• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Netzwelt] Sicherheitslücke in E-Mail-Verschlüsselung PGP und S/Mime

Einem Forscherteam der FH Münster, der Ruhr-Universität Bochum und der KU Löwen in Belgien ist es in einem Test gelungen, die Verschlüsselung von E-Mails per PGP und S/Mime zu umgehen.

In dem Verfahren wird eine verschlüsselte Mail abgefangen und der Ciphertext versteckt in einer unverfänglichen Mail an den ursprünglichen Empfänger gemailt. Da der Empfänger den privaten PGP-Schlüssel besitzt, wird der Ciphertext automatisch entschlüsselt.
Sofern der Mail-Client auf dem Empfänger-Computer nun noch HTML erlaubt, laden die präparierten HTML-Elemente in der Mail eine Website im Hintergrund nach, über die dann der entschlüsselte Text an den Angreifer gelangt.

Ein Schließen der Lücke ist nicht ohne Weiteres möglich und wird wahrscheinlich mehrere Monate in Anspruch nehmen.

Nachdem nun PGP und S/Mime nicht länger sicher sind, gibt es aktuell keine sichere Möglichkeit per E-Mail zu kommunizieren.

Quelle

Eigener Kommentar:

Ob das Verbieten von HTML im Mail-Client als Schutz ausreicht, war für mich nicht erkennbar.
Ggf. wird dies nochmal eindeutiger geklärt.
 
Zuletzt bearbeitet:

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@nik: Laut Werner Koch vom GnuPG-Projekt sind wohl ein paar OpenPGP-Implementierungen eventuell zwar anfällig, GnuPG ist aber schon um die Jahrtausendwende mittels Authenticated Encryption gegen Message Injection geschützt worden. S/MIME ist jedoch Toast, weil die das offenbar nicht in den Standard gezimmert haben.

Naja, und dass HTML böse ist, wissen wir ja schon lang.

Sauce: https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html

Ergo: Für GnuPG-User ist das eher ein nice to know als ein wirkliches Problem.
 

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
panikmache? also muss der bösewicht nicht nur erfolgreich eine MITM-attacke auf die email (also das netzwerk) durchführen, sondern auch darauf hoffen, dass der email-client automatisch html-inhalte nachlädt und (ich nehme mal stark an) JS ausführt - und das ausgerechnet bei der aluhut-zielgruppe, die sich tatsächlich die mühe macht, PGP bei entsprechend heikler kommunikation einzusetzen :confused:.. selbst der mainstream-thunderbird lädt per default keine externen inhalte nach - na dann gutes gelingen :unknown:.. wenn man eh schon dabei ist, wäre es nicht sinnvoller, stattdessen browser-exploits nachzuladen und den rechner zu übernehmen? dann könnte man sich auch die MITM-attacke sparen ;)..
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Novgorod: Du brauchst kein MITM, es reicht, wenn du eine verschlüsselte Nachricht ebenfalls bekommst und diese manipulierst und erneut schickst. Klar, das fällt auf, wenn 5 Minuten später die gleiche Nachricht nochmal kommt, aber im Prinzip möglich nicht allzu schwer (bei entsprechenden Ressourcen). Zumal S/MIME beinahe überall im professionellen Umfeld von Noobs eingesetzt wird, und daher durchaus großes Missbrauchspotential besteht. Das Nachladen von Fremdinhalten ist übrigens bei den meisten Mailclients völlig normal und wird von den meisten Usern auch so eingerichtet (weil Outlook glaub ich am Anfang einmal fragt, und das dann direkt als Standard setzen kann).
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.079
Ort
hello world
Bei Heise ist es auch noch schön erklärt.
In Firmen wird es meist von den ITlern eingerichtet und damit hat sichs. Nachladen von Inhalten ist recht häufig erlaubt, auch weil es die PRler und Marketingleute bei den Newslettern einsetzen.
 

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
@Metal_Warrior: ohne MITM ist das ganze auch nicht cleverer als normales phishing - der exploit sitzt vor dem bildschirm.. und das nachladen von HTML in emails von fremden ist gleichzusetzen mit dem blinden anklicken von unbekannten links, die man im internet findet oder die man zugespammt bekommt..

außerdem: outlook mit PGP plugin? also verhütung durch ein condom, das man sich als zäpfchen verabreicht? ;)
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Novgorod: S/MIME ist die Standardverschlüsselung für Outlook und hat nichts, aber auch gar nichts, mit PGP zu tun. Ist nur auch betroffen. Und übrigens: HTML ist bei Outlook standardmäßig aktiv. In Firmen. Auch bei Sekretärinnen, der PR-Abteilung und dem Typen, der die QS macht. Daher ist es ein Problem, egal wie oft du hier eins über "Profis machen sowas nicht" schwadronierst. 99% der Leute sind eben keine IT-Profis, stell dir vor.
 

dexter

Cloogshicer®
Teammitglied

Registriert
14 Juli 2013
Beiträge
5.319
99% der Leute sind eben keine IT-Profis, stell dir vor.
Das sollte aber die von Dir angesprochenen Firmen "entlasten"; die Sekretärin hat keinen Plan, aber es gibt einen Admin, der verhindern kann, dass DIE HTML oder JS in Mails zulassen kann. Ja, ist Wunschdenken, aber die 99% sind einfach nicht das Problem, sondern die ~1% Deppen, die nen Job als Admin haben und/oder sich vom Chef Sicherheitslücken diktieren lassen (statt andersrum und ohne Lücken).
 

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
@Metal_Warrior: jo, und für genau diese 99% ist die nutzung von PGP, S/MIME oder was auch immer ebenso irrelevant wie dieser "hack"..
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.842
Ort
ja
Wundert mich etwas, dass hier noch niemand angemerkt hat, dass die Lücke nicht in der Verschlüsselung klafft, sondern in den Addons dessen, welche ganz andere Leute programmieren. Die Addons sind vorn Arsch, nicht die Verschlüsselung, denn diese machen das Tor auf.

Klar ist es recht umständlich seinen Schlüssel immer per Hand einzugeben ( :D ) aber genau das übernimmt das entsprechende Addon und macht die Scheune auf.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@c1i: Bei PGP hast du recht, bei S/MIME hingegen klafft eine Lücke direkt in der Verschlüsselung, nämlich die Ciphertext-Injection-Lücke, die durch fehlende Ciphertext-Prüfung ausnutzbar ist. Das hat nix mit dem Addon zu tun, und auch die HTML-Geschichte ist nicht das Problem der Addons, sondern des HTML-Parsings im Client.
 
Oben