "Infosec-handbook" auf "Mastodon": https://www.nds.ruhr-uni-bochum.de/media/nds/vero…ailto-paper.pdf

    So, alles, was ich hier jetzt hingeschwurbelt habe, fand man bereits im Link in #1!


    Was man nicht fand (vielleicht liegt's auch daran):

    "Infosec-handbook.eu" ist eine Gruppe von IT-lern, die sich zum Ziel gesetzt haben, Ihr Wissen um Privatsphäre/Datenschutz/Verschlüsselung mit anderen WWW Internet-Nutzern zu teilen. Dies kostenlos und ohne Abhängigkeiten von irgendwelchen Firmen!

    "Mastodon" ist ein föderierter, kostenloser, datenschutzfreundlicher Ersatz für Twitter und /oder Facebook!

    Hallo gundheri,

    danke für das Nachreichen der Informationen, die schon in Deinen Eingangsbeitrag zur Erläuterung des Links gehört hätten.

    Da Du offensichtlich sehr an Datenschutz und Datensicherheit interessiert bist, sollte Dir auch klar sein, dass Links auch zum Schaden anderer gesetzt werden können. Es wäre nicht das erste Mal, dass ein Link (unbedarft angeklickt) auf dem eigenen Rechner Schaden angerichtet hat, ein Forum lahmgelegt hat und vieles mehr.

    Und leider haben es viele einzelne, institutionelle wie nichtinstitutionelle "Bösewichte" geschafft das einmal vorhandene "Grundvertrauen" in das weltweite Netz nachhaltig zu zerstören!

    Ich habe es jedenfalls für mich so geregelt, dass ich alleinstehende Verlinkungen - egal wo - nicht einmal mit der Beißzange anfasse.

    Gruß

    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

    Einmal editiert, zuletzt von Feuerdrache (22. August 2020 um 11:48)

    Zitat von Feuerdrache

    Hallo Thunder,

    meines Erachtens sollte der Link entfernt werden!

    Dann stellt sich bei mir die Frage nach dem "Warum"!!!

    Der Inhalt hinter dem Link sollte für alle TB-Nutzer, die diesen mit Verschlüsselung verwenden, höchstinteressant sein! Ich weiß nun allerdings nicht, ob es hier unerwünscht ist, negative Nachrichten aus der Thunderbird-Welt einzubringen!

    Aber mal noch eine andere Sache: Da kommt ein Neuling mit gerade mal 3 Beiträgen (also ich) daher, macht was offensichtlich - aber nicht nachvollziehbar - Falsches, der Senior Feuerdrache mit 5000+ Beiträgen schreibt dem Administrator mit ebenfalls 5000+ Beiträgen, dass der Link (hinter dem immer noch kritische, aber interessante Informationen stecken) weg sollte und prompt passiert dies.

    Das hinterlässt doch ein sehr ungutes Gefühl der willkürlichen Zensur!!!

    Und noch eine Frage: Müssen eigentlich alle meine Beiträge erst genehmigt werden, bevor sie für jeden sichtbar auftauchen? Das wäre ja noch mehr Zensur und ich kenne das aus keinem anderen Forum, in dem ich manchmal auch schreibe - aktuell 11 an der Zahl!

    EDIT: Nein, dieser hier gerade nicht!!!

    EDIT2: Okay, meine Frage kam nach deiner Antwort!

    @gundheri

    Zitat von gundheri

    Und noch eine Frage: Müssen eigentlich alle meine Beiträge erst genehmigt werden, bevor sie für jeden sichtbar auftauchen?

    Diese Maßnahme bezieht sich nicht generell nur auf Ihre Beiträge, sondern ist allgemein bei Neuanmeldungen so vorgesehen, um Spam etc. im Vorfeld aussortieren zu können.

    Hallo gundheri,

    mit Deinem Edit2 hast Du ja mitgeteilt, dass Du meinen Beitrag inzwischen gelesen hattest, weshalb ich das von mir Geschriebene auch nicht wiederholen muss.

    Zitat von gundheri

    Aber mal noch eine andere Sache: Da kommt ein Neuling mit gerade mal 3 Beiträgen (also ich) daher, macht was offensichtlich - aber nicht nachvollziehbar - Falsches, der Senior Feuerdrache mit 5000+ Beiträgen schreibt dem Administrator mit ebenfalls 5000+ Beiträgen, dass der Link (hinter dem immer noch kritische, aber interessante Informationen stecken) weg sollte und prompt passiert dies.

    Thunder hat zwar meinen Standpunkt wohl in seine Entscheidung einbezogen, aber nicht so scharf, wie ich es mir gewünscht hätte. Bei mir sähest Du in Eröffnungsbeitrag höchstens eine Anzahl von XXXX oder einen Edit-Vermerk "Verlinkung wurde aus ... Gründen entfernt".

    Thunder hat zu Deinen Gunsten die Adresse der Verlinkung stehen lassen und die Verlinkung selbst, die zur entsprechenden Seite führt, herausgenommen.

    Dies hat zur Folge, dass jeder Leser in eigener Entscheidung und Verantwortung diese Adresse kopieren und in einem Browser in alleiniger eigener Verantwortung einfügen und öffnen kann.

    Das Forum bzw. er als Forenbetreiber ist damit in einem möglichen Schadensfalle meiner laienhaften Einschätzung nach außen vor (ich bin kein Jurist).

    Im Übrigen hatte Dir Thunder ja fragend einen "Wink mit dem Zaunpfahl" gegeben, bevor ich darauf reagiert habe:

    Zitat von Thunder

    Würdest Du uns mit ein wenig Inhalt zu dem Thema versorgen, statt einfach nur einen Link zu senden, den ich derart eigentlich nicht so recht ausstehen kann?

    Glaube mir, sowohl Thunder als auch die Moderatoren hier im Forum machen solche Entscheidungen nicht davon abhängig, ob jemand viele oder wenige Beiträge in diesem Forum schreibt oder geschrieben hat.

    Zu der Freischaltung der ersten Beiträge eines neuen Forenmitgliedes hat Dir ja graba bereits geantwortet.

    Gruß

    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

    Zitat von gundheri

    Und noch eine Frage: Müssen eigentlich alle meine Beiträge erst genehmigt werden, bevor sie für jeden sichtbar auftauchen? Das wäre ja noch mehr Zensur und ich kenne das aus keinem anderen Forum, in dem ich manchmal auch schreibe - aktuell 11 an der Zahl!

    Da ich mich seit inzwischen fast 18 Jahren mit Foren-Software beschäftige und entsprechend in vielen Support-Foren rund um Foren-Software unterwegs war und bin, kenne ich massenweise Foren, wo Beiträge anfangs erstmal freigeschaltet werden müssen.

    Zitat von gundheri

    Dann stellt sich bei mir die Frage nach dem "Warum"!!!

    Weil mir die Seite unbekannt war bzw. ist und sogar meine kurze Recherche ebenfalls kein zufriedenstellendes Ergebnis brachte.

    Zitat von gundheri

    Ich weiß nun allerdings nicht, ob es hier unerwünscht ist, negative Nachrichten aus der Thunderbird-Welt einzubringen!

    Niemand hat etwas gegen sachliche Kritik. Wenn Du viel im Forum lesen würdest, könntest Du sehen, dass auch mir nicht alles an Thunderbird gefällt. Dein erster Beitrag war auch nicht unsachlich. Er war einfach inhaltlich leer und ehrlich gesagt suspekt - ob es Dir gefällt oder nicht.

    Zitat von gundheri

    dass der Link (hinter dem immer noch kritische, aber interessante Informationen stecken) weg sollte und prompt passiert dies.


    Das hinterlässt doch ein sehr ungutes Gefühl der willkürlichen Zensur!!!

    Dein Link wurde nicht entfernt, sondern nur technisch nicht mehr anklickbar gemacht. Der Link bzw. dessen URL steht weiterhin komplett da und kann von interessierten Lesern auch manuell besucht werden. Von angeblicher Zensur reden meist die Leute, die nicht verstehen, dass es in unserem Staat durchaus konkurrierende Gesetze gibt, die gegeneinander abgewogen werden müssen. Ich bin als Betreiber des Forums verpflichtet Beiträge zu sichten und bei Bedarf inhaltlich einzugreifen, auch wenn es in manchen Fällen zu Fehlentscheidungen kommen mag.

    Ab dieser Stelle kehren wir alle bitte wieder zum eigentlichen Thema zurück, da es ja durchaus interessant ist oder sein könnte - Danke!

    Die angesprochenen Lücken wurden schon vor längerer Zeit entdeckt und gemeldet. Es gab aber offensichtlich eine Sicherheits-Konferenz in Frankreich, bei der die Arbeit der Ruhr-Uni Bochum vorgestellt wurde:

    In dem Screenshot des Themenstarters ist von A1, A2 und A3 die Rede.

    • A1: Bug https://bugzilla.mozilla.org/show_bug.cgi?id=1438949
      Dies ist "Key Replacement" bei S/MIME-Zertifikaten. Dazu gibt es einen 3 Jahre alten Bug, der sich aber wohl letztlich nicht zufriedenstellend lösen lässt, da das S/MIME-System grundlegend kompromittiert - unabhängig von Thunderbird. Wenn ich es richtig verstehe, wird das Zertifikat in Thunderbird aber sowieso nur ersetzt, wenn man einen Dialog mit OK bestätigt. Dabei lässt sich aber leider ein gefälschtes Zertifikat unterschieben, wenn man nicht richtig hinschaut. Wenn ich nicht irre, handelt sich dabei um ein Problem rund um Efail.
    • A2 Bug ?
      Ich bin diesbezüglich unsicher, glaube aber, dass dies auch Teil der Efail-Lücke war, die schon 2018 berichtet wurde. Es geht um das Preisgeben der privaten Schlüssel mittels manipulierter E-Mails. Für OpenPGP müsste das schon längst in Enigmail behoben worden sein.
    • A3: Bug https://bugzilla.mozilla.org/show_bug.cgi?id=1613425
      Auf heise.de wird dazu berichtet: https://www.heise.de/news/Datenklau…ks-4875586.html
      In dem relevanten Bug 1613425 wurde festgestellt, dass Thunderbird selbst schon vor längerer Zeit die entsprechende Lücke geschlossen hatte und wohl offiziell das Feature sowieso in den finalen Versionen nie unterstützt hatte. Leider lässt sich die Lücke dennoch ausnutzen, wenn man unter Linux die xdg-utils installiert hat. Dazu wurde dort der Issue 177 erstellt.

    Der Themenstarter darf sich gerne inhaltlich weiter beteiligen. Es ist nicht notwendig das Forum zu "verlassen".

    Zitat von Thunder

    A2 Bug ?

    Das Szenario ist relativ komplex: Der Angreifer will eine an dich adressierte PGP-E-Mail lesen und er hat diese Mail bereits in verschlüsselter Form abgefangen. Du nutzt standardmäßig aber S/MIME, nicht PGP. Außerdem hat der Angreifer bereits lesenden Zugriff auf dein IMAP-Postfach, in dem du deine Entwürfe speicherst und kann deinen Browser übernehmen.

    Der Angriff funktioniert dann wie folgt: der Angreifer übernimmt deinen Browser und öffnet einen manipulierten mailto:-Link während du für mindestens 10 Minuten nicht am PC sitzt und Thunderbird im Hintergrund läuft, kurz nachdem du bereits deine PGP-Passphrase eingegeben hast. Dann öffnet sich Thunderbird und entschlüsselt die Mail in einem neuen Verfassen-Fenster. Nach ca. 10 Minuten wird die Mail dann als Entwurf gespeichert. Da du S/MIME und nicht PGP als Standard gewählt hast, ist dieser Entwurf nicht verschlüsselt (das ist die Sicherheitslücke!). Der Angreifer liest die Mail nun im IMAP-Entwürfeordner, auf den er ja gemäß Szenario Zugriff hat.

    Zitat von generalsync

    Da du S/MIME und nicht PGP als Standard gewählt hast, ist dieser Entwurf nicht verschlüsselt (das ist die Sicherheitslücke!). Der Angreifer liest die Mail nun im IMAP-Entwürfeordner, auf den er ja gemäß Szenario Zugriff hat.

    Stellt sich die Frage, ob das mit der Lösung in https://bugzilla.mozilla.org/show_bug.cgi?id=1650551 ebenfalls vermieden wird.

    Guten Morgen,

    das Team vom infosec-handbook.eu liest/schreibt im privacytools-Forum mit. Dort gibt es eine Anfrage zum Mastodon-Beitrag, ob es Infos gibt, dass die Thunderbird-Entwickler an der Sache arbeiten. Mal schauen, ob und was die antworten.

    Zitat von Thunder

    Der Themenstarter darf sich gerne inhaltlich weiter beteiligen. Es ist nicht notwendig das Forum zu "verlassen".

    Vielleicht gibt es dann auch wirklich inhaltlich mal konkretere Aussagen vom Themenstarter, statt immer nur zu verkünden, dass hier und da geschrieben und gelesen wird.

    Zitat von Thunder
    Zitat von Thunder

    Der Themenstarter darf sich gerne inhaltlich weiter beteiligen. Es ist nicht notwendig das Forum zu "verlassen".

    Vielleicht gibt es dann auch wirklich inhaltlich mal konkretere Aussagen vom Themenstarter, statt immer nur zu verkünden, dass hier und da geschrieben und gelesen wird.

    ???

  • Community-Bot 3. September 2024 um 20:40

    Hat das Thema geschlossen.