TLS des tages

Verschlüsselt alles, benutzt überall TLS, betrachtet alles andere als ein großes sicherheitsproblem, haben sie uns gesagt. Schon schade, wenn diese verschlüsselung dann keine sicherheitsprobleme (sehr wohl aber vertraulichkeitsprobleme) löst, aber dafür ein paar neue sicherheitsprobleme schafft, so übel, dass eine wördpress-webseit schon gepwnt ist, bevor sie überhaupt onlein geht:

WordPress ist ein prominentes Beispiel dafür: Man lädt die Basis-Installation auf den Server und startet den Installer auf https://mysite.irgend.wo/wp-admin/setup-config.php, um gleich ein neues Passwort zu setzen. Doch da kommt man vielleicht schon zu spät. Denn typischerweise hat man kurz zuvor einen neuen Server eingerichtet und für diesen auch ein neues Zertifikat erstellt. Dieser Vorgang wird im öffentlich einsehbaren Protokoll der Certificate Transparency dokumentiert. Diverse Angreifer monitoren diese CT-Änderungen und liegen dann schon auf der Lauer, wenn der Eigentümer dort etwas installiert. Dazu warten sie etwa auf das Auftauchen der typischen WordPress-Installer-URLs. Typischerweise 4 Minuten dauerte es in Smitkas Selbstversuchen, bis die ersten Hintertüren auf dem System waren; ein Angreifer benötigte weniger als 1 Minute. Das als Gegenprobe ohne HTTPS eingerichtete WordPress-System blieb hingegen völlig unbehelligt

Bwahahahaha! 😂️

Das ist doch sicherlich nur eine obskure teoretische möglichkeit, die ganzen sicherheitsexperten raten doch alle zu TLS?

Smitka gelang es, zumindest eine Angreifergruppe bei ihrem Tun zu beobachten. Innerhalb weniger Tage kaperten die über 800 WordPress-Systeme, deren Eigentümer er direkt benachrichtigte. Doch es ist davon auszugehen, dass dieses Problem noch viel größer ist und tausende WordPress-Systeme auf diesem Weg kompromittiert wurden

Bwahahahaha! 🤣️

Leute, glaubt niemals, dass eine erhöhung der komplexität die sicherheit von kompjutern erhöht! Auch nicht, wenn es ein „experte“ für irgendwas sagt. Und erst recht nicht, wenn es ein scheißjornalist sagt, der von nix eine ahnung hat. Was die sicherheit eines kompjuters erhöht, ist nicht die erhöhung von komplexität, sondern die redukzjon von komplexität. Im idealfall eine so weitgehende redukzjon von komplexität, dass man alles noch selbst verstehen kann.

Gut, wenn man TLS braucht — etwa, weil man güter, geld oder abhör- und zensurgefährdetes zeug aller art ins web stellen will — dann kommt man nicht umhin, TLS zu benutzen, es gibt im moment nix besseres. Aber einfach TLS als schlangenöl aufzutragen oder „weil es alle so machen“, wird leicht kontraproduktiv. Zumal die zentralistische organisazjon mit im brauser hinterlegten CAs — ein faktisch sichereres selbstsigniertes zertifikat wird ja seit vielen vielen jahren jedem seit-besucher von brauser als ganz gefährliches sicherheitsrisiko angezeigt, für das er erstmal unter genuss von großen warnungen eine ausnahmeregel konfigurieren muss, was jeden unerfahrenen menschen abschrecken dürfte — eine zusätzliche möglichkeit für manipulazjonen durch staatliche oder große wirtschaftliche organisazjonen darstellt. Ich habe jedenfalls kein vertrauen zu den CA-klitschen, die ab werk im brauser als sicher betrachtet werden. Und wer sich diese insgesamt mehr als nur etwas gruselige liste mal angeschaut hat…

Bildschirmfoto feierfox-einstellungen. Ein teil der CAs, die ab werk im feierfox als sicher betrachtet werden.

…wird mir in meinem vertrauensmangel hoffentlich zustimmen.

2 Antworten zu “TLS des tages

  1. Jetzt weiß ich auch wo der ganze Traffic her kommt, wenn ich z.B mal ne neue Subdomain anleg(t)e die ein Zertifikat von LetsEncrypt erhielt – ich wusste z.B. nicht dass es dafür öffentliche Logs gibt und wunderte mich immer, wie denn gezielt solche Subdomains abgegrast wurden – irgend wie kam mir das aber immer schon Spanisch vor – jetzt weiß ich auch warum. Gut zu wissen ist es schon.

  2. Vor allem stehen die Noobs wirklich wie der Ochs vorm Berg, wenn ihr Browser auf leuchtend roter Umrandung ein „mögliches Sicherheitsrisiko“ beim Besuchen einer unverschlüsselten Seite ankündigt (selbstsignierte Zertifikate dasselbe). Eine Technikverhinderung, diese Browser heutzutage.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..