Profile

Cover photo
Oliver Sperke
Attended
Lives in
3,401 followers|712,478 views
AboutPostsPhotos

Stream

Oliver Sperke

Shared publicly  - 
 
Sie werden es halt nie lernen.
 ·  Translate
 
Dummerweise sind auch die anonsphere Server betroffen. Wir werden uns allerdings nicht auf dieses Spielchen einlassen. Wenn +Hulu Euer Geld nicht haben will, wir schützen Ihre Privatsphäre auf kundenfreundlicheren Angeboten.
 ·  Translate
1
Add a comment...
 
Scheiss Woche! :-)
 
anonsphere und das Heartbleed Problem

In den letzten Tagen kam es zu einem großem Problem [1], dass alle Programme betrifft, die auf OpenSSL aufbauen. OpenSSL ist eine sehr weit verbreitete kryptographische Bibliothek, die es ermöglicht komplexe Verschlüsselungs- und Hashmechanismen in Projekte einzubinden. Auch wir nutzen diese Bibliothek in fast allen Komponenten unseres Netzwerks.

Die Lücke stellt sich so dar, dass ein Angreifer 64kb des Arbeitsspeicher der Gegenseite auslesen kann. Durch geschickte Zugriffe können so u. U. Passwörter, Zertifikate und andere persönliche Daten ausgelesen werden, sofern sich diese im Arbeitsspeicher befinden.

Zunächst einmal die guten Nachrichten:

Wir haben das nötige Update auf unseren Server eingespielt, direkt nachdem Debian die Pakete zur Verfügung gestellt hat. Das Problem ist also behoben [2]. Wir haben ausserdem umfangreiche Tests durchgeführt, um den Schaden besser abschätzen zu können.

Unser Zugangsprogramm benutzt zwar OpenSSL, ist aber nicht betroffen, weil es keine Serverdienste zur Verfügung stellt, wir werden ein Update nachreichen, aber derzeit besteht keine Gefahr für Ihr System. Da unser Programm statisch gelinkt ist, ist unser Zugangsprogramm auch dann nicht betroffen, wenn Ihr System selbst noch eine fehlerhafte Bibliothek benutzt.

Unsere Mailserver, Zugänge zu Servern und unsere Datenbanken sind nicht betroffen, weil diese noch auf OpenSSL 0.9.8 aufbauen. Diese Dienste laufen zwar alle auf einem Server, aber in abgetrennten Umgebungen. Wir haben diese Weg damals gewählt für eine höhere Sicherheit - hier hat sie sich zum ersten Mal ausgezahlt. Wir haben auch selbst Angriffe auf unser Testsystem ausgeführt und konnten dabei keine Informationen gezielt auslesen. Ein ständiger Angriff hätte als nur zufällige Daten gebracht.

OpenVPN ist nicht betroffen, da es keine der fehlerhaften Funktionen nutzt. OpenSwan (unser L2TP Zugang), sowie der Zugang über Socks5 Proxies sind auch nicht betroffen, weil diese noch OpenSSL 0.9.8 nutzen. Insofern besteht alles in allem keine Gefahr für Ihre Daten in unserem VPN Netzwerk. Unsere Webserver sind zwar betroffen, allerdings benutzen wir schon seit Wochen ausschliesslich „PFS“, so dass die übertragenen Daten weder jetzt, noch in der Vergangenheit entschlüsselt werden konnten [3]. Keiner unserer Ausgangsserver ist betroffen, weil diese nur OpenVPN als öffentlichen Dienst nutzen.

Alle Passwörter wurden von uns geändert, auch auf den nicht betroffenen Systemen. In den meisten Fällen nutzen wir aber nur öffentliche Schlüssel [4], so dass es dort auch keine Gefahr gibt.

Nun die schlechten Nachrichten:

Betroffen waren unser Webserver der Domain connect.anonsphere.com und secure.anonsphere.com.

Zum ersten ist zu sagen, dass dort keine sensiblen Daten gespeichert sind. Für die Dauer der Verbindung wird zwar Ihre IP Adresse technisch bedingt gespeichert. Diese wird aber niemals von unserem Webserver in den Speicher geladen, sondern nur vom VPN Server genutzt. Alle anderen Informationen sind lediglich kumulierte Trafficwerte, die für die WebAPI nötig sind. Die Passwortdaten sind nur als bcrypt kodierte Zeichenketten abgelegt [5]. Ihr Benutzername wird ebenfalls nur als SHA1 [6] kodierter Wert in den Speicher geladen (in Verbindung mit einem speziellen Salt, der serverseitig erstellt und in die Datenbank kopiert wird). Eine Entschlüsselung Ihres Passworts ist ausgeschlossen. Der Benutzername könnte u. U. innerhalb weniger Wochen zurück gerechnet werden, sofern ein Angreifer connect.anonsphere.com über einen längeren Zeitraum überwacht hat und Sie sich dort auf der Webseite angemeldet haben – unser Zugangsprogramm ist nicht betroffen, weil es Benutzernamen und Passwort bereits auf Ihrem System verschlüsselt. Im schlimmsten Fall könnte also ein Angreifer sehen, dass Benutzer ano123456 einen bestimmten Tarif nutzt und davon z. B. 10GB verbraucht hat. Da wir generell keine Verbindungsdaten und auch keine Daten über die Nutzung speichern, besteht ansonsten von dieser Seite kein Risiko.

Auf der Domain secure.anonsphere.com lagern alle Abrechnungsdaten. Diese werden aber niemals in den Speicher geladen. Rechnungsdaten werden ausserhalb der Webseitenumgebung erzeugt und dann lediglich durch den Webserver versendet. Wir konnten keine Rechnung durch Überwachung des kompletten Arbeitsspeicher des Webservers rekonstruieren. Das Gleiche gilt für das Dokument, dass Ihren StartCode enthält.

Was könnte im schlimmsten Fall passsiert sein?

Gehen wir davon aus, dass ein Angreifer in der Lage gewesen ist, unsere Server 24 Stunden über mehrere Tage zu überwachen, dann könnte er evtl. den StartCode von Ihnen abgreifen, sofern Sie diesen benutzt haben. Es wäre dann mit hohem Aufwand möglich, eine mögliche Verbindung zwischen Ihrer E-Mail Adresse und dem benutztem Benutzernamen im VPN Netzwerk herzustellen. Dies ist aber sehr unwahrscheinlich, denn das würde nur dann funktionieren, wenn Sie diesen Code auf unserer Internetseite abgerufen haben und sich danach direkt auf connect.anonsphere.com angemeldet hätten.

Einen solchen Angriff schließen wir auch deshalb aus, da unsere Server dann ständig SSL Anfragen hätten beantworten müssen. Wir konnten dafür keine Belege finden. Wenn nur der StartCode abgefragt worden wäre, dann sind diese Daten für den Angreifer nutzlos, denn sobald er diese benutzt, werden die VPN Zugangsdaten geändert. Sie als Benutzer würden das sofort merken, da Sie sich nicht mehr anmelden können. Sollten Sie trotzdem Unregelmäßigkeiten feststellen, wenden Sie sich bitte an support@anonsphere.com und wir tauschen Ihren StartCode und/oder Ihren Benutzernamen aus.

Was ist noch zu tun?

Die Lücken selbst sind geschlossen, allerdings müssen wir unsere SSL Zertifikat als kompromittiert ansehen, dies betrifft nicht die übertragenen Daten, sondern nur die Möglichkeit, dass ein Angreifer unser Zertifikat auf einem anderem Server einsetzt. Ein solcher Angriff setzt aber ein hohes Maß an Ressourcen voraus und ist für sich allein genommen erst einmal wertlos. Wer diese Ressourcen hat, könnte auch einfachere Verfahren nutzen. Trotzdem werden wir die betroffenen Zertifikate zeitnah austauschen und die alten widerrufen.

Links

[1] https://www.heise.de/security/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
[2] https://www.ssllabs.com/ssltest/analyze.html?d=secure.anonsphere.com
[3] https://de.wikipedia.org/wiki/Perfect_Forward_Secrecy
[4] https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
[5] https://de.wikipedia.org/wiki/Bcrypt
[6] http://de.wikipedia.org/wiki/Secure_Hash_Algorithm
 ·  Translate
4
Add a comment...

Oliver Sperke

Shared publicly  - 
3
Add a comment...

Oliver Sperke

Shared publicly  - 
 
Und falls sich jemand wundert, wofür brauchen die die Daten eigentlich, sei hier der amtierende BKA Präsident zitiert:

Und dann ist da ja noch die Andeutung, die Ziercke laut Teilnehmerangaben fallen ließ: Auf der kanadischen Kundenliste könne es noch weitere "Überraschungen" geben, so der BKA-Chef.

http://www.spiegel.de/politik/deutschland/edathy-affaere-bka-chef-ziercke-erneut-vor-innenausschuss-a-958275.html
 ·  Translate
 
Aus einer Antwort des Bundeskanzleramts auf eine Kleine Anfrage der Linken geht hervor, dass die Regierung weder weiß, wie viele Gespräche tagtäglich zwischen dem Ausland und Deutschland geführt werden und somit theoretisch vom BND eingeschränkt überwacht werden dürfen.
 ·  Translate
Wie viel sind 20 Prozent von etwas, dessen Umfang man nicht kennt? Für die Bundesregierung ist diese Frage unerheblich, wenn es um die Grenzen der BND-Überwachung geht.
1
Add a comment...

Oliver Sperke

Shared publicly  - 
 
 
Was tut man nicht alles für die Terrorabwehr …
 ·  Translate
2
Add a comment...

Oliver Sperke

Shared publicly  - 
 
Oha, die BLÖD auf dem Kreuzzug gegen die Überwachung - also nur die von den pösen Russen. Nicht die von den guten Amerikanern.
 ·  Translate
4
Cyberpro Mustermann's profile photoGünter Blön's profile photo
2 comments
 
Bild halt...
 ·  Translate
Add a comment...
Have him in circles
3,401 people
david jones's profile photo
Norbert Grüner's profile photo
Lucas Wyrsch's profile photo
Sunny Plain's profile photo
Mirza Waqas's profile photo
Lucien Looser's profile photo

Oliver Sperke

2000er bis Heute  - 
 
Ich hab bisher noch keine Sängerin gehört, die so viel Kontrolle in der Stimme hat (so ab 1:00 bis zum Ende legt sie los).
 ·  Translate
15
Add a comment...
 
So kann das gehen …
 ·  Translate
 
Die Vorratsdatenspeicherung ist übrigens nur deshalb so sicher, weil nicht der Staat, sondern nur einzelne Unternehmen auf die Daten zugreifen können. Da kann es also überhaupt keinen Missbrauch geben!!!111!
 ·  Translate
5
Add a comment...

Oliver Sperke

Shared publicly  - 
 
 
Endlich gibt es die Volksverdummung „Private Vorsorgespeicherung“ auch als Video. Die überwachen also nicht die Bürger, sondern nur die Daten! Das ist natürlich auch was ganz Anderes.

Der Fall ist übrigens dieser hier https://www.bfdi.bund.de/bfdi_forum/showthread.php?t=3977 Da muss jeder selbst entscheiden, ob die Aufklärung wirklich nur mit Hilfe der VDS aufgeklärt werden konnte. Weitere Indizien gab es jedenfalls genug. Selbst wenn, müsste man die Frage stellen, ob die Aufklärung eines Mordes die vollständige Überwachung von 80.000.000 Deutschen rechtfertigt.
 ·  Translate
5
Add a comment...

Oliver Sperke

Shared publicly  - 
 
1800 Leute? Bisserl dünn …
 ·  Translate
 
Deutscher Bundestag · Petition 48994:
"Kein Transatlantisches Freihandelsabkommen (TTIP) zwischen EU und USA"  https://epetitionen.bundestag.de/petitionen/_2014/_01/_27/Petition_48994.nc.html
 ·  Translate
9
3
Oliver Sperke's profile photoThomas Hesmert's profile photoRadoslaw Rudnicki's profile photoLutz Siebert's profile photo
5 comments
 
Okay, jetzt hab ich es kapiert. ;-)
 ·  Translate
Add a comment...

Oliver Sperke

Shared publicly  - 
 
Ohne Worte ...
 ·  Translate
 
Ja, die paar politisch Verfolgten in der Welt, deren Leben von ihrer Anonymität abhängt sind nichts gegen die Milliarden Verbrecher!!!11!

Denn in Zahlen überwiegt die Menge an Kriminellen, die Drogen und Waffen und Schadsoftware verkaufen als die der Journalisten und Freiheitskämpfer.
 ·  Translate
2
Christian Halbe's profile photo
 
Mir würde fürs erste schon Retroshare für Android reichen.
 ·  Translate
Add a comment...
People
Have him in circles
3,401 people
david jones's profile photo
Norbert Grüner's profile photo
Lucas Wyrsch's profile photo
Sunny Plain's profile photo
Mirza Waqas's profile photo
Lucien Looser's profile photo
Education
Basic Information
Gender
Male
Story
Tagline
:-P
Introduction
Irgendwas mit Sicherheit
Places
Map of the places this user has livedMap of the places this user has livedMap of the places this user has lived
Currently
Previously