Trends & News | News

Thunderbird beglaubigt falschen Absender

Die Absenderangabe einer E-Mail kann gefälscht sein; erst eine digitale Signatur bestätigt deren Echtheit. In Thunderbird soll ein Symbol mit einem Siegel signalisieren, dass man sich auf den Absender verlassen kann. Allerdings stellt sich Thunderbird im Umgang mit signierten E-Mails so ungeschickt an, dass man ganz einfach digital signierte Mails mit falschem Absender präsentieren kann.

Das Problem ergibt sich aus der Tatsache, dass es in den Verwaltungsinformationen zwei Header-Felder gibt, die als Absender gelten können – „From“ und „Sender“. Der Sender gilt dabei als „technischer Absender“; man kann sich das als eine Art Sekretär vorstellen, der eine Mail „im Auftrag“ seines Vorgesetzten verschickt. Dummerweise ist nicht ganz klar geregelt, wie diese Header zu behandeln sind.

Aus dieser Situation macht Thunderbird das denkbar Schlechteste: Er prüft den Sender, zeigt jedoch standardmäßig nur den From-Header an. So kann ein Angreifer relativ einfach eine Mail konstruieren, für die Thunderbird einen gefälschten Absender aus dem From-Header anzeigt und gleichzeitig eine gültige Signatur signalisiert. Dies ist auf den Sender und dessen gültige Unterschrift zurückzuführen. Der Thunderbird-Benutzer würde dies allerdings nur in den Details der Signatur entdecken, die erst erscheinen, wenn er das Symbol mit dem versiegelten Brief anklickt. Dieses Verhalten zeigt Thunderbird seit geraumer Zeit – auch mit der aktuellen Version 24.1.0.

Andere Mailer haben das besser gelöst und präsentieren gleich eine passende Fehlermeldung: „Signaturgeber stimmt nicht mit dem Absender überein“ erklärt etwa Windows Live Mail 2012. Evolution oder auch Outlook weisen auf die zur Signatur verwendete Adresse hin, wodurch eine derartige Diskrepanz zumindest sichtbar wird. In Thunderbird kann man sich behelfen, indem man sich zusätzlich mit der Option mailnews.headers.showSender auch den Sender anzeigen lässt. Umsicht ist trotzdem geboten, denn einen Hinweis auf eine Abweichung erscheint immer noch nicht, aber man kann zumindest aufgrund unterschiedlicher E-Mail-Adressen stutzig werden. Das Problem war zwar bereits seit einigen Jahren bekannt, Abhilfe aber nicht in Sicht. Ein Bericht auf heise Security hat jedoch jetzt dazu geführt, dass die Dringlichkeit angehoben und bereits ein erster, interner Fix entwickelt wurde. (Micha Borrmann/ju)

US-Regierungsserver monatelang in der Hand von Hackern

Unbekannte, die sich der Anonymous-Gruppierung zurechnen, hatten von Dezember 2012 bis Oktober 2013 Zugriff auf US-Regierungsserver. Die Angreifer hatten sich durch eine Sicherheitslücke in Adobes Webframework ColdFusion Zugang zu Systemen der US-Armee sowie der Energie- und Gesundheitsministerien verschafft.

Dem FBI zufolge dauern die Untersuchungen noch an. Aus einer internen E-Mail des Energieministeriums ging hervor, dass persönliche Informationen von mehr als 100 000 Mitarbeitern und deren Familienmitgliedern entwendet wurden. Die kompromittierten Informationen sollen unter anderem Bankdaten enthalten. Presseanfragen zu Details beantwortete das FBI nicht. Im Internet sind mittlerweile Kontodaten aufgetaucht, die aus dem Angriff stammen sollen. Laut den Ermittlern steht die Tat in Zusammenhang mit der Verhaftung eines Briten, der sich der Anonymous-Gruppierung zurechnen soll.

Quellen aus dem Anonymous-Dunstkreis bestätigten gegenüber c’t, der Brite habe politisch motiviert gehandelt. Der Hack sei Teil der Anonymous-Aktion „Operation Last Resort“ gewesen, die den Tod von Aaron Swartz rächen sollte. Es gilt als unwahrscheinlich, dass der Hacker die Bankdaten mit der Absicht entwendet habe, diese weiterzuverkaufen. Allerdings lag der für den Einbruch verwendete ColdFusion-Exploit auch anderen Hackern vor. Diesen wäre es dadurch genauso möglich gewesen, darüber ebenfalls Server zu hacken und Kontodaten abzugreifen. (fab)

Twitter jetzt auch mit Forward Secrecy

Auch das soziale Netzwerk Twitter setzt ab sofort Forward Secrecy ein, um das nachträgliche Entschlüsseln von aufgezeichneten SSL-Verbindungen zu verhindern. Twitter sieht dies als einen Schritt, um die Meinungsfreiheit seiner Nutzer zu verteidigen. Die zusätzlichen Hardware-Anforderungen hielten sich mit 15 Prozent mehr Prozessorlast im Rahmen des Verkraftbaren.

Bei herkömmlichen SSL-Verbindungen kann ein Angreifer, der in den Besitz eines geheimen Schlüssels eines Servers kommt, nachträglich alle SSL-Verbindungen, die mit diesem Schlüssel abgewickelt wurden, knacken – vorausgesetzt, er hat den verschlüsselten Verkehr damals mitgeschrieben. Perfect Forward Secrecy löst dieses Problem, in dem es mit dem Diffie-Hellman-Verfahren einen temporären Sitzungsschlüssel aushandelt, der selbst nie übertragen wird. Aufgezeichnete Verbindungen können so von Dritten im Nachhinein nicht mehr entschlüsselt werden.

Nach Google und Facebook gesellt sich Twitter nun zu den Vorreitern der großen Webdienste, die das Verfahren nutzen. Bei den großen deutschen Dienstanbietern wie T-Online, GMX oder XING sucht man Forward Secrecy hingegen nach wie vor vergeblich. Der Artikel „Forward Secrecy testen und einrichten“ unter www.ct.de/-1932806 hilft dabei, den eigenen Server gegen Überwachung zu sichern. (fab)

Sicherheits-Notizen

Bei einem Angriff auf die Webseite der Forensoftware vBulletin brachen Hacker in die Datenbank des Supportforums ein und kopierten Benutzernamen sowie möglicherweise die verschlüsselten Passwörter. Entgegen ersten Vermutungen war dabei laut der Betreiber keine Zero-Day-Lücke in der Forensoftware im Spiel.

Der Webserver Nginx lässt sich durch Leerzeichen ohne vorangestellte Steuerzeichen in URLs austricksen. Angreifer können so in bestimmten Konfigurationen die Zugangsbeschränkungen für Verzeichnisse und Dateien umgehen. Das Problem wurde in den Versionen 1.5.7 und 1.4.4 behoben.

Der Quellcode-Hoster GitHub wurde Ziel eines großflächigen DDoS-Angriffs. Die Angreifer hatten im großen Stil versucht, mit roher Gewalt Nutzerkonten mit schwachen Passwörtern zu knacken. Neue Sicherheitsregeln sollen Nutzer nun daran hindern, einfache und häufig benutzte Passwörter zu verwenden.

Artikel kostenlos herunterladen

weiterführende Links

Anzeige